Contactez-nous

Directive NIS-2 : risques, sanctions et impacts pour l’industrie

Mise a jour : janvier 2026

Directive européenne NIS-2 : renforcer la cybersécurité des acteurs industriels

Dans un contexte où la sécurité numérique est devenue un enjeu majeur, la nouvelle directive NIS-2 représente un tournant décisif. Elle a pour objectif de renforcer la cybersécurité au sein de l’UE et sera d’application dans notre pays dès le mois d’octobre. 2 400 entreprises sont concernées en Belgique et 66% des industriels intérrogés par B2C Engineering n’ont aucune idée des implications que cela va représenter pour leur entreprise.

Contexte et objectifs de la directive NIS-2

À Liège, en Belgique et à l’échelle de l’Europe, le constat est le même : de nombreuses entreprises sont aujourd’hui confrontées à des infrastructures obsolètes, des systèmes marqués par des vulnérabilités critiques. Cette urgence est d’autant plus accentuée avec l’émergence de l’industrie 4.0 qui repose, entre autres, sur l’interconnexion et la numérisation complète des processus industriels. Dans ce contexte de digitalisation croissante, des équipements initialement non conçus pour un usage externe se retrouvent exposés sur internet, augmentant le risque de pertes de contrôle.

La cybersécurité devient donc une priorité non seulement pour la protection des systèmes, et outils de production, mais aussi pour la sauvegarde des données sensibles des entreprises, de leurs employés et de leurs clients. Face au risque accru de fuites de données, les entreprises doivent se conformer à des normes rigoureuses, pour prévenir toute violation susceptible de les exposer à des risques juridiques et financiers majeurs.

Une réponse à la cybercriminalité pour 2.400 entreprises belges

La directive NIS-2 élargit significativement le périmètre des organisations soumises à des obligations de cybersécurité, en particulier dans le secteur industriel.

« Les cybercriminels agissent pour diverses raisons », explique Benjamin Beaurang, administrateur de B2C Engineering implanté à Fexhe-le-Haut-Clocher en région liégeoise mais aussi en France, au Luxembourg et en Suisse. 

« L’appât du gain est l’une des principales motivations, notamment par le biais des rançons exigées en échange de la restitution des données volées ou du rétablissement des systèmes informatiques. Pour d’autres, le piratage représente un défi technique et une source de divertissement, une manière de tester et de démontrer leurs compétences. »

Gregory Putman, Sales Specialist Industrial Networks & Security de SIEMENS, d’ajouter : « D’autres cybercriminels sont engagés par des entreprises pour saboter la concurrence. Et puis, il existe des motivations terroristes, où les cyberattaques visent à causer des dommages significatifs, comme la modification de la structure de l’eau pour nuire à la population. »

Portrait de Gregory Putman, partenaire Siemens

La nouvelle directive européenne NIS-2 sur la Sécurité des Réseaux et des Systèmes d’Information doit être transposée dans la législation nationale de chaque pays membre de l’Union Européenne avant le 17 octobre 2024. Celle-ci a déjà été votée en Belgique en avril 2024. Elle se veut être une réponse efficace face à la cybercriminalité bien présente en Europe.

Quelles entreprises industrielles sont concernées par la directive NIS-2

Secteurs industriels et activités visés

La nouvelle directive s’appliquera désormais à un éventail plus large de sociétés. Elle couvrira ainsi presque toutes les moyennes et grandes entreprises. En Belgique, plus de 2 400 entreprises sont concernées par la mise en application de la directive NIS-2.

Sont notamment concernés les secteurs de l’énergie, de l’eau, des transports, de la santé, de la chimie, de la pharmacie, de l’agroalimentaire, ainsi que les industriels opérant des infrastructures ou des systèmes critiques.

La directive distingue les entités essentielles des entités importantes. Cette classification conditionne le niveau d’exigence réglementaire, la fréquence des contrôles et la sévérité des sanctions en cas de non-conformité.

Quelles sont les obligations imposées par la directive NIS-2

« Actuellement, nombreux sont les industriels qui hésitent à déclarer les cyberattaques par crainte de perdre la confiance de leurs clients. Cette réticence les pousse souvent à payer les rançons exigées par les cybercriminels, afin d’éviter une mauvaise publicité et préserver leur image », ajoute Charles Costa, administrateur chez B2C Engineering et référent Cybersécurité.

Gestion des risques, résilience et continuité des opérations

Avec l’entrée en vigueur de la directive NIS-2 en octobre, des obligations concrètes et opérationnelles en matière de cybersécurité, sont applicables aux systèmes IT comme aux environnements industriels OT.

Cela inclut :

  • la sécurisation des accès,
  • la segmentation des réseaux industriels,
  • la protection des systèmes de supervision et de contrôle.

La directive impose une approche structurée de la gestion des risques cyber, intégrant l’identification des menaces, la prévention, la résilience des systèmes et la capacité à maintenir les opérations en cas d’incident.

Détection, déclaration et gestion des incidents de cybersécurité

Egalement, les industriels seront désormais obligés de déclarer toute cyberattaque subie. Ce sera la première fois qu’une loi imposera aux entreprises d’informer les autorités de ces incidents, renforçant ainsi la transparence et la sécurité du secteur.

Tous incidents significatifs devront être notifiés en 3 étapes :

  • Une alerte précoce dans les 24 heures (si l’incident est susceptible de faire tache d’huile)

  • Une notification d’incident complète dans les 72 heures (comme pour le RGPD)

  • Un rapport final dans le mois

Quelles sanctions en cas de non application de la NIS-2 ?

