La Directive NIS2 et son expression en droit...

En 2016, l’Union Européenne a doté son arsenal juridique de la Directive NIS (« Network and Information Systems »), relative à la sécurité des réseaux et des systèmes d’information. Cette Directive vise à astreindre les États membres à élaborer des stratégies de cybersécurité et à collaborer de manière transfrontalière dans ce domaine.

Bien que nécessaire, cette Directive s’est toutefois avérée insuffisante pour faire face à l’évolution des cybermenaces. La Commission Européenne a donc décidé de la revoir, en étendant sa portée en termes de secteurs concernés, et en durcissant ses exigences de sécurité.

Cet article présente les points essentiels du nouveau texte, ainsi que sa transposition le 26 avril 2024 sous forme de loi (ci-après « loi NIS [1] ») dans le droit belge. Cette loi s’est vu adjoindre le 9 juin 2024 un arrêté [2] royal d’exécution, précisant certaines modalités pratiques, comme la désignation des autorités compétentes, le cadre de référence pour l’évaluation périodique de la conformité, les modalités d’évaluation des entités essentielles ou importantes, les conditions d’agrément des organismes d’évaluation de la conformité.

1) « NIS-2 », une amélioration de la directive « NIS-1 »

La première Directive « NIS », par la suite appelée « NIS-1 », est entrée en vigueur en 2018. Elle avait pour objectifs d’obliger les États membres à identifier les opérateurs de services essentiels dans au moins 7 secteurs clés : l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable et les infrastructures numériques, en les obligeant ensuite à prendre des mesures de sécurité minimales, et à signaler les incidents majeurs dont ils seraient victimes. Ces obligations concernent également les fournisseurs de services numériques essentiels (comme les services dans le cloud, les moteurs de recherche et les marchés en ligne).

1.1) Constats de NIS-1 et objectifs de NIS-2

Depuis 2018, des évaluations régulières de la Directive « NIS-1 » par la Commission Européenne ont rapidement fait ressortir des défauts dans son fonctionnement :

1. un manque d’efficacité face à l’évolution rapide des cybermenaces, dans un contexte de sociétés de plus en plus interconnectées et interdépendantes ;
2. un champ d’application et des compétences trop peu clairement définis ;
3. de trop grands écarts entre les mises en application nationales, au niveau des exigences de sécurité.

La Commission a donc proposé en décembre 2020 d’abroger la Directive « NIS-1 », et de la remplacer par la Directive « NIS-2 [3] », avec 4 objectifs :

1. accroître la coopération entre États membres de l’Union dans le domaine de la cybersécurité ;
2. accroître le nombre de secteurs et d’entités concernés par la nécessité de les protéger vis-à-vis des risques de cyberattaques ;
3. signaler et gérer à l’aide d’un système unifié les incidents et crises qui viendront à se produire ;
4. renforcer la cybersécurité de la chaîne d’approvisionnement et être à même de faire face aux nouvelles menaces de cybersécurité

1.2) Les obligations des États membres – la réponse belge

De par la nouvelle Directive NIS-2 les États membres doivent :

1. adopter des stratégies nationales en matière de cybersécurité ;
2. désigner des autorités compétentes ;
3. désigner des autorités chargées de la gestion des cybercrises ;
4. prévoir des points de contact uniques en matière de cybersécurité ;
5. créer des centres de réponse aux incidents de sécurité informatique (CSIRT).

1.2.1) L’instanciation à la Belgique – le CCB

La stratégie nationale en matière de cybersécurité d’un État membre est le cadre cohérent défini par ce dernier, et fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de sa réalisation.

En Belgique, cette cyberstratégie [4] a été validée par le Conseil National de Sécurité (CNS [5]) le 20 mai 2021. Essentiellement, son but est de « préserver les capacités des services, des biens, des personnes et des capitaux au-delà des frontières belges ». Fixés pour la période 2021 à 2025, les objectifs seront sujets à révision, sur base des résultats d’analyses de plateformes de concertation appropriées, comme le « Comité de coordination du renseignement et de la sécurité [6] ».

