Cette loi transpose la directive européenne (UE) 2022/2555 (NIS2) en droit belge. Elle s'applique aux entités essentielles et importantes opérant dans 18 secteurs critiques et impose des obligations strictes en matière de cybersécurité, avec des sanctions pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.
TITRE Ier - Définitions et dispositions générales
CHAPITRE 1er - Objet et champ d'application
La présente loi règle une matière visée à l'article 74 de la Constitution.
La présente loi vise notamment à transposer la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive NIS2).
§ 1er. La présente loi s'applique:
- Aux entités essentielles et importantes visées aux articles 9 et 10
- Aux prestataires de services de confiance qualifiés
- Aux registres de noms de domaine de premier niveau et aux entités fournissant des services d'enregistrement de noms de domaine
- Aux fournisseurs de services DNS
- Aux fournisseurs de services informatiques en nuage
- Aux fournisseurs de centres de données
- Aux fournisseurs de réseaux de diffusion de contenu
- Aux fournisseurs de services gérés
- Aux fournisseurs de services de sécurité gérés
- Aux fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux
Ne sont pas soumis à la présente loi:
- Les entités exerçant des activités dans le domaine de la défense nationale ou de la sécurité nationale
- Les entités chargées de la sécurité publique, de l'ordre public, de la défense et des activités de l'État dans les domaines du droit pénal
- Les parlements et les cours et tribunaux judiciaires
- Les entités publiques de radiodiffusion
- Certaines microentreprises et petites entreprises selon critères définis
TITRE II - Autorités compétentes et coopération
§ 2. Le Centre pour la Cybersécurité Belgique (CCB) assure la fonction d'autorité nationale compétente en matière de cybersécurité, sauf disposition contraire du Roi.
TITRE III - Mesures de gestion des risques en matière de cybersécurité
§ 3. Les mesures comportent au moins les éléments suivants:
1° Politiques d'analyse des risques et de sécurité des systèmes d'information
- Analyse systématique des risques de cybersécurité
- Évaluation régulière de l'efficacité des mesures
- Politique de sécurité de l'information documentée et approuvée
2° Gestion des incidents
- Procédures de détection, d'analyse et de limitation des incidents
- Procédures de récupération et de restauration après incident
- Mécanismes d'escalade et de communication
- Exercices et tests réguliers des procédures
3° Continuité des activités
- Plans de continuité d'activité (PCA)
- Plans de reprise après sinistre (PRA)
- Sauvegardes régulières et testées
- Gestion de crise et communication de crise
4° Sécurité de la chaîne d'approvisionnement
- Évaluation de la sécurité des fournisseurs
- Clauses contractuelles relatives à la cybersécurité
- Contrôle et audit des fournisseurs critiques
- Gestion des risques liés aux relations avec les fournisseurs
5° Sécurité dans l'acquisition, le développement et la maintenance
- Intégration de la sécurité dès la conception (Security by Design)
- Gestion sécurisée du cycle de vie des systèmes
- Gestion des correctifs et des mises à jour
- Procédures de gestion des changements
6° Politiques et procédures d'évaluation de l'efficacité
- Audits de sécurité réguliers
- Tests d'intrusion
- Évaluations de vulnérabilités
- Indicateurs de performance en matière de sécurité
7° Pratiques de base en matière de cyberhygiène et formation
- Sensibilisation régulière du personnel
- Formations ciblées pour les fonctions critiques
- Tests de simulation (phishing, social engineering)
- Bonnes pratiques de gestion des mots de passe
8° Politiques et procédures concernant l'utilisation de la cryptographie
- Chiffrement des données sensibles au repos et en transit
- Gestion sécurisée des clés cryptographiques
- Utilisation d'algorithmes reconnus et à jour
- Protocoles de communication sécurisés
9° Sécurité des ressources humaines, politiques de contrôle d'accès
- Vérification des antécédents pour les postes sensibles
- Principe du moindre privilège
- Gestion des accès et des identités (IAM)
- Revue régulière des droits d'accès
- Procédures de départ (offboarding)
10° Utilisation de solutions d'authentification multifacteur
- Authentification multifacteur (MFA) pour les accès critiques
- Authentification forte pour les accès à distance
- Solutions d'authentification basées sur le risque
11° Utilisation de solutions de communications sécurisées
- Chiffrement des communications
- Plateformes de communication sécurisées
- Protection contre l'interception
§ 1er. Les membres des organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités, supervisent leur mise en œuvre et peuvent être tenus responsables des infractions à ces mesures.
§ 2. Les membres des organes de direction suivent une formation appropriée pour leur permettre de comprendre et d'évaluer les risques de cybersécurité.
§ 1er. Les entités essentielles et importantes notifient, sans retard injustifié, au CSIRT national ou à l'autorité compétente tout incident ayant un impact significatif sur la fourniture de leurs services.
La notification comporte au moins trois étapes:
1. Notification précoce (24 heures maximum)
- Identification de l'entité notifiante
- Date et heure estimées du début de l'incident
- Description préliminaire de la nature de l'incident
- Évaluation initiale de la gravité et de l'impact
2. Notification intermédiaire (72 heures)
- Mise à jour des informations
- Évaluation de la gravité et de l'impact
- Indicateurs de compromission (IP, etc.)
- Évaluation de la menace supposée
- Mesures d'atténuation prises ou en cours
3. Rapport final (1 mois)
- Description détaillée de l'incident
- Type de menace ou cause profonde
- Mesures d'atténuation appliquées
- Impact transfrontière éventuel
- Recommandations pour prévenir des incidents similaires
TITRE VI - Contrôle, sanctions et voies de recours
Pour les ENTITÉS ESSENTIELLES :
Amende maximale = 10 000 000 EUR ou 2% du CA mondial
(le montant le plus élevé étant retenu)
Pour les ENTITÉS IMPORTANTES :
Amende maximale = 7 000 000 EUR ou 1,4% du CA mondial
(le montant le plus élevé étant retenu)
§ 1er. L'autorité compétente peut infliger des amendes administratives en cas de:
- Non-respect des mesures de gestion des risques (article 30)
- Non-respect des obligations de notification (articles 34-35)
- Non-coopération avec l'autorité compétente
- Fourniture d'informations incorrectes ou incomplètes
- Non-respect d'une injonction ou d'une mesure correctrice
ANNEXES
ANNEXE I - Secteurs hautement critiques (Entités essentielles)
1. Énergie
- Électricité
- Pétrole
- Gaz
- Hydrogène
2. Transports
- Aérien
- Ferroviaire
- Maritime
- Routier
3. Secteur bancaire
- Établissements de crédit
4. Infrastructures financières
- Plateformes de négociation
- Contreparties centrales
5. Santé
- Prestataires de soins
- Laboratoires
- Pharma R&D
- Dispositifs médicaux
6. Eau potable
- Fournisseurs et distributeurs
7. Eaux usées
- Collecte et traitement
8. Infrastructure numérique
- IXP, DNS, TLD
- Cloud, Data centers
- CDN
- Télécommunications
9. Services TIC (B2B)
- MSP
- MSSP
10. Administration publique
- Fédéral
- Régional
- Communautaire
11. Espace
- Infrastructures terrestres
ANNEXE II - Autres secteurs critiques (Entités importantes)
Entités de taille moyenne dans les secteurs suivants:
1. Services postaux
2. Gestion des déchets
3. Produits chimiques
4. Denrées alimentaires
5. Fabrication
- Dispositifs médicaux
- Électronique
- Automobiles
6. Fournisseurs numériques
- Places de marché
- Moteurs de recherche
- Réseaux sociaux