Directive NIS2 en Belgique : vérification documentaire pour entités critiques 2026
Guide NIS2 Belgique 2026 : loi du 26 avril 2024, CCB, FSMA, BNB. Obligations documentaires, vérification fournisseurs et sanctions pour entités essentielles belges.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLa directive NIS2 (Directive (UE) 2022/2555) redéfinit en profondeur le cadre de cybersécurité européen. En Belgique, la loi du 26 avril 2024 relative à la sécurité des réseaux et des systèmes d'information en assure la transposition dans le droit national. Pour les quelque 3 500 entités concernées selon le Centre for Cybersecurity Belgium (CCB), les obligations documentaires sont concrètes, contraignantes et immédiatement opposables. La question n'est plus de savoir si votre organisation est visée, mais de mesurer précisément ce qu'elle doit documenter, conserver et produire à la demande des contrôleurs.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique, financier ou réglementaire. Les références réglementaires sont exactes à la date de publication. Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.
Pour approfondir le cadre général, consultez notre guide complet de la conformité documentaire et notre article sur la gestion des risques tiers (TPRM).
Qu'est-ce que la directive NIS2 et qui est concerné en Belgique ?
La directive NIS2 élargit considérablement le périmètre de son prédécesseur NIS1 : là où la première directive ne couvrait que les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN), NIS2 introduit deux nouvelles catégories aux obligations distinctes.
Les entités essentielles (EE) relèvent des secteurs à haute criticité : énergie, transport, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC interentreprises, administrations publiques et espace. Elles font l'objet de contrôles proactifs et de sanctions renforcées. En Belgique, sont qualifiées d'entités essentielles les entreprises comptant 250 salariés ou plus, ou dont le chiffre d'affaires annuel dépasse 50 millions d'euros.
Les entités importantes (EI) couvrent des secteurs supplémentaires : services postaux, gestion des déchets, fabrication de produits critiques, industrie alimentaire, fournisseurs numériques. Elles sont soumises à une supervision réactive, déclenchée sur la base d'incidents ou de signalements. Le seuil retenu est de 50 salariés ou plus, ou un chiffre d'affaires supérieur à 10 millions d'euros.
En Belgique, le CCB (Centre for Cybersecurity Belgium) est l'autorité nationale compétente pour NIS2 et pilote l'implémentation, l'identification des entités concernées ainsi que les contrôles. Selon le CCB, environ 3 500 entités sont concernées par la loi du 26 avril 2024 — un périmètre nettement plus large qu'avec NIS1. Certaines entités sont incluses indépendamment de leur taille en raison de leur rôle critique dans l'économie ou la sécurité nationale.
Les secteurs critiques belges et catégories d'entités NIS2
La loi belge du 26 avril 2024 identifie les secteurs soumis à la directive et les autorités sectorielles compétentes qui agissent en coordination avec le CCB.
| Secteur critique | Autorité sectorielle belge | Catégorie NIS2 |
|---|---|---|
| Institutions financières (banques, marchés) | FSMA / BNB | Entités essentielles |
| Soins de santé (hôpitaux, laboratoires) | INAMI / SPF Santé | Entités essentielles |
| Énergie (électricité, gaz, pétrole) | CREG | Entités essentielles |
| Transport (aérien, ferroviaire, routier, maritime) | SPF Mobilité | Entités essentielles |
| Infrastructure numérique (IXP, DNS, cloud) | CCB | Entités essentielles |
| Eau potable et eaux usées | Régions / IBGE-BIM | Entités essentielles |
| Administrations publiques centrales | CCB / SPF | Entités essentielles |
| Services postaux et de messagerie | IBPT | Entités importantes |
| Gestion des déchets | Régions | Entités importantes |
| Fabrication (pharma, chimie, équipements médicaux) | SPF Économie | Entités importantes |
| Fournisseurs numériques (moteurs de recherche, places de marché) | CCB | Entités importantes |
La FSMA (Autorité des services et marchés financiers) et la BNB (Banque Nationale de Belgique) assurent une supervision renforcée des entités financières, en coordination avec le CCB pour les exigences spécifiques à NIS2. La CTIF (Cellule de traitement des informations financières), équivalent belge du TRACFIN français, peut intervenir en complément pour les aspects liés à la lutte contre le blanchiment de capitaux.
