NIS2 s'applique-t-elle aux PME en Belgique ?

NIS2 s'applique directement aux PME belges si elles répondent cumulativement à 2 critères : (1) elles opèrent dans l'un des 18 secteurs essentiels (Annexe I) ou importants (Annexe II), et (2) elles dépassent les seuils de taille (≥ 50 ETP ou CA > 10 M€). Les PME hors de ces critères sont théoriquement hors champ direct, mais peuvent être affectées indirectement via les exigences de leurs clients (cascade supply chain de l'article 30 §4).

Mon entreprise n'est pas dans NIS2 mais mon client l'est. Que se passe-t-il ?

Vos clients entités essentielles ou importantes ont l'obligation NIS2 d'auditer leurs fournisseurs ICT (article 30 §4). Vous allez recevoir : (1) des questionnaires sécurité (souvent 50-100 questions sur ISO 27001, SOC 2, RGPD, BCP), (2) des clauses contractuelles imposées (notification incident sous 24h, droit d'audit annuel, certification minimum), (3) des audits sur site pour les contrats critiques. Sans préparation, vous perdrez ces contrats.

Comment se préparer NIS2 quand on est une PME hors champ ?

3 étapes : (1) Viser CyFun Basic (~79 exigences, auto-évaluation possible, gratuit) qui couvre 85 % des questionnaires fournisseurs courants. (2) Documenter votre dispositif (politique sécurité, inventaire actifs, gestion incidents, MFA, sauvegardes). (3) Désigner un point de contact sécurité (interne ou RSSI à temps partagé) pour répondre aux audits clients. Coût total : 5 000 - 15 000 € pour une PME, vs perte de contrats à plusieurs centaines de k€.

Quels sont les seuils NIS2 en nombre d'employés ?

Définition européenne (Reco 2003/361/CE) : Microentreprise ( 50 M€et bilan > 43 M€) → entité essentielle si secteur Annexe I.

Quels sont les cas particuliers où une TPE est dans NIS2 ?

Une TPE / micro-entreprise (< 10 ETP) entre dans le champ NIS2 si elle est : fournisseur de DNS, registre de TLD, fournisseur de services de confiance qualifiés (eIDAS), opérateur de réseau ou service de communication électronique public, prestataire de services de cybersécurité gérés (MSSP) reconnu, ou désignée explicitement par le CCB comme opérateur essentiel.

Combien coûte CyFun Basic pour une PME hors NIS2 ?

CyFun Basic en auto-évaluation : 0 € de frais directs CCB (outil gratuit en ligne). Coût indirect : 80-150 heures de travail interne (RSSI ou équivalent) sur 2-3 mois. Avec accompagnement Cryptaguard : 5 000 - 12 000 € pour une PME 50-200 ETP (gap analysis + 5 jours d'accompagnement). À relativiser : un seul questionnaire client mal rempli peut faire perdre un contrat à 6 chiffres.

NIS2 pour PME et TPE en Belgique — Suis-je concerné ? Cascade fournisseurs

Q: Combien coûte CyFun Basic pour une PME hors NIS2 ?

CyFun Basic en auto-évaluation : 0 € de frais directs CCB (outil gratuit en ligne). Coût indirect : 80-150 heures de travail interne (RSSI ou équivalent) sur 2-3 mois. Avec accompagnement Cryptaguard : 5 000 - 12 000 € pour une PME 50-200 ETP (gap analysis + 5 jours d'accompagnement). À relativiser : un seul questionnaire client mal rempli peut faire perdre un contrat à 6 chiffres.

Beaucoup de PME et TPE belges pensent que NIS2 ne les concerne pas. C'est en partie faux. Même hors du champ direct, vous serez probablement affecté indirectement via la cascade des exigences que vos clients essentiels et importants vont vous imposer (article 30 §4 de la loi belge — sécurité de la chaîne d'approvisionnement).

Cet article répond à 3 questions :

Suis-je dans le champ direct de NIS2 ? (test rapide)
Si non, comment NIS2 m'affecte-t-elle indirectement ? (cascade supply chain)
Comment me préparer à moindre coût ? (CyFun Small/Basic + dispositif minimum)

1. Test rapide : suis-je dans le champ direct ?

Critère sectoriel (Annexe I ou II)

Vérifiez si votre activité principale relève d'un des 18 secteurs concernés :

Annexe I (essentielles) : énergie, transport, banque, infrastructures financières, santé, eau, infrastructure numérique, gestion services TIC B2B, administration publique, espace
Annexe II (importantes) : services postaux, déchets, chimie, alimentation, fabrication, fournisseurs numériques (places marché, moteurs recherche, réseaux sociaux), recherche

