Qu'est-ce que la directive NIS2 ?

La directive NIS2 (UE 2022/2555) est une réglementation européenne adoptée le 14 décembre 2022 qui impose un niveau élevé commun de cybersécurité dans l'ensemble de l'Union européenne. Elle remplace la directive NIS1 et élargit considérablement son champ d'application à 18 secteurs essentiels et importants.

Quand la directive NIS2 est-elle entrée en vigueur ?

La directive NIS2 devait être transposée par les États membres au plus tard le 17 octobre 2024. En Belgique, la transposition a été réalisée par la loi du 26 avril 2024, entrée en vigueur le 18 octobre 2024.

Quelles sont les 10 mesures de sécurité NIS2 (Article 21) ?

Les 10 mesures couvrent : analyse des risques et politiques de sécurité, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité du développement des systèmes, évaluation de l'efficacité des mesures, cyberhygiène et formation, cryptographie, sécurité des ressources humaines et contrôle d'accès, authentification multifacteur.

Quels sont les délais de notification d'incident sous NIS2 ?

NIS2 impose trois échéances : une alerte précoce sous 24 heures après constat d'un incident important, une notification d'incident sous 72 heures mettant à jour l'alerte, et un rapport final sous un mois.

Quelles sont les sanctions prévues par NIS2 ?

Les entités essentielles encourent des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le plus élevé étant retenu. Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel.

Quels secteurs sont concernés par NIS2 ?

NIS2 couvre 18 secteurs classés en essentiels (Annexe I — 11 secteurs : énergie, transport, banque, infrastructures financières, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace) et importants (Annexe II — 7 secteurs : services postaux, gestion des déchets, fabrication et distribution de produits chimiques, alimentation, fabrication, fournisseurs numériques, recherche).

Que prévoit l'article 30 de la loi belge NIS2 ?

L'article 30 de la loi belge du 26 avril 2024 transpose l'article 21 de la directive NIS2 et impose aux entités essentielles et importantes 11 mesures de gestion des risques en cybersécurité : analyse des risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, sécurité des systèmes, évaluation de l'efficacité, cyberhygiène et formation, cryptographie, contrôle d'accès et RH, MFA, communications sécurisées.

Comment s'enregistrer NIS2 en Belgique ?

Les entités belges concernées par NIS2 doivent s'enregistrer auprès du Centre pour la Cybersécurité Belgique (CCB) via le portail Safeonweb@Work. L'enregistrement est obligatoire pour les entités essentielles et importantes ; il a démarré dès l'entrée en vigueur de la loi du 26 avril 2024 (18 octobre 2024).

Quelle est l'autorité compétente NIS2 en Belgique ?

L'autorité compétente NIS2 belge est le Centre pour la Cybersécurité Belgique (CCB / CCB.belgium.be). Le CSIRT national est CSIRT.be. Les autorités sectorielles complètent ce dispositif (BNB / FSMA pour la finance, SPF Santé pour la santé, etc.).

Quel est le calendrier de mise en conformité NIS2 en Belgique ?

Calendrier officiel : adoption directive 14/12/2022, transposition belge par la loi du 26/04/2024, entrée en vigueur 18/10/2024, enregistrement des entités à partir d'octobre 2024, première évaluation de conformité à 18 mois (avril 2026), recertification CyFun tous les 3 ans pour les niveaux Important et Essential.

Directive NIS2 — Guide complet : 11 mesures, secteurs, sanctions, notification 24h/72h

📜 Loi Belge de Transposition

LOI du 26 avril 2024 établissant un cadre pour la cybersécurité en Belgique

⚖️ Article 30

Obligation générale de sécurité

Toutes les entités essentielles et importantes doivent mettre en œuvre 11 mesures de gestion des risques couvrant l'analyse des risques, la gestion des incidents, la continuité, la chaîne d'approvisionnement, et bien plus.

Lire l'article complet →

👔 Article 32

Responsabilité des dirigeants

Les membres des organes de direction doivent approuver les mesures, superviser leur mise en œuvre, suivre une formation appropriée et peuvent être tenus personnellement responsables des infractions.

Lire l'article complet →

📢 Articles 34-35

Notification d'incidents

Obligation de notifier tout incident significatif en 3 étapes : notification précoce (24h), notification intermédiaire (72h) et rapport final (1 mois). Non-respect = sanctions sévères.

Lire les articles complets →

⚠️ Article 56

Amendes administratives

Entités essentielles : jusqu'à 10M€ ou 2% du CA mondial.
Entités importantes : jusqu'à 7M€ ou 1,4% du CA mondial.
Le montant le plus élevé est retenu.

Lire l'article complet →

📖 Consulter le texte complet de la loi

Qu'est-ce que NIS2 ?

La directive NIS2 est le cadre législatif européen visant à garantir un niveau élevé de cybersécurité dans l'Union européenne. Elle remplace la directive NIS1 et élargit considérablement son champ d'application.

✨ Points clés de NIS2

🎯

Champ élargi

18 secteurs concernés incluant énergie, transport, santé, administration publique

🛡️

Obligations renforcées

11 mesures obligatoires couvrant tous les aspects de la cybersécurité

⚡

Notification rapide

Déclaration obligatoire sous 24h, rapport détaillé sous 72h

👔

Dirigeants responsables

Responsabilité personnelle de la direction

💰

Sanctions sévères

Amendes jusqu'à 10M€ ou 2% du CA mondial

🔄

Amélioration continue

Tests, audits et révisions régulières obligatoires

Qui est concerné ?