Les obligations documentaires issues de l'article 21 NIS2
L'article 21 de la directive impose dix mesures de gestion des risques de cybersécurité. Chacune génère des obligations documentaires spécifiques que le CCB peut contrôler à tout moment — et le CCB contrôle l'implémentation réelle, pas seulement les documents produits.
Les dix mesures couvrent : les politiques d'analyse des risques et de sécurité des systèmes d'information, la gestion des incidents, la continuité des activités, la sécurité de la chaîne d'approvisionnement (article 21(2)(d)), la sécurité de l'acquisition, du développement et de la maintenance des réseaux et systèmes d'information, les politiques d'évaluation de l'efficacité des mesures, les pratiques de cyber-hygiène et de formation, les politiques de cryptographie, la sécurité des ressources humaines et l'utilisation de l'authentification multi-facteurs.
Chacune de ces mesures doit être formalisée dans des politiques écrites, validées par la direction, revues périodiquement et accompagnées de preuves de mise en œuvre. Une politique sans trace d'application ne suffit pas.
Pour la vérification documentaire, les obligations les plus directes découlent de trois mesures : la gestion des risques (cartographie des actifs et des processus sensibles), la sécurité de la chaîne d'approvisionnement, et la sécurité des ressources humaines (habilitations, contrôles d'accès). Consultez notre article sur la construction d'un programme de conformité documentaire pour une approche méthodique.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitVérification de la chaîne d'approvisionnement : documenter la sécurité des fournisseurs
L'article 21(2)(d) de NIS2 exige la vérification de la sécurité de la chaîne d'approvisionnement, y compris les aspects de sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services. C'est l'une des obligations les plus nouvelles et les plus complexes à opérationnaliser pour les organisations belges.
Concrètement, une entité essentielle belge doit être capable de démontrer qu'elle a :
- Identifié et documenté l'ensemble de ses fournisseurs ayant accès à ses systèmes d'information ou traitant des données sensibles.
- Évalué le niveau de sécurité de chaque fournisseur selon une méthode formalisée.
- Intégré des clauses contractuelles de sécurité dans ses contrats avec ces fournisseurs.
- Contrôlé périodiquement le respect de ces clauses.
La documentation attendue inclut un registre des fournisseurs critiques, des questionnaires de sécurité complétés, des preuves contractuelles et des rapports de suivi. Le CCB peut demander à consulter ces éléments lors d'un contrôle sur site ou documentaire, et leur absence ou leur caractère incomplet constitue un manquement sanctionnable.
Le CCB met à disposition des organisations belges des guides pratiques sur cyber.be pour structurer ces évaluations. Ces ressources précisent les niveaux d'exigences selon la criticité du fournisseur et le type d'accès accordé au système d'information.
La vérification des fournisseurs ne s'arrête pas à la signature du contrat. NIS2 attend une démarche continue : réévaluation lors de changements significatifs chez le fournisseur, surveillance des incidents le concernant, révision contractuelle en cas d'évolution réglementaire. Pour une approche structurée de ce sujet, notre guide sur la gestion des risques tiers (TPRM) détaille les meilleures pratiques adaptées au contexte belge.
Documentation du personnel accrédité et contrôle d'accès
La sécurité des ressources humaines constitue l'une des dix mesures de l'article 21. Elle impose de documenter qui a accès à quoi, sur quelle base, et selon quel processus de contrôle préalable.
Pour les entités essentielles belges, cela se traduit par :
- Des politiques d'habilitation formalisées, précisant les niveaux d'accès par fonction, les conditions d'attribution et les procédures de révocation.
- Des dossiers de vérification du personnel accrédité pour accéder aux systèmes sensibles : vérification d'identité, contrôle des antécédents selon le poste, confirmation des qualifications ou certifications requises.
- Un registre des accès maintenu à jour, avec horodatage des attributions, modifications et révocations.
- Des preuves de formation à la cybersécurité pour l'ensemble du personnel concerné.
La question des contrôles d'antécédents est encadrée en Belgique par le RGPD et la législation sur la protection des données. La directive NIS2 ne définit pas précisément les contrôles attendus, renvoyant aux pratiques sectorielles et aux guides du CCB. Pour les rôles à fort privilège d'accès — administrateurs systèmes, personnel gérant des données de santé ou financières critiques — les recommandations du CCB orientent vers une vérification d'identité renforcée et, selon les secteurs, une vérification des antécédents dans les conditions autorisées par la loi belge.
