Conformité NIS 2 et pouvoirs locaux : qui est concerné ?

Justice numérique et intelligence artificielle : représentation holographique d’un marteau de juge au-dessus d’un ordinateur, symbolisant les décisions juridiques assistées par IA.

Dans son dernier rapport de la menace, l’Agence européenne de la cybersécurité (« ENISA ») indique que les menaces informatiques croient sans cesse avec des attaques toujours plus sophistiquées. Dans ce rapport, on constate que le secteur public représente près de 20% de l’ensemble des attaques1. Dès lors, la cybersécurité est devenue une priorité pour les services publics. Pour renforcer le socle commun de cybersécurité en Europe, l’Union européenne a adopté une directive sur cette matière en 20222, dite NIS 2 pour Network Information Security.

Si les pouvoirs locaux (communes, CPAS, intercommunales…) ne sont pas tous directement ciblés, certaines de leurs activités peuvent toutefois les rendre sujets à NIS 2.

Êtes-vous concerné par NIS 2 ? Les critères d’application en Belgique

Activités critiques et seuils de taille : les deux critères principaux

Une entité est soumise à NIS 2 si elle :  

  • exerce une activité listée dans les annexes I ou II de la directive ou de la loi belge de transposition3 (eau, santé, transport, recherche…) 
  • atteint un certain seuil de taille 
    • au moins 50 ETP. L’ensemble des travailleurs sous la même entité juridique doivent être pris en compte. Par exemple, pour une commune, le personnel des écoles est inclus.
    • un chiffre d’affaires/bilan annuel supérieur à 10 millions d’euros.

Cependant, une entité peut aussi être désignée essentielle ou importante, quelle que soit sa taille, si elle fournit un service critique unique ou si une interruption pouvait avoir un impact sur la sécurité publique ou l’économie4.

Pouvoirs locaux : quelles activités peuvent soumettre à NIS 2 ?

Les entités locales ne sont pas de facto soumises à la législation NIS 2. Néanmoins, certaines activités sectorielles qu’elles exercent peuvent entraîner leur inclusion.  

Cela peut être automatique (par activité et taille) ou résulter d’une décision du Centre pour la Cybersécurité Belgique5 (CCB). 

Voici quelques exemples de cas où une entité locale est soumise à NIS 2 par les activités qu’elles proposent et parce qu’elle dépasse le critère de taille analysé ci-dessus :  

  • Distribution d’eau potable aux citoyens  

Les pouvoirs locaux qui exploiteraient eux-mêmes le réseau de distribution et d’évacuation des eaux rentrent dans les catégories de services soumises à NIS 2 

  • Maison de repos et de soins 

Il arrive que les CPAS exploitent une maison de repos et de soins sur leur territoire. Etant donnée la fourniture de prestations de soins de santé en ces lieux, l’activité est reprise dans les annexes de NIS 2 et l’entité (le CPAS dans son ensemble) peut se voir soumise à la législation.  

  • Parc photovoltaïques/énergie renouvelable  

Si l’entité locale dispose d’un parc d’énergie renouvelable (panneaux solaires, éoliens), elle est considérée comme productrice électricité et peut être soumise à NIS 2. 

Quelles obligations pour les entités soumises à NIS 2 ?

La loi distingue deux catégories d’entités soumises : les entités essentielles et les entités importantes.  

Cette distinction repose sur la nature des activités exercées et la taille de l’organisation. La différence a une influence sur la maturité à adopter ainsi que le régime de supervision : 

  • Les entités essentielles font l’objet d’un contrôle proactif par l’autorité compétente et sont soumises à une certification de la part d’un organisme de contrôle.  
  • Les entités importantes sont soumises à un contrôle réactif, effectué notamment après un incident ou en cas de signalement, et ne sont pas soumises à une certification.  

Toutefois, la catégorisation impacte les modalités de suivi, d’évaluation et les exigences de conformité formelle (comme l’attestation ou la certification). 

 

Dans les deux cas, les obligations en matière de gestion des risques, de sécurité des systèmes d’information et de notification des incidents sont similaires.  

L’entité soumise doit tenir un dossier de conformité qui doit contenir certains documents obligatoires, dont, notamment6 : 

  • désigner un responsable cybersécurité ; 
  • mener une analyse de risques ; 
  • établir une politique de sécurité des systèmes d’information ; 
  • mettre en place des mesures techniques et organisationnelles ; 
  • Former l’ensemble du personnel à la cybersécurité ; 
  • notifier les incidents significatifs au CCB ; 
  •  

CyFun, le cadre de référence conseillé pour les administrations

Le  CyberFundamentals Framework (« CyFun », ci-après), élaboré par le CCB, est la méthode officiellement recommandée7 pour structurer la mise en conformité aux exigences de la directive NIS2 au sein des administrations publiques.  

