Aller au contenu principal
Incident de sécurité en cours ? Chaque minute compte.
Victime d'une attaque ?
SmidjanCybersécurité · Liège
Cybersécurité

NIS2 : le 18 avril 2026 est passé — ce que la vérification change pour les PME belges

NIS2 : le 18 avril 2026 est passé — ce que la vérification change pour les PME belges

NIS2 : le 18 avril 2026 est passé — ce que la vérification change pour les PME belges

Deux ans après l'entrée en vigueur de la loi belge transposant NIS2, une échéance concrète est passée le 18 avril 2026 : la date à laquelle les entités essentielles devaient avoir transmis au Centre pour la Cybersécurité Belgique (CCB) leur auto-évaluation CyFun de niveau Basic ou Important, ou, pour celles qui avaient choisi cette voie, leur politique de sécurité de l'information, le périmètre de leur système de management et leur déclaration d'applicabilité ISO 27001. Ce n'était pas une formalité administrative de plus : c'est le moment où le CCB bascule d'une posture d'accompagnement vers une phase de vérification effective. Pour les PME wallonnes concernées, directement ou via leurs clients, la donne change.

Ce qui devait être fait pour le 18 avril 2026

Concrètement, les entités essentielles au sens de NIS2 devaient choisir entre deux voies de conformité et transmettre au CCB, au plus tard le 18 avril 2026, les documents correspondants : soit une auto-évaluation selon le référentiel CyFun (CyberFundamentals) au niveau Basic ou Important, soit — pour les organisations disposant déjà d'un système de management de la sécurité de l'information — leur politique ISO 27001, le périmètre couvert et leur déclaration d'applicabilité. Une échéance ultérieure, au 18 avril 2027, portera sur le rapport de progression vers la pleine conformité. Entre les deux, le CCB dispose désormais d'une base concrète pour engager des inspections sur site, des audits ad hoc et, le cas échéant, des instructions contraignantes assorties de délais.

Où en est la Belgique aujourd'hui

Selon les chiffres communiqués par le CCB et repris par plusieurs analyses spécialisées, environ 1 500 entités essentielles et 2 500 entités importantes sont aujourd'hui enregistrées dans le dispositif NIS2 belge, pour un total dépassant les 4 000 organisations tous secteurs confondus. Ce chiffre est appelé à augmenter : de nombreuses PME ne se savent pas encore concernées, notamment via leurs relations contractuelles avec des clients qui, eux, sont formellement visés par la loi.

Le changement de posture du CCB : de l'éducation à la vérification

Depuis l'entrée en vigueur de la loi, le CCB a clairement privilégié une approche pédagogique : sensibilisation, outils gratuits, auto-évaluation guidée. À la mi-2026, aucune sanction individuelle n'a encore été rendue publique par le CCB — une continuité assumée de cette posture coopérative des débuts. Mais la mécanique change structurellement après le 18 avril 2026 : les auto-évaluations et déclarations reçues deviennent la base d'un contrôle réel, et non plus seulement d'un accompagnement. Le CCB dispose désormais d'un ensemble d'outils gradués pour faire respecter les obligations, sans que le premier réflexe soit nécessairement l'amende.

Les outils de contrôle dont dispose le CCB

Au-delà des sanctions financières, le CCB peut aujourd'hui : mener des inspections sur site et des contrôles à distance ; exiger des évaluations de conformité via des organismes d'évaluation accrédités ; émettre des instructions contraignantes assorties de délais (les administrations publiques, en particulier, reçoivent ce type d'instruction plutôt que des amendes) ; suspendre ou retirer une certification CyFun, ce qui peut disqualifier une entreprise de certains marchés publics ; et publier le nom d'une organisation ainsi que la nature du manquement constaté. Dans les cas de manquements graves et répétés, le CCB peut aussi demander à un tribunal la suspension temporaire des fonctions de direction responsables.

Sanctions : ce qui est réellement en jeu

Les plafonds prévus par la loi restent les mêmes depuis 2024 : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes — le montant le plus élevé des deux étant retenu. Pour une PME de taille moyenne, l'exposition théorique reste souvent inférieure à ces plafonds emblématiques ; le risque réel, à ce stade, est moins l'amende spectaculaire que la suspension de certification, la publication du manquement, ou la perte de confiance de clients eux-mêmes soumis à NIS2.

Et si vous n'avez pas encore commencé

Manquer une échéance ne signifie pas être immédiatement sanctionné, mais cela vous place en dehors du calendrier que le CCB a désormais pour référence. La priorité, dans ce cas, est de ne pas rester dans l'incertitude : clarifier votre statut exact (essentielle, importante, ou concernée indirectement via un client), documenter où vous en êtes réellement, et engager une trajectoire crédible plutôt que d'attendre un contrôle pour réagir.

Le rôle indirect : vos clients vont vous le demander

Ce point mérite d'être répété : la bascule vers la vérification ne touche pas que les entités formellement enregistrées. Les entités essentielles et importantes doivent elles-mêmes sécuriser leur chaîne d'approvisionnement — et le font en répercutant des exigences contractuelles sur leurs fournisseurs et sous-traitants. Une PME informatique, un prestataire industriel ou un cabinet de services qui travaille pour un hôpital, une banque ou un opérateur d'infrastructure va de plus en plus se voir demander des garanties concrètes : politique de mots de passe, gestion des accès, procédure d'incident, parfois un questionnaire de sécurité formel. C'est souvent ainsi que la vérification NIS2 finit par toucher des PME qui pensaient ne pas être concernées.

Ce que Smidjan recommande maintenant

Chez Smidjan, nous accompagnons les PME wallonnes dans cette clarification et cette mise en conformité : audit de qualification NIS2, analyse d'écart par rapport au référentiel CyFun, et plan de remédiation priorisé selon le risque réel. Nous ne sommes ni un organisme de certification, ni accrédité BELAC — la vérification officielle CyFun ou la certification ISO 27001 restent délivrées par des organismes accrédités BELAC. Notre rôle est de vous aider à savoir précisément où vous en êtes avant que ce soit un client, un partenaire ou le CCB qui vous pose la question.


**Sources**

  • [NIS2 | CCB Belgium](https://ccb.belgium.be/regulation/nis2)
  • [NIS2: 18 April 2026 deadline – What essential entities must have in place | CCB Belgium](https://ccb.belgium.be/news/nis2-18-april-2026-deadline-what-essential-entities-must-have-place)
  • [One year of NIS2 in Belgium: leading the way and moving forward | CCB Belgium](https://ccb.belgium.be/news/one-year-nis2-belgium-leading-way-and-moving-forward)
  • [NIS2 fines in Belgium: what enforcement actually looks like (2026) | Jimber](https://jimber.io/blog/nis2-fines-belgium-what-enforcement-actually-looks-like/)
  • [Belgium's NIS2 Audit Window Opens April 18, 2026 | Security Boulevard](https://securityboulevard.com/2026/04/belgiums-nis2-audit-window-opens-april-18-2026-the-rest-of-the-eu-is-right-behind/)

Besoin d'accompagnement ?

Smidjan vous aide à mettre en place ces solutions pour votre entreprise en Belgique.

Sans engagementRéponse sous 24 h
JB

À propos de l'auteur

Jean-Baptiste Dhondt
CEO & Développeur Full-Stack

Expert en développement web Next.js, cybersécurité et automatisation IA. Fondateur de Smidjan, agence web à Liège.