NIS2 se profile. Et tout ira vite, très vite. Inetum appelle à lancer l’analyse de maturité en matière de cybersécurité.

« Tout ira vite, très vite, prévient Jo Leemans, Directeur des infrastructures, Inetum Belgium. Si la clarté ne sera entièrement faite sur le sujet qu’en fin d’année, voire début 2024, lorsque le Centre for Cybersecurity Belgium aura estimé son travail préparatoire finalisé, l’application de la directive par les organisations concernées a été fixée le 17 octobre 2024 ! Les spécialistes de la sécurité, doivent dès lors déjà prévoir les budgets et les ressources nécessaires. »

La directive NIS 2 a été publiée. Remplaçante de la directive de 2016, elle vise à renforcer la résilience des infrastructures IT de l’Union européenne face aux attaques informatiques. La liste des secteurs concernés est élargie. Conséquence : le nombre d’entreprises potentiellement impactées augmente considérablement. Il est urgent, pour chaque entreprise, de se poser la question : « suis-je concerné ? ». Et, dans l’affirmative, de préparer un plan d’action. 

Le champ d’action de NIS2 sensiblement étendu 

En Belgique, Inetum recommande de créer dès que possible une feuille de route de cybersécurité avec des budgets répondants aux recommandations de la directive. Selon une première estimation du CCB, quelque 2.400 entreprises belges tomberaient sous le coup de la nouvelle législation. Cette dernière couvre 11 secteurs de plus que la directive NIS1.

Le champ d’action est bien plus large. Dans NIS2, en effet, le nombre d’organismes assujettis aux obligations a augmenté. En effet, NIS 1 s’adressait strictement aux opérateurs de services essentiels ayant le statut légal d’opérateurs d’importance vitale. De son côté, NIS2 englobe non seulement ces opérateurs dits essentiels, mais aussi les acteurs de la chaine d’approvisionnement, les sous-traitants et prestataires de services ayant en charge une infrastructure critique. On retrouve maintenant dans les concernés, les acteurs des secteurs de l’agroalimentaire, la production, les services postaux et de messageries, la gestion des déchets, la distribution des produits chimiques, les collectivités territoriales, les administrations publiques (à l’exception de la défense, la sécurité nationale et publique, le maintien de l’ordre), les fabricants de produits critiques…

Les mesures minimales sont déjà connues !

Côté officiel, le gouvernement doit encore transposer la directive en droit belge. Et la transformer en loi. C’est pourquoi la législation finale n’est pas encore tout à fait claire. Cependant, il est aussi vrai que tous les États membres de l’Union européenne doivent veiller à ce que les organisations concernées appliquent les mesures nécessaires et puissent être tenues responsables si celles-ci n’ont pas été prises. 

Les mesures minimales sont déjà connues. Elles comprennent entre autres l’obligation de procéder à une évaluation des risques, de posséder un plan d’intervention en cas d’incident, de prévoir une formation en cybersécurité pour les membres de la direction, de posséder un plan de continuité des activités, une charte politique et des procédures écrites permettant d’évaluer l’efficacité des mesures de sécurité prises, etc. Enfin, des mesures techniques, opérationnelles et organisationnelles appropriées devront être prises afin de gérer les risques de sécurité, prévenir les incidents ou limiter leurs conséquences. 

Se lancer, maintenant !

Inetum encourage les organisations à procéder sans plus attendre à une analyse de maturité de la cybersécurité et à créer une feuille de route en phase avec NIS2. Ce faisant, elles auraient temps pour prendre les mesures nécessaires et avancer en toute sécurité tout en respectant la nouvelle directive.

« Idéalement, les mesures devraient pouvoir être implémentées cette année encore, conseille Jo Leemans. Les coûts seraient alors répartis. » Pratiquement, Inetum dispose d’une centaine de spécialistes de la sécurité en Belgique ; l’entreprise travaille également avec ses experts nearshore localisés en Espagne.

Pour éviter d’être victime de cybercriminalité ou du moins pour réduire au maximum cette possibilité, Inetum recommande que chaque organisation élève sa cybersécurité aux standards requis par la directive, enchaîne Koen Tamsyn, Solution Manager Cybersecurity, Inetum Belgium. « De même, les organisations qui ne font pas partie des secteurs mentionnés ont également intérêt à procéder à une analyse de maturité pour savoir où elles en sont et voir jusqu’où elles sont protégées contre les attaques potentielles. » Enfin, étant donné que la directive est fortement axée sur la relation existante entre les entreprises et leurs fournisseurs, les entreprises régies par cette règlementation devront également évaluer le niveau de sécurité de leurs fournisseurs. « Ainsi, la directive NIS 2 s’applique aussi indirectement aux fournisseurs », conclut Koen Tamsyn. Ce qui montre, encore, l’étendue de son champ d’action.