Votre Entreprise Doit-Elle Se Conformer à NIS2?

NIS2 concerne plus d'organisations que jamais. Mais comment savoir si votre entreprise est concernée? Ce guide explique exactement qui doit se conformer à NIS2, les seuils de taille, et pourquoi même les petites entreprises peuvent être affectées par les exigences de la chaîne d'approvisionnement.

Professionnel évaluant le champ d'application de la conformité NIS2
Déterminer si votre entreprise doit se conformer à NIS2

Quoi: Qui Est Concerné par NIS2?

NIS2 s'applique aux organisations de deux catégories: entités essentielles et entités importantes. La classification détermine vos obligations et sanctions potentielles.

Entités Essentielles (11 secteurs)

Obligations plus élevées, supervision plus stricte

  • Énergie (électricité, pétrole, gaz, chauffage urbain, hydrogène)
  • Transport (aérien, ferroviaire, maritime, routier)
  • Banque
  • Infrastructures des marchés financiers
  • Santé (hôpitaux, laboratoires, pharmaceutiques)
  • Eau potable
  • Eaux usées
  • Infrastructure numérique (DNS, registres TLD, cloud, centres de données, CDN)
  • Gestion des services TIC (B2B)
  • Administration publique
  • Espace

Entités Importantes (7 secteurs)

Supervision réactive (après incidents)

  • Services postaux et de courrier
  • Gestion des déchets
  • Produits chimiques (fabrication, production, distribution)
  • Alimentation (production, transformation, distribution)
  • Fabrication (dispositifs médicaux, ordinateurs, électronique, machines, véhicules)
  • Fournisseurs numériques (marketplaces en ligne, moteurs de recherche, réseaux sociaux)
  • Organisations de recherche

Seuils de Taille: La Règle 50/10 (et Nouvelle Catégorie Small Mid-Cap)

Toutes les entreprises de ces secteurs ne doivent pas se conformer. NIS2 utilise des seuils de taille pour déterminer le périmètre. Le 20 janvier 2026, la Commission européenne a proposé une nouvelle catégorie "small mid-cap" qui pourrait élargir ce périmètre:

Moyennes et grandes entreprises: 50+ employés OU 10M€+ de chiffre d'affaires annuel
Grandes entreprises en plus: 250+ employés OU 50M€+ de CA ET 43M€+ de bilan
Proposition: Entités small mid-cap (jan 2026): <750 employés ET <150M€ de CA — obligations simplifiées dans le cadre des amendements NIS2 proposés
Illustration des secteurs essentiels et importants
NIS2 distingue les secteurs essentiels et importants
Différences clés entre entités essentielles et importantes sous NIS2
CatégorieEntités EssentiellesEntités Importantes
Secteurs 11 secteurs 7 secteurs
Supervision Proactive (audits réguliers) Réactive (après incidents)
Amende maximale 10M€ ou 2% du CA mondial 7M€ ou 1,4% du CA mondial
Responsabilité de la direction Oui, peut être suspendue Oui, peut être suspendue
Signalement d'incident Alerte précoce 24h Alerte précoce 24h

Pourquoi: Pourquoi Est-Ce Important de Savoir?

Comprendre si vous êtes concerné est crucial pour plusieurs raisons:

Évitez des sanctions significatives

Les entités essentielles risquent des amendes jusqu'à 10 millions d'euros ou 2% du CA mondial. Les entités importantes jusqu'à 7 millions ou 1,4%. Ce n'est pas théorique—les régulateurs appliquent activement.

Responsabilité personnelle de la direction

NIS2 introduit la responsabilité personnelle des dirigeants. La direction peut être tenue responsable et même suspendue en cas de non-conformité.

Exigences de la chaîne d'approvisionnement

Les organisations concernées doivent évaluer la cybersécurité de leurs fournisseurs. Si vous leur fournissez, vous aurez des exigences de conformité via les contrats.

Avantage concurrentiel

La conformité précoce démontre la fiabilité. De nombreuses organisations demandent déjà aux fournisseurs leur conformité NIS2 dans les appels d'offres.

Exigences d'assurance

Les cyber-assureurs exigent de plus en plus la conformité NIS2 ou des mesures de sécurité équivalentes pour la couverture.

Comment: Checklist d'Auto-Évaluation

Utilisez cette checklist pour déterminer si votre organisation est concernée par NIS2:

1

Opérez-vous dans l'un des 18 secteurs NIS2?

