Cybersécurité et loi NIS2 : de nouvelles dispositions pour les pouvoirs locaux concernés

Le 18 octobre 2024, la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, est entrée en vigueur.

Également connu sous le nom de «  loi NIS2 », ce nouveau texte légal impose des exigences de cybersécurité accrues et prévoit des dispositions dans lesquelles on peut identifier différents cas où les pouvoirs locaux pourraient être concernés. Ceci dépendra de deux critères principaux :

• le critère combiné activité et taille, qui détermine si une entité locale exerce une activité critique et atteint une certaine envergure ;
• l’importance stratégique, que le Centre pour la Cybersécurité Belgique (CCB) pourrait accorder à une entité locale en fonction de son rôle spécifique.

Le cas des communes et des CPAS

Certaines communes pourraient être soumises aux obligations de la loi NIS2 selon les activités qu’elles exercent, notamment si elles sont impliquées dans des secteurs désignés comme hautement critiques ou critiques par les annexes 1 et 2 de la loi NIS2. En voici les activités pertinentes.

Les activités hautement critiques (annexe 1)

- Énergie   

• Électricité : sont inclus les gestionnaires de réseaux de distribution et les exploitants de points de recharge, si leur activité inclut la gestion et l’exploitation de ces points pour les utilisateurs finaux ou au nom de prestataires de services de mobilité ;
• Réseau de chaleur et de froid : opérateurs de réseaux de chaleur ou de froid ;
• Gaz : gestionnaires de réseaux de distribution de gaz.

 - Santé 

Sont inclus les prestataires de soins de santé.

 - Eau 

• Eau potable : les fournisseurs et distributeurs d’eaux destinées à la consommation humaine, excepté pour ceux dont cette activité est accessoire.
• Eaux usées : les entreprises impliquées dans la collecte, l’évacuation, ou le traitement des eaux résiduaires, sauf lorsque cette activité est accessoire à leur activité principale.

 - Infrastructure numérique 

Les fournisseurs de services de communications électroniques accessibles au public.

Les activités critiques (annexe 2)

- Gestion des déchets 

Les entreprises spécialisées dans la gestion des déchets sont également visées si cette activité constitue leur activité principale.

Si une commune remplit le critère combiné activité et taille pour l’une de ces activités, elle devra se conformer aux obligations de la loi NIS2, ce qui inclut l’enregistrement auprès du CCB. À noter que certaines activités doivent être exercées de manière principale ou essentielle, comme l’approvisionnement en eau potable ou la gestion des eaux usées, pour que la commune soit soumise à la loi NIS2. Cependant, d’autres activités peuvent suffire même si elles sont exercées de manière marginale.

Certains CPAS pourraient être inclus en raison de leurs activités dans le domaine de la santé, (secteur de l’annexe 1) en tant que prestataires de soins de santé. Si un CPAS exerce cette activité et remplit le critère de taille, il devra se conformer aux exigences de la loi NIS2. Par ailleurs, les maisons de repos et maisons de repos et de soins gérées par les CPAS sont spécifiquement concernées par la loi.

Pour encore plus d’informations, nous vous renvoyons à la question parlementaire n°88 (2024-2025), en cliquant ici.

Les autres pouvoirs locaux

En ce qui concerne les autres pouvoirs locaux, la loi NSI2 exclut les zones de police (article 5, § 4, 4°) tandis que les zones de secours et les intercommunales sont soumises aux obligations de cybersécurité.

En conclusion, la loi NIS2 introduit des obligations importantes pour certains pouvoirs locaux, mais son application reste variable en fonction de l’autonomie et des activités de chaque entité. Les critères d’activité, de taille, et d’importance stratégique sont cruciaux pour déterminer les entités locales concernées, et l’évaluation du CCB sera déterminante pour préciser le champ d’application exact de la loi.

Conseil : Même si vous n’êtes pas directement visés, il est possible que vous fassiez partie de la chaîne d’approvisionnement d’une entreprise concernée par la loi NIS2. Dans ce cas, il est conseillé d’adopter au moins des normes de cybersécurité de base.

 Actions à entreprendre si la NIS2 s’applique à votre entité

• Enregistrement : Enregistrez-vous rapidement sur SafeOnWeb pour déclarer votre conformité.
• Évaluation et mesures de cybersécurité : Évaluez le niveau de risques en tenant compte de votre secteur, de la taille de votre entité et de l’impact potentiel d’une cyberattaque, et implémentez les mesures de cybersécurité appropriées.
• Notification des incidents : depuis le 18 octobre, vous devez notifier tout incident majeur auprès du CCB.
• Formation : Sensibilisez et formez votre personnel ainsi que votre direction à la cybersécurité.
• Mise en conformité : Procurez-vous les certifications CyberFundamentals ou ISO 27001 dès que possible pour garantir votre conformité.

Les sanctions pour non-conformité peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel, en plus de possibles mesures administratives.

Vous l’aurez compris, il est essentiel d’entamer dès à présent les démarches nécessaires pour vous conformer aux exigences de la NIS2. Cela renforcera la sécurité de vos systèmes et témoignera de votre engagement envers les nouvelles obligations légales. Assurez-vous également que votre équipe de direction soit formée à la cybersécurité, car leur responsabilité personnelle pourrait être engagée.

Des informations détaillées sur le champ d'application, les obligations, la supervision, les sanctions et une ligne du temps sur la mise en œuvre de la loi NIS2 sont disponibles sur la page éponyme du site web de Safeonweb@Work. Un guide sur comment se conformer à la NIS2 en 7 étapes faciles est également disponible (cliquez ici pour le consulter).