Cybersécurité

NIS2 : guide de conformité pour les PME belges

Publié le Par Dr Ir Hüseyin Cakmak
#nis2 #conformite #cybersecurite #rgpd #pme #belgique
NIS2 : guide de conformité pour les PME belges

La directive NIS2 (Directive (UE) 2022/2555) est l'un des changements réglementaires les plus structurants de la décennie en matière de cybersécurité — et, contrairement à son aînée NIS1, elle dépasse largement le cercle des grands opérateurs d'infrastructures critiques. Beaucoup de PME belges sont aujourd'hui concernées sans le savoir, soit directement parce qu'elles opèrent dans un secteur couvert, soit indirectement parce qu'elles sont sous-traitantes d'une entité régulée.

Cet article propose une lecture en langage clair : ce qu'est NIS2, qui entre dans son périmètre, quelles sont les obligations concrètes, où en est la transposition belge, et par quoi commencer. L'objectif n'est pas de vous effrayer avec du jargon réglementaire, mais de vous donner une feuille de route réaliste.

NIS2 en langage clair

NIS2 est une directive européenne qui vise à relever le niveau global de cybersécurité dans l'Union, en imposant aux organisations couvertes des mesures de gestion des risques et des obligations de signalement des incidents. Elle remplace et élargit considérablement la première directive NIS de 2016, qui ne visait qu'un nombre limité d'« opérateurs de services essentiels ».

Le changement majeur tient à deux choses : un périmètre beaucoup plus large (davantage de secteurs, davantage d'organisations de taille moyenne) et une chaîne d'approvisionnement explicitement visée. Concrètement, une grande entité régulée doit désormais s'assurer que ses fournisseurs et prestataires appliquent eux aussi des mesures de sécurité — ce qui « tire » de nombreuses PME dans le dispositif via leurs contrats, même lorsqu'elles ne sont pas directement désignées par la loi.

Entités essentielles et entités importantes

NIS2 distingue deux catégories : les entités essentielles (par exemple énergie, transport, santé, eau potable, infrastructures numériques) et les entités importantes (par exemple fabrication, gestion des déchets, services postaux, produits chimiques, fournisseurs numériques). La distinction influe surtout sur l'intensité de la supervision : les entités essentielles font l'objet d'un contrôle plus proactif, tandis que les entités importantes sont davantage contrôlées a posteriori, en réaction à un incident. Les obligations de fond, elles, sont largement similaires.

Qui entre dans le périmètre ?

La règle générale combine un critère sectoriel et un critère de taille. De façon synthétique, sont visées les organisations actives dans un secteur couvert et qui dépassent les seuils de la moyenne entreprise — en pratique, on cite souvent 50 employés ou plus, ou un chiffre d'affaires annuel d'au moins 10 millions d'euros. Certaines entités sont par ailleurs couvertes quelle que soit leur taille en raison de leur rôle critique (par exemple certains fournisseurs de services numériques ou d'infrastructures).

Ces seuils et listes de secteurs comportent de nombreuses nuances. Si vous n'êtes pas certain de votre situation, ne vous fiez pas à une lecture rapide : vérifiez votre périmètre exact auprès du Centre pour la Cybersécurité Belgique (CCB) ou d'un spécialiste. Et même en dessous des seuils, vous pouvez être concerné indirectement : si vous fournissez une entité régulée, attendez-vous à ce qu'elle vous impose contractuellement des exigences de sécurité dérivées de NIS2.

Les obligations clés

Les mesures de gestion des risques

NIS2 impose aux entités couvertes d'adopter des mesures « appropriées et proportionnées » de gestion des risques. La directive énumère plusieurs familles de mesures que toute organisation devrait couvrir :

  • politiques d'analyse des risques et de sécurité des systèmes d'information ;
  • gestion des incidents (détection, réponse, rétablissement) ;
  • continuité d'activité et gestion des sauvegardes ;
  • sécurité de la chaîne d'approvisionnement ;
  • sécurité dans l'acquisition, le développement et la maintenance des systèmes ;
  • politiques d'évaluation de l'efficacité des mesures ;
  • pratiques d'hygiène cyber de base et formation ;
  • politiques de cryptographie et de chiffrement ;
  • sécurité des ressources humaines, contrôle d'accès et gestion des actifs ;
  • usage de l'authentification multifacteur et de communications sécurisées.

Vous reconnaîtrez ici l'ossature de standards éprouvés. C'est l'occasion de tirer parti de ce que vous avez peut-être déjà mis en place lors d'un audit cybersécurité et RGPD : MFA, segmentation, sauvegardes testées et procédure d'incident sont communs aux deux exercices.

Le signalement des incidents (24 h / 72 h)

NIS2 introduit un signalement en plusieurs temps. En règle générale, une entité concernée doit transmettre une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident significatif, puis une notification plus complète dans les 72 heures, et enfin un rapport final ultérieurement. Ces délais sont ceux le plus couramment cités, mais les modalités précises (ce qui constitue un incident « significatif », le destinataire exact, le contenu attendu) relèvent de la transposition nationale et des lignes directrices de l'autorité compétente — à vérifier pour votre cas.

Notez que ce calendrier est distinct de l'obligation de notification de violation de données à caractère personnel sous le RGPD (72 heures) : un même incident peut déclencher les deux régimes en parallèle.

