Mon entreprise

Directive NIS2 : Cybersécurité dans l'Artisanat 

Directive NIS2 : Cybersécurité dans l'Artisanat 

La directive européenne 2022/2555 (NIS2) fixe des normes minimales en matière de cybersécurité à l'échelle européenne. Alors que la Belgique a déjà transposé la directive en droit national, un projet de loi est en cours au Luxembourg avec une adoption attendue d’ici fin 2025. 


La directive NIS2 impose à des entreprises relevant de 18 secteurs dits critiques des mesures de sécurité obligatoires et des obligations de notification. Les entreprises concernées sont en principe celles qui emploient au moins 50 personnes ou qui réalisent un chiffre d'affaires annuel d'au moins 10 millions d’euros. En fonction de leur secteur d’activité et de leur taille, ces établissements sont classés comme entités essentielles (annexe I) ou importantes (annexe II). Les premières sont soumises à des exigences de surveillance plus strictes, notamment une obligation de notification à l'autorité compétente des mesures de sécurité mises en œuvre. En revanche, les entités importantes ne font l'objet d'un contrôle qu'en cas de soupçon ou d'incident grave. 

Image

Les deux types d'entités sont tenus de mettre en place des mesures techniques, organisationnelles et opérationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information, ainsi que pour éliminer ou réduire les conséquences des incidents. Les entreprises artisanales peuvent être considérées comme des entités importantes si elles atteignent la taille moyenne et sont actives dans les secteurs critiques de la directive NIS2. Même les entreprises non directement couvertes par NIS2 peuvent être concernées, par exemple en tant que fournisseurs ou prestataires de services pour des entités soumises à NIS2. Ces dernières peuvent exiger le respect de certaines exigences de cybersécurité tout au long de la chaîne d’approvisionnement. 

Exemples d’entreprises artisanales potentiellement concernées 

Secteur 

Entreprises 

Entité essentielle NIS2 

Entité importante NIS2 

Fabrication de machines et équipements n.c.a. Construction de véhicules1 

Carrossiers, ateliers de construction métallique 

A partir d'une taille d'entreprise moyenne 

Fabrication d'équipements électriques2 

Électricien (si activité de fabrication) 

A partir d'une taille d'entreprise moyenne 

Gestion des services TIC (Business to Business) 

Cloud-Computing 

Électricien 

Installateur d'équipements électroniques 

Grandes entreprises 

A partir d'une taille d'entreprise moyenne 

Gestion des déchets (si activité économique principale) 

Recycleur d'équipements électriques et électroniques 

A partir d'une taille d'entreprise moyenne 

Fabrication et distribution de produits chimiques (REACH) 

Peintres, magasins de bricolage 

A partir d'une taille d'entreprise moyenne 

Transformation, production et distribution de denrées alimentaires3 

Boulangeries industrielles, boucheries 

A partir d'une taille d'entreprise moyenne 

Prestataires de soins de santé4 

Opticiens, orthopédistes 

Grandes entreprises 

A partir d'une taille d'entreprise moyenne 

Fabrication de dispositifs médicaux 

Laboratoires dentaire, mécanicien de matériel médico-chirurgical (si activité de fabrication) 

A partir d'une taille d'entreprise moyenne 

Que faut-il faire ? 

Dans un premier temps, les entreprises doivent vérifier si elles relèvent directement de la directive NIS 2 et, le cas échéant, se déclarer auprès de l'autorité compétente. Pour les entreprises artisanales, cette autorité est généralement l’Institut luxembourgeois de régulation (ILR). Les entités essentielles et importantes doivent mettre en œuvre les dix mesures de gestion des risques en matière de cybersécurité prévues à l’article 21 de la directive NIS2. Celles-ci peuvent être réparties en quatre groupes : 5 

Aperçu des dix mesures de gestions des risques en matière de cybersécurité 

Image

En fonction du niveau de compétence interne en matière de systèmes d'information, de cybersécurité ou de connaissance des mesures de gestion des risques liées à la directive NIS2, il peut être judicieux de faire appel à des consultants externes spécialisés dans ce domaine. 

Soutien aux PME 

Le programme SME Packages - Cybersecurity offre aux petites et moyennes entreprises un soutien ciblé pour la mise en œuvre de la cybersécurité dans l'entreprise. 

Contactez le service eHandwierk de la Chambre des Métiers pour participer au programme ou pour obtenir des conseils : 

Plus d'informations 

https://services.cdm.lu/gestion-entreprise/nis2  

https://www.ilr.lu/secteurs-activites/niss/nis-2/ 

Contacts

eHandwierk

(+352) 42 67 67 - 505
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Maurice Muller

+352 426767282
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.