19 DECEMBRE 2025. - Loi relative à la résilience des entités critiques

Chapitre 1er.- Dispositions générales

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Art. 2.La présente loi transpose la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil.

Chapitre 2.- Définitions

Art. 3.Pour l'application de la présente loi et de ses arrêtés d'exécution, l'on entend par:

1°OCAM: Organe de coordination pour l'analyse de la menace institué par l'article 5 de la loi du 10 juillet 2006 relative à l'analyse de la menace;

2°autorité sectorielle: l'autorité compétente désignée dans l'annexe à la présente loi ou par le Roi, par arrêté délibéré en Conseil des ministres, ou, le cas échéant, par accord de coopération pour ce qui concerne les secteurs de l'eau potable et des eaux usées, ainsi que les sous-secteurs du transport public et du transport routier;

3°entité critique: une entité publique ou privée qui est identifiée comme appartenant à l'une des catégories énumérées en annexe, conformément au chapitre 4, section 1re;

4°résilience: la capacité d'une entité critique à prévenir tout incident, à s'en protéger, à y réagir, à y résister, à l'atténuer, à l'absorber, à s'y adapter et à s'en rétablir;

5°incident: un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d'un service essentiel, y compris lorsqu'il affecte les systèmes nationaux qui préservent l'état de droit;

6°infrastructure critique: un bien, une installation, un équipement, un réseau ou un système, ou une partie d'un bien, d'une installation, d'un équipement, d'un réseau ou d'un système, qui est nécessaire à la fourniture d'un service essentiel;

7°service essentiel: un service qui est crucial pour le maintien de fonctions sociétales ou d'activités économiques vitales, de la santé publique et de la sûreté publique, ou de l'environnement;

8°risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l'ampleur de cette perte ou de cette perturbation et la probabilité que l'incident se produise;

9°évaluation des risques: l'ensemble du processus permettant de déterminer la nature et l'étendue d'un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d'un service essentiel causée par cet incident;

10°SIC Abrogé : service d'information et de communication de l'arrondissement, tel que visé par l'article 93, § 2, alinéa 1er, 3°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;

11°entité de l'administration publique: une autorité administrative visée à l'article 14, § 1er, alinéa 1er, des lois coordonnées sur le Conseil d'Etat qui satisfait aux critères suivants:

a)elle n'a pas de caractère industriel ou commercial;

b)elle n'exerce pas à titre principal une activité relevant de l'un des autres secteurs ou sous-secteurs énumérés en annexe;

c)elle n'est pas une personne morale de droit privé;

12°loi NIS2: la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique;

13°ZEE: la zone économique exclusive belge telle que définie et délimitée par la loi du 22 avril 1999 concernant la zone économique exclusive de la Belgique en mer du Nord.

Chapitre 3.- Champ d'application

Art. 4.Cette loi s'applique également à la ZEE belge.

Art. 5.Cette loi s'applique à tous les secteurs et sous-secteurs mentionnés dans l'annexe à la présente loi.

Toutefois, cette loi ne s'applique pas aux installations nucléaires au sens de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, à l'exception des éléments d'une installation nucléaire destinée à la production industrielle d'électricité qui servent au transport de l'électricité.

Art. 6.§ 1er. Les dispositions du chapitre 4, section 2, du chapitre 5 et du chapitre 7 de la présente loi ne s'appliquent pas aux entités identifiées comme critiques dans les secteurs des banques, des infrastructures des marchés financiers et des infrastructures numériques, sauf si le Roi en décide autrement pour atteindre un niveau de résilience plus élevé de ces entités critiques.

§ 2. Lorsque des dispositions d'actes juridiques sectoriels de l'Union exigent que les entités critiques adoptent des mesures pour renforcer leur résilience, le Roi peut déterminer que ces mesures sont considérées comme équivalentes aux obligations prévues au chapitre 4, section 2, au chapitre 5 et au chapitre 7 de la présente loi. Dans ce cas, ces dispositions ne s'appliquent pas à ces secteurs ou sous-secteurs.

Art. 7.Pour le secteur des administrations publiques, cette loi ne s'applique pas:

1°aux services de renseignement et de sécurité visés à l'article 2 de la loi organique du 30 novembre 1998 des services de renseignement et de sécurité;

2°à l'Organe de coordination pour l'analyse de la menace institué par l'article 5 de la loi du 10 juillet 2006 relative à l'analyse de la menace;

3°au ministère de la Défense visé à l'article 1er de l'arrêté royal du 2 décembre 2018 déterminant la structure générale du Ministère de la Défense et fixant les attributions de certaines autorités;

4°aux services de police et à l'inspection générale visés à l'article 2, 2°, et 3°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;

5°aux autorités judiciaires, entendues comme les organes du pouvoir judiciaire, en ce compris le Ministère public, le Conseil d'Etat et la Cour Constitutionnelle;

6°au Service public fédéral Justice crée par l'arrêté royal du 23 mai 2001 portant création du Service public fédéral Justice, lorsqu'il gère des banques de données pour les autorités judiciaires visées au 5° ;

7°aux missions diplomatiques et consulaires belges dans des pays tiers à l'Union européenne;

8°au Centre de crise National, créé par l'arrêté royal du 18 avril 1988 portant création du Centre gouvernemental de Coordination et de Crise;

9°à l'autorité nationale de cybersécurité visée à l'article 16 de la loi NIS2.

En tout état de cause, le chapitre 4, section 2, et les chapitres 5 et 7 de la présente loi ne s'appliquent pas aux entités critiques identifiées conformément au chapitre 4, section 1re, de la présente loi, qui exercent des activités dans le domaine de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales, ou qui fournissent des services exclusivement aux entités de l'administration publique visées au paragraphe 1er.

Chapitre 4.- Procédure d'identification

Section 1ère.- Identification et désignation des entités critiques et des infrastructures critiques

Art. 8.§ 1er. L'autorité sectorielle établit une liste de services essentiels des secteurs et sous-secteurs énumérés en annexe. Lors de l'établissement de cette liste, l'autorité sectorielle tient compte du règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels.

§ 2. L'autorité sectorielle procède, à l'aide de la liste visée au paragraphe 1er, à une évaluation des risques au plus tard le 17 janvier 2026, et par la suite chaque fois que cela est nécessaire et au moins tous les quatre ans, en vue d'identifier les entités critiques et leurs infrastructures critiques respectives conformément à la présente section, et afin d'assister ces entités critiques à prendre des mesures en vertu de l'article 19.

L'autorité sectorielle peut procéder à une consultation préalable des entités fédérées, pour les entités critiques potentielles relevant de leurs compétences pour d'autres aspects.

§ 3. L'évaluation de risques tient compte des risques naturels et d'origine humaine pertinents, en ce compris les risques intersectoriels ou transfrontaliers, les accidents, les catastrophes naturelles, les urgences de santé publique, les menaces hybrides et les autres menaces antagonistes, notamment les infractions terroristes visées par la directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil.

§ 4. Lors de l'évaluation des risques, l'autorité sectorielle prend au moins en compte les éléments suivants, lorsque cela est pertinent pour son secteur ou sous-secteur:

1°l'évaluation des risques effectuée conformément à l'article 6, paragraphe 1, de la décision n° 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l'Union;

2°d'autres évaluations de risques pertinentes réalisées conformément aux exigences de la législation pertinente de l'Union européenne, en ce compris le règlement (UE) 2019/941 du Parlement européen et du Conseil du 5 juin sur la préparation aux risques dans le secteur de l'électricité et abrogeant la directive 2005/89/CE, le règlement (UE) 2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des mesures visant à garantir la sécurité de l'approvisionnement en gaz naturel et abrogeant le règlement (UE) n° 994/2010, et les directives 2007/60/CE du Parlement européen et du Conseil du 23 octobre 2007 relative à l'évaluation et à la gestion des risques d'inondation et 2012/18/UE du Parlement européen et du Conseil du 4 juillet 2012 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses, modifiant puis abrogeant la directive 96/82/CE du Conseil;

3°les risques pertinents découlant des dépendances entre les secteurs visés en annexe, y compris les dépendances à l'égard d'entités établies dans d'autres Etats membres de l'Union européenne et dans des pays tiers, et l'impact qu'une perturbation importante dans un secteur peut avoir sur d'autres secteurs, y compris les risques importants pour les citoyens et le marché intérieur;

4°toute information sur les incidents notifiés en vertu de l'article 20, § 1er.

Art. 9.§ 1er. Dans un délai de neuf mois à compter de l'entrée en vigueur de la présente loi, l'OCAM procède à une analyse de la menace pour les secteurs ou sous-secteurs énumérés en annexe.

Cette analyse de la menace reste valable pour un maximum de quatre ans à compter de sa réalisation, comme prévu à l'article 80. Cette analyse est renouvelée chaque fois que nécessaire et au moins une fois tous les quatre ans.

Toute analyse de la menace réalisée endéans les quatre ans sur base d'une autre législation pour les (sous-)secteurs énumérés en annexe doit être conforme aux obligations du présent article.

§ 2. L'analyse de la menace consiste en une évaluation stratégique commune telle que visée à l'article 8, alinéa 1er, 1°, de la loi du 10 juillet 2006 relative à l'analyse de la menace.

L'analyse de la menace vise tout type de menace qui relève de la compétence des services d'appui, énumérés à l'article 2, 2°, de la loi du 10 juillet 2006 susmentionnée, jugée pertinente par l'OCAM en ce qui concerne le secteur ou le sous-secteur.

