Conformité NIS2 en Belgique : la checklist pratique pour 2026

La date butoir NIS2 en Belgique est le 18 avril 2026. Ce n'est pas une coquille et ce n'est pas loin. Si votre entreprise compte 50 employés ou plus, ou un chiffre d'affaires de plus de 10 millions d'euros, et que vous opérez dans l'un des 18 secteurs critiques - cette loi s'applique à vous. Aujourd'hui, environ une entreprise enregistrée sur quatre n'a même pas commencé l'implémentation. Le CCB (Centre pour la cybersécurité Belgique) peut vous infliger jusqu'à 10 millions d'euros d'amende ou 2% de votre chiffre d'affaires mondial. Et voici la partie qui retient l'attention des conseils d'administration : les administrateurs peuvent être tenus personnellement responsables.

Alors sautons la théorie et entrons dans ce que vous devez vraiment savoir - et faire.

group Qui tombe sous NIS2 en Belgique ?

NIS2 sépare les organisations en deux catégories : les entités essentielles et les entités importantes. La différence compte parce qu'elle détermine vos obligations de conformité et le montant des amendes potentielles.

Les entités essentielles incluent des secteurs comme l'énergie, le transport, la banque, l'infrastructure des marchés financiers, la santé, l'eau potable, les eaux usées, l'infrastructure numérique, la gestion de services TIC (B2B), l'administration publique et l'espace. Les entités importantes couvrent les services postaux, la gestion des déchets, les produits chimiques, l'alimentation, l'industrie manufacturière, les fournisseurs numériques et la recherche.

Soit 18 secteurs au total. Les seuils de taille sont simples : 50 employés équivalents temps plein ou plus, ou un chiffre d'affaires annuel dépassant 10 millions d'euros. Si vous franchissez l'un des deux, vous êtes dans le périmètre.

La base légale de tout ça, c'est la directive UE 2022/2555 et la loi belge du 26 avril 2024 qui l'a transposée en législation nationale.

security Le cadre CyberFundamentals (CyFun) - la réponse belge à NIS2

C'est ici que la Belgique a fait quelque chose d'intelligent. Au lieu de laisser les entreprises se débrouiller seules, le CCB a créé le cadre CyberFundamentals - CyFun pour faire court. Il vous donne un chemin concret et structuré vers la conformité.

CyFun a quatre niveaux :

• Small - pour les micro-organisations, un point de départ léger
• Basic - 34 contrôles, adapté aux entités plus petites dans le périmètre
• Important - 99+ contrôles, pour les entités importantes sous NIS2
• Essential - 185+ contrôles, pour les entités essentielles sous NIS2

CyFun n'est pas non plus une invention belge sortie de nulle part. Il est construit sur des cadres reconnus internationalement : NIST CSF, ISO 27001 et CIS Controls. Si vous avez déjà fait de la sécurité, beaucoup de ces contrôles vous sembleront familiers.

Le CCB fournit une boîte à outils complète pour l'auto-évaluation et l'implémentation sur atwork.safeonweb.be/cyberfundamentals-toolbox. C'est gratuit et étonnamment bien fait.

On a écrit un guide détaillé sur la correspondance entre NIST CSF 2.0 et CyFun - à lire ici.

event_available L'échéance d'avril 2026 - qu'est-ce qui est dû exactement ?

Il y a deux voies de conformité, et vous devez en choisir une.

Voie 1 : CyFun - soumettez une attestation de vérification pour le niveau CyFun Basic ou Important au CCB. Ça veut dire que vous avez fait l'auto-évaluation (ou que vous l'avez fait faire par un tiers) et que vous pouvez démontrer que vous respectez les contrôles requis. Pour la plupart des PME belges, c'est la voie la plus rapide et la plus pratique.

Voie 2 : ISO 27001 - si vous avez déjà la certification ISO 27001, ou que vous en êtes proche, vous pouvez soumettre votre déclaration d'applicabilité (SoA) au CCB à la place. Cette voie a du sens si vous avez déjà investi dans la certification ISO.

Les deux voies imposent une soumission avant le 18 avril 2026.

Plus loin dans le temps : pour avril 2027, les entités essentielles devront atteindre la certification complète niveau Essential. C'est un effort beaucoup plus lourd, donc planifiez en conséquence.

checklist La checklist pratique

Voici ce qu'il faut faire, étape par étape. Basé sur le quickstart guide du CCB, mais traduit en langage clair.

1. chevron_rightVérifiez si vous êtes dans le périmètre

   Utilisez le vérificateur de périmètre du CCB sur Safeonweb@Work pour déterminer si NIS2 s'applique à votre organisation. Ne supposez pas que vous êtes hors périmètre juste parce que vous n'êtes pas dans un secteur évident comme l'énergie ou la santé. Les fournisseurs de services numériques, les services IT managés et l'industrie alimentaire en font partie.

