Pourquoi la conformité à la directive NIS 2 n’est plus un rendez-vous d’audit — et ce que cela change pour votre organisation
Article
← Retour aux actualitésLa loi belge transposant la directive NIS 2 est en vigueur depuis octobre 2024. En avril 2026, les entités essentielles atteindront leur premier jalon de vérification — et, selon la voie qu’elles auront choisie, cela prend une forme très différente. Certaines organisations devront avoir obtenu une vérification CyFun à cette échéance. D’autres soumettront au CCB leur périmètre ISO 27001 et leur déclaration d’applicabilité. D’autres encore feront l’objet d’une inspection par le CCB ou par un service d’inspection sectoriel.
Trois voies, une seule échéance, et pour la plupart des organisations la même question : sommes-nous prêts ?
Mais « prêt » est ici un mot trompeur. Car le véritable changement qu’apporte la directive NIS 2 ne réside pas dans ce premier jalon. Il réside dans ce qui vient ensuite. La conformité devient un processus continu — et cela change la manière dont les organisations collectent les preuves, structurent leur gouvernance et dialoguent avec les autorités compétentes.
Qu’est-ce qui change exactement ?
La loi belge transposant la directive NIS 2 remplace l’ancien cadre NIS1 et en élargit sensiblement le périmètre. Le Centre pour la cybersécurité Belgique (CCB) avait initialement estimé qu’environ 2 500 organisations relèveraient de la directive NIS 2. En février 2026, le CCB indiquait que plus de 2 600 entités s’étaient déjà enregistrées.
Ce que ces organisations doivent désormais accomplir se décline en trois obligations.
Mettre en œuvre des mesures de gestion des risques. Des mesures de cybersécurité proportionnées au profil de risque de l’organisation. Le CCB met à disposition le référentiel CyberFundamentals (CyFun), assorti de trois niveaux d’assurance — Basic, Important, Essential — même si les organisations peuvent aussi retenir l’ISO/IEC 27001 comme référentiel de référence.
Notifier les incidents. Les incidents significatifs doivent être notifiés au CSIRT national. Au cours de l’année 2025, le CCB a traité 635 incidents à l’échelle nationale. À titre de comparaison : avant la directive NIS 2, la moyenne mensuelle tournait autour de 25 notifications. Cette hausse ne s’explique pas par une augmentation des attaques, mais par le fait que les organisations savent désormais qu’elles doivent notifier — et qu’elles le font.
Démontrer que les mesures fonctionnent. C’est là que les choses se corsent. Prendre des mesures ne suffit pas. Les organisations doivent aussi prouver que ces mesures sont opérationnelles. Pour les entités essentielles, cela signifie une évaluation de la conformité régulière par l’une des trois voies : certification ou vérification CyFun par un organisme d’évaluation de la conformité (OEC) habilité par le CCB, certification ISO/IEC 27001 par un OEC accrédité et habilité, ou inspection par le service d’inspection du CCB ou par un service d’inspection sectoriel.
Quand l’audit annuel ne suffit plus
La conformité a toujours connu un rythme fait de silence et de précipitation. Des mois durant lesquels personne ne consulte la documentation, suivis de semaines où l’équipe entière fouille les dossiers pour rassembler à la hâte les preuves destinées à l’auditeur.
La directive NIS 2 rompt ce rythme.
La loi exige des organisations qu’elles puissent démontrer à tout moment que leurs mesures de sécurité fonctionnent — et pas seulement lorsque l’auditeur se manifeste. Pour les entités essentielles, le CCB peut exercer une supervision proactive : inspections sur site, audits ad hoc, scans de sécurité, demandes de preuves. Sans préavis, sans annonce. Pour les entités importantes, la supervision est en principe réactive, mais elles aussi doivent toujours être en mesure de démontrer qu’elles satisfont aux exigences.
Cela a une conséquence très concrète. Cela signifie que la preuve doit exister avant même que quiconque ne la demande. Non pas rassemblée lors d’un sprint de deux semaines, mais entretenue en continu, comme partie intégrante des opérations quotidiennes.
Et c’est là que réside la tension. Car jusqu’à présent, la plupart des organisations ont traité la conformité comme un projet — avec un début, une fin, et une quantité considérable de tableurs entre les deux. Cette approche ne tient plus lorsque la supervision est continue.
À quoi ressemble la conformité continue en pratique ?
Trois choses doivent changer.
La collecte de preuves devient automatique. Extraire manuellement les preuves de dix ou vingt systèmes — outils de gestion des tickets, plateformes RH, pare-feu, fournisseurs d’identité — cela ne passe pas à l’échelle. Les organisations ont besoin d’un outillage qui récupère automatiquement les éléments de preuve et les met en correspondance avec les exigences réglementaires applicables. Non pas une fois par trimestre, mais en continu.
Les écarts deviennent visibles dès qu’ils surviennent. Une mesure de sécurité défaillante ou une source de preuves obsolète : cela doit être visible aujourd’hui, et non dans trois mois au détour d’un rapport d’audit. Une surveillance continue assortie d’alertes claires remplace le contrôle ponctuel périodique.
Chaque décision est traçable. Qui a identifié un écart ? Qui a approuvé l’action corrective ? Sur la base de quelles preuves ? Lorsqu’une autorité compétente pose ces questions, la réponse ne doit pas être une fouille dans les boîtes mail et les disques partagés. Elle doit tout simplement être là.
Ce que l’IA peut et ne peut pas faire
L’intelligence artificielle peut aider à maintenir cette complexité sous contrôle. Analyser la réglementation, repérer les sources de preuves, détecter les écarts plus vite qu’une équipe humaine — voilà ce que le logiciel sait bien faire.
Mais il existe une limite, et il importe de la tracer clairement.
Une plateforme de conformité peut déterminer qu’une mesure de sécurité dispose de preuves insuffisantes. Elle peut proposer une action corrective. Mais exécuter cette action, et assumer la responsabilité du résultat — cela relève de l’équipe de direction. Pas du logiciel.
Ce n’est pas une limite. C’est un choix de conception, et un choix délibéré. Il s’inscrit dans l’approche européenne d’une IA digne de confiance, où le contrôle humain et la transparence occupent une place centrale.
Et il s’inscrit dans la logique même de la loi transposant la directive NIS 2. La loi confie explicitement à l’organe de direction la responsabilité des mesures de cybersécurité. Les membres du conseil approuvent les mesures, supervisent leur mise en œuvre et engagent leur responsabilité en cas de manquement.
Un logiciel qui promet de reprendre cette responsabilité à son compte ? Il passe à côté de l’essentiel. Ou pire : il induit en erreur.
Pourquoi le lieu où s’exécute votre logiciel de conformité a son importance
De nombreuses plateformes de conformité ont été conçues à partir du paysage réglementaire américain — SOC 2, HIPAA, FedRAMP — puis adaptées ensuite aux référentiels européens. Adaptées, et non repensées. La différence se réduit à une mise en correspondance de mesures, pas à une différence d’architecture.
Pour les organisations qui combinent directive NIS 2 et RGPD, cela compte. Elles doivent non seulement démontrer leurs mesures de cybersécurité, mais aussi s’interroger sur le lieu et la manière dont leurs données de conformité sont traitées.
Le RGPD autorise les transferts hors de l’EEE — via des décisions d’adéquation, des clauses contractuelles types ou d’autres mécanismes du chapitre V. Mais chaque transfert exige une analyse et alourdit la charge de gouvernance. Pour les organisations des secteurs réglementés, l’arbitrage est concret : gérer des mécanismes de transfert supplémentaires, ou opter pour une plateforme qui évite cette complexité en s’exécutant sur votre propre infrastructure, à l’intérieur des frontières de l’UE.
Il s’agit d’un choix d’architecture, et non d’une obligation légale. Mais c’est un choix qui peut faire la différence entre un processus de gouvernance maîtrisable et un processus qui réclame sans cesse votre attention pour une question totalement étrangère à votre cœur de mission.
Trois choses que vous pouvez faire dès aujourd’hui
Quels que soient les outils que vous choisirez.
Cartographiez l’état de vos preuves. Quelles mesures CyFun ou mesures ISO 27001 avez-vous mises en œuvre — et où se trouve la preuve ? Dans quelle mesure est-elle à jour ? Une lacune dans vos preuves n’est pas une lacune dans votre sécurité. Mais c’est la première chose qu’une autorité compétente remarquera.
Centralisez. Des preuves éparpillées entre dix systèmes sont, en pratique, des preuves introuvables. Un emplacement central unique — une plateforme spécialisée ou un système de gestion documentaire bien structuré — fait la différence entre des semaines de préparation d’audit et un audit que vous pouvez affronter à tout moment.
Rendez la conformité opérationnelle. Pas un projet dont le RSSI est propriétaire. Pas une initiative annuelle du service juridique. Un processus continu, structuré comme la gestion des incidents ou la gestion des changements. Avec des responsabilités attribuées, des fréquences fixes et un chemin d’escalade lorsque le statut évolue.
Comment la plateforme Euraika GRC d’Euraika vous accompagne
Euraika GRC est conçue précisément pour ce basculement. La plateforme se connecte aux systèmes informatiques existants d’une organisation, collecte automatiquement les preuves et surveille en continu si l’état de conformité est à jour.
Lorsque des écarts sont détectés, Euraika GRC propose des actions correctives — mais c’est l’organisation qui décide. Chaque action est assortie d’une attribution de responsabilité traçable. La composante IA assiste ; elle ne décide pas.
Et la plateforme peut s’exécuter sur l’infrastructure propre de l’organisation. Pas de bases de données partagées, pas de données qui quittent l’UE, pas de dépendance à des API externes. Directive NIS 2, RGPD, DORA, ISO 27001 — ce ne sont pas des correspondances rapportées après coup sur un cadre américain. Ce sont les points de départ architecturaux du logiciel.
Le premier jalon de vérification NIS 2 pour les entités essentielles est fixé au 18 avril 2026. Vous souhaitez découvrir comment Euraika GRC peut accompagner votre organisation vers une conformité continue ? Contactez-nous à l’adresse aegis@euraika.net ou planifiez un échange sur www.euraika.net.
IA européenne. Données européennes. Réglementation européenne.

