La NIS2 et la responsabilité des dirigeants
La directive NIS2 marque un tournant dans la législation européenne en matière de cybersécurité. En tant que dirigeant, vous devrez relever des défis qui modifieront, mais surtout affineront votre approche des risques liés à la cybersécurité.
En tant que dirigeant, vous êtes confronté à une nouvelle réalité à l’ère du numérique. La cybersécurité fait désormais partie intégrante de vos responsabilités de dirigeant. Les hackers sont en quelque sorte devenus les nouveaux terroristes, et l’Europe souhaite s’en protéger davantage et mieux, en particulier dans les secteurs critiques.
À l’approche de la date limite de mise en œuvre du 17 octobre 2024, la directive NIS2 étend le champ d’application à un plus grand nombre de secteurs que sa prédécesseur, la NIS1. Les secteurs nouvellement ajoutés comprennent la gestion des déchets, l’énergie, les transports, les activités bancaires, les soins de santé et les fournisseurs de services numériques.
En tant que dirigeant, vous êtes responsable de la rédaction d’une politique d’analyse des risques et de sécurité de vos systèmes informatiques. Vous devez donc déterminer quels sont les systèmes en place et où se situent les risques potentiels. En outre, il est tout aussi important de penser à la continuité des activités. Comment votre entreprise peut-elle continuer à fonctionner après une attaque ?
Les risques dont vous êtes responsable en tant qu’administrateur sont importants et peuvent être complexes. Voici quelques exemples :
Violations de données
Supposons que votre organisation soit confrontée à une fuite de données et que les données de vos clients soient exposées. Dans ce cas, vous pouvez être poursuivi en tant que dirigeant pour les dommages que cela peut entraîner, s’il peut être prouvé que vous n’avez pas pris les mesures nécessaires pour limiter ce risque.
Attaques de la chaîne d’approvisionnement
Si votre entreprise dépend d’une chaîne d’approvisionnement, une cyberattaque contre l’un de vos fournisseurs pourrait entraîner de graves perturbations dans vos propres activités. La NIS2 exige que vous preniez des mesures pour assurer la sécurité de votre chaîne d’approvisionnement. Cela signifie également que même les entreprises ou les institutions qui ne sont pas encore soumises à l’obligation de la NIS2 doivent être capables de contrôler leur cybersécurité. Peu importe que vous travailliez de la manière la plus sûre possible, si votre fournisseur ne s’engage pas au même niveau de sécurité, les risques restent présents.
Amendes pour non-conformité
Le non-respect de la directive NIS2 peut entraîner des amendes importantes. En tant que dirigeant, vous devez veiller à ce que votre organisation se conforme à la nouvelle réglementation afin d’éviter des sanctions financières.
La NIS2 met l’accent sur l’implication active des dirigeants dans la gestion des mesures de cybersécurité. Vous serez chargé d’approuver et de superviser la mise en œuvre des politiques relatives à l’analyse des risques, à la gestion des incidents, à la continuité des activités et à la sécurité de la chaîne d’approvisionnement.
Cependant, cette responsabilité accrue a également des conséquences importantes. En tant que dirigeant, vous pouvez être tenu personnellement responsable de tout manquement.
Dans un premier temps, il est bien sûr essentiel de protéger votre entreprise. La protection est toujours l’élément de base, sous le couvert de il vaut mieux prévenir que guérir. Par conséquent, se conformer à la directive NIS2 et faire (ou faire faire) tout ce qui est en votre pouvoir pour rendre votre entreprise plus sûre est une priorité absolue.
Toutefois, si un « remède » est nécessaire, c’est-à-dire s’il semble y avoir eu une intrusion qui peut être liée à une négligence ou à une faute en tant que dirigeant, votre assurance responsabilité du dirigeant (ou assurance Directors & Officers) joue alors un rôle important. Elle vous protège des conséquences financières des réclamations pouvant résulter de vos décisions et actions en tant que dirigeant. Un autre aspect important de cette assurance est la couverture des frais de défense en justice.
Vous souhaitez obtenir plus d’informations sur ce sujet ou consulter l’un des conseillers de Group Casier ? Veuillez dans ce cas contacter Sara Adam, Corporate Consultant chez Group Casier, à l’adresse suivante s.adam@casier.be.
NIS et NIS2
NIS signifie Network & Information Systems. En français, nous utilisons également le terme Sécurité des réseaux et des systèmes d’information (SRI). La directive européenne NIS fournit un cadre pour la sécurité des réseaux et des systèmes d’information présentant un intérêt pour la sécurité publique. En 2016, la première directive NIS a été publiée. La seconde deviendra une loi nationale en Belgique à partir du 17 octobre 2024 et exigera d’un plus grand nombre d’entreprises qu’elles se protègent davantage contre les cyberattaques.