En mars 2019, notre pays a enfin transposé en droit belge la directive européenne en matière de lutte contre les cyberattaques. La nouvelle loi est enfin entrée en vigueur, pratiquement un an après la date limite fixée. Notre pays s’est dès lors fait taper plusieurs fois sur les doigts au cours de l’année écoulée. La nouvelle législation, mieux connue sous le nom de « loi NIS » ou loi en matière de cybersécurité, prescrit désormais à certaines entreprises de s’armer contre les cyberattaques.

Il ressort d’une étude récente que 71 pour cent des entreprises belges ont été confrontées à un cyberincident au cours des 12 derniers mois. Soit beaucoup plus que l’année précédente. Les attaques ne sont pas seulement plus fréquentes, mais leur impact est aussi de plus en plus lourd de conséquences. Pour ne citer que quelques exemples : Asco, le producteur de pièces d’avion où la production s’est trouvée à l’arrêt pendant plusieurs jours ou Ranson, la boulangerie industrielle, qui s’est vue contrainte de payer des milliers d’euros pour pouvoir reprendre son activité. Il ressort par ailleurs que les grandes entreprises ne semblent pas être seules visées. De moyennes entreprises sont également de plus en plus souvent victimes de cyberattaques.

C’est ce qui explique pourquoi l’Union européenne a édicté une directive prescrivant désormais à de nombreuses entreprises de se protéger des cyberattaques. En Belgique, cette directive a été transposée dans la loi NIS ou loi en matière de cybersécurité. Il s’agit de notre première loi qui prescrit aux entreprises de se protéger d’éventuelles cyberattaques.

Les entreprises qui ne respectent pas la législation peuvent encourir des amendes administratives voire pénales. Les amendes peuvent se monter à pas moins de 50.000 euros (à multiplier par 8). La sanction peut également consister en une peine d’emprisonnement d’un an. Les infractions peuvent aussi faire l’objet de sanctions administratives d’un montant allant jusqu’à 200.000 euros.

La loi s’applique-t-elle à mon entreprise ?

La loi NIS s’applique d’une part aux entreprises qui proposent des services essentiels dans des secteurs spécifiques tels que notamment le transport, les finances, les soins de santé et l’énergie. L’autorité sectorielle désignera explicitement ces entreprises.

D’autre part, certains prestataires de services numériques relèvent également de cette législation. Contrairement aux opérateurs de services essentiels, les fournisseurs de services numériques ne sont pas désignés explicitement. Les opérateurs de services numériques doivent personnellement examiner s’ils relèvent ou non de cette législation. Il s’agit concrètement des services numériques suivants.

• Places de marché en ligne : les opérateurs de plateformes de négociation réunissant des acheteurs et des vendeurs d’un produit ou d’un service, telles qu’eBay ou Amazon, relèvent de la loi NIS. Les sites Web de comparaison des prix ou la boutique en ligne d’un détaillant ne sont pas concernés.
• Moteurs de recherche en ligne : un service dans lequel l’utilisateur peut introduire une requête sur n’importe quel sujet et dans le cadre duquel des recherches sont effectuées sur tout site Web, tel que Google, relève de la loi NIS. Il ne s’agit pas ici de fonctions de recherche sur un site Web spécifique.
• Services d’informatique en nuage : les opérateurs de services numériques qui donnent accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées relèvent de la loi NIS. Dans ce cadre, il suffit de penser aux opérateurs d’une infrastructure en tant que service (IaaS), d’une plate-forme en tant que service (PaaS), mais aussi aux logiciels en tant que service (SaaS). Les fournisseurs de matériel informatique et les développeurs de logiciels sont par contre explicitement exclus de cette législation.

Quelles sont les conséquences ?

Vous êtes un fournisseur de services numériques au sens de la loi NIS ? Dans ce cas, vous êtes tenu de prendre plusieurs mesures techniques et organisationnelles. Nous les énumérons brièvement.

Désignez un Data Protection Officer (DPO)

Tout fournisseur de services numériques qui relève du champ d’application de la législation NIS est tenu de désigner un DPO (délégué à la protection des données). Un lien est ainsi établi avec le RGPD (règlement général sur la protection des données). Alors que le RGPD met l’accent sur la protection des données à caractère personnel, la loi NIS se focalise sur la protection des systèmes, de l’infrastructure et des données en général.

Signalez les incidents le plus rapidement possible et prenez des mesures de sécurité

Si votre entreprise est considérée comme une moyenne entreprise conformément à la définition européenne d’une PME, vous avez l’obligation de prendre plusieurs mesures de sécurité spécifiques. Il s’agit notamment ici d’assurer une protection physique de vos données et systèmes d’information, de réaliser des contrôles de sécurité systématiques et de mettre en place un contrôle d’accès. Les mesures de sécurité à prendre ont été fixées dans un Règlement de l’Union européenne.

En tant que moyenne entreprise, vous êtes par ailleurs tenu de notifier les incidents ayant un impact significatif sur les services. Ici aussi, un lien est établi avec le RGPD (règlement général sur la protection des données). Alors que l’obligation de notification se limite aux incidents relatifs aux données à caractère personnel dans le cadre du RGPD, celle-ci s’étend à tous les incidents qui compromettent gravement les services au niveau de la législation NIS.

Evelien Callewaert
Vandelanotte

Vous vous demandez si la législation NIS s’applique à votre entreprise ? Vous souhaitez bénéficier d’un encadrement, afin de vous conformer de manière pragmatique à la législation NIS ? Alors, il vous suffit de contacter nos spécialistes à l’adresse cyber@vdl.be ou notre partenaire clipeum à l’adresse frederik.vervoort@clipeum.be.