2. chevron_rightInscrivez-vous sur Safeonweb@Work

   Si ce n'est pas déjà fait, vous êtes en retard. La date limite d'inscription est passée en mars 2025. Allez sur atwork.safeonweb.be et faites-le maintenant. Vous aurez besoin du numéro KBO/BCE de votre entreprise.

3. ruleChoisissez votre voie : CyFun ou ISO 27001

   Si vous avez déjà la certification ISO 27001, allez sur la voie 2. Pour tous les autres, CyFun est la voie à suivre. Il a été conçu pour ça et le CCB fournit tous les outils nécessaires.

4. chevron_rightFaites une analyse d'écart

   Téléchargez l'outil d'auto-évaluation du CCB depuis la toolbox CyFun et parcourez-le honnêtement. Marquez ce que vous avez déjà en place et ce qui manque. Ça vous donne une image claire du travail restant.

5. chevron_rightPriorisez les corrections - commencez par les 34 contrôles Basic

   N'essayez pas de tout faire d'un coup. Les 34 contrôles de CyFun Basic couvrent les fondamentaux : contrôle d'accès, gestion des correctifs, procédures de sauvegarde, détection d'incidents. Réussissez ceux-là d'abord, puis montez vers les niveaux Important ou Essential si nécessaire.

6. chevron_rightDocumentez tout

   C'est là que la plupart des entreprises sous-estiment l'effort. Il vous faut des politiques écrites, des procédures documentées et un plan formel de réponse à incident. Le CCB veut voir des preuves que vos mesures de sécurité sont structurées et reproductibles - pas juste que vous avez installé un antivirus.

7. flagSoumettez votre preuve au CCB avant le 18 avril 2026

   Pour la voie 1, soumettez votre attestation de vérification CyFun. Pour la voie 2, soumettez votre SoA ISO 27001. Les deux passent par le portail Safeonweb@Work. Ne laissez pas ça pour la dernière semaine - le portail va probablement être saturé à l'approche de l'échéance.

warning Que se passe-t-il si vous n'êtes pas conforme ?

Les amendes sont significatives. Et contrairement au GDPR, où la mise en application a été lente à démarrer, le CCB signale clairement qu'il a l'intention d'agir.

Les entités essentielles risquent des amendes jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial - le plus élevé des deux.

Les entités importantes risquent des amendes jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial.

Ces pouvoirs d'application sont définis dans la loi belge NIS2 et le mandat du CCB en tant qu'autorité nationale de supervision.

link L'effet supply chain - pourquoi ça compte même si vous êtes petit

Voici quelque chose dont on ne parle pas assez. NIS2 a un effet de cascade qui va bien au-delà des entreprises directement dans le périmètre.

Les grandes organisations sous NIS2 sont tenues de gérer le risque cybersécurité sur l'ensemble de leur chaîne d'approvisionnement. Concrètement, ça veut dire qu'elles vont demander à leurs fournisseurs, partenaires et prestataires de démontrer leur conformité sécurité. Si vous êtes une boîte IT de 20 personnes qui fournit des services managés à un hôpital ou à un acteur de l'énergie, attendez-vous à recevoir des questionnaires de sécurité détaillés. Et "on prend la sécurité au sérieux" ne sera plus une réponse acceptable.

lightbulb Ce qu'on recommanderait

Si vous n'avez pas commencé, ne paniquez pas - mais n'attendez pas non plus. Les 34 contrôles de CyFun Basic sont atteignables pour la plupart des PME en quelques semaines avec le bon accompagnement. Ils couvrent ce que vous devriez probablement faire de toute façon : gérer qui a accès à quoi, garder les systèmes à jour, avoir des sauvegardes qui marchent vraiment, et savoir quoi faire quand quelque chose tourne mal.

Le plus dur, ce n'est pas l'implémentation technique. C'est la documentation et la gouvernance. Rédiger des politiques, définir des procédures, créer un plan de réponse à incident que les gens connaissent vraiment - c'est là que les entreprises se bloquent. Les contrôles techniques sont souvent à moitié faits déjà. La paperasse, rarement.

Une chose à considérer : les agents IA peuvent automatiser une part étonnante du travail de conformité - de la surveillance des logs à la génération de rapports en passant par la détection des écarts de politique. Ça ne remplace pas la réflexion, mais ça peut prendre en charge les parties répétitives.

On aide les entreprises belges sur la conformité NIS2 - de l'analyse d'écart à la soumission au CCB. Si vous voulez que quelqu'un vous accompagne pas à pas, contactez-nous.