Texte 2024005260

9 JUIN 2024. - Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique

ELI
Justel
Source
Chancellerie du Premier Ministre
Publication
24-6-2024
Numéro
2024005260
Page
78183
PDF
version originale
Dossier numéro
2024-06-09/05
Entrée en vigueur / Effet
04-07-2024
Texte modifié
2019041284
belgiquelex

Chapitre 1er.- Objet et définitions

Article 1er. Le présent arrêté vise à transposer la directive européenne (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148.

Art. 2.Pour l'application du présent arrêté, les définitions visées à l'article 8 de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique sont d'application.

Pour l'application du présent arrêté, il faut entendre par :

" loi NIS2 " : la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique;

" évaluation de la conformité " : évaluation visée à l'article 2, point 12 du Règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil;

" attestation de conformité " : délivrance d'une affirmation de conformité basée sur une décision indiquant que le respect des exigences spécifiées a été démontré. Le document peut contenir le résultat d'une vérification ou certification;

" vérification " : confirmation d'une déclaration, par des preuves objectives, que les exigences spécifiées ont été satisfaites;

" déclaration " : informations déclarées par l'entité.

Chapitre 2.- Désignation des autorités compétentes

Art. 3.§ 1er. Le Centre pour la Cybersécurité Belgique, créé par l'arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique, est désigné comme autorité nationale de cybersécurité.

§ 2. Les autorités suivantes sont désignées comme autorités sectorielles :

pour le secteur de l'énergie : le ministre fédéral ayant l'Energie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le ministre peut désigner un délégué différent par sous-secteur);

pour le secteur des transports :

- en ce qui concerne le secteur du transport, à l'exception du transport par eau : le ministre fédéral compétent pour le Transport, ou par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le ministre peut désigner un délégué différent par sous-secteur);

- en ce qui concerne le transport par eau: le ministre fédéral compétent pour la Mobilité maritime, ou par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur);

pour le secteur de la santé :

- en ce qui concerne les entités exerçant des activités de recherche et de développement dans le domaine des médicaments au sens de l'article 1er, point 2, de la directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain; les entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques au sens de l'annexe I, section C, division 21 du Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 décembre 2006 établissant la nomenclature statistique des activités économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du Conseil ainsi que certains règlements (CE) relatifs à des domaines statistiques spécifiques; et les entités fabriquant des dispositifs médicaux considérés comme critiques en cas d'urgence de santé publique (liste des dispositifs médicaux critiques en cas d'urgence de santé publique) au sens de l'article 22 du règlement (UE) 2022/123 du Parlement européen et du Conseil du 25 janvier 2022 relatif à un rôle renforcé de l'Agence européenne des médicaments dans la préparation aux crises et la gestion de celles-ci en ce qui concerne les médicaments et les dispositifs médicaux : l'Agence fédérale des médicaments et des produits de santé créée par la loi du 20 juillet 2006 relative à la création et au fonctionnement de l'Agence fédérale des médicaments et des produits de santé;

- en ce qui concerne les autres types d'entités du secteur de la santé : le ministre fédéral ayant la Santé publique dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration;

pour le secteur de l'infrastructure numérique, uniquement en ce qui concerne les prestataires de services de confiance : le ministre fédéral ayant l'Economie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration;

pour le secteur des fournisseurs numériques : le ministre fédéral ayant l'Economie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration;

pour les secteurs de l'espace et de la recherche : le ministre fédéral de la Politique scientifique ou par délégation de celui-ci, un membre dirigeant du personnel de son administration;

pour le sous-secteur de la fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro, du secteur de la fabrication : l'Agence fédérale des médicaments et des produits de santé.

Chapitre 3.- Cadres de référence pour l'évaluation périodique de la conformité

Art. 4.§ 1er. L'autorité nationale de cybersécurité élabore, en concertation avec les parties prenantes concernées, maintient à jour et met à disposition du public, notamment sur son site internet, un cadre de référence reprenant les modalités pratiques d'évaluation des mesures minimales de gestion des risques en matière de cybersécurité visées à l'article 30, § 3, de la loi NIS2.

Conformément aux règles internationales en matière de schémas d'évaluation de la conformité, les parties prenantes concernées au sens de l'alinéa 1er sont au moins les autorités visées à l'article 15 de la loi NIS2, les organismes accrédités et les organisations qui utilisent le référentiel visé à l'alinéa 1er.

