Archivos de la etiqueta: Règlement (UE)2016/679

24Nov/24

Loi du 26 avril 2024

Loi du 26 avril 2024, établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique 

Loi du 26 avril 2024, établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique 

PHILIPPE, Roi des Belges,


A tous, présents et à venir, Salut.


La Chambre des représentants a adopté et Nous sanctionnons ce qui suit :


TITRE 1er. – Définitions et dispositions générales


CHAPITRE 1er. – Objet et champ d’application


Section 1re. – Objet



Article 1er. La présente loi règle une matière visée à l’article 74 de la Constitution.



Art. 2. La présente loi vise notamment à transposer la directive européenne (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148. Cette directive est dénommée ci-après la «directive NIS2».


Section 2. – Champ d’application



Art. 3.

 § 1er. Dans les limites de l’article 4 et sans préjudice de l’article 6, la présente loi s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II et qui constituent:

1° une entreprise moyenne en vertu de l’article 2 de l’annexe de la recommandation n° 2003/361/CE; ou

2° une entreprise qui dépasse les plafonds prévus au paragraphe 1er du même article de cette annexe.
L’article 3, § 4, de l’annexe de la recommandation n° 2003/361/CE ne s’applique pas aux fins de la présente loi.

§ 2. Dans le cadre de l’application de l’article 6, paragraphe 2, de l’annexe de la recommandation n° 2003/361/CE, l’autorité nationale de cybersécurité tient compte du degré d’indépendance dont jouit une entité à l’égard de ses partenaires et de ses entreprises liées, en particulier en ce qui concerne les réseaux et les systèmes d’information qu’elle utilise pour fournir ses services et en ce qui concerne les services qu’elle fournit.
Sur base de l’alinéa 1er, l’autorité nationale de cybersécurité considère qu’une telle entité ne constitue pas une entreprise moyenne en vertu de l’article 2 de l’annexe de la recommandation n° 2003/361/CE, ou ne dépasse pas les plafonds applicables à une entreprise moyenne prévus au paragraphe 1 dudit article, si, après prise en compte du degré d’indépendance de ladite entité, celle-ci n’aurait pas été considérée comme constituant une entreprise moyenne ou dépassant lesdits plafonds si seules ses propres données avaient été prises en compte.
Le Roi peut déterminer les critères sur base desquels le degré d’indépendance dont jouit une entité à l’égard de ses partenaires et de ses entreprises liées est évalué.

§ 3. Sans préjudice de l’article 6, la présente loi s’applique également aux entités d’un type visé à l’annexe I ou II, quelle que soit leur taille, dans un des cas suivants:

1° les services sont fournis par:
a) des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public;
b) des prestataires de services de confiance;
c) des registres de noms de domaine de premier niveau et des fournisseurs de services de systèmes de noms de domaine;

2° l’entité est identifiée comme une entité essentielle ou importante conformément au chapitre 4 du présent titre;

3° l’entité est une entité de l’administration publique:
a) qui dépend de l’Etat fédéral;
b) qui dépend des entités fédérées, identifiée conformément à l’article 11, § 2;
c) qui est une zone de secours au sens de l’article 14 de la loi du 15 mai 2007 relative à la sécurité civile ou le Service d’incendie et d’aide médicale urgente de la Région de Bruxelles-Capitale au sens de l’ordonnance du 19 juillet 1990 portant création d’un Service d’incendie et d’aide médicale urgente de la Région de Bruxelles-Capitale.

§ 4. Sans préjudice de l’article 6, quelle que soit leur taille, la présente loi s’applique aux entités identifiées comme exploitants d’une infrastructure critique au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.

§ 5. Quelle que soit leur taille, la présente loi s’applique aux entités fournissant des services d’enregistrement de noms de domaine.

§ 6. Après consultation des éventuelles autorités sectorielles concernées et de l’autorité nationale de cybersécurité, le Roi peut, par arrêté délibéré en Conseil des ministres, ajouter d’autres secteurs et/ou sous-secteurs à l’annexe I ou II ou élargir les secteurs et/ou sous-secteurs existants.



Art. 4.

§ 1er. La présente loi s’applique aux entités visées à l’article 3 qui sont établies en Belgique et qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne.

§ 2. Par exception au paragraphe 1er, la présente loi s’applique:

1° aux fournisseurs de réseaux de communications électroniques publics ou aux fournisseurs de services de communications électroniques accessibles au public, lorsqu’ils fournissent ces services en Belgique;

2° aux fournisseurs de services DNS, registres de noms de domaine de premier niveau, entités fournissant des services d’enregistrement de noms de domaine, fournisseurs de services d’informatique en nuage, fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, ainsi qu’aux fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux, lorsqu’ils ont leur établissement principal en Belgique, conformément aux paragraphes 4 et 5.

§ 3. Si une entité visée au paragraphe 2, 2°, n’est pas établie dans l’Union européenne mais y fournit des services, elle désigne un représentant dans l’Union. Le représentant est établi dans l’un des Etats membres où les services sont fournis.

§ 4. Pour l’application de la présente loi, les entités visées au paragraphe 2, 2°, ont leur établissement principal en Belgique lorsqu’elles y prennent principalement les décisions liées aux mesures de gestion des risques de cybersécurité.
Si l’endroit où ces décisions sont prises ne peut être déterminé ou ne se trouve pas dans l’Union européenne, les entités visées au paragraphe 2, 2°, sont réputées avoir leur établissement principal en Belgique lorsqu’elles y conduisent leurs opérations de cybersécurité.
Si l’endroit où sont conduites ces opérations ne peut être déterminé, les entités visées au paragraphe 2, 2°, sont réputées avoir leur établissement principal en Belgique lorsque s’y trouve leur établissement avec le plus grand nombre d’employés.

§ 5. Les entités visées au paragraphe 2, 2°, sont réputées avoir leur établissement principal en Belgique, pour l’application de la présente loi, lorsqu’elles ne sont pas établies dans l’Union européenne mais qu’elles fournissent leurs services dans l’Union et que leur représentant dans l’Union européenne est établi en Belgique.

§ 6. La désignation d’un représentant par une entité visée au paragraphe 2, 2°, est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité elle-même.



Art. 5.

 § 1er. La présente loi ne porte pas préjudice à l’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ni aux dispositions légales et réglementaires qui complètent ou précisent ledit règlement ni à la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

§ 2. La présente loi est sans préjudice de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé et ne s’applique pas aux systèmes de communication et d’information approuvés pour utiliser des informations classifiées sous forme électronique conformément à la loi précitée.

§ 3. La présente loi est sans préjudice des règles applicables aux documents nucléaires, au sens de la loi du 15 avril 1994 relative à la protection de la population et de l’environnement contre les dangers résultant des rayonnements ionisants et relative à l’Agence fédérale de Contrôle nucléaire.

§ 4. Sous réserve des articles 8 et 38 ainsi que du titre 2, la présente loi ne s’applique pas:

1° aux services de renseignement et de sécurité visés à l’article 2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;

2° à l’Organe de coordination pour l’analyse de la menace créé par l’article 5 de la loi du 10 juillet 2006 relative à l’analyse de la menace;

3° au Ministère de la Défense visé à l’article 1er de l’arrêté royal du 2 décembre 2018 déterminant la structure générale du Ministère de la Défense et fixant les attributions de certaines autorités;

4° aux services de police et à l’inspection générale visés à l’article 2, 2° et 3°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;

5° aux autorités judiciaires, entendues comme les organes du pouvoir judiciaire, le ministère public inclus;

6° au Service public fédéral Justice créé par l’arrêté royal du 23 mai 2001 portant création du Service Public Fédéral Justice, lorsqu’il gère des banques de données pour les autorités judiciaires visés au 5°;

7° aux réseaux et systèmes d’information des missions diplomatiques et consulaires belges dans des pays tiers à l’Union européenne;

8° aux établissements de classe I au sens de l’article 3.1 de l’arrêté royal du 20 juillet 2001 portant règlement général de la protection de la population, des travailleurs et de l’environnement contre le danger des rayonnements ionisants.
Par dérogation à l’alinéa 1er, 8°, la présente loi est applicable aux éléments d’une installation nucléaire destinée à la production industrielle d’électricité et qui servent au transport de l’électricité.

§ 5. Les dispositions du titre 3, du titre 4 et du titre 5 ne s’appliquent pas:

1° au NCCN;

2° à l’autorité nationale de cybersécurité visée à l’article 16.

§ 6. Les paragraphes 4 et 5 ne s’appliquent pas lorsqu’une de ces entités agit en tant que prestataire de services de confiance.



Art. 6.

§ 1er. Lorsqu’un instrument juridique sectoriel de l’Union européenne impose aux entités qui entrent dans le champ d’application de la présente loi d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents significatifs et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente loi, les dispositions pertinentes de la présente loi ne sont pas applicables à ces entités.
Lorsqu’un instrument juridique sectoriel de l’Union européenne visé à l’alinéa 1er ne couvre pas l’ensemble des entités d’un secteur spécifique entrant dans le champ d’application de la présente loi, les dispositions pertinentes de la présente loi s’appliquent aux entités non couvertes par cet instrument juridique sectoriel de l’Union européenne.

§ 2. Les exigences visées au paragraphe 1er, alinéa 1er, sont considérées comme ayant un effet équivalent aux obligations de la présente loi lorsque:

1° les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures visées à l’article 30; ou

2° l’instrument juridique sectoriel de l’Union européenne prévoit un accès immédiat, s’il y a lieu automatique et direct, aux notifications d’incidents pour le CSIRT national et lorsque les exigences relatives à la notification des incidents significatifs sont au moins équivalentes aux obligations visées aux articles 34 à 37.

§ 3. Les dispositions des titres 3 à 5 ne s’appliquent pas aux entités relevant des secteurs bancaire et infrastructures des marchés financiers au sens de l’annexe I qui tombent dans le champ d’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, en ce compris l’activité de dépositaire central de titres exercée par la Banque Nationale de Belgique.

§ 4. Les dispositions du titre 3, chapitre 1er, du titre 4 et du titre 5 ne s’appliquent pas:

1° à la Banque Nationale de Belgique, exception faite de son activité de dépositaire central de titres à laquelle s’applique le paragraphe 3;

2° aux établissements financiers soumis à la supervision de la Banque Nationale de Belgique en vertu des articles 8 et 12bis de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique qui ne relèvent pas du paragraphe 3.



Art. 7. Le Roi peut, par arrêté délibéré en Conseil des ministres:

1° préciser les instruments juridiques sectoriels équivalents visés à l’article 6, § 1er, alinéa 1er;

2° définir des règles particulières relatives à la coordination de l’échange d’informations, en ce compris des exigences relatives à la notification des incidents significatifs, entre les entités visées à l’article 6, § § 3 et 4, l’autorité sectorielle concernée, l’autorité nationale de cybersécurité et l’autorité chargée de la gestion des risques cyber.


CHAPITRE 2. – Définitions



Art. 8. Pour l’application de la présente loi, il faut entendre par:

1° «réseau et système d’information»:
a) un réseau de communications électroniques au sens de l’article 2, 3°, de la loi du 13 juin 2005 relative aux communications électroniques;
b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques, en ce compris les composants numériques, électroniques ou mécaniques de ce dispositif permettant notamment l’automatisation du processus opérationnel, le contrôle à distance, ou l’obtention de données de fonctionnement en temps réel; ou
c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;

2° «sécurité des réseaux et des systèmes d’information»: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;

3° «cybersécurité»: la cybersécurité au sens de l’article 2, 1), du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), ci-après le «règlement sur la cybersécurité»;

4° «stratégie nationale en matière de cybersécurité»: le cadre cohérent fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser en Belgique;

5° «incident»: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;

6° «incident évité»: un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, mais dont la réalisation a pu être empêchée ou ne s’est pas produite;

7° «incident de cybersécurité majeur»: un incident qui provoque des perturbations dépassant les capacités de réaction du seul Etat membre de l’Union européenne concerné ou qui a un impact significatif sur au moins deux Etats membres de l’Union européenne;

8° «traitement des incidents»: toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier;

9° «risque»: le potentiel de perte ou de perturbation à la suite d’un incident, à exprimer comme la combinaison de l’ampleur d’une telle perte ou d’une telle perturbation et de la probabilité qu’un tel incident se produise;

10° «cybermenace»: une cybermenace visée à l’article 2, point 8), du règlement sur la cybersécurité;

11° «cybermenace importante»: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable;

12° «produit TIC»: un produit TIC au sens de l’article 2, 12), du règlement sur la cybersécurité;

13° «service TIC»: un service TIC au sens de l’article 2, 13), du règlement sur la cybersécurité;

14° «processus TIC»: un processus TIC au sens de l’article 2, 14), du règlement sur la cybersécurité;

15° «vulnérabilité»: une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;

16° «norme»: une norme au sens de l’article 2, 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil ci-après le «règlement (UE) n°1025/2012»;

17° «point d’échange internet»: une structure de réseau qui permet l’interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet, qui n’assure l’interconnexion que pour des systèmes autonomes et qui n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic;

18° «système de nom de domaine» ou «DNS»: un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources;

19° «fournisseur de services DNS»: une entité qui fournit:
a) des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; ou
b) des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines;

20° «registre de noms de domaine de premier niveau»: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;

21° «entité fournissant des services d’enregistrement de noms de domaine»: un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire;

22° «service numérique»: un service au sens de l’article 1er, paragraphe 1er, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information;

23° «service de confiance»: un service de confiance au sens de l’article 3, 16, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, ci-après le «règlement eIDAS»;

24° «prestataire de services de confiance»: un prestataire de services de confiance au sens de l’article 3, 19, du règlement eIDAS;

25° «service de confiance qualifié»: un service de confiance qualifié au sens de l’article 3, 17, du règlement eIDAS;

26° «prestataire de services de confiance qualifiés»: un prestataire de services de confiance qualifié au sens de l’article 3, 20, du règlement eIDAS;

27° «place de marché en ligne»: une place de marché en ligne au sens de l’article I.8, 41°, du Code de droit économique;

28° «moteur de recherche en ligne»: un moteur de recherche en ligne au sens de l’article 2, 5), du règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne;

29° «service d’informatique en nuage»: un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits;

30° «service de centre de données»: un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;

31° «réseau de diffusion de contenu»: un réseau de serveurs géographiquement répartis visant à assurer la haute disponibilité, l’accessibilité ou la fourniture rapide de contenu et de services numériques aux utilisateurs d’internet pour le compte de fournisseurs de contenu et de services;

32° «plateforme de services de réseaux sociaux»: une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations;

33° «représentant»: une personne physique ou morale établie dans l’Union européenne qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union européenne, qui peut être contactée par l’autorité nationale de cybersécurité à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente loi;

34° «entité de l’administration publique»: une autorité administrative visée à l’article 14, § 1er, alinéa 1er, des lois coordonnées sur le Conseil d’Etat qui satisfait aux critères suivants:
a) elle n’a pas de caractère industriel ou commercial;
b) elle n’exerce pas à titre principal une activité énumérée dans la colonne type d’entité d’un autre secteur ou sous-secteur de l’une des annexes de la loi;
c) elle n’est pas une personne morale de droit privé.

35° «réseau de communications électroniques public»: un réseau public de communications électroniques au sens de l’article 2, 10°, de la loi du 13 juin 2005 relative aux communications électroniques;

36° «service de communications électroniques»: un service de communications électroniques au sens de l’article 2, 5°, de la loi du 13 juin 2005 relative aux communications électroniques;

37° «entité»: une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations;

38° «fournisseur de services gérés»: une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance;

39° «fournisseur de services de sécurité gérés»: un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité;

40° «organisme de recherche»: une entité dont l’objectif premier est de mener des activités de recherche appliquée ou de développement expérimental en vue d’exploiter les résultats de cette recherche à des fins commerciales, à l’exclusion des établissements d’enseignement;

41° «recommandation n° 2003/361/CE»: la Recommandation de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises;

42° «loi du 13 juin 2005»: la loi du 13 juin 2005 relative aux communications électroniques;

43° «loi du 1er juillet 2011″: la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques;

44° «arrêté royal du 18 avril 1988»: l’arrêté royal du 18 avril 1988 portant création du Centre gouvernemental de Coordination et de Crise;

45° «autorité nationale de cybersécurité»: l’autorité visée à l’article 16;

46° «CSIRT national»: le centre national de réponse aux incidents de sécurité informatique;

47° «ENISA»: l’Agence de l’Union européenne pour la cybersécurité instituée par le règlement sur la cybersécurité;

48° «NCCN»: le Centre institué par l’arrêté royal du 18 avril 1988;

49° «règlement (UE) 2016/679»: le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données);

50° «autorité de protection des données»: autorité de contrôle au sens de l’article 4, 21°, du règlement (UE) 2016/679;

51° «organisme national d’accréditation»: l’organisme visé à l’article 2, point 11, du règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n° 339/93 du Conseil, ci-après le «règlement (CE) n° 765/2008»;

52° «politique de sécurité des systèmes et réseaux d’information («P.S.I.»)»: la politique consignée dans un document visé à l’article 30, reprenant les mesures de sécurité des réseaux et des systèmes d’information, à adopter par une entité essentielle ou importante;

53° «organisme d’évaluation de la conformité»: l’organisme visé à l’article 2, point 13, du règlement (CE) n° 765/2008;

54° «autorité sectorielle»: l’autorité visée à l’article 15, § 2;

55° «réseau des CSIRT»: le réseau des CSIRT nationaux institué par l’article 15 de la directive NIS2;

56° «groupe de coopération»: le groupe de coopération établi par l’article 14 de la directive NIS2;

57° «incident significatif»: tout incident ayant un impact significatif sur la fourniture de l’un des services fournis dans les secteurs ou sous-secteurs repris à l’annexe I et II de la loi et qui:
1° a causé ou est susceptible de causer une perturbation opérationnelle grave de l’un des services fournis dans les secteurs ou sous-secteurs repris à l’annexe I et II ou des pertes financières pour l’entité concernée; ou
2° a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

58° «crise cyber»: tout incident de cybersécurité qui, par sa nature ou ses conséquences:
1° menace les intérêts vitaux du pays ou les besoins essentiels de la population;
2° requiert des décisions urgentes;
3° demande une action coordonnée de plusieurs départements et organisations.

