SUPPORT
SUPPORT
AFSPRAAK

GVISION s’articule autour de trois pôles d’expertise pour répondre à l’ensemble de vos besoins technologiques et digitaux.

Pour l’ensemble de vos besoins en informatique et support IT.

Pour vos solutions de vidéosurveillance, alarmes, contrôle d’accès et détection incendie.

Pour le développement de sites web, e-commerce et applications sur mesure.

Cyberbeveiliging

NIS2 PME Belgique : êtes-vous concerné et que devez-vous mettre en place concrètement ?

18 juni, 2026By jonathan@gvision.be
NIS2 PME Belgique

La directive NIS2 est devenue un sujet incontournable pour les entreprises belges. Beaucoup de dirigeants de PME se posent aujourd’hui les mêmes questions : suis-je concerné ? Qu’est-ce que je dois mettre en place ? Est-ce uniquement une obligation administrative ou un vrai sujet de cybersécurité ?

Pour les PME à Bruxelles et en Belgique, NIS2 ne doit pas être vu comme une contrainte théorique réservée aux grandes entreprises. Même lorsqu’une PME n’est pas directement soumise à la loi, elle peut être indirectement impactée par ses clients, fournisseurs ou partenaires.

Cet article explique ce que NIS2 implique concrètement pour une PME belge, qui est concerné, et quelles actions mettre en place pour rester dans les meilleures conditions possibles.

NIS2 : de quoi parle-t-on ?

La directive NIS2 est une réglementation européenne destinée à renforcer le niveau de cybersécurité des organisations qui jouent un rôle important dans l’économie et la société. Elle remplace la première directive NIS (voir le Centrum voor Cybersecurity België (CCB)) et élargit fortement le nombre d’organisations concernées.

En Belgique, cette directive a été transposée via la loi NIS2. L’objectif est clair : améliorer la sécurité des réseaux et systèmes d’information, renforcer la gestion des incidents et mettre en place une supervision nationale. Elle fixe des obligations minimales en matière de cybersécurité, de gestion des risques, de notification des incidents et de sécurité dans la chaîne d’approvisionnement.

Les secteurs concernés sont nombreux : énergie, transports, santé, eau, infrastructure numérique, services numériques, administrations publiques, fournisseurs de services gérés, industrie manufacturière critique et bien d’autres.

Ce que NIS2 impose concrètement

Concrètement, NIS2 impose aux organisations concernées de mieux gérer leurs risques informatiques. Il ne s’agit pas simplement d’avoir un antivirus installé sur les ordinateurs. Il faut pouvoir démontrer que l’entreprise a identifié ses risques, mis en place des mesures de protection adaptées, documenté ses procédures et prévu une réaction en cas d’incident.

Pour une PME belge, cela peut concerner plusieurs aspects très concrets :

Pour une PME qui n’a pas encore de politique de sécurité formalisée, cela peut sembler intimidant. Mais dans la pratique, beaucoup de ces mesures sont accessibles et proportionnées à la taille de l’entreprise.

Qui est concerné par NIS2 en Belgique ?

Toutes les PME belges ne sont pas automatiquement soumises à NIS2. Pour déterminer si votre entreprise est concernée, il faut analyser plusieurs critères.

Les entreprises directement concernées

NIS2 s’applique directement aux entreprises qui opèrent dans des secteurs définis comme essentiels ou importants, ET qui atteignent certains seuils de taille (généralement : au moins 50 employés ou plus de 10 millions d’euros de chiffre d’affaires).

Les secteurs essentiels incluent notamment : énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique.

Les secteurs importants incluent notamment : services postaux, gestion des déchets, chimie, alimentation, industrie manufac tourière, fournisseurs numériques.

Les entreprises indirectement concernées

Même si votre PME n’atteint pas les seuils ou n’opère pas dans un secteur réglementé, elle peut quand même être affectée si elle est fournisseur, sous-traitant ou prestataire d’une organisation soumise à NIS2.

Concrètement, cela signifie qu’une PME bruxelloise qui fournit des services IT, logistiques, juridiques, comptables ou de communication à une organisation plus grande peut se voir imposer des exigences de sécurité contractuelles.

C’est pourquoi, même pour les PME qui ne sont pas directement visées par NIS2, une démarche de sécurisation informatique reste importante.

NIS2 et les PME indirectement concernées

Beaucoup de PME en Belgique ne seront pas directement soumises à NIS2. Pourtant, elles devront quand même s’adapter. Pourquoi ? Parce que NIS2 renforce aussi les exigences dans la chaîne de fournisseurs.