Critère de taille

Catégorie UE	Effectif	CA / Bilan	Statut NIS2 si secteur I/II
Microentreprise	< 10 ETP	≤ 2 M€	Hors champ (sauf cas particuliers)
Petite entreprise	< 50 ETP	≤ 10 M€	Hors champ (sauf cas particuliers)
Moyenne entreprise	50-249 ETP	10-50 M€	Entité importante
Grande entreprise	≥ 250 ETP	> 50 M€ et bilan > 43 M€	Entité essentielle (si Annexe I)

Cas particuliers (TPE quand même dans NIS2)

Même de très petite taille, vous êtes dans NIS2 si vous êtes :

Fournisseur de DNS, registre de TLD
Fournisseur de services de confiance qualifiés (eIDAS)
Opérateur de réseau ou de service de communication électronique public
Prestataire de services de cybersécurité gérés (MSSP) reconnu
Entité désignée explicitement par le CCB comme essentielle

Verdict : si vous êtes dans le champ direct, suivez le guide d'enregistrement CCB et choisissez votre niveau CyFun. Sinon, lisez la suite.

2. La cascade supply chain : pourquoi NIS2 vous affecte quand même

L'article 30 §4 de la loi belge NIS2 impose aux entités essentielles et importantes de gérer les risques cybersécurité de leurs fournisseurs ICT. Concrètement, tous vos clients NIS2 vont vous demander des comptes.

Ce que vous allez recevoir

Questionnaires sécurité de 50 à 200 questions (souvent calqués sur ISO 27001 / SOC 2 / SIG)
Clauses contractuelles renforcées : notification incident sous 24h, droit d'audit annuel, certification minimum exigée, plan de sortie, assurance cyber, RGPD DPA
Audits sur site pour les contrats critiques (data centers, hébergeurs, MSP)
Demandes de preuves : politique sécurité écrite, inventaire actifs, procédure incident, dernier rapport pentest, certificats

Risques business si vous n'êtes pas prêt

Perte de contrats : disqualification dès l'appel d'offres si questionnaire mal rempli
Renégociation à votre désavantage : pénalités contractuelles élevées, baisse des prix
Effet « écran » : vos clients essentiels migrent vers des concurrents plus matures sécurité
Engagement de responsabilité en cas de breach impactant un client NIS2 (cascade des sanctions)

3. Préparation pragmatique pour PME hors champ

L'objectif : pouvoir répondre aux questionnaires clients et démontrer un dispositif crédible sans tomber dans la sur-ingénierie d'un projet ISO 27001 complet.

Plan en 3 étapes (3-6 mois, 5-15 k€)

Étape 1 — Évaluer votre situation (1 mois)

Cartographie : actifs critiques, données sensibles, fournisseurs IT
Self-assessment CyFun Small ou CyFun Basic (gratuit sur le portail CCB)
Identification des gaps prioritaires

Étape 2 — Mettre en place le socle minimum (2-3 mois)

Les 13 mesures clés CyFun couvrent 80 % des questionnaires fournisseurs :

MFA sur tous les accès distants et comptes privilégiés
Sauvegardes 3-2-1 avec copie hors ligne (anti-ransomware)
Patching critique sous 48 h
Segmentation réseau de base (séparation VLAN, isolation invités)
EDR / antivirus moderne sur tous les postes
Comptes admin séparés et révoqués au départ
Sensibilisation phishing annuelle
Logs centralisés (au moins 6 mois de rétention)
Plan de réponse à incident écrit (1 page suffit)
Inventaire des actifs à jour
Inventaire des fournisseurs critiques
Chiffrement des données sensibles au repos et en transit
Test annuel de restauration des sauvegardes

→ Détail des 13 Key Measures CyFun

Étape 3 — Documenter et préparer les audits clients (1 mois)

Politique de sécurité (5-10 pages)
Procédure de gestion des incidents (1-2 pages)
Charte utilisateurs IT
Réponses pré-rédigées aux 50 questions standard fournisseur (modèle SIG Lite)
Désignation d'un point de contact sécurité (RSSI à temps partagé si pas de ressource interne)

Coût-bénéfice : un cas concret

PME belge fictive « ALPHA SARL », 80 ETP, prestataire IT pour clients industriels (fabrication, secteur Annexe II) :

Sans préparation : 3 questionnaires reçus en 6 mois, 1 contrat perdu (CA annuel 240 k€) car incapable de prouver MFA + plan IR. Score réputationnel négatif.
Avec préparation CyFun Basic + accompagnement : 12 k€ d'investissement, 3 contrats sécurisés (CA annuel cumulé 750 k€), 2 nouveaux contrats gagnés grâce à la maturité affichée.
ROI : ~ 60× sur 12 mois.

Pour aller plus loin

Besoin d'aide pour la préparation PME ?

Cryptaguard accompagne les PME belges hors champ NIS2 mais soumises aux questionnaires clients : diagnostic CyFun Basic, mise en place du dispositif minimum, modèles de réponses aux questionnaires, RSSI à temps partagé.

Demander un devis →