La loi, le référentiel et les échéances — et surtout : est-ce que ça vous concerne, et qu'est-ce que vous devez faire.
NIS2 est la loi belge de cybersécurité, en vigueur depuis le 18 octobre 2024. Vous êtes directement concerné si vous cumulez trois conditions : votre activité relève d'un des 18 secteurs des annexes I et II (énergie, transport, santé, finance, infrastructure numérique, administration publique…) ; vous dépassez le seuil d'une moyenne entreprise (au moins 50 employés, ou un chiffre d'affaires/bilan annuel élevé) ; vous êtes établi en Belgique.
Beaucoup de PME — cabinets d'avocats, petits cabinets médicaux, structures de moins de 50 personnes — ne sont pas dans le champ direct. Mais NIS2 peut quand même vous toucher : si vous fournissez une entité NIS2 (hôpital, commune, acteur de l'énergie), celle-ci peut exiger que vous démontriez un niveau minimal de cybersécurité.
CyFun (CyberFundamentals) est le cadre développé par le Centre pour la Cybersécurité Belgique (CCB), la voie la plus accessible pour démontrer sa conformité. Quatre niveaux d'exigence croissante : Small, Basic, Important, Essential. Basic est le socle attendu des PME et des sous-traitants d'entités NIS2. Le niveau cible dépend de votre situation et se détermine après un audit.
Pour les niveaux Important et Essential, l'auto-déclaration ne suffit plus : la vérification ou la certification doit être délivrée par un organisme d'évaluation de la conformité (CAB) accrédité par BELAC et autorisé par le CCB. Ces organismes sont peu nombreux en Belgique et les créneaux d'audit se réservent à l'avance — viser une vérification dans les prochains mois suppose de préparer votre dossier dès maintenant.
Je ne suis pas l'organisme qui délivre la certification — c'est le travail d'un CAB accrédité. Mon rôle : vous amener jusqu'à « audit-ready ». Audit de votre situation, sécurisation et durcissement de vos systèmes, plan de remédiation, documentation, préparation du dossier, puis orientation vers un CAB accrédité pour la vérification ou la certification. Comme un comptable prépare vos comptes avant le réviseur.
On commence par un audit, je vous dis ce qui vous concerne réellement.
Demander un audit →