Depuis le 18 octobre 2024, la « Directive relative à des mesures visant à assurer un niveau commun élevé de la cybersécurité dans l’Union » (en bref, « la directive NIS2 ») a été transposée dans le droit belge (la « loi NIS2 »), créant potentiellement un certain nombre de nouvelles obligations pour les entreprises.
Qu’est-ce que la loi NIS2 ?
« NIS » signifie « Network and Information Systems » (c’est-à-dire la cybersécurité). La loi NIS2 succède à l’ancienne directive NIS1, dont le champ d’application était trop limité, de sorte que les menaces cybernétiques n’ont cessé d’augmenter.
La loi NIS2 vise à remédier à cette situation, notamment en élargissant considérablement le champ d’application et les obligations, ainsi qu’en prévoyant des mécanismes de sanction, encourageant ainsi les entreprises à faire de la cybersécurité une question importante.
A qui s’applique la loi NIS2 ?
La loi NIS2 s’applique aux entités (entreprises et services publics) qui remplissent cumulativement les conditions suivantes :
- Être actif dans l’un des secteurs « critiques » énumérés dans la NIS2. Il s’agit notamment des secteurs bancaires et énergétiques, des fournisseurs numériques, des soins de santé, des administrations publiques, des services postaux et de coursiers, etc. ;
- Pour être concernées, les entreprises doivent avoir une certaine taille, c’est-à-dire employer au moins 50 salariés ou avoir un chiffre d’affaires annuel supérieur à 10 millions d’euros.
Bien que le nombre d’entités auxquelles la loi s’applique semble limité, l’impact de la loi NIS2 est important.
En vertu de la nouvelle législation, les entités qui remplissent ces conditions, seront également tenues de superviser la cybersécurité de leur « chaîne d’approvisionnement ».
Cela signifie que tous les fournisseurs ou prestataires de services de ces entités peuvent également être indirectement soumis aux obligations de la NIS2 (dans le cadre de leurs relations contractuelles).
Quelles sont ces obligations en vertu de la loi NIS2 ?
Premièrement, les entités concernées par le champ d’application (voir ci-dessous) doivent prendre des « mesures techniques, opérationnelles et organisationnelles » pour gérer les risques liés à la sécurité du réseau et des systèmes d’information, qu’elles utilisent dans le cadre de la fourniture de leurs services, afin d’éviter les risques d’incidents (ou au moins d’en atténuer les conséquences).
Deuxièmement, elles ont une obligation de déclaration, en vertu de laquelle tout incident significatif doit être immédiatement signalé aux autorités nationales compétentes. Un « incident significatif » est défini comme « tout incident ayant un impact significatif sur la fourniture de l’un des services dans les secteurs concernés par la NIS2 » et qui a causé (ou peut causer) une grave perturbation opérationnelle de l’un des services dans les secteurs concernés ou des pertes financières pour l’entité concernée ; ou qui a affecté (ou peut affecter) d’autres personnes physiques ou morales en causant des dommages matériels ou immatériels significatifs.
Troisièmement, les entités concernées doivent s’enregistrer auprès du Centre pour la Cybersécurité Belgique (CCB).
La plupart des entités concernées par la NIS2 doivent s’enregistrer endéans les cinq mois suivant l’entrée en vigueur de la loi NIS2, c’est-à-dire avant le 18 mars 2025. Toutefois, certaines entités sont déjà tenues de s’enregistrer avant le 18 décembre 2024. Il s’agit principalement de fournisseurs de moteurs de recherche en ligne, de places de marché en ligne, de services d’informatique dans le cloud, etc.
Responsabilité des administrateurs
La loi NIS2 introduit également une responsabilité particulière des administrateurs. Si une entité est soumise à la NIS2, sa direction doit approuver (et superviser) les mesures de gestion des risques cybernétiques. En outre, les administrateurs des entreprises concernées doivent également avoir les connaissances nécessaires pour identifier les risques. En cas de non-respect de cette obligation, les administrateurs risquent de voir leur responsabilité engagée.
Qu’est-ce que cela signifie pour votre entreprise ?
La loi NIS2 vise principalement les moyennes et grandes entreprises de certains secteurs (critiques).
Si votre entreprise fournit des produits ou des services à des entreprises opérant dans les secteurs indiqués ci-dessus, elle peut indirectement relever de la loi NIS2, en particulier si vos services sont essentiels au fonctionnement de systèmes critiques (par exemple, les services informatiques, les services de sécurité,…).
En résumé, il est conseillé à chaque entreprise de vérifier si elle est (directement ou indirectement) concernée par la loi et, le cas échéant, de prendre les mesures nécessaires.
Nos experts juridiques de PKF BOFIDI sont à votre disposition
Si vous avez des questions concernant la protection cybernétique, n’hésitez pas à contacter notre PKF BOFIDI Legal Team, qui se fera un plaisir de vous aider.
Cet article a été rédigé par Lauranne Piotrowski, spécialisée dans la propriété intellectuelle, les TIC, la protection des données et la vie privée.