1) Le Centre pour la Cybersécurité Belgique (CCB) est l’autorité nationale chargée du suivi et de la coordination de la mise en œuvre de la loi du 7 avril 2019 (loi NIS), le Centre national de réponse aux incidents de sécurité informatique (CSIRT national) et le point de contact national unique pour les relations au niveau de l’Union européenne.

2) Le Centre de Crise national du SPF Intérieur (NCCN) est l'autorité chargée, en coopération avec le CCB, de coordonner l'identification des OSE.

3) Les autorités sectorielles :

• Pour l’Énergie: le Ministre fédéral de l’Énergie ou par délégation un membre dirigeant du personnel de son administration;
• Pour les Transports (à l‘exception du transport par voies d'eau accessibles aux navires maritimes) : le Ministre fédéral de la Mobilitéou par délégation un membre dirigeant du personnel de son administration;
• Pour les Transports par voies d'eau accessibles aux navires maritimes : le Ministre fédéral compétent pour la Mobilité maritime ou par délégation un membre dirigeant du personnel de son administration ;
• Pour les Finances, sous-secteur des établissements financiers : la Banque Nationale de Belgique (BNB) ;
• Pour les Finances, sous-secteur des plates-formes de négociation financière : l’Autorité des services et marchés financiers (FSMA) ;
• Pour la Santé : le Ministre fédéral de la Santé publique (ou par délégation un membre dirigeant du personnel de son administration) ;
• Pour les Infrastructures numériques : l’Institut belge des services postaux et des télécommunications (IBPT) ;
• Pour l’Eau potable : le Comité national de sécurité pour la fourniture et la distribution d’eau potable (en cours de création).

L’OSE visé par la loi NIS est une entité publique ou privée qui exerce effectivement une activité en Belgique liée à la fourniture d’un service essentiel dans l’un des secteurs repris à l’annexe I de cette loi, qui dispose d’au moins un établissement sur le territoire belge, et qui est reconnue, par décision administrative de l’autorité sectorielle compétente (voir ci-dessous question n°4), comme fournissant un service essentiel.

Ex : la gestion d’un réseau de transport de l’électricité.

Pour être désigné comme OSE par l’autorité sectorielle, l’opérateur doit répondre à quatre critères cumulatifs :

a) appartenir à l’un des secteurs ou sous-secteurs visés à l’annexe I de la loi NIS :

b) fournir un service qui est qualifié de « service essentiel» par l’autorité sectorielle compétente ;

c) la fourniture du service est tributaire des réseaux et des systèmes d'information (ce qui est présumé être le cas par la loi NIS) ;

d) la survenance d’un « incident» lié à la « sécurité des réseaux et des systèmes d’information» de l’opérateur serait susceptible d'avoir un « effet perturbateur important » sur la fourniture du service essentiel (suivant les critères déterminés par l’autorité sectorielle compétente).

Un service essentiel est un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques. L’autorité sectorielle compétente détermine au sein de son secteur les services qualifiés de « services essentiels » en tenant compte notamment des services essentiels repris à l’annexe I de la loi NIS.

Ex : la gestion d’un réseau de distribution de l’électricité.

Les seuils ou niveaux d’incidence d’identification sont déterminés par l’autorité sectorielle compétente et portent au minimum sur les critères intersectoriels suivants :

1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
2. la dépendance des autres secteurs visés à l’annexe I de la loi NIS à l’égard du service fourni par cette entité ;
3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
4. la part de marché de cette entité ;
5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

La loi NIS vise tant les entités privées que publiques au sens large (autorités administratives, entreprises publiques, organismes d’intérêt public, intercommunales, etc.) fournissant des services essentiels en Belgique.

Pour le moment, le champ d’application de la loi NIS est limité aux entités publiques actives dans l'un des secteurs repris à l'annexe I de cette loi (par exemple, la distribution du gaz ou de l’électricité, la distribution de l’eau potable, la gestion des aéroports, la gestion des hôpitaux, etc.) et qui ont été désignées comme OSE par l'autorité sectorielle compétente. La liste actuelle des secteurs, sous-secteurs et des types d’OSE pourra être étendue par le Roi dans le futur.

Il est évident que d’autres entités publiques fournissent également un service essentiel au maintien d'activités sociétales et/ou économiques critiques, dans le cadre de leurs missions de service public. 

Indépendamment de la loi NIS, ces entités publiques sont déjà tenues au respect d’obligations légales applicables à leur(s) réseau(x) et système(s) d’information (RGPD Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, Règlement e-IDAS (UE) n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques, la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de service fédéral, les règles de responsabilité des pouvoirs publics, etc.).

Il s’agit de deux notions différentes mais complémentaires. 

Tout d’abord, la notion d’infrastructure critique (IC) au sens de la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques vise un ou des éléments précis d’un service fourni par un opérateur et qui est indispensable au maintien de fonctions vitales. Il s’agit d’une installation, d’un système ou d’une partie de celui-ci.

