Publié le — par Matthieu Roland
L'énergie ouvre la liste des 11 secteurs hautement critiques de l'Annexe I de la loi belge du 26 avril 2024, qui transpose la directive NIS2 et est en vigueur depuis le 18 octobre 2024. Producteurs et fournisseurs d'électricité, gestionnaires de réseaux de gaz, opérateurs pétroliers ou d'hydrogène : la quasi-totalité de la chaîne de valeur énergétique belge est visée. Cette page approfondit le cas du secteur énergie ; pour une vue d'ensemble des 18 secteurs, consultez notre panorama des secteurs NIS2, ou nos analyses dédiées aux secteurs santé et financier.
L'Annexe I de la loi du 26 avril 2024 décompose le secteur de l'énergie en quatre sous-secteurs, chacun couvrant l'ensemble de sa chaîne de valeur. L'article 9 de la loi précise les types d'entités concernées.
| Sous-secteur | Chaîne de valeur couverte | Exemples d'entités visées (article 9) |
|---|---|---|
| Électricité | Production, transport, distribution | Entreprises d'électricité, gestionnaires de réseau de transport et de distribution, fournisseurs, gestionnaires de marché de l'électricité |
| Pétrole | Production, raffinage, transport, distribution | Entreprises pétrolières, exploitants d'installations de stockage de pétrole |
| Gaz | Production, raffinage, transport, distribution, stockage | Entreprises gazières, gestionnaires de réseau de transport et de distribution de gaz, exploitants de stockage |
| Hydrogène | Production, transport, distribution | Opérateurs de réseaux d'hydrogène |
À noter : l'Annexe I de la directive NIS2 (UE) 2022/2555 vise également les réseaux de chaleur et de froid (chauffage urbain) au sein du secteur de l'énergie. Les opérateurs de réseaux de chaleur ont donc tout intérêt à vérifier leur situation au regard du texte belge et des critères de taille.
Le statut dépend du croisement entre le secteur (Annexe I ou II) et la taille de l'entreprise, définie par l'article 5 de la loi conformément à la recommandation européenne 2003/361/CE :
| Taille de l'entreprise | Critères (article 5) | Statut en règle générale (secteur énergie, Annexe I) |
|---|---|---|
| Grande | 250 employés ou plus, ou CA supérieur à 50 M€ | Entité essentielle |
| Moyenne | 50 à 249 employés et CA ≤ 50 M€ | Entité importante |
| Petite / micro | Moins de 50 employés et CA ≤ 10 M€ | Généralement hors champ, sauf exceptions |
Ces règles doivent être appliquées avec prudence : la loi prévoit des exceptions et l'autorité compétente procède à une identification régulière des entités (article 11), en tenant compte de la criticité de l'entité, de la dépendance d'autres secteurs à son égard et de l'impact potentiel d'un incident. Un opérateur énergétique de petite taille mais critique pour l'approvisionnement peut donc être désigné au cas par cas. En cas d'activités multiples, l'article 6 rattache l'entité au secteur représentant la plus grande part de son chiffre d'affaires. Pour un premier autodiagnostic, notre page secteurs NIS2 détaille la méthode en quatre étapes.
Comme toutes les entités essentielles et importantes, les opérateurs énergétiques doivent mettre en œuvre les 11 mesures minimales de l'article 30 : politiques d'analyse des risques et de sécurité des systèmes d'information, gestion des incidents, continuité des activités (PCA/PRA, sauvegardes testées), sécurité de la chaîne d'approvisionnement, sécurité dans l'acquisition et le développement des systèmes, évaluation de l'efficacité des mesures (audits, tests d'intrusion), cyberhygiène et formation, cryptographie et chiffrement, sécurité des ressources humaines et contrôle d'accès, authentification multifacteur et communications sécurisées.
Pour le secteur énergie, la mesure relative à la continuité des activités et celle relative à la chaîne d'approvisionnement méritent une attention particulière : l'indisponibilité d'un réseau électrique ou gazier affecte en cascade tous les autres secteurs, ce qui est précisément l'un des critères d'identification retenus par l'article 11 de la loi.
Tout incident ayant un impact significatif doit être notifié au CSIRT national, opéré par le CCB, selon le triptyque des articles 34 et 35 :
Le détail des seuils, du contenu de chaque notification et des cas de notification volontaire est traité dans notre guide notification d'incidents NIS2.
