Cybersécurité : réglementation « NIS2 » établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la cybersécurité publique - et les pouvoirs locaux ? – Mise à jour importante – avril 2026

La réglementation « NIS2 » est composée de la loi du 26 avril 2024[1] et son arrêté royal[2]. L’objectif de cette réglementation est de renforcer la protection préventive des personnes physiques ou morales contre les cybermenaces et les cyberincidents, dont le nombre ne cesse d’augmenter.

La présente actualité remplace celle publiée initialement le 11 juillet 2024, suite aux différentes mises à jour de la FAQ du CCB)[3].

Quels sont les objectifs de la réglementation ?

La loi NIS2 établit un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et transpose ainsi en droit belge la directive dite NIS2[4]. Elle vise à renforcer la résilience des infrastructures numériques et à protéger les utilisateurs contre les cybermenaces.

La première directive « NIS1 »[5] a nécessité d’être revue afin de supprimer les divergences d’application qu’elle connaissait mais aussi de faire face à la recrudescence de cyberattaques et l’élargissement des secteurs concernés par celles-ci. On passe en effet de sept à dix-huit secteurs visés !

Qui est visé par la loi NIS2 ?

La loi NIS2 distingue deux situations :

-        Soit l’entité, privée ou publique, exerce certaines activités critiques et atteint une certaine taille ;

-        Soit l’entité, privée ou publique, est « stratégique » et ce, qu’elle que soit sa taille.

1^e situation : exercer une activité visée et atteindre une certaine taille

Pour être visé, il faut donc, en principe :

-        Exercer une activité visée dans les annexes I ou II de la loi NIS2, et

-        Dépasser certains seuils (au moins un effectif de 50 unités de travail par année ou avoir un chiffre d'affaires annuel ou un bilan annuel total supérieur à 10 millions d'euros).

Les activités visées sont les suivantes[6] :

La loi s’applique aux entités, publiques ou privées, qui exercent une des activités visées à l’annexe I ou II de la loi et qui constituent des entités d’au moins 50 travailleurs ou d’un chiffre d’affaires annuel ou un bilan annuel d’au moins 10 millions d’euros[11].

Pour apprécier ce critère de taille, il faudra se référer à l’annexe de la recommandation n°2003/361/CE[12]. L’on peut aussi utilement consulter le guide élaboré par la Commission européenne[13], ainsi que son outil en ligne[14] et l’outil d’aide du CCB.

L’appréciation du critère taille se fera en principe au regard de l’ensemble des membres du personnel, y compris par exemple le personnel enseignant.

Attention, si l’entité exerce une activité visée, c’est en principe toute l’entité qui sera visé, y compris d’autres activités qui ne seraient pas visées.

Ces deux critères (portant sur les activités et sur la taille) permettent à la fois de circonscrire les entités visées mais aussi de les classer en entités essentielles ou en entités importantes.

La différence entre les deux catégories réside dans le régime de contrôle et de sanction, les entités essentielles étant plus strictement contrôlées et sanctionnées que les entités importantes[15].

Les entités concernées devaient, dans les cinq mois de l’entrée en vigueur[16], de la loi s’enregistrer auprès du CCB [17], soit pour le 18 mars 2025.

Une entité qui estimerait ne pas être une entité NIS2 en raison du fait qu’elle n’exerce pas une des activités visées ou en raison de sa taille peut tout de même s’enregistrer librement auprès du CCB sans quel cet enregistrement ne la soumette aux obligations « NIS2 ». Elle pourra alors, au moment de l’enregistrement, préciser soit qu’elle n’exerce pas une des activités visées soit que sa taille est trop petite. Cet enregistrement lui permettra de bénéficier des services gratuits du CCB.

On peut constater que les administrations publiques sont citées dans le tableau repris ci-dessus, au sein des secteurs hautement critiques. La directive NIS2 permettait toutefois aux Etats membres de ne pas viser les autorités locales (sans préjudice des activités visées qu’elles exerceraient).

La Belgique n’a pas opté pour un champ d’application incluant systématiquement toutes les autorités publiques locales de sorte qu’une analyse plus précise doit se faire.

La notion d’administration publique est définie de manière stricte dans la loi NIS2[18] : « autorité administrative visée à l’article 14, § 1er, alinéa 1er, des lois coordonnées sur le Conseil d’État qui satisfait aux critères suivants: a) elle n’a pas de caractère industriel ou commercial; b) elle n’exerce pas à titre principal une activité énumérée dans la colonne type d’entité d’un autre secteur ou sous-secteur de l’une des annexes de la loi; c) elle n’est pas une personne morale de droit privé ».