En revanche, la notion de service essentiel au sens de la loi NIS vise la fourniture d’un service, pris dans son entièreté (avec toutes ses composantes), par un opérateur qui est essentiel au maintien d'activités sociétales et/ou économiques critiques. Ainsi, un OSE peut potentiellement être l’exploitant d’une ou plusieurs infrastructure(s) critique(s).

Ensuite, une IC nationale est nécessairement située en Belgique alors que les installations et les systèmes d’un service essentiel fourni en Belgique peuvent en tout ou en partie être situés à l’étranger. Une IC européenne peut quant à elle être située soit en Belgique, soit dans un autre Etat membre de l'Union européenne.

Également, l’OSE doit être tributaire de réseaux et systèmes d’information pour assurer le bon fonctionnement de ses services essentiels alors que cela n’est pas nécessairement le cas pour l’exploitant d’une IC (l’utilisation croissante de réseaux et systèmes d’information par les entreprises ou entités publiques rend toutefois cette différence de plus en plus théorique).

Enfin, la nature et l’effet d’un incident éventuel distinguent encore les deux notions. Un incident au sens de la loi NIS vise un événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information alors qu’un incident au sens de la loi du 1^er juillet 2011 vise un événement de nature à menacer la sécurité de l'infrastructure critique, lequel ne doit donc pas nécessairement avoir eu un effet concret sur la sécurité de l’infrastructure ou être lié à la sécurité des réseaux et systèmes d’information de l’infrastructure.

Les deux lois utilisent également des termes différents pour l’incident potentiel permettant d’identifier le caractère critique ou essentiel des activités de l’opérateur, à savoir la survenance potentielle soit d’un « incident susceptible d’avoir un effet perturbateur important au niveau de la fourniture d’un service essentiel » pour l’OSE, soit de « l'interruption du fonctionnement ou la destruction d’une installation, système ou partie de celui-ci ayant une incidence significative du fait de la défaillance de fonctions vitales de la société ». Les deux notions se rapprochent néanmoins sur l’idée commune sous-jacente de vouloir assurer la continuité des activités d’intérêt public indispensables pour la population ou l’économie.

L’autorité sectorielle compétente examine les opérateurs actifs au sein de son secteur et procède à leur désignation, par décision administrative, sur la base des niveaux d'incidence ou des seuils d’identification. Le Centre de Cybersécurité Belgique (CCB) et le Centre de Crise national (NCCN) participent aux consultations préalables relatives à la désignation et, le cas échéant, également les autorités régionales ou communautaires concernées. 

Un critère intersectoriel est un facteur commun à tous les secteurs visés à l'annexe I de la loi NIS et qui détermine l'importance d'un effet perturbateur (le nombre d'utilisateurs, la dépendance des autres secteurs, les conséquences d’un incident, la part de marché, la zone géographique susceptible d'être touchée par un incident, l'importance que revêt l'entité pour garantir un niveau de service suffisant).

Un critère sectoriel est un facteur propre à un secteur ou sous-secteur visé à l'annexe I de la loi NIS et déterminant l'importance d'un effet perturbateur.

En raison de leur caractère sensible pour la sécurité publique, les seuils et niveaux d’incidence choisis par les autorités sectorielles ne sont pas rendus publics (les documents administratifs liés à la procédure d’identification sont considérés comme des documents administratifs liés à la sécurité de la population, à l'ordre public et la sûreté, au sens de l'article 6, § 1er, de la loi du 11 avril 1994 relative à la publicité de l'administration, qui ne peuvent être consultés, faire l'objet d'explications ou être communiqués sous forme de copie pour le public).

L’autorité sectorielle doit, sauf exception (la loi NIS présumant que l’exploitation d’une infrastructure critique est tributaire de réseaux et systèmes d'information), désigner tous les exploitants d'infrastructures critiques (au sens de la loi du 1^er juillet 2011) de son secteur comme OSE.

Ex: le gestionnaire de réseau de transport d’électricité qui a été identifié comme exploitant d’une IC nationale sera, en principe, désigné également comme OSE.

A l’inverse, l’OSE désigné ne sera pas automatiquement identifié comme exploitant d’une ou plusieurs IC : cela dépend de la localisation de ses installations, équipements et systèmes (en Belgique ou non) et de leur niveau d’importance critique (en cas de destruction ou d’interruption de leur fonctionnement).

De manière régulière, l’autorité sectorielle s’assurera de l’actualisation de la liste des OSE de son secteur (au minimum tous les deux ans).

Les obligations s’appliquant aux OSE sont de plusieurs sortes :

• Mettre en œuvre des mesures de sécurité des réseaux et systèmes d’information liés à la fourniture de leur(s) service(s) essentiel(s) ;
• Notifier les incidents de sécurité des réseaux et systèmes d’information liés à la fourniture de leur(s) service(s) essentiel(s);
• Contrôler la sécurité des réseaux et systèmes d’information liés à la fourniture de leur(s) service(s) essentiel(s) : audit interne et audit externe ;
• Collaborer et échanger des informations avec les différentes autorités NIS compétentes.