La loi belge NIS2 (Wet van 26 april 2024) fixe les amendes administratives maximales à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles, et à 7 millions d’euros ou 1,4 % pour les entités importantes, le montant le plus élevé étant retenu. Le Centre pour la cybersécurité en Belgique (CCB) veille à l’application de ces règles par le biais d’une procédure structurée comprenant des inspections sur place, des audits ad hoc et des instructions contraignantes. La date limite de vérification des cyberfondamentaux (CyFun), fixée au 18 avril 2026, étant désormais dépassée, l’application de la loi est passée de la théorie à la réalité opérationnelle.
La Belgique a été l’un des premiers États membres de l’UE à transposer la directive NIS2 en droit national, et le CCB est passé d’un rôle consultatif à une supervision active. Pourtant, la plupart des informations publiques sur les amendes NIS2 proviennent de cabinets d’avocats tels que Stibbe, Eubelius et Lydian qui interprètent le texte de loi, ce qui laisse un fossé entre le cadre réglementaire et ce qu’un RSSI d’un fabricant belge de 200 personnes a besoin de savoir. Cet article explique en quoi consistent les amendes, qui les impose, comment fonctionne la procédure d’application et sur quoi le CCB va probablement se concentrer en premier lieu.
Quelles amendes les organisations belges peuvent-elles encourir dans le cadre du NIS2 ?
La loi belge NIS2 utilise une structure à deux niveaux. Les entités essentielles sont soumises aux sanctions les plus lourdes, tandis que les entités importantes sont soumises à des plafonds moins élevés mais néanmoins substantiels. Dans les deux cas, l’amende applicable est la plus élevée entre le montant fixe et le pourcentage basé sur le chiffre d’affaires.
| Type d’entité | Maximum fixe | Maximum basé sur le chiffre d’affaires | Amende applicable |
|---|---|---|---|
| Entité essentielle | 10 000 000 EUR | 2 % du chiffre d’affaires annuel mondial | Le plus élevé des deux |
| Entité importante | 7 000 000 EUR | 1,4 % du chiffre d’affaires annuel mondial | Le plus élevé des deux |
Source : Loi du 26 avril 2024, titre 4, chapitre 2
À titre d’exemple, une entreprise belge de taille moyenne dont le chiffre d’affaires annuel s’élève à 150 millions d’euros s’expose à un maximum de 3 millions d’euros en vertu de la règle des 2 % pour les entités essentielles, ou de 2,1 millions d’euros en vertu de la règle des 1,4 % pour les entités importantes. Ces deux chiffres dépassent le budget annuel de sécurité informatique de la plupart des organisations de cette taille.
Il s’agit d’amendes administratives et non de sanctions pénales. Elles sont imposées par la CCB et non par un tribunal. Toutefois, la loi permet également à la CCB de renvoyer des affaires au procureur général en cas de suspicion de comportement criminel.
La Belgique a délibérément choisi d’exclure les administrations publiques du « secteur de l’administration publique » des sanctions financières. En effet, le CCB émet des instructions contraignantes. Cependant, une entité publique qui relève du NIS2 par le biais d’un autre secteur, comme un hôpital municipal classé en tant qu’entité de soins de santé, peut toujours se voir infliger une amende comme n’importe quelle organisation privée.
Les entités bancaires et financières sont également exclues de la loi belge NIS2. Elles relèvent de la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA), la Banque nationale de Belgique (BNB) et la FSMA étant les autorités de contrôle compétentes.
Qui fait respecter le NIS2 en Belgique ?
Le CCB est l’unique autorité nationale compétente pour le NIS2 en Belgique. L’arrêté royal du 9 juin 2024 a officialisé cette désignation et établi les procédures d’évaluation de la conformité.
Dans la pratique, l’application de la loi se fait à trois niveaux.
Le service d’inspection de la CCB effectue une supervision directe. Pour les entités essentielles, il s’agit d’audits proactifs (ex ante) et d’évaluations régulières et obligatoires de la conformité. Pour les entités importantes, la supervision est principalement réactive (ex post), ce qui signifie que les inspections sont déclenchées par des incidents ou des preuves de non-conformité.
