22 questions fréquentes avec réponses claires et sourcées — mis à jour le
Cette foire aux questions rassemble les 22 questions les plus fréquentes sur la cybersécurité réglementaire belge et européenne. Réponses concises, factuelles et vérifiables.
NIS2 est la directive (UE) 2022/2555, adoptée le 14 décembre 2022, qui impose un niveau élevé commun de cybersécurité dans l'Union européenne. Elle remplace NIS1 et élargit le champ à 18 secteurs essentiels et importants.
Oui. La Belgique a transposé NIS2 par la loi du 26 avril 2024, entrée en vigueur le 18 octobre 2024. L'autorité compétente est le Centre pour la Cybersécurité Belgique (CCB).
Analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des systèmes, évaluation de l'efficacité, cyberhygiène et formation, cryptographie, sécurité RH et contrôle d'accès, MFA, communications sécurisées.
Trois échéances : alerte précoce sous 24 heures, notification d'incident sous 72 heures, rapport final sous 1 mois. La notification se fait via le portail Safeonweb@Work du CCB.
Entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial. Entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial. La responsabilité personnelle des dirigeants est engagée (article 32).
Vous êtes concerné directement si vous opérez dans un des 18 secteurs (Annexe I ou II) et dépassez les seuils de taille (≥ 50 ETP ou CA > 10 M€). Même hors champ, vous pouvez être affecté indirectement via les exigences de vos clients NIS2.
L'enregistrement se fait sur le portail Safeonweb@Work du CCB (atwork.safeonweb.be), avec authentification eID ou itsme, le numéro BCE et la désignation de points de contact. L'enregistrement est gratuit.
ISO/IEC 27001:2022 est la norme internationale de référence pour les systèmes de management de la sécurité de l'information (SMSI). Elle est certifiable par un organisme accrédité.
L'Annexe A d'ISO 27001:2022 compte 93 contrôles : 37 organisationnels, 8 sur les personnes, 14 physiques, 34 technologiques. La version 2013 en comptait 114.
5.7 Threat intelligence, 5.21 Supply chain TIC, 5.23 Sécurité cloud, 5.30 Préparation TIC continuité, 7.4 Surveillance physique, 8.9 Configuration, 8.10 Suppression d'information, 8.11 Masquage des données, 8.12 DLP, 8.16 Surveillance, 8.23 Filtrage web, 8.28 Codage sécurisé.
ISO 27001:2022 couvre environ 85 % des exigences NIS2. Il manque principalement les délais de notification spécifiques (24h/72h) et l'enregistrement CCB, à ajouter en complément.
Pour une PME belge (50-250 ETP), comptez 25 000 à 80 000 € la première année, puis 5 000 à 15 000 €/an pour les audits de surveillance.
CyFun (CyberFundamentals Framework) est le référentiel de cybersécurité du CCB. La version actuelle, CyFun 2.0 (2025), compte 4 niveaux d'assurance, 13 domaines et couvre 100 % des exigences NIS2.
Small (TPE, ~34 exigences), Basic (PME hors NIS2, ~79), Important (entités importantes NIS2, ~117), Essential (entités essentielles NIS2, ~138).
La version actuelle est CyFun 2.0, publiée par le CCB en 2025. Elle introduit le niveau Small, s'aligne sur le NIST CSF 2.0 et met à jour le mapping vers ISO 27001:2022.
CyFun si vous êtes concerné par NIS2 en Belgique (référentiel officiel CCB). ISO 27001 si vous visez des marchés internationaux. Les deux sont complémentaires et partagent ~85 % de contrôles.
Par auto-évaluation pour les niveaux Small et Basic, ou par audit d'un CAB agréé par le CCB pour les niveaux Important et Essential. La recertification a lieu tous les 3 ans.
DORA (Digital Operational Resilience Act) est le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, applicable depuis le 17 janvier 2025.
Non. DORA est lex specialis pour le secteur financier et prévaut sur NIS2 pour les domaines équivalents. NIS2 reste applicable pour les aspects non couverts par DORA.
Le TLPT (Threat-Led Penetration Testing) est un test d'intrusion fondé sur la menace, imposé par DORA aux entités financières significatives tous les 3 ans.
L'article 30 §4 de la loi belge NIS2 impose aux entités essentielles et importantes de gérer les risques cybersécurité de leurs fournisseurs et prestataires de services TIC : due diligence, clauses contractuelles, surveillance, droit d'audit.
Audit annuel pour les fournisseurs critiques, bi-annuel pour les importants, revue documentaire annuelle pour les standards. Tout incident chez un fournisseur déclenche un audit ad-hoc sous 30 jours.
Consultez nos pages de référence ou contactez directement nos experts.