§ 3. L'autorité visée à l'article 21, § 1er, les autorités sectorielles et les services d'appui de l'OCAM communiquent à l'OCAM toute information dont il a besoin pour effectuer l'analyse de la menace visée au paragraphe 1er.

§ 4. Sans préjudice de l'article 10, § 1er, de la loi du 10 juillet 2006 susmentionnée et de l'article 8 de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé, l'analyse de la menace visée au paragraphe 1er est communiquée aux autorités sectorielles afin de leur permettre d'en intégrer les conclusions dans l'analyse de risques qu'elles sont tenues d'effectuer en vertu de l'article 8.

Art. 10.§ 1er. Afin d'identifier les entités critiques et leurs infrastructures critiques respectives relevant de sa compétence, l'autorité sectorielle se concerte au préalable avec l'autorité visée à l'article 21, § 1er, et consulte les entités critiques potentielles et, le cas échéant, les représentants du secteur.

Les entités critiques potentielles sont tenues à des échanges d'informations appropriés avec l'autorité sectorielle au cours du processus d'identification.

L'autorité sectorielle peut procéder à une consultation préalable des entités fédérées pour les entités critiques potentielles relevant, pour d'autres aspects, de leurs compétences.

L'autorité sectorielle applique les critères visés à l'article 11, § 1er, afin d'effectuer une sélection parmi les entités existantes dans son secteur, et établit une liste des entités critiques potentielles ainsi identifiées.

L'importance de l'effet perturbateur d'un incident est déterminée en fonction des caractéristiques du secteur concerné, sur la base des critères visés à l'article 11, § 2.

§ 2. L'entité critique potentielle transmet à l'autorité sectorielle, dans un délai de six mois à compter de la consultation visée au paragraphe 1er, une liste motivée des infrastructures critiques qui y sont associées et qui sont nécessaires à la fourniture des services essentiels. Cette liste est validée par l'autorité sectorielle compétente, en tenant compte des critères énoncés à l'article 11, § 2.

L'autorité sectorielle se réserve le droit de modifier cette liste, en motivant sa décision.

L'entité critique est en tout temps responsable de la mise à jour de cette liste et informe l'autorité sectorielle compétente endéans les trente jours de la modification, en motivant sa décision. Toute modification doit être validée par l'autorité sectorielle. L'autorité sectorielle informe son tour cette modification à l'autorité visée à l'article 21, § 1er.

L'autorité sectorielle assure la cohérence dans son secteur ou sous-secteur en ce qui concerne l'identification des infrastructures critiques.

§ 3. Le Roi peut déterminer les conditions et les modalités concernant l'échange d'informations dans le cadre de la procédure d'identification.

§ 4. Lors du processus d'identification, l'autorité nationale de cybersécurité visée à l'article 16 de la loi NIS2 est associée aux consultations menées par les autorités sectorielles et l'autorité visée à l'article 21, § 1er, pour l'identification des entités critiques en ce qui concerne la cybersécurité des réseaux et des systèmes d'information.

Art. 11.§ 1er. Lors de l'identification des entités critiques, l'autorité sectorielle tient compte des résultats de l'évaluation des risques prévue à l'article 8 et de la stratégie nationale visée à l'article 22, et applique tous les critères suivants:

1°l'entité fournit un ou plusieurs services essentiels;

2°l'entité exerce ses activités sur le territoire belge et son infrastructure critique est située sur ledit territoire;

3°un incident aurait un effet perturbateur important sur la fourniture des services essentiels visés au 1° ou d'autres services essentiels des secteurs relevant du champ d'application de la présente loi, tels que définis en annexe.

§ 2. L'autorité sectorielle, en concertation avec l'autorité visée à l'article 21, § 1er, et, le cas échéant, après consultation des entités fédérées concernées, détermine si un incident pourrait avoir un effet perturbateur important sur la fourniture des services essentiels, en tenant compte des critères suivants:

1°l'intérêt de l'entité à maintenir un niveau adéquat de fourniture de service essentiel, en tenant compte des alternatives disponibles pour sa fourniture;

2°le nombre d'utilisateurs tributaires du service essentiel fourni par l'entité;

3°la part de marché de l'entité sur le marché de ces services;

4°la mesure dans laquelle d'autres secteurs énumérés en annexe dépendent de ce service essentiel;

5°la gravité et la durée de l'impact que les incidents peuvent avoir sur les activités économiques et sociales, l'environnement, la sûreté et la sécurité publiques et la santé publique;

6°la zone géographique susceptible d'être affectée par un incident, y compris d'éventuels impacts transfrontaliers;

7°les spécificités sectorielles ou sous-sectorielles.

Dans le dossier consolidé, visé à l'article 12, § 1er, l'autorité sectorielle étaie les critères visés à l'alinéa 1er de manière quantitative et de manière spécifique au secteur ou sous-secteur, pour autant que ces données soient disponibles. L'autorité visée à l'article 21, § 1er, peut, de manière motivée, demander des informations pertinentes à ce sujet à l'autorité sectorielle.

Art. 12.§ 1er. L'autorité sectorielle établit un dossier consolidé composé des informations suivantes:

1°une liste des entités critiques potentielles identifiées;

2°une liste des infrastructures critiques potentielles identifiées;

3°les critères utilisés tels que visés à l'article 11, § 2;

4°une justification motivée.

L'autorité sectorielle envoie le dossier consolidé pour avis à l'autorité visée à l'article 21, § 1er, et, le cas échéant, pour information aux entités fédérées concernées.

Après avoir reçu l'avis visé à l'alinéa 2, l'autorité sectorielle désigne les entités critiques et les infrastructures critiques respectives.

L'autorité sectorielle informe l'autorité visée à l'article 21, § 1, de toute modification du dossier consolidé. Chaque fois qu'il y a une modification substantielle, l'autorité visée à l'article 21, § 1er, émet un nouvel avis sur toute modification substantielle du dossier consolidé.

§ 2. Si aucune entité critique située sur le territoire belge n'a été identifiée dans un secteur ou sous-secteur, l'autorité sectorielle compétente expose, dans un courrier à l'attention de l'autorité visée à l'article 21, § 1er, les raisons qui ont conduit à cette absence d'identification.

§ 3. L'autorité sectorielle désigne les entités critiques au plus tard le 17 juillet 2026.

L'autorité sectorielle renouvelle le processus d'identification chaque fois que nécessaire et au moins une fois tous les quatre ans en ce qui concerne les entités critiques appartenant à son secteur.

Si, après la réalisation du processus d'identification, il apparaît qu'une entité critique précédemment désignée ne répond plus aux critères énoncés à l'article 11 et ne peut donc plus être désignée comme entité critique, l'autorité sectorielle compétente notifie en temps utile à cette entité qu'elle n'est plus tenue de se conformer aux obligations prévues par la présente loi.

§ 4. L'autorité visée à l'article 21, § 1er, notifie à l'autorité nationale de cybersécurité visée à l'article 16 de la loi NIS2 la liste des entités qui ont été désignées comme entités critiques dans un délai d'un mois à compter de la désignation visée au paragraphe 1er.

Cette notification comprend, le cas échéant, une déclaration indiquant qu'il s'agit d'entités couvertes par l'exception prévue à l'article 6, § 1er.

Art. 13.§ 1er. Dans un délai d'un mois à compter de la désignation visée à l'article 12, l'autorité sectorielle notifie à l'entité sa décision motivée de la désigner comme entité critique, avec son infrastructure critique.

La décision contient toutes les informations nécessaires sur les obligations à respecter par l'entité critique en vertu du chapitre 4, section 2, du chapitre 5 et du chapitre 7, ainsi que la date à partir de laquelle ces obligations leur sont applicables.

Le cas échéant, la décision indique que les entités critiques relèvent de l'exception prévue à l'article 6, § 1er.

L'autorité sectorielle fournit à l'autorité visée à l'article 21, § 1er, une copie de cette décision avec mention de la date de la notification à l'entité critique concernée.

§ 2. L'autorité visée à l'article 21, § 1er, informe de cette désignation:

1°le bourgmestre de la commune sur le territoire de laquelle se trouvent les infrastructures critiques de l'entité critique, afin de prendre des mesures externes de protection et de planification d'urgence externe;

2°le gouverneur de la province sur le territoire de laquelle l'entité critique ou son infrastructure critique se situe ou, lorsque l'entité critique se situe sur le territoire de l'agglomération bruxelloise, l'autorité compétente en vertu de l'article 48 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises, en vue de la planification d'urgence externe.

Le bourgmestre et/ou le gouverneur informent l'autorité visée à l'article 21, § 1er, en cas d'élaboration de plans d'urgence externes intégrant les informations qu'ils ont obtenues sur la base du présent paragraphe.

§ 3. Après la désignation d'une entité critique et de son infrastructure critique respective, et au moins une fois par an par la suite, l'autorité visée à l'article 21, § 1er, communique au service désigné par le Roi, la commune dans laquelle l'infrastructure critique se situe ou, le cas échéant, une liste des communes dans lesquelles les infrastructures critiques sont situées en vue de l'application de l'article 126/3 de la loi du 13 juin 2005 relative aux communications électroniques.

Section 2.- Entités critiques revêtant une importance européenne particulière

Art. 14.§ 1er. Une entité est considérée comme une entité critique revêtant une importance européenne particulière pour autant qu'elle ait été désignée comme une entité critique conformément à l'article 12, qu'elle fournisse des services essentiels à ou dans six Etats membres de l'Union européenne ou plus, et que sa désignation en tant qu'entité critique revêtant une importance européenne particulière lui ait été notifiée en vertu du paragraphe 3.