Chaque État membre doit désigner une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches d’exécution et de supervision de la loi. En Belgique cette autorité est assumée par le CCB [7], « centre pour la cybersécurité Belgique », institué par l’arrêté royal du 10 octobre 2014, et placée sous l’autorité du Premier Ministre. En plus du CCB, des autorités sectorielles sont également désignées, en général les ministres fédéraux ayant ces secteurs dans leurs attributions, mais aussi l’Agence fédérale des médicaments et des produits de santé, ou la Banque Nationale, ou encore l’Institut belge pour les postes et les télécommunications. Le CCB et les autorités sectorielles sont précisées dans l’article 3, §1 et 2 de l’arrêté royal d’exécution de la loi NIS du 9 juin 2024.

Les missions [8] du CCB consistent à :

1. suivre, coordonner et superviser la mise en œuvre de la politique belge en matière de cybersécurité ;
2. gérer les différents projets sur le thème de la cybersécurité ;
3. assurer la coordination entre les ministères et les gouvernements concernés, autorités publiques et les secteurs privés ou scientifiques ;
4. formuler des propositions visant à adapter le cadre réglementaire ;
5. préparer, diffuser et superviser la mise en œuvre de normes, lignes directrices et standards de sécurité ;
6. coordonner la représentation belge dans les forums internationaux sur la cybersécurité ;
7. coordonner l’évaluation de la sécurité et la certification des systèmes d’information et de communication ;
8. informer et sensibiliser les utilisateurs sur les systèmes d’information et de communication.

En collaboration avec le Centre de crise national (NCCN [9]), le CCB est également chargé de la gestion des incidents de cybersécurité majeurs et des crises. Ils ont ainsi élaboré le plan national d’urgence cybernétique, organisant et coordonnant la réponse à ces incidents.

Le rôle de point de contact en matière de cybersécurité est essentiellement assuré par le « Cyber Emergency Response Team » (CERT.be [10]), qui fait partie intégrante du CCB. Le CERT.be a pour rôle de détecter, observer et analyser les problèmes de sécurité en ligne. Toute entreprise ou organisation qui est confrontée à un incident sur Internet ou sur son réseau et qui souhaite le signaler ou obtenir des conseils peut contacter le CERT. Selon les cas, pourront également se joindre à lui les services de police en ligne, la Computer Crime Unit fédérale (FCCU) et les Computer Crime Unit régionales (RCCU).

Chaque État membre dispose d’un CSIRT [11], le CCB jouant ce rôle pour la Belgique. Un CSIRT, abréviation de « Computer Security Incident Response Team », est un élément central [12] pour le maintien de la sécurité des systèmes informatiques. L’article 60 de la loi belge NIS définit ces tâches, parmi lesquelles :

1. suivre les incidents au niveau national et international ;
2. intervenir en cas d’incident, prodiguer des conseils et aider à ce qu’il ne puisse plus se reproduire ;
3. analyser dynamiquement les vulnérabilités, risques et incidents, des entités critiques ;
4. détecter, observer et analyser les problèmes de sécurité informatique, promouvoir l’utilisation de pratiques communes ou normalisées de gestion des risques et incidents ;
5. établir des relations de coopérations avec le secteur privé, les services administratifs ou les autorités publiques ;
6. activer le mécanisme d’alerte précoce prévu par la directive (pour la Belgique, le mécanisme « Early Warning System » ou EWS du département CyTRIS (“Cyber Threat Research and Intelligence Sharing”) du CCB), la diffusion de messages d’alerte et d’information sur les risques et incidents auprès des parties intéressées ;
7. participer au réseau européen des CSIRT qui se consacre au partage d’informations sur les risques et menaces en cours, et à la coopération sur des incidents spécifiques de cybersécurité.

