Cet article présente les points essentiels de la nouvelle Directive européenne NIS, ainsi que son expression dans le cadre juridique belge. L’accent est mis sur les obligations qui incombent aux entreprises concernées.
En 2016, l’Union Européenne a doté son arsenal juridique de la Directive NIS (« Network and Information Systems »), relative à la sécurité des réseaux et des systèmes d’information. Cette Directive vise à astreindre les États membres à élaborer des stratégies de cybersécurité et à collaborer de manière transfrontalière dans ce domaine.
Bien que nécessaire, cette Directive s’est toutefois avérée insuffisante pour faire face à l’évolution des cybermenaces. La Commission Européenne a donc décidé de la revoir, en étendant sa portée en termes de secteurs concernés, et en durcissant ses exigences de sécurité.
Cet article présente les points essentiels du nouveau texte, ainsi que sa transposition le 26 avril 2024 sous forme de loi (ci-après « loi NIS [1] ») dans le droit belge. Cette loi s’est vu adjoindre le 9 juin 2024 un arrêté [2] royal d’exécution, précisant certaines modalités pratiques, comme la désignation des autorités compétentes, le cadre de référence pour l’évaluation périodique de la conformité, les modalités d’évaluation des entités essentielles ou importantes, les conditions d’agrément des organismes d’évaluation de la conformité.
La première Directive « NIS », par la suite appelée « NIS-1 », est entrée en vigueur en 2018. Elle avait pour objectifs d’obliger les États membres à identifier les opérateurs de services essentiels dans au moins 7 secteurs clés : l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable et les infrastructures numériques, en les obligeant ensuite à prendre des mesures de sécurité minimales, et à signaler les incidents majeurs dont ils seraient victimes. Ces obligations concernent également les fournisseurs de services numériques essentiels (comme les services dans le cloud, les moteurs de recherche et les marchés en ligne).
1.1) Constats de NIS-1 et objectifs de NIS-2
Depuis 2018, des évaluations régulières de la Directive « NIS-1 » par la Commission Européenne ont rapidement fait ressortir des défauts dans son fonctionnement :
La Commission a donc proposé en décembre 2020 d’abroger la Directive « NIS-1 », et de la remplacer par la Directive « NIS-2 [3] », avec 4 objectifs :
1.2) Les obligations des États membres – la réponse belge
De par la nouvelle Directive NIS-2 les États membres doivent :
1.2.1) L’instanciation à la Belgique – le CCB
La stratégie nationale en matière de cybersécurité d’un État membre est le cadre cohérent défini par ce dernier, et fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de sa réalisation.
En Belgique, cette cyberstratégie [4] a été validée par le Conseil National de Sécurité (CNS [5]) le 20 mai 2021. Essentiellement, son but est de « préserver les capacités des services, des biens, des personnes et des capitaux au-delà des frontières belges ». Fixés pour la période 2021 à 2025, les objectifs seront sujets à révision, sur base des résultats d’analyses de plateformes de concertation appropriées, comme le « Comité de coordination du renseignement et de la sécurité [6] ».
Chaque État membre doit désigner une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches d’exécution et de supervision de la loi. En Belgique cette autorité est assumée par le CCB [7], « centre pour la cybersécurité Belgique », institué par l’arrêté royal du 10 octobre 2014, et placée sous l’autorité du Premier Ministre. En plus du CCB, des autorités sectorielles sont également désignées, en général les ministres fédéraux ayant ces secteurs dans leurs attributions, mais aussi l’Agence fédérale des médicaments et des produits de santé, ou la Banque Nationale, ou encore l’Institut belge pour les postes et les télécommunications. Le CCB et les autorités sectorielles sont précisées dans l’article 3, §1 et 2 de l’arrêté royal d’exécution de la loi NIS du 9 juin 2024.
Les missions [8] du CCB consistent à :
En collaboration avec le Centre de crise national (NCCN [9]), le CCB est également chargé de la gestion des incidents de cybersécurité majeurs et des crises. Ils ont ainsi élaboré le plan national d’urgence cybernétique, organisant et coordonnant la réponse à ces incidents.
