Aller au contenu principal
Incident de sécurité en cours ? Chaque minute compte.
Victime d'une attaque ?
SmidjanCybersécurité · Liège
Cybersécurité

NIS2 : votre PME est-elle concernée ? Le guide clair

NIS2 : votre PME est-elle concernée ? Le guide clair

NIS2 : votre PME est-elle concernée ? Le guide clair

Depuis le **18 octobre 2024**, la directive européenne NIS2 est transposée en droit belge par la loi du 26 avril 2024. Le **Centre pour la Cybersécurité Belgique (CCB)** en est l'autorité de contrôle. Beaucoup de dirigeants de PME wallonnes pensent que ce texte ne concerne « que les grandes entreprises ou les hôpitaux ». C'est en partie faux, et c'est justement là que se cache le risque : NIS2 touche directement certaines PME, et indirectement beaucoup d'autres via leurs contrats avec des clients ou donneurs d'ordre soumis à la directive.

Qu'est-ce que NIS2 et pourquoi ça vous concerne

NIS2 (Network and Information Security Directive 2) impose aux organisations qu'elle vise de mettre en place des mesures de gestion des risques cyber, de notifier les incidents significatifs, et de sécuriser leur chaîne d'approvisionnement — c'est-à-dire leurs fournisseurs et sous-traitants. Ce dernier point est celui qui fait le plus souvent basculer une PME dans le champ d'application de NIS2, même sans être elle-même « visée » par la loi.

Entités essentielles vs entités importantes : la différence

La loi distingue deux catégories, avec des obligations proches mais un régime de contrôle différent :

  • **Entités essentielles** : secteurs jugés hautement critiques — énergie, transport, banques, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructures numériques, gestion des services TIC (B2B), administration publique, espace. Elles font l'objet d'un contrôle proactif du CCB.
  • **Entités importantes** : secteurs critiques mais à impact jugé moindre — services postaux, gestion des déchets, fabrication et distribution de produits chimiques, industrie agroalimentaire, fabrication (dispositifs médicaux, électronique, machines, véhicules), fournisseurs numériques (places de marché en ligne, moteurs de recherche, réseaux sociaux), recherche. Elles sont contrôlées a posteriori, sur signalement ou incident.

Dans les deux cas, l'entité doit en principe dépasser les seuils de la PME de taille moyenne (à partir de 50 employés ou 10 millions d'euros de chiffre d'affaires/total de bilan) pour être automatiquement visée — sauf exceptions prévues par la loi (fournisseur unique dans un pays, entité critique identifiée spécifiquement, certains prestataires numériques, etc., qui peuvent être concernés quelle que soit leur taille).

Les secteurs couverts par NIS2

Concrètement, si votre activité principale relève d'un des secteurs listés ci-dessus (annexes I et II de la loi), la première question à vous poser est votre taille. Si vous dépassez les seuils, vous êtes très probablement concerné. Si vous êtes en dessous, vérifiez s'il existe une exception sectorielle qui vous inclut malgré tout — c'est le cas par exemple pour certains fournisseurs de confiance qualifiés ou de registres de noms de domaine.

Et si vous n'êtes dans aucune liste ? Le risque de la sous-traitance

C'est le point le moins compris, et pourtant le plus important pour une PME de service ou de production wallonne : NIS2 oblige les entités essentielles et importantes à **sécuriser leur chaîne d'approvisionnement**. Concrètement, un client soumis à NIS2 va progressivement exiger de ses fournisseurs et sous-traitants — vous, peut-être — des garanties de sécurité : politique de mots de passe, gestion des accès, sauvegardes, plan de continuité, parfois même un questionnaire de sécurité ou une clause contractuelle spécifique.

Une PME informatique, un intégrateur, un fabricant de composants, un prestataire de maintenance industrielle ou un cabinet comptable qui travaille pour une entité essentielle ou importante peut donc se retrouver à devoir démontrer un niveau de sécurité minimal **sans être elle-même « dans la loi »**. C'est une concernation indirecte, mais bien réelle et déjà observée sur le terrain.

Comment vérifier concrètement si vous êtes concerné

Trois vérifications simples, dans l'ordre :

  1. **Votre secteur d'activité** figure-t-il dans les annexes I ou II de la loi NIS2 belge ? Le CCB (ccb.belgium.be) publie la liste des secteurs et un outil d'auto-évaluation permettant de clarifier votre statut.
  2. **Votre taille** (effectif, chiffre d'affaires, total de bilan) dépasse-t-elle les seuils PME moyenne, ou existe-t-il une exception qui vous inclut malgré une taille inférieure ?
  3. **Vos principaux clients** sont-ils eux-mêmes des entités essentielles ou importantes ? Si oui, attendez-vous à des exigences contractuelles de sécurité, même sans notification formelle du CCB.

En cas de doute, un audit de qualification reste la manière la plus fiable de trancher : il croise votre secteur, votre taille et vos relations contractuelles pour établir clairement votre statut réel.

Ce qui vous attend si vous êtes concerné

Si vous êtes formellement visé par NIS2, les obligations principales sont :

  • Mettre en œuvre des mesures techniques et organisationnelles de gestion des risques cyber (gestion des accès, chiffrement, sauvegardes, gestion des vulnérabilités, formation, etc.).
  • Notifier au CCB tout incident significatif : une **alerte précoce sous 24 heures**, suivie d'une notification d'incident plus détaillée, puis d'un rapport final.
  • Assumer une responsabilité de gouvernance : la direction doit approuver et superviser les mesures de cybersécurité, et peut être tenue responsable en cas de manquement grave.
  • S'exposer, en cas de non-conformité constatée, à des sanctions administratives significatives : jusqu'à **10 millions d'euros ou 2 % du chiffre d'affaires mondial** pour les entités essentielles, et jusqu'à **7 millions d'euros ou 1,4 %** pour les entités importantes.

Que faire maintenant

Ne partez pas du principe que « ça ne me concerne pas » sans l'avoir vérifié — ni du principe inverse que « c'est trop tard » si vous découvrez que vous êtes concerné. Dans les deux cas, la démarche est la même : clarifier votre statut, identifier les écarts entre votre sécurité actuelle et les attentes de NIS2, puis prioriser les actions selon le risque réel.

Chez Smidjan, nous accompagnons les PME wallonnes dans cette clarification : audit de qualification NIS2, analyse d'écart par rapport au référentiel CyFun du CCB, et plan de remédiation concret et priorisé. Nous ne sommes pas un organisme de certification — la vérification officielle CyFun reste délivrée par des organismes accrédités BELAC — mais nous vous aidons à savoir où vous en êtes et à vous y préparer sereinement.

Besoin d'accompagnement ?

Smidjan vous aide à mettre en place ces solutions pour votre entreprise en Belgique.

Sans engagementRéponse sous 24 h
JB

À propos de l'auteur

Jean-Baptiste Dhondt
CEO & Développeur Full-Stack

Expert en développement web Next.js, cybersécurité et automatisation IA. Fondateur de Smidjan, agence web à Liège.