Qui doit s'enregistrer auprès du CCB pour NIS2 en Belgique ?

Toutes les entités essentielles (Annexe I de la loi du 26 avril 2024 — 11 secteurs critiques : énergie, transport, banque, santé, eau, infrastructure numérique, etc.) et toutes les entités importantes (Annexe II — 7 secteurs : services postaux, déchets, chimie, alimentation, fabrication, fournisseurs numériques, recherche) qui dépassent les seuils de taille (≥ 50 ETP ou CA > 10 M€) doivent s'enregistrer auprès du CCB.

Quel est le délai pour s'enregistrer NIS2 en Belgique ?

L'enregistrement est ouvert depuis le 18 octobre 2024 (date d'entrée en vigueur de la loi du 26 avril 2024). Les entités existantes au 18/10/2024 devaient s'enregistrer dans les 5 mois (avant le 18 mars 2025). Les nouvelles entités atteignant les seuils ont 5 mois après leur création / dépassement de seuil.

Comment se faire enregistrer NIS2 ? / How to register NIS2 in Belgium ?

L'enregistrement se fait en ligne sur le portail Safeonweb@Work du CCB (https://atwork.safeonweb.be/). Il nécessite une authentification eID belge ou itsme, le numéro BCE de l'entité et la désignation d'au moins 3 points de contact (général, sécurité, incident 24/7). La procédure prend en général 1-2 heures.

Quel est le coût de l'enregistrement NIS2 au CCB ?

L'enregistrement auprès du CCB est gratuit. Aucun frais administratif n'est exigé pour la création du compte ou la mise à jour des informations. Les coûts éventuels concernent uniquement la mise en conformité technique (audit, accompagnement, certification CyFun).

Que risque une entité qui ne s'enregistre pas ?

Le défaut d'enregistrement constitue une violation de l'article 8 de la loi du 26 avril 2024 et expose à une amende administrative pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % pour les entités importantes.

Quelle différence entre l'enregistrement CCB et la certification CyFun ?

L'enregistrement au CCB est une obligation déclarative (ouvre votre dossier auprès de l'autorité). La certification CyFun (Basic / Important / Essential) est une démonstration concrète de la mise en œuvre des mesures de sécurité. L'enregistrement est obligatoire ; la certification CyFun est fortement recommandée mais non strictement obligatoire (les entités peuvent prouver leur conformité par d'autres moyens, ex : ISO 27001).

L'enregistrement doit-il être renouvelé ?

Pas de renouvellement périodique formel, mais les informations doivent être mises à jour dans les 14 jours en cas de : changement de représentant légal, déménagement, fusion ou acquisition, modification des points de contact, sortie ou entrée dans le périmètre NIS2 (changement de seuil de taille).

Comment changer le point de contact NIS2 au CCB ?

Connectez-vous à votre espace Safeonweb@Work, accédez à la fiche de l'entité, modifiez les points de contact concernés (général, sécurité, incident 24/7) et enregistrez. La modification prend effet immédiatement et sera utilisée pour toutes les communications futures du CCB et notifications d'incident.

L'enregistrement NIS2 belge est-il valable dans toute l'Union européenne ?

L'enregistrement se fait dans l'État membre où l'entité a son établissement principal. Pour les entités opérant dans plusieurs États membres, l'enregistrement s'effectue dans chaque pays selon les modalités locales. Pour les fournisseurs de services numériques, l'enregistrement se fait dans le pays du "Main Establishment" au sens NIS2.

Enregistrement NIS2 Belgique au CCB — Guide complet Safeonweb@Work (2026)

Tout entité essentielle ou importante au sens de la loi belge du 26 avril 2024 (transposition NIS2) doit s'enregistrer auprès du Centre pour la Cybersécurité Belgique (CCB) via le portail Safeonweb@Work. Ce guide détaille la procédure complète, les pièges classiques et les sanctions encourues en cas de défaut.

English readers: this article also covers the keywords « CCB registration NIS2 Belgium », « Safeonweb@Work registration » and « how to register NIS2 entity in Belgium ». The procedure is the same regardless of the language used by the entity.

1. Qui doit s'enregistrer ?

L'enregistrement est obligatoire pour toute organisation qui répond cumulativement aux 2 critères suivants :

Critère sectoriel

Annexe I — 11 secteurs essentiels : énergie, transport, banque, infrastructures financières, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (B2B), administration publique, espace.
Annexe II — 7 secteurs importants : services postaux, gestion des déchets, chimie, alimentation, fabrication, fournisseurs numériques, recherche.