La NIS-2 ne se contente pas de poursuivre les efforts initiés précédemment par la NIS-1, à savoir : l’obligation pour les autorités nationales de consacrer davantage de capacité à la cybersécurité, le renforcement de la coopération européenne entre les autorités de cybersécurité ainsi que l’augmentation du nombre d’opérateurs importants et de secteurs critiques de notre société.

Elle innove en promouvant la mise en place de formations, en consolidant les accès et en imposant une responsabilité accrue aux directions d’entreprises. 

Télécharger la brochure NIS-2

Les sociétés devront adopter des mesures techniques et organisationnelles proportionnées pour gérer les risques.

En cas de non application de cette directive, un avertissement  sera transmis à l’industriel. Ensuite, si aucune évolution n’est constatée, l’amende peut s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires total annuel pour les entités essentielles et jusqu’à 7 millions pour les entités importantes. De plus, si une attaque a lieu et que l’entreprise n’est pas conforme à la NIS-2, la responsabilité du ou des dirigeant(s) sera engagée.

66% des industriels* dans le flou absolu face à la nouvelle directive NIS-2

Si nos équipes se positionnent en précurseur dans l’accompagnement des industriels vers la conformité de cette réglementation, notre groupe liégeois n’a pas attendu la nouvelle directive européenne pour faire de la cybersécurité une priorité.

Nous accompagnons chaque année une bonne quinzaine d’entreprises en matière de cybersécurité. Soit parce qu’elles ont fait l’objet d’une cyberattaque, soit pour sécuriser leurs données parfois hautement confidentielles comme dans le secteur du pharma. 

« Nos clients expriment un besoin croissant en cybersécurité industrielle, un domaine trop longtemps délaissé », souligne Charles Costa. « Nous sommes donc sollicités pour élaborer des stratégies de conformité sur mesure, offrant des solutions avant-gardistes. Mais notre ambition est d’intervenir en amont, prévenant les cyberattaques plutôt que de ne réagir qu’à leurs conséquences. Heureusement, nos clients ne se limitent pas à des situations de crise ! »

En mai dernier, B2C organisait ses Solutions Days 2024, un triple événement organisé à Namur, Valenciennes et Lyon. Un événement réservé aux industriels. 

Parmi le panel d’intervenants et/ou d’invités, de grands noms comme Arcelormittal, Groupe Spadel, Orange, Siemens, Aveva, Micromedia, Wallix, KEB, Valfrance Semences, BT4DM, UCB, Auvesy, Sonaca, Prayon, SWDE ou GSK.

Photo des Solutions Days de B2C Engineering à Namur

L’occasion de faire le point sur les dernières innovations technologiques et d’interroger les entreprises sur la nouvelle réglementation européenne

  • Question posée aux 80 participants : « À quel point êtes-vous au courant de l’application de la directive NIS-2 en octobre 2024 ? ». 
  • Réponse : 66% des industriels sondés avouent n’en avoir aucune idée ou une connaissance vague du sujet. Un nombre alarmant sachant que la nouvelle directive doit être d’application très prochainement.

B2C Engineering accompagne les industriels

S’appuyer sur un accompagnement spécialisé

« Les cyberattaques, ça n’arrive pas qu’aux autres », met en garde Benjamin Beaurang, administrateur de B2C Group. « Certains de nos clients ont failli mettre la clé sous le paillasson après avoir perdu toutes leurs sauvegardes. D’autres entreprises se sont retrouvées à l’arrêt durant plusieurs mois ou ont fait l’objet d’une demande de rançon. Heureusement, nos ingénieurs ont pu faire des petits miracles… Mais avec l’adoption de la directive européenne, toutes les entreprises vont désormais être appelées à renforcer leurs mesures de sécurité. »

Chez B2C, nos ingénieurs ont pour mission le design et la sécurisation des réseaux industriels via des pare-feu ou la mise à jour des infrastructures existantes pour éliminer les vulnérabilités. Pour ce faire, ils intègrent des solutions sur-mesure en s’appuyant sur les produits de partenaires tels que Siemens, Stormshield, Auvesy, Wallix, Darktrace. 

Objectif : répondre aux exigences immédiates, mais également d’envisager les évolutions futures, garantissant ainsi une protection durable et efficace.

Évaluer son niveau de cybersécurité industrielle

Nous accompagnons également les industriels pour la mise en conformité réglementaire :

  1. Réalisant l’audit complet en la matière
  2. Proposant un plan Multi-Annuel
  3. Mettant en place les mesures de mises en conformité y compris les policies et procédures.
  4. Restructurant le réseau ainsi que les équipements qui le composent
  5. Installant un système de monitoring du réseau.
Nos compétences en cybersécurité industrielle

Directive NIS-2 : les points clés à retenir pour les industriels

Obligations majeures

NIS-2 impose un renforcement des mesures de cybersécurité, une gestion structurée des risques, une capacité de réaction aux incidents et une responsabilité accrue des dirigeants.

Enjeux réglementaires et stratégiques

Pour les industriels, la directive NIS-2 constitue un levier de sécurisation des opérations, de conformité réglementaire et de crédibilité vis-à-vis des partenaires et autorités.

Le communiqué de presse complet
Notre étude de cas client

*Selon le sondage reccueilli lors des évènements Solutions Days 2024 organisés par B2C Engineering à Namur, Valenciennes et Lyon sur base de 80 personnes interviewées.