NIS2: Êtes vous dans le champ d'application ?
La nouvelle loi belge sur la cybersécurité est entrée en vigueur.
Exigences en matière de notification des incidents : quoi ? À qui ? Quand ?
Cette page fournit un guide pratique et concis sur la cybersécurité dans l'UE, la législation numérique spécifique à certains secteurs et les exigences en matière de notification des incidents en Belgique. Les liens ci-dessous offrent un aperçu des canaux de signalement et d'information pertinents pour chaque cadre législatif.
Ces informations sont fournies à titre indicatif uniquement et ne constituent pas un avis juridique. Les utilisateurs sont vivement encouragés à consulter eux-mêmes les textes juridiques applicables, ainsi que toute législation d'application ou spécifique au secteur. En cas d'incertitude quant à l'interprétation ou à l'application des obligations légales, les organisations doivent demander conseil à un expert juridique ou réglementaire qualifié. Il convient de noter qu'un seul incident peut déclencher simultanément des obligations de notification et de signalement en vertu de plusieurs cadres juridiques (par exemple, la législation en matière de cybersécurité, de protection des données, sectorielle ou relative aux infrastructures critiques). Il incombe à l'organisation d'évaluer toutes les lois potentiellement applicables et de veiller au respect de chacune d'entre elles.
En cas d'incident : utilisez ce tableau pour identifier rapidement où signaler l'incident.
Acte juridique | Qui est concerné ? | Qu'est-ce qui doit être signalé ? | Où signaler l'incident ? | Liens utiles / conseils |
|---|---|---|---|---|
| NIS2 | Entités essentielles et importantes dans les secteurs NIS2 – test de portée | Incidents cybernétiques ayant un impact significatif sur la fourniture de services | (à l'exception des entités financières → FSMA dans le cadre de la DORA) |
|
| RGPD | Toute organisation traitant des données à caractère personnel | Violations de données à caractère personnel présentant un risque pour les droits et libertés des personnes | (à l'exception de la police → COC) | |
| CRA | Fabricants, importateurs, distributeurs de produits numériques | Incidents de sécurité graves et vulnérabilités activement exploitées affectant les produits | À déterminer (plateforme unique de notification de l'ENISA et CCB en tant que CSIRT national) |
|
| Loi sur l'IA | Fournisseurs et déployeurs de systèmes d'IA à haut risque | Incidents graves impliquant des systèmes d'IA à haut risque | À déterminer |
|
| CER | Entités critiques désignées | Incidents (y compris cyber) perturbant les services essentiels | À déterminer |
|
| DORA | Entités financières et fournisseurs tiers de TIC | Incidents importants liés aux TIC (et cybermenaces majeures) | FSMA | |
| eIDAS 2.0 | Prestataires de services de confiance et acteurs du portefeuille EUDI | Violations de la sécurité ou pannes affectant les services de confiance | À déterminer | |
| NCCS | Entités électriques à impact élevé/critique | Incidents cybernétiques affectant les infrastructures électriques critiques | À déterminer | |
| MDR / IVDR | Fabricants et distributeurs de dispositifs médicaux | Incidents graves ayant une incidence sur la sécurité des patients ou la santé publique | FAGG | |
| PSR(proposition) | Prestataires de services de paiement | Incidents opérationnels ou de sécurité majeurs | À déterminer (alignement prévu avec la DORA) | |
| EECC | Opérateurs de télécommunications | Incidents de sécurité affectant les réseaux ou les services | IBPT |
De l'alerte précoce au rapport final : délais de notification dans les différents cadres
Ce graphique illustre les différents délais de notification des incidents prévus par la législation européenne en matière de cybersécurité et de numérique. En fonction du cadre juridique applicable, les organisations peuvent être soumises à plusieurs délais de notification, allant de l'alerte précoce au rapport final. L'aperçu met en évidence la manière dont les obligations de notification peuvent se chevaucher dans le temps et différer dans leur portée.