Le risque documentaire ici est double : ne pas avoir de processus formalisé, mais aussi ne pas pouvoir prouver que le processus a bien été appliqué pour chaque personne concernée.
Délais et format des notifications d'incidents (article 23)
L'article 23 de NIS2 établit une séquence de notification des incidents significatifs qui n'existait pas sous NIS1. Les délais sont stricts et la documentation requise à chaque étape est précisément définie. Ces délais sont identiques dans toute l'Union européenne.
Alerte précoce : 24 heures après qu'une entité a connaissance de l'incident. L'alerte doit indiquer si l'incident est suspecté d'être malveillant et si des effets transfrontaliers sont possibles. Elle est transmise au CCB via le portail de signalement disponible sur cyber.be/fr/signaler-un-incident ou aux autorités sectorielles désignées (FSMA, BNB, INAMI, CREG selon le secteur).
Notification d'incident : 72 heures après la prise de connaissance. La notification doit inclure une évaluation initiale de l'incident, sa gravité et son impact, ainsi que les indicateurs de compromission disponibles.
Rapport final : 1 mois après la transmission de la notification. Ce rapport doit décrire l'incident en détail, le type de menace ou la cause sous-jacente, les mesures d'atténuation appliquées et leurs effets, et l'impact transfrontalier éventuel.
Ces délais sont contraignants et supposent une organisation documentaire préparée en amont. Une entité qui découvre un incident sans registre des accès à jour, sans cartographie des systèmes affectés, sans procédures de qualification préétablies, ne pourra pas respecter le délai de 72 heures pour une notification complète. La conformité à l'article 23 commence bien avant l'incident.
Les exigences de notification s'appliquent aux incidents qui ont ou sont susceptibles d'avoir un impact significatif sur la fourniture des services. La loi belge du 26 avril 2024 précise les critères de significativité applicables en droit belge : nombre d'utilisateurs affectés, durée de l'incident, étendue géographique et niveau d'interruption des services.
Pour consulter le texte officiel belge de transposition, référez-vous au moniteur belge via ejustice.just.fgov.be.
Tableau comparatif NIS1 vs NIS2 en Belgique
Les deux générations de la directive diffèrent sur des points structurants pour la vérification documentaire. Voici les principales évolutions dans le contexte belge.
| Critère | NIS1 (Directive 2016/1148) | NIS2 – Loi belge 26 avril 2024 |
|---|---|---|
| Nombre d'entités concernées en Belgique | ~250 OSE + FSN désignés | ~3 500 EE et EI |
| Identification des entités | Désignation par l'État | Auto-identification + confirmation |
| Catégories d'entités | OSE + FSN | Entités essentielles (EE) + Entités importantes (EI) |
| Seuils EE Belgique | Désignation individuelle | 250 salariés ou CA >50 M€ |
| Seuils EI Belgique | Désignation individuelle | 50 salariés ou CA >10 M€ |
| Secteurs couverts | 7 secteurs | 18 secteurs (dont administrations, espace) |
| Chaîne d'approvisionnement | Non prévue | Obligatoire (art. 21(2)(d)) |
| Délai alerte précoce | Non défini | 24 heures |
| Délai notification complète | 72 heures (certains OSE) | 72 heures (universel) |
| Rapport final | Non systématique | 1 mois (obligatoire) |
| Responsabilité des dirigeants | Non prévue | Oui, personnelle (art. 20) |
| Sanctions EE | Variables | Jusqu'à 10 M€ ou 2% du CA mondial |
| Sanctions EI | Variables | Jusqu'à 7 M€ ou 1,4% du CA mondial |
| Supervision | Réactive (post-incident) | Proactive (EE) + réactive (EI) |
| Autorité compétente Belgique | CCB + autorités sectorielles | CCB + FSMA / BNB / INAMI / CREG |
La colonne NIS2 illustre le changement de paradigme : là où NIS1 organisait une réponse aux incidents, NIS2 impose une posture de conformité permanente, documentable et auditable.
Sanctions applicables et responsabilité des dirigeants en Belgique
Le régime de sanctions de NIS2, tel que transposé dans la loi belge du 26 avril 2024, est significativement plus sévère que celui de NIS1, et il introduit une dimension nouvelle : la responsabilité personnelle des dirigeants.
