1) Le Centre pour la Cybersécurité Belgique (CCB) est l’autorité nationale chargée du suivi et de la coordination de la mise en œuvre de la loi du 7 avril 2019 (loi NIS), le Centre national de réponse aux incidents de sécurité informatique (CSIRT national) et le point de contact national unique pour les relations au niveau de l’Union européenne.

2) Le Centre de Crise national du SPF Intérieur (NCCN) est l'autorité chargée, en coopération avec le CCB, de coordonner l'identification des OSE.

3) Les autorités sectorielles :

• Pour l’Énergie: le Ministre fédéral de l’Énergie ou par délégation un membre dirigeant du personnel de son administration;
• Pour les Transports (à l‘exception du transport par voies d'eau accessibles aux navires maritimes) : le Ministre fédéral de la Mobilitéou par délégation un membre dirigeant du personnel de son administration;
• Pour les Transports par voies d'eau accessibles aux navires maritimes : le Ministre fédéral compétent pour la Mobilité maritime ou par délégation un membre dirigeant du personnel de son administration ;
• Pour les Finances, sous-secteur des établissements financiers : la Banque Nationale de Belgique (BNB) ;
• Pour les Finances, sous-secteur des plates-formes de négociation financière : l’Autorité des services et marchés financiers (FSMA) ;
• Pour la Santé : le Ministre fédéral de la Santé publique (ou par délégation un membre dirigeant du personnel de son administration) ;
• Pour les Infrastructures numériques : l’Institut belge des services postaux et des télécommunications (IBPT) ;
• Pour l’Eau potable : le Comité national de sécurité pour la fourniture et la distribution d’eau potable (en cours de création).

L’OSE visé par la loi NIS est une entité publique ou privée qui exerce effectivement une activité en Belgique liée à la fourniture d’un service essentiel dans l’un des secteurs repris à l’annexe I de cette loi, qui dispose d’au moins un établissement sur le territoire belge, et qui est reconnue, par décision administrative de l’autorité sectorielle compétente (voir ci-dessous question n°4), comme fournissant un service essentiel.

Ex : la gestion d’un réseau de transport de l’électricité.

Pour être désigné comme OSE par l’autorité sectorielle, l’opérateur doit répondre à quatre critères cumulatifs :

a) appartenir à l’un des secteurs ou sous-secteurs visés à l’annexe I de la loi NIS :

b) fournir un service qui est qualifié de « service essentiel» par l’autorité sectorielle compétente ;

c) la fourniture du service est tributaire des réseaux et des systèmes d'information (ce qui est présumé être le cas par la loi NIS) ;

d) la survenance d’un « incident» lié à la « sécurité des réseaux et des systèmes d’information» de l’opérateur serait susceptible d'avoir un « effet perturbateur important » sur la fourniture du service essentiel (suivant les critères déterminés par l’autorité sectorielle compétente).

Un service essentiel est un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques. L’autorité sectorielle compétente détermine au sein de son secteur les services qualifiés de « services essentiels » en tenant compte notamment des services essentiels repris à l’annexe I de la loi NIS.

Ex : la gestion d’un réseau de distribution de l’électricité.

Les seuils ou niveaux d’incidence d’identification sont déterminés par l’autorité sectorielle compétente et portent au minimum sur les critères intersectoriels suivants :

1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
2. la dépendance des autres secteurs visés à l’annexe I de la loi NIS à l’égard du service fourni par cette entité ;
3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
4. la part de marché de cette entité ;
5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

La loi NIS vise tant les entités privées que publiques au sens large (autorités administratives, entreprises publiques, organismes d’intérêt public, intercommunales, etc.) fournissant des services essentiels en Belgique.

