La directive NIS2 (Network and Information Systems) est une mise à jour de la première législation européenne en matière de cybersécurité. Elle représente une avancée majeure pour les entreprises luxembourgeoises dans un contexte de menaces numériques permanentes et en constante évolution. Cette nouvelle réforme vise à combler les lacunes de la première directive NIS et à renforcer la sécurité des réseaux et des systèmes d’information dans l’UE.

En plaçant la gouvernance et la responsabilité des dirigeants au cœur de la conformité, NIS2 invite les entreprises à transformer leurs pratiques et à renforcer leur posture de cybersécurité, grâce à l’appui de l’ILR (Institut Luxembourgeois de Régulation), garant de la mise en œuvre au Luxembourg.

Les principaux changements de NIS2 :

NIS2 étend considérablement le périmètre des entités et secteurs concernés, apportant des modifications majeures par rapport à la directive initiale.

Voici les changements essentiels à retenir :

• Extension du champ d’application : NIS2 couvre désormais 18 secteurs d’activité, contre 7 initialement. Les entreprises concernées sont réparties en deux types d’entités : les Entités Essentielles (EE) et les Entités Importantes (EI), en fonction de leur nombre d’employés (à partir de 50 employés) et de leur chiffre d’affaires (à partir de 10 millions d’euros). Cette couverture élargie rend NIS2 applicable à une audience beaucoup plus vaste, renforçant ainsi la résilience collective.
• Exigences harmonisées : La directive impose des normes minimales de cybersécurité à l’échelle européenne, incluant la gestion des risques, la sécurité de la chaîne d’approvisionnement et la divulgation des vulnérabilités.
• Notification des incidents : Les entreprises doivent désormais signaler les incidents de sécurité significatifs dans un délai de 24 heures, renforçant la capacité de réponse et de résilience face aux attaques.
• Responsabilité accrue des dirigeants : Les membres du top management sont désormais directement concernés, impliquant des sanctions potentielles en cas de non-conformité, pouvant aller jusqu’à des interdictions d’exercer des fonctions managériales.
• Coopération renforcée : NIS2 prévoit des mécanismes afin d’améliorer la collaboration et l’échange d’informations en matière de cybersécurité entre les États membres de l’UE.

Une nouvelle ère pour la cybersécurité des entreprises luxembourgeoises

Avec l’arrivée de NIS2, de nombreuses entreprises luxembourgeoises doivent désormais répondre à des exigences de cybersécurité beaucoup plus rigoureuses. La directive impose également des obligations renforcées en matière de gestion des risques, de sécurité des systèmes d’information et de notification des incidents.

Au Luxembourg, les PSF de support (Professionnels du Secteur Financier de support) sont directement touchés par cette évolution. Bien que la CSSF (Commission de Surveillance du Secteur Financier) ait précisé que ces entités ne relèvent pas du cadre DORA (Digital Operational Resilience Act), elles sont en revanche concernées par NIS2. Ces prestataires, qui sont essentiels au secteur financier, doivent donc se préparer à adapter leurs pratiques et infrastructures selon les nouvelles exigences accrues en cybersécurité et gestion des risques.

Le nouveau rôle crucial du Top Management

L’une des principales nouveautés de NIS2 est la responsabilisation accrue du top management. Les dirigeants sont désormais personnellement responsables en cas de non-conformité, ce qui inclut des sanctions sévères pouvant aller jusqu’à l’interdiction temporaire d’exercer des fonctions de direction. Cette évolution souligne l’importance d’intégrer la cybersécurité au plus haut niveau de la gouvernance d’entreprise, et d’en faire une priorité stratégique.

Les défis clés à relever

Pour se conformer à NIS2, les entreprises luxembourgeoises doivent adopter une approche proactive et se préparer à relever plusieurs défis majeurs :

1. Intégration de la cybersécurité dans la stratégie d’entreprise : La cybersécurité doit être pleinement intégrée à la stratégie globale, avec une implication forte du conseil d’administration et de la direction générale.
2. Gestion des risques renforcée : Les entreprises doivent mener des évaluations régulières des risques, en prenant en compte les menaces émergentes et les changements du paysage numérique.
3. Préparation à la gestion des incidents : Des processus robustes doivent être en place pour détecter, réagir et notifier les incidents, en conformité avec les exigences de l’ILR.
4. Supervision de la chaîne d’approvisionnement : Les risques associés aux fournisseurs et partenaires doivent être surveillés de près, notamment pour les PSF de support qui travaillent avec des clients sensibles du secteur financier.

Comment EY Luxembourg vous accompagne ?

Chez EY Luxembourg, nous comprenons la complexité des défis liés à la mise en conformité avec NIS2 et l’importance stratégique de la cybersécurité pour les entreprises. Notre équipe d’experts en cybersécurité et conformité réglementaire est prête à vous accompagner tout au long de ce processus afin d’assurer que vos opérations sont sécurisées et conformes

Nous allons au-delà de la simple conformité. Nous vous aidons à bâtir une résilience cyber solide et durable. Voici comment nous vous accompagnons :

• Diagnostic de conformité NIS2 sur mesure : Nous réalisons une analyse détaillée de votre conformité actuelle en parallèle aux exigences de NIS2, en mettant en lumière vos atouts et les domaines à améliorer. Sur cette base, nous élaborons un plan d’action ciblé et pragmatique afin de combler les écarts et renforcer votre sécurité et garantir votre totale conformité.
• Renforcement et optimisation de la gouvernance cybersécurité : Nous vous aidons à intégrer la cybersécurité au cœur de votre stratégie, en assurant la sensibilisation du top management et en établissant des structures de gouvernance efficaces.
• Gestion des risques et des incidents : Nous vous aidons à anticiper, identifier, évaluer et gérer les risques cybernétiques via la mise en place de processus robustes, afin de répondre efficacement aux incidents de sécurité.
• Programmes de formation et sensibilisation avancés : Nous concevons des formations personnalisées pour vos équipes afin de former les dirigeants et les employés aux enjeux de la cybersécurité et aux obligations légales, le but étant de minimiser et neutraliser les risques liés au facteur humain.

Êtes-vous prêts pour NIS2 ?

La mise en conformité avec NIS2 est un impératif pour les entreprises luxembourgeoises. Les sanctions en cas de non-conformité peuvent être sévères, tant pour l’entreprise que pour ses dirigeants. C’est pourquoi il est crucial d’agir dès maintenant pour se préparer.

Chez EY Luxembourg, nous sommes là pour vous aider à transformer ces obligations en opportunités. Ensemble, nous renforcerons votre cyber-résilience et inspirerons la confiance de vos clients et partenaires. Nous nous engageons à offrir de l’éducation et des ressources pour renforcer la sécurité numérique des individus et des organisations, contribuant ainsi à un environnement numérique plus sûr.

Cliquez ici pour télécharger la brochure d’EY sur NIS 2.

 Auteurs