L’Europe face à NIS2 : entre ambition commune et disparités nationales

Plus d’un an après la transposition de la directive NIS2, la Belgique fait figure de pionnière en Europe. Avec plus de 4 000 entités déjà enregistrées et un cadre national — le CyberFundamentals — adopté par la majorité des entreprises concernées, le pays illustre une mise en œuvre pragmatique et structurée de la cybersécurité. De quoi inspirer la France, encore en pleine phase d’adaptation législative.

« Nous avons actuellement (octobre 2025) 1 500 organisations essentielles et 2 500 organisations importantes enregistrées sur notre portail – représentant la première étape pour entrer en conformité avec NIS2 », évoque le Centre pour la Cybersécurité de Belgique (CCB), l’équivalent de l’ANSSI en Belgique. Plus d’un an après sa transposition dans le droit national, la mise en œuvre de la loi belge sur la résilience numérique des infrastructures critiques se généralise dans tout le pays. Une entité est considérée comme importante si elle emploie au moins 50 personnes ou génère plus de 10 millions d’euros de chiffre d’affaires annuel, et qu’elle opère dans l’un des 18 secteurs jugés critiques : de l’énergie aux transports, en passant par la santé, l’eau, les télécommunications, la gestion des déchets ou encore l’alimentation. Les entités concernées doivent s’enregistrer sur la plateforme Safeonweb@Work, réaliser une analyse de risques complète, identifier leurs vulnérabilités et mettre en place des mesures de protection adaptées (gestion des incidents, sauvegarde des données, continuité d’activité, divulgation des failles de sécurité). Tout incident majeur doit être signalé au CCB : une alerte dans les 24 heures, un rapport dans les 72 heures, puis un rapport final dans le mois. Les entités essentielles, quant à elles, sont soumises à une surveillance renforcée et à des contrôles réguliers. Sont concernées les structures de plus de 250 employés ou réalisant plus de 50 millions d’euros de chiffre d’affaires annuel, opérant dans l’un des 11 secteurs hautement critiques (énergie, santé, transports, services financiers, infrastructures numériques, administration publique, spatial…). Ces organisations doivent non seulement assurer leur propre conformité, mais aussi vérifier la cybersécurité de leurs fournisseurs et partenaires, rendant la directive indirectement applicable à une large partie du tissu économique. À noter que les sanctions en cas de manquement sont lourdes : jusqu’à 10 millions d’euros d’amende ou 2 % du chiffre d’affaires mondial, et les dirigeants peuvent voir leur responsabilité engagée.

Pour aider les entreprises à y voir plus clair, le CCB a mis en place le cadre CyberFundamentals (CyFun®). Référentiel national, il est structuré en plusieurs niveaux — de Basic à Essential — et définit les mesures minimales de cybersécurité à mettre en œuvre selon la taille et le niveau de risque de l’organisation. « Le cadre CyberFundamentals est très bien connu des entreprises concernées. 70 % d’entre elles l’utilisent. Il a été conçu pour les entreprises, avec l’aide des entreprises. Diverses parties prenantes ont été associées à sa création, et le CCB prend en compte tous les retours reçus sur le cadre. Comme il a été conçu en collaboration avec les entreprises, il a été bien accueilli », poursuit le CCB et d’ajouter : « La dernière version, 2025, a été présentée la semaine dernière. Un point important pour les organisations était — et dans certains cas l’est toujours — de comprendre si leur structure relevait ou non du champ d’application de la loi belge NIS2. Le CCB a mis à disposition des informations détaillées pour les aider à comprendre le cadre juridique et ses implications concrètes. Il a même créé un outil de test permettant de vérifier si elles sont concernées ou non. » Un autre défi consistait à déterminer quand un incident pouvait être considéré comme « significatif » et donc obligatoire à notifier. Le CCB a donc élaboré un guide spécifique pour aider les organisations à comprendre ce concept. De nombreuses questions ont également porté sur l’enregistrement, l’utilisation concrète de CyFun®, et son articulation avec la norme ISO 27001. Avec plus d’un an de recul, le Centre belge tire des enseignements utiles pour les États qui n’auraient pas encore transposé NIS2 : « Nous suggérons aux autres États membres de fournir autant d’informations que possible dès que possible. Bon nombre des questions que nous avons reçues auraient pu être évitées si des explications claires avaient été données en amont. Nous avons également constaté que les événements en ligne “Connect & Share” étaient très efficaces : nous y avons présenté NIS2 et CyFun® à plus de 1 000 participants avant de répondre aux questions dans des salles de discussion. »