Pour le moment, le champ d’application de la loi NIS est limité aux entités publiques actives dans l'un des secteurs repris à l'annexe I de cette loi (par exemple, la distribution du gaz ou de l’électricité, la distribution de l’eau potable, la gestion des aéroports, la gestion des hôpitaux, etc.) et qui ont été désignées comme OSE par l'autorité sectorielle compétente. La liste actuelle des secteurs, sous-secteurs et des types d’OSE pourra être étendue par le Roi dans le futur.

Il est évident que d’autres entités publiques fournissent également un service essentiel au maintien d'activités sociétales et/ou économiques critiques, dans le cadre de leurs missions de service public. 

Indépendamment de la loi NIS, ces entités publiques sont déjà tenues au respect d’obligations légales applicables à leur(s) réseau(x) et système(s) d’information (RGPD Règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, Règlement e-IDAS (UE) n°910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques, la loi du 15 août 2012 relative à la création et à l’organisation d’un intégrateur de service fédéral, les règles de responsabilité des pouvoirs publics, etc.).

Il s’agit de deux notions différentes mais complémentaires. 

Tout d’abord, la notion d’infrastructure critique (IC) au sens de la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques vise un ou des éléments précis d’un service fourni par un opérateur et qui est indispensable au maintien de fonctions vitales. Il s’agit d’une installation, d’un système ou d’une partie de celui-ci.

En revanche, la notion de service essentiel au sens de la loi NIS vise la fourniture d’un service, pris dans son entièreté (avec toutes ses composantes), par un opérateur qui est essentiel au maintien d'activités sociétales et/ou économiques critiques. Ainsi, un OSE peut potentiellement être l’exploitant d’une ou plusieurs infrastructure(s) critique(s).

Ensuite, une IC nationale est nécessairement située en Belgique alors que les installations et les systèmes d’un service essentiel fourni en Belgique peuvent en tout ou en partie être situés à l’étranger. Une IC européenne peut quant à elle être située soit en Belgique, soit dans un autre Etat membre de l'Union européenne.

Également, l’OSE doit être tributaire de réseaux et systèmes d’information pour assurer le bon fonctionnement de ses services essentiels alors que cela n’est pas nécessairement le cas pour l’exploitant d’une IC (l’utilisation croissante de réseaux et systèmes d’information par les entreprises ou entités publiques rend toutefois cette différence de plus en plus théorique).

Enfin, la nature et l’effet d’un incident éventuel distinguent encore les deux notions. Un incident au sens de la loi NIS vise un événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information alors qu’un incident au sens de la loi du 1^er juillet 2011 vise un événement de nature à menacer la sécurité de l'infrastructure critique, lequel ne doit donc pas nécessairement avoir eu un effet concret sur la sécurité de l’infrastructure ou être lié à la sécurité des réseaux et systèmes d’information de l’infrastructure.

Les deux lois utilisent également des termes différents pour l’incident potentiel permettant d’identifier le caractère critique ou essentiel des activités de l’opérateur, à savoir la survenance potentielle soit d’un « incident susceptible d’avoir un effet perturbateur important au niveau de la fourniture d’un service essentiel » pour l’OSE, soit de « l'interruption du fonctionnement ou la destruction d’une installation, système ou partie de celui-ci ayant une incidence significative du fait de la défaillance de fonctions vitales de la société ». Les deux notions se rapprochent néanmoins sur l’idée commune sous-jacente de vouloir assurer la continuité des activités d’intérêt public indispensables pour la population ou l’économie.

L’autorité sectorielle compétente examine les opérateurs actifs au sein de son secteur et procède à leur désignation, par décision administrative, sur la base des niveaux d'incidence ou des seuils d’identification. Le Centre de Cybersécurité Belgique (CCB) et le Centre de Crise national (NCCN) participent aux consultations préalables relatives à la désignation et, le cas échéant, également les autorités régionales ou communautaires concernées. 