§ 2. Suite à la notification de sa désignation conformément à l'article 13, § 1er, l'entité critique doit informer l'autorité sectorielle compétente lorsqu'elle fournit des services essentiels à ou dans six Etats membres ou plus, quels sont les services essentiels qu'elle fournit à ou dans ces Etats membres, et à quels Etats membres elle fournit ces services essentiels.

L'autorité sectorielle en informe l'autorité visée à l'article 21, § 1er, sans délai, afin qu'elle puisse notifier à la Commission européenne, sans retard injustifié, l'identité de ces entités critiques.

§ 3. L'autorité sectorielle compétente, après avoir été informée par l'autorité visée à l'article 21, § 1er, notifie sans délai à l'entité concernée qu'elle est considérée comme une entité critique revêtant une importance européenne particulière. A compter de la date de réception de cette notification, les obligations supplémentaires s'appliquent à l'entité critique revêtant une importance européenne particulière.

Elle l'informe également des obligations supplémentaires qui lui incombent et de la date à partir de laquelle ces obligations sont applicables.

§ 4. Les entités critiques revêtant une importance européenne particulière donnent accès à la mission de conseil établie par la Commission européenne aux informations, systèmes et installations relatifs à la fourniture de leurs services essentiels et nécessaires à l'exécution de la mission de conseil concernée.

L'autorité sectorielle et l'entité critique concernée fournissent à la Commission européenne et aux Etats membres auxquels ou dans lesquels le service essentiel est fourni des informations sur les mesures prises à la suite de la désignation en tant qu'entité critique revêtant une importance européenne particulière.

Art. 15.Chaque fois que cela est approprié, le point de contact central, visé à l'article 21, § 1er, consulte les Etats membres de l'Union européenne sur les entités critiques aux fins d'assurer l'application cohérente des règles relatives à la résilience des entités critiques.

Le point de contact central visé à l'article 21, § 1er, est chargé de mener des discussions bilatérales et multilatérales avec les Etats membres de l'Union européenne sur des entités critiques:

1°qui ont recours à une infrastructure critique qui est physiquement connectée avec deux Etats membres ou plus;

2°qui font partie de structures d'entreprise connectées ou liées à des entités critiques dans d'autres Etats membres;

3°qui sont identifiées comme telles dans un Etat membre et fournissent des services essentiels à ou dans d'autres Etats membres.

Les consultations visées à l'alinéa 1er visent à renforcer la résilience des entités critiques et, si possible, à réduire la charge administrative pesant sur celles-ci.

Chapitre 5.- Mesures internes de la résilience de l'entité critique

Art. 16.L'entité critique désigne un point de contact de l'entité critique et transfère ses coordonnées à l'autorité sectorielle dans un délai de six mois à compter de la notification de la désignation en tant qu'entité critique, ainsi qu'après chaque modification de ces données.

Le point de contact de l'entité critique remplit la fonction de point de contact vis-à-vis de l'autorité sectorielle, de l'autorité visée à l'article 21, § 1er, du bourgmestre, du gouverneur, des forces de police, et de toute autre autorité ou tout autre service public compétent, pour toute question liée à la résilience de l'entité et de son infrastructure.

Si un point de contact de l'entité critique a déjà été désigné en vertu de dispositions nationales ou européennes, l'entité critique transfère ses coordonnées à l'autorité sectorielle.

Le point de contact de l'entité critique est disponible à tout moment.

Art. 17.§ 1er. L'entité critique procède à une évaluation de tous les risques pertinents susceptibles de perturber la fourniture de ses services essentiels, dans les neuf mois suivant la réception de la notification visée à l'article 13, § 1er, et par la suite chaque fois que cela est nécessaire, et au moins tous les quatre ans. Ce faisant, elle tient compte de l'évaluation des risques visée à l'article 8, § 2, de l'analyse de la menace effectuée par l'OCAM et visée à l'article 9 et d'autres informations pertinentes.

L'évaluation des risques de l'entité critique prend en considération les risques pertinents visés à l'article 8, § 3, qui pourraient conduire à un incident. L'évaluation des risques tient compte de la mesure dans laquelle d'autres secteurs décrits en annexe dépendent du service fourni par l'entité critique et de la mesure dans laquelle cette entité critique dépend des services essentiels fournis par d'autres entités dans d'autres secteurs, y compris, le cas échéant, dans les Etats membres voisins et les pays tiers.

§ 2. Si une entité critique a déjà effectué des évaluations de risques ou préparé des documents en vertu d'autres dispositions légales pertinentes pour son évaluation de risques, ces évaluations et documents peuvent être utilisés pour se conformer aux exigences du présent article, dans la mesure où ils concernent les risques visés à l'article 8, § 3.

Le cas échéant, l'autorité sectorielle peut certifier que les évaluations des risques existantes réalisées par une entité critique, qui porte sur les risques et le degré de dépendance visés à l'article 8, § 3, respecte, en tout ou en partie, les obligations prévues par le présente article.

Art. 18.§ 1er. L'entité critique élabore un plan de résilience de l'entité, ci-après dénommé P.R.E., en vue de prévenir, atténuer et neutraliser les risques d'interruption du fonctionnement ou de destruction de l'entité critique et d'assurer sa résilience par la mise en place de mesures techniques, de sécurité et organisationnelles internes appropriées et proportionnées.

Le P.R.E. contient des mesures de résilience appliquées en fonction des risques auxquels l'entité peut être exposée, en tenant compte de la possibilité de changements de circonstances.

Pour un secteur donné, ou, le cas échéant, par sous-secteur, le Roi peut préciser ces mesures et imposer d'inclure certaines informations dans le P.R.E.

§ 2. Le P.R.E. contient au moins:

1°une énumération des mesures de résilience, y compris les mesures nécessaires pour:

a)prévenir les incidents, en tenant compte des mesures de réduction des risques de catastrophes et des mesures d'adaptation au changement climatique;

b)assurer une protection physique adéquate des bâtiments et des infrastructures critiques, en tenant compte de l'installation de clôtures, de barrières, d'outils et de routines de surveillance des environs, d'équipements de détection et de contrôles d'accès;

c)traiter, atténuer et résister aux conséquences des incidents, en prévoyant des mesures d'urgence matérielles et organisationnelles appropriées et en tenant dûment compte de la mise en oeuvre des procédures et protocoles de gestion des risques et des crises et des routines d'alerte, ce qui peut prendre la forme d'un plan interne d'urgence;

d)pour se remettre d'un incident, en prenant en compte les mesures de continuité de l'activité et l'identification de chaînes d'approvisionnement alternatives afin de reprendre la fourniture du service essentiel;

e)assurer une gestion adéquate de la sécurité du personnel, en tenant compte de mesures telles que l'identification des catégories de personnel exerçant des fonctions critiques, en tenant également compte du personnel des prestataires de services externes, l'établissement de droits d'accès aux bâtiments, aux infrastructures critiques et aux informations sensibles, l'établissement de procédures d'enquête de sécurité visée à l'article 18 de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé et l'identification des catégories de personnes devant faire l'objet d'une telle enquête, ainsi que l'établissement d'exigences appropriées en matière de formation et de qualifications;

f)sensibiliser le personnel concerné aux mesures énumérées ci-dessus, en tenant dûment compte de la formation, du matériel d'information et des exercices;

2°l'inventaire et la localisation des infrastructures critiques visées à l'article 10, § 2;

3°l'évaluation des risques visée à l'article 17.

§ 3. Dans un délai de maximum dix mois à compter de la notification de sa désignation comme entité critique visée à l'article 13, l'entité met en oeuvre les mesures de résilience du P.R.E.

§ 4. Lorsque les entités critiques ont établi des plans et des documents en vertu du droit national ou européen qui sont pertinents pour les mesures visées au paragraphe 2, elles peuvent utiliser ces documents pour se conformer aux exigences du présent article.

Le cas échéant, l'autorité sectorielle peut certifier que des mesures existantes de renforcement de la résilience prise par une entité critique, qui portent, de manière appropriée et proportionnée, sur les mesures techniques, les mesures de sécurité et les mesures organisationnelles visées au paragraphe 1er respectent, en tout ou en partie, les obligations prévues par le présent article.

§ 5. L'entité critique organise des exercices et met à jour le P.R.E., en fonction des enseignements tirés de ces exercices.

Le Roi détermine, pour un secteur ou sous-secteur donné, la fréquence des exercices et des mises à jour du P.R.E.

Le Roi détermine, pour un secteur donné ou, le cas échéant, par sous-secteur, les modalités de la participation des services publics concernés aux exercices organisés par l'entité critique.

Art. 19.L'autorité sectorielle compétente peut initier la procédure prévue à l'article 27 de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé, afin de soumettre l'exercice d'une profession, d'une fonction, d'une mission ou d'un mandat, ou l'accès à des locaux, des bâtiments ou des terrains à un avis de sécurité.

Art. 20.§ 1er. Sans préjudice des dispositions légales ou réglementaires qui imposent, dans un secteur ou sous-secteur donné, d'informer certains services, l'entité critique est tenue, lorsque survient un événement de nature à perturber ou risquant de perturber de manière importante la fourniture de services essentiels, d'en informer dans les meilleurs délais et au plus tard dans les 24 heures, sauf en cas d'impossibilité opérationnelle, le SICAD, par un canal de communication direct et spécifiquement réservé, le service désigné par l'autorité sectorielle compétente et l'autorité visée à l'article 21, § 1er.

