La loi NIS2
Obligations
La loi NIS2 impose un certain nombre d’obligations aux entités essentielles et importantes. Il s’agit notamment des mesures de gestion des risques de cybersécurité, la notification d’incidents significatifs, l’enregistrement et la collaboration avec les autorités.
1. Mesures de gestion des risques
Les entités essentielles et importantes doivent prendre les mesures appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.
Ces mesures sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents.
Elles comprennent au moins les 11 mesures suivantes :
(1) Les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information |
(2) La gestion des incidents |
(3) La continuité des activités et la gestion des crises |
(4) La sécurité de la chaîne d’approvisionnement |
(5) La sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités |
(6) Des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité |
(7) La cyberhygiène et la formation à la cybersécurité |
(8) Des politiques et des procédures sur la cryptographie et, le cas échéant, du chiffrement |
(9) La sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs |
(10) Des solutions d’authentification à plusieurs facteurs, de communications sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins | (11) Une politique de divulgation coordonnée des vulnérabilités |
Le Centre pour la Cybersécurité Belgique a élaboré un référentiel, nommé les « CyberFundamentals » (CyFun®), qui couvre l’ensemble de ces points et peut être utilisé pour l’évaluation de la conformité. Pour plus d’informations, nous vous invitons à visiter la page CyFun sur Safeonweb@work.
2. Notification des incidents
La loi prévoit que les entités essentielles et importantes doivent notifier aux autorités compétentes tout incident significatif sur la fourniture de leurs services fournis dans les (sous-)secteurs repris aux annexes de la loi, en ce compris, le cas échéant, les informations qui permettent de déterminer si l’incident en question à un impact transfrontière.
Un incident significatif est tout incident ayant un impact significatif sur la fourniture de l’un des services fournis dans les secteurs ou sous-secteurs repris à l’annexe I et II de la loi et qui:
- a causé ou est susceptible de causer une perturbation opérationnelle grave de l’un des services fournis dans les secteurs ou sous-secteurs repris à l’annexe I et II ou des pertes financières pour l’entité concernée; ou
- a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
Cette notification s’effectue auprès du CSIRT National (le CCB). Le cas échéant, les entités concernées informent les destinataires de leurs services sur les incidents significatifs qui pourraient nuire à la fourniture des services précités. Les entités informent également les destinataires de leurs services potentiellement affectés par une cybermenace importante sur toutes les mesures et corrections qui peuvent prendre pour y répondre, voir sur la cybermenace elle-même.
La notification des incidents significatifs se déroule en plusieurs étapes :
- sans retard injustifié et tout au plus dans les 24 heures après avoir pris connaissance de l’incident significatif, l’entité transmet une alerte précoce;
- sans retard injustifié et tout au plus dans les 72 heures (24h pour les prestataires de services de confiance) après avoir pris connaissance de l’incident significatif, l’entité communique une notification d’incident ;
- à la demande du CSIRT national ou, le cas échéant, de l’éventuelle autorité sectorielle concernée, l’entité communique un rapport intermédiaire;
- au plus tard un mois après la notification d’incident visée au 2°, l’entité transmet un rapport final;
- si le rapport final ne peut être transmis car l’incident est encore en cours, l’entité transmet un rapport d’avancement puis, dans le mois suivant le traitement définitif de l’incident, le rapport final.
En pratique, la notification aura lieu via la procédure établie sur le site du CCB.
3. Enregistrement des entités
Les entités NIS2 régulées en Belgique ont l’obligation de s’enregistrer auprès du CCB. En pratique, les entités devront compléter un formulaire d’enregistrement sur Safeonweb@Work.
Le délai pour s’enregistrer dépend du type d'entité. En principe, les entités essentielles et importantes, ainsi que les fournisseurs de services d’enregistrement de noms de domaine, ont 5 mois pour s’enregistrer après l’entrée en vigueur de la loi. Avec cette entrée en vigueur prévue pour le 18 octobre 2024, l’enregistrement devra s’effectuer au-plus tard le 18 mars 2025.
Lors de l’enregistrement, les entités doivent fournir les informations suivantes :
- leur dénomination ainsi que leur numéro d’enregistrement auprès de la Banque Carrefour des Entreprises (BCE) ou un enregistrement équivalent dans l’Union européenne ;
- leur adresse et leurs coordonnées actualisées, y compris leur adresse de courrier électronique, leurs plages d’IP et leur numéro de téléphone ;
- le cas échéant, le secteur et le sous-secteur concernés visés à l’annexe I ou II de la loi ;
- le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d’application de la loi.
Une exception existe pour les entités qui auraient déjà communiquées ces informations à une autorité sectorielle NIS2. Dans ce cas-là, les informations doivent simplement être mises à jour si nécessaire. Si les informations changent, toutes les entités doivent sans tarder en informer le CCB.
Un régime légèrement adapté existe pour les types d’entités suivantes :
- fournisseurs de services DNS ;
- registres des noms de domaine de premier niveau ;
- entités qui fournissent des services d’enregistrement de noms de domaine ;
- fournisseurs de services d’informatique en nuage ;
- fournisseurs de services de centres de données ;
- fournisseurs de réseaux de diffusion de contenu ;
- fournisseurs de services gérés ;
- fournisseurs de services de sécurité gérés ;
- fournisseurs de places de marché en ligne ;
- fournisseurs de moteurs de recherche en ligne ; et
- fournisseurs de plateformes de services de réseaux sociaux.
Elles doivent s’enregistrer dans les 2 mois après l’entrée en vigueur de la loi (soit le 18 décembre 2024 au-plus tard) et communiquer les informations suivantes :
- leur nom ;
- leur secteur, sous-secteur et type d’entité concernés, visés à l’annexe I ou II, le cas échéant ;
- l’adresse de leur établissement principal et de leurs autres établissements légaux dans l’Union ou, s’ils ne sont pas établis dans l’Union, de leur représentant ;
- leurs coordonnées actualisées, y compris les adresses de courrier électronique et les numéros de téléphone et, le cas échéant, celles de leur représentant ;
- les États membres dans lesquels ils fournissent leurs services relevant du champ d’application de la loi ;
- leurs plages d’IP.
Chaque entité, dans l’exception ou non, est tenue d’informer le CCB sans tarder des modifications de ces informations.
En pratique, une partie de ces informations seront reprises directement auprès de la Banque Carrefour des Entreprises (BCE) lors du processus d’enregistrement.
4. Obligations et responsabilités du management
Les organes de direction des entités NIS2 doivent approuver les mesures de gestion des risques en matière de cybersécurité et superviser leur mise en œuvre. Si l'entité manque à ses obligations en matière de mesures de gestion des risques, l'organe de direction est responsable.
Les membres des organes de direction sont tenus de suivre des formations afin de s'assurer que leurs connaissances et leurs compétences sont suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l'entité concernée.
Les personnes responsables et/ou les représentants légaux d'une entité doivent avoir le pouvoir de s'assurer que l'entité se conforme à la loi. Ils sont responsables de tout manquement à cette obligation.
La responsabilité des organes de direction, des personnes responsables et des représentants légaux est sans préjudice aux règles de responsabilité applicables aux institutions publiques, ainsi que de la responsabilité des fonctionnaires et des agents élus ou nommés.
5. Collaboration avec les autorités
La loi NIS2 prévoit que les entités qui tombent dans son champ d’application doivent collaborer avec les autorités nationales en charge de son exécution, dont notamment le CCB et les autorités sectorielles.
Cette collaboration prend généralement la forme d’un échange d’information sur sécurité des réseaux et des systèmes d’information, mais couvre notamment aussi la coopération de l’entité avec le service d’inspection du CCB.