59° «Institut»: l’Institut belge des services postaux et des télécommunications tel que visé à l’article 13 de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges.


CHAPITRE 3. – Catégories d’entités



Art. 9. Sont des entités essentielles:

1° les entités d’un type visé à l’annexe I qui excèdent les plafonds applicables aux moyennes entreprises prévus à l’article 2, paragraphe 1er, de l’annexe de la recommandation n° 2003/361/CE;

2° les prestataires de services de confiance qualifiés et les registres de noms de domaines de premier niveau ainsi que les fournisseurs de services DNS, quelle que soit leur taille;

3° les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public qui constituent au moins des moyennes entreprises, en vertu de l’article 2 de l’annexe de la recommandation n° 2003/361/CE;

4° les entités de l’administration publique qui dépendent de l’Etat fédéral;

5° les entités visées à l’article 3, § 4;

6° toute autre entité d’un type visé à l’annexe I ou II qui est identifiée comme entité essentielle conformément à l’article 11.



Art. 10. Sont des entités importantes:

1° les entités d’un type visé à l’annexe I ou II qui ne sont pas qualifiées d’entités essentielles sur la base de l’article 9;

2° les entités identifiées comme entités importantes conformément à l’article 11.

CHAPITRE 4. – Identification



Art. 11.

§ 1er. Sans préjudice de l’article 6, d’initiative ou sur proposition de l’éventuelle autorité sectorielle concernée, l’autorité nationale de cybersécurité identifie une entité comme entité essentielle ou importante, quelle que soit sa taille, dans les cas suivants:

1° l’entité est le seul prestataire, en Belgique, d’au moins un service essentiel au maintien d’activités sociétales ou économiques critiques, notamment dans l’un des secteurs ou sous-secteurs repris aux annexes I et II de la loi;

2° une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique;

3° une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où une telle interruption pourrait avoir un impact transfrontière;

4° l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants, en Belgique.

§ 2. En ce qui concerne les entités qui dépendent des entités fédérées, l’autorité nationale de cybersécurité identifie les administrations publiques qui, à la suite d’une évaluation basée sur les risques, fournissent des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.

§ 3. Dans le cadre de l’identification visée aux paragraphes 1er et 2, l’autorité nationale de cybersécurité soumet préalablement un projet de décision à l’entité concernée et ensuite aux éventuelles entités fédérées concernées et autorités sectorielles, qui rendent un avis non publié endéans les soixante jours.
En l’absence d’un avis rendu dans le délai visé à l’alinéa 1er, il peut être passé outre à l’absence d’avis.
En cas d’avis défavorable d’une autorité sectorielle et si l’autorité nationale de cybersécurité souhaite maintenir son projet de décision, le projet de décision, accompagné de l’avis, est soumis au Comité stratégique du renseignement et de la sécurité, créé par l’arrêté royal du 22 décembre 2020 portant création du Conseil national de sécurité, du Comité stratégique du renseignement et de la sécurité et du Comité de coordination du renseignement et de la sécurité, qui rend un avis contraignant.

§ 4. L’autorité nationale de cybersécurité évalue et, le cas échéant, met à jour l’identification des entités essentielles et importantes au moins tous les deux ans, selon les modalités visées aux paragraphes 1er à 3.
L’autorité nationale de cybersécurité adresse les identifications et actualisations des entités essentielles au NCCN et à l’éventuelle autorité sectorielle concernée.
L’autorité nationale de cybersécurité adresse les identifications et actualisations des entités importantes à l’éventuelle autorité sectorielle concernée.

§ 5. Dans les cas visés au paragraphe 1er, le Roi peut, par arrêté délibéré en Conseil des ministres, désigner comme entité essentielle ou importante une entité qui ne fait pas partie des secteurs visés en annexe.



Art. 12. Dans le cadre de l’identification visée à l’article 11, l’entité concernée transmet toutes les informations utiles à son éventuelle identification, à la demande de l’autorité nationale de cybersécurité ou de l’autorité sectorielle.


CHAPITRE 5. – Enregistrement des entités



Art. 13.

§ 1er. Dans les cinq mois suivant l’entrée en vigueur de la loi ou l’identification visée à l’article 11, les entités essentielles, les entités importantes et les entités fournissant des services d’enregistrement de noms de domaine s’enregistrent auprès de l’autorité nationale de cybersécurité selon les modalités pratiques fixées par cette autorité et lui communiquent les informations suivantes:

1° leur dénomination ainsi que leur numéro d’enregistrement auprès de la Banque-carrefour des entreprises (BCE) ou un enregistrement équivalent dans l’Union européenne;

2° leur adresse et leurs coordonnées actualisées, y compris leur adresse de courrier électronique, leurs plages d’IP et leur numéro de téléphone;

3° le cas échéant, le secteur et le sous-secteur concernés visés à l’annexe I ou II; et

4° le cas échéant, une liste des Etats membres dans lesquels elles fournissent des services relevant du champ d’application de la présente loi.
Le Roi peut compléter cette liste d’informations.

§ 2. Par dérogation au paragraphe 1er, alinéa 1er, lorsque l’entité visée au paragraphe précité communique déjà à l’autorité sectorielle concernée certaines des informations visées au paragraphe précité, en vertu d’une obligation légale, l’entité complète ces informations auprès de cette autorité sectorielle.
L’entité visée au paragraphe 1er, alinéa 1er, communique les informations dans les cinq mois suivant l’entrée en vigueur de la loi, selon les modalités pratiques fixées par l’autorité précitée.

§ 3. Les entités visées au paragraphe 1er, alinéa 1er, communiquent sans tarder toute modification des informations qu’elles ont communiquées conformément au paragraphe 1er, alinéa 1er, et paragraphe 2, alinéa 1er, et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

§ 4. L’autorité sectorielle concernée communique les informations collectées en vertu des paragraphes 2 et 3 à l’autorité nationale de cybersécurité.
L’autorité nationale de cybersécurité prend les mesures nécessaires pour que les autorités sectorielles puissent consulter, pour les secteurs qui les concernent, les données communiquées.


Art. 14.

§ 1er. Dans les deux mois suivant l’entrée en vigueur de la loi, les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités qui fournissent des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux communiquent à l’autorité nationale de cybersécurité, selon les modalités visées à l’article 13, § 1er, alinéa 1er, au moins les informations suivantes:

1° leur nom;

2° leur secteur, sous-secteur et type d’entité concernés, visés à l’annexe I ou II, le cas échéant;

3° l’adresse de leur établissement principal et de leurs autres établissements légaux dans l’Union ou, s’ils ne sont pas établis dans l’Union, de leur représentant désigné conformément à l’article 4, § 3;

4° leurs coordonnées actualisées, y compris les adresses de courrier électronique et les numéros de téléphone et, le cas échéant, celles de leur représentant désigné conformément à l’article 4, § 3;

5° les Etats membres dans lesquels ils fournissent leurs services relevant du champ d’application de la présente loi; et

6° leurs plages d’IP.

§ 2. Les entités visées au paragraphe 1er notifient à l’autorité nationale de cybersécurité toute modification des informations qu’elles ont communiquées en vertu du paragraphe 1er sans tarder et, en tout état de cause, dans un délai de trois mois à compter de la date de la modification.
§ 3. Par dérogation au paragraphe 1er, les données visées au même paragraphe, relatives aux prestataires de services de confiance qualifiés en Belgique, qui ont déjà été communiquées à l’organe de contrôle visé à l’article 17 du règlement eIDAS sont transmises par cet organe à l’autorité nationale de cybersécurité, selon les modalités fixées par le Roi.

TITRE 2. – Autorités compétentes et coopération au niveau national

CHAPITRE 1er. – Autorités compétentes

Section 1re. – Désignation des autorités compétentes


Art. 15. § 1er. Le Roi désigne l’autorité nationale de cybersécurité.

§ 2. Après avis de l’autorité nationale de cybersécurité, le Roi peut, par arrêté délibéré en Conseil des ministres, désigner une autorité sectorielle et, le cas échéant, un service d’inspection sectoriel chargé, pour un secteur ou sous-secteur spécifique, de la supervision de la mise en oeuvre des mesures sectorielles ou sous-sectorielles supplémentaires de gestion des risques en matière de cybersécurité visées à l’article 33.
Dans le cadre de la désignation visée à l’alinéa 1er, le Roi tient compte de l’identité des autorités sectorielles et services d’inspection sectoriels désignées dans le cadre de la loi du 1er juillet 2011.
Le Roi peut, par arrêté délibéré en Conseil des ministres, créer des autorités sectorielles, composées de représentants de l’Etat fédéral, des Communautés et des Régions, conformément aux modalités prévues à l’article 92ter de la loi spéciale du 8 août 1980 de réformes institutionnelles.
Par dérogation à l’alinéa 1er, la présente loi désigne elle-même les autorités sectorielles et les services d’inspection créés et régis par la loi.

Section 2. – L’autorité nationale de cybersécurité

Art. 16. L’autorité nationale de cybersécurité est chargée du suivi et de la coordination de la mise en oeuvre de la présente loi, de veiller à la mise en oeuvre de la présente loi par les entités essentielles et importantes ainsi que de la gestion des crises cyber et incidents de cybersécurité conformément à l’article 18.
A ce titre, l’autorité nationale de cybersécurité assure les tâches d’autorité compétente pour les entités essentielles et importantes, de CSIRT national, de point de contact national unique pour l’exécution de la présente loi et de représentation de la Belgique au sein du groupe de coopération, du réseau des CSIRT et du réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe) visé à l’article 16 de la directive NIS2.

Sous-section 1re. – Tâches relatives au rôle d’autorité compétente chargée de la cybersécurité

Art. 17. Les tâches de l’autorité nationale de cybersécurité sont les suivantes:

1° assurer la coordination entre les autorités compétentes dans le cadre de l’application de la présente loi, ainsi qu’entre les différents services et autorités concernés par la cybersécurité en Belgique;

2° superviser, coordonner et veiller à la mise en oeuvre de la stratégie nationale en matière de cybersécurité visée à l’article 28;

3° identifier des entités essentielles et importantes conformément à l’article 11;

4° superviser la mise en oeuvre de la loi par les entités essentielles et importantes conformément au titre 4;

5° assurer la coordination entre les autorités publiques et le secteur privé ou le monde scientifique;

6° formuler des propositions pour l’adaptation du cadre légal et réglementaire en matière de cybersécurité;

7° élaborer, diffuser et veiller à la mise en oeuvre des standards, directives et normes pour la cybersécurité des différents types de systèmes d’information;

8° coordonner la représentation belge aux forums internationaux sur la cybersécurité, le suivi des obligations internationales et la présentation du point de vue national en la matière;

9° servir de point de contact unique exerçant une fonction de liaison visant à assurer, dans le cadre de l’application de la présente loi, la coopération transfrontière des autorités belges avec les autorités compétentes des autres Etats membres de l’Union européenne et, le cas échéant, avec la Commission européenne et l’ENISA, ainsi qu’à garantir la coopération intersectorielle avec les autres autorités compétentes belges;

10° coordonner l’évaluation et la certification de la sécurité des systèmes d’information et de communication;

11° informer et sensibiliser les utilisateurs des systèmes d’information et de communication;
12° accorder des subventions pour des projets et activités relatifs à la cybersécurité, dans les limites de ses crédits budgétaires et selon les conditions établies par le Roi;

13° faciliter et encourager l’organisation de formations en matière de cybersécurité pour les membres du personnel des entités essentielles ou importantes;

14° établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Par la suite, réexaminer cette liste et, le cas échéant, la mettre à jour régulièrement et au moins tous les deux ans.
Sous-section 2. – Tâches relatives au rôle de gestion des crises cyber


Art. 18. Sans préjudice des articles 8 et 9 de la loi du 15 mai 2007 relative à la sécurité civile et de leurs arrêtés d’exécution et sans préjudice des compétences du NCCN, les tâches de l’autorité nationale de cybersécurité relatives au rôle de gestion des crises cyber sont les suivantes:

1° en collaboration avec le NCCN, recenser les capacités, les moyens et les procédures qui peuvent être déployés en cas de crise cyber;

2° superviser, en collaboration avec le NCCN, la rédaction, l’actualisation et l’opérationnalisation du plan national de réaction aux crises cyber et incidents de cybersécurité visé à l’article 29;

3° assurer le rôle de coordinateur dans la gestion des crises cyber et incidents de cybersécurité, le cas échéant conformément au plan visé au 2°.

Sous-section 3. – Tâches et obligations relatives au rôle de CSIRT national


Art. 19. § 1er. Les tâches du CSIRT national sont les suivantes:

1° surveiller et analyser les cybermenaces, les vulnérabilités et les incidents au niveau national et, sur demande, apporter une assistance aux entités essentielles et importantes concernées pour surveiller en temps réel ou quasi réel leurs réseaux et systèmes d’information;

2° activer le mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes concernées ainsi qu’auprès des autorités compétentes et des autres parties prenantes concernées, si possible en temps quasi réel;

3° réagir aux incidents et apporter une assistance aux entités essentielles et importantes concernées, le cas échéant;

4° rassembler et analyser des données forensiques, et assurer une analyse dynamique des risques et incidents et une appréciation de la situation en matière de cybersécurité;

5° réaliser, à la demande d’une entité essentielle ou importante, un scan proactif des réseaux et des systèmes d’information de l’entité concernée afin de détecter les vulnérabilités susceptibles d’avoir un impact important;

6° participer au réseau des CSIRT, coopérer de manière effective, efficace et sécurisée au sein de ce réseau et apporter une assistance mutuelle en fonction de ses capacités et de ses compétences aux autres membres du réseau des CSIRT à leur demande;

7° le cas échéant, agir en qualité de coordinateur aux fins du processus de divulgation coordonnée des vulnérabilités en vertu de l’article 22;

8° contribuer au déploiement d’outils sécurisés de partage d’informations;

9° procéder à un scan proactif et non intrusif des réseaux et systèmes d’information accessibles au public lorsque ce scan est effectué dans le but de détecter les réseaux et systèmes d’information vulnérables ou configurés de façon peu sûre et d’informer les entités concernées et qu’il n’a pas d’effet négatif sur le fonctionnement des services des entités;

10° détecter, observer et analyser des problèmes de sécurité informatique;

11° établir des relations de coopération avec les acteurs concernés du secteur privé, en vue d’atteindre les objectifs de la présente loi;

12° faciliter la coopération visée au 11° en encourageant l’adoption et l’utilisation de pratiques, de systèmes de classification et de taxonomies communs ou normalisés en ce qui concerne:
a) les procédures de gestion des incidents;
b) la gestion de crise; et
c) la divulgation coordonnée des vulnérabilités en vertu de l’article 22;

13° coopérer et, le cas échéant, échanger des informations pertinentes conformément à l’article 27 avec les communautés visées au même article;

14° participer aux évaluations par les pairs organisées conformément à l’article 19 de la directive NIS2.
Après avis du CSIRT national, le Roi peut, par arrêté délibéré en Conseil des ministres, lui confier des tâches supplémentaires.

§ 2. Lorsqu’il exécute les tâches visées au paragraphe 1er, le CSIRT national peut donner la priorité à certaines tâches sur la base d’une approche basée sur les risques.