Cette notification contient toutes les informations disponibles nécessaires pour déterminer la nature, la cause et les conséquences éventuelles de l'incident, y compris toutes les informations disponibles nécessaires pour déterminer s'il y a des implications transfrontalières.

Le cas échéant, l'entité critique fournit un rapport détaillé sur l'incident à l'autorité sectorielle et l'autorité visée à l'article 21, § 1er, au plus tard dans un délai d'un mois.

Pour déterminer si une perturbation a un caractère important, il convient de prendre en compte les éléments suivants:

1°le nombre d'utilisateurs concernés et leur proportion;

2°la durée de l'événement;

3°la zone géographique concernée.

En cas d'effets transfrontaliers sur la fourniture de services essentiels dans d'autres Etats membres, l'entité critique en notifie l'autorité visée à l'article 21, § 1er.

§ 2. Le SICAD notifie à l'autorité visée à l'article 21, § 1er, tout événement dont il a connaissance et qui est de nature à perturber de manière importante la fourniture des services essentiels de l'entité critique et, le cas échéant, l'autorité visée à l'article 16 de la loi NIS2.

§ 3. Si l'événement est de nature à entraîner l'interruption du fonctionnement ou la destruction de l'entité critique concernée, le point de contact central en informe l'autorité sectorielle compétente et, dans le cas où l'incident a ou peut avoir un impact important sur les entités critiques et sur la continuité de la fourniture des services essentiels dans un ou plusieurs Etats membres, le point de contact central des Etats membres concernés.

Le point de contact central, qui envoie et reçoit des informations en vertu du présent paragraphe, traite ces informations de manière à en respecter la confidentialité et à préserver la sécurité et les intérêts commerciaux de l'entité critique concernée.

§ 4. Dès que possible après une notification visée au paragraphe 1er, l'autorité sectorielle compétente fournit, le cas échéant, à l'entité critique concernée des informations de suivi pertinentes, y compris des informations susceptibles d'aider cette entité critique à réagir efficacement à l'incident en question.

Le cas échéant, et lorsqu'elle estime que cela est dans l'intérêt public, l'autorité visée à l'article 21, § 1er, peut informer le public en conséquence.

Chapitre 6.- Rapports et échange d'informations

Section 1ère.- Les autorités compétentes

Art. 21.§ 1er. Le Roi désigne l'autorité qui, en tant qu'autorité nationale, est chargée du suivi et de la coordination de la mise en oeuvre de la présente loi.

L'autorité visée à l'alinéa 1er est également le Point de Contact Central National pour la résilience des entités critiques, pour l'ensemble des secteurs et sous-secteurs, pour la Belgique dans sa relation avec la Commission européenne et les Etats membres de l'Union européenne.

A cette fin, le point de contact représente la Belgique au sein du Groupe pour la résilience des entités critiques.

§ 2. L'autorité visée au paragraphe 1er coordonne et respecte les obligations d'information découlant de la directive (UE) 2022/2557 du Parlement européen et du Conseil relative à la résilience des entités critiques.

Le Roi peut préciser le rôle de coordination de l'autorité visée au paragraphe 1er en ce qui concerne la résilience des entités critiques.

§ 3. Le Roi désigne, par arrêté délibéré en Conseil des ministres, et, le cas échéant, après consultation des entités fédérées, les autorités sectorielles chargées, pour leur secteur respectif, de veiller à l'exécution des dispositions de la présente loi.

Pour les secteurs de l'eau potable et des eaux usées, ainsi que pour les soussecteurs du transport public et du transport routier, les autorités sectorielles peuvent, le cas échéant, être désignées par un accord de coopération entre l'Etat fédéral et les entités fédérées.

Le Roi peut instituer des autorités sectorielles composées de représentants de l'Etat fédéral, des Communautés et des Régions, selon les modalités prévues à l'article 92ter de la loi spéciale du 8 août 1980 de réformes institutionnelles.

Nonobstant l'alinéa 1er, cette loi désigne elle-même les autorités sectorielles établies et réglementées par la loi.

Art. 22.Le Roi désigne l'autorité chargée d'établir une stratégie nationale visant à améliorer la résilience des entités critiques. Cette stratégie est établie au plus tard le 17 janvier 2026, et au moins tous les quatre ans par la suite.

L'autorité visée à l'alinéa 1er consulte, le cas échéant, les autorités sectorielles, l'autorité nationale de cybersécurité visée à l'article 16 de la loi NIS2.

La stratégie définit des objectifs stratégiques et des mesures politiques, en s'appuyant sur des stratégies nationales et sectorielles, des plans ou des documents similaires pertinents existants, en vue d'atteindre et de maintenir un niveau élevé de résilience des entités critiques et de couvrir au moins les secteurs figurant à l'annexe.

La stratégie nationale comprend au moins:

1°des objectifs et priorités stratégiques visant à renforcer la résilience globale des entités critiques en tenant compte des aspects transfrontaliers, intersectoriels et des interdépendances;

2°un cadre de gouvernance pour atteindre les objectifs et priorités stratégiques, y compris une description des rôles et responsabilités des différentes autorités, entités critiques et autres parties impliquées dans la mise en oeuvre de la stratégie;

3°une description des mesures nécessaires pour accroître la résilience globale des entités critiques, y compris une description de l'évaluation nationale des risques;

4°une description du processus d'identification des entités critiques;

5°une description du processus de soutien aux entités critiques, y compris les mesures visant à approfondir la coopération entre le secteur public, d'une part, et le secteur privé et les entités publiques et privées, d'autre part;

6°une liste des principales autorités et parties concernées, à l'exclusion des entités critiques, qui participent à la mise en oeuvre de la stratégie;

7°un cadre politique pour la coordination entre les autorités compétentes en vertu de la présente loi et les autorités compétentes désignées conformément à la loi NIS2, aux fins de l'échange d'informations sur les risques, les menaces et les incidents liés à la cybersécurité et les risques, menaces et incidents non liés à la cybersécurité et l'exercice des fonctions de surveillance;

8°une description des mesures déjà en place pour faciliter la mise en oeuvre des obligations du chapitre 5 par les petites et moyennes entreprises au sens de l'annexe de la recommandation 2003/361/CE de la Commission, que les Etats membres ont identifiées comme des entités critiques.

L'autorité visée à l'alinéa 1er associe, le cas échéant, les entités fédérées pour les aspects relevant de l'exercice de leurs compétences, notamment ceux liés à la continuité de leurs processus vitaux, à la protection de leurs connaissances stratégiques ou sensibles et à leur processus décisionnel.

Section 2.- Echange d'informations

Art. 23.Les autorités compétentes limitent l'accès aux informations commerciales obtenues en vertu de la présente loi afin de préserver la sécurité et les intérêts commerciaux des entités critiques.

Art. 24.Le cas échéant, et lorsqu'elle le juge approprié, l'autorité visée à l'article 21, § 1er, peut prévoir de faciliter davantage le partage volontaire d'informations entre les entités critiques sur des questions liées à leur résilience.

Art. 25.L'autorité visée à l'article 21, § 1er, l'OCAM et, le cas échéant, l'autorité visée à l'article 16 de la loi NIS2 et l'autorité sectorielle s'échangent, dans le cadre de leurs compétences, toute information utile pour la prise de mesures externes de protection des entités critiques.

Art. 26.L'entité critique, le point de contact de l'entité critique, l'autorité sectorielle, l'autorité visée à l'article 21, § 1er, l'OCAM et, le cas échéant, l'autorité visée à l'article 16 de la loi NIS2 collaborent en tout temps, dans le cadre de leurs mission et compétences, par un échange adéquat d'informations concernant la résilience de l'entité critique, afin de veiller à une concordance entre les mesures internes de résilience et les mesures externes de protection.

L'autorité sectorielle, l'autorité visée à l'article 21, § 1er, et l'entité critique peuvent, le cas échéant, échanger des informations avec les entités fédérées, pour les entités critiques relevant de leur compétence.

Art. 27.Le Roi peut déterminer, pour un secteur déterminé ou, le cas échéant, par sous-secteur, les informations du P.R.E. qui peuvent être pertinentes pour l'accomplissement des missions de l'autorité visée à l'article 21, § 1er, et de l'OCAM en matière sur résilience des entités critiques, ainsi que les modalités d'accès à ces informations.

Art. 28.L'autorité visée à l'article 21, § 1er, peut communiquer à l'entité critique des informations relatives à la menace et aux mesures externes de protection qui permettent à l'entité d'appliquer ses mesures de résilience de manière appropriée et de les mettre en concordance avec les mesures externes de protection.

L'autorité visée à l'article 21, § 1er, peut transmettre une copie de ces informations à l'autorité sectorielle compétente.

Art. 29.L'autorité sectorielle, l'autorité visée à l'article 21, § 1er, l'OCAM, l'autorité visée à l'article 16 de la loi NIS2, ainsi que le bourgmestre et le gouverneur, limitent l'accès aux informations visées aux chapitres 4 et 5, aux personnes ayant besoin d'en connaître et d'y avoir accès dans l'exercice de leurs fonctions ou de leur mission, dans le contexte de la résilience des entités critiques, telle que visée dans la présente loi.

Art. 30.Sans préjudice de l'article 27, l'entité critique, le gouverneur et le bourgmestre sont tenus au secret professionnel en ce qui concerne le contenu du P.R.E. et ne peut donner accès au P.R.E. qu'aux personnes qui ont besoin d'en connaître et d'y avoir accès dans l'exercice de leurs fonctions ou de leur mission.

