Coût d'une mise en conformité NIS2 en Belgique

Publié le — par Matthieu Roland

4Facteurs de coût majeurs
6Postes de dépense
10 M€Amende max en cas d'inaction

« Combien va nous coûter NIS2 ? » est la première question que posent les directions belges concernées par la directive NIS2 et sa transposition, la loi du 26 avril 2024. La réponse honnête : cela dépend — de votre taille, de votre classification (essentielle ou importante), du niveau CyFun visé et surtout de votre maturité de départ. Cette page présente les grands postes de dépense et des fourchettes de marché purement indicatives, observées sur le marché belge de la consultance en cybersécurité, pour vous aider à cadrer un budget réaliste.

Avertissement : tous les montants de cette page sont des estimations de marché indicatives, et non des tarifs de Cryptaguard ni des devis. Chaque cas varie fortement : seuls un échange et une gap analysis permettent de chiffrer votre situation. Demandez une évaluation personnalisée.

Les 4 facteurs qui font varier le coût

  1. La taille de l'organisation — nombre de collaborateurs, de sites, de systèmes d'information et de fournisseurs critiques. Une entité de 40 personnes mono-site n'a pas le même périmètre d'audit qu'un groupe de 800 personnes multi-sites.
  2. Le niveau CyFun visé — les niveaux Small, Basic, Important et Essential cumulent des exigences croissantes. Passer d'Important (~117 exigences) à Essential (~138 exigences) alourdit la remédiation, la documentation et l'audit. La version CyFun 2025, alignée sur le NIST CSF 2.0, renforce en outre la gouvernance et la chaîne d'approvisionnement.
  3. La maturité initiale — une organisation déjà proche d'ISO 27001 ou disposant d'un MFA généralisé, de sauvegardes testées et de politiques écrites partira de 60-70 % de couverture ; une organisation sans gouvernance formalisée partira de 20-30 %. C'est le facteur le plus déterminant.
  4. Le périmètre retenu — l'ensemble de l'entité juridique ou uniquement les services critiques au sens de NIS2 ? Un périmètre bien découpé (mais défendable devant le CCB) peut réduire sensiblement la facture, notamment dans les secteurs de l'énergie, de la santé ou de la finance, où les entités combinent souvent activités régulées et activités support.

Les 6 postes de dépense d'un projet NIS2

PosteContenuFourchette de marché indicative
1. Gap analysis / audit initialÉtat des lieux par rapport au référentiel CyFun ou ISO 27001, plan d'action priorisé5 000 – 25 000 €
2. Remédiation techniqueMFA, EDR, segmentation réseau, sauvegardes immuables, journalisation, durcissement10 000 – 300 000 € et plus, selon l'existant
3. Politiques et processusPSSI, gestion des incidents (24 h / 72 h / 1 mois), continuité, fournisseurs, formation art. 3210 000 – 40 000 €
4. Outillage récurrentLicences EDR/SIEM, gestion des vulnérabilités, plateforme GRC, sensibilisation5 000 – 80 000 € / an
5. Certification par un CABAudit de certification CyFun (ou ISO 27001) par un organisme accrédité + surveillance5 000 – 30 000 € par cycle
6. RSSI / gouvernancePilotage du SMSI, reporting direction, relation CCB — interne ou externalisé à temps partagé2 000 – 7 000 € / mois en temps partagé

Estimations de marché observées en Belgique, hors cas particuliers. Chaque situation varie ; ces chiffres ne constituent ni une offre ni un devis.

Fourchettes de marché indicatives par profil

ProfilClassification typeProjet initial (indicatif)Récurrent annuel (indicatif)
PME (25-100 ETP)
niveau CyFun Basic
Hors champ NIS2 ou petite entité importante15 000 – 50 000 €5 000 – 20 000 €
Moyenne entreprise (100-250 ETP)
niveau CyFun Important
Entité importante40 000 – 120 000 €20 000 – 60 000 €
Grande entité (250+ ETP)
niveau CyFun Essential
Entité essentielle100 000 – 500 000 €60 000 – 200 000 €

À lire avant d'utiliser ce tableau : il s'agit d'estimations de marché, chaque cas varie. Une PME très mature peut dépenser moins que le bas de fourchette ; une entité essentielle partie de zéro, davantage que le haut. La remédiation technique, très dépendante de l'existant, explique l'essentiel des écarts. Pour savoir où vous vous situez, commencez par le quiz d'auto-évaluation NIS2.