Vérifiez les listes des secteurs essentiels (11) et importants (7) ci-dessus

2

Avez-vous 50+ employés?

Comptez tous les employés de l'organisation

3

Avez-vous 10M€+ de chiffre d'affaires annuel?

Ou 10M€+ de total du bilan

4

Êtes-vous le seul fournisseur d'un service critique?

Cela s'applique quelle que soit la taille

5

Fournissez-vous des organisations qui doivent se conformer?

Vous pourriez avoir des exigences contractuelles

Que Faire Ensuite

Si vous êtes concerné—ou pourriez être affecté par les exigences de la chaîne d'approvisionnement:

1

Évaluez votre posture de sécurité actuelle

Comprenez où vous en êtes par rapport aux exigences NIS2

2

Commencez avec CyberFundamentals

Le cadre CCB de Belgique est la voie officielle vers la conformité NIS2

3

Documentez tout

Les preuves de vos mesures de sécurité sont essentielles pour les audits

4

Planifiez le signalement d'incidents

Vous devrez signaler les incidents significatifs dans les 24 heures

Comment Easy Cyber Protection Vous Aide

Évaluation du périmètre — Nous vous aidons à déterminer si et comment NIS2 s'applique à vous
Alignement CyberFundamentals — Conformité guidée avec le cadre officiel belge
Collecte de preuves — Documentation intégrée pour les audits et exigences de la chaîne d'approvisionnement
Suivi des progrès — Visibilité claire sur votre statut de conformité
Démarrage gratuit — Commencez avec notre niveau Small gratuit

Questions Fréquentes

Mon entreprise a exactement 50 employés. Suis-je concerné?

Oui. NIS2 s'applique aux organisations de 50 employés ou plus (ou 10M€+ de CA). Le seuil est "50 ou plus," donc exactement 50 employés vous place dans le périmètre si vous opérez dans un secteur couvert.

Nous sommes une petite entreprise IT qui sert des clients de santé. Devons-nous nous conformer?

Si vous ne répondez pas vous-même aux seuils de taille, vous n'êtes pas directement concerné. Cependant, vos clients de santé SONT concernés et doivent évaluer la sécurité de leur chaîne d'approvisionnement. Attendez-vous à ce qu'ils exigent des mesures de sécurité de niveau NIS2 via vos contrats.

Qu'en est-il des filiales belges d'entreprises internationales?

NIS2 s'applique par entité. Si votre filiale belge opère dans un secteur couvert et répond aux seuils de taille, elle doit se conformer. La conformité de la société mère ne couvre pas automatiquement les filiales.

Une entreprise de logiciels est-elle considérée comme "infrastructure numérique"?

Pas automatiquement. "Infrastructure numérique" désigne des services spécifiques: DNS, registres TLD, cloud computing, centres de données, CDN, services de confiance. Une entreprise de logiciels typique relèverait plutôt des "fournisseurs numériques" (secteur important) si elle exploite des marketplaces, moteurs de recherche ou réseaux sociaux.

Quand devons-nous être conformes?

NIS2 est entrée en vigueur le 17 octobre 2024. Les entités essentielles en Belgique doivent soumettre leur auto-évaluation avant le 18 avril 2026. Environ 2.000 entités (1.500 essentielles + 500 importantes) sont déjà enregistrées auprès du CCB. La Belgique utilise CyberFundamentals comme cadre de conformité.

Qu'est-ce que la nouvelle catégorie "small mid-cap"?

Le 20 janvier 2026, la Commission européenne a proposé une nouvelle catégorie pour les entreprises de moins de 750 employés et moins de 150M€ de CA. Ces entités "small mid-cap" auraient des obligations NIS2 simplifiées. Cela fait partie du paquet Cybersécurité de l'UE visant à simplifier la conformité pour les 28.700 entreprises concernées.

Articles Connexes

Sources

  1. NIS2 Directive (EU) 2022/2555 — Official Journal of the European Union
  2. Annex I & II: Sectors of High Criticality and Other Critical Sectors — NIS2 Directive Annexes
  3. CyberFundamentals Framework — Centre for Cybersecurity Belgium (CCB)
  4. NIS Directive Implementation — European Union Agency for Cybersecurity (ENISA)
  5. NIS2 Article 2: Scope — Size thresholds and entity definitions
  6. EU Cybersecurity Package (January 2026) — Proposed NIS2 amendments including small mid-cap category