Le rôle de point de contact en matière de cybersécurité est essentiellement assuré par le « Cyber Emergency Response Team » (CERT.be [10]), qui fait partie intégrante du CCB. Le CERT.be a pour rôle de détecter, observer et analyser les problèmes de sécurité en ligne. Toute entreprise ou organisation qui est confrontée à un incident sur Internet ou sur son réseau et qui souhaite le signaler ou obtenir des conseils peut contacter le CERT. Selon les cas, pourront également se joindre à lui les services de police en ligne, la Computer Crime Unit fédérale (FCCU) et les Computer Crime Unit régionales (RCCU).
Chaque État membre dispose d’un CSIRT [11], le CCB jouant ce rôle pour la Belgique. Un CSIRT, abréviation de « Computer Security Incident Response Team », est un élément central [12] pour le maintien de la sécurité des systèmes informatiques. L’article 60 de la loi belge NIS définit ces tâches, parmi lesquelles :
1.2.2) La coopération entre États membres – la participation belge
La nouvelle Directive NIS-2 demande une coopération accrue entre États membres. Elle repose sur le Groupe de coopération [13], décrit dans l’article 14. Composé de représentants des États membres, de la Commission et de l’ENISA [14], la mission de ce groupe est d’atteindre un niveau commun élevé de sécurité des réseaux et des systèmes d’information dans l’Union européenne (UE), en soutenant la coopération et l’échange d’informations entre les États membres. Le Groupe peut ainsi procéder à des évaluations des risques pour la sécurité des chaînes d’approvisionnement de services, systèmes ou produits TIC critiques (article 22 de la Directive). Le Groupe est soutenu par le réseau des équipes techniques nationales de réponse aux incidents de sécurité informatique (CSIRT), dont fait partie le CCB pour la Belgique.
La Directive institue également le réseau européen pour la préparation et la gestion des crises cyber : « EU-CyCLONe [15] ». Ce dernier complète les structures de cybersécurité de l’Union Européenne, en reliant les instances de coopération technique (les CSIRT) et les instances politiques (« Integrated Political Crisis Response » ou IPCR [16]) chargées de coordonner les prises de décisions rapides au niveau politique européen, en cas de crises majeures. Composé des représentants des autorités des États membres chargées de la gestion des crises de cybersécurité, et de la Commission lorsqu’un incident a ou est susceptible d’avoir un impact majeur, ce réseau gère de façon coordonnée, au niveau opérationnel, les incidents de cybersécurité majeurs et les crises. Il contribue au renforcement de la préparation à la gestion de ces derniers, au développement d’une connaissance partagée et d’une évaluation de leurs conséquences et impacts.
Dans le cadre d’accords internationaux de l’Union Européenne, des pays tiers peuvent participer aux activités de ces réseaux CSIRT et EU-CyCLONe.
1.2.3) NIS-2 et les législations sectorielles
Il est possible que des législations sectorielles plus strictes en matière de cybersécurité existent ou viennent à apparaître dans l’avenir. NIS-2 étant une norme juridique générale, ces lois sectorielles seront alors prioritaires, toutefois uniquement dans leurs parties plus strictes que NIS-2, et également seulement pour leur propre champ d’application. Ainsi en va-t-il du règlement DORA (« Digital Operational Resilience Act ») dans le secteur financier. Les entités du secteur bancaire et financier, qui relèvent [17] à la fois de DORA et de NIS-2, doivent toutefois s’enregistrer comme toute autre entité NIS-2, et signaler aux autorités NIS-2 (le CCB) tout incident significatif.
Dans un autre domaine, toute entité identifiée comme critique selon la Directive CER sur les infrastructures critiques [18], ou sa transposition en loi belge [19] du 1er juillet 2011, relève automatiquement du champ d’application de la législation NIS-2 pour la cybersécurité.
