Mon entreprise

Directive NIS2 : Cybersécurité dans l'Artisanat 

Directive NIS2 : Cybersécurité dans l'Artisanat 

La directive européenne 2022/2555 (NIS2) fixe des normes minimales en matière de cybersécurité à l'échelle européenne. Alors que la Belgique a déjà transposé la directive en droit national, un projet de loi est en cours au Luxembourg avec une adoption attendue d’ici fin 2025. 


La directive NIS2 impose à des entreprises relevant de 18 secteurs dits critiques des mesures de sécurité obligatoires et des obligations de notification. Les entreprises concernées sont en principe celles qui emploient au moins 50 personnes ou qui réalisent un chiffre d'affaires annuel d'au moins 10 millions d’euros. En fonction de leur secteur d’activité et de leur taille, ces établissements sont classés comme entités essentielles (annexe I) ou importantes (annexe II). Les premières sont soumises à des exigences de surveillance plus strictes, notamment une obligation de notification à l'autorité compétente des mesures de sécurité mises en œuvre. En revanche, les entités importantes ne font l'objet d'un contrôle qu'en cas de soupçon ou d'incident grave. 

Image

Les deux types d'entités sont tenus de mettre en place des mesures techniques, organisationnelles et opérationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information, ainsi que pour éliminer ou réduire les conséquences des incidents. Les entreprises artisanales peuvent être considérées comme des entités importantes si elles atteignent la taille moyenne et sont actives dans les secteurs critiques de la directive NIS2. Même les entreprises non directement couvertes par NIS2 peuvent être concernées, par exemple en tant que fournisseurs ou prestataires de services pour des entités soumises à NIS2. Ces dernières peuvent exiger le respect de certaines exigences de cybersécurité tout au long de la chaîne d’approvisionnement. 

Exemples d’entreprises artisanales potentiellement concernées 

Secteur

Entreprises

Entité essentielle NIS2

Entité importante NIS2

Fabrication de machines et équipements n.c.a. Construction de véhicules[1]

Carrossiers, ateliers de construction métallique

 

A partir d'une taille d'entreprise moyenne

Fabrication d'équipements électriques[2]

Électricien (si activité de fabrication)

 

A partir d'une taille d'entreprise moyenne

Gestion des services TIC (Business to Business)

Cloud-Computing

Électricien

Installateur d'équipements électroniques

Grandes entreprises

A partir d'une taille d'entreprise moyenne

Gestion des déchets (si activité économique principale)

Recycleur d'équipements électriques et électroniques

 

A partir d'une taille d'entreprise moyenne

Fabrication et distribution de produits chimiques (REACH)

Peintres, magasins de bricolage

 

A partir d'une taille d'entreprise moyenne

Transformation, production et distribution de denrées alimentaires[3]

Boulangeries industrielles, boucheries

 

A partir d'une taille d'entreprise moyenne

Prestataires de soins de santé[4]

Opticiens, orthopédistes

Grandes entreprises

A partir d'une taille d'entreprise moyenne

Fabrication de dispositifs médicaux

Laboratoires dentaire, mécanicien de matériel médico-chirurgical (si activité de fabrication)

 

A partir d'une taille d'entreprise moyenne

Que faut-il faire ? 

Dans un premier temps, les entreprises doivent vérifier si elles relèvent directement de la directive NIS 2 et, le cas échéant, se déclarer auprès de l'autorité compétente. Pour les entreprises artisanales, cette autorité est généralement l’Institut luxembourgeois de régulation (ILR). Les entités essentielles et importantes doivent mettre en œuvre les dix mesures de gestion des risques en matière de cybersécurité prévues à l’article 21 de la directive NIS2. Celles-ci peuvent être réparties en quatre groupes : [5]

Aperçu des dix mesures de gestions des risques en matière de cybersécurité 

Image

En fonction du niveau de compétence interne en matière de systèmes d'information, de cybersécurité ou de connaissance des mesures de gestion des risques liées à la directive NIS2, il peut être judicieux de faire appel à des consultants externes spécialisés dans ce domaine. 

Soutien aux PME 

Le programme SME Packages - Cybersecurity offre aux petites et moyennes entreprises un soutien ciblé pour la mise en œuvre de la cybersécurité dans l'entreprise. 

Contactez le service eHandwierk de la Chambre des Métiers pour participer au programme ou pour obtenir des conseils : 

Plus d'informations 

https://services.cdm.lu/gestion-entreprise/nis2  

https://www.ilr.lu/secteurs-activites/niss/nis-2/ 


[1] NACE Rév. 2, section C, div. 28, div. 29, div. 30

[2] NACE Rév. 2, section C, division 27

[3] Entreprises du secteur alimentaire qui exercent des activités de distribution en gros ainsi que de production et de transformation industrielles, par exemple les boulangeries et les boucheries, à partir d'une taille moyenne, qui vendent des denrées alimentaires aux supermarchés.

[4] Au sens de l'article 2, lettre e) de la loi modifiée du 24 juillet 2014 relative aux droits et obligations du patient.

[5] Répartition en quatre groupes d'après « Fraunhofer IESE ». Source : https://www.iese.fraunhofer.de/blog/nis-2-richtlinie-zusammenfassung-umsetzung-deutschland/

Contacts

eHandwierk

(+352) 42 67 67 - 505
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Maurice Muller

+352 426767282
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.