§ 2. Le cadre de référence contient, de manière proportionnée, au minimum les niveaux d'assurance suivants : basique, important et essentiel.

Art. 5.§ 1er. Dans le cadre de l'évaluation de la conformité visée à l'article 39 de la loi NIS2 et en tenant compte des méthodologies d'analyse des risques pertinentes, les entités essentielles choisissent un ou plusieurs cadres de référence dont le champ d'application couvre l'ensemble des réseaux et systèmes d'information de l'entité parmi les cadres de référence suivants :

le cadre de référence visé à l'article 4; ou

la norme NBN EN ISO/IEC 27001.

§ 2. Dans le cadre de l'évaluation volontaire de la conformité visée à l'article 41 de la loi NIS2, les entités importantes choisissent un cadre de référence parmi les cadres de référence visés au paragraphe 1er.

Chapitre 4.- Modalités de l'évaluation périodique de la conformité des entités essentielles

Art. 6.Dans le cadre de l'évaluation de la conformité effectuée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6 et sur base du cadre de référence visé à l'article 4, les entités essentielles obtiennent une certification au niveau essentiel du cadre de référence précité.

Art. 7.Par dérogation à l'article 6, les entités essentielles peuvent, de manière motivée, obtenir une vérification, effectuée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6, à un niveau inférieur du cadre de référence visé à l'article 4 si le résultat de leur analyse des risques visée à l'article 30, § 5, alinéa 1er, de la loi NIS2 le justifie.

L'usage de la dérogation visée à l'alinéa 1er relève de la responsabilité de l'entité essentielle et ne fait pas, en tant que tel, l'objet d'une évaluation de la part d'un organisme d'évaluation de la conformité.

Art. 8.Dans le cadre de l'évaluation de la conformité effectuée sur base du cadre de référence visé à l'article 5, § 1er, 2°, les entités essentielles obtiennent une certification au travers d'une procédure d'audits réguliers effectués par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6.

Art. 9.Quel que soit le cadre de référence choisi, les entités essentielles communiquent leur attestation de conformité ainsi que l'analyse des risques visée à l'article 30, § 5, alinéa 1er, de la loi NIS2, à l'autorité nationale de cybersécurité, de manière électronique.

A cette fin, l'autorité nationale de cybersécurité crée, maintient à jour et met à disposition des entités une plateforme sécurisée accessible par le biais d'internet.

Art. 10.Dans le cadre de l'article 39, alinéa 1er, 2°, de la loi NIS2, l'évaluation périodique de la conformité par le service d'inspection de l'autorité nationale de cybersécurité est effectuée au maximum une fois par an.

Chapitre 5.- Modalités de l'évaluation périodique volontaire de la conformité des entités importantes par un organisme d'évaluation de la conformité

Art. 11.§ 1er. Lorsque les entités importantes choisissent de réaliser une évaluation périodique de la conformité sur base du cadre de référence visé à l'article 4, elles obtiennent un avis de vérification au moins au niveau important du cadre de référence précité.

§ 2. Dans le cadre de l'évaluation périodique volontaire de la conformité visée au paragraphe 1er, les entités importantes réalisent chaque année une auto-évaluation qui est vérifiée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6.

L'organisme d'évaluation de la conformité agréé délivre à l'entité concernée un rapport de vérification portant un avis de vérification, ou non, conformément au cadre de référence visé à l'article 4.

Art. 12.Dans le cadre de l'évaluation de la conformité effectuée sur base du cadre de référence visé à l'article 5, § 1er, 2°, les entités importantes qui le désirent obtiennent une certification au travers d'une procédure d'audits réguliers effectués par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6.

Art. 13.Les entités importantes qui choisissent d'effectuer l'évaluation de la conformité visée à l'article 41 de la loi NIS2, quel que soit le cadre de référence choisi, communiquent leur attestation de conformité ainsi que l'analyse des risques visée à l'article 30, § 5, alinéa 1er, de la loi NIS2, à l'autorité nationale de cybersécurité, de la manière visée à l'article 9, alinéa 1er.

A cette fin, les entités importantes ont accès à la plateforme visée à l'article 9, alinéa 2.

Chapitre 6.- Conditions d'agrément

Art. 14.§ 1er. Sans préjudice du chapitre 8, l'autorité nationale de cybersécurité agrée les organismes d'évaluation de la conformité qui respectent les conditions d'agréation du présent chapitre :

soit dans le cadre de l'application des articles 39 et 41 de la loi NIS2,

soit dans le cadre de l'évaluation de la conformité sur base du référentiel visé à l'article 4.

§ 2. Lorsque le service d'inspection de l'autorité nationale de cybersécurité constate une violation des conditions d'agrément visées au présent chapitre, ce service d'inspection peut, au travers de la procédure visée à la section 1re du chapitre 2 du titre 4 de la loi NIS2, mettre en demeure l'organisme d'évaluation de la conformité de mettre fin à la violation, faute de quoi l'autorité nationale de cybersécurité peut suspendre ou retirer l'agrément visé au paragraphe 1er.

Art. 15.§ 1er. Pour être agréé, l'organisme d'évaluation de la conformité doit disposer au préalable d'une accréditation délivrée par un organisme national d'accréditation pour réaliser la certification et/ou la vérification en tant qu'activités d'évaluation de la conformité d'un ou plusieurs cadres de référence visés à l'article 5, § 1er, 1° et/ou 2°. L'agrément se limite aux cadres de référence pour lesquels l'organisme d'évaluation de la conformité est accrédité.

§ 2. Lorsqu'il existe un conflit d'intérêts entre l'organisme d'évaluation de la conformité ou ses agents d'exécution et une entité soumise aux obligations de la loi NIS2, l'agrément ne peut valoir pour cette entité.

Afin de détecter les situations visées à l'alinéa 1er, l'autorité nationale de cybersécurité conditionne l'octroi de l'agrément à la fourniture de toutes les informations nécessaires.

Si la situation visée à l'alinéa 1er apparaît après l'octroi de l'agrément, l'organisme d'évaluation de la conformité doit en informer dans les plus brefs délais l'autorité nationale de cybersécurité et s'abstenir de participer à l'évaluation des entités concernées.

§ 3. Les organismes d'évaluation de la conformité agréés fournissent chaque année à l'autorité nationale de cybersécurité, selon les modalités fixées par cette autorité, un rapport contenant au minimum les données suivantes en ce qui concerne les entités qui relèvent du champ d'application de la loi NIS2 :

une liste des attestations de conformité délivrées;

une liste des attestations de conformité refusées ou suspendues;

une liste des plaintes reçues et des suites données à celles-ci.

L'organisme d'évaluation de la conformité collabore à tout moment avec l'autorité nationale de cybersécurité, notamment en répondant à ses demandes d'information.

Chapitre 7.- Dispositions relatives au service d'inspection

Art. 16.§ 1er. Les membres assermentés du service d'inspection de l'autorité nationale de cybersécurité sont dotés d'une carte de légitimation dont le modèle est repris à l'annexe.

§ 2. La carte de légitimation visée au paragraphe 1er a une forme rectangle de 85,6 mm de longueur et 53,98 mm de largeur et est plastifiée.

Chapitre 8.- Organisme d'évaluation de la conformité du secteur public fédéral

Art. 17.Le Service fédéral d'audit interne, créé par l'article 3 de l'arrêté royal du 4 mai 2016 portant création du Service fédéral d'audit interne, est désigné comme organisme d'évaluation de la conformité des entités visées à l'article 1er dudit arrêté, pour le cadre de référence visé à l'article 5, § 1er, 1°.

Art. 18.L'autorité nationale de cybersécurité agrée l'autorité désignée comme organisme d'évaluation de la conformité lorsqu'elle respecte les conditions d'agrément du présent chapitre ainsi que les articles 14, § 2 et 15, § 3.

Art. 19.Pour être agréée et effectuer les évaluations périodiques de la conformité sur base du cadre de référence visé à l'article 5, § 1er, 1°, une autorité désignée comme organisme d'évaluation de la conformité doit disposer des capacités techniques pour effectuer les audits de certification et les vérifications dans le cadre de l'évaluation de la conformité.

Chapitre 9.- Rétributions relatives aux évaluations périodiques de la conformité effectuées par le service d'inspection

Art. 20.§ 1er. Une rétribution est prévue pour les prestations d'inspection choisies par l'entité essentielle dans le cadre de l'article 39, alinéa 1er, 2°, de la loi NIS2.

Cette rétribution est déterminée sur base de la durée des prestations calculées en heures, multipliée par le taux horaire visé au paragraphe 2, alinéa 2.