Pour la plupart des groupes disposant de filiales en Europe, la transposition représente un véritable casse-tête. En l’absence de cadre encore opérationnel en France, une entreprise ayant une filiale en Belgique et soumise à NIS2 est-elle concernée par la loi belge ? Et lorsque la loi sera transposée en France, quelle règle primera ? EDF, présent en France, en Italie et en Belgique, a choisi d’adopter une politique qui sera appliquée dès l’année prochaine. « Ce protocole est pleinement aligné avec NIS2, le Cyber Resilience Act adopté en octobre dernier par le Conseil de l’UE, la LPM et les exigences sectorielles du nucléaire et de l’énergie. Autrement dit, un site conforme à cette politique l’est par construction vis-à-vis de NIS2, quelle que soit la version nationale transposée », explique Jean-Marc Autret, responsable de la cybersécurité des systèmes industriels (RSSI OT) au sein d’EDF. Autre difficulté : à quelle autorité notifier un incident ? « En France, l’ANSSI impose une notification dans les 72 heures avec un formalisme précis. En Belgique, d’autres critères de gravité ou de seuil s’appliquent selon les régulateurs. Cela implique un suivi constant des législations locales, des audits multinormes et parfois des redondances dans les exigences. Cela complexifie la gouvernance cyber et nécessite une forte coordination entre entités », poursuit Jean-Marc Autret. L’objectif, pour beaucoup d’acteurs, serait une harmonisation européenne des mesures et procédures. « En ce qui concerne les mesures de cybersécurité, nous suggérons d’éviter de réinventer la roue. De nombreux cadres existent déjà et peuvent être utilisés par d’autres États membres. CyFun®, par exemple, est déjà déployé en Croatie, en Irlande et en Roumanie. Cela facilite la tâche des organisations multinationales présentes dans plusieurs pays », partage le CCB, rappelant que la Belgique est un membre actif du groupe de coopération NIS (NISCG).

Certaines voix se sont récemment élevées concernant la transposition française de NIS2, jugée trop floue sur le fléchage des investissements vers les offres européennes. « C’est faux. L’exigence de détection “souveraine” est dans le code de la défense depuis 2013, et demeure dans le projet de loi actuellement examiné. La supprimer maintenant serait un contresens historique. Cette exigence sera donc maintenue, mais nous avons engagé un travail de revue des solutions techniques et des architectures associées. Les exigences de 2013 imposent systématiquement une détection réseau (NDR) passive et une architecture figée. L’état de l’art a beaucoup évolué depuis : EDR, NDR actifs, analyse de logs. Une détection efficace nécessite désormais la combinaison de plusieurs solutions, selon le cas d’usage, et nous avons la chance d’avoir des solutions « souveraines » dans tous ces domaines. Nous devons intégrer ces possibilités nouvelles et simplifier leur mise en œuvre. Ce n’est pas un débat entre solutions souveraines et non souveraines, mais un débat entre différentes solutions souveraines, celles qui sont imposées depuis le début et celles qui seraient plus adaptées ou complémentaires dans certains cas d’usage. Il doit nous amener à une obligation de résultat et d’efficacité, plus que de moyens. Ce débat n’est pas fini, il se poursuivra dans les prochains mois avec l’ensemble des parties prenantes », assure Vincent Strubel, directeur de l’ANSSI, dans un post LinkedIn. « Ce projet est une formidable opportunité pour développer la souveraineté numérique et réduire notre dépendance. L’augmentation de la résilience cyber qu’il va imposer est l’occasion de revoir les choix de solutions antérieures. Les alternatives sont là ! », estime Arnaud Dufournet, directeur marketing de TheGreenBow et de conclure : « Nous appelons à une mise en œuvre rapide, car les débats parlementaires durent depuis plusieurs mois. Les entreprises ont besoin de visibilité pour s’organiser. Pour celles disposant de filiales en Europe, notamment en Belgique, il devient difficile de jongler entre différentes situations réglementaires. » Du côté de l’Assemblée nationale, l’appel semble avoir été entendu. Le projet de loi doit être examiné prochainement en séance publique.