Art. 20. Les obligations du CSIRT national sont les suivantes:

1° disposer d’une infrastructure de communication et d’information adaptée, sécurisée et résiliente lui permettant d’échanger des informations avec les entités essentielles et importantes et les autres parties prenantes;

2° veiller à un niveau élevé de disponibilité de ses canaux de communication en évitant les points uniques de défaillance et disposer de plusieurs moyens pour être contacté et contacter autrui à tout moment; spécifier clairement les canaux de communication et les faire connaître aux partenaires et collaborateurs;

3° disposer de locaux et de systèmes d’information se trouvant sur des sites sécurisés;

4° être doté d’un système approprié de gestion et de routage des demandes afin, notamment, de faciliter les transferts effectifs et efficaces;

5° garantir la confidentialité et la fiabilité de ses opérations;

6° être doté des effectifs adéquats afin de pouvoir garantir une disponibilité permanente de ses services et veiller à ce que son personnel reçoive une formation appropriée;

7° être doté de systèmes redondants et d’un espace de travail de secours pour assurer la continuité de ses services.


Art. 21.

§ 1er. Dans le cadre de l’exercice de ses compétences, le CSIRT national prend toutes les mesures adéquates afin de réaliser les objectifs définis aux articles 19 et 20. Ces mesures doivent être proportionnelles à ces objectifs, et respecter les principes d’objectivité, de transparence et de non-discrimination.

§ 2. Lorsque cela s’avère strictement nécessaire à la réalisation de ses tâches énumérées à l’article 19, § 1er, 1° à 5°, le CSIRT national peut obtenir d’un opérateur visé à l’article 2, 11°, de la loi du 13 juin 2005, des données d’identification visées à l’article 2, alinéa 1er, 5°, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ou des métadonnées de communications électroniques au sens de l’article 2, 93°, de la loi précitée du 13 juin 2005 conservées par celui-ci.
Sans porter atteinte aux, ou sans s’immiscer dans les compétences des personnes exerçant la police judiciaire ni des autorités judiciaires, les finalités poursuivies par les tâches précitées sont:

1° sans finalité à caractère pénal, la prévention, la recherche et la détection des infractions commises en ligne ou par le biais d’un réseau ou service de communications électroniques, en ce compris des faits qui relèvent de la criminalité grave;

2° la prévention de menaces graves contre la sécurité publique;

3° l’examen de défaillances de la sécurité des réseaux ou de services de communications électroniques ou des systèmes d’information.
Le CSIRT national peut déterminer le délai endéans lequel l’opérateur répond à sa demande, en fonction de l’urgence de celle-ci.

§ 3. Lorsque le CSIRT national adresse à un opérateur une demande de données d’identification visées à l’article 2, alinéa 1er, 5°, de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges, cette demande est autorisée par le supérieur hiérarchique.

§ 4. Lorsque le CSIRT national adresse à un opérateur une demande de métadonnées de communications électroniques au sens de l’article 2, 93°, de la loi du 13 juin 2005 autres que celles visées au paragraphe 3, cette demande fait l’objet d’un contrôle préalable par l’autorité de protection des données.
En cas de situation urgente dûment justifiée, le CSIRT national peut se passer du contrôle préalable visé à l’alinéa 1er et solliciter directement les données. Cette demande est envoyée sans délai à l’autorité visée à l’alinéa 1er pour permettre un contrôle ultérieur.
Lorsqu’à la suite du contrôle visé à l’alinéa 2, l’autorité de protection des données refuse de confirmer la validité de la demande de métadonnées de communications électroniques visée à l’alinéa 1er, le CSIRT national le notifie sans délai à l’opérateur concerné et supprime les métadonnées reçues.

§ 5. Le directeur général du CSIRT national désigne expressément les personnes habilitées à traiter les données de communications électroniques visées au présent article.

§ 6. Le CSIRT national informe, dans la mesure du possible, les personnes physiques concernées de l’accès à leurs données de communications électroniques lorsque cela n’est plus susceptible de compromettre le bon déroulement de ses tâches ou d’une enquête en cours et lorsque ces personnes peuvent être identifiées.

§ 7. Sans préjudice des articles 28quinquies, § 1er, et 57, § 1er, du Code d’instruction criminelle, pour atteindre ces objectifs, le CSIRT national est autorisé à détenir, à divulguer, à diffuser ou à faire usage de toutes les informations disponibles, même si celles-ci sont issues d’un accès non autorisé à un système informatique par un tiers.

§ 8. Dans l’accomplissement de ses missions, le CSIRT national use de la prudence que l’on est en droit d’attendre d’une autorité publique, en veillant toujours en priorité à ne pas perturber le fonctionnement du système informatique et en prenant toutes précautions raisonnables afin qu’aucun dommage matériel ne soit causé au système informatique.
Le directeur général du CSIRT national veille, par l’adoption de procédures internes, au respect des conditions visées au présent article.


Art. 22.

§ 1er. Dans son rôle de coordinateur aux fins de la divulgation coordonnée des vulnérabilités, le CSIRT national fait office d’intermédiaire de confiance en facilitant, si nécessaire, les interactions entre la personne physique ou morale qui signale une potentielle vulnérabilité et le fabricant ou le fournisseur des produits TIC ou des services TIC potentiellement vulnérables, à la demande de l’une des deux parties.
Dans ce cadre, les tâches du CSIRT national consistent notamment à:

1° identifier et contacter les entités concernées;

2° apporter une assistance aux personnes physiques ou morales signalant une vulnérabilité; et

3° négocier des délais de divulgation et gérer les vulnérabilités qui touchent plusieurs entités.

§ 2. Toute personne physique ou morale peut signaler, même de manière anonyme lorsqu’elle le demande, au CSIRT national l’existence d’une potentielle vulnérabilité.
Le signalement est effectué par écrit, selon la procédure détaillée sur le site internet du CSIRT national.
Ce signalement est sans préjudice de l’application de la loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l’Union ou au droit national constatées au sein d’une entité juridique du secteur privé ou des dispositions légales sur la protection des personnes qui signalent des violations au droit de l’Union ou au droit national constatées au sein d’une entité juridique du secteur public.

§ 3. Le CSIRT national veille à ce que des mesures de suivi diligentes soient prises en ce qui concerne la vulnérabilité signalée et veille à l’anonymat de la personne physique ou morale signalant la vulnérabilité, pour autant que cette personne le demande et respecte les conditions visées à l’article 23.
Le CSIRT national préserve l’exhaustivité, l’intégrité, le stockage durable et la confidentialité des informations transmises au travers du signalement.
L’accès à ces informations est limité aux personnes habilitées par le directeur général du CSIRT national, sauf lorsque le partage de ces informations s’avère nécessaire à l’exécution des tâches énumérées au présent article.

§ 4. Tout en respectant les conditions énumérées à l’article 21, § § 1er et 4, le CSIRT national peut observer, étudier ou tester la sécurité d’un réseau et système d’information afin de déterminer l’existence d’une vulnérabilité potentielle ou de vérifier les méthodes utilisées par l’auteur de signalement.

§ 5. Lorsque la vulnérabilité signalée est susceptible d’avoir un impact significatif sur des entités dans plusieurs Etats membres, le CSIRT national coopère, le cas échéant, avec les autres CSIRT désignés comme coordinateurs au sein du réseau des CSIRT.

§ 6. Le directeur général du CSIRT national veille, par l’adoption de procédures internes, au respect des conditions visées au présent article.


Art. 23.

§ 1er. Dans le cadre de la procédure visée à l’article 22, les auteurs de signalement ne commettent pas d’infraction aux articles 314bis, 458, 550bis, 550ter du Code pénal et de l’article 145 de la loi du 13 juin 2005 à condition:

1° qu’ils aient agi sans intention frauduleuse, ni dessein de nuire;

2° qu’ils aient adressé une notification simplifiée qui reprend l’identification du système concerné et une description simple de la vulnérabilité potentielle, sans délai et au plus tard dans les vingt-quatre heures de la découverte d’une potentielle vulnérabilité, à l’organisation responsable du système et au CSIRT national;

3° qu’ils aient adressé une notification complète, sans délai et au plus tard dans les septante-deux heures de la découverte d’une potentielle vulnérabilité, à l’organisation responsable du système, le cas échéant dans le respect des modalités de signalement établis par cette organisation, et au CSIRT national, conformément à la procédure visée à l’article 22, § 2;

4° qu’ils n’aient pas agi au-delà de ce qui était nécessaire et proportionné pour vérifier l’existence d’une vulnérabilité et pour la rapporter;

5° qu’ils n’aient pas publiquement divulgué les informations relatives à la vulnérabilité découverte et aux systèmes vulnérables, sans l’accord du CSIRT national;

6° en ce qui concerne les réseaux et systèmes des organisations visées à l’article 5, § § 4 et 5, et des organes judiciaires ainsi que les informations traitées par eux ou pour leur compte, qu’ils aient, avant la commission de ces actes, conclu un accord écrit avec le service compétent sur les modalités et la méthodologie à utiliser dans le cadre de la recherche de potentielles vulnérabilités.

§ 2. Lorsque des personnes signalent des informations sur une potentielle vulnérabilité dont ils ont eu connaissance dans leur contexte professionnel, elles ne sont pas considérées comme ayant enfreint leur obligation de secret professionnel et n’encourent aucune responsabilité d’aucune sorte concernant la transmission d’informations nécessaires pour signaler une potentielle vulnérabilité au CSIRT national.

§ 3. Toute autre responsabilité éventuelle des auteurs de signalement découlant d’actes ou d’omissions qui ne sont pas nécessaires à l’accomplissement de la procédure visée à l’article 22 et ne respectent pas les conditions du paragraphe 1er continue d’être régie par le droit applicable.

Section 3. – Les éventuelles autorités sectorielles


Art. 24. Sans préjudice des autres dispositions, l’autorité sectorielle peut:

1° organiser des exercices sectoriels, les coordonner ou y participer, pour ce qui concerne les mesures visées aux articles 30 et 33;

2° analyser et gérer les conséquences d’un incident pour le secteur;

3° participer aux travaux du groupe de coopération pour ce qui concerne les sujets qui touchent à ses compétences;

4° sensibiliser les entités relevant de son secteur.

CHAPITRE 2. – Coopération au niveau national


Art. 25. § 1er. Les autorités visées au chapitre 1er du présent titre coopèrent les unes avec les autres afin de respecter les obligations énoncées dans la présente loi.

§ 2. En fonction des besoins nécessaires à l’exécution de la présente loi, les autorités visées au paragraphe 1er coopèrent également, au niveau national, avec le NCCN, les services administratifs de l’Etat, les autorités administratives, en ce compris les autorités nationales en vertu des règlements (CE) n° 300/2008 et n° 2018/1139, les organes de contrôle au titre du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, la Banque Nationale de Belgique, l’Autorité des services et marchés financiers, l’Institut, les autorités compétentes en vertu de la loi du 1er juillet 2011, les autorités judiciaires, les services de renseignement et de sécurité visés par la loi du 30 novembre 1998 organique des services de renseignement et de sécurité, les services de police visés par la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux et avec les autorités de protection des données.

§ 3. Les entités essentielles et importantes et les autorités visées au chapitre 1er du présent titre collaborent en tout temps, par un échange adéquat d’informations concernant la sécurité des systèmes et réseaux d’informations.

§ 4. Les autorités visées au chapitre 1er du présent titre et les autorités compétentes dans le cadre de la loi du 1er juillet 2011 coopèrent et échangent régulièrement des informations sur le recensement des infrastructures critiques, les risques, les cybermenaces et les incidents, ainsi que sur les risques, menaces et incidents non cyber qui touchent les exploitants d’infrastructures recensées en tant qu’infrastructures critiques en vertu de la loi du 1er juillet 2011 et sur les mesures prises pour faire face à ces risques, menaces et incidents.

§ 5. Les autorités visées au chapitre 1er du présent titre et les autorités compétentes en vertu du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 et de la loi du 13 juin 2005, échangent régulièrement des informations pertinentes, y compris en ce qui concerne les incidents et les cybermenaces concernés.

§ 6. L’autorité nationale de cybersécurité crée une plateforme de coordination et d’évaluation afin que les autorités visées à l’article 15 et le NCCN échangent de l’information et se coordonnent dans le cadre de l’exécution de la présente loi.

CHAPITRE 3. – Confidentialité et échanges d’information


Art. 26. § 1er. Le présent article ne porte pas préjudice à l’application de la loi du 15 avril 1994 relative à la protection de la population et de l’environnement contre les dangers résultant des rayonnements ionisants et relative à l’Agence fédérale de Contrôle nucléaire, de la loi du 11 avril 1994 relative à la publicité de l’administration ou d’autres dispositions légales garantissant la confidentialité des informations liées aux intérêts essentiels de la sécurité publique nationale.

§ 2. Toute personne qui est appelée à prêter son concours professionnel à l’évaluation de la conformité ou à la supervision est tenue au secret. Celui qui viole ce secret est puni des peines prévues à l’article 458 du Code pénal.
Les personnes dépositaires, par état ou par profession, des secrets qu’on leur confie sont autorisées à faire connaître ces secrets pour l’exécution de la présente loi.
Ces personnes obtiennent l’accord des autorités visées à l’article 5, § 4, lorsque ces autorités sont concernées par le secret.

§ 3. Les autorités visées au chapitre 1er du présent titre, les entités essentielles ou importantes, ou leurs sous-traitants, limitent l’accès aux informations dans le cadre de la présente loi aux personnes ayant besoin d’en connaître et d’y avoir accès pour l’exercice de leurs fonctions ou de leur mission en lien avec l’exécution de la présente loi.

§ 4. Les informations fournies aux autorités visées au chapitre 1er du présent titre par les entités essentielles ou importantes, peuvent être échangées avec des autorités de l’Union européenne, avec des autorités belges ou étrangères, lorsque cet échange est nécessaire à l’application de dispositions légales.
Les informations échangées se limitent à ce qui est pertinent et sont proportionnées à l’objectif de cet échange, notamment dans le respect du règlement (UE) 2016/679. Cet échange d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités essentielles ou importantes.


Art. 27.

§ 1er. A titre volontaire, les entités relevant du champ d’application de la présente loi et, le cas échéant, les autres entités concernées ne relevant pas du champ d’application de la présente loi peuvent échanger, entre elles, au sein de communautés, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations:

1° vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact;

2° renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en oeuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.

§ 2. L’échange d’informations visé au paragraphe 1er est mis en oeuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.

§ 3. L’autorité nationale de cybersécurité facilite la mise en place des accords de partage d’informations en matière de cybersécurité visés au paragraphe 2. Ces accords peuvent préciser les éléments opérationnels, y compris l’utilisation de plateformes TIC spécialisées et d’outils d’automatisation, le contenu et les conditions des accords de partage d’informations. L’autorité nationale de cybersécurité et les éventuelles autorités sectorielles peuvent imposer des conditions d’utilisation des informations qu’elles mettent à disposition des communautés visées au paragraphe 1er.

§ 4. Les entités essentielles et importantes notifient à l’autorité nationale de cybersécurité leur participation aux accords de partage d’informations en matière de cybersécurité visés au paragraphe 2, lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords, une fois que le retrait prend effet.

CHAPITRE 4. – Stratégie nationale en matière de cybersécurité

Art. 28. § 1er. Les ministres réunis en Conseil adoptent la stratégie nationale en matière de cybersécurité et la mettent à jour au moins tous les cinq ans, sur la base d’indicateurs de performance, après avis du Conseil national de sécurité, des autorités visées à l’article 15, du NCCN et, le cas échéant, des autorités de protection des données.
Cette stratégie définit les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs, ainsi que les mesures politiques et règlementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir.

§ 2. La stratégie nationale en matière de cybersécurité comprend, entre autres:

1° les objectifs et les priorités de la stratégie nationale en matière de cybersécurité, couvrant en particulier les secteurs visés aux annexes I et II;

2° un cadre de gouvernance visant à atteindre les objectifs et les priorités visés au 1°, y compris les tâches et les responsabilités des autorités publiques et des autres acteurs concernés ainsi que les politiques visées au paragraphe 3;

3° un cadre de gouvernance précisant les rôles et les responsabilités des parties prenantes en Belgique, et sur lequel reposent la coopération et la coordination, en Belgique, entre les autorités visées au chapitre 1er du présent titre ainsi que la coopération et la coordination entre ces autorités et les autorités compétentes en vertu d’instruments juridiques sectoriels de l’Union européenne;

4° un mécanisme visant à identifier les actifs pertinents et une évaluation des risques en Belgique;

5° un inventaire des mesures garantissant la préparation, la réaction et la récupération des services après incident, y compris la coopération entre les secteurs public et privé;

6° une liste des différents acteurs et autorités concernés par la mise en oeuvre de la stratégie nationale en matière de cybersécurité;

7° un cadre politique visant une coordination renforcée entre les autorités visées au chapitre 1er du présent titre et les autorités compétentes en vertu de la loi du 1er juillet 2011 aux fins du partage d’informations relatives aux risques, aux menaces et aux incidents dans les domaines cyber et non cyber et de l’exercice des tâches de supervision, le cas échéant;

8° un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité;

9° un aperçu des programmes d’éducation, de sensibilisation et de formation en rapport avec la stratégie nationale en matière de cybersécurité;

10° un aperçu des plans de recherche et de développement en rapport avec la stratégie nationale en matière de cybersécurité.