Toutefois, d’après les travaux parlementaires, « il convient de préciser que les autorités locales (communes, provinces, intercommunales, CPAS, etc.) ne sont pas des entités de l’administration publique qui dépendent de l’État fédéral ou qui dépendent des entités fédérées ne sont pas reprises à l’annexe I » (sic).

Nous pensons devoir comprendre de cette précision que la rubrique « administration publique » de l’annexe I ne vise pas le niveau public local, lequel peut par ailleurs être visé par une des autres activités de l’annexe I ou de l’annexe II ou par la seconde situation. Nous y reviendrons.

Ce point de vue est partagé par le CCB puisque sa FAQ relate que : « Les administrations publiques locales ne font en effet pas partie du secteur de l'administration publique à l'annexe I de la loi NIS2. (…) Les administrations/entités publiques locales (communes, provinces, intercommunales, CPAS, régies, etc.) ne sont pas automatiquement soumises aux exigences de la loi NIS2. En effet, elles ne sont pas explicitement listées dans les annexes de la loi NIS2 dans le secteur public »[19].

2^nde situation : se faire identifier comme entité « stratégique » par le CCB

L’article 3, § 3, 3° de la loi NIS2 vise l’entité de l’administration publique qui

-        Soit dépend de l’Etat fédéral

-        Soit qui dépend des entités fédérées, identifiée conformément à l’article 11, § 2 de la loi.

L’article 11, § 1^er de la loi précise :

« Sans préjudice de l’article 6, d’initiative ou sur proposition de l’éventuelle autorité sectorielle concernée, l’autorité nationale de cybersécurité identifie une entité comme entité essentielle ou importante, quelle que soit sa taille, dans les cas suivants :

1° l’entité est le seul prestataire, en Belgique, d’au moins un service essentiel au maintien d’activités sociétales ou économiques critiques, notamment dans l’un des secteurs ou sous-secteurs repris aux annexes I et II de la loi ;

2° une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;

3° une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où une telle interruption pourrait avoir un impact transfrontière ;

4° l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants, en Belgique ».

L’article 11, § 2 de la loi dit :

« En ce qui concerne les entités qui dépendent des entités fédérées, l’autorité nationale de cybersécurité identifie les administrations publiques qui, à la suite d’une évaluation basée sur les risques, fournissent des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques ».

Dans ce second cas de figure, les entités concernées devront être identifiées et enregistrées auprès des autorités compétentes. Cette étape permet de garantir que les autorités disposent d'un inventaire à jour des infrastructures critiques et des services numériques.

Les critères permettant d’identifier ces entités « stratégiques » ne sont pas connus. D’après les informations qui nous ont été fournies par le CCB en 2024, la volonté serait de recourir à un outil de sélection lié à CyFun (CyberFundamentals)[20], outil qui mettrait en balance le secteur, la taille et une analyse de risque.

A partir de cet outil, le CCB envisagerait des entités qui se verraient appliquer la loi NIS2 (comme entité essentielle ou importante selon le cas) et en ferait proposition aux entités fédérées concernées et autorités sectorielles, qui rendent un avis non publié endéans les soixante jours[21].

Notons que le CCB évalue et met à jour l’identification des entités essentielles et importantes au moins tous les deux ans[22].

Après cette étape d’identification, les entités concernées doivent dans les cinq mois suivant cette identification s’enregistrer auprès du CCB[23].

Au moment de publier la remise à jour complète de la présente actualité, les pouvoirs locaux n’ont pas (encore ?) fait l’objet d’un processus d’identification.

La loi NIS2 vise-t-elle dès lors les pouvoirs locaux ?

A la lecture de ce qui précède, l’on peut donc indiquer que, soit:

- le pouvoir local sera visé par le double critère « activité et taille » ;

- le pouvoir local sera visé par son « importance stratégique » après identification par le CCB ;

- le pouvoir local ne sera pas visé.

Comme indiqué précédemment, les pouvoirs locaux n’ont pas (encore) fait l’objet d’une procédure d’identification (seconde situation). Il reste à déterminer si le pouvoir local est dans la première situation. Chaque pouvoir local bénéficiant d’une marge d’autonomie, la situation pourrait même varier de pouvoir local à pouvoir local, en fonction des activités qu’il exerce.

Zone d’inconnu quant aux communes

Nous l’avons vu, deux situations peuvent emporter l’application personnelle de la loi NIS2 : soit application du double critère “activités + taille”, soit application d’une certaine importance « stratégique ».

