La directive européenne NIS2 est entrée en vigueur et bouleverse les obligations de cybersécurité pour des milliers d’entreprises belges. Êtes-vous concerné ? Voici ce qu’il faut savoir.
Qu’est-ce que la directive NIS2 ?
La directive NIS2 (Network and Information Security 2) est la nouvelle réglementation européenne en matière de cybersécurité. Elle remplace la directive NIS de 2016 et élargit considérablement son champ d’application.
Objectif principal : renforcer la résilience cyber des entreprises européennes face à des menaces toujours plus sophistiquées.
Qui est concerné en Belgique ?
C’est le point crucial. NIS2 ne concerne plus uniquement les grandes entreprises. Sont désormais visées :
Entités essentielles
- Énergie (électricité, gaz, pétrole)
- Transport (aérien, ferroviaire, maritime, routier)
- Santé (hôpitaux, laboratoires, fabricants de dispositifs médicaux)
- Eau potable et eaux usées
- Infrastructure numérique (datacenters, DNS, cloud)
- Administration publique
- Espace
Entités importantes
- Services postaux et de courrier
- Gestion des déchets
- Chimie
- Agroalimentaire
- Fabrication (dispositifs médicaux, électronique, machines)
- Fournisseurs numériques (marketplaces, moteurs de recherche, réseaux sociaux)
- Recherche
Critères de taille
Vous êtes concerné si vous appartenez à un secteur visé ET que vous dépassez ces seuils :
| Critère | Seuil |
|---|---|
| Effectif | 50 employés ou plus |
| Chiffre d’affaires | 10 millions € ou plus |
| Bilan annuel | 10 millions € ou plus |
Attention : Certaines entreprises sont concernées quelle que soit leur taille (fournisseurs DNS, registres de noms de domaine, etc.).
Quelles sont les obligations concrètes ?
1. Gouvernance et responsabilité
La direction de l’entreprise devient personnellement responsable de la cybersécurité. Les dirigeants doivent :
- Approuver les mesures de gestion des risques
- Superviser leur mise en œuvre
- Suivre des formations en cybersécurité
2. Mesures techniques et organisationnelles
Vous devez mettre en place :
- Analyse des risques : évaluation régulière des menaces
- Gestion des incidents : procédures de détection, réponse et récupération
- Continuité d’activité : plans de sauvegarde et reprise après sinistre
- Sécurité de la chaîne d’approvisionnement : vérification de vos fournisseurs
- Sécurité réseau : segmentation, chiffrement, contrôle d’accès
- Authentification : MFA (authentification multi-facteurs) obligatoire
- Formation : sensibilisation régulière du personnel
3. Notification des incidents
En cas d’incident significatif, vous devez :
| Délai | Action |
|---|---|
| 24 heures | Alerte préliminaire au CCB (Centre pour la Cybersécurité Belgique) |
| 72 heures | Notification complète avec évaluation de l’impact |
| 1 mois | Rapport final détaillé |
Quelles sanctions en cas de non-conformité ?
Les amendes sont conséquentes :
- Entités essentielles : jusqu’à 10 millions € ou 2% du CA mondial
- Entités importantes : jusqu’à 7 millions € ou 1,4% du CA mondial
Les dirigeants peuvent également être personnellement sanctionnés, voire temporairement interdits d’exercer des fonctions de direction.
Comment se mettre en conformité ?
Étape 1 : Évaluer votre situation
- Déterminez si vous êtes concerné (secteur + taille)
- Identifiez votre catégorie (essentielle ou importante)
Étape 2 : Réaliser un audit
- Cartographiez vos systèmes d’information
- Identifiez les vulnérabilités existantes
- Évaluez votre niveau de maturité cyber actuel
Étape 3 : Élaborer un plan d’action
- Priorisez les mesures selon les risques
- Définissez un budget et un calendrier
- Désignez un responsable cybersécurité
Étape 4 : Mettre en œuvre
- Déployez les mesures techniques (firewall, MFA, backup…)
- Formalisez les procédures (incident response, continuité…)
- Formez vos équipes
Étape 5 : Maintenir et améliorer
- Testez régulièrement vos défenses
- Mettez à jour vos systèmes
- Réalisez des audits périodiques
Ce que JS Business peut faire pour vous
En tant que consultant système avec plus de 25 ans d’expérience, j’accompagne les PME belges dans leur mise en conformité NIS2 :
- Audit de cybersécurité : évaluation complète de votre infrastructure
- Plan de remédiation : recommandations priorisées et chiffrées
- Mise en œuvre technique : déploiement des solutions de sécurité
- Documentation : politiques et procédures conformes
- Formation : sensibilisation de vos équipes
La conformité NIS2 n’est pas qu’une contrainte réglementaire. C’est l’opportunité de renforcer durablement la sécurité de votre entreprise.
Vous avez des questions sur NIS2 et votre situation ? Contactez-moi pour un premier échange gratuit.
Besoin d'aide sur ce sujet ?
Je peux vous accompagner dans la mise en place de ces solutions pour votre entreprise.
Johan H.
Consultant IT passionné par l'infrastructure système et le développement web. Je partage ici mes retours d'expérience et conseils techniques.
