Dejan KosuticLa Belgique a transposé la directive européenne NIS2 dans sa législation locale en publiant sa loi sur la cybersécurité en avril 2024, et c’est l’un des premiers pays de l’UE à le faire.
Cette loi porte un nom assez long : Loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (en français), et Wet tot vaststelling van een kader voor decyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (en néerlandais) – appelons-la donc la loi belge NIS2.
Comment la loi belge sur la directive NIS2 se compare-t-elle à la directive NIS2 et quelles sont les exigences supplémentaires ?
La loi belge sur la NIS2 suit de très près la directive NIS2 de l’UE en ce qui concerne la gouvernance, les mesures de cybersécurité et la notification des incidents. La loi belge clarifie plus précisément certains points de la NIS2 concernant l’évaluation de la conformité et la supervision.
Les bases de la loi belge sur la cybersécurité
Comme le prescrit la directive NIS2, l’objectif principal de la loi belge NIS2 est de réduire les risques liés à la cybersécurité des organisations d’infrastructure critique (entités essentielles et importantes) et d’accroître la résilience de leur réseau et de leurs systèmes d’information.
La loi belge NIS2 remplace la loi existante du 7 avril 2019 relative à l’établissement d’un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général en matière de sécurité publique, et modifie plusieurs lois et règlements connexes dans sa section 7 (Dispositions générales).
Le texte officiel de la loi belge NIS2 peut être consulté ici (en français) et ici (en néerlandais).
Le reste de cet article se concentrera sur les exigences de cybersécurité auxquelles les entités essentielles et importantes doivent se conformer – il ne s’agit pas de décrire le rôle des conseils d’administration qui doivent veiller à la conformité avec la loi belge NIS2.
Les principales similitudes et différences entre la loi belge et la directive NIS2 de l’UE sont résumées dans le tableau ci-dessous :
| La loi belge sur la directive NIS2 comparée à la directive NIS2 de l’UE | |
| Quelles sont les entreprises qui doivent s’y conformer ? | Les mêmes critères que dans la directive NIS2, mais uniquement pour les entreprises enregistrées en Belgique. Les exceptions sont les fournisseurs de réseaux de communications électroniques publics et les fournisseurs de services de communications électroniques accessibles au public – ils doivent se conformer à la loi NIS2 s’ils fournissent des services en Belgique, quel que soit leur lieu d’enregistrement. |
| Délais | La loi belge NIS2 entre en vigueur le 18 octobre 2024 (en même temps que la directive NIS2). Les entreprises qui appartiennent aux secteurs de l’infrastructure numérique et des fournisseurs numériques doivent s’enregistrer auprès de l’autorité nationale de cybersécurité d’ici le 18 décembre 2024, tandis que toutes les autres organisations essentielles et importantes doivent le faire d’ici le 18 mars 2025. Le gouvernement fixera la date limite de la première évaluation de la conformité pour les entités essentielles. |
| Responsabilités de la direction | Identique à la directive NIS2 (voir article 20). |
| Importance de la formation | Identique à la directive NIS2 (voir article 20). |
| Approche basée sur les risques en matière de cybersécurité | Identique à la directive NIS2 (voir article 21). |
| Mesures de cybersécurité | Identique à la directive NIS2 (voir article 21). |
| Sécurité de la chaîne d’approvisionnement | Identique à la directive NIS2 (voir article 21). |
| Obligations de déclaration des incidents | Identique à la directive NIS2 (voir article 23). |
| Utiliser des produits et services informatiques certifiés | Identique à la directive NIS2 ; toutefois, la loi belge NIS2 définit que la stratégie nationale en matière de cybersécurité précisera l’utilisation des produits et services informatiques. |
| Supervision et application | Les entités essentielles doivent procéder à une évaluation périodique de la conformité, tandis que les entités importantes peuvent le faire sur une base volontaire. |
| Amendes | Pour les entités essentielles, entre 500 et 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel (le critère le plus élevé étant retenu). Pour les entités importantes, entre 500 et 7 millions d’euros ou jusqu’à 1,4 % du chiffre d’affaires annuel (le critère le plus élevé étant retenu). Les amendes sont doublées en cas de récidive. |
| Des exigences entièrement nouvelles | Certains types de fournisseurs de services numériques, s’ils fournissent des services dans l’UE mais sont basés en dehors de l’UE, doivent désigner un représentant dans l’UE. Les entités essentielles et importantes doivent s’enregistrer de leur propre initiative auprès de l’autorité nationale de cybersécurité. Traitement des données personnelles en conformité avec le RGPD. |
Quelles sont les entreprises qui doivent se conformer à la loi belge NIS2 ?
