Actualités juridiques

Application de NIS2 en Belgique : êtes-vous prêt pour les nouvelles règles en matière de cybersécurité ?

par | Oct 14, 2024 | Cybersécurité et accès à internet

La loi du 26 avril 2024, communément appelée « Loi NIS2 », renforce la cybersécurité en Belgique en transposant la directive européenne (UE) 2022/2555 sur la sécurité des réseaux et des systèmes d’information.

Cette loi entrera en vigueur le 18 octobre 2024. Elle remplace la loi NIS1 de 2019 et s’accompagne de l’arrêté royal du 9 juin 2024, qui désigne le Centre pour la Cybersécurité Belgique (CCB) comme l’autorité nationale en la matière.

Objectifs de la loi NIS2

La loi vise à améliorer la cybersécurité des services essentiels pour maintenir les activités sociales ou économiques critiques. Elle renforce la gestion des incidents et la supervision des entités fournissant ces services, tout en favorisant une meilleure coordination des politiques publiques de cybersécurité.

Qui est concerné ?

Critères généraux

Pour être soumis à la loi NIS2, une organisation doit :

  1. Fournir un service listé dans les annexes de la loi NIS2 au sein de l’Union européenne ;
  2. Dépasser la taille d’une PME (au moins 50 employés ou un chiffre d’affaires annuel supérieur à 10 millions d’euros) ;
  3. Être établie en Belgique.

Exceptions

Par exception à la règle générale, il est important de souligner que la loi NIS2 s’applique automatiquement à toutes les entités considérées comme exploitants d’infrastructures critiques au sens de la loi du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques, et ce, quelle que soit leur taille. Selon la loi NIS2, ces exploitants sont qualifiés d’entités essentielles.

Ensuite, les entités identifiées comme opérateurs de services essentiels (OSE) ou fournisseurs de services numériques (FSN) en vertu de la loi NIS1 relèvent en principe également de la loi NIS2 si elles dépassent les seuils de taille requis. Cela s’explique par le fait que le champ d’application de la directive NIS2 constitue une extension de celui de la directive NIS1.

Autres cas : désignation par le CCB (Centre pour la cybersécurité belge) et application indirecte via des clients soumis à NIS2

Même si certaines organisations ne relèvent pas de la loi NIS2, elles peuvent tout de même être affectées de deux manières.

Premièrement, le Centre pour la Cybersécurité Belge (CCB) peut identifier certaines organisations, indépendamment de leur taille, comme essentielles ou importantes dans quatre cas spécifiques :

  1. Si elles sont le seul fournisseur en Belgique d’un service essentiel à des activités critiques,
  2. Si une interruption de leur service pourrait nuire à la sécurité ou à la santé publique,
  3. Si une perturbation induirait un risque systémique important, notamment avec des répercussions transfrontalières,
  4. Si elles sont critiques en raison de leur importance nationale ou régionale pour un secteur particulier.

Cette identification se fait en concertation avec l’entité concernée et les acteurs impliqués, tels que les autorités sectorielles ou les entités fédérées.

Deuxièmement, une organisation peut être incluse dans la chaîne d’approvisionnement d’une entité NIS2 et se voir obligée de respecter des mesures de cybersécurité en vertu d’exigences contractuelles.

Les entités NIS2 doivent sécuriser leur chaîne d’approvisionnement, y compris en imposant certaines mesures à leurs fournisseurs.

Le CCB recommande aux organisations potentiellement concernées de se conformer au niveau « Basic » du cadre CyberFundamentals (CyFun®), une conformité qui pourrait être exigée par une entité NIS2

Obligations des entités NIS2

Les entités essentielles et importantes doivent respecter plusieurs obligations, dont :

  1. Enregistrement : Elles doivent s’enregistrer sur la plateforme Safeonweb@Work avant le 18 mars 2025.
  2. Mesures de gestion des risques : Elles doivent adopter des mesures techniques et organisationnelles adaptées pour protéger leurs réseaux et systèmes d’information contre les incidents.
  3. Notification des incidents : Les incidents significatifs doivent être signalés au CSIRT national (le CCB) dans un délai de 24 à 72 heures, selon leur gravité.
  4. Obligations et responsabilités de la direction
    Les organes de direction des entités NIS2 doivent approuver et surveiller les mesures de gestion des risques en cybersécurité. Sont considérés comme « membres d’un organe de direction » les personnes ayant le pouvoir d’administrer, représenter ou influencer les décisions de l’entité. Ils sont responsables en cas de non-conformité de l’entité à la loi.
  5. Coopération avec les autorités
    Les entités relevant de la loi NIS2 doivent collaborer avec les autorités nationales, notamment le CCB et les autorités sectorielles, via l’échange d’informations sur la sécurité des réseaux et des systèmes, et la coopération avec les services d’inspection. 

Supervision et sanctions

Les entités essentielles seront soumises à des évaluations régulières (y compris « ex ante »), tandis que les entités importantes seront contrôlées après un incident ou sur la base de preuves. En cas de non-conformité, des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial peuvent être imposées.

Comment MD-LEX peut vous aider ?

MD-LEX peut vous  accompagner dans l’étude de l’applicabilité de NIS2 à votre entreprise ainsi que la rédaction des politiques et des contrats nécessaires pour assurer votre conformité.

Pour plus d’informations ou une consultation sur mesure, n’hésitez pas à nous contacter : info@md-lex.be