En ce qui concerne la première situation, certaines communes peuvent exercer certaines des activités visées. Nous songeons spécifiquement mais non exhaustivement aux activités suivantes :

-        Annexe 1 – activités hautement critiques :

• o   Énergie :
  • §  Electricité :
    • ·        Gestionnaires de réseau de distribution[24] ;
    • ·        Exploitants d’un point de recharge qui sont responsables de la gestion et de l’exploitation d’un point de recharge, lequel fournit un service de recharge aux utilisateurs finals, y compris au nom et pour le compte d’un prestataire de services de mobilité ;
  • §  Réseau de chaleur et de froid : opérateurs de réseaux de chaleur ou de réseaux de froid[25] ;
  • §  Gaz : gestionnaires de réseau de distribution de gaz[26] ;
• o   Santé : prestataires de soins de santé[27] ;
• o   Eau potable : fournisseurs et distributeurs d’eaux destinées à la consommation humaine[28] à l’exclusion des distributeurs pour lesquels la distribution d’eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d’autres produits et biens;
• o   Eaux usées : entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, les eaux ménagères usées ou les eaux industrielles usées[29] à l’exclusion des entreprises pour lesquelles la collecte, l’évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale ;
• o   Infrastructure numérique : fournisseurs de services de communications électroniques accessibles au public ;

-        Annexe 2 – activités critiques :

• o   Gestion des déchets : entreprises exécutant des opérations de gestion des déchets[30] à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas la principale activité économique.

Si la commune exerce l’une des activités visées et qu’elle répond au critère de taille, elle sera alors visée par la loi NIS2 et devra s’enregistrer auprès du CCB.

Attention toutefois, certaines activités nécessitent d’être exercées à titre principal/général/essentiel (eau potable, eaux usées, gestion des déchets) alors que d’autres activités, même exercées de manière marginale, suffiront pour que l’entité puisse être visée.

La FAQ du CCB contient des précisions très importantes en ce qui concerne les activités dont l’exercice pourrait faire basculer une entité dans NIS2.

a)        En ce qui concerne la distribution d’eau potable

Il est précisé à l’annexe I que sont visés les fournisseurs et distributeurs d'eaux destinées à la consommation humaine[31], à l'exclusion des distributeurs pour lesquels la distribution d'eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d'autres produits et biens (nous soulignons). Attention, cette condition de « part non-essentielle » ne s’apprécie pas au regard de l’activité communale globale mais bien au regard de son activité générale de distribution d’autres produits et biens uniquement !

La FAQ du CCB dit à ce propos : « L'annexe de la loi NIS2 ajoute qu'elle exclut les distributeurs pour lesquels la distribution d'eau destinée à la consommation humaine n’est qu’une partie non essentielle de leur activité générale de distribution d'autres produits et biens. Le mot « essentielle » pourrait être interprété comme suit : la distribution d'eau serait « essentielle » si le distributeur ne pouvait pas poursuivre efficacement ses activités sans distribuer de l'eau destinée à la consommation humaine »[32].

b)       En ce qui concerne l’activité de fourniture de services de communications électroniques accessibles au public

L’IBPT, autorité sectorielle, nous a indiqué (via le CCB) que « les EPN ne fournissent pas un service d’accès à internet, mais seulement un accès à des terminaux, qui eux font usage d’un service d’accès à internet » et que « la définition d’un fournisseur de services de communications électroniques accessibles au public précise également que le service doit être fournit « via des réseaux de communications électroniques », ce qui n’est pas le cas d’un service qui fournit un accès physique à des terminaux ».

c)        En ce qui concerne l’activité de production d’électricité

La version 2.1.3 de mars 2026 de la FAQ du CCB indique : « les entités qui exploitent des panneaux solaires ou des éoliennes connectés au réseau électrique, même si elles consomment principalement elles-mêmes l'électricité autoproduite, sont considérées comme des producteurs (…) et entrent par conséquent dans le champ d'application de NIS2 si elles sont au moins une entreprise de taille moyenne »[33].

Le CCB dit encore : « Toutefois, il a été convenu au niveau de l'UE que ces "producteurs" ne sont pas les entités hautement critiques visées dans le sous-secteur de l'électricité de la directive NIS2. Par conséquent, ils restent dans le champ d’application de NIS mais une approche de supervision moins stricte peut leur être appliquée. En Belgique, ces entités peuvent justifier plus facilement l’usage d’un niveau inférieur du CyFun®.

