1 Mesures générales de sécurité

L’OSE doit prendre les mesures techniques et organisationnelles :

a) Nécessaires et proportionnées

• Répondre utilement et de manière adaptée à une situation donnée (individualiser les mesures)

b) Pour gérer les risques qui menacent la sécurité des réseaux et systèmes d’information (après la réalisation d’une analyse de risques)

• Risque : « toute circonstance ou tout évènement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d’information » (art. 6, 15° de la loi NIS)
• Sécurité des réseaux et des systèmes d’information: « la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles » (art. 6, 9° de la loi NIS).
• Disponibilité : aptitude d’un système à être accessible et utilisable ® garantir son fonctionnement
• Authenticité : aptitude d’un système à confirmer qu’il est ce qu’il prétend être
• Intégrité : aptitude d’un système à ne pas être altéré par des entités non autorisées
• Confidentialité: aptitude d’un système à ne pas permettre l’accès à ses données à des personnes non autorisées.

opérateurs de services essentiels potentiels

• Réseau et système d'information (art. 6, 8° de la loi NIS) :

1. un réseau de communications électroniques au sens de l'article 2, 3°, de la loi du 13 juin 2005 relative aux communications électroniques ;
2. tout dispositif, tout ensemble de dispositifs interconnectés ou apparentés, de manière permanente ou temporaire, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, en ce compris les composants numériques, électroniques ou mécaniques de ce dispositif permettant notamment l'automatisation du processus opérationnel, le contrôle à distance, ou l'obtention de données de fonctionnement en temps réel ;
3. ou les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b), en vue de leur fonctionnement, utilisation, protection et maintenance.

c) Pour garantir un niveau de sécurité physique et logique

• Permettre à un système de résister, à un niveau de confiance donné, à des évènements susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données transmises ou faisant l’objet d’un traitement, et des services connexes que ce système offre ou rend accessibles.
   
• Physique : mesures garantissant la capacité de résistance des éléments matériels des réseaux et systèmes d’information (accès physique aux équipements informatiques, salle des serveurs, etc.).
• Logique : mesures garantissant la capacité de résistance des éléments logiques des réseaux et systèmes d’information (contrôle d'accès au logiciel, cryptage, surveillance, anti-virus, etc.).

d) Adaptées aux risques existants compte tenu de l’état des connaissances techniques actuelles

• Technique doit être présente sur le marché, comme un produit déjà commercialisé, et non encore à l’état de prototypes qui la rendrait difficilement disponible.
• Veille technologique incontournable

e) Appropriées en vue de prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d'information

• Appropriées: dépend de l’objet sur lequel elles portent et de leur adéquation avec la prévention des incidents
• Prévenir les incidents: limiter leur impact, dans la perspective de permettre la continuité de la fourniture des services essentiels.

L’OSE doit élaborer et appliquer une politique de sécurité des systèmes et réseaux d'information (P.S.I.) dont sont tributaires les services essentiels qu’il fournit. Cette P.S.I. reprend au moins les objectifs et les mesures de sécurité concrètes mises en œuvre.

2 Mesures spécifiques

Le Roi peut imposer, par arrêté royal, certaines mesures spécifiques de sécurité applicables à tous les OSE (ou à certains types particuliers d’OSE) d'un ou plusieurs secteurs (ou sous-secteurs).

L'autorité sectorielle compétente peut également, par décision administrative individuelle, imposer à un OSE particulier des mesures spécifiques de sécurité.

3 Documents de références

Pour la mise en œuvre de ses mesures de sécurité, l’OSE peut notamment utiliser, outre les normes techniques reconnues (comme par exemple la norme ISO 27001), les documents de références suivants :

• Groupe de coopération européen NIS (CG NIS) :

« Reference document on security measures for Operators of Essential Services »

https://ec.europa.eu/information_society/newsroom/image/document/2018-30/reference_document_security_measures_0040C183-FF20-ECC4-A3D11FA2A80DAAC6_53643.pdf

• Agence européenne en matière de cybersécurité (ENISA):

« Guidelines on assessing DSP security and OES compliance with the NISD security requirements »

https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements

“Interactive table of the NIS Cooperation Group Security Measures for OES” –

https://www.enisa.europa.eu/topics/nis-directive/minimum-security-measures-for-operators-of-essentials-services

• Centre pour la Cybersécurité Belgique (CCB) :

Baseline Information Security Guidelines (BSG) - 2019

https://ccb.belgium.be/sites/default/files/Etat%20des%20bonnes%20pratiques%20en%20matiere%20de%20securite%20informatique%20v2019%20FR%20F....pdf

Cyber Guide

https://cyberguide.ccb.belgium.be

L’OSE peut prouver lui-même à l’organisme d’audit externe et/ou au service d’inspection sa conformité aux obligations générales et spécifiques de sécurité (art. 20 et 21 de la loi NIS) en documentant de manière adéquate son analyse de risques, le niveau de sécurité de ses mesures techniques/organisationnelles, le caractère approprié des mesures en vue de prévenir des incidents, etc. Dans ce cas, la charge de preuve de la conformité incombe à l’OSE.

L’OSE peut également utiliser une certification ISO 27001 (non obligatoire) délivrée par un organisme d’évaluation de la conformité accrédité par BELAC (ou par une institution européenne équivalente) et couvrant les mesures de sécurité des réseaux et systèmes d’information nécessaires à la fourniture du ou des services essentiels. Dans ce cas, l’OSE bénéficie alors d’une présomption de conformité aux exigences de sécurité de la PSI de l’OSE lorsque celle-ci répond aux exigences de la norme ISO/IEC 27001 « Systèmes de management de la sécurité de l'information » (ou à une norme nationale, étrangère ou internationale reconnue équivalente par le Roi).

En effet, le respect de la norme ISO/IEC 27001 implique le respect des exigences légales applicables à l’OSE (en ce compris les mesures générales de sécurité découlant de la loi NIS et des mesures spécifiques de sécurité).

Cette présomption vaut jusqu’à preuve du contraire par le service d’inspection. La charge de la preuve incombe donc au service d’inspection et non à l’OSE.

Dans les 3 mois de sa désignation, l’OSE doit :

• transmettre à l'autorité sectorielle un descriptif des réseaux et des systèmes d'information dont est tributaire la fourniture du ou des services essentiels concernés ;
• désigner en son sein un point de contact pour la sécurité des systèmes et réseaux d'information;
• communiquer les coordonnées du point de contact à l'autorité sectorielle compétente.

Dans un délai de 12 mois de sa désignation, l’OSE doit adopter sa politique de sécurité de ses systèmes et réseaux d'information (P.S.I.).

Dans les 3 mois après l’adoption de sa P.S.I., l’OSE réalise son premier audit interne.

Dans un délai de 24 mois de sa désignation, l’OSE doit mettre en œuvre les mesures prévues dans sa P.S.I.

Dans les 24 mois après la réalisation de son premier audit interne, l'OSE réalise son premier audit externe.