La loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (la "loi NIS2") transpose en droit belge la directive 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (la "directive NIS2") et entrera en vigueur le 18 octobre de cette année.

Cette loi contient notamment l’obligation pour toutes les entités tombant dans son champ d’application de notifier au CCB chaque incident qui peut être considéré comme un incident dit « significatif ». Un tel incident est défini comme suit dans la loi :

« Tout incident ayant un impact significatif sur la fourniture de l’un des services fournis dans les secteurs ou sous-secteurs repris à l’annexe I et II de la loi et qui:

1. a causé ou est susceptible de causer une perturbation opérationnelle grave de l’un des services fournis dans les secteurs ou sous-secteurs repris à l’annexe I et II ou des pertes financières pour l’entité concernée; ou
2. a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. »

Dès qu’une entité NIS2 rencontre un tel incident, elle doit le notifier au CCB. Cette notification se déroule en plusieurs étapes (voir aussi le visuel ci-dessous) :

1. sans retard injustifié et tout au plus dans les 24 heures après avoir pris connaissance de l’incident significatif, l’entité transmet une alerte précoce;
2. sans retard injustifié et tout au plus dans les 72 heures (24h pour les prestataires de services de confiance) après avoir pris connaissance de l’incident significatif, l’entité communique une notification d’incident ;
3. à la demande du CSIRT national ou, le cas échéant, de l’éventuelle autorité sectorielle concernée, l’entité communique un rapport intermédiaire;
4. au plus tard un mois après la notification d’incident visée au 2°, l’entité transmet un rapport final;
5. si le rapport final ne peut être transmis car l’incident est encore en cours, l’entité transmet un rapport d’avancement puis, dans le mois suivant le traitement définitif de l’incident, le rapport final.

En fonction de l’étendue de l’incident, il faut également que l’entité informe les destinataires de son service de l’existence de l’incident ainsi que des mesures et corrections que les destinataires peuvent prendre pour y répondre.

Pour savoir en quoi consiste NIS2, si cela vous concerne et quelles sont les obligations de ce nouveau cadre légal, nous vous invitons à lire notre page web à ce sujet. Pour obtenir des informations encore plus détaillées sur la loi, nous vous invitons à consulter notre page sur NIS2 sur Safeonweb@Work.

Cet article fait partie d’une série d’articles publiées sur le sujet de la transposition de la directive NIS2 en Belgique. Vous pouvez consulter les autres articles ici.