Partenaire IT? Decouvrez comment livrer la conformite NIS2

Voir offre partenaire →

Vous avez Manque la Deadline NIS2 Belge? Ce qui Change apres le 18 Avril 2026

Le 18 avril 2026 etait la date limite belge d'auto-evaluation de conformite sous NIS2. Si votre organisation est dans le champ et n'a pas soumis, voici ce qui change reellement — et les trois voies de remediation concretes que le cadre CCB CyberFundamentals laisse ouvertes.

Ce que le 18 Avril 2026 Exigeait Reellement

La loi belge de transposition NIS2 du 26 avril 2024 fixe deux deadlines qui comptent pour le cadre CyberFundamentals gere par le Centre pour la Cybersecurite Belgique (CCB) :

  • 1
    18 avril 2026 — Auto-evaluation de conformite. Les entites importantes doivent soumettre une auto-evaluation CyFun au niveau BASIC minimum (34 controles). Soumis via le portail CCB Safeonweb @work.
  • 2
    18 avril 2027 — Certification complete. Les entites essentielles doivent passer un audit Conformity Assessment Body (CAB) au niveau IMPORTANT (132 controles) ou ESSENTIAL (217 controles). Le CAB doit etre accredite par BELAC, l'organisme belge d'accreditation.

Pas certain si votre organisation est classifiee comme importante ou essentielle ? Commencez par qui doit se conformer a NIS2.

Ce qui Change Reellement Si Vous n'avez pas Soumis

Une deadline passee deplace votre position de "sur la bonne voie" vers "en remediation". Trois choses specifiques changent :

1. La charge d'explication se deplace vers vous

Avant la deadline, "nous y travaillons" suffisait. Apres la deadline, lorsqu'un regulateur, assureur ou grand client professionnel demande, vous devez un plan de soumission tardive documente avec dates cibles et preuves de progres.

2. La pression de la chaine d'approvisionnement s'accumule

L'Article 21(2)(d) de NIS2 exige que les organisations dans le champ gerent le risque fournisseur. Les grands clients professionnels qui sont dans le champ commencent a demander des preuves au renouvellement de contrat — typiquement un resume d'auto-evaluation CyFun, un certificat ISO 27001, ou une Statement of Applicability equivalente.

3. La fenetre de certification 2027 se retrecit

Un cycle d'audit CAB pour le niveau IMPORTANT ou ESSENTIAL necessite typiquement 3-6 mois de collecte de preuves plus l'audit lui-meme. Commencer maintenant laisse encore de la marge. Commencer au Q4 2026 sans baseline documentee non.

Trois Voies de Remediation

Choisissez la voie qui correspond a votre classification NIS2 et a la position d'audit que vos grands clients professionnels demandent reellement. Les trois sont acceptees par le CCB.

A

Auto-evaluation CyFun BASIC tardive

Meilleure pour : entites importantes sous le seuil de taille des entites essentielles

La voie la plus rapide pour revenir sur la bonne voie. 34 controles regroupes sous cinq fonctions NIST CSF (Identify, Protect, Detect, Respond, Recover). Aucun auditeur externe requis — l'evaluation est soumise par l'organisation elle-meme via le portail CCB Safeonweb @work.

Ce que vous devez : preuves par controle (reference de politique, capture d'ecran, echantillon de log, registre de formation), une liste de gaps documentee, et des dates cibles de remediation. Temps jusqu'a soumission : 4-8 semaines pour une organisation avec une hygiene de securite existante raisonnable.

B

Audit CAB au niveau IMPORTANT ou ESSENTIAL

Requis pour : entites essentielles · Optionnel pour : entites importantes cherchant un certificat defendable

Le point d'arrivee du 18 avril 2027 pour les entites essentielles. Audit effectue par un Conformity Assessment Body accredite par BELAC. Le niveau IMPORTANT couvre 132 controles ; le niveau ESSENTIAL couvre 217 controles et est obligatoire uniquement pour les secteurs les plus critiques.

Ce que vous devez : une workbook CyberFundamentals complete avec preuves par controle, un plan de reponse aux incidents teste, un registre de risques fournisseurs, et un journal des modifications maintenu. Temps jusqu'au certificat : 3-6 mois d'une auto-evaluation de base a un audit CAB, plus le cycle d'audit lui-meme (typiquement 4-8 semaines).

