NIS2 en Belgique : contexte et périmètre
La Directive NIS2 (Directive UE 2022/2555 relative à un niveau élevé commun de cybersécurité dans l'Union) a été transposée en droit belge via la loi du 26 avril 2024, entrée en vigueur le 18 octobre 2024. Elle remplace et élargit considérablement NIS1.
Le Centre pour la Cybersécurité Belgique (CCN/CCB) est l'autorité nationale compétente. NIS2 touche plus de 10 fois plus d'entités que NIS1 en Belgique.
Secteurs essentiels (Annexe I)
Secteurs importants (Annexe II)
Services postaux, gestion des déchets, fabrication (médicaments, équipements médicaux, produits chimiques, produits alimentaires, électronique), fournisseurs de services numériques, recherche.
Article 21 NIS2 : ce que la loi exige sur les fournisseurs
L'Article 21 de NIS2 impose aux entités essentielles et importantes de mettre en œuvre des mesures de gestion des risques de cybersécurité incluant explicitement la sécurité de la chaîne d'approvisionnement.
21(2)(d) — Sécurité de la chaîne d'approvisionnement
Évaluation et documentation des pratiques de cybersécurité de chaque fournisseur et sous-traitant. Prise en compte des vulnérabilités propres à chaque prestataire et de la qualité globale de leurs produits et services.
21(2)(a) — Politique d'analyse des risques
Politique formalisée d'identification, d'évaluation et de traitement des risques de sécurité, incluant les risques induits par les tiers.
21(2)(b) — Gestion des incidents
Procédures de notification des incidents significatifs au CCB dans les 24h (alerte précoce), 72h (notification) et 1 mois (rapport final).
21(2)(h) — Pratiques d'hygiène cyber & formation
Vérification que les fournisseurs maintiennent des pratiques d'hygiène cybersécurité de base : MFA, gestion des patches, authentification email (SPF/DMARC).
21(2)(i) — Cryptographie et chiffrement
S'assurer que les fournisseurs utilisent des protocoles cryptographiques modernes (TLS 1.2+, certificats valides, HSTS).
NIS2 vs DORA : ce qui change pour votre gestion des risques
| Critère | NIS2 | DORA |
|---|---|---|
| Secteurs couverts | Tous secteurs critiques (18 secteurs) | Finance uniquement |
| Focus principal | Cybersécurité chaîne d'approvisionnement | Résilience opérationnelle digitale ICT |
| Registre fournisseurs | Recommandé (Art. 21) | Obligatoire (Art. 28) |
| Tests de résilience | Tests cybersécurité généraux | TLPT obligatoire (entités significatives) |
| Amende max entités essentielles | 10M€ ou 2% CA mondial | 5M€ ou 10% CA (prestataires critiques) |
| Autorité Belgique | CCN/CCB | FSMA + BNB |
| VendorScore couvre ? | ✓ Oui | ✓ Oui |
Comment VendorScore automatise votre conformité NIS2
Pour chaque fournisseur, VendorScore évalue automatiquement les 5 dimensions critiques pour NIS2 :
- Sécurité IT (300 pts) — SSL/TLS grade, en-têtes HTTP sécurité (HSTS, CSP, X-Frame-Options), DNS auth (SPF strict, DMARC policy), ports exposés (Shodan), données breachées (HIBP), CVE critiques actifs
- Certifications (250 pts) — ISO 27001 (25 pts), SOC 2 Type II (25 pts), NIS2-ready (+20 pts bonus), GDPR DPO enregistré, certifications sectorielles
- Santé financière (250 pts) — Stabilité financière via données BCE/BNB — un fournisseur en difficulté financière est un risque opérationnel NIS2
- Conformité réglementaire (100 pts) — GDPR, email authentication, transport security, cadence de renouvellement certificats
- Contexte fournisseur (100 pts) — Vérification BCE, correspondance domaine/entreprise, taille et industrie
Résultat : un score /1000 par fournisseur, des alertes automatiques de dégradation, et une documentation prête pour le CCB.
Questions fréquentes sur NIS2
Prêt à automatiser votre due diligence NIS2 ?
Scannez votre premier fournisseur gratuitement — résultat en 10 secondes, sans compte requis.
Scanner un fournisseur gratuitement →