NIS2 Réponse aux Incidents en Belgique — Notification, Classification

La Directive sur la sécurité des réseaux et des systèmes d'information 2 — Directive NIS2 (UE 2022/2555) — est la réglementation en matière de cybersécurité la plus significative jamais adoptée par l'Union européenne. Elle remplace la Directive NIS originale de 2016 par un champ d'application considérablement élargi, des exigences de sécurité plus strictes et des mécanismes d'application incluant la responsabilité personnelle des dirigeants d'entreprise. Pour les équipes de réponse aux incidents, les implications sont immédiates et concrètes : il existe désormais des délais légalement imposés pour la détection des incidents, leur notification et l'analyse des causes profondes.

Ce guide présente ce que NIS2 exige, à qui elle s'applique et ce que votre programme de réponse aux incidents doit modifier pour atteindre la conformité. Que vous soyez déjà avancé dans votre préparation à NIS2 ou que vous commenciez tout juste à évaluer l'impact, cet article se concentre sur les implications pratiques pour la réponse aux incidents plutôt que sur le texte réglementaire complet.

Qu'est-ce que NIS2

NIS2 est la directive actualisée de l'UE sur la cybersécurité des réseaux et des systèmes d'information. Elle est entrée en vigueur le 16 janvier 2023 et les États membres de l'UE avaient jusqu'au 17 octobre 2024 pour la transposer en droit national. La directive vise à atteindre un niveau élevé commun de cybersécurité dans l'UE en imposant des obligations de sécurité et de notification d'incidents à un nombre bien plus large d'organisations que sa prédécesseure. En Belgique, le CCB (Centre pour la Cybersécurité Belgique) supervise la mise en œuvre de NIS2 à travers le cadre CyberFundamentals, qui associe des contrôles de sécurité à quatre niveaux d'assurance.

La Directive NIS originale (2016) s'appliquait à un ensemble relativement restreint d'« opérateurs de services essentiels » et de « fournisseurs de services numériques ». NIS2 étend considérablement ce champ d'application et introduit des exigences de sécurité plus prescriptives, des délais standardisés de notification d'incidents et des sanctions d'application significatives.

Pour les organisations déjà soumises à d'autres réglementations de l'UE (RGPD, Règlement DORA), NIS2 ajoute une couche spécifique à la cybersécurité qui complète, sans remplacer, les obligations existantes. Les exigences de notification d'incidents au titre de NIS2 sont distinctes de la notification de violation de données sous 72 heures prévue par le RGPD et peuvent s'appliquer à des incidents n'impliquant aucune donnée personnelle.

À Qui S'applique la Directive NIS2

NIS2 répartit les organisations entrant dans son champ d'application en deux catégories soumises à des régimes de surveillance différents :

Entités Essentielles

Soumises à une surveillance réglementaire proactive (les autorités peuvent effectuer des audits et des inspections sans événement déclencheur) :

Énergie (électricité, pétrole, gaz, hydrogène, chauffage urbain)
Transports (aérien, ferroviaire, maritime, routier)
Secteur bancaire et infrastructure des marchés financiers
Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux, entreprises pharmaceutiques)
Eau potable et eaux usées
Infrastructure numérique (points d'échange Internet, fournisseurs DNS, registres de domaines de premier niveau, fournisseurs de cloud computing, opérateurs de centres de données, fournisseurs CDN, prestataires de services de confiance, réseaux de communications électroniques publics)
Gestion des services TIC (B2B, fournisseurs de services gérés, fournisseurs de services de sécurité gérés)
Administration publique (gouvernement central)
Espace

Entités Importantes

Soumises à une surveillance réactive (les autorités enquêtent après un incident ou en cas de preuve de non-conformité) :

Services postaux et de messagerie
Gestion des déchets
Fabrication, production et distribution de produits chimiques
Production, transformation et distribution alimentaires
Industrie manufacturière (dispositifs médicaux, ordinateurs, électronique, machines, véhicules à moteur)
Fournisseurs numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux)
Organisations de recherche

160 000+

organisations estimées désormais dans le champ d'application de NIS2, contre environ 10 000 sous la Directive NIS originale

