NIS2 Belgique : guide d'application de la loi du 26 avril 2024

Qui devrait lire ceci : responsables de la conformité, DSI, RSSI, juristes d’entreprise, responsables des risques et responsables des opérations dans les organisations actives en Belgique.

La Belgique a transposé la directive NIS2 (directive (UE) 2022/2555) avant la plupart des États membres. La loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (la « loi NIS2 ») a été publiée au Moniteur belge le 17 mai 2024 (p. 63179, NUMAC 2024202344) et est entrée en vigueur le 18 octobre 2024. Elle a abrogé la loi du 7 avril 2019, qui avait transposé NIS1, et a été substantiellement modifiée par la loi du 19 décembre 2025 sur la résilience des entités critiques (la « loi CER »), publiée le 19 janvier 2026. À la date du présent article, la loi NIS2 est en vigueur depuis environ vingt mois : la plupart des entités essentielles et importantes ont achevé leur enregistrement de première vague et travaillent désormais sur les parties les plus difficiles et plus lentes de la conformité.

Pour les organisations opérant en Belgique, la posture juridique change de trois manières concrètes. Premièrement, le champ d’application est bien plus large que sous NIS1 : les entreprises de taille moyenne et grande relevant de dix-huit secteurs sont couvertes par défaut, auxquelles s’ajoute une liste généreuse de catégories indépendantes de la taille. Deuxièmement, l’architecture institutionnelle est distinctive : le Centre pour la Cybersécurité Belgique (CCB) est à la fois l’autorité nationale compétente, le point de contact unique et le CSIRT national, avec le Centre national de crise (NCCN) qui copilote la gouvernance des crises et les régulateurs sectoriels qui conservent un rôle défini. Troisièmement, la Belgique a choisi un modèle de conformité spécifique : évaluation périodique obligatoire de conformité pour les entités essentielles, par rapport à un référentiel accrédité (en pratique, CyberFundamentals), assortie d’une présomption réfragable de conformité pour celles qui passent.

Cet article est un guide pratique destiné au lecteur d’affaires sur ce qu’exige la loi belge NIS2. Il fait correspondre chaque obligation à son équivalent dans la directive européenne, identifie l’organisme belge avec lequel vous traiterez pour chaque interaction, et renvoie aux articles de référence qui approfondissent le sujet sous-jacent. Ce n’est pas un avis juridique ; pour cela, consultez un conseil. Mais cela devrait suffire à une équipe de direction pour planifier, budgétiser et désigner des responsables, même si vous avez commencé tard.

Pour le contexte général sur la directive elle-même, consultez notre guide de conformité NIS2.

Le parcours législatif : de NIS1 à la loi du 26 avril 2024

NIS1 a été transposée en droit belge par la loi du 7 avril 2019. Cette loi s’appliquait à un nombre restreint d’« opérateurs de services essentiels » identifiés par des régulateurs sectoriels, ainsi qu’à une poignée de fournisseurs de services numériques. Elle a rempli son rôle, mais laissait l’essentiel de l’économie hors du périmètre cybersécurité.

La loi du 26 avril 2024 remplace ce cadre dans son intégralité. Le texte intégral est disponible sur le portail eJustice belge à l’ELI https://www.ejustice.just.fgov.be/eli/loi/2024/04/26/2024202344/justel. Le texte a été substantiellement modifié depuis son adoption : la loi CER du 19 décembre 2025 (en vigueur le 19 janvier 2026) a remplacé les références à la loi sur les entités critiques du 18 juillet 2023, désormais abrogée, et a ajouté un nouvel article 75 étendant les dispositions relatives au CSIRT (articles 8, 38 et titre 2) à toute personne physique ou morale établie en Belgique. Cela signifie que le mandat CSIRT du CCB n’est plus limité aux entités régulées ; il est national au sens propre.

Si votre organisation était déjà couverte par NIS1, vous ne repartez pas d’une page blanche : les règles de reconduction traitent par défaut les opérateurs de services essentiels précédemment désignés comme des entités essentielles sous le nouveau régime. Les nouvelles obligations s’appliquent dès le premier jour ; le seul élément qui se reporte est votre statut de désignation, pas votre posture de conformité. Pour un rappel de ce qui change entre les deux régimes, consultez NIS1 vs NIS2 : les différences clés.

Champ d’application

L’article 3 de la loi NIS2 reprend la logique en deux temps du champ d’application de la directive européenne, puis l’étend par plusieurs ajouts belges.