Pour les entités essentielles, les sanctions administratives peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Des mesures non pécuniaires s'y ajoutent : mise en conformité forcée, injonctions, suspension temporaire des fonctions dirigeantes.
Pour les entités importantes, le plafond est de 7 millions d'euros ou 1,4% du chiffre d'affaires annuel mondial.
L'article 20 de la directive, repris dans la loi belge, introduit une obligation que NIS1 ignorait : les personnes physiques responsables d'une entité ou agissant en tant que son représentant légal peuvent être tenues responsables du non-respect des obligations. En pratique, les dirigeants — administrateur délégué, directeur des systèmes d'information, responsable de la conformité selon l'organisation — peuvent être personnellement mis en cause et sanctionnés, y compris par une interdiction temporaire d'exercer des fonctions dirigeantes.
Cette responsabilité personnelle transforme la conformité NIS2 en un sujet de gouvernance, pas seulement de sécurité informatique. Les conseils d'administration et les comités exécutifs belges ne peuvent plus déléguer entièrement ce sujet à leurs équipes techniques sans s'exposer personnellement.
Le CCB dispose du pouvoir de procéder à des audits sur site et d'effectuer des contrôles documentaires à tout moment pour les entités essentielles, sans qu'un incident préalable soit nécessaire. Pour les entités importantes, les contrôles interviennent généralement sur la base d'incidents ou de signalements.
La directive (UE) 2022/2555 précise que les États membres doivent veiller à ce que les organes de direction suivent des formations à la cybersécurité et encouragent périodiquement leur personnel à en faire de même.
Comment CheckFile automatise la conformité documentaire NIS2 en Belgique
La conformité NIS2 repose en grande partie sur la capacité à produire des preuves documentaires à la demande : registres de fournisseurs, dossiers d'habilitation du personnel, traces de vérification, historique des incidents. Ces preuves doivent être exactes, complètes et accessibles rapidement — les délais de 24 et 72 heures de l'article 23 ne laissent pas de marge pour reconstituer manuellement des dossiers épars.
CheckFile automatise la vérification et la constitution de ces dossiers documentaires. La plateforme prend en charge plus de 3 200 types de documents dans 32 juridictions, ce qui couvre l'ensemble des documents nécessaires à la vérification des fournisseurs et du personnel accrédité dans les secteurs couverts par NIS2 — y compris les documents étrangers pour les entités opérant avec des prestataires ou du personnel international.
Pour les obligations de l'article 21(2)(d) sur la chaîne d'approvisionnement, CheckFile permet de vérifier automatiquement les documents d'identité, les accréditations, les certifications et les titres professionnels des contacts fournisseurs, avec génération automatique de pistes d'audit horodatées. Chaque vérification produit un rapport structuré conservable dans votre système de gestion documentaire.
Pour la conformité dans le secteur bancaire, la vérification des habilitations du personnel et des prestataires d'accès aux systèmes critiques s'intègre directement dans les workflows d'onboarding et de renouvellement annuel — en répondant simultanément aux exigences NIS2, DORA, et aux attentes de la FSMA et de la BNB.
Notre approche de la sécurité garantit que les données documentaires traitées respectent les exigences RGPD et NIS2 en matière de protection des données personnelles, avec localisation des données maîtrisée et chiffrement de bout en bout.
La question du coût de conformité est souvent sous-estimée par les organisations belges. Le traitement manuel des dossiers fournisseurs — questionnaires envoyés par email, documents collectés dans des tableurs, relances manuelles — représente un coût caché considérable et produit des preuves de faible qualité. Une approche automatisée comme celle proposée par CheckFile réduit le coût opérationnel tout en produisant des traces documentaires de qualité réglementaire. Consultez nos tarifs pour une estimation adaptée à votre volume.
La mise en conformité NIS2 en Belgique n'est pas un projet ponctuel. C'est une capacité organisationnelle permanente : maintenir des registres à jour, documenter les décisions, tracer les contrôles, notifier dans les délais impartis. Les entités qui construisent cette capacité sur des processus automatisés sont mieux armées que celles qui tentent de la reconstruire sous pression lors d'un incident ou d'un contrôle du CCB.
