Le projet de loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique a été approuvé en Commission Intérieur de la Chambre ce 27 mars 2024 (Chambre des représentants).

Le projet de loi transpose en Belgique la directive européenne (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (ci-après dénommé la « directive NIS 2 »).

La directive NIS2 remplace la directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (ci-après, la directive NIS1). Cette directive doit être transposée en Belgique au plus tard pour le 17 octobre 2024.

NIS2 en bref

La directive NIS2 vise à renforcer la cyber-résilience au niveau européen en se concentrant sur les objectifs clés suivants :

1. Élargissement du nombre d'activités et d'entités critiques entrant dans le champ d'application de la directive avec l’utilisation de définitions et d’un critère de taille (size cap) (sans identification nationale nécessaire – sauf exception);
2. Renforcer les mesures de gestion des risques de cybersécurité que les entités doivent prendre ainsi que la notification des incidents (avec deux catégories d’entités essentielles ou importantes) ;
3. Encourager le partage d'informations sur les incidents et risques de cybersécurité entre les entités et le CSIRT national ;
4. Renforcer le contrôle de la conformité et les sanctions ;
5. Assurer une coopération européenne et nationale.

Compte tenu des nombreuses modifications nécessaires, le projet de loi vise à remplacer intégralement les dispositions de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (ci-après, la loi NIS1) qui transposait en Belgique la directive NIS1.

Ce projet est le résultat de nombreux mois de consultations avec les acteurs privés (les associations et fédérations d’entreprises) et les acteurs publics (administrations fédérales et fédérées), coordonné par le cabinet du Premier Ministre et le Centre pour la Cybersécurité Belgique. Il a également fait l’objet d’une consultation publique au mois de décembre 2023.

Celui-ci s’inscrit dans le cadre de la stratégie de cybersécurité 2.0 adoptée par le Conseil National de Sécurité (CNS) en 2021. Cette stratégie fixe l’approche nationale en la matière et les objectifs de protection des organisations d’intérêt vital contre toutes les cybermenaces. Elle a l’ambition de propulser la Belgique au rang des pays les moins vulnérables d’Europe.

Etapes suivantes

L’étape suivante sera le vote de la loi en séance plénière autour du 18 avril 2024 et sa publication au Moniteur belge.

Ensuite, un arrêté royal d’exécution devra encore être adopté pour désigner formellement certaines autorités et préciser certaines modalités pratiques relatives à la supervision des entités.