5. Transposition de la NIS2 dans la loi belge
La directive (UE) 2016/1148 (NIS1) a été transposée en Belgique par la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique.
Le nouveau texte européen est une directive – et non un règlement [10] –, il y a donc lieu pour lui donner effet de la transposer en droit national. La directive NIS2 doit être transposée en droit belge pour le 17 octobre 2024 au plus tard et être applicable le 18 octobre 2024.
Considérant le caractère lié à la sécurité publique de l’État fédéral, le gouvernement confie au législateur national la compétence sur ce dossier, ce qui nous épargne – si on avait dû prendre en compte les intérêts économiques et/ou sociaux et/ou les secteurs d’activités publiques/privées – l’imbroglio de réglementations régionales et/ou communautaires diversement transposées et formulées, sources de disparités et de conflits…
Le gouvernement a donc déposé un projet de loi le 5 mars 2024 intitulée « Loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique ». Ce projet de loi a été rédigé et coordonné par le Centre pour la Cybersécurité Belgique (CCB) et par les services du premier ministre.
Le projet de loi a été adopté par la Chambre le 18 avril 2024. La nouvelle loi a été publiée au Moniteur du 17 mai 2024, sous l'intitulé : « Loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique ». Compte tenu des nombreuses modifications nécessaires, cette loi remplace intégralement les dispositions prévues par la loi du 7 avril 2019. Elle a été complétée par un arrêté d’exécution du 9 juin 2024.
À l’instar de la directive, l’objectif de la loi est de renforcer les mesures de cybersécurité, de gestion des incidents et de supervision des entités fournissant des services essentiels au maintien d’activités sociales ou économiques critiques. Elle vise également à améliorer la coordination des politiques publiques en matière de cybersécurité.
La loi définit les règles légales minimales en matière de mesures de sécurité et de gestion des risques auxquelles doivent se conformer les entités essentielles et importantes [11]. Il est tenu compte du degré d’exposition de l’entité aux risques, de sa taille, de la probabilité qu’un incident se produise et de la gravité si un incident se produit.
Outre une procédure de notification des incidents, la loi prévoit également un régime de sanctions précisant les mesures administratives et les amendes que les autorités de contrôle compétentes peuvent prendre à l’égard des entités essentielles ou importantes, ainsi que la procédure qui doit les précéder.
[10] Un règlement européen est, quant à lui, d’application directe, dans la plupart des cas.
[11] Pour faciliter la mise en œuvre pratique de ces mesures de cybersécurité, le CCB a déjà élaboré et mis gratuitement à la disposition des entités concernées un cadre de référence: les “Cyberfundamentals”, comportant quatre niveaux différents, présentés dans notre article « ANPI à l’heure de la cybersécurité », dans : Fire & Security Alert Magazine n° 32, septembre 2023, p. 40.