NIS2 : votre organisation est-elle concernée ?

La directive européenne NIS2 a été transposée en Belgique par la loi du 26 avril 2024, entrée en vigueur le 18 octobre 2024. Le Centre pour la Cybersécurité Belgique (CCB) en est l’autorité nationale. Deux critères, combinés, déterminent si une organisation y est soumise : sa taille et son secteur d’activité.

Le critère de taille

La loi vise en principe les organisations qui atteignent au moins la taille d’une moyenne entreprise — soit au moins 50 personnes, soit un chiffre d’affaires annuel ou un total de bilan supérieur à 10 millions d’euros. En deçà de ces seuils, une organisation reste en principe hors champ, sauf exception (voir plus bas).

Le critère de secteur

Encore faut-il exercer dans l’un des secteurs listés par la directive, répartis en deux annexes.

L’annexe I rassemble les secteurs hautement critiques : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (interentreprises), administration publique, espace.

L’annexe II couvre d’autres secteurs critiques : services postaux et d’expédition, gestion des déchets, produits chimiques, production et distribution de denrées alimentaires, fabrication (dispositifs médicaux, produits électroniques, équipements électriques, machines, véhicules), fournisseurs numériques, recherche.

Entité essentielle ou importante

La loi distingue deux statuts, qui déterminent l’intensité du contrôle. Une entité essentielle est une grande entreprise active dans un secteur de l’annexe I — au moins 250 personnes, ou un chiffre d’affaires supérieur à 50 millions d’euros. Une entité importante est une moyenne entreprise d’un secteur de l’annexe I, ou une entreprise (grande ou moyenne) d’un secteur de l’annexe II.

Les entités essentielles font l’objet d’un contrôle proactif ; les entités importantes, d’un contrôle réactif, déclenché par un incident ou un signalement.

Les exceptions de taille

Certaines organisations relèvent de NIS2 quelle que soit leur taille, en raison de leur rôle dans l’écosystème numérique : fournisseurs de services DNS, registres de noms de domaine de premier niveau, prestataires de services de confiance qualifiés, ou encore certaines entités de l’administration publique fédérale.

Une fois l’assujettissement établi

Les entités concernées devaient s’enregistrer auprès du CCB — au plus tard le 18 décembre 2024 pour le secteur numérique, le 18 mars 2025 pour les autres. Le CCB propose le référentiel CyberFundamentals pour mettre en œuvre les mesures attendues, gradué en quatre niveaux (Small, Basic, Important, Essential). Les entités essentielles doivent atteindre le niveau Basic ou Important avant le 18 avril 2026, puis faire certifier le niveau requis avant le 18 avril 2027.

Déterminer son statut suppose de croiser ces critères avec sa situation réelle ; c’est le point de départ de tout accompagnement.