1.3) Les entités concernées et les obligations qui en découlent
Les entités vont devoir déterminer si elles sont sujettes à la nouvelle législation, en vérifiant leur conformité à certains critères. Dans l’affirmative elles se verront alors imposer de nombreuses obligations : l’enregistrement, les analyses de sécurité et les mesures de cybersécurité, la responsabilité des organes de gestion, les notifications d’incidents
1.3.1) La vérification des critères d’application par les entreprises
Pour pouvoir déterminer si la législation NIS leur est applicable, les entreprises doivent vérifier si elles satisfont à certains critères, essentiellement leur appartenance à certains secteurs d’activité, leur taille et leur chiffre d’affaires (ou total du bilan annuel).
1.3.1.1) Les secteurs d’activité
NIS-2 a revu le champ d’application, en étendant de 7 à 18 le nombre de secteurs industriels concernés. Selon la nature des services fournis, les secteurs sont répartis entre deux catégories, les « hautement critiques » ou les « critiques ». Le tableau qui suit liste ces répartitions, telles que précisées dans les annexes I et II de la Directive NIS-2 (ou annexes I et II de la loi NIS belge). Les types d’entités exerçant dans ces secteurs et sous-secteurs sont définis précisément dans ces annexes. Afin pour une entreprise de vérifier si la législation NIS s’applique à elle, il est essentiel pour elle de vérifier si les services qu’elle offre correspondent effectivement aux définitions de la directive.
Secteurs de services hautement critiques | Autres secteurs à services critiques |
---|---|
Energie : électricité, réseaux de chaleur / froid, pétrole, gaz, hydrogène | Services postaux et d’expédition de courrier |
Transports (aérien, par rail, par eau, routier) | Gestion des déchets |
Secteur bancaire | Fabrication, production et distribution de produits chimiques |
Infrastructure des marchés financiers | Production, transformation et distribution des denrées alimentaires |
Santé publique (y compris les laboratoires et la recherche concernant les produits pharmaceutiques et les dispositifs médicaux) | Fabrication :
|
Eau potable | Fournisseurs numériques |
Eaux usées | Recherche |
Infrastructures numériques (télécoms, DNS, TLD, centre de données, services de confiance, services cloud) | |
Gestion des services TIC (moteurs de recherche, marchés en ligne, réseaux sociaux) | |
Administration publique | |
Spatial |
En plus du secteur d’activité, les entreprises doivent également tenir compte de critères de taille et de chiffre d’affaires.
1.3.1.2) La taille et le chiffre d’affaires (ou total du bilan annuel)
Selon leur taille et la valeur de leur chiffre d’affaires (ou total du bilan annuel), les entreprises vont être diversement qualifiées.
Ainsi les entreprises de moins de 50 employés, et ayant un chiffre d’affaires annuel et/ou total du bilan annuel inférieur à 10 M€ sont considérées comme des micro et petites entités, et ne sont pas concernées par la nouvelle Directive.
Les entreprises comportant entre 50 et 250 employés, et ayant un chiffre d’affaires annuel et/ou total du bilan annuel entre 10 et 50 M€ sont considérées comme des entités moyennes. La Directive les qualifie d’entités importantes (« EI »), soumises à ses exigences, et ce quel que soit leur secteur d’activité.
Enfin les entreprises comportant plus de 250 employés et ayant un chiffre d’affaires annuel et/ou total du bilan annuel de plus de 50 M€, sont considérées comme de grandes entités. Selon leur secteur d’activité, la Directive les qualifie d’entités essentielles (« EE ») (pour les secteurs hautement critiques), ou à nouveau d’importantes (« EI ») (pour les secteurs critiques). Dans les deux cas, elles doivent se conformer aux exigences de la directive.
Entre « importantes » et « essentielles », la différence réside dans le fait que pour les secondes, toute interruption de service entraîne de graves conséquences pour l’ensemble de la société de l’État membre.
