a) L’OSE (qui n’est pas supervisé par la Banque nationale de Belgique « BNB ») notifie tous les incidents ayant un impact sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité (*) des réseaux et des systèmes d'information dont sont tributaires le ou les service(s) essentiel(s) qu’il fournit.

Art. 24, § 1^er de la loi NIS prévoit la notification, sans retard, de tous les incidents ayant un impact significatif sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit mais l’art. 24, § 3 précise qu’en l'absence de niveaux d'incidence et/ou de seuils visés au paragraphe 2, l'opérateur notifie tous les incidents ayant un impact sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit.

(*) voir définitions question ("Mesures de sécurité NIS").

La loi NIS prévoit la possibilité de fixer, par arrêté royal, des niveaux d'incidence et/ou des seuils pour la notification des incidents ou encore différentes catégories de notification en fonction du degré d'impact de l'incident. A ce jour, de tels arrêtés royaux n’ont toutefois pas été adoptés.

b) L’OSE supervisé par la BNB notifie tous les incidents ayant un impact significatif sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit.

La BNB est chargée de déterminer cet impact significatif.

Un incident est tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information.

La sécurité des réseaux et des systèmes d'information correspond à la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

L’OSE doit notifier l’incident sans retard, c’est-à-dire le plus rapidement possible.

L’OSE ne doit pas attendre de disposer de toutes les informations pertinentes sur un incident pour procéder à la notification. Dès le moment où l’OSE dispose des informations nécessaires pour lui permettre d’évaluer, complètement ou partiellement, l'impact de l'incident, il doit procéder à la notification.

a) L’OSE (qui n’est pas supervisé par la BNB) doit notifier simultanément l’incident à trois autorités :

• le Centre pour la Cybersécurité Belgique (CCB) ;
• le Centre de Crise national (NCCN) ;
• l’autorité sectorielle et/ou à son CSIRT sectoriel.

En pratique, la notification simultanée s’accomplit en une seule démarche aux trois autorités via l’utilisation de la plate-forme de notification NIS.

b) L’OSE supervisé par la BNB doit notifier l’incident uniquement à la BNB, selon les modalités fixées par celle-ci.

Si la BNB impose à l’OSE d’utiliser la plate-forme de notification, la notification est simultanément aussi faite au CCB et au NCCN. Si la BNB n’impose pas l’utilisation de la plate-forme de notification, la BNB transmettra elle-même la notification, sans retard, au CCB et au NCCN.

Cette exception résulte du fait que certains établissements financiers sont déjà soumis à des obligations de notification sectorielles au niveau européen vis-à-vis de la Banque Centrale européenne

L’OSE (qui n’est pas supervisé par la BNB) doit notifier l’incident via la plate-forme de notification
NIS : https://nis-incident.be

La plate-forme est accessible par le biais d'internet au moyen d'une connexion sécurisée et l'utilisation d'une clé d'identification unique à chaque OSE (login/nom d’utilisateur et mot de passe).

En cas d’indisponibilité de la plate-forme de notification NIS, l’OSE doit notifier l’incident via les modalités prévues sur le site du Centre pour la Cybersécurité Belgique : (https://cert.be/fr/signaler-un-incident).

Pour plus d’informations sur la notification d’un incident, vous pouvez consulter le Guide notification OSE sur le site du CCB.

L’OSE doit utiliser le formulaire de notification d’incident mis à disposition par le CCB et repris sur la plateforme de notification NIS : https://nis-incident.be

Le formulaire de notification contient toutes les informations disponibles permettant de déterminer la nature, les causes, les effets et les conséquences de l’incident :

1. le nom et les coordonnées de l’opérateur et le service qu’il fournit ;
2. la date et le moment où l’incident s’est produit ;
3. la durée de l’incident ;
4. l’étendue géographique de l’incident et son caractère éventuellement transfrontalier;
5. le nombre d’utilisateurs concernés ;
6. les informations sur la nature de l’incident ;
7. la portée de l’impact de l’incident, notamment sur les activités sociales et économiques ;
8. l’importance des systèmes ou de l’information concernée ;
9. l’impact de l’incident sur des organisations internationales installées en Belgique ;
10. les actions entreprises ;
11. la description de la situation actuelle.

L’OSE et ses sous-traitants limitent l'accès aux informations relatives aux incidents, au sens de la loi NIS, aux seules personnes ayant besoin d'en connaître et d'y avoir accès pour l'exercice de leurs fonctions ou de leur mission en lien avec la loi NIS.

Cette règle vaut également pour le CCB (CSIRT national), le NCCN, l’autorité sectorielle et l’éventuel CSIRT sectoriel.

Les membres du personnel de l'OSE et ses sous-traitants sont tenus au secret professionnel en ce qui concerne les informations en rapport avec un incident NIS.

Les informations fournies au CCB, au NCCN et à l’autorité sectorielle par un OSE peuvent être échangées avec des autorités d’autres Etats membres de l'Union européenne et avec d’autres autorités belges lorsque cet échange est nécessaire à l'application de dispositions légales.

Cette transmission d’informations se limite toutefois à ce qui est pertinent et proportionné à l'objectif de cet échange, dans le respect du Règlement UE 2016/679, de la confidentialité des informations concernées, de la sécurité et des intérêts commerciaux de l’OSE.

