Nouvelle loi renforçant la cybersécurité - Transposition de la directive NIS 2 en droit belge

Le 17 mai 2024, la loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (la loi NIS 2) a été publiée au Moniteur belge. La loi NIS 2 remplace la loi NIS 1 et a un champ d'application beaucoup plus large. La loi impose que certaines entités essentielles et importantes prennent des mesures appropriées pour renforcer leur cybersécurité. De plus, la loi prévoit des obligations de rapport, des sanctions sévères et la responsabilité des administrateurs.

1. NIS 1

En 2016, la directive NIS 1 actuelle est entrée en vigueur. Celle-ci a ensuite été transposée dans la législation belge via la loi NIS 1 du 7 avril 2019. La loi s'applique à un nombre limité de secteurs (par exemple, l'énergie, le transport, les services numériques, etc.) et exige que les entreprises de ces secteurs prennent certaines mesures de sécurité minimales et signalent les incidents. Il est rapidement apparu que le champ d'application de la loi NIS 1 était trop limité et que les mesures n'étaient pas suffisantes dans certains domaines. Cela a conduit à la directive NIS 2, également appelée « NIS 1 on steroids ».

2. Champ d’application étendu de la NIS 2

Le champ d'application matériel de la loi NIS 2 est considérablement plus large que celui de sa prédécesseur. Les secteurs existants couverts par la loi ont été étendus et de nouveaux secteurs ont été ajoutés.

La loi NIS 2 s'applique aux « entités », ce qui inclut tant les personnes physiques que morales. Les entités publiques ou privées entrent en principe dans le champ d'application de la loi NIS 2 pour autant qu'elles remplissent les conditions cumulatives suivantes :

• elles appartiennent à l'un des secteurs prévus dans les deux annexes de la loi, et
• elles ont une certaine taille. C'est le cas dès que l'entité emploie au moins 50 travailleurs ou réalise un chiffre d'affaires annuel de plus de 10 millions d'euros.

Il existe de nombreuses exceptions à cette règle de base, de sorte que, pour certaines entités, la taille n'a pas d'importance.

3. Entités essentielles et importantes

La loi fait une distinction entre les entités essentielles et importantes. Cette qualification doit en principe être effectuée par l'entité elle-même sur la base des dispositions dans la loi, mais l'autorité de cybersécurité (en Belgique, le Centre pour la Cybersécurité Belgique, ci-après 'CCB') peut également identifier une entité comme telle. Cette qualification est importante non seulement pour les obligations applicables, mais aussi pour les sanctions potentielles.

Les entités doivent en principe s'enregistrer auprès du CCB dans les 5 mois suivant l'entrée en vigueur de la loi ou leur identification par le CCB. Étant donné que la loi NIS 2 entre en vigueur le 18 octobre 2024, les entreprises ont jusqu'au 17 mars 2025 pour s'y conformer. Cependant, il est fortement recommandé de réaliser cette démarche bien à l'avance, étant donné que les obligations pertinentes s'appliquent dès l'entrée en vigueur de la loi.

4. Mesures de gestion des risques de cybersécurité

Tant les entités essentielles que les entités importantes doivent prendre des mesures pour sécuriser leurs systèmes de réseaux et d'information. La loi NIS 2 prévoit un aperçu des mesures minimales que les entités doivent prendre. La mise en œuvre concrète de ces mesures dépendra de plusieurs facteurs, tels que l'état des connaissances, le coût de mise en œuvre, la probabilité qu'un incident se produise et les risques y afférents.

Une nouvelle mesure importante dans la législation NIS 2 est l'obligation de prendre des « mesures de supply chain ». Cela signifie que l'entité doit surveiller la qualité de la cybersécurité de ses fournisseurs et prestataires de services directs. Par conséquent, même les entreprises qui ne relèvent pas du champ d'application de la loi NIS 2 peuvent être indirectement affectées.

La loi NIS 2 exige également que les entités mettent en place une politique relative à l’analyse des risques et à la sécurité des systèmes d'information. Cependant, une simple politique ne suffit pas, des formations internes doivent également être prévues en matière de cybersécurité. En particulier, les membres des organes de direction sont tenus de suivre une formation afin d'acquérir les connaissances et compétences nécessaires pour identifier et gérer les risques.

Les entités essentielles et importantes ont également une obligation de signalement en cas d'incidents significatifs. Ainsi, l'entité doit effectuer un premier signalement auprès du centre national de réponse aux incidents de sécurité informatique (CSIRT) au sein du CCB sans délai et au plus tard dans les 24 heures suivant la prise de connaissance de l'incident.

5. Sanctions et responsabilité

Le non-respect de la loi NIS 2 peut être sanctionné par diverses mesures administratives et des amendes. Ces amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, en fonction du montant le plus élevé.

Enfin, la loi NIS 2 prévoit une responsabilité personnelle pour les personnes physiques qui représentent l'entité importante ou essentielle, en exercent le contrôle ou en prennent des décisions en son nom. Le CCB indique que cela vise à sensibiliser le « top management ». Il est conseillé au top management de vérifier si cela est couvert par leur assurance responsabilité.

Anticipez et préparez-vous dès maintenant

Les entreprises et les organisations doivent dès aujourd'hui commencer par une première analyse pour déterminer si elles entrent dans le champ d'application élargi de la loi NIS 2. Si tel est le cas, nous recommandons de réaliser une analyse approfondie afin d'identifier les mesures déjà mises en place et celles encore manquantes. Enfin, cela doit être élaboré avec tous les acteurs concernés au sein de l'entreprise dans un plan d'action concret. La formation des employés et des membres des organes de direction ne doit certainement pas être négligée dans ce processus.