À partir du 18 octobre 2024, de très nombreuses entreprises et institutions fournissant des services essentiels seront soumises à des normes de cybersécurité plus strictes. C’est en effet ce jour-là que la loi dite NIS2 entrera en vigueur. Il s’agit de la loi belge qui met en œuvre les exigences européennes de la directive NIS2 sur la cybersécurité (directive 2022/2555). Un certain nombre d’éléments devaient encore être précisés dans un arrêté royal, comme les règles relatives à la supervision des entreprises et institutions concernées. Cet arrêté royal sur la cybersécurité a été publié au Moniteur belge du 24 juin.
Désignation des autorités compétentes
L’arrêté royal du 9 juin 2024 sur la cybersécurité désigne le Centre pour la Cybersécurité Belgique (CCB) comme autorité nationale de cybersécurité. Le service d’inspection de ce centre est chargé entre autres d’effectuer des contrôles pour s’assurer que les entités essentielles et importantes prennent les mesures adéquates pour gérer les risques en matière de cybersécurité et respectent les règles en matière de notification des incidents. Les membres du service d’inspection reçoivent une carte de légitimation (dont le modèle est repris à l’annexe de l’arrêté royal sur la cybersécurité), ainsi qu’une rétribution pour les prestations d’inspection.
L’arrêté désigne en outre une série d’autorités sectorielles compétentes. Pour le secteur de l’énergie, il désigne par exemple le ministre fédéral en charge de l’Énergie (ou, par délégation, un membre dirigeant du personnel de son administration). Le ministre peut également désigner un autre délégué pour chaque sous-secteur. Pour le secteur du transport par eau, il s’agit du ministre fédéral de la Mobilité maritime et pour le secteur des fournisseurs numériques, il s’agit du ministre fédéral de l’Économie.
Supervision
Les entités essentielles doivent, dans le cadre de leur supervision, se soumettre à une évaluation périodique de la conformité. Les entités importantes peuvent également s’y soumettre, mais ne sont pas obligées de le faire. Elles sont uniquement soumises à un contrôle a posteriori.
Le CCB élabore, met à jour et tient à la disposition du public un cadre de référence pour la réalisation de ces évaluations. Il s’agit surtout de modalités pratiques d’évaluation des mesures minimales de gestion des risques en matière de cybersécurité.
L’arrêté royal sur la cybersécurité détaille la procédure. Ainsi, dans le cadre de cette évaluation de la conformité basée sur le cadre de référence, les services essentiels obtiennent une certification par le biais d’une procédure d’audits réguliers effectués par un organisme d’évaluation de la conformité agréé par le CCB. La procédure d’agrément est également détaillée dans cet arrêté.
Lorsque des entités importantes optent pour une évaluation périodique de la conformité basée sur le cadre de référence, elles obtiennent un avis de vérification au moins au niveau important. Chaque année, elles procèdent à une auto-évaluation qui est contrôlée par un organisme d’évaluation de la conformité agréé. Si elles le souhaitent, elles peuvent également obtenir une certification par le biais d’une procédure d’audits réguliers.