Seuils de taille : NIS2 s'applique en général aux entreprises de taille moyenne et aux grandes entreprises (50 employés ou plus, ou un chiffre d'affaires annuel supérieur à €10 millions). Toutefois, les États membres peuvent désigner des entités supplémentaires quelle que soit leur taille si elles sont le seul fournisseur d'un service critique, si une perturbation pourrait avoir un impact significatif sur la sécurité ou la santé publiques, ou si l'entité est d'importance systémique pour l'État membre. Certains secteurs (fournisseurs DNS, registres de domaines de premier niveau, prestataires de services de confiance) entrent dans le champ d'application quelle que soit leur taille.

Exigences de Notification d'Incident au Titre de NIS2

Le délai de notification d'incident est l'aspect ayant l'impact le plus direct sur les opérations IR. NIS2 introduit une obligation de notification en plusieurs phases avec des délais stricts, mesurés à partir du moment où l'organisation prend connaissance de l'incident significatif.

Dans les 24 heures : Alerte précoce

Informez votre CSIRT national ou l'autorité compétente par une alerte précoce comprenant :

Si l'incident est soupçonné d'être causé par des actes illicites ou malveillants
Si l'incident pourrait avoir un impact transfrontalier
Une description de base de la portée et de l'impact

Il ne s'agit pas d'un rapport d'incident complet. C'est une alerte qui déclenche des mécanismes de coordination, notamment pour les incidents ayant des implications transfrontalières potentielles. Le délai de 24 heures commence à courir dès que vous avez connaissance de l'incident, faisant de la rapidité de détection un facteur de conformité.

Dans les 72 heures : Notification d'incident

Fournissez une notification d'incident plus détaillée qui met à jour l'alerte précoce avec :

Évaluation initiale de la gravité et de l'impact
Indicateurs de compromission (IoC)
Services et systèmes affectés
Nombre d'utilisateurs ou d'entités affectés

À ce stade, votre enquête doit avoir suffisamment progressé pour fournir une évaluation d'impact pertinente et des indicateurs techniques. Cette notification doit être exploitable — les autorités et les organisations homologues ont besoin des IoC pour vérifier leurs propres environnements.

Sur Demande : Mises à jour de statut intermédiaires

Le CSIRT ou l'autorité compétente peut demander des mises à jour de statut intermédiaires à tout moment au cours de la réponse aux incidents. Votre équipe IR a besoin de canaux de communication établis et de modèles de rapport pour répondre à ces demandes sans perturber l'enquête en cours.

Dans le délai d'1 mois : Rapport final

Soumettez un rapport final exhaustif comprenant :

Description détaillée de l'incident, incluant la gravité et l'impact
Le type de menace ou la cause profonde ayant vraisemblablement déclenché l'incident
Les mesures correctives appliquées et en cours
L'impact transfrontalier, le cas échéant

Le délai d'un mois pour l'analyse des causes profondes (root cause analysis) signifie que votre investigation numérique doit produire des résultats dans cette fenêtre. Pour les incidents complexes, c'est un délai exigeant qui requiert une capacité forensique adéquate — interne ou via des accords de rétention avec des fournisseurs IR externes.

Qu'est-ce qu'un « incident significatif » ? NIS2 le définit comme un incident qui a causé ou est susceptible de causer : une perturbation opérationnelle grave des services ou une perte financière pour l'entité concernée, ou qui a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables. Il s'agit d'une définition large et les États membres peuvent apporter des précisions supplémentaires dans leur transposition nationale.