Un critère intersectoriel est un facteur commun à tous les secteurs visés à l'annexe I de la loi NIS et qui détermine l'importance d'un effet perturbateur (le nombre d'utilisateurs, la dépendance des autres secteurs, les conséquences d’un incident, la part de marché, la zone géographique susceptible d'être touchée par un incident, l'importance que revêt l'entité pour garantir un niveau de service suffisant).

Un critère sectoriel est un facteur propre à un secteur ou sous-secteur visé à l'annexe I de la loi NIS et déterminant l'importance d'un effet perturbateur.

En raison de leur caractère sensible pour la sécurité publique, les seuils et niveaux d’incidence choisis par les autorités sectorielles ne sont pas rendus publics (les documents administratifs liés à la procédure d’identification sont considérés comme des documents administratifs liés à la sécurité de la population, à l'ordre public et la sûreté, au sens de l'article 6, § 1er, de la loi du 11 avril 1994 relative à la publicité de l'administration, qui ne peuvent être consultés, faire l'objet d'explications ou être communiqués sous forme de copie pour le public).

L’autorité sectorielle doit, sauf exception (la loi NIS présumant que l’exploitation d’une infrastructure critique est tributaire de réseaux et systèmes d'information), désigner tous les exploitants d'infrastructures critiques (au sens de la loi du 1^er juillet 2011) de son secteur comme OSE.

Ex: le gestionnaire de réseau de transport d’électricité qui a été identifié comme exploitant d’une IC nationale sera, en principe, désigné également comme OSE.

A l’inverse, l’OSE désigné ne sera pas automatiquement identifié comme exploitant d’une ou plusieurs IC : cela dépend de la localisation de ses installations, équipements et systèmes (en Belgique ou non) et de leur niveau d’importance critique (en cas de destruction ou d’interruption de leur fonctionnement).

De manière régulière, l’autorité sectorielle s’assurera de l’actualisation de la liste des OSE de son secteur (au minimum tous les deux ans).

Les obligations s’appliquant aux OSE sont de plusieurs sortes :

• Mettre en œuvre des mesures de sécurité des réseaux et systèmes d’information liés à la fourniture de leur(s) service(s) essentiel(s) ;
• Notifier les incidents de sécurité des réseaux et systèmes d’information liés à la fourniture de leur(s) service(s) essentiel(s);
• Contrôler la sécurité des réseaux et systèmes d’information liés à la fourniture de leur(s) service(s) essentiel(s) : audit interne et audit externe ;
• Collaborer et échanger des informations avec les différentes autorités NIS compétentes.

1 Mesures générales de sécurité

L’OSE doit prendre les mesures techniques et organisationnelles :

a) Nécessaires et proportionnées

• Répondre utilement et de manière adaptée à une situation donnée (individualiser les mesures)

b) Pour gérer les risques qui menacent la sécurité des réseaux et systèmes d’information (après la réalisation d’une analyse de risques)

• Risque : « toute circonstance ou tout évènement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d’information » (art. 6, 15° de la loi NIS)
• Sécurité des réseaux et des systèmes d’information: « la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles » (art. 6, 9° de la loi NIS).
• Disponibilité : aptitude d’un système à être accessible et utilisable ® garantir son fonctionnement
• Authenticité : aptitude d’un système à confirmer qu’il est ce qu’il prétend être
• Intégrité : aptitude d’un système à ne pas être altéré par des entités non autorisées
• Confidentialité: aptitude d’un système à ne pas permettre l’accès à ses données à des personnes non autorisées.

opérateurs de services essentiels potentiels

• Réseau et système d'information (art. 6, 8° de la loi NIS) :

1. un réseau de communications électroniques au sens de l'article 2, 3°, de la loi du 13 juin 2005 relative aux communications électroniques ;
2. tout dispositif, tout ensemble de dispositifs interconnectés ou apparentés, de manière permanente ou temporaire, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, en ce compris les composants numériques, électroniques ou mécaniques de ce dispositif permettant notamment l'automatisation du processus opérationnel, le contrôle à distance, ou l'obtention de données de fonctionnement en temps réel ;
3. ou les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b), en vue de leur fonctionnement, utilisation, protection et maintenance.

c) Pour garantir un niveau de sécurité physique et logique

• Permettre à un système de résister, à un niveau de confiance donné, à des évènements susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données transmises ou faisant l’objet d’un traitement, et des services connexes que ce système offre ou rend accessibles.
   
