Skip to content
Sécurité calendar_today Mis à jour: 7 avril 2026 schedule 4 min de lecture

GDPRWise et NIS2 - Legislation Cybersecurite pour les Entreprises

La directive NIS2 impose de nouvelles exigences en matiere de cybersecurite aux entreprises de l'UE. GDPRWise Enterprise integre une liste d'actions NIS2 complete et des modeles prets, directement au-dessus de votre travail RGPD.

summarize Points clés
  • check_circle NIS2 est une directive europeenne obligeant les entreprises a ameliorer leur cybersecurite
  • check_circle Elle concerne plus d'entreprises que NIS1 : les entreprises de taille moyenne dans la chaine d'approvisionnement peuvent aussi etre concernees
  • check_circle Il y a un chevauchement significatif entre le RGPD et NIS2 en matiere de mesures de securite et de notification d'incidents
  • check_circle GDPRWise Enterprise integre une liste d'actions NIS2 complete et des modeles - votre travail RGPD compte automatiquement
  • check_circle La liste d'actions suit le cadre belge CyberFundamentals (niveau Basic), une base solide pour toute PME qui prend la cybersecurite et la vie privee au serieux

Une nouvelle loi cyber a cote du RGPD

La directive NIS2 (Network and Information Security Directive 2) est une loi europeenne obligeant les entreprises a mettre leur cybersecurite en ordre. Alors que le RGPD se concentre sur les donnees personnelles, NIS2 porte un regard plus large sur la securite de vos reseaux, systemes et services.

La directive est en vigueur depuis octobre 2024 et est transposee en droit national par les Etats membres. Pour les entreprises deja soumises au RGPD, la bonne nouvelle est qu’il y a un chevauchement considerable.

Qui est concerne par NIS2 ?

Selon la loi NIS2 belge, vous relevez directement du champ d’application si vous remplissez trois criteres en meme temps :

  1. Vous fournissez un service figurant en annexe I ou annexe II de la loi NIS2 (voir secteurs ci-dessous)
  2. Vous etes au moins une entreprise de taille moyenne : 50+ employes a temps plein, ou chiffre d’affaires et total de bilan superieurs a 10 millions d’euros
  3. Vous disposez d’un etablissement en Belgique

Secteurs

Annexe I - secteurs hautement critiques : energie, transports, banque, infrastructures des marches financiers, sante, eau potable, eaux usees, infrastructure numerique, gestion des services TIC, administration publique, espace.

Annexe II - autres secteurs critiques : services postaux et de courrier, gestion des dechets, fabrication chimique, production et distribution alimentaire, fabrication, fournisseurs numeriques, recherche.

Au sein de ces secteurs, la loi distingue les entites essentielles (controle regulier) et importantes (controle apres incident ou plainte). Les exigences de cybersecurite sont identiques pour les deux.

Independamment de la taille

Certains fournisseurs relevent de NIS2 automatiquement, meme en-dessous du seuil de 50 ETP : prestataires de services de confiance qualifies, fournisseurs DNS, fournisseurs de reseaux publics de communications electroniques, et organisations formellement designees comme entites critiques.

La chaine d’approvisionnement - pourquoi les plus petites PME doivent aussi etre attentives

Pas directement concerne mais fournisseur d’une entite NIS2 ? Votre client peut contractuellement exiger que vous mettiez en place des mesures de cybersecurite appropriees. Le CCB recommande explicitement que les fournisseurs non-NIS2 atteignent au minimum le niveau Basic du cadre CyberFundamentals - exactement ce avec quoi GDPRWise vous aide.

Verifier si NIS2 s’applique a vous

Le CCB met a disposition un outil d’evaluation du champ NIS2 et un Quickstart Guide. L’enregistrement etait attendu pour le 18 mars 2025 (18 decembre 2024 pour les fournisseurs numeriques). Une evaluation de conformite via le cadre CyberFundamentals est requise d’ici le 18 avril 2026.

Que demande NIS2 ?