Les organismes d’évaluation de la conformité (CAB) réalisent les audits de vérification de la CyFun. Il s’agit d’organisations privées accréditées par BELAC et autorisées par le CCB spécifiquement pour les audits NIS2. Tous les organismes accrédités par BELAC ne sont pas approuvés pour tous les niveaux du CyFun. Les Big Four (Deloitte Belgium, KPMG Belgium, PwC Belgium, EY Belgium) s’occupent des grandes multinationales, tandis que des sociétés spécialisées comme Bureau Veritas Belgium et Vincotte s’occupent des entreprises de taille moyenne.
Les services d’inspection sectoriels collaborent avec le CCB dans des secteurs spécifiques. L’IBPT (Institut belge des services postaux et des télécommunications) couvre les fournisseurs d’infrastructures numériques. La BNB assure la liaison pour les questions relatives au secteur financier, même si les banques elles-mêmes relèvent du DORA et non du NIS2.
Que fait la CECC en cas d’échec de la vérification ou d’incidents ?
Le processus d’application suit une séquence procédurale définie. La CCB ne peut pas imposer d’amendes sans donner à l’organisation la possibilité de répondre.
Le processus commence par la détection. Le service d’inspection de la DGCC, un OEC lors d’un audit obligatoire ou un rapport d’incident peuvent déclencher une enquête. L’OCC est légalement habilité à effectuer des inspections sur place, à mener des contrôles à distance et des analyses de sécurité, à exiger des documents (journaux d’accès, fichiers de configuration, rapports d’audit, politiques internes) et à ordonner des audits ad hoc en cas de doute raisonnable quant au respect des règles.
Toutes les entités du NIS2 sont légalement tenues de coopérer à ces enquêtes. Le refus de coopérer constitue en soi une infraction pouvant entraîner des sanctions immédiates.
Lorsque la CCB décide de poursuivre l’exécution, elle doit notifier par écrit à l’entité son intention d’imposer une sanction, avec une justification détaillée. L’entité a alors la possibilité de présenter sa défense, soit par écrit, soit au cours d’une audience. Ce n’est qu’après avoir examiné cette réponse que la CCB rend une décision finale.
Le chapitre 2 du titre 4 de la loi exige que le CCB prenne en compte plusieurs facteurs pour fixer le niveau de la sanction : la nature et la gravité de la violation, sa durée, son caractère négligent ou délibéré, les mesures prises par l’entité pour limiter les dommages, les violations antérieures et le degré de coopération à l’enquête.
Les recours sont portés devant le Raad van State (Conseil d’État). L’introduction d’un recours ne suspend pas automatiquement la sanction, à moins que l’entité n’obtienne un ordre de suspension spécifique.
Outre les amendes, la CCB dispose d’une série d’outils administratifs. Elle peut émettre des instructions correctives assorties de délais obligatoires. Elle peut suspendre ou retirer les certifications de la CyFun, ce qui peut exclure les organisations des marchés publics. Elle peut publier le nom et la nature de l’infraction. Et dans les cas graves de non-conformité répétée de la part d’entités essentielles, le CCB peut demander à un tribunal de suspendre temporairement des personnes de l’exercice de fonctions de gestion.
Comparaison des amendes belges au titre du NIS2 dans l’UE
En Belgique, le montant maximal des amendes est conforme aux exigences minimales de la directive NIS2. Plusieurs États membres de l’UE ont adopté des plafonds similaires, bien que les méthodes d’application diffèrent.
| Le pays | Autorité | Amende maximale (essentielle) | Amende maximale (importante) | Approche notable |
|---|---|---|---|---|
| Belgique | CCB | 10 MILLIONS D’EUROS / 2 | 7 MILLIONS D’EUROS / 1,4 | Audits de la CyFun via des OEC accrédités ; supervision proactive des entités essentielles |
| Pays-Bas | RDI / NCSC | 10 MILLIONS D’EUROS / 2 | 7 M EUR / 1,4 | Cyberbeveiligingswet activé Q1 2026 ; superviseurs sectoriels |
| Allemagne | BSI | Jusqu’à 20 millions d’euros / 2 | 7 MILLIONS D’EUROS / 1,4 | Maximums fixes plus élevés pour certaines infractions ; classification par paliers |
| France | ANSSI | 10 M EUR / 2 | 7 MILLIONS D’EUROS / 1,4 | Forte tradition étatique via les « opérateurs d’importance vitale » |
| Luxembourg | ILR | 10 MILLIONS D’EUROS / 2 | 7 MILLIONS D’EUROS / 1,4 | Population d’entités plus réduite ; supervision concentrée |
Sources : ECSO NIS2 Transposition Tracker (2026), textes de transposition nationaux : ECSO NIS2 Transposition Tracker (2026), textes de transposition nationaux
La Belgique se distingue non pas par le niveau de ses amendes, qui est standard, mais par le cadre structuré de la CyFun, qui lie l’application de la loi à une base de référence concrète et vérifiable. Alors que d’autres États membres laissent la preuve de la conformité dans l’abstrait, la vérification belge basée sur l’ACR crée un mécanisme clair de réussite/échec qui donne aux organisations et aux régulateurs un point de référence commun.