Les autorités d’un État membre, le CCB pour la Belgique, peuvent toutefois décider de classer des entités initialement importantes dans la catégorie essentielle, voire également déclarer des petites entités, a priori non concernées par la législation NIS, comme importantes ou essentielles, même si elles ne satisfont pas au critère de taille [20]. Ainsi en va-t-il :
Enfin les États membres peuvent également exclure certaines entités de NIS2 (dans le domaine de la défense, de la sécurité nationale ou publique, etc...). Le tableau 2 qui suit résume le schéma d’application de la Directive à une entité sur base des critères de taille, de chiffre d’affaires, pour les secteurs critiques et hautement critiques.
Micro et petites entités : taille < 50 employés OU CA < 10 M€ | Moyennes entités : 50 employés < taille < 250 employés OU 10 M€ < CA < 50 M€ | Entités intermédiaires et grandes : taille > 250 employés OU CA > 50 M€ | |
---|---|---|---|
Secteur hautement critique | Entités non concernées par NIS-2 | Entités IMPORTANTES, devant se conformer à NIS-2 | Entités ESSENTIELLES, devant se conformer à NIS-2 |
Secteur critique | Entités non concernées par NIS-2 | Entités IMPORTANTES, devant se conformer à NIS-2 | Entités IMPORTANTES, devant se conformer à NIS-2 |
Tableau 2 : application de la législation NIS selon les critères de criticité, de taille et de chiffre d’affaires (CA) ou total bilantaire
Sur base de ces définitions, ce sont maintenant en Belgique 2500 [21] entités qui sont concernées par la loi NIS, au lieu de 100 avec l’ancienne version de la Directive NIS.
1.3.2) L’obligation d’enregistrement des entités concernées
La loi NIS belge étant maintenant publiée, la règle de base est que toutes les entités ayant leur établissement en Belgique, qui y fournissent leur services ou exercent leurs activités au sein de l’Union Européenne, et qui auront constaté après vérification que cette législation les concerne, disposent de 5 mois pour se notifier auprès du CCB, et ce au plus tard le 18 mars 2025. En pratique, l’enregistrement se fait via le site Safeonweb@work, qui est une initiative [22] du CCB, à destination des entreprises et organisations belges. Ce site [23] propose également des informations et explications relativement à la loi NIS, ainsi que des outils et guide pour s’y conformer [24]. Notons ainsi parmi ces outils le test [25] du champ d’application de la loi, ainsi que les plateformes d’enregistrement et de notification.
Dans leur enregistrement, les entités doivent préciser différentes informations, telles leur dénomination, leur numéro d’enregistrement auprès de la Banque Carrefour des Entreprises (BCE), leur adresse (physique et électronique) et coordonnées actualisées, le cas échéant le secteur et sous-secteur concernés visés aux annexes I ou II de la loi, les États membres dans lesquels elles fournissent des services relevant du champ d’application de la loi.
Par exception à la règle de l’établissement précitée, la loi belge s’applique également aux entités relevant des trois types suivants :
Toutes les entités de cette liste se verront appliquer un régime adapté, tant en ce qui concerne leur obligation d’enregistrement, qui devra se faire dans les 2 mois après l’entrée en vigueur de la loi (au plus tard le 18 décembre 2024), que dans le contenu de leurs informations à fournir. Parmi ces dernières, s’ajoutent à celles déjà citées précédemment, les coordonnées de leur représentant si elles sont établies hors Union, les États membres dans lesquels ils fournissent leurs services relevant du champ d’application de la loi.
Dans tous les cas, les entités seront tenues d’informer le CCB de toute modification apportée à leurs informations.
1.3.3) Les obligations d’analyse de risque et d’instauration de mesures de cybersécurité
La soumission à la législation NIS entraîne pour les entités de satisfaire à des obligations de sécurité. Elles sont ainsi tenues d’effectuer des analyses de risques, soit vis-à-vis de potentiels incidents, soit relativement à des incidents avérés. Ces analyses seront suivies d’instauration de mesures techniques et organisationnelles afin de contrôler les risques évalués.
