La Belgique a été en avance. Alors que de nombreux États membres de l’UE atteignaient tout juste l’échéance européenne d’octobre 2024, notre pays avait déjà transposé intégralement la directive NIS2 dans sa législation nationale — et l’avait rendue opérationnelle. Pour les grandes organisations critiques, c’était une nouvelle de taille. Mais la vraie surprise est ailleurs : NIS2 s’étend bien au-delà de la poignée de secteurs qui ont fait les gros titres. Vous dirigez un cabinet comptable, un cabinet d’avocats ou une pratique médicale ? Il est fort possible que cette loi vous concerne aussi — non pas directement, mais par l’intermédiaire de vos clients.
Voici, en termes clairs, ce qu’est NIS2, si votre entreprise est concernée, et ce que vous pouvez concrètement faire.
Qu’est-ce que NIS2, exactement ?
NIS2 est une directive européenne (officiellement la Directive (UE) 2022/2555) qui vise à élever la cybersécurité dans toute l’Union à un niveau plus élevé et plus uniforme. Elle remplace la première directive NIS de 2016, jugée trop limitée et trop facultative face aux menaces actuelles.
En Belgique, NIS2 a été transposée par la loi du 26 avril 2024, complétée par un arrêté royal du 9 juin 2024. Les règles sont en vigueur depuis le 18 octobre 2024. Le Centre pour la Cybersécurité Belgique (CCB) a été désigné comme l’autorité nationale de cybersécurité et fait également office de CSIRT national — le point de contact central pour les incidents.
En bref : ce n’est plus de la musique d’avenir. La loi est active, et la surveillance a entre-temps pris son rythme de croisière.
Mon entreprise est-elle concernée par NIS2 ?
La loi distingue les entités essentielles des entités importantes. Que vous soyez concerné dépend de deux éléments : votre secteur d’activité et votre taille. La loi énumère une série de secteurs — de l’énergie, des transports et de l’infrastructure numérique à la santé, à la gestion des déchets et à la fabrication de produits critiques. Règle générale : si vous opérez dans un tel secteur et comptez plus de 50 employés ou réalisez plus de 10 millions d’euros de chiffre d’affaires, vous relevez au minimum de la catégorie « importante ».
Le secteur bancaire et financier, lui, sort du champ de NIS2 — il est régi séparément par le règlement européen DORA.
Pour beaucoup de petites PME — le cabinet comptable typique, l’avocat du coin, le cabinet de médecine générale — la réponse est donc souvent : « non, pas directement ». Et c’est là que la plupart des articles s’arrêtent. Mais c’est précisément là que cela devient intéressant.
La chaîne d’approvisionnement change tout
NIS2 oblige les entités qui relèvent de la loi à maîtriser la sécurité de toute leur chaîne d’approvisionnement. Autrement dit : un hôpital, une grande entreprise de production ou un service public ne doit pas seulement mettre de l’ordre dans sa propre maison, mais aussi vérifier que ses fournisseurs et prestataires ne constituent pas un maillon faible.
Le CCB recommande donc explicitement que toute organisation susceptible de faire partie de la chaîne d’approvisionnement d’une entité NIS2 satisfasse au minimum au niveau « Basic » du référentiel CyberFundamentals. Mieux encore : une entité NIS2 peut imposer contractuellement un certain niveau CyFun à ses fournisseurs directs.
Traduisons cela en pratique. Votre client est un hôpital ou une grande entreprise relevant de NIS2. Ce client reçoit du régulateur la mission de sécuriser sa chaîne. La conséquence ? Il envoie un questionnaire — ou une exigence contractuelle — à son comptable, son fournisseur informatique, son avocat. La pression descend.
Vous n’avez pas besoin de relever de NIS2 pour en subir les effets. Il vous suffit d’avoir un client qui, lui, en relève.
CyberFundamentals (CyFun) : la voie pratique
Heureusement, le CCB n’a pas seulement imposé des règles : il a aussi fourni un cadre praticable, le CyberFundamentals, en abrégé CyFun. Il traduit les obligations abstraites de NIS2 en mesures concrètes et mesurables, et s’aligne sur des normes internationales comme l’ISO 27001 et le NIST Cybersecurity Framework.
CyFun compte quatre niveaux : Small, Basic, Important et Essential. Pour la plupart des PME, Basic est l’objectif réaliste — un ensemble de 34 mesures de contrôle autour des fondamentaux d’une bonne hygiène cyber : savoir quels systèmes vous possédez, gérer les accès, maintenir les logiciels à jour, réaliser des sauvegardes fiables et — point crucial — être capable de détecter les incidents.
Ce dernier point n’est pas un détail. C’est précisément là que beaucoup de PME trébuchent.
Le rôle du monitoring
Lisez attentivement les contrôles CyFun et vous remarquerez une chose : une part importante d’entre eux concerne le fait de voir ce qui se passe dans votre environnement informatique. Un inventaire à jour de vos systèmes. La détection de comportements anormaux. La journalisation des événements. La surveillance de la disponibilité de vos services. La détection des incidents.
C’est, mot pour mot, la définition du monitoring.
Et cela devient encore plus concret. NIS2 impose aux entités un calendrier strict de notification pour les incidents graves : une première alerte sous 24 heures, davantage d’informations sous 72 heures, et un rapport final sous 30 jours. Mais vous ne pouvez pas notifier en 24 heures un incident que vous n’avez jamais remarqué. Sans monitoring, vous n’apprenez qu’il y a un problème que lorsqu’un client appelle — et là, le compte à rebours tourne déjà.
Le monitoring n’est donc plus un « plus appréciable ». C’est une composante démontrable de votre conformité — la pièce justificative que vous présentez lorsqu’un client ou un auditeur demande : « Comment savez-vous que vos systèmes fonctionnent de manière sûre et disponible ? »
Que devez-vous faire maintenant ?
Quelques étapes pragmatiques :
- Déterminez votre position. Votre entreprise relève-t-elle directement de NIS2, ou — plus probablement — faites-vous partie de la chaîne d’approvisionnement d’un client qui en relève ?
- Réalisez un état des lieux honnête par rapport au niveau CyFun Basic. Où en êtes-vous aujourd’hui, et où sont les lacunes ?
- Ayez une vue réelle sur votre environnement informatique. Le monitoring est souvent l’étape la plus rapide et la plus visible vers la conformité — et apporte immédiatement une tranquillité concrète.
- Documentez tout. En matière de conformité, ce qui compte n’est pas seulement ce que vous faites, mais surtout ce que vous pouvez démontrer.
Les sanctions prévues par NIS2 sont lourdes pour ceux qui en relèvent directement — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et les dirigeants peuvent être tenus personnellement responsables. Mais pour la plupart des PME, le moteur le plus immédiat est plus simple : vous ne voulez pas perdre le client qui vous demande si vous êtes « en règle avec NIS2 ».
Pour conclure
À première vue, NIS2 ressemble à une réglementation lourde réservée aux grands acteurs. En réalité, c’est un glissement qui s’infiltre lentement dans toute l’économie belge — via des contrats, des questionnaires et des exigences qui descendent du grand vers le petit. Les PME qui mettent dès maintenant de l’ordre dans leur hygiène cyber et leur monitoring ne se contenteront pas d’éviter de perdre un client : elles en feront un argument de vente.
Chez Althona, nous aidons précisément les PME belges à le faire — mettre en place un monitoring qui ne se contente pas d’alerter en cas de problème, mais qui contribue aussi de façon démontrable à vos obligations CyFun et NIS2.