NIS2 : l’Europe élargit le champ d’application de la règlementation

Déjà trois ans…

La loi NIS, issue de la directive européenne du même nom, est la première législation en matière de cybersécurité en Belgique. Trois ans après son entrée en vigueur, le Centre pour la Cybersécurité en Belgique est globalement satisfait du respect des règles de la part des entreprises. “Mais il est encore trop tôt pour évaluer complètement la mise en œuvre des règles. Les premiers audits internes viennent d’être réalisés et les premiers audits externes seront réalisés en 2023”, précise Valéry Vander Geeten, responsable juridique du Centre pour la Cybersécurité Belgique.

Si vous remplissez les conditions légales, vous devez respecter la directive.

Valéry Vander Geeten uit, responsable juridique du CCB

NIS 2 : plus de secteurs concernés

Jusqu’ici, les règles s’appliquent aux secteurs du Transport, de l’Énergie, des Finances, de la Santé, de l’eau potable, des infrastructures numériques et des fournisseurs de services numériques. NIS2, la nouvelle proposition de directive, prévoit d’élargir les types d’opérateurs dans certains des secteurs existants et d’ajouter de nouveaux secteurs : les opérateurs télécoms, les administrations publiques, les entreprises d’équipements électroniques, de l’alimentation ou encore de chimie en font partie. “Notons également que l’identification préalable par l’autorité sectorielle compétente ne serait plus nécessaire. Si vous remplissez les conditions légales, vous devez respecter la directive”, souligne Valéry.

Autoriser les hackers éthiques

Afin de responsabiliser les managers, les sanctions prévues par la nouvelle directive pourraient non seulement s’appliquer à l’organisation, mais aussi à ses dirigeants à titre personnel. Valéry attire également l’attention sur une nouvelle recommandation importante : “La mise en œuvre par les entreprises de politiques de divulgation coordonnée à des vulnérabilités. Il s’agit de fixer préalablement des règles autorisant des personnes externes à l’entreprise (hackers éthiques) à rechercher les potentielles vulnérabilités de ses systèmes d’information. Concrètement, les organisations publieraient ces règles sur leur site internet ou sur via une plateforme de bug bounty”.

Valéry Vander Geeten uit, responsable juridique du CCB

Cybersécurité à tous les étages

Une législation plus stricte est bénéfique à toute organisation, quelle que soit sa taille. Le secteur de l’Énergie est évidemment crucial pour tous les autres secteurs et la sécurité de ses systèmes industriels est un enjeu important. Idem pour le secteur public dont les récents incidents en sont la preuve.

“Dans la proposition NIS2, les micros ou petites entreprises seraient exclues, avec de nombreuses exceptions notamment pour les entités qui pourraient avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique. Néanmoins, je pense que tout le monde est concerné. La cybersécurité n’est pas qu’une question d’IT, c’est avant tout une culture d’entreprise.”

Une évolution nécessaire

Personne ne niera la nécessité des modifications proposées au niveau européen. L’augmentation des risques liés à la cybercriminalité est exponentielle et une législation dont la portée est trop limitée ne serait pas raisonnable dans un monde de plus en plus numérisé et interconnecté. “Force est de constater de grandes différences de moyens, de maturité et de résilience des opérateurs entre les différents secteurs. Un argument qui justifie amplement une plus grande harmonisation transsectorielle dans la mise en œuvre des règles de sécurité NIS”, conclut Valéry.