www.belgium.be Logo of the federal government

Transposition de la directive NIS en droit belge

News

La Chambre a approuvé le 21 mars 2019 un projet de loi transposant en droit belge la directive européenne NIS « concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information d’intérêt général pour la sécurité publique ». Dès sa publication au Moniteur belge, la loi entrera en vigueur.

Cette nouvelle loi, connue sous la formule abrégée « loi NIS », prévoit l’identification des services essentiels de notre pays et de leurs opérateurs (OSE) qui dépendent des NIS. Elle entend en outre veiller à ce que ces opérateurs prennent des mesures de sécurité suffisantes et signalent tout incident significatif comme une cyberattaque auprès des autorités nationales en charge de la cybersécurité.

Opérateurs de services essentiels

La loi NIS vise les opérateurs qui fournissent des services essentiels dans six secteurs : l’énergie, les transports, les finances, les soins de santé, l’eau potable et l’infrastructure numérique. Les opérateurs de services numériques tels les marchés en ligne, les moteurs de recherche en ligne ou les services de cloud computing relèvent également de cette législation NIS.

Au cours des six premiers mois suivant l’entrée en vigueur de cette loi, les autorités sectorielles prendront contact avec une première série d’opérateurs concernés et, après consultation, les désigneront « opérateurs de services essentiels ». Les autorités sectorielles les informeront de leurs obligations et des délais prévus à cet effet.

Mesures de sécurité

Une majorité d'entités fournissant des services essentiels dans notre pays sont de plus en plus dépendantes des réseaux et des systèmes d'information (NIS). Une perturbation ou une altération de ceux-ci pourraient donc aussi grandement perturber ces services essentiels et, partant, le fonctionnement normal du pays.

La loi NIS entend garantir que les opérateurs de services dits essentiels prennent des mesures de sécurité techniques et organisationnelles afin de prévenir tout incident ou d’en limiter l’impact et, ce faisant, d’assurer la sécurité et la continuité de la vie des citoyens et entreprises belges.

Obligation de notification

Les opérateurs de services essentiels qui sont victimes d'une cyberattaque doivent le signaler à un organisme central. Une plateforme numérique sera mise en place à cet effet. Le signalement des incidents permettra une meilleure coopération et une meilleure identification des menaces.