Secteur et taille (art. 3 §1). D’abord, l’entité doit être d’un type listé en annexe I ou annexe II de la loi. L’annexe I couvre les onze secteurs de haute criticité : énergie (y compris le sous-secteur de l’hydrogène), transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (interentreprises), administration publique et espace. L’annexe II couvre sept autres secteurs critiques : services postaux et de messagerie, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution de denrées alimentaires, fabrication (dispositifs médicaux, produits électroniques, équipements électriques, machines, véhicules à moteur, autres matériels de transport), fournisseurs numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux) et recherche. Ensuite, l’entité doit au minimum se qualifier comme entreprise de taille moyenne au sens de la recommandation 2003/361/CE de la Commission (50 employés ou plus, ou chiffre d’affaires annuel ou total du bilan supérieur à 10 millions d’euros), ou dépasser ces plafonds.

Catégories indépendantes de la taille (art. 3 §3). Indépendamment de leur taille, la loi s’applique aux fournisseurs de réseaux de communications électroniques publics et de services de communications électroniques, aux prestataires de services de confiance, aux registres des noms de domaine de premier niveau, aux fournisseurs de services DNS, aux entités identifiées comme essentielles ou importantes au titre du chapitre 4 de la loi, à l’administration publique fédérale, aux entités fédérées identifiées par arrêté royal au titre de l’article 11 §2, aux zones de secours et au SIAMU de Bruxelles, service d’incendie et d’aide médicale urgente.

Entités critiques (art. 3 §4). Les entités désignées comme critiques au titre de la loi CER du 19 décembre 2025 entrent dans le champ indépendamment de leur taille. Comme l’instrument qui a introduit la CER en droit belge a aussi modifié cet article, la frontière entre les deux régimes est exceptionnellement étroite : les entités critiques seront typiquement aussi des entités essentielles sous NIS2.

Services d’enregistrement de noms de domaine (art. 3 §5). Les fournisseurs de services d’enregistrement de noms de domaine entrent dans le champ indépendamment de leur taille.

Si vous n’êtes pas sûr que la loi s’applique à votre organisation, le contrôle initial le plus rapide est notre vérificateur de périmètre NIS2, qui passe en revue secteur et taille en trois clics. Pour une lecture plus approfondie de la logique de cadrage de la directive, consultez nos guides sur le champ d’application et l’applicabilité de NIS2 et sur la distinction entre entités essentielles et importantes.

Le secteur financier mérite une mention à part. L’article 6 §3 de la loi NIS2 exclut la banque et les infrastructures des marchés financiers (ainsi que l’activité de dépositaire central de titres de la Banque Nationale de Belgique) des titres 3 à 5 lorsque le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier (« DORA ») s’applique. L’article 6 §4 superpose des exclusions spécifiques pour la BNB elle-même (à l’exception de son activité de DCT) et pour les établissements financiers qu’elle supervise au titre des articles 8 et 12bis du statut de la BNB. Là où DORA s’applique, il s’applique à la place de NIS2 pour les mêmes faits. Nous décomposons la frontière dans NIS2 et le secteur financier : comment DORA recoupe la banque et dans NIS2, DORA et CER : règlementations qui se chevauchent.

L’article 5 §4 exclut un petit ensemble d’activités sensibles : les services de renseignement et de sécurité, l’Organe de coordination pour l’analyse de la menace (OCAM), le ministère de la Défense, la police et l’inspection générale de la police, les autorités judiciaires, les banques de données judiciaires du SPF Justice, les réseaux diplomatiques et consulaires belges à l’étranger, et les installations nucléaires de classe I (avec une réintégration pour les éléments de transport d’électricité des centrales nucléaires, qui restent dans le champ via le secteur de l’énergie).

L’architecture institutionnelle belge

La loi du 26 avril 2024 désigne un ensemble restreint d’organismes et leur attribue un rôle clair à chacun. C’est l’une des parties les plus utiles du texte pour les équipes de conformité : elle vous indique exactement à qui parler, et dans quel cas.

Centre pour la Cybersécurité Belgique (CCB). Au titre de l’article 15 §1 et de l’article 16, le CCB est l’autorité nationale compétente pour la surveillance et l’exécution en matière de cybersécurité, le point de contact unique pour la coopération transfrontalière et le CSIRT national. Il est également le représentant de la Belgique au sein d’EU-CyCLONe et du réseau des CSIRT. Conséquence pratique : le CCB est l’organisme qui vous enregistrera, recevra les notifications d’incidents, inspectera, auditera, demandera des informations, émettra des instructions contraignantes et imposera des amendes à la plupart des entités. Le CCB publie ses orientations NIS2 et les supports CyberFundamentals sur ccb.belgium.be.