• Physique : mesures garantissant la capacité de résistance des éléments matériels des réseaux et systèmes d’information (accès physique aux équipements informatiques, salle des serveurs, etc.).
• Logique : mesures garantissant la capacité de résistance des éléments logiques des réseaux et systèmes d’information (contrôle d'accès au logiciel, cryptage, surveillance, anti-virus, etc.).

d) Adaptées aux risques existants compte tenu de l’état des connaissances techniques actuelles

• Technique doit être présente sur le marché, comme un produit déjà commercialisé, et non encore à l’état de prototypes qui la rendrait difficilement disponible.
• Veille technologique incontournable

e) Appropriées en vue de prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d'information

• Appropriées: dépend de l’objet sur lequel elles portent et de leur adéquation avec la prévention des incidents
• Prévenir les incidents: limiter leur impact, dans la perspective de permettre la continuité de la fourniture des services essentiels.

L’OSE doit élaborer et appliquer une politique de sécurité des systèmes et réseaux d'information (P.S.I.) dont sont tributaires les services essentiels qu’il fournit. Cette P.S.I. reprend au moins les objectifs et les mesures de sécurité concrètes mises en œuvre.

2 Mesures spécifiques

Le Roi peut imposer, par arrêté royal, certaines mesures spécifiques de sécurité applicables à tous les OSE (ou à certains types particuliers d’OSE) d'un ou plusieurs secteurs (ou sous-secteurs).

L'autorité sectorielle compétente peut également, par décision administrative individuelle, imposer à un OSE particulier des mesures spécifiques de sécurité.

3 Documents de références

Pour la mise en œuvre de ses mesures de sécurité, l’OSE peut notamment utiliser, outre les normes techniques reconnues (comme par exemple la norme ISO 27001), les documents de références suivants :

• Groupe de coopération européen NIS (CG NIS) :

« Reference document on security measures for Operators of Essential Services »

https://ec.europa.eu/information_society/newsroom/image/document/2018-30/reference_document_security_measures_0040C183-FF20-ECC4-A3D11FA2A80DAAC6_53643.pdf

• Agence européenne en matière de cybersécurité (ENISA):

« Guidelines on assessing DSP security and OES compliance with the NISD security requirements »

https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements

“Interactive table of the NIS Cooperation Group Security Measures for OES” –

https://www.enisa.europa.eu/topics/nis-directive/minimum-security-measures-for-operators-of-essentials-services

• Centre pour la Cybersécurité Belgique (CCB) :

Baseline Information Security Guidelines (BSG) - 2019

https://ccb.belgium.be/sites/default/files/Etat%20des%20bonnes%20pratiques%20en%20matiere%20de%20securite%20informatique%20v2019%20FR%20F....pdf

Cyber Guide

https://cyberguide.ccb.belgium.be

L’OSE peut prouver lui-même à l’organisme d’audit externe et/ou au service d’inspection sa conformité aux obligations générales et spécifiques de sécurité (art. 20 et 21 de la loi NIS) en documentant de manière adéquate son analyse de risques, le niveau de sécurité de ses mesures techniques/organisationnelles, le caractère approprié des mesures en vue de prévenir des incidents, etc. Dans ce cas, la charge de preuve de la conformité incombe à l’OSE.

