Publié le — par Matthieu Roland
« Combien va nous coûter NIS2 ? » est la première question que posent les directions belges concernées par la directive NIS2 et sa transposition, la loi du 26 avril 2024. La réponse honnête : cela dépend — de votre taille, de votre classification (essentielle ou importante), du niveau CyFun visé et surtout de votre maturité de départ. Cette page présente les grands postes de dépense et des fourchettes de marché purement indicatives, observées sur le marché belge de la consultance en cybersécurité, pour vous aider à cadrer un budget réaliste.
Avertissement : tous les montants de cette page sont des estimations de marché indicatives, et non des tarifs de Cryptaguard ni des devis. Chaque cas varie fortement : seuls un échange et une gap analysis permettent de chiffrer votre situation. Demandez une évaluation personnalisée.
| Poste | Contenu | Fourchette de marché indicative |
|---|---|---|
| 1. Gap analysis / audit initial | État des lieux par rapport au référentiel CyFun ou ISO 27001, plan d'action priorisé | 5 000 – 25 000 € |
| 2. Remédiation technique | MFA, EDR, segmentation réseau, sauvegardes immuables, journalisation, durcissement | 10 000 – 300 000 € et plus, selon l'existant |
| 3. Politiques et processus | PSSI, gestion des incidents (24 h / 72 h / 1 mois), continuité, fournisseurs, formation art. 32 | 10 000 – 40 000 € |
| 4. Outillage récurrent | Licences EDR/SIEM, gestion des vulnérabilités, plateforme GRC, sensibilisation | 5 000 – 80 000 € / an |
| 5. Certification par un CAB | Audit de certification CyFun (ou ISO 27001) par un organisme accrédité + surveillance | 5 000 – 30 000 € par cycle |
| 6. RSSI / gouvernance | Pilotage du SMSI, reporting direction, relation CCB — interne ou externalisé à temps partagé | 2 000 – 7 000 € / mois en temps partagé |
Estimations de marché observées en Belgique, hors cas particuliers. Chaque situation varie ; ces chiffres ne constituent ni une offre ni un devis.
| Profil | Classification type | Projet initial (indicatif) | Récurrent annuel (indicatif) |
|---|---|---|---|
| PME (25-100 ETP) niveau CyFun Basic | Hors champ NIS2 ou petite entité importante | 15 000 – 50 000 € | 5 000 – 20 000 € |
| Moyenne entreprise (100-250 ETP) niveau CyFun Important | Entité importante | 40 000 – 120 000 € | 20 000 – 60 000 € |
| Grande entité (250+ ETP) niveau CyFun Essential | Entité essentielle | 100 000 – 500 000 € | 60 000 – 200 000 € |
À lire avant d'utiliser ce tableau : il s'agit d'estimations de marché, chaque cas varie. Une PME très mature peut dépenser moins que le bas de fourchette ; une entité essentielle partie de zéro, davantage que le haut. La remédiation technique, très dépendante de l'existant, explique l'essentiel des écarts. Pour savoir où vous vous situez, commencez par le quiz d'auto-évaluation NIS2.
Le budget « année 1 » ne représente qu'une partie du coût total. Il faut planifier chaque année :
Le coût de la conformité doit être comparé à ce qu'elle évite. La loi belge prévoit des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 millions ou 1,4 % pour les importantes), assorties d'une responsabilité personnelle des organes de direction (article 32). À cela s'ajoute le coût d'un incident cyber majeur — interruption d'activité, restauration des systèmes, notification au CCB sous 24 h / 72 h, assistance juridique, perte de clients et de réputation — qui dépasse fréquemment, pour une entreprise moyenne, le budget de plusieurs années de conformité. Vu sous cet angle, la mise en conformité est moins une dépense qu'une assurance sur la continuité de l'activité.
À titre d'estimation de marché purement indicative, une PME visant le niveau CyFun Basic se situe souvent entre 15 000 et 50 000 € pour le projet initial (gap analysis, politiques, remédiation de base), puis 5 000 à 20 000 € par an en coûts récurrents. Chaque cas varie fortement selon la maturité initiale, le périmètre et l'infrastructure existante : seul un audit permet de chiffrer précisément.
Non, pas en tant que telle. Une entité essentielle dispose de trois voies pour démontrer sa conformité : la certification ou vérification CyFun, la certification ISO 27001, ou l'inspection par le CCB. Selon le calendrier publié par le CCB, les entités essentielles doivent pouvoir démontrer la mise en œuvre effective des mesures au 18 avril 2026 et obtenir la certification CyFun au niveau d'assurance requis au 18 avril 2027 si elles choisissent cette voie. Les entités importantes sont soumises à une supervision ex post uniquement.
Sur le marché belge, une gap analysis NIS2/CyFun se situe généralement, à titre indicatif, entre 5 000 et 25 000 € selon la taille de l'organisation, le niveau CyFun visé et la profondeur d'analyse (documentaire seule ou avec tests techniques). Il s'agit d'estimations de marché, pas d'un tarif : chaque périmètre est différent.
L'audit de certification par un organisme d'évaluation de la conformité (CAB) accrédité constitue un poste distinct du projet de mise en conformité. Les estimations de marché indicatives vont de quelques milliers d'euros pour une petite structure au niveau Basic à plusieurs dizaines de milliers d'euros pour une grande entité au niveau Essential, audits de surveillance compris. Demandez plusieurs devis aux CAB : les prix varient selon la taille, le nombre de sites et le niveau d'assurance.
Rarement. La loi belge du 26 avril 2024 prévoit des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles (7 millions ou 1,4 % pour les importantes), sans compter la responsabilité personnelle des dirigeants (article 32) ni le coût d'un incident majeur (interruption d'activité, restauration, notification, réputation). Le budget de conformité est presque toujours inférieur à ces montants.
Nos services d'audit et d'accompagnement commencent par une gap analysis qui transforme ces fourchettes de marché en budget précis pour votre organisation.