Les mesures de cybersécurité à mettre en œuvre ont pour objectif de protéger les réseaux, les systèmes d’information et l’environnement physique des systèmes contre un grand nombre d’attaques. La liste qui suit recense les 11 obligations à respecter :
Pour garantir sa conformité aux mesures de sécurité NIS-2, la Belgique met en avant sa conformité au cadre CyberFundamentals (CyFun [27]), développé et mis à disposition par le CCB, ainsi que la certification à la norme ISO 27001. Les CyFun couvrent l’ensemble des 11 points de la liste des mesures d’analyses et de cybersécurité, énoncés ci-avant. Ce cadre de référence a été confirmé dans l’arrêté royal d’exécution de la loi NIS (article 4, §1 et 2, article 5, §1 et 2).
Soulignons que des entités ne relevant pas de la loi NIS peuvent malgré tout être impactées par les obligations de cybersécurité, et ce parce qu’elles font partie de la chaîne d’approvisionnement d’une entité NIS-2. Il est de la responsabilité des entités NIS-2 d’abord d’identifier les organisations tierces présentes dans leur chaîne d’approvisionnement et qui sont essentielles à leur sécurité. Les entités NIS-2 doivent ensuite veiller, dans un cadre contractuel, à ce que ces organisations tierces mettent en œuvre des mesures de gestion des risques, afin d’obtenir un niveau de cybersécurité équivalent au leur. Le CCB recommande que ces organisations satisfassent au moins au niveau basique du référentiel CyFun.
1.3.4) L’obligation de responsabilité renforcée des gestionnaires d’entreprise
Toutes les mesures de gestion des risques devront être explicitement approuvées par la direction des entités concernées, qui en supervisera également la mise en place. La direction devra par ailleurs acquérir les connaissances et compétences en matière de cybersécurité, la rendant à même de déterminer les risques en cette matière, et d’en évaluer les techniques de gestion.
Corollaire de cet apprentissage, la direction devra assumer la responsabilité de toute violation vis-à-vis des mesures de gestion des risques approuvées par elle. Enfin la direction sera également considérée comme responsable de tout défaut dans le respect de la conformité aux exigences de la Directive, et donc de la loi NIS en Belgique.
1.3.5) Les obligations d’information et notification
Comme la Directive, la loi NIS oblige les entités essentielles et importantes à notifier des incidents significatifs auprès des réseaux CSIRT ou des autorités compétentes, le CCB pour la Belgique. De tels incidents concernent des services fournis dans les secteurs ou sous-secteurs repris dans les annexes I et II de la loi NIS (ou Directive), peuvent causer des perturbations opérationnelles graves, ou affecter par des dommages considérables d’autres personnes physiques ou morales.
Les entités sont également obligées d’informer les destinataires de leurs services sur les incidents pouvant nuire à la fourniture de ces derniers.
L’information va comporter les 5 étapes suivantes :
1.3.6) La soumission des entités aux supervisions
Si les entités essentielles et importantes doivent toutes deux se conformer à la législation, le niveau d’exigence n’est toutefois pas le même, notamment en termes de supervision. Ainsi les entités essentielles seront soumises à des évaluations de conformité régulières et obligatoires, voire à tout moment. Les entités ont le choix entre trois options [28] :
Les entités importantes ne seront quant à elles inspectées qu’après un incident ou sur base d’indications laissant penser qu’elle ne se conforma pas à la loi.
Les modalités de ces inspections ainsi que les conditions d’agréation des organismes sont précisés dans l’arrêté royal d’exécution de la loi NIS, dans ses chapitres 6 à 8.
1.4) Les services du CCB à son public cible
En Belgique, le CCB jouant également le rôle de CSIRT doit proposer ses services vis-à-vis de certains « publics cibles [29] ». Ces derniers sont constitués d’abord par les « opérateurs d’infrastructures critiques » d’une part, et par les « opérateurs de services essentiels » de l’autre. Les premiers sont identifiés par la loi belge du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques. Les seconds sont repris parmi les secteurs hautement critiques, en annexe I de la loi NIS : l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, le secteur de la santé, l’approvisionnement et la distribution d’eau potable, et les infrastructures numériques.
