Cybersécurité : publication de la loi NIS2 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la cybersécurité publique et de son arrêté royal - et les pouvoirs locaux ? [MISE A JOUR]

Viennent d’être publiés au Moniteur belge la loi du 26 avril 2024[1] ainsi que son arrêté royal[2]. L’objectif de cette réglementation est de renforcer la protection préventive des personnes physiques ou morales contre les cybermenaces et les cyberincidents, dont le nombre ne cesse d’augmenter.

Quels sont les objectifs de la réglementation ?

La loi NIS2 établit un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et transpose ainsi en droit belge la directive dite NIS2[3]. Elle vise à renforcer la résilience des infrastructures numériques et à protéger les utilisateurs contre les cybermenaces.

La première directive « NIS1 »[4] a nécessité d’être revue afin de supprimer les divergences d’application qu’elle connaissait mais aussi de faire face à la recrudescence de cyberattaques et l’élargissement des secteurs concernés par celles-ci. On passe en effet de sept à dix-huit secteurs visés !

Qui est visé par la loi NIS2 ?

La loi NIS2 distingue deux situations :

• Soit l’entité, privée ou publique, exerce certaines activités critiques et atteint une certaine taille ;
• Soit l’entité, privée ou publique, est « stratégique » et ce, qu’elle que soit sa taille.

1^e situation : exercer une activité visée et atteindre une certaine taille

Pour être visé, il faut donc, en principe :

• Exercer une activité visée dans les annexes I ou II de la loi NIS2, et
• Dépasser certains seuils (au moins un effectif de 50 unités de travail par année ou avoir un chiffre d'affaires annuel ou un bilan annuel total supérieur à 10 millions d'euros).

  Les activités visées sont les suivantes[5] :

Secteurs hautement critiques (annexe I)	Secteurs critiques (annexe II)
Energie (électricité, réseaux de chaleur et de froid[6], pétrole, gaz, hydrogène)	Services postaux et d’expédition
Transports (aériens, ferroviaires, par eau, routiers)	Gestion des déchets[7]
Secteur bancaire	Fabrication, production et distribution de produits chimiques
Infrastructures des marchés financiers	Production, transformation et distribution des denrées alimentaires
Santé[8]	Fabrication (de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro; de produits informatiques, électroniques et optiques; d’équipements électriques; de machines et équipements n.c.a., véhicules automobiles, remorques et semi-remorques; d’autres matériels de transport)
Eau potable	Fournisseurs numériques
Eaux usées	Recherche
Infrastructure numérique[9]
Gestion des services TIC
Administration publique
Espace

 

La loi s’applique aux entités, publiques ou privées, visées à l’annexe I ou II de la loi et qui constituent des entités d’au moins 50 employés ou d’un chiffre d’affaires annuel ou un bilan annuel d’au moins 10 millions d’euros[10]. Pour apprécier ce critère de taille, il faudra se référer à l’annexe de la recommandation n°2003/361/CE[11]. L’on peut aussi utilement consulter le guide élaboré par la Commission européenne[12], ainsi que son outil en ligne[13] et l’outil d’aide du Centre pour la Cybersécurité Belgique (Centre for Cybersecurity Belgium ou CCB)[14].

Mise à jour 18.2.2025 : l’appréciation du critère taille se fera en principe au regard de l’ensemble des membres du personnel, y compris par exemple le personnel enseignant.

Attention, si l’entité exerce une activité visée, c’est en principe toute l’entité qui sera visé, y compris d’autres activités qui ne seraient pas visées.

Ces deux critères (portant sur les activités et sur la taille) permettent à la fois de circonscrire les entités visées mais aussi de les classer en entités essentielles ou en entités importantes.

La différence entre les deux catégories réside dans le régime de contrôle et de sanction, les entités essentielles étant plus strictement contrôlées et sanctionnées que les entités importantes[15].