À l’instar de la directive NIS2, la loi belge prévoit que les moyennes et grandes entreprises des 18 secteurs spécifiés entrent dans le cadre ; en outre, certaines organisations plus petites de ces 18 secteurs doivent également se conformer à la loi belge NIS2 – pour plus de détails, cliquez ici : Quelles entreprises doivent se conformer à NIS 2 ? Entités essentielles vs. importantes.
La principale différence est que ces entreprises (qui sont considérées comme des entités essentielles et importantes) doivent être enregistrées en Belgique pour entrer dans le cadre de la loi belge NIS2. Les seules exceptions sont les fournisseurs de réseaux de communications électroniques publics et de services de communications électroniques accessibles au public – ces sociétés doivent se conformer à la loi NIS2, quel que soit leur lieu d’enregistrement, si elles fournissent de tels services en Belgique.
La loi belge NIS2 précise également que les entités de l’administration publique doivent s’y conformer si elles dépendent de l’État ou des entités fédérées.
Délais
Bien que la loi belge NIS2 entre en vigueur le même jour que la directive NIS2 (18 octobre 2024), les délais réels de mise en conformité des entités essentielles et importantes seront postérieurs à cette date :
- Les sociétés des secteurs de l’infrastructure numérique et des fournisseurs numériques – fournisseurs de services DNS, registres de noms de domaine de premier niveau, entités fournissant des services d’enregistrement de noms de domaine, fournisseurs de services d’informatique en nuage, fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés et fournisseurs de services de sécurité gérés, ainsi que fournisseurs de marchés en ligne, moteurs de recherche en ligne et plateformes de services de réseaux sociaux – doivent s’enregistrer auprès l’autorité nationale de cybersécurité dans les 2 mois suivant l’entrée en vigueur de la loi (c’est-à-dire d’ici le 18 décembre 2024).
- Toutes les entités essentielles et importantes restantes doivent s’enregistrer auprès de l’autorité nationale de cybersécurité dans les 5 mois suivant l’entrée en vigueur de la loi (c’est-à-dire avant le 18 mars 2025).
En outre, la loi précise que le gouvernement fixera les délais dans lesquels les entités essentielles devront effectuer leurs premières évaluations de conformité périodiques – ce délai n’a pas encore été fixé au moment de la rédaction de cet article.
Supervision et application
La loi belge NIS2 précise que les entités essentielles doivent faire l’objet d’une obligation de conformité périodique (même si la fréquence n’est pas précisée) et que cette obligation peut être la suivante :
- l’évaluation de la conformité par rapport à un cadre de référence qui sera déterminé par le gouvernement, et qui sera réalisée par un organisme accrédité et approuvé par l’autorité nationale de cybersécurité ; ou
- l’inspection par l’autorité nationale de cybersécurité.
Les entités importantes ne sont pas obligées de se soumettre à des obligations de conformité, mais peuvent le faire sur une base volontaire.
Si une entité essentielle n’est pas conforme à la loi belge NIS2, une autorité compétente peut « suspendre temporairement une certification ou une autorisation concernant tout ou partie des services gérés ou des activités menées par l’entité concernée » et « interdire temporairement à toute personne exerçant des responsabilités de gestion au niveau de la direction générale ou de la représentation juridique de l’entité concernée d’exercer des responsabilités de gestion au sein de cette entité. »
Amendes
Plusieurs amendes sont prévues par la loi belge NIS2 :
- Entre 500 et 125 000 euros si une entité concernée ne s’enregistre pas auprès de l’autorité nationale de cybersécurité.
