Blogpost

Une analyse juridique de NIS2 ce que vous devez savoir avant de commencer:

Publié sur05/01/2026
The legal analysis of NIS2

Table of Contents

Points clés

  • Commencez toujours par une analyse juridique pour NIS2.
  • La qualification en tant qu’entité essentielle ou importante est déterminante pour l’ensemble de votre parcours de conformité.
  • N’oubliez pas l’obligation de consolidation lors du calcul de votre taille.
  • Vérifiez si vous relevez de catégories NIS2 moins évidentes, car celles-ci sont souvent oubliées. Pensez notamment aux services cloud ou aux services gérés.
  • Déterminez si le règlement d’exécution s’applique à votre organisation.
  • Des qualifications erronées entraînent des mesures incorrectes ou inutiles, des délais non respectés et des sanctions potentiellement plus lourdes.

La directive NIS2 est claire : les organisations considérées comme « essentielles » ou « importantes » doivent renforcer leur cybersécurité. Mais avant de mettre en place des mesures techniques ou de lancer un plan d’action, il existe une étape incontournable : une analyse juridique de la manière dont la directive NIS2 s’applique à votre organisation.

Nous l’avons déjà vu si souvent dans la pratique : le prestataire informatique qui promet de rendre votre organisation « conforme à la norme NIS2 », mais l’expérience montre qu’il préfère ignorer l’aspect juridique. Ou que l’analyse juridique est incomplète ou incorrecte.

Sans cette analyse juridique (correcte), vous risquez toutefois de faire des suppositions erronées concernant vos obligations, vos délais et vos responsabilités. Résultat ? Des retards, des coûts supplémentaires ou même, dans le pire des cas, des sanctions. Dans cet article, nous vous expliquons pourquoi une analyse juridique est importante et comment vous pouvez vous y prendre.

Pourquoi une analyse juridique est indispensable

La directive NIS2 fait la distinction entre différents types d’entités, à savoir les entités essentielles et les entités importantes. Le fait que vous soyez une entité essentielle ou importante dépend de la taille et des activités de votre organisation. Cette analyse doit être effectuée au niveau de chaque entité (au sein du groupe, le cas échéant).

Le défi ? Cette qualification peut être complexe.

Sans cette évaluation juridique, vous ne pouvez pas savoir :

  • La taille de votre organisation.
  • Les activités NIS2 auxquelles votre organisation est soumise.
  • La loi applicable à votre organisation. La directive NIS2 doit en effet être transposée dans la législation nationale, qui peut varier d’un pays à l’autre. Vous devez donc savoir quelle loi NIS2 s’applique à votre organisation. Il est possible que plusieurs lois s’appliquent simultanément, auquel cas vous devrez appliquer la loi NIS2 la plus stricte.
  • Si vous devez effectuer une évaluation de conformité obligatoire et, si tel est le cas, sur la base de quel cadre de référence vous allez effectuer (ou faire effectuer) cette évaluation.
  • Quand une action doit être menée. Une période transitoire est prévue pour la mise en œuvre des mesures de sécurité, mais ce que vous devez faire exactement et à quel moment dépend de votre qualification.
  • Comment vous allez être contrôlé. La qualification de votre organisation détermine en effet si vous pouvez faire l’objet d’une inspection préventive par l’autorité de contrôle, ou si celle-ci ne peut avoir lieu qu’après un incident ou en présence d’autres indicateurs objectifs de non-respect de la loi NIS2.
  • Les sanctions encourues en cas de non-respect. Le montant maximal de l’amende administrative dépend de votre qualification. Mais il ne s’agit pas seulement d’amendes. Si vous êtes une entité essentielle, même le PDG peut être démis de ses fonctions.

Et ceux qui prennent un mauvais départ risquent de gaspiller des ressources.

Prévoyez donc un pré-scan juridique avant de vous lancer dans des actions techniques ou organisationnelles. Utilisez pour cela une checklist basée sur la directive.

Essentielle ou importante ? L’impact sous-estimé de l’importance de votre qualification

La base (et le point de départ) de toute approche NIS2 réside dans votre qualification : êtes-vous une entité essentielle ou importante ?

Calcul de la taille NIS2 : n’oubliez pas d’inclure les chiffres de vos partenaires !

De nombreuses organisations commettent leur première erreur lorsqu’elles déterminent leur taille, à savoir en ne consolidant pas les chiffres lorsque cela est nécessaire. Il s’agit de chiffres tels que les ETP, le total du bilan annuel et le chiffre d’affaires annuel. La Commission européenne exige que ces chiffres des organisations affiliées et partenaires soient également pris en compte dans une certaine mesure dans le calcul (ceci inclut donc également les entreprises partenaires et les filiales). 

