NIS2 en Belgique

1. Aperçu rapide de l’applicabilité aux PME en Belgique

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l’applicabilité aux PME en Belgique ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S’applique aux entités établies en Belgique et, dans certaines circonstances, aux prestataires numériques étrangers offrant des services en Belgique.

Les PME devraient évaluer précocement leur qualification au titre du cadre NIS2 de la Belgique afin de déterminer leur exposition à la conformité.

2. Aperçu de la mise en œuvre de NIS2 en Belgique

La Belgique a transposé la directive par la Law of 26 April 2024 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, remplaçant et étendant le régime de cybersécurité antérieur.

La loi a été adoptée en 2024 et aligne le régime national de cybersécurité de la Belgique sur la directive (UE) 2022/2555. Elle renforce les obligations de gouvernance, étend la couverture sectorielle et introduit des mécanismes de supervision actualisés.

La mise en œuvre de NIS2 par la Belgique suit la structure de base de la directive pour la classification des entités, la gestion des risques et les sanctions. Certains aspects procéduraux reflètent l’architecture réglementaire établie en Belgique.

À l’état actuel de la transposition, la Belgique suit le cadre de base de la directive NIS2. Les détails nationaux d’exécution peuvent affiner certaines obligations.

3. Champ d’application en Belgique

La Belgique n’étend pas de manière substantielle le périmètre sectoriel au-delà des catégories minimales de la directive à ce stade.

4. Seuils de taille et applicabilité aux PME en Belgique

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts entrent automatiquement dans le champ d’application.

Les petites et micro-entreprises peuvent être incluses si elles sont désignées par les autorités compétentes en raison de leur importance critique, de considérations de sécurité publique ou de leur pertinence systémique.

Les autorités belges conservent des pouvoirs de désignation lorsque cela est justifié par le risque ou l’intérêt national.

5. Cadre de classification des entités en Belgique

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et des audits de conformité.
• Entités importantes — Principalement soumises à une supervision réactive, déclenchée par des incidents ou des éléments attestant d'une non-conformité.

La classification est automatique selon le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l’impact opérationnel ou l’exposition au risque justifie un renforcement de la surveillance.

Le modèle de classification de la Belgique reflète la structure de la directive sans déviation structurelle.

6. Exigences de gestion des risques de cybersécurité en Belgique

Le régime belge s’aligne sur le socle de la directive pour les obligations de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures appropriées et proportionnées couvrant :

• Analyse des risques et sécurité des systèmes d’information
• Détection et traitement des incidents
• Continuité d’activité et gestion de crise
• Contrôles des risques de chaîne d’approvisionnement NIS2 en Belgique
• Acquisition et développement sécurisés des systèmes TIC
• Politiques de contrôle d’accès et d’authentification
• Stratégies de chiffrement et de cryptographie
• Gestion et divulgation des vulnérabilités
• Sensibilisation et formation cybersécurité du personnel

Les mesures de sécurité doivent refléter l’état de l’art et l’exposition au risque de l’organisation. L’alignement sur ISO/IEC 27001 et les orientations belges reconnues en cybersécurité est encouragé.

La gestion des risques de la chaîne d’approvisionnement inclut des garanties contractuelles et la surveillance des prestataires TIC tiers.

7. Responsabilité de la direction et gouvernance en Belgique

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Dans le cadre belge :

• Les conseils d’administration portent la responsabilité de la conformité.
• La haute direction doit garantir une expertise cybersécurité adéquate.
• Les autorités peuvent imposer des mesures administratives en cas de défaillances de gouvernance.
• La suspension temporaire de fonctions managériales peut être disponible au titre des outils d’exécution alignés sur la directive.

Les standards de responsabilité de la direction NIS2 en Belgique élèvent la cybersécurité au rang de responsabilité de conformité au niveau du conseil.

8. Obligations de notification d’incident en Belgique

9. Autorités de surveillance et modèle d’exécution en Belgique

Autorité principale : Centre for Cybersecurity Belgium (CCB).

La Belgique opère un modèle de coordination centralisé, avec des régulateurs sectoriels qui contribuent aux fonctions de supervision le cas échéant.

Supervisory powers include:

• Demandes d’informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux mécanismes de coopération de l’UE

Le modèle d’exécution de la Belgique s’intègre aux organes de coordination de la cybersécurité au niveau de l’UE.

10. Sanctions et amendes NIS2 en Belgique

La Belgique applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 en Belgique peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension de la certification ou de l'autorisation
• Pouvoirs de suspension des fonctions dirigeantes

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs NIS2 en Belgique

Les entités doivent gérer le risque de cybersécurité lié aux tiers au moyen de :

• Processus de diligence raisonnable des prestataires
• Clauses contractuelles de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Contrôles du risque de propagation des incidents

L’approche de la Belgique s’aligne sur le socle de la directive, en mettant l’accent sur une supervision proportionnée des prestataires externes.

12. Obligations d’enregistrement et d’auto-identification en Belgique

Entities within scope must:

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entité
• Déclarer la classification sectorielle
• Maintenir à jour les coordonnées

Les délais et modalités procédurales sont définis dans le cadre d’exécution de la Belgique. À l’état actuel de la transposition, la Belgique suit le cadre de base de la directive NIS2. Les détails nationaux d’exécution peuvent affiner certaines obligations.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux.

13. Interaction avec le GDPR et autres lois en Belgique

Le GDPR continue de s’appliquer parallèlement à NIS2.

Les considérations de chevauchement incluent :

• Obligations de double notification d’incident
• Coordination des autorités de contrôle
• Notifications de violation de données personnelles sous 72 heures
• Législation belge sectorielle en matière de cybersécurité

Les incidents affectant à la fois la résilience des systèmes et les données personnelles peuvent déclencher des obligations de conformité parallèles.

14. Applicabilité transfrontalière

Les entités dont l’établissement principal est en Belgique relèvent de l’autorité de surveillance belge pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Belgique peuvent être soumis à des obligations nationales selon l’établissement et le modèle de service.

Les exigences de représentation suivent les standards de la directive pour les prestataires non européens desservant les marchés belges.

15. Calendrier de mise en œuvre en Belgique

• Adoption de la Directive : 2022
• Adoption de la loi nationale : 2024
• Entrée en vigueur : À la suite de la publication nationale
• Notification à la Commission : En alignement avec les procédures de l’UE
• Jalon de conformité : Échéances alignées sur la directive

Le calendrier législatif de la Belgique respecte l’échéancier de transposition de l’UE, sans périodes transitoires prolongées annoncées publiquement.

16. Points clés pour les PME en Belgique

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le champ d’application.
• Les petites entités peuvent être désignées en fonction du risque ou de la criticité.
• La supervision au niveau du conseil est obligatoire.
• La notification des incidents suit la structure 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre €10 million ou 2% du chiffre d’affaires mondial.
• La gestion du risque fournisseur est une obligation clé.
• Une planification précoce de la conformité réduit l’exposition à l’exécution.

FAQ : Guide NIS2 Belgique pour les PME