Centre national de crise (NCCN). Le NCCN copilote la gouvernance des crises cyber avec le CCB. Au titre de l’article 34 §1 et de l’article 35 §3, les notifications d’incidents émanant des entités essentielles sont transmises non seulement au CCB mais aussi au NCCN. Le NCCN et le CCB pilotent conjointement le plan national de réponse aux crises cyber prévu à l’article 29.

Autorités sectorielles (art. 15 §2). Un arrêté royal désigne les autorités sectorielles qui travaillent aux côtés du CCB. Trois sont inscrites directement dans la loi :

Banque Nationale de Belgique (BNB) comme autorité sectorielle pour le secteur financier au titre de l’article 80, sauf pour les opérateurs de plateformes de négociation (où l’Autorité des services et marchés financiers (FSMA) joue le rôle d’autorité coopérante).
Institut belge des services postaux et des télécommunications (IBPT) comme autorité sectorielle pour l’infrastructure numérique (à l’exception des prestataires de services de confiance) et pour les services postaux et d’expédition au titre de l’article 83.
Agence fédérale de Contrôle nucléaire (AFCN) pour les éléments de transport d’électricité des centrales nucléaires au titre de l’article 77 (nouvel article 15ter inséré dans le statut de l’AFCN).

Si vous souhaitez la perspective européenne sur la façon dont ces organismes s’intègrent dans la conception de la directive, notre article de référence sur l’architecture institutionnelle de NIS2 : autorités, CSIRT et points de contact en présente le schéma.

Stratégie nationale et plan de crise

La loi exige deux instruments stratégiques.

La stratégie nationale de cybersécurité (article 28) est adoptée par le Conseil des ministres et revue au moins tous les cinq ans. Le paragraphe 2 énumère dix contenus obligatoires (objectifs, gouvernance, mécanismes d’évaluation des risques, mesures de préparation, etc.). Le paragraphe 3 liste dix domaines d’action que la stratégie doit couvrir, y compris la sécurité de la chaîne d’approvisionnement, les marchés publics, la divulgation des vulnérabilités, la cyberhygiène pour les PME, et la notion désormais distinctive de « cyberprotection active », que la Belgique a inscrite dans la stratégie comme un domaine d’action à part entière. Pour le contexte sur la raison pour laquelle l’article 7 de la directive exige une stratégie et sur ce à quoi ressemble une bonne stratégie, consultez La stratégie nationale de cybersécurité : ce qu’exige l’article 7.

Le plan national de réponse aux crises cyber (article 29) est adopté par arrêté royal. Il définit les procédures de gestion de crise, les mesures de préparation et les modalités de participation transfrontalière aux réponses coordonnées au niveau de l’UE. C’est l’ancrage du rôle de la Belgique dans EU-CyCLONe et le réseau des CSIRT. Voir Le groupe de coopération, EU-CyCLONe et le réseau des CSIRT pour les mécanismes au niveau de l’UE.

Les mesures de gestion des risques de cybersécurité (article 30)

L’article 30 de la loi NIS2 est le cœur opérationnel. Il impose aux entités essentielles et importantes de prendre des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » fondées sur une approche tous risques. Là où la directive européenne énumère dix catégories de mesures, la transposition belge en ajoute une onzième : une politique de divulgation coordonnée des vulnérabilités, inscrite à l’article 30 §3 comme obligation autonome plutôt que (comme dans la directive) comme sous-composante de la sécurité du développement.

La liste complète des mesures au titre de l’article 30 §3 :

politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
gestion des incidents ;
continuité des activités, y compris gestion des sauvegardes, reprise après sinistre et gestion de crise ;
sécurité de la chaîne d’approvisionnement, y compris les aspects de sécurité concernant les relations avec les fournisseurs directs et les prestataires de services ;
sécurité dans l’acquisition, le développement et la maintenance des réseaux et systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
politiques et procédures permettant d’évaluer l’efficacité des mesures de gestion des risques de cybersécurité ;
pratiques de cyberhygiène de base et formation à la cybersécurité ;
politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs ;
authentification multifacteur ou solutions d’authentification continue, communications vocales, vidéo et textuelles sécurisées, et systèmes de communications d’urgence sécurisés au sein de l’entité, selon le cas ;
une politique de divulgation coordonnée des vulnérabilités (l’ajout belge).

