La directive européenne NIS2 entre en vigueur le 18 avril 2026 en Belgique. Des milliers de PME belges sont concernées et la plupart ne le savent pas encore. Ce guide vous explique tout ce que vous devez savoir pour mettre votre entreprise en conformité.
Il reste moins de 3 semaines. Les entreprises qui ne sont pas en conformité le 18 avril s'exposent à des sanctions pouvant atteindre 10 millions d'euros.
Qu'est-ce que NIS2 ?
NIS2 (Network and Information Security Directive 2) est une directive européenne qui remplace la directive NIS1 de 2016. Son objectif : renforcer la cybersécurité dans toute l'Union européenne en imposant des obligations de sécurité à un nombre beaucoup plus large d'entreprises.
Ce qui change par rapport à NIS1
- Plus d'entreprises concernées — NIS2 élargit considérablement le périmètre
- Obligations de signalement — tout incident cyber doit être signalé dans le délai légal
- Responsabilité du dirigeant — le gérant est personnellement responsable
- Sanctions plus lourdes — jusqu'à 10M€ ou 2% du CA mondial
- Supply chain — les sous-traitants sont aussi concernés
Votre PME est-elle concernée ?
Vous êtes concerné par NIS2 si votre entreprise remplit l'un de ces critères :
Secteurs directement visés
| Secteur | Exemples |
|---|---|
| Énergie | Électricité, gaz, pétrole |
| Transport | Aérien, maritime, ferroviaire, routier |
| Santé | Hôpitaux, labos, fabricants de dispositifs médicaux |
| Finance | Banques, assurances, marchés financiers |
| Eau | Distribution et traitement des eaux |
| Numérique | Hébergeurs, DNS, registres de noms de domaine |
| Administration | Collectivités et services publics |
Critères de taille
- Entités essentielles : +250 employés ou +50M€ de CA
- Entités importantes : +50 employés ou +10M€ de CA
- Sous-traitants : si vous travaillez pour un secteur critique, vous êtes concerné quelle que soit votre taille
Attention aux sous-traitants ! Même une PME de 5 personnes peut être concernée si elle fournit des services IT, de maintenance ou de consulting à une entreprise d'un secteur critique.
Les 5 obligations NIS2 pour votre PME
1. Analyse des risques
Vous devez réaliser une analyse formelle des risques cybersécurité de votre entreprise. Cela inclut l'identification de vos actifs critiques, l'évaluation des menaces et la mise en place de mesures de protection adaptées.
2. Plan de réponse aux incidents
Votre entreprise doit disposer d'un plan documenté pour réagir en cas de cyberattaque. Ce plan doit couvrir la détection, le confinement, l'éradication et la récupération.
3. signalement obligatoire
Tout incident de sécurité significatif doit être signalé au Centre pour la Cybersécurité Belgique (CCB) selon délai contractuel suivant sa détection. Un rapport complet doit suivre selon délai contractuel.
4. Sécurité de la chaîne d'approvisionnement
Vous devez évaluer et gérer les risques liés à vos fournisseurs et sous-traitants. Cela implique des audits réguliers et des clauses contractuelles de sécurité.
5. Formation et sensibilisation
Vos collaborateurs doivent être formés aux bonnes pratiques de cybersécurité. La direction doit suivre une formation spécifique sur la gouvernance de la cybersécurité.
Comment se mettre en conformité ?
Voici les étapes concrètes pour préparer votre PME à NIS2 :
- Diagnostic — Faites auditer votre infrastructure IT actuelle
- Gap analysis — Identifiez les écarts entre votre situation et les exigences NIS2
- Plan d'action — Priorisez les mesures à mettre en place
- Protection — Firewall, antivirus, backup, chiffrement, MFA
- Documentation — Formalisez vos politiques de sécurité
- Formation — Sensibilisez vos équipes
- Monitoring — Mettez en place une surveillance continue
Diagnostic cybersécurité gratuit
En 30 minutes, nous identifions vos failles et vous remettons un rapport clair avec les actions prioritaires pour NIS2.
Demander un diagnostic gratuitCombien coûte la mise en conformité NIS2 ?
Le coût varie selon la taille et la maturité de votre entreprise :
| Taille PME | Budget estimé | Délai |
|---|---|---|
| 1-10 employés | 125-295€/mois | 2-4 semaines |
| 10-50 employés | 295-499€/mois | 4-8 semaines |
| 50+ employés | Sur mesure | 8-12 semaines |
Chez KA IT, nos packs incluent la cybersécurité :
- Essential (125€/mois) — Support IT + protection de base
- Business (295€/mois) — Support complet + cybersécurité + monitoring
- Managed (499€/mois) — Infrastructure gérée de A à Z
Questions fréquentes (FAQ)
Ma PME de 5 personnes est-elle concernée ?
Potentiellement oui, si vous êtes sous-traitant d'un secteur critique. Le critère n'est pas seulement la taille mais aussi la chaîne de valeur dans laquelle vous opérez.
Que risque concrètement le dirigeant ?
Le dirigeant peut être tenu personnellement responsable en cas de non-conformité. Les sanctions incluent des amendes personnelles et l'interdiction temporaire d'exercer des fonctions de direction.
J'ai déjà un antivirus, ça suffit ?
Non. NIS2 exige bien plus qu'un simple antivirus : analyse des risques, plan de réponse aux incidents, formation du personnel, sécurité de la supply chain, et signalement obligatoire selon délai contractuel.
Puis-je bénéficier d'aides pour la mise en conformité ?
Oui. La Prime Digitalisation de la Région de Bruxelles-Capitale couvre 25 à 70% des frais de conseil et de mise en place de solutions IT, y compris la cybersécurité.
Prêt à sécuriser votre PME ?
Appelez-nous pour un diagnostic gratuit ou demandez un devis en ligne.
📞 +32 489 59 42 27