Au mois d’octobre 2024, la directive européenne NIS2 en matière de cybersécurité devra être transposée dans la loi belge. Toutes les grandes et moyennes entreprises seront contraintes de satisfaire à ces obligations, sous peine de lourdes amendes financière. Bonne nouvelle : NRB vous aide à assurer votre transition vers NIS2 en toute sérénité.
La cybersécurité est un sujet de première préoccupation pour les entreprises privées et publiques, tant les risques financier et réputationnel d’une attaque en ligne sont importants. L’Union européenne a décidé de renforcer son cadre réglementaire en matière de lutte contre la cybercriminalité en adoptant la directive NIS2.
Dans cet article, retrouvez tout ce que vous devez savoir sur la directive NIS2.
Contacter notre équipe Cybersécurité
La directive NIS2 : c’est quoi ?
Cette directive succède à la directive NIS1, souvent considérée comme la toute première législation mondiale en matière de cybersécurité. Les nombreuses évolutions technologiques ont contraint le Parlement européen à actualiser cette règlementation, matérialisée par la directive NIS2. Chaque Etat membre, dont la Belgique, doit désormais transposer les obligations qui y sont répertoriées dans sa législation nationale, au plus tard pour le 17 octobre 2024.
Quels sont les objectifs de la directive NIS2 ?
La directive NIS2 poursuit de nombreux objectifs pour renforcer l’efficacité de la cybersécurité européenne, notamment une meilleure coopération entre les Etats membres. Nous avons listé les modifications qui vous impactent directement.
1 Augmentation drastique du nombre de sociétés impliquées
Il s’agit certainement du principal changement. La précédente directive NIS ne concernait qu’une centaine d’entités belges, réparties dans six secteurs. La directive NIS2 implique des sociétés de douze secteurs supplémentaires (administration publique, fournisseurs de services publics de communications électroniques, gestion des déchets, aérospatiale, produits chimiques, services postaux, chaîne d’approvisionnement agroalimentaire, plateformes de services numériques) qui emploient plus de 50 collaborateurs ou réalisent 10 millions de chiffre d’affaires annuel. Au total, on estime que cela représente plus ou moins 2500 entreprises sur le territoire belge.
2 Obligation pour les entreprises de signaler un incident significatif
La directive NIS2 contraint à notifier chaque attaque selon trois étapes bien précises :
- Alerter les autorités dans les 24 heures qui suivent la détection de l’incident
- Réaliser une notification d’incident complète dans les 72 heures
- Rédiger un rapport complet et final dans le mois qui suit l’incident
3 De lourdes amendes financières en cas de non-respect du règlement
Une entreprise qui ne notifie pas un incident peut faire face à de lourdes sanctions financières.
Pour les entreprises dites essentielles (énergie, transports, banque, finance, eaux potable ou usées, infrastructure numérique, santé, aérospatiale, administration publique), l’amende peut s’élever jusqu’à 10 millions d’euros ou au moins 2% du chiffre d’affaires annuel mondial de l’exercice.
Pour les entreprises dites importantes (services postaux, gestion des déchets, industrie chimique, agroalimentaire, fournitures numériques), l’amende peut s’élever jusqu’à 7 millions d’euros ou au moins 1,4% du chiffre d’affaires annuel mondial de l’exercice précédent.
Comment NRB peut venir en aide aux entreprises pour respecter la directive NIS2 ?
En tant qu’entreprise certifiée ISO 27001, NRB peut vous prêter main-forte pour assurer la transition de votre entreprise vers NIS2. Ce plan se traduit en 5 points :
- Gestion des cyberattaques : grâce à la combinaison d’une plateforme SIEM et d’analystes, le SOC (Security Operations Center) détecte les attaques dont pourraient être victimes vos données et vos infrastructures.
- Continuité des activités : Le plan de continuité des activités ou Business Continuity Plan (BCP) décrit la stratégie de continuité adoptée pour faire face, par ordre de priorité, à des risques identifiés et classé selon la gravité de leurs effets et leur plausibilité. Le plan permet de s'assurer que le personnel et les actifs sont protégés et qu'ils sont capables de fonctionner rapidement en cas d’attaque.
- Sécurité de développement et maintenance : si vous désirez développer un applicatif, nous nous assurons que vous respectiez les mesures de sécurité préconisées. Nos équipes vérifient que votre code respecte bien les standards de sécurité (OWASP) et que le déploiement se déroule comme prévu.
- Sécurité des réseaux et des systèmes d’information : nos équipes évaluent la vulnérabilité de votre entreprise, notamment via des tests de pénétration ou des simulations d’attaque. Cet exercice offre de nombreux enseignements en, matière de sécurité de vos données.
- Test et évaluation de l’efficacité des mesures : nos experts analysent l’ensemble des mesures prises et réalisent une évaluation de la maturité des process de sécurité. Cette dernière vérification permet de déterminer si votre entreprise est protégée contre les attaques en ligne.
N’hésitez pas à nous contacter pour recevoir davantage d’informations.
