NIS2 en Belgique

1. Aperçu rapide de l’applicabilité aux PME en Belgique

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Belgique ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Belgique et, dans certaines circonstances, aux prestataires numériques étrangers offrant des services en Belgique.

Les PME devraient évaluer précocement leur qualification au titre du cadre NIS2 de la Belgique afin de déterminer leur exposition à la conformité.

2. Aperçu de la mise en œuvre de NIS2 en Belgique

La Belgique a transposé la directive par la Law of 26 April 2024 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, remplaçant et étendant le régime de cybersécurité antérieur.

La loi a été adoptée en 2024 et aligne le régime national de cybersécurité de la Belgique sur la directive (UE) 2022/2555. Elle renforce les obligations de gouvernance, étend la couverture sectorielle et introduit des mécanismes de supervision actualisés.

La mise en œuvre de NIS2 par la Belgique suit la structure de base de la directive pour la classification des entités, la gestion des risques et les sanctions. Certains aspects procéduraux reflètent l’architecture réglementaire établie en Belgique.

La mise en œuvre de la Belgique est parmi les plus avancées opérationnellement dans l'UE. Le CCB a publié le cadre CyberFundamentals (CyFun®) comme référentiel national de conformité, avec des délais fermes pour l'auto-évaluation et la certification déjà en vigueur. Les entités concernées doivent se conformer via la voie CyFun® ou la certification ISO 27001. L'inscription via le portail Safeonweb@Work était obligatoire avant le 18 mars 2025.

3. Champ d’application en Belgique

La Belgique n’étend pas de manière substantielle le périmètre sectoriel au-delà des catégories minimales de la directive à ce stade.

4. Seuils de taille et applicabilité aux PME en Belgique

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent être incluses si elles sont désignées par les autorités compétentes en raison de leur importance critique, de considérations de sécurité publique ou de leur pertinence systémique.

Les autorités belges conservent des pouvoirs de désignation lorsque cela est justifié par le risque ou l’intérêt national.

5. Cadre de classification des entités en Belgique

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et des audits de conformité.
• Entités importantes — Principalement soumises à une supervision réactive, déclenchée par des incidents ou des éléments attestant d'une non-conformité.

La classification est automatique selon le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifie un renforcement de la surveillance.

Le modèle de classification de la Belgique reflète la structure de la directive sans déviation structurelle.

6. Exigences de gestion des risques de cybersécurité en Belgique

Le régime belge s’aligne sur le socle de la directive pour les obligations de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures appropriées et proportionnées couvrant :

• Analyse des risques et sécurité des systèmes d’information
• Détection et traitement des incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques de chaîne d’approvisionnement NIS2 en Belgique
• Acquisition et développement sécurisés des systèmes TIC
• Politiques de contrôle d’accès et d’authentification
• Stratégies de chiffrement et de cryptographie
• Gestion et divulgation des vulnérabilités
• Sensibilisation et formation cybersécurité du personnel

Les mesures de sécurité doivent refléter l'état de l'art et l'exposition au risque organisationnel. La Belgique reconnaît deux voies de conformité : le cadre CyberFundamentals (CyFun®) développé par le CCB et la certification ISO/IEC 27001. Les deux sont considérés comme des voies équivalentes pour démontrer la conformité aux obligations de gestion des risques NIS2. Le cadre CyFun® définit quatre niveaux d'assurance — Small, Basic, Important et Essential — le niveau requis étant déterminé par l'outil de sélection du CCB en fonction du secteur, de la taille et de l'impact sociétal.

La gestion des risques de la chaîne d'approvisionnement inclut des garanties contractuelles et la surveillance des fournisseurs de TIC tiers. Les entités sont informées que les obligations de la chaîne d'approvisionnement NIS2 peuvent étendre les exigences CyFun® aux fournisseurs directs et partenaires de services par le biais d'obligations contractuelles.

7. Responsabilité de la direction et gouvernance en Belgique

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre belge :

• Les conseils d’administration portent la responsabilité de la conformité.
• La haute direction doit garantir une expertise cybersécurité adéquate.
• Les autorités peuvent imposer des mesures administratives en cas de défaillances de gouvernance.
• La suspension temporaire de fonctions managériales peut être disponible au titre des outils d’exécution alignés sur la directive.

