Principaux renseignements

• Les organisations qui produisent leur propre énergie en Belgique sont désormais considérées comme des entités essentielles dans le cadre du NIS2.
• Le respect de l’obligation de vigilance et de l’obligation de déclaration exige un investissement substantiel dans l’amélioration de la cybersécurité, ce qui pourrait doubler les budgets consacrés à l’informatique et à la sécurité.
• Le non-respect du NIS2 entraîne des sanctions sévères, y compris des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 pour cent du chiffre d’affaires annuel global pour les organisations essentielles.

La Belgique fait partie des premiers pays européens à mettre pleinement en œuvre la directive Network & Information Security (NIS2) en 2024, obligeant les organisations essentielles et importantes à renforcer leurs mesures de cybersécurité. Une interprétation unique des autorités belges étend ces réglementations strictes même aux petites entreprises qui produisent leur propre énergie, comme celles qui utilisent des panneaux solaires.

NIS2, une directive de l’UE visant à renforcer la cyber-résilience des organisations dont les interruptions de service pourraient avoir un impact significatif sur la société, impose une obligation de vigilance et une obligation de déclaration.

L’obligation de vigilance exige des organisations qu’elles mettent en œuvre dix mesures de cybersécurité, notamment un plan de réponse aux incidents cybernétiques et des politiques encourageant les employés à adopter un comportement cybernétique. L’obligation de déclaration les contraint à signaler les incidents importants affectant leurs services à l’équipe de réponse aux incidents de sécurité informatique (CSIRT) ou à l’autorité de régulation sectorielle.

Le Centre for Cybersecurity Belgium (CCB), l’organisme de régulation belge, veille au respect de ces obligations par le biais d’une surveillance proactive des organisations essentielles et d’une surveillance réactive des organisations importantes à la suite d’un incident. Le NIS2 élargit le champ d’application du NIS1 en classant comme « importants » des secteurs tels que la production alimentaire, l’exploration spatiale, les services gouvernementaux, les services postaux et de messagerie, les fournisseurs de réseaux et de services de communication électronique, le traitement des eaux usées, les services numériques (y compris les réseaux sociaux) et les fabricants de produits critiques.

Champ d’application élargi

Toutefois, les plus petites organisations sont exemptées de ces exigences, conformément à la réglementation de l’UE pour les petites et moyennes entreprises (PME). Malgré cette exemption, des milliers d’entreprises belges, estimées entre 5 000 et 10 000, restent soumises au NIS2. L’interprétation de la Belgique élargit encore ce champ d’application en classant les organisations qui produisent leur propre énergie, telles que celles qui possèdent des panneaux solaires ou des turbines éoliennes, comme des entités essentielles.

En conséquence, des milliers d’entreprises supplémentaires devront se conformer au NIS2, ce qui aura un impact significatif sur elles et sur les fournisseurs de services qui aident à la mise en œuvre. Le respect de ces exigences exige des investissements substantiels en matériel et en logiciels pour améliorer la cybersécurité et nécessite du personnel qualifié. Compte tenu de la rareté des experts en cybersécurité et de l’augmentation du coût des outils, les entreprises sont confrontées à des charges financières considérables, qui risquent de doubler leur budget informatique et de sécurité.

Protection des systèmes informatiques

L’objectif premier du NIS2 est de renforcer la résilience des organisations en protégeant les systèmes informatiques. Le signalement rapide des incidents contribue à la protection de la société en sensibilisant aux menaces potentielles. Les organisations doivent donner la priorité aux mesures préventives dans le cadre de l’obligation de diligence, qui englobe dix aspects clés : des mesures de cybersécurité appropriées contre les cybermenaces, la gestion des cyberincidents, un plan de réponse aux cyberincidents, des considérations de cybersécurité pour les fournisseurs, des exigences de cybersécurité pour les dispositifs connectés au réseau, la réduction du niveau de cyberrisque, la promotion d’un comportement cyberconscient parmi les employés, l’utilisation de techniques cryptographiques, la gestion des identités et des accès, la gestion des actifs, et des mesures supplémentaires pour protéger les données ou les communications confidentielles.

Conformité et sanctions

Le non-respect de la norme NIS2 entraîne des sanctions sévères. Les organisations essentielles s’exposent à des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 pour cent du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les organisations importantes risquent des amendes allant jusqu’à 7 millions d’euros ou 1,4 pour cent du chiffre d’affaires annuel mondial. En outre, les organisations essentielles peuvent voir leurs certifications ou licences temporairement suspendues, et leurs dirigeants peuvent faire l’objet d’une suspension temporaire.

L’introduction du NIS2 représente un défi de taille pour des milliers d’entreprises belges, en particulier pour les plus petites d’entre elles, qui se retrouveront inopinément dans le champ d’application du NIS2. Avec des délais stricts, des amendes élevées et des responsabilités de gestion étendues, la cybersécurité devient primordiale pour les organisations de toutes tailles. Les mois à venir révéleront l’efficacité avec laquelle elles s’adapteront à ces nouvelles réalités.

Si vous souhaitez accéder à tous les articles, abonnez-vous ici!