Sécurité informatique

NIS2 – Qu’est-ce que c’est et comment Office-IT peut vous aider?

La Commission européenne a franchi une étape importante avec la directive NIS2 pour renforcer la sécurité numérique en Europe. Mais que signifie-t-elle exactement pour votre entreprise?

Dans cet article, nous expliquons ce que contient la directive NIS2, les secteurs concernés, les mesures à prendre et comment Office-IT peut vous accompagner dans cette mise en conformité.

IT oplossingen voor jouw bedrijf

Vous souhaitez en savoir plus sur la façon dont Office-IT peut vous aider à être conforme à la NIS2?

Contactez-nous dès aujourd’hui pour une discussion sans engagement. Nos experts sont prêts à vous aider à garantir la continuité et la sécurité de vos activités.

Contactez nos experts sans engagement

Qu’est-ce que la NIS2?

La directive NIS2 est la version révisée de la directive NIS1 et actualise le cadre juridique européen en matière de cybersécurité.

L’objectif de la Commission européenne est de faire de la cybersécurité un pilier essentiel de la gestion d’entreprise dans les secteurs critiques, afin de mieux protéger les activités sociétales et économiques au sein de l’Union européenne contre les risques cyber.

Quelles entreprises sont concernées par la directive NIS2?

Pour savoir si la directive NIS2 s’applique à votre entreprise, il faut examiner son activité et sa taille.

Activité de l’entreprise

Les services couverts par la directive NIS2 sont énumérés dans les annexes I et II.

Annexe I : secteurs hautement critiques

  • Énergie
  • Transports
  • Banques
  • Infrastructures des marchés financiers
  • Industrie spatiale
  • Santé
  • Distribution d’eau potable
  • Traitement des eaux usées
  • Infrastructure numérique
  • Gestion des services TIC (B2B)
  • Administration publique

Annexe II : secteurs critiques

  • Services postaux et de messagerie
  • Production, transformation et distribution de denrées alimentaires
  • Fabrication, production et distribution de produits chimiques
  • Fabrication de
    • Dispositifs médicaux
    • Produits informatiques, électroniques et optiques
    • Équipements électriques
    • Machines et appareils non mentionnés ailleurs
    • Autres moyens de transport
  • Fournisseurs de services numériques
  • Gestion des déchets
  • Recherche
Taille de l’entreprise

La NIS2 s’applique uniquement aux entreprises considérées comme moyennes ou grandes, selon la recommandation 2003/361/CE de la Commission.

En résumé, une entreprise moyenne compte plus de 50 employés ou moins de 50 employés avec un chiffre d’affaires et un total de bilan supérieurs à 10 millions d’euros. Une grande entreprise compte plus de 250 employés ou moins de 250 employés avec un chiffre d’affaires supérieur à 50 millions d’euros et un total de bilan supérieur à 43 millions d’euros.

Certains types d’entreprises sont toujours soumis à la NIS2, quelle que soit leur taille:

  • Fournisseurs de services de confiance qualifiés (essentiels)
  • Fournisseurs de services de confiance non qualifiés (importants ou essentiels selon la taille)
  • Fournisseurs de services DNS (essentiels)
  • Registres de domaines TLD (essentiels)
  • Services d’enregistrement de noms de domaine (pour l’obligation d’enregistrement)
  • Fournisseurs de réseaux publics de communications électroniques (essentiels)
  • Fournisseurs de services publics de communications électroniques (essentiels)
  • Exploitants d’infrastructures critiques conformément à la loi du 1er juillet 2011 sur la sécurité des infrastructures critiques (essentiels)
  • Administrations publiques dépendant de l’État fédéral (essentielles)

Essentiels et importants

En combinant les critères d’activité et de taille, on détermine si une organisation est considérée comme « importante » ou « essentielle ».
Cette distinction influence principalement le niveau de contrôle et de sanction appliqué. (plus loin).

Les grandes entreprises opérant dans les secteurs de l’annexe I sont considérées comme « essentielles ».
Les autres entreprises sont qualifiées « d’importantes ».

Obligations dans le cadre de la NIS2

Obligation d’enregistrement

Si votre entreprise relève du champ d’application de la NIS2 en Belgique, elle doit être enregistrée auprès du Centre pour la cybersécurité Belgique (CCB).

Mesures de cybersécurité

Pour se conformer à la NIS2, les entreprises doivent mettre en place différentes mesures de sécurité numérique adaptées à leur situation spécifique.

