Inspections CCB et contrôles NIS2 : ce qui change depuis avril 2026

Publié le — par Matthieu Roland

18/04/2026Démonstration exigée (essentielles)
3 voiesPour prouver sa conformité
10 M€Amende max en cas de manquement

La phase déclarative de la directive NIS2 en Belgique est derrière nous : l'enregistrement sur Safeonweb@Work est obligatoire depuis le 18 mars 2025 et, selon le calendrier publié par le CCB, les entités essentielles doivent pouvoir démontrer la mise en œuvre effective de leurs mesures depuis le 18 avril 2026. Le Centre pour la Cybersécurité Belgique (CCB) dispose, en vertu de la loi du 26 avril 2024, de pouvoirs d'inspection étendus. Cette page explique qui est contrôlé, comment se déroule un contrôle NIS2, quelles preuves préparer et comment s'y préparer en 10 points.

Le tournant du 18 avril 2026 : de l'enregistrement à la supervision active

Jusqu'au printemps 2026, l'essentiel des obligations visibles portait sur l'enregistrement et la notification d'incidents (24 h / 72 h / 1 mois). Selon le calendrier publié par le CCB, le 18 avril 2026 marque une étape supplémentaire : les entités essentielles doivent être en mesure de démontrer la mise en œuvre effective de leurs mesures de gestion des risques, typiquement au travers d'une vérification CyFun au niveau visé. La suite de ce calendrier prévoit, au 18 avril 2027, une certification CyFun au niveau d'assurance requis — Essential pour la plupart des entités essentielles.

Concrètement, cela signifie que le régime de supervision n'est plus théorique : une entité essentielle peut être invitée à prouver, documents à l'appui, que ses politiques, ses contrôles techniques et sa gouvernance existent et fonctionnent. Les secteurs les plus exposés sont ceux de l'annexe I de la loi : énergie, santé, banque et infrastructures financières, transport, eau, infrastructure numérique, notamment.

Entités essentielles vs importantes : deux régimes de supervision

La loi belge distingue nettement le niveau de surveillance selon la catégorie de l'entité.

AspectEntité essentielleEntité importante
Type de supervisionEx ante : contrôle possible à tout moment, sans attendre un manquementEx post uniquement : intervention en cas d'indices de manquement
Démonstration de conformité3 voies : certification/vérification CyFun, certification ISO 27001 ou inspection par le CCBPas de démonstration systématique exigée ; preuves à fournir si le service d'inspection intervient
Soumission volontaireSans objet (régime le plus strict)Possible : se soumettre volontairement au régime des essentielles crée une présomption de conformité
Amende maximale10 M€ ou 2 % du CA mondial7 M€ ou 1,4 % du CA mondial

Pour une entité essentielle, les trois voies de démonstration sont donc : la certification ou vérification CyFun au niveau attendu (voir les niveaux CyFun), la certification ISO 27001, ou l'inspection directe par le CCB. Cette dernière voie est la moins confortable : l'entité subit alors le calendrier et le périmètre choisis par l'inspecteur.

Les pouvoirs d'inspection du CCB (articles 52 à 54 de la loi)

Le Titre VI de la loi du 26 avril 2024 organise le contrôle. Les autorités compétentes disposent de quatre leviers principaux :

En miroir, l'article 52 §3 impose trois obligations aux entités contrôlées : faciliter l'accès des inspecteurs aux locaux et aux systèmes, fournir toute information ou document demandé, et désigner une personne de contact pour l'inspection.

Comment se déroule un contrôle NIS2 en pratique

1. La prise de contact

Dans le cas le plus courant (inspection programmée), l'entité est prévenue à l'avance et reçoit une demande précisant le périmètre et les documents attendus. En cas de suspicion grave ou après un incident, le contrôle peut être inopiné : la première notification peut être l'arrivée des inspecteurs ou une demande de preuves à bref délai.

2. La revue documentaire

Les inspecteurs examinent d'abord le dossier de conformité : enregistrement, politiques, analyses de risques, self-assessment CyFun, registre des incidents. Une documentation incomplète ou obsolète oriente immédiatement la suite du contrôle vers un examen plus approfondi.

3. Les vérifications sur site ou à distance

Entretiens avec la direction et le RSSI, démonstrations des contrôles (MFA, sauvegardes, journalisation), vérifications techniques, le cas échéant scans de sécurité : l'objectif est de confronter le déclaratif à la réalité opérationnelle.