§ 3. Des politiques, parties intégrantes de la stratégie nationale en matière de cybersécurité, sont adoptées et portent sur les éléments suivants:

1° la cybersécurité dans le cadre de la chaîne d’approvisionnement des produits et services TIC utilisés par des entités pour la fourniture de leurs services;

2° l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris concernant la certification de cybersécurité, le chiffrement et l’utilisation de produits de cybersécurité en sources ouvertes;

3° la gestion des vulnérabilités, y compris la promotion et la facilitation de la divulgation coordonnée des vulnérabilités conformément à l’article 22;

4° le maintien de la disponibilité générale, de l’intégrité et de la confidentialité du noyau public de l’internet ouvert, y compris, le cas échéant, la cybersécurité des câbles de communication sous-marins;

5° la promotion du développement et de l’intégration de technologies avancées pertinentes visant à mettre en oeuvre des mesures de pointe dans la gestion des risques en matière de cybersécurité;

6° la promotion et le développement de l’éducation et de la formation en matière de cybersécurité, des compétences en matière de cybersécurité, des initiatives de sensibilisation et de recherche et de développement en matière de cybersécurité, ainsi que des orientations sur les bonnes pratiques de cyberhygiène et les contrôles, à l’intention des citoyens, des parties prenantes et des entités;

7° le soutien aux institutions universitaires et de recherche visant à développer, améliorer et promouvoir le déploiement des outils de cybersécurité et à sécuriser les infrastructures de réseau;

8° la mise en place de procédures pertinentes et d’outils de partage d’informations appropriés visant à soutenir le partage volontaire d’informations sur la cybersécurité entre les entités;

9° le renforcement des valeurs de cyberrésilience et de cyberhygiène des petites et moyennes entreprises, en particulier celles qui sont exclues du champ d’application de la présente loi, en fournissant des orientations et un soutien facilement accessibles pour répondre à leurs besoins spécifiques;

10° la promotion d’une cyberprotection active.

CHAPITRE 5. – Le plan national de réaction aux crises cyber et incidents de cybersécurité


Art. 29.

§ 1er. Le Roi établit, par arrêté délibéré en Conseil des ministres, un plan national de réaction aux crises cyber et incidents de cybersécurité. Ce plan constitue un plan national au sens de l’article 9, § 2, de la loi du 15 mai 2007 relative à la sécurité civile.

§ 2. Sans préjudice des éléments devant être contenus dans les plans nationaux, le plan national de réaction aux crises cyber et incidents de cybersécurité contient au moins les éléments suivants:

1° les objectifs des mesures et activités nationales de préparation;

2° les tâches et responsabilités des autorités de gestion des crises cyber;

3° les procédures de gestion des crises cyber, y compris leur intégration dans le cadre national général de gestion des crises et les canaux d’échange d’informations;

4° les mesures de préparation nationales, y compris des exercices et des activités de formation;

5° les parties prenantes et les infrastructures des secteurs public et privé concernées;

6° les procédures et arrangements nationaux entre les autorités et les organismes nationaux compétents visant à garantir la participation et le soutien effectifs de la Belgique à la gestion coordonnée des crises cyber et incidents de cybersécurité au niveau de l’Union européenne.

TITRE 3. – Mesures de gestion des risques en matière de cybersécurité et obligations d’information

CHAPITRE 1. – Mesures de gestion des risques en matière de cybersécurité


Art. 30.

§ 1er. Les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services.

§ 2. Les mesures visées au paragraphe 1er garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en oeuvre. Lors de l’évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d’exposition de l’entité aux risques, de la taille de l’entité et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.

§ 3. Les mesures visées au paragraphe 1er sont fondées sur une approche «tous risques» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents, et elles portent au moins sur:

1° les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information;

2° la gestion des incidents;

3° la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises;

4° la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs;

5° la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités;

6° des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité;

7° les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité;

8° des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement;

9° la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs;

10° l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins;

11° une politique de divulgation coordonnée des vulnérabilités.

§ 4. Lorsque les entités essentielles et importantes examinent lesquelles des mesures visées au paragraphe 3, 4°, sont appropriées, elles tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé.
Ces mesures doivent être appropriées au regard des résultats des évaluations coordonnées au niveau de l’Union européenne des risques pour la sécurité des chaînes d’approvisionnement critiques.

§ 5. Chaque entité essentielle et importante effectue une analyse des risques fondée sur une approche «tous risques» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents et élabore, sur la base de cette analyse, une P.S.I. reprenant au moins les aspects visés au paragraphe 3.

§ 6. Lorsqu’une entité essentielle ou importante constate qu’elle ne se conforme pas aux mesures visées au paragraphe 3, elle prend, sans retard injustifié, toutes les mesures correctives nécessaires appropriées et proportionnées.


Art. 31. § 1er. Les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité que ces entités prennent afin de se conformer à l’article 30, supervisent leur mise en oeuvre et sont responsables de la violation dudit article par ces entités.
Cet article est sans préjudice des règles en matière de responsabilité applicables aux institutions publiques, ainsi que de responsabilité des agents de la fonction publique et des responsables élus ou nommés.

§ 2. Les membres des organes de direction des entités essentielles et importantes suivent une formation pour que leurs connaissances et compétences soient suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.


Art. 32. L’entité essentielle ou importante est responsable de l’analyse des risques effectuée ainsi que du choix et de la mise en oeuvre des mesures visées à l’article 30, § 1er.


Art. 33. Après consultation de l’autorité nationale de cybersécurité, de l’éventuelle autorité sectorielle concernée et des entités fédérées concernées, le Roi peut, par arrêté délibéré en Conseil des ministres, imposer des mesures supplémentaires de gestion des risques en matière de cybersécurité appropriées et proportionnées.

CHAPITRE 2. – Notification d’incidents

Section 1re. – Notification obligatoire


Art. 34.

§ 1er. Les entités essentielles et importantes notifient tout incident significatif sans retard injustifié au CSIRT national, selon les modalités établies dans un protocole conclu entre lui et le NCCN. Ces entités signalent, entre autres, toute information permettant au CSIRT national de déterminer si l’incident a un impact transfrontière.
Le cas échéant, les entités concernées notifient, sans retard injustifié, aux destinataires de leurs services les incidents significatifs susceptibles de nuire à la fourniture des services relatifs aux secteurs ou sous-secteurs repris à l’annexe I et II.
Le CSIRT national communique immédiatement les notifications visées à l’alinéa 1er aux éventuelles autorités sectorielles compétentes. Les notifications des entités essentielles sont également transmises au NCCN.

§ 2. Le cas échéant, les entités concernées communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace importante elle-même.

§ 3. Après consultation de l’autorité nationale de cybersécurité, des autorités sectorielles, du NCCN et des entités fédérées, le Roi peut déterminer, par arrêté délibéré en Conseil des ministres, des seuils précis de notification en fonction du degré d’impact ou d’urgence de l’incident.

§ 4. Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification.


Art. 35.

§ 1er. Aux fins de la notification visée à l’article 34, § 1er, alinéa 1er, les entités concernées soumettent au CSIRT national:

1° sans retard injustifié et en tout état de cause dans les vingt-quatre heures après avoir eu connaissance de l’incident significatif, une alerte précoce qui, le cas échéant, indique si l’on suspecte que l’incident significatif a été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière;

2° sans retard injustifié et en tout état de cause dans les septante-deux heures après avoir eu connaissance de l’incident significatif, une notification d’incident qui, le cas échéant, met à jour les informations visées au 1° et fournit une évaluation initiale de l’incident significatif, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles;

3° à la demande du CSIRT national ou de l’éventuelle autorité sectorielle concernée, un rapport intermédiaire sur les mises à jour pertinentes de la situation;

4° un rapport final au plus tard un mois après la présentation de la notification d’incident visée au 2°, comprenant les éléments suivants:
a) une description détaillée de l’incident, y compris de sa gravité et de son impact;
b) le type de menace ou la cause profonde qui a probablement déclenché l’incident;
c) les mesures d’atténuation appliquées et en cours;
d) le cas échéant, l’impact transfrontière de l’incident;

5° en cas d’incident en cours au moment de la présentation du rapport final visé au 4°, les entités concernées fournissent à ce moment-là un rapport d’avancement puis un rapport final dans un délai d’un mois à compter du traitement définitif de l’incident.

§ 2. Par dérogation au paragraphe 1er, 2°, un prestataire de services de confiance notifie au CSIRT national les incidents significatifs qui ont un impact sur la fourniture de ses services de confiance, sans retard injustifié et en tout état de cause dans les vingt-quatre heures après avoir eu connaissance de l’incident significatif.

§ 3. Le CSIRT national communique, immédiatement, les notifications visées aux paragraphes 1er et 2 aux éventuelles autorités sectorielles compétentes. Les notifications des entités essentielles sont également transmises au NCCN.


Art. 36.

§ 1er. Le CSIRT national fournit, sans retard injustifié et si possible dans les vingt-quatre heures suivant la réception de l’alerte précoce visée à l’article 35, § 1er, 1°, une réponse à l’entité émettrice de la notification, y compris un retour d’information initial sur l’incident significatif et, à la demande de l’entité, des orientations ou des conseils opérationnels sur la mise en oeuvre d’éventuelles mesures d’atténuation.

§ 2. Le CSIRT national fournit un soutien technique supplémentaire si l’entité concernée le demande. Lorsqu’il y a lieu de suspecter que l’incident est de nature criminelle, le CSIRT national fournit également des orientations sur les modalités de notification de l’incident significatif aux autorités répressives.


Art. 37.

§ 1er. Lorsque c’est approprié, et notamment si l’incident significatif concerne deux Etats membres ou plus, le CSIRT national informe sans retard injustifié les autres Etats membres touchés et l’ENISA de l’incident significatif. Sont alors partagées des informations du type de celles reçues conformément à l’article 35. Ce faisant, le CSIRT national doit, dans le respect du droit de l’Union européenne ou du droit national, préserver la sécurité et les intérêts commerciaux de l’entité ainsi que la confidentialité des informations communiquées.

§ 2. Lorsque la sensibilisation du public est nécessaire pour prévenir un incident significatif ou pour faire face à un incident significatif en cours, ou lorsque la divulgation de l’incident significatif est par ailleurs dans l’intérêt public, le CSIRT national peut, après avoir consulté l’entité concernée, le NCCN, l’éventuelle autorité sectorielle concernée et le ministre concerné, informer le public de l’incident significatif ou exiger de l’entité qu’elle le fasse.

§ 3. A la demande de l’éventuelle autorité sectorielle concernée, l’autorité nationale de cybersécurité transmet les notifications reçues en vertu de l’article 34, § 1er, alinéa 1er, aux points de contact uniques des autres Etats membres touchés.

§ 4. L’autorité nationale de cybersécurité soumet tous les trois mois à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents significatifs, les incidents, les cybermenaces et les incidents évités notifiés conformément à l’article 34, § 1er, alinéa 1er, et à l’article 38, § 1er.

§ 5. Le CSIRT national fournit aux autorités compétentes en vertu de la loi du 1er juillet 2011 des informations sur les incidents significatifs, les incidents, les cybermenaces et les incidents évités notifiés conformément l’article 34, § 1er, alinéa 1er, et à l’article 38, § 1er, par les exploitants d’infrastructures identifiées comme infrastructures critiques en vertu de la loi du 1er juillet 2011.

Section 2. – Notification volontaire


Art. 38.

§ 1er. Outre les obligations de notification visées à l’article 34, peuvent être notifiés à titre volontaire au CSIRT national par:

1° les entités essentielles et importantes, les incidents, les cybermenaces et les incidents évités;

2° les entités autres que celles visées au 1°, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente loi, les incidents significatifs, les cybermenaces et les incidents évités.

§ 2. Les notifications volontaires visées au paragraphe 1er sont traitées de la même manière que les notifications obligatoires visées à la section 1re du présent chapitre.
Les notifications obligatoires peuvent néanmoins être traitées de manière prioritaire par rapport aux notifications volontaires.
Sans préjudice de la prévention et de la détection d’infractions pénales et des enquêtes et poursuites en la matière, un signalement volontaire n’a pas pour effet direct de lancer une inspection visée à l’article 44 ou d’imposer à l’entité ayant effectué la notification des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis la notification.

TITRE 4. – Supervision et sanctions

CHAPITRE 1er. – Supervision

Section 1re. – Evaluation périodique de la conformité


Art. 39. Les entités essentielles se soumettent à une évaluation périodique de la conformité de la mise en oeuvre des mesures de gestion des risques en matière de cybersécurité visées à l’article 30, sur base des modalités et des cadres de référence déterminés par le Roi:

1° Soit en choisissant une évaluation périodique de la conformité visée à l’article 40, sur base de l’un des cadres de référence déterminé par le Roi;

2° Soit en se soumettant à une inspection par l’autorité nationale de cybersécurité, sur base des modalités déterminées par le Roi.
Par dérogation à l’alinéa 1er, et à la demande de l’autorité sectorielle concernée, les inspections visées à l’alinéa 1er, 2°, sont effectuées de manière conjointe, sous la direction de l’autorité nationale de cybersécurité ou sont déléguées à l’éventuel service d’inspection concerné moyennant l’accord de l’autorité nationale de cybersécurité.
Lorsque le Roi détermine plusieurs cadres de référence, les entités essentielles choisissent le cadre de référence auquel ils se soumettent.


Art. 40.

§ 1er. L’évaluation périodique de la conformité visée à l’article 39, alinéa 1er, 1°, est effectuée par un organisme d’évaluation de la conformité agréé par l’autorité nationale de cybersécurité selon les conditions fixées par le Roi.
Pour le contrôle des entités identifiées comme exploitants d’une infrastructure critique au sens de la loi du 1er juillet 2011 et des entités de l’administration publique, l’organisme d’évaluation de la conformité ainsi que les personnes physiques qui évaluent la conformité disposent d’une habilitation de sécurité.

§ 2. Le service d’inspection de l’autorité nationale de cybersécurité peut à tout moment vérifier le respect des conditions d’agrément visées au paragraphe 1er par les organismes d’évaluation de la conformité, conformément aux dispositions du présent chapitre.


Art. 41. Les entités importantes peuvent, de manière volontaire, se soumettre à une évaluation périodique de la conformité visée à l’article 39, alinéa 1er, 1°, de la mise en oeuvre des mesures de gestion des risques en matière de cybersécurité visées à l’article 30, § 3, sur base des modalités et des cadres de référence déterminés par le Roi.


Art. 42. Les entités essentielles et importantes qui se soumettent à une évaluation périodique de la conformité visée à l’article 39, alinéa 1er, 1°, respectivement conformément à l’article 39 et 41 sont, jusqu’à preuve du contraire, présumées respecter les obligations visées à l’article 30.


Art. 43. Une liste des organismes d’évaluation de la conformité agréés par l’autorité nationale de cybersécurité conformément à l’article 40 est disponible auprès de l’autorité nationale de cybersécurité, qui la tient à jour.

Section 2. – Dispositions générales relatives au service d’inspection


Art. 44.

§ 1er. Le service d’inspection de l’autorité nationale de cybersécurité réalise des contrôles du respect par les entités essentielles et importantes des mesures de gestion des risques en matière de cybersécurité et des règles de notification des incidents.
Par dérogation à l’alinéa 1er, et à la demande de l’autorité sectorielle concernée, ces contrôles sont effectués de manière conjointe, sous la direction de l’autorité nationale de cybersécurité, ou sont délégués à l’éventuel service d’inspection concerné moyennant l’accord de l’autorité nationale de cybersécurité.
L’autorité sectorielle ou le service d’inspection sectoriel compétents, ou, lorsqu’aucun service d’inspection sectoriel n’a été désigné par la loi ou par le Roi, le service d’inspection de l’autorité nationale de cybersécurité peut réaliser des contrôles du respect par les entités essentielles et importantes des mesures de gestion des risques en matière de cybersécurité sectorielles ou sous-sectorielles supplémentaires visées à l’article 33.

§ 2. Au moment de formuler une demande d’informations ou de preuves, le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents mentionnent la finalité de la demande, les informations ou preuves précises demandées et le délai dans lequel celles-ci doivent être fournies.
Le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétent peuvent faire appel à des experts.

§ 3. Le service d’inspection de l’autorité nationale de cybersécurité ainsi que les éventuels autorités sectorielles et services d’inspection sectoriels peuvent fixer des priorités en ce qui concerne les tâches de supervision visées au présent titre selon une approche basée sur les risques.

§ 4. Lorsqu’ils traitent des incidents donnant lieu à des violations de données à caractère personnel telles que définies à l’article 4, point 12), du règlement (UE) 2016/679, le service d’inspection de l’autorité nationale de cybersécurité ainsi que les éventuels autorités sectorielles et services d’inspection sectoriels coopèrent étroitement avec les autorités de protection des données, sans préjudice de la compétence et des missions de ces dernières.


Art. 45.

