Foire aux questions NIS relatives aux opérateurs de services essentiels (OSE)
Table des matières
Il est prévu trois sortes de contrôle des OSE :
a) un contrôle interne (audit interne) ;
b) un contrôle externe (audit externe) effectué par unorganisme d’évaluation de la conformité accrédité ou agréé ;
c) un contrôle externe (inspection) effectué par les membres du service d’inspection sectoriel compétent.
a) le contrôle interne
L'OSE doit réaliser, au moins un fois par an et à ses frais, un audit interne (réalisé par des membres de son personnel et/ou par des consultants externes) des réseaux et systèmes d'information dont sont tributaires les services essentiels qu'il fournit. Cet audit interne doit permettre à l'OSE de s'assurer que les mesures techniques et organisationnelles définies dans sa P.S.I. sont bien mises en œuvre et contrôlées régulièrement.
L'OSE transmet ses rapports d'audit interne, dans les trente jours, à l'autorité sectorielle compétente.
b) le contrôle externe
L'OSE fait réaliser, au moins tous les trois ans et à ses frais, un audit externe par un organisme d'évaluation de la conformité accrédité par BELAC (ou par une autorité d’accréditation équivalente d’un autre Etat de l’Union européenne co-signataire des accords de reconnaissance du « European Cooperation for Accreditation ») ou éventuellement agréé par l’autorité sectorielle.
La liste des organismes d'évaluation de la conformité accrédités ou agréés est disponible auprès de l’autorité sectorielle qui tient cette liste à jour.
L'OSE transmet ses rapports d'audit externe (éventuellement accompagnés de ses commentaires), dans les trente jours, à l'autorité sectorielle compétente.
c) l’inspection
Les services d’inspection peuvent à tout moment réaliser des contrôles du respect par l'OSE des mesures de sécurité et des règles de notification des incidents.
Le CCB ou l'autorité sectorielle peut recommander au service d'inspection de faire réaliser une inspection.
Le service d'inspection peut faire appel à des experts.
En cas de non-respect des obligations de la loi NIS, les OSE peuvent être condamnés à des sanctions pénales par un juge pénal (amendes pénales et peines d’emprisonnement) ou à des sanctions administratives par les autorités administratives (amendes administratives).
|
Sanction pénale (par manquement) En cas de récidive pour les mêmes faits dans un délai de trois ans, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de 15 jours à 3 ans. |
Sanction administrative (par manquement) En cas de récidive pour les mêmes faits dans un délai de trois ans, l'amende administrative est doublée. |
|
|---|---|---|
|
Transmettre, sur demande, toutes les informations utiles aux autorités NIS. |
Emprisonnement de 8 jours à 1 an et amende pénale de 208 € (26 € x 8) à 400.000 € (50.000 € x 8 (*)) (ou une de ces deux peines. |
Amende de 500 à 125.000 € |
|
Prendre les mesures techniques et organisationnelles relatives à la sécurité des réseaux et des systèmes d'information dont sont tributaires les services fournis. |
Emprisonnement de 8 jours à 1 an et amende de 208 € (26 € x 8 (*)) à 240.000 € (30.000 € x 8 (*)) ou une de ces deux peines. |
Amende de 500 à 100.000 € |
|
Notifier les incidents affectant la sécurité des systèmes et réseaux d'information dont sont tributaires les services fournis. |
Emprisonnement de 8 jours à 1 an et amende de 208 € (26 € x 8 (*)) à 160.000 € (20.000 € x 8 (*)) ou une de ces deux peines. |
Amende de 500 à 75.000 € |
|
Assurer la confidentialité /le secret professionnel des informations traitées dans le cadre de la loi NIS. + sous-traitants |
Emprisonnement d'un an à trois ans et amende de 800 € (100 € x 8 (*)) à 8.000 € (1.000 x 8 (*)) ou une de ces deux peines (voir art. 458 du Code pénal). |
|
|
Réaliser chaque année un audit interne des réseaux et systèmes d'information. Réaliser tous les 3 ans un audit externe des réseaux et systèmes d'information (par un organisme accrédité ou agréé). |
Emprisonnement de huit jours à un an et amende de 208 € (26 € x 8 (*)) à 400.000 € (50.000 € x 8 (*)) ou une de ces peines seulement. |
Amende de 500 à 200.000 € |
|
Entraver volontairement à l'exécution d’un contrôle effectué par un membre du service d'inspection, refuser de communiquer les informations demandées à l'occasion d’un contrôle, ou communiquer sciemment des informations inexactes ou incomplètes. |
Emprisonnement de 8 jours à 2 an et amende de 208 € (26 € x 8 (*)) à 600.000 € (75.000 € x 8 (*)) ou une de ces deux peines. |
Amende de 500 à 200.000 € |
|
Faire subir des conséquences négatives à une personne agissant pour le compte d'un OSE en raison de l'exécution, de bonne foi et dans le cadre de ses fonctions, des obligations découlant de la loi NIS. |
Amende de 500 à 200.000 € |
(*) décimes additionnels applicables au mois d’avril 2020 – voir le site du SPF Justice pour une actualisation du coefficient multiplicateur des décimes additionnels).
Si l’OSE est victime d’une infraction en matière de cybercriminalité et souhaite porter plainte, il doit le faire lui-même. La notification d’un incident NIS ne constitue pas en soi le dépôt d’une plainte pénale.
Il est cependant vivement conseillé à l’OSE de le faire et ce afin de limiter les cas de récidives.
Enfin, conformément à l'article 29 du Code d’Instruction Criminelle, les fonctionnaires travaillant au sein d’OSE ainsi que ceux relevant des différentes autorités réceptrices des notifications peuvent être tenus de signaler les infractions pénales dont ils ont connaissance dans l'exercice de leurs fonctions et de communiquer au ministère public toute information y afférente.