La responsabilité de la direction

C'est un point souvent sous-estimé : NIS2 responsabilise explicitement les organes de direction. Ceux-ci doivent approuver les mesures de gestion des risques, en superviser la mise en œuvre, et suivre des formations en cybersécurité. Autrement dit, la cybersécurité n'est plus une affaire purement technique déléguée à l'IT : elle relève désormais de la gouvernance. Les manquements peuvent entraîner des sanctions significatives, et la direction peut, dans certains cas, voir sa responsabilité engagée — nous restons prudents sur les chiffres exacts, qui dépendent du droit national.

Le contexte belge

En Belgique, NIS2 a été transposée en droit national et la loi est entrée en vigueur en 2024. L'autorité compétente est le Centre pour la Cybersécurité Belgique (CCB), qui joue à la fois un rôle de supervision et d'accompagnement. Le CCB publie des guides et des outils destinés aux organisations concernées — c'est la première source à consulter pour confirmer votre statut et vos obligations précises.

Un atout pratique du dispositif belge est son articulation avec des référentiels existants. Si vous êtes déjà certifié ISO 27001 ou si vous avez déployé le framework CyberFundamentals promu par le CCB, vous disposez déjà d'une grande partie de la structure attendue par NIS2. Ces démarches ne sont pas une garantie automatique de conformité, mais elles couvrent l'essentiel des familles de mesures et facilitent considérablement la mise en conformité.

Une feuille de route pragmatique pour une PME

Inutile de tout faire d'un coup. Voici une progression réaliste, dans l'esprit de notre approche « auditer puis exécuter ».

1. Évaluation de l'écart (gap assessment). Déterminez d'abord si — et comment — vous êtes concerné : secteur, taille, et exposition via la chaîne d'approvisionnement. Cartographiez ensuite vos mesures existantes face aux familles de mesures NIS2 pour identifier les écarts.

2. Mesures de gestion des risques. Priorisez les actions à fort impact et faible coût : MFA généralisée, sauvegardes testées, gestion des correctifs, contrôle des accès. Une base réseau saine facilite tout le reste — nous en détaillons les fondations dans notre article sur l'infrastructure réseau des PME.

3. Processus de réponse aux incidents. Documentez qui fait quoi, les contacts d'urgence, et un modèle de signalement compatible avec les délais 24 h / 72 h. Prévoyez un canal de communication de secours indépendant des systèmes susceptibles d'être touchés.

4. Gouvernance. Faites valider les mesures par la direction, planifiez sa formation, et instaurez un suivi régulier. C'est l'exigence la plus simple à oublier — et la plus visible en cas de contrôle.

Une note honnête sur la complexité

Le périmètre exact de NIS2, les seuils et les modalités de signalement comportent de réelles subtilités, et la transposition nationale précise certains points. Cet article est un guide d'orientation, pas un avis juridique. Avant d'engager des décisions structurantes, vérifiez vos obligations spécifiques auprès du CCB ou d'un spécialiste. Notre rôle, chez ITOPS.be, est précisément de faire ce travail de clarification avec vous, puis de le mettre en œuvre concrètement. Découvrez notre offre complète de services de cybersécurité pour les PME et le Benelux.

Contactez-nous pour évaluer votre exposition à NIS2 et construire une feuille de route adaptée à votre secteur et à votre périmètre.

Questions fréquentes

Ma PME est-elle concernée par NIS2 ?

Cela dépend de deux critères combinés : votre secteur d'activité et votre taille (en règle générale, à partir de 50 employés ou 10 millions d'euros de chiffre d'affaires dans un secteur couvert). Certaines entités sont visées quelle que soit leur taille. Et même en dessous des seuils, vous pouvez être concerné indirectement si vous fournissez une entité régulée, via des exigences contractuelles. En cas de doute, vérifiez votre périmètre exact auprès du CCB ou d'un spécialiste.

Quels sont les délais de signalement ?

En règle générale, une alerte précoce dans les 24 heures suivant la prise de connaissance d'un incident significatif, une notification plus complète dans les 72 heures, puis un rapport final ultérieur. Les modalités exactes (définition d'un incident significatif, destinataire, contenu) relèvent de la transposition belge et des lignes directrices du CCB — à confirmer pour votre cas précis.

Quel est le lien entre NIS2 et le RGPD ?

Les deux régimes sont distincts mais complémentaires. Le RGPD porte sur la protection des données à caractère personnel ; NIS2 porte sur la sécurité des réseaux et systèmes d'information. Un même incident peut déclencher les deux : par exemple, une cyberattaque entraînant une fuite de données personnelles peut imposer à la fois un signalement NIS2 et une notification de violation RGPD dans les 72 heures. Les mesures techniques se recoupent largement.

Par où commencer ?

Par une évaluation de l'écart : confirmez d'abord si vous êtes concerné, puis comparez vos mesures actuelles aux familles de mesures NIS2. Priorisez ensuite les actions à fort impact et faible coût (MFA, sauvegardes testées, gestion des accès), documentez votre processus de réponse aux incidents, et impliquez la direction. Si vous avez déjà mené un audit cybersécurité ou déployé ISO 27001 / CyberFundamentals, vous partez avec une longueur d'avance.

← Retour au blog