Publié le — par Matthieu Roland
La phase déclarative de la directive NIS2 en Belgique est derrière nous : l'enregistrement sur Safeonweb@Work est obligatoire depuis le 18 mars 2025 et, selon le calendrier publié par le CCB, les entités essentielles doivent pouvoir démontrer la mise en œuvre effective de leurs mesures depuis le 18 avril 2026. Le Centre pour la Cybersécurité Belgique (CCB) dispose, en vertu de la loi du 26 avril 2024, de pouvoirs d'inspection étendus. Cette page explique qui est contrôlé, comment se déroule un contrôle NIS2, quelles preuves préparer et comment s'y préparer en 10 points.
Jusqu'au printemps 2026, l'essentiel des obligations visibles portait sur l'enregistrement et la notification d'incidents (24 h / 72 h / 1 mois). Selon le calendrier publié par le CCB, le 18 avril 2026 marque une étape supplémentaire : les entités essentielles doivent être en mesure de démontrer la mise en œuvre effective de leurs mesures de gestion des risques, typiquement au travers d'une vérification CyFun au niveau visé. La suite de ce calendrier prévoit, au 18 avril 2027, une certification CyFun au niveau d'assurance requis — Essential pour la plupart des entités essentielles.
Concrètement, cela signifie que le régime de supervision n'est plus théorique : une entité essentielle peut être invitée à prouver, documents à l'appui, que ses politiques, ses contrôles techniques et sa gouvernance existent et fonctionnent. Les secteurs les plus exposés sont ceux de l'annexe I de la loi : énergie, santé, banque et infrastructures financières, transport, eau, infrastructure numérique, notamment.
La loi belge distingue nettement le niveau de surveillance selon la catégorie de l'entité.
| Aspect | Entité essentielle | Entité importante |
|---|---|---|
| Type de supervision | Ex ante : contrôle possible à tout moment, sans attendre un manquement | Ex post uniquement : intervention en cas d'indices de manquement |
| Démonstration de conformité | 3 voies : certification/vérification CyFun, certification ISO 27001 ou inspection par le CCB | Pas de démonstration systématique exigée ; preuves à fournir si le service d'inspection intervient |
| Soumission volontaire | Sans objet (régime le plus strict) | Possible : se soumettre volontairement au régime des essentielles crée une présomption de conformité |
| Amende maximale | 10 M€ ou 2 % du CA mondial | 7 M€ ou 1,4 % du CA mondial |
Pour une entité essentielle, les trois voies de démonstration sont donc : la certification ou vérification CyFun au niveau attendu (voir les niveaux CyFun), la certification ISO 27001, ou l'inspection directe par le CCB. Cette dernière voie est la moins confortable : l'entité subit alors le calendrier et le périmètre choisis par l'inspecteur.
Le Titre VI de la loi du 26 avril 2024 organise le contrôle. Les autorités compétentes disposent de quatre leviers principaux :
En miroir, l'article 52 §3 impose trois obligations aux entités contrôlées : faciliter l'accès des inspecteurs aux locaux et aux systèmes, fournir toute information ou document demandé, et désigner une personne de contact pour l'inspection.
Dans le cas le plus courant (inspection programmée), l'entité est prévenue à l'avance et reçoit une demande précisant le périmètre et les documents attendus. En cas de suspicion grave ou après un incident, le contrôle peut être inopiné : la première notification peut être l'arrivée des inspecteurs ou une demande de preuves à bref délai.
Les inspecteurs examinent d'abord le dossier de conformité : enregistrement, politiques, analyses de risques, self-assessment CyFun, registre des incidents. Une documentation incomplète ou obsolète oriente immédiatement la suite du contrôle vers un examen plus approfondi.
Entretiens avec la direction et le RSSI, démonstrations des contrôles (MFA, sauvegardes, journalisation), vérifications techniques, le cas échéant scans de sécurité : l'objectif est de confronter le déclaratif à la réalité opérationnelle.
En cas de non-conformité constatée, l'article 55 permet une gradation : avertissement écrit, injonction de mise en conformité dans un délai déterminé, imposition de mesures spécifiques, suspension temporaire de certaines activités, voire suspension ou retrait d'une certification. Les amendes de l'article 56 peuvent s'y ajouter — le détail figure sur notre page sanctions NIS2.
Un contrôle se gagne avant qu'il ne commence. Le socle documentaire à maintenir en permanence :
Nos outils d'auto-évaluation et notre page sur le coût de la conformité NIS2 vous aident à dimensionner ce chantier. Si vous n'avez pas de RSSI interne, un RSSI externalisé peut tenir ce rôle de personne de contact et piloter le dossier.
Les suites d'un contrôle défavorable vont de l'avertissement à l'amende administrative : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les importantes, sans oublier la responsabilité personnelle des dirigeants prévue par l'article 32 et la publication possible de la sanction. Le panorama complet — critères de fixation de l'amende, mesures non financières, sanctions pénales — est détaillé sur notre page sanctions NIS2 en Belgique.
Les entités importantes relèvent d'une supervision uniquement ex post : le service d'inspection intervient lorsqu'il existe des indices de manquement (plainte, incident, signalement), et non de manière systématique. Elles peuvent toutefois se soumettre volontairement au régime des entités essentielles, ce qui leur ouvre une présomption de conformité.
L'article 54 de la loi du 26 avril 2024 permet aux autorités compétentes de demander à tout moment des informations sur les mesures de cybersécurité, des preuves de conformité, des rapports d'incidents ou de tests de sécurité, et toute autre information nécessaire à leurs missions : politiques de sécurité, self-assessment CyFun, registre des incidents, preuves de notification, rapports d'audit.
Oui. L'article 52 §2 prévoit trois cas de figure : des inspections programmées et annoncées à l'avance, des inspections inopinées en cas de suspicion de non-conformité grave, et des inspections déclenchées à la suite d'un incident significatif.
Non, mais elle change la donne. La certification ou vérification CyFun est l'une des trois voies permettant à une entité essentielle de démontrer sa conformité, avec la certification ISO 27001 et l'inspection par le CCB. Une entité certifiée dispose d'une démonstration structurée de sa conformité, mais le CCB conserve ses pouvoirs d'inspection prévus par la loi.
Oui. Avant toute amende ou mesure correctrice contraignante, l'entité a le droit d'être informée des griefs, d'accéder au dossier et de présenter ses observations (article 62). Un recours peut ensuite être introduit auprès de la juridiction compétente dans les 30 jours de la notification de la décision (article 61).
La non-coopération avec l'autorité compétente est un motif d'amende administrative (article 56 §1er), jusqu'à 10 M€ ou 2 % du CA mondial pour une entité essentielle. L'obstruction intentionnelle aux inspections et la fourniture d'informations fausses relèvent en outre des sanctions pénales de l'article 59.
Cryptaguard réalise des audits de préparation à l'inspection : revue du dossier de conformité, simulation de demande de preuves, remédiation priorisée. Un contrôle bien préparé devient une formalité.