Ma PME est-elle concernée par NIS2 ?

Cela dépend de trois éléments : votre secteur (annexe I ou II de la loi NIS2), votre taille (au moins 50 employés ou chiffre d'affaires et bilan supérieurs à 10 millions d'euros) et votre établissement en Belgique. Les organisations plus petites peuvent toutefois être indirectement concernées via la chaîne d'approvisionnement. Le CCB propose un outil d'évaluation du champ NIS2 sur atwork.safeonweb.be/nis2 pour vérifier.

Quelle est la différence entre le RGPD et NIS2 ?

Le RGPD se concentre sur la protection des données personnelles. NIS2 couvre plus largement la cybersécurité et la protection des systèmes de réseau et d'information. Il y a beaucoup de chevauchement : les deux exigent des mesures de sécurité, la notification d'incidents et l'évaluation des risques.

Quelles amendes risque-t-on sous NIS2 ?

Les amendes NIS2 vont jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4 % pour les entités importantes. Les dirigeants peuvent aussi être tenus personnellement responsables.

GDPRWise et NIS2 | Cybersécurité pour les PME

La directive NIS2 impose de nouvelles exigences en matière de cybersécurité aux entreprises de l'UE. GDPRWise Enterprise intègre une liste d'actions NIS2 complète et des modèles prêts, directement au-dessus de votre travail RGPD.

Une nouvelle loi cyber à côté du RGPD

La directive NIS2 (Network and Information Security Directive 2) est une loi européenne obligeant les entreprises à mettre leur cybersécurité en ordre. Alors que le RGPD se concentre sur les données personnelles, NIS2 porte un regard plus large sur la sécurité de vos réseaux, systèmes et services.

La directive est en vigueur depuis octobre 2024 et est transposée en droit national par les États membres. Pour les entreprises déjà soumises au RGPD, la bonne nouvelle est qu’il y a un chevauchement considérable.

Qui est concerné par NIS2 ?

Selon la loi NIS2 belge, vous relevez directement du champ d’application si vous remplissez trois critères en même temps :

Vous fournissez un service figurant en annexe I ou annexe II de la loi NIS2 (voir secteurs ci-dessous)
Vous êtes au moins une entreprise de taille moyenne : 50+ employés à temps plein, ou chiffre d’affaires et total de bilan supérieurs à 10 millions d’euros
Vous disposez d’un établissement en Belgique

Secteurs

Annexe I - secteurs hautement critiques : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique, espace.

Annexe II - autres secteurs critiques : services postaux et de courrier, gestion des déchets, fabrication chimique, production et distribution alimentaire, fabrication, fournisseurs numériques, recherche.

Au sein de ces secteurs, la loi distingue les entités essentielles (contrôle régulier) et importantes (contrôle après incident ou plainte). Les exigences de cybersécurité sont identiques pour les deux.

Indépendamment de la taille

Certains fournisseurs relèvent de NIS2 automatiquement, même en-dessous du seuil de 50 ETP : prestataires de services de confiance qualifiés, fournisseurs DNS, fournisseurs de réseaux publics de communications électroniques, et organisations formellement désignées comme entités critiques.

La chaîne d’approvisionnement - pourquoi les plus petites PME doivent aussi être attentives

Pas directement concerné mais fournisseur d’une entité NIS2 ? Votre client peut contractuellement exiger que vous mettiez en place des mesures de cybersécurité appropriées. Le CCB recommande explicitement que les fournisseurs non-NIS2 atteignent au minimum le niveau Basic du cadre CyberFundamentals - exactement ce avec quoi GDPRWise vous aide.

Vérifier si NIS2 s’applique à vous

Le CCB met à disposition un outil d’évaluation du champ NIS2 et un Quickstart Guide. L’enregistrement était attendu pour le 18 mars 2025 (18 décembre 2024 pour les fournisseurs numériques). Une évaluation de conformité via le cadre CyberFundamentals est requise d’ici le 18 avril 2026.

Que demande NIS2 ?

