NIS2 : comment savoir si ma PME belge est concernee ?

Depuis le 18 octobre 2024, la Belgique applique NIS2, la directive europeenne sur la cybersecurite. Concretement, des dizaines de milliers de PME belges sont directement concernees sans le savoir. Cet article fournit une grille de decision claire pour determiner si votre entreprise tombe dans le perimetre, et dans quelles conditions.

1. NIS2 en 30 secondes

NIS2 (Network and Information Security 2) est la directive europeenne (UE 2022/2555) qui remplace NIS1. Elle etend considerablement le nombre d'entreprises soumises a des obligations de cybersecurite. En Belgique, la transposition est portee par la loi du 26 avril 2024, entree en vigueur le 18 octobre 2024. L'autorite competente est le Centre pour la Cybersecurite Belgique (CCB).

L'idee fondamentale : deux criteres determinent si vous etes concerne. Le secteur d'activite et la taille de l'entreprise. Si vous cochez les deux, vous etes soumis a la directive.

2. Les deux criteres : secteur et taille

Critere 1 : le secteur d'activite

NIS2 definit deux categories d'entites :

• Entites essentielles (secteurs de haute criticite) : energie, transport, banque, infrastructures de marches financiers, sante, eau, infrastructures numeriques (cloud, datacenter, DNS), administration publique, espace.
• Entites importantes (autres secteurs critiques) : services postaux, gestion des dechets, chimie, agroalimentaire, fabrication (dispositifs medicaux, produits informatiques, machines, vehicules), fournisseurs numeriques (places de marche, moteurs de recherche, reseaux sociaux), recherche.

Critere 2 : la taille

En principe, seules les entreprises de taille moyenne ou grande sont visees, soit :

• Plus de 50 employes, ou
• Plus de 10 millions d'euros de chiffre d'affaires annuel.

Les micro et petites entreprises (< 50 employes ET < 10M€ CA) sont donc generalement exclues, sauf exceptions importantes detaillees plus bas.

3. Liste complete des secteurs concernes

Voici les secteurs vises par NIS2 (annexes I et II). Cette liste est exhaustive. Si votre activite principale n'y figure pas, vous n'etes probablement pas concerne directement.

Categorie	Secteurs
Entites essentielles	Energie (electricite, gaz, petrole, hydrogene), transport (air, rail, eau, route), banque, infrastructures de marches financiers, sante, eau potable et usees, infrastructures numeriques (IXP, DNS, TLD, cloud, datacenter, CDN, telecom), administration publique, espace
Entites importantes	Postes et courrier, gestion dechets, chimie, agroalimentaire (production + distribution), fabrication (dispositifs medicaux, produits electroniques et optiques, equipements electriques, machines, vehicules), fournisseurs numeriques (marketplace, moteur de recherche, reseau social), recherche

4. Tableau de decision : etes-vous concerne ?

Repondez aux questions dans l'ordre. Des que vous atteignez "OUI, concerne" ou "NON, pas concerne", vous avez votre reponse.

Profil PME belge	Concerne NIS2 ?
Restaurant, commerce de detail, horeca, coiffeur, salon beaute	NON (secteur hors annexes)
Bureau d'avocats, comptable, consultant, agence marketing < 50 pers	NON (secteur hors annexes)
Cabinet medical, kine, dentiste < 50 pers	Zone grise (sante = essentiel, verifier statut agrement)
Entreprise industrielle ou agroalimentaire 50+ pers ou 10M+ €	OUI (entite importante)
Hopital, clinique, laboratoire medical	OUI (entite essentielle, sante)
Hebergeur web, editeur cloud, datacenter, operateur DNS	OUI quelle que soit la taille
Fournisseur eau, energie, transport public	OUI (entite essentielle)
ASBL ou commune < 50 employes	Generalement NON (sauf mission critique identifiee)

5. Les 10 obligations de cybersecurite NIS2

Si vous etes concerne, l'article 21 de la directive fixe 10 mesures minimales de gestion des risques :

1. Politiques d'analyse des risques et de securite des systemes d'information.
2. Gestion des incidents (detection, reponse, post-mortem).
3. Continuite d'activite, gestion des sauvegardes et gestion des crises.
4. Securite de la chaine d'approvisionnement (fournisseurs IT et prestataires).
5. Securite de l'acquisition, du developpement et de la maintenance des systemes.
6. Politiques et procedures d'evaluation de l'efficacite des mesures de cybersecurite.
7. Hygiene informatique de base et formations en cybersecurite.
8. Politiques et procedures relatives a l'utilisation de la cryptographie et du chiffrement.
9. Securite des ressources humaines, politiques de controle d'acces et gestion des actifs.
10. Utilisation de solutions d'authentification multifacteur ou d'authentification continue.

En pratique, pour une PME, ces 10 mesures se traduisent par un programme concret : MFA, EDR, backup teste, gestion des acces, formation, plan de reponse incident, evaluation fournisseurs. C'est exactement ce que couvrent nos packs. Voir NIS2 PME Belgique pour le detail.

6. Sanctions et calendrier

Les sanctions sont dissuasives :

• Entite essentielle : jusqu'a 10 millions d'euros ou 2 % du CA mondial, selon le montant le plus eleve.
• Entite importante : jusqu'a 7 millions d'euros ou 1,4 % du CA mondial.
• Responsabilite personnelle des dirigeants en cas de negligence.

Calendrier pratique :

• Depuis le 18 octobre 2024 : loi en vigueur en Belgique.
• Avant le 18 avril 2025 : enregistrement obligatoire des entites concernees aupres du CCB.
• Courant 2026 : controles et audits en montee en charge.

7. Plan d'action pour se mettre en conformite

Si vous etes concerne, voici l'ordre operationnel a suivre :

1. Enregistrement CCB si ce n'est pas deja fait.
2. Cartographie des systemes critiques et des donnees sensibles.
3. Analyse de risques simple mais formalisee par ecrit.
4. Plan de remediation priorise : MFA, EDR, backup, formation utilisateurs.
5. Procedure incident documentee (qui fait quoi, quand notifier le CCB).
6. Revue annuelle et adaptation aux nouvelles menaces.

Pour l'implementation technique des bonnes pratiques, lisez notre guide Cybersecurite PME belge 2026 : le guide pratique anti-ransomware qui detaille les 5 briques techniques a mettre en place.