De la théorie à la pratique: retour d’expérience belge sur la mise en œuvre de la directive NIS2

Pouvez-vous présenter en quelques mots le Centre pour la Cybersécurité Belgique (CCB) et votre rôle dans la mise en oeuvre de la directive NIS2 ?

Le CCB est l’autorité nationale en charge de la cybersécurité en Belgique, l’équivalent de l’ANSSI en France. Nous définissons et mettons en œuvre la stratégie nationale de cybersécurité, agissons comme CERT national pour la gestion des incidents et jouons un rôle central de diffusion d’informations relatives aux menaces, vulnérabilités et bonnes pratiques pour s’en prémunir. 

Nous sommes également l’autorité compétente pour la mise en œuvre de la directive NIS2, avec une responsabilité importante dans l’adaptation du cadre réglementaire national en matière de cybersécurité. Particularité belge : notre public cible est très large, puisqu’il couvre à la fois les opérateurs d’intérêts vitaux, les administrations publiques, les organisations privées et le grand public. 

Enfin, nous assumons aussi les fonctions d’autorité nationale de certification dans le cadre du EU Cybersecurity Act et de National Coordination Centre (NCC) au sein du réseau européen des centres de cybersécurité.

En quoi la directive NIS2 change-t-elle la donne par rapport à NIS1 ?

Le changement le plus marquant réside dans l’élargissement du champ d’application. NIS2 couvre désormais des secteurs tels que les administrations publiques ou encore certains services essentiels comme la gestion des déchets ou des eaux usées.  Le nombre de secteurs concernés passe ainsi de 7 à 18.  L’identification des entités est également beaucoup plus claire et homogène, fondée sur des critères objectifs tels que le secteur d’activité, le nombre d’équivalents temps plein ou le chiffre d’affaires. Sous NIS1, l’identification des opérateurs était largement laissée à l’appréciation des États membres, ce qui a mené à des approches différentes et à des lacunes. 

La directive NIS2 est également plus précise sur les mesures de sécurité à mettre en place (telles que l’authentification multifacteurs, des politiques et des procédures sur la cryptographie, la formation…), ce qui donne une meilleure direction aux autorités et aux organisations. Enfin, la directive prend à bras-le-corps la question de la responsabilité du top management, un levier essentiel pour faire progresser le niveau global de résilience.

La Belgique a été le premier pays européen à transposer la directive NIS2 en droit national. Nous avons mené de très larges consultations avec les autorités sectorielles, les fédérations professionnelles et les acteurs de terrain de nous assurer que la loi soit réellement applicable dans les secteurs concernés. NIS2 est entré en vigueur en Belgique le 18 octobre 2024.

Comment s’est déroulée concrètement la mise en œuvre pour les organisations belges ?

Les entités concernées avaient jusqu’au 18 mars 2025 pour s’enregistrer sur notre portail safeonweb@work. À ce jour, environ 7380 organisations se sont inscrites, dont un peu plus de 1574 entités essentielles et plus de 2617 entités importantes, les autres s’étant inscrites de manière volontaire. Les entités NIS2 ont jusqu’au 18 avril 2026 pour démontrer la mise en place d’un niveau de cybersécurité minimal (Basic ou Important) suivant notre référentiel national, et jusqu’au 18 avril 2027 pour obtenir une certification CyFun ou ISO 27001.

Par l’intermédiaire du portail safeonweb@work, les entités enregistrées peuvent accéder à un large éventail de services : modèles de documents, vidéos, webinaires, outils de scan de vulnérabilités et informations ciblées pour améliorer leur niveau de sécurité. Au-delà d’un simple guichet administratif, le portail se veut un véritable écosystème de soutien et d’apprentissage.

Quelles raisons ont motivé la conception de ce référentiel CyFun propre à la Belgique ? 

Sous NIS1, nous recommandions principalement l’ISO 27001, mais nous nous sommes rendu compte que beaucoup d’organisations avaient besoin d’un cadre plus concret et plus accessible. Nous avons donc conçu notre propre référentiel, CyFun, en nous basant à la fois sur des standards internationaux (ISO 27001, NIST, CIS Controls, IEC 62443) et sur notre expérience de terrain en tant que CERT national. Ce référentiel est structuré en quatre niveaux (Small, correspondant à une hygiène de base, Basic, Important, et Essential) ce qui permet aux organisations de progresser par étapes et qui rend l’implémentation plus progressive. 

Cette approche modulaire est très appréciée et a suscité un très fort intérêt jusqu’au niveau européen. Il répond à un besoin concret d’harmonisation pour les entités NIS2 actives dans plusieurs pays, qui n’ont évidemment pas envie de recommencer un exercice complet de conformité sur des cadres différents dans chaque État membre. La Roumanie et l’Irlande ont déjà rejoint l’initiative en tant que contributeurs au référentiel et d’autres pays, comme Malte, envisagent de l’adopter ou de s’en inspirer. L’objectif est ici d’harmoniser les pratiques entre États membres pour simplifier la mise en conformité des organisations transnationales.

La directive NIS2 met l’accent sur une approche plus proactive de la cybersécurité. Comment avez-vous concrétisé ce principe ?

La Belgique a plaidé pour intégrer dans NIS2 le concept d’Active Cyber Protection, afin de dépasser une approche purement réactive de la cybersécurité. Ce concept repose sur quatre principes : proactivité, adaptation aux différents types d’organisation (on ne peut pas imposer les mêmes obligations à une petite PME qu’à une grande entreprise), automatisation pour suivre le rythme des menace et démarche participative, impliquant aussi bien les entités NIS2 que les citoyens.