1.2.2) La coopération entre États membres – la participation belge

La nouvelle Directive NIS-2 demande une coopération accrue entre États membres. Elle repose sur le Groupe de coopération [13], décrit dans l’article 14. Composé de représentants des États membres, de la Commission et de l’ENISA [14], la mission de ce groupe est d’atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’information dans l’Union européenne (UE), en soutenant la coopération et l’échange d’informations entre les États membres. Le Groupe peut ainsi procéder à des évaluations des risques pour la sécurité des chaînes d’approvisionnement de services, systèmes ou produits TIC critiques (article 22 de la Directive). Le Groupe est soutenu par le réseau des équipes techniques nationales de réponse aux incidents de sécurité informatique (CSIRT), dont fait partie le CCB pour la Belgique.

La Directive institue également le réseau européen pour la préparation et la gestion des crises cyber : « EU-CyCLONe [15] ». Ce dernier complète les structures de cybersécurité de l’Union Européenne, en reliant les instances de coopération technique (les CSIRT) et les instances politiques (« Integrated Political Crisis Response » ou IPCR [16]) chargées de coordonner les prises de décisions rapides au niveau politique européen, en cas de crises majeures. Composé des représentants des autorités des États membres chargées de la gestion des crises de cybersécurité, et de la Commission lorsqu’un incident a ou est susceptible d’avoir un impact majeur, ce réseau gère de façon coordonnée, au niveau opérationnel, les incidents de cybersécurité majeurs et les crises. Il contribue au renforcement de la préparation à la gestion de ces derniers, au développement d’une connaissance partagée et d’une évaluation de leurs conséquences et impacts.

Dans le cadre d’accords internationaux de l’Union Européenne, des pays tiers peuvent participer aux activités de ces réseaux CSIRT et EU-CyCLONe.

1.2.3) NIS-2 et les législations sectorielles

Il est possible que des législations sectorielles plus strictes en matière de cybersécurité existent ou viennent à apparaître dans l’avenir. NIS-2 étant une norme juridique générale, ces lois sectorielles seront alors prioritaires, toutefois uniquement dans leurs parties plus strictes que NIS-2, et également seulement pour leur propre champ d’application. Ainsi en va-t-il du règlement DORA (« Digital Operational Resilience Act ») dans le secteur financier. Les entités du secteur bancaire et financier, qui relèvent [17] à la fois de DORA et de NIS-2, doivent toutefois s’enregistrer comme toute autre entité NIS-2, et signaler aux autorités NIS-2 (le CCB) tout incident significatif.

Dans un autre domaine, toute entité identifiée comme critique selon la Directive CER sur les infrastructures critiques [18], ou sa transposition en loi belge [19] du 1er juillet 2011, relève automatiquement du champ d’application de la législation NIS-2 pour la cybersécurité.

1.3) Les entités concernées et les obligations qui en découlent

Les entités vont devoir déterminer si elles sont sujettes à la nouvelle législation, en vérifiant leur conformité à certains critères. Dans l’affirmative elles se verront alors imposer de nombreuses obligations : l’enregistrement, les analyses de sécurité et les mesures de cybersécurité, la responsabilité des organes de gestion, les notifications d’incidents

1.3.1) La vérification des critères d’application par les entreprises

Pour pouvoir déterminer si la législation NIS leur est applicable, les entreprises doivent vérifier si elles satisfont à certains critères, essentiellement leur appartenance à certains secteurs d’activité, leur taille et leur chiffre d’affaires (ou total du bilan annuel).

1.3.1.1) Les secteurs d’activité

NIS-2 a revu le champ d’application, en étendant de 7 à 18 le nombre de secteurs industriels concernés. Selon la nature des services fournis, les secteurs sont répartis entre deux catégories, les « hautement critiques » ou les « critiques ». Le tableau qui suit liste ces répartitions, telles que précisées dans les annexes I et II de la Directive NIS-2 (ou annexes I et II de la loi NIS belge). Les types d’entités exerçant dans ces secteurs et sous-secteurs sont définis précisément dans ces annexes. Afin pour une entreprise de vérifier si la législation NIS s’applique à elle, il est essentiel pour elle de vérifier si les services qu’elle offre correspondent effectivement aux définitions de la directive.