Mesures de Sécurité Requises par l'Article 21

L'Article 21 de NIS2 impose un ensemble de mesures de gestion des risques en matière de cybersécurité que les organisations doivent mettre en œuvre. Plusieurs d'entre elles sont directement pertinentes pour votre programme IR :

Analyse des risques et politiques de sécurité des systèmes d'information — Des politiques de sécurité documentées, régulièrement révisées et mises à jour, sont nécessaires. Elles constituent le fondement de votre plan IR.
Gestion des incidents — Exigence explicite de procédures de gestion des incidents. Il s'agit de votre plan de réponse aux incidents, qui doit exister, être documenté et être maintenu.
Continuité des activités et gestion de crise — Votre plan IR doit s'intégrer aux plans de continuité des activités. La réponse aux incidents en silo est insuffisante — NIS2 exige que vous puissiez maintenir ou rétablir vos opérations pendant et après un incident significatif.
Sécurité de la chaîne d'approvisionnement — Vous devez évaluer et gérer les risques de cybersécurité liés à vos fournisseurs et prestataires de services. Cela inclut des obligations de notification d'incident dans vos contrats avec la chaîne d'approvisionnement.
Gestion et divulgation des vulnérabilités — Procédures de gestion des vulnérabilités et de divulgation coordonnée. Cela comprend la capacité à identifier, évaluer et corriger les vulnérabilités de votre environnement.
Politiques d'évaluation de l'efficacité — Vous devez disposer de mécanismes pour évaluer si vos mesures de cybersécurité fonctionnent réellement. Les exercices de simulation (tabletop), les tests de pénétration et les revues post-incident répondent à cette exigence.
Formation en cybersécurité — Formation régulière à la sensibilisation à la cybersécurité et aux compétences pour l'ensemble du personnel, y compris la direction. Pour la réponse aux incidents spécifiquement, vos intervenants doivent être formés et l'ensemble de votre personnel doit savoir identifier et signaler les incidents de sécurité.
Cryptographie et chiffrement — Politiques d'utilisation de la cryptographie et, le cas échéant, du chiffrement. Cela est pertinent pour la réponse aux incidents lors du traitement de preuves sensibles et de la communication sur les incidents.
Sécurité des ressources humaines et contrôle d'accès — Incluant les politiques de gestion des accès, la gestion des actifs et l'authentification multifacteur ou l'authentification continue pour les accès privilégiés.

Sanctions et Application

NIS2 introduit des mécanismes d'application aux conséquences financières réelles :

Entités essentielles : Amendes pouvant atteindre 10 000 000 € ou 2 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé
Entités importantes : Amendes pouvant atteindre 7 000 000 € ou 1,4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé
Responsabilité de la direction : NIS2 stipule explicitement que les organes de direction peuvent être tenus personnellement responsables du non-respect des exigences de la directive. Cela inclut l'obligation pour la direction d'approuver les mesures de gestion des risques de cybersécurité, de superviser leur mise en œuvre et de suivre une formation en cybersécurité

La disposition relative à la responsabilité de la direction constitue une rupture significative avec la Directive NIS originale. Elle signifie que les membres du conseil d'administration et les cadres dirigeants qui ne garantissent pas la conformité peuvent faire face à des sanctions personnelles, et pas seulement à des amendes organisationnelles. Cela élève la cybersécurité du statut de question informatique à celui d'obligation de gouvernance au niveau du conseil d'administration.

Ce que Cela Implique pour Votre Programme IR

La traduction des exigences de NIS2 en modifications pratiques du programme IR produit une liste concrète de capacités que vous devez posséder :

Un plan de réponse aux incidents documenté — Explicitement requis par l'Article 21. Ce plan doit couvrir la détection, l'analyse, le confinement, l'éradication, le rétablissement et les activités post-incident.
Capacité de détection dans les 24 heures — Vous ne pouvez pas signaler ce que vous ne pouvez pas détecter. L'exigence d'alerte précoce sous 24 heures signifie que vous avez besoin d'une surveillance et d'alertes capables d'identifier les incidents significatifs suffisamment rapidement pour démarrer le délai de notification avec du temps en réserve.
Canaux de communication établis avec le CSIRT — Vous devez connaître votre CSIRT national, disposer d'un point de contact désigné et avoir testé le processus de notification avant qu'un incident ne survienne. En Belgique, il s'agit du CCB (Centre pour la Cybersécurité Belgique).
Préservation des preuves pour l'analyse des causes profondes — Le rapport final dans le délai d'un mois exige l'identification de la cause profonde. Vos procédures IR doivent donc inclure des étapes de préservation des preuves qui soutiennent l'investigation numérique — pas seulement le confinement et le rétablissement.
Personnel de réponse aux incidents formé — Votre équipe IR doit être capable d'effectuer les analyses nécessaires pour satisfaire aux exigences de notification. Cela comprend les compétences techniques (analyse de journaux, investigation numérique, extraction d'IoC) et les compétences en communication (rédaction de rapports d'incidents clairs pour les autorités de réglementation).
Tests réguliers du plan IR — L'exigence d'évaluation de l'efficacité de NIS2 signifie que vous devez tester régulièrement votre plan IR par des exercices de simulation (tabletop), des exercices de simulation ou des revues d'incidents réels.
Procédures IR pour la chaîne d'approvisionnement — Votre plan IR doit traiter les incidents originaires de votre chaîne d'approvisionnement ou l'affectant. Cela inclut des procédures de notification pour vos fournisseurs et des obligations contractuelles de notification d'incident.
Procédures de compte-rendu à la direction — Compte tenu de la responsabilité personnelle de la direction, votre plan IR doit inclure des procédures pour informer les cadres dirigeants des incidents significatifs et s'assurer qu'ils remplissent leurs obligations de gouvernance.