L’OSE peut également utiliser une certification ISO 27001 (non obligatoire) délivrée par un organisme d’évaluation de la conformité accrédité par BELAC (ou par une institution européenne équivalente) et couvrant les mesures de sécurité des réseaux et systèmes d’information nécessaires à la fourniture du ou des services essentiels. Dans ce cas, l’OSE bénéficie alors d’une présomption de conformité aux exigences de sécurité de la PSI de l’OSE lorsque celle-ci répond aux exigences de la norme ISO/IEC 27001 « Systèmes de management de la sécurité de l'information » (ou à une norme nationale, étrangère ou internationale reconnue équivalente par le Roi).

En effet, le respect de la norme ISO/IEC 27001 implique le respect des exigences légales applicables à l’OSE (en ce compris les mesures générales de sécurité découlant de la loi NIS et des mesures spécifiques de sécurité).

Cette présomption vaut jusqu’à preuve du contraire par le service d’inspection. La charge de la preuve incombe donc au service d’inspection et non à l’OSE.

Dans les 3 mois de sa désignation, l’OSE doit :

• transmettre à l'autorité sectorielle un descriptif des réseaux et des systèmes d'information dont est tributaire la fourniture du ou des services essentiels concernés ;
• désigner en son sein un point de contact pour la sécurité des systèmes et réseaux d'information;
• communiquer les coordonnées du point de contact à l'autorité sectorielle compétente.

Dans un délai de 12 mois de sa désignation, l’OSE doit adopter sa politique de sécurité de ses systèmes et réseaux d'information (P.S.I.).

Dans les 3 mois après l’adoption de sa P.S.I., l’OSE réalise son premier audit interne.

Dans un délai de 24 mois de sa désignation, l’OSE doit mettre en œuvre les mesures prévues dans sa P.S.I.

Dans les 24 mois après la réalisation de son premier audit interne, l'OSE réalise son premier audit externe.

a) L’OSE (qui n’est pas supervisé par la Banque nationale de Belgique « BNB ») notifie tous les incidents ayant un impact sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité (*) des réseaux et des systèmes d'information dont sont tributaires le ou les service(s) essentiel(s) qu’il fournit.

Art. 24, § 1^er de la loi NIS prévoit la notification, sans retard, de tous les incidents ayant un impact significatif sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit mais l’art. 24, § 3 précise qu’en l'absence de niveaux d'incidence et/ou de seuils visés au paragraphe 2, l'opérateur notifie tous les incidents ayant un impact sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit.

(*) voir définitions question ("Mesures de sécurité NIS").

La loi NIS prévoit la possibilité de fixer, par arrêté royal, des niveaux d'incidence et/ou des seuils pour la notification des incidents ou encore différentes catégories de notification en fonction du degré d'impact de l'incident. A ce jour, de tels arrêtés royaux n’ont toutefois pas été adoptés.

b) L’OSE supervisé par la BNB notifie tous les incidents ayant un impact significatif sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit.

La BNB est chargée de déterminer cet impact significatif.

Un incident est tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information.

La sécurité des réseaux et des systèmes d'information correspond à la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

L’OSE doit notifier l’incident sans retard, c’est-à-dire le plus rapidement possible.

L’OSE ne doit pas attendre de disposer de toutes les informations pertinentes sur un incident pour procéder à la notification. Dès le moment où l’OSE dispose des informations nécessaires pour lui permettre d’évaluer, complètement ou partiellement, l'impact de l'incident, il doit procéder à la notification.

a) L’OSE (qui n’est pas supervisé par la BNB) doit notifier simultanément l’incident à trois autorités :

• le Centre pour la Cybersécurité Belgique (CCB) ;
• le Centre de Crise national (NCCN) ;
• l’autorité sectorielle et/ou à son CSIRT sectoriel.

En pratique, la notification simultanée s’accomplit en une seule démarche aux trois autorités via l’utilisation de la plate-forme de notification NIS.

b) L’OSE supervisé par la BNB doit notifier l’incident uniquement à la BNB, selon les modalités fixées par celle-ci.