En Belgique, les entités qui relèvent de la définition d'un service dans le sous-secteur de l'électricité, uniquement parce qu'elles produisent principalement de l'électricité pour leur propre consommation, conservent leur qualification NIS2 (essentielle ou importante), mais sont soumises à une supervision moins stricte. En pratique, elles doivent toujours s'enregistrer, signaler les incidents significatifs et appliquer des mesures de cybersécurité, mais l'utilisation d'un niveau d'assurance inférieur du CyberFundamentals (CyFun®) Framework (par exemple, Basic) pour se conformer à leurs obligations, sera considéré comme proportionné. Cette solution tient compte de l'impact sociétal et économique plutôt limité de leur production d'électricité »[34].

Le CCB distingue donc différentes situations :

-            L’entité possède des panneaux solaires et consomme toute l’électricité produite par elle-même : elle exercice une activité visée par la réglementation NIS2 si les panneaux solaires sont connectés au réseau ;

-            L’entité possède des panneaux solaires sans réinjection dans le réseau : l’entité n’exerce pas d’activité visée par NIS2 ;

-            L’entité loue un bâtiment muni de panneaux solaires sans les posséder mais en en consommant l’électricité : l’entité n’exerce pas une activité visée par la réglementation NIS2 ;

-            L’entité met à disposition un espace pour y placer des panneaux solaires exploités par une autre personne : l’entité n’exerce pas une activité visée par la réglementation NIS2 ;

-            L’entité achète de l’électricité à une autre organisation qui exploite des panneaux solaires placés sur le toit appartenant à l’entité : l’entité n’exerce pas une activité visée par la réglementation NIS2.

d)       Activité d’exploitation de points de recharge

Le CCB précise que l’exploitation et la gestion d’un point de recharge dont est responsable une entité au profit des aux utilisateurs finals est une activité visée par la réglementation NIS2.

Certains pouvoirs locaux exploitent les points de recharge et pourraient donc aussi être concernés par ce point.

Par contre, dans sa FAQ, le CCB rajoute : « si un supermarché place des points de recharge sur son parking, il peut tomber sous NIS2 s'il est responsable de la gestion et de l'exploitation du point de recharge. Cette gestion et cette exploitation sont souvent déléguées contractuellement à une organisation tierce, même si les points de recharge sont étiquetés au nom du supermarché. Une organisation doit donc vérifier concrètement si elle gère et exploite elle-même une borne de recharge ou si ce service est confié à une organisation tierce »[35].

Par analogie, une commune pourrait avoir délégué contractuellement la gestion et l’exploitation des points de recharge et ne pas être visé par NIS2 pour cette activité-là.

e)        Activité d’exploitation de système de transport intelligent

Pour le CCB, l’exploitation d’un système de transport intelligent vise « la mise en place d’une application STI dans un cadre organisationnel et opérationnel clairement défini en vue d’améliorer la sécurité de l’utilisateur, l’efficacité, la mobilité durable ou le confort, ou de faciliter ou de soutenir les opérations de transport et de voyage »[36].

Certains pouvoirs locaux mettent en place un STI et pourraient donc être concernés par ce point.

L’on rappelle utilement que si la commune n’exerce pas l’une des activités visées ou qu’elle ne répond pas au critère de taille, elle pourrait éventuellement rentrer dans la seconde situation en étant une entité stratégique et ce, après identification par le CCB (cf. supra).

Zone d’inconnu quant aux CPAS

Comme pour ce qui est détaillé ci-dessus pour ces communes, deux situations peuvent emporter l’application personnelle de la loi NIS2 :

- soit application du double critère “activités + taille” ;

- soit application d’une certaine importance « stratégique ».

En ce qui concerne la première situation, certains CPAS peuvent exercer certaines des activités visées. Nous songeons spécifiquement mais non exhaustivement aux activités suivantes :

-        Annexe 1 – activités hautement critiques :

• o   Énergie :
  • §  Electricité :
    • ·        Gestionnaires de réseau de distribution[37] ;
    • ·        Exploitants d’un point de recharge qui sont responsables de la gestion et de l’exploitation d’un point de recharge, lequel fournit un service de recharge aux utilisateurs finals, y compris au nom et pour le compte d’un prestataire de services de mobilité ;
  • §  Réseau de chaleur et de froid : opérateurs de réseaux de chaleur ou de réseaux de froid[38].

Les CPAS possédant des panneaux solaires reliés au réseau électrique sont concernés par l’activité de production d’électricité, même s’ils consomment principalement eux-mêmes l'électricité autoproduite. Ils entrent par conséquent dans le champ d'application de NIS2 s’ils sont considérés comme une entité de taille moyenne .

Le CCB précise que l’exploitation et la gestion d’un point de recharge dont est responsable une entité au profit des aux utilisateurs finals est une activité visée par la réglementation NIS2.

