La directive européenne 2022/2555 (NIS2) fixe des normes minimales en matière de cybersécurité à l'échelle européenne. Alors que la Belgique a déjà transposé la directive en droit national, un projet de loi est en cours au Luxembourg avec une adoption attendue d’ici fin 2025.
La directive NIS2 impose à des entreprises relevant de 18 secteurs dits critiques des mesures de sécurité obligatoires et des obligations de notification. Les entreprises concernées sont en principe celles qui emploient au moins 50 personnes ou qui réalisent un chiffre d'affaires annuel d'au moins 10 millions d’euros. En fonction de leur secteur d’activité et de leur taille, ces établissements sont classés comme entités essentielles (annexe I) ou importantes (annexe II). Les premières sont soumises à des exigences de surveillance plus strictes, notamment une obligation de notification à l'autorité compétente des mesures de sécurité mises en œuvre. En revanche, les entités importantes ne font l'objet d'un contrôle qu'en cas de soupçon ou d'incident grave.
Les deux types d'entités sont tenus de mettre en place des mesures techniques, organisationnelles et opérationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information, ainsi que pour éliminer ou réduire les conséquences des incidents. Les entreprises artisanales peuvent être considérées comme des entités importantes si elles atteignent la taille moyenne et sont actives dans les secteurs critiques de la directive NIS2. Même les entreprises non directement couvertes par NIS2 peuvent être concernées, par exemple en tant que fournisseurs ou prestataires de services pour des entités soumises à NIS2. Ces dernières peuvent exiger le respect de certaines exigences de cybersécurité tout au long de la chaîne d’approvisionnement.
Exemples d’entreprises artisanales potentiellement concernées
Secteur |
Entreprises |
Entité essentielle NIS2 |
Entité importante NIS2 |
Fabrication de machines et équipements n.c.a. Construction de véhicules1 |
Carrossiers, ateliers de construction métallique |
A partir d'une taille d'entreprise moyenne |
|
Fabrication d'équipements électriques2 |
Électricien (si activité de fabrication) |
A partir d'une taille d'entreprise moyenne |
|
Gestion des services TIC (Business to Business) Cloud-Computing |
Électricien Installateur d'équipements électroniques |
Grandes entreprises |
A partir d'une taille d'entreprise moyenne |
Gestion des déchets (si activité économique principale) |
Recycleur d'équipements électriques et électroniques |
A partir d'une taille d'entreprise moyenne |
|
Fabrication et distribution de produits chimiques (REACH) |
Peintres, magasins de bricolage |
A partir d'une taille d'entreprise moyenne |
|
Transformation, production et distribution de denrées alimentaires3 |
Boulangeries industrielles, boucheries |
A partir d'une taille d'entreprise moyenne |
|
Prestataires de soins de santé4 |
Opticiens, orthopédistes |
Grandes entreprises |
A partir d'une taille d'entreprise moyenne |
Fabrication de dispositifs médicaux |
Laboratoires dentaire, mécanicien de matériel médico-chirurgical (si activité de fabrication) |
A partir d'une taille d'entreprise moyenne |
Que faut-il faire ?
Dans un premier temps, les entreprises doivent vérifier si elles relèvent directement de la directive NIS 2 et, le cas échéant, se déclarer auprès de l'autorité compétente. Pour les entreprises artisanales, cette autorité est généralement l’Institut luxembourgeois de régulation (ILR). Les entités essentielles et importantes doivent mettre en œuvre les dix mesures de gestion des risques en matière de cybersécurité prévues à l’article 21 de la directive NIS2. Celles-ci peuvent être réparties en quatre groupes : 5
Aperçu des dix mesures de gestions des risques en matière de cybersécurité
En fonction du niveau de compétence interne en matière de systèmes d'information, de cybersécurité ou de connaissance des mesures de gestion des risques liées à la directive NIS2, il peut être judicieux de faire appel à des consultants externes spécialisés dans ce domaine.
Soutien aux PME
Le programme SME Packages - Cybersecurity offre aux petites et moyennes entreprises un soutien ciblé pour la mise en œuvre de la cybersécurité dans l'entreprise.
Contactez le service eHandwierk de la Chambre des Métiers pour participer au programme ou pour obtenir des conseils :
Plus d'informations
https://services.cdm.lu/gestion-entreprise/nis2
https://www.ilr.lu/secteurs-activites/niss/nis-2/