🔴

Entités Essentielles

Organisations critiques pour l'économie et la société

⚡ Énergie : Électricité, pétrole, gaz, hydrogène
🚆 Transports : Aérien, ferroviaire, maritime, routier
🏦 Secteur bancaire : Établissements de crédit
💹 Infrastructures financières : Plateformes, contreparties
🏥 Santé : Prestataires, laboratoires, pharma
💧 Eau potable : Fournisseurs et distributeurs
🌐 Infrastructure numérique : DNS, Cloud, Data centers
🏛️ Administration publique : Fédéral, régional
🛰️ Espace : Infrastructures terrestres

🟡

Entités Importantes

Organisations à risque significatif

📮 Services postaux : Courrier et expédition
♻️ Gestion des déchets
🧪 Chimie : Fabrication de produits chimiques
🍕 Agroalimentaire : Denrées alimentaires
🏭 Fabrication : Équipements médicaux, électronique, machines, véhicules
🛒 Fournisseurs numériques : Places de marché, moteurs de recherche, réseaux sociaux
🔬 Recherche : Organismes de recherche

Les 11 Mesures Obligatoires (Article 30)

Mesures de gestion des risques en matière de cybersécurité

Analyse des risques

Identification et évaluation continue des risques cybersécurité. Méthodologie formelle (ISO 27005, EBIOS RM).

Voir l'article de loi →

Gestion des incidents

Détection, réponse et récupération. Plan de réponse, équipe CSIRT, notification sous 24h/72h.

Voir l'article de loi →

Continuité d'activité

Plans PCA et PRA. Sauvegardes régulières, tests annuels, redondance des systèmes critiques.

Voir l'article de loi →

Chaîne d'approvisionnement

Gestion des risques fournisseurs. Due diligence, clauses contractuelles, audits, accès tiers.

Voir l'article de loi →

Sécurité des systèmes

Acquisition, développement sécurisés. Patch management, SecDevOps, tests de sécurité.

Voir l'article de loi →

Évaluation de l'efficacité

Audits de sécurité, tests d'intrusion, scans de vulnérabilités, indicateurs de performance.

Voir l'article de loi →

Cyberhygiène & Formation

Sensibilisation du personnel, formations ciblées, tests de phishing, bonnes pratiques.

Voir l'article de loi →

Cryptographie

Chiffrement des données sensibles, gestion des clés, algorithmes reconnus, communications sécurisées.

Voir l'article de loi →

Contrôle d'accès & RH

Moindre privilège, IAM, revue des droits, vérification des antécédents, offboarding.

Voir l'article de loi →

Authentification MFA

Authentification multi-facteurs pour accès critiques, authentification forte à distance, basée sur le risque.

Voir l'article de loi →

Communications sécurisées

Chiffrement des communications, plateformes sécurisées, protection contre l'interception.

Voir l'article de loi →

🗺️ Votre Feuille de Route NIS2

Phase 1

Évaluation

Gap analysis des 11 mesures
Évaluation de la maturité
Identification des priorités

Phase 2

Planification

Définir la gouvernance
Plan de conformité 12-18 mois
Budgétisation des ressources

Phase 3

Mise en œuvre

Déploiement des mesures
Formation du personnel
Documentation complète

Phase 4

Maintien

Audits réguliers
Amélioration continue
Tests PCA/PRA

📚 Ressources pour la conformité

📋

Directive NIS2

📜 Loi Belge de Transposition

⚖️ Article 30

Obligation générale de sécurité

👔 Article 32

Responsabilité des dirigeants

📢 Articles 34-35

Notification d'incidents

⚠️ Article 56

Amendes administratives

Qu'est-ce que NIS2 ?

✨ Points clés de NIS2

Champ élargi

Obligations renforcées

Notification rapide

Dirigeants responsables

Sanctions sévères

Amélioration continue

Qui est concerné ?

Entités Essentielles

Entités Importantes

Les 11 Mesures Obligatoires (Article 30)

Analyse des risques

Gestion des incidents

Continuité d'activité

Chaîne d'approvisionnement

Sécurité des systèmes

Évaluation de l'efficacité

Cyberhygiène & Formation

Cryptographie

Contrôle d'accès & RH

Authentification MFA

Communications sécurisées

🗺️ Votre Feuille de Route NIS2

Évaluation

Planification

Mise en œuvre

Maintien

📚 Ressources pour la conformité

ISO 27001

CyFun CCB

Loi Belge NIS2

FAQ & Glossaire

Outils gratuits

Approfondir la directive NIS2

⚖️ Article 30 — 11 mesures

🏭 18 secteurs NIS2

🚨 Notification 24h/72h/1 mois

⚠️ Sanctions NIS2

🏢 NIS2 pour PME / TPE

📝 Enregistrement NIS2 au CCB

🔗 Supply Chain Audit Checklist

🇧🇪 Niveaux CyFun

📥 Checklist NIS2 (CSV)

Prêt à démarrer votre mise en conformité NIS2 ?