LauckedLAUCKED
DiagnosticPentestGuardConformitéTarifs
Obtenir mon diagnostic · 48h
← Blog/4 juillet 20268 min de lecture

NIS2 en France vs en Belgique : deux transpositions, deux calendriers

Même directive européenne, réalités opposées : la Belgique applique NIS2 depuis octobre 2024 avec un référentiel outillé (CyFun) et des échéances déjà tombées ; la France attend encore la promulgation de la loi Résilience et son référentiel (ReCyF) reste en version de travail. Voici le comparatif, critère par critère, et ce qu'il faut en faire selon votre situation.

Lancer le diagnostic gratuitMise en conformité NIS2
R
Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

4 juillet 2026·8 min de lecture·Fondateurs·LinkedIn
OSCP · OSEP · OSWE
NDA avant échange
Méthodologie OWASP / PTES
Rapport exécutif + technique
Re-test inclus
Basé en France

La réponse en 30 secondes

Belgique : NIS2 est en vigueur depuis le 18 octobre 2024 (loi du 26 avril 2024). Le CCB supervise, le référentiel CyFun est opérationnel, l'échéance d'auto-évaluation d'avril 2026 est passée et la vérification externe est attendue pour avril 2027. France : la transposition (loi Résilience) est encore au Parlement, promulgation attendue durant l'été 2026, décrets ensuite. L'ANSSI supervisera sur la base du ReCyF, aujourd'hui en version de travail. Environ deux ans d'écart séparent les deux calendriers.

Le comparatif critère par critère

CritèreFranceBelgiqueLecture
Texte de transpositionProjet de loi Résilience (examen en séance publique juillet 2026, promulgation attendue été 2026)Loi du 26 avril 2024, publiée au Moniteur belge le 17 mai 2024BE en avance
Entrée en vigueurAprès promulgation + décrets (fin 2026 au plus tôt)18 octobre 2024 (en vigueur depuis 20 mois)BE en avance
Autorité de supervisionANSSICCB (Centre pour la Cybersécurité Belgique)Équivalent
Référentiel techniqueReCyF : 20 objectifs de sécurité en 4 blocs, version de travail depuis mars 2026CyFun : 4 niveaux d’assurance (Small, Basic, Important, Essential), opérationnel et outilléBE en avance
Portail d'enregistrementMonEspaceNIS2 (test d’éligibilité disponible)Safeonweb@work (enregistrement obligatoire, échéance mars 2025 passée)Équivalent
Démonstration de conformitéÀ préciser par décrets ; le ReCyF fonctionnera par objectifs et moyens acceptablesCyFun vérifié/certifié ou certification ISO 27001 (présomption de conformité)BE en avance
Échéances en coursAucune obligation datée avant les textes d’applicationAuto-évaluation soumise au CCB (18 avril 2026, passée) ; niveau cible vérifié pour le 18 avril 2027FR a du temps
Premiers contrôlesAttendus en 2027 (entités essentielles d’abord)Pouvoirs d’inspection du CCB actifs depuis octobre 2024FR a du temps
Sanctions maximales10 M€ / 2 % CA mondial (EE), 7 M€ / 1,4 % (EI) : plafonds directive, régime précisé par la loi10 M€ / 2 % CA mondial (EE), 7 M€ / 1,4 % (EI) : applicables dès maintenantÉquivalent

« BE en avance » signale un dispositif belge déjà opérationnel ; « FR a du temps » signale une fenêtre française encore ouverte pour se préparer avant l'obligation.

Ce qui ne change pas d'un pays à l'autre

Les deux transpositions déclinent le même article 21 de la directive : gouvernance des risques, sécurité de la chaîne d'approvisionnement, gestion d'incidents avec notification rapide, continuité d'activité, chiffrement, contrôle d'accès et MFA, et surtout l'obligation d'éprouver l'efficacité des mesures.

Concrètement, les preuves techniques attendues sont les mêmes : inventaire à jour, accès maîtrisés et journalisés, sauvegardes testées, incidents notifiables sous 24 h, et des tests de sécurité documentés. Un test d'intrusion daté avec rapport, remédiation et re-test alimente indifféremment un dossier CyFun ou un futur dossier ReCyF. C'est le socle qui ne sera jamais perdu, quel que soit le texte final.

Ce que ça implique selon votre situation

Entreprise établie uniquement en France

Votre obligation formelle arrive avec la loi Résilience et ses décrets. La fenêtre actuelle sert à prendre de l'avance à coût maîtrisé : test d'éligibilité MonEspaceNIS2, écart mesuré sur les objectifs 1 à 15 du ReCyF, premières preuves techniques. Les entités qui attendent les décrets découvriront que l'essentiel du travail prend des mois.

