Le nouveau paquet de mesures sur la cybersécurité de la Commission européenne : la fin du champ d'application étendu des règles NIS2 dans le secteur de l'énergie ?

Fin janvier 2026, la Commission européenne a proposé des modifications de la directive NIS2 dans le cadre de son nouveau paquet sur la cybersécurité (proposition de la Commission). La directive NIS2 contient des règles relatives à la cybersécurité des réseaux et des systèmes d'information qui présentent un intérêt général pour la sécurité publique. Aujourd'hui, et bien que cela soit souvent négligé, ces règles NIS2 ont un champ d'application très large dans le secteur de l'énergie : elles s'étendent des grands opérateurs de réseau aux PME ayant installé des panneaux solaires principalement pour leur propre consommation.

Cette contribution aborde les principes fondamentaux et le champ d'application de la législation NIS2 actuelle, en mettant particulièrement l'accent sur le secteur de l'énergie. Il examine en outre de plus près les modifications proposées par la Commission européenne.

NIS2 en bref

La directive NIS2 a été transposée par la loi du 26 avril 2024 (« loi NIS2 ») et l’arrêté royal du 9 juin 2024. En substance, NIS2 s’applique aux entités qui sont au moins de taille moyenne au sens de la recommandation 2003/361/CE (voir notre précédente contribution pour plus d’informations sur les critères de taille). 

En outre, ces entités doivent être « actives » dans l’un des secteurs énumérés dans les annexes I ou II de la directive. Ces secteurs vont des transports, des soins de santé et de l’énergie (annexe I – secteurs hautement critiques) à l’industrie manufacturière, à la production alimentaire et aux produits chimiques (annexe II – autres secteurs critiques). Toutefois, et comme indiqué ci-dessous, le seuil d’« activité » dans le secteur de l’énergie est atteint plus rapidement qu’on ne pourrait s’y attendre.

Comme nous l’avons précisé dans notre précédente contribution, les entités NIS2 doivent se conformer à certaines obligations, telles que l’enregistrement auprès du Centre pour la cybersécurité de Belgique (« CCB ») et la garantie que les organes de direction approuvent et supervisent les mesures de cybersécurité, sous peine d’engager leur responsabilité personnelle en cas de manquement.

Les sanctions peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et 7 millions d’euros ou 1,4 % pour les entités importantes. En outre, la directive NIS2 introduit également la responsabilité personnelle des organes de direction en cas de non-respect de leurs obligations en matière de gestion des risques de cybersécurité.

Application de la législation NIS2 actuelle dans le secteur de l'énergie

Les gestionnaires de réseau, les fournisseurs de gaz, les producteurs, les exploitants de bornes de recharge, les exploitants de réseaux de chauffage urbain et plusieurs autres acteurs du secteur de l'énergie peuvent entrer dans le champ d'application, à condition qu'ils répondent au moins aux critères d'une entreprise de taille moyenne.

L'application de la directive NIS2 aux « producteurs d'énergie » est particulièrement pertinente, compte tenu de la définition large qui leur est attribuée. 

Un producteur d'énergie est défini comme « une personne physique ou morale qui produit de l'électricité ». Ce concept ne se limite pas aux professionnels principalement actifs dans le secteur de l'énergie, ni aux producteurs disposant d'une capacité installée minimale. La CCB a récemment déclaré qu’une entité exploitant des panneaux solaires ou des éoliennes raccordés au réseau électrique, est considérée comme un producteur, même lorsque l’électricité produite est principalement consommée par l’entité elle-même (voir la question 1.22.1.1 de la FAQ NIS2, datée de mars 2026). Par conséquent, une telle entité relève du champ d’application de la directive NIS2, à condition qu’elle soit au moins une entreprise de taille moyenne.

Concrètement, cela signifie qu'une entité qui produit de l'électricité principalement pour sa propre consommation, par exemple une entreprise ayant installé des panneaux solaires sur son immeuble de bureaux, peut relever du champ d'application de la directive NIS2 si elle répond aux critères définissant une moyenne ou une grande entreprise. 

