Que signifie NIS2 pour le secteur public ? La législation demande aux organisations d’aborder la sécurité de l’information de manière continue.
Cela fait environ un an et demi que la directive NIS2 est entrée en vigueur. La Belgique a rapidement transposé le règlement européen en droit national, mais quel a été le véritable impact de NIS2 jusqu’à présent ? Le 18 avril, le premier grand examen attendait les organisations dites « essentielles » : elles devront faire évaluer leur conformité pour la première fois.
En tant que responsable de la sécurité de l’information chez le prestataire de services informatiques Smals et DPO à la Banque-Carrefour de la Sécurité Sociale, Kurt Maekelberghe est confronté à la loi NIS2 à travers plusieurs rôles. « Toutes les institutions fédérales sont reconnues comme des « entités essentielles », et les obligations ne diffèrent pas de celles du secteur privé : toute organisation soumise à la législation doit prendre des mesures pour limiter les risques de sécurité ».
Les risques d’abord
NIS2 oblige les entreprises à examiner de près leur sécurité, bien que cela n’entraîne pas nécessairement de changements radicaux pour les institutions publiques. M. Maekelberghe : « Je pense que la loi a certainement aidé à attirer l’attention sur la sécurité de l’information là où elle n’existait peut-être pas auparavant. Comme nous travaillons avec des données à caractère personnel au sein de la sécurité sociale, nous sommes conscients de l’utilité et de la nécessité de la sécurité de l’information depuis très longtemps. La culture n’est donc pas apparue soudainement avec NIS2. »
« Avec la directive NIS2, de nouveaux modèles de surveillance ont été introduits », poursuit-il. « Ainsi, tout incident significatif doit désormais être signalé au Centre pour la Cybersécurité Belgique. Cette obligation de notification et le contrôle du respect de NIS2 permettent d’affiner quelque peu la vision sur la sécurité. Les mesures de base font ainsi l’objet d’une attention plus explicite. Le Centre pour la Cybersécurité Belgique supervise l’impact précis sur le marché, mais je pense que NIS2 peut entraîner une diminution des incidents évitables. »
Pas une punition, mais une opportunité
Depuis le 18 mars 2025, toutes les entreprises relevant de la directive NIS2 doivent s’être enregistrées. Le travail ne fait pourtant que commencer. Le 18 avril 2026, 18 mois après l’entrée en vigueur de NIS2, marquait l’échéance cruciale suivante : les organisations ont dû présenter une première évaluation pour démontrer qu’elles respectent les directives. « Le retour d’information du CCB peut servir de base pour mettre en évidence des points d’amélioration et offrir aux organisations une assistance ciblée dans la gestion des cyber-risques. Nous nous réjouissons donc de collaborer avec le CCB », déclare M. Maekelberghe.
Les organisations ont tout intérêt à prendre les délais au sérieux. Le non-respect de la législation NIS2 peut entraîner des sanctions. M. Maekelberghe : « Nous devons éviter que NIS2 soit perçue comme une « expédition punitive », mais plutôt comme une opportunité d’améliorer la sécurité des organisations de manière continue. »
Nous devons éviter que NIS2 soit perçue comme une punition, mais plutôt comme une opportunité d’améliorer la sécurité.
Kurt Maekelberghe, Head of Information Security chez Smals
Deux voies vers la conformité
Pour se conformer à la législation NIS2, les organisations peuvent s’appuyer sur deux cadres : le CyberFundamentals Framework (CyFun) et la norme ISO 27001. Ces cadres ne sont pas directement comparables, souligne M. Maekelberghe. « CyFun propose une approche pragmatique de la cybersécurité, tandis que l’ISO/IEC 27001 est une norme internationale qui prescrit un système de gestion de la sécurité de l’information formel et certifiable. »
En tant que partenaire informatique de diverses institutions publiques, Smals a un rôle important à jouer sur la voie de la conformité. M. Maekelberghe : « Les institutions qui utilisent nos services sont tenues de contrôler leurs prestataires de services sur l’application de la sécurité de l’information. Cette gestion de la chaîne d’approvisionnement crée un besoin supplémentaire de reporting et de transparence, afin que les institutions puissent évaluer leur propre conformité. »
« En fin de compte, les organisations doivent elles-mêmes prendre des mesures basées sur une évaluation de leurs propres risques. Un partenaire informatique ne peut garantir la conformité, mais en tant que fournisseur, nous ressentons ce besoin de transparence chez nos clients. La dépendance vis-à-vis des fournisseurs est devenue un risque, car les menaces dans la chaîne d’approvisionnement sont difficiles à maîtriser », ajoute-t-il.
Plus qu’une simple liste
Depuis l’entrée en vigueur de NIS2, le paysage de la cybersécurité a déjà profondément changé. L’adoption rapide de l’IA apporte de nouveaux risques. M. Maekelberghe le constate également. « Il faut considérer l’IA à la fois comme un outil de production avec ses vulnérabilités et comme un moyen de mener des cyberattaques. Ce n’est plus un secret pour personne que l’IA est utilisée pour créer de meilleurs e-mails de phishing et lancer des attaques plus rapidement. Mais si la technologie n’est pas mise en œuvre de manière réfléchie, vous augmentez la surface d’attaque et donc votre propre vulnérabilité. »
M. Maekelberghe est toutefois convaincu que la directive NIS2, en tant que réglementation, résistera à l’épreuve du temps, à condition que les organisations l’appliquent correctement. « La législation évolue à un rythme différent de celui de la technologie et des paysages de menaces. En revanche, une analyse de risques bien menée et un plan de gestion des risques bien établi aideront l’organisation à paramétrer correctement sa sécurité, tant à intervalles réguliers pour les traitements et plateformes existants qu’au moment de l’adoption d’une nouvelle technologie. »
« Si cela est fait de manière cohérente, alors NIS2 fonctionne bien. Nous ne devons absolument pas tomber dans une « culture de la liste » où une série de mesures est cochée une seule fois. Car alors, on perd les risques de vue », conclut M. Maekelberghe.
NIS2 ne doit pas devenir une liste que l’on coche une seule fois.
Kurt Maekelberghe, Head of Information Security chez Smals
Cette contribution rédactionnelle a été réalisée en collaboration avec notre partenaire Smals.