Cybersécurité·Jul 08, 2026·9 min de lecture
En bref
Si vous dirigez une PME ou siégez dans une administration communale, votre boîte mail a probablement débordé cette dernière année de webinaires NIS2, de checklists NIS2 et de fournisseurs qui ont soudain découvert le « NIS2-proof » comme argument de vente. Le ton est presque toujours le même : l'échéance approche, les amendes sont énormes, achetez maintenant.
Voici une réponse plus posée. La loi existe bel et bien, elle est en vigueur en Belgique depuis le 18 octobre 2024, et pour certaines organisations elle change beaucoup de choses. Mais pour la plupart des PME belges, elle change moins que ne le suggèrent les mailings, et les communes se trouvent dans une situation à part, rarement expliquée correctement. Voici les faits, sans discours commercial.
Une précision d'abord : nous sommes une entreprise IT et sécurité, pas un cabinet d'avocats. Pour une analyse juridique formelle de votre situation, l'autorité de référence est le Centre pour la Cybersécurité Belgique (CCB), et en cas de doute un avis juridique vaut la peine. Ce qui suit reflète l'état des lieux mi-2026, sur la base de la loi et des publications du CCB.
NIS2 est une directive européenne (2022/2555) qui impose un niveau minimal de cybersécurité aux organisations importantes pour la société ou l'économie. La Belgique l'a transposée par la loi du 26 avril 2024, entrée en vigueur le 18 octobre 2024. Notre pays a été parmi les premiers ; beaucoup de voisins en étaient encore à la rédaction.
L'autorité de contrôle est le CCB, qui est aussi le CSIRT national (l'équipe à laquelle vous notifiez les incidents). La loi tourne autour de trois choses : maîtriser vos risques par des mesures appropriées, notifier rapidement les incidents graves, et rendre la direction personnellement responsable des deux.
C'est ici que la plupart des discours alarmistes déraillent. NIS2 ne s'applique pas à « toutes les entreprises ». Il y a deux filtres, et il faut passer les deux :
Une brasserie de douze personnes ? Hors champ. Une fiduciaire de trente collaborateurs ? Hors champ. Un producteur alimentaire de quatre-vingts salariés ? Probablement concerné. Il existe des exceptions où de plus petites organisations sont tout de même désignées (certains services numériques, par exemple, ou des entités désignées explicitement par les autorités), donc vérifier reste prudent. Le CCB propose un test de champ d'application sur son site.
La loi distingue deux catégories. Les entités essentielles (les plus grandes organisations des secteurs les plus critiques) font l'objet d'une surveillance proactive et risquent des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les entités importantes sont contrôlées a posteriori, avec des amendes jusqu'à 7 millions d'euros ou 1,4 %. Ce sont des maxima pour qui refuse de coopérer, pas un tarif standard pour qui agit de bonne foi.
C'est le point le plus souvent mal expliqué, alors disons-le précisément : les communes belges ne tombent pas automatiquement sous NIS2. Le législateur a repris les administrations fédérales et régionales comme secteur, mais pas les pouvoirs locaux comme catégorie.
Une commune n'est concernée que dans deux cas : soit elle exerce elle-même une activité critique des annexes (par exemple la gestion de l'eau potable ou des eaux usées en régie propre) et atteint le seuil de taille, soit elle est explicitement désignée comme entité. Pour la plupart des communes, ce n'est pas le cas aujourd'hui.
Faut-il pour autant souffler et ne rien faire ? Non, et ce n'est pas un argument de vente mais une politique officielle. Le CCB a publié une ligne directrice (guideline 1/2024) selon laquelle toutes les administrations publiques belges hors NIS2 doivent atteindre au moins le niveau de base du cadre CyberFundamentals d'ici le 1er janvier 2030. L'hygiène numérique de base devient donc la norme pour chaque pouvoir local, même sans étiquette NIS2. Le dossier des pouvoirs locaux évolue encore ; vérifiez l'état actuel auprès du CCB ou de votre fédération de villes et communes pour votre situation précise.
Quatre obligations forment le cœur de la loi :
Même qui échappe à la loi n'y échappe pas tout à fait en pratique, pour une raison simple : la chaîne d'approvisionnement. Les organisations soumises à NIS2 doivent évaluer la sécurité de leurs fournisseurs. Si votre PME livre un hôpital, un fournisseur d'énergie ou un grand producteur alimentaire, attendez-vous à des questionnaires et à des exigences contractuelles de sécurité. Qui peut y répondre sans improviser prend une longueur d'avance sur ses concurrents.
Et indépendamment de toute loi : les e-mails de phishing ne lisent pas les textes légaux. Les attaques qui touchent les PME et services communaux belges (fausses factures, boîtes mail compromises, fraude au CEO) ne font aucune différence entre concerné et hors champ. L'hygiène de base qu'impose NIS2 est simplement ce dont toute organisation a besoin aujourd'hui.
Remarquez ce qui figure dans cette liste d'obligations : la formation n'est pas un bonus mais une obligation légale pour qui est concerné, pour la direction comme pour le personnel. Le niveau de base des CyberFundamentals, vers lequel les administrations doivent de toute façon tendre, inclut lui aussi la sensibilisation.
C'est là que nous aidons concrètement. Notre service de cybersensibilisation repose sur ce qui fonctionne de façon démontrable : des simulations de phishing qui transforment un quasi-faux-pas en leçon durable, des démonstrations de hacking en direct qui rendent les risques abstraits tangibles, et de courtes formations adaptées à votre secteur. Pourquoi cela fonctionne mieux qu'un cours annuel obligatoire, nous l'expliquons dans notre article sur l'employé fatigué comme plus grand risque.
Pour une commune ou une PME qui travaille sur NIS2 ou les CyberFundamentals, un tel parcours est une partie du devoir que vous pouvez cocher, avec des résultats noir sur blanc.
Pas de panique, donc, et surtout pas d'achats précipités. Commencez par trois questions : mon activité figure-t-elle à l'annexe I ou II ? Est-ce que j'atteins le seuil de taille ? Et est-ce que je livre des clients qui sont concernés ? Les réponses déterminent si vous avez une obligation légale, une réalité commerciale, ou simplement une bonne raison de mettre les bases en ordre.
Vous voulez faire cet exercice ensemble, ou voir directement comment formations et simulations s'intègrent dans votre travail NIS2 ou CyFun ? Planifiez un entretien sans engagement ; nous vous dirons honnêtement ce dont vous avez besoin, et aussi ce dont vous n'avez pas besoin.
Demandez un entretien gratuit et sans engagement, ainsi qu'un devis sur mesure chez Fluxive.
Conseils IT & marketing mensuels pour les entreprises belges — Wi-Fi, SEO, sécurité. Pas de spam, juste de la valeur.
Désabonnement à tout moment.