Concrètement, l’Active Cyber Protection se traduit par plusieurs projets structurants. Tandis que CyFun constitue le socle de référence, le Belgian Anti Phishing Shield (BAPS) avertit les internautes en cas de navigation sur des sites frauduleux ou malveillants, en collaboration avec les fournisseurs d’accès internet. En 2024, cette page d’alerte a été affichée environ 240 millions de fois, ce qui illustre l’ampleur du dispositif. Depuis quelques années, le CCB encourage également les citoyens à envoyer les email qu’ils considèrent comme suspect à l’adresse suspect@safeonweb.be. Le CCB reçoit environ 30 000 mails suspects par jour, alimentant ainsi en continu la protection du paysage numérique belge par une approche réellement participative.

Dans le même esprit, le projet Spear Warning consiste à identifier via différentes sources d’informations les systèmes vulnérables, infectés ou exposés à des fuites de données. Lorsqu’un système vulnérable ou compromis est identifié, nous informons directement l’organisation concernée pour qu’elle puisse corriger la situation. Spear Warning illustre très concrètement notre logique de cybersécurité proactive : plutôt que d’attendre les incidents, nous allons activement à la recherche des failles. En parallèle, nous menons également de vastes campagnes de sensibilisation auprès de la population belge.

Avez-vous déjà observé un impact de NIS2 sur le nombre d’incidents déclarés ?

Depuis l’entrée en vigueur de la loi NIS2, nous constatons une augmentation importante du nombre d’incidents notifiés. Nous sommes passés d’une moyenne d’environ 25 incidents par mois à plus de 45. Cette hausse tient d’abord à l’obligation de notification pour les entités NIS2, mais traduit également une plus grande confiance envers le CCB et une meilleure compréhension de notre rôle de soutien. Notre objectif est d’aider les organisations à contenir et traiter les incidents, pas seulement de les contrôler.

Quelles sont les principales difficultés remontées par les organisations dans l’application de NIS2 ?

Les organisations sont d’abord confrontées à une multiplication des réglementations européennes auxquelles elles doivent se conformer: NIS2, DORA, CER, RGPD, et divers cadres sectoriels. Cette situation crée une grande complexité, notamment en matière de notification des incidents, avec des délais et des exigences parfois différents selon les textes. L’Union européenne travaille à réduire cette fragmentation, notamment au travers du Digital Omnibus et de la révision du Cybersecurity Act, dans l’objectif d’harmoniser et de simplifier les obligations. 

Un second défi majeur concerne la gestion de la supply chain. Les PME prestataires de grandes entités NIS2 se retrouvent de facto soumise à des exigences de sécurité élevées, sans toujours disposer de la maturité ou des ressources nécessaires pour y répondre.

Enfin, la prise de conscience de la responsabilité accrue des dirigeants progresse, mais reste encore inégale. Certains top managers n’ont pas pleinement intégré qu’ils peuvent être désormais considérés comme responsables en cas de manquement grave.

Certains secteurs sont-ils particulièrement en difficulté ou, au contraire, en avance ?

Des secteurs comme la banque ou l’énergie étaient déjà très matures avant NIS2 du fait de réglementations strictes propres à leur secteur. À l’inverse, pour des secteurs nouvellement couverts, tels que la gestion des déchets ou une partie du secteur de l’eau, la cybersécurité n’était pas une priorité, et ils découvrent en partie ces défis. 

Certains secteurs tels que le secteur public et le secteur de la santé sont particulièrement ciblés, du fait de leur forte attractivité pour les cybercriminels. Et il est vrai que certains secteurs sont plus matures que d’autres. C’est précisément pour ces secteurs moins matures ou avec des ressources plus limitées que nous avons développé un accompagnement renforcé et un ensemble de ressources accessibles via le portail Cyfun.

La transposition de la directive à des vitesses différentes dans les autres États membres a-t-elle un impact sur votre travail ?

Pour le CCB lui-même, les différences de calendrier de transposition ne nous ont pas empêché d’avancer. En revanche, cela complique la tâche des organisations actives dans plusieurs pays en engendrant des situations où une même entité doit respecter des obligations renforcées dans un État membre, tout en évoluant dans un cadre moins clair dans un autre. C’est pour cela que la convergence autour de cadres communs comme CyFun est si importante.

NIS2 insiste aussi sur la coopération européenne renforcée. Comment cela se traduit-il pour le CCB ?

La coopération avec les autres États membres fait partie de l’ADN du CCB. Nous collaborons déjà étroitement avec nos homologues via plusieurs réseaux européens tels que le NIS Cooperation Group, le CSIRT Network qui permet une collaboration opérationnelle très concrète ou encore le réseau EU-CyCLONe, dédié à la gestion de crise. Ces structures facilitent le partage d’informations, la coordination lors d’incidents transfrontaliers et l’élaboration de bonnes pratiques communes. Dans un environnement où les attaques ne s’arrêtent pas aux frontières, il serait impensable de ne pas coopérer étroitement. Nous mettons en œuvre également des coopérations bilatérales. 

Pour conclure, comment résumeriez-vous la philosophie belge dans la mise en œuvre de la directive NIS2 ?

Nous avons voulu être rapides, mais surtout pragmatiques et proches du terrain. NIS2 n’est pas seulement un cadre de contrôle, même si nous avons ce pouvoir d’inspection et de sanctions en cas de non-conformité. C’est une opportunité d’élever la cyber-résilience nationale grâce à un cadre clair, des outils concrets et un approche progressive. L’objectif est simple : que chaque organisation, quelle que soit sa taille, puisse renforcer sa sécurité et contribuer à élever le niveau global de cybersécurité du pays.