← België

Loi établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique

En bref

Cette loi établit un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique. Elle vise notamment à transposer la Directive européenne (UE) 2016/1148, dite "directive NIS", concernant la sécurité des réseaux et systèmes d'information.

Ce qu'elle réglemente

Qui elle concerne

Points clés

📄 Texte de loi
7 AVRIL 2019. - Loi établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique (1) PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut. La Chambre des représentants a adopté et Nous sanctionnons ce qui suit : TITRE 1er. - Définitions et dispositions générales CHAPITRE 1er. - Objet et champ d'application Section 1re. - Objet Article 1er.La présente loi règle une matière visée à l'article 74 de la Constitution. Art. 2.La présente loi vise notamment à transposer la Directive européenne (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, ci-après dénommée la "directive NIS". Section 2. - Champ d'application Art. 3.§ 1er. La présente loi s'applique aux opérateurs de services essentiels, tels que définis à l'article 6, 11°, ayant au moins un établissement sur le territoire belge et exerçant effectivement une activité liée à la fourniture d'au moins un service essentiel sur le territoire belge. Les dispositions du titre 1er, des articles 13, 14 et 30, ainsi que du chapitre 3 du titre 4 sont applicables aux opérateurs de services essentiels potentiels. § 2. La présente loi s'applique aux fournisseurs de service numérique, tels que définis à l'article 6, 21°, dont le siège principal est situé en Belgique. Un fournisseur de service numérique est réputé avoir son siège principal en Belgique lorsque son siège social s'y trouve. La présente loi est également applicable aux fournisseurs de service numérique qui ne disposent pas d'un établissement dans l'Union européenne lorsque ceux-ci fournissent en Belgique des services visés à l'annexe II et qu'ils établissent en Belgique leur représentant pour les besoins de la directive NIS. Art. 4.§ 1er. Les exigences en matière de sécurité et de notification prévues par la présente loi ne s'appliquent pas, pour leurs activités de fourniture de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public, aux entreprises soumises aux exigences énoncées aux articles 114 et 114/1 de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques, et, pour leurs activités de services de confiance, aux prestataires de services de confiance soumis aux exigences énoncées à l'article 19 du Règlement européen (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la Directive 1999/93/CE. § 2. Lorsqu'un acte juridique sectoriel de l'Union européenne exige des opérateurs de services essentiels ou des fournisseurs de service numérique qu'ils assurent la sécurité de leurs réseaux et systèmes d'information ou qu'ils procèdent à la notification des incidents, et à condition que les exigences en question aient un effet au moins équivalent à celui des obligations prévues par la présente loi, les dispositions relatives à la sécurité des réseaux et des systèmes d'information et à la notification d'incidents de cet acte peuvent déroger aux dispositions de la présente loi. Le Roi est chargé de préciser les éventuels actes sectoriels équivalents visés à l'alinéa 1er. § 3. La présente loi n'est pas applicable aux opérateurs relevant du secteur des finances au sens de l'annexe I de la présente loi, à l'exception des dispositions du titre I, du chapitre 1er du titre II et de l'article 26. Par dérogation à l'alinéa 1er, l'article 52 est applicable aux opérateurs relevant du secteur des finances au sens de l'annexe I de la présente loi, à l'exception des opérateurs de plate-forme de négociation au sens de l'article 3, 6°, de la loi du 21 novembre 2017Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer4 relative aux infrastructures des marchés d'instruments financiers et portant transposition de la Directive 2014/65/UE. Les autorités sectorielles et les opérateurs relevant du secteur des finances au sens de l'annexe I de la présente loi sont soumis aux articles 65 à 73. Par dérogation à ce qui précède, les articles 65 à 73 ne sont pas applicables à l'autorité sectorielle concernée lorsque cette dernière agit dans les hypothèses visées à l'article 46bis de la loi du 2 août 2002Documents pertinents retrouvés type loi prom. 02/08/2002 pub. 04/09/2002 numac 2002003392 source ministere des finances Loi relative à la surveillance du secteur financier et aux services financiers fermer relative à la surveillance du secteur financier et aux services financiers ou à l'article 12quater de la loi du 22 février 1998Documents pertinents retrouvés type loi prom. 22/02/1998 pub. 28/03/1998 numac 1998003158 source ministere des finances Loi fixant le statut organique de la Banque Nationale de Belgique type loi prom. 22/02/1998 pub. 03/03/1998 numac 1998021087 source services du premier ministre Loi portant des dispositions sociales fermer fixant le statut organique de la Banque Nationale de Belgique. § 4. La présente loi n'est pas applicable lorsque et dans la mesure où des mesures pour la sécurité des réseaux et des systèmes d'information existent en vertu de la loi du 15 avril 1994Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer1 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire. Par dérogation à l'alinéa 1er, la présente loi est applicable aux éléments d'une installation nucléaire destinée à la production industrielle d'électricité et qui servent au transport de l'électricité. Art. 5.