Sans consolidation des chiffres corrects, vous pouvez conclure à tort que vous êtes une entité « importante », alors qu’en réalité, vous devez être considéré comme « essentiel ». Cela a des conséquences importantes pour la suite de votre parcours et pour la responsabilité des organes de gestion.

Les catégories NIS 2 :  plus que vous ne le pensez

Souvent, lorsque l’on évoque la NIS2, on pense immédiatement aux secteurs les plus critiques tels que la santé ou l’énergie.

En réalité, il existe également des catégories NIS2 beaucoup moins évidentes, telles que les fournisseurs de services cloud, les fournisseurs de services gérés et les plateformes en ligne, qui peuvent avoir un impact sur votre qualification. 

Attention : une organisation peut avoir plusieurs casquettes. Un hôpital doté d’un service informatique qui fournit également (à titre d’activité secondaire) des services numériques à d’autres établissements de soins peut également être qualifié de fournisseur de services gérés (MSP). Pour votre qualification, peu importe qu’il s’agisse d’une activité principale ou secondaire. Les activités secondaires comptent également.

Sans cette analyse juridique, vous passez à côté de l’ensemble du tableau. Vous risquez ainsi de négliger certains éléments qui sont pourtant pertinents.

Assurez-vous donc de consulter toutes les catégories des annexes de la NIS2 et évaluez si vous pouvez être concerné. Dans la pratique, une telle évaluation nécessite souvent une très bonne connaissance des activités précises de votre organisation. Mais la plupart des organisations ne disposent pas d’une vue d’ensemble et il est donc nécessaire de mener une enquête, par exemple en s’entretenant avec quelques personnes clés au sein de l’organisation.

Règlement d’exécution : applicable ou pas ?  

Outre la directive NIS2, il existe également un règlement d’exécution qui impose des mesures techniques et organisationnelles supplémentaires à certaines catégories d’entités NIS2 et qui détermine quand un incident est considéré comme « significatif » et doit être signalé à l’autorité de contrôle.

Ce règlement d’exécution s’applique, par exemple, aux :

  • Fournisseurs de services cloud
  • Fournisseurs de services gérés (MSP) qui fournissent des services (informatiques) à d’autres entreprises
  • Les services numériques à large portée

À première vue, ce règlement peut sembler ne pas s’appliquer à votre organisation, par exemple parce que celle-ci ne fournit pas de services cloud ou de services gérés comme activité principale. Mais dès que vous proposez des services cloud ou des services gérés à d’autres organisations, vous pouvez être soumis à ce règlement (comme dans l’exemple de l’hôpital qui fournit des services informatiques à d’autres établissements). En effet, le fait que le service cloud ou le service géré ne soit qu’une activité secondaire n’a aucune incidence sur la qualification au titre de la directive NIS2. 

Contrôle et échéances : à quoi devez-vous vous attendre ?

La manière dont vous serez contrôlé dépend de votre qualification.

Les entités essentielles font l’objet d’un contrôle préalable et a posteriori de la part de l’autorité de surveillance. Elles sont tenues de vérifier qu’elles respectent les règles. La première échéance importante à cet égard est avril 2026. Dans la pratique, cela signifie que l’autorité de surveillance peut effectuer des contrôles, même si aucun problème n’a encore été constaté.

Les entités importantes ne sont contrôlées qu’a posteriori, et uniquement en cas de problème. Par exemple, après un incident ou lorsqu’il y a des signes indiquant que les règles ne sont pas respectées.

Quiconque se qualifie et s’enregistre à tort comme « important », alors qu’il est en réalité « essentiel », risque de ne pas respecter les délais légaux, ce qui peut entraîner de graves conséquences et des retards.

Contrôle et amandes : Et si vous avez été mal classé ?

Les sanctions potentielles prévues par la directive NIS2 sont sévères.

Pour les entités essentielles, l’autorité de contrôle peut non seulement infliger des amendes administratives, mais aussi prendre des mesures administratives telles que, dans le pire des cas, la destitution (temporaire) du PDG.

Pour les entités importantes, un gestionnaire de crise peut par exemple être nommé.

Si votre organisation est mal classée, par exemple en raison d’un calcul erroné de sa taille, vous pouvez toujours être traité comme une entité « essentielle », sans pour autant remplir les conditions requises.

Transformez votre analyse juridique en un dossier étayé. Si le CCB vous pose des questions ou si vous êtes confronté à un incident, vous pourrez justifier votre classification.