C

ISO 27001 avec une Statement of Applicability NIS2

Meilleure pour : organisations avec certification ISO 27001 existante ou en cours

Le CCB reconnait ISO/IEC 27001 avec une Statement of Applicability (SoA) mappee NIS2 comme voie d'equivalence. La SoA doit explicitement mapper les controles ISO 27001 Annexe A aux controles CyberFundamentals afin que tout ecart soit visible.

Ce que vous devez : un certificat ISO 27001 actuel, une SoA qui nomme chaque controle CyberFundamentals par ID, et la preuve que les exigences specifiques NIS2 (notification d'incident sous 24 heures, due diligence de la chaine d'approvisionnement, supervision de la cybersecurite au niveau du conseil) sont operationnalisees — celles-ci ne sont pas 1-pour-1 avec ISO 27001 Annexe A.

Comment Soumettre une Auto-evaluation CyFun BASIC Tardive

Les etapes mecaniques que le portail CCB Safeonweb @work attend, dans l'ordre :

  1. 1

    Enregistrez votre organisation sur Safeonweb @work

    Utilisez itsme ou eID pour vous authentifier en tant que representant legal. Le CCB recoupe l'enregistrement avec les donnees de la Banque-Carrefour des Entreprises (BCE/KBO).

  2. 2

    Confirmez votre classification NIS2

    Importante ou essentielle. Le portail parcourt le test de taille et de secteur qui mappe vers les Annexes I et II de NIS2.

  3. 3

    Telechargez la workbook CyberFundamentals

    Fichier Excel maintenu par le CCB. Chaque controle a une colonne de preuves que le CCB attend remplie avec une reference (nom de document, capture d'ecran, chemin de log).

  4. 4

    Notez chaque controle honnetement

    La notation de maturite CyFun utilise une rubrique 1-5 par controle. Les auditeurs et le CCB perdent patience avec les auto-evaluations qui notent chaque controle a 5. Une baseline de 2-3 avec un plan d'amelioration documente se lit comme plus credible qu'un mur de vert.

  5. 5

    Telechargez la workbook et joignez une feuille de route de remediation

    Pour une soumission tardive, la feuille de route est le document qui transforme "deadline manquee" en "en remediation active". Dates cibles par controle, proprietaire par controle, et references de preuves pour ce qui est deja en place.

Ce que le CCB a Reellement Dit sur l'Application

Le Centre pour la Cybersecurite Belgique publie sa position d'application via des directives formelles, des rapports annuels et le portail Safeonweb @work — pas via des fuites d'application. Deux signaux sont visibles dans le materiel public CCB :

  • Les notifications d'incidents augmentent rapidement. Le CCB a enregistre 635 notifications d'incidents obligatoires dans les categories pertinentes NIS2 en 2025 — une hausse d'environ 70% en glissement annuel selon le rapport d'activite annuel CCB 2025. Cela signale une bande passante d'attention chez le regulateur, pas une boite de reception silencieuse.
  • Position remediation-d'abord. Les directives publiees par le CCB sur le processus d'accreditation BELAC et le cadre CyberFundamentals cadrent systematiquement l'application comme une escalade structuree : notification → ordre de remediation → amende administrative. C'est le meme schema que l'Autorite belge de protection des donnees (APD) utilise pour le RGPD.

Les deux signaux pointent dans la meme direction : le cout d'une soumission tardive documentee est inferieur au cout d'un refus documente. Le but est d'etre dans les registres comme remediant avant que quelqu'un ne demande.

Comment Easy Cyber Protection Raccourcit la Boucle de Rattrapage

Nous avons construit un moteur de conformite autour de la workbook CCB CyberFundamentals parce que ce fichier est l'artefact que chaque soumissionnaire tardif, auditeur CAB et reviseur SoA ISO 27001 lit finalement. La release d'avril 2026 a livre l'export Excel CCB et la reimport auditeur, donc la workbook qu'un soumissionnaire tardif prepare dans ECP peut etre remise directement a un CAB sans retravail.