Pour une analyse approfondie de ce que recouvre chacune de ces mesures en pratique, consultez Les 10 mesures de cybersécurité de l’article 21 de NIS2. Le principe tous risques, qui dépasse les seules cybermenaces pour inclure l’environnement physique, est décortiqué dans L’approche tous risques : sécurité physique sous NIS2. Le risque chaîne d’approvisionnement fait l’objet d’un traitement dédié dans Sécurité de la chaîne d’approvisionnement et risque fournisseur sous NIS2. Sur la manière de calibrer les mesures à la taille et au profil de risque de l’entité (plutôt que de la sur-ingénierer), consultez Proportionnalité NIS2 et ce que signifie réellement « approprié ».

Deux notes spécifiques à la Belgique. Premièrement, l’article 30 §5 exige que les mesures soient consignées dans une « P.S.I. » (Politique de Sécurité des systèmes et réseaux d’Information) écrite, la politique formelle de sécurité de l’information de l’entité. Deuxièmement, l’article 33 réserve au Roi le pouvoir d’imposer, par arrêté royal, des mesures de gestion des risques additionnelles propres à un secteur. Attendez-vous à des arrêtés sectoriels qui se superposeront à l’article 30 au fil du temps, en particulier dans l’énergie, les transports et l’infrastructure numérique.

Responsabilité de l’organe de direction (article 31)

L’article 31 de la loi NIS2 est court mais lourd de conséquences. L’organe de direction des entités essentielles et importantes doit approuver les mesures de gestion des risques de cybersécurité, en superviser la mise en œuvre, et peut être tenu personnellement responsable des infractions. L’article 31 §2 impose une formation régulière des membres de l’organe de direction et exige que l’entité offre une formation similaire à son personnel. L’article 32 attribue à l’entité elle-même la responsabilité de l’analyse des risques, et l’article 61 étend la responsabilité plus loin encore : aux représentants légaux et à toute personne physique disposant de pouvoirs de décision ou de contrôle au sein de l’entité.

Pour les conseils d’administration et comités exécutifs, cela signifie que la cybersécurité n’est plus un « sujet IT » délégué au RSSI. C’est une affaire de niveau conseil, avec une supervision documentée, des registres de formation et des comptes rendus. Notre article sur La responsabilité du conseil et la gouvernance sous NIS2 décrit à quoi ressemble une posture de gouvernance défendable.

Notification d’incidents au titre des articles 34 à 37

Les articles 34 à 37 reproduisent le régime à trois échéances de la directive européenne, qui constitue l’une des obligations les plus opérationnelles de la loi.

Notification au CSIRT national (art. 34 §1). Tous les incidents importants sont notifiés sans retard injustifié au CSIRT national (le CCB), qui transmet la notification à l’autorité sectorielle compétente. Les notifications émanant des entités essentielles sont également transmises au NCCN. Ce modèle de guichet unique est un choix de conception belge délibéré : vous parlez au CCB, et le CCB achemine.

Alerte précoce, dans les 24 heures (art. 35 §1 1°). Dans les 24 heures à compter de la prise de connaissance d’un incident important, l’entité soumet une alerte précoce indiquant si l’incident est suspecté d’avoir été causé par des actes illicites ou malveillants et s’il pourrait avoir un impact transfrontalier.

Notification d’incident, dans les 72 heures (art. 35 §1 2°). La notification met à jour l’alerte précoce et fournit une première évaluation de la gravité, de l’impact et, lorsque disponibles, des indicateurs de compromission. Les prestataires de services de confiance fonctionnent sur une seule échéance de notification à 24 heures au titre de l’article 35 §2, sans étape distincte à 72 heures.

Rapport intermédiaire sur demande (art. 35 §1 3°). Le CCB peut demander un rapport intermédiaire à tout moment pendant le traitement de l’incident.

Rapport final, dans un délai d’un mois (art. 35 §1 4°). Le rapport couvre une description détaillée, la cause profonde, les mesures d’atténuation appliquées et en cours, ainsi que l’impact transfrontalier. Si l’incident est encore en cours de traitement au jalon d’un mois, l’entité fournit un rapport d’avancement au titre de l’article 35 §1 5° et un rapport final dans un délai d’un mois après la clôture du traitement de l’incident.

Le CCB doit fournir une première réponse à l’alerte précoce dans les 24 heures (article 36), y compris des orientations et un conseil opérationnel. Les notifications volontaires ne peuvent pas déclencher une inspection automatique (article 38), ce qui compte : une entité qui observe un quasi-incident peut le partager sans crainte de déclencher une action de surveillance. Le CCB publie des rapports trimestriels anonymisés à l’ENISA (article 37 §4).