Ces mesures comprennent notamment :

  • Sensibilisation: assurez-vous que vos collaborateurs sont constamment informés des menaces et bonnes pratiques en matière de cybersécurité, grâce à des campagnes, simulations d’attaques et formations régulières.
  • Analyse des risques: identifiez les menaces pesant sur vos processus, produits, services et données, et surveillez-les régulièrement.
  • Protection des données: mettez en œuvre des mesures telles que le chiffrement, la minimisation des données et la gestion stricte des accès pour garantir leur intégrité et leur sécurité.
  • Gestion des incidents: définissez des procédures claires pour signaler et traiter les incidents. Soyez prêts à réagir rapidement à une cyberattaque et à en limiter l’impact sur vos activités.
  • Sécurisation des systèmes: implémentez l’authentification multi-facteur (MFA), la sécurité des terminaux et d’autres mesures essentielles pour prévenir tout accès non autorisé.
  • Plan de continuité d’activité et reprise après sinistre Cela comprend notamment la gestion des sauvegardes et la garantie de la continuité de vos services en cas d’incident.
Obligation de notification

Les entités essentielles et importantes doivent notifier au CCB tout incident majeur ayant un impact sur la fourniture de leurs services dans les secteurs critiques.

Responsabilités de la direction

L’organe de direction est responsable en cas de non-respect de la directive NIS2. Il doit approuver les mesures nécessaires, en superviser l’application et suivre une formation pour identifier les risques de cybersécurité et évaluer leur impact sur les services de l’entreprise.

Contrôles et sanctions

Les entités essentielles font l’objet de contrôles proactifs et réactifs. Les entités importantes ne sont contrôlées que de manière réactive, c’est-à-dire après un incident majeur ou en cas de non-conformité présumée.

En cas de non-respect, le CCB peut imposer des mesures administratives, allant de l’avertissement à l’amende.
Les circonstances et les récidives seront toujours prises en compte.

Comment Office-IT peut vous aider?

La directive NIS2 implique des obligations complexes, mais Office-IT est là pour vous accompagner. Nous vous aidons à répondre à toutes les exigences, de l’analyse à la mise en œuvre des mesures nécessaires.

  • Analyse: nous commençons par une évaluation approfondie de votre situation actuelle à l’aide d’une checklist NIS2, afin d’identifier les risques potentiels au sein de votre organisation.
  • Conseil: sur base de nos constats, nous vous proposons des recommandations ciblées pour renforcer la sécurité et la conformité de votre infrastructure IT. Ces conseils sont adaptés à votre entreprise et à votre secteur.
  • Mise en œuvre: grâce à notre expertise et à la large gamme de produits et services que nous offrons, nous vous accompagnons dans la mise en place des mesures nécessaires. Qu’il s’agisse de solutions techniques comme la MFA, la sécurité des terminaux ou la gestion des sauvegardes, de la surveillance complète de votre infrastructure IT, ou de mesures organisationnelles comme les formations de sensibilisation avec Phished, nous sommes à vos côtés.

Pourquoi agir maintenant?

La NIS2 n’est pas une option, mais une obligation pour de nombreuses entreprises. En agissant dès maintenant, vous vous assurez de respecter la législation, d’éviter les sanctions et de protéger efficacement votre entreprise contre les menaces cyber.

Même si votre entreprise ne relève pas directement de la directive NIS2, vous pouvez en ressentir les effets. Les fournisseurs travaillant avec des entreprises concernées devront également répondre à des exigences similaires. Ainsi, la NIS2 deviendra la nouvelle norme européenne en matière de cybersécurité.

Vous souhaitez en savoir plus sur la façon dont Office-IT peut vous aider à être conforme à la NIS2?
Contactez-nous dès aujourd’hui pour une discussion sans engagement. Nos experts sont prêts à vous aider à garantir la continuité et la sécurité de vos activités.

Vous cherchez un partenaire informatique pour votre PME?

Faites-nous savoir ce qui pourrait être amélioré dans votre organisation. Petite ou moyenne entreprise ? Nous sommes heureux d’examiner avec vous les solutions les plus appropriées et de vous proposer des formules standard ou personnalisées. À vous de choisir.

N'hésitez pas à nous contacter

“Honnêtement, nous n’avons pas examiné d’autres systèmes, car nous faisions confiance aux conseils d’Office-IT.
Lorsqu’ils sont venus avec une solution de sécurité, nous avons immédiatement adhéré à leur proposition.”

Garden Trade International