La directive européenne 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (« directive SRI2 ») est entrée en vigueur le 16 janvier 2023. La directive SRI2 s'appuie sur la précédente directive SRI1 (2016/1148/UE) afin de fournir un cadre européen pour les mesures de gestion des risques de cybersécurité. La directive SRI2 élargit considérablement le champ d'application de la directive SRI1, notamment en élargissant les catégories de secteurs et d'activités qui seront soumis aux obligations en matière de cybersécurité, en imposant de nouvelles mesures de gestion des risques de cybersécurité et des obligations de notification des incidents, en renforçant la coopération entre les États membres et en adoptant un système de surveillance et d'application plus strict.
Dans deux précédents Flashs d’Eubelius, nous vous avons informé de la publication de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et de l'arrêté royal du 12 juillet 2019 qui précisait l'application de certaines règles. La loi et l'arrêté royal ont transposé la directive SRI1 dans la législation belge et ont introduit une obligation de notification des cyberincidents aux opérateurs de services essentiels, tels que le secteur de l'énergie, de la santé ou du transport, mais aussi à des opérateurs de services digitaux. La directive SRI2 étends cette obligation et introduit plusieurs autres changements importants par rapport à la directive SRI1.
Les États membres ont jusqu'au 17 octobre 2024 pour transposer la directive SRI2 dans leurs législations nationales respectives. Les États membres doivent adopter et publier les mesures nécessaires pour se conformer à la directive SRI2 et en informer immédiatement la Commission. Les États membres doivent appliquer ces mesures à partir du 18 octobre 2024. Ils doivent en outre établir une liste d’entités essentielles et importantes au plus tard le 17 avril 2025 et doivent réexaminer et mettre à jour cette liste régulièrement et au moins tous les deux ans.
Des cyberincidents se produisent tous les jours. Investir dans une bonne cybersécurité et un bon suivi s'avère payant. Eubelius sera heureux de vous aider en matière de conseils, d'élaboration de politiques de sécurité, de formation de votre personnel, d'audits, de préparation et d'intervention face aux cyberincidents.
Vous souhaitez en savoir plus sur la directive NIS2 ? Pour nos clients, nous avons publié un article plus approfondi sur notre Client Zone.
