Alors que de nombreuses entreprises sont encore en train d’évaluer si le NIS2 s’applique à elles, une réalité est universelle : les délais sont fixés et les autorités attendent des progrès structurés et fondés sur des preuves. Le Centre pour la cybersécurité en Belgique (CCB) a été très clair à ce sujet dans ses orientations nationales, encourageant fortement les organisations à passer de la prise de conscience à des actions mesurables.
Et même si votre organisation n’est pas directement concernée, sachez qu’elle peut faire partie de la chaîne d’approvisionnement d’une entité NIS2 et donc être confrontée à l’obligation de mettre en œuvre des mesures de gestion des risques de cybersécurité en raison d’une exigence contractuelle !
Pourquoi le NIS2 est plus important que jamais
La fréquence et l’impact des cyberattaques ne cessent de croître. Le NIS2 vise à établir un niveau élevé et commun de cybersécurité dans l’UE en fixant des exigences concernant les mesures de gestion des risques liés à la cybersécurité et l’obligation d’établir des rapports. Une bonne cybersécurité n’est pas seulement une question de conformité. C’est une nécessité vitale ainsi que un avantage concurrentiel clé!
Les échéances clés que vous devez anticiper
La Belgique fait partie des États membres de l’UE qui ont transposé intégralement la directive dans les délais impartis. Par conséquent, les délais de mise en conformité sont désormais en vigueur, et aucun retard n’est à prévoir.
Voici les étapes importantes auxquelles toutes les organisations concernées doivent se préparer :
Déjà adoptée : 18 octobre 2024
Les organisations doivent prendre des mesures minimales de gestion des risques en matière de cybersécurité et notifier tous les incidents importants.
Déjà adoptée : 18 mars 2025 – Identification et inscription
Les organisations tenues de se conformer au NIS2 sont censées avoir s’être déjà enregistrées via la plateforme officielle de CCB (Enregistrer mon organisation | CCB Safeonweb) et identifié leur catégorie (important ou essentiel). Cette étape constitue la base de toutes les obligations ultérieures.
Prochainement : 18 avril 2026 – Première évaluation et preuve de la mise en œuvre
Les entités essentielles doivent démontrer qu’elles ont commencé à gérer la mise en œuvre de la cybersécurité. Pour ce faire, trois choix s’offrent à elles :
- Fournir à la CCB le périmètre, la déclaration d’applicabilité et le rapport d’audit interne le plus récent s’ils ont choisi d’obtenir la certification ISO/IEC 27001 ;
- Obtenir une vérification délivrée par un organisme d’évaluation de la conformité (CAB) s’ils choisissent d’utiliser le référentiel CyberFundamentals (CyFun®) développé par le CCB, en se conformant au niveau d’assurance Basic ou Important, en fonction de leur évaluation des risques ;
- Transmettre à la CCB leur auto-évaluation de CyFun® Basic ou Important, ou leur politique de sécurité de l’information ISO 27001, son périmètre et sa déclaration d’applicabilité, s’ils ont choisi d’être inspectés directement par la CCB.
Prochainement : 18 avril 2027 – Certification ou vérification avancée
Cette étape marque la pleine application de la réglementation NIS2. Les entités essentielles doivent prouver qu’elles ont bien mis en œuvre les mesures de cybersécurité suivantes:
- Obtenir la certification auprès d’Organismes d’évaluation de la conformité (CAB), dans le cas où l’entité souhaite être certifiée selon la norme ISO/IEC 27001 ;
- Obtenir une attestation délivrée par un Organisme de certification (CAB) pour le niveau d’assurance « Important », ou une certification pour le niveau d’assurance « Essentiel », s’ils choisissent d’utiliser le référentiel CyFun® ;
- Faire rapport sur les progrès accomplis en matière de conformité s’ils choisissent de se soumettre à une inspection directe de la part de la CCB.
Le cadre belge : CyFun®, la voie naturelle pour aller de l’avant
Le Centre pour la Cybersécurité Belgique (CCB) encourage fortement l’utilisation du cadre CyberFundamentals (CyFun®) (Cadre des cyberfondamentaux | CyFun). Il est devenu Modèle de référence de la Belgique pour la conformité au NIS2. Elle gagne du terrain dans d’autres États membres, puisqu’elle a été officiellement adoptée par l’Irlande et la Roumanie et qu’elle est en cours d’examen par d’autres pays. Contrairement aux normes internationales générales, CyFun® a été conçu spécifiquement pour s’aligner sur les obligations légales de la NIS2 :
- Contrôles sur mesure
- Les attentes belges relative aux exigences de rapportage
- Un parcours de maturité clair
- Compatibilité directe avec les programmes d’assurance et de du CCB
- Que vous utilisiez CyFun® seul ou en combinaison avec les normes ISO 27001/27035/22301, une mise en conformité précoce facilite grandement la réalisation des jalons de 2026 et 2027.
Que devez-vous faire maintenant ?
Pour ne pas se laisser dépasser par les échéances de 2026 et 2027, les organisations devraient (d’ores et) déjà :
- Compléter leur analyse de risque
- Mettre en place ou perfectionner leur système de management de la sécurité de l’information (SMSI)
- Définir les rôles et les structures de gouvernance
- Réaliser une analyse des écarts conformément aux exigences du NIS2.
- Rédaction ou mise à jour des politiques et procédures de sécurité
- Mise en place de processus de signalement des incidents conformes aux obligations belges
- Examen des dépendances des fournisseurs et des chaînes de services critiques
Plus ces bases sont mises en place tôt, plus la transition vers la vérification ou la certification sera aisée.
Approach Cyber peut vous accompagner grâce à une méthodologie structurée et exhaustive, incluant l’évaluation, la mise en œuvre, la gouvernance ainsi que l’amélioration continue.
Que votre organisation débute ou soit avancée dans le processus, Approach Cyber se positionne comme un partenaire fiable, permettant d’aborder la conformité NIS2 comme une opportunité de renforcer la résilience opérationnelle.
» Lisez également l’article : Directive NIS2 : renforcer la cybersécurité en Europe