Certains pouvoirs locaux exploitent les points de recharge et pourraient donc aussi être concernés par ce point.

Ces situations sont explicitées aux points c) et d) des communes (cf. supra).

• o   Santé : Prestataires de soins de santé[39].

Si le CPAS exerce l’une des activités visées et qu’il répond au critère de taille, il sera alors visé par la loi NIS2, après enregistrement.

Si le CPAS n’exerce pas l’une des activités visées ou qu’il ne répond pas au critère de taille, il faudra alors analyser s’il ne rentre pas dans la seconde situation en étant une entité stratégique et ce, après identification par le CCB.

Le CCB indique que “pour déterminer si une organisation relève de la définition de “prestataire de soins de santé”, il convient de vérifier si des "soins de santé" sont dispensés par ces entités :

1) Les soins de santé sont définis dans cette directive comme « des services de santé fournis par des professionnels de la santé aux patients pour évaluer, maintenir ou rétablir leur état de santé, y compris la prescription, la délivrance et la fourniture de médicaments et de dispositifs médicaux ».

2) La directive définit également les "professionnels de la santé" comme « un médecin, un infirmier responsable des soins généraux, un praticien de l’art dentaire, une sage-femme ou un pharmacien au sens de la directive 2005/36/CE, ou un autre professionnel exerçant des activités dans le secteur des soins de santé qui sont limitées à une profession réglementée telle que définie à l’article 3, paragraphe 1, point a), de la directive 2005/36/CE, ou une personne considérée comme un professionnel de la santé conformément à la législation de l’État membre de traitement »

Chaque entité concernée doit donc vérifier elle-même si les activités qu'elle exerce constituent des services de santé/des soins de santé fournis par un professionnel de la santé ou si ces entités se contentent de fournir des soins.

Les soins de santé/services de santé comprennent par exemple : les soins aux personnes âgées, les soins psychiatriques et psychologiques, les hôpitaux, les centres de revalidation, les maisons de retraite, les soins résidentiels, les activités de soins infirmiers à domicile, les centres de réadaptation ambulatoire, les médecins, les infirmiers, ...

Les entités qui fournissent des soins aux personnes handicapées et l'enseignement ordinaire/spécialisé peuvent également relever de cette catégorie, si des activités liées aux soins de santé sont également fournies au sein de ces entités.

Les entités qui ne fournissent généralement pas de services de santé sont par exemple : les soins à domicile (seul le travail domestique est fourni), la garde d'enfants, les crèches, ...

Il est important que chaque organisation analyse ses propres activités dans la pratique pour vérifier si elle fournit des services de santé. Toutes les activités d'une entité doivent être prises en compte pour déterminer s'il s'agit d'une entité NIS2. Même les activités accessoires, et pas seulement l'activité principale, peuvent faire en sorte qu'une entité tombe sous NIS2. Il est également important de noter qu'une entité exerçant une activité NIS2 et remplissant le critère de taille sera soumise à la loi NIS2 dans son ensemble (pour tous ses réseaux et systèmes d'information)”[40].

“Les maisons de repos, les instituts de soins psychiatriques qui constituent des petites ou moyennes entreprises, et les centres de réadaptation entrent dans la définition d’un prestataire de soins de santé.

Elles sont donc, si elles répondent aux critères de taille et sont établies en Belgique, soit une entité essentielle, soit une entité importante au sens de la loi NIS2.

Toutefois, il a été convenu au niveau de l'UE que ces "prestataires de soins de santé" au sein de la catégorie des institutions de soins de longue durée ne sont pas les entités hautement critiques visées dans le secteur des soins de santé de la directive NIS2. Par conséquent, une approche de supervision moins stricte peut leur être appliquée”[41].

“En pratique, elles doivent toujours s'enregistrer, notifier les incidents significatifs et appliquer des mesures de cybersécurité, mais l'utilisation d'un niveau d'assurance inférieur du CyberFundamentals (CyFun®) Framework (par exemple, Basic) pour se conformer à leurs obligations sera considéré comme proportionné. Cette solution tient compte de l'impact sociétal et économique plutôt limité de leurs services de santé”[42].

Les zones de police ne sont pas visées

En effet, l’article 5, § 4, 4° de la loi NIS2 exclut de son champ d’application les services de police visés à l’article 2, 2°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux.

Les zones de secours sont bien visées

En effet, l’article 3, § 3, 3°, c de la loi NIS2 vise les zones de secours au sens de l’article 14 de la loi du 15 mai 2007 relative à la sécurité civile.

