La Commission européenne prépare actuellement une importante révision législative de la directive NIS 2 et du Cybersecurity Act (CSA).
Les premiers contours de cette réforme traduisent une ambition claire : renforcer la résilience numérique de l’Union tout en sécurisant davantage les chaînes d’approvisionnement technologiques.
NIS 2 + (Directive 2022/2555)
L’une des principales nouveautés concerne le champ d’application de NIS 2.
La Commission envisage la création d’une nouvelle catégorie d’entreprises, les « petites entreprises de taille intermédiaire » (small mid-cap enterprises). Il s’agirait d’entreprises comptant moins de 750 travailleurs et réalisant un chiffre d’affaires annuel inférieur à 150 millions d’euros ou disposant d’un bilan inférieur à 129 millions d’euros. Bien que répondant aujourd’hui aux critères des entités essentielles, ces organisations pourraient à l’avenir être reclassées parmi les entités importantes. En Belgique, cette évolution pourrait concerner entre 100 et 200 entreprises, dont les obligations se verraient ainsi réduites.
Le périmètre sectoriel serait également revu. Certaines activités seraient exclues du dispositif, notamment les exploitants de panneaux solaires dont la capacité de production est inférieure à 1 MW, certains établissements de soins de longue durée, des fabricants de produits chimiques ne relevant pas du règlement REACH ainsi que les micro et petits fournisseurs de services DNS.
À l’inverse, plusieurs secteurs stratégiques seraient ajoutés et qualifiés d’entités essentielles indépendamment de leur taille, tels que les fournisseurs de portefeuilles numériques, les infrastructures à double usage liées à la mobilité militaire et les infrastructures de câbles sous-marins.
Cybersecurity Act (Règlement 2019/881)
Au-delà du périmètre des entités concernées, la réforme vise également à renforcer la sécurité de la chaîne d’approvisionnement numérique. Constatant que les mécanismes contractuels actuels ne permettent pas toujours de garantir la conformité des fournisseurs et sous-traitants, la Commission envisage un cadre européen de confiance pour les chaînes d’approvisionnement ICT.
Celui-ci pourrait conduire à l’identification de fournisseurs ou de pays tiers présentant des (hauts) risques cyber structurels et imposer des mesures de restriction, voire d’exclusion. À la lumière des décisions d’adéquation en matière de protection des données à caractère personnel (article 45 du RGPD), qui reconnaissent certains pays tiers comme offrant un niveau de protection suffisant, l’Union pourrait ainsi développer un mécanisme inverse conduisant à l’identification de fournisseurs dits « high risk » et à leur exclusion de certaines activités européennes spécifiques, notamment les marchés publics, les financements européens, ainsi que l’accès à la certification et aux processus de normalisation.
Notre conseil :
A ce stade, l’ambition affichée est une adoption des textes d’ici la fin de l’année. Toutefois, aucune certitude n’existe.
Même si ces propositions doivent encore être adoptées au niveau européen, elles confirment une évolution majeure : la conformité en cybersécurité ne reposera plus uniquement sur les mesures internes, mais aussi sur la fiabilité de l’ensemble de l’écosystème de fournisseurs et sous-traitants.
N’hésitez pas à nous consulter aujourd’hui pour anticiper les évolutions de demain !