Pour les organisations belges qui s’interrogent sur le lien entre les amendes NIS2 et le GDPR : une seule violation de données dans une entité NIS2 peut entraîner une double obligation de notification. Vous devez faire rapport à la Gegevensbeschermingsautoriteit (GBA) pour l’impact sur les données personnelles et à la CCB pour l’impact sur la sécurité du réseau. Les deux autorités peuvent imposer des amendes pour le même incident, bien que la loi exige que les sanctions restent proportionnées et ne se superposent pas de manière déraisonnable.
Premiers signaux d’application du NIS2 en 2026
L’application du NIS2 belge en est à sa première année. La BCC n’a pas publié de sanctions individuelles à la mi-2026, conformément à l’approche coopérative qu’elle a adoptée lors de la mise en œuvre initiale. Le rapport annuel 2025 a confirmé que la BCC s’est concentrée sur l’éducation et le soutien plutôt que sur la punition au cours du premier cycle.
Ce ton coopératif a des limites. Le cadre juridique est pleinement opérationnel. Plusieurs signaux indiquent que l’activité d’application de la loi s’intensifie.
Fin 2025, la Belgique avait enregistré environ 1 500 entités essentielles et 2 500 entités importantes sur le portail Safeonweb@Work. Le CCB a estimé la population totale dans le champ d’application à environ 4 000 entités. La conformité de l’enregistrement est presque achevée. Il s’agit maintenant de passer à la conformité de fond : prouver que les contrôles de sécurité fonctionnent réellement.
La capacité de vérification de l’OEC a été mise à rude épreuve tout au long du début de l’année 2026. La DGCC a reconnu ce goulot d’étranglement et a indiqué un certain degré de flexibilité opérationnelle pour les entités qui pouvaient démontrer qu’elles avaient demandé une vérification avant la date limite d’avril 2026, mais qu’elles attendaient la disponibilité de l’OEC. Cependant, la flexibilité n’est pas une immunité. Une entité qui ne peut pas prouver qu’elle a lancé le processus ne bénéficie pas de cet avantage.
Les enquêtes déclenchées par des incidents sont la voie la plus probable vers une application rapide de la loi. Les données 2025 de la DGCCRF montrent que les déclarations d’incidents ont augmenté de près de 70 % par rapport à 2024, en partie en raison des obligations de déclaration NIS2 plus strictes. Chaque incident important survenu dans une entité enregistrée crée un événement potentiel de mise en application si l’enquête révèle que des mesures de base n’ont pas été prises.
Les domaines dans lesquels la CCB concentrera ses efforts sur l’application de la loi
Trois facteurs convergent pour déterminer où la DGCC concentre son attention : le risque sectoriel, l’historique des incidents et la maturité en matière de conformité.
Les soins de santé sont la priorité la plus visible. L’attaque par ransomware de l’hôpital AZ Monica en janvier 2026 a paralysé les systèmes informatiques pendant trois semaines, forcé l’annulation d’opérations chirurgicales, détourné les services d’urgence et nécessité le transfert de patients dans toute la province. Les hôpitaux sont considérés comme des entités essentielles par la loi belge. Lorsqu’un incident de cette ampleur se produit et que l’inspection qui s’ensuit révèle l’absence de contrôles CyFun de base tels que les sauvegardes hors ligne, la segmentation du réseau ou l’authentification multifactorielle, le chemin qui mène de l’inspection à la sanction est court.