Si la BNB impose à l’OSE d’utiliser la plate-forme de notification, la notification est simultanément aussi faite au CCB et au NCCN. Si la BNB n’impose pas l’utilisation de la plate-forme de notification, la BNB transmettra elle-même la notification, sans retard, au CCB et au NCCN.

Cette exception résulte du fait que certains établissements financiers sont déjà soumis à des obligations de notification sectorielles au niveau européen vis-à-vis de la Banque Centrale européenne

L’OSE (qui n’est pas supervisé par la BNB) doit notifier l’incident via la plate-forme de notification
NIS : https://nis-incident.be

La plate-forme est accessible par le biais d'internet au moyen d'une connexion sécurisée et l'utilisation d'une clé d'identification unique à chaque OSE (login/nom d’utilisateur et mot de passe).

En cas d’indisponibilité de la plate-forme de notification NIS, l’OSE doit notifier l’incident via les modalités prévues sur le site du Centre pour la Cybersécurité Belgique : (https://cert.be/fr/signaler-un-incident).

Pour plus d’informations sur la notification d’un incident, vous pouvez consulter le Guide notification OSE sur le site du CCB.

L’OSE doit utiliser le formulaire de notification d’incident mis à disposition par le CCB et repris sur la plateforme de notification NIS : https://nis-incident.be

Le formulaire de notification contient toutes les informations disponibles permettant de déterminer la nature, les causes, les effets et les conséquences de l’incident :

1. le nom et les coordonnées de l’opérateur et le service qu’il fournit ;
2. la date et le moment où l’incident s’est produit ;
3. la durée de l’incident ;
4. l’étendue géographique de l’incident et son caractère éventuellement transfrontalier;
5. le nombre d’utilisateurs concernés ;
6. les informations sur la nature de l’incident ;
7. la portée de l’impact de l’incident, notamment sur les activités sociales et économiques ;
8. l’importance des systèmes ou de l’information concernée ;
9. l’impact de l’incident sur des organisations internationales installées en Belgique ;
10. les actions entreprises ;
11. la description de la situation actuelle.

L’OSE et ses sous-traitants limitent l'accès aux informations relatives aux incidents, au sens de la loi NIS, aux seules personnes ayant besoin d'en connaître et d'y avoir accès pour l'exercice de leurs fonctions ou de leur mission en lien avec la loi NIS.

Cette règle vaut également pour le CCB (CSIRT national), le NCCN, l’autorité sectorielle et l’éventuel CSIRT sectoriel.

Les membres du personnel de l'OSE et ses sous-traitants sont tenus au secret professionnel en ce qui concerne les informations en rapport avec un incident NIS.

Les informations fournies au CCB, au NCCN et à l’autorité sectorielle par un OSE peuvent être échangées avec des autorités d’autres Etats membres de l'Union européenne et avec d’autres autorités belges lorsque cet échange est nécessaire à l'application de dispositions légales.

Cette transmission d’informations se limite toutefois à ce qui est pertinent et proportionné à l'objectif de cet échange, dans le respect du Règlement UE 2016/679, de la confidentialité des informations concernées, de la sécurité et des intérêts commerciaux de l’OSE.

-Loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (en abrégé « loi NIS ») (publiée au Moniteur belge et entrée en vigueur le 3 mai 2019).

-Arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de la loi du 1^er juillet 2011 relative à la sécurité et la protection des infrastructures critiques (en abrégé « AR NIS ») (publiée au Moniteur belge et entré en vigueur le 18 juillet 2019).

-Directive 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (« directive NIS »).

-Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement générale sur la protection des données « RGPD »)

- Article 36/47 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique (M.B., 28 mars 1998, p. 9377 et s).