Se Préparer à la Conformité : une Liste de Contrôle Pratique

Si vous n'avez pas encore entamé votre préparation à NIS2, ou si vous souhaitez valider votre niveau de préparation actuel, parcourez cette liste de contrôle :

Déterminez votre champ d'application — Êtes-vous une entité essentielle ou une entité importante ? Vérifiez votre secteur, votre taille et les éventuelles désignations spécifiques à l'État membre. Consultez les orientations de votre autorité nationale.
Analyse des lacunes — Cartographiez vos capacités IR actuelles par rapport aux exigences NIS2 décrites ci-dessus. Documentez ce que vous avez, ce qui manque et ce qui nécessite une amélioration.
Établissez une relation avec le CSIRT — Identifiez votre CSIRT national et l'autorité compétente. Enregistrez-vous si nécessaire. Testez le canal de notification avec une communication non liée à un incident.
Développez des modèles de rapport — Créez des modèles standardisés pour l'alerte précoce de 24 heures, la notification d'incident de 72 heures et le rapport final d'un mois. Pré-remplissez-les avec les données de votre organisation afin que les intervenants puissent se concentrer sur les informations spécifiques à l'incident lors d'un événement réel.
Révisez la journalisation et la surveillance — Assurez-vous que votre infrastructure de journalisation prend en charge l'exigence de détection de 24 heures. Disposez-vous d'une rétention de journaux adéquate ? D'alertes en temps réel ? D'une capacité de surveillance en dehors des heures ouvrables ?
Réalisez un exercice de simulation — Organisez un exercice de simulation (tabletop) qui teste spécifiquement votre flux de travail de notification NIS2. Intégrez l'alerte précoce de 24 heures comme point de décision dans le scénario. Vérifiez que votre équipe peut produire les rapports requis dans les délais imposés.
Révisez les contrats de la chaîne d'approvisionnement — Assurez-vous que vos contrats avec les fournisseurs et prestataires de services incluent des exigences de cybersécurité et des obligations de notification d'incident conformes à NIS2.
Informez la direction — Informez votre conseil d'administration et vos cadres dirigeants des dispositions de responsabilité de la direction prévues par NIS2. Assurez-vous qu'ils comprennent leurs obligations d'approuver les mesures de cybersécurité, de superviser leur mise en œuvre et de suivre une formation en cybersécurité.
Faites appel à un support IR externe — Si votre équipe interne ne peut pas garantir la profondeur forensique nécessaire pour une analyse des causes profondes dans le délai d'un mois, établissez un accord de rétention avec un fournisseur IR externe. Le bon moment pour trouver un partenaire IR, c'est avant l'incident, pas pendant.

Besoin d'aide pour la conformité NIS2 ?

ForgeWork aide les organisations de Belgique et de l'UE à se préparer à la conformité NIS2. Du développement de programmes IR aux exercices de simulation et à la détection gérée, nous pouvons vous aider à satisfaire aux exigences de la directive.

Contacter Notre Équipe Construisez Votre Plan IR →