Les autorités locales sont confrontées à une situation nuancée. Les municipalités et les provinces ne sont pas toujours qualifiées d’entités essentielles par défaut, mais nombre d’entre elles relèvent du NIS2 par le biais d’activités sectorielles telles que la gestion des déchets, le transport ou la fourniture d’eau potable. Le Centre flamand pour la sécurité numérique (VCDV) a fixé comme objectif aux administrations locales d’atteindre le niveau CyFun Basic d’ici à la fin de 2025, avec une vérification complète d’ici à avril 2027. Les entités qui n’ont pas respecté ces échéances s’exposent davantage à des sanctions ex post en cas d’incident.
Les entités manufacturières et industrielles représentent un segment de plus en plus important. Nombre d’entre elles sont considérées comme des entités importantes dans des secteurs tels que la production chimique, la fabrication de denrées alimentaires ou la fabrication de produits critiques. Les organisations dotées d’environnements OT font l’objet d’une attention particulière, car les dispositifs sans agent sur des segments de réseau plats restent un résultat d’audit courant et une cible directe des exigences de segmentation du réseau NIS2.
L’application de la chaîne d’approvisionnement est le canal le moins visible mais potentiellement le plus impactant. L’article 21.2(d) de la loi belge exige que les entités NIS2 sécurisent leur chaîne d’approvisionnement. Les grandes entités essentielles intègrent de plus en plus les exigences de conformité de la CyFun dans les contrats avec leurs fournisseurs. Un fournisseur de services informatiques de taille moyenne qui n’a pas d’attestation CyFun peut perdre des contrats avant même que la DGCC n’envoie un inspecteur.
A quoi ressemble une piste d’audit qui empêche l’application de la loi
La capacité d’application de la CCB est réelle, mais sa préférence déclarée pour le respect coopératif l’est tout autant. Les organisations qui peuvent démontrer un effort de conformité documenté et de bonne foi se trouvent sur un terrain fondamentalement différent de celles qui ne peuvent pas du tout produire de preuves.
Les preuves qu’un auditeur CAB ou un inspecteur CCB s’attend à voir correspondent directement aux 11 mesures minimales de l’article 21 de la loi belge sur le NIS2. Les domaines clés comprennent les journaux de contrôle d’accès montrant l’application du principe du moindre privilège par utilisateur et par appareil, les enregistrements de détection et de réponse aux incidents avec des horodatages qui soutiennent les fenêtres d’alerte rapide de 24 heures et de notification de 72 heures, les vérifications de la posture des appareils pour le NIS2 démontrant que seuls les terminaux conformes ont accès, les preuves de la segmentation du réseau, y compris l’isolation par appareil pour les équipements sans agent, la documentation sur le cryptage couvrant les données en transit à travers toutes les connexions externes, et les évaluations des risques de la chaîne d’approvisionnement avec des exigences de sécurité documentées pour les partenaires de service.
Le fil conducteur est la démontrabilité. Un document de politique décrivant ce qui devrait se passer est une preuve moins solide qu’un journal de plate-forme montrant ce qui s’est passé. C’est là qu’une architecture de sécurité consolidée fait une différence mesurable en ce qui concerne les risques liés à l’application de la législation.
La plateforme SASE de Jimber génère ces preuves à partir d’une console unique. Les journaux d’accès, les enregistrements d’application des politiques, les résultats de la posture des appareils, l’état du cryptage et les configurations de segmentation sont tous capturés dans une seule piste d’audit. Pour les équipes du marché intermédiaire qui se préparent à leur premier examen de la liste de contrôle de conformité NIS2, cette consolidation transforme la collecte de preuves d’un projet de plusieurs semaines en un résultat opérationnel standard. Les organisations qui ont déjà réalisé leur auto-évaluation CyFun peuvent utiliser les mêmes données de plate-forme pour combler les lacunes signalées par les auditeurs.
Questions fréquemment posées
Quelle est l’amende NIS2 maximale pour une entité essentielle belge ?
Le plafond est de 10 millions d’euros ou de 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Pour une entité essentielle dont le chiffre d’affaires mondial s’élève à 500 millions d’euros, le calcul basé sur le chiffre d’affaires donne 10 millions d’euros, ce qui correspond au plafond fixé. La loi applique le plus élevé des deux montants dans tous les cas. Ces montants sont fixés au titre 4, chapitre 2 de la loi du 26 avril 2024.
La CECC peut-elle infliger des amendes aux directeurs à titre personnel ?
