Lorsque l’on parle de la supervision dans le cadre de la loi, il faut distinguer les deux catégories d’entités : les entités essentielles et les entités importantes.

Les entités essentielles sont obligatoirement soumises à une évaluation périodique de la conformité. Cette évaluation est réalisé sur base du choix effectué par l’entité entre trois options : 

• soit une certification CyberFundamentals (CyFun®), octroyée par un organisme d’évaluation de la conformité agrée par le CCB (après accréditation par BELAC) ;
• soit une certification ISO/IEC 27001, délivrée par un organisme d'évaluation de la conformité (OEC) accrédité. Cette accréditation peut être délivrée par un organisme d'accréditation qui a signé la convention de reconnaissance mutuelle (MLA) dont relève la norme ISO 27001 dans le cadre de la coopération européenne pour l'accréditation (EA) ou de l'IAF (Forum international de l'accréditation);
• soit une inspection par le service d’inspection du CCB (ou par un service d’inspection sectoriel).

Le service d’inspection peut également à tout moment procéder à un contrôle des entités essentielles (en l’absence d’incident - ex ante – et après un incident - ex post).

Pour les entités importantes, la supervision est réalisée de manière « ex post », c’est-à-dire après un incident ou au vu d’éléments de preuve, d’indications ou d’informations selon lesquels une entité importante ne respecterait pas ses obligations (art. 48 loi NIS2). Mais ces entités peuvent également se soumettre de manière volontaire au même régime que les entités essentielles.

Les inspecteurs pourront se rendre sur place, faire des constatations par procès-verbaux et rédiger des rapports. Sur base de ces constatations, une procédure pourra être lancée afin d’enjoindre l’entité de mettre fin à la violation et, le cas échant, de prendre les mesures administratives appropriées, allant de l’avertissement à l’amende administrative. 

Les listes des amendes et mesures administratives peuvent être retrouvées aux articles 58, 59 et 60 de la loi.

La supervision est en principe effectuée par le service d’inspection de l’autorité nationale de cybersécurité. Cela étant, les autorités sectorielles pourront inspecter les entités de leur secteur en ce qui concerne les mesures de cybersécurité supplémentaires imposées par elles. Par ailleurs, la loi prévoit également des contrôles de manière conjointe, voire des délégations de contrôles à une autorité sectorielle afin de simplifier la supervision et de rationaliser les ressources de l’Etat.