Lire le guide ReCyF →

Entreprise établie uniquement en Belgique

Vous êtes déjà dans le calendrier : enregistrement Safeonweb@work, auto-évaluation CyFun (échéance avril 2026 passée pour les entités essentielles) et vérification externe en ligne de mire pour avril 2027. Si le retard est pris, la priorité est un dossier de rattrapage documenté.

Lire le guide CyFun →

Groupe présent des deux côtés de la frontière

Alignez-vous sur le régime le plus exigeant, aujourd'hui le belge, et capitalisez : une certification ISO 27001 bien périmétrée vaut démonstration en Belgique et couvrira une grande partie des objectifs français. Les preuves techniques (inventaire, accès, journalisation, tests d'intrusion) servent les deux dossiers sans double travail.

Voir la voie ISO 27001 →

Sous-traitant ou fournisseur d’entités régulées

Même hors périmètre direct, les exigences arrivent par contrat : les entités régulées des deux pays doivent maîtriser leur chaîne d'approvisionnement. Les questionnaires sécurité belges référencent déjà le CyFun ; les français référenceront le ReCyF. Un rapport de pentest récent est la pièce la plus demandée.

NIS2 pour les sous-traitants →

FAQ

Pourquoi la Belgique est-elle si en avance ?

Le CCB a pris le parti d'outiller la conformité avant l'échéance de transposition d'octobre 2024 : le CyFun existait depuis 2023, les organismes d'évaluation étaient accrédités et le portail d'enregistrement opérationnel. La France a choisi un véhicule législatif plus large (résilience des infrastructures critiques, trois directives transposées d'un coup), dont le calendrier parlementaire s'est étiré.

Un dossier CyFun servira-t-il pour le ReCyF ?

En grande partie, oui. Les deux référentiels déclinent les mêmes obligations de la directive et couvrent les mêmes fondamentaux : gouvernance, accès, incidents, continuité, tests. Les preuves techniques sont transposables ; seule la mise en forme (niveaux d'assurance côté belge, objectifs et moyens acceptables côté français) diffère.

Faut-il attendre la loi française pour agir ?

Le calendrier belge donne la mesure de ce qui attend les entreprises françaises : entre l'entrée en vigueur et la première échéance de preuve, il s'est écoulé 18 mois, et beaucoup d'entités belges sont quand même en retard. Inventaire, gouvernance et preuves techniques prennent des mois : la fenêtre avant la promulgation française est le meilleur moment pour les construire sans pression de contrôle.

Un seul socle de preuves pour les deux pays

Laucked réalise des tests d'intrusion à distance pour les entreprises françaises et belges francophones : livrables en français, méthodologie OWASP/PTES, preuves datées exploitables dans un dossier CyFun comme dans un futur dossier ReCyF.

Lancer le diagnostic gratuitDemander un devis pentest

À lire ensuite

  • → CyFun : le guide complet côté Belgique
  • → ReCyF : les 20 objectifs ANSSI côté France
  • → Pentest en Belgique : missions à distance, livrables FR
  • → NIS2 : le guide complet pour les PME
  • → NIS2 pour les sous-traitants

Sources et références

  • Directive (UE) 2022/2555. NIS2
  • Loi du 26 avril 2024 (transposition NIS2). Moniteur belge
  • Projet de loi Résilience. vie-publique.fr
  • CyberFundamentals Framework. CCB
  • MonEspaceNIS2. ANSSI
LauckedLAUCKED

Diagnostic de surface, pentest expert (web, API, IA) et Guard pour les PME françaises exposées.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 6 95 27 70 36
6 certifications et qualifications →
Ils nous font confiance
Occi ServicesStorees+ missions sous NDA →

« Rapport opposable, clair pour la direction et actionnable côté tech. »CEO · retail PME · pentest web 2026

200+
pentests réalisés
40+
vulns critiques
10+
PME accompagnées

Produit

  • Diagnostic gratuit
  • Guard, suivi post-pentest
  • Exemple de rapport pentest
  • Comparatifs neutres
  • Audit Active Directory
  • Red Team
  • SOC managé / MDR
  • Cas d'usage PME
  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Pentest Paris
  • Pentest Belgique
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse

Entreprise

  • À propos
  • Centre de confiance
  • Auteur
  • Contact
Laucked · SIREN 907 522 304 · Tournefeuille
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données