chronique

La loi sur la cybersécurité protège-t-elle notre économie contre les cyberattaques?

La directive Network and Information Security (NIS), transposée en Belgique par la loi NIS, poursuit un objectif principal : assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne.

Par Brahim Bénichou
NautaDutilh

La cybersécurité est omniprésente dans l’actualité. Les sanctions américaines prises contre Huawei, l’un des plus grands fournisseurs d’infrastructures de réseau dans le monde, accusé d’espionnage aux Etats-Unis, en sont l’un des derniers exemples en date.

©AFP

De fait, les cyberattaques sont de plus en plus nombreuses dans tous les secteurs de l’économie ainsi que dans celui des services essentiels et gouvernementaux. Ces attaques seraient pour la plupart co-organisées par des États tels que la Russie, la Syrie et la Corée du Nord. Mais il y a également la crainte que des organisations terroristes attaquent les infrastructures sensibles et paralysent l’économie.

La réponse à cette problématique se trouve en partie dans la directive NIS 2016/1148. Cette directive européenne a été transposée en Belgique par la loi NIS (Network and Information Security) du 7 avril 2019 qui est entrée en vigueur le 3 mai 2019.

Pour qui?

La Loi NIS s’applique à des Opérateurs de Services Essentiels (OSE) et aux Fournisseurs de Services Numériques (FSN).

La loi NIS s’applique à des Opérateurs de Services Essentiels (OSE) et aux Fournisseurs de Services Numériques (FSN).

Les OSE sont des prestataires de services dans le secteur de l’énergie, des transports, des finances, des soins de santé, de l’eau potable et des infrastructures numériques. Ces opérateurs doivent être désignés comme opérateurs essentiels par les autorités sectorielles compétentes avant que d’être (entièrement) soumis à la loi sur la cybersécurité.

Les FSN, quant à eux, sont des organisations qui exploitent des places de marché en ligne, des moteurs de recherche ou encore des services d’informatique en nuage. Cela inclut, par exemple, les fournisseurs de "software-as-a-service". Les FSN sont ainsi automatiquement assujettis à la loi sur la cybersécurité.

Notons encore que certaines dispositions ne s’appliquent pas aux petites et micro-entreprises.

©PHOTOPQR/LA MONTAGNE/MAXPPP

Quelles sont les mesures à prendre?

Il y en a principalement quatre:

1. L’opérateur de services essentiels doit prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information dont sont tributaires les services essentiels.

2. Nommer un Data Protection Officer

3. Renseigner d’un point de contact pour la sécurité informatique

4. Les deux catégories de fournisseurs de services doivent notifier les incidents. Les conditions sous lesquelles la notification doit être faite et la manière dont elle doit se faire diffèrent cependant selon les deux catégories. Cette obligation de notification est, par ailleurs, distincte de l’obligation de notification des violations de données à caractère personnel prévue par le GDPR.

Notons que le non-respect de la loi NIS est soumis à des sanctions administratives et pénales. Celles-ci peuvent se multiplier considérablement et sont indépendantes de toute sanction qui pourrait découler du GDPR.

À cet égard, il est également à noter que bien qu’il puisse y avoir un double emploi entre la loi NIS et la loi sur la cybersécurité, ces deux lois ont des finalités différentes et doivent être appliquées séparément. La loi NIS a une portée différente en ce sens qu’elle ne concerne pas seulement les données à caractère personnel. Le GDPR, en revanche, a une portée plus large en ce sens qu’il s’applique à toutes les entreprises.

Malgré tous les efforts fournis par les entreprises pour se conformer au GDPR, il y a néanmoins de fortes chances pour que celles qui sont directement assujetties à la loi NIS ainsi que leurs fournisseurs doivent en fournir de supplémentaires pour s’y conformer; une contrainte qui représente un véritable objet de frustration pour ces sociétés.

Pour en savoir plus :

Toujours en suspens

Il est regrettable que le gouvernement belge ait attendu si longtemps pour mettre en œuvre cette législation.

À ce stade, de nombreux aspects, exigences et organes prévus par la loi NIS doivent encore être déterminés par des arrêtés royaux. Ce qui implique que tant que ceux-ci ne sont pas entrés en vigueur, la loi NIS ne peut s’appliquer dans sa totalité. Il est regrettable que le gouvernement belge ait attendu si longtemps pour mettre en œuvre cette législation et qu’il n’ait pas saisi l’occasion de le faire en même temps que le GDPR. Il faut donc espérer qu’un nouveau gouvernement soit bientôt en place pour faire avancer les choses.

Lire également

Echo Connect