Les entités concernées doivent, dans les cinq mois de l’entrée en vigueur[16], de la loi s’enregistrer auprès du CCB [17], soit pour le 18 mars 2025.

Mise à jour 18.2.2025 : une entité qui estimerait ne pas être une entité NIS2 en raison du fait qu’elle n’exerce pas une des activités visées ou en raison de sa taille peut tout de même s’enregistrer librement auprès du CCB sans quel cet enregistrement ne la soumette aux obligations « NIS2 ». Elle pourra alors, au moment de l’enregistrement, préciser soit qu’elle n’exerce pas une des activités visées soit que sa taille est trop petite. Cet enregistrement lui permettra de bénéficier des services gratuits du CCB.

On peut constater que les administrations publiques sont citées dans le tableau repris ci-dessus, au sein des secteurs hautement critiques. La directive NIS2 permettait toutefois aux Etats membres de ne pas viser les autorités locales (sans préjudice des activités visées qu’elles exerceraient).

La Belgique n’a pas opté pour un champ d’application incluant systématiquement toutes les autorités publiques locales de sorte qu’une analyse plus précise doit se faire.

La notion d’administration publique est définie de manière stricte dans la loi NIS2[18] : « autorité administrative visée à l’article 14, § 1er, alinéa 1er, des lois coordonnées sur le Conseil d’État qui satisfait aux critères suivants: a) elle n’a pas de caractère industriel ou commercial; b) elle n’exerce pas à titre principal une activité énumérée dans la colonne type d’entité d’un autre secteur ou sous-secteur de l’une des annexes de la loi; c) elle n’est pas une personne morale de droit privé ».

Toutefois, d’après les travaux parlementaires, « il convient de préciser que les autorités locales (communes, provinces, intercommunales, CPAS, etc.) ne sont pas des entités de l’administration publique qui dépendent de l’État fédéral ou qui dépendent des entités fédérées ne sont pas reprises à l’annexe I » (sic). Nous pensons devoir comprendre de cette précision que la rubrique « administration publique » de l’annexe I ne vise pas le niveau public local, lequel peut être visé par une des autres activités de l’annexe I ou de l’annexe II ou par la seconde situation. Nous y reviendrons.

2^nde situation : se faire identifier comme entité « stratégique » par le CCB

L’article 3, § 3, 3° de la loi NIS2 vise l’entité de l’administration publique qui

• Soit dépend de l’Etat fédéral
• Soit qui dépend des entités fédérées, identifiée conformément à l’article 11, § 2 de la loi.

L’article 11, § 1^er, de la loi précise :

« Sans préjudice de l’article 6, d’initiative ou sur proposition de l’éventuelle autorité sectorielle concernée, l’autorité nationale de cybersécurité identifie une entité comme entité essentielle ou importante, quelle que soit sa taille, dans les cas suivants :

1° l’entité est le seul prestataire, en Belgique, d’au moins un service essentiel au maintien d’activités sociétales ou économiques critiques, notamment dans l’un des secteurs ou sous-secteurs repris aux annexes I et II de la loi ;

2° une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;

3° une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où une telle interruption pourrait avoir un impact transfrontière ;

4° l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants, en Belgique ».

L’article 11, § 2, de la loi dit :

« En ce qui concerne les entités qui dépendent des entités fédérées, l’autorité nationale de cybersécurité identifie les administrations publiques qui, à la suite d’une évaluation basée sur les risques, fournissent des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques ».

Dans ce second cas de figure, les entités concernées devront être identifiées et enregistrées auprès des autorités compétentes. Cette étape permet de garantir que les autorités disposent d'un inventaire à jour des infrastructures critiques et des services numériques.

Les critères permettant d’identifier ces entités « stratégiques » ne sont pas encore définitivement arrêtés. D’après les informations qui nous ont été fournies par le CCB, la volonté serait de recourir à un outil de sélection lié à CyFun (CyberFundamentals)[19], outil qui mettrait en balance le secteur, la taille et une analyse de risque. Toutefois, il faut attendre confirmation que cette méthode sera bien celle retenue.