Les obligations principales :

  • Evaluation des risques - identifier et evaluer les risques pour vos systemes de reseau et d’information
  • Mesures de securite - prendre des mesures appropriees sur base de cette evaluation
  • Notification d’incidents - signaler les incidents significatifs dans les 24 heures (alerte precoce) et fournir un rapport complet dans les 72 heures
  • Continuite d’activite - assurer les sauvegardes, plans de reprise et gestion de crise
  • Securite de la chaine d’approvisionnement - evaluer les risques de securite de vos fournisseurs
  • Responsabilite de la direction - la direction est personnellement responsable de la cybersecurite

Le chevauchement avec le RGPD

Si votre conformite RGPD est en ordre, vous avez deja une base solide :

ExigenceRGPDNIS2
Evaluation des risquesOui (AIPD)Oui
Mesures de securiteOui (art. 32)Oui
Notification d’incidents72 heures (violation de donnees)24 heures (alerte precoce)
DocumentationRegistre des traitementsPolitique de securite
Gestion des fournisseursContrats de sous-traitanceRevue de la chaine d’approvisionnement

Comment GDPRWise vous aide

GDPRWise Enterprise integre une liste d’actions NIS2 complete et des modeles prets. Vous ne partez pas de zero : chaque action RGPD deja realisee compte automatiquement pour NIS2.

Base sur le cadre belge CyberFundamentals

Notre liste d’actions NIS2 suit le cadre CyberFundamentals publie par le Centre pour la Cybersecurite Belgique (CCB). Ce cadre definit quatre niveaux d’assurance - Small, Basic, Important et Essential - et notre liste d’actions s’aligne sur le niveau Basic.

Le niveau Basic est concu pour toute organisation qui souhaite se proteger contre les cyber-risques courants avec des technologies generalement disponibles. En pratique, il convient a la plupart des PME. Vous n’avez pas besoin d’etre formellement soumis a NIS2 pour en beneficier : toute PME qui prend la cybersecurite et la vie privee au serieux devrait au minimum viser ce socle.

Le cadre est internationalement ancre et s’aligne sur NIST CSF, ISO 27001/27002, IEC 62443 et CIS Critical Security Controls.

Votre travail RGPD reutilise

Pas de double effort. GDPRWise montre exactement quels controles comptent deja des deux cotes :

  • Votre dossier tiers documente vos fournisseurs et leurs mesures de securite - directement utilisable pour l’exigence NIS2 sur la chaine d’approvisionnement
  • Votre checklist de securite montre les mesures techniques et organisationnelles prises
  • Votre procedure de violation de donnees sert de base a votre processus de notification NIS2
  • Votre registre des traitements contient l’inventaire des systemes et des flux de donnees

Actions et modeles specifiques NIS2

La ou NIS2 va au-dela du RGPD, nous ajoutons les actions et modeles :

  • Modele d’evaluation des risques - un document structure pour cartographier les risques de vos systemes de reseau et d’information
  • Politique de securite de l’information - une politique formelle conforme aux exigences NIS2
  • Plan de continuite d’activite - modele pour sauvegardes, reprise et gestion de crise
  • Procedure de notification d’incident - aligne sur les delais NIS2 (alerte precoce 24h, rapport 72h)
  • Responsabilite de la direction - documentation pour l’approbation management et la formation
  • Controles periodiques - revues 2FA, gestion des acces, conservation des donnees, calibres pour NIS2

Progression visible

Votre score de conformite evolue de Base a Avance puis NIS2 - Robuste. Vous voyez d’un coup d’oeil ou vous en etes et ce qui reste a faire.

Ou se trouve NIS2 dans GDPRWise ?

Les fonctionnalites NIS2 sont dans le plan Enterprise, ou disponibles separement en add-on sur Peace of Mind. Contactez-nous si vous voulez savoir si NIS2 s’applique a votre organisation.

auto_awesome Pret pour NIS2 ?

Commencez par le scan gratuit pour mettre votre base RGPD en ordre. Passez a Enterprise pour la liste d'actions NIS2 complete et les modeles.

GW
Rédaction GDPRWise

Cet article a été rédigé par l'équipe GDPRWise et vérifié par nos experts en protection des données.