Pour structurer votre démarche, notre article sur la construction d'un programme de conformité documentaire propose une méthodologie directement applicable aux obligations NIS2 belges.
Questions fréquemment posées
La loi du 26 avril 2024 est-elle en vigueur en Belgique ?
Oui. La loi du 26 avril 2024 relative à la sécurité des réseaux et des systèmes d'information constitue la transposition belge de la directive NIS2 (Directive (UE) 2022/2555) et est en vigueur. Elle remplace la loi belge NIS1 de 2019 et élargit considérablement le nombre d'entités concernées, passant d'environ 250 à près de 3 500 organisations selon les estimations du CCB. Le texte officiel est consultable via le portail ejustice.just.fgov.be.
Mon organisation est-elle concernée par NIS2 même si elle n'a pas reçu de notification du CCB ?
NIS2 introduit un principe d'auto-identification : les entités remplissant les critères de taille et de secteur sont concernées de plein droit, sans attendre une désignation formelle du CCB. Si votre organisation opère dans l'un des 18 secteurs couverts et dépasse les seuils de taille fixés — 50 salariés ou 10 millions d'euros de chiffre d'affaires pour les entités importantes, 250 salariés ou 50 millions d'euros pour les entités essentielles — la conformité est obligatoire. Certaines entités sont incluses sans condition de taille en raison de leur rôle critique. Consultez les outils d'auto-évaluation mis à disposition par le CCB sur cyber.be.
Quels documents faut-il conserver pour prouver la conformité à l'article 21(2)(d) sur la chaîne d'approvisionnement ?
La preuve de conformité à l'article 21(2)(d) repose sur plusieurs catégories de documents : un registre des fournisseurs critiques avec leur niveau d'accès aux systèmes, les questionnaires de sécurité renseignés et les réponses obtenues, les clauses contractuelles de sécurité signées, les preuves de vérification d'identité et d'accréditation des contacts fournisseurs, et les rapports de suivi périodique. Le CCB contrôle l'implémentation réelle : il ne suffit pas d'avoir un processus documenté, il faut pouvoir prouver qu'il a été appliqué pour chaque fournisseur concerné. Le CCB recommande une révision annuelle minimum et à chaque changement significatif chez le fournisseur.
Que se passe-t-il si le délai de 72 heures pour la notification d'incident n'est pas respecté ?
Le non-respect des délais de notification de l'article 23 constitue un manquement sanctionnable. Pour les entités essentielles belges, les sanctions peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial. Au-delà de la sanction financière, un retard de notification expose l'entité à une mise en cause de sa responsabilité si d'autres acteurs ont subi des dommages pendant la période de non-notification. En pratique, respecter le délai de 72 heures suppose d'avoir préparé en amont : procédures de qualification des incidents, modèles de notification, chaîne d'escalade identifiée et contacts du CCB et des autorités sectorielles (FSMA, BNB, INAMI, CREG) connus. La notification peut être initialement incomplète si les informations ne sont pas toutes disponibles — l'essentiel est de transmettre une première alerte dans les 24 heures via cyber.be/fr/signaler-un-incident.
La responsabilité personnelle des dirigeants prévue à l'article 20 s'applique-t-elle aux entreprises belges ?
Oui. La loi belge du 26 avril 2024 transpose cette disposition. Les dirigeants des entités essentielles et importantes belges peuvent être personnellement tenus responsables du non-respect des obligations NIS2, y compris par une interdiction temporaire d'exercer des fonctions de direction. Cette responsabilité suppose que les dirigeants aient eu connaissance des manquements ou auraient dû en avoir connaissance dans le cadre de l'exercice normal de leurs fonctions. En pratique, cela implique que les conseils d'administration et les comités de direction documentent leur suivi de la conformité NIS2 : ordres du jour de réunions, procès-verbaux de décisions, rapports sur l'état de la conformité présentés à la direction.
CheckFile accompagne les entités essentielles et importantes belges dans leur mise en conformité NIS2 : vérification automatisée des documents fournisseurs et du personnel accrédité, pistes d'audit horodatées, support de plus de 3 200 types de documents dans 32 juridictions. Découvrez nos solutions pour les établissements bancaires et financiers, notre approche de la sécurité ou consultez nos tarifs pour évaluer le coût d'une conformité documentaire réellement opérationnelle.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.