1 minute read
NOUVELLES OBLIGATIONS EN MATIÈRE DE CYBERSÉCURITÉ
Les entreprises sont confrontées à de nombreux risques. Les cyberattaques constituent l’un des principaux risques dans ce contexte. Plus les entreprises sont présentes en ligne, plus elles sont exposées à ce type d’attaques. Elles ne peuvent pas ignorer ce risque et doivent s’en prémunir. Le législateur européen en est également conscient. C’est ce qui ressort de la Directive SRI2 du 14 décembre 2022, qui devra être appliquée en droit belge à partir du 18 octobre 2024. Mais que fait précisément cette directive ?
Premièrement, la directive étend le champ d’application de la précédente directive SRI. Un plus grand nombre d’entreprises, issues de différents secteurs, entreront dans son champ d’application. Pour la Belgique, le nombre d’entreprises concernées est estimé à 3.000. En principe, il s’agit de grandes entreprises, mais dans des secteurs spécifiques et sensibles, des entreprises plus petites peuvent également être visées.
Deuxièmement, les obligations sont étendues pour les entreprises relevant du champ d’application. De manière générale, elles doivent prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour sécuriser leur réseau et leurs systèmes d’information. Cette obligation générale se décline en obligations plus concrètes. Soulignons que les entreprises devront également surveiller la sécurité de la chaîne d’approvisionnement (car des risques importants peuvent également s’y cacher).
Troisièmement, le conseil d’administration des entreprises concernées est explicitement impliqué. Les membres des organes directeurs devront suivre une formation afin d’acquérir des connaissances et des compétences suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques.
Quatrièmement, les exigences en matière de reporting des incidents et les règles relatives au contrôle, à l’application et à l’audit sont considérablement renforcées. Il en va de même pour les règles relatives aux amendes et à la responsabilité des administrateurs qui sont liées à la violation des obligations.
N’attendez pas la transposition
Le législateur belge a déjà commencé à préparer la transposition de la directive SRI2. Dans ce contexte, la FEB plaide pour une transposition efficace de la directive, ce qui permettra d’améliorer la cybersécurité des entreprises belges.
Les entreprises ne doivent d’ailleurs pas attendre la transposition de la directive SRI2. Elles peuvent entamer les préparatifs dès aujourd’hui. Le Centre for Cyber Security Belgium a mis au point un Cyberfundamentals Framework, qui contient de nombreuses idées utiles. Selon la taille des entreprises, des mesures très détaillées et concrètes sont proposées pour protéger les données, réduire considérablement le risque des cyberattaques les plus courantes et accroître la cyberrésilience d’une organisation.
Contact
Arie Van Hoe Executive Manager
Centre de compétence
Droit & Entreprise avh@vbo-feb.be
RECHERCHE SUR FEB.BE SRI2