Les coûts récurrents : la conformité ne s'arrête pas à la certification

Le budget « année 1 » ne représente qu'une partie du coût total. Il faut planifier chaque année :

Mise en perspective : conformité vs sanction vs incident

Le coût de la conformité doit être comparé à ce qu'elle évite. La loi belge prévoit des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 millions ou 1,4 % pour les importantes), assorties d'une responsabilité personnelle des organes de direction (article 32). À cela s'ajoute le coût d'un incident cyber majeur — interruption d'activité, restauration des systèmes, notification au CCB sous 24 h / 72 h, assistance juridique, perte de clients et de réputation — qui dépasse fréquemment, pour une entreprise moyenne, le budget de plusieurs années de conformité. Vu sous cet angle, la mise en conformité est moins une dépense qu'une assurance sur la continuité de l'activité.

Comment optimiser votre budget NIS2

FAQ — Budget et coût de la conformité NIS2

Quel budget une PME doit-elle prévoir pour la conformité NIS2 ?

À titre d'estimation de marché purement indicative, une PME visant le niveau CyFun Basic se situe souvent entre 15 000 et 50 000 € pour le projet initial (gap analysis, politiques, remédiation de base), puis 5 000 à 20 000 € par an en coûts récurrents. Chaque cas varie fortement selon la maturité initiale, le périmètre et l'infrastructure existante : seul un audit permet de chiffrer précisément.

La certification CyFun est-elle obligatoire ?

Non, pas en tant que telle. Une entité essentielle dispose de trois voies pour démontrer sa conformité : la certification ou vérification CyFun, la certification ISO 27001, ou l'inspection par le CCB. Selon le calendrier publié par le CCB, les entités essentielles doivent pouvoir démontrer la mise en œuvre effective des mesures au 18 avril 2026 et obtenir la certification CyFun au niveau d'assurance requis au 18 avril 2027 si elles choisissent cette voie. Les entités importantes sont soumises à une supervision ex post uniquement.

Combien coûte un audit ou une gap analysis NIS2 ?

Sur le marché belge, une gap analysis NIS2/CyFun se situe généralement, à titre indicatif, entre 5 000 et 25 000 € selon la taille de l'organisation, le niveau CyFun visé et la profondeur d'analyse (documentaire seule ou avec tests techniques). Il s'agit d'estimations de marché, pas d'un tarif : chaque périmètre est différent.

Combien coûte la certification par un CAB ?

L'audit de certification par un organisme d'évaluation de la conformité (CAB) accrédité constitue un poste distinct du projet de mise en conformité. Les estimations de marché indicatives vont de quelques milliers d'euros pour une petite structure au niveau Basic à plusieurs dizaines de milliers d'euros pour une grande entité au niveau Essential, audits de surveillance compris. Demandez plusieurs devis aux CAB : les prix varient selon la taille, le nombre de sites et le niveau d'assurance.

La conformité NIS2 coûte-t-elle plus cher qu'une sanction ?

Rarement. La loi belge du 26 avril 2024 prévoit des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 millions ou 1,4 % pour les importantes), sans compter la responsabilité personnelle des dirigeants (article 32) ni le coût d'un incident majeur (interruption d'activité, restauration, notification, réputation). Le budget de conformité est presque toujours inférieur à ces montants.

Sources officielles

Besoin d'un chiffrage adapté à votre situation ?

Nos services d'audit et d'accompagnement commencent par une gap analysis qui transforme ces fourchettes de marché en budget précis pour votre organisation.

Demander une évaluation personnalisée →