§ 1er. Sous réserve des dispositions du titre 6, la présente loi ne porte pas préjudice à l'application du Règlement UE 2016/679, ni aux dispositions légales et réglementaires qui complètent ou précisent ledit règlement. § 2. La présente loi ne porte pas préjudice à l'application de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer0 relative à la sécurité et à la protection des infrastructures critiques, des articles 259bis, 314bis, 380, 382quinquies, 383bis, 383bis/1, 433septies, 433novies/1, 458bis, 550bis et 550ter du Code pénal, ou d'autres dispositions du droit belge transposant la Directive 2011/92/UE du Parlement européen et du Conseil du 13 décembre 2011 relative à la lutte contre les abus sexuels et l'exploitation sexuelle des enfants, ainsi que la pédopornographie et remplaçant la décision-cadre 2004/68/JAI du Conseil, ainsi que la Directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du Conseil. § 3. La présente loi ne porte pas préjudice aux règles applicables au traitement des informations, documents ou données, au matériel, aux matériaux ou matières, sous quelque forme que ce soit, qui sont classifiés en application de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer relative à la classification et aux habilitations, attestations et avis de sécurité. § 4. La présente loi ne porte pas préjudice aux règles applicables aux documents nucléaires, au sens de la loi du 15 avril 1994Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer1 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire. CHAPITRE 2. - Définitions Art. 6.Pour l'application de la présente loi, il faut entendre par : 1° "CSIRT national" : le centre national de réponse aux incidents de sécurité informatique, désigné par le Roi ;2° "autorité sectorielle" : l'autorité publique désignée par la loi ou par le Roi par arrêté délibéré en Conseil des ministres ;3° "CSIRT sectoriel" : le centre sectoriel de réponse aux incidents de sécurité informatique, désigné par le Roi ;4° "autorité de contrôle des données à caractère personnel" : autorité de contrôle au sens de l'article 4, 21°, du Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ; 5° "organisme d'évaluation de la conformité" : organisme visé à l'article I.9.7° du Code de droit économique ; 6° "audit de certification" : un audit réalisé dans le cadre d'une certification visée à l'article 22, § 2 ; 7° "autorité nationale d'accréditation" : organisme créé par le Roi en exécution de l'article VIII.30 du Code de droit économique ; 8° "réseau et système d'information" : a) un réseau de communications électroniques au sens de l'article 2, 3°, de la loi du 13 juin 2005Documents pertinents retrouvés type loi prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 source service public federal economie, p.m.e., classes moyennes et energie Loi relative aux communications électroniques fermer relative aux communications électroniques ;b) tout dispositif, tout ensemble de dispositifs interconnectés ou apparentés, de manière permanente ou temporaire, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, en ce compris les composants numériques, électroniques ou mécaniques de ce dispositif permettant notamment l'automatisation du processus opérationnel, le contrôle à distance, ou l'obtention de données de fonctionnement en temps réel ;c) ou les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b), en vue de leur fonctionnement, utilisation, protection et maintenance ;9° "sécurité des réseaux et des systèmes d'information" : la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles ;10° "stratégie nationale en matière de sécurité des réseaux et des systèmes d'information" : un cadre prévoyant des objectifs et priorités stratégiques en matière de sécurité des réseaux et des systèmes d'information au niveau national ;11° "opérateur de services essentiels" : une entité publique ou privée active en Belgique dans l'un des secteurs repris à l'annexe I de la présente loi, qui répond aux critères visés à l'article 12, § 1er, et qui est désignée comme telle par l'autorité sectorielle ;12° "opérateur de services essentiels potentiel " : une entité publique ou privée active en Belgique dans l'un des secteurs repris à l'annexe I de la présente loi, mais qui n'a pas été désignée comme opérateur de services essentiels ;13° "incident" : tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information ;14° "gestion d'incident" : toutes les procédures utiles à la détection, à l'analyse et au confinement d'un incident et toutes les procédures utiles à l'intervention en cas d'incident ;15° "risque" : toute circonstance ou tout événement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d'information ;16° "critère intersectoriel" : facteur commun à tous les secteurs visés à l'annexe I de la présente loi et déterminant l'importance d'un effet perturbateur sur la fourniture d'un service essentiel au sens de l'article 12, § 1er, c) ;17° "critère sectoriel" : facteur propre à un secteur ou sous-secteur visé à l'annexe I de la présente loi et déterminant l'importance d'un effet perturbateur sur la fourniture d'un service essentiel au sens de l'article 12, § 1er, c) ; 18° "politique de sécurité des systèmes et réseaux d'information (P.S.I.)" : un document visé à l'article 21, § 1er, reprenant les mesures de sécurité des réseaux et des systèmes d'information adoptées par un opérateur de services essentiels ; 19° "point de contact pour la sécurité des systèmes et réseaux d'information" : le point de contact désigné par l'opérateur de services essentiels ou le fournisseur de service numérique et qui exerce la fonction de point de contact vis-à-vis des autorités visées à l'article 7 pour toute question liée à la sécurité des réseaux et des systèmes d'information dont sont tributaires les services essentiels fournis.20° "service numérique" : un service au sens de l'article 1er, paragraphe 1er, point b), de la directive européenne 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information et dont le type figure dans la liste de l'annexe II ;21° "fournisseur de service numérique" : une personne morale qui fournit un service numérique visé à l'annexe II de la présente loi ;22° "représentant d'un fournisseur de service numérique" : une personne physique ou morale établie en Belgique qui est expressément désignée pour agir pour le compte d'un fournisseur de service numérique non établi dans l'Union, qui peut être contactée par l'autorité nationale visée à l'article 7, § 1er, par l'autorité sectorielle ou par le service d'inspection compétent à la place du fournisseur de service numérique concernant ses obligations découlant de la présente loi ;23° "point d'échange internet (IXP)" : une structure de réseau qui permet l'interconnexion de plus de deux systèmes autonomes