Les entités essentielles et importantes du secteur énergie doivent s'enregistrer sur la plateforme Safeonweb@Work, obligation applicable depuis le 18 mars 2025. La procédure pas à pas est décrite dans notre guide enregistrement NIS2 auprès du CCB.
Les membres des organes de direction approuvent les mesures de gestion des risques, supervisent leur mise en œuvre, suivent une formation appropriée en cybersécurité et peuvent être tenus personnellement responsables en cas de manquement. Les plafonds d'amendes et les mesures non financières sont détaillés sur notre page sanctions NIS2 : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour une entité essentielle, 7 M€ ou 1,4 % pour une entité importante.
Les entités essentielles font l'objet d'une supervision proactive (ex ante) : elles disposent de trois voies pour démontrer leur conformité — certification ou vérification CyFun, certification ISO 27001, ou inspection par le CCB. Les entités importantes ne sont contrôlées qu'a posteriori (ex post), en cas d'indices de manquement ; elles peuvent toutefois se soumettre volontairement au régime des essentielles et bénéficier d'une présomption de conformité. L'article 52 de la loi confère au service d'inspection des pouvoirs étendus : inspections sur site ou à distance, audits, demandes de preuves et scans de sécurité. Nous détaillons ce régime dans notre article sur les inspections du CCB.
Deux caractéristiques du secteur énergie pèsent sur la mise en conformité. D'abord, les opérateurs y exploitent souvent, outre l'informatique de gestion, des environnements industriels de contrôle-commande (OT), qui doivent être inclus dans le périmètre de l'analyse de risque au même titre que les systèmes IT. Ensuite, la chaîne d'approvisionnement : le référentiel CyFun 2025, publié par le CCB en octobre 2025 et aligné sur le NIST CSF 2.0 (avec sa sixième fonction GOVERN), renforce précisément les exigences de gouvernance et de sécurité de la supply chain — un point sensible pour des opérateurs dépendant de nombreux équipementiers et sous-traitants. Les versions CyFun 2023 et CyFun 2025 coexistent jusqu'au 18 avril 2027, avec libre choix de version jusqu'à cette date.
Pour dimensionner votre budget, consultez notre analyse du coût de la conformité NIS2.
En règle générale, oui. Une entreprise de taille moyenne (moins de 250 employés et chiffre d'affaires inférieur ou égal à 50 M€ selon l'article 5 de la loi) active dans un secteur de l'Annexe I est en principe qualifiée d'entité importante. Une analyse au cas par cas reste nécessaire, car l'autorité peut aussi désigner une entité en fonction de sa criticité (article 11).
Selon le calendrier publié par le CCB, la plupart des entités essentielles visent le niveau d'assurance CyFun Essential : vérification de la mise en œuvre effective des mesures pour le 18 avril 2026, puis certification au niveau requis pour le 18 avril 2027. Le niveau exact dépend de l'analyse de risque de l'entité.
Trois échéances (articles 34-35 de la loi) : alerte précoce dans les 24 heures, notification avec évaluation initiale dans les 72 heures, rapport final dans le mois — le tout auprès du CSIRT national opéré par le CCB.
L'Annexe I de la directive NIS2 (UE) 2022/2555 vise également les réseaux de chaleur et de froid au sein du secteur de l'énergie. Les opérateurs de chauffage urbain ont donc intérêt à vérifier leur situation au regard de la loi belge et des critères de taille.
Jusqu'à 10 M€ ou 2 % du chiffre d'affaires annuel mondial pour une entité essentielle, 7 M€ ou 1,4 % pour une entité importante (article 56). S'y ajoute la responsabilité personnelle des membres des organes de direction prévue par l'article 32.
Selon le calendrier du CCB : les entités essentielles doivent pouvoir démontrer la mise en œuvre effective des mesures au 18 avril 2026 (vérification CyFun au niveau visé), puis obtenir la certification CyFun au niveau d'assurance requis pour le 18 avril 2027.
Gap analysis article 30, choix du niveau CyFun, préparation à la vérification 2026 et à la certification 2027 : notre équipe accompagne les acteurs de l'électricité, du gaz, du pétrole et de l'hydrogène à chaque étape.
Demander un diagnostic NIS2 énergie → Découvrir nos services