La Belgique est le premier État membre européen à appliquer pleinement la nouvelle législation NIS2. Cela signifie qu'à partir du 18 octobre 2024, au moins 2 500 organisations belges devront :
- s'enregistrer sur le site web atwork.safeonweb.be
- prendre des mesures pour renforcer la cybersécurité
- signaler les incidents importants au Centre for Cybersecurity Belgium (CCB).
Notifications obligatoires
Comme la législation NIS2 s'applique également à certains de nos agents d'enregistrement, nous vous expliquons ce que sont les incidents significatifs et quand exactement vous devez les signaler. Le site web Safeonweb propose un outil pour vous aider à déterminer si le NIS2 s'applique ou non à votre organisation.
Pour une explication complète de l'application et des obligations NIS2, veuillez vous référer à la page d'accueil NIS2 du CCB et aux nombreux articles publiés sur ce site.
Incidents significatifs
Depuis le mois d'octobre, il est obligatoire de signaler les incidents significatifs au CCB.
Mais qu’appelle-t-on un incident significatif ?
Il s'agit d'événements susceptibles d'avoir un impact majeur sur la prestation de vos services. Ce sont des incidents :
- qui ont causé une grave perturbation opérationnelle de l'un de vos services ou qui vous ont occasionné des pertes financières ;
- qui ont affecté ou qui peuvent affecter d'autres personnes physiques ou morales, entraînant des dommages matériels, physiques ou moraux importants ;
- qui ont entraîné ou peuvent entraîner la divulgation de secrets commerciaux ;
- qui causent ou peuvent causer des pertes financières directes dépassant 500 000 euros ou 5 % du chiffre d'affaires annuel total de l'exercice précédent ;
- qui ont impliqué un accès réussi – potentiellement malveillant et non autorisé - au réseau et aux systèmes d'information, pouvant causer une grave perturbation des opérations.
A contrario, un incident sur un système d'information isolé sans rapport avec la prestation de vos services ne doit pas être déclaré.
Spécialement pour les prestataires de services DNS
En ce qui concerne les prestataires de services DNS, un incident est significatif (conformément à l'article 3, paragraphe 1, point g, de la législation NIS2) s'il répond à un ou plusieurs des critères suivants :
- Un service de résolution de noms de domaine récursif ou faisant autorité est totalement indisponible pendant plus de 30 minutes.
- Pendant une période de plus d'une heure, le temps de réponse moyen d'un service récursif ou faisant autorité de résolution de noms de domaine aux requêtes DNS est supérieur à 10 secondes.
- L'intégrité, la confidentialité ou l'authenticité des données stockées, transmises ou traitées dans le cadre de la fourniture du service de résolution de noms de domaine faisant autorité est compromise. Si les données de moins de 1 000 noms de domaine gérés par le prestataire de service DNS sont incorrectes en raison d'une mauvaise configuration, et que ces 1 000 noms de domaine ne représentent pas plus de 1 % de tous les noms de domaine gérés par ce prestataire, il n'y a pas d'incident significatif.
Incidents récurrents
Une série d'incidents qui, pris individuellement, ne répondent pas aux critères des incidents significatifs, peut néanmoins être considérée comme un seul incident significatif si elle répond aux critères suivants :
- Ils se sont produits au moins deux fois en 6 mois.
- Ils ont la même cause première.
- Ils répondent aux critères de pertes financières et d'indisponibilité des services.
Comment signaler un incident significatif ?
Lorsque vous découvrez un événement suspect ou que quelqu'un vous signale un incident potentiel, vous devez
- évaluer l'événement en temps utile
- déterminer s'il s'agit d'un incident significatif ou non.
S'il s'agit d'un incident significatif, vous devez le signaler immédiatement et dans tous les cas dans les 24 heures au CCB.
En tant qu’agent d’enregistrement, vous devez également :
- informer vos clients.
- communiquer les mesures que vos clients peuvent prendre.
- fournir un rapport intérimaire au CCB.
- fournir un rapport final au CCB au plus tard un mois après la notification (ou, dans le cas d'un incident de longue durée, après le règlement final).
Rapports spontanés
Outre les rapports obligatoires, toute organisation - y compris celles qui n’entrent pas dans le champ d'application de la loi NIS2 - peut volontairement signaler au CCB les incidents non significatifs et évités, ainsi que les cybermenaces.
Un rapport spontané ne peut donner lieu à une inspection ou à des obligations supplémentaires.
Au travail !
Sur les sites web du CCB et de Safeonweb, vous trouverez :
- un outil d'évaluation pour vous aider à déterminer si le NIS2 s'applique à votre organisation.
- la plateforme sur laquelle vous pouvez enregistrer votre organisation.
- des informations détaillées sur NIS 2 et l'obligation de notification dans le Guide des notifications NIS2.
Par cet article, nous soutenons les objectifs de développement durable des Nations Unies.