NIS2 en Belgique : de bons points focaux, mais la communication pourrait être améliorée

Avec la mise en œuvre de la directive NIS2, l’Union européenne franchit une étape importante dans le renforcement de la cybersécurité pour toutes les entreprises européennes.

Les entreprises couvertes par la législation NIS2 doivent se conformer à des exigences plus strictes en termes de gestion des risques, de signalement des incidents et de sécurité de la chaîne d’approvisionnement. Comment cette législation s’applique-t-elle à une entreprise, pourquoi la Belgique est-elle l’un des premiers pays à avoir adopté la directive et quel est le rôle du CCB (Centre for Cybersecurity Belgium) dans ce cadre ?

Nous avons posé nos questions à Niels Hofmans, responsable de la sécurité et de l’informatique chez Intigriti. Intigriti est une plateforme de bug bounty qui met en relation des hackers éthiques avec des entreprises, et il considère cette nouvelle directive non seulement comme une obligation, mais aussi comme une opportunité de renforcer la transparence et la confiance.

La Belgique en tête

Avec NIS2, la Belgique a montré qu’elle avait de sérieuses ambitions en matière de cybersécurité. Le CCB a joué un rôle très important dans la rapidité avec laquelle les lignes directrices ont été transformées en législation. « Notre pays est l’un des premiers à se conformer pleinement à la mise en œuvre de NIS2 », déclare M. Hofmans. « Félicitations au CCB. Les canaux de communication et d’information qu’ils ont mis en place ont fait de la Belgique l’un des leaders du NIS2 dans le monde.

Pour Intigriti et d’autres sociétés de chasse aux bogues, il est essentiel de montrer aux clients que leurs données sont entre de bonnes mains. « Nous avons une lourde responsabilité envers nos clients », déclare M. Hofmans. « S’il y a le moindre doute sur la manière dont nous traitons leurs données les plus critiques, c’est que nous faisons quelque chose de mal. »

lire aussi

NIS2 : le délai est dépassé, mais l’ambiguïté demeure

Cela fait de NIS2 une base précieuse pour renforcer la sécurité des entreprises. « Il va au-delà des certifications ISO. Le NIS2 fournit un cadre plus approfondi qui aide à mieux gérer les risques ».

Elle oblige également les entreprises à examiner leurs fournisseurs de manière plus stricte. « Les exigences en matière de chaîne d’approvisionnement étaient inexistantes dans le cadre du NIS1 », explique M. Hofmans. « Cela commence maintenant à devenir un risque de plus en plus important. Pourquoi nous imposer des exigences strictes si nous ne les imposons pas aussi à nos fournisseurs ? Après tout, ces derniers font partie de l’entreprise.

Du NIS1 au NIS2 : qu’est-ce qui va changer ?

Le passage du NIS1 au NIS2 entraîne des changements majeurs. M. Hofmans estime que l’accent mis sur la responsabilité constitue un progrès significatif. « L’obligation de rendre des comptes est beaucoup plus stricte, ce qui garantit que nous verrons une différence notable en matière de cybersécurité. »

L’obligation de signaler les incidents au CERT devient également plus importante. Si une entreprise est victime d’une cyberattaque importante, elle doit être signalée au CERT belge dans les 24 heures. Un rapport plus détaillé doit suivre dans les 72 heures. Au bout d’un mois, un rapport final et complet doit suivre, avec la description, les causes et les mesures de suivi. « Ce rapport permet de mettre en évidence les faiblesses et constitue une bonne base de départ. Cela nous permet de rester vigilants.

« Le NIS2 nous fournit un cadre plus approfondi qui nous aide à gérer les risques.

Niels Hofmans

Un autre aspect important est l’extension du cadre des cyberfondamentaux qui aide les entreprises à protéger leurs données et à réduire le risque des cyberattaques les plus courantes. « Lorsqu’une entreprise frappe à notre porte, nous pouvons immédiatement nous référer aux cyberfondamentaux 2.0 », explique M. Hofmans.

Quels sont les défis à relever ?

Si les avantages du NIS2 sont évidents, les entreprises sont encore confrontées à des défis. « Il y a encore beaucoup d’entreprises qui ne sont pas éveillées à la directive », prévient M. Hofmans. Pourtant, les conséquences de la non-conformité sont importantes. « Les sanctions peuvent conduire au licenciement du personnel de direction ou à des amendes allant jusqu’à 10 millions d’euros. Ce n’est pas rien.

lire aussi

NIS2 en Belgique : de bons points focaux, mais la communication pourrait être améliorée

M. Hofmans identifie également certains points faibles : « Ils auraient peut-être pu consacrer plus d’efforts à la communication officielle du NIS2 avec les entreprises, au lieu de se contenter de publier des messages sur les médias sociaux ».

Il parle également des entreprises qui n’étaient pas encore engagées dans le NIS2. « Nous commençons à rencontrer des problèmes avec les entreprises qui commencent tout juste à se conformer au NIS2. De nombreuses entreprises sont désormais éligibles au NIS2 mais ne se sont jamais engagées ou n’ont jamais rien documenté. C’est une pomme amère à croquer ».

Il est clair que la législation NIS2 a un impact positif sur les plateformes de cybersécurité et sur d’autres secteurs. Il reste des défis à relever pour les entreprises qui commencent à peine à être éligibles, mais ils ne sont pas insurmontables. Le CCB devrait continuer à travailler de manière proactive et à maintenir les lignes directrices, comme le cadre, à jour.

bulletin

Abonnez-vous gratuitement à ITdaily !

  • This field is for validation purposes and should be left unchanged.