L'entité critique est tenue au même secret en ce qui concerne toutes les informations portées à sa connaissance en application du chapitre 4, et des articles 18, § 6, 20, 26 et 28.

Les infractions aux alinéas 1er et 2 sont punies des peines prévues à l'article 458 du Code pénal.

Art. 31.La loi du 11 avril 1994 relative à la publicité de l'administration ne s'applique pas aux informations, documents ou données, sous quelque forme que ce soit, visés à l'article 29.

Art. 32.L'autorité sectorielle veille à ce qu'au moins une personne de son personnel ayant accès aux informations relatives à la résilience des entités critiques, visées aux chapitres 4 et 5, dispose d'une habilitation de sécurité de niveau SECRET, telle que visée au chapitre II de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé. Le Roi peut, pour un secteur ou sous-secteur déterminé, et, le cas échéant, après consultation des entités fédérées, fixer d'autres règles à cet égard.

Le Roi peut, sur proposition du ministre fédéral compétent, et, le cas échéant, après consultation des entités fédérées concernées, prévoir la classification de tout ou partie du P.R.E. Ce faisant, il tient compte du fait que les personnes compétentes au sein de l'entité critique ont à tout moment accès à l'ensemble de leur P.R.E.

Chapitre 7.- Contrôle et sanctions

Section 1ère.- Inspections et audits

Art. 33.Le Roi institue un service d'inspection par secteur, ou, le cas échéant, par sous-secteur, et, le cas échéant, après consultation des entités fédérées concernées, chargé du contrôle du respect des dispositions de la présente loi et de ses arrêtés d'exécution par les entités critiques dudit secteur ou sous-secteur.

Sans préjudice de la possibilité d'imposer des sanctions conformément aux sections 2, 3 et 4, le service d'inspection peut enjoindre aux entités critiques concernées de prendre les mesures nécessaires et proportionnées pour remédier à toute violation constatée de la présente loi, dans un délai raisonnable fixé par lesdites services d'inspection. L'entité critique concernée fournit à l'inspection les informations nécessaires sur les mesures prises.

Ces injonctions tiennent compte, notamment, de la gravité de la violation.

Le Roi peut instituer des services d'inspection, selon les modalités prévues à l'article 92ter de la loi spéciale du 8 août 1980 de réformes institutionnelles.

Art. 34.§ 1er. Sans préjudice des attributions des officiers de police judiciaire visées à l'article 8 du Code d'instruction criminelle, les membres assermentés du service d'inspection sectoriel compétents disposent, dans l'exercice de leur mission de supervision, des compétences de contrôle suivantes, tant dans le cadre de démarches administratives que dans le cadre de la constatation de violations de la présente loi:

1°demander l'accès à et obtenir une copie de tout document ou toute information nécessaire à l'exercice de leur mission de supervision, y compris le P.R.E.;

2°procéder, sur place ou à distance, à tout examen, contrôle et audition;

3°requérir toutes les informations qu'ils estiment nécessaires à l'évaluation des mesures de résilience par l'entité concernée;

4°prendre l'identité des personnes qui se trouvent sur les lieux utilisés par l'entité et dont ils estiment l'audition nécessaire pour l'exercice de leur mission. A cet effet, ils peuvent exiger de ces personnes la présentation de documents officiels d'identification;

5°pénétrer sans avertissement préalable, sur présentation de leur carte de légitimation, dans tous les lieux utilisés par l'entité; ils n'ont accès aux locaux habités que moyennant autorisation préalable délivrée par le juge d'instruction.

§ 2. Pour obtenir l'autorisation de pénétrer dans des locaux habités, les membres du service d'inspection sectoriel compétents adressent une demande motivée au juge d'instruction. Cette demande contient au moins les données suivantes:

1°l'identification des espaces habités auxquels ils souhaitent avoir accès;

2°les manquements éventuels qui font l'objet du contrôle;

3°tous les documents et renseignements desquels il ressort que l'utilisation de ce moyen est nécessaire.

Le juge d'instruction décide dans un délai de quarante-huit heures maximum après réception de la demande. La décision du juge d'instruction est motivée. En l'absence de décision dans le délai prescrit, la visite des lieux est réputée être refusée.

Le service d'inspection de l'autorité sectorielle compétents peut introduire un recours contre la décision de refus ou l'absence de décision devant la chambre des mises en accusation dans les quinze jours de la notification de la décision ou de l'expiration du délai.

Les visites sans autorisation de l'occupant dans des locaux habités se font entre cinq et vingt-et-une heures par au moins deux membres du service d'inspection agissant conjointement.

§ 3. Au début de toute audition, il est communiqué à la personne interrogée:

1°que ses déclarations peuvent être utilisées comme preuve en justice;

2°qu'elle peut demander que toutes les questions qui lui sont posées et les réponses qu'elle donne soient actées dans les termes utilisés;

3°qu'elle a le droit de garder le silence et de ne pas contribuer à sa propre incrimination.

Toute personne interrogée peut utiliser les documents en sa possession, sans que cela puisse entraîner le report de l'audition. Elle peut, lors de l'audition ou ultérieurement, exiger que ces documents soient joints à l'audition.

L'audition mentionne avec précision l'heure à laquelle elle a pris cours, est éventuellement interrompue et reprise, et prend fin. Elle mentionne l'identité des personnes qui interviennent lors de l'audition ou lors d'une partie de celle-ci.

A la fin de l'audition, la personne interrogée a le droit de relire celle-ci ou de demander que lecture lui en soit faite. Elle peut demander à ce que ses déclarations soient corrigées ou complétées.

Les membres du service d'inspection sectoriel compétents qui interrogent une personne l'informent qu'elle peut demander une copie du texte de son audition. Cette copie lui est délivrée gratuitement.

§ 4. Lors de l'exécution de leurs pouvoirs de contrôle visés au présent article, les membres du service d'inspection veillent à ce que les moyens qu'ils utilisent soient appropriés et nécessaires pour ledit contrôle.

§ 5. Le Roi fixe les modalités de ce contrôle. Ces modalités définissent, notamment, les missions du service d'inspection, la fréquence des inspections, les conditions minimales à remplir par les membres de l'inspection et les points à inspecter, ou le rapportage à faire aux autorités sectorielles.

Art. 35.Le Roi fixe, pour un secteur particulier ou, le cas échéant, par sous-secteur, des règles supplémentaires concernant l'imposition et la réalisation d'audits à l'égard d'entités critiques.

Section 2.- Procédure de sanctions

Art. 36.§ 1er. Lorsqu'une ou plusieurs manquements aux dispositions de la présente loi, de ses arrêtés d'exécution ou des décisions administratives individuelles y afférentes sont constatées, le service d'inspection peut mettre en demeure l'entité critique concernée de remplir ses obligations dans un délai qu'elle fixe.

Le délai est déterminé en tenant compte des conditions d'exploitation de l'entité critique et des mesures à prendre.

§ 2. Le service d'inspection notifie, sauf exceptions dûment justifiées, préalablement l'auteur de l'infraction de manière motivée, son intention de lui adresser une mise en demeure et l'informe qu'il a le droit, dans un délai de trente jours à compter de la réception de cette information, de présenter ses moyens de défense par écrit ou de demander à être entendu. Sauf preuve contraire, l'information est réputée avoir été reçue par le contrevenant le sixième jour après son envoi par le service d'inspection.

Art. 37.Si le service d'inspection constate que l'entité critique ne se conforme pas à la mise en demeure dans le délai imparti, les faits sont constatés dans un procès-verbal rédigé par le service d'inspection. Une copie du rapport officiel est envoyée à l'autorité sectorielle compétente.

Le service d'inspection envoie l'original du procès-verbal décrivant les faits susceptibles d'entraîner une sanction pénale au procureur du Roi.

En même temps, une copie du procès-verbal est envoyée à l'auteur de l'infraction.

Les procès-verbaux font foi jusqu'à preuve du contraire pour autant qu'une copie en soit transmise à l'auteur présumé de l'infraction et, le cas échéant, à l'entité critique, dans un délai de dix jours prenant cours le lendemain du jour de la constatation de l'infraction.

Art. 38.Les violations aux disposition de cette loi ou de ses arrêtés d'exécution peuvent donner lieu soit à des sanctions pénales soit à des sanctions administratives.

Art. 39.Le procureur du Roi dispose d'un délai de deux mois à compter de la réception du procès-verbal pour informer l'autorité sectorielle que des poursuites pénales seront ou ont été engagées. Le jour de réception est réputé être le troisième jour suivant celui où la copie du procès-verbal a été remise aux services postaux, sauf preuve contraire apportée par le destinataire.

L'autorité sectorielle ne peut entamer la procédure visant à infliger une amende administrative avant l'expiration du délai susmentionné, à moins que le procureur ne notifie au préalable qu'il ne souhaite pas donner suite à l'infraction.

Si le procureur du Roi ne notifie pas sa décision dans le délai imparti ou s'il renonce aux poursuites pénales, l'autorité sectorielle peut décider d'engager la procédure administrative.

Art. 40.Par dérogation à la présente section, pour le secteur du transport maritime, en cas d'infraction à la présente loi et à ses arrêtés d'exécution, une amende administrative est imposable en application du livre 4 du Code belge de la Navigation et de la loi du 25 décembre 2016 instituant des amendes administratives applicables en cas d'infraction aux lois sur la navigation. Les montants minimum et maximum de l'amende administrative correspondent aux montants minimum et maximum respectifs prévus à la section 4.