  • Chaque controle BASIC, IMPORTANT et ESSENTIAL mappe, avec la colonne de preuves CCB cablee a un vrai stockage de documents.
  • Export Excel compatible CCB — la meme workbook que le portail Safeonweb @work attend.
  • Reimport auditeur : le CAB renvoie une workbook annotee, ECP fusionne les conclusions dans l'etat live sans reconciliation manuelle.
  • Progression multi-niveaux : commencez au BASIC pour l'auto-evaluation tardive, promouvez vers IMPORTANT ou ESSENTIAL quand la fenetre d'audit 2027 s'ouvre.

Questions Frequentes

Que requiert reellement la deadline NIS2 du 18 avril 2026 en Belgique ?

Les entites importantes sous la loi belge NIS2 du 26 avril 2024 devaient soumettre une auto-evaluation de conformite contre le cadre Centre pour la Cybersecurite Belgique (CCB) CyberFundamentals — au minimum au niveau BASIC — d'ici le 18 avril 2026. Les entites essentielles sont sur le meme calendrier d'enregistrement mais font face a une deadline distincte du 18 avril 2027 pour un audit Conformity Assessment Body (CAB) complet au niveau IMPORTANT ou ESSENTIAL. L'auto-evaluation est soumise via la plateforme CCB Safeonweb @work.

J'ai manque la deadline. Vais-je etre amende immediatement ?

Non. Le CCB n'a pas publie de calendrier d'amende lie a une date d'auto-evaluation manquee, et les regulateurs belges preferent historiquement les ordres de remediation aux sanctions immediates pour une premiere non-conformite. Le risque est cumulatif : manquer l'auto-evaluation, puis manquer la deadline de certification du 18 avril 2027, puis manquer un ordre de remediation, c'est ce qui cree une vraie exposition (jusqu'a 10M€ ou 2% du chiffre d'affaires pour les entites essentielles, 7M€ ou 1,4% pour les entites importantes selon l'Article 34 NIS2).

Puis-je toujours soumettre une auto-evaluation CyFun apres la deadline ?

Oui. Le portail CCB Safeonweb @work accepte les auto-evaluations tardives. Documentez la date a laquelle vous avez commence le travail de rattrapage, les preuves que vous avez collectees, et une feuille de route de remediation avec dates cibles. La soumission tardive avec un plan credible est une position plus forte que pas de soumission.

Quelle est la difference entre les trois voies de remediation ?

L'auto-evaluation CyFun BASIC (34 controles) est la voie minimale viable pour les entites importantes — examen interne, aucun auditeur externe requis. Un audit CAB au niveau IMPORTANT (132 controles) ou ESSENTIAL (217 controles) est obligatoire pour les entites essentielles d'ici le 18 avril 2027 et recommande volontairement pour toute entite voulant un certificat defendable. ISO 27001 avec une Statement of Applicability NIS2 mappee vers CyberFundamentals est reconnue par le CCB comme voie d'equivalence pour les organisations qui detiennent deja ou poursuivent ISO 27001.

Mes partenaires de chaine d'approvisionnement demanderont-ils des preuves ?

Oui — de plus en plus. L'Article 21(2)(d) de NIS2 fait de la securite de la chaine d'approvisionnement un domaine de controle requis, ce qui signifie que les organisations dans le champ doivent verifier leurs fournisseurs. Meme si vous n'etes pas directement dans le champ, un grand client professionnel qui est dans le champ demandera typiquement un resume d'auto-evaluation CyFun ou un certificat ISO 27001 avant de renouveler un contrat.

Comment une plateforme de conformite geree aide-t-elle avec une soumission tardive ?

Une plateforme qui mappe chaque controle CyFun a la collecte de preuves et produit un export Excel compatible CCB raccourcit la boucle de rattrapage de "redaction depuis zero" a "remplir les gaps que la plateforme a deja identifies". La release ECP d'avril 2026 a livre l'export Excel CCB et la reimport auditeur, donc la meme workbook qu'un soumissionnaire tardif prepare peut etre remise directement a un CAB sans retravail.

Articles Connexes

Sources

  1. Directive (EU) 2022/2555 (NIS2) — Articles 21, 23, 34
  2. Belgian NIS2 Law of 26 April 2024
  3. CCB CyberFundamentals Framework + Workbook
  4. Centre for Cybersecurity Belgium (CCB)
  5. BELAC — Belgian Accreditation Body
  6. D3 Security industry survey (April 2026) — Belgian NIS2 readiness statistics. Cited for the 84% / 25% figures.
TARS AI