Directive NIS2 : Cybersécurité dans l'Artisanat 

La directive NIS2 impose à des entreprises relevant de 18 secteurs dits critiques des mesures de sécurité obligatoires et des obligations de notification. Les entreprises concernées sont en principe celles qui emploient au moins 50 personnes ou qui réalisent un chiffre d'affaires annuel d'au moins 10 millions d’euros. En fonction de leur secteur d’activité et de leur taille, ces établissements sont classés comme entités essentielles (annexe I) ou importantes (annexe II). Les premières sont soumises à des exigences de surveillance plus strictes, notamment une obligation de notification à l'autorité compétente des mesures de sécurité mises en œuvre. En revanche, les entités importantes ne font l'objet d'un contrôle qu'en cas de soupçon ou d'incident grave. 

Les deux types d'entités sont tenus de mettre en place des mesures techniques, organisationnelles et opérationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information, ainsi que pour éliminer ou réduire les conséquences des incidents. Les entreprises artisanales peuvent être considérées comme des entités importantes si elles atteignent la taille moyenne et sont actives dans les secteurs critiques de la directive NIS2. Même les entreprises non directement couvertes par NIS2 peuvent être concernées, par exemple en tant que fournisseurs ou prestataires de services pour des entités soumises à NIS2. Ces dernières peuvent exiger le respect de certaines exigences de cybersécurité tout au long de la chaîne d’approvisionnement. 

Exemples d’entreprises artisanales potentiellement concernées 

Que faut-il faire ? 

Dans un premier temps, les entreprises doivent vérifier si elles relèvent directement de la directive NIS 2 et, le cas échéant, se déclarer auprès de l'autorité compétente. Pour les entreprises artisanales, cette autorité est généralement l’Institut luxembourgeois de régulation (ILR). Les entités essentielles et importantes doivent mettre en œuvre les dix mesures de gestion des risques en matière de cybersécurité prévues à l’article 21 de la directive NIS2. Celles-ci peuvent être réparties en quatre groupes : [5]

Aperçu des dix mesures de gestions des risques en matière de cybersécurité 

En fonction du niveau de compétence interne en matière de systèmes d'information, de cybersécurité ou de connaissance des mesures de gestion des risques liées à la directive NIS2, il peut être judicieux de faire appel à des consultants externes spécialisés dans ce domaine. 

Soutien aux PME 

Le programme SME Packages - Cybersecurity offre aux petites et moyennes entreprises un soutien ciblé pour la mise en œuvre de la cybersécurité dans l'entreprise. 

Contactez le service eHandwierk de la Chambre des Métiers pour participer au programme ou pour obtenir des conseils : 

Plus d'informations 

https://services.cdm.lu/gestion-entreprise/nis2  

https://www.ilr.lu/secteurs-activites/niss/nis-2/ 

[1] NACE Rév. 2, section C, div. 28, div. 29, div. 30

[2] NACE Rév. 2, section C, division 27

[3] Entreprises du secteur alimentaire qui exercent des activités de distribution en gros ainsi que de production et de transformation industrielles, par exemple les boulangeries et les boucheries, à partir d'une taille moyenne, qui vendent des denrées alimentaires aux supermarchés.

[4] Au sens de l'article 2, lettre e) de la loi modifiée du 24 juillet 2014 relative aux droits et obligations du patient.

[5] Répartition en quatre groupes d'après « Fraunhofer IESE ». Source : https://www.iese.fraunhofer.de/blog/nis-2-richtlinie-zusammenfassung-umsetzung-deutschland/

Contacts