La directive NIS2 redéfinit les obligations cybersécurité de milliers d'entreprises belges. Voici un guide complet pour comprendre votre périmètre, vos obligations et la trajectoire à suivre.
La directive NIS2 (Directive UE 2022/2555) remplace la directive NIS originale de 2016. Elle a été transposée en droit belge en 2024 et impose un cadre cybersécurité harmonisé à l'ensemble des acteurs économiques considérés comme essentiels ou importants pour le fonctionnement de la société.
Là où NIS1 ne concernait que quelques centaines d'entités en Belgique, NIS2 étend largement le périmètre : on estime que plus de 2500 entités belges sont désormais concernées, dans des secteurs aussi variés que l'énergie, la santé, les transports, le numérique, l'industrie manufacturière, les services postaux, l'agroalimentaire ou la gestion des déchets.
Pour comprendre si votre entreprise est concernée, il faut croiser deux critères : votre secteur d'activité et votre taille. Les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans un secteur listé sont en principe concernées, avec des nuances selon le secteur.
NIS2 distingue deux catégories d'entités. Les entités essentielles (santé, énergie, transports, finances, infrastructures numériques critiques, eau potable) sont soumises au régime le plus strict : supervision proactive, obligations renforcées, sanctions pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.
Les entités importantes (services postaux, gestion des déchets, alimentaire, fabrication de produits chimiques, certains services numériques) sont soumises à un régime allégé mais réel : supervision réactive, obligations identiques mais contrôles moins fréquents, sanctions plafonnées à 7 millions d'euros ou 1,4% du chiffre d'affaires.
Cette distinction n'affecte pas les obligations de fond, qui sont identiques. Elle affecte le mode de supervision et le niveau des sanctions.
NIS2 impose dix mesures techniques et organisationnelles minimales, codifiées à l'article 21. Ces mesures couvrent l'ensemble du cycle de la sécurité de l'information.
En Belgique, l'autorité compétente pour NIS2 est le Centre pour la Cybersécurité Belgique (CCB). Le CCB est chargé de l'enregistrement des entités, de la supervision, de la réception des notifications d'incidents et de la coordination en cas de crise majeure.
Toute entité concernée doit s'enregistrer auprès du CCB. Cet enregistrement permet aux autorités de constituer un répertoire des entités concernées et d'organiser la supervision sectorielle.
En cas d'incident significatif, l'entité dispose de 24 heures pour effectuer un signalement préliminaire, puis 72 heures pour fournir un rapport plus complet, et un mois pour fournir le rapport final. Ces délais sont stricts et leur non-respect est sanctionnable.
La mise en conformité NIS2 prend typiquement entre 6 et 18 mois selon votre maturité de départ. Elle se structure en quatre phases.
Phase 1 (1 mois) : qualification. Vérifier que vous êtes concerné, déterminer votre catégorie (essentielle ou importante), procéder à l'enregistrement auprès du CCB.
Phase 2 (2 à 3 mois) : gap analysis. Évaluer votre maturité face aux 10 mesures de l'article 21, identifier les écarts, chiffrer l'effort de remédiation.
Phase 3 (6 à 12 mois) : remédiation. Mise en œuvre des mesures manquantes, par ordre de priorité. Les quick wins (MFA, sensibilisation, sauvegardes) en premier, les chantiers structurants (SMSI, SOC) ensuite.
Phase 4 (continue) : maintien. Pilotage continu de la conformité, gestion des incidents, mise à jour de l'analyse de risques, audits réguliers.
L'approche la plus pragmatique consiste à s'appuyer sur un référentiel reconnu comme ISO/IEC 27001:2022 pour structurer la démarche. La majorité des contrôles ISO 27001 couvrent les exigences NIS2, et la certification facilite la démonstration de conformité.
Échange gratuit de 30 minutes avec un consultant senior pour cadrer votre projet.
—