+32(0)475337590

info@lawgitech.eu

Web Design

Your content goes here. Edit or remove this text inline.

Logo Design

Your content goes here. Edit or remove this text inline.

Web Development

Your content goes here. Edit or remove this text inline.

White Labeling

Your content goes here. Edit or remove this text inline.

VIEW ALL SERVICES 

NOS SERVICES
NOS OUTILS
TOUS LES ARTICLES

Transposition de la Directive NIS2 Cybersécurité en Belgique

By Lawgitech

21 mai 2024
cybersécurité NIS2

La Belgique a transposé la directive européenne NIS2 (Directive (UE) 2022/2555) afin d’établir un cadre légal robuste visant à renforcer la cybersécurité des réseaux et systèmes d’information critiques. Voici une synthèse des points essentiels de cette nouvelle législation.

Objectif et champ d’application

La transposition de la directive NIS2 vise à garantir un niveau élevé de cybersécurité pour les entités publiques et privées opérant dans des secteurs critiques. Sont concernées, notamment, les entreprises des secteurs de l’énergie, des transports, de la santé, de la finance, ainsi que les fournisseurs de services numériques essentiels tels que les services de cloud, DNS et les plateformes de réseaux sociaux​.

La loi entrera en vigueur le 18 octobre 2024.

Entités concernées :

La directive NIS2 s’adresse aux organisations d’une certaine taille qui fournissent des services dans des secteurs critiques repris dans les annexes I et II de la directive et de la loi.

La taille d’une entité est calculée sur base de l’annexe I de la recommandation 2003/361/CE de la Commission du 6 mai 2003.

Sauf exception, une organisation doit être considérée au moins comme une moyenne entreprise au sens de la recommandation pour se voir appliquer la directive NIS2. Une moyenne entreprise dispose d’un effectif équivalent au moins à 50 travailleurs à temps plein et/ou réalise un chiffre d’affaires annuel total (ou le total du bilan annuel) qui excède 10 millions d’euros (source CCB).

Les entités concernées sont classées en deux catégories : essentielles et importantes.

Les obligations de base pour les entités essentielles et importantes sont similaires en termes de mise en place de mesures de gestion des risques et de notification des incidents.

La différence entre entités essentielles et importantes réside principalement dans les mécanismes de contrôle et de sanctions. Les entités essentielles seront contrôlées de manière plus régulière et stricte que les entités importantes.

Sont essentielles les entités qui oeuvrent dans les secteurs critiques suivants :

    • Energie : entreprises de production, transport, distribution d’électricité, de gaz, et de pétrole.
    • Transport : gestionnaires de réseaux de transport (aérien, ferroviaire, maritime, routier).
    • Santé : hôpitaux, laboratoires pharmaceutiques, fournisseurs de services de santé.
    • Finance : banques, infrastructures de marchés financiers, services de paiement.
    • Espace : exploitants d’infrastructures terrestres pour les services spatiaux.
    • Infrastructure numérique : fournisseurs de points d’échange internet, services DNS, registres de noms de domaine, services d’informatique en nuage, services de centres de données, réseaux de diffusion de contenu, services de communication électronique publics et de confiance​.
    • Gestion des services TIC : fournisseurs de services gérés et de sécurité gérés
    • Autorités publiques : entités de l’administration publique dépendant de l’État fédéral et des entités fédérées, services de secours et d’incendie, services d’aide médicale urgente​.
    • Eau potable et eaux usées : Fournisseurs et distributeurs d’eau potable, entreprises de traitement des eaux usées​.

Les entités importantes énumérées sont les suivantes :

    • Services postaux et d’expédition : Prestataires de services postaux et d’expédition.
    • Gestion des déchets : Entreprises de gestion des déchets.​
    • Produits chimiques : Entreprises de fabrication, production et distribution de produits chimiques​​.
    • Alimentation : Entreprises du secteur alimentaire, production et transformation.
    • Fabrication : Entreprises de fabrication de  dispositifs médicaux, produits informatiques, appareils éléctriques, véhicules motorisés et autres moyens de transport​.
    • Digital providers : Fournisseurs de marketplaces en ligne, moteurs de recherche, plateformes de services de réseaux sociaux​.
    • Recherche : Organismes de recherche.​

Autorités compétentes et coordination

Autorité nationale de cybersécurité : L’autorité nationale de cybersécurité sera désignée par un prochain Arrêté Royal pour superviser l’application de la loi. Elle sera responsable de :

  1. La coordination entre les autorités fédérales et fédérées impliquées dans la cybersécurité.
  2. La supervision de la mise en œuvre de la stratégie nationale de cybersécurité.
  3. L’identification et la surveillance des entités essentielles et importantes​

Autorités sectorielles : Pour chaque secteur spécifique, des autorités sectorielles et des services d’inspection pourront également être désignés.

