Le CCB dresse un bilan positif de la première année de NIS2. Les entreprises belges sont sur la bonne voie dans la mise en œuvre de la législation, bien qu’il reste encore beaucoup à faire.
Le 17 octobre 2024 est entré dans l’histoire comme le jour où la législation NIS2 est entrée en vigueur. Exactement un an plus tard, le CCB ne veut pas laisser passer ce premier anniversaire inaperçu. « La mise en œuvre se déroule assez bien en Belgique. Environ 1 500 entités essentielles et 2 500 entités importantes se sont enregistrées. La majorité de ces organisations ont désormais choisi et mis en œuvre un cadre », constate avec satisfaction Johan Klykens, Director Cybersecurity Certification Authority au CCB, lors d’un webinaire en ligne.
Cependant, le travail ne fait que commencer. Lors du webinaire, le CCB dresse un premier bilan de NIS2 et introduit un nouveau cadre CyFun. Klykens : « Nous commençons à voir les premiers résultats. NIS2 ne fera pas disparaître les cyberattaques, mais leur impact diminue. Bien que l’obligation de signalement ne soit pas encore totalement acceptée. Nous sommes là pour aider, pas pour punir ».
Un peu de fun
La Belgique s’est montrée dès le début comme l’un des meilleurs élèves de la classe européenne en matière de mise en œuvre de NIS2. Notre pays était même l’un des seuls États membres à avoir respecté le délai l’année dernière. Au cœur de l’approche du CCB se trouve CyFun, l’abréviation de CyberFundamentals : un cadre avec des exigences et des outils pour les organisations soumises à NIS2.
lire aussi
Nouvelles menaces, même chaîne d’élimination : la directive NIS2 protège les entreprises sur le long terme.
Le CCB a rafraîchi le cadre original et introduit CyFun 2025 lors du webinaire. Dirk De Paepe,
CyFun distingue quatre niveaux de certifications : Small, Basic, Important et Essential. Le niveau Basic comprend des mesures de base pour toutes les organisations, tandis que les organisations considérées comme ‘importantes’ ou ‘essentielles’ par la législation NIS2 doivent répondre à des exigences plus nombreuses et plus élevées. « Le système de proportionnalité est maintenu dans la nouvelle version. Mais à chaque niveau, il y a des exigences auxquelles les organisations doivent se conformer », déclare De Paepe.
Le travail du CCB est également remarqué au-delà des frontières. L’Irlande et la Roumanie ont adopté CyFun dans leur propre cadre national et d’autres États membres montrent de l’intérêt. En outre, la norme internationale ISO27001 pour la sécurité de l’information est également considérée comme une base généralement acceptée pour la conformité à NIS2.
279 incidents
Selon la loi NIS2, les entreprises qui subissent un incident sont tenues de le signaler aux autorités compétentes dans les 24 heures. Un rapport détaillé est requis après trente jours. « C’est très important pour nous car cela aide à déterminer la cause de l’incident », explique Klykens.
Si nécessaire, le CCB envoie une équipe d’inspection sur place pour une analyse post-incident. Ceci relève de la compétence de la National Cybersecurity Certification Authority (NCCA). « Depuis l’introduction de NIS2, nous avons reçu 279 signalements d’incidents », précise l’inspectrice Oya Tanil.
Tous les incidents ne requièrent pas la même gravité. Le cadre NIS2 fait la distinction entre les incidents ‘significatifs’ et non significatifs. Un incident est considéré comme significatif s’il remplit au moins l’une de ces trois conditions :
- L’incident cause une perturbation opérationnelle sur le réseau de l’organisation.
- L’incident cause des dommages financiers à l’organisation.
- L’incident a un impact direct sur des personnes physiques ou morales externes.
Pour les incidents dits significatifs, une inspection plus approfondie est possible et vous pourriez donc voir Tanil et ses collègues chez vous. « En cas de doute, nous demandons toujours de signaler. Nous pouvons aider à déterminer la gravité d’un incident. La plupart des incidents significatifs jusqu’à présent ne sont d’ailleurs pas liés à la cybersécurité ».
S’il ressort d’une enquête plus approfondie que l’incident est la conséquence du non-respect des exigences imposées par NIS2, des sanctions sont possibles. Dans ce cas, les membres du conseil d’administration peuvent même être tenus personnellement responsables. « Nous n’avons pas encore eu à lancer de procédures de sanction. J’espère aussi que cela ne sera jamais nécessaire », rassure Klykens. « Nos équipes d’inspection veulent avant tout aider à voir comment les incidents peuvent être évités. Souvent, nous recevons même des remerciements par la suite ».
NIS2 n’est pas destiné à punir les organisations.
Johan Klykens, Director Cybersecurity Certification Authority CCB
Et le reste de l’Europe ?
Un an après l’entrée en vigueur de la date limite européenne, la mise en œuvre de NIS2 s’avère encore difficile en Europe. Seuls six des 27 États membres ont déjà entièrement terminé leurs devoirs. Il s’agit, outre les pays du Benelux, du Danemark, de la Suède et de la Finlande. Dans de nombreux pays, la transposition de NIS2 en législation nationale est encore un travail ‘en cours’, ou on en est même encore à la phase de planification.
Le premier bilan du CCB est donc globalement positif. « Après la première année, nous pouvons nous donner une modeste tape sur l’épaule. Cela me rend optimiste pour l’avenir », conclut Klykens. Bien que la cybersécurité soit un travail qui n’est jamais vraiment terminé.
ITdaily a récemment organisé une table ronde avec cinq experts de l’industrie IT belge sur NIS2. Consultez ici le résumé.