1. Nouvelles obligations en matière de cybersécurité
La nouvelle directive NIS-2 et sa transposition nationale actuellement en procédure législative prévoient :
- des mesures de sécurité obligatoires
- des obligations de notification
Ces mesures s'appliqueront à de nombreuses entreprises dans 18 secteurs dits « critiques » au Grand-Duché de Luxembourg.
Il est également possible que les entités concernées, tenues d’assurer la cybersécurité de leur chaîne d’approvisionnement, exigent de leurs fournisseurs la mise en place de mesures de cybersécurité appropriées.
2. Entreprises concernées
Les entreprises de taille moyenne (ou supérieure) sont concernées
Les entreprises de taille moyenne (ou supérieure) :
- qui emploient au moins 50 personnes
- ou dont le chiffre d'affaires annuel ou le total du bilan annuel dépasse 10 millions d'euros
peuvent être concernées par les nouvelles obligations.
Pour le calcul des seuils, il faudra également considérer si l'entreprise est autonome ou dispose d’entreprises partenaires ou liées au sens de la recommandation 2003/361/C de la Commission du 6 mai 2003 (voir le Guide de l’utilisateur pour la définition des PME).
Attention :
Indépendamment de leur taille, la directive NIS 2 s’applique aux entités suivantes :
- Fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public
- Prestataires de services de confiance
- Registres des noms de domaine de premier niveau et Fournisseurs de services de système de noms de domaine
3. Secteurs concernés
Champ d'application
Définitions des secteurs
Veuillez vérifier si votre entreprise est concernée !
Pour plus d'informations, veuillez consulter ce document.