Le CCB lui-même impose des amendes à l’entité, et non aux individus directement. Toutefois, la loi établit une responsabilité personnelle pour les membres du conseil d’administration qui n’approuvent pas et ne supervisent pas les mesures de cybersécurité. En cas de manquements répétés de la part d’entités essentielles, le CCB peut demander à un tribunal de suspendre temporairement les personnes concernées de leurs fonctions de direction. Des actions en responsabilité civile de la part d’actionnaires ou de tiers peuvent également être intentées si la négligence d’un membre du conseil d’administration a entraîné des dommages, comme l’explique en détail l’analyse de la responsabilité du conseil d’administration du NIS2 en Belgique.
À quelle fréquence la CECC effectue-t-elle des audits proactifs ?
Les entités essentielles sont soumises à des évaluations de conformité régulières et obligatoires. La loi ne précise pas de fréquence fixe, mais le cadre de la CyFun implique un cycle d’audit de trois ans pour les entités essentielles. Les entités importantes sont supervisées de manière réactive et ne sont pas soumises à des audits proactifs, à moins que des incidents ou des preuves de non-conformité ne déclenchent une enquête. Les entités importantes peuvent se soumettre volontairement à une vérification afin d’obtenir une « présomption de conformité » légale.
Que se passe-t-il si mon organisation n’a pas respecté la date limite de vérification de la CyFun ?
La date limite d’avril 2026 exigeait que les entités soumettent leur auto-évaluation CyFun ou leur documentation ISO 27001 à la DGCC. Le non-respect de cette échéance constitue en soi un manquement à la conformité. Toutefois, la BCC a fait preuve de souplesse opérationnelle pour les entités qui ont entamé le processus à temps mais qui sont confrontées à des contraintes de capacité de la part de l’OEC. Les organisations qui n’ont pris aucune mesure et qui ne peuvent démontrer aucun effort de mise en conformité courent le plus grand risque de mise en application. L’action prioritaire consiste à documenter immédiatement les progrès réalisés de bonne foi et à programmer un rendez-vous avec l’OEC.
Les amendes NIS2 peuvent-elles faire l’objet d’un recours en Belgique ?
Oui. Toute décision de sanction du CCB peut faire l’objet d’un recours devant le Raad van State (Conseil d’État). L’introduction d’un recours ne suspend pas automatiquement la sanction. L’entité doit déposer une requête séparée de suspension, que le Raad van State peut ou non accorder en fonction de l’urgence et du bien-fondé de l’affaire.
Les amendes NIS2 sont-elles couvertes par une cyber-assurance en Belgique ?
Il s’agit d’un domaine en pleine évolution. La plupart des polices d’assurance cybernétique standard couvrent les coûts d’intervention en cas d’incident et les pertes d’exploitation. La couverture des amendes administratives est juridiquement problématique en droit belge, en particulier lorsque l’amende résulte d’une négligence. Les polices d’assurance des administrateurs et dirigeants (D&O) peuvent offrir une protection partielle de la responsabilité personnelle, mais la couverture varie d’un assureur à l’autre. Consultez votre courtier et votre conseiller juridique pour obtenir une réponse définitive en fonction de votre police.
Comment les amendes NIS2 se comparent-elles aux amendes GDPR pour le même incident ?
Une violation de données dans une entité NIS2 entraîne une double notification : à la Gegevensbeschermingsautoriteit (GBA) dans le cadre du GDPR et à la CCB dans le cadre du NIS2. Les deux autorités peuvent imposer des amendes. Les amendes prévues par le GDPR pour les violations graves peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Les amendes du NIS2 sont plafonnées à 10 millions d’euros ou 2 %. La loi stipule que les sanctions doivent rester proportionnées, mais recevoir deux amendes distinctes pour le même incident est une réelle possibilité. Les délais de notification des incidents NIS2 ajoutent une série de délais parallèles à la notification de 72 heures prévue par le GDPR.
La phase d’application du NIS2 en Belgique n’est plus hypothétique, mais elle n’est pas au bord du précipice. La DGCC a mis en place un cadre procédural solide qui récompense les efforts de mise en conformité et pénalise l’inaction. Pour les organisations qui n’ont pas encore commencé, l’écart entre « travailler à la conformité » et « ne rien faire » compte plus que tout. Réservez une démonstration avec Jimber pour voir comment une simple console SASE produit les preuves d’audit que votre vérification CyFun exige, ou commencez par la liste de contrôle de conformité NIS2 pour cartographier votre position actuelle.