Pour le guide pratique de l’exécution des échéances, consultez Le calendrier de signalement des incidents NIS2. Pour savoir quand un incident franchit réellement le seuil d’« important » (la décision la plus difficile dans les premières 24 heures), consultez Qu’est-ce qui rend un incident important au sens de NIS2.

Évaluation de conformité et CyberFundamentals (articles 39 à 43)

Ici la Belgique a fait quelque chose d’inhabituel, et c’est la partie de la loi qui orientera le plus probablement votre feuille de route de conformité : l’évaluation périodique obligatoire de conformité pour les entités essentielles.

Au titre des articles 39 à 43, chaque entité essentielle doit démontrer sa conformité avec l’article 30 de manière récurrente. La loi donne à l’entité le choix. L’option un (article 40) est une évaluation externe par un organisme d’évaluation de la conformité accrédité par rapport à un référentiel fixé par arrêté royal, dont les coûts sont à la charge de l’entité. L’option deux est une inspection menée directement par le CCB. Les entités importantes peuvent opter volontairement au titre de l’article 41. Lorsque l’entité passe l’évaluation par rapport à un référentiel reconnu, l’article 42 accorde une présomption réfragable de conformité avec l’article 30 : en cas de litige, la charge bascule sur le régulateur de démontrer que la conformité n’a pas en fait été atteinte.

Pour les entités critiques et pour l’administration publique, l’article 40 §1 ajoute une exigence d’habilitation de sécurité : l’organisme d’évaluation et ses évaluateurs individuels doivent détenir une habilitation de sécurité appropriée.

En pratique, le référentiel CyberFundamentals (CyFun) du CCB est le référentiel de fait que les entités belges adoptent pour bénéficier de ce régime. CyFun est publié à quatre niveaux d’assurance (Small, Basic, Important, Essential), s’aligne sur les contrôles internationaux reconnus (NIST CSF, ISO/IEC 27001, CIS Controls, IEC 62443), et constitue désormais la base pratique sur laquelle la plupart des équipes belges de conformité planifieront. Si votre posture de sécurité existante est déjà certifiée ISO/IEC 27001, vous disposez d’un solide point de départ pour le niveau CyFun équivalent. Pour la relation plus large entre NIS2 et les normes reconnues, consultez NIS2, ISO 27001 et les schémas de certification de cybersécurité.

Enregistrement et obligations des entités (articles 13 et 14)

Deux pistes d’enregistrement s’appliquent.

Enregistrement général (article 13 §1). Dans les cinq mois suivant l’entrée en vigueur de la loi (ou de l’identification de l’entité comme étant dans le champ), les entités doivent s’enregistrer auprès du CCB en communiquant leur dénomination sociale et numéro BCE, adresse, courriel, plages IP, téléphone, secteur et sous-secteur, et la liste des États membres de l’UE dans lesquels elles fournissent des services. Les changements doivent être notifiés dans un délai de deux semaines (article 13 §3).

Enregistrement du secteur numérique (article 14 §1). Les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les fournisseurs de services d’enregistrement de noms de domaine, les fournisseurs d’informatique en nuage et de centres de données, les réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés et les fournisseurs de places de marché en ligne, de moteurs de recherche et de plateformes de réseaux sociaux doivent s’enregistrer dans un délai de deux mois, avec un jeu de données plus détaillé (y compris les plages IP). Le CCB transmet ces informations à l’ENISA pour le registre paneuropéen prévu à l’article 27 de la directive. Les changements ici doivent être notifiés dans un délai de trois mois (article 14 §2). L’article 14 §3 garantit que les données relatives aux prestataires de services de confiance déjà détenues par l’organe de supervision eIDAS sont communiquées directement au CCB, évitant un double enregistrement.

Si votre activité est celle d’un fournisseur de services gérés ou d’un MSSP, consultez Les MSP et MSSP sont-ils régulés par NIS2 pour les implications. Pour les fournisseurs de cloud, de centres de données et de CDN, consultez Infrastructure numérique sous NIS2 : cloud et centre de données.

Divulgation coordonnée des vulnérabilités et l’exonération belge (articles 22 et 23)

S’il existe un endroit où la transposition belge se distingue de tout autre État membre, c’est ici. La loi institutionnalise la divulgation coordonnée des vulnérabilités (CVD) et, à l’article 23, crée une exonération de poursuites pénales pour les hackers éthiques qui est la plus forte de l’UE.

