NIS2 en France vs en Belgique : deux transpositions, deux calendriers
Même directive européenne, réalités opposées : la Belgique applique NIS2 depuis octobre 2024 avec un référentiel outillé (CyFun) et des échéances déjà tombées ; la France attend encore la promulgation de la loi Résilience et son référentiel (ReCyF) reste en version de travail. Voici le comparatif, critère par critère, et ce qu'il faut en faire selon votre situation.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
La réponse en 30 secondes
Belgique : NIS2 est en vigueur depuis le 18 octobre 2024 (loi du 26 avril 2024). Le CCB supervise, le référentiel CyFun est opérationnel, l'échéance d'auto-évaluation d'avril 2026 est passée et la vérification externe est attendue pour avril 2027. France : la transposition (loi Résilience) est encore au Parlement, promulgation attendue durant l'été 2026, décrets ensuite. L'ANSSI supervisera sur la base du ReCyF, aujourd'hui en version de travail. Environ deux ans d'écart séparent les deux calendriers.
Le comparatif critère par critère
| Critère | France | Belgique | Lecture |
|---|---|---|---|
| Texte de transposition | Projet de loi Résilience (examen en séance publique juillet 2026, promulgation attendue été 2026) | Loi du 26 avril 2024, publiée au Moniteur belge le 17 mai 2024 | BE en avance |
| Entrée en vigueur | Après promulgation + décrets (fin 2026 au plus tôt) | 18 octobre 2024 (en vigueur depuis 20 mois) | BE en avance |
| Autorité de supervision | ANSSI | CCB (Centre pour la Cybersécurité Belgique) | Équivalent |
| Référentiel technique | ReCyF : 20 objectifs de sécurité en 4 blocs, version de travail depuis mars 2026 | CyFun : 4 niveaux d’assurance (Small, Basic, Important, Essential), opérationnel et outillé | BE en avance |
| Portail d'enregistrement | MonEspaceNIS2 (test d’éligibilité disponible) | Safeonweb@work (enregistrement obligatoire, échéance mars 2025 passée) | Équivalent |
| Démonstration de conformité | À préciser par décrets ; le ReCyF fonctionnera par objectifs et moyens acceptables | CyFun vérifié/certifié ou certification ISO 27001 (présomption de conformité) | BE en avance |
| Échéances en cours | Aucune obligation datée avant les textes d’application | Auto-évaluation soumise au CCB (18 avril 2026, passée) ; niveau cible vérifié pour le 18 avril 2027 | FR a du temps |
| Premiers contrôles | Attendus en 2027 (entités essentielles d’abord) | Pouvoirs d’inspection du CCB actifs depuis octobre 2024 | FR a du temps |
| Sanctions maximales | 10 M€ / 2 % CA mondial (EE), 7 M€ / 1,4 % (EI) : plafonds directive, régime précisé par la loi | 10 M€ / 2 % CA mondial (EE), 7 M€ / 1,4 % (EI) : applicables dès maintenant | Équivalent |
« BE en avance » signale un dispositif belge déjà opérationnel ; « FR a du temps » signale une fenêtre française encore ouverte pour se préparer avant l'obligation.
Ce qui ne change pas d'un pays à l'autre
Les deux transpositions déclinent le même article 21 de la directive : gouvernance des risques, sécurité de la chaîne d'approvisionnement, gestion d'incidents avec notification rapide, continuité d'activité, chiffrement, contrôle d'accès et MFA, et surtout l'obligation d'éprouver l'efficacité des mesures.
Concrètement, les preuves techniques attendues sont les mêmes : inventaire à jour, accès maîtrisés et journalisés, sauvegardes testées, incidents notifiables sous 24 h, et des tests de sécurité documentés. Un test d'intrusion daté avec rapport, remédiation et re-test alimente indifféremment un dossier CyFun ou un futur dossier ReCyF. C'est le socle qui ne sera jamais perdu, quel que soit le texte final.
Ce que ça implique selon votre situation
Entreprise établie uniquement en France
Votre obligation formelle arrive avec la loi Résilience et ses décrets. La fenêtre actuelle sert à prendre de l'avance à coût maîtrisé : test d'éligibilité MonEspaceNIS2, écart mesuré sur les objectifs 1 à 15 du ReCyF, premières preuves techniques. Les entités qui attendent les décrets découvriront que l'essentiel du travail prend des mois.
Lire le guide ReCyF →Entreprise établie uniquement en Belgique
Vous êtes déjà dans le calendrier : enregistrement Safeonweb@work, auto-évaluation CyFun (échéance avril 2026 passée pour les entités essentielles) et vérification externe en ligne de mire pour avril 2027. Si le retard est pris, la priorité est un dossier de rattrapage documenté.
Lire le guide CyFun →Groupe présent des deux côtés de la frontière
Alignez-vous sur le régime le plus exigeant, aujourd'hui le belge, et capitalisez : une certification ISO 27001 bien périmétrée vaut démonstration en Belgique et couvrira une grande partie des objectifs français. Les preuves techniques (inventaire, accès, journalisation, tests d'intrusion) servent les deux dossiers sans double travail.
Voir la voie ISO 27001 →Sous-traitant ou fournisseur d’entités régulées
Même hors périmètre direct, les exigences arrivent par contrat : les entités régulées des deux pays doivent maîtriser leur chaîne d'approvisionnement. Les questionnaires sécurité belges référencent déjà le CyFun ; les français référenceront le ReCyF. Un rapport de pentest récent est la pièce la plus demandée.
NIS2 pour les sous-traitants →FAQ
Pourquoi la Belgique est-elle si en avance ?
Le CCB a pris le parti d'outiller la conformité avant l'échéance de transposition d'octobre 2024 : le CyFun existait depuis 2023, les organismes d'évaluation étaient accrédités et le portail d'enregistrement opérationnel. La France a choisi un véhicule législatif plus large (résilience des infrastructures critiques, trois directives transposées d'un coup), dont le calendrier parlementaire s'est étiré.
Un dossier CyFun servira-t-il pour le ReCyF ?
En grande partie, oui. Les deux référentiels déclinent les mêmes obligations de la directive et couvrent les mêmes fondamentaux : gouvernance, accès, incidents, continuité, tests. Les preuves techniques sont transposables ; seule la mise en forme (niveaux d'assurance côté belge, objectifs et moyens acceptables côté français) diffère.
Faut-il attendre la loi française pour agir ?
Le calendrier belge donne la mesure de ce qui attend les entreprises françaises : entre l'entrée en vigueur et la première échéance de preuve, il s'est écoulé 18 mois, et beaucoup d'entités belges sont quand même en retard. Inventaire, gouvernance et preuves techniques prennent des mois : la fenêtre avant la promulgation française est le meilleur moment pour les construire sans pression de contrôle.
Un seul socle de preuves pour les deux pays
Laucked réalise des tests d'intrusion à distance pour les entreprises françaises et belges francophones : livrables en français, méthodologie OWASP/PTES, preuves datées exploitables dans un dossier CyFun comme dans un futur dossier ReCyF.