indépendants, essentiellement aux fins de faciliter l'échange de trafic internet;un point d'échange internet n'assure l'interconnexion que pour des systèmes autonomes; un point d'échange internet n'exige pas que le trafic internet passant entre deux systèmes autonomes participants transite par un système autonome tiers, pas plus qu'il ne modifie ou n'altère par ailleurs un tel trafic ; 24° "système de noms de domaine" ou "DNS" : un système hiérarchique et distribué d'affectation de noms dans un réseau qui résout les questions liées aux noms de domaines ;25° "fournisseur de services DNS" : une entité qui fournit des services DNS sur l'internet ;26° "registre de noms de domaine de haut niveau" : une entité qui enregistre et gère les noms de domaine internet dans un domaine de haut niveau donné ; 27° "place de marché en ligne" : un service numérique qui permet à des consommateurs au sens de l'article I.1., alinéa 1er, 2°, du Code de droit économique et/ou à des entreprises, au sens de l'article I.8, 39°, du même Code, de conclure des contrats de vente ou de service en ligne avec des entreprises, soit sur le site internet de la place de marché en ligne, soit sur le site internet d'une entreprise qui utilise les services informatiques fournis par la place de marché en ligne ; 28° "moteur de recherche en ligne" : un service numérique qui permet aux utilisateurs d'effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d'une requête lancée sur n'importe quel sujet sous la forme d'un mot clé, d'une phrase ou d'une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;29° "service d'informatique en nuage" : un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées ;30° " loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer0" : la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer0 relative à la sécurité et à la protection des infrastructures critiques ;31° " loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer" : la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer relative à la classification et aux habilitations, attestations et avis de sécurité ;32° " loi du 15 avril 1994Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer1" : la loi du 15 avril 1994Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer1 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire ;33° "Règlement UE 2016/679" : le Règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la Directive 95/46/CE (règlement général sur la protection des données). CHAPITRE 3. - Autorités compétentes et coopération au niveau national Section 1re. - Autorités compétentes Art. 7.§ 1er. Le Roi désigne l'autorité chargée, au titre d'autorité nationale, du suivi et de la coordination de la mise en oeuvre de la présente loi. L'autorité visée à l'alinéa 1er est également le point de contact national unique en matière de sécurité des réseaux et des systèmes d'information, pour l'ensemble des opérateurs de services essentiels et des fournisseurs de services numériques, pour la Belgique dans ses relations avec la Commission européenne, les Etats membres de l'Union européenne, le Groupe de coopération visé à l'article 11 de la directive NIS et le réseau des CSIRT. A cette fin, le point de contact représente la Belgique au sein du Groupe de coopération. § 2. Le Roi désigne l'autorité chargée d'assurer le rôle de CSIRT national. Le CSIRT national représente la Belgique au sein du réseau des CSIRT visé à l'article 12 de la directive NIS. Il coopère de manière effective, efficace et sécurisée aux missions du réseau des CSIRT. § 3. Le Roi désigne, par arrêté délibéré en Conseil des ministres, les autorités sectorielles chargées, pour leur secteur respectif, de veiller à la mise en oeuvre des dispositions de la présente loi. Le Roi peut créer des autorités sectorielles, composées de représentants de l'Etat fédéral, des Communautés et des Régions, conformément aux modalités prévues à l'article 92ter de la loi spéciale du 8 août 1980 de réformes institutionnelles. Par dérogation à l'alinéa 1er, la loi désigne elle-même les autorités sectorielles créés et régies par la loi. § 4. Le Roi désigne l'autorité chargée, en coopération avec l'autorité nationale visée au paragraphe 1er, de coordonner l'identification des opérateurs de services essentiels. § 5. Un service d'inspection par secteur, ou, le cas échéant, par sous-secteur, est mis en place, chargé du contrôle du respect des dispositions de la présente loi et de ses actes d'exécution par les opérateurs de services essentiels ou par les fournisseurs de service numérique. Le Roi désigne, pour un secteur déterminé ou, le cas échéant, par sous-secteur, le service d'inspection compétent pour effectuer le contrôle. Par dérogation à l'alinéa 2, la loi désigne les services d'inspection créés et régis par elle. Section 2. - Coopération au niveau national Art. 8.§ 1er. Les autorités visées à l'article 7 coopèrent étroitement aux fins du respect des obligations énoncées dans la présente loi. § 2. En fonction des besoins nécessaires à l'exécution de la loi et conformément aux dispositions légales applicables, les autorités visées au paragraphe 1er coopèrent également, au niveau national, avec les services administratifs de l'Etat, les autorités administratives, les autorités judiciaires, les services de renseignement et de sécurité visés par la loi du 30 novembre 1998Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer organique des services de renseignement et de sécurité, les services de police visés par la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux et avec les autorités de contrôle des données à caractère personnel. § 3. L'opérateur de services essentiels, le fournisseur de service numérique et les autorités visées à l'article 7 collaborent en tout temps, par un échange adéquat d'informations concernant la sécurité des systèmes et réseaux d'informations. CHAPITRE 4. - Echanges d'information Art. 9.