NIS2, démarrage réel… mais inégal et souvent insuffisant
Si beaucoup d’organisations ont « pris en main » NIS2, la majorité n’est toutefois pas encore au niveau attendu pour une conformité robuste et soutenable, estime Fabrice Hecquet, CEO, CyberXpert. Bilan après un an.
« Plusieurs enquêtes et rapports le montrent : les travaux -inventaires, gouvernance, équipes et premiers plans d’action- ont bel et bien démarré, mais une proportion significative d’organisations ne sont pas encore ‘prêtes’ au sens d’une mise en conformité complète. »
Selon les études, le niveau moyens de préparation se situe autour des 50 à 60% sur les contrôles clés, soit un « gap » important entre l’effort engagé et le niveau exigé. Ainsi, Aon a mesuré une moyenne de préparation d’environ 58 % sur un ensemble de mesures critiques.
« Au bout d’un an, estime Fabrice Hecquet, on est loin de la mise en conformité complète, loin aussi d’avoir atteint une posture durable sur tous les volets -gouvernance, gestion des incidents, tests, supply-chain, preuve documentaire. Le travail qui reste est surtout organisationnel : gouvernance, contrats, reporting. Et humain : compétences, changelog. »
L’horloge impose d’accélérer
La NIS2 a clairement bousculé la trajectoire cybersécurité des entreprises : l’activation des obligations a déclenché des projets concrets et des budgets, mais l’avancement reste inégal. Les défis ne sont pas seulement techniques ; ce sont surtout des sujets de gouvernance, de financement, de compétences et de coordination avec les tiers.
En Belgique, la présence d’un référentiel national pragmatique (CyFun) et l’action active du CCB facilitent la mise en route, mais l’horloge vers les échéances 2026–2027 impose d’accélérer. « Les entreprises qui n’ont pas déjà structuré gouvernance et priorisation courent un risque réel de surcharge ou de non-conformité dans les 12–24 prochains mois », prévient Fabrice Hecquet.
Les enjeux à venir
À l’approche des échéances, il va y avoir un nombre élevé d’évaluations, donc une intensification des audits. La robustesse et la qualité des audits seront clés pour garantir la crédibilité de la démarche. La pression réglementaire ne fera que croître. Le CCB et les autorités sectorielles pourraient basculer vers une posture plus répressive, notamment en cas d’incidents majeurs ou de non-respect évident des obligations.
« Gare aux effets domino sur les chaînes de valeur, anticipe Fabrice Hecquet. Même les entités ‘importantes’ ou non dans le périmètre pourraient subir des exigences de conformité de la part de leurs clients -souvent des entités essentielles. Cela pousse vers une diffusion de la démarche NIS2 à tout l’écosystème ou, tout du moins, à être en mesure de présenter une robustesse cyber de la chaine d’approvisionnement. »
Bilans d’écart : « checked »
De toute évidence, on assistera à un renforcement du reporting et de la surveillance. Les contrôles documentaires, l’auditabilité, la traçabilité, les métriques de sécurité deviendront des critères d’évaluation à part entière. Les entreprises devront renforcer leur fonction interne (responsable de la sécurité, équipe de compliance, formation continue) afin d’assumer le suivi, l’évaluation et l’amélioration continue.
En revanche, et c’est heureux, les GAP Analysis ou bilans des écarts ont déjà été menés par un grand nombre d’entreprises. Cela au travers de l’outil de self assessment mis en place par le CCB. Ou en faisant appel à des sociétés externes spécialisées.
Un calendrier serré et des mesures lourdes à mettre en place
Beaucoup d’entités atteindront le niveau « Basic » ou « Important » d’ici 2026, mais seules les plus matures seront capables de viser le niveau « Essential » dans le délai, entrevoit Fabrice Hecquet. « Les entités essentielles pourraient imposer à leurs fournisseurs ou partenaires -même non soumis initialement- des exigences de conformité, accélérant la diffusion du cadre NIS2 dans l’écosystème. »
Les référentiels (CyFun, normes ISO, NIST) évolueront pour intégrer les retours terrain, les avancées technologiques (IA, IoT, OT) et les menaces émergentes. D’ailleurs une mise à jour des CyFun vient d’être publiée.
Les entreprises traiteront davantage la cybersécurité non comme un silo technique, mais comme un pilier stratégique lié à la résilience, la continuité d’activité, la protection des données et la responsabilité juridique.
NIS2, une politique du changement
Certains contrôles sont complexes à mettre en place. Les contrôles « Essential » les plus complexes et coûteux du CyFun sont ceux qui relèvent de la gouvernance, de la gestion des identités, de la continuité et de la chaîne de fournisseurs. Ils exigent des projets pluri-annuels, un investissement significatif et une mobilisation inter-métiers (IT, HR, juridique, achats, direction).
« Si nous prenons le contrôle de la chaine d’approvisionnement dans un entreprise qui compte plusieurs centaines de parties tierces, la mise en place de ces contrôles demande d’appliquer une véritable politique du changement, continue Fabrice Hecquet. Il faut pouvoir les classer en termes de risques (quels sont les parties tierces les plus à risques pour l’activité de l’entreprise), d’impacts économiques (si jamais ils ne présentent pas les garanties minimum)… » De fait, parmi les acteurs d’une chaine d’approvisionnement cela peut aller d’Ali Express à Microsoft en passant par le fournisseur telco er les sociétés de services qui ont accès au système d’information.
Un tempo clair
Un an après l’entrée en application du cadre NIS2 en Belgique, l’état d’avancement est prometteur mais encore incomplet. Beaucoup d’entreprises ont pris le train en marche : inscription, premiers diagnostics, mise en œuvre partielle de mesures. Pourtant, rares sont celles déjà à un niveau de conformité complet et audité.
« Les obstacles sont nombreux : ressources, compétences, gouvernance, chaîne tiers, contraintes techniques sectorielles. Le cadre belge offre un avantage avec le référentiel CyFun et les outils associés, mais cela ne dispense pas d’un effort réel, structuré et soutenu. »
Pour Fabrice Hecquet, les échéances d’avril 2026 / 2027 imposent un tempo clair -les organisations doivent désormais accélérer, structurer leur démarche, prioriser leurs efforts et, enfin, s’assurer que la conformité ne soit pas vue comme une « checklist » superficielle, mais comme une posture durable de résilience cyber.