§ 1er. Le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents informent les autorités compétentes en vertu de la loi du 1er juillet 2011 lorsqu’ils exercent leurs pouvoirs de supervision et d’exécution dans le but de garantir qu’un exploitant d’une infrastructure identifiée comme critique en vertu de la loi du 1er juillet 2011 respecte la présente loi. Le cas échéant, les autorités compétentes en vertu de la loi du 1er juillet 2011 peuvent demander au service d’inspection de l’autorité nationale de cybersécurité et à l’éventuelle autorité sectorielle ou à l’éventuel service d’inspection sectoriel compétents d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’un exploitant d’une infrastructure qui est identifiée comme infrastructure critique en vertu de la loi du 1er juillet 2011.

§ 2. Le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents coopèrent avec les autorités compétentes pertinentes en vertu du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011. En particulier, le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents informent le forum de supervision institué en vertu de l’article 32, paragraphe 1, dudit règlement lorsqu’ils exercent leurs pouvoirs de supervision et d’exécution dans le but de garantir qu’une entité essentielle ou importante qui a été désignée comme étant un prestataire tiers critique de services TIC au titre de l’article 31 dudit règlement respecte la présente loi.


Art. 46.

§ 1er. Lorsque les réseaux et les systèmes d’information d’une entité sont situés en dehors du territoire belge, le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents, en concertation avec l’autorité nationale de cybersécurité, peuvent solliciter la coopération et l’assistance des autorités de contrôle compétentes d’autres Etats membres.
Dans le cadre de la sollicitation visée à l’alinéa 1er:

1° le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents peuvent demander aux autorités de contrôle compétentes d’autres Etats membres de prendre des mesures de supervision ou d’exécution;

2° le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents peuvent demander, de manière motivée, aux autorités de contrôle compétentes d’autres Etats membres une assistance mutuelle afin que les mesures de supervision ou d’exécution puissent être mises en oeuvre de manière effective, efficace et cohérente.
L’assistance mutuelle visée à l’alinéa 2, 2°, peut porter sur des demandes d’informations et des mesures de contrôle, y compris des demandes de procéder à des inspections sur place, à des contrôles à distance ou à des audits de sécurité ciblés.

§ 2. De manière proportionnée à leurs ressources et pour autant que cela rentre dans le cadre de leurs compétences, le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents coopèrent et apportent leur assistance aux autorités de contrôle compétentes en matière de cybersécurité d’autres Etats membres qui en font la demande, lorsque les réseaux et les systèmes d’information de l’entité concernée sont situés dans le territoire belge.
Dans le cadre de la demande visée à l’alinéa 1er:

1° l’autorité nationale de cybersécurité centralise les informations et consultations en ce qui concerne les mesures de supervision et d’exécution prises par elle-même, par l’éventuelle autorité sectorielle et par l’éventuel service d’inspection sectoriel compétents et les communique aux autorités de contrôle compétentes en matière de cybersécurité d’autres Etats membres;

2° ladite demande peut porter sur des mesures de supervision ou d’exécution;

3° ladite demande peut, de manière motivée, porter sur une assistance mutuelle afin que les mesures de supervision ou d’exécution puissent être mises en oeuvre de manière effective, efficace et cohérente.
L’assistance mutuelle visée à l’alinéa 2, 3°, peut porter sur des demandes d’informations et des mesures de contrôle, y compris des demandes de procéder à des inspections sur place, à des contrôles à distance ou à des audits de sécurité ciblés.
L’autorité à laquelle une demande d’assistance est adressée ne peut refuser cette demande que s’il est établi que ladite autorité n’est pas compétente pour fournir l’assistance demandée, que l’assistance demandée n’est pas proportionnée aux tâches de supervision de ladite autorité ou que la demande concerne des informations ou implique des activités dont la divulgation ou l’exercice seraient contraires aux intérêts essentiels de la sécurité nationale, la sécurité publique ou la défense de la Belgique. Avant de refuser une telle demande, ladite autorité consulte les autres autorités compétentes concernées ainsi que, à la demande de l’un des Etats membres concernés, la Commission européenne et l’ENISA.

§ 3. D’un commun accord, le service d’inspection de l’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents peuvent mener à bien des actions communes de supervision entre elles et/ou avec les autorités de contrôle compétentes d’autres Etats membres.

§ 4. Le présent article n’est pas applicable aux missions diplomatiques et consulaires.


Art. 47. § 1er. Les membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents sont dotés d’une carte de légitimation dont le modèle est fixé par le Roi.

§ 2. Les membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétent et les experts appelés à participer à l’inspection ne peuvent avoir un intérêt quelconque, direct ou indirect, dans les entreprises ou institutions qu’ils sont chargés de contrôler, susceptible de compromettre leur objectivité. Ils prêtent serment auprès du fonctionnaire dirigeant de leur service.
Les autorités visées à l’article 44, § 1er, prennent les mesures nécessaires afin d’assurer l’indépendance des membres de leur personnel et de prévenir, d’identifier et de résoudre efficacement les conflits d’intérêts lors de l’exécution de leurs tâches.
La notion de conflit d’intérêts vise au moins les situations dans lesquelles un membre du personnel des autorités visées à l’article 44, § 1er, a, directement ou indirectement, un intérêt financier, économique ou un autre intérêt personnel qui pourrait être perçu comme compromettant son impartialité et son indépendance dans le cadre de sa mission ou de ses fonctions.

§ 3. Les membres du personnel des autorités visées à l’article 44, § 1er, ne reçoivent ni ne cherchent pas, dans les limites de leurs attributions, de façon directe ou indirecte, d’instructions de personne tierce.
Il leur est interdit d’être présents lors d’une délibération ou décision sur les dossiers pour lesquels ils ont un intérêt personnel ou direct ou pour lesquels leurs parents ou alliés jusqu’au troisième degré ont un intérêt personnel ou direct.
Le Roi peut également désigner d’autres situations comme étant des conflits d’intérêts.

Section 3. – La supervision des entités par le service d’inspection


Art. 48. § 1er. Sans préjudice des attributions des officiers de police judiciaire visées à l’article 8 du Code d’instruction criminelle, les membres assermentés du service d’inspection de l’autorité nationale de cybersécurité et les membres assermentés de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents disposent, dans l’exercice de leur mission de supervision, des compétences de contrôle suivantes, tant dans le cadre de démarches administratives que dans le cadre de la constatation de violations de la présente loi:

1° demander l’accès à et obtenir une copie de tout document ou toute information nécessaire à l’exercice de leur mission de supervision, notamment les preuves de la mise en oeuvre de politiques de cybersécurité, telles que les résultats des évaluations de la conformité ou des audits de sécurité ou les éléments de preuve sous-jacents correspondants;

2° procéder, sur place ou à distance, à tout examen, contrôle et audition, y compris des contrôles aléatoires effectués par des professionnels formés;

3° soumettre les entités essentielles à des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant, basés sur des évaluations des risques effectuées par le service d’inspection concerné ou l’entité contrôlée, ou sur d’autres informations disponibles relatives aux risques;

4° requérir toutes les informations qu’ils estiment nécessaires à l’évaluation des mesures de gestion des risques en matière de cybersécurité adoptées par l’entité concernée, notamment les politiques de cybersécurité consignées par écrit, du respect de l’obligation de soumettre des informations à l’autorité nationale de cybersécurité ou à l’éventuelle autorité sectorielle conformément au titre 1er et de la mise en oeuvre de la présente loi;

5° réaliser un audit ad hoc, notamment lorsqu’il est justifié en raison d’un incident significatif ou d’une violation de la présente loi;

6° effectuer des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l’entité concernée;

7° prendre l’identité des personnes qui se trouvent sur les lieux utilisés par l’entité et dont ils estiment l’audition nécessaire pour l’exercice de leur mission. A cet effet, ils peuvent exiger de ces personnes la présentation de documents officiels d’identification;

8° le cas échéant, demander l’assistance des services de la police fédérale ou locale dans le cadre de l’usage de la force;

9° solliciter des informations auprès des membres du personnel visés à l’article 9 de la loi du 15 avril 1994 relative à la protection de la population et de l’environnement contre les dangers résultant des rayonnements ionisants et relative à l’Agence fédérale de Contrôle nucléaire, pour les besoins de l’exécution des dispositions de la présente loi;

10° pénétrer sans avertissement préalable, sur présentation de leur carte de légitimation, dans tous les lieux utilisés par l’entité; ils n’ont accès aux locaux habités que moyennant autorisation préalable délivrée par le juge d’instruction.

§ 2. Dans le cadre de l’inspection des entités importantes, les compétences de contrôle visées au paragraphe 1er s’effectuent de manière ex post, sur base d’éléments de preuve, d’indications ou d’informations selon lesquels une entité importante ne respecte pas la présente loi.

§ 3. Pour obtenir l’autorisation de pénétrer dans des locaux habités, les membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents adressent une demande motivée au juge d’instruction. Cette demande contient au moins les données suivantes:

1° l’identification des espaces habités auxquels ils souhaitent avoir accès;

2° les manquements éventuels qui font l’objet du contrôle;

3° tous les documents et renseignements desquels il ressort que l’utilisation de ce moyen est nécessaire.
Le juge d’instruction décide dans un délai de quarante-huit heures maximum après réception de la demande. La décision du juge d’instruction est motivée. En l’absence de décision dans le délai prescrit, la visite des lieux est réputée être refusée. Le service d’inspection de l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents peut introduire un recours contre la décision de refus ou l’absence de décision devant la chambre des mises en accusation dans les quinze jours de la notification de la décision ou de l’expiration du délai.
Les visites sans autorisation de l’occupant dans des locaux habités se font entre cinq et vingt-et-une heures par au moins deux membres du service d’inspection agissant conjointement.

§ 4. Au début de toute audition, il est communiqué à la personne interrogée:

1° que ses déclarations peuvent être utilisées comme preuve en justice;

2° qu’elle peut demander que toutes les questions qui lui sont posées et les réponses qu’elle donne soient actées dans les termes utilisés;

3° qu’elle a le droit de garder le silence et de ne pas contribuer à sa propre incrimination.
Toute personne interrogée peut utiliser les documents en sa possession, sans que cela puisse entraîner le report de l’audition. Elle peut, lors de l’audition ou ultérieurement, exiger que ces documents soient joints à l’audition.
L’audition mentionne avec précision l’heure à laquelle elle a pris cours, est éventuellement interrompue et reprise, et prend fin. Elle mentionne l’identité des personnes qui interviennent lors de l’audition ou lors d’une partie de celle-ci.
A la fin de l’audition, la personne interrogée a le droit de relire celle-ci ou de demander que lecture lui en soit faite. Elle peut demander à ce que ses déclarations soient corrigées ou complétées.
Les membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents qui interrogent une personne l’informent qu’elle peut demander une copie du texte de son audition. Cette copie lui est délivrée gratuitement.

§ 5. Les membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents peuvent consulter tous les supports d’information et les données qu’ils contiennent. Ils peuvent se faire produire sur place le système informatique et les données qu’il contient dont ils ont besoin pour leurs examens et constatations, et en prendre ou en demander gratuitement des extraits, des duplicatas ou des copies, sous une forme lisible et intelligible qu’ils ont demandée.
S’il n’est pas possible de prendre des copies sur place, les membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents peuvent saisir, contre récépissé contenant un inventaire, le système informatique et les données qu’il contient.

§ 6. Pour étendre les recherches dans un système informatique ou une partie de celui-ci, entamées sur la base du paragraphe 5, vers un système informatique ou une partie de celui-ci qui se trouve dans un autre lieu que celui où la recherche est effectuée, le service d’inspection de l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents peut solliciter l’intervention d’un juge d’instruction.

§ 7. Lorsque le service d’inspection de l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents prend connaissance, dans le cadre de la supervision ou de l’exécution, du fait que la violation commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 30 et 34 à 37 peut donner lieu à une violation de données à caractère personnel au sens de l’article 4, point 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, ils en informent sans retard injustifié les autorités de protection des données.
Lorsque l’autorité de protection des données compétente est établie dans un autre Etat membre que la Belgique, le service d’inspection de l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents informe l’autorité de protection des données compétente établie en Belgique de la violation potentielle de données à caractère personnel visée à l’alinéa 1er.

§ 8. Lors de l’exécution de leurs pouvoirs de contrôle visés au présent article, les membres assermentés des autorités visées à l’article 44, § 1er, veillent à ce que les moyens qu’ils utilisent soient appropriés et nécessaires pour ledit contrôle.


Art. 49.

§ 1er. Après chaque inspection, les membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents rédigent un rapport et en transmettent une copie à l’entité inspectée.

§ 2. L’autorité nationale de cybersécurité et l’éventuelle autorité sectorielle se communiquent mutuellement leur rapports d’inspection.


Art. 50.

§ 1er. L’entité supervisée apporte son entière collaboration aux membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents dans l’exercice de leurs fonctions et notamment pour informer ceux-ci au mieux de toutes les mesures de sécurité existantes.
Si nécessaire, l’entité met à disposition des membres du service d’inspection de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents le matériel nécessaire de manière à ce qu’ils remplissent les consignes de sécurité lors des inspections.

§ 2. Les coûts des inspections ne sont pas mis à charge des entités.
Par dérogation à l’alinéa précédent, le Roi peut déterminer, par secteur ou sous-secteur, par arrêté délibéré en Conseil des ministres et après avis de l’autorité nationale de cybersécurité et de l’éventuelle autorité sectorielle concernée, des rétributions relatives aux prestations d’inspections. Il en fixe les modalités de calcul et de paiement.

§ 3. Le fait pour quiconque d’empêcher ou d’entraver volontairement l’exécution d’un contrôle effectué par les membres du service d’inspection de l’autorité nationale de cybersécurité ou de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents, de refuser de communiquer les informations qui lui sont demandées à l’occasion de ce contrôle, ou de communiquer sciemment des informations inexactes ou incomplètes est constaté dans un procès-verbal par les membres assermentés du service d’inspection de l’autorité nationale de cybersécurité ou de l’éventuelle autorité sectorielle ou de l’éventuel service d’inspection sectoriel compétents.

CHAPITRE 2. – Les mesures et amendes administratives

Section 1re. – Procédure


Art. 51.

§ 1er. Lorsqu’un ou plusieurs manquements aux exigences imposées par la présente loi, ses arrêtés d’exécution ou les décisions administratives individuelles y afférentes sont observés, les faits peuvent être constatés dans un procès-verbal rédigé par les membres assermentés du service d’inspection de l’autorité nationale de cybersécurité, de l’éventuel service d’inspection sectoriel ou de l’éventuelle autorité sectorielle concernée, conformément à l’article 44, § 1er
Moyennant l’accord de l’autorité nationale de cybersécurité, l’autorité sectorielle peut imposer à une entité des mesures et amendes administratives visées à la section 2.
L’autorité nationale de cybersécurité informe l’autorité sectorielle concernée lorsqu’elle a l’intention d’imposer à une entité des mesures et amendes administratives visées aux articles 58 et 59.
Lorsque les autorités visées aux alinéas 1er et 2 prennent connaissance, dans le cadre de leur mission de supervision, du fait qu’un manquement visé à l’alinéa 1er ou 2, commis par une entité essentielle ou importante, peut donner lieu à une violation de données à caractère personnel au sens de l’article 4, point 12), du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent sans retard injustifié les autorités de protection des données compétentes.

§ 2. Sur la base du procès-verbal visé au paragraphe 1er et, le cas échéant, des rapports pertinents visés à l’article 49, § 1er, l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente peut rédiger un projet de décision contenant au moins les références du procès-verbal qui constate l’infraction et qui relate les faits à propos desquels la procédure est entamée et une ou plusieurs mesures ou amendes administratives visées à l’article 58 et/ou 59 envisagées ainsi que le délai endéans lequel l’entité concernée exécuterait les mesures administratives.
Le délai visé à l’alinéa 1er est déterminé en tenant compte des conditions de fonctionnement de l’entité et des mesures à mettre en oeuvre.

§ 3. L’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente envoie le projet de décision visé au paragraphe 2 à l’entité concernée en exposant, en détail, les motifs relatifs aux mesures et/ou amendes administratives envisagées et lui fait part de son droit, dans les trente jours de la réception de cette information, de formuler par écrit ses moyens de défense ou de solliciter d’être d’entendu. L’information est présumée reçue par le contrevenant le sixième jour suivant l’envoi du projet de décision précité.
Par exception à l’alinéa 1er, le projet de décision n’est pas envoyé au préalable à l’entité concernée dans des cas exceptionnels, dûment motivés, où cela entraverait une intervention immédiate pour prévenir un incident ou y répondre.

§ 4. Après que l’entité concernée a pu faire valoir ses moyens de défense, à la fin du délai visé au paragraphe 3, alinéa 1er, ou dans le cas visé au paragraphe 3, alinéa 2, l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente maintient ou modifie le projet de décision visé au paragraphe 2, alinéa 1er ou y renonce, en tenant compte de la catégorie d’entité à laquelle appartient l’entité concernée, des moyens de défense de cette dernière et des éléments visés à l’article 54.


