Depuis quelques années, le centre pour la Cybersécurité Belge constate que les cyberattaques ne sont pas seulement plus fréquentes, mais leur impact est aussi de plus en plus lourd de conséquences.
Depuis le 3 mai 2019, la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (« la Loi NIS ») qui transpose la directive européenne NIS (2016/1148/UE) en droit belge est entrée en vigueur.
Cette loi prescrit à certaines catégories d’entreprises (publiques ou privées) de s’armer contre les cyberattaques.
Votre entreprise est-elle concernée par la loi NIS ?
La loi NIS vise les cyberincidents, c’est à dire tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information (cela comprend donc les attaques volontaires mais aussi les événements fortuits).
La loi NIS fixe une série d’obligations en matière de cybersécurité pour les entreprises publiques et privés, les organisations, les institutions et les gouvernements qui offrent des « services essentiels » (“les OES”) ainsi que pour les fournisseurs de services numériques. (Les “DSP”)
Les OES sont certains acteurs des secteurs de l’énergie, des transports, des finances, de la santé, de la distribution d”eau potable ainsi que les infrastructures numériques.
Une autorité sectorielle par secteur est désignée par arrêté royal et identifie toutes les organisations qui sont des prestataires potentiels de services essentiels.
La loi NIS s’adresse également aux fournisseurs de services numériques (les “FSN”) terme qui vise explicitement les places de marché en ligne (Par exemple eBay ou Amazon), les moteurs de recherche en ligne (Google) mais aussi les service d’informatique en nuage (services cloud).
Sont exclus de cette catégorie les micro, petites et moyennes entreprises, c’est à dire les FSN occupant moins de 250 personnes et dont le chiffre d’affaires annuel ne dépasse pas 50 millions d’euros ou dont le total du bilan annuel n’excède pas 43 millions d’euros..
En ce qui concerne les services cloud, sont inclus dans cette catégorie “tous les opérateurs de services numériques qui donnent accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.”
Concrètement, sont donc inclus dans cette sous-catégorie tous les opérateurs d’une infrastructure en tant que service (IaaS), d’une plate-forme en tant que service (PaaS), mais aussi aux logiciels en tant que service (SaaS) qui ne sont pas dans un des cas d’exclusion.
Les fournisseurs de matériel informatique et les développeurs de logiciels sont explicitement exclus de cette sous- catégorie.
Obligations applicables aux OES et aux FSN concernées.
1/ Les acteurs concernés par la loi NIS doivent adopter des mesures techniques et organisationnelles nécessaires et proportionnées. afin de protéger le réseau et le système informatique contre les incidents.
Le caractère approprié des mesures techniques à adopter dépend de la taille, de l’importance et de la nature de l’organisation ainsi que de l’état des connaissances techniques. Sur le plan organisationnel sont notamment visées les procédures internes, les plans d’action et les formations internes en cybersécurité.
Ce type de mesures peut évidemment éventuellement se chevaucher avec les mesures techniques et organisationnelles adoptées par une entreprise ou une infrastructure dans le cadre du Règlement sur la protection des données à caractère personnel (Ci-après “RGPD”).
Il faut toutefois garder à l’esprit que les mesures à prendre dans le cadre de la loi NIS ont vocation de protéger les réseaux et les systèmes d’information d’une entreprise ou organisation dans son ensemble et pas uniquement certains types de données dans le cadre de leurs traitements comme c’est le cas pour le RGPD.
2/ Prévoir une “Politique de sécurité des réseaux et des systèmes d’information” (uniquement pour les OES) : les OES ont l’obligation de décrire ces mesures dans une « politique de sécurité des réseaux et des systèmes d’information » (« PSI ») à transmettre au SPF économie. Les PSI qui répondent aux normes ISO 270001 sont présumées conformes à la loi NIS jusqu’à preuve du contraire.
3/ Obligation de notifier des incidents : Les incidents sont des événements ayant un impact significatif sur la disponibilité, la confidentialité, l’intégrité ou l’authenticité des systèmes d’information dont sont tributaires les fournisseurs de services.
De tels incidents doivent être notifiés au Centre pour la Cybersécurité Belgique (CCB), à l’autorité sectorielle ou au CSIRT (centre national de réponse aux incidents de sécurité informatique) sectoriel et au Centre de crise du SPF Intérieur. Les prestataires du secteur financier doivent notifier leurs incidents à la Banque nationale et les plateformes de négociation à la FSMA.
Alors que l’obligation de notification à l’Autorité de protection des données en vertu du RGPD se limite aux incidents relatifs aux données à caractère personnel , celle de la loi NIS s’étend à tous les incidents qui compromettent gravement les réseaux et les services d’information.
4/ Délégué à la protection des données à caractère personnel : L’article 70 de la loi NIS prévoit que tout opérateur de services essentiels, tout fournisseur de service numérique et toute autorité qui traitent des données à caractère personnel, désignent un délégué à la protection des données.
Quelles sont les sanctions en cas de non-respect ?
Les infractions à la loi NIS sont passibles de sanctions administratives lourdes pouvant aller jusqu’à 200.000 euros ainsi que des sanctions pénales pouvant aller jusqu’à trois ans d’emprisonnement et jusqu’à 1.200.000 euros d’amende.
Conclusion
Vu la sévérité des sanctions, en tant qu’organisation ou entreprise qui tombe sous l’empire de la loi NIS, il est primordial de pouvoir démontrer de manière transparente et documentée que vous avez correctement évalué les cyber-risques propres à votre organisation ou entreprise.
Pour ceux qui sont concernés, il est important de prévoir une politique de sécurité et des mesures techniques et organisationnelles afin de protéger les réseaux et les systèmes d’information de votre entreprise.
Selon la loi NIS n’êtes donc plus seulement la victime d’une cyberattaque, mais vous pouvez également être pénalement responsable.
Il peut aussi etre judicieux de contracter une assurance spécifique aux cyber-risques.