A ce public viennent également s’ajouter les services publics essentiels à la population (mais non couverts par la législation NIS), les autorités administratives (infrastructure ICT des services publics belges), les personnes morales de droit privé, et le grand public.
Quant aux services proposés, ils sont généralement classés en trois catégories :
1.5) Le non respect de la loi entraîne des amendes
Dans les deux cas, s’il apparaît que les organisations ne respectent pas, ou n’ont pas respecté la législation en prenant les mesures nécessaires de cybersécurité, des sanctions pourront être appliquées, toujours selon la qualification de l’entité :
La loi NIS qui va entrer en vigueur se caractérise par un niveau renforcé d’exigences, auprès d’un nombre beaucoup plus conséquent d’entités concernées. Ces dernières doivent ainsi vérifier si elles relèvent ou non de la loi, sur base de critère de secteur d’activité, de taille et de chiffre d’affaires. Dans l’affirmative, il s’ensuit une obligation d’enregistrement auprès de l’autorité compétente pour la Belgique - le CCB. Les entités devront également procéder à des analyses de risques de leurs activités, accompagnées de la mise en place de mesures de cybersécurité. La responsabilité des dirigeants des entreprises dans le respect et l’application de la loi est également considérablement renforcée, avec des sanctions financières lourdes dans la négative. Les entités doivent également se soumettre à des supervisions et contrôles. Elles doivent également faire preuve d’une grande réactivité dans la notification des incidents, accompagné d’un haut niveau d’informations à fournir au CCB. La loi veille également à protéger les chaînes d’approvisionnement, en exigeant des entreprises soumises à NIS qu’elles garantissent un renforcement des niveaux de sécurité de leurs fournisseurs et partenaires.
Les entreprises qui ne sont pas directement concernées directement, mais qui sont dans la chaîne d’approvisionnement d’une entité NIS2 et identifiées comme essentielles par celles-ci, peuvent également tomber sous le champ de la loi NIS2. Il est donc tout-à-fait possible que votre entreprise se retrouve concernée si elle est un fournisseur considéré comme essentiel d’une entite NIS2 !
Dans ce nouveau contexte légal, les entreprises peuvent compter sur l’aide et l’appui du CCB, autorité belge désignée dans le cadre de la loi NIS, et des services et conseils qu’elle peut leur fournir, notamment via la plateforme Safeonweb, et notamment avec leur guide rapide pour démarrer avec NIS.
Elles peuvent également se tourner vers le CETIC pour les accompagner dans la mise en conformité avec les exigences de la loi NIS.
[1] Loi du 26 avril 2024 – Moniteur Belge du 17 mai 2024 – Service public fédéral Chancellerie du Premier Ministre : Loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, p. 63179 : https://www.ejustice.just.fgov.be/cgi/summary.pl?language=fr&sum_date=2024-05-17&s_editie=1&view_numac=2024202344fx2024202344n#SUM4
[2] Arrêté royal d’exécution du 9 juin 2024 – Moniteur Belge du 24 juin 2024 - Service public fédéral Chancellerie du Premier Ministre : Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique : https://etaamb.openjustice.be/fr/arrete-royal-du-09-juin-2024_n2024005260
[3] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, dite « Directive NIS-2 » : texte officiel Eur-Lex : https://eur-lex.europa.eu/eli/dir/2022/2555
[4] Stratégie Cybersécurité Belgique 2.0 – 2021-2025 : https://www.cert.be/fr/news/un-cyberstrategie-20-pour-propulser-la-belgique-au-rang-des-pays-les-moins-vulnerables-deurope
[5] CNS – Le Conseil National de Sécurité : https://staatsveiligheid.belgium.be/fr/notre-fonctionnement/cadre-legal-et-administratif/le-conseil-national-de-securite
