NIS2 : les contrôles commencent en 2026. Êtes-vous prêt ?
La directive NIS2 impose de nouvelles obligations cyber aux entreprises belges. Sanctions, délais, exigences concrètes : tout ce qu'il faut savoir.
Depuis avril 2024, la directive NIS2 est transposée en droit belge. En 2026, les premiers contrôles du CCB sont actifs. Les sanctions ? Jusqu'à 10 millions d'euros ou 2 % de votre chiffre d'affaires mondial.
Ce n'est plus un projet "pour plus tard". C'est maintenant.
Le saviez-vous ?
Les sanctions NIS2 peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Et la direction est personnellement responsable de la conformité cyber.
Qui est concerné ?
Deux critères principaux : votre entreprise a plus de 50 employés ou réalise plus de 10 millions € de CA, et opère dans un secteur listé. Énergie, santé, transports, numérique, industrie manufacturière, alimentation, services postaux, gestion des déchets, chimie, recherche, banque et finance.
Attention : même les PME plus petites peuvent tomber sous NIS2 si elles font partie de la chaîne d'approvisionnement d'un acteur essentiel. Un sous-traitant IT de 30 personnes travaillant pour le secteur énergétique belge ? Concerné.
Le périmètre est large. En Belgique, on passe de quelques centaines d'entreprises concernées sous NIS1 à plusieurs milliers sous NIS2. La différence est massive.
Si vous n'êtes pas sûr, notre mini-audit gratuit vous donne la réponse en 3 minutes.
Les 5 obligations clés
1. Gestion des risques. Documentez une analyse de risques et mettez en place des mesures de sécurité proportionnées : continuité d'activité, chiffrement, contrôle d'accès, gestion des vulnérabilités. Pas de modèle unique, mais une approche adaptée à votre taille.
2. Notification d'incidents sous 24h. Incident significatif ? Alerte au CCB dans les 24 heures, rapport complet sous 72h, rapport final dans le mois. Pas de place pour l'improvisation. Préparez un plan de réponse maintenant, pas pendant la crise.
3. Gouvernance cyber. La direction est personnellement responsable. Les dirigeants doivent approuver les politiques de sécurité, superviser leur mise en oeuvre, et suivre eux-mêmes une formation cyber. Ce n'est plus "un truc pour l'IT".
4. Formation obligatoire des équipes. Ce n'est plus une recommandation, c'est la loi. NIS2 impose la sensibilisation de tout le personnel. Attention particulière pour les profils exposés : direction, finance, IT, RH. Les contrôleurs vérifieront que ces formations ont eu lieu.
5. Sécurité de la supply chain. Évaluez les pratiques de sécurité de vos fournisseurs. Intégrez des clauses cyber dans vos contrats. Votre sécurité est aussi forte que le maillon le plus faible de votre chaîne.
Pour aller plus loin, notre formation RGPD & NIS2 couvre ces obligations en détail. Format lunch & learn, demi-journée ou conférence disponible.
Passez à l'action
Les entreprises qui n'ont pas encore commencé sont en retard. Mais il n'est pas trop tard, à condition d'agir maintenant.
- Vérifiez votre situation avec notre mini-audit gratuit
- Formez votre direction et vos équipes avec notre formation RGPD & NIS2
- Besoin d'un accompagnement complet ? Contactez-nous pour un plan de mise en conformité
Sources
- CCB — NIS2 en Belgique — Transposition belge de la directive et obligations pour les entreprises
- Directive NIS2 — Texte officiel — Texte complet de la directive européenne NIS2
- CCB (Centre for Cybersecurity Belgium) — Informations sur les contrôles et sanctions en Belgique
