Alors que de nombreuses entreprises sont encore en train d’évaluer si le NIS2 s’applique à elles, une réalité est universelle : les délais sont fixés et les autorités attendent des progrès structurés et fondés sur des preuves. Le Centre pour la cybersécurité en Belgique (CCB) a été très clair à ce sujet dans ses orientations nationales, encourageant fortement les organisations à passer de la prise de conscience à des actions mesurables.
Et même si votre organisation n’est pas directement concernée, sachez qu’elle peut faire partie de la chaîne d’approvisionnement d’une entité NIS2 et donc être confrontée à l’obligation de mettre en œuvre des mesures de gestion des risques de cybersécurité en raison d’une exigence contractuelle !
Pourquoi le NIS2 est plus important que jamais
La fréquence et l’impact des cyberattaques ne cessent de croître. Le NIS2 vise à établir un niveau élevé et commun de cybersécurité dans l’UE en fixant des exigences concernant les mesures de gestion des risques liés à la cybersécurité et l’obligation d’établir des rapports. Une bonne cybersécurité n’est pas seulement une question de conformité. C’est une nécessité vitale ainsi que un avantage concurrentiel clé!
Les échéances clés que vous devez anticiper
La Belgique est l’un des États membres de l’UE qui a entièrement transposé la directive dans les délais prévus. En conséquence, les délais de mise en conformité sont désormais actifset aucun retard n’est à prévoir.
Voici les étapes importantes auxquelles toutes les organisations inscope doivent se préparer :
Déjà adoptée : 18e octobre 2024
Les organisations doivent prendre des mesures minimales de gestion des risques en matière de cybersécurité et notifier tous les incidents importants.
Déjà adoptée : 18e mars 2025 – Identification et inscription
Les organisations tenues de se conformer au NIS2 sont censées avoir s’être déjà enregistrées via la plateforme officielle de CCB (Enregistrer mon organisation | CCB Safeonweb) et identifié leur catégorie (important ou essentiel). Cette étape constitue la base de toutes les obligations ultérieures.
Prochainement : 18e avril 2026 – Première évaluation et preuve de la mise en œuvre
Les entités essentielles doivent démontrer qu’elles ont commencé à gérer la mise en œuvre de la cybersécurité. Pour ce faire, trois choix s’offrent à elles :
- Transmettre au CCB le champ d’application, la déclaration d’applicabilité et l’audit interne le plus récent s’ils ont choisi d’être certifiés la certification ISO/IEC 27001;
- Obtenir une vérification par un organisme d’évaluation de la conformité (OEC) s’ils ont choisi d’utiliser le cadre des cyberfondamentaux (CyFun®) développé par le CCB, en se conformant au niveau d’assurance de base ou important en fonction de leur évaluation des risques ;
- Transmettre à la CCB leur auto-évaluation de la CyFun® de base ou importante, ou leur politique de sécurité de l’information ISO 27001, leur champ d’application et leur déclaration d’applicabilité, s’ils ont choisi d’être directement inspectés par la DGCC.
Prochainement : 18e avril 2027 – Certification ou vérification avancée
Cette étape marque la pleine application de la réglementation NIS2. Les entités essentielles doivent prouver qu’elles ont bien mis en œuvre les mesures de cybersécurité :
- Obtenir la certification d’un OEC s’ils choisissent d’être ISO/IEC 27001 ;
- Obtenir une vérification par un OEC pour le niveau d’assurance Important, ou une certification pour le niveau d’assurance Essentiel, s’ils ont choisi d’utiliser le logiciel CyFun® Framework;
- Rendre compte des progrès réalisés en matière de conformité s’ils ont choisi d’être inspectés directement par la DGCCRF. directement inspectés par la DGCC.
Le cadre belge : CyFun®, la voie naturelle pour aller de l’avant
Le CCB encourage fortement le cadre des CyberFundamentals (CyFun®) (Cadre des cyberfondamentaux | CyFun). Il est devenu Modèle de référence de la Belgique pour la conformité au NIS2Elle gagne du terrain dans d’autres États membres, puisqu’elle a été officiellement adoptée par l’Irlande et la Roumanie et qu’elle est en cours d’examen par d’autres pays. Contrairement aux normes internationales générales, CyFun® a été conçu spécifiquement pour s’aligner sur les obligations légales de la NIS2 :
- Contrôles sur mesure
- Belge–attentes spécifiques en matière de rapports
- Un parcours de maturité clair
- Compatibilité directe avec les programmes d’assurance et de certification de la CECC
- Que vous utilisiez CyFun® seul ou en combinaison avec ISO 27001/27035/22301, un alignement précoce facilite grandement les étapes 2026 et 2027.
Que devez-vous faire maintenant ?
Pour éviter d’être dépassées par les échéances de 2026 et 2027, les organisations devraient déjà l’être :
- Compléter leur analyse de risque
- Construire ou affiner leur SMSI
- Définir les rôles et les structures de gouvernance
- Effectuer une évaluation des lacunes par rapport aux exigences du NIS2
- Rédaction ou mise à jour des politiques et procédures de sécurité
- Mise en place de flux de rapports d’incidents alignés sur les obligations belges
- Examen des dépendances des fournisseurs et des chaînes de services critiques
Plus ces bases sont mises en place tôt, plus la transition vers la vérification ou la certification sera aisée.
Approach Cyber peut vous aider par le biais d’une méthodologie structurée, de bout en bout, couvrant l’évaluation, la mise en œuvre, la gouvernance et l’amélioration continue..
Que vous en soyez à vos débuts ou que vous soyez déjà bien avancé dans la mise en œuvre, Approach Cyber peut vous aider, Approach Cyber peut être votre partenaire de confiance transformant le NIS2 d’une obligation en un avantage opérationnel résilient.
» Lisez également l’article :Directive NIS2 : renforcer la cybersécurité en Europe