Publication: 24 juin 2024 Entrée en vigueur : 4 juillet 2024
Source: Chancellerie du Premier Ministre Numéro: 2024005260 page: 78183 Dossier numéro: 2024-06-09/05 Ce texte modifie le texte suivant: 2019041284 1 version archivée 2 arrêtés d'exécution
Table des matières CHAPITRE 1er. - Objet et définitions Art. 1-2 CHAPITRE 2. - Désignation des autorités compétentes Art. 3 CHAPITRE 3. - Cadres de référence pour l'évaluation périodique de la conformité Art. 4-5 CHAPITRE 4. - Modalités de l'évaluation périodique de la conformité des entités essentielles Art. 6-10 CHAPITRE 5. - Modalités de l'évaluation périodique volontaire de la conformité des entités importantes par un organisme d'évaluation de la conformité Art. 11-13 CHAPITRE 6. - Conditions d'agrément Art. 14-15 CHAPITRE 7. - Dispositions relatives au service d'inspection Art. 16 CHAPITRE 8. - Organisme d'évaluation de la conformité du secteur public fédéral Art. 17-19 CHAPITRE 9. - Rétributions relatives aux évaluations périodiques de la conformité effectuées par le service d'inspection Art. 20 CHAPITRE 10. - Dispositions abrogatoires et finales Art. 21-24 ANNEXE. Art. N
Pour l'application du présent arrêté, il faut entendre par : 1° "loi NIS2" : la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique; 2° "évaluation de la conformité" : évaluation visée à l'article 2, point 12 du Règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil; 3° "attestation de conformité" : délivrance d'une affirmation de conformité basée sur une décision indiquant que le respect des exigences spécifiées a été démontré. Le document peut contenir le résultat d'une vérification ou certification; 4° "vérification" : confirmation d'une déclaration, par des preuves objectives, que les exigences spécifiées ont été satisfaites; 5° "déclaration" : informations déclarées par l'entité.
. Les autorités suivantes sont désignées comme autorités sectorielles : 1° pour le secteur de l'énergie : le ministre fédéral ayant l'Energie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le ministre peut désigner un délégué différent par sous-secteur); 2° pour le secteur des transports : - en ce qui concerne le secteur du transport, à l'exception du transport par eau : le ministre fédéral compétent pour le Transport, ou par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le ministre peut désigner un délégué différent par sous-secteur); - en ce qui concerne le transport par eau : le ministre fédéral compétent pour la Mobilité maritime, ou par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur); 3° pour le secteur de la santé : - en ce qui concerne les entités exerçant des activités de recherche et de développement dans le domaine des médicaments au sens de l'article 1er, point 2, de la directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain; les entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques au sens de l'annexe I, section C, division 21 du Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 décembre 2006 établissant la nomenclature statistique des activités économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du Conseil ainsi que certains règlements (CE) relatifs à des domaines statistiques spécifiques; et les entités fabriquant des dispositifs médicaux considérés comme critiques en cas d'urgence de santé publique (liste des dispositifs médicaux critiques en cas d'urgence de santé publique) au sens de l'article 22 du règlement (UE) 2022/123 du Parlement européen et du Conseil du 25 janvier 2022 relatif à un rôle renforcé de l'Agence européenne des médicaments dans la préparation aux crises et la gestion de celles-ci en ce qui concerne les médicaments et les dispositifs médicaux : l'Agence fédérale des médicaments et des produits de santé créée par la loi du 20 juillet 2006 relative à la création et au fonctionnement de l'Agence fédérale des médicaments et des produits de santé; - en ce qui concerne les autres types d'entités du secteur de la santé : le ministre fédéral ayant la Santé publique dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration; 4° pour le secteur de l'infrastructure numérique, uniquement en ce qui concerne les prestataires de services de confiance : le ministre fédéral ayant l'Economie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration; 5° pour le secteur des fournisseurs numériques : le ministre fédéral ayant l'Economie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration; 6° pour les secteurs de l'espace et de la recherche : le ministre fédéral de la Politique scientifique ou par délégation de celui-ci, un membre dirigeant du personnel de son administration; 7° pour le sous-secteur de la fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro, du secteur de la fabrication : l'Agence fédérale des médicaments et des produits de santé. [1 § 3. Le ministre fédéral ayant l'Energie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le ministre peut désigner un délégué différent par sous-secteur) est désigné comme autorité compétente visée à l'article 4, paragraphe 1, du règlement délégué (UE) 2024/1366 de la Commission du 11 mars 2024 complétant le règlement (UE) 2019/943 du Parlement européen et du Conseil en établissant un code de réseau sur des règles sectorielles concernant les aspects liés à la cybersécurité des flux transfrontaliers d'électricité.]
