Conformite NIS2 : Ce Que Votre Partenaire IT Doit Savoir
Un de vos clients se prepare a la conformite NIS2 et a besoin de votre aide. Ce guide va a l'essentiel et vous donne, en tant que partenaire IT, exactement ce que vous devez savoir pour les accompagner — des bases reglementaires aux etapes pratiques de mise en oeuvre.
En tant que partenaire IT, vous devez comprendre la directive NIS2 et les exigences specifiques. Le CyberFundamentals cadre definit differents niveaux de conformite pour vos clients.
NIS2 en 2 Minutes (pour les Pros IT)
NIS2 est la directive europeenne sur la securite des reseaux et de l'information, transposee en droit belge. Elle s'applique aux entites essentielles et importantes dans des secteurs comme l'energie, la sante, l'infrastructure numerique, l'industrie manufacturiere et plus encore.
- S'applique aux moyennes et grandes organisations, plus les petites entites dans les secteurs critiques
- En Belgique, la conformite est verifiee via le cadre CyberFundamentals (CyFun) developpe par le CCB
- CyFun a 4 niveaux d'assurance : Small, Basic, Important et Essential
- La plupart des PME relevent du niveau Basic ou Important
- La non-conformite peut entrainer des amendes jusqu'a 2% du chiffre d'affaires mondial annuel
- La direction est personnellement responsable — ce n'est pas qu'une question IT
Ce Que Vos Clients PME Recherchent
Quand un client PME vous contacte au sujet de NIS2, il a generalement besoin d'aide pour :
Analyse d'ecarts
Comprendre ou ils en sont aujourd'hui par rapport aux exigences CyberFundamentals
Controles techniques
Implementation de pare-feu, MFA, protection des endpoints, sauvegardes, segmentation reseau — les controles que vous gerez probablement deja
Documentation des politiques
Creation de politiques de securite, politiques d'utilisation acceptable, plans de reponse aux incidents — documentes et maintenus
Collecte de preuves
Prouver que les controles sont en place et fonctionnent. Captures d'ecran, configurations, logs, resultats de tests.
Preparation a l'audit
Tout organiser pour qu'un auditeur CAB puisse verifier la conformite efficacement
Maintenance continue
Revisions annuelles, mises a jour des politiques, surveillance continue — la conformite n'est pas un projet ponctuel
Comment CyberFundamentals Se Rapporte a Votre Travail
CyberFundamentals est structure autour de 5 fonctions du cadre NIST. En tant que partenaire IT, vous en livrez deja une grande partie :
Identify
Inventaire des actifs, evaluations des risques, contexte metier. Vous connaissez leur infrastructure — documentez-la.
Protect
Controle d'acces, MFA, chiffrement, pare-feu, protection des endpoints, gestion des correctifs. C'est votre coeur de metier.
Detect
Surveillance, journalisation, detection d'anomalies. Configurez des alertes et examinez-les.
Respond
Plans de reponse aux incidents, procedures de communication, strategies de confinement. Aidez-les a planifier avant qu'un incident ne survienne.
Recover
Procedures de sauvegarde et restauration, plans de continuite d'activite. Testez ces sauvegardes regulierement.
Etapes Pratiques pour Livrer la Conformite NIS2
Cartographiez l'etat actuel de votre client par rapport aux controles CyberFundamentals. Identifiez ce qui est en place, ce qui est partiellement fait et ce qui manque completement.
Activez le MFA partout, verifiez que les sauvegardes fonctionnent, assurez-vous que la protection des endpoints est a jour. Ce sont des controles a fort impact et faible effort dont la plupart des clients ont besoin.
Beaucoup de clients ont deja de bonnes pratiques mais pas de documentation. Notez ce qui est deja fait — cela compte pour l'audit.
Aidez les clients a rediger des politiques de securite, des politiques d'utilisation acceptable et des plans de reponse aux incidents. Gardez-les pratiques et courts — 2 pages par politique suffisent.
Pour chaque controle, rassemblez les preuves : captures d'ecran de configuration, documents de politique, resultats de tests, registres de formation. Organisez par numero de controle CyFun.
L'audit est realise par un auditeur accredite CAB, pas par vous. Votre role est de rendre votre client audit-ready — tout documente, preuves organisees, controles demonstrables.
L'Opportunite Business pour Votre Pratique
La conformite NIS2 n'est pas un projet ponctuel — c'est un service continu. Pour les partenaires IT, cela represente une source de revenus significative et durable :
- Projet initial d'analyse d'ecarts et de remediation (ponctuel)
- Services de securite geres mensuels couvrant les controles requis
- Revisions trimestrielles des politiques et collecte de preuves
- Support annuel de preparation a l'audit
- Les clients en ont besoin pendant des annees, pas des mois — la conformite est continue
Livrez la Conformite NIS2 a Grande Echelle
Easy Cyber Protection est concu pour les partenaires IT qui veulent livrer l'audit-readiness NIS2 a plusieurs clients efficacement. Une seule plateforme pour gerer les analyses d'ecarts, suivre les controles, generer les preuves et preparer les clients a leur audit CyberFundamentals.
Questions Frequentes
Dois-je etre certifie pour aider les clients avec NIS2 ?
Non. Vous ne realisez pas l'audit — c'est le travail des auditeurs accredites CAB. Votre role est d'aider les clients a implementer les controles et preparer les preuves. Votre expertise IT existante est exactement ce dont les clients ont besoin. Cependant, vous familiariser avec le cadre CyberFundamentals est essentiel.
Et si mon client n'a besoin que du niveau Basic CyFun ?
Le niveau Basic couvre environ 50 controles et suffit pour la plupart des PME. Beaucoup sont des pratiques IT standard que vous livrez deja : protection des endpoints, sauvegardes, MFA, gestion des correctifs. Le principal ecart est generalement la documentation et les politiques formelles.
Combien de temps faut-il pour rendre un client audit-ready ?
Generalement 3 a 6 mois pour une PME au niveau Basic, selon leur point de depart. Si vous gerez deja leur IT, les controles techniques sont peut-etre a 70%. L'effort restant concerne la documentation, les politiques et la collecte de preuves.
Puis-je utiliser Easy Cyber Protection pour plusieurs clients ?
Oui. La plateforme est concue pour les MSP et partenaires IT gerant plusieurs environnements clients. Vous obtenez un tableau de bord unique pour suivre le statut de conformite de tous vos clients, avec des preuves et rapports par client.