NIS2… Le processus de mise en conformité risque d’être long, en particulier pour les organisations nouvellement régulées.

La directive NIS2 élargit sensiblement le périmètre de régulation des organisations à la gestion du risque cyber. Le processus de mise en conformité risque d’être long, en particulier pour les organisations nouvellement régulées

La mise à niveau sera progressive. En théorie, les États membres avaient jusqu’au 17 octobre 2024 pour transposer la directive NIS2 en droit national. Certains ne l’ont pas fait. La Belgique, oui, précise d’emblée Stanislas Van Oost, Managing Director, Easiance. « Par la Loi du 26 avril dernier et l’Arrêté Royal du 9 juin, la Belgique a transposé en droit national la Directive NIS2. En France, dans un contexte politique délicat, l’ANSSI a présenté un projet de loi avec une vingtaine de décrets d’exécution aux assemblées législatives en mai 2024, mais le processus d’adoption n’y a pas encore commencé… » 

Si la notion de « délai de transition » ne figure pas dans la Directive européenne. Elle apparait clairement dans l’Arrêté royal du 9 juin. Concrètement, cela se traduit par : obligation de notification d’incidents (18 octobre 2024) ; date limite d’enregistrement CCB (18 mars 2025) ; date limite conformité CyFun ou ISO 27001 (18 avril 2026) ; date limite de conformité générale ; date possible d’audit de conformité (18 avril 2027).

Ce sera dur pour les PME

« Ce délai de transition est une forme de réalisme pour permettre aux entreprises de se mettre en conformité, soit 18 mois pour valider le niveau CyFun Basique (40 mesures) ou Important (154 mesures) si elles ont fait ce choix et, le cas échéant, 30 mois pour être certifié CyFun Essentiel, note encore Stanislas Van Oost. Mais quel que soit le choix, les entreprises doivent montrer une amélioration continue. 

Banques, assurances, énergie… La plupart des entreprises dites « essentielles » (234 mesures) seront plus que probablement prêtes, estime Grégory Van Ass, CIO & Executive Advisor, NOSHAQ. « Personnellement, je suis plus sceptique pour les organismes de soins de santé -catégorisés essentiels. Et perplexe pour, plus généralement, les PME. En particulier les PME du secteur de l’IT, souvent des sous-traitants de plus grosses entreprises du même secteur, lesquelles fournissent des services aux organisations soumises à NIS2. Ces entreprises-là sont souvent plus préoccupées par l’opérationnel que par la compliance. Par conséquent, il y a fort à parier que c’est à ce niveau-là que cela va être le plus douloureux… »

Quid des villes et communes, dépendant des Régions ?

Pour sa part, Vincent Ceriani, Head of Cyber Risk Services, NRB Group, s’interroge sur l’état d’avancement dans les villes et communes, lesquelles ne relèvent pas du fédéral, mais des régions. « Le sujet a été entendu, mais je ne suis pas sûr que beaucoup de plans d’action aient déjà été lancés… » De fait, pour beaucoup, les pouvoirs locaux sont plutôt mal outillés en cybersécurité. Les coûts importants nécessaires à la mise en conformité ont été décriés, et il faut reconnaître qu’un effort important est demandé à toutes les nouvelles entités régulées en matière de sécurité informatique. « Certaines entités n’ont toujours pas pris conscience de leurs responsabilités. Quid, par exemple, des fournisseurs de services comme la distribution du gaz ou de l’électricité, la distribution de l’eau potable, la gestion des hôpitaux, etc. dépendant de petites villes, questionne Vincent Ceriani. Or, selon les termes de la Directive et les termes de la Loi, ce sont des entités… essentielles ! Et trente mois pour répondre aux critères, c’est peu ; il faudra s’accrocher ! »

2500 entités concernées

C’est toute la différence entre NIS-2 et NIS-1. Le scope de la dernière directive est plus large. Aux six secteurs de la directive NIS-1 s’ajoutent douze nouveaux secteurs -dont les services publics, les industries alimentaires, chimiques et de fabrication ou encore d’autres types d’organisations dans les secteurs de l’énergie et de la santé. Sont désormais visées toutes les organisations actives dans ces secteurs qui comptent plus de 50 collaborateurs ou qui réalisent 10 millions EUR de chiffre d’affaires annuel. En Belgique, rappelle le CCB, ce sont désormais quelque 2500 entités qui sont concernées par la Loi NIS, contre une centaine précédemment.

Par ailleurs, les incidents significatifs devront être notifiés en trois étapes : une alerte précoce dans les 24 heures (si l’incident est susceptible de faire tache d’huile) et une notification d’incident complète dans les 72 heures (comme pour le GDPR) et, enfin, un rapport final clairement détaillé dans le mois.

Gare au sentiment de confort

Par comparaison, la mise en application de NIS2 pour des organisations déjà classées NIS1 sera plus simple. De même, pour les entreprises certifiées ISO 27001, comme NRB par exemple, NIS2 n’est qu’un « prolongement ».

L’idée de « délai » qui apparait dans les textes n’est pas forcément un bon signal, estime Lorenzo Bernardi, Head of Security Services, NRB Group. « Il faut vraiment que les entreprises prennent la cybersécurité au sérieux ! La directive NIS2 ambitionne de réduire les pertes financières liées aux attaques cyber qui se sont généralisées. Ce faisant, elle améliore la cyber-réputation de ces entités, renforçant par conséquent la confiance de leurs clients. Tout se tient ! » 

Aussi, il faut lutter contre un faux sentiment de confort que l’annonce de délai à travers l’Arrêté royal a pu créer chez certains. « Il est nécessaire d’entamer la mise en conformité NIS2 sans plus attendre, sans se base sur les échéances. Chaque organisation concernée doit monter en compétence rapidement en fonction de son niveau actuel de protection cyber. La conception de la gouvernance et des politiques de sécurité peut être réalisée de façon accélérée si on y consacre les ressources nécessaires. »

Ne pas tarder, comme pour le GDPR

Certes, ce ne sera pas facile. Certaines entreprises devront peut-être recruter, d’autres former. D’autres, encore, sensibiliser et responsabiliser leurs employés. Tout cela prendra du temps.

Lorsque le GDPR a été adopté en avril 2016, certaines entreprises ont fait le choix de retarder la mise en conformité en raison de son application deux ans plus tard à compter du 28 mai 2018 ; d’autres d’attendre la position ou même les décisions des autorités de contrôle avant d’initier leur mise en conformité. Cette stratégie s’est en général révélée défaillante. Et certaines organisations en ont fait les frais.

Six ans plus tard, on observe encore des mises en demeure et même des amendes administratives qui auraient pu être évitées si la conformité GDPR avait été correctement gérée au bon moment…