minimales de gestion des risques en matière de cybersécurité visées à l'article 30, § 3, de la loi NIS2. Conformément aux règles internationales en matière de schémas d'évaluation de la conformité, les parties prenantes concernées au sens de l'alinéa 1er sont au moins les autorités visées à l'article 15 de la loi NIS2, les organismes accrédités et les organisations qui utilisent le référentiel visé à l'alinéa 1er.
. Le cadre de référence contient, de manière proportionnée, au minimum les niveaux d'assurance suivants : basique, important et essentiel.
1° le cadre de référence visé à l'article 4; ou 2° la norme NBN EN ISO/IEC 27001.
. Dans le cadre de l'évaluation volontaire de la conformité visée à l'article 41 de la loi NIS2, les entités importantes choisissent un cadre de référence parmi les cadres de référence visés au paragraphe 1er.
L'usage de la dérogation visée à l'alinéa 1er relève de la responsabilité de l'entité essentielle et ne fait pas, en tant que tel, l'objet d'une évaluation de la part d'un organisme d'évaluation de la conformité.
référence visé à l'article 5, § 1er, 2°, les entités essentielles obtiennent une certification au travers d'une procédure d'audits réguliers effectués par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6.
À cette fin, l'autorité nationale de cybersécurité crée, maintient à jour et met à disposition des entités une plateforme sécurisée accessible par le biais d'internet.
. Dans le cadre de l'évaluation périodique volontaire de la conformité visée au paragraphe 1er, les entités importantes réalisent chaque année une auto-évaluation qui est vérifiée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6. L'organisme d'évaluation de la conformité agréé délivre à l'entité concernée un rapport de vérification portant un avis de vérification, ou non, conformément au cadre de référence visé à l'article 4.
1er, de la loi NIS2, à l'autorité nationale de cybersécurité, de la manière visée à l'article 9, alinéa 1er. À cette fin, les entités importantes ont accès à la plateforme visée à l'article 9, alinéa 2.
1° soit dans le cadre de l'application des articles 39 et 41 de la loi NIS2, 2° soit dans le cadre de l'évaluation de la conformité sur base du référentiel visé à l'article 4.
. Lorsque le service d'inspection de l'autorité nationale de cybersécurité constate une violation des conditions d'agrément visées au présent chapitre, ce service d'inspection peut, au travers de la procédure visée à la section 1re du chapitre 2 du titre 4 de la loi NIS2, mettre en demeure l'organisme d'évaluation de la conformité de mettre fin à la violation, faute de quoi l'autorité nationale de cybersécurité peut suspendre ou retirer l'agrément visé au paragraphe 1er.
. Lorsqu'il existe un conflit d'intérêts entre l'organisme d'évaluation de la conformité ou ses agents d'exécution et une entité soumise aux obligations de la loi NIS2, l'agrément ne peut valoir pour cette entité. Afin de détecter les situations visées à l'alinéa 1er, l'autorité nationale de cybersécurité conditionne l'octroi de l'agrément à la fourniture de toutes les informations nécessaires. Si la situation visée à l'alinéa 1er apparaît après l'octroi de l'agrément, l'organisme d'évaluation de la conformité doit en informer dans les plus brefs délais l'autorité nationale de cybersécurité et s'abstenir de participer à l'évaluation des entités concernées.
. Les organismes d'évaluation de la conformité agréés fournissent chaque année à l'autorité nationale de cybersécurité, selon les modalités fixées par cette autorité, un rapport contenant au minimum les données suivantes en ce qui concerne les entités qui relèvent du champ d'application de la loi NIS2 : 1° une liste des attestations de conformité délivrées ; 2° une liste des attestations de conformité refusées ou suspendues ; 3° une liste des plaintes reçues et des suites données à celles-ci. L'organisme d'évaluation de la conformité collabore à tout moment avec l'autorité nationale de cybersécurité, notamment en répondant à ses demandes d'information.
