Cadre pour la sécurité des réseaux et des systèmes d'information pour la sécurité publique - Deuxième lecture
Sur proposition du Premier ministre Charles Michel et du ministre de la Sécurité et de l'Intérieur Jan Jambon, le Conseil des ministres a approuvé en deuxième lecture un avant-projet de loi qui vise à établir un cadre pour la sécurité des réseaux et des systèmes d'information d’intérêt général pour la sécurité publique.
Le Premier ministre, sous l’autorité duquel est placé le Centre pour la Cybersécurité Belgique (CCB), pilote la transposition en droit belge de la directive européenne 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information (directive NIS).
La directive NIS impose aux Etats membres un certain nombre d’obligations garantissant l’adoption par les opérateurs de services essentiels (OSE) et les fournisseurs de service numériques, établis sur leur territoire, de mesures techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d'information. Cela doit permettre de prévenir les incidents ou en limiter l'impact, en vue d'assurer la continuité des services essentiels.
Concrètement, l'avant-projet, adapté à l'avis du Conseil d'Etat, prévoit entre autres :
-
la désignation d’autorités compétentes à plusieurs niveaux avec des rôles distincts :
- une autorité nationale chargée du suivi et de la coordination de la mise en oeuvre de la présente loi (CCB)
- des autorités sectorielles chargées, pour leur secteur respectif, de veiller à la mise en oeuvre des dispositions de la présente loi
-
la désignation de Centres de réponse aux incidents de sécurité informatique (CSIRTs) :
- un CSIRT national (CCB)
- d’éventuels CSIRT(s) sectoriels
- l’identification des OSE par l’autorité sectorielle, en concertation avec le CCB et le Centre de crise, dans les limites de leurs compétences respectives
- la faculté d’ajouter d’autres types d’OSE au sein du secteur ou sous-secteur
-
la détermination des règles de sécurité pour les OSE :
- exigences de sécurité générales communes à tous les secteurs
- exigences sectorielles complémentaires
- la notification des incidents de sécurité ayant un impact significatif au CSIRT national (CCB), à l’autorité sectorielle ou son CSIRT sectoriel et au Centre de crise
-
les trois niveaux de contrôle des OSE :
- contrôle à tout moment par des services d’inspection sectoriels
- audit interne (chaque année)
- un audit externe (tous les 3 ans) par un organisme d'évaluation de la conformité accrédité par l'organisme belge d'accréditation BELAC ou une organisation reconnue équivalente
- la désignation des opérateurs qui gèrent une ou plusieurs infrastructures désignée(s) comme infrastructures critiques comme OSE pour autant que le service fourni soit tributaire des réseaux et systèmes d’information et que le secteur concerné rentre dans le champ d’application de la directive NIS
- la possibilité pour les autorités sectorielles de sanctionner les infractions aux dispositions de la loi par des sanctions pénales ou des sanctions administratives
- un rôle important pour l'organisme belge d'accréditation BELAC pour le contrôle des organismes d’évaluation de la conformité qui pourront octroyer une certification aux OSE et pour l’accréditation des organismes chargés des audits externes
L'avant-projet est soumis à la signature du Roi, en vue de son dépôt à la Chambre des représentants.