Un nouveau cadre légal verra bientôt le jour pour renforcer la cybersécurité en Belgique et en Europe. Il responsabilise davantage les dirigeants d’entreprise, qui non seulement devront suivre une formation en cybersécurité mais seront les principaux garants de la mise en place des mesures de cyberrésilience. Ils seront à ce titre d’ailleurs directement visés par les sanctions en cas de non-respect de ce rôle. L’arsenal répressif va de l’amende à la peine d’emprisonnement, en passant par l’interdiction d’exercer sa fonction.
Le projet de loi transposant en droit belge la directive européenne visant à assurer un niveau élevé de cybersécurité dans l’ensemble de l’Union, appelée directive NIS 2, a été approuvé en Commission de l’Intérieur de la Chambre le 27 mars dernier. Il établit un cadre pour la cybersécurité des principaux opérateurs des secteurs clés de notre société. Le but ? Accroître leur résilience face aux cyberattaques susceptibles de paralyser l’ensemble de leurs activités.
L’explosion du nombre de cyberattaques et l’impact de tels incidents sur la société ont clairement montré la nécessité obliger les autorités nationales à consacrer l’attention nécessaire à la cybersécurité, à renforcer la coopération européenne entre les autorités de cybersécurité et à imposer aux entreprises la prise de mesures de sécurité et la notification d’incidents.
La loi belge de transposition de la directive NIS2 s’appliquera, en principe, aux entités établies en Belgique et concernera les entreprises actives dans un des 18 secteurs renseignés dans les annexes de la directive. Il s’agit de secteurs critiques dont :
- l’énergie
- les transports (aériens, ferroviaires, par eau, routiers)
- le secteur bancaire et les infrastructures des marchés financiers
- la santé (les hôpitaux mais aussi des laboratoires de référence, les fabricants de dispositifs médicaux ou de préparations pharmaceutiques et autres)
- l’eau potable
- l’infrastructure numérique et les fournisseurs numériques
- l’administration publique
- les services postaux et d’expédition
- la fabrication, production et distribution de produits chimiques
- la production, transformation et distribution des denrées alimentaires
- la recherche.
Il s’agira pour les entités concernées de prendre les mesures appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services. Cela implique également la prise de mesures visant à éliminer ou réduire les conséquences en cascade que de tels incidents auraient sur les destinataires de leurs services et sur d’autres services.
Les entreprises visées devront mettre en œuvre diverses mesures afin d’analyser correctement les risques de cyberincidents, de les gérer correctement s’ils surviennent. Cela implique, entre autres, de veiller à la continuité des activités et à la sécurité de la chaîne d’approvisionnement, y compris les relations entre chaque entité (fournisseurs ou prestataires de services directs). Un programme de formation à la cybersécurité en interne devra être mis en place, en commençant par la formation des dirigeants des entreprises.
Le projet de loi belge prévoit deux options pour se mettre en conformité, soit une certification selon la norme ISO 27001, soit le cadre Cyberfundamentals mis en place par le Centre pour la Cybersécurité Belgique, le CCB.
Lire plus d'articles sur:
