Dans sa directive NIS2, l’Europe renforce sensiblement les exigences en matière de cybersécurité pour les entités essentielles de l’Union. Cette directive s’appuie sur la première directive européenne sur la cybersécurité, la directive NIS1 de 2016, tout en allant plus loin. Elle élargit considérablement le champ d’application et soumet davantage de secteurs et d’activités aux obligations en matière de cybersécurité. Sont par exemple considérés comme des services essentiels ceux qui sont fournis dans des domaines tels que l’énergie, le transport, la santé, les infrastructures numériques, les technologies de l’information et de la communication, l’eau potable, l’administration publique et l’espace. Les autres secteurs critiques sont entre autres les services postaux et d’expédition, la gestion des déchets et la fabrication, la production et la distribution de produits chimiques. La nouvelle directive prévoit également des mesures plus strictes en ce qui concerne la gestion des risques en matière de cybersécurité et les obligations de notification des incidents et renforce le système de supervision et d’exécution.

Ces dispositions ont été transposées en avril par la loi NIS2. Le gouvernement arrête aujourd’hui les modalités d’exécution nécessaires.

L’arrêté royal du 9 juin 2024 sur la cybersécurité désigne le Centre pour la Cybersécurité Belgique (CCB) comme autorité nationale de cybersécurité. Le service d’inspection de ce centre est chargé entre autres d’effectuer des contrôles pour s’assurer que les entités essentielles et importantes prennent les mesures adéquates pour gérer les risques en matière de cybersécurité et respectent les règles en matière de notification des incidents. Les membres du service d’inspection reçoivent une carte de légitimation (dont le modèle est repris à l’annexe de l’arrêté royal sur la cybersécurité), ainsi qu’une rétribution pour les prestations d’inspection.

L’arrêté désigne en outre une série d’autorités sectorielles compétentes. Pour le secteur de l’énergie, il désigne par exemple le ministre fédéral en charge de l’Énergie (ou, par délégation, un membre dirigeant du personnel de son administration). Le ministre peut également désigner un autre délégué pour chaque sous-secteur. Pour le secteur du transport par eau, il s’agit du ministre fédéral de la Mobilité maritime et pour le secteur des fournisseurs numériques, il s’agit du ministre fédéral de l’Économie.

Les entités essentielles doivent, dans le cadre de leur supervision, se soumettre à une évaluation périodique de la conformité. Les entités importantes peuvent également s’y soumettre, mais ne sont pas obligées de le faire. Elles sont uniquement soumises à un contrôle a posteriori.

Le CCB élabore, met à jour et tient à la disposition du public un cadre de référence pour la réalisation de ces évaluations. Il s’agit surtout de modalités pratiques d’évaluation des mesures minimales de gestion des risques en matière de cybersécurité.

L’arrêté royal sur la cybersécurité détaille la procédure. Ainsi, dans le cadre de cette évaluation de la conformité basée sur le cadre de référence, les services essentiels obtiennent une certification par le biais d’une procédure d’audits réguliers effectués par un organisme d’évaluation de la conformité agréé par le CCB. La procédure d’agrément est également détaillée dans cet arrêté.

Lorsque des entités importantes optent pour une évaluation périodique de la conformité basée sur le cadre de référence, elles obtiennent un avis de vérification au moins au niveau important. Chaque année, elles procèdent à une auto-évaluation qui est contrôlée par un organisme d’évaluation de la conformité agréé. Si elles le souhaitent, elles peuvent également obtenir une certification par le biais d’une procédure d’audits réguliers.

Entrée en vigueur : le 5 juillet 2024. L’arrêté royal du 12 juillet 2019 portant exécution de la loi NIS1 est abrogé.