§ 2. La durée des prestations est fixée par la méthodologie du cadre de référence visé à l'article 5.

Le taux horaire est fixé à 150 euro.

§ 3. Les montants visés au présent article sont rattachés à l'indice des prix à la consommation de novembre 2023 et sont adaptés annuellement le 1er janvier en fonction des fluctuations de cet indice.

§ 4. Les rétributions font l'objet d'une facturation détaillée.

Les montants facturés doivent être versés au plus tard le dernier jour du mois qui suit la date de la facture. A défaut, un rappel est adressé à l'entité concernée.

En cas de non-paiement dans les deux mois suivant le rappel, une mise en demeure est adressée par recommandé à l'entité concernée.

§ 5. La rétribution visée au paragraphe 1er n'est pas applicable pour les entités faisant partie du secteur de l'administration publique visées à l'annexe I de la loi NIS2, pour autant qu'elles ne soient pas visées à l'article 1er de l'arrêté royal du 4 mai 2016 portant création du Service fédéral d'audit interne.

Chapitre 10.- Dispositions abrogatoires et finales

Art. 21.L'arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques est abrogé, à l'exception de l'article 4, de l'annexe I, point c), et de l'annexe II, point a), de l'arrêté royal précité, dont la portée est réduite à l'exécution de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.

Art. 22.§ 1er. Lorsque les entités essentielles font le choix de la certification sur base de l'un des cadres de référence visés à l'article 5, elles doivent au minimum, dans les 18 mois après l'entrée en vigueur de la loi NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2, remplir les obligations suivantes :

obtenir une vérification, effectuée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6, au niveau basique ou important du cadre de référence visé à l'article 4, selon le résultat de leur analyse des risques visée à l'article 30, § 5, alinéa 1er, de la loi NIS2 lorsque l'entité choisit le cadre de référence visé à l'article 4; ou

transmettre le champ d'application et la déclaration d'applicabilité lorsque l'entité choisit le cadre de référence visé à l'article 5, paragraphe 1, 2°.

§ 2. Lorsque les entités essentielles font le choix de la certification sur base de l'un des cadres de référence visés à l'article 5, dans les 30 mois suivant l'entrée en vigueur de la loi NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2 et selon le choix effectué conformément au § 1er, les entités essentielles :

obtiennent une certification conformément à l'article 6, sans préjudice de l'article 7; ou

obtiennent une certification conformément à l'article 8.

Art. 23.§ 1er. Lorsque les entités essentielles font le choix de la supervision par un service d'inspection visée à l'article 39, alinéa 1er, 2° de la loi NIS2 sur base de l'un des cadres de référence visés à l'article 5, elles doivent au minimum, dans les 18 mois après l'entrée en vigueur de la loi NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2, remplir les obligations suivantes :

transmettre une auto-évaluation du niveau basique ou important lorsqu'elles choisissent le cadre de référence visé à l'article 4;

transmettre la P.S.I., le champ d'application et la déclaration d'applicabilité, lorsqu'elles choisissent le cadre de référence visé à l'article 5, paragraphe 1er, 2°.

§ 2. Lorsque les entités essentielles font le choix de la supervision par un service d'inspection visée à l'article 39, alinéa 1er, 2° de la loi NIS2 sur base de l'un des cadres de référence visés à l'article 5, dans les 30 mois suivant l'entrée en vigueur de la loi NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2 et selon le choix effectué conformément au § 1er, elles transmettent une état de l'avancement de la mise en conformité.

§ 3. Quel que soit le choix effectué, les entités essentielles et les entités importantes démontrent une amélioration continue.

Art. 24.Le Premier Ministre et le Ministre qui a l'Intérieur dans ses attributions sont chargés, chacun en ce qui les concerne, de l'exécution du présent arrêté.

Annexe

Annexe à l'arrêté royal du 9 juin 2024 exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique

Annexe.

Art. N1.- Carte de légitimation

(Image non reprise pour des raisons techniques, voir M.B. du 24-06-2024, p. 78189)

Lex Iterata est un site web qui propose les textes législatifs consolidés du Moniteur Belge sous une nouvelle forme. Lex Iterata fait partie de Refli, qui vise à simplifier le calcul de salaire. Ces deux projets sont conçus par la société namuroise de développement informatique Hypered.