Zone d’inconnu quant aux sociétés de logement de services publics

Si initialement, nous n’avions pas identifié à l’égard des SLSP l’exercice d’activité(s) relevant des annexes 1 ou 2, il faut constater que suite à des précisions importantes apportées dans la FAQ du CCB en lien avec l’activité de production d’électricité (possession de panneaux solaires reliés au réseau électrique – situation explicitée au point c) des communes), les SLSP sont désormais susceptibles d’être concernées par NIS2.

On relèvera par ailleurs que la Société wallonne du Logement a, elle, fait l’objet d’une procédure d’identification par le CCB et est visée comme entité importante.

Les intercommunales a priori largement visées

Les intercommunales sont la catégorie de pouvoir local la plus visée. Certaines étaient déjà visées par la loi NIS1, d’autres vont l’être par NIS2 en raison de l’élargissement des activités listées aux annexes 1 et 2 (et de leur taille). Il ne paraît pas non plus impossible qu’elles soient également, un jour, visées en raison de leur importance stratégique, en fonction de la méthodologie développée par le CCB.

Quelles sont les principales obligations des entités visées ?

Elles sont de cinq ordres[43] :

-        S’enregistrer auprès du CCB[44] via leur outil www.atwork.safeonweb.be;

-        Prendre les mesures de cybersécurité adéquates : les entités doivent adopter des mesures de gestion des risques pour prévenir et atténuer les incidents de cybersécurité. Ces mesures incluent notamment la cyberhygiène et la formation à la cybersécurité, la mise en œuvre de politiques de cybersécurité, et l'utilisation de solutions d'authentification à plusieurs facteurs[45] ; le CCB recommande d’utiliser son référentiel CyFun[46] ;

-        Notifier au CCB les cyberincidents significatifs : les entités sont tenues de notifier les incidents de sécurité aux autorités compétentes ; la notification obligatoire concerne les incidents ayant un impact significatif tandis que la notification volontaire est encouragée pour les incidents de moindre importance[47] ;

-        Pour les entités essentielles, effectuer des évaluations régulières de la conformité[48] (volontaires pour les entités importantes), avec des contrôles préventifs (ex-post) voire réactifs (ex-ante) possibles, selon le statut de l’entité ;

-        Les organes de directions des entités visées doivent surveiller et avaliser la mise en place de mesures de gestion des risques et leurs membres doivent suivre une formation[49].

Autorités compétentes, sanction et supervision

La loi NIS2 désigne une autorité nationale de cybersécurité chargée de superviser la mise en œuvre des mesures de cybersécurité. En Belgique, cette autorité est le CCB. Cette autorité collabore avec des autorités sectorielles pour assurer une couverture complète des différents secteurs.

Les autorités compétentes peuvent effectuer des inspections, des contrôles à distance, et des audits pour vérifier la conformité des entités avec les exigences de la loi NIS2. Des mesures et des amendes administratives peuvent être imposées en cas de non-conformité[50].

Une stratégie nationale en matière de cybersécurité est élaborée pour définir les objectifs et les priorités à long terme. Un plan national de réaction aux crises cyber est également mis en place pour coordonner la réponse aux incidents de cybersécurité majeurs.

En Région wallonne, l’Agence du Numérique (ADN) et la CCB ont travaillé ensemble pour faire naître la Cyber Response Team wallonne (CRT) qui viendra soutenir le CSIRT national. Ce CRT « aura pour but de répondre rapidement aux incidents de cybersécurité se produisant en région wallonne » et « fournira une assistance immédiate aux autorités publiques, aux établissements d’enseignement et aux acteurs du secteur de la santé. La CRT aura deux missions principales: 

• ·        établir une communauté de pratique pour se préparer à faire face aux menaces cyber actuelles ; 
• ·        gérer les incidents et assister les organisations en Wallonie dès les premiers instants d’un incident de cybersécurité »[51].

Des zones d’ombre à éclaircir mais une certitude : la nécessité de se cyberprotéger quoi qu’il arrive

Il échet de constater qu’il subsiste des zones d’incertitude et des marges d’appréciation quant aux critères applicables. Des informations plus précises devront être fournies aux niveaux européen puis belge. Quid de l’appréciation du critère de taille appliqué aux autorités publiques ? Quid des critères de sélection pour identifier des entités publiques « stratégiques » ?

Notre association ne manquera pas de revenir avec des informations plus précises dès que possible.

