La Belgique va mieux protéger les services essentiels. Cela signifie que les fournisseurs dans des secteurs comme l’énergie ou les finances, mais aussi l’informatique dans le nuage, devront prendre des mesures suffisantes et signaler les incidents tels des cyber-attaques.
Il s’agit là de la directive européenne NIS (Network and Information Systems) qui a été approuvée hier à la Chambre en tant que loi belge. Cette loi entrera en vigueur après sa publication au Moniteur.
Dans un premier temps, la loi NIS exige que les services essentiels dans notre pays, et leurs fournisseurs, soient identifiés. Ensuite, ceux-ci seront contactés par les autorités durant les six premiers mois suivant l’entrée en vigueur, afin de les informer sur les obligations requises.
Il s’agit de six secteurs: énergie, transport, finances, soins de santé, eau potable et infrastructures numériques. Les services d’informatique dans le nuage (‘cloud computing’) tomberont eux aussi sous le coup de cette loi. Assez étonnamment, la loi s’appliquera également aux fournisseurs de magasins en ligne et de moteurs de recherche.Ceux-ci, de même que les services d’informatique dans le nuage, ne seront pas identifiés, mais comme il n’existe pas encore de réglementation à propos de ces plates-formes, ils sont aussi repris dans la loi NIS.
Ce type de fournisseur de services essentiels devra, comme le stipule la loi, satisfaire à un certain nombre de mesures sécuritaires, mais aussi notifier aux autorités des incidents, comme des cyber-attaques. On ne sait pas exactement ce que recouvrent ces mesures de sécurité.
Sanctions
Selon le Centre pour la Cyber-sécurité Belgique (CCB), les entreprises qui seront identifiées comme fournisseurs de services essentiels, seront contrôlées régulièrement. Il n’y aura cependant pas une série d’obligations précises en matière de cyber-sécurité, surtout du fait que le paysage évolue continuellement et qu’il est donc malaisé d’épingler des mesures spécifiques.
Les entreprises tombant sous le coup de la loi NIS pourront être sanctionnées tant administrativement (amendes financières) que juridiquement (au tribunal). Au CCB, on prétend cependant que l’objectif n’est pas uniquement d’infliger des amendes. Les sanctions doivent être surtout considérées comme une mesure préventive. En première instance, la loi a essentiellement comme but d’instaurer une collaboration étroite entre les fournisseurs et les autorités, afin d’offrir une meilleure cyber-sécurité.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici