Transposition en droit belge de la Directive NIS : êtes-vous impacté?

Ce mardi 25 juin, CREOBIS organisait la première conférence consacrée à la loi du 7 avril 2019 transposant la directive NIS et établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique.  Cette nouvelle loi est entrée en vigueur le 3 mai 2019 et s’applique aux opérateurs publics ou privés fournissant des services essentiels. C’est une première en Belgique puisque, jusqu’à présent, elle ne disposait pas de cadre juridique pour la sécurité informatique.

Le législateur a opté pour une « risk based approach » pour inciter les opérateurs à adopter volontairement une démarche de réflexion stratégique sur leur sécurité informatique.

Comment savoir si votre entreprise fournit des services essentiels et entre dans le champ d’application de la nouvelle loi ? 

Tout d’abord, vous devez fournir des services dans l’un de ces secteurs d’activité : l’énergie, le transport, la finance, la santé, l’eau potable ou l’infrastructure numérique.

Ensuite, ces services doivent remplir ces 3 critères :

  1. Être essentiels au maintien d’activités sociétales et / ou économiques critiques.
  2. Dépendre d’un réseau ou d’un système d’information.
  3. Concerner des incidents qui auraient des effets perturbateurs importants sur la fourniture du produit ou service.

Enfin, les opérateurs de services essentiels seront désignés par leur autorité sectorielle, au plus tard au début du mois de novembre 2019. Comme il s’agira d’un acte administratif individuel qui sera pris et notifié, il y aura également la possibilité d’introduire un recours.

Qui sont les autorités sectorielles et quel est leur rôle ?

Les autorités sectorielles sont mentionnées ci-dessous. Elles seront confirmées par AR au cours des prochaines semaines.

  1. Le SPF économie pour l’énergie.
  2. Le SPF Mobilité pour les transports.
  3. La BNB pour les banques et la FSMA pour les infrastructures de marché financiers et les plateformes.
  4. Le SPF santé publique pour la santé.
  5. Pour l’eau potable, l’autorité sectorielle sera créée dans les prochains mois.
  6. L’IBPT pour l’infrastructure numérique.

Comme mentionné précédemment, ce sont les autorités sectorielles qui désigneront, par voie administrative, les opérateurs de services essentiels au plus tard au début du mois de novembre 2019.

Chaque autorité sectorielle aura la possibilité d’aller au-delà de la loi et de prendre des mesures supplémentaires pour son secteur. Par exemple, elles pourront établir des critères propres pour la définition des opérateurs de services essentiels.

Toutes les règles sectorielles préexistantes restent en place.

Les autorités sectorielles seront elles-mêmes chapeautées par le CERT.BE, le service opérationnel du Centre pour la Cybersécurité Belgique (CCB).

Au niveau national, le CERT.BE est chargé de détecter, d’observer et d’analyser les problèmes de sécurité informatique. Il participe également à la diffusion des messages d’alerte et à l’amélioration de la coopération transectorielle et transfrontalière.

Audit et contrôle

L’objectif de cette loi est d’augmenter le niveau de sécurité et non de faire le gendarme. Pour ce faire, un audit interne devra être réalisé par les opérateurs annuellement (self-assessment). Un audit externe sera requis tous les 3 ans et devra être réalisé par un opérateur agréé. Enfin, des inspections pourront être faites à tout moment.

Les opérateurs de services essentiels devront donc prouver qu’ils mettent en place ce qui est nécessaire pour assurer un niveau suffisant de sécurité. Ils devront également désigner une personne responsable.

Obligation de notification

Les opérateurs de services essentiels qui sont victimes d’une cyberattaque doivent le signaler à un organisme central. Une plateforme numérique sera mise en place à cet effet dans les prochaines semaines. Le signalement des incidents permettra une meilleure coopération et une meilleure identification des menaces.

Nous vous tiendrons au courant des prochaines évolutions. Si vous souhaitez être tenu au courant de nos prochaines formations sur NIS, envoyez-nous un mail à info@creobis.eu avec pour objet : je souhaite être tenu au courant de votre prochaine formation NIS.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Share This