Le 18 octobre 2024, la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, est entrée en vigueur. Le 18 février 2025, quelques précisions ont été apportées à cette loi.
Également connu sous le nom de « loi NIS2 », ce nouveau texte légal impose des exigences de cybersécurité accrues et prévoit des dispositions dans lesquelles on peut identifier différents cas où les pouvoirs locaux pourraient être concernés. Ceci dépendra de deux critères principaux :
- le critère combiné activité et taille, qui détermine si une entité locale exerce une activité critique et atteint une certaine envergure ;
- l’importance stratégique, que le Centre pour la Cybersécurité Belgique (CCB) pourrait accorder à une entité locale en fonction de son rôle spécifique.
➨ La mise à jour du 18 février 2025 précise qu’en principe, l’évaluation du critère de taille se fera sur la base du nombre total de membres du personnel.
Le cas des communes et des CPAS
Certaines communes pourraient être soumises aux obligations de la loi NIS2 selon les activités qu’elles exercent, notamment si elles sont impliquées dans des secteurs désignés comme hautement critiques ou critiques par les annexes 1 et 2 de la loi NIS2. En voici les activités pertinentes.
Les activités hautement critiques (annexe 1)
- Énergie
- Électricité : sont inclus les gestionnaires de réseaux de distribution et les exploitants de points de recharge, si leur activité inclut la gestion et l’exploitation de ces points pour les utilisateurs finaux ou au nom de prestataires de services de mobilité ;
- Réseau de chaleur et de froid : opérateurs de réseaux de chaleur ou de froid ;
- Gaz : gestionnaires de réseaux de distribution de gaz.
- Transports
- Aériens ;
- Ferroviaires ;
- Par eau ;
- Routiers.
- Secteur bancaire
- Infrastructures des marchés financiers
- Santé
Sont inclus les prestataires de soins de santé.
- Eau
- Eau potable : les fournisseurs et distributeurs d’eaux destinées à la consommation humaine, excepté pour ceux dont cette activité est accessoire.
- Eaux usées : les entreprises impliquées dans la collecte, l’évacuation, ou le traitement des eaux résiduaires, sauf lorsque cette activité est accessoire à leur activité principale.
➨ En ce qui concerne la distribution de l'eau potable, la mise à jour du 18 février 2025 souligne que la notion d' « accessoire » doit être évaluée uniquement en fonction de l’activité communale générale liée à la distribution d’autres produits et biens, et non par rapport à l’ensemble des activités de la commune.
- Infrastructure numérique
Les fournisseurs de services de communications électroniques accessibles au public.
- Gestion des services TIC
- Administration publique
- Espace
Les activités critiques (annexe 2)
- Services postaux et d'expédition
- Gestion des déchets
Les entreprises spécialisées dans la gestion des déchets sont également visées si cette activité constitue leur activité principale.
Si une commune remplit le critère combiné activité et taille pour l’une de ces activités, elle devra se conformer aux obligations de la loi NIS2, ce qui inclut l’enregistrement auprès du CCB. À noter que certaines activités doivent être exercées de manière principale ou essentielle, comme l’approvisionnement en eau potable ou la gestion des eaux usées, pour que la commune soit soumise à la loi NIS2. Cependant, d’autres activités peuvent suffire même si elles sont exercées de manière marginale.
➨ Depuis la mise à jour du 18 février 2025, une entité qui estime ne pas relever de la loi NIS2, soit en raison de son activité, soit en raison de sa taille, peut tout de même s’enregistrer auprès du CCB. Cet enregistrement volontaire ne l’assujettit pas aux obligations de NIS2, mais lui permet de bénéficier de services gratuits du CCB. Lors de l’enregistrement, elle devra simplement préciser qu’elle ne correspond pas aux critères d’application de la loi.
- Fabrication, production et distribution de produits chimiques
- Production, transformation et distribution des denrées alimentaires
- Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro ; de produits informatiques, électroniques et optiques ; d’équipements électriques ; de machines et équipements n.c.a., véhicules automobiles, remorques et semi-remorques ; d’autres matériels de transport)
- Recherche
Certains CPAS pourraient être inclus en raison de leurs activités dans le domaine de la santé, (secteur de l’annexe 1) en tant que prestataires de soins de santé. Si un CPAS exerce cette activité et remplit le critère de taille, il devra se conformer aux exigences de la loi NIS2. Par ailleurs, les maisons de repos et maisons de repos et de soins gérées par les CPAS sont spécifiquement concernées par la loi.
Pour encore plus d’informations, nous vous renvoyons à la question parlementaire n°88 (2024-2025), en cliquant ici.
Les autres pouvoirs locaux
En ce qui concerne les autres pouvoirs locaux, la loi NSI2 exclut les zones de police (article 5, § 4, 4°) tandis que les zones de secours et les intercommunales sont soumises aux obligations de cybersécurité.
En conclusion, la loi NIS2 introduit des obligations importantes pour certains pouvoirs locaux, mais son application reste variable en fonction de l’autonomie et des activités de chaque entité. Les critères d’activité, de taille, et d’importance stratégique sont cruciaux pour déterminer les entités locales concernées, et l’évaluation du CCB sera déterminante pour préciser le champ d’application exact de la loi.
Conseil : Même si vous n’êtes pas directement visés, il est possible que vous fassiez partie de la chaîne d’approvisionnement d’une entreprise concernée par la loi NIS2. Dans ce cas, il est conseillé d’adopter au moins des normes de cybersécurité de base.
Actions à entreprendre si la NIS2 s’applique à votre entité
- Enregistrement : Enregistrez-vous rapidement sur SafeOnWeb pour déclarer votre conformité.
- Évaluation et mesures de cybersécurité : Évaluez le niveau de risques en tenant compte de votre secteur, de la taille de votre entité et de l’impact potentiel d’une cyberattaque, et implémentez les mesures de cybersécurité appropriées.
- Notification des incidents : depuis le 18 octobre, vous devez notifier tout incident majeur auprès du CCB.
- Formation : Sensibilisez et formez votre personnel ainsi que votre direction à la cybersécurité.
- Mise en conformité : Procurez-vous les certifications CyberFundamentals ou ISO 27001 dès que possible pour garantir votre conformité.
Dates clés à retenir📆 18 octobre 2024 : Entrée en vigueur de la loi et début de l’obligation de notification des incidents. 📆 18 décembre 2024 : Enregistrement obligatoire pour les entités des secteurs numériques sur SafeOnweb@work. 📆 18 mars 2025 : Enregistrement obligatoire pour toutes les autres entités visées par la NIS2. 📆 18 avril 2026 : Première évaluation obligatoire à réaliser. 📆 18 avril 2027 : Les entités essentielles doivent obtenir la certification CyberFundamentals ou ISO 27001. |
Les sanctions pour non-conformité peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel, en plus de possibles mesures administratives.
Vous l’aurez compris, il est essentiel d’entamer dès à présent les démarches nécessaires pour vous conformer aux exigences de la NIS2. Cela renforcera la sécurité de vos systèmes et témoignera de votre engagement envers les nouvelles obligations légales. Assurez-vous également que votre équipe de direction soit formée à la cybersécurité, car leur responsabilité personnelle pourrait être engagée.
Des informations détaillées sur le champ d'application, les obligations, la supervision, les sanctions et une ligne du temps sur la mise en œuvre de la loi NIS2 sont disponibles sur la page éponyme du site web de Safeonweb@Work. Un guide sur comment se conformer à la NIS2 en 7 étapes faciles est également disponible (cliquez ici pour le consulter).
