Ce vendredi 18 octobre 2024, la Loi du 26 avril 2024et l'Arrêté royal du 9 juin 2024, portant transposition de la Directive NIS2 (la « législation belge de transposition »), entrent en vigueur. Dans un Legal Eubdate précédent , nous vous avions déjà informé des implications principales pour votre organisation. À l'occasion de cette entrée en vigueur, nous vous rappelons les points clés à retenir.
Entrée en vigueur de la législation belge de transposition de la Directive NIS2
Les obligations de la législation belge de transposition de la Directive NIS2 entrent en vigueur le 18 octobre 2024. Vous trouverez ci-dessous un aperçu de l'application des différentes obligations dans le temps.
Obligation d'enregistrement ou de désignation par la CCB
Vous devez vérifier pour votre organisation si celle-ci entre dans le champ d'application de la législation belge de transposition de la Directive NIS2 et si elle peut être qualifiée d'entité essentielle ou d’entité importante. Dans l'affirmative, vous devez alors vous enregistrer auprès de l'autorité compétente, à savoir le Centre pour la Cybersécurité Belgique (« CCB ») par le biais de leur plateforme en ligne.
La désignation par le CCB comme entité essentielle ou importante n'est possible que sous certaines conditions strictes. Il s'agit des cas où l'entité (i) est le seul fournisseur, (ii) est critique en raison d'un intérêt spécifique, (iii) peut causer une perturbation de la sécurité publique, de la sûreté publique ou de la santé publique, ou (iv) une perturbation peut causer un risque systémique important ou un intérêt spécifique critique ayant une incidence transfrontalière.
Points d'attention pour les groupes de sociétés
La taille d'une entité détermine (dans la plupart des cas) si elle relève du champ d'application de la Directive NIS2. En principe, cela concerne uniquement les grandes et moyennes entités (selon les seuils de la Recommandation 2003/361/CE). La taille d'une entité est évaluée en fonction de seuils basés, d’une part, sur son personnel et, d'autre part, sur un paramètre financier. Ce dernier concerne soit le chiffre d'affaires annuel, soit le total du bilan annuel. Si l'entité emploie au moins 50 ETP, elle est automatiquement qualifiée d'entité de taille moyenne. Si le personnel est inférieur à ce chiffre, ce sont les paramètres financiers qui seront déterminants.
Il est important de noter que cette évaluation ne se fait généralement pas sur la base de l'entité seule (stand alone) : ses « entreprises partenaires » et « entreprises liées » sont également prises en compte. Cependant, pour certains types d'investisseurs (dont les sociétés de capital à risque), une exception à ces règles de consolidation s'applique, à condition qu'ils n'exercent pas d'influence dominante sur l'entité concernée. Il est également à noter qu'en cas de fusion ou d'acquisition, la taille de l'entité est réévaluée au moment du closing. Une entité qui n'était pas initialement concernée peut ainsi tomber sous le champ d'application en raison de la taille du groupe auquel elle appartient.
Pour les entités de groupe qui, sur une base autonome, ne sont pas qualifiées comme moyennes ou grandes entreprises et qui conservent une grande indépendance vis-à-vis de leurs entreprises partenaires ou entreprises liées, la qualification peut être adaptée. En effet, l'autorité nationale de cybersécurité doit tenir compte du degré d'indépendance dont bénéficie l'entité concernée, notamment en ce qui concerne les systèmes de réseaux et d'information qu'elle utilise pour fournir ses services, ainsi que les services qu'elle rend. Ainsi, une entité pourrait être qualifiée comme « importante » plutôt qu’ « essentielle » ou même échapper totalement au champ d'application de la Directive NIS2.
Obligations de notification
Votre organisation doit se préparer à signaler les cybers incidents et effectuer les préparatifs internes nécessaires (y compris la rédaction d'une politique). Les incidents importants doivent être signalés au CSIRT national, le CCB, selon le calendrier suivant :
Dans certains cas, vous êtes également tenu de notifier les incidents importants et les cybermenaces importantes aux destinataires de vos services.
Gestion de la chaîne d'approvisionnement
Lorsque vous déterminez les mesures de gestion des risques de cybersécurité nécessaires, vous devez tenir compte de la sécurité de la chaîne d'approvisionnement. Cela nécessite une analyse et une évaluation des mesures de cybersécurité des prestataires de services et des fournisseurs. Ceci représente l’occasion de répercuter les obligations et les mesures de sécurité sur les différentes parties de votre chaîne d'approvisionnement. Pensez donc à inclure les clauses contractuelles nécessaires dans les accords conclus avec les parties de votre chaîne d'approvisionnement.
Rôle de l’organe d’administration d'une entité
Les règles de la Directive NIS2 rendent les « organes d’administration » de l'entité responsables pour l'approbation et la supervision de l'exécution de mesures de gestion des risques de cybersécurité appropriées et proportionnées. Les membres des organes d’administration doivent également suivre une formation pour que leurs connaissances et compétences soient suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l'entité.
La loi renforce également la responsabilité de ces organes d’administration et de leurs membres. Cependant, la portée exacte de cette responsabilité n'est pas toujours claire dans le texte de la loi (et les travaux parlementaires). Cela sera sans doute une source de futurs débats. Ce qui est certain, c'est que certaines obligations ne se limitent pas aux organes d’administration au sens strict et visent également certains membres du (senior) management.
Développements récents
Le 17 octobre 2024 la Commission européenne a publié le règlement d’exécution tant attendu de la Directive NIS2. Le règlement d’exécution s'appliquera spécifiquement à certaines entités, notamment les fournisseurs de services DNS et les fournisseurs de services d’informatique en nuage. Il contient des règles sur la notion d'incident significatif et des exigences techniques et méthodologiques pour les mesures de gestion des risques comme stipulé dans l'article 21(2) de la Directive NIS2.
Avec l'entrée en vigueur de la législation belge de transposition de la Directive NIS2 le 18 octobre 2024, le travail du CCB prend également de l’ampleur. Le CCB a publié une FAQ NIS2 en juillet 2024. En outre, BSI Group The Netherlands B.V. et Vinçotte ont récemment été annoncés comme les premiers organismes d'évaluation de la conformité (OEC) accrédités et autorisés à certifier des entités en vertu de loi belge transposant la Directive NIS2.
Des cybers incidents se produisent tous les jours. Investir dans une bonne cybersécurité et un bon suivi est bénéfique. La loi NIS2 impose des sanctions en cas de non-respect, avec des amendes administratives pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial total de l'entité au cours de l'exercice précédent. En outre, diverses mesures administratives peuvent être imposées, notamment des avertissements, des instructions contraignantes et la suspension temporaire d'une certification ou d'une licence.
Eubelius est heureux de vous aider en vous conseillant, dans la rédaction de politiques de sécurité, dans la formation de votre personnel, en réalisant des audits et en vous aidant à vous préparer et à intervenir face aux cybers incidents.