§ 1er. Le présent article ne porte pas préjudice à l'application de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer, de la loi du 15 avril 1994Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer1, de la loi du 11 avril 1994 relative à la publicité de l'administration ou d'autres dispositions légales garantissant la confidentialité des informations liées aux intérêts essentiels de la sécurité publique nationale. Les autorités visées à l'article 7, l'opérateur de services essentiels, le fournisseur de service numérique, ou leurs sous-traitants limitent l'accès aux informations relatives à l'exécution de la présente loi aux personnes ayant besoin d'en connaître et d'y avoir accès pour l'exercice de leurs fonctions ou de leur mission en lien avec la présente loi. § 2. Les membres du personnel de l'opérateur de services essentiels, le fournisseur de service numérique, ou leurs sous-traitants sont tenus au secret professionnel en ce qui concerne les informations en rapport à l'exécution de la présente loi. Les personnes dépositaires, par état ou par profession, des secrets qu'on leur confie sont autorisés à faire connaître ces secrets pour l'exécution de la présente loi. § 3. Les informations fournies aux autorités visées à l'article 7 par les opérateurs de services essentiels et les fournisseurs de service numérique, peuvent être échangées avec des autorités de l'Union européenne, avec des autorités belges ou étrangères, lorsque cet échange est nécessaire à l'application de dispositions légales. Les informations échangées se limitent à ce qui est pertinent et sont proportionnées à l'objectif de cet échange, notamment dans le respect du Règlement UE 2016/679. Cet échange d'informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des opérateurs de services essentiels et des fournisseurs de service numérique. CHAPITRE 5. - Stratégie nationale en matière de sécurité des réseaux et des systèmes d'information Art. 10.§ 1er. Le Roi désigne, par arrêté délibéré en Conseil des ministres, l'autorité chargée de maintenir à jour la stratégie nationale existante en matière de sécurité des réseaux et des systèmes d'information. § 2. La stratégie visée au paragraphe 1er est mise à jour, après avis des autorités visées à l'article 7 et, le cas échéant, des autorités de contrôle des données à caractère personnel. Elle couvre au moins les secteurs visés à l'annexe I et les services visés à l'annexe II. Cette stratégie définit les objectifs stratégiques et réglementaires appropriées en vue de parvenir à un niveau élevé de sécurité des réseaux et des systèmes d'information et de le maintenir. § 3. La stratégie nationale en matière de sécurité des réseaux et des systèmes d'information porte, entre autres, sur les points suivants : a) les objectifs et les priorités de la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information ;b) un cadre de gouvernance permettant d'atteindre les objectifs et les priorités de la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information, prévoyant notamment les tâches et les responsabilités des organismes publics et des autres acteurs concernés ;c) l'inventaire des mesures en matière de préparation, d'intervention et de récupération, y compris la coopération entre les secteurs public et privé ;d) un aperçu des programmes d'éducation, de sensibilisation et de formation en rapport avec la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information ;e) un aperçu des plans de recherche et de développement en rapport avec la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information ;f) un plan d'évaluation des risques permettant d'identifier les risques ;g) une liste des différents acteurs concernés par la mise en oeuvre de la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information. TITRE 2. - Réseaux et systèmes d'information des opérateurs de services essentiels CHAPITRE 1er. - Identification des opérateurs de services essentiels Art. 11.§ 1er. L'autorité sectorielle identifie les opérateurs de services essentiels de son secteur, en prenant au minimum en compte les types d'opérateurs qui figurent à l'annexe I de la présente loi. Dans les limites de leurs compétences respectives, les autorités visées à l'article 7, §§ 1er et 4, se concertent avec l'autorité sectorielle pour procéder à cette identification. L'autorité sectorielle consulte, le cas échéant, les régions ou les communautés concernées, et les représentants des entités visées à l'annexe I. § 2. Après consultation de l'opérateur de services essentiels potentiel, l'autorité sectorielle lui précise le ou les services désignés comme essentiels parmi les différents services qu'il fournit. § 3. L'autorité sectorielle assure le suivi permanent du processus d'identification et de désignation des opérateurs de services essentiels et de leurs services essentiels, selon les procédures décrites au présent chapitre, ce processus étant effectué pour la première fois, au plus tard dans les six mois de l'entrée en vigueur de la présente loi. L'autorité sectorielle évalue et, le cas échéant, met à jour l'identification des opérateurs de services essentiels et de leurs services essentiels au moins tous les deux ans. Les actualisations sont adressées aux autorités visées à l'article 7, §§ 1er et 4. Art. 12.§ 1er. Pour identifier les opérateurs visés à l'article 11, l'autorité sectorielle applique les critères suivants : a) l'entité fournit un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques ;b) la fourniture de ce service est tributaire des réseaux et des systèmes d'information ;et c) un incident serait susceptible d'avoir un effet perturbateur important sur la fourniture dudit service, en tenant compte des critères et des niveaux d'incidence ou seuils visés à l'article 13. § 2. Sauf preuve contraire, la fourniture d'un service essentiel est présumée être tributaire des réseaux et systèmes d'information. Art. 13.