La procédure de notification peut s’accomplir en plusieurs étapes :

1. Une notification initiale doit être effectuée, sans retard, même si l’OSE ne dispose pas encore de toutes les informations pertinentes. Le but de cette notification initiale est d’attirer l’attention du CCB, l’autorité sectorielle ou de son CSIRT sectoriel, et du NCCN sur l’incident et de ses possibles conséquences.
2. Des notifications complémentaires doivent être envoyées périodiquement ou dès que l’OSE dispose de nouvelles informations. Le but de ces notifications complémentaires est de mettre à jour le CCB, l’autorité sectorielle ou son CSIRT sectoriel, et du NCCN sur le statut de l’incident. L’OSE crée alors une nouvelle notification sur la plate-forme, en y ajoutant seulement les données nouvelles ainsi que le numéro de référence de la notification initiale.
3. Un éventuel rapport final (à la demande de l’une des autorités précitées) reprenant toutes les informations envoyées au CCB, à l’autorité sectorielle ou son CSIRT sectoriel, et au NCCN. Le but de ce rapport final est de donner une vue d’ensemble de l’incident et de pouvoir en tirer des conclusions.

L’OSE doit tenir informé le CCB et l’autorité sectorielle, ou le cas échéant le CSIRT sectoriel, de l’évolution de l’incident ainsi que des actions de remédiation entreprises.

Lorsque l’OSE n’est pas en mesure de fournir toutes les informations reprises dans le formulaire à l’aide des éléments en sa possession, il complète la notification initiale via la plate-forme de notification dès que les informations manquantes sont disponibles.

Il fait de même lorsque de nouvelles informations sont connues ou lorsque des développements importants surviennent.

A la demande du CCB, du NCCN, de l’autorité sectorielle ou de son CSIRT sectoriel, l’OSE notifie via la plate-forme de notification une mise à jour du formulaire de notification (« rapport final ») retraçant la gestion de l’incident de sa découverte à sa clôture et reprenant toutes les informations reprises dans le formulaire de notification.

Les notifications complémentaires (visées à l'article 8, § 3 de l’AR NIS) faites par l’OSE suite à la prise de connaissance de nouvelles informations ou à la survenance de développements importants relatifs à l’incident seront réalisées via la plate-forme de notification.

L’OSE qui est touché par un incident est obligé de gérer l'incident et de prendre les mesures réactives afin de le résoudre. La gestion de l'incident demeure de la responsabilité de l'OSE.

L’OSE doit examiner les incidents ou évènements suspects qui lui sont notifiés par le CCB, l'autorité sectorielle ou le NCCN.

Le CCB, l’autorité sectorielle ou son CSIRT sectoriel et le NCCN peuvent demander à l’OSE des informations complémentaires sur les notifications qu’il a effectuées.

Les OSE supervisés par la BNB gèrent l’incident tenant compte des dispositions légales et des instructions qui leurs sont rendus applicables par la BNB et/ou la Banque centrale européenne.

Lorsque les circonstances le permettent, le CCB fournit à l'OSE qui est à l'origine de la notification toutes les informations utiles au suivi de sa notification, et le cas échéant toutes les informations qui pourraient contribuer à une gestion efficace de l'incident.

En fonction des informations introduites, le OSE recevra un message standard l’informant de son obligation de notifier les éventuelles violations de données à caractère personnel à l’une des « autorités de contrôle » via les outils de notification appropriés (par exemple : https://www.autoriteprotectiondonnees.be/professionnel/actions/fuites-de-donnees-personnelles). 

Les données (en ce compris les données à caractère personnel) ne doivent pas être conservées par l’OSE plus longtemps que nécessaire pour la poursuite des objectifs de la loi avec une durée maximale de conservation ne pouvant excéder la durée du délai de prescription des infractions éventuelles visées aux articles 51, § 1 et 52, § 2 de la loi NIS.

Les « opérateurs de services essentiels potentiels » (entités publiques ou privées actives en Belgique dans l'un des secteurs repris à l'annexe I de la loi NIS : Energie, Transports, Finances, Santé, Eau potable et Infrastructures numériques, mais qui n'ont pas été désignés comme OSE) peuvent notifier, à titre volontaire, les incidents ayant un impact significatif sur la continuité des services qu'ils fournissent.

Ex : un nouvel opérateur actif dans l’un des secteurs repris à l’annexe I de la loi NIS qui n’est pas encore désigné comme OSE ou un opérateur actif dans l’un de ces secteurs mais qui se trouve en dessous des seuils ou niveaux d’incidence de désignation fixés par l’autorité sectorielle.

Cette notification volontaire n'a pas pour effet d'imposer à l'entité qui est à l'origine de la notification des obligations auxquelles elle n'aurait pas été soumise si elle n'avait pas procédé à ladite notification.

Lors du traitement des notifications, le CCB, l'autorité sectorielle ou son CSIRT sectoriel, et le NCCN peuvent donner la priorité aux notifications obligatoires imposées par la loi NIS par rapport aux notifications volontaires.

Les notifications volontaires ne sont traitées que lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile à charge des autorités susmentionnées.