3e anniversaire de la loi nationale transposant la « Directive NIS »
Dans le domaine de la cybersécurité en Belgique, la 7 avril est une date un peu particulière.
Cette date marque en effet la transposition en droit belge de la directive européenne « Network and Information System Security» (directive NIS) *. Quel est le but de cette directive ? Elle vise avant tout à assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information dans l’Union européenne.
Cette directive européenne a créé en Belgique le premier cadre légal spécifique et complet en matière de cybersécurité. La loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (« loi NIS ») a notamment renforcé les missions légales et l’expertise du Centre pour la Cybersécurité Belgique (CCB) en la matière.
Au niveau européen, la directive NIS a permis de structurer et d’améliorer la coopération entre les États membres de l’Union européenne en matière de cybersécurité, tant pour les aspects stratégiques que opérationnels, notamment via la création du Groupe de coopération NIS et d’un réseau européen de « CSIRT » (Centre de réponse aux incidents de sécurité informatique). Le CCB joue un rôle actif dans ces deux instances de coopération européenne.
Au niveau national, la loi NIS a permis d’identifier les Opérateurs de services essentiels (OSE), de les soumettre à des règles de sécurité, de notification d’incidents et de contrôle.
Un « Opérateur de service essentiel » (OSE) est une entité publique ou privée qui exerce une activité en Belgique liée à la fourniture d’un service essentiel dans l’un des secteurs repris à l’annexe I de cette loi (énergie, transport, finances, santé, infrastructures digitales et eau potable) qui dispose d’au moins un établissement sur le territoire belge, et qui est désignée, par décision administrative de l’autorité sectorielle compétente. Les autres critères de désignation d’un OSE sont:
- fournir un service essentiel au maintien d'activités sociétales et/ou économiques critiques;
- la fourniture du service est tributaire des réseaux et des systèmes d'information (ce qui est présumé être le cas) ;
- la survenance d’un « incident » lié à la « sécurité des réseaux et des systèmes d’information » de l’opérateur serait susceptible d'avoir un « effet perturbateur important » sur la fourniture du service essentiel;
Plus d’infos sur les Opérateurs de Services Essentiels (OSE) voir https://ccb.belgium.be/fr/cadre-l%C3%A9gal-pour-les-op%C3%A9rateurs-de-services-essentiels-ose
Nous avons rassemblé les questions les plus courantes sur le cadre juridique applicable aux opérateurs de services essentiels sous forme de questions/réponses pratiques dans une page
Un fournisseur de service numérique (FSN) est une personne morale qui n’est pas une micro ou petite entreprise, qui fournit certains services numériques (service d'informatique en nuage, place de marché en ligne ou moteur de recherche en ligne) et qui a son siège principal en Belgique.
Plus d’infos sur les Fournisseurs de Service Numérique (FSN) voir https://ccb.belgium.be/fr/cadre-l%C3%A9gal-pour-les-fournisseurs-de-service-num%C3%A9rique-fsn
Etant donné que la sphère digitale évolue rapidement, l’EU prépare une seconde version de la directive NIS (« NIS2 » donc ) … histoire à suivre !
_____________
* Celle-ci (n°2016/1148) a été adoptée par les institutions européennes le 6 juillet 2016. En Belgique, la « Loi établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique » dite « NIS » a été adoptée le 7 avril 2019 et publiée au Moniteur belge le 3 mai 2019 (cf. http://www.ejustice.just.fgov.be/eli/loi/2019/04/07/2019011507/moniteur).