§ 1er. Afin de déterminer l'importance de l'effet perturbateur visé à l'article 12, § 1er, c), l'autorité sectorielle établit, pour son secteur, des critères sectoriels et/ou intersectoriels, des niveaux d'incidence ou des seuils. L'effet perturbateur important est établi dès que l'opérateur de services essentiels potentiel répond soit à un seuil soit à un niveau d'incidence. Dans les limites de leurs compétences respectives, les autorités visées à l'article 7, §§ 1er et 4, se concertent avec l'autorité sectorielle pour déterminer les critères, les niveaux d'incidence et les seuils, le cas échéant, après consultation des régions ou des communautés concernées et des représentants des entités visées à l'annexe I. § 2. L'autorité sectorielle prend au moins en compte les critères intersectoriels suivants, à partir des informations disponibles : a) le nombre d'utilisateurs tributaires du service fourni par l'entité concernée ;b) la dépendance des autres secteurs visés à l'annexe I à l'égard du service fourni par cette entité ;c) les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sécurité publique ;d) la part de marché de cette entité ;e) l'ampleur de la zone géographique susceptible d'être touchée par un incident ;f) l'importance que revêt l'entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service. § 3. Après avis des autorités visées à l'article 7, consultation des régions et des communautés concernées, le Roi peut compléter ces critères intersectoriels. Art. 14.L'opérateur de services essentiels potentiel transmet à la demande d'une autorité visée à l'article 7, toutes les informations utiles quant à son éventuelle identification en tant qu'opérateur de services essentiels, en ce compris celles permettant d'objectiver la dépendance ou non de la fourniture du service essentiel aux réseaux et systèmes de l'information. Les informations pertinentes transmises par l'opérateur potentiel sont portées à la connaissance des autres autorités visées à l'article 7. Art. 15.§ 1er. L'autorité sectorielle communique aux autorités visées à l'article 7, §§ 1er et 4, une proposition motivée de liste des opérateurs de services essentiels de son secteur avec le ou les critères d'identification retenus. Lorsqu'elle n'a proposé aucun opérateur de services essentiels au sein d'un secteur ou d'un sous-secteur, l'autorité sectorielle en expose par écrit les raisons. Les autorités visées à l'article 7, §§ 1er et 4, dans les limites de leurs compétences respectives, rendent un avis sur la proposition motivée de liste, le cas échéant après consultation des régions et des communautés. § 2. Lorsque l'autorité sectorielle constate que l'entité qu'elle envisage de désigner comme opérateur de services essentiels fournit un ou des services essentiels dans au moins un autre Etat membre de l'Union européenne, elle en informe les autorités visées à l'article 7, §§ 1er et 4. Ces derniers, en collaboration avec les autorités sectorielles concernées, organisent les discussions avec la ou les autorités nationales étrangères concernées et, le cas échéant, avec les régions ou les communautés concernées. § 3. L'autorité sectorielle notifie à l'opérateur sa décision motivée de désignation en qualité d'opérateur de services essentiels. Cette notification est réalisée de manière sécurisée. Elle communique également copie de cette décision aux autorités visées à l'article 7, §§ 1er et 4. L'autorité sectorielle en informe, le cas échéant, les régions et/ou les communautés concernées. Art. 16.Dans les trois mois de sa désignation, l'opérateur de services essentiels transmet à l'autorité sectorielle un descriptif des réseaux et des systèmes d'information dont la fourniture du ou des services essentiels concernés est tributaire. L'autorité sectorielle communique ce descriptif à l'autorité visée à l'article 7, § 1er. Art. 17.Sans préjudice de l'application éventuelle de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 source service public federal interieur Loi relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé. - Coordination officieuse en langue allemande type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer, les documents administratifs liés à l'application du présent chapitre, sont considérés comme des documents administratifs liés à la sécurité de la population, à l'ordre public et la sûreté, au sens de l'article 6, § 1er, de la loi du 11 avril 1994 relative à la publicité de l'administration, qui ne peuvent être consultés, faire l'objet d'explications ou être communiqués sous forme de copie pour le public. Art. 18.§ 1er. Par dérogation à l'article 11, l'autorité sectorielle désigne les exploitants d'infrastructures critiques, telles que désignées en vertu de l'article 8 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer0 et de l'article 6 de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien, comme des opérateurs de services essentiels lorsque leur secteur est repris dans l'annexe I de la présente loi et que la fourniture des services essentiels qu'ils délivrent est tributaire des réseaux et des systèmes d'information. Cette désignation se fait en concertation avec les autorités visées à l'article 7, §§ 1er et 4, dans les limites de leurs compétences respectives. § 2. Sauf preuve contraire, l'exploitation d'une infrastructure critique est présumée être tributaire des réseaux et systèmes d'information. § 3. L'exploitant transmet à l'autorité sectorielle, à la demande de celle-ci ou des autorités visées à l'article 7, §§ 1er et 4, toutes les informations utiles quant à son éventuelle identification en tant qu'opérateur de services essentiels, en ce compris celles permettant d'objectiver sa dépendance ou non aux réseaux et systèmes de l'information. Les informations pertinentes transmises par l'exploitant sont communiquées par l'autorité sectorielle aux autorités visées à l'article 7, §§ 1er et 4. § 4. L'article 15, § 3, est applicable à la décision motivée de désignation d'un exploitant d'une infrastructure critique en qualité d'opérateur de services essentiels. Art. 19.Le Roi peut, par arrêté délibéré en Conseil des ministres, ajouter d'autres secteurs ou types d'opérateurs à l'annexe I de la présente loi. CHAPITRE 2. - Mesures de sécurité Art. 20.L'opérateur de services essentiels prend les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information dont sont tributaires ses services essentiels. Ces mesures garantissent, pour les réseaux et les systèmes d'information, un niveau de sécurité physique et logique adapté aux risques existants, compte tenu de l'état des connaissances techniques. L'opérateur prend également les mesures appropriées en vue de prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d'information utilisés pour la fourniture de ces services essentiels ou d'en limiter l'impact, en vue d'assurer la continuité de ces services. Art. 21.