Cybersécurité : les entités publiques et privées auxquelles la loi NIS2 s’applique ont jusqu’au 18 mars 2025 pour s’inscrire auprès du CCB (Centre pour la Cybersécurité Belgique).
Loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique.
Entrée en vigueur le 18 octobre 2024, cette loi impose aux entités auxquelles elle s’applique de s’enregistrer en tant que telles auprès du CCB (Centre pour la Cybersécurité Belgique) au plus tard le 18 mars 2025.
Quoi ?
Cette loi est la transposition de la directive UE 2022/2555 du 14 décembre 2022 (directive NIS2).
L’objectif de cette loi est de renforcer les mesures de cybersécurité, la gestion des incidents et la supervision des entités fournissant des services essentiels au maintien d’activités sociales ou économiques critiques. Elle vise également à améliorer la coordination des politiques publiques en matière de cybersécurité.
Qui ?
Les entités essentielles et importantes sont tenues de prendre des mesures appropriées et proportionnées pour atténuer leurs cyberrisques.
Parmi les entités essentielles et importantes, les institutions publiques, le secteur de l’énergie et les soins de santé sont considérés comme des secteurs très critiques.
Comment ?
Les entités concernées doivent non seulement prendre mesures organisationnelles, mais aussi techniques et opérationnelles avec un double objectif : éviter les cyberattaques et, en cas d’attaque réussie, limiter l’interruption des activités.
Ces mesures doivent ainsi permettre aux entités concernées de gérer les risques liés à la sécurité de leur réseau et de leurs systèmes d’information et de prévenir les cyberincidents ou d’en atténuer les répercussions. Par ailleurs, elles doivent être adoptées en tenant compte de l’état des connaissances, de leur coût, ainsi que des normes applicables. Elles doivent également être appropriées et proportionnées aux risques auxquels l’entité est exposée, à sa taille, à la probabilité que des incidents se produisent et à leur gravité.
La loi NIS2 prévoit plusieurs dispositions spécifiques concernant la direction des entités NIS2 qui sont censées prendre les mesures nécessaires pour gérer les risques de cybersécurité et leur impact sur les services fournis par l’entité. Elles doivent notamment suivre une formation pour s’assurer que leurs connaissances et leurs compétences sont suffisantes pour identifier les risques et évaluer les pratiques de gestion des risques de cybersécurité et leur impact sur les services fournis par l’entité. Les entités sont également censées encourager leurs travailleurs à suivre la même formation.
Les organes d’administration sont en effet responsables des décisions prises en matière de gestion des risques liés à la cybersécurité, y compris la gestion des incidents.
L’objectif de ces mesures est de faire de la cybersécurité une véritable priorité aux yeux des dirigeants, et ce, pour qu’ils encouragent et incitent leurs travailleurs à développer et à maintenir les compétences nécessaires.
Vous trouverez de plus amples informations sur le site du Centre pour la cybersécurité Belgique (CCB).