Section 3.- Sanctions pénales

Art. 41.§ 1er. Est punie d'une peine d'emprisonnement de huit jours à un an et d'une amende de 26 euros à 10.000 euros, ou de l'une de ces peines seulement, l'entité critique qui ne respecte pas les obligations imposées par ou en vertu de la présente loi, relatives aux mesures internes de résilience prévues au chapitre 5 et à l'échange d'informations prévu au chapitre 6, section 2.

S'il est établi que l'auteur de l'infraction a déjà fait l'objet d'une décision pénale passée en force de chose jugée en vertu de la présente section, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de quinze jours à trois ans.

§ 2. Est puni d'une peine d'emprisonnement de huit jours à un mois et d'une amende de 26 euros à 10.000 euros, ou de l'une de ces peines seulement, quiconque empêche ou entrave volontairement l'exécution du contrôle effectué par les membres du service d'inspection, refuse de communiquer les informations qui lui sont demandées à l'occasion de ce contrôle, ou communique sciemment des informations inexactes ou incomplètes.

S'il est établi que l'auteur de l'infraction a déjà fait l'objet d'une décision pénale passée en force de chose jugée en vertu de la présente section, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de quinze jours à un an.

§ 3. Les dispositions du livre 1er du Code pénal, en ce compris le chapitre VII et l'article 85, sont applicables aux dites infractions.

Section 4.- Sanctions administratives

Art. 42.§ 1er. Toute violation de la présente loi, des arrêtés d'exécution ou des décisions administratives prises en vertu de la présente loi peut donner lieu à une sanction administrative.

§ 2. Le non-respect des obligations relatives à l'échange d'informations imposées en vertu de l'article 10, § 3, est puni d'une amende allant de 500 à 75.000 euros.

§ 3. Le non-respect des obligations relatives aux mesures de résilience imposées par ou en vertu du chapitre 5 de la présente loi est puni d'une amende de 500 à 100.000 euros.

§ 4. Le non-respect des obligations relatives à l'échange d'informations prévues au chapitre 6, section 2, est puni d'une amende de 500 à 100.000 euros.

§ 5. Le non-respect des obligations relatives à la conduite des inspections et des audits imposées en vertu du chapitre 7 de la présente loi est puni d'une amende de 500 à 125.000 euros.

Quiconque empêche ou gêne volontairement la réalisation de l'inspection effectuée par les membres du service d'inspection, qui refuse de communiquer les informations qui lui sont demandées à la suite de cette inspection, ou qui communique délibérément des informations erronées ou incomplètes, est puni d'une amende de 500 à 125.000 euros.

Art. 43.§ 1er. La décision d'infliger une amende administrative est motivée. Elle indique également le montant de l'amende administrative et les infractions visées.

§ 2. L'autorité sectorielle communique au préalable au contrevenant sa proposition motivée de sanction administrative et l'informe qu'il a le droit, dans un délai de trente jours à compter de la réception de la proposition, de présenter ses moyens de défense par écrit ou de demander à être entendu. Sauf preuve contraire, la proposition est réputée avoir été reçue par le contrevenant le sixième jour suivant son envoi par l'autorité sectorielle.

§ 3. Au vu des moyens de défense soulevés dans le délai visé au paragraphe 2 ou en l'absence de réponse du contrevenant dans le même délai, l'autorité sectorielle peut imposer une sanction administrative visée à l'article 42.

§ 4. L'amende administrative est proportionnelle à la gravité, à la durée, aux moyens utilisés, aux dommages causés et aux circonstances de l'infraction.

Si, dans les trois ans suivant l'infliction d'une sanction administrative définitive en vertu de la présente section, un nouveau cas d'infraction visé à l'article 42 est constaté, l'amende administrative est doublée.

§ 5. L'autorité sectorielle peut décider que la décision d'infliger une amende administrative ne sera pas exécutée, ou ne le sera que partiellement, dans la mesure où l'auteur ne s'est pas vu infliger une sanction administrative en vertu de la section 4 ou n'a pas été condamné à une sanction pénale en vertu de la section 3 au cours des cinq années qui précèdent la nouvelle infraction.

L'autorité sectorielle accorde le sursis par la même décision que celle par laquelle elle inflige l'amende. La décision accordant ou refusant le sursis doit être motivée.

Le délai d'épreuve ne peut être inférieur à un an ni supérieur trois ans, à compter de la date de la notification de la décision infligeant la sanction administrative ou à dater du jugement ou de l'arrêt coulé en force de chose jugée.

Le sursis est révoqué de plein droit en cas de nouvelle infraction commise pendant le délai d'épreuve et ayant entraîné l'application d'une sanction pénale en vertu de la section 3 ou d'une sanction administrative en vertu de la section 4.

Le sursis est révoqué par la même décision que celle par laquelle est infligée la sanction pénale ou la sanction administrative pour la nouvelle infraction commise dans le délai d'épreuve.

La sanction administrative qui devient exécutoire par suite de la révocation du sursis est cumulée sans limite avec celle infligée du chef de la nouvelle infraction.

Art. 44.La décision est notifiée au contrevenant par lettre recommandée.

Une demande de paiement de l'amende dans un délai d'un mois est jointe à la décision. Le délai d'un mois commence à courir à dater de la réception de la lettre recommandée visée à l'alinéa 1er.

Art. 45.§ 1er. Si le contrevenant ne paie pas l'amende administrative dans le délai imparti, la décision d'imposer une amende administrative est exécutoire et l'autorité sectorielle peut décerner une contrainte.

La contrainte est délivrée par l'autorité sectorielle et signée par son représentant légal ou l'agent habilité par ce dernier.

La contrainte est signifiée au contrevenant par exploit d'huissier de justice. La signification contient un ordre de payer dans les quarante-huit heures sous peine d'exécution par saisie, ainsi qu'un relevé des sommes réclamées et une copie de la déclaration constatant la force exécutoire.

§ 2. L'auteur de l'infraction peut faire opposition à la contrainte auprès du juge des saisies.

Sous peine de nullité, l'opposition est motivée. L'opposition est introduite par exploit d'huissier signifié à l'autorité sectorielle et enrôlé au greffe dans les quinze jours à compter de la signification de la contrainte payer.

Les dispositions du chapitre VIII de la première partie du Code judiciaire s'appliquent à ce délai, y compris les prolongations prévues à l'article 50, alinéa 2, et à l'article 55 de ce Code.

L'opposition à la contrainte suspend l'exécution de la contrainte, ainsi que la prescription des créances visées par la contrainte, jusqu'à ce qu'il soit statué sur son fondement. Les effets des saisies conservatoires déjà pratiquées sont maintenus sans limite de temps.

L'autorité sectorielle peut ordonner des saisies conservatoires et exécuter la contrainte en utilisant les moyens d'exécution prévus dans la cinquième partie du Code judiciaire.

Les paiements partiels effectués à la suite de la signification d'une contrainte ne font pas obstacle à la poursuite de l'action administrative.

§ 3. Les frais de signification de la contrainte ainsi que les frais de mesures conservatoires et d'exécution sont à charge du contrevenant dont l'opposition est déclarée irrecevable ou en tout ou partie non fondée.

Ces frais sont déterminés selon les règles applicables aux actes accomplis par les huissiers de justice en matière civile et commerciale.

Art. 46.L'autorité sectorielle ne peut imposer une amende administrative après l'expiration d'une période de trois ans à compter du jour où l'infraction a été commise.

Chapitre 8.- Secteur des administrations publiques

Art. 47.§ 1. Le Roi détermine pour le secteur des administrations publiques, sur proposition du ministre sectoriel compétent, les modalités d'exécution des obligations découlant au moins des dispositions suivantes de la présente loi:

1°article 8;

2°article 10, § 1er et § 4;

3°article 11;

4°article 12, § 3;

5°article 13;

6°article 14;

7°article 16;

8°article 17;

9°article 18, §§ 1 à 5;

10°article 19;

11°article 20;

12°article 33;

13°article 34;

14°article 35.

§ 2. Les sanctions administratives visées aux articles 42 à 46 ne s'appliquent pas aux entités de l'administration publique visées à l'article 3, 11° .

Chapitre 9.- Dispositions diverses

Section 1ère.- Modification de la loi du 13 juin 2005 relative aux communications électroniques

Art. 48.Dans l'article 28/3, § 2, alinéa 1er, 4°, de la loi du 13 juin 2005 relative aux communications électroniques, remplacé par la loi du 21 décembre 2021, les mots "la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Art. 49.Dans l'article 105, § 2, 2°, de la même loi, remplacé par la loi du 17 février 2022 et modifié par la loi du 26 avril 2024, les mots "exploitant d'une infrastructure critique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "entité critique au sens de la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Art. 50.Dans l'article 126/3, § 3, j), de la même loi, inséré par la loi du 20 juillet 2022, les mots "la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Section 2.- Modification de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité

Art. 51.Dans l'article 3, § 3, de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité, les mots "l'article 6, 2°, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, de l'article 3, 3°, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques et de l'article 2, alinéa 1er, 1°, de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien" sont remplacés par les mots "à l'article 3, 2°, de la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Art. 52.A l'article 6 de la même loi, les modifications suivantes sont apportées:

1°dans les paragraphes 2 et 3, les mots "articles 3, 3° et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "articles 3, 2°, et 33 de la loi du 19 décembre 2025 relative à la résilience des entités critiques";

2°dans les paragraphes 2 et 3, les mots "à l'article 7, §§ 3 et 5, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique" sont chaque fois remplacés par les mots "à l'article 15, § 2, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique";

3°dans le paragraphe 3, les mots "ou aux articles 2, alinéa 1er, 1° et 9° et 15, §§ 1 à 3, de l'arrêté royal du 2 décembre 2011 relatif aux infrastructures critiques dans le sous-secteur du transport aérien" sont abrogés ;

4°dans le paragraphe 3, les mots "aux articles 20, 21, § 1er, et 33, de la loi précitée du 7 avril 2019" sont remplacés par les mots "à l'article 30 de la loi précitée du 19 décembre 2025";

5°dans le paragraphe 3, les mots "l'article 13 de la loi du 1er juillet 2011" sont remplacés par les mots "l'article 18 de ladite loi du 19 décembre 2025";

6°dans le paragraphe 3, les mots "l'article 11 de l'arrêté royal précité du 2 décembre 2011" sont abrogés.