Il fournit une approche progressive et proportionnée, adaptée à la diversité des organisations publiques et privées. 

Le cadre se décline en 4 niveaux : 

  • Small : conçu pour les très petites structures ou celles disposant de ressources limitées, il propose un socle minimal de mesures faciles à implémenter ; 
  • Basic : niveau de base pour toute organisation, il couvre les mesures de sécurité considérées comme essentielles pour se prémunir contre les risques les plus courants ; 
  • Important : ce niveau s’applique aux entités qui jouent un rôle significatif dans la société ou l’économie. Elles doivent mettre en place des mesures de cybersécurité renforcées. Les entités considérées comme importantes au sens de la directive doivent atteindre ce niveau. 
  • Essential : ce niveau vise les entités les plus critiques, celles dont la compromission aurait un impact majeur sur les services essentiels au bon fonctionnement de la société ou de l’économie. Elles sont soumises aux exigences les plus strictes en matière de gestion des risques, de gouvernance, de détection des incidents, de continuité d’activité et de certification formelle. Les entités considérées comme essentielles au sens de NIS 2 doivent atteindre ce niveau de maturité.  

CyFun est aligné sur les standards internationaux reconnus (ISO 27001, NIST, CIS Controls) et constitue la base de référence pour l’évaluation, l’autoévaluation, l’audit ou la certification en matière de cybersécurité, tant pour les entités soumises à NIS2 que pour celles qui souhaitent se structurer volontairement. 

Les étapes clés vers une conformité NIS 2 réussie

Voici les premières mesures qui permettent à l’entité d’entrer dans une conformité NIS 2. Elles constituent un point de départ, sur lequel viendront ensuite se rajouter les obligations plus formelles. Voici donc les actions prioritaires à mettre en œuvre. 

  1. Identifier les actifs et processus critiques : établir un inventaire des systèmes, équipements, services et flux d’information essentiels au fonctionnement de l’organisation. 
  2. Réaliser une analyse de risques : évaluer les menaces, vulnérabilités et impacts potentiels pour chaque actif critique. 
  3. Choisir un référentiel adapté : normes internationales (ISO 27001, NIST…) ou niveau adéquat du CyFun. 
  4. Mettre en œuvre les premières mesures techniques : telles que l’authentification multifacteur (MFA), les sauvegardes régulières, la segmentation du réseau et la gestion des accès. 
  5. Élaborer une politique de sécurité des systèmes d’information claire et documentée. 
  6. Former et sensibiliser les collaborateurs : intégrer la cybersécurité dans la culture de l’organisation. 
  7. Instaurer des procédures de suivi et de réponse aux incidents : prévoir des mécanismes d’alerte, d’analyse et de remédiation. 

Ces premières actions permettent d’amorcer concrètement la démarche de conformité à NIS 2. Elles offrent un socle solide pour sécuriser les systèmes, structurer la gouvernance de la cybersécurité, et répondre progressivement aux exigences du CCB. Leur mise en œuvre est importante pour bâtir une stratégie cohérente, durable et adaptée aux réalités du terrain.

Pas (encore) concerné par NIS 2 ? Voici pourquoi agir quand même

Même sans obligation formelle, toute organisation publique ou privée, quel que soit sa taille ou son secteur, a intérêt à initier une démarche de sécurisation de ses systèmes d’information. Les CyFun constituent à ce titre une base pertinente, recommandée au niveau national, qui permet à toute entité de mettre en place des mesures de cybersécurité graduelles et adaptées à ses capacités. 

Adopter une approche de maturité en matière cyber c’est : 

  • gagner en confiance, ce qui peut constituer un avantage stratégique dans le cadre de partenariats publics, appels à projets ou de relations interinstitutionnelles ; 
  • renforcer sa résilience numérique, en s’assurant que l’organisation est préparée à faire face aux menaces les plus courantes ; 
  • protéger ses actifs (données à caractère personnel, données financières…), qu’il s’agisse d’informations liées à des citoyens, à des partenaires, ou à des processus internes critiques ; 
  • réduire les coûts associés aux cyberincidents, que ce soit en matière de pertes opérationnelles, d’atteinte à l’image ou de contentieux ; 
  • anticiper l’avenir, en intégrant dès aujourd’hui les principes que d’autres cadres réglementaires viendront probablement exiger demain. 