L’article 22 désigne le CCB comme intermédiaire de confiance pour la CVD. L’article 23 prévoit ensuite une immunité de poursuites au titre des articles 314bis, 458, 550bis et 550ter du Code pénal, et de l’article 145 de la loi du 13 juin 2005 relative aux communications électroniques, pour une personne signalant une vulnérabilité au CCB, sous réserve de conditions définies : absence d’intention frauduleuse, notification simplifiée dans les 24 heures et notification complète dans les 72 heures, proportionnalité des méthodes de test, absence de divulgation publique de la vulnérabilité sans le consentement du CCB, et accord écrit préalable avec le propriétaire lorsque le système concerné est exploité par une autorité publique ou par le pouvoir judiciaire.

L’effet combiné des articles 22 et 23 est de faire de la Belgique la juridiction de l’UE la plus accueillante pour la recherche responsable de vulnérabilités. Les entités essentielles et importantes doivent s’attendre à recevoir davantage de divulgations entrantes qu’elles ne le feraient, par exemple, en France ou en Allemagne, et elles devraient disposer d’un processus d’accueil défini pour les traiter. L’obligation autonome de CVD à l’article 30 §3 (la onzième mesure belge) est la contrepartie opérationnelle de cette posture nationale. Pour le cadre au niveau de l’UE et les pratiques recommandées, consultez notre article de référence sur le cadre de divulgation des vulnérabilités.

Surveillance et exécution (articles 44 à 50)

La loi trace une ligne nette entre les entités essentielles et les entités importantes dans la façon dont elles sont supervisées.

Les entités essentielles sont soumises à une surveillance ex ante et ex post. Le CCB et l’autorité sectorielle compétente peuvent exiger des évaluations de conformité régulières au titre des articles 39 à 43, mener des inspections sur place, demander des informations, auditer et intervenir de manière proactive.

Les entités importantes sont soumises à une surveillance ex post uniquement (article 48 §2). Les inspections et audits restent possibles, mais uniquement sur la base d’éléments probants ou d’indices de non-conformité : le régulateur doit articuler un motif.

L’outillage de surveillance au titre de l’article 48 §1 est détaillé. Il comprend l’accès et la copie de documents, les audits sur place et à distance, les contrôles aléatoires, les audits ciblés indépendants pour les entités essentielles, les audits ad hoc après un incident important, les scans de sécurité, la vérification d’identité du personnel de l’entité inspectée, et (au titre de l’article 48 §5 et §6) la saisie de systèmes informatiques avec autorisation judiciaire. Lorsque l’accès à des locaux habités est requis, l’inspecteur doit obtenir l’autorisation du juge d’instruction, qui statue dans les 48 heures ; l’entité dispose d’un droit d’appel auprès de la chambre des mises en accusation. L’assistance de la police peut être demandée. Les autorités sectorielles et les services d’inspection peuvent copiloter ou reprendre les inspections par accord avec le CCB.

Lorsque le CCB suspecte qu’une violation de données à caractère personnel est en jeu, l’article 48 §7 impose une coopération obligatoire avec l’Autorité de protection des données (APD). L’article 21 §4 ajoute une garantie intéressante : l’APD exerce une fonction de pré-contrôle sur les demandes du CSIRT relatives aux métadonnées de communications électroniques, garantissant que la proportionnalité est examinée de manière indépendante.

Notre article de référence sur Les pouvoirs d’application, sanctions et amendes NIS2 détaille comment les autorités utilisent ces outils en pratique.

Mesures administratives et amendes (articles 58 à 60)

La loi prévoit un outillage de mesures administratives (article 58), un barème d’amendes (article 59) et une étape d’escalade réservée aux entités essentielles (article 60).

Mesures administratives (article 58). Le CCB peut émettre des avertissements, des instructions contraignantes, des ordres de cessation, des ordres de mise en conformité, des ordres d’informer les destinataires des services des cybermenaces et des ordres de publier les détails des infractions. Pour les entités essentielles, l’article 58 8° introduit un instrument distinctif : un « responsable du contrôle » désigné pour superviser la remédiation au sein de l’entité.

Amendes administratives (article 59). La loi prévoit un barème d’amendes par paliers :

Manquement à une obligation d’information au titre de l’article 12 : 500 à 125 000 EUR.
Représailles contre le personnel qui assiste à la conformité : 500 à 200 000 EUR.
Manquement aux obligations de surveillance : 500 à 200 000 EUR.
Entités importantes pour les manquements opérationnels de base : 500 à 7 000 000 EUR ou 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Entités essentielles pour les manquements opérationnels de base : 500 à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Tous les plafonds sont doublés en cas de récidive, définie comme les mêmes faits survenant dans un délai de trois ans. Pour un traitement approfondi du calibrage et de l’application de ces plafonds, consultez Amendes administratives sous NIS2 : le cadre des 10 M€ et 7 M€.