Art. 53.A l'article 16, § 4, de la même loi, les modifications suivantes sont apportées:

1°dans l'alinéa 1er, les mots "article 13 de la loi du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques" sont remplacés par les mots "article 18 de la loi du 19 décembre 2025 relative à la résilience des entités critiques";

2°dans l'alinéa 1er, les mots "articles 3, 3° et 24, § 2, de la loi du 1er juillet 2011 précitée" sont remplacés par les mots "articles 3, 2°, et 33 de la loi du 19 décembre 2025 précitée";

3°dans l'alinéa 1er, les mots "infrastructure critique" sont remplacés par les mots "entité critique";

4°dans l'alinéa 1er, les mots "loi du 1 juillet 2011" sont remplacés par les mots "loi du 19 décembre 2025";

5°dans l'alinéa 1er, les mots "des articles 20, 21, § 1er, et 33 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et" sont abrogés;

6°dans l'alinéa 1er, les mots "et à l'article 7, §§ 3 et 5, de la loi précitée du 7 avril 2019" sont abrogés;

7°dans l'alinéa 1er, les mots ", d'un opérateur de services essentiels ou d'un fournisseur de service numérique" sont abrogés;

8°dans l'alinéa 1er, les mots "ou de la loi précitée du 7 avril 2019" sont abrogés;

9°dans l'alinéa 2, les mots "article 11 de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien et" sont abrogés;

10°dans l'alinéa 2, les mots "au sens des articles 2, alinéa 1er, 1° et 9°, et 15, §§ 1er à 3, de l'arrêté royal précité du 2 décembre 2011" sont abrogés;

11°dans l'alinéa 2, les mot "infrastructure critique, au sens de cet arrêté royal" sont remplacés par les mots "entité critique, au sens de la loi du 19 décembre 2025 relative à la résilience des entités critiques";

12°dans l'alinéa 3, 2°, les mots "la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots: "la loi du 19 décembre 2025 relative à la résilience des entités critiques";

13°dans l'alinéa 3, 2°, les mots "et de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien" sont abrogés;

14°dans l'alinéa 3, les mots "la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et systèmes d'information d'importance vitale pour la sécurité publique" sont abrogés.

Art. 54.A l'article 17, § 3, de la même loi, les modifications suivantes sont apportées:

1°dans l'alinéa 1er, les mots "article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "article 18 de la loi du 19 décembre 2025 relative à la résilience des entités critiques";

2°dans l'alinéa 1er, les mots "articles 3, 3° et 24, § 2, de la loi du 1er juillet 2011 précitée" sont remplacés par les mots "articles 3, 2°, et 33 de la loi du 19 décembre 2025 précitée";

3°dans l'alinéa 1er, les mots "infrastructure critique" sont remplacés par les mots "entité critique";

4°dans l'alinéa 1er, les mots "loi du 1 juillet 2011" sont remplacés par les mots "loi du 19 décembre 2025";

5°dans l'alinéa 1er, les mots "et des articles 20, 21, § 1er, et 33 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique" sont abrogés;

6°dans l'alinéa 1er, les mots "et à l'article 7, §§ 3 et 5, de la loi précitée du 7 avril 2019" sont abrogés;

7°dans l'alinéa 1er, les mots ", d'un opérateur de services essentiels ou d'un fournisseur de service numérique" sont abrogés;

8°dans l'alinéa 1er, les mots "ou de la loi précitée du 7 avril 2019" sont abrogés;

9°dans l'alinéa 2, les mots "article 11 de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien et" sont abrogés;

10°dans l'alinéa 2, les mots "au sens des articles 2, alinéa 1er, 1° et 9°, et 15, §§ 1er à 3, de l'arrêté royal précité du 2 décembre 2011" sont abrogés;

11°dans l'alinéa 2, les mot "infrastructure critique, visée à l'article 2, 3° de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien" sont remplacés par les mots "entité critique, visée à l'article 3, 3°, de la loi du 19 décembre 2025 relative à la résilience des entités critiques";

12°dans l'alinéa 3, 2°, les mots ", de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique" sont abrogés;

13°dans l'alinéa 3, 2°, les mots "la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "la loi du 19 décembre 2025 relative à la résilience des entités critiques";

14°dans l'alinéa 3, 2°, les mots "et de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien" sont abrogés.

Art. 55.A l'article 36, § 1er, de la même loi, les modifications suivantes sont apportées:

1°dans le 4°, les mots "articles 3, 3°, et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, à l'article 7, §§ 3 et 5, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique" sont remplacés par les mots "articles 3, 2°, et 33, de la loi du 19 décembre 2025 relative à la résilience des entités critiques ou à l'article 15, § 2, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique";

2°dans le 4°, les mots "ou aux articles 2, alinéa 1er, 1° et 9°, et 15, §§ 1er à 3, de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien" sont abrogés;

3°dans le 4°, les mots "aux articles 7, § 3, alinéa 1er, § 5, et 42, § 1er, de la loi précitée du 7 avril 2019" sont remplacés par les mots "aux articles 15, § 2, et 24 de la loi précitée du 19 décembre 2025";

4°au 4°, les mots "l'article 24, § 1er, de la loi précitée du 1er juillet 2011 " sont remplacés par les mots "l'article 33 de la loi précitée du 19 décembre 2025".

Section 3.- Modification de la loi du 17 janvier 2003 relative au statut du régulateur du secteur belge des postes et télécommunications

Art. 56.A l'article 14 de la loi du 17 janvier 2003 relative au statut du régulateur du secteur belge des postes et télécommunications, modifiée en dernier lieu par la loi du 26 avril 2024, les modifications suivantes sont apportées:

1°au paragraphe 1er, alinéa 1er, les modifications suivantes sont apportées:

a)dans la première phrase, les mots "en ce qui concerne les secteurs des communications électroniques et des infrastructures numériques aux sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "relevant du secteur des infrastructures numériques, à l'exception des fournisseurs de services de confiance, au sens de la loi du 19 décembre 2025 relative à la résilience des entités critiques";

b)dans le 3°, le g) est remplacé par ce qui suit:

"la loi du 19 décembre 2025 relative à la résilience des entités critiques, en ce qui concerne le secteur de l'infrastructure numérique, à l'exception des fournisseurs de services de confiance";

2°le paragraphe 2, 7°, est abrogé.

Section 4.- Modifications de la loi du 22 février 1998 portant le statut organique de la Banque nationale de Belgique

Art. 57.A l'article 36/14 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, inséré par l'arrêté royal du 3 mars 2011 et modifié en dernier lieu par la loi du 26 avril 2024, les modifications suivantes sont apportées:

1°dans le 20°, les mots "l'article 19 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "l'article 26 de la loi du 19 décembre 2025 relative à la résilience des entités critiques";

2°dans le 24°, les mots "la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Art. 58.A l'article 36/49 de la même loi, inséré par la loi du 11 juillet 2021, les modifications suivantes sont apportées:

1°les mots "infrastructures critiques" sont remplacés par les mots "entités critiques";

2°les mots "loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "loi du 19 décembre 2025 relative à la résilience des entités critiques".

Section 5.- Modification de la loi du 12 avril 1965 relative au transport de produits gazeux et autres par canalisations

Art. 59.A l'article 15/2sexies, § 3, de la loi du 12 avril 1965 relative au transport de produits gazeux et autres par canalisations, inséré par la loi du 31 juillet 2017, les modifications suivantes sont apportées:

1°dans le 4°, les mots "infrastructure nationale critique" sont remplacés par les mots "entité critique";

2°dans le 4°, les mots "la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Section 6.- Modification de la loi du 29 avril 1999 relative à l'organisation du marché de l'électricité

Art. 60.A l'article 14/1, § 3, de la loi du 29 avril 1999 relative à l'organisation du marché de l'électricité, inséré par la loi du 31 juillet 2017, les modifications suivantes sont apportées:

1°dans le 4°, les mots "infrastructure nationale critique" sont remplacés par les mots "entité critique";

2°dans le 4°, les mots "la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Section 7.- Modifications du Code pénal

Art. 61.Dans l'article 546/2, § 1er, du Code pénal, inséré par la loi du 20 mai 2016, le 6° est remplacé par ce qui suit:

"6° Si une entité critique, au sens de la loi du 19 décembre 2025 sur la résilience des entités critiques, a fait l'objet d'une entrée ou d'une intrusion".