Le niveau Basic est pensé comme une porte d’entrée: il ne demande ni investissements disproportionnés ni expertises de pointe, mais fournit une base solide à toute structure qui souhaite aborder la cybersécurité avec sérieux, méthode et bon sens. 

Bien plus qu’une obligation, une opportunité à saisir

NIS2 s’applique à certaines entités publiques ou privées en fonction de leur activité et de leur taille. Mais au-delà de ces critères objectifs, c’est bien la nature critique des services rendus qui peut faire basculer une entité dans le champ d’application.  

En Belgique, le CCB dispose d’un pouvoir de désignation : il peut identifier une entité soumise, même si elle ne remplit pas les conditions de seuil classiques. 

Dans ce contexte, nous conseillons à toute organisation d’aborder la cybersécurité comme un enjeu stratégique de gouvernance et non comme une contrainte technique.  

Les CyFun permettent d’organiser cette montée en maturité de façon progressive, réaliste et alignée avec les bonnes pratiques. 

Enfin, il faut rappeler que l’enregistrement auprès du CCB était obligatoire pour les entités soumises avant le 18 mars 2025.  

Mais au-delà de cette obligation, il constitue aussi une opportunité : les entités qui s’enregistrent volontairement peuvent bénéficier d’outils, de recommandations et d’un accompagnement utile, quelle que soit leur situation.  

La cybersécurité ne doit pas être subie et doit être anticipée. 

Vous ne savez pas par où commencer ? Nous pouvons vous aider. 

CTI Consulting accompagne les organisations dans la compréhension des exigences de NIS2, la mise en œuvre du cadre CyFun, et le déploiement de politiques de cybersécurité adaptées à votre réalité. Qu’il s’agisse d’un diagnostic initial, d’un plan d’action priorisé ou d’un accompagnement dans la durée, notre approche est pragmatique, pluridisciplinaire et orientée terrain. 

1ENISA, Threat Landscape 2024, septembre 2024, p. 16, disponible sur https://www.enisa.europa.eu/sites/default/files/2024-11/ENISA%20Threat%20Landscape%202024_0.pdf#page=17

2 Directive (UE) 2022/2555du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, J.O., L333, 27/12/2022, p.80 à 152.

3 Loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, (« Loi NIS2 », ci-après).

4 Art. 11 de la Loi NIS2.

5 Le Centre pour la Cybersécurité en Belgique est l’autorité chargée de la bonne application de la directive NIS2 en Belgique.   

6 Art. 30-38 de la Loi NIS2

7 Avis 01/2024 du 24 janvier 2024, « Directive du CCB pour les systèmes d’information des administrations et institutions publiques ». 

Vous souhaitez mettre en conformité votre organisation ou votre solution à NIS 2 ?

Faites-vous accompagner par nos consultants pour avancer en toute sérénité.

Contactez-nous !

Découvrez nos autres articles

NIS2 et pouvoirs locaux : qui est vraiment concerné ?
NIS2 et pouvoirs locaux : qui est vraiment concerné ?
Découvrez si votre commune, CPAS ou intercommunale est concernée par la directive NIS2. Activités critiques, seuils de taille, obligations légales,...
Voir Plus
Intelligence artificielle: votre organisation cadre-t-elle son usage de manière adéquate ?
Intelligence artificielle: votre organisation cadre-t-elle son usage de manière adéquate ?
Face à l’essor de l’IA,...
ChatGPT: qu’en est-il de vos données personnelles ?
ChatGPT: qu’en est-il de vos données personnelles ?
Dans cet article, un éclaircissement...

À propos de CTI

CTI CONSULTING est un cabinet de conseil qui aide les organisations à faire usage du digital à bon escient.  

Notre équipe pluridisciplinaire de consultants vous accompagne pour définir, acquérir, intégrer et utiliser des outils numériques de manière efficace et responsable.  

Envie d’en savoir plus ?

Découvrez notre équipe !

Vous souhaitez garantir la conformité de votre organisation ou de votre solution à NIS2 ?

Faites-vous accompagner par nos consultants pour avancer en toute sérénité.

Contactez-nous !
Étiqueté ,
Cookies : Vérifier ou modifier mes choix

CTI Consulting SRL • Quai Louva 21, 4102 Seraing

info@cticonsulting.be • BE 0684.508.610

Police vie privée   Cookies