H
Hokhori
Back to blog
NIS2 cybersécurité conformité PME Belgique

NIS2 : Ce que les PME belges doivent savoir en 2026

La directive NIS2 impose de nouvelles obligations de cybersécurité aux entreprises européennes. Découvrez si votre PME est concernée, les échéances clés et les mesures concrètes à mettre en place.

By Hokho

La directive NIS2 : un tournant pour la cybersécurité en Europe

Depuis le 18 octobre 2024, la directive européenne NIS2 (Network and Information Security 2) est officiellement transposée dans les législations nationales des États membres. En Belgique, la loi du 26 avril 2024 a adapté le cadre national pour intégrer ces nouvelles exigences. Pour de nombreuses PME belges, 2026 marque l’année où la conformité devient une réalité opérationnelle incontournable.

Contrairement à la première directive NIS qui ne visait que les grandes infrastructures critiques, NIS2 élargit considérablement son périmètre. Des milliers d’entreprises belges qui ne se sentaient pas concernées par la cybersécurité réglementaire doivent désormais agir.

Votre PME est-elle concernée ?

NIS2 distingue deux catégories d’entités :

  • Entités essentielles : énergie, transport, santé, eau potable, infrastructure numérique, administration publique, espace.
  • Entités importantes : services postaux, gestion des déchets, fabrication de produits critiques, production alimentaire, fournisseurs numériques, recherche.

Le critère de taille est déterminant. Sont concernées les entreprises de 50 employés ou plus, ou celles réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros. Mais attention : certaines entités sont couvertes quelle que soit leur taille, notamment les fournisseurs de services DNS, les registres de noms de domaine et les fournisseurs de services de confiance.

La chaîne d’approvisionnement : le piège pour les petites structures

Même si votre PME ne remplit pas directement les critères de taille, vous pourriez être concerné indirectement. NIS2 impose aux entités couvertes de sécuriser leur chaîne d’approvisionnement. Si vous êtes fournisseur d’une entreprise soumise à NIS2, celle-ci pourrait exiger de vous des garanties de cybersécurité. En pratique, cela signifie que la conformité NIS2 va ruisseler vers l’ensemble du tissu économique belge.

Les obligations concrètes

1. Gouvernance et responsabilité

Les organes de direction doivent approuver et superviser les mesures de cybersécurité. Les dirigeants peuvent être tenus personnellement responsables en cas de manquement. La cybersécurité n’est plus un sujet technique délégué au service IT : c’est une responsabilité du conseil d’administration.

2. Mesures de gestion des risques

NIS2 exige la mise en place de mesures techniques et organisationnelles proportionnées, incluant notamment :

  • L’analyse et le traitement des risques
  • La gestion des incidents de sécurité
  • La continuité des activités et la gestion de crise
  • La sécurité de la chaîne d’approvisionnement
  • La sécurité des réseaux et des systèmes d’information
  • Les politiques de chiffrement et de contrôle d’accès
  • L’authentification multi-facteurs (MFA)

3. Notification des incidents

En cas d’incident significatif, vous devez :

  • Envoyer une alerte précoce dans les 24 heures suivant la détection
  • Fournir une notification complète dans les 72 heures
  • Soumettre un rapport final dans un délai d’un mois

En Belgique, le Centre pour la Cybersécurité Belgique (CCB) est l’autorité compétente qui reçoit ces notifications.

4. Enregistrement

Les entités concernées doivent s’enregistrer auprès du CCB. Ce processus permet à l’autorité de cartographier les acteurs soumis à la directive et d’organiser la supervision.

Les sanctions : un signal fort

Les sanctions prévues par NIS2 sont significatives :

  • Entités essentielles : amendes jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial
  • Entités importantes : amendes jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial

Au-delà des amendes, les autorités peuvent imposer des audits de sécurité, des injonctions de mise en conformité, et dans les cas les plus graves, suspendre temporairement les fonctions de direction.

Calendrier : où en sommes-nous en 2026 ?

ÉchéanceÉtape
Octobre 2024Transposition en droit belge
Avril 2025Liste des entités essentielles et importantes établie par le CCB
2025-2026Campagnes d’audit et de contrôle
2026Application pleine des sanctions

En mars 2026, nous sommes dans la phase d’application active. Les entreprises qui n’ont pas encore entamé leur mise en conformité s’exposent à des risques concrets.

Par où commencer ? 5 actions prioritaires

  1. Évaluez votre statut : Déterminez si votre entreprise entre dans le périmètre NIS2, directement ou via la chaîne d’approvisionnement.

  2. Réalisez un audit de cybersécurité : Identifiez les écarts entre vos pratiques actuelles et les exigences de la directive. Un diagnostic structuré vous donnera une feuille de route claire.

  3. Impliquez votre direction : Assurez-vous que les dirigeants comprennent leurs responsabilités et approuvent formellement la stratégie de cybersécurité.

  4. Mettez en place un processus de gestion des incidents : Documentez vos procédures de détection, de réponse et de notification. Testez-les régulièrement.

  5. Sécurisez votre chaîne d’approvisionnement : Évaluez les risques liés à vos fournisseurs, notamment ceux qui hébergent ou traitent vos données en dehors de l’Union européenne.

Le lien avec la souveraineté numérique

NIS2 s’inscrit dans une dynamique européenne plus large de reconquête de la souveraineté numérique. La directive encourage implicitement le recours à des solutions et des hébergements européens. En choisissant des fournisseurs cloud souverains et des infrastructures basées en Europe, vous facilitez votre conformité NIS2 tout en réduisant votre exposition aux juridictions extraterritoriales comme le CLOUD Act américain.

C’est exactement l’approche que nous défendons chez Hokhori Consulting : aligner conformité réglementaire, souveraineté des données et performance opérationnelle.

Évaluez votre niveau de souveraineté

Vous vous demandez où en est votre entreprise en matière de souveraineté numérique ? Notre Sovereign Score est un outil de diagnostic gratuit qui évalue votre dépendance aux fournisseurs extra-européens et vous donne des recommandations concrètes.

Testez votre Sovereign Score | Contactez-nous pour un audit NIS2