§ 1er. L'opérateur de services essentiels élabore une politique de sécurité de ses systèmes et réseaux d'information (ci-après dénommé "P.S.I.") reprenant au moins les objectifs et les mesures de sécurité concrètes, visés à l'article 20. § 2. L'opérateur de services essentiels élabore sa P.S.I. au plus tard dans un délai de douze mois à dater de la notification de sa désignation. Dans un délai de vingt-quatre mois au plus tard à dater de la notification de sa désignation, il met en oeuvre les mesures prévues dans sa P.S.I. Pour un secteur déterminé ou le cas échéant par sous-secteur, l'autorité sectorielle compétente peut moduler ce délai en fonction du type de mesures prévues dans la P.S.I. § 3. Après avis des autorités visées à l'article 7 et, le cas échéant, après consultation des régions ou des communautés concernées, le Roi peut imposer certaines mesures de sécurité applicables aux opérateurs de services essentiels d'un ou plusieurs secteurs. § 4. L'autorité sectorielle, en concertation avec l'autorité visée à l'article 7, § 1er, et, le cas échéant, après consultation des régions ou des communautés, peut, par décision administrative individuelle, imposer des mesures complémentaires de sécurité. § 5. Les mesures de sécurité physique et logique des réseaux et systèmes d'information contenues dans le plan de sécurité de l'exploitant (P.S.E.) visé à l'article 13 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer0 et à l'article 11 de l'arrêté royal du 2 décembre 2011 concernant les infrastructures critiques dans le sous-secteur du transport aérien sont assimilées à la P.S.I. lorsque toutes les informations visées au paragraphe 2 y sont reprises. Art. 22.§ 1er. La P.S.I. visée à l'article 21, § 1er, est, jusqu'à preuve du contraire, présumée conforme aux exigences de sécurité, visées à l'article 20, lorsque les mesures de sécurité qu'elle comporte répondent aux exigences de la norme ISO/IEC 27001 ou à une norme nationale, étrangère ou internationale reconnue équivalente par le Roi, par arrêté délibéré en Conseil des ministres. L'arrêté visé à l'alinéa 1er est pris après avis de l'autorité nationale d'accréditation, de l'autorité sectorielle et de l'autorité visée à l'article 7, § 1er. § 2. Le respect des exigences visées au paragraphe 1er est établi par un certificat délivré par un organisme d'évaluation de la conformité accrédité selon la norme ISO/IEC 17021 ou ISO/IEC 17065 par l'autorité nationale d'accréditation ou par une institution qui est co-signataire des accords de reconnaissance du "European Cooperation for Accreditation". Le certificat délivré doit relever du domaine de certification pour lequel l'organisme d'évaluation de la conformité a été accrédité et porter sur l'ensemble du contenu de la P.S.I. Art. 23.§ 1er. L'opérateur de services essentiels désigne son point de contact pour la sécurité des systèmes et réseaux d'information et en communique les données à l'autorité sectorielle compétente dans un délai de trois mois à dater de la notification de la désignation comme opérateur de services essentiels, et, sans délai, après chaque mise à jour de ces données. L'autorité sectorielle met ces données à disposition des autorités visées à l'article 7, §§ 1er, et 4. § 2. Lorsqu'il existe déjà un point de contact pour la sécurité en vertu de dispositions nationales ou internationales applicables dans un secteur ou un sous-secteur, l'opérateur de services essentiels en communique les coordonnées à l'autorité sectorielle dans les délais visés au paragraphe 1er. § 3. Le point de contact pour la sécurité des systèmes et réseaux d'information visé au paragraphe 1er est disponible à tout moment. CHAPITRE 3. - Notification d'incidents Art. 24.§ 1er. L'opérateur de services essentiels notifie, sans retard, tous les incidents ayant un impact significatif sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit. § 2. Après avis du CSIRT national, de l'autorité visée à l'article 7, § 4, de l'autorité sectorielle et, le cas échéant, des régions ou des communautés concernées, le Roi peut établir des niveaux d'incidence et/ou des seuils, par secteur ou sous-secteur, constituant au minimum un impact significatif au sens du § 1er. § 3. En l'absence de niveaux d'incidence et/ou de seuils visés au paragraphe 2, l'opérateur notifie tous les incidents ayant un impact sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit. § 4. Le Roi peut créer différentes catégories de notification en fonction du degré d'impact de l'incident. Art. 25.La notification visée à l'article 24 est faite simultanément au CSIRT national, à l'autorité sectorielle ou à son CSIRT sectoriel, et à l'autorité visée à l'article 7, § 4. L'obligation de notification s'applique même si l'opérateur de services essentiels ne dispose que d'une partie des informations pertinentes pour évaluer le caractère significatif de l'impact de l'incident. Art. 26.§ 1er. Le présent chapitre s'applique aux opérateurs de plate-forme de négociation au sens de l'article 3, 6°, de la loi du 21 novembre 2017Documents pertinents retrouvés type loi prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 source ministere de la defense nationale Loi organique des services de renseignement et de sécurité fermer4 relative aux infrastructures des marchés d'instruments financiers et portant transposition de la Directive 2014/65/UE. § 2. Les opérateurs relevant du secteur des finances au sens de l'annexe I de la loi, à l'exception des opérateurs de plate-forme de négociation, notifient à la Banque nationale de Belgique (BNB), sans retard, tous les incidents ayant un impact significatif sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'ils fournissent. La Banque nationale de Belgique détermine l'impact significatif visé par cet alinéa. La BNB transmet alors la notification, sans retard, au CSIRT national et à l'autorité visée à l'article 7, § 4. Art. 27.L'entreprise qui fournit un service numérique à un opérateur de services essentiels et qui est soumise à la présente loi lui notifie, sans retard, tous les incidents ayant un impact significatif, au sens de l'article 24, sur la continuité des services essentiels de ce dernier. L'opérateur de services essentiels notifie ensuite cet incident, selon les procédures décrites au présent chapitre. Art. 28.