Malgré ces zones d’inconnu quant à la soumission à NIS2, une certitude s’impose : la cybersécurité est importante à la fois pour protéger les données des citoyens, des entreprises, des agents mais aussi pour que soient préservées les activités du pouvoir local. Car sans système d’information, sans accès aux données, aux logiciels ou aux outils, le pouvoir local ne peut plus offrir ses services publics. La cybersécurité est donc une nécessité opérationnelle. Les cyberattaques ont des répercussions graves et importantes sur les entités touchées et les pouvoirs publics locaux n’en sont pas épargnés.

Par ailleurs, il nous revient que le niveau national puis celui régional sont a priori considérés comme davantage prioritaires que l’échelon local car les cyberattaques faites sur l’ensemble du territoire ont potentiellement un impact plus large qu’une attaque locale. Le processus d’identification (2^de situation) risque donc de d’abord viser les entités fédérales, puis fédérées puis seulement locales, de sorte que l’identification de certaines entités publiques locales « stratégiques » pourrait n’intervenir qu’à la fin de 2025 voire en 2026, ce qui laisse du temps supplémentaire pour se mettre en ordre. A titre d’information, l’identification faite dans le contexte de la loi NIS1 avait nécessité huit à dix mois mais elle concernait bien moins de secteurs.

Notre association a déjà interpellé les différents niveaux de pouvoir (européen, fédéral, régional wallon et communautaire). Elle a réclamé :

- des moyens financiers supplémentaires importants en faveur de ses membres ;

- une mise en œuvre raisonnée de ces objectifs très ambitieux ;

-  un plan de formation pour permettre de trouver du personnel qualifié en la matière ;

- une exonération des autorités publiques de certaines sanctions ;

- des clarifications quant au champ d’application personnelle ;

- une stratégie globale du secteur public wallon en matière de cybersécurité (mais aussi plus largement en matière d’egouvernement) ;

- la mise à disposition d’aides opérationnelles.

Des outils pour démarrer et quelques conseils

En attendant, le CCB propose déjà des outils sur son site internet[52] :

- L'outil de test du champ d'application NIS2[53] ;

- le guide de démarrage rapide avec NIS2[54] ;

- CyFun policy templates[55] ;

- Politique de divulgation coordonnées de menaces[56] ;

- Quick wins[57] ;

- Vidéos et webinaires[58] ;

- Etc.

Au sein des entités locales concernées, une équipe pluridisciplinaire devrait, dans la mesure du possible, rapidement être constituée et devrait idéalement regrouper à tout le moins le conseiller en sécurité de l’information (s’il existe), le délégué à la protection des données, un représentant du service IT, un représentant du service Marchés publics[59] et un membre du comité de direction.

Les pouvoirs locaux regroupent rarement toutes ces compétences et notre association relaye les difficultés connues par ses membres quant à disposer, à recruter et à garder de tels profils.

Comme pour le RGPD, les synergies entre pouvoirs locaux sont un début de réponse. D’autres solutions devront se concrétiser et notre association ne manquera pas de les réclamer aux niveaux de pouvoir concernés.

[1] Loi du 26.4.2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, M.B., 17.5.2024 ; ci-après « loi NIS2 ».

[2] Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, M.B., 24.6.2024.

[3] https://atwork.safeonweb.be/fr/frequently-asked-questions-faq-nis2-et-cyberfundamentals.

[4] L’acronyme provient des termes anglais « Network information system » ; directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, J.O.U.E., 27.12.2022.

[5] Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, J.O.U.E., 19.7.2016.

[6] Tableau issu du CCB : https://atwork.safeonweb.be/fr/nis2.

[7] Il s’agit des opérateurs de réseaux de chaleur ou de réseaux de froid au sens de l’article 2, point 19), de la directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie produite à partir de sources renouvelables

[8] Entreprises exécutant des opérations de gestion des déchets au sens de l’article 3, point 9), de la directive 2008/98/CE du Parlement européen et du Conseil du 19 novembre 2008 relative aux déchets et abrogeant certaines directives, à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas la principale activité économique.

[9] Il s’agit notamment des prestataires de soins de santé au sens de l’article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.

[10] Parmi les différents services visés, nous notons celui-ci en particulier : Fournisseurs de réseaux de communications électroniques publics.

[11] Art. 3, § 1 de la loi NIS2 ; il est intéressant ici de mentionner que les entités peuvent choisir de regarder soir leur chiffre d'affaires, soit leur bilan annuel total. Une des deux données peut dépasser le seuil d'une entreprise moyenne ou grande, sans que cela affecte le statut d'une petite entreprise (si elle a également moins de 50 travailleurs).

[12] https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX%3A32003H0361.

[13] https://op.europa.eu/fr/publication-detail/-/publication/756d9260-ee54-11ea-991b-01aa75ed71a1.