A partir de cet outil, le CCB envisagerait des entités qui se verraient appliquer la loi NIS2 (comme entité essentielle ou importante selon le cas) et en ferait proposition aux entités fédérées concernées et autorités sectorielles, qui rendent un avis non publié endéans les soixante jours[20].

Notons que le CCB évalue et met à jour l’identification des entités essentielles et importantes au moins tous les deux ans[21].

Après cette étape d’identification, les entités concernées doivent dans les cinq mois suivant cette identification s’enregistrer auprès du CCB[22].

La loi NIS2 vise-t-elle dès lors les pouvoirs locaux ?

A la lecture de ce qui précède, l’on peut donc indiquer que, soit:

• le pouvoir local sera visé par le double critère « activité et taille » ;
• le pouvoir local sera visé par son « importance stratégique » après identification par le CCB ;
• le pouvoir local ne sera pas visé.

Chaque pouvoir local bénéficiant d’une marge d’autonomie, la situation pourrait même varier de pouvoir local à pouvoir local, en fonction des activités qu’il exerce.

Zone d’inconnu quant aux communes

Nous l’avons vu, deux situations peuvent emporter l’application personnelle de la loi NIS2 : soit application du double critère “activités + taille”, soit application d’une certaine importance « stratégique ».

En ce qui concerne la première situation, certaines communes peuvent exercer certaines des activités visées. Nous songeons spécifiquement mais non exhaustivement aux activités suivantes :

• Annexe 1 – activités hautement critiques :
  • Énergie :
    • Electricité :
      • Gestionnaires de réseau de distribution[23] ;
      • Exploitants d’un point de recharge qui sont responsables de la gestion et de l’exploitation d’un point de recharge, lequel fournit un service de recharge aux utilisateurs finals, y compris au nom et pour le compte d’un prestataire de services de mobilité ;
    • Réseau de chaleur et de froid : opérateurs de réseaux de chaleur ou de réseaux de froid[24] ;
    • Gaz : gestionnaires de réseau de distribution de gaz[25] ;
  • Santé : prestataires de soins de santé[26] ;
  • Eau potable : fournisseurs et distributeurs d’eaux destinées à la consommation humaine[27] à l’exclusion des distributeurs pour lesquels la distribution d’eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d’autres produits et biens;
  • Eaux usées : entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, les eaux ménagères usées ou les eaux industrielles usées[28] à l’exclusion des entreprises pour lesquelles la collecte, l’évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale ;
  • Infrastructure numérique : fournisseurs de services de communications électroniques accessibles au public ;
• Annexe 2 – activités critiques :
  • Gestion des déchets : entreprises exécutant des opérations de gestion des déchets[29] à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas la principale activité économique.

Si la commune exerce l’une des activités visées et qu’elle répond au critère de taille, elle sera alors visée par la loi NIS2 et devra s’enregistrer auprès du CCB.

Attention toutefois, certaines activités nécessitent d’être exercées à titre principal/général/essentiel (eaux usées, gestion des déchets) alors que d’autres activités, même exercées de manière marginale, suffiront pour que l’entité puisse être visée.

Mise à jour 18.2.2025 : En ce qui concerne la distribution d’eau potable, il est précisé à l’annexe I que sont visés les fournisseurs et distributeurs d'eaux destinées à la consommation humaine[30], à l'exclusion des distributeurs pour lesquels la distribution d'eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d'autres produits et biens (nous soulignons). Attention, cette condition de « part non-essentielle » ne s’apprécie pas au regard de l’activité communale globale mais bien au regard de son activité générale de distribution d’autres produits et biens uniquement !

Mise à jour 18.2.2025 : En ce qui concerne l’activité de fourniture de services de communications électroniques accessibles au public, l’IBPT, autorité sectorielle, nous a indiqué (via le CCB) que « les EPN ne fournissent pas un service d’accès à internet, mais seulement un accès à des terminaux, qui eux font usage d’un service d’accès à internet » et que « la définition d’un fournisseur de services de communications électroniques accessibles au public précise également que le service doit être fournit « via des réseaux de communications électroniques », ce qui n’est pas le cas d’un service qui fournit un accès physique à des terminaux ».

Si la commune n’exerce pas l’une des activités visées ou qu’elle ne répond pas au critère de taille, il faudra alors analyser si elle ne rentre pas dans la seconde situation en étant une entité stratégique et ce, après identification par le CCB.

Zone d’inconnu quant aux CPAS

Comme pour ce qui est détaillé ci-dessus pour ces communes, deux situations peuvent emporter l’application personnelle de la loi NIS2 :

• soit application du double critère “activités + taille”;
• soit application d’une certaine importance « stratégique ».

En ce qui concerne la première situation, certains CPAS peuvent exercer des activités relatives au secteur de la santé répertorié dans l’Annexe 1:

Annexe 1 – activités hautement critiques :

• Santé : Prestataires de soins de santé[31].

Si le CPAS exerce l’une des activités visées et qu’il répond au critère de taille, il sera alors visé par la loi NIS2, après enregistrement.

Si le CPAS n’exerce pas l’une des activités visées ou qu’il ne répond pas au critère de taille, il faudra alors analyser s’il ne rentre pas dans la seconde situation en étant une entité stratégique et ce, après identification par le CCB.

D’après les informations qui nous ont été fournies par le CCB, les maisons de repos sont dans le champ d’application de la loi, doivent également s’enregistrer et notifier les incidents significatifs, mais peuvent avoir recours à un niveau de Cyberfundamentals inférieur (basic) pour la mise en œuvre de mesures de cybersécurité, en prenant en compte la proportionnalité et l’impact sociétal limité d’un incident pour ces organisations.

Les zones de police ne sont pas visées

En effet, l’article 5, § 4, 4° de la loi NIS2 exclut de son champ d’application les services de police visés à l’article 2, 2°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux.

Les zones de secours sont bien visées

En effet, l’article 3, § 3, 3°, c de la loi NIS2 vise les zones de secours au sens de l’article 14 de la loi du 15 mai 2007 relative à la sécurité civile.

Zone d’inconnu quant aux sociétés de logement de services publics

Nous n’identifions pas à l’égard des SLSP l’exercice d’activité(s) relevant des Annexes 1 ou 2. Il ne reste alors que la seconde situation, à savoir « l’importance stratégique » des SLSP.

Comme pour les communes et les CPAS dans pareille situation, il faudra une identification du CCB pour certaines ou toutes les SLSP relevant de la Région wallonne soient visées.

Les intercommunales a priori largement visées

Les intercommunales sont la catégorie de pouvoir local la plus visée. Certaines étaient déjà visées par la loi NIS1, d’autres vont l’être par NIS2 en raison de l’élargissement des activités listées aux annexes 1 et 2 (et de leur taille). Il ne paraît pas non plus impossible qu’elles soient également visées en raison de leur importance stratégique, en fonction de la méthodologie développée par le CCB.

Quelles sont les principales obligations des entités visées ?

Elles sont de cinq ordres[32] :

• S’enregistrer auprès du CCB[33] via leur outil www.atwork.safeonweb.be;
• Prendre les mesures de cybersécurité adéquates : les entités doivent adopter des mesures de gestion des risques pour prévenir et atténuer les incidents de cybersécurité. Ces mesures incluent notamment la cyberhygiène et la formation à la cybersécurité, la mise en œuvre de politiques de cybersécurité, et l'utilisation de solutions d'authentification à plusieurs facteurs[34] ; le CCB recommande d’utiliser son référentiel CyFun[35] ;
• Notifier au CCB les cyberincidents significatifs : les entités sont tenues de notifier les incidents de sécurité aux autorités compétentes ; la notification obligatoire concerne les incidents ayant un impact significatif tandis que la notification volontaire est encouragée pour les incidents de moindre importance[36] ;
• Pour les entités essentielles, effectuer des évaluations régulières de la conformité[37] (volontaires pour les entités importantes), avec des contrôles préventifs (ex-post) voire réactifs (ex-ante) possibles, selon le statut de l’entité ;
• Les organes de directions des entités visées doivent surveiller et avaliser la mise en place de mesures de gestion des risques et leurs membres doivent suivre une formation[38].

Autorités compétentes, sanction et supervision

La loi NIS2 désigne une autorité nationale de cybersécurité chargée de superviser la mise en œuvre des mesures de cybersécurité. En Belgique, cette autorité est le CCB. Cette autorité collabore avec des autorités sectorielles pour assurer une couverture complète des différents secteurs.

Les autorités compétentes peuvent effectuer des inspections, des contrôles à distance, et des audits pour vérifier la conformité des entités avec les exigences de la loi NIS2. Des mesures et des amendes administratives peuvent être imposées en cas de non-conformité[39].

Une stratégie nationale en matière de cybersécurité est élaborée pour définir les objectifs et les priorités à long terme. Un plan national de réaction aux crises cyber est également mis en place pour coordonner la réponse aux incidents de cybersécurité majeurs.

En Région wallonne, l’Agence du Numérique (ADN) et la CCB ont travaillé ensemble pour faire naître la Cyber Response Team wallonne (CRT) qui viendra soutenir le CSIRT national. Ce CRT « aura pour but de répondre rapidement aux incidents de cybersécurité se produisant en région wallonne » et « fournira une assistance immédiate aux autorités publiques, aux établissements d’enseignement et aux acteurs du secteur de la santé. La CRT aura deux missions principales: 

• établir une communauté de pratique pour se préparer à faire face aux menaces cyber actuelles ; 
• gérer les incidents et assister les organisations en Wallonie dès les premiers instants d’un incident de cybersécurité »[40].

Des zones d’ombre à éclaircir mais une certitude : la nécessité de se cyberprotéger quoi qu’il arrive

Il échet de constater qu’il subsiste des zones d’incertitude et des marges d’appréciation quant aux critères applicables. Des informations plus précises devront être fournies aux niveaux européen puis belge. Quid de l’appréciation du critère de taille appliqué aux autorités publiques ? Quid des critères de sélection pour identifier des entités publiques « stratégiques » ?

Notre association ne manquera pas de revenir avec des informations plus précises dès que possible.

Malgré ces zones d’inconnu quant à la soumission à NIS2, une certitude s’impose : la cybersécurité est importante à la fois pour protéger les données des citoyens, des entreprises, des agents mais aussi pour que soient préservées les activités du pouvoir local. Car sans système d’information, sans accès aux données, aux logiciels ou aux outils, le pouvoir local ne peut plus offrir ses services publics. La cybersécurité est donc une nécessité opérationnelle. Les cyberattaques ont des répercussions graves et importantes sur les entités touchées et les pouvoirs publics locaux n’en sont pas épargnés.

Par ailleurs, il nous revient que le niveau national puis celui régional sont a priori considérés comme davantage prioritaires que l’échelon local car les cyberattaques faites sur l’ensemble du territoire ont potentiellement un impact plus large qu’une attaque locale. Le processus d’identification (2^de situation) risque donc de d’abord viser les entités fédérales, puis fédérées puis seulement locales, de sorte que l’identification de certaines entités publiques locales « stratégiques » pourrait n’intervenir qu’à la fin de 2025 voire en 2026, ce qui laisse du temps supplémentaire pour se mettre en ordre. A titre d’information, l’identification faite dans le contexte de la loi NIS1 avait nécessité huit à dix mois mais elle concernait bien moins de secteurs.

Notre association a déjà interpellé les différents niveaux de pouvoir (européen, fédéral, régional wallon et communautaire). Elle a réclamé :

• des moyens financiers supplémentaires importants en faveur de ses membres ;
• une mise en œuvre raisonnée de ces objectifs très ambitieux ;
• un plan de formation pour permettre de trouver du personnel qualifié en la matière ;
• une exonération des autorités publiques de certaines sanctions ;
• des clarifications quant au champ d’application personnelle ;
• une stratégie globale du secteur public wallon en matière de cybersécurité (mais aussi plus largement en matière d’egouvernement) ;
• la mise à disposition d’aides opérationnelles.

Des outils pour démarrer et quelques conseils

En attendant, le CCB propose déjà des outils sur son site internet[41] :

• L'outil de test du champ d'application NIS2[42] ;
• le guide de démarrage rapide avec NIS2[43] ;
• la page NIS2 sur le site du CCB[44] ;
• les articles du CCB sur NIS2[45] ;
• Le CyFun sélection/scoping tool[46] ;
• CyFun self-assessment[47] ;
• CyFun Mapping[48] ;
• CyFun policy templates[49] ;
• Politique de divulgation coordonnées de menaces[50] ;
• Quick wins[51] ;
• Vidéos et webinaires[52].

Au sein des entités locales concernées, une équipe pluridisciplinaire devrait, dans la mesure du possible, rapidement être constituée et devrait idéalement regrouper à tout le moins le conseiller en sécurité de l’information (s’il existe), le délégué à la protection des données, un représentant du service IT, un représentant du service Marchés publics[53] et un membre du comité de direction.

Les pouvoirs locaux regroupent rarement toutes ces compétences et notre association relaye les difficultés connues par ses membres quant à disposer, à recruter et à garder de tels profils.

Comme pour le RGPD, les synergies entre pouvoirs locaux sont un début de réponse. D’autres solutions devront se concrétiser et notre association ne manquera pas de les réclamer aux niveaux de pouvoir concernés.

---

[1] Loi du 26.4.2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, M.B., 17.5.2024 ; ci-après « loi NIS2 ».

[2] Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, M.B., 24.6.2024.

[3] L’acronyme provient des termes anglais « Network information system » ; directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, J.O.U.E., 27.12.2022.

[4] Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, J.O.U.E., 19.7.2016.

[5] Tableau issu du CCB : https://atwork.safeonweb.be/fr/nis2.

[6] Il s’agit des opérateurs de réseaux de chaleur ou de réseaux de froid au sens de l’article 2, point 19), de la directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie produite à partir de sources renouvelables

[7] Entreprises exécutant des opérations de gestion des déchets au sens de l’article 3, point 9), de la directive 2008/98/CE du Parlement européen et du Conseil du 19 novembre 2008 relative aux déchets et abrogeant certaines directives, à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas la principale activité économique.

[8] Il s’agit notamment des prestataires de soins de santé au sens de l’article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.

[9] Parmi les différents services visés, nous notons celui-ci en particulier : Fournisseurs de réseaux de communications électroniques publics.

[10] Art. 3, § 1 de la loi NIS2 ; il est intéressant ici de mentionner que les entités peuvent choisir de regarder soir leur chiffre d'affaires, soit leur bilan annuel total. Une des deux données peut dépasser le seuil d'une entreprise moyenne ou grande, sans que cela affecte le statut d'une petite entreprise (si elle a également moins de 50 employés).

[11] https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX%3A32003H0361

[12] https://op.europa.eu/en/publication-detail/-/publication/79c0ce87-f4dc-11e6-8a35-01aa75ed71a1/language-fr.

[13] https://ec.europa.eu/growth/tools-databases/SME-Wizard/.

[14] https://atwork.safeonweb.be/fr/nis2.

[15] Pour plus d’informations, voyez : https://atwork.safeonweb.be/fr/nis2.

[16] Fixée au 18 octobre 2024 : art. 98 de la loi NIS2.

[17] Article 13, § 1^er de la loi NIS2.

[18] Art. 8, 34° de la loi.