- Entre 500 et 200 000 euros si une entité « fait subir à une personne agissant pour son compte des conséquences dommageables du fait de sa performance. »
- Entre 500 et 7 millions d’euros, soit 1,4 % du chiffre d’affaires annuel mondial total, pour une entité importante qui ne se conforme pas à la gestion du risque de cybersécurité et/ou à la notification des incidents.
- Entre 500 et 10 millions d’euros, soit 2 % du chiffre d’affaires annuel mondial total, pour une entité essentielle qui ne se conforme pas à la gestion du risque de cybersécurité et/ou à la notification des incidents.
L’amende est doublée si l’entreprise récidive dans les trois ans.
Nouvelles exigences de la loi belge NIS2
La loi belge NIS2 n’apporte pas de grandes nouveautés par rapport à la directive NIS2, mais il convient de mentionner les éléments suivants.
Les entités essentielles et importantes doivent s’enregistrer auprès de l’autorité nationale de cybersécurité de leur propre initiative – ce n’est que dans quelques rares cas que l’autorité nationale de cybersécurité désignera certaines organisations comme étant celles qui doivent se conformer.
Si une entité appartient à l’une de ces catégories – fournisseurs de services DNS, registres de noms de domaine de premier niveau, entités fournissant des services d’enregistrement de noms de domaine, fournisseurs de services d’informatique en nuage, fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés et fournisseurs de services de sécurité gérés, ainsi que fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux – et qu’elle fournit des services dans l’Union européenne, mais qu’elle n’est pas enregistrée dans l’UE, elle doit nommer un représentant au sein de l’UE.
Enfin, la loi belge NIS2 précise explicitement comment les données à caractère personnel qui sont traitées en vertu de la directive NIS2 également l’être au regard du RGPD.
Requirements that are the same as in the NIS 2 Directive
On retrouve beaucoup d’éléments de la directive dans la loi belge NIS :
- Responsabilités de la direction – voir les détails ici : Qu’est-ce que la directive NIS 2 ? Un guide simple et détaillé
- Importance de la formation – en savoir plus : Comment réaliser une formation et une sensibilisation selon NIS 2
- Approche basée sur les risques en matière de cybersécurité – en savoir plus : Les 8 exigences les plus importantes en matière de cybersécurité et d’information dans NIS 2
- La cybersécurité en tant que mélange de mesures techniques, opérationnelles et organisationnelles – voir aussi : Liste des documents requis selon NIS 2
- Sécurité de la chaîne d’approvisionnement
- Obligations de déclaration des incidents – voir aussi : Quelles sont les obligations d’information selon NIS 2 ?
- Utilisation des produits et services informatiques certifiés
Cependant, la loi belge NIS2 indique que le gouvernement belge introduira des règles pour les éléments mentionnés ci-dessus – par exemple, elle précise que la stratégie nationale en matière de cybersécurité spécifiera les exigences de cybersécurité pour l’utilisation des produits et services informatiques dans les marchés publics, tels que la certification, le chiffrement, l’open source, etc.
La loi belge NIS2 et la directive NIS2
Dans l’ensemble, la loi belge NIS2 suit de très près la directive NIS2, en particulier en ce qui concerne la gouvernance, les mesures de cybersécurité et le signalement des incidents.
La loi belge clarifie certains points de la NIS 2 concernant l’évaluation de la conformité et la supervision, et permet aux entités essentielles de choisir la manière dont elles effectueront l’évaluation de la conformité.
Bien entendu, il reste à voir quel type de décisions le gouvernement belge prendra en ce qui concerne les délais et les cadres de référence pour les évaluations de conformité, ainsi que les mesures de cybersécurité. De telles décisions exerceront une grande influence sur les obligations de conformité.
Tous les documents nécessaires pour se conformer à la directive NIS2 peuvent être consultés dans la Boîte à Outils de documentation NIS2 qui comprend toutes les politiques, procédures, plans et autres modèles.
