Le Parlement européen a finalement atteint une version finale du texte législatif pour les directives NIS 2. Davantage d’entreprises seront désormais classées dans la catégorie des « infrastructures critiques ».
Cela a pris un bon moment, mais le 14 décembre, le Parlement européen et le Conseil de l’Union européenne ont publié le règlement NIS 2. Le Parlement a déjà présenté une proposition fin 2020 pour mettre à jour le cadre actuel du NIS datant de 2016. Au final, il a donc fallu deux ans pour que les États membres parviennent à un accord sur ce point et mettent le texte juridique sur papier.
La directive NIS (Network and Information Systems) a été le premier pas vers une stratégie commune de cybersécurité au niveau européen. Elle exige notamment que les États membres européens élaborent un plan de défense national et impose des règles de cybersécurité plus strictes aux entreprises des « infrastructures critiques ». En 2016, cette liste comprenait sept secteurs : l’énergie, les transports, les banques, les marchés financiers, les soins de santé, l’eau potable et les infrastructures numériques (cloud et moteurs de recherche).
Élargir le champ d’action
L’Union européenne a conclu que le champ d’action du NIS était trop étroit. Les nouvelles directives ajoutent de nouveaux secteurs à la liste des infrastructures critiques, notamment les entreprises de télécommunications et de communication, les services postaux et les producteurs de produits alimentaires. Ils doivent élaborer et tester en permanence un plan de cybersécurité et signaler les incidents dans leur sécurité dans les 24 à 72 heures.
Outre les infrastructures critiques, le règlement NIS 2 insère également la catégorie des « entreprises importantes ». Les normes sont légèrement moins strictes pour les entreprises de cette catégorie, mais elles doivent respecter l’obligation de déclaration. NIS 2 comprend également des directives plus strictes sur le traitement des violations de données, la gestion des risques et l’utilisation du chiffrement.
Durée de 21 mois
L’ordonnance NIS 2 entrera en vigueur 20 jours après sa publication. Ensuite, l’Union européenne donnera la parole aux États membres qui devront transposer les directives dans leur législation nationale. Ils auront 21 mois pour le faire.
Ainsi, d’ici à la fin de l’année 2024, nous pouvons nous attendre à une nouvelle loi sur le NIS 2 belge. Le CCB prévoit que les obligations ne pourront, en réalité, entrer en vigueur pour les entreprises qu’à partir de 2025. Cependant, jusqu’à ce qu’il y ait une nouvelle loi, les règles de la loi actuelle sur les NIS (qui est entrée en vigueur le 7 avril 2019) continueront de s’appliquer.
L’organisme belge de cybersécurité conseille aux entreprises d’investir dans leur sécurité numérique et de ne pas attendre passivement que l’obligation légale entre en vigueur. Le gouvernement fédéral a déjà annoncé en mai 2021 une nouvelle approche nationale qui devrait également être mise en œuvre d’ici à 2025.