Wie is aansprakelijk onder NIS2?

Bestuurders van zowel essentiële als belangrijke entiteiten zijn onder NIS2 persoonlijk aansprakelijk voor de naleving van cybersecuritymaatregelen binnen hun organisatie.

Wat zijn de boetes bij niet-naleving van NIS2?

Bij niet-naleving kunnen boetes worden opgelegd, activiteiten worden stopgezet of bestuurders tijdelijk worden geschorst. Ook kan uw organisatie publiekelijk genoemd worden als niet-conform.

Welke maatregelen moeten bestuurders nemen?

Bestuurders moeten risicobeheersmaatregelen goedkeuren, toezicht houden op implementatie en deelnemen aan verplichte cybersecuritytrainingen.

Responsabilité des dirigeants au titre de la NIS2 : ce que vous devez savoir

Depuis fin 2024, la directive NIS2 (Network and Information Security 2) est entrée en vigueur. Cette directive européenne impose des exigences plus strictes en matière de cybersécurité et introduit un changement majeur : si l’entité ne respecte pas ses obligations en matière de mesures de gestion des risques, l’organe directeur est responsable.

Qu’est-ce que la responsabilité NIS2 ?
#

La directive NIS2 élargit les responsabilités des organisations en matière de cybersécurité. L’une des évolutions les plus marquantes est l’introduction d’une responsabilité NIS2 formelle des dirigeants. Ceux-ci doivent exercer une surveillance active de la conformité et sont responsables de :

l’approbation des mesures de gestion des risques (article 18)
la supervision de la mise en œuvre de la cybersécurité
la conformité globale de l’organisation à la directive

Cela signifie que les dirigeants assument non seulement une responsabilité stratégique, mais également opérationnelle en matière de résilience numérique de leur organisation.

Formation en cybersécurité pour les dirigeants #

En tant que membre d’un organe directeur, vous êtes tenu de suivre une formation afin de garantir que vos connaissances et vos compétences sont suffisantes pour identifier les risques de cybersécurité. Vous devez également être capable d’évaluer les mesures de gestion de ces risques et leur impact sur les services fournis par votre organisation.

Les dirigeants doivent pouvoir démontrer une compréhension suffisante de :

des cyberrisques et menaces ;
de l’impact des incidents de sécurité sur les activités de l’organisation ;
de la mise en œuvre et de l’évaluation de mesures de sécurité appropriées.

À cette fin, des formations spécifiques en cybersécurité, adaptées au rôle des dirigeants, sont recommandées.

Contrôle et sanctions dans le cadre de la NIS2 #

En Belgique, le Centre pour la cybersécurité belgique (CCB) supervise les organisations relevant de la NIS2. Pour les entités essentielles et importantes, cela signifie qu’elles doivent régulièrement démontrer que leur cybersécurité est adéquate.

Une organisation peut choisir parmi les trois méthodes suivantes :

Une certification (niveau Essential) ou une vérification (niveau Important ou Basic) réalisée par un organisme accrédité par BELAC et agréé par le CCB ;
Une certification ISO/IEC 27001 délivrée par un organisme de certification accrédité et acceptée par le CCB ;
Une inspection réalisée par le service d’inspection du CCB ou un service d’inspection sectoriel.

En cas de non-respect des obligations NIS2, l’autorité de surveillance peut prendre des mesures strictes. Les inspecteurs sont autorisés à visiter les locaux, à consigner leurs constatations et à engager des poursuites judiciaires sur la base de ces constatations. La sévérité de la sanction dépend de la gravité de l’infraction et de la présence ou non d’une récidive.

Les sanctions suivantes peuvent notamment être appliquées :

Avertissements ou injonctions contraignantes ;
Suspension (temporaire) des dirigeants ou nomination d’un commissaire aux comptes ;
Amendes – allant de quelques centaines à plusieurs millions d’euros, selon le caractère essentiel ou important de l’entité et son chiffre d’affaires ;
Diagnostic obligatoire des infractions ou notification aux clients ;
Adaptation, voire cessation temporaire d’activité.

Pourquoi la NIS2 est-elle si importante pour les dirigeants ? #

Les cybermenaces augmentent en intensité et en complexité. La NIS2 oblige les organisations et leurs dirigeants à mener une politique active en matière de sécurité numérique. Les conséquences juridiques et financières de la non-conformité sont considérables.

En investissant dès à présent dans la gestion des risques, la formation et la certification, les dirigeants peuvent préparer leur organisation aux obligations à venir et limiter leur responsabilité personnelle.

Foire aux questions #

Qui est responsable au titre de la NIS2 ? #

Les dirigeants des entités essentielles et importantes sont personnellement responsables, au titre de la NIS2, du respect des mesures de cybersécurité au sein de leur organisation.

Quelles sont les sanctions en cas de non-respect de la NIS2 ? #

En cas de non-conformité, des amendes peuvent être infligées, des activités peuvent être suspendues et des dirigeants peuvent être temporairement écartés. L’organisation peut également être mentionnée publiquement comme non conforme.

Quelles mesures les dirigeants doivent-ils prendre ? #

Les dirigeants doivent approuver les mesures de gestion des risques, superviser leur mise en œuvre et participer à des formations en cybersécurité adaptées à leur rôle.