[19] Le cadre des cyberfondamentaux du CCB est un ensemble de mesures concrètes pour protéger les données, réduire le risque de cyberattaques et accroître la cyber-résilience d'une organisation. Voir: https://atwork.safeonweb.be/fr/tools-resources/cyberfundamentals-framework [consulté le 1.7.2024]

[20] Article 11, § 3, al. 1^er de la loi NIS2.

[21] Article 11, § 4, al. 1^er de la loi NIS2.

[22] Article 13, § 1^er de la loi NIS2.

[23] Au sens de l’article 2, point 29), de la directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l'électricité et modifiant la directive 2012/27/UE.

[24] Au sens de l’article 2, point 19), de la directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie produite à partir de sources renouvelables.

[25] Au sens de l’article 2, point 6, de la directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE.

[26] Au sens de l’article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.

[27] Au sens de l’article 2, point 1) a), de la directive (UE) 2020/2184 du Parlement européen et du Conseil du 16 décembre 2020 relative à la qualité des eaux destinées à la consommation humaine, à l’exclusion des distributeurs pour lesquels la distribution d’eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d’autres produits et biens.

[28] Au sens de l’article 2, points 1), 2) et 3), de la directive 91/271/CEE du Conseil, du 21 mai 1991, relative au traitement des eaux urbaines résiduaires, à l’exclusion des entreprises pour lesquelles la collecte, l’évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale.

[29] Au sens de l’article 3, point 9), de la directive 2008/98/CE du Parlement européen et du Conseil du 19 novembre 2008 relative aux déchets et abrogeant certaines directives, à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas la principale activité économique.

[30] Au sens de l'article 2, point 1) a), de la directive (UE) 2020/2184 du Parlement européen et du Conseil du 16 décembre 2020 relative à la qualité des eaux destinées à la consommation humaine

[31] Au sens de l’article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.

[32] Pour plus de détails, consultez : https://atwork.safeonweb.be/fr/nis2

[33] Article 13 de la loi NIS2.

[34] Article 30 de la loi NIS2.

[35] https://atwork.safeonweb.be/fr/tools-resources/cyberfundamentals-framework

[36] Article 34 et s. de la loi NIS2.

[37] Article 39 de la loi NIS2.

[38] Article 30 de la loi NIS2.

[39] Toutefois, l’article 62 de la loi NIS2 exonère l’administration publique des mesures et amendes administratives.

[40] https://ccb.belgium.be/fr/actualit%C3%A9/une-cyber-response-team-crt-pour-la-wallonie

[41] https://atwork.safeonweb.be/fr/tools-resources; https://atwork.safeonweb.be/fr/nis2.

[42] https://atwork.safeonweb.be/sites/default/files/2024-06/NIS2%20scope%20assessment.v1.0_0.xlsx.

[43] https://atwork.safeonweb.be/fr/tools-resources/guide-de-demarrage-rapide-avec-nis2.

[44] https://ccb.belgium.be/fr/nis2.

[45] https://ccb.belgium.be/fr/article-tags/nis2.

[46] https://atwork.safeonweb.be/fr/node/178.

[47] https://atwork.safeonweb.be/fr/node/179.

[48] https://atwork.safeonweb.be/sites/default/files/2024-01/CyFun%20mapping%20Public_v20240108.xlsx.

[49] https://atwork.safeonweb.be/fr/tools-resources/policy-templates.

[50] https://atwork.safeonweb.be/fr/tools-resources/politique-de-divulgation-coordonnee-de-vulnerabilites.

[51] https://atwork.safeonweb.be/fr/tools-resources/quick-wins.

[52] https://atwork.safeonweb.be/fr/tools-resources/videos-webinars.

[53] Les documents de marchés relatifs aux contrats touchant aux systèmes d’information devront être adaptés afin d’élever les niveaux d’exigence (à l’étape de sélection qualitative et/ou dans les spécifications techniques et/ou les conditions d’exécution).