Prenons un exemple simple. Une PME bruxelloise fournit un service informatique, logistique ou de conseil à un acteur du secteur de la santé ou de l’énergie. Cet acteur, soumis à NIS2, doit s’assurer que ses fournisseurs respectent eux aussi des standards de sécurité minimaux. Il peut donc demander à la PME des garanties, une documentation ou même une certification.

Dans ce contexte, une PME qui ne s’est pas préparée risque de perdre des contrats ou de ne pas pouvoir répondre aux appels d’offres.

Les domaines où la pression est la plus forte sont : les services IT externalisés, le cloud, les outils Microsoft 365 et les accès à distance. Une PME qui gère des données sensibles ou des accès à des systèmes critiques de ses clients doit être particulièrement attentive.

Mesures concrètes à mettre en place

Les obligations NIS2 ne doivent pas être comprises comme une simple liste de documents à produire. Elles impliquent une vraie gestion des risques informatiques. L’entreprise doit savoir où sont ses faiblesses, quelles mesures existent déjà et quelles actions doivent être priorisées.

Pour une PME, les mesures concrètes peuvent être regroupées en plusieurs catégories.

Sécuriser les accès et les identités

La première priorité concerne les comptes utilisateurs. Aujourd’hui, beaucoup d’attaques commencent par un compte Microsoft 365 compromis, un mot de passe réutilisé ou un accès administrateur mal protégé.

Les actions recommandées sont :

    • activer l’authentification multifacteur ;
    • protéger les comptes administrateurs ;
    • supprimer les anciens comptes utilisateurs ;
    • limiter les droits d’accès ;
    • mettre en place des politiques d’accès conditionnel ;
    • utiliser un gestionnaire de mots de passe professionnel ;
    • surveiller les connexions suspectes.

Dans un environnement Microsoft 365, des outils comme Entra ID, Conditional Access, Defender et Intune peuvent fortement améliorer la sécurité, à condition d’être correctement configurés.

GVISION accompagne les PME dans la mise en place et la sécurisation de Microsoft 365 : comptes utilisateurs, MFA, droits d’accès, Exchange, SharePoint, OneDrive, Teams, Intune et protection des appareils.

Protéger les postes, serveurs et applications

La deuxième priorité concerne les appareils utilisés par l’entreprise : PC, laptops, serveurs, machines virtuelles, applications métiers, smartphones professionnels.

Une PME doit au minimum prévoir :

    • un antivirus professionnel ou une solution EDR ;
    • une gestion centralisée des mises à jour ;
    • un inventaire des appareils ;
    • une supervision des alertes critiques ;
    • une politique claire pour les appareils personnels ;
    • une protection contre les ransomwares ;
    • un durcissement des postes et serveurs.

L’objectif n’est pas seulement d’installer un outil. Il faut pouvoir suivre l’état réel du parc informatique et réagir rapidement lorsqu’un problème apparaît.

C’est précisément le rôle d’une infogérance structurée : surveiller, maintenir, sécuriser et documenter l’environnement informatique de l’entreprise.

Fiabiliser les sauvegardes

Les sauvegardes sont un pilier de la cybersécurité. En cas de ransomware, de suppression accidentelle ou de panne serveur, la question n’est pas “avez-vous une sauvegarde ?”, mais plutôt “pouvez-vous restaurer rapidement vos données ?”.

Une PME devrait vérifier :

    • quelles données sont sauvegardées ;
    • où les sauvegardes sont stockées ;
    • si une copie est isolée ou externalisée ;
    • si Microsoft 365 est également sauvegardé ;
    • à quelle fréquence les restaurations sont testées ;
    • combien de temps l’entreprise peut fonctionner sans serveur, mails ou applications métiers.

Une sauvegarde non testée donne une fausse impression de sécurité. Dans une démarche NIS2, il faut pouvoir prouver que la restauration fonctionne.

GVISION peut aider les PME à mettre en place une stratégie de sauvegarde adaptée : serveurs, postes critiques, Microsoft 365, OneDrive, SharePoint, Exchange, données locales et sauvegardes cloud.

Préparer la gestion des incidents

NIS2 met fortement l’accent sur la gestion des incidents. Une PME doit savoir quoi faire en cas de cyberattaque, de fuite de données, de compromission de compte ou d’indisponibilité importante.

Une procédure simple doit répondre à ces questions :

    • qui doit être contacté en premier ?
    • qui prend la décision d’isoler un poste ou un serveur ?
    • comment communiquer en interne ?
    • quels éléments faut-il conserver comme preuve ?
    • qui contacte le prestataire IT ?
    • comment redémarrer l’activité ?
    • quelles autorités ou parties prenantes doivent être informées si nécessaire ?

Même une procédure courte vaut mieux qu’une improvisation totale le jour de l’incident.

Documenter l’environnement informatique

La documentation est souvent le point faible des PME. Pourtant, sans documentation, il est difficile de prouver que l’environnement est maîtrisé.

Une documentation de base devrait inclure :

    • l’inventaire des postes et serveurs ;
    • la liste des logiciels critiques ;
    • la documentation réseau ;
    • les accès administrateurs ;
    • les procédures de sauvegarde ;
    • les contrats IT ;
    • les procédures d’onboarding et offboarding ;
    • les mesures de sécurité en place ;
    • les rapports de supervision.

Cette documentation facilite la conformité, mais aussi le support quotidien.

Chez GVISION, nous recommandons toujours de transformer la documentation IT en outil opérationnel. Elle doit aider à résoudre plus vite les incidents, faciliter les remplacements de matériel, sécuriser les accès et éviter que toute la connaissance informatique repose sur une seule personne.

Risques concrets pour une PME qui ne se prépare pas

Ne pas se préparer à NIS2 peut créer plusieurs risques pour une PME.

Le premier risque est opérationnel. Une cyberattaque peut bloquer les mails, les fichiers, les applications métiers, le serveur RDP, l’ERP, la téléphonie VoIP ou l’accès aux données clients. Pour une PME, quelques heures d’indisponibilité peuvent avoir un impact significatif sur l’activité.

Le deuxième risque est commercial. Les grandes entreprises et les organisations publiques intègrent de plus en plus des critères de sécurité informatique dans leurs appels d’offres et contrats fournisseurs. Une PME qui ne peut pas démontrer un niveau minimal de maturité cybersécurité risque de perdre des marchés.

Le troisième risque est juridique et réglementaire. Si une organisation directement soumise à NIS2 subit un incident en partie lié à un fournisseur mal sécurisé, des questions de responsabilité peuvent émerger. De plus, si une PME est directement soumise à NIS2 et ne respecte pas ses obligations, elle s’expose à des sanctions.

Enfin, le risque de réputation est réel. Une fuite de données clients, un ransomware ou une compromission de messagerie peut affecter durablement la confiance des clients et partenaires.

NIS2 Bruxelles :spécificités et enjeux locaux

Les PME situées à Bruxelles évoluent dans un environnement particulier. La région concentre de nombreuses ASBL, cabinets, sociétés de services, organismes publics, institutions internationales, entreprises B2B et fournisseurs de grands comptes.

Cette proximité avec des organisations plus réglementées augmente les exigences. Une PME bruxelloise peut rapidement être confrontée à des demandes de sécurité plus strictes, même si elle n’est pas directement visée par NIS2.

Pour les entreprises locales, les priorités sont souvent les suivantes :

    • sécuriser Microsoft 365 ;
    • protéger les accès à distance ;
    • mettre en place une infogérance structurée ;
    • documenter le réseau et les serveurs ;
    • fiabiliser les sauvegardes ;
    • protéger les postes utilisateurs ;
    • former les équipes aux risques de phishing ;
    • disposer d’un prestataire IT réactif à Bruxelles ou en Belgique.

Le support informatique local reste important. En cas de panne critique, d’incident réseau ou de problème serveur, une intervention rapide peut faire la différence. Un prestataire IT qui connaît l’environnement de la PME peut également mieux prioriser les actions et éviter des solutions trop lourdes ou mal adaptées.

GVISION accompagne les PME à Bruxelles et en Belgique avec une approche pratique : support informatique, infogérance, Microsoft 365, cybersécurité, sauvegarde, infrastructure réseau, serveurs, cloud et téléphonie VoIP. L’objectif est d’avoir un environnement fiable, sécurisé et maintenu dans le temps.

Par où commencer ? Une approche progressive

Pour avancer efficacement, une PME ne doit pas commencer par acheter plusieurs outils au hasard. La bonne approche est progressive.

1. Vérifier si votre PME est concernée

La première étape consiste à analyser votre situation : taille de l’entreprise, secteur d’activité, services fournis, clients et fournisseurs. Cette analyse permet de déterminer si vous êtes directement visé, indirectement impacté ou simplement soucieux de précaution.

2. Réaliser un audit informatique et sécurité

Un audit permet d’évaluer l’état réel de votre infrastructure : postes, serveurs, accès, Microsoft 365, sauvegardes, droits utilisateurs, réseau, téléphonie et applications métiers. Il identifie les failles existantes et permet de construire un plan d’action priorisé.

3. Mettre en place les mesures prioritaires

Sur la base de l’audit, on sélectionne les actions à mener en premier : MFA, sauvegardes, mise à jour, protection des postes, droits d’accès, formation des utilisateurs. Ces mesures de base ont souvent le plus grand impact pour le moindre coût.

4. Documenter et structurer

La conformité NIS2 repose aussi sur la capacité à prouver ce qui a été mis en place. Il faut donc documenter l’environnement, les mesures de sécurité, les procédures et les responsabilités. Cette documentation est aussi utile au quotidien pour le support et la maintenance.

5. Maintenir et superviser dans le temps

La cybersécurité n’est pas un projet ponctuel. Il faut maintenir les systèmes à jour, surveiller les alertes, réviser les accès régulièrement et adapter les mesures en fonction de l’évolution de l’entreprise et des menaces.

C’est l’approche que GVISION recommande : progressive, adaptée à chaque PME, orientée résultats concrets et maintenue dans le temps.

GVISION et la préparation NIS2 :une approche pragmatique pour les PME belges

Pour beaucoup de PME, gérer seules l’ensemble des exigences NIS2 est difficile. Les dirigeants n’ont pas toujours le temps, les compétences internes ou les outils nécessaires pour suivre correctement la sécurité informatique.

GVISION accompagne les PME belges avec une approche pragmatique : sécuriser ce qui est critique, documenter ce qui doit l’être, mettre en place des outils adaptés et maintenir l’environnement dans le temps.

Notre accompagnement peut inclure :

    • audit informatique et cybersécurité ;
    • sécurisation Microsoft 365 ;
    • mise en place MFA et gestion des accès ;
    • protection des postes et serveurs ;
    • sauvegarde locale, cloud et Microsoft 365 ;
    • supervision et maintenance ;
    • documentation informatique ;
    • support utilisateurs ;
    • gestion des incidents ;
    • infogérance avec suivi régulier ;
    • conseils pour améliorer la maturité cybersécurité.

L’objectif n’est pas de vendre une solution unique à toutes les entreprises. Une PME de 10 utilisateurs, une ASBL, un cabinet comptable, une société de construction ou une entreprise avec plusieurs sites n’ont pas les mêmes priorités.

La bonne approche consiste à partir de l’existant, identifier les risques les plus importants et construire un plan d’action réaliste.

Microsoft 365 et NIS2 :un environnement à sécuriser en priorité

Microsoft 365 est devenu central dans beaucoup de PME belges. Les mails, fichiers, calendriers, Teams, SharePoint et OneDrive sont souvent au cœur du fonctionnement quotidien.

Mais Microsoft 365 mal configuré peut aussi devenir une porte d’entrée pour les cyberattaques. Dans une démarche NIS2 PME Belgique, il est donc essentiel de sécuriser correctement l’environnement.

Les points clés sont :

    • activer MFA pour tous les utilisateurs ;
    • configurer les politiques d’accès conditionnel ;
    • activer Defender for Business ;
    • configurer les boîtes mails contre le phishing et le spam ;
    • gérer les droits SharePoint et OneDrive ;
    • sauvegarder Microsoft 365 avec un outil tiers ;
    • surveiller les connexions et alertes via Entra ID et Defender ;
    • gérer les appareils avec Intune ;
    • former les utilisateurs aux bonnes pratiques.

GVISION propose une sécurisation complète de Microsoft 365 : comptes, MFA, Entra ID, Conditional Access, Exchange, SharePoint, OneDrive, Teams, Intune, Defender et sauvegardes.

Comment choisir son prestataire IT pour NIS2 ?

Le choix du prestataire IT est une étape importante. La conformité NIS2 ne repose pas uniquement sur des outils, mais sur une méthode, une documentation et un suivi.

Un bon prestataire doit être capable de comprendre la réalité d’une PME : budget limité, besoin de simplicité, dépendance aux outils métiers, nécessité d’aller vite et importance de la continuité d’activité.

Avant de choisir un partenaire, posez les questions suivantes :

    • peut-il réaliser un audit informatique clair ?
    • connaît-il Microsoft 365, Entra ID, Intune, Defender et SharePoint ?
    • propose-t-il une infogérance avec monitoring et reporting ?
    • peut-il gérer les sauvegardes et les tests de restauration ?
    • documente-t-il l’environnement informatique ?
    • propose-t-il une procédure de gestion d’incident ?
    • peut-il intervenir rapidement à Bruxelles ou en Belgique ?
    • comprend-il les enjeux des PME B2B ?
    • peut-il accompagner l’entreprise dans la durée, et pas seulement lors d’un incident ?