Art. 52.

§ 1er. Lorsque les mesures d’exécution adoptées en vertu de l’article 58, 1° à 4°, et 6°, sont inefficaces, l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente peut fixer un délai dans lequel une entité essentielle est invitée à prendre les mesures nécessaires pour pallier les insuffisances ou satisfaire à ses exigences.

§ 2. Lorsqu’une entité essentielle ne se conforme pas à la ou aux mesures contenues dans la décision visée à l’article 51, § 4, l’autorité qui a pris cette décision constate les faits dans un procès-verbal.

§ 3. Sur la base du procès-verbal visé au paragraphe 2, l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente rédige un projet de décision contenant au moins une ou plusieurs mesures ou amendes administratives visées aux articles 59 et/ou 60 envisagées.

§ 4. L’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente envoie le projet de décision visé au paragraphe 3 à l’entité concernée en exposant, en détail, les motifs relatifs aux mesures et/ou amendes administratives envisagées et lui fait part de son droit, dans les trente jours de la réception de cette information, de formuler par écrit ses moyens de défense ou de solliciter d’être entendu. L’information est présumée reçue par le contrevenant le sixième jour suivant l’envoi du projet de décision précité.
Par exception à l’alinéa 1er, le projet de décision n’est pas envoyé au préalable à l’entité concernée dans des cas exceptionnels, dûment motivés, où cela entraverait une intervention immédiate pour prévenir un incident ou y répondre.

§ 5. Après que l’entité concernée ait pu faire valoir ses moyens de défense, à la fin du délai visé au paragraphe 4, alinéa 1er, ou dans le cas visé au paragraphe 4, alinéa 2, l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente maintient ou modifie le projet de décision visé au paragraphe 3 ou y renonce en tenant compte des moyens de défense de l’entité concernée et des éléments visés à l’article 54.


Art. 53. Les procès-verbaux rédigés par les membres assermentés du service d’inspection font foi jusqu’à preuve du contraire.


Art. 54.

§ 1er. Lorsqu’elle prend toute mesure d’exécution dans le cadre des procédures visées aux articles 51 et 52, l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente respecte les droits de la défense, tient compte des circonstances propres à chaque cas et, au minimum, tient dûment compte:

1° de la catégorie visée aux articles 9 et 10 à laquelle l’entité concernée appartient;

2° de la gravité de la violation et de l’importance des dispositions enfreintes, les faits suivants, entre autres, devant être considérés en tout état de cause comme graves:
a) les violations répétées;
b) le fait de ne pas notifier des incidents significatifs ou de ne pas y remédier;
c) le fait de ne pas pallier les insuffisances à la suite d’instructions contraignantes des autorités compétentes;
d) le fait d’entraver des audits ou des activités de contrôle ordonnées par le service d’inspection de l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents à la suite de la constatation d’une violation;
e) la fourniture d’informations fausses ou manifestement inexactes relatives aux mesures de gestion des risques en matière de cybersécurité ou aux notifications d’incidents prévues au titre 3;

3° de la durée de la violation;

4° de toute violation antérieure pertinente commise par l’entité concernée;

5° des dommages matériels, corporels ou moraux causés, y compris des pertes financières ou économiques, des effets sur d’autres services et du nombre d’utilisateurs touchés;

6° du fait que l’auteur de la violation a agi délibérément ou par négligence;

7° des mesures prises par l’entité pour prévenir ou atténuer les dommages matériels, corporels ou moraux;

8° de l’application de codes de conduite approuvés ou de mécanismes de certification approuvés;

9° du degré de coopération avec le service d’inspection de l’autorité nationale de cybersécurité ou avec l’éventuelle autorité sectorielle ou l’éventuel service d’inspection sectoriel compétents des personnes physiques ou morales tenues pour responsables.

§ 2. Lorsque les autorités de protection des données imposent une amende administrative en vertu de l’article 58, paragraphe 2, point i), du règlement (UE) 2016/679, l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente n’impose pas d’amende administrative pour une violation découlant du même comportement que celui qui a fait l’objet d’une amende administrative au titre de l’article 58, paragraphe 2, point i), dudit règlement.


Art. 55.

§ 1er. Les décisions visées aux articles 51 et 52 sont notifiées par envoi recommandé au contrevenant.

§ 2. Les amendes administratives imposées par une décision visée à l’article 51 ou 52 doivent être acquittées dans les soixante jours qui suivent la réception de l’envoi recommandé visé au paragraphe 1er.
Ce délai peut être augmenté en fonction du montant de l’amende administrative.
Le délai visé à l’alinéa 1er est réputé commencer au plus tard six jours après l’envoi recommandé visé au paragraphe 1er.

§ 3. Lorsqu’une décision visée à l’article 51 ou 52 impose une mesure administrative autre qu’une amende administrative, cette décision précise le délai endéans lequel la mesure doit être exécutée.

§ 4. L’autorité nationale de cybersécurité et, le cas échéant, l’éventuelle autorité sectorielle se communiquent mutuellement leur décision visée à l’article 51 ou 52.


Art. 56.

§ 1er. Lorsque l’entité concernée reste en défaut de payer l’amende administrative dans le délai imparti, la décision d’infliger une amende administrative a force exécutoire et l’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente peut décerner une contrainte.
La contrainte est décernée par un représentant légal de l’autorité nationale de cybersécurité ou de l’éventuelle autorité sectorielle compétente ou par un membre du personnel habilité à cette fin.

§ 2. La contrainte est signifiée au contrevenant par exploit d’huissier de justice. La signification contient un commandement de payer dans les quarante-huit heures, à peine d’exécution par voie de saisie, de même qu’une justification comptable des sommes exigées ainsi que copie de l’exécutoire.

§ 3. Le contrevenant peut former opposition à la contrainte devant le juge des saisies.
L’opposition est motivée à peine de nullité. Elle est formée au moyen d’une citation de l’autorité nationale de cybersécurité ou de l’éventuelle autorité sectorielle compétente signifiée par exploit d’huissier dans les quinze jours à partir de la signification de la contrainte.
Les dispositions du chapitre VIII de la première partie du Code judiciaire sont applicables à ce délai, y compris les prorogations prévues à l’article 50, alinéa 2, et à l’article 55 de ce Code.
L’exercice de l’opposition à la contrainte suspend l’exécution de celle-ci, ainsi que la prescription des créances contenues dans la contrainte, jusqu’à ce qu’il ait été statué sur son bien-fondé. Les saisies déjà pratiquées antérieurement conservent leur caractère conservatoire.

§ 4. L’autorité nationale de cybersécurité ou l’éventuelle autorité sectorielle compétente peut faire pratiquer la saisie conservatoire et exécuter la contrainte en usant des voies d’exécution prévues à la cinquième partie du Code judiciaire.
Les paiements partiels effectués en suite de la signification d’une contrainte ne font pas obstacle à la continuation des poursuites.

§ 5. Les frais de signification de la contrainte de même que les frais de l’exécution ou des mesures conservatoires sont à charge du contrevenant.
Ils sont déterminés suivant les règles établies pour les actes accomplis par les huissiers de justice en matière civile et commerciale.


Art. 57. Les faits sont prescrits trois ans après leur commission. La prescription n’est interrompue que par des actes d’enquête ou de poursuite par un service d’inspection. Ces actes font courir un nouveau délai d’égale durée, même à l’égard des personnes qui n’y sont pas impliquées.
Les mesures administratives ou les amendes administratives sont prescrites cinq ans à compter de la date à laquelle elles doivent être exécutées. Le délai de prescription est suspendu en cas d’un recours contre la décision administrative.

Section 2. – Mesures et amendes administratives


Art. 58. Les mesures administratives suivantes peuvent être imposées aux entités sur la base de l’article 51:

1° émettre des avertissements concernant les violations de la présente loi par les entités concernées;

2° adopter des instructions contraignantes ou une injonction exigeant des entités concernées qu’elles remédient aux insuffisances constatées ou aux violations de la présente loi;

3° ordonner aux entités concernées de mettre un terme à un comportement qui viole la présente loi et de ne pas le réitérer;

4° ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec le titre 3 ou de respecter les obligations en matière de notification d’incidents énoncées au même titre, de manière spécifique et dans un délai déterminé;

5° ordonner aux entités concernées d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace;

6° ordonner aux entités concernées de mettre en oeuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable;

7° ordonner aux entités concernées de rendre publics les aspects de violations de la présente loi de manière spécifique;

8° lorsque l’entité concernée est une entité essentielle, désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour superviser le respect, par les entités concernées, des mesures de gestion des risques en matière de cybersécurité et de notification d’incidents visées au titre 3.
Lorsque l’entité concernée est une entité essentielle, les instructions contraignantes visées à l’alinéa 1er, 2°, concernent également les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en oeuvre ces mesures et rendre compte de cette mise en oeuvre.


Art. 59. Les amendes administratives suivantes peuvent être imposées aux entités sur la base de l’article 51 ou 52:

1° est puni d’une amende de 500 à 125.000 euros quiconque ne se conforme pas aux obligations d’information visées à l’article 12;

2° est punie d’une amende de 500 à 200.000 euros l’entité qui fait subir des conséquences négatives à une personne agissant pour son compte en raison de l’exécution, de bonne foi et dans le cadre de ses fonctions, des obligations découlant de la présente loi;

3° sans préjudice de l’article 48, § 4, alinéa 1er, 3°, est puni d’une amende de 500 à 200.000 euros quiconque ne se conforme pas aux obligations de contrôle visées au présent titre;

4° est punie d’une amende de 500 à 7.000.000 d’euros ou 1,4 pour cent du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu, l’entité importante qui ne se conforme pas aux obligations relatives aux mesures de gestion des risques en matière de cybersécurité et/ou de notification d’incidents visées au titre 3;

5° est punie d’une amende de 500 à 10.000.000 d’euros ou 2 pour cent du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu, l’entité essentielle qui ne se conforme pas aux obligations relatives aux mesures de gestion des risques en matière de cybersécurité et/ou de notification d’incidents visées au titre 3.
L’amende administrative est doublée en cas de récidive pour les mêmes faits dans un délai de trois ans.
Le concours de plusieurs manquements peut donner lieu à une amende administrative unique proportionnelle à la gravité de l’ensemble des faits.


Art. 60. Si les mesures demandées ne sont pas prises dans le délai imparti, les mesures administratives suivantes peuvent être imposées aux entités essentielles sur la base de l’article 52:

1° demander à l’autorité nationale de cybersécurité de suspendre temporairement une certification ou une autorisation concernant tout ou partie des services pertinents fournis ou des activités pertinentes menées par l’entité concernée;

2° interdire temporairement à toute personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans l’entité concernée d’exercer des responsabilités dirigeantes dans cette entité.
Les suspensions ou interdictions temporaires visées à l’alinéa 1er sont uniquement appliquées jusqu’à ce que l’entité concernée ait pris les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l’autorité compétente à l’origine de l’application de ces mesures d’exécution.


Art. 61. Toute personne physique responsable d’une entité essentielle ou importante ou agissant en qualité de représentant légal d’une entité essentielle ou importante sur la base du pouvoir de la représenter, de prendre des décisions en son nom ou d’exercer son contrôle a le pouvoir de veiller au respect, par l’entité, de la présente loi. Ces personnes sont responsables des manquements à leur devoir de veiller au respect de la présente loi.
Cet article est sans préjudice des règles en matière de responsabilité applicables aux institutions publiques, ainsi que de responsabilité des agents de la fonction publique et des responsables élus ou nommés.

TITRE 5. – Dispositions spécifiques au secteur de l’administration publique


Art. 62. Les mesures et amendes administratives visées aux articles 59 et 60 ne s’appliquent pas aux entités faisant partie du secteur de l’administration publique.


Art. 63.

§ 1er. Le Roi est habilité à désigner une autorité comme organisme d’évaluation de la conformité de tout ou partie des entités de l’administration publique.

§ 2. L’autorité visée au paragraphe 1er est agréée par l’autorité nationale de cybersécurité, selon les modalités fixées par le Roi, afin d’effectuer l’évaluation périodique de la conformité visée à l’article 39, alinéa 1er, 1°.
L’agréation visée à l’alinéa 1er porte sur un ou plusieurs des cadres de référence visés à l’article 39.


Art. 64. Le service d’inspection de l’autorité nationale de cybersécurité ou, le cas échéant, le service d’inspection sectoriel désigné par le Roi pour le secteur de l’administration publique exerce ses tâches de supervision en jouissant d’une indépendance opérationnelle vis-à-vis des entités de l’administration publique supervisées.


Art. 65. L’article 47 est applicable au service d’inspection visé à l’article 64.

TITRE 6. – Traitement des données à caractère personnel

CHAPITRE 1er. – Principes relatifs au traitement


Art. 66. Les définitions du règlement (UE) 2016/679 sont d’application pour le présent titre.


Art. 67. Les finalités pour lesquelles des traitements de données à caractère personnel sont effectués, sont les suivantes:

1° l’amélioration de la cybersécurité à travers la recherche d’un niveau accru de protection des réseaux et systèmes d’information, le renforcement des politiques de prévention et de sécurité, la prévention des incidents de sécurité et la défense contre les cybermenaces;

2° l’exécution des tâches de l’autorité nationale de cybersécurité, notamment l’identification des entités, l’information et la sensibilisation des utilisateurs des systèmes d’information et de communication, l’octroi de subventions, la coopération internationale entre l’autorité nationale de cybersécurité, des autorités compétentes des autres Etats membres, des forums internationaux de cybersécurité, l’ENISA et la Commission européenne;

3° la gestion des crises cyber et incidents de cybersécurité;

4° l’exécution des tâches du CSIRT national visées aux articles suivants:
a) 19, § 1er;
b) 21, § 2, alinéa 2, 1° à 3°;
c) 22, § § 2 à 6;
d) 37, § § 1er à 3 et § 5;

5° la coopération, notamment l’échange d’informations entre l’autorité nationale de cybersécurité, les éventuelles autorités sectorielles, le NCCN et les autorités compétentes dans le cadre de la loi du 1er juillet 2011, ainsi que les autorités visées à l’article 25, § 2, dans le cadre de l’exécution de la présente loi et la loi du 1er juillet 2011;

6° la coopération entre les entités essentielles et importantes et les autorités visées au titre 2, chapitre 1er;

7° le partage d’informations entre les autorités visées à l’article 25, § 5;

8° la continuité des services prestés par les entités importantes ou essentielles;

9° la notification d’incidents et d’incidents évités;

10° le contrôle et la supervision des entités essentielles et importantes, ainsi que la préparation, l’organisation, la gestion et le suivi de mesures et d’amendes administratives.


Art. 68. Les catégories de données à caractère personnel traitées par les responsables de traitement sont les suivantes:

1° pour la finalité visée à l’article 67, 1°: les données d’identification, de connexion, de localisation et de communications électroniques au sens de l’article 2, 91°, de la loi du 13 juin 2005, des personnes concernées par les missions d’amélioration de la cybersécurité, de renforcement des politiques de prévention et de sécurité, de prévention des incidents de sécurité et de défense contre les cybermenaces visées à l’article 67, 1°;

2° pour la finalité visée à l’article 67, 2°: les données d’identification, de connexion, de localisation et de communications électroniques au sens de l’article 2, 91°, de la loi du 13 juin 2005, des personnes concernées par l’exécution des tâches de l’autorité nationale de cybersécurité;

3° pour la finalité visée à l’article 67, 3°: les données d’identification, de connexion, de localisation et de communications électroniques au sens de l’article 2, 91°, de la loi du 13 juin 2005, des personnes concernées par les crises cyber et incidents de cybersécurité;

4° pour la finalité visée à l’article 67, 4°: les données d’identification, de connexion, de localisation, de communications électroniques au sens de l’article 2, 91°, de la loi du 13 juin 2005 et des métadonnées de communications électroniques au sens de l’article 2, 93°, de la loi précitée du 13 juin 2005, des personnes concernées par l’exécution des tâches du CSIRT;

5° pour la finalité visée à l’article 67, 5°: les données d’identification des personnes concernées par la coopération dans le cadre de la loi du 1er juillet 2011;

6° pour la finalité visée à l’article 67, 6°: les données d’identification des personnes concernées par la coopération;

7° pour la finalité visée à l’article 67, 7°: les données d’identification des personnes concernées par le partage d’informations;

8° pour la finalité visée à l’article 67, 8°: les données d’identification des personnes concernées par l’assurance d’une continuité des services;

9° pour la finalité visée à l’article 67, 9°: les données d’identification, de connexion, de localisation et de communications électroniques au sens de l’article 2, 91°, de la loi du 13 juin 2005, des personnes concernées par l’exercice de notification;

10° pour la finalité visée à l’article 67, 10°: les données à caractère personnel nécessaires et pertinentes à l’exercice des missions de contrôle, de supervision et de sanction, des personnes concernées par ces contrôles, cette supervision ou ces sanctions.


