La directive NIS2 impose des normes strictes aux entreprises européennes, mais quelles sont les conséquences en cas de non-conformité ? Que se passe-t-il si vous dépassez la date limite ? Et quel est le rôle du DSI dans ce cadre ?
Comment mon organisation est-elle contrôlée ?
Les entités sont contrôlées sur le respect des obligations de NIS2 sur base de leur catégorie :
- Les entités importantes font l'objet d'une surveillance réactive. Elles ne sont contrôlées qu'après un incident ou sur la base d'indications selon lesquelles l'organisation ne respecte pas la loi.
- Les entités essentielles font l'objet d'une surveillance à la fois réactive et proactive. Elles peuvent être contrôlées à tout moment et sans préavis. Même si aucun incident ne s'est encore produit.
Le contrôle des entités essentielles est progressif. Les organisations ne devront soumettre les premières évaluations obligatoires qu'à partir d'avril 2026. Vous trouverez le calendrier concret et les obligations en détail ici.
Les contrôles peuvent se faire de différentes manières comme :
inspection sur place
contrôle sur place
audits inopinés
analyses de sécurité
soumission d'informations ou de preuves
Les conséquences de la non-conformité
Les organisations soumises à la législation NIS2 doivent se conformer à des exigences strictes. Si elles ne le font pas, elles s'exposent à de graves conséquences. Les amendes administratives vont de 500 euros à 10 millions d'euros. En outre, le Centre pour la Cybersécurité en Belgique (CCB) peut prendre des mesures supplémentaires, telles que la nomination d'un agent de contrôle, la suspension d'une licence ou l'interdiction temporaire de l'exercice d'une fonction exécutive.
Outre les amendes et mesures administratives imposées par le CCB, la non-conformité peut également avoir d'autres conséquences pour votre entreprise :
- une cyberattaque ciblée entraînant une indisponibilité ou une perte de données,
- une atteinte à la réputation, une perte de clientèle et un coût élevé du rétablissement de la continuité de l'activité.
Le rôle et la responsabilité du DSI
Au sein de chaque organisation, le Directeur des systèmes d'information (DSI) joue un rôle central dans le respect de la législation NIS2. Le DSI est responsable non seulement de la stratégie et de la mise en œuvre des systèmes d'information, mais aussi de leur sécurité. Mais cette responsabilité ne s'arrête pas au DSI : d'autres cadres et le conseil d'administration peuvent également être tenus personnellement responsables en cas de non-respect de la législation. En vertu de la législation NIS2, des responsabilités spécifiques sont applicables telles que :
- l'intégration et la mise en œuvre d'une gestion proactive des risques pour la sécurité des réseaux et de l'information,
- la responsabilité personnelle pour négligence,
- une collaboration étroite entre les managers et l'ensemble du Conseil d'administration pour veiller à ce que les engagements soient mis en œuvre et respectés.
Comment Telenet Business peut vous aider ?
Vous souhaitez accompagner de manière optimale votre équipe dans le cadre de NIS2 ? Nos experts se feront un plaisir de vous aider.