Réglementation

La loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (« loi NIS2 ») a transposé en Belgique la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (« directive NIS2 »).

L’objectif de la loi NIS2 est de renforcer les mesures de cybersécurité, de gestion des incidents et de supervision des entités fournissant des services essentiels au maintien d’activités sociales ou économiques critiques. Elle vise également à améliorer la coordination des politiques publiques en matière de cybersécurité.

Le règlement de l’UE sur la cybersolidarité  a été officiellement publié le 15 janvier 2025 et entre en vigueur le 4 février 2025. Il s’agit d’une nouvelle étape importante pour renforcer la cybersécurité de l’Europe. La loi vise à aider les pays de l’UE, y compris la Belgique, à mieux détecter, se préparer et réagir aux cyberincidents graves qui peuvent affecter les entreprises et les citoyens, et à promouvoir la solidarité entre les États membres en période de crise. Il s’agit de garantir que l’Europe soit plus résiliente dans le monde numérique d’aujourd’hui. Contrairement à la directive NIS2 ou au Cyber Resilience Act, le règlement sur la cybersolidarité n’introduit aucune obligation pour les prestataires. Il s’agit d’une législation purement volontaire qui fournit des outils et, surtout, un financement. Les États membres peuvent en faire usage s’ils le souhaitent, pour soutenir leurs capacités de détection, d’échange d’informations ou de réponse en cas de crise, en particulier pour les entités NIS2.

La Belgique, et plus particulièrement le Centre pour la cybersécurité Belgique, a joué un rôle clé dans l’élaboration et l’adoption du règlement sur la cybersolidarité lors de la présidence belge du Conseil de l’UE au premier semestre 2024. Le Centre pour la cybersécurité Belgique continue de jouer un rôle central dans la mise en œuvre des dispositions de la loi. En savoir plus sur la présidence belge dans cet article détaillé.

Le Cyber Resilience Act (CRA) a été publié le 20 novembre 2024. Ce nouveau règlement de l’UE contient des « exigences horizontales en matière de cybersécurité pour les produits à éléments numériques ». Autrement dit, il impose des exigences minimales de cybersécurité pour tous les produits connectés mis sur le marché de l'UE, rendant ainsi l’Internet des objets (IoT) plus sûr. 

Les nouvelles règles s'appliqueront dans tous les pays de l'UE et seront mises en œuvre progressivement. Il est finalement attendu que le CRA contribue à la vision du CCB de rendre la Belgique plus sûre sur le plan cyber en veillant à ce que les citoyens et les organisations, tant publiques que privées, soient moins vulnérables aux cyberattaques.

Le Cybersecurity Act crée un cadre pour la délivrance et la reconnaissance de certificats européens liés à la cybersécurité. Ces certifications reposent sur des schémas de certification de cybersécurité qui contiennent un ou plusieurs niveaux d’assurance (« élémentaire », « substantiel » ou « élevé »).

L’objectif est d’accroître la transparence de l’assurance en matière de cybersécurité des produits, services et processus des technologies de l’information et des communications. Ceci renforcera la confiance dans le marché intérieur numérique ainsi que sa compétitivité. Le recours aux certifications prévues par Cybersecurity Act demeure en principe volontaire.

« Politique de divulgation coordonnée de vulnérabilités (ou en anglais « Coordinated Vulnerability Disclosure Policy » - CVDP) est un ensemble de règles préalablement déterminées par une organisation responsable de systèmes d’information autorisant des participants (ou « hackers éthiques ») à rechercher, avec de bonnes intentions, de potentielles vulnérabilités dans ses systèmes, ou à lui transmettre toute information pertinente à ce sujet. 

Programme de récompense pour la découverte de vulnérabilités (ou en anglais « bug bounty ») vise l’ensemble des règles définies par une organisation responsable pour octroyer des récompenses aux participants qui identifieraient des vulnérabilités dans les technologies qu’elle utilise. Il s’agit d’une forme de politique de divulgation coordonnée de vulnérabilités, qui prévoit l’octroi d’une récompense pour le participant, en fonction du nombre, de l’importance ou de la qualité des informations transmises ».

En vertu de la loi NIS2, le Centre pour la Cybersécurité Belgique est chargée d'élaborer, de diffuser et de veiller à la mise en oeuvre des standards, directives et normes de sécurité pour les différents types de systèmes d’information.