En plus du secteur d’activité, les entreprises doivent également tenir compte de critères de taille et de chiffre d’affaires.

1.3.1.2) La taille et le chiffre d’affaires (ou total du bilan annuel)

Selon leur taille et la valeur de leur chiffre d’affaires (ou total du bilan annuel), les entreprises vont être diversement qualifiées.

Ainsi les entreprises de moins de 50 employés, et ayant un chiffre d’affaires annuel et/ou total du bilan annuel inférieur à 10 M€ sont considérées comme des micro et petites entités, et ne sont pas concernées par la nouvelle Directive.

Les entreprises comportant entre 50 et 250 employés, et ayant un chiffre d’affaires annuel et/ou total du bilan annuel entre 10 et 50 M€ sont considérées comme des entités moyennes. La Directive les qualifie d’entités importantes (« EI »), soumises à ses exigences, et ce quel que soit leur secteur d’activité.

Enfin les entreprises comportant plus de 250 employés et ayant un chiffre d’affaires annuel et/ou total du bilan annuel de plus de 50 M€, sont considérées comme de grandes entités. Selon leur secteur d’activité, la Directive les qualifie d’entités essentielles (« EE ») (pour les secteurs hautement critiques), ou à nouveau d’importantes (« EI ») (pour les secteurs critiques). Dans les deux cas, elles doivent se conformer aux exigences de la directive.

Entre « importantes » et « essentielles », la différence réside dans le fait que pour les secondes, toute interruption de service entraîne de graves conséquences pour l’ensemble de la société de l’État membre.
Les autorités d’un État membre, le CCB pour la Belgique, peuvent toutefois décider de classer des entités initialement importantes dans la catégorie essentielle, voire également déclarer des petites entités, a priori non concernées par la législation NIS, comme importantes ou essentielles, même si elles ne satisfont pas au critère de taille [20]. Ainsi en va-t-il :

1. des prestataires de services de confiance, qualifiés ou non qualifiés,
2. des fournisseurs d’un service DNS,
3. des registres de nom de domaines de premier niveau,
4. des services d’enregistrement de noms de domaines,
5. des fournisseurs de réseaux de communications électroniques publics,
6. des fournisseurs de services de communications électroniques accessibles au public,
7. des entités identifiées comme opérateurs d’infrastructure critiques,
8. des entités de l’administration publique dépendant de l’État fédéral.

Enfin les États membres peuvent également exclure certaines entités de NIS2 (dans le domaine de la défense, de la sécurité nationale ou publique, etc...). Le tableau 2 qui suit résume le schéma d’application de la Directive à une entité sur base des critères de taille, de chiffre d’affaires, pour les secteurs critiques et hautement critiques.

Tableau 2 : application de la législation NIS selon les critères de criticité, de taille et de chiffre d’affaires (CA) ou total bilantaire

Sur base de ces définitions, ce sont maintenant en Belgique 2500 [21] entités qui sont concernées par la loi NIS, au lieu de 100 avec l’ancienne version de la Directive NIS.

1.3.2) L’obligation d’enregistrement des entités concernées

La loi NIS belge étant maintenant publiée, la règle de base est que toutes les entités ayant leur établissement en Belgique, qui y fournissent leur services ou exercent leurs activités au sein de l’Union Européenne, et qui auront constaté après vérification que cette législation les concerne, disposent de 5 mois pour se notifier auprès du CCB, et ce au plus tard le 18 mars 2025. En pratique, l’enregistrement se fait via le site Safeonweb@work, qui est une initiative [22] du CCB, à destination des entreprises et organisations belges. Ce site [23] propose également des informations et explications relativement à la loi NIS, ainsi que des outils et guide pour s’y conformer [24]. Notons ainsi parmi ces outils le test [25] du champ d’application de la loi, ainsi que les plateformes d’enregistrement et de notification.

