La directive NIS2 a considérablement élargi le nombre d'organisations devant se conformer aux exigences européennes en matière de cybersécurité. En Belgique, le Centre pour la Cybersécurité Belgique (CCB) supervise la mise en œuvre, et des milliers d'entreprises réparties dans 18 secteurs sont désormais concernées. Ce guide vous aide à déterminer si votre organisation doit se conformer.
NIS2 Belgique — réponse rapide : suis-je concerné ?
- Vous opérez dans l'un des 18 secteurs NIS2 (Annexe I essentiels ou Annexe II importants), ET
- Vous avez 50+ employés OU 10 M€+ de chiffre d'affaires / bilan, OU
- Vous êtes fournisseur DNS, registre TLD, prestataire de services de confiance ou opérateur de communications électroniques publiques — quelle que soit la taille, OU
- Vous avez été spécifiquement désigné par le gouvernement belge.
La Belgique a transposé NIS2 via la loi du 26 avril 2024. L'enregistrement auprès du CCB était requis pour le 18 mars 2025 pour les entités essentielles et importantes. Mise à jour avril 2026.
NIS2 Belgique : tableau des secteurs concernés
Les 18 secteurs couverts par NIS2 sont répartis dans deux annexes, chacune avec un niveau de sanction et une intensité de supervision différents :
| Annexe | Secteur | Type d'entité | Sanction max. |
|---|---|---|---|
| I | Énergie (électricité, gaz, pétrole, hydrogène, chaleur) | Essentielle | 10 M€ / 2% CA mondial |
| I | Transport (aérien, ferroviaire, maritime, routier) | Essentielle | 10 M€ / 2% CA mondial |
| I | Banque & infrastructures des marchés financiers | Essentielle | 10 M€ / 2% CA mondial |
| I | Santé (hôpitaux, laboratoires, pharmaceutique) | Essentielle | 10 M€ / 2% CA mondial |
| I | Eau potable & eaux usées | Essentielle | 10 M€ / 2% CA mondial |
| I | Infrastructure numérique (DNS, TLD, cloud, datacenters, CDN, services de confiance) | Essentielle | 10 M€ / 2% CA mondial |
| I | Gestion de services TIC (MSP, MSSP B2B) | Essentielle | 10 M€ / 2% CA mondial |
| I | Administration publique | Essentielle | Fixée par la loi belge |
| I | Espace (opérateurs d'infrastructures au sol) | Essentielle | 10 M€ / 2% CA mondial |
| II | Services postaux & courrier | Importante | 7 M€ / 1,4% CA mondial |
| II | Gestion des déchets | Importante | 7 M€ / 1,4% CA mondial |
| II | Industrie chimique & distribution | Importante | 7 M€ / 1,4% CA mondial |
| II | Production & distribution alimentaire | Importante | 7 M€ / 1,4% CA mondial |
| II | Fabrication (dispositifs médicaux, électronique, machines, véhicules) | Importante | 7 M€ / 1,4% CA mondial |
| II | Fournisseurs numériques (places de marché, moteurs de recherche, réseaux sociaux) | Importante | 7 M€ / 1,4% CA mondial |
| II | Organismes de recherche | Importante | 7 M€ / 1,4% CA mondial |
Sanctions NIS2 en Belgique
La Belgique a transposé NIS2 via la loi du 26 avril 2024, entrée en vigueur le 18 octobre 2024. Le cadre de sanctions est parmi les plus stricts de la réglementation cybersécurité européenne :
- Entités essentielles — amendes administratives jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- Entités importantes — amendes administratives jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- Responsabilité de la direction — les membres du conseil et les dirigeants peuvent être tenus personnellement responsables et temporairement interdits de fonctions de direction en cas de manquements graves.
- Supervision — les entités essentielles font l'objet d'une supervision ex ante proactive (audits, inspections sur site), tandis que les entités importantes sont supervisées ex post (déclenchée par des incidents ou plaintes).
Dates clés NIS2 pour la Belgique
- 16 janvier 2023 — la directive NIS2 (UE) 2022/2555 entre en vigueur au niveau européen.
- 17 octobre 2024 — date limite de transposition UE ; la Belgique a respecté ce délai avec la loi du 26 avril 2024.
- 18 octobre 2024 — NIS2 devient applicable en Belgique.
- 18 mars 2025 — date limite d'enregistrement des entités essentielles et importantes auprès du CCB via Safeonweb@work.
- 18 avril 2027 — date limite de mise en œuvre complète des mesures de gestion des risques cyber et de préparation aux audits.
Comment NIS2 détermine qui doit se conformer
NIS2 utilise deux critères pour déterminer si une organisation est concernée :
- Secteur — l'organisation opère dans l'un des 18 secteurs listés dans les annexes de la directive.
- Taille — l'organisation atteint le seuil de taille : au moins 50 employés ou un chiffre d'affaires annuel/bilan dépassant 10 millions d'euros.
Les organisations répondant aux deux critères sont automatiquement concernées. Certaines organisations plus petites peuvent également être incluses si elles sont jugées critiques par les autorités belges, quelle que soit leur taille.
