À partir du 18 octobre 2024, des mesures plus strictes sont d’application pour ce qui concerne la sécurité des réseaux et des systèmes d’information des entités qui fournissent des services essentiels. Il s’agit, entre autres, des gestionnaires de réseau de distribution de gaz et d’électricité, des gestionnaires de ports, des autorités routières, des fournisseurs et des distributeurs d’eau potable et des prestataires de soins de santé. En modifiant sa législation, notre pays se conforme aux exigences de la directive NIS2 sur la cybersécurité (directive 2022/2555).
De la directive NIS1 à la directive NIS2
Le 18 octobre 2024, la loi dite NIS2 entre en vigueur. Notre pays renforce ainsi les mesures de cybersécurité, la gestion des incidents et le contrôle des entités qui fournissent des services essentiels pour le maintien d’activités sociétales ou économiques critiques. Cette loi améliore en outre la coordination des politiques publiques en matière de cybersécurité. Le législateur fédéral met ainsi en œuvre les dispositions de la deuxième directive sur la cybersécurité, la directive NIS2
(directive 2022/2555).
Cette directive succède à la directive NIS1 de 2016
(directive 2016/1148) (transposée par la
loi NIS1 du 7 avril 2019.) La directive NIS1 est la première directive européenne en matière de cybersécurité. Elle oblige notamment les États membres de l’Union européenne à élaborer des stratégies nationales en matière de cybersécurité et à coopérer au-delà des frontières pour lutter contre les cybermenaces et les cyberincidents. En application de cette directive, les États membres ont désigné un certain nombre d’opérateurs de services essentiels (OSE) qui sont tenus de prendre des mesures de sécurité spécifiques et sont soumis à une obligation de notification en cas d’incidents graves. Les services essentiels sont ceux qui sont essentiels pour le maintien d’activités sociétales ou économiques critiques, dans le domaine notamment de l’énergie, des transports, des banques, des soins de santé, de l’eau potable, de l’infrastructure numérique et de l’infrastructure des marchés financiers.
Depuis l’entrée en vigueur de la directive NIS1, les cybermenaces se sont toutefois multipliées et notre dépendance numérique s’est accrue, de sorte qu’un certain nombre d’adaptations se sont imposées. En conséquence, la directive NIS2 étend et renforce les règles. Le champ d’application est étendu à davantage de secteurs et d’entités, les règles d’identification des entités visées sont harmonisées (avec des critères adaptés), les exigences en matière de sécurité sont plus strictes, les acteurs concernés sont plus nombreux, les sanctions sont adaptées et les pouvoirs de contrôle sont renforcés, les obligations de notification des incidents sont étendues et la coopération transfrontalière est intensifiée. Tous ces éléments sont désormais inscrits dans notre droit national par le biais de la loi NIS2. La loi NIS1 est abrogée.
Services essentiels
Le champ d’application de la directive NIS2 est beaucoup plus large que celui de la directive NIS1. Une entité relève du champ d’application de la directive si elle est active dans l’un des (sous-)secteurs et types de services énumérés à l’annexe I (« Secteurs hautement critiques ») ou à l’annexe 2 (« Autres secteurs critiques ») de la directive et si elle est d’une certaine taille. C’est ce que prévoit également la loi. Pour notre pays, il s’agit de toutes les organisations publiques et privées établies en Belgique qui fournissent des services (dans l’Union européenne) ou exercent des activités énumérées dans les annexes de la loi et qui ont une certaine taille (conformément aux critères repris dans la loi). Il s’agit en fait de grandes et de moyennes entreprises (plus de 50 travailleurs et plus de dix millions d’euros de chiffre d’affaires annuel). Attention ! La loi prévoit des exceptions.
L’annexe 1 énumère les secteurs hautement critiques et l’annexe 2 les autres secteurs critiques. On entend par services essentiels, entre autres, l’énergie, les transports, la santé, l’infrastructure numérique, les services liés aux technologies de l’information et de la communication, l’eau potable, l’administration publique et l’espace. Les autres secteurs critiques comprennent, entre autres, les services postaux et d’expédition, la gestion des déchets et la fabrication, la production et la distribution de produits chimiques.
La distinction entre les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN) est supprimée. Désormais, la loi fait une distinction entre les services essentiels et les services importants. Cette distinction se fait automatiquement sur la base de la taille de l’entité et du type d’entité.
Mesures de sécurité
Les entités qui relèvent du champ d’application de la loi NIS2 sont tenues de prendre des mesures appropriées et proportionnées pour sécuriser leurs réseaux et leurs systèmes d’information, pour prévenir et gérer les cybermenaces et les incidents, et pour limiter les conséquences des incidents sur les destinataires de leurs services et sur d’autres services. Il s’agit, entre autres, de mesures de gestion des risques, d’analyses des risques, de formations en matière de cybersécurité, de l’obligation de prendre des mesures de sécurité à l’égard du personnel, etc.
Les entités concernées ont également l’obligation de notifier les incidents graves et significatifs. L’entité envoie une alerte précoce sans délai, au plus tard 24 heures après avoir eu connaissance de l’incident significatif. L’entité notifie ensuite l’incident sans délai et au plus tard 72 heures après en avoir eu connaissance. L’entité remet un rapport final dans le mois qui suit la clôture définitive de l’incident.
Outre la notification obligatoire des incidents graves et significatifs par les entités essentielles et les entités importantes, la loi prévoit la possibilité, pour les entités qui ne relèvent pas de son champ d’application, de notifier volontairement, par exemple, des incidents non significatifs et des incidents significatifs, des cybermenaces ou des quasi incidents.
Contrôles
Le service d’inspection de l’autorité nationale de cybersécurité (le Centre pour la Cybersécurité Belgique) est chargé d’effectuer des contrôles pour vérifier si les entités essentielles et les entités importantes respectent les mesures appropriées de gestion des risques en matière de cybersécurité et les règles relatives à la notification des incidents.
Les entités essentielles doivent, dans le cadre de ces contrôles, se soumettre régulièrement à une évaluation de la conformité. Les entités importantes peuvent également, mais ne doivent pas, se soumettre à une évaluation régulière de la conformité. Les entités importantes ne sont soumises qu’à un contrôle a posteriori.
Enfin, le législateur indique quelles sont les mesures et amendes administratives que les autorités de contrôle compétentes peuvent imposer aux entités essentielles ou aux entités importantes et quelle est la procédure à suivre préalablement. Parmi les mesures possibles figurent les alertes, les recommandations, le contrôle, les instructions contraignantes, les inspections ciblées et ad hoc, les obligations de divulgation et les amendes administratives.
Obligation d’enregistrement
Toutes les entités qui sont visées par la loi doivent s’enregistrer auprès du CCB et lui fournir des informations précises sur leurs activités.
Entrée en vigueur : le 18 octobre 2024.