Les livrables sont également importants. Un accompagnement sérieux doit produire des éléments concrets :

    • rapport d’audit ;
    • plan d’action priorisé ;
    • documentation réseau ;
    • inventaire des équipements ;
    • rapport de sécurité ;
    • état des sauvegardes ;
    • procédure d’incident ;
    • recommandations budgétisées.

Pour une PME, l’objectif n’est pas d’obtenir un dossier théorique de 100 pages. L’objectif est d’avoir une sécurité réelle, compréhensible et maintenable.

C’est la philosophie de GVISION : proposer un accompagnement clair, adapté aux PME belges et orienté vers des résultats concrets.

Conclusion :NIS2 est une opportunité de renforcer votre sécurité informatique

NIS2 n’est pas uniquement une nouvelle obligation réglementaire. C’est aussi une occasion de revoir sérieusement la sécurité informatique de votre entreprise.

Pour une PME en Belgique, la priorité est de répondre à trois questions :

  1. Sommes-nous directement ou indirectement concernés par NIS2 ?
  2. Notre infrastructure informatique est-elle suffisamment sécurisée ?
  3. Avons-nous les preuves, procédures et sauvegardes nécessaires en cas d’incident ?

La meilleure façon d’avancer est de commencer par un audit informatique. Celui-ci permet d’identifier les risques, de prioriser les actions et de construire une feuille de route adaptée à votre PME.

Que vous soyez basé à Bruxelles, en Wallonie ou en Flandre, la cybersécurité devient un critère de confiance. Les entreprises qui anticipent seront mieux préparées, plus crédibles auprès de leurs clients et plus résistantes face aux incidents.

GVISION accompagne les PME belges dans leur préparation NIS2, leur infogérance, leur cybersécurité et leur environnement Microsoft 365.

Vous souhaitez savoir si votre PME est concernée par NIS2 ou obtenir un plan d’action concret ? Contactez GVISION pour réaliser un audit informatique et cybersécurité de votre entreprise.

FAQ — NIS2 PME Belgique

Une petite PME belge est-elle automatiquement concernée par NIS2 ?

Non, toutes les petites PME ne sont pas automatiquement concernées. L’application dépend notamment de la taille, du secteur d’activité et du service fourni. Toutefois, une petite PME peut être indirectement impactée si elle est fournisseur ou sous-traitant d’une organisation soumise à NIS2.

Quelles sont les sanctions en cas de non-conformité NIS2 ?

Pour les entités essentielles directement soumises à NIS2, les sanctions peuvent être significatives. Pour les autres, les risques sont plutôt commerciaux et contractuels : perte de marchés, exigences des clients, difficultés d’accès à certains appels d’offres.

Quelle est la différence entre NIS et NIS2 ?

NIS2 élargit significativement le périmètre d’application par rapport à NIS. Plus de secteurs sont concernés, les exigences sont renforcées, et la responsabilité de la direction est explicitée. NIS2 met également davantage l’accent sur la sécurité de la chaîne d’approvisionnement.

Que doit faire concrètement une PME face à NIS2 ?

La première étape est d’évaluer si la PME est directement ou indirectement concernée. Ensuite, un audit informatique permet d’identifier les failles existantes. Les mesures prioritaires sont généralement : MFA, sauvegardes, protection des postes, droits d’accès et documentation.

GVISION accompagne-t-il les PME sur NIS2 ?

Oui. GVISION propose un accompagnement pratique : audit, plan d’action, sécurisation Microsoft 365, infogérance, sauvegardes et documentation. L’objectif est de mettre en place une sécurité réelle, adaptée à la taille et aux besoins de la PME.

NIS2 s’applique-t-il aux ASBL et organismes publics belges ?

Oui, dans de nombreux cas. Les administrations publiques sont concernées et certaines ASBL opérant dans des secteurs essentiels peuvent également être visées. Il est important d’évaluer chaque situation individuellement.

Répondez à 20 questions en moins de 3 minutes et recevez votre score immédiatement.

Check-up NIS2 gratuit pour les PME belges – Fill out form

PREV

Support SharePoint Bruxelles : 10 solutions essentielles pour sécuriser et organiser vos documents

NEXT

Support informatique pour cabinets médicaux à Bruxelles : GVISION accompagne les médecins, maisons médicales et professionnels de santé