[6] Arrêté royal du 22 décembre 2020, publié le 29 décembre 2020 et portant création du Conseil national de sécurité, du Comité stratégique du renseignement et de la sécurité et du Comité de coordination du renseignement et de la sécurité
[7] CCB – Centre pour la cybersécurité Belgique : https://ccb.belgium.be/language_selection?destination=%3Cfront%3E
[8] CCB – Charte CSIRT national – section 2, missions : https://www.cert.be/sites/default/files/charter_ccb_national_csirt_version_2022_fr_final.pdf
[9] NCCN – Centre de crise national : https://centredecrise.be/fr/que-fait-le-centre-de-crise-national/centre-de-crise-national-missions-historique
[10] Le Cyber Emergency Response Team : https://ccb.belgium.be/fr/cert
[11] CSIRT – Centres de réponse aux incidents de sécurité informatique : directive 2022/2555 NIS-2, articles 10, 11, 12 et 15
[12] CSIRT – « Cyber Management School » : https://www.cyber-management-school.com/ecole/les-fondamentaux-de-la-cybersecurite/quest-ce-quun-csirt/
[13] Le groupe de coopération SRI : https://digital-strategy.ec.europa.eu/fr/policies/nis-cooperation-group
[14] ENISA – Agence de l’Union Européenne pour la cybersécurité : https://www.enisa.europa.eu/about-enisa/about/fr
[15] Directive 2022/2555 NIS-2 : article 16 : EU-CyCLONe, réseau européen pour la préparation et la gestion des crises cyber
[16] Conseil Européen – Dispositif intégré pour une réaction au niveau politique dans les situations de crise (IPCR) : https://www.consilium.europa.eu/fr/policies/ipcr-response-to-crises/
[17] CCB – FAQ : NIS-2, DORA et Directive CER : https://ccb.belgium.be/sites/default/files/NIS2%20FAQ%20Website%20v1.0%20FR.pdf
[18] Directive CER 2022/2557 sur la résilience des infrastructures critiques. Elle oblige les États membres à mettre en place une stratégie nationale pour renforcer la résilience des entités critiques, procéder à des évaluations des risques et recenser les entités critiques qui fournissent des services essentiels. Cette Directive se concentre sur la sécurité non cyber.
[19] Moniteur Belge, publication du 15 juillet 2011 – Loi du 1er juillet 2011, relative à la sécurité et la protection des infrastructures critiques.
[20] CCB - Safeonweb@work : la loi NIS2 : https://atwork.safeonweb.be/fr/nis2
[21] CCB – Directive NIS nouvelle version : https://ccb.belgium.be/fr/actualit%C3%A9/directive-nis-nouvelle-version
[22] CCB – la loi NIS2 : https://ccb.belgium.be/fr/nis2
[23] Safeonweb@work : la loi NIS2 : https://atwork.safeonweb.be/fr/nis2 ; le guide de démarrage rapide avec NIS-2 : https://atwork.safeonweb.be/fr/tools-resources/guide-de-demarrage-rapide-avec-nis2 ; les FAQ : https://ccb.belgium.be/sites/default/files/NIS2%20FAQ%20Website%20v1.0%20FR.pdf
[24] Guide de démarrage rapide - se conformer à NIS2 en seulement 7 étapes : https://atwork.safeonweb.be/fr/tools-resources/guide-de-demarrage-rapide-avec-nis2
[25] Test du champ d’application : https://atwork.safeonweb.be/fr/nis2
[26] Safeonweb@work : https://atwork.safeonweb.be/fr/nis2: La notion d’établissement principal vise l’établissement où l’entité prend les décisions liées aux mesures de gestion des risques de cybersécurité
[27] Le framework CyFun (Cyber Fundamentals) développé par le CCB regroupe un ensemble de mesures inspirées de plusieurs référentiels de cybersécurité, dont ISO 27001 / 27002, NIST CSF, CIS Controls, IEC 62443.
[28] Safeonweb : la loi NIS-2 – Supervisions et sanctions : https://atwork.safeonweb.be/fr/nis2
[29] CCB – Charte CSIRT national – section 3, « public cible » : https://www.cert.be/sites/default/files/charter_ccb_national_csirt_version_2022_fr_final.pdf