La directive NIS2 : Pour qui ? Pourquoi ?
Cet article fait partie d’une série d’articles publiées sur le sujet de la transposition de la directive NIS2 en Belgique. Les autres articles peuvent être consultés ici.
POUR QUI ?
La directive NIS2 s’adresse aux organisations d’une certaine taille qui fournissent des services dans des secteurs critiques repris dans les annexes I et II de la directive. La taille (« size cap ») et le service fourni sont ainsi les deux principaux critères pour déterminer si la directive NIS2 s’applique à une organisation.
La taille (Size cap)
La taille d’une entité est calculée sur base de l’annexe I de la recommandation 2003/361/CE de la Commission du 6 mai 2003 (la « Recommandation »).
Sauf exception, une organisation doit être considérée au moins comme une moyenne entreprise au sens de la Recommandation pour se voir appliquer la directive NIS2. Une moyenne entreprise dispose d’un effectif équivalent au moins à 50 travailleurs à temps plein et/ou réalise un chiffre d’affaires annuel total (ou le total du bilan annuel) qui excède 10 millions d’euros.
La Recommandation prévoit notamment que le calcul de la taille d’une organisation qui fait partie d’un groupe (entreprises partenaires ou liées) implique une consolidation des données des différentes composantes de ce groupe.
Le fonctionnement de cette Recommandation est expliqué de manière détaillée dans le « Guide de l’utilisateur pour la définition des PME » de la Commission européenne.
Mais attention, il y a deux spécificités importantes quant à l’application de la Recommandation dans le cadre de la directive :
- La consolidation des données des différentes composantes au sein d’un groupe peut être écartée, dans certaines circonstances, lorsqu’il existe une indépendance des réseaux et systèmes d’information de l’organisation concernée par rapport à ceux des entreprises liées ou partenaires.
- L’effectif et les montants financiers d’un organisme public qui contrôle une organisation concernée ne doivent pas être pris en compte pour déterminer la taille de cette dernière.
Le service fourni
L’organisation doit fournir un service repris dans les annexes I ou II de la directive (même si ce service ne constitue qu’une partie accessoire de ses activités) :
Les secteurs hautement critiques (annexe I) |
Les autres secteurs critiques (annexe II) |
|
|
Deux catégories
La directive NIS2 établit une distinction entre entités « essentielles » et « importantes ». Cette distinction se fait, en principe, sur la base de la taille de l’entité et du service fourni :
- Sauf exceptions, une organisation constituant une grande entreprise au sens de la Recommandation et fournissant au moins un service repris à l’annexe I est une entité essentielle ;
- Sauf exceptions, une organisation constituant une moyenne entreprise au sens de la Recommandation et fournissant au moins un service repris à l’annexe I est une entité importante ;
- Une organisation constituant une grande ou une moyenne entreprise au sens de la Recommandation et fournissant au moins un service repris à l’annexe II est une entité importante.
La différence entre entités essentielles et importantes réside principalement dans les mécanismes de contrôle et de sanctions. Les entités essentielles seront contrôlées de manière plus régulière et stricte que les entités importantes.
Pour une meilleure vue d’ensemble du champ d’application de la directive, nous vous invitons à consulter notre visuel.
POURQUOI ?
Les réseaux et systèmes d'information sont devenus un élément central de notre vie quotidienne en raison de la transformation numérique et de l'interconnexion de la société. De nombreuses activités sociétales ou économiques critiques dépendent aujourd'hui de leur bon fonctionnement.
Cette évolution a entraîné une expansion du paysage des cybermenaces et cyberincidents qui ne cessent d'augmenter. Celles-ci constituent de véritables menaces en matière de sécurité publique pour la population, les entreprises et les autorités publiques. De nos jours, un cyberincident est, en effet, susceptible de provoquer des perturbations opérationnelles graves dans des secteurs critiques et ainsi affecter des personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
L’ensemble des citoyens, des entreprises et des pouvoirs publics doivent dès lors être conscients de l’importance de se protéger préventivement contre les cybermenaces et les cyberincidents.