FR 
EN 
NL 
DE Sous le Directive SRI 2 de l'UE, certaines organisations classées comme essentiel et important sont légalement tenus de prendre des mesures de gestion des risques en matière de cybersécurité. Les entités essentielles démontrent leur maturité en matière de cybersécurité. Cela inclut des secteurs tels que l’énergie, les transports, la santé, la finance, les infrastructures numériques et l’administration publique.
Le non-respect peut entraîner audits, mesures correctives et amendes administratives.
Le centre pour la cybersécurité en Belgique a développé un outil pour déterminer si votre entité relève ou non de la loi NIS2. Référez-vous à ceci lien pour trouver l'outil.
Obligations des entités essentielles et importantes en vertu de la loi NIS2 (Belgique)
La loi belge NIS2, qui transpose la directive de l’UE 2022/2555, impose plusieurs obligations en matière de cybersécurité aux entités réputées essentiel ou important pour le fonctionnement de la société et de l'économie.
1. Inscription
Les entités relevant du champ d'application de la loi SRI 2 doivent: s’inscrire auprès du Centre pour la cybersécurité en Belgique (CCB) via la plateforme Safeonweb@work. Cet enregistrement est obligatoire et garantit que le RCC peut superviser et soutenir efficacement ces entités.
2. Mesures de gestion des risques de cybersécurité
Les entités essentielles et importantes sont tenues de mettre en œuvre mesures techniques, opérationnelles et organisationnelles appropriées gérer les risques en matière de cybersécurité. Ces mesures visent à:
- Réseau et systèmes d'information sécurisés.
- Prévenir les incidents.
- Minimiser l'impact des incidents sur les clients et les services.
4. Sécurité de la chaîne d'approvisionnement
Les entités essentielles et importantes doivent prendre des mesures appropriées et proportionnées de gestion des risques de cybersécurité sur leur chaîne d’approvisionnement. C'est pourquoi de nombreuses entreprises en dehors du périmètre NIS2 adoptent CyFun® pour renforcer la gouvernance de la cybersécurité ou parce qu'un le client, le fournisseur ou le partenaire exige une preuve de conformité.
5. Notification des incidents importants
Les entités doivent déclarer tout incidents importants à la CSIRT national, qui en Belgique est la CCB. Il s'agit notamment:
- Incidents causant de graves perturbations opérationnelles.
- Incidents susceptibles d'avoir des effets transfrontaliers.
- Dommages financiers ou à la réputation.
Le processus d'établissement de rapports comprend:
- Notification initiale dans les 24 heures.
- Rapport d'incident détaillé dans les 72 heures.
- Rapport final dans un délai d'un mois.
4. Obligations de la direction
Le organes de gestion des entités NIS2 sont responsables:
- Approuver les mesures de gestion des risques en matière de cybersécurité et superviser leur exécution.
- Suivre une formation pour s'assurer que leurs connaissances et compétences sont suffisantes pour identifier les risques et le traitement
En cas de non-conformité, la gestion peut être tenue pour responsable.
5. Supervision
- Entités essentielles doivent subir des évaluations régulières de la conformité;, en choisissant l’une des options suivantes:
- CyberFundamentals Certification ou vérification.
- Certification ISO/IEC 27001.
- Audit par le service d’audit de la BCC.
- Entités importantes ne doivent pas faire l'objet d'une évaluation régulière de la conformité.
6. Sanction
Les entités essentielles et importantes qui ne respectent pas leurs obligations peuvent faire l'objet d'une série de mesures administratives et d'amendes.