Les obligations principales :

Évaluation des risques - identifier et évaluer les risques pour vos systèmes de réseau et d’information
Mesures de sécurité - prendre des mesures appropriées sur base de cette évaluation
Notification d’incidents - signaler les incidents significatifs dans les 24 heures (alerte précoce) et fournir un rapport complet dans les 72 heures
Continuité d’activité - assurer les sauvegardes, plans de reprise et gestion de crise
Sécurité de la chaîne d’approvisionnement - évaluer les risques de sécurité de vos fournisseurs
Responsabilité de la direction - la direction est personnellement responsable de la cybersécurité

Le chevauchement avec le RGPD

Si votre conformité RGPD est en ordre, vous avez déjà une base solide :

Exigence	RGPD	NIS2
Évaluation des risques	Oui (AIPD)	Oui
Mesures de sécurité	Oui (art. 32)	Oui
Notification d’incidents	72 heures (violation de données)	24 heures (alerte précoce)
Documentation	Registre des traitements	Politique de sécurité
Gestion des fournisseurs	Contrats de sous-traitance	Revue de la chaîne d’approvisionnement

Comment GDPRWise vous aide

GDPRWise Enterprise intègre une liste d’actions NIS2 complète et des modèles prêts. Vous ne partez pas de zéro : chaque action RGPD déjà réalisée compte automatiquement pour NIS2.

Base sur le cadre belge CyberFundamentals

Notre liste d’actions NIS2 suit le cadre CyberFundamentals publié par le Centre pour la Cybersécurité Belgique (CCB). Ce cadre définit quatre niveaux d’assurance - Small, Basic, Important et Essential - et notre liste d’actions s’aligne sur le niveau Basic.

Le niveau Basic est conçu pour toute organisation qui souhaite se protéger contre les cyber-risques courants avec des technologies généralement disponibles. En pratique, il convient à la plupart des PME. Vous n’avez pas besoin d’être formellement soumis à NIS2 pour en bénéficier : toute PME qui prend la cybersécurité et la vie privée au sérieux devrait au minimum viser ce socle.

Le cadre est internationalement ancré et s’aligne sur NIST CSF, ISO 27001/27002, IEC 62443 et CIS Critical Security Controls.

Votre travail RGPD réutilisé

Pas de double effort. GDPRWise montre exactement quels contrôles comptent déjà des deux côtés :

Votre dossier tiers documente vos fournisseurs et leurs mesures de sécurité - directement utilisable pour l’exigence NIS2 sur la chaîne d’approvisionnement
Votre checklist de sécurité montre les mesures techniques et organisationnelles prises
Votre procédure de violation de données sert de base à votre processus de notification NIS2
Votre registre des traitements contient l’inventaire des systèmes et des flux de données

Actions et modèles spécifiques NIS2

Là où NIS2 va au-delà du RGPD, nous ajoutons les actions et modèles :

Modèle d’évaluation des risques - un document structuré pour cartographier les risques de vos systèmes de réseau et d’information
Politique de sécurité de l’information - une politique formelle conforme aux exigences NIS2
Plan de continuité d’activité - modèle pour sauvegardes, reprise et gestion de crise
Procédure de notification d’incident - aligné sur les délais NIS2 (alerte précoce 24h, rapport 72h)
Responsabilité de la direction - documentation pour l’approbation management et la formation
Contrôles périodiques - revues 2FA, gestion des accès, conservation des données, calibrés pour NIS2

Progression visible

Votre score de conformité évolue de Base à Avancé puis NIS2 - Robuste. Vous voyez d’un coup d’œil où vous en êtes et ce qui reste à faire.

Où se trouve NIS2 dans GDPRWise ?

Les fonctionnalités NIS2 sont dans le plan Enterprise, ou disponibles séparément en add-on sur Peace of Mind. Contactez-nous si vous voulez savoir si NIS2 s’applique à votre organisation.

auto_awesome Prêt pour NIS2 ?

Commencez par le scan gratuit pour mettre votre base RGPD en ordre. Passez à Enterprise pour la liste d'actions NIS2 complète et les modèles.

Lancez votre scan gratuit

GDPRWise et NIS2 - Législation Cybersécurité pour les Entreprises