Information juridique intelligente
 Belgique | 1-800-335-6202

Arrêté royal portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, de 12 juillet 2019

Document Cited authorities 2 Cited in Related
Vincent

CHAPITRE 1er. Objet

Article 1er. Le présent arrêté vise à transposer la directive européenne (EU) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (la " directive NIS ").

CHAPITRE 2. Définitions

Art. 2. Pour l'application du présent arrêté royal, il faut entendre par :

  1. " loi " : la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique;

  2. " CCB " : le Centre pour la Cybersécurité Belgique créé par l'arrêté royal du 10 octobre 2014;

  3. " DGCC " : la Direction générale Centre de Crise du Service public fédéral Intérieur, créée par l'arrêté royal du 18 avril 1988 portant création du Centre gouvernemental de Coordination et de Crise;

  4. " plate-forme de notification " : la plate-forme de notification d'incidents visée à l'article 31 de la loi.

    CHAPITRE 3. Autorités compétentes

    Art. 3. § 1er. Le CCB est désigné comme l'autorité visée à l'article 7, § 1er, et à l'article 10, § 1er, de la loi.

    Le CCB est désigné comme le CSIRT national visé à l'article 7, § 2, de la loi.

    § 2. La DGCC est désignée comme l'autorité visée à l'article 7, § 4, de la loi.

    § 3. Les autorités sectorielles visées à l'article 7, § 3, de la loi sont désignées à l'annexe 1.

    § 4. Les services d'inspection visés à l'article 7, § 5, de la loi sont désignés à l'annexe 2.

    Art. 4. § 1er. Pour les infrastructures critiques du secteur de la santé, l'autorité sectorielle visée à l'article 3, 3°, f), de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques est désignée à l'annexe 1, point c).

    § 2. Pour les infrastructures critiques du secteur de la santé, le service d'inspection visé à l'article 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques est désigné à l'annexe 2, point a).

    CHAPITRE 4. Notification et traitement des incidents

    Section 1re. Champ d'application et plate-forme de notification

    Art. 5. Le présent chapitre s'applique aux notifications d'incidents visés par les articles 24, 26, § 1er, 27, 31 et 35 de la loi du 7 avril 2019.

    Art. 6. Une plate-forme sécurisée de notification est créée afin de faciliter :

  5. l'envoi par les opérateurs de services essentiels et les fournisseurs de service numérique au CSIRT national, à l'autorité sectorielle ou son CSIRT sectoriel, et à la DGCC, des notifications d'incidents de sécurité effectuées en vertu de la loi du 7 avril 2019;

  6. la possibilité d'envoi, par les opérateurs de services essentiels et les fournisseurs de service numérique, d'une notification de violations de données à caractère personnel à une autorité de contrôle des données à caractère personnel, telle que prévue par l'article 31, § 1er, alinéa 2, et par l'article 36, § 2, de la loi.

    Art. 7. La plate-forme visée à l'article 6 est accessible par le biais d'Internet pour les opérateurs de services essentiels et les fournisseurs de service numérique au moyen d'une connexion sécurisée et l'utilisation d'une clé d'identification unique à chaque opérateur de services essentiels ou fournisseur de service numérique.

    Section 2. Notifications

    Art. 8. § 1er. La notification est réalisée via la plate-forme de notification et moyennant l'utilisation du formulaire de notification d'incident déterminé par le CSIRT national.

    La notification contient toutes les informations disponibles permettant de déterminer la nature, les causes, les effets et les conséquences de l'incident.

    § 2. Lorsque l'opérateur de services essentiels ou le fournisseur de service numérique n'est pas en mesure de fournir toutes les informations reprises dans le formulaire à l'aide des éléments en sa possession, il complète la notification initiale via la plate-forme de notification dès que les informations manquantes sont disponibles.

    § 3. Il fait de même lorsque de nouvelles informations sont connues ou lorsque des développements importants surviennent.

    § 4. A la demande du CSIRT national, de la DGGC, de l'autorité sectorielle ou de son CSIRT sectoriel, l'opérateur de services essentiels ou le fournisseur de service numérique notifie via la plate-forme de notification une mise à jour du formulaire de notification retraçant la gestion de l'incident de sa découverte à sa clôture et reprenant toutes les informations reprises dans le formulaire de notification.

