Comprenez vos obligations, préparez-vous à l'évaluation de conformité et construisez un programme de cybersécurité défendable.
La Directive sur la sécurité des réseaux et de l'information (NIS2) est la réglementation européenne mise à jour en matière de cybersécurité qui s'applique aux entités essentielles et importantes dans des secteurs critiques. En Belgique, le Centre pour la Cybersécurité Belgique (CCB) est l'autorité de supervision.
S'applique à : Énergie, transport, banque, santé, infrastructure numérique, administration publique, et plus encore.
Le Règlement sur la résilience opérationnelle numérique (DORA) est un règlement européen spécifique au secteur financier, qui traite de la gestion des risques TIC, de la déclaration des incidents, du risque tiers et des tests de résilience.
S'applique à : Banques, compagnies d'assurance, entreprises d'investissement, établissements de paiement et leurs fournisseurs TIC critiques.
NIS2 s'applique aux entités essentielles (criticité plus élevée) et aux entités importantes (criticité modérée) dans 18 secteurs. Des seuils de taille s'appliquent dans certains secteurs :
DORA s'applique à toutes les institutions financières belges régulées par la BNB (Banque Nationale de Belgique) ou la FSMA, quelle que soit leur taille :
Mettre en place des mesures techniques et organisationnelles appropriées pour gérer le risque de cybersécurité, proportionnées à votre criticité.
Signaler les incidents importants au CCB (NIS2) ou à la BNB/FSMA (DORA) dans des délais stricts (notification initiale de 24 heures).
Maintenir des systèmes de sauvegarde, des plans de reprise après sinistre et des procédures de gestion de crise.
Évaluer et gérer les risques de cybersécurité des fournisseurs et prestataires de services.
Analyse régulière des vulnérabilités, gestion des correctifs et tests d'intrusion.
NIS2 exige explicitement une formation en cybersécurité pour les organes de direction (Article 20).
En Belgique, le Centre pour la Cybersécurité Belgique (CCB) est l'autorité de supervision NIS2. Le CCB a développé le cadre CyberFundamentals comme approche structurée de la conformité NIS2.
Les entités NIS2 belges peuvent démontrer leur conformité par :
Les États membres de l'UE doivent transposer NIS2 en droit national (Belgique en cours).
DORA est devenu applicable à toutes les entités financières concernées.
Les entités belges doivent s'enregistrer auprès du CCB et commencer les activités de conformité (calendriers exacts à déterminer dans la loi belge).
Remarque : Même si la loi nationale belge est encore en cours de finalisation, les entités devraient commencer la préparation maintenant. Les audits de supervision et l'application suivront peu après la transposition.
Même si vous n'êtes pas directement concerné par NIS2 ou DORA, vous devrez peut-être quand même vous conformer.
De nombreuses PME belges découvrent les obligations NIS2/DORA non pas par le champ d'application réglementaire direct, mais parce que leurs clients (banques, assureurs, opérateurs télécoms, entreprises énergétiques) exigent des normes de sécurité équivalentes de leurs fournisseurs.
Vous êtes une société de logiciels de 30 personnes fournissant un portail client à une banque belge. En vertu de DORA, la banque doit s'assurer que vous respectez les normes de gestion des risques TIC. Vous serez contractuellement tenu de démontrer les contrôles de sécurité.
Vous fournissez un support IT à un hôpital (entité essentielle NIS2). L'hôpital doit évaluer votre posture de cybersécurité dans le cadre de sa gestion des risques de la chaîne d'approvisionnement. Attendez-vous à des questionnaires de sécurité et à d'éventuels audits.
Les services de Safepoint correspondent directement aux exigences NIS2 et DORA :
Nous évaluons votre état actuel par rapport aux exigences NIS2/DORA/CyberFundamentals et construisons une feuille de route de conformité priorisée.
En savoir plus →Les tests d'intrusion réguliers sont une exigence NIS2/DORA. Notre équipe certifiée OSCP/OSCE fournit des rapports prêts pour l'audit.
En savoir plus →La certification ISO 27001 est une voie de conformité reconnue. Nous vous aidons à mettre en œuvre et à certifier.
En savoir plus →L'Article 20 de NIS2 exige une formation en cybersécurité pour les organes de direction. Nous proposons des programmes adaptés au conseil.
En savoir plus →