§ 1er. Lorsqu'un opérateur de services essentiels est touché par un incident ayant un impact significatif au sens de l'article 24, ce dernier est obligé de gérer l'incident et de prendre les mesures réactives afin de le résoudre. La gestion de l'incident demeure de la responsabilité de l'opérateur de services essentiels. § 2. L'opérateur de services essentiels examine les incidents ou évènements suspects qui lui sont notifiés par le CSIRT national, l'autorité sectorielle ou l'autorité visée à l'article 7, § 4. Art. 29.Sur la base des informations fournies dans la notification de l'opérateur de services essentiels, le CSIRT national signale aux autres Etats membres de l'Union européenne touchés, si l'incident a un impact significatif sur la continuité des services essentiels dans ces Etats membres. Ce faisant, le CSIRT national préserve, dans le respect du droit de l'Union ou de la législation nationale conforme au droit de l'Union, la sécurité et les intérêts commerciaux de l'opérateur de services essentiels ainsi que la confidentialité des informations communiquées dans sa notification. Le CSIRT national transmet les notifications visées à l'alinéa 1er aux points de contact uniques des autres Etats membres touchés. Art. 30.§ 1er. Les opérateurs de services essentiels potentiels peuvent notifier, à titre volontaire, les incidents ayant un impact significatif sur la continuité des services qu'elles fournissent. Une notification volontaire n'a pas pour effet d'imposer à l'entité qui est à l'origine de la notification des obligations auxquelles elle n'aurait pas été soumise si elle n'avait pas procédé à ladite notification. § 2. Lors du traitement des notifications, le CSIRT national, l'autorité sectorielle ou son CSIRT sectoriel, et l'autorité visée à l'article 7, § 4, peuvent donner la priorité aux notifications obligatoires imposées par la présente loi par rapport aux notifications volontaires. Les notifications volontaires ne sont traitées que lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile à charge du CSIRT national, de l'autorité sectorielle ou de son CSIRT sectoriel, et de l'autorité visée à l'article 7, § 4. Art. 31.§ 1er. Le Roi est chargé de déterminer les modalités de notification et de rapportage des incidents, et de créer une plate-forme sécurisée de notification. Cette plate-forme peut permettre également aux opérateurs de services essentiels de notifier aux autorités de contrôle les violations de données à caractère personnel, comme imposé par l'article 33, alinéa 1er, du Règlement UE 2016/679. § 2. Après avoir consulté l'opérateur qui est à l'origine de la notification et l'autorité sectorielle compétente, le CSIRT national peut informer le public concernant des incidents particuliers, lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou gérer un incident en cours. Cette information concerne uniquement des informations générales sur l'incident. TITRE 3. - Réseaux et systèmes d'information des fournisseurs de service numérique CHAPITRE 1er. - Champ d'application Art. 32.Le présent titre ne s'applique pas aux micro et petites entreprises telles qu'elles sont définies dans la recommandation de la Commission européenne du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises (2003/361/CE). CHAPITRE 2. - Les exigences de sécurité Art. 33.§ 1er. Les fournisseurs de service numérique identifient les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent pour offrir, dans l'Union, les services visés à l'annexe II et prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour les gérer. Ces mesures garantissent, compte tenu de l'état des connaissances techniques, un niveau de sécurité des réseaux et des systèmes d'information adapté au risque existant et prennent en considération les éléments suivants : a) la sécurité des systèmes et des installations ;b) la gestion des incidents ;c) la gestion de la continuité des activités ;d) le suivi, l'audit et le contrôle ;e) le respect des normes internationales. § 2. Les fournisseurs de service numérique prennent également des mesures pour éviter les incidents portant atteinte à la sécurité de leurs réseaux et systèmes d'information, et réduire au minimum l'impact de ces incidents sur les services visés à l'annexe II de la présente loi qui sont offerts dans l'Union européenne, de manière à garantir la continuité de ces services. Art. 34.Les fournisseurs de service numérique renseignent un point de contact pour la sécurité informatique et en communiquent les données à l'autorité sectorielle compétente pour les fournisseurs de services numériques, ainsi qu'après chaque mise à jour de ces données. L'autorité sectorielle communique ces informations à l'autorité nationale visée à l'article 7, § 1er. CHAPITRE 3. - Notification d'incidents Art. 35.§ 1er. Les fournisseurs de service numérique notifient, sans retard, tout incident ayant un impact significatif sur la fourniture d'un service visé à l'annexe II qu'ils offrent dans l'Union européenne. La notification est faite simultanément au CSIRT national, à l'autorité sectorielle ou à son CSIRT sectoriel et à l'autorité visée à l'article 7, § 4, via la plate-forme de notification visée à l'article 31. § 2. La notification se fait conformément aux règlements d'exécution de la Commission européenne, dont celui du 30 janvier 2018 2018/151 portant modalités d'application de la Directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif. Les notifications contiennent les informations permettant d'évaluer l'ampleur de l'éventuel impact au niveau transfrontalier. Cette notification n'accroît pas la responsabilité de la partie qui en est à l'origine. § 3. L'obligation de notifier un incident ne s'applique que lorsque le fournisseur de service numérique a accès aux informations nécessaires pour évaluer, complètement ou partiellement, l'impact de l'incident. Art. 36.§ 1er. Cette notification est réalisée conformément aux modalités prévues par le Roi et via la plate-forme visée à l'article 31. § 2. La plate-forme visée à l'article 31 peut permettre également aux fournisseurs de service numérique de notifier aux autorités de contrôle les violations de données à caractère personnel, comme imposé par l'article 33, alinéa 1er, du Règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Art. 37.§ 1er. Le cas échéant, et notamment si l'incident visé à l'article 35, paragraphe 1er concerne au moins un autre Etat membre de l'Union européenne, le CSIRT national informe le ou les autres Etats membres touchés. Ce faisant, le CSIRT national doit, dans le respect du droit national et de l'Union, préserver la sécurité et les intérêts commerciaux du fournisseur de service numérique ainsi que la confidentialité des informations communiquées. § 2. Après avoir consulté le fournisseur de service numérique concerné, l'autorité sectorielle et, le cas échéant, les autorités ou les CSIRT des autres Etats membres de l'Union européenne concernés, le CSIRT national peut informer le public d'incidents particuliers ou imposer au fournisseur de service numérique de le faire. Cette information peut notamment s'avérer nécessaire lorsque la sensibilisation du public permettrait de prévenir un incident ou de gérer un incident en cours ou lorsque la divulgation de l'incident est dans l'intérêt public à d'autres égards. TITRE 4. - Contrôle et sanctions CHAPITRE 1er. - Les contrôles des opérateurs de services essentiels Section 1re. - Audits Art. 38.§ 1er. L'opérateur de services essentiels réalise, chaque année et à ses frais, un audit interne des réseaux et systèmes d'information dont sont tributaires les services essentiels qu'il fournit. Cet audit interne doit permettre à l'opérateur de services essentiels de s'assurer que les mesures et les processus définis dans sa P.S.I. sont bien appliqués et font l'objet de contrôles réguliers. L'opérateur de services essentiels transmet les rapports d'audit interne, dans les trente jours, à l'autorité sectorielle. § 2. L'opérateur de services essentiels fait réaliser, au moins tous les trois ans et à ses frais, un audit externe réalisé par un organisme d'évaluation de la conformité accrédité par l'autorité nationale d'accréditation, ou par une institution qui est co-signataire des accords de reconnaissance du "European Cooperation for Accreditation". L'opérateur de services essentiels transmet les rapports d'audit externe, dans les trente jours, à l'autorité sectorielle. § 3. Au plus tard dans les trois mois de l'élaboration de sa P.S.I., l'opérateur de services essentiels réalise son premier audit interne. Au plus tard vingt-quatre mois après la réalisation de son premier audit interne, l'opérateur de services essentiels réalise son premier audit externe. Art. 39.§ 1er. Après avis de l'autorité sectorielle et de l'autorité visée à l'article 7, § 1er, le Roi fixe : 1° les conditions générales d'accréditation sur base des exigences des normes ISO/IEC 17021 ou ISO/IEC 17065 ;2° les exigences supplémentaires sectorielles auxquelles peut être soumis l'organisme d'évaluation de la conformité ;3° les règles applicables à l'audit interne ;4° les règles applicables à l'audit externe. § 2. Par arrêté délibéré en Conseil des ministres, le Roi peut également déterminer, après avis de l'autorité sectorielle et de l'autorité visée à l'article 7, § 1er, les conditions d'un éventuel agrément accordé par l'autorité sectorielle à un organisme d'évaluation de la conformité. § 3. La liste des organismes d'évaluation de la conformité accrédités ou agréés est disponible auprès de l'autorité sectorielle qui la tient à jour. Art. 40.§ 1er. Les audits de certification peuvent être assimilés, par le service d'inspection ou l'autorité sectorielle, à l'audit interne annuel obligatoire visé au 39, § 1er. Les rapports de ces audits sont transmis, par l'opérateur de services essentiels, dans les trente jours, à l'autorité sectorielle. § 2. Les audits de certification peuvent être assimilés, par le service d'inspection ou l'autorité sectorielle, à l'audit externe obligatoire visé à l'article 39, § 2. Les rapports de ces audits sont transmis, dans les trente jours, par l'opérateur de services essentiels, à l'autorité sectorielle. Art. 41.L'autorité visée à l'article 7, § 1er, peut solliciter, de manière motivée, de l'autorité sectorielle ou du service d'inspection la transmission des rapports de certification ou d'audits d'un opérateur de services essentiels. Section 2. - Service d'inspection Art. 42.§ 1er. Les services d'inspection peuvent à tout moment réaliser des contrôles du respect par l'opérateur de services essentiels des mesures de sécurité et des règles de notification des incidents. § 2. L'autorité visée à l'article 7, § 1er, ou l'autorité sectorielle peut recommander, de manière motivée, au service d'inspection de réaliser des contrôles. Après avis de l'autorité sectorielle et de l'autorité visée à l'article 7, § 1er, le Roi peut fixer les éventuelles modalités sectorielles pratiques du contrôle. § 3. Au moment de formuler une demande d'informations ou de preuves, le service d'inspection mentionne la finalité de la demande et précise le délai dans lequel les informations ou preuves doivent être fournies. Le service d'inspection peut faire appel à des experts. Art. 43.Lorsque les réseaux et les systèmes d'information d'un opérateur de services essentiels sont situés en dehors du territoire belge, le service d'inspection, en concertation avec l'autorité visée à l'article 7, § 1er, peut solliciter la coopération et l'assistance des autorités de contrôle compétentes de ces autres Etats. Cette assistance et cette coopération peuvent porter sur des échanges d'informations et sur des demandes de prise de mesures de contrôle. Art. 44.§ 1er. Les membres du service d'inspection sont dotés d'une carte de légitimation dont le modèle est fixé par le Roi, par secteur, ou, le cas échéant, par sous-secteur. § 2. Les membres du service d'inspection ou les experts appelés à participer à l'inspection ne peuvent avoir un intérêt quelconque, direct ou indirect, dans les entreprises ou institutions qu'ils sont ch …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.