NIS2 : quelles entreprises belges risquent un contrôle ?
Trois mois après l’échéance de la directive NIS2, les organisations des secteurs critiques ont l’obligation de renforcer leurs défenses et signaler leurs incidents de sécurité. Mais le niveau élevé de cyberprotection exigé met la pression sur les décideurs belges. Un nouveau document d'orientation aide les organisations à se conformer avec les nouvelles mesures de sécurité. Explications.
Les entités critiques doivent démontrer, depuis le 18 avril 2026, qu'elles appliquent les mesures de cybersécurité requises par le NIS2 (Network and Information Security 2) et qu'elles suivent un parcours de conformité reconnu. Mais à peine sortie, la nouvelle réglementation suscite beaucoup de remous. Les données publiées le CCB (Centre pour la Cybersecurité Belgique) montrent, en effet, une augmentation importante des déclarations d'incidents et de la pression cyber sur les infrastructures critiques belges.
C’est dans ce contexte que le European NIS Cooperation Group vient de publier un document de référence sur les mesures de sécurité que doivent prendre les organisations relevant de la nouvelle directive NIS2. Il fournit un cadre européen commun pour les objectifs de cybersécurité et aide les États membres, les autorités compétentes et les organisations à comprendre et à appliquer les mesures NIS2 de manière plus cohérente.
Le document comprend une cartographie exposant la relation entre les exigences de la directive NIS2, le règlement européen d'application du 17 octobre 2024 (2024/2690) et les normes internationales existantes et les cadres nationaux, y compris le cadre CyberFundamentals, CyFun. Un document pratique pour guider les entreprises dans les méandres de la nouvelle règlementation.
Qui doit se conformer au NIS2 et comment ?
Le NIS2 exige que les organisations dans des secteurs critiques mettent en œuvre des mesures appropriées de cybersécurité. Il s'agit notamment de l'énergie, des transports, des soins de santé, de l'infrastructure numérique, des services publics, des eaux usées, des services postaux et de messagerie, de l'alimentation, des produits chimiques et des fournisseurs de services numériques.
Pour de nombreuses organisations, la question clé n'est pas seulement de savoir si elles entrent dans le champ d'application du NIS2, mais surtout quelles mesures spécifiques elles doivent prendre pour amener leur cybersécurité à un niveau approprié.
Concrètement, le nouveau document fournit des conseils et établit des objectifs généraux de cybersécurité qui fournissent des orientations pour le développement, la mise en œuvre et l'évaluation des mesures de sécurité. Les objectifs ont été délibérément formulés en termes généraux afin qu'ils restent applicables à différents secteurs, technologies et environnements opérationnels. Mais il ne remplace pas la législation belge NIS2, les directives nationales ou le cadre CyberFundamentals.
Une cartographie pour se repérer dans les dédalles règlementaires
Le tableau de cartographie est particulièrement utile pour les organisations qui travaillent déjà avec des normes ou des cadres de cybersécurité. Il montre comment les obligations du NIS2 et le règlement d'exécution européen (2024/2690) se rapportent avec la norme ISO/IEC 27001, CEI 62443, cadre de cybersécurité NIST 2.0, cadres nationaux de cybersécurité et le cadre CyberFundamentals, CyFun.
Pour les organisations belges, ce dernier lien est particulièrement important car CyFun est le cadre développé par le Centre pour la cybersécurité Belgique, qui aide les organisations à sélectionner, mettre en œuvre et évaluer des mesures spécifiques en matière de cybersécurité. CyFun 2025 a été mis à jour et a été développé conformément aux normes internationales telles que NIST CSF 2.0 et les réglementations européennes, y compris NIS2.
En résumé, les organisations relevant du NIS2 doivent vérifier qu'elles sont correctement enregistrées via Safeonweb@work, examiner leurs obligations en vertu de la législation belge NIS2, évaluer leurs mesures de gestion des risques et déterminer le niveau CyFun® approprié. Bref, un nouveau chantier numérique qui profitera aux prestataires spécialisés.
Le document est téléchargeable sur : https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group