Escalade pour les entités essentielles (article 60). Lorsque les mesures administratives et les amendes s’avèrent inefficaces, le CCB peut poursuivre deux mesures supplémentaires : suspension temporaire d’une certification ou d’une autorisation, et interdiction temporaire faite au PDG ou au représentant légal d’exercer des fonctions de direction au sein de cette entité jusqu’à ce que la remédiation soit obtenue.

Recouvrement et recours. Les amendes sont recouvrées par contrainte signifiée par huissier ; l’entité dispose de 15 jours pour former opposition devant le juge des saisies, ce qui suspend l’exécution (article 56 §3). La prescription court pour trois ans sur les faits et cinq ans sur les mesures et amendes (article 57).

Non bis in idem avec le RGPD (article 54 §2). Lorsque l’APD a déjà imposé une amende RGPD pour les mêmes faits, le CCB ne peut pas imposer une amende NIS2, bien que les mesures d’exécution non pécuniaires restent disponibles. L’interaction est décortiquée dans Chevauchement NIS2 et RGPD : cybersécurité et protection des données.

Exclusion pour l’administration publique (article 62). Les entités d’administration publique fédérale sont exemptées des articles 59 et 60 : elles restent soumises au régime de surveillance mais pas aux amendes administratives ni à l’escalade de l’article 60. C’est cohérent avec la permission donnée par la directive aux États membres de traiter la non-conformité du secteur public par les canaux disciplinaires internes.

Chevauchements sectoriels et exemptions

Plusieurs zones de chevauchement méritent attention.

DORA (article 6 §3). Comme noté dans la section sur le champ d’application, la banque, les infrastructures des marchés financiers et l’activité de DCT de la BNB sont exclues des titres 3 à 5 de la loi NIS2 lorsque DORA s’applique. Pour les entités partiellement couvertes par DORA, la loi NIS2 continue de s’appliquer au résiduel.

Loi CER du 19 décembre 2025. L’instrument qui a modifié la loi NIS2 a aussi mis en œuvre la directive européenne sur la résilience des entités critiques en droit belge. Les entités critiques au titre de la loi CER entrent indépendamment de leur taille dans le champ NIS2 (article 3 §4). Pour le tableau complet de l’interaction entre les trois régimes, consultez NIS2, DORA et CER : règlementations qui se chevauchent.

eIDAS (article 14 §3). Les données relatives aux prestataires de services de confiance communiquées par l’organe de supervision eIDAS au CCB évitent un double enregistrement.

RGPD. Coopération obligatoire avec l’APD pour les violations de données à caractère personnel suspectées (article 48 §7), non bis in idem sur les amendes (article 54 §2), et pré-contrôle par l’APD des demandes du CSIRT portant sur les métadonnées (article 21 §4) définissent conjointement la frontière.

Lecture sectorielle ciblée

Si votre organisation relève d’un secteur régulé, le classement par annexe renvoie directement aux guides sectoriels correspondants :

Énergie (annexe I §1) : NIS2 dans le secteur de l’énergie.
Transports (annexe I §2) : NIS2 dans les transports : aviation, rail, maritime, route.
Banque et infrastructures des marchés financiers (annexe I §3 et §4) : voir le chevauchement avec DORA ci-dessus.
Santé (annexe I §5) : NIS2 dans le secteur de la santé : hôpitaux et pharmacie.
Infrastructure numérique (annexe I §8) : NIS2 pour le cloud et les centres de données.
Gestion des services TIC (annexe I §9) : Les MSP et MSSP sont-ils régulés par NIS2.
Fabrication (annexe II §5) : NIS2 dans la fabrication.

Ce qu’il faut faire ce trimestre

La loi est en vigueur depuis vingt mois. À ce stade, la plupart des équipes de direction ont réalisé quelques progrès ; l’écart, d’après notre expérience, est rarement l’enregistrement et rarement le premier playbook de réponse aux incidents. L’écart se situe dans le milieu, plus difficile : l’évaluation de conformité, les contrôles de la chaîne d’approvisionnement, et la piste documentaire qui survit à un audit du CCB. Une séquence raisonnable pour les quatre-vingt-dix prochains jours :