Art. 69. Les catégories de personnes dont les données à caractère personnel sont susceptibles de faire l’objet de traitement sont les suivantes:

1° les personnes participant directement aux missions confiées à l’autorité nationale de cybersécurité en vertu du titre 2;

2° les personnes visées par les obligations qui incombent aux entités essentielles et importantes en vertu du titre 3;

3° les personnes impliquées dans un incident;

4° les personnes directement impliquées dans les exercices de supervision, de contrôle et de sanction, visés au titre 4.


Art. 70. Les entités suivantes sont responsables des traitements qu’elles effectuent pour la réalisation des finalités visées à l’article 67:

1° l’autorité nationale de cybersécurité;

2° le NCCN;

3° l’éventuelle autorité sectorielle;

4° l’éventuel service d’inspection sectoriel;

5° les entités essentielles et importantes;

6° les entités fournissant des services d’enregistrement de noms de domaine;

7° les autorités visées à l’article 23, § 1er, 6°.

CHAPITRE 2. – Durée de conservation


Art. 71. Les données à caractère personnel traitées dans le cadre des traitements visés par la présente loi en vue de réaliser les finalités prévues à l’article 67, sont conservées, sans préjudice de recours éventuels, par le responsable du traitement cinq ans après la fin du dernier traitement effectué et dix ans maximum après le premier traitement effectué.

CHAPITRE 3. – Limitation des droits des personnes concernées


Art. 72.

§ 1er. En application de l’article 23.1, points a) à e) et h), du règlement (UE) 2016/679, certaines obligations et droits prévus par ledit règlement sont limités ou exclus, conformément aux dispositions du présent chapitre. Ces limitations ou exclusions ne peuvent porter préjudice à l’essence des libertés et droits fondamentaux et doivent être appliquées dans la stricte mesure nécessaire au but poursuivi.

§ 2. Les articles 12 à 16, 18 et 19 dudit règlement ne sont pas applicables aux traitements de données à caractère personnel effectués par une autorité visée à l’article 15 pour la finalité visée à l’article 67, 10°, dans la mesure où l’exercice des droits consacrés par ces articles nuirait aux besoins du contrôle, de la supervision ou des actes préparatoires à celui-ci.

§ 3. L’exemption vaut pour les catégories de données à caractère personnel visées à l’article 68, 10°. Cette exemption vaut également pour les actes préparatoires ou pour les procédures visant à l’application éventuelle d’une sanction administrative.

§ 4. L’exemption ne s’applique que pendant la période au cours de laquelle la personne concernée fait l’objet d’un contrôle, d’une supervision ou d’actes préparatoires à ceux-ci, dans la mesure où l’exercice des droits faisant l’objet de la dérogation visée au présent article nuirait aux besoins du contrôle, de la supervision ou des actes préparatoires à ceux-ci et, en tous les cas, ne s’applique que jusqu’à un an après le début d’un contrôle, d’une supervision ou d’actes préparatoires à ceux-ci.
La durée des actes préparatoires, visés à l’alinéa 1er, pendant laquelle les articles visés au paragraphe 2 ne sont pas applicables, ne peut excéder un an à partir de la réception d’une demande relative à l’application d’un des droits consacrés par ces articles.

§ 5. Le responsable du traitement qui ne se conforme pas à toutes les dispositions du présent titre et en particulier de l’article 73, ne peut pas bénéficier de l’exemption.


Art. 73.

§ 1er. Le responsable du traitement concerné donne accès à la personne concernée à des informations limitées concernant le traitement de ses données à caractère personnel, pour autant que cette communication ne compromette pas la réalisation des objectifs de la présente loi et de manière telle que la personne concernée se trouve dans l’impossibilité de savoir si elle fait l’objet d’une enquête ou pas, et sans pouvoir en aucun cas rectifier, effacer, limiter, notifier, transmettre à un tiers des données à caractère personnel, ni cesser toute forme de traitement desdites données qui soit nécessaire dans le cadre défini ci-avant.

§ 2. La mesure de refus ou de limitation des droits consacrés par les articles visés à l’article 72, § 2, doit être levée:

1° pour les mesures justifiées par les obligations en matière de notification d’incidents, lors de la clôture du traitement d’un incident par les autorités visées aux articles 34 et 38;

2° pour les mesures justifiées par les obligations en vertu du titre 4, lors de la clôture du contrôle, de la supervision ou des actes préparatoires à ceux-ci effectués par le service d’inspection, ainsi que pendant la période durant laquelle l’éventuelle autorité sectorielle traite les pièces provenant du service d’inspection en vue d’exercer des poursuites;

3° au plus tard un an à partir de la réception de la demande introduite en application des articles visés à l’article 72, § 2, sauf si un contrôle ou une supervision sont en cours.

§ 3. Le responsable du traitement concerné lève également la mesure de refus ou de limitation des droits consacrés par les articles visés à l’article 72, § 2, dès qu’une telle mesure n’est plus nécessaire au respect d’une des finalités visées à l’article 67.

§ 4. Dans tous les cas d’application des paragraphes 2 et 3, le délégué à la protection des données informe par écrit la ou les personnes concernées de la levée de la mesure de refus ou de limitation.

CHAPITRE 4. – Limitations aux obligations de notification des violations de données à caractère personnel


Art. 74. Le responsable du traitement concerné est dispensé de communiquer une violation de données à caractère personnel à une ou des personnes concernées bien déterminées, au sens de l’article 34 du règlement (UE) 2016/679, moyennant l’autorisation de l’autorité nationale de cybersécurité, pour autant que et dans la mesure où une telle notification individuelle risque de compromettre la réalisation des finalités visées à l’article 72, § 2.

TITRE 7. – Dispositions finales

CHAPITRE 1er. – Disposition transitoire


Art. 75. Le Roi fixe les délais endéans lesquels les entités essentielles effectuent leurs premières évaluations périodiques de la conformité visées à l’article 39.

CHAPITRE 2. – Dispositions modificatives

Section 1re. – Modifications de la loi du 15 avril 1994 relative à la protection de la population et de l’environnement contre les dangers résultant des rayonnements ionisants et relative à l’Agence fédérale de Contrôle nucléaire


Art. 76. Dans l’article 1er de la loi du 15 avril 1994 relative à la protection de la population et de l’environnement contre les dangers résultant des rayonnements ionisants et relative à l’Agence fédérale de Contrôle nucléaire, modifié en dernier lieu par la loi du 7 février 2024, les mots «- «la loi du 7 avril 2019″: la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique;» sont remplacés par les mots «- la loi NIS2: la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique;».


Art. 77. Dans le chapitre III, section 1re, de la même loi, l’article 15ter, inséré par la loi du 7 avril 2019, est remplacé par ce qui suit:
«Art. 15ter. L’Agence est désignée comme service d’inspection sectoriel, au sens de la loi NIS2, pour le secteur de l’énergie, en ce qui concerne les mesures supplémentaires de gestion des risques en matière de cybersécurité applicables aux éléments d’une installation nucléaire destinée à la production industrielle d’électricité et qui servent au transport de l’électricité.
Le Roi fixe les modalités pratiques des inspections, après avis de l’Agence.»

Section 2. – Modifications de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique


Art. 78. Dans l’article 36/1 de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique, modifié en dernier lieu par la loi du 20 décembre 2023, le 28° est remplacé par ce qui suit:
«28° «la loi NIS2″: la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique;».


Art. 79. A l’article 36/14 de la même loi, modifié en dernier lieu par la loi du 20 décembre 2023, les modifications suivantes sont apportées:

1° au paragraphe 1er, 20°, les mots «à l’autorité visée à l’article 7, § 1er, de la loi du 7 avril 2019″ sont remplacés par les mots «à l’autorité nationale de cybersécurité visée à l’article 8, 45°, de la loi NIS2»;

2° au même paragraphe, 20° /1, les mots «à l’autorité visée à l’article 7, § 1er, de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique – loi NIS» sont remplacés par les mots «à l’autorité nationale de cybersécurité visée à l’article 8, 45°, de la loi NIS2 et au CSIRT national visé à l’article 8, 46°, de la même loi»;

3° au même paragraphe, 24°, les mots «aux autorités visées à l’article 7 de la loi du 7 avril 2019 pour les besoins de l’exécution des dispositions de la loi du 7 avril 2019» sont remplacés par les mots «aux autorités visées à l’article 15 de la loi NIS2 pour les besoins de l’exécution des dispositions de la loi NIS2».


Art. 80. L’article 36/47 de la même loi, inséré par la loi du 7 avril 2019, est remplacé par ce qui suit:
«Art. 36/47. Pour l’application de la loi NIS2, la Banque est désignée comme autorité sectorielle et service d’inspection sectoriel pour les entités du secteur des finances, à l’exception des opérateurs de plate-forme de négociation au sens de l’article 3, 6°, de la loi du 21 novembre 2017 relative aux infrastructures des marchés d’instruments financiers et portant transposition de la directive 2014/65/UE.
Si elle le juge utile, la Banque partage le plus vite possible avec la BCE les informations pertinentes sur les notifications d’incident qu’elle reçoit en vertu de la loi NIS2 ou du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.».

Section 3. – Modification de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers


Art. 81. Dans l’article 75, § 1er, 15°, de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers, modifié en dernier lieu par la loi du 20 juillet 2020, les mots «l’article 7 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique» sont remplacés par les mots «l’article 15 de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique».

Section 4. – Modifications de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges


Art. 82. A l’article 1er/1 de la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges, remplacé par la loi du 21 décembre 2021, le 1° est remplacé par ce qui suit:

«1° la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148;».


Art. 83. A l’article 14 de la même loi, modifié en dernier lieu par la loi du 17 décembre 2023, les modifications suivantes sont apportées:

1° au paragraphe 1er, alinéa 1er, les mots «loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique» sont remplacés par les mots «loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique»;

2° au même paragraphe, alinéa 1er, 3°, le h), est remplacé par ce qui suit:
«h) la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, pour ce qui concerne les tâches dévolues à l’autorité sectorielle et au service d’inspection sectoriel pour le secteur d’infrastructure numérique, à l’exception des prestataires de services de confiance au sens de l’article 8, 24°, de la même loi;»;

3° au même paragraphe, l’alinéa 2 est remplacé par ce qui suit:
«Pour l’application de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, l’Institut est désigné comme autorité sectorielle au sens de l’article 8, 54°, de cette même loi et service d’inspection sectoriel au sens de l’article 44, § 1er, alinéa 2, de cette même loi pour le secteur d’infrastructure numérique, à l’exception des prestataires de services de confiance au sens de l’article 8, 24°, de cette même loi, et pour le secteur des services postaux et d’expédition.».

Section 5. – Modifications de la loi du 13 juin 2005 relative aux communications électroniques


Art. 84. L’article 1er, alinéa 2, de la loi du 13 juin 2005 relative aux communications électroniques, modifié en dernier lieu par la loi du 21 décembre 2021, est complété par le 7° rédigé comme suit:
«7° la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148.».


Art. 85. A l’article 2 de la même loi, modifié en dernier lieu par la loi du 20 juillet 2022, les modifications suivantes sont apportées:

1° le 48/1° est remplacé par ce qui suit:
«48/1° «registre de noms de domaine de premier niveau»: une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage;»;

2° le 48/3° est inséré rédigé comme suit:
«48/3° «entité fournissant des services d’enregistrement de noms de domaine»: un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire;»;

3° les 62/2° et 62/3° sont remplacés par ce qui suit:
«62/2° «réseau et système d’information»:
a) un réseau de communications électroniques visé au 3°;
b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques, en ce compris les composants numériques, électroniques ou mécaniques de ce dispositif permettant notamment l’automatisation du processus opérationnel, le contrôle à distance, ou l’obtention de données de fonctionnement en temps réel; ou
c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance;
62/3° «sécurité des réseaux et des systèmes d’information»: la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles;»;

4° les 62/4° à 62/8° sont insérés rédigés comme suit:
«62/4° «incident de sécurité»: un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles;
62/5° «cybersécurité»: la cybersécurité visée à l’article 2, point 1), du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité);
62/6° «traitement des incidents»: toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier;
62/7° «cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;
62/8° «cybermenace importante»: une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable;»;

5° l’article est complété par le 94°, rédigé comme suit:
«94° «fournisseur d’infrastructure numérique»: une entité qui relève du secteur d’infrastructure numérique, à l’exception des prestataires de services de confiance, au sens de l’article 8, 24°, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique.».


Art. 86. Dans l’article 6, 4°, de la même loi, remplacé par la loi du 21 décembre 2021, les mots «réseaux et services» sont remplacés par les mots «réseaux et systèmes d’information».


Art. 87. Dans l’article 105, § 2, 2°, de la même loi, remplacé par la loi du 17 février 2022, les mots «ou comme opérateur de services essentiels au sens de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique» sont abrogés.


Art. 88. Dans la même loi, l’article 107/2, inséré par la loi du 21 décembre 2021, est remplacé par ce qui suit:
«Art. 107/2.

§ 1er. Sans préjudice des dispositions de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, les fournisseurs d’infrastructure numérique analysent les risques pour la sécurité de leurs réseaux et systèmes d’information. L’Institut peut fixer les modalités de cette analyse des risques.

§ 2. Sans préjudice du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ci-après dénommé le RGPD et de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, ci-après dénommée la loi du 30 juillet 2018, les opérateurs veillent pour le moins à:

1° garantir que seules des personnes habilitées à agir à des fins légalement autorisées puissent avoir accès aux données à caractère personnel qu’ils traitent;

2° protéger les données à caractère personnel stockées ou transmises contre la destruction accidentelle ou illicite, la perte ou l’altération accidentelles et le stockage, le traitement, l’accès et la divulgation non autorisés ou illicites; et

3° assurer la mise en oeuvre d’une politique de sécurité relative au traitement des données à caractère personnel.
L’Institut est habilité à vérifier les mesures prises par ces opérateurs ainsi qu’à émettre des recommandations sur les meilleures pratiques concernant le degré de sécurité que ces mesures devraient permettre d’atteindre.

§ 3. Les opérateurs prennent toutes les mesures nécessaires, y compris préventives, pour assurer la disponibilité la plus complète possible des services de communications vocales et des services d’accès à l’internet en cas de défaillance exceptionnelle des réseaux ou de force majeure.
Le Roi, sur proposition de l’Institut ou d’initiative, sur avis de celui-ci, peut préciser ces mesures.

§ 4. Les opérateurs offrent gratuitement à leurs abonnés, compte tenu des possibilités techniques, les services sécurisés adéquats, afin de permettre aux utilisateurs finaux d’éviter toute forme de communication électronique non souhaitée.».


Art. 89. Dans la même loi, l’article 107/3, inséré par la loi du 21 décembre 2021, est remplacé par ce qui suit:


Art. 107/3.

§ 1er. En cas de cybermenace importante, le fournisseur d’infrastructure numérique informe l’Institut de la cybermenace, de toute mesure de protection ou correctrice que ses utilisateurs peuvent prendre ainsi que des mesures qu’il a prises ou envisage de prendre.
L’Institut peut préciser les cas dans lesquels une information doit être notifiée ainsi que les modalités de cette communication.

§ 2. En cas de violation de données à caractère personnel, l’opérateur de services de communications électroniques avertit sans délai l’Autorité de protection des données, qui en avertit sans délai l’Institut.
Lorsque la violation de données à caractère personnel est de nature à affecter négativement les données à caractère personnel ou la vie privée d’un abonné ou d’un particulier, l’opérateur de services de communications électroniques avertit également sans délai l’abonné ou le particulier concerné de la violation.
L’Autorité de protection des données examine si l’opérateur se conforme à cette obligation et informe l’Institut lorsqu’elle estime que cela n’est pas le cas.
La notification d’une violation des données à caractère personnel à l’abonné ou au particulier concerné n’est pas nécessaire si l’opérateur de services de communications électroniques a prouvé, à la satisfaction de l’Institut, qu’il a mis en oeuvre les mesures de protection technologiques appropriées et que ces dernières ont été appliquées aux données concernées par ladite violation. De telles mesures de protection technologiques rendent les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
Sans préjudice de l’obligation de l’opérateur de service de communications électroniques d’informer les abonnés et les particuliers concernés, si cet opérateur n’a pas déjà averti l’abonné ou le particulier de la violation de données à caractère personnel, l’Institut peut, à la demande de l’Autorité de protection des données, après avoir examiné les effets potentiellement négatifs de cette violation, exiger qu’il s’exécute.
La notification faite à l’abonné ou au particulier décrit au minimum la nature de la violation de données à caractère personnel et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues et recommande des mesures à prendre pour atténuer les conséquences négatives possibles de la violation de données à caractère personnel.
La notification faite à l’Autorité de protection des données décrit en outre les conséquences de la violation de données à caractère personnel, et les mesures proposées ou prises par l’opérateur de services de communications électroniques pour y remédier.

