Le 18 octobre 2024 marque un tournant crucial pour la cybersécurité en Belgique avec la mise en œuvre de la du 26 avril 2024, aussi connue sous le nom de Loi NIS 2. Transposant la directive européenne du même nom, cette loi impose des normes de cybersécurité renforcées par rapport à sa prédécesseuse. Les entreprises des secteurs visés devront se conformer à des mesures strictes pour garantir la sécurité de leurs systèmes d’information.
Êtes-vous concerné ?
Vous êtes soumis aux obligations de la NIS 2 si :
- Vous faites partie des secteurs mentionnés dans les annexes I et II de la Loi.
- Vous êtes une grande ou moyenne entreprise. La taille de votre entreprise joue un rôle déterminant pour identifier les entités essentielles des entités importantes.
Cependant, quelle que soit votre taille, vous pouvez potentiellement être identifiée comme telles par les autorités, si vous êtes considéré comme critique.
Si vous n’êtes pas directement concerné, soyez vigilant ! Vous pourriez faire partie de la chaîne d’approvisionnement d’une entreprise soumise à ces règles. Dans ce cas, il est conseillé de vous conformer au minimum aux normes de cybersécurité de base.
Ce que vous devez faire si NIS 2 s’applique à vous :
- Enregistrement : Inscrivez-vous rapidement sur SafeOnWeb pour déclarer votre conformité.
- Déterminez les mesures de cybersécurité adéquates : évaluez le niveau de risques que pourrait rencontrer votre entité, en fonction de son secteur, de sa taille et de l’impact qu’une cyberattaque pourrait causer.
- Notifiez les incidents : tout incident majeur devra être signalé à partir du 18 octobre auprès du CCB.
- Formez votre personnel et votre direction à la cybersécurité
- Rendez votre entité conforme : obtenez les certifications CyberFundamentals ou ISO 27001 au plus tôt.
Les deadlines à ne pas manquer
- 18 octobre 2024 : Mise en vigueur de la loi — début de l’obligation de notification d’incident
- 18 décembre 2024 : Les entités des secteurs numériques doivent s’enregistrer sur SafeOnweb@work
- 18 mars 2025 : Toutes les autres entités sous NIS 2 doivent s’y être enregistrées.
- 18 avril 2026 : Vous devez avoir réalisé votre première évaluation obligatoire.
- 18 avril 2027 : Les entités essentielles devront avoir obtenu la certification CyberFundamentals ou ISO 27001.
Les sanctions pour non-conformité peuvent atteindre 10 millions d’euros ou 2 % de votre chiffre d’affaires annuel, en plus d’autres mesures administratives.
Notre conseil :
Il est impératif de prendre les mesures de mise en conformité nécessaires dès maintenant. En plus de sécuriser vos systèmes, cela vous permettra de démontrer votre engagement à respecter les nouvelles obligations légales. Enfin, assurez-vous que votre équipe de direction ait suivi une formation sur la cybersécurité, car leur responsabilité pourrait être directement engagée.