Cybersécurité – Directive SRI : de nouvelles obligations pour les entreprises

Attendu depuis longtemps, le projet de loi transposant la directive sur la sécurité des réseaux et des systèmes d’information, en abrégé directive SRI, a été déposé au Parlement le 12 novembre 2018. Le projet de loi introduit de nouvelles obligations en matière de cybersécurité pour certaines entreprises.

Anneleen Dammekens, CENTRE DE COMPÉTENCE DROIT & ENTREPRISE
28 novembre 2018

Le projet de loi transposant la directive SRIa pour objectif d’assurer un niveau élevé de sécurité des réseaux et des systèmes d’information en Belgique afin de contribuer à un niveau élevé commun de sécurité dans l’UE. À cet effet, des obligations sont imposées à deux catégories d’entreprises, à savoir les opérateurs de services essentiels (énergie, transport, finances, soins de santé, eau potable et infrastructures numériques) et les fournisseurs de services numériques (places de marché en ligne, moteurs de recherche en ligne et services de cloudcomputing).

Les principales obligations imposées à ces entreprises sont les suivantes :

  • La réalisation d’un descriptif des réseaux et des systèmes d’information dont l’entreprise est tributaire et l’élaboration d’une politique de sécurité pour ses réseaux et ses systèmes d’information (‘PSI’). ll est fait référence au cadre ISO 27001, mais la certification n’est pas imposée ;
  • L’adoption de mesures techniques et organisationnelles nécessaires et proportionnées pour maîtriser les risques pour la sécurité de ses réseaux et systèmes d’information et pour en minimiser les conséquences en cas d’incident ;
  • La désignation d’un point de contact pour la sécurité de ses réseaux et systèmes d’information, qui soit disponible à tout moment[1];
  • La notification des incidents qui ont un impact significatif sur les services de l’entreprise ;
  • L’organisation d’un audit interne annuel de la sécurité de ses réseaux et systèmes d’information et d’un audit externe triennal (aux frais de l’entreprise) ;
  • Les autorités sectorielles (qui doivent encore être désignées officiellement) peuvent aussi imposer des obligations sectorielles additionnelles.

Le pouvoir de déterminer quelles entreprises seront qualifiées d’opérateurs de services essentiels et quelle partie de leurs activités sera considérée comme service essentiel est attribué aux autorités sectorielles (à désigner par arrêté royal). Ces entreprises seront contactées par leurs autorités sectorielles – certaines ont déjà été contactées – et elles ne doivent donc pas prendre l’initiative elles-mêmes. Il en va autrement pour les fournisseurs de services numériques ; ils doivent prendre l’initiative de vérifier s’ils relèvent des conditions de la législation SRI. Les fournisseurs de services numériques qui sont une petite ou microentreprise ne sont pas tenus de suivre les règles de la législation SRI.

Toutes les autres entreprises échappent aux nouvelles obligations SRI. On peut se demander si les entreprises qui sont fournisseurs ou clientes d’un opérateur de services essentiels ou d’un fournisseur de services numériques ne devront pas tenir compte dans la pratique, fût-ce de manière indirecte, des obligations de sécurité.

FEB – La transposition de la directive SRI était initialement prévue pour le 9 mai 2018. Les entreprises qui devront appliquer les règles de la directive attendent donc depuis tout un temps des informations concrètes sur la manière dont la Belgique appliquera ce texte européen au niveau national. À ce jour, plusieurs éléments restent très vagues. Ainsi, il n’est pas encore précisé dans chaque secteur quelle instance fera office d’autorité sectorielle. La FEB demande donc instamment de clarifier rapidement la situation et de prévoir des délais transitoires réalistes pour l’entrée en vigueur de la loi belge, afin que les entreprises disposent d’assez de temps pour se mettre en règle.

[1] Cette exigence de disponibilité vaut uniquement pour les opérateurs de services essentiels, pas pour les fournisseurs de services numériques


Nos partenaires

Domaines d'action

Un environnement entrepreneurial optimal est essentiel à une économie saine et à une croissance durable. La FEB entend contribuer à la création et au maintien d'un tel environnement, notamment en suivant attentivement tous les dossiers qui touchent de près la vie des entreprises. Voici, regroupés sous 18 thèmes, les dossiers sur lesquels elle concentre ses réflexions et initiatives.

Newsletter FEB IMPACT

Inscrivez-vous et recevez chaque semaine, dans votre boîte mail, les derniers articles parus.