4. Les constats et les suites

En cas de non-conformité constatée, l'article 55 permet une gradation : avertissement écrit, injonction de mise en conformité dans un délai déterminé, imposition de mesures spécifiques, suspension temporaire de certaines activités, voire suspension ou retrait d'une certification. Les amendes de l'article 56 peuvent s'y ajouter — le détail figure sur notre page sanctions NIS2.

Les preuves à tenir prêtes avant tout contrôle

Un contrôle se gagne avant qu'il ne commence. Le socle documentaire à maintenir en permanence :

Checklist de préparation en 10 points

  1. Vérifier que l'enregistrement CCB est complet et que les trois points de contact sont joignables.
  2. Confirmer votre classification (essentielle / importante) et le niveau CyFun cible correspondant.
  3. Centraliser le dossier de conformité dans un référentiel unique, accessible en moins d'une heure.
  4. Mettre à jour le self-assessment CyFun — un document daté de plus d'un an perd sa valeur démonstrative.
  5. Vérifier que chaque politique a un propriétaire, une date de revue et une approbation de la direction.
  6. Tenir le registre des incidents à jour, y compris les incidents non notifiables (avec justification).
  7. Documenter la gestion des fournisseurs critiques (contrats, clauses de sécurité, évaluations).
  8. Conserver les preuves de formation cyber des dirigeants et des collaborateurs.
  9. Désigner et briefer la personne de contact inspection : qui accueille, qui répond, qui valide les documents transmis.
  10. Réaliser un exercice à blanc : simuler une demande de preuves du CCB et mesurer le temps de réponse.

Nos outils d'auto-évaluation et notre page sur le coût de la conformité NIS2 vous aident à dimensionner ce chantier. Si vous n'avez pas de RSSI interne, un RSSI externalisé peut tenir ce rôle de personne de contact et piloter le dossier.

Que risque-t-on en cas de manquement constaté ?

Les suites d'un contrôle défavorable vont de l'avertissement à l'amende administrative : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les importantes, sans oublier la responsabilité personnelle des dirigeants prévue par l'article 32 et la publication possible de la sanction. Le panorama complet — critères de fixation de l'amende, mesures non financières, sanctions pénales — est détaillé sur notre page sanctions NIS2 en Belgique.

FAQ — Inspections et contrôles NIS2

Les entités importantes sont-elles inspectées ?

Les entités importantes relèvent d'une supervision uniquement ex post : le service d'inspection intervient lorsqu'il existe des indices de manquement (plainte, incident, signalement), et non de manière systématique. Elles peuvent toutefois se soumettre volontairement au régime des entités essentielles, ce qui leur ouvre une présomption de conformité.

Quels documents le CCB peut-il exiger ?

L'article 54 de la loi du 26 avril 2024 permet aux autorités compétentes de demander à tout moment des informations sur les mesures de cybersécurité, des preuves de conformité, des rapports d'incidents ou de tests de sécurité, et toute autre information nécessaire à leurs missions : politiques de sécurité, self-assessment CyFun, registre des incidents, preuves de notification, rapports d'audit.

Une inspection peut-elle avoir lieu sans préavis ?

Oui. L'article 52 §2 prévoit trois cas de figure : des inspections programmées et annoncées à l'avance, des inspections inopinées en cas de suspicion de non-conformité grave, et des inspections déclenchées à la suite d'un incident significatif.

La certification CyFun dispense-t-elle d'inspection ?

Non, mais elle change la donne. La certification ou vérification CyFun est l'une des trois voies permettant à une entité essentielle de démontrer sa conformité, avec la certification ISO 27001 et l'inspection par le CCB. Une entité certifiée dispose d'une démonstration structurée de sa conformité, mais le CCB conserve ses pouvoirs d'inspection prévus par la loi.

Peut-on contester une décision prise après un contrôle ?

Oui. Avant toute amende ou mesure correctrice contraignante, l'entité a le droit d'être informée des griefs, d'accéder au dossier et de présenter ses observations (article 62). Un recours peut ensuite être introduit auprès de la juridiction compétente dans les 30 jours de la notification de la décision (article 61).

Que risque une entité qui refuse de coopérer ?

La non-coopération avec l'autorité compétente est un motif d'amende administrative (article 56 §1er), jusqu'à 10 M€ ou 2 % du CA mondial pour une entité essentielle. L'obstruction intentionnelle aux inspections et la fourniture d'informations fausses relèvent en outre des sanctions pénales de l'article 59.

Sources officielles

Préparez votre premier contrôle avant qu'il ne s'annonce

Cryptaguard réalise des audits de préparation à l'inspection : revue du dossier de conformité, simulation de demande de preuves, remédiation priorisée. Un contrôle bien préparé devient une formalité.

Demander un pré-audit d'inspection →