La procédure de notification peut s’accomplir en plusieurs étapes :

1. Une notification initiale doit être effectuée, sans retard, même si l’OSE ne dispose pas encore de toutes les informations pertinentes. Le but de cette notification initiale est d’attirer l’attention du CCB, l’autorité sectorielle ou de son CSIRT sectoriel, et du NCCN sur l’incident et de ses possibles conséquences.
2. Des notifications complémentaires doivent être envoyées périodiquement ou dès que l’OSE dispose de nouvelles informations. Le but de ces notifications complémentaires est de mettre à jour le CCB, l’autorité sectorielle ou son CSIRT sectoriel, et du NCCN sur le statut de l’incident. L’OSE crée alors une nouvelle notification sur la plate-forme, en y ajoutant seulement les données nouvelles ainsi que le numéro de référence de la notification initiale.
3. Un éventuel rapport final (à la demande de l’une des autorités précitées) reprenant toutes les informations envoyées au CCB, à l’autorité sectorielle ou son CSIRT sectoriel, et au NCCN. Le but de ce rapport final est de donner une vue d’ensemble de l’incident et de pouvoir en tirer des conclusions.

L’OSE doit tenir informé le CCB et l’autorité sectorielle, ou le cas échéant le CSIRT sectoriel, de l’évolution de l’incident ainsi que des actions de remédiation entreprises.

Lorsque l’OSE n’est pas en mesure de fournir toutes les informations reprises dans le formulaire à l’aide des éléments en sa possession, il complète la notification initiale via la plate-forme de notification dès que les informations manquantes sont disponibles.

Il fait de même lorsque de nouvelles informations sont connues ou lorsque des développements importants surviennent.

A la demande du CCB, du NCCN, de l’autorité sectorielle ou de son CSIRT sectoriel, l’OSE notifie via la plate-forme de notification une mise à jour du formulaire de notification (« rapport final ») retraçant la gestion de l’incident de sa découverte à sa clôture et reprenant toutes les informations reprises dans le formulaire de notification.

Les notifications complémentaires (visées à l'article 8, § 3 de l’AR NIS) faites par l’OSE suite à la prise de connaissance de nouvelles informations ou à la survenance de développements importants relatifs à l’incident seront réalisées via la plate-forme de notification.

L’OSE qui est touché par un incident est obligé de gérer l'incident et de prendre les mesures réactives afin de le résoudre. La gestion de l'incident demeure de la responsabilité de l'OSE.

L’OSE doit examiner les incidents ou évènements suspects qui lui sont notifiés par le CCB, l'autorité sectorielle ou le NCCN.

Le CCB, l’autorité sectorielle ou son CSIRT sectoriel et le NCCN peuvent demander à l’OSE des informations complémentaires sur les notifications qu’il a effectuées.

Les OSE supervisés par la BNB gèrent l’incident tenant compte des dispositions légales et des instructions qui leurs sont rendus applicables par la BNB et/ou la Banque centrale européenne.

Lorsque les circonstances le permettent, le CCB fournit à l'OSE qui est à l'origine de la notification toutes les informations utiles au suivi de sa notification, et le cas échéant toutes les informations qui pourraient contribuer à une gestion efficace de l'incident.

En fonction des informations introduites, le OSE recevra un message standard l’informant de son obligation de notifier les éventuelles violations de données à caractère personnel à l’une des « autorités de contrôle » via les outils de notification appropriés (par exemple : https://www.autoriteprotectiondonnees.be/professionnel/actions/fuites-de-donnees-personnelles). 

Les données (en ce compris les données à caractère personnel) ne doivent pas être conservées par l’OSE plus longtemps que nécessaire pour la poursuite des objectifs de la loi avec une durée maximale de conservation ne pouvant excéder la durée du délai de prescription des infractions éventuelles visées aux articles 51, § 1 et 52, § 2 de la loi NIS.

Les « opérateurs de services essentiels potentiels » (entités publiques ou privées actives en Belgique dans l'un des secteurs repris à l'annexe I de la loi NIS : Energie, Transports, Finances, Santé, Eau potable et Infrastructures numériques, mais qui n'ont pas été désignés comme OSE) peuvent notifier, à titre volontaire, les incidents ayant un impact significatif sur la continuité des services qu'ils fournissent.

