Cybersécurité : la détention de panneaux solaires peut faire basculer votre administration comme entité visée par « NIS2 »

L’objectif de la réglementation « NIS2 » est de renforcer la protection préventive des personnes physiques ou morales contre les cybermenaces et les cyberincidents, dont le nombre ne cesse d’augmenter.

Nous avions, en juillet 2024, communiqué de manière complète à ce sujet.

La loi NIS2 distingue deux situations :

-        Soit l’entité, privée ou publique, exerce certaines activités critiques et atteint une certaine taille ;

-        Soit l’entité, privée ou publique, est « stratégique » et ce, qu’elle que soit sa taille.

Pour être visé par la première situation, il faut, en principe :

-        Exercer une activité visée dans les annexes I ou II de la loi NIS2, et

-        Dépasser certains seuils (au moins un effectif de 50 unités de travail par année ou avoir un chiffre d'affaires annuel ou un bilan annuel total supérieur à 10 millions d'euros).

Il apparaît toutefois que le CCB a mis plusieurs fois à jour sa FAQ et que désormais doit être considérée comme activité visée la simple détention de panneaux solaires connectés au réseau électrique[1] (première des deux conditions à remplir[2]).

La version 2.1.3 de mars 2026 de la FAQ du CCB indique en effet : « les entités qui exploitent des panneaux solaires ou des éoliennes connectés au réseau électrique, même si elles consomment principalement elles-mêmes l'électricité autoproduite, sont considérées comme des producteurs (…) et entrent par conséquent dans le champ d'application de NIS2 si elles sont au moins une entreprise de taille moyenne »[3].

Le CCB dit encore : « Toutefois, il a été convenu au niveau de l'UE que ces "producteurs" ne sont pas les entités hautement critiques visées dans le sous-secteur de l'électricité de la directive NIS2. Par conséquent, ils restent dans le champ d’application de NIS mais une approche de supervision moins stricte peut leur être appliquée. En Belgique, ces entités peuvent justifier plus facilement l’usage d’un niveau inférieur du CyFun®.

En Belgique, les entités qui relèvent de la définition d'un service dans le sous-secteur de l'électricité, uniquement parce qu'elles produisent principalement de l'électricité pour leur propre consommation, conservent leur qualification NIS2 (essentielle ou importante), mais sont soumises à une supervision moins stricte. En pratique, elles doivent toujours s'enregistrer, signaler les incidents significatifs et appliquer des mesures de cybersécurité, mais l'utilisation d'un niveau d'assurance inférieur du CyberFundamentals (CyFun®) Framework (par exemple, Basic) pour se conformer à leurs obligations, sera considéré comme proportionné. Cette solution tient compte de l'impact sociétal et économique plutôt limité de leur production d'électricité »[4].

Le CCB distingue donc différentes situations :

-            L’entité possède des panneaux solaires et consomme toute l’électricité produite par elle-même : elle exercice une activité visée par la réglementation NIS2 si les panneaux solaires sont connectés au réseau ;

-            L’entité possède des panneaux solaires sans réinjection dans le réseau : l’entité n’exerce pas d’activité visée par NIS2 ;

-            L’entité loue un bâtiment muni de panneaux solaires sans les posséder mais en en consommant l’électricité : l’entité n’exerce pas une activité visée par la réglementation NIS2 ;

-            L’entité met à disposition un espace pour y placer des panneaux solaires exploités par une autre personne : l’entité n’exerce pas une activité visée par la réglementation NIS2 ;

-            L’entité achète de l’électricité à une autre organisation qui exploite des panneaux solaires placés sur le toit appartenant à l’entité : l’entité n’exerce pas une activité visée par la réglementation NIS2.

Nous ne manquons pas d’interpeller le CCB à propos de cette situation disproportionnée.

[1] https://atwork.safeonweb.be/fr/frequently-asked-questions-faq-nis2-et-cyberfundamentals.

[2] Pour une information complète sur les conditions et les conséquences, voyez notre actualité entièrement mise à jour en avril 2026 : https://www.uvcw.be/e-gov/actus/art-9012.

[3] Idem, pp. 32-33.

[4] Idem.