Concrètement : comment réaliser une analyse juridique pour NIS2

Souhaitez-vous être prêt pour NIS2 ? Suivez au moins les étapes suivantes :

Étape 1 : Rassemblez les données de base

  • Statuts de votre organisation
  • Structure des sociétés mères et filiales et données relatives à la participation (par exemple, actions)
  • Chiffres financiers (chiffre d’affaires annuel, total du bilan, effectifs)
  • Aperçu des services proposés et des secteurs (sur la base de la pratique et donc pas uniquement de ce qui est enregistré dans la BCE)

Étape 2 : Déterminez votre taille et consolidez vos chiffres si nécessaire

Utilisez la recommandation CE 2003/361/CE. Tenez compte de toutes les organisations affiliées et partenaires dans la mesure requise par la recommandation CE.

Étape 3 : Déterminez à quelle activité NIS2 vous appartenez 

Vérifiez si vous appartenez à une ou plusieurs catégories sectorielles figurant dans les annexes de la directive NIS2. Soyez critique : les activités indirectes et les sous-activités comptent également. 

Étape 4 : Déterminez quelle juridiction est applicable

Sur la base de votre analyse juridique, vous pouvez conclure que ce n’est pas la loi belge NIS2 qui s’applique, mais par exemple une autre loi nationale NIS2. Ou plusieurs lois NIS2 à la fois. Vous pourrez ensuite déterminer comment vous allez gérer cela.

Étape 5 : Analysez votre rôle dans la chaîne et choisissez de bons fournisseurs

Vous fournissez des services numériques à d’autres organisations ? Vérifiez si vous remplissez les conditions requises pour être considéré comme un MSP ou un fournisseur de services cloud. Si vous êtes client et que vous relevez de la directive NIS2, veillez à sécuriser votre chaîne d’approvisionnement. Cela signifie que vous devez également examiner la manière dont vous sélectionnez vos fournisseurs, car si vous choisissez un fournisseur qui n’est pas conforme à la directive NIS2, vous ne ferez que compliquer et prolonger les négociations contractuelles. Vous risquez alors de prendre du retard ou d’accepter un contrat sous-optimal en termes de garanties de sécurité, ce qui pourrait compromettre le respect de vos propres obligations NIS2.

Étape 6 : Documentez votre qualification

Rédigez un rapport interne contenant votre conclusion et votre motivation motivée. Faites-le vérifier par un expert juridique, même si votre prestataire informatique affirme avoir pris en compte les aspects juridiques. La confiance, c’est bien, mais la vérification, c’est mieux.

Conclusion

Pour mettre correctement en œuvre la norme NIS2, il ne faut pas commencer par la technique, par des campagnes de sensibilisation, ni par un audit des fournisseurs. Votre prestataire informatique prétend-il également prendre en charge les aspects juridiques ? Dans ce cas, posez-lui des questions critiques.

La seule première étape appropriée est une analyse juridique. Celle-ci détermine (de manière juridiquement correcte) la taille de votre organisation et les activités qu’elle exerce. Cela permet de déterminer si vous êtes une entité essentielle ou importante. 

Vous déterminez ensuite quelle juridiction est applicable. Cela est particulièrement important pour les organisations internationales. Une loi NIS2 autre que la loi belge est-elle applicable ? Analysez alors la situation dans le pays concerné. Il est possible que ce pays n’ait pas encore transposé la directive NIS2 dans sa législation nationale. Examinez alors comment vous allez gérer cette situation.

Une fois que vous savez quelle juridiction s’applique, vérifiez si et comment vous pouvez obtenir une présomption de conformité à la législation NIS2 locale. En Belgique, cela passe par l’obtention d’une certification ISO27001 (qui couvre l’ensemble de l’organisation) ou d’une certification CyberFundamentals. D’autres règles peuvent s’appliquer dans d’autres pays.

Sans cette base, votre approche NIS2 repose sur des sables mouvants.

Partager ceci :

Écrit par

Bernd Fiten

Bernd Fiten

Hi ! Comment pouvons-nous vous aider ?

Vous avez besoin d’un responsable interne de la protection de la vie privée ou d’un DPD externe ? Prenez contact avec nous et nous chercherons ensemble la meilleure solution.

Contactez nous

Plus d'articles

Tous les articles

Votre partenaire de confiance en matière de gouvernance des données et de conformité.

Menu

Solutions

Contact

ISO 27001 certification

© 2026 – CRANIUM – Déclaration Générale de Confidentialité Cooky PolicyConditions Générales

Contact