La loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (« la Loi ») transpose enfin la directive européenne NIS (2016/1148/UE) en droit belge. Ce faisant, la Belgique renforce sa politique de cybersécurité.
Quel est l'objetif de la Loi ?
Notre société et notre économie dépendent de plus en plus des réseaux et des systèmes informatiques sûrs et performants. La Loi vise donc à garantir que les entreprises publiques et privés, les organisations, les institutions et les gouvernements qui offrent des « services essentiels » et des « services numériques » s'engagent fermement en faveur de la cybersécurité et tentent de prévenir la perturbation ou l'abus de leurs réseaux et systèmes.
A quels secteurs la Loi s'applique-t-elle ?
La Loi s'applique aux:
Même si vous n'êtes pas un OES ou un DSP, la Loi peut avoir un impact majeur sur votre organisation si vous fournissez des biens ou services à un OES ou un DSP. En effet, les OES et les DSP imposeront contractuellement leurs obligations en matière de sécurité à leurs fournisseurs.
La Loi s'applique-t-elle à votre organisation ?
En tant que fournisseur de services numériques, vous devez déterminer vous-même si la Loi s'applique à votre organisation. Tel est le cas si vous fournissez l'un des services numériques énumérés ci-dessus, sauf si vous êtes une PME occupant moins de 250 personnes et dont le chiffre d'affaires annuel ne dépasse pas 50 millions d'euros ou dont le total du bilan annuel n'excède pas 43 millions d'euros.
Si vous offrez des services essentiels, votre autorité sectorielle doit d'abord vous désigner comme opérateur de services essentiels. Une autorité sectorielle par secteur est désignée par arrêté royal et elle identifie toutes les organisations qui sont des prestataires potentiels de services essentiels.
Lorsqu'elle identifie un OES, l'autorité sectorielle tient compte (i) du fait que le service est essentiel au maintien d'activités sociétales et/ou économiques critiques, (ii) de la mesure dans laquelle le service est tributaire des réseaux et des systèmes informatiques, et (iii) de l'effet perturbateur qu'un incident aurait sur la fourniture dudit service. Afin d'évaluer l'effet perturbateur potentiel, l'autorité sectorielle tient compte des niveaux d'incidence ou des seuils en fonction du nombre d'utilisateurs, de la dépendance d'autres secteurs à l'égard du service fourni, des conséquences de l'incident, de la part de marché de l'entité, de l'ampleur de la zone géographique susceptible d'être touchée et des solutions alternatives disponibles.
Que faire si vous êtes OES ou DSP ?
Mesures de sécurité nécessaires et proportionnées
Des mesures de cybersécurité plus strictes sont applicables pour les opérateurs de services essentiels et les fournisseurs de services numériques. Ils doivent prendre des mesures techniques et organisationnelles nécessaires et proportionnées.
Au niveau technique, l'organisation doit prévoir des mesures appropriées afin de protéger le réseau et le système informatique contre les incidents. Le caractère approprié des mesures dépend de la taille, de l'importance et de la nature de votre organisation ainsi que de l'état des connaissances techniques. Par exemple, une version domestique d'un programme antivirus ne sera pas suffisante pour protéger le système informatique utilisé par les contrôleurs aériens ou utilisé dans les processus de refroidissement des réacteurs nucléaires.
Sur le plan organisationnel, l'opérateur veille à mettre en place des procédures internes, des mesures et une formation sur l'utilisation du système informatique en vue de prévenir des incidents (cyber-hygiène) et un plan d'action en cas d'incidents.
Les opérateurs de services essentiels décrivent ces mesures dans une « politique de sécurité des réseaux et des systèmes d'information » (« PSI »). Les PSI qui répondent aux normes ISO 270001 sont présumées conformes à la Loi jusqu'à preuve du contraire. Les OES doivent établir leur PSI dans les 12 mois de leur désignation en tant qu'OES, et la mettre en œuvre dans les 24 mois.
Obligation ou possibilité de notifier des incidents
La Loi impose également aux OES et DSP une obligation de notifier les incidents. Des incidents sont des événements ayant un impact significatif sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des systèmes d'information dont sont tributaires les fournisseurs de services. Les OES potentiels peuvent signaler les incidents, mais ne sont pas tenus de le faire.
Les incidents doivent, sans retard, être signalés au Computer Security Incident Response Team (« CSIRT »), à l'autorité sectorielle ou à son CSIRT et à l'autorité nationale qui coordonne l'identification des OES, au moyen d'une plateforme de déclaration qui reste à établir. Les prestataires du secteur financier doivent notifier leurs incidents à la Banque nationale et les plateformes de négociation à la FSMA. Veuillez noter que cette obligation de notification est distincte de l'obligation de notification qui découle du Règlement Générale sur la protection des données en cas d'atteinte à la protection des données personnelles.
Quel est le risque ?
Le législateur a fixé des sanctions sévères et a confié des pouvoirs étendus aux services d'inspection qui veillent au respect des obligations établies par la Loi. Les infractions à la Loi, en particulier à l'obligation de notification, sont passibles de sanctions administratives pouvant aller jusqu'à 200.000 euros et de sanctions pénales pouvant aller jusqu'à trois ans d'emprisonnement et jusqu'à 1.200.000 euros d'amende.
Quand la Loi entre-t-elle en vigueur ?
La Loi est entrée en vigueur le 3 mai 2019, le jour de sa publication au Moniteur belge. Un certain nombre d'arrêtés royaux importants doivent encore être adoptés pour sa mise en œuvre, afin d'indiquer, entre autres, quelles sont les autorités sectorielles.
Des cyberincidents se produisent tous les jours. Investir dans une bonne cybersécurité et un bon suivi portent leurs fruits. Eubelius se tient à votre disposition afin de vous conseiller, mettre en place des PSI, former votre personnel, réaliser des audits, vous préparer au traitement des cyberincidents.
Anneleen Van de Meulebroucke
anneleen.vandemeulebroucke@eubelius.com
Catherine Van de Heyning
catherine.vandeheyning@eubelius.com