Advisory

Conformité à la directive NIS2 : la voie à suivre après l’échéance du 18 octobre 2024

matthias de smet
Par:
Matthias De Smet
07 avr. 20264 min de lecture
insight featured image
Pour de nombreuses entreprises belges de taille intermédiaire, NIS2 donne encore l’impression de pouvoir attendre. La date limite d’enregistrement est désormais passée pour la plupart des entités concernées, les obligations de notification d’incident s’appliquent depuis le 18 octobre 2024, et le cadre belge est aujourd’hui pleinement opérationnel. Les entités essentielles font en outre face à une première échéance majeure en matière de preuves le 18 avril 2026. Autrement dit, il ne s’agit plus d’un projet de conformité futur. C’est un sujet de gestion actuel.
Contents

Ne pas agir n’est pas un choix neutre

La plus grande idée reçue autour de NIS2 est de penser que retarder l’action est un choix neutre. Ce n’est pas le cas. En Belgique, on attend des entités dans le périmètre qu’elles comprennent si elles relèvent de la loi, qu’elles s’enregistrent via Safeonweb@Work, qu’elles organisent la notification des incidents, et qu’elles puissent démontrer que les mesures de cybersécurité ne sont pas seulement documentées, mais bien mises en place. La Belgique y ajoute une dimension très pragmatique : les incidents significatifs doivent être signalés rapidement, avec un avertissement précoce dans les 24 heures et une notification plus complète dans les 72 heures.

Pour les entreprises de taille moyenne, l’enjeu est plus important qu’on ne le pense. Elles sont souvent suffisamment grandes pour être dans le périmètre, tout en restant « lean » dans leur organisation du risque, de la conformité et de l’IT. On observe alors un schéma classique : la cybersécurité est répartie entre plusieurs personnes, certaines décisions restent informelles, et les preuves clés sont dispersées entre équipes et outils. Cela peut sembler gérable au quotidien. Cela devient problématique dès qu’un incident survient ou qu’un régulateur pose des questions.

Le coût est souvent opérationnel avant d’être réglementaire

Quand les entreprises pensent à NIS2, elles pensent souvent d’abord aux amendes. En pratique, le premier coût est généralement interne. Du temps est perdu à reconstituer la documentation, clarifier les responsabilités, aligner finance et IT, et réagir dans l’urgence. L’organisation paie le retard via du travail en double, une prise de décision réactive et une distraction du management, bien avant qu’une sanction formelle n’entre en jeu.

Un exemple typique est celui d’une entreprise belge de taille intermédiaire qui se croit « largement couverte » parce qu’elle dispose d’une cyber-assurance, de quelques politiques et d’un partenaire IT externe. Sur le papier, cela semble rassurant. En réalité, la direction peut encore ignorer qui décide si un incident est notifiable, qui contacte le CCB, quelles preuves doivent être produites, ou comment informer les clients concernés. Les orientations belges sont claires : la notification doit se faire sans délai injustifié, pas au tout dernier moment. La préparation est donc une nécessité business, pas un détail administratif.

Ce que les entreprises devraient faire maintenant

Pour la plupart des entreprises du mid-market, la bonne réponse n’est pas un vaste programme de transformation. C’est un examen ciblé et pragmatique. Commencez par quatre questions : sommes-nous dans le périmètre ? nous sommes-nous correctement enregistrés ? qui est responsable de la notification des incidents ? quelles preuves serions-nous capables de produire dans un délai de 24 à 72 heures en cas de problème ?

Rien que cet exercice met souvent en évidence le véritable écart. Il s’agit rarement d’une absence totale de contrôles. Le plus souvent, le problème vient d’une responsabilité floue, d’une documentation incomplète et d’une dépendance excessive à quelques personnes clés. C’est exactement là que le coût de l’inaction s’accumule.

Chez Grant Thornton Belgium, nous constatons la même leçon à travers le risk, la conformité et les transactions : les entreprises qui agissent tôt ne réduisent pas seulement leur exposition réglementaire. Elles rendent les audits plus fluides, réagissent plus vite sous pression et présentent un profil plus crédible auprès des clients, des investisseurs et des prêteurs.

Tirer parti des mécanismes de soutien disponibles

Il est également important de souligner que les organisations ne doivent pas gérer cela seules. Dans le programme d’amélioration de la cybersécurité de la VLAIO, les entreprises peuvent bénéficier d’un accompagnement structuré, adapté à leur niveau de maturité.

Grant Thornton Belgium fait partie des prestataires sélectionnés et autorisés à exécuter ces trajectoires d’amélioration cyber.

Dans le cadre de cette initiative :

  • Les petites et moyennes entreprises peuvent obtenir jusqu’à 50 % de subvention
  • Les organisations plus grandes dans le périmètre NIS2 peuvent obtenir environ 35 % de subvention

Cela réduit fortement la barrière pour lancer un programme structuré de préparation ou d’amélioration NIS2, rendant l’action précoce non seulement pertinente sur le plan opérationnel, mais aussi financièrement accessible.

Si votre organisation considère encore NIS2 comme un sujet « à traiter plus tard », c’est le bon moment pour mettre cette hypothèse à l’épreuve. Un court examen pragmatique du périmètre et de la préparation peut déjà faire une différence matérielle.

TAGS  
AUTEURS