Suite à la publication de l'arrêté royal du 12 juillet 2019, la notification obligatoire en cas de cyberincidents s'applique depuis le 18 juillet 2019 pour les opérateurs de services essentiels. C'est un premier grand pas en avant vers l'exécution de la loi concernant la sécurité des réseaux et des systèmes d'information, qui doit protéger la societé et l'économie contre les cybermenaces.

Dans un Eubelius Flash précédent, nous vous avons parlé de la publication de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (la « Loi NIS »). La Loi NIS transpose en droit belge la directive européenne NIS (2016/1148/UE). Elle introduit une obligation de notification des cyberincidents à quelques conditions, non seulement à des opérateurs de services essentiels, tels que le secteur de l'énergie, de la santé ou du transport, mais aussi à des opérateurs de services digitaux.

Pour l'application de certaines règles, il a fallu attendre un arrêté royal. Dès sa publication au Moniteur belge le 18 juillet 2019, cet arrêté royal du 12 juillet 2019 est entré en vigueur.

L'arrêté royal donne une réponse aux trois questions suivantes :

  • Qui doit notifier un cyberincident, quand, et à quelle autorité ?
  • Quelles sont les autorités compétentes auxquelles sont adressées les notifications en général et par secteur ?
  • Quelles conditions les instances doivent-elles remplir pour pouvoir effectuer les audits externes des opérateurs de services essentiels ?

Qui doit notifier un cyberincident, quand, et à quelle autorité ?

Quelles sont les autorités compétentes qui reçoivent les notifications, générales et sectorielles ?

Quelles conditions les instances doivent-elles remplir pour pouvoir effectuer les audits externes des opérateurs de services essentiels ?

La Loi NIS prévoit des audits externes. Tout d'abord, les opérateurs de tels audits doivent respecter les normes d'accréditation de ISO/IEC 17021 ou ISO/IEC 17065. Ces normes définissent les conditions spécifiques dans lesquelles les audits de cybersécurité doivent être effectués et les systèmes de gestion doivent être certifiés. Par ailleurs, ces normes comportent des exigences portant sur les compétences, la cohérence et l'impartialité de la certification.

De plus, ces opérateurs doivent réaliser les procédures opérationelles d'accréditation qui sont applicables aux organismes accrédités. L'arrêté royal du 12 juillet 2019 n'aborde pas les mesures spécifiques sectorielles ou facultatives qui peuvent être réglées à l'avenir par des arrêtés royaux. Il s'ensuivra inévitablement des arrêtés royaux supplémentaires.

Récemment, l'Union européenne a adopté un nouveau Reglement (n° 2019/881 du 17 avril 2019) afin d'atteindre une augmentation de la cybersécurité. Cette réglementation a donné instruction à ENISA, l'institution européenne chargée de la surveillance de la cybersécurité, de développer des normes de certification supplémentaires. Ces normes seront aussi déterminantes à l'avenir pour les audits et pour la certification des systèmes comme étant suffisamment sécurisés.