Entités essentielles : secteurs de l'Annexe I
Les entités essentielles font face aux exigences les plus strictes et aux sanctions les plus élevées. En Belgique, elles comprennent les organisations des secteurs suivants :
Énergie
- Producteurs, distributeurs et gestionnaires de réseaux de transport d'électricité
- Opérateurs de distribution, transport et stockage de gaz naturel
- Opérateurs de raffinage de pétrole et de pipelines
- Production, stockage et distribution d'hydrogène
- Opérateurs de réseaux de chaleur et de froid
Transport
- Compagnies aériennes et opérateurs d'aéroports
- Opérateurs de transport ferroviaire et gestionnaires d'infrastructure (dont Infrabel et SNCB/NMBS)
- Compagnies de navigation intérieure et maritime
- Opérateurs de transport routier de biens essentiels
Banque et infrastructure financière
- Établissements de crédit supervisés par la BNB
- Opérateurs d'infrastructures de marchés financiers
- Note : les entités financières relèvent également de DORA
Santé
- Hôpitaux et prestataires de soins de santé
- Laboratoires de référence de l'UE
- Fabricants pharmaceutiques
- Fabricants de dispositifs médicaux (lorsqu'ils sont critiques)
Autres secteurs essentiels
- Eau potable — fournisseurs et distributeurs
- Eaux usées — opérateurs de collecte, traitement et rejet
- Infrastructure numérique — fournisseurs DNS, registres TLD, fournisseurs de cloud computing, opérateurs de centres de données, réseaux de diffusion de contenu et prestataires de services de confiance
- Gestion de services TIC (B2B) — fournisseurs de services managés et fournisseurs de services de sécurité managés
- Administration publique — entités gouvernementales fédérales et régionales
- Espace — opérateurs d'infrastructures au sol soutenant les services spatiaux
Entités importantes : secteurs de l'Annexe II
Les entités importantes font face à des sanctions légèrement inférieures mais doivent toujours répondre aux exigences fondamentales de NIS2 :
- Services postaux et de courrier — dont bpost et les sociétés de courrier privées
- Gestion des déchets — opérateurs de collecte, traitement et recyclage
- Industrie chimique — production et distribution de produits chimiques
- Production alimentaire — fabrication et distribution alimentaire à grande échelle (grossistes)
- Fabrication — dispositifs médicaux, ordinateurs, électronique, machines, véhicules à moteur et autres équipements de transport
- Fournisseurs numériques — places de marché en ligne, moteurs de recherche et plateformes de réseaux sociaux
- Organismes de recherche — universités et institutions de recherche (lorsqu'ils sont désignés par la Belgique)
Seuils de taille et exceptions
Le seuil de taille général est de 50 employés ou 10 millions d'euros de chiffre d'affaires. Cependant, plusieurs exceptions s'appliquent en Belgique :
- Toujours concernés quelle que soit la taille : fournisseurs DNS, registres TLD, prestataires de services de confiance et fournisseurs de réseaux de communications électroniques publics.
- Désignation par l'État membre : le gouvernement belge peut désigner des entités plus petites comme essentielles ou importantes si leur perturbation aurait un impact significatif sur la sécurité, la sûreté ou la santé publiques.
- Fournisseur unique : si votre organisation est le seul fournisseur d'un service critique en Belgique, vous pouvez être concerné quelle que soit votre taille.
- Impact transfrontalier : les organisations dont la perturbation pourrait affecter plusieurs États membres de l'UE peuvent être désignées quelle que soit leur taille.
Ce que la conformité exige
Une fois concernées, les entités essentielles et importantes doivent :
- S'enregistrer auprès du CCB — les organisations concernées doivent s'enregistrer auprès du Centre pour la Cybersécurité Belgique.
- Mettre en œuvre des mesures de sécurité — adopter des mesures de cybersécurité basées sur les risques couvrant l'analyse des risques, la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, et plus encore.
- Signaler les incidents — notifier le CCB des incidents significatifs dans les 24 heures (alerte précoce), 72 heures (notification complète) et un mois (rapport final).
- Assurer la responsabilité de la direction — la direction doit approuver et superviser les mesures de gestion des risques de cybersécurité et suivre une formation.
Un point de départ pratique est de réaliser une analyse des écarts ISO 27001, car la norme s'aligne étroitement sur les exigences NIS2.
Comment ICTLAB peut vous aider
ICTLAB aide les organisations belges à déterminer leur périmètre NIS2 et à atteindre la conformité efficacement. Nos services de cybersécurité incluent l'évaluation du périmètre, l'analyse des écarts, la mise en œuvre des mesures de sécurité requises et la préparation à l'enregistrement et au signalement auprès du CCB. Nous travaillons avec des organisations de tous les secteurs NIS2, de l'énergie et la santé à l'infrastructure numérique et la fabrication.
Si vous n'êtes pas sûr que votre organisation relève de NIS2, contactez notre équipe basée à Bruxelles pour une évaluation sans engagement de vos obligations de conformité.