Les standards de responsabilité de la direction NIS2 en Belgique élèvent la cybersécurité au rang de responsabilité de conformité au niveau du conseil.

8. Obligations de notification d’incident en Belgique

9. Autorités de surveillance et modèle d’exécution en Belgique

Autorité principale : Centre for Cybersecurity Belgium (CCB).

La Belgique opère un modèle de coordination centralisé, avec des régulateurs sectoriels qui contribuent aux fonctions de supervision le cas échéant.

Supervisory powers include:

• Demandes d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux mécanismes de coopération de l’UE

Le modèle d’exécution de la Belgique s’intègre aux organes de coordination de la cybersécurité au niveau de l’UE.

10. Sanctions et amendes NIS2 en Belgique

La Belgique applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Belgique peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension de la certification ou de l'autorisation
• Pouvoirs de suspension des fonctions dirigeantes

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 en Belgique

Les entités doivent gérer le risque de cybersécurité lié aux tiers au moyen de :

• Processus de diligence raisonnable des prestataires
• Clauses contractuelles de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Contrôles du risque de propagation des incidents

L’approche de la Belgique s’aligne sur le socle de la directive, en mettant l’accent sur une supervision proportionnée des prestataires externes.

12. Obligations d’enregistrement et d’auto-identification en Belgique

Les entités concernées doivent :

• S'inscrire auprès du CCB via le portail Safeonweb@Work — le délai était le 18 mars 2025 (désormais dépassé ; les entités non encore inscrites sont déjà en infraction)

Les entités doivent soumettre leur auto-évaluation CyFun® (niveau Basic ou Important) ou la politique de sécurité de l'information ISO 27001 et la Déclaration d'Applicabilité au CCB avant le 18 avril 2026. La certification complète CyFun® de niveau Essential ou la certification ISO 27001 est requise avant le 18 avril 2027.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux. Le modèle d'inscription est largement auto-déclenché — les entités répondant aux critères de taille et de secteur doivent s'inscrire sans attendre une désignation formelle de l'autorité.

13. Interaction avec le GDPR et autres lois en Belgique

Le GDPR continue de s’appliquer parallèlement à NIS2.

Les considérations de chevauchement incluent :

• Obligations de double notification d’incident
• Coordination des autorités de contrôle
• Notifications de violation de données personnelles sous 72 heures
• Législation belge sectorielle en matière de cybersécurité

Les incidents affectant à la fois la résilience des systèmes et les données personnelles peuvent déclencher des obligations de conformité parallèles.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est en Belgique relèvent de l’autorité de surveillance belge pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Belgique peuvent être soumis à des obligations nationales selon l’établissement et le modèle de service.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens desservant les marchés belges.

15. Calendrier de mise en œuvre en Belgique

• Adoption de la Directive : 2022
• Adoption de la loi nationale : 26 avril 2024 (Loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et systèmes d'information d'intérêt général pour la sécurité publique)
• Entrée en vigueur : 18 octobre 2024
• Notification à la Commission : Complétée ; la Belgique est pleinement notifiée et ne fait l'objet d'aucun avis motivé ouvert de la Commission
• Jalon de conformité : 18 mars 2025 : Date limite d'inscription des entités (portail Safeonweb@Work) ; 18 avril 2026 : Date limite pour l'auto-évaluation CyFun® ou la soumission du SoA ISO 27001 ; 18 avril 2027 : Date limite pour la certification complète CyFun® ou ISO 27001 de niveau Essential

La Belgique est l'un des États membres de l'UE les plus avancés dans la mise en œuvre de NIS2, avec l'inscription achevée, l'application en cours et des jalons de conformité concrets publiés jusqu'en 2027.

16. Points clés pour les PME en Belgique

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d’application.
• Les petites entités peuvent être désignées en fonction du risque ou de la criticité.
• La supervision au niveau du conseil est obligatoire.
• La notification des incidents suit la structure 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d’affaires mondial.
• La gestion du risque fournisseur est une obligation clé.
• Une planification précoce de la conformité réduit l’exposition à l’exécution.

FAQ : Guide NIS2 Belgique pour les PME