Dans leur enregistrement, les entités doivent préciser différentes informations, telles leur dénomination, leur numéro d’enregistrement auprès de la Banque Carrefour des Entreprises (BCE), leur adresse (physique et électronique) et coordonnées actualisées, le cas échéant le secteur et sous-secteur concernés visés aux annexes I ou II de la loi, les États membres dans lesquels elles fournissent des services relevant du champ d’application de la loi.

Par exception à la règle de l’établissement précitée, la loi belge s’applique également aux entités relevant des trois types suivants :

• aux fournisseurs de réseaux de communications électroniques publics et fournisseurs de services de communications électroniques accessibles au public, quand ils fournissent leur services en Belgique ;
• aux entités de l’administration publique créées par la Belgique ;
• aux entités des secteurs numériques relevant de la liste suivante, pour autant qu’elles aient leur établissement principal [26] en Belgique, ou leur représentant pour l’Union européenne en Belgique :
  • les fournisseurs de services DNS ;
  • les registres des noms de domaine de premier niveau ;
  • les entités fournissant des services d’enregistrement de noms de domaine ;
  • les fournisseurs de services d’informatique en nuage ;
  • les fournisseurs de services de centres de données ;
  • les fournisseurs de réseaux de diffusion de contenu ;
  • les fournisseurs de services gérés ;
  • les fournisseurs de services de sécurité gérés ;
  • les fournisseurs de places de marché en ligne ;
  • les fournisseurs de moteurs de recherche en ligne ;
  • les fournisseurs de plateformes de services de réseaux sociaux.

Toutes les entités de cette liste se verront appliquer un régime adapté, tant en ce qui concerne leur obligation d’enregistrement, qui devra se faire dans les 2 mois après l’entrée en vigueur de la loi (au plus tard le 18 décembre 2024), que dans le contenu de leurs informations à fournir. Parmi ces dernières, s’ajoutent à celles déjà citées précédemment, les coordonnées de leur représentant si elles sont établies hors Union, les États membres dans lesquels ils fournissent leurs services relevant du champ d’application de la loi.

Dans tous les cas, les entités seront tenues d’informer le CCB de toute modification apportée à leurs informations.

1.3.3) Les obligations d’analyse de risque et d’instauration de mesures de cybersécurité

La soumission à la législation NIS entraîne pour les entités de satisfaire à des obligations de sécurité. Elles sont ainsi tenues d’effectuer des analyses de risques, soit vis-à-vis de potentiels incidents, soit relativement à des incidents avérés. Ces analyses seront suivies d’instauration de mesures techniques et organisationnelles afin de contrôler les risques évalués.

Les mesures de cybersécurité à mettre en œuvre ont pour objectif de protéger les réseaux, les systèmes d’information et l’environnement physique des systèmes contre un grand nombre d’attaques. La liste qui suit recense les 11 obligations à respecter :

1. les politiques relatives à l’analyse de risques et à la sécurité des systèmes d’information ;
2. la gestion des incidents ;
3. la continuité des activités et la gestion de crises ;
4. la sécurité de la chaîne d’approvisionnement ;
5. la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des SI, y compris le traitement et la divulgation des vulnérabilités ;
6. les politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
7. les pratiques de base en matière de cyber-hygiène et formation à la cybersécurité ;
8. les politiques et procédures relatives à l’utilisation de la cryptographie ;
9. la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ;
10. l’utilisation de solutions d’authentification à plusieurs facteurs, de communications sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins ;
11. une politique de divulgation coordonnée des vulnérabilités.

Pour garantir sa conformité aux mesures de sécurité NIS-2, la Belgique met en avant sa conformité au cadre CyberFundamentals (CyFun [27]), développé et mis à disposition par le CCB, ainsi que la certification à la norme ISO 27001. Les CyFun couvrent l’ensemble des 11 points de la liste des mesures d’analyses et de cybersécurité, énoncés ci-avant. Ce cadre de référence a été confirmé dans l’arrêté royal d’exécution de la loi NIS (article 4, §1 et 2, article 5, §1 et 2).

