Guide de démarrage rapide avec NIS2

A. Dans le champ d'application : Entités NIS2

B. Dans la chaîne d'approvisionnement

Comme les entités NIS2 doivent gérer la cybersécurité de leur chaîne d'approvisionnement, elles peuvent demander à votre organisation de prendre des mesures de cybersécurité : Le Centre pour la Cybersécurité Belgique vous recommande d'identifier ceux qui sont essentiels à votre cybersécurité et de les inviter à mettre en œuvre au moins le niveau d'assurance CyberFundamentals Basic.

Toutes les entités NIS2 sont tenues de s'inscrire sur Safeonweb@Work :

• Les entités des secteurs numériques de la loi doivent s'enregistrer avant le 18th décembre 2024.
• Toutes les autres entités du NIS2 doivent s'inscrire avant le 18th mars 2025 au plus tard.

Le portail d'enregistrement actuel va bientôt être mis à jour pour inclure une partie spécifique sur NIS2.

À partir du 18^th octobre 2024, toutes les entités du NIS2 sont tenues de notifier au CCB les incidents significatifs, c'est-à-dire tout incident ayant un impact significatif sur la fourniture de leurs services et qui :

• a causé ou est susceptible de causer une grave perturbation opérationnelle des services ou une perte financière pour l'entité concernée ;
• a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

Les incidents importants peuvent être notifiés au CCB via sa plateforme de notification d'incidents (bientôt disponible) ou par téléphone au +32 (0)2 501 05 60 (seulement pour les urgences des entités NIS2)

Notre outil de sélection CyFun® vous permet de déterminer le niveau d'assurance approprié (basique, important ou essentiel) pour votre organisation. 

Les conseils d'administration et la direction doivent être formés à la cybersécurité afin d'assumer leurs responsabilités et leurs obligations, comme l'exige la législation NIS2. Pour prendre des décisions de gestion sur les stratégies et les mesures de cybersécurité au niveau du conseil d'administration, des connaissances de base en matière de gestion des risques et de cybersécurité sont indispensables. Il serait raisonnable de planifier la formation des cadres avant avril 2025.

Outre la formation de la direction, la formation des employés fait toujours partie de vos mesures de cybersécurité.

Les entités NIS2 peuvent utiliser le cadre CyFun® en 3 étapes pour se conformer à NIS2 :

1. Effectuer une analyse des lacunes à l'aide de l'outil d'auto-évaluation CyFun®.
2. Mettre en œuvre les mesures requises. Votre plan de mise en œuvre doit progressivement mettre en œuvre les mesures de cybersécurité en tenant compte des délais d'examen indiqués à l'étape 7. 
3. Mettez à jour votre auto-évaluation et rassemblez les preuves nécessaires pour confirmer la mise en œuvre.

Les entités essentielles doivent faire évaluer et réviser régulièrement leur mise en œuvre par une tierce partie. Cela peut se faire par le biais d'une certification CyFun® accordée par un organisme d'évaluation de la conformité (CAB) accrédité et autorisé. Les entités essentielles doivent obtenir le niveau d'assurance basique ou important avant le 18/04/2026, le niveau final (essentiel) devant être certifié avant le 18/04/2027.

Les entités importantes peuvent se soumettre à la même évaluation régulière de la conformité dans le cadre de CyFun®, ce qui leur confère une présomption de conformité. 

Sachez qu'il peut être très important pour les conseils d'administration et la direction d'avoir le label ou le certificat CyFun® approprié afin de pouvoir démontrer la conformité en cas d'incident.

Liste des organismes d'évaluation de la conformité autorisés et accrédités : (bientôt disponible).