 

Principales obligations des entités essentielles et importantes

Les entités identifiées comme essentielles ou importantes doivent notamment :

1. Obligation d’identification :

Dans les cinq mois suivant l’entrée en vigueur de la loi, les entités essentielles, les entités importantes et les entités fournissant des services d’enregistrement de noms de domaine s’enregistrent auprès de l’autorité nationale de
cybersécurité selon les modalités pratiques fixées par cette autorité.

Le CCB devrait prochainement mettre un outil à disposition pour facilier l’enregistrement.

2. Adopter des mesures de gestion des risques en cybersécurité :

11 mesures sont indentifées pour cette gestion, elles portent sur :

  • les politiques relatives à l’analyse des risques et à la sécurité des
    systèmes d’information;
  • la gestion des incidents;
  • la continuité des activités, par exemple la gestion des sauvegardes
    et la reprise des activités, et la gestion des crises;
  • la sécurité de la chaîne d’approvisionnement, y compris les aspects
    liés à la sécurité concernant les relations entre chaque entité et ses
    fournisseurs ou prestataires de services directs;
  • la sécurité de l’acquisition, du développement et de la maintenance
    des réseaux et des systèmes d’information, y compris le
    traitement et la divulgation des vulnérabilités;
  • des politiques et des procédures pour évaluer l’efficacité des
    mesures de gestion des risques en matière de cybersécurité;
  • les pratiques de base en matière de cyberhygiène et la formation à
    la cybersécurité;
  • des politiques et des procédures relatives à l’utilisation de la
    cryptographie et, le cas échéant, du chiffrement;
  • la sécurité des ressources humaines, des politiques de contrôle
    d’accès et la gestion des actifs;
  • l’utilisation de solutions d’authentification à plusieurs facteurs ou
    d’authentification continue, de communications vocales, vidéo et
    textuelles sécurisées et de systèmes sécurisés de communication
    d’urgence au sein de l’entité, selon les besoins;
  • une politique de divulgation coordonnée des vulnérabilités.

3. Notifier les incidents significatifs au CSIRT national sans retard injustifié.

4. Se conformer aux standards et directives émis par l’autorité nationale de cybersécurité​

Mesures administratives et sanctions

La loi prévoit des amendes administratives sévères pour non-conformité et les autorités compétentes peuvent également imposer des mesures correctives aux entités fautives, incluant notamment des obligations de notification publique des violations​.

L’article 59 de la loi stipule les amendes administratives pouvant être imposées aux entités pour non-conformité avec la législation en matière de cybersécurité :

  1. Obligations d’information : une amende de 500 à 125,000 euros est prévue pour ceux qui ne respectent pas les obligations d’information.
  2. Protection des lanceurs d’alerte : une amende allant de 500 à 200,000 euros peut être infligée à toute entité qui pénalise une personne agissant en son nom pour avoir, de bonne foi et dans le cadre de ses fonctions, rempli ses obligations légales.
  3. Obligations de contrôle : le non-respect des obligations de contrôle peut entraîner une amende de 500 à 200,000 euros.
  4. Entités importantes : une amende significative de 500 à 7 millions d’euros ou 1,4% du chiffre d’affaires annuel mondial total de l’année précédente, le montant le plus élevé étant retenu, est imposée aux entités importantes qui ne respectent pas les obligations liées aux mesures de gestion des risques et à la notification d’incidents.
  5. Entités essentielles : Pour les entités essentielles, l’amende peut aller de 500 à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’année précédente, le montant le plus élevé étant retenu, si elles ne satisfont pas aux obligations concernant les mesures de gestion des risques et la notification d’incidents.

Conclusion

La transposition de la directive NIS2 en Belgique renforce significativement la sécurité des infrastructures critiques. En instituant des obligations strictes pour les entités essentielles et importantes et en centralisant la coordination sous une autorité nationale, cette loi vise à créer un environnement plus résilient face aux menaces cybernétiques.

La mise en œuvre de ces nouvelles exigences peut néanmoins nécessiter des ressources supplémentaires et une restructuration des processus internes afin de se conformer aux obligations prévues.

Les entités devront notamment mettre en place des mécanismes de surveillance continue pour assurer la conformité aux obligations de cybersécurité.

Pour plus de détails, vous pouvez consulter le texte complet de la loi adoptée le 26 avril 2024.

Besoin d’aide sur le sujet ? vous pouvez consulter la partie du site dédiée à la cybersécurité.

En savoir plus sur Lawgitech

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture