Cybersécurité et services essentiels

En quoi consiste les services essentiels ? 

L’expression « services essentiels » provient de la directive (UE) 2016/1148, qui vise à assurer un niveau élevé de sécurité des réseaux et des systèmes d’information en vue de l’alimentation des services essentiels au sein de l’Union européenne. 

Elle s’applique aux secteurs essentiels de notre économie qui comportent des services essentiels, tels que les services d’approvisionnement en électricité et en eau, la prestation de soins de santé, les infrastructures numériques, ou encore le transport (entre autres le transport ferroviaire au niveau fédéral). Tous les secteurs concernés sont répertoriés dans l’annexe II de la directive. 

Les réseaux, systèmes ou services d’information qui doivent être protégés de façon accrue jouent un rôle crucial dans la société. La sécurité de ces services est donc essentielle au bon fonctionnement économique du marché intérieur européen. Toute perturbation importante peut avoir un impact sur certain(s) ou sur l’entièreté des États membres de l’Union européenne. 

La directive (UE) 2016/1148 est aussi appelée la directive « NIS » (Security of Network and Information Systems en anglais) et représente la première législation sur la cybersécurité de l’UE. Vous trouverez plus d’information sur la directive « NIS » sur le site de la Commission européenne.

Et en Belgique ? 

La directive « NIS » a été transposée dans la loi belge du 7 avril 2019. Cette dernière s’applique, tout comme la directive, aux opérateurs de services essentiels et aux fournisseurs de services numériques, les opérateurs de services essentiels concernant notamment le secteur ferroviaire. Le Ministre fédéral compétent pour le Transport est nommé, par l’arrêté royal du 12 juillet 2019, comme l’autorité sectorielle chargée du transport, à l’exception du transport par voies d'eau accessibles aux navires maritimes. Son rôle est de veiller à la mise en œuvre des dispositions de la loi belge pour le secteur du transport (sauf par voies d’eau pour les navires maritimes), notamment en identifiant les opérateurs de services essentiels de ce secteur. 

Quelles sont les obligations des opérateurs de services essentiels (OSE) ? 

Les opérateurs de services essentiels sont des entités, publiques ou privées, actives en Belgique dans l’un des secteurs essentiels répertoriés dans la directive « NIS » (annexe II) et la loi du 7 avril 2019 (annexe I). 

La loi belge définit deux obligations que les OSE doivent respecter : 

• prendre des mesures appropriées pour assurer la sécurité de leurs réseaux et de leurs systèmes d’information ; 
• et signaler les incidents au moyen de la plateforme de notification des incidents gérée par le Centre pour la Cybersécurité en Belgique (CCB). 

Afin de gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information, les opérateurs de services essentiels doivent effectuer des audits internes (par eux-mêmes) et externes (par un organisme d’évaluation externe) de leur plan de sécurité. Ces audits doivent permettre de s’assurer que les mesures prises par les opérateurs assurent bien la sécurité des services essentiels. 

Quel est le rôle du SPF Mobilité et Transports ? 

Avant que les directives NIS soient votées par les États membres de l’Union européenne, elles sont analysées par les États au travers de groupes de travail. Le SPF Mobilité et Transports est membre du groupe de travail en Belgique, qui est coordonné par le Centre pour la Cyber sécurité Belge. Il a pour rôle d’analyser les propositions des directives NIS afin d’apporter un avis sur l’impact que celles-ci pourraient avoir au sein de plusieurs secteurs concernés par ces directives. 

Le SPF Mobilité, et plus particulièrement les différentes Directions Générales en son sein, offre une analyse sur les impacts des directives NIS sur le secteur du transport (maritime, aérien et ferroviaire) et du SPF en lui-même. La DG Navigation, la DG Transport aérien et la DG Politique de Mobilité durable et ferroviaire sont donc concernées par cette analyse des directives NIS et de la cybersécurité en Belgique. 

La Cellule de Crise Départementale du SPF Mobilité se charge, quant à elle, de la coordination des analyses effectuées par les différentes Directions Générales, ainsi que de la défense des intérêts et du point de vue du SPF sur la question de la cybersécurité dans le secteur du transport en Belgique. 

Révision de la directive européenne « NIS » 

La Commission européenne a adopté le 16 décembre 2020 une proposition de révision de la directive « NIS », appelée « NIS 2 Directive ». Cette révision a pour but d’adapter la directive aux besoins actuels et de combler ses lacunes afin de la rendre plus adéquate pour les prochaines années.  

Le but de cette nouvelle directive est d’augmenter le niveau général de cybersécurité d’entités, toujours plus interconnectées. 

Le CCB se charge, en collaboration avec le SPF Mobilité et Transports, du suivi de la révision de la directive « NIS » en Belgique. 

Vous trouverez plus d’information sur la nouvelle proposition « NIS 2 Directive » sur le site de la Commission européenne.