Art. 62.Dans l'article 550ter, § 1er, du Code pénal, inséré par la loi du 28 novembre 2000 et modifié par la loi du 6 juillet 2017, l'alinéa 3 est remplacé par ce qui suit:

"La même peine est appliquée lorsque l'infraction visée à l'alinéa 1er est commise à l'encontre d'un système d'information d'une entité critique telle que visée à l'article 3, 3°, de la loi du 19 décembre 2025 relative à la résilience des entités critiques."

Section 8.- Modification de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire

Art. 63.A l'article 15bis de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, inséré par la loi du 1er juillet 2011 et modifié par la loi du 15 juillet 2018, les modifications suivantes sont apportées:

1°les mots "l'article 24 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "l'article 33 de la loi du 19 décembre 2025 relative à la résilience des entités critiques";

2°les mots "désignés comme infrastructure critique en vertu de la loi du 1er juillet 2011 susmentionnée" sont remplacés par les mots "désignés comme entité critique en vertu de la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Section 9.- Modification de la loi du 10 juillet 2006 relative à l'analyse de la menace

Art. 64.L'article 6, § 1er, de la loi du 10 juillet 2006 relative à l'analyse de la menace, remplacé par la loi du 31 mai 2022, est complété par un alinéa rédigé comme suit:

"Sans préjudice des obligations prévues dans les instruments internationaux qui les lient, les services d'appui sont tenus de communiquer à l'OCAM, d'office ou à la demande de son directeur, les données à caractère personnel visées à l'article 142 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et les renseignements dont ils disposent dans le cadre de leurs missions légales et qui s'avèrent pertinents en vue d'atteindre les finalités de l'analyse de la menace visée à l'article 9, § 2, de la loi du 19 décembre 2025 relative à la résilience des entités critiques."

Section 10.- Modifications de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique

Art. 65.Dans l'article 3, § 4, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, les mots "exploitants d'une infrastructure critique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques" sont remplacés par les mots "entités critiques au sens de la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Art. 66.Dans le titre 7, chapitre 1er, de la même loi, il est inséré une section 1re, précédant l'article 75, intitulée "Disposition transitoire".

Art. 67.Dans le titre 7, chapitre 1er, section 2, de la même loi, il est inséré une section 2, comportant l'article 75/1, rédigée comme suit:

"Section 2. Disposition interprétative des articles 8 et 38 ainsi que des dispositions du titre 2

Art. 75/1. Les articles 8 et 38 ainsi que les dispositions du titre 2 sont interprétés en ce sens qu'ils sont applicables à toute personne physique ou morale présente ou établie en Belgique."

Art. 68.Dans l'article 8 de la même loi, le 43° est remplacé par ce qui suit:

"43° loi du 19 décembre 2025: la loi du 19 décembre 2025 relative à la résilience des entités critiques".

Art. 69.Dans l'article 15, § 2, alinéa 2, de la même loi, les mots "loi du 1er juillet 2011" sont remplacés par les mots "loi du 19 décembre 2025".

Art. 70.A l'article 25 de la même loi, les modifications suivantes sont apportées:

1°dans le paragraphe 2, les mots "loi du 1er juillet 2011" sont remplacés par les mots "loi du 19 décembre 2025";

2°dans le paragraphe 4, les mots "loi du 1er juillet 2011" sont remplacés par les mots "loi du 19 décembre 2025";

3°dans le paragraphe 4, les mots "exploitants d'infrastructures recensées en tant qu'infrastructures critiques en vertu de la loi du 1er juillet 2011" sont remplacés par les mots "entités critiques au sens de la loi du 19 décembre 2025".

Art. 71.Dans l'article 28, § 2, 7°, de la même loi, les mots "loi du 1er juillet 2011" sont remplacés par les mots "loi du 19 décembre 2025".

Art. 72.A l'article 37, § 5, de la même loi, les modifications suivantes sont apportées:

1°les mots "loi du 1er juillet 2011" sont remplacés par les mots "loi du 19 décembre 2025";

2°les mots "exploitants d'infrastructures identifiées comme infrastructures critique en vertu de la loi du 1er juillet 2011" sont remplacés par les mots "entités critiques au sens de la loi du 19 décembre 2025".

Art. 73.Dans l'article 40, § 1er, alinéa 2, de la même loi, les mots "exploitants d'une infrastructure critique au sens de la loi du 1er juillet 2011" sont remplacés par les mots "entités critiques au sens de la loi du 19 décembre 2025".

Art. 74.A l'article 45, § 1er, de la même loi, les modifications suivantes sont apportées:

1°les mots "qu'un exploitant d'une infrastructure identifiée comme critique en vertu de la loi du 1er juillet 2011" sont remplacés par les mots "qu'une entité critique au sens de la loi du 19 décembre 2025";

2°les mots "d'un exploitant d'une infrastructure qui est définie comme infrastructure critique en vertu de la loi du 1er juillet 2011" sont remplacé par les mots "d'une entité critique au sens de la loi du 19 décembre 2025";

3°les mots "loi du 1er juillet 2011" sont à chaque fois remplacés par les mots "loi du 19 décembre 2025".

Art. 75.Dans l'article 67, 5°, de la même loi, les mots "loi du 1er juillet 2011" sont à chaque fois remplacés par les mots "loi du 19 décembre 2025".

Art. 76.Dans l'article 68, 5°, de la même loi, les mots "loi du 1er juillet 2011" sont remplacés par les mots "loi du 19 décembre 2025".

Chapitre 10.- Dispositions finales

Art. 77.Le Roi peut, par arrêté délibéré en Conseil des ministres, et, le cas échéant, après consultation des entités fédérées concernées, rendre applicables en tout ou en partie les dispositions des chapitres 4 à 7 inclus et les arrêtés d'exécution à d'autres secteurs que ceux visés en annexe de la présente loi.

Art. 78.La loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques est abrogée.

Art. 79.§ 1er. Les entités qui ont été désignées comme exploitants d'une infrastructure critique européenne ou nationale en vertu de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques seront automatiquement considérées le 17 juillet 2026 comme des entités critiques au sens de l'article 11 de la présente loi.

La liste des infrastructures critiques telle qu'établie par la loi du 1er juillet 2011 sera conforme à l'article 11 de cette loi, sous réserve d'adaptations.

§ 2. Les entités visées au paragraphe 1er, alinéa 1er, restent tenues par les obligations énoncées aux articles 13, 13/1, 13/2, 14, 24 et 25 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques jusqu'au 17 mai 2027, telles qu'applicables à ce moment-là.

Art. 80.A l'exception des secteurs dans lesquels aucune entité critique n'avait encore été désignée avant l'entrée en vigueur de la présente loi, toutes les analyses de la menace sont réputées valables pendant une durée maximale de quatre ans, en vertu de l'article 8 et cela, même si la date à laquelle elles ont été effectuées est antérieure à l'entrée en vigueur de la présente loi.

Art. 81.A partir du 8 avril 2026, dans l'article 30, alinéa 3, de la présente loi, le mot "458" est remplacé par le mot "352".

Art. 82.A partir du 8 avril 2026, l'article 41 est remplacé comme suit:

"Art. 41. § 1er. Est punie d'une peine de niveau 1, au sens de l'article 38 du Code pénal, l'entité critique qui n' exécute pas les obligations imposées par ou en vertu de la présente loi, relatives aux mesures internes de résilience prévues au chapitre 5 et à l'échange d'informations prévu au chapitre 6, section 2.

§ 2. Est puni d'une peine de niveau 1, au sens de l'article 38 du Code pénal, quiconque empêche ou entrave intentionnellement l'exécution du contrôle effectué par les membres du service d'inspection, refuse de communiquer les informations qui lui sont demandées à l'occasion de ce contrôle, ou communique sciemment des informations inexactes ou incomplètes."

Art. 83.A partir du 8 avril 2026, le 6° de l'article 420 du Code pénal est remplacé par ce qui suit:

"6° une entité critique, au sens de la loi du 19 décembre 2025 relative à la résilience des entités critiques, a fait l'objet d'une entrée ou d'une intrusion."

Art. 84.A partir du 8 avril 2026, le 2° de l'article 532 du Code pénal est remplacé par ce qui suit:

"2° l'infraction est commise contre un système informatique d'une entité critique visée à l'article 3, 3°, de la loi du 19 décembre 2025 relative à la résilience des entités critiques;".

Art. 85.A partir du 8 avril 2026, les articles 61 et 62 de la présente loi sont abrogés.

Art. 86.La présente loi entre en vigueur le jour de sa publication au Moniteur belge.

ANNEXE

Vu pour être annexé à la loi du 19 décembre 2025 relative à la résilience des entités critiques.

PHILIPPE

Par le Roi :

Le Premier Ministre,

B. DE WEVER

Le Ministre de l'Economie et de l'Agriculture,

D. CLARINVAL

Le Ministre de la Santé publique,

F. VANDENBROUCKE

Le Ministre des Finances,

J. JAMBON

La Ministre de la Justice, chargée de la Mer du Nord,

A. VERLINDEN

Le Ministre de la Sécurité et de l'Intérieur,

B. QUINTIN

Le Ministre de la Mobilité,

J.-L. CRUCKE

La Ministre de l'Action et de la Modernisation publiques, chargée des Entreprises publiques, de la Fonction publique, de la Gestion immobilière de l'Etat, du Numérique et de la Politique scientifique,

V. MATZ

Le Ministre de l'Energie,

M. BIHET

La Ministre des Classes moyennes, des Indépendants et des P.M.E.,

E. SIMONET