Reconfirmer le périmètre. Utilisez le vérificateur de périmètre NIS2 ou commandez à un conseil une revue de l’article 3 au regard de vos activités. Faites attention à savoir si la loi CER du 19 décembre 2025 a modifié votre désignation.
Identifier votre ou vos interlocuteurs. Le CCB par défaut ; la BNB pour le secteur financier (sauf les plateformes de négociation) ; l’IBPT pour l’infrastructure numérique et les services postaux et d’expédition ; l’AFCN pour les éléments de transport d’électricité des centrales nucléaires.
Confirmer que l’enregistrement est à jour. Si vous vous êtes enregistré en 2024 ou 2025, vérifiez que les données de contact de l’entreprise, les plages IP et la classification sectorielle reflètent toujours la réalité, et rappelez-vous des fenêtres de notification de changement de deux semaines (général) et trois mois (numérique).
Planifier votre voie d’évaluation de conformité. Choisissez entre l’évaluation externe (typiquement par rapport à CyberFundamentals au niveau approprié) et l’inspection par le CCB. Le mécanisme de présomption réfragable à l’article 42 fait de la voie du référentiel le choix dominant pour la plupart des entités essentielles.
Réinformer le conseil. La responsabilité personnelle de l’article 31 est la conversation la plus importante à tenir au niveau de l’organe de direction. Renouvelez l’approbation des mesures, documentez la formation dispensée et capturez les comptes rendus. L’article 61 étend la responsabilité aux représentants légaux et aux personnes disposant de pouvoirs de contrôle : nommez-les.
Resserrer le régime d’incidents. Cartographiez votre flux de détection, classification et notification sur les échéances de 24h, 72h et un mois de l’article 35. Préenregistrez vos données de contact auprès du CCB. Validez que votre playbook tient compte de la variante 24h pour les prestataires de services de confiance, si applicable.
Combler les écarts de l’article 30, y compris la onzième. Réalisez une cartographie de contrôles par rapport aux onze catégories. L’ajout belge (divulgation coordonnée des vulnérabilités) est celui que la plupart des équipes oublient : rédigez la politique, publiez le point de contact, et reliez-la à l’exonération de l’article 23.

Pour un manuel plus complet, le guide de conformité NIS2 traverse chaque obligation dans l’ordre. Pour comparer avec la façon dont une juridiction voisine a traité la même directive, notre article compagnon sur NIS2 au Luxembourg est une lecture utile : le même texte européen, deux conceptions nationales remarquablement différentes.

Sources et références

Sources primaires :

Belgique, loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, Moniteur belge du 17 mai 2024 (p. 63179, NUMAC 2024202344). ELI : https://www.ejustice.just.fgov.be/eli/loi/2024/04/26/2024202344/justel.
Belgique, loi du 19 décembre 2025 sur la résilience des entités critiques, Moniteur belge du 19 janvier 2026 (modifiant la loi NIS2, transposant la directive (UE) 2022/2557, et étendant les dispositions relatives au CSIRT via un nouvel article 75).
Directive (UE) 2022/2555 (directive NIS 2). Page de référence : digital-strategy.ec.europa.eu/fr/policies/nis2-directive. Texte consolidé sur EUR-Lex : eur-lex.europa.eu/eli/dir/2022/2555/oj.
Règlement (UE) 2022/2554 (DORA), et l’exclusion sectorielle correspondante au titre de l’article 6 §3 de la loi NIS2.
Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises.

Organismes belges :

Centre pour la Cybersécurité Belgique (CCB), autorité nationale compétente, point de contact unique et CSIRT national : ccb.belgium.be.
Centre national de crise (NCCN), copilote pour la gouvernance des crises cyber.
Banque Nationale de Belgique (BNB), autorité sectorielle pour le secteur financier.
Autorité des services et marchés financiers (FSMA), autorité coopérante pour les opérateurs de plateformes de négociation.
Institut belge des services postaux et des télécommunications (IBPT), autorité sectorielle pour l’infrastructure numérique et les services postaux et d’expédition.
Agence fédérale de Contrôle nucléaire (AFCN), autorité sectorielle pour les éléments de transport d’électricité des centrales nucléaires.
Autorité de protection des données (APD), contrepartie pour la coopération RGPD et le pré-contrôle des demandes du CSIRT portant sur les métadonnées.

Pour une analyse compagnon de la façon dont un autre État membre de l’UE a transposé la même directive, consultez NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne.

Cet article reflète la loi telle qu’en vigueur au 2 juin 2026, y compris les modifications apportées par la loi CER du 19 décembre 2025. Le CCB continue de publier des orientations d’application et des mises à jour CyberFundamentals ; consultez le site du CCB pour les orientations officielles les plus récentes avant de finaliser les décisions opérationnelles.

NIS2 en Belgique : comment la loi du 26 avril 2024 transpose la directive européenne