La directive européenne NIS2 ambitionne de rendre l’Europe plus agile. La première échéance cruciale est proche.
En fonction du secteur concerné, les entreprises devront prochainement prendre d’importantes mesures afin d’adapter la gestion de leur sécurité de même que d’implémenter les contrôles techniques. Sans surprise, la directive européenne NIS2 (Network & Information Security) est un volumineux document. Cela étant, les entreprises n’y trouvent aucune réponse factuelle. « La voie à suivre pour respecter ces mesures n’est pas clairement décrite », explique Christophe Hohl, conseiller technique auprès du prestataire de services Cyber Security Management.
Or la date du 17 octobre 2024 apparaît comme cruciale. À cette échéance en effet, notre pays aura, tout comme l’ensemble des États-membres, traduit la directive NIS2 dans la législation nationale.
« Le vote à la Chambre devra intervenir durant la présente législature encore », dixit Hohl. En attendant, c’est le flou total sur les implications de l’implémentation concrète pour les entreprises. Reste que les domaines d’impact de NIS2 apparaissent comme de plus en plus précis.
Rayon d’action plus large
NIS2 traduit une actualisation bien nécessaire de la directive NIS1 de 2016. « Le domaine de la cybersécurité a fortement évolué ces dernières années, fait remarquer Christophe Hohl, tout comme le paysage de la menace d’ailleurs. » En outre, NIS1 n’était pas particulièrement précis sur le domaine d’application et les compétences. « Il n’y avait pas d’implémentation cohérente au sein des États-membres, ce qui induisait des problèmes de concurrence. » Or ceux-ci allaient à l’encontre de l’idée fondamentale d’un marché interne européen uniforme et menaçaient de déboucher sur une Europe à deux vitesses.
C’est pourquoi la Commission européenne a étendu le champ d’application de la directive à un plus grand nombre de secteurs et d’entités. Désormais, une distinction est opérée entre les entités essentielles et importantes. La différence se base sur les effectifs et le chiffre d’affaires. Autre critère déterminant : savoir si l’entreprise est active dans l’un des onze secteurs considérés comme critiques pour l’économie et la communauté. C’est surtout cette dernière distinction qui est déterminante.
Tache d’huile
L’impact plus étendu de NIS2 signifie qu’un nombre bien plus important d’entreprises sera visé par la nouvelle directive et que les entités essentielles actives dans les secteurs critiques verront débarquer des auditeurs. En Belgique, il s’agirait selon Cyber Security Management d’au moins 600 entreprises environ. Mais celles-ci ne sont pas les seules concernées puisque l’ensemble de leur chaîne d’approvisionnement est sur la sellette. « De ce fait, NIS2 touchera un plus grand d’entreprises que ce qui était imaginé à première vue. » Les estimations relatives à notre pays tablent facilement sur plusieurs milliers d’organisations. « En outre, les entités essentielles seront également responsables des risques de sécurité sur l’ensemble de la chaîne. » En l’occurrence, les prestataires de services IT représenteront une part importante de ces organisations.
Investir et sensibiliser
Selon ENISA, l’agence de l’Union Européenne pour la Cybersécurité, 83% des organisations européennes entrevoient un impact positif de la directive NIS2 sur la gestion de leur sécurité IT. Il n’empêche que des investissements seront également nécessaires. Ainsi, à peine 12% des organisations concernées par la directive NIS1 ont prévu pour cette année une hausse de leur budget IT. Et pour celles qui n’étaient pas concernées par NIS1, ce taux était de 22%.
« 2024 est l’année où la cybersécurité doit être la priorité absolue à l’agenda du comité de direction », estime encore Christophe Hohl. D’ici octobre 2024, la directive NIS2 doit être traduite en droit belge, ce qui marquera concrètement le début des travaux. Car avril 2026 est la date butoir à laquelle les entreprises et organisations devront avoir implémenté leurs mesures dans le cadre de NIS2. Et pour avril 2027, l’ensemble des audits devront avoir été réalisés chez les acteurs essentiels.
