par Gorik Van den Bergh et Güney Yalcin
NIS2 : prêt pour l'échéance du 18 avril 2026 ?
Les menaces numériques augmentent de manière exponentielle. Pour les entreprises, la cybersécurité n'est donc plus une question purement technique, mais une priorité stratégique. Avec la législation NIS2, l'Europe a également consacré juridiquement cette réalité. Et le temps presse : bien que la loi belge NIS2 soit en vigueur depuis le 18 octobre 2024, le 18 avril 2026 représente une étape cruciale pour de nombreuses organisations. En effet, à cette date, il ne suffit plus de planifier ou de mettre partiellement en œuvre des mesures. Les organisations doivent être en mesure de démontrer efficacement qu'elles sont conformes.
Résumé :
D'ici le 18 avril 2026, vous devez être en mesure de démontrer votre conformité au NIS2.
Vérifier si votre organisation relève d'une entité essentielle ou significative
Prouver la conformité via CyFun ou ISO 27001
Comptez 3 à 6 mois de préparation pour l'audit/la certification.
Vous n'êtes pas en conformité ? Risque d'amendes, de responsabilité et d'atteinte à la réputation
À qui s'applique le NIS2 ?
Toutes les organisations n'ont pas les mêmes obligations. Le NIS2 distingue deux catégories :
Les entités essentielles
Les grandes organisations opérant dans des secteurs critiques tels que l'énergie, les soins de santé, les transports ou l'infrastructure numérique.
Entités clés
Organisations de taille moyenne ou prestataires de services dans les secteurs concernés.
Cette classification détermine les mesures à prendre et la manière de démontrer la conformité.
De l'effort à la preuve : qu'est-ce qui changera après l'échéance du 18 avril 2026 ?
L'échéance du 18 avril 2026 marque un changement clair : les organisations ne doivent pas seulement faire des efforts, elles doivent aussi être en mesure de prouver formellement leur conformité. En d'autres termes, il ne suffit plus de dire "nous travaillons", il faut fournir des preuves.
Pour les entités essentielles, cela signifie qu'elles doivent démontrer leur conformité par le biais d'un audit externe.
Lesentités clés ne doivent pas faire l'objet d'un audit obligatoire, mais leur conformité doit être démontrée. Les audits peuvent être réalisés (par exemple, après un incident).
La cybersécurité devient ainsi mesurable, vérifiable et applicable.
Comment démontrer la conformité ? Deux voies reconnues
En Belgique, il existe deux manières courantes de démontrer la conformité au NIS2 :
1. Principes fondamentaux du cyberespace (CyFun)
Le cadre belge CyberFundamentals, développé par le Centre for Cybersecurity Belgium (CCB), est l'approche la plus largement utilisée aujourd'hui.
Caractéristiques :
Trois niveaux : Basique, Important, Essentiel
Accent mis sur les mesures de sécurité concrètes et opérationnelles
Approche progressive possible
2. ISO/IEC 27001
ISO 27001 est une norme internationalement reconnue qui vise à mettre en place un système complet de gestion de la sécurité de l'information (SGSI).
Caractéristiques :
Approche stratégique et structurelle
Processus plus complet
Reconnaissance internationale
Bien que le 18 avril 2026 soit la date clé à laquelle les organisations doivent être en mesure de démontrer leur conformité, le cadre CyberFundamentals et les filières ISO 27001 permettent (en fonction de la filière choisie et du niveau d'assurance requis) un déploiement supplémentaire ou une certification à atteindre au plus tard le 18 avril 2027.
En quoi consiste précisément une évaluation de la conformité ?
Une idée fausse très répandue est que la conformité se résume à cocher une liste de contrôle. En réalité, elle implique une évaluation approfondie de votre organisation.
Auto-évaluation de votre niveau de cybersécurité
Audit externe par une partie accréditée
Vérification de la documentation et de la mise en œuvre effective
Ce processus dure en moyenne de trois à six mois, en fonction de la maturité de votre organisation.
Que se passe-t-il si vous ne respectez pas le délai ?
Les conséquences ne sont pas des moindres :
Amendes pouvant aller jusqu'à 10 millions d'euros ou 2 % de votre chiffre d'affaires global
Responsabilité personnelle potentielle des administrateurs
Atteinte à la réputation et perte de confiance
La cybersécurité devient donc explicitement une responsabilité du conseil d'administration.
Comment démarrer avec le NIS2 ?
Pour de nombreuses organisations, le NIS2 semble complexe à première vue, mais les premières étapes sont souvent plus claires que vous ne le pensez. Il s'agit d'abord d'évaluer correctement votre position : faites-vous partie d'une entité essentielle ou importante ? À partir de là, vous dressez la carte de votre niveau actuel de cybersécurité et identifiez les risques et les lacunes les plus importants.
Sur la base de cette analyse, vous choisissez un cours approprié, tel que CyberFundamentals ou ISO 27001, et vous vous efforcez de démontrer votre conformité de manière ciblée. Il est essentiel de commencer à temps. Non seulement parce que le processus prend plusieurs mois, mais surtout parce que NIS2 va au-delà de l'informatique. Il affecte également la gouvernance, la gestion des risques et la prise de décision stratégique. Par conséquent, l'implication de la direction n'est pas un avantage, mais une condition sine qua non de la réussite.
NIS2 : plus qu'une obligation
Le NIS2 est souvent perçu comme un simple exercice de conformité, mais en réalité, il offre surtout l'occasion de renforcer votre organisation. Vous maîtrisez mieux les risques, vous augmentez votre résilience opérationnelle et vous renforcez activement la confiance avec les clients, les partenaires et les parties prenantes. L'échéance du 18 avril 2026 n'est donc pas un point final, mais une étape importante vers une stratégie numérique durable.
Ce formulaire ne peut être envoyé qu’avec l’utilisation de cookies techniques. Vous pouvez accepter ces cookies ici.
Ces cookies sont utilisés pour distinguer les gens des robots. Certaines données, tells que votre adresse IP ou votre préférence linguistique, peuvent être envoyées à Google. Pour plus d’informations sur notre politique en matière de cookies, cliquez ici.
Gorik Van den Bergh
Team Lead IT audit gorik.vandenbergh@vdl.be
Güney Yalcin
IT Risk Advisor guney.yalcin@vdl.be
Clause de non-responsabilité
Nos avis s'appuient sur la législation, les interprétations et la doctrine en vigueur. Cela n'empêche que l'administration peut les remettre en cause ou que les interprétations existantes peuvent changer.
Informations et perspectives
Lisez nos derniers articles et communiqués de presse pour vous tenir informé(e) des changements dans votre secteur.