Soulignons que des entités ne relevant pas de la loi NIS peuvent malgré tout être impactées par les obligations de cybersécurité, et ce parce qu’elles font partie de la chaîne d’approvisionnement d’une entité NIS-2. Il est de la responsabilité des entités NIS-2 d’abord d’identifier les organisations tierces présentes dans leur chaîne d’approvisionnement et qui sont essentielles à leur sécurité. Les entités NIS-2 doivent ensuite veiller, dans un cadre contractuel, à ce que ces organisations tierces mettent en œuvre des mesures de gestion des risques, afin d’obtenir un niveau de cybersécurité équivalent au leur. Le CCB recommande que ces organisations satisfassent au moins au niveau basique du référentiel CyFun.

1.3.4) L’obligation de responsabilité renforcée des gestionnaires d’entreprise

Toutes les mesures de gestion des risques devront être explicitement approuvées par la direction des entités concernées, qui en supervisera également la mise en place. La direction devra par ailleurs acquérir les connaissances et compétences en matière de cybersécurité, la rendant à même de déterminer les risques en cette matière, et d’en évaluer les techniques de gestion.

Corollaire de cet apprentissage, la direction devra assumer la responsabilité de toute violation vis-à-vis des mesures de gestion des risques approuvées par elle. Enfin la direction sera également considérée comme responsable de tout défaut dans le respect de la conformité aux exigences de la Directive, et donc de la loi NIS en Belgique.

1.3.5) Les obligations d’information et notification

Comme la Directive, la loi NIS oblige les entités essentielles et importantes à notifier des incidents significatifs auprès des réseaux CSIRT ou des autorités compétentes, le CCB pour la Belgique. De tels incidents concernent des services fournis dans les secteurs ou sous-secteurs repris dans les annexes I et II de la loi NIS (ou Directive), peuvent causer des perturbations opérationnelles graves, ou affecter par des dommages considérables d’autres personnes physiques ou morales.

Les entités sont également obligées d’informer les destinataires de leurs services sur les incidents pouvant nuire à la fourniture de ces derniers.

L’information va comporter les 5 étapes suivantes :

1. tout d’abord l’entité doit transmettre une alerte précoce au plus tard dans les 24 heures après la connaissance de l’incident, à l’attention du CSIRT (le CCB pour la Belgique), avec une évaluation préliminaire de la gravité et de l’impact ;
2. au plus tard dans les 72 heures suivant l’incident (24 heures pour les prestataires de services de confiance), l’entité notifie une mise à jour de l’évaluation préliminaire en précisant des indicateurs de compromission ;
3. le CSIRT national (le CCB) ou l’éventuelle autorité sectorielle concernée pourront demander à recevoir un rapport intermédiaire, sur les mises à jour pertinentes de la situation ;
4. au plus tard un mois après la notification de l’incident, l’entité transmet au CSIRT (le CCB) un rapport final qui clôturera l’incident, en le décrivant dans les détails, en précisant ses causes, les mesures d’atténuation appliquées, et éventuellement l’impact transfrontalier ;
5. si l’incident est encore en cours de sorte qu’il empêche la transmission du rapport final, l’entité transmet un rapport d’avancement, et ensuite dans le mois suivant le traitement définitif de l’incident, le rapport final.

1.3.6) La soumission des entités aux supervisions

Si les entités essentielles et importantes doivent toutes deux se conformer à la législation, le niveau d’exigence n’est toutefois pas le même, notamment en termes de supervision. Ainsi les entités essentielles seront soumises à des évaluations de conformité régulières et obligatoires, voire à tout moment. Les entités ont le choix entre trois options [28] :

1. une certification ou une vérification des CyFun, délivrée par un organisme d’évaluation de la conformité approuvé par le CCB ;
2. une certification ISO/IEC 27001 délivrée par un organisme d’évaluation de la conformité ;
3. une inspection par le service d’inspection du CCB, ou d’un service d’inspection sectoriel.

Les entités importantes ne seront quant à elles inspectées qu’après un incident ou sur base d’indications laissant penser qu’elle ne se conforma pas à la loi.