. La carte de légitimation visée au paragraphe 1er a une forme rectangle de 85,6 mm de longueur et 53,98 mm de largeur et est plastifiée.
Cette rétribution est déterminée sur base de la durée des prestations calculées en heures, multipliée par le taux horaire visé au paragraphe 2, alinéa 2.
. La durée des prestations est fixée par la méthodologie du cadre de référence visé à l'article 5. Le taux horaire est fixé à 150 euro.
. Les montants visés au présent article sont rattachés à l'indice des prix à la consommation de novembre 2023 et sont adaptés annuellement le 1er janvier en fonction des fluctuations de cet indice.
. Les rétributions font l'objet d'une facturation détaillée. Les montants facturés doivent être versés au plus tard le dernier jour du mois qui suit la date de la facture. À défaut, un rappel est adressé à l'entité concernée. En cas de non-paiement dans les deux mois suivant le rappel, une mise en demeure est adressée par recommandé à l'entité concernée.
. La rétribution visée au paragraphe 1er n'est pas applicable pour les entités faisant partie du secteur de l'administration publique visées à l'annexe I de la loi NIS2, pour autant qu'elles ne soient pas visées à l'article 1er de l'arrêté royal du 4 mai 2016 portant création du Service fédéral d'audit interne.
1° obtenir une vérification, effectuée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6, au niveau basique ou important du cadre de référence visé à l'article 4, selon le résultat de leur analyse des risques visée à l'article 30, § 5, alinéa 1er, de la loi NIS2 lorsque l'entité choisit le cadre de référence visé à l'article 4; ou 2° transmettre le champ d'application et la déclaration d'applicabilité lorsque l'entité choisit le cadre de référence visé à l'article 5, paragraphe 1, 2°.
. Lorsque les entités essentielles font le choix de la certification sur base de l'un des cadres de référence visés à l'article 5, dans les 30 mois suivant l'entrée en vigueur de la loi NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2 et selon le choix effectué conformément au § 1er, les entités essentielles : 1° obtiennent une certification conformément à l'article 6, sans préjudice de l'article 7; ou 2° obtiennent une certification conformément à l'article 8.
1° transmettre une auto-évaluation du niveau basique ou important lorsqu'elles choisissent le cadre de référence visé à l'article 4; 2° transmettre la P.S.I., le champ d'application et la déclaration d'applicabilité, lorsqu'elles choisissent le cadre de référence visé à l'article 5, paragraphe 1er, 2°.
. Lorsque les entités essentielles font le choix de la supervision par un service d'inspection visée à l'article 39, alinéa 1er, 2° de la loi NIS2 sur base de l'un des cadres de référence visés à l'article 5, dans les 30 mois suivant l'entrée en vigueur de la loi NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2 et selon le choix effectué conformément au § 1er, elles transmettent un état de l'avancement de la mise en conformité.
. Quel que soit le choix effectué, les entités essentielles et les entités importantes démontrent une amélioration continue.
Annexe Annexe à l'arrêté royal du 9 juin 2024 exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ANNEXE.
(Image non reprise pour des raisons techniques, voir M.B. du 24-06-2024, p. 78189) Donné à Bruxelles, le 9 juin 2024. PHILIPPE Par le Roi : Le Premier Ministre, A. DE CROO La Ministre de l'Intérieur, A. VERLINDEN Préambule PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut. Vu la Constitution, l'article 108 ; Vu la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, les articles 15, §§ 1er et 2, alinéa 1er, 17, 7° et 10°, 39, alinéa 1er, 40, § 1er, alinéa 1er, 41, 47, § 1er, 50, § 2, 63, §§ 1er et 2, et 75; Vu l'arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques; Vu l'avis de l'Inspecteur des Finances, donné le 30 octobre 2023; Vu l'accord de la Secrétaire d'Etat au Budget, donné le 7 novembre 2023; Vu la demande d'avis dans un délai de trente jours, adressée au Conseil d'Etat le 19 avril 2024, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973; Considérant l'absence de communication de l'avis dans ce délai; Vu l'article 84, § 5, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973; Considérant l'arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique; Sur la proposition du Premier Ministre et de la Ministre de l'Intérieur et de l'avis des Ministres qui en ont délibéré en Conseil, Nous avons arrêté et arrêtons :