    Art. 9. En cas d'indisponibilité de la plate-forme de notification visée à l'article 6, le CSIRT national informe les opérateurs de services essentiels et les fournisseurs de service numérique des modalités opérationnelles de notification à utiliser.

    Section 3. Traitement de l'incident

    Art. 10. § 1er. Le CSIRT national, l'autorité sectorielle ou son CSIRT sectoriel ou la DGCC peuvent demander à l'opérateur de services essentiels ou au fournisseur de service numérique des informations complémentaires sur les notifications qu'il a effectuées.

    § 2. Lorsque les circonstances le permettent, le CSIRT national fournit à l'opérateur de services essentiels, ou au fournisseur de service numérique qui est à l'origine de la notification toutes les informations utiles au suivi de sa notification, et le cas échéant toutes les informations qui pourraient contribuer à une gestion efficace de l'incident.

    § 3. Sans préjudice des règles applicables à la gestion de crise en cas de cyberincidents visée à l'article 3, 5°, de l'arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique, le CSIRT national assure la coordination du traitement des notifications au niveau national et international.

    Section 4. Protocole d'accord

    Art. 11. Le CSIRT national, les autorités sectorielles et la DGCC concluent un protocole d'accord pour fixer les modalités opérationnelles :

  7. de gestion de la plate-forme de notification;

  8. du traitement des notifications visées à l'article 8, § 3;

  9. des demandes d'information complémentaire à l'opérateur de services essentiels ou au fournisseur de service numérique visées à l'article 6, § 4.

    CHAPITRE 5. Les notifications volontaires

    Art. 12. § 1er. Les notifications volontaires visées à l'article 30 de la loi sont adressées directement au CSIRT national.

    § 2. Les modalités opérationnelles de cette notification sont déterminées par le CSIRT national et publiées sur son site internet.

    § 3. Le CSIRT national transmet les informations relatives à ces notifications à la DGCC et aux autorités sectorielles ou CSIRT sectoriels potentiellement intéressés.

    CHAPITRE 6. Dérogations

    Art. 13. Il est dérogé aux chapitres IV et V pour les notifications de violations de données à caractère personnel, qui suivent les règles légales ou imposées par l'autorité de contrôle des données à caractère personnel visée à l'article 6, 4°, de la loi du 7 avril 2019.

    CHAPITRE 7. Les organismes d'évaluation de la conformité

    Art. 14. Les organismes d'évaluation de la conformité qui souhaitent être accrédités pour l'audit externe et la certification des opérateurs de services essentiels, visés aux articles 22, § 2, et 38, § 2, de la loi, ou l'audit externe de fournisseurs de service numérique, doivent introduire une demande auprès de l'autorité nationale d'accréditation ou d'une institution qui est co-signataire des accords de reconnaissance du" European Cooperation for Accreditation ".

    Les conditions auxquelles l'organisme d'évaluation de la conformité doit répondre pour être accrédité à cette fin sont les suivantes :

  10. satisfaire, à tout moment, aux critères d'accréditation prévus par les normes ISO/IEC 17021 ou ISO/IEC 17065, lesquelles spécifient (a) les exigences génériques et spécifiées applicables aux organismes procédant à l'audit et à la certification des systèmes de management et; (b) les exigences visant à garantir que les organismes de certification exploitent des programmes de certification avec compétence, cohérence et impartialité;

  11. satisfaire aux procédures de fonctionnement du système d'accréditation qui sont applicables aux organismes accrédités.

    CHAPITRE 8. Dispositions finales

    Art. 15. Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.

    Art. 16. Le Premier Ministre et le Ministre ayant la sécurité et l'Intérieur dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.

    ANNEXES.

    Art. N1. Annexe 1.

    Les autorités sectorielles désignées par Nous:

    1. pour le secteur de l'énergie : le Ministre fédéral ayant l'Energie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur);

    2. pour le secteur des transports :

      - En ce qui concerne le secteur du transport, à l'exception du transport par voies d'eau accessibles aux navires maritimes : le Ministre fédéral compétent pour le Transport, ou par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur);

      - En ce qui concerne le transport par voies d'eau accessibles aux navires maritimes : le Ministre fédéral compétent pour la Mobilité maritime, ou par délégation de celui-ci, un...

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT