Les 3 obligations de NIS2

Quel est l'impact pour votre entreprise ? 

28 septembre 2024 - 6 min

La nouvelle directive NIS2 entre en vigueur le 18 octobre 2024. Le but de cette directive est de renforcer la cybersécurité des secteurs essentiels et importants au sein de l'Union européenne.

 

La directive NIS2 introduit de nouvelles obligations en matière de cybersécurité, de gestion des risques et de réponse aux incidents.

Les 3 obligations de NIS2

La directive européenne peut être divisée en trois grandes obligations :

 

  1. Devoir d'enregistrement,
  2. Devoir de diligence
  3. Devoir de notification.

Pour les organisations soumises à la loi belge NIS2, il est important de prendre les mesures suivantes dès que possible :  

Nous ne pouvons pas récupérer vos données. Faites votre propre choix

1. Devoir d'enregistrement

Vous avez ce modèle

2. Devoir de diligence

Vous avez ce modèle

3. Devoir de notification

Vous avez ce modèle

1. Devoir d'enregistrement

Vous avez ce modèle

2. Devoir de diligence

Vous avez ce modèle

3. Devoir de notification

Vous avez ce modèle

Devoir d'enregistrement

Les organisations doivent s'enregistrer dans les plus brefs délais auprès du Centre pour la Cybersécurité en Belgique (CCB).

Devoir de diligence

NIS2 exige une gestion prudente des différents risques de cybersécurité. Les entités NIS2 sont tenues d'effectuer leur propre analyse des risques, d'identifier leurs vulnérabilités et de prendre les mesures appropriées pour sécuriser leur infrastructure informatique.

Ces mesures incluent la gestion des incidents, l'amélioration de l'hygiène informatique, la mise en œuvre de systèmes de sauvegarde, la garantie de la continuité des activités et la notification des vulnérabilités.

 

Devoir de notification

La directive NIS2 stipule que les entités essentielles et importantes doivent signaler au CCB tout incident significatif affectant leurs services. 

Cette notification se fait en plusieurs étapes :

  • une alerte rapide dans les 24 heures suivant la connaissance de l'incident,
  • un rapport d'incident dans les 72 heures suivant la connaissance de l'incident,
  • un rapport intermédiaire à la demande du CCB ou de l'autorité compétente,
  • un rapport final au plus tard un mois après le rapport d'incident ou, si l'incident est toujours en cours, un rapport des mesures et, dans un délai d'un mois après le règlement, le rapport final. 

Obligations supplémentaires pour les entités essentielles

En Belgique, le CCB distingue en outre quatre niveaux d'assurance : small, basic, important et essentiel. Plus le niveau est élevé, plus les mesures sont nombreuses. 

Pour l'instant, seules les entités importantes et essentielles sont soumises aux obligations de la loi NIS2. Le CCB a pour ambition sur le long terme de faire en sorte que chaque organisation en Belgique, y compris les PME, atteigne le niveau de base. 

Les organisations classées comme importantes ou essentielles sont donc tenues de prendre des mesures conformes à la directive NIS2 à partir du 18 octobre 2024. Les entités essentielles sont également soumises à des obligations supplémentaires telles que : 
 

  1. elles sont soumises à des contrôles plus stricts qui peuvent être planifiés ou non, 
  2. elles font l'objet d'une surveillance proactive de la part de l'inspection et ne sont donc pas uniquement contrôlées après un incident,
  3. elles risquent des sanctions plus importantes en cas de non-conformité, 
  4. elles doivent être en mesure de présenter des informations ou des preuves pertinentes à tout moment lorsque les services d'inspection en font la demande. 

Telenet Business assure la cybersécurité de votre organisation

Vous souhaitez accompagner de manière optimale votre équipe dans le cadre de NIS2 ? Nos experts se feront un plaisir de vous aider.