§ 3. Sous réserve de mesures d’exécution techniques émanant de la Commission européenne conformément à l’article 4, point 5, de la directive 2002/58/CE, et après avis de l’Autorité de protection des données, l’Institut peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant les circonstances dans lesquelles les opérateurs de services de communications électroniques sont tenus de notifier la violation de données à caractère personnel.
Sous réserve de mesures techniques d’application émanant de la Commission européenne conformément à l’article 4, point 5, de la directive 2002/58/CE, et après avis de l’Institut, l’Autorité de protection des données peut adopter des lignes directrices et, le cas échéant, édicter des instructions précisant le format applicable à cette notification et sa procédure de transmission.
Les opérateurs de services de communications électroniques tiennent à jour un inventaire des violations de données à caractère personnel, notamment de leur contexte, de leurs effets et des mesures prises pour y remédier, de sorte que l’Autorité de protection des données et l’Institut puissent vérifier le respect des dispositions du paragraphe 2. Cet inventaire comprend uniquement les informations nécessaires à cette fin.».


Art. 90. Dans la même loi, l’article 107/4, inséré par la loi du 21 décembre 2021, est remplacé par ce qui suit:
«Art. 107/4.

§ 1er. Le présent article s’applique sans préjudice des dispositions de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, notamment en ce qui concerne les pouvoirs de supervision accordés à l’autorité sectorielle ou au service d’inspection sectoriel.

§ 2. L’Institut peut donner des instructions contraignantes dans le cadre des articles 107/2, 107/3 ainsi que des articles 30 et 33 de la loi du 26 avril 2024 précitée à un fournisseur d’infrastructure numérique, y compris les mesures requises pour remédier à un incident de sécurité ou empêcher qu’un tel incident ne se produise lorsqu’une cybermenace importante a été identifiée, ainsi que les dates limites de mise en oeuvre de ces instructions.

§ 3. Dans le cadre de la supervision des articles 107/2 et 107/3 ainsi que des articles 30 et 33 de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, l’Institut peut soumettre le fournisseur d’infrastructure numérique à:
a) des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires effectués par des professionnels formés;
b) des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou par l’Institut;
c) des audits ad hoc;
d) des scans de sécurité fondés sur des critères d’évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération du fournisseur d’infrastructure numérique;
e) des demandes d’informations nécessaires à l’évaluation des mesures de gestion des risques en matière de cybersécurité adoptées par le fournisseur d’infrastructure numérique concerné;
f) des demandes d’accès à des données, à des documents et à toutes informations que l’Institut estime nécessaire pour l’accomplissement de ses tâches de supervision;
g) des demandes de preuves de la mise en oeuvre de politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.
Les audits de sécurité ciblés visés à l’alinéa 1er, b), sont basés sur des évaluations des risques effectuées par l’Institut ou l’entité contrôlée, ou sur d’autres informations disponibles relatives aux risques.
Lorsque l’audit de sécurité visé à l’alinéa 1er, b), est effectué par un organisme indépendant, le fournisseur d’infrastructure numérique propose à l’Institut un ou plusieurs organismes pour accord. L’Institut donne son accord lorsque l’organisme indépendant est qualifié pour effectuer l’audit et est indépendant par rapport au fournisseur d’infrastructure numérique. A défaut d’accord de l’Institut dans le délai qu’il a fixé lors de la demande, l’Institut désigne lui-même l’organisme indépendant. Ce dernier communique à l’Institut le rapport complet et les résultats de cet audit. Les coûts de l’audit sont à la charge du fournisseur d’infrastructure numérique, sauf lorsque l’Institut en décide autrement dans des cas dûment motivés.
Lorsqu’il exerce ses pouvoirs en vertu du paragraphe 1, e), f) ou g), l’Institut précise la finalité de la demande et les informations exigées.
L’Institut peut fixer les modalités de la fourniture par le fournisseur d’infrastructure numérique des informations concernant l’analyse de risque.
A la demande de l’Institut, un fournisseur d’infrastructure numérique participe à un exercice relatif à la sécurité des réseaux et systèmes d’information ou organise un tel exercice.
A la demande de l’Institut et dans le cadre de la gestion des incidents de sécurité, un fournisseur d’infrastructure numérique communique à l’Institut un point de contact disponible en permanence.

§ 4. A la demande de l’Institut et pour enquêter sur un cas de non-conformité par rapport aux articles 30 et 33 de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique ou à une mesure d’exécution ainsi que sur son effet sur la sécurité des réseaux et systèmes d’information, le fournisseur d’infrastructure numérique lui donne accès à tout élément de son réseau.

§ 5. Sans préjudice des compétences de l’autorité nationale de cybersécurité, l’Institut coordonne les initiatives relatives à la sécurité des réseaux publics de communications électroniques et des services de communications électroniques accessibles au public.
Il supervise la détection, l’observation et l’analyse des problèmes de sécurité, et peut fournir aux utilisateurs des informations en la matière.

§ 6. Le non-respect par un fournisseur d’infrastructure numérique du présent article ou d’une décision de l’Institut prise sur base du présent article peut faire l’objet des mesures ou amendes administratives visées dans le titre 4, chapitre 2, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique.».


Art. 91. Dans l’article 126/3, § 3, l), de la même loi, inséré par la loi du 20 juillet 2022, les mots «essentiels des fournisseurs de service essentiels désignés sur la base de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique» sont remplacés par les mots «des entités essentielles au sens de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique».


Art. 92. A l’article 164/1 de la même loi, inséré par la loi du 10 juillet 2012, les modifications suivantes sont apportées:

1° les mots «bureau d’enregistrement de noms de domaine Internet du domaine de premier niveau» sont remplacés par les mots «registre de noms de domaine de premier niveau du domaine de premier niveau»;

2° au 4°, les mots «bureau d’enregistrement des noms de domaine» sont remplacés par les mots «registre de noms de domaine de premier niveau».

3° au 4°, les mots «bureau d’enregistrement des noms de domaine Internet» sont remplacés par les mots «registre de noms de domaine de premier niveau»;

4° au 5°, dans le texte néerlandais, le mot «topniveaudomein» est remplacé par le mot «topleveldomein».


Art. 93. A l’article 164/2 de la même loi, les modifications suivantes sont apportées:

1° les mots «bureau d’enregistrement de noms de domaine Internet» sont chaque fois remplacés par les mots «registre de noms de domaine de premier niveau»;

2° dans le texte en néerlandais, le mot «topniveaudomein» est à chaque fois remplacé par le mot «topleveldomein».


Art. 94. Dans le titre VI, chapitre III, de la même loi, il est inséré un article 164/3, rédigé comme suit:
«Art. 164/3.

§ 1er. Les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine collectent, avec toute la diligence requise, les données d’enregistrement de noms de domaine et les maintiennent exactes et complètes au sein d’une base de données spécialisée conformément au droit de l’Union en matière de protection des données à caractère personnel.

§ 2. Les données d’enregistrement de noms de domaine visées à l’alinéa 1er contiennent les informations nécessaires pour identifier et contacter les titulaires des noms de domaine et les points de contact qui gèrent les noms de domaine relevant des domaines de premier niveau. Ces informations comprennent au moins les éléments suivants:

1° le nom de domaine;

2° la date d’enregistrement;

3° le nom du titulaire de nom de domaine, son adresse de courrier électronique et son numéro de téléphone;

4° l’adresse de courrier électronique et le numéro de téléphone permettant de contacter le point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire.
Après avis de l’Institut, le Roi peut ordonner aux fournisseurs et aux revendeurs de services d’anonymisation ou d’enregistrement fiduciaire de partager les données d’enregistrement de noms de domaine avec les bureaux d’enregistrement et en définir les modalités.
Le respect des obligations visées au présent article ne doit pas entraîner de répétition inutile de la collecte des données d’enregistrement de noms de domaine auprès de la personne concernée. A cet effet, les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine coopèrent entre eux.
Après avis de l’Institut, le Roi peut préciser les modalités de cette coopération.

§ 2. Les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine disposent des politiques et des procédures, notamment des procédures de vérification, visant à garantir que les bases de données visées au paragraphe 1er, alinéa 1er, contiennent des informations exactes et complètes. Ces politiques et procédures sont mises à la disposition du public.
Si les données d’enregistrement de noms de domaine énumérées au paragraphe 1er, alinéa 2, d’un nom de domaine sont incorrectes, inexactes ou incomplètes, les registres de noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine bloquent immédiatement le fonctionnement de ce nom de domaine jusqu’à ce que le titulaire du nom de domaine corrige les données d’enregistrement pour qu’elles deviennent correctes, exactes et complètes.
Si le titulaire du nom de domaine ne le fait pas dans le délai fixé par le registre des noms de domaine de premier niveau ou par l’entité fournissant des services d’enregistrement de nom de domaine, le nom de domaine est annulé.
Le transfert d’un nom de domaine bloqué à une autre entité fournissant des services d’enregistrement de noms de domaine est interdit.

§ 3. Les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine rendent publiques, sans retard injustifié après l’enregistrement d’un nom de domaine, les données d’enregistrement du nom de domaine qui ne sont pas des données à caractère personnel.

§ 4. Sur demande dûment motivée, les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine fournissent gratuitement les données énumérées au paragraphe 1er, alinéa 2, aux demandeurs d’accès légitimes, sans retard injustifié et en tout état de cause dans un délai de septante-deux heures après réception de toute demande d’accès, ou vingt-quatre heures après réception de toute demande d’accès en cas d’urgence.
Les demandeurs d’accès légitimes comprennent toute personne physique ou morale qui formule une demande d’examen, de constatation, d’exercice ou de défense de dispositions pénales, civiles ou autres du droit de l’Union ou du droit belge.
Sont considérés comme demandeurs d’accès légitimes:

1° toute personne dans le cadre de violations des droits de propriété intellectuelle ou des droits voisins;

2° l’Institut;

3° le CCB;

4° le CSIRT national;

5° les services de police;

6° les autorités judiciaires;

7° les services de renseignement et de sécurité;

8° le SPF Economie;

9° le SPF Finances.
Après avis de l’Institut, le Roi peut ajouter à cette liste des demandeurs d’accès légitimes supplémentaires.
Les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine, offrent au demandeur la possibilité d’introduire aisément sa demande.
Il est question d’urgence si l’utilisation d’un nom de domaine peut conduire à des situations de danger de mort et/ou à des dommages irréparables.
Tout refus d’une demande dûment motivée est motivé.
Les politiques et procédures de divulgation de ces données sont rendues publiques.
Les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine ne peuvent pas informer le titulaire d’un nom de domaine lorsqu’une demande visée à l’alinéa 1er a été formulée.

§ 5. L’Institut peut donner des instructions contraignantes à un registre de noms de domaine de premier niveau ou à une entité fournissant des services d’enregistrement de noms de domaine, en vue du respect du présent article.

§ 6. Si un registre de noms de domaine de premier niveau ou une entité fournissant des services d’enregistrement de noms de domaine ne respecte pas le présent article, un arrêté royal adopté en vertu du présent article ou une instruction contraignante émise par l’Institut, l’Institut peut imposer les mesures ou amendes administratives visées au chapitre 2 de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique.».

Section 6. – Modifications de la loi du 21 novembre 2017 relative aux infrastructures des marchés d’instruments financiers et portant transposition de la Directive 2014/65/UE


Art. 95. Dans l’article 71 de la loi du 21 novembre 2017 relative aux infrastructures des marchés d’instruments financiers et portant transposition de la directive 2014/65/UE, modifié par la loi du 7 avril 2019, les mots «et du titre 2 de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique. Pour l’exécution des missions précitées concernant la loi du 7 avril 2019, la FSMA peut néanmoins charger un prestataire externe spécialisé de l’exécution de tâches déterminées de contrôle ou obtenir l’assistance d’un tel prestataire» sont abrogés.


Art. 96. L’article 79, § 4, de la même loi, inséré par la loi du 7 avril 2019, est abrogé.

CHAPITRE 3. – Disposition abrogatoire


Art. 97. La loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique est abrogée.

CHAPITRE 4. – Entrée en vigueur


Art. 98. La présente loi entre en vigueur le 18 octobre 2024.
Promulguons la présente loi, ordonnons qu’elle soit revêtue du Sceau de l’Etat et publiée par le Moniteur belge.


Donné à Bruxelles, le 26 avril 2024.

PHILIPPE, Par le Roi :
Le Premier Ministre, A. DE CROO
La Ministre de l’Intérieur, A. VERLINDEN
Scellé du sceau de l’Etat :
Le Ministre de la Justice, P. VAN TIGCHELT
_______
Note
(1) Chambres des représentants (www.lachambre.be) : Documents : 55 3862
Compte rendu intégral : 18 avril 2024.


Annexe I à la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique

Annexe I – Secteurs hautement critiques
SecteurSous-secteurType d’entité
1. Energiea) Electricité– Entreprises d’électricité au sens de l’article 2, point 57), de la directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l’électricité et modifiant la directive 2012/27/UE, qui remplissent la fonction de «fourniture» au sens de l’article 2, point 12), de ladite directive
  – Gestionnaires de réseau de distribution au sens de l’article 2, point 29), de la directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l’électricité et modifiant la directive 2012/27/UE
  – Gestionnaires de réseau de transport au sens de l’article 2, point 35), de la directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l’électricité et modifiant la directive 2012/27/UE
  – Producteurs au sens de l’article 2, point 38), de la directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l’électricité et modifiant la directive 2012/27/UE
  – Opérateurs désignés du marché de l’électricité au sens de l’article 2, point 8), du règlement (UE) 2019/943 du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l’électricité
  – Acteurs du marché au sens de l’article 2, point 25), du règlement (UE) 2019/943 fournissant des services d’agrégation, de participation active de la demande ou de stockage d’énergie au sens de l’article 2, points 18), 20) et 59), de la directive (UE) 2019/944 du Parlement européen et du Conseil du 5 juin 2019 concernant des règles communes pour le marché intérieur de l’électricité et modifiant la directive 2012/27/UE
  – Exploitants d’un point de recharge qui sont responsables de la gestion et de l’exploitation d’un point de recharge, lequel fournit un service de recharge aux utilisateurs finals, y compris au nom et pour le compte d’un prestataire de services de mobilité
  b) Réseau de chaleur et de froid– Opérateurs de réseaux de chaleur ou de réseaux de froid au sens de l’article 2, point 19), de la directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l’utilisation de l’énergie produite à partir de sources renouvelables
  c) Pétrole– Exploitants d’oléoducs
  – Exploitants d’installations de production, de raffinage, de traitement, de stockage et de transport de pétrole
  – Entités centrales de stockage au sens de l’article 2, point f), de la directive 2009/119/CE du Conseil du 14 septembre 2009 faisant obligation aux Etats membres de maintenir un niveau minimal de stocks de pétrole brut et/ou de produits pétroliers
  d) Gaz– Entreprises de fourniture au sens de l’article 2, point 8, de la directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE
  – Gestionnaires de réseau de distribution au sens de l’article 2, point 6, de la directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE
  – Gestionnaires de réseau de transport au sens de l’article 2, point 4, de la directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE
  – Gestionnaires d’installation de stockage au sens de l’article 2, point 10, de la directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE
  – Gestionnaires d’installation de GNL au sens de l’article 2, point 12, de la directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE
  – Entreprises de gaz naturel au sens de l’article 2, point 1, de la directive 2009/73/CE du Parlement européen et du Conseil du 13 juillet 2009 concernant des règles communes pour le marché intérieur du gaz naturel et abrogeant la directive 2003/55/CE
  – Exploitants d’installations de raffinage et de traitement de gaz naturel
  e) Hydrogène– Exploitants de systèmes de production, de stockage et de transport d’hydrogène
2. Transportsa) Transports aériens– Transporteurs aériens au sens de l’article 3, point 4), du règlement (CE) no 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n° 2320/2002, utilisés à des fins commerciales
  – Entités gestionnaires d’aéroports au sens de l’article 2, point 2), de la directive 2009/12/CE du Parlement européen et du Conseil du 11 mars 2009 sur les redevances aéroportuaires, aéroports au sens de l’article 2, point 1), de ladite directive, y compris les aéroports du réseau central énumérés à l’annexe II, section 2, du règlement (UE) n° 1315/2013 du Parlement européen et du Conseil du 11 décembre 2013 sur les orientations de l’Union pour le développement du réseau transeuropéen de transport et abrogeant la décision n ° 661/2010/UE, et entités exploitant les installations annexes se trouvant dans les aéroports
  – Services du contrôle de la circulation aérienne au sens de l’article 2, point 1), du règlement (CE) n° 549/2004 du Parlement européen et du Conseil du 10 mars 2004 fixant le cadre pour la réalisation du ciel unique européen
  b) Transports ferroviaires– Gestionnaires de l’infrastructure au sens de l’article 3, point 2), de la directive 2012/34/UE du Parlement européen et du Conseil du 21 novembre 2012 établissant un espace ferroviaire unique européen
  – Entreprises ferroviaires au sens de l’article 3, point 