Il en va de même pour les Entreprises de Services énergétiques (ESCO) qui exploitent des panneaux solaires pour alimenter en électricité un réseau de chauffage (décentralisé) ou des bornes de recharge pour véhicules électriques. Cette activité relève de la définition large de « producteur d’énergie » et peut donc être soumise à l’application de la législation NIS2. Cela s’ajoute à l’application autonome de la NIS2 aux opérateurs de réseaux de chauffage et de refroidissement urbains ainsi qu’aux opérateurs de bornes de recharge. 

Comme l'indique le CCB dans la FAQ NIS2, et conformément au considérant 4 de la proposition de la Commission, il a déjà été convenu au niveau de l'UE que les producteurs qui produisent principalement de l'électricité pour leur propre usage ne sont pas les entités hautement critiques pour lesquelles la directive NIS2 entend établir un niveau élevé de cybersécurité. Bien que cette conclusion n'entraîne pas, pour ces entités, la perte de leur qualification au titre de la loi NIS2, elles peuvent être soumises à une supervision moins stricte. Comme l'indique le CCB, cela signifie en pratique que, pour ces producteurs, le recours à un niveau d'assurance inférieur du cadre Cyber Fundamentals Framework pour satisfaire à leurs obligations est considéré comme proportionné. Cela ne change rien au fait que ces producteurs doivent tout de même s'enregistrer, signaler les incidents significatifs et appliquer des mesures de cybersécurité.

En résumé, la directive NIS2 s'applique actuellement à toutes les moyennes et grandes entreprises qui produisent de l'électricité, indépendamment de leur capacité de production ou de leur activité principale. Par conséquent, une moyenne entreprise qui a installé des panneaux solaires principalement pour sa propre consommation ou pour celle de ses clients doit aujourd'hui se conformer aux obligations fondamentales en matière de cybersécurité prévues par la directive NIS2.

Limitation du champ d'application dans la proposition de la Commission européenne

Cela pourrait toutefois changer à l’avenir. La Commission européenne a récemment publié un nouveau paquet de mesures sur la cybersécurité. Ce paquet comprend notamment une proposition visant à modifier la directive NIS2. Les modifications visent à simplifier le respect des obligations en matière de cybersécurité et à garantir une mise en œuvre rationalisée et cohérente du cadre réglementaire. 

Pour le secteur de l'énergie, la modification de l'annexe I revêt une importance particulière car elle introduit un seuil pour les producteurs d'énergie. La définition du producteur d'énergie serait modifiée afin de préciser que les producteurs dont la capacité de production totale ne dépasse pas 1 MW ne relèveront pas de la définition de « producteur d'énergie ». Cela représente une réduction significative du champ d'application. Cette modification est conforme à ce qui avait déjà été convenu au niveau européen et déterminé par le CCB, à savoir que les entités qui produisent de l'électricité principalement pour leur propre consommation ne sont pas les entités hautement critiques visées, et qu'un niveau de cybersécurité moins élevé est justifié pour elles.

En outre, la proposition de la Commission ajoute de nouvelles entités à la liste des secteurs critiques, telles que les opérateurs de stockage d'hydrogène et les opérateurs de réseaux de transport d'hydrogène. 

Que nous réserve l'avenir ? 

Tout cela a un impact significatif sur les règles de cybersécurité qui doivent être respectées dans le secteur de l’énergie. Toutefois, avant que cela ne devienne applicable, la proposition doit d’abord être adoptée par le Parlement européen et le Conseil, puis transposée par le législateur belge. Nous suivons bien sûr ces développements de près pour vous. 

Même si le champ d'application sera probablement plus limité à l'avenir, on ne saurait trop insister sur l'importance de la cybersécurité dans le secteur de l'énergie. Pour tous les producteurs d'électricité, les opérateurs de bornes de recharge et les gestionnaires de réseau, la cybersécurité reste une priorité absolue dans leurs activités. 

Eubelius se fera un plaisir de vous aider à vous mettre en conformité avec la directive NIS2 ou de répondre à toute question relative à celle-ci. N'hésitez pas à nous contacter.