[14] https://ec.europa.eu/info/funding-tenders/opportunities/portal/sme/public/organisation-name.

[15] Pour plus d’informations, voyez : https://atwork.safeonweb.be/fr/nis2.

[16] Fixée au 18 octobre 2024 : art. 98 de la loi NIS2.

[17] Article 13, § 1^er de la loi NIS2.

[18] Art. 8, 34° de la loi.

[19] https://atwork.safeonweb.be/fr/media/780/download?inline, pp. 63 et 64.

[20] Le cadre des cyberfondamentaux du CCB est un ensemble de mesures concrètes pour protéger les données, réduire le risque de cyberattaques et accroître la cyber-résilience d'une organisation. Voir: https://atwork.safeonweb.be/fr/tools-resources/cyberfundamentals-framework [consulté le 1.7.2024]

[21] Article 11, § 3, al. 1^er de la loi NIS2.

[22] Article 11, § 4, al. 1^er de la loi NIS2.

[23] Article 13, § 1^er de la loi NIS2.

[24] Au sens de l’article 2, point 29), de la directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l'électricité et modifiant la directive 2012/27/UE.

[25] Au sens de l’article 2, point 19), de la directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie produite à partir de sources renouvelables.

[26] Au sens de l’article 2, point 6, de la directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE.

[27] Au sens de l’article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.

[28] Au sens de l’article 2, point 1) a), de la directive (UE) 2020/2184 du Parlement européen et du Conseil du 16 décembre 2020 relative à la qualité des eaux destinées à la consommation humaine, à l’exclusion des distributeurs pour lesquels la distribution d’eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d’autres produits et biens.

[29] Au sens de l’article 2, points 1), 2) et 3), de la directive 91/271/CEE du Conseil, du 21 mai 1991, relative au traitement des eaux urbaines résiduaires, à l’exclusion des entreprises pour lesquelles la collecte, l’évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale.

[30] Au sens de l’article 3, point 9), de la directive 2008/98/CE du Parlement européen et du Conseil du 19 novembre 2008 relative aux déchets et abrogeant certaines directives, à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas la principale activité économique.

[31] Au sens de l'article 2, point 1) a), de la directive (UE) 2020/2184 du Parlement européen et du Conseil du 16 décembre 2020 relative à la qualité des eaux destinées à la consommation humaine

[32] https://atwork.safeonweb.be/fr/media/780/download?inline, p. 45.

[33] Idem, pp. 32-33.

[34] Idem.

[35] Idem, p. 34.

[36] Idem., p. 38.

[37] Au sens de l’article 2, point 29), de la directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l'électricité et modifiant la directive 2012/27/UE.

[38] Au sens de l’article 2, point 19), de la directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie produite à partir de sources renouvelables.

[39] Au sens de l’article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers.

[40] Ibid., pp.39-40.

[41] Ibid., p.40.

[42] Ibid., p.40.

[43] Pour plus de détails, consultez : https://atwork.safeonweb.be/fr/nis2.

[44] Article 13 de la loi NIS2.

[45] Article 30 de la loi NIS2.

[46] https://atwork.safeonweb.be/fr/tools-resources/cyberfundamentals-framework

[47] Article 34 et s. de la loi NIS2.

[48] Article 39 de la loi NIS2.

[49] Article 30 de la loi NIS2.

[50] Toutefois, l’article 62 de la loi NIS2 exonère l’administration publique des mesures et amendes administratives.

[51] https://ccb.belgium.be/fr/actualit%C3%A9/une-cyber-response-team-crt-pour-la-wallonie.

[52]https://atwork.safeonweb.be/fr/tools-resources.  

[53] https://atwork.safeonweb.be/sites/default/files/2024-06/NIS2%20scope%20assessment.v1.0_0.xlsx.

[54] https://atwork.safeonweb.be/fr/tools-resources/guide-de-demarrage-rapide-avec-nis2.

[55] https://atwork.safeonweb.be/fr/tools-resources/policy-templates.

[56] https://atwork.safeonweb.be/fr/tools-resources/politique-de-divulgation-coordonnee-de-vulnerabilites.

[57] https://atwork.safeonweb.be/fr/tools-resources/quick-wins.

[58] https://atwork.safeonweb.be/fr/tools-resources/videos-webinars.

[59] Les documents de marchés relatifs aux contrats touchant aux systèmes d’information devront être adaptés afin d’élever les niveaux d’exigence (à l’étape de sélection qualitative et/ou dans les spécifications techniques et/ou les conditions d’exécution).