La dénommée « directive « NIS-2 » est entrée en application le 16 janvier 2023.

Cette directive succède à la directive NIS-1 de 2016 (transposée en Belgique dans la loi NIS-1 de 2019), laquelle est souvent désignée comme la toute première législation au monde en matière de cybersécurité.

La Commission européenne a mis sur la table une proposition de nouvelle directive NIS en décembre 2020. Le Conseil et le Parlement européen ont approuvé le texte final deux ans plus tard, à l’issue d’un processus de négociations rapide. Le texte a été publié le 27 décembre 2022 et est entré en vigueur 20 jours plus tard. Notre pays dispose maintenant de 21 mois, à savoir jusqu’au 17 octobre 2024, pour transposer la directive NIS-2 dans la législation nationale.

Vous trouverez ici les raisons pour lesquelles la NIS-1 avait besoin d'être mise à jour ainsi que les principaux points de discussion.

En substance, cette directive NIS-2 poursuit les trois mêmes objectifs que son prédécesseur, tout en allant cette fois plus loin et en étendant le champ d’application par rapport à 2016 :

• l’obligation pour les autorités nationales de consacrer davantage de capacités à la cybersécurité ;
• le renforcement de la coopération européenne entre les autorités de cybersécurité ;
• l’augmentation du nombre d’opérateurs importants et de secteurs critiques de notre société qui doivent prendre (encore plus) des mesures de sécurité et notifier les incidents significatifs.

La principale extension concerne le troisième objectif : aux six secteurs de la directive NIS-1 s’ajoutent douze nouveaux secteurs (notamment les services publics, les industries alimentaire, chimique et de fabrication ou encore d’autres types d’organisations dans les secteurs de l’énergie et de la santé). Toutes les grandes et moyennes organisations (au minimum) doivent satisfaire aux obligations et faire l’objet d’une sélection active de la part des autorités. Sont ici visées toutes les organisations actives dans ces secteurs qui comptent plus de 50 collaborateurs ou qui réalisent 10 millions d’euros de chiffre d’affaires annuel. En Belgique, ce sont ainsi désormais quelque 2500 entités qui sont concernées par la loi NIS, contre une centaine précédemment.

Par ailleurs, les incidents significatifs devront être notifiés en trois étapes :

• une alerte précoce dans les 24 heures (si l’incident est susceptible de faire tache d’huile)
• une notification d’incident complète dans les 72 heures (comme pour le RGPD)
• un rapport final dans le mois

La directive donne en outre une liste des mesures générales de gestion des risques pour les organisations, que chaque État membre devra élaborer.

Les grandes entreprises dans les secteurs les plus critiques (« entités essentielles ») seront contrôlées de manière plus stricte. De nouvelles règles de sanctions plus fortes et plus spécifiques (pouvant aller jusqu’à 10 millions d’euros d’amendes dans certains cas) seront édictées. Enfin, le top management de chaque entité sera davantage responsabilisé, afin que la cybersécurité devienne un véritable sujet de discussion.

La directive NIS-2 contient de nombreux (nouveaux) éléments et nuances. Nous avons publié sur ce site une explication plus détaillée des différents aspects et obligations qui nous incombent. Le texte intégral de la directive est également disponible en ligne.

Dans l’intervalle, le CCB a lancé la concertation en vue de la transposition de cette directive, afin que nous disposions en octobre 2024 d’une nouvelle loi NIS belge. Si les obligations imposées aux organisations n’entreront en vigueur qu’à partir de fin 2024, nous avons en effet tout intérêt à renforcer au plus vite notre propre cybersécurité. Le CCB publiera dans les prochaines semaines un cadre contenant des objectifs de sécurité concrets et pratiques pour les organisations et lancera plus tard dans l’année une plateforme permettant de diffuser les conseils et les informations sur les menaces du CCB. Nous pourrons ainsi faire de la Belgique l’un des pays les moins cybervulnérables d’Europe.