La loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (la "loi NIS2") transpose en droit belge la directive 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (la "directive NIS2") et entrera en vigueur le 18 octobre de cette année.

La loi NIS2 est une étape majeure dans l’objectif de faire de la Belgique un des pays les moins cyber-vulnérables au monde. Pour ce faire, cette loi soumet les entités rentrant dans son champ d’application à différentes obligations, dont celle d’adopter des mesures de gestion des risques en matière de cybersécurité.

Ces mesures peuvent être d’ordre technique, opérationnelle ou organisationnelle et doivent permettre à l’entité qui les adopte de gérer les risques qui menacent la sécurité de ses réseaux et systèmes d’information et d’éliminer ou de réduire les conséquences qu’aurait un incident de cybersécurité. Elles sont adoptées en tenant compte de l’état des connaissances, des normes existantes et de leur coût.

Les mesures de cybersécurité à adopter doivent être, pour chaque entité, adaptées, appropriées et proportionnées par rapport au risque existant, au degré d’exposition de l’entité au risque, à sa taille, à la probabilité de survenance d’un incident et à la gravité d’un tel incident.

La loi NIS2 énumère 11 points sur lesquels les mesures doivent porter au minimum. Ces points sont repris dans le visuel ci-dessous. 

Le Centre pour la Cybersécurité Belgique a élaboré un référentiel, nommé les « CyberFundamentals » (CyFun^®), qui couvre l’ensemble de ses points. Ce cadre est notamment un moyen pour les organisations tombant dans le champ d’application de la loi NIS2 de se mettre en conformité avec l’obligation d’adopter les mesures appropriées et proportionnées de gestion des risques en matière de cybersécurité. Le cadre CyFun^® est un ensemble de mesures concrètes visant à protéger les données, réduire de manière significative le risque des cyber-attaques les plus courantes, et accroître la cyber-résilience d'une organisation. Pour en savoir plus sur le cadre des CyberFundamentals, nous vous invitons à visiter la page correspondant de notre site web.

Pour savoir en quoi consiste NIS2, si cela vous concerne et quelles sont les obligations de ce nouveau cadre légal, nous vous invitons à lire notre page web à ce sujet. Pour obtenir des informations encore plus détaillées sur la loi, nous vous invitons à consulter notre page sur NIS2 sur Safeonweb@Work.

Cet article fait partie d’une série d’articles publiées sur le sujet de la transposition de la directive NIS2 en Belgique. Vous pouvez consulter les autres articles ici.