2 410 organisations opérant dans des secteurs critiques se sont enregistrées à temps auprès du CCB dans le cadre de la réglementation NIS2. Le CCB qualifie cette opération comme la plus grande opération de cybersécurité jamais réalisée. Les entreprises non critiques sont également autorisées à s’enregistrer.

Déjà 2 410 organisations issues de secteurs critiques se sont enregistrées auprès du Centre pour la Cybersécurité Belgique (CCB). Elles le font dans le cadre de la directive NIS2, que la Belgique a été le premier État membre européen à transposer dans sa législation nationale. Les organisations relevant des règles NIS2 doivent s’enregistrer via Safeonweb@work. Elles ont jusqu’à demain, mardi 18 mars, pour le faire.

Obligations avec NIS2

Entre autres, l’énergie, les transports, les soins de santé, l’eau, l’infrastructure numérique, l’administration publique et le secteur financier relèvent de la définition de critique. Les organisations appartenant à ces secteurs et relevant de NIS2 doivent satisfaire à diverses obligations. Elles doivent :

• S’enregistrer sur le site web du CCB ;
• Prendre des mesures de sécurité appropriées ;
• Informer le CCB des incidents ;
• Effectuer régulièrement des évaluations officielles de conformité.

Le SPF Économie avait précédemment estimé qu’environ 2 500 entreprises seraient concernées par NIS2. Il semblerait donc que la grande majorité des organisations en Belgique se soient mises en conformité dans les délais. Les organisations de secteurs moins critiques peuvent également s’enregistrer. Un grand nombre l’ont effectivement fait, portant le total à 4 500 enregistrements.

Enregistrement facultatif

Ceux qui s’enregistrent de manière optionnelle bénéficient des avantages suivants :

• Priorité : Après l’enregistrement, le CCB dispose de certaines données de base. S’il détecte un système vulnérable sur un nom de domaine ou une adresse IP enregistrée, un avertissement suit. Les organisations NIS2 ont la priorité sur les autres organisations.
• Cyber Threat Alerts : le CCB aide les organisations à investiguer et à limiter les cybermenaces potentielles sur leur réseau en partageant structurellement des notifications sur les vulnérabilités et les infections.
• Quick Scan Report : Les organisations reçoivent un rapport qui donne un aperçu des points faibles de la sécurité et des possibilités d’amélioration.
• Self-assessment : Les entreprises enregistrées ont accès à un court questionnaire pour identifier les faiblesses et recevoir des recommandations ciblées.
• Policy templates : Il s’agit de politiques de cybersécurité prêtes à l’emploi que les entreprises peuvent utiliser.

Plus d’incidents signalés

L’objectif de NIS2 est d’accroître la cyber-résilience des entreprises européennes. L’obligation pour les secteurs critiques de se mettre en conformité est logique, tout comme l’ambition d’interpeller plus largement les organisations. NIS2 exige fondamentalement des mesures et des stratégies de sécurité très logiques de la part des entreprises. Les règles sont basées sur les meilleures pratiques, avec lesquelles toute organisation peut mieux se protéger.

Sous NIS2, les entreprises critiques doivent signaler les incidents. Au cours des dix-huit derniers mois, le CCB a déjà reçu 556 signalements. Depuis l’introduction de la réglementation, le nombre de signalements a augmenté de quatre-vingts pour cent, passant de 25 par mois à 45 par mois. Le CCB est presque certain que le nombre d’incidents n’a pas augmenté, seulement la transparence.

« Nous constatons qu’auparavant, les organisations ne savaient pas comment procéder ou ne jugeaient pas nécessaire de signaler les incidents », explique Miguel De Bruycker, directeur général du CCB. « Il y avait un sous-signalement par le passé. Le nombre de signalements importants n’a pas augmenté en soi. »

Rapportage et maturité

L’enregistrement n’est qu’une première étape. Dans une phase ultérieure, les organisations devront rendre leur sécurité conforme à NIS2. Pour les entreprises ayant une stratégie de cybersécurité mature, cela ne nécessitera pas beaucoup d’ajustements. Elles ont déjà une bonne base et doivent surtout déterminer comment celle-ci s’inscrit dans le cadre de NIS2.

Pour d’autres organisations (plus petites), NIS2 peut être un catalyseur vers une sécurité significativement meilleure. Le cœur de la directive tourne autour du risque. Elle incite les organisations à définir quelles données et activités sont critiques, et à élaborer une stratégie de sécurité sur cette base. Compte tenu de la menace cyber internationale croissante et du contexte géopolitique volatile, c’est une bonne chose.