Ex : un nouvel opérateur actif dans l’un des secteurs repris à l’annexe I de la loi NIS qui n’est pas encore désigné comme OSE ou un opérateur actif dans l’un de ces secteurs mais qui se trouve en dessous des seuils ou niveaux d’incidence de désignation fixés par l’autorité sectorielle.

Cette notification volontaire n'a pas pour effet d'imposer à l'entité qui est à l'origine de la notification des obligations auxquelles elle n'aurait pas été soumise si elle n'avait pas procédé à ladite notification.

Lors du traitement des notifications, le CCB, l'autorité sectorielle ou son CSIRT sectoriel, et le NCCN peuvent donner la priorité aux notifications obligatoires imposées par la loi NIS par rapport aux notifications volontaires.

Les notifications volontaires ne sont traitées que lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile à charge des autorités susmentionnées. 
 

Il est prévu trois sortes de contrôle des OSE :

a) un contrôle interne (audit interne) ;

b) un contrôle externe (audit externe) effectué par unorganisme d’évaluation de la conformité accrédité ou agréé ;

c) un contrôle externe (inspection) effectué par les membres du service d’inspection sectoriel compétent.

a) le contrôle interne

L'OSE doit réaliser, au moins un fois par an et à ses frais, un audit interne (réalisé par des membres de son personnel et/ou par des consultants externes) des réseaux et systèmes d'information dont sont tributaires les services essentiels qu'il fournit. Cet audit interne doit permettre à l'OSE de s'assurer que les mesures techniques et organisationnelles définies dans sa P.S.I. sont bien mises en œuvre et contrôlées régulièrement.

L'OSE transmet ses rapports d'audit interne, dans les trente jours, à l'autorité sectorielle compétente.

b) le contrôle externe

L'OSE fait réaliser, au moins tous les trois ans et à ses frais, un audit externe par un organisme d'évaluation de la conformité accrédité par BELAC (ou par une autorité d’accréditation équivalente d’un autre Etat de l’Union européenne co-signataire des accords de reconnaissance du « European Cooperation for Accreditation ») ou éventuellement agréé par l’autorité sectorielle.

La liste des organismes d'évaluation de la conformité accrédités ou agréés est disponible auprès de l’autorité sectorielle qui tient cette liste à jour.

L'OSE transmet ses rapports d'audit externe (éventuellement accompagnés de ses commentaires), dans les trente jours, à l'autorité sectorielle compétente.

c) l’inspection

Les services d’inspection peuvent à tout moment réaliser des contrôles du respect par l'OSE des mesures de sécurité et des règles de notification des incidents.

Le CCB ou l'autorité sectorielle peut recommander au service d'inspection de faire réaliser une inspection.

Le service d'inspection peut faire appel à des experts.

En cas de non-respect des obligations de la loi NIS, les OSE peuvent être condamnés à des sanctions pénales par un juge pénal (amendes pénales et peines d’emprisonnement) ou à des sanctions administratives par les autorités administratives (amendes administratives).

(*) décimes additionnels applicables au mois d’avril 2020 – voir le site du SPF Justice pour une actualisation du coefficient multiplicateur des décimes additionnels).

Si l’OSE est victime d’une infraction en matière de cybercriminalité et souhaite porter plainte, il doit le faire lui-même. La notification d’un incident NIS ne constitue pas en soi le dépôt d’une plainte pénale.

Il est cependant vivement conseillé à l’OSE de le faire et ce afin de limiter les cas de récidives.

Enfin, conformément à l'article 29 du Code d’Instruction Criminelle, les fonctionnaires travaillant au sein d’OSE ainsi que ceux relevant des différentes autorités réceptrices des notifications peuvent être tenus de signaler les infractions pénales dont ils ont connaissance dans l'exercice de leurs fonctions et de communiquer au ministère public toute information y afférente.