Les modalités de ces inspections ainsi que les conditions d’agréation des organismes sont précisés dans l’arrêté royal d’exécution de la loi NIS, dans ses chapitres 6 à 8.

1.4) Les services du CCB à son public cible

En Belgique, le CCB jouant également le rôle de CSIRT doit proposer ses services vis-à-vis de certains « publics cibles [29] ». Ces derniers sont constitués d’abord par les « opérateurs d’infrastructures critiques » d’une part, et par les « opérateurs de services essentiels » de l’autre. Les premiers sont identifiés par la loi belge du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques. Les seconds sont repris parmi les secteurs hautement critiques, en annexe I de la loi NIS : l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, le secteur de la santé, l’approvisionnement et la distribution d’eau potable, et les infrastructures numériques.

A ce public viennent également s’ajouter les services publics essentiels à la population (mais non couverts par la législation NIS), les autorités administratives (infrastructure ICT des services publics belges), les personnes morales de droit privé, et le grand public.

Quant aux services proposés, ils sont généralement classés en trois catégories :

1. les services réactifs, qui visent à répondre à toute menace ou attaque contre les systèmes du public cible du CSIRT,
2. les services proactifs, qui visent à améliorer l’infrastructure et les processus de sécurité du public cible avant qu’un incident ne se produise ou ne soit détecté,
3. les services de gestion de la qualité de la sécurité, qui visent à utiliser les résultats et les enseignements tirés de la pratique des différents services réactifs.

1.5) Le non respect de la loi entraîne des amendes

Dans les deux cas, s’il apparaît que les organisations ne respectent pas, ou n’ont pas respecté la législation en prenant les mesures nécessaires de cybersécurité, des sanctions pourront être appliquées, toujours selon la qualification de l’entité :

• pour les entités essentielles, l’amende pourra aller jusqu’à 10 millions d’euro, ou 2 % du chiffre d’affaires annuel mondial total ;
• pour les entités importantes, l’amende pourra aller jusqu’à 7 millions d’euro, ou 1,4 % du chiffre d’affaires annuel mondial total.

2) Conclusions

La loi NIS qui va entrer en vigueur se caractérise par un niveau renforcé d’exigences, auprès d’un nombre beaucoup plus conséquent d’entités concernées. Ces dernières doivent ainsi vérifier si elles relèvent ou non de la loi, sur base de critère de secteur d’activité, de taille et de chiffre d’affaires. Dans l’affirmative, il s’ensuit une obligation d’enregistrement auprès de l’autorité compétente pour la Belgique - le CCB. Les entités devront également procéder à des analyses de risques de leurs activités, accompagnées de la mise en place de mesures de cybersécurité. La responsabilité des dirigeants des entreprises dans le respect et l’application de la loi est également considérablement renforcée, avec des sanctions financières lourdes dans la négative. Les entités doivent également se soumettre à des supervisions et contrôles. Elles doivent également faire preuve d’une grande réactivité dans la notification des incidents, accompagné d’un haut niveau d’informations à fournir au CCB. La loi veille également à protéger les chaînes d’approvisionnement, en exigeant des entreprises soumises à NIS qu’elles garantissent un renforcement des niveaux de sécurité de leurs fournisseurs et partenaires.

Les entreprises qui ne sont pas directement concernées directement, mais qui sont dans la chaîne d’approvisionnement d’une entité NIS2 et identifiées comme essentielles par celles-ci, peuvent également tomber sous le champ de la loi NIS2. Il est donc tout-à-fait possible que votre entreprise se retrouve concernée si elle est un fournisseur considéré comme essentiel d’une entite NIS2 !

Dans ce nouveau contexte légal, les entreprises peuvent compter sur l’aide et l’appui du CCB, autorité belge désignée dans le cadre de la loi NIS, et des services et conseils qu’elle peut leur fournir, notamment via la plateforme Safeonweb, et notamment avec leur guide rapide pour démarrer avec NIS.

Elles peuvent également se tourner vers le CETIC pour les accompagner dans la mise en conformité avec les exigences de la loi NIS.