Voir les 18 secteurs en détail →

Critère de taille (cumulatif)

Grande entreprise : ≥ 250 ETP ou CA > 50 M€ et bilan > 43 M€ → entité essentielle par défaut si secteur Annexe I.
Moyenne entreprise : 50–249 ETP ou CA 10–50 M€ → entité importante.
Petite entreprise < 50 ETP et CA < 10 M€ → généralement hors champ, sauf cas particuliers (DNS, eIDAS qualifié, opérateur de services numériques critique, désignation directe par le CCB).

Cas particuliers automatiquement essentiels

Fournisseurs de DNS et registres de TLD
Fournisseurs de services de confiance qualifiés (eIDAS)
Fournisseurs de réseaux ou de services de communication électronique publics
Entités de l'administration publique désignées
Toute entité désignée explicitement par le CCB

2. Délai pour s'enregistrer

Entités existantes au 18/10/2024 : devaient s'enregistrer avant le 18 mars 2025 (5 mois après l'entrée en vigueur de la loi).
Nouvelles entités ou entités atteignant les seuils après le 18/10/2024 : 5 mois à compter de la création ou du dépassement de seuil.
Mises à jour : 14 jours en cas de changement (représentant légal, points de contact, fusion, etc.).

3. Comment s'enregistrer (procédure pas à pas)

Préparation — réunir : eID belge ou itsme du représentant légal, numéro BCE de l'entité, identité de 3 personnes pour les points de contact (général, sécurité, incident 24/7).
Connexion — se rendre sur https://atwork.safeonweb.be/ et s'authentifier via eID ou itsme.
Sélection de l'entité — sélectionner l'entité concernée par son numéro BCE (l'authentification eID expose les entreprises rattachées au représentant légal via la BCE).
Profil de l'entité — renseigner : raison sociale, adresse du siège, secteur (Annexe I/II), nombre d'ETP, CA, État membre principal d'établissement, structure juridique.
Désignation des points de contact — au minimum :
- Un point de contact général (souvent le DPO ou le legal/compliance manager)
- Un point de contact sécurité (le RSSI ou équivalent)
- Un point de contact incident 24/7 (numéro joignable en permanence — souvent une astreinte SOC)
Validation et soumission — relire, valider et soumettre. Le CCB vérifie la classification proposée et délivre un identifiant CCB unique.
Mises à jour — toute modification doit être saisie dans les 14 jours.

4. Après l'enregistrement

Identifiant CCB : à conserver. Sera demandé pour chaque notification d'incident, audit ou communication officielle.
Mise en conformité technique : implémenter les 11 mesures de l'article 30 (analyse des risques, gestion des incidents, MFA, cryptographie, etc.).
Notification d'incidents : être prêt à notifier dans les délais 24h / 72h / 1 mois.
Certification CyFun (recommandée) : viser le niveau CyFun Important ou Essential selon votre classification.

5. Sanctions en cas de non-enregistrement

Le défaut d'enregistrement est une violation de l'article 8 de la loi belge NIS2 et expose à des sanctions cumulables :

Amende administrative : jusqu'à 10 M€ ou 2 % du CA mondial pour les essentielles, 7 M€ ou 1,4 % CA pour les importantes.
Article 32 — responsabilité personnelle des membres du conseil d'administration.
Suspension temporaire de la fonction de dirigeant pour les entités essentielles.
Publication de la décision au Moniteur belge (effet réputationnel).

Toutes les sanctions NIS2 →

6. Besoin d'aide pour l'enregistrement ?

Cryptaguard accompagne les entités belges et étrangères dans :

Le diagnostic de classification (essentielle / importante / hors champ)
La désignation des points de contact (peut inclure RSSI à temps partagé)
L'enregistrement effectif sur Safeonweb@Work
La mise en place du dispositif post-enregistrement (politique sécurité, procédure incident, certification CyFun)

Demander un accompagnement →

7. Ressources officielles

Portail Safeonweb@Work du CCB — enregistrement
Centre pour la Cybersécurité Belgique — autorité compétente
CSIRT.be — assistance technique
Moniteur belge — texte officiel de la loi du 26 avril 2024
Notre version annotée de la loi

Enregistrement NIS2 Belgique — Guide CCB Safeonweb@Work