Êtes-vous concerné par NIS2 ? Une checklist franche pour PME

Une des questions les plus fréquentes que se posent les PME belges depuis l'entrée en vigueur de NIS2 : « Sommes-nous concernés ou pas ? » Les organisations de quelques dizaines de collaborateurs et quelques millions de chiffre d'affaires se retrouvent souvent dans la zone grise, et le texte lui-même ne facilite pas la lecture.

La loi belge NIS2 (du 26 avril 2024) est entrée en vigueur le 18 octobre 2024. Voici une lecture claire : qui est concerné, où se situe le risque de cascade, et une checklist à exécuter vous-même.

Quand NIS2 s'applique-t-il ?

Deux conditions. Les deux doivent être remplies en même temps.

1. Votre organisation opère dans un secteur listé (annexes I et II de la directive).
2. Vous êtes une 'moyenne' ou 'grande' entreprise. En pratique : à partir de 50 employés OU plus de 10 millions d'euros de chiffre d'affaires (ou total bilan).

Des secteurs qu'on oublie souvent :

• Sociétés d'eau potable et d'eaux usées, y compris petites intercommunales
• Services postaux, y compris coursiers au-dessus d'un certain seuil
• Fabrication de produits chimiques, alimentaires, dispositifs médicaux
• Prestataires ICT comme les managed service providers et data centers
• Institutions de recherche, universités et certaines ASBL

Si NIS2 s'applique à vous, vous deviez vous enregistrer auprès du CCB via Safeonweb@Work avant le 18 mars 2025. Les entités essentielles ont jusqu'au 18 avril 2026 pour respecter pleinement les mesures de base, les entités importantes disposent en pratique de plus de marge.

Et si vous êtes juste sous le seuil ?

C'est là que ça devient ambigu. Un scénario fréquent : une PME se croit hors champ sur base de sa taille, mais figure dans la chaîne d'approvisionnement d'un client lui-même soumis à NIS2. Ce client doit légalement maîtriser ses propres risques cyber et répercute les exigences via ses évaluations fournisseurs. Ces revues contiennent régulièrement la phrase : « le fournisseur doit démontrer des mesures de cybersécurité équivalentes ».

Ce n'est pas une obligation légale pour vous. C'est une exigence commerciale. Et elle pèse souvent plus lourd.

Cinq questions qui déterminent votre scope

1. Secteur et taille : les deux critères sont-ils remplis ? Cinq minutes de vérification.
2. Portefeuille clients : au moins un client lui-même soumis à NIS2 ? Risque cascade.
3. Contrats en cours : une clause sécurité quelque part que vous ne pourriez pas cocher aujourd'hui en toute honnêteté ?
4. Assurance : votre police cyber contient-elle déjà des exigences de preuve dans le questionnaire ?
5. Direction : le dirigeant sait-il ce qui constitue un 'incident à notifier' ?

Quiconque répond « je ne sais pas » aux questions deux à cinq porte une exposition qui dépasse l'obligation légale. C'est là que commence le vrai travail.

Premières étapes concrètes

Si vous n'avez encore rien fait :

1. Faites le check sectoriel sur safeonweb.be. Dix minutes.
2. Inventoriez vos systèmes critiques. Un onglet Excel : application, propriétaire, combien d'heures votre activité tient sans. Pas besoin d'outils.
3. Parlez à votre assureur. Demandez quelles exigences de preuve sont aujourd'hui implicites dans la police, et ce qui changera à la prochaine échéance.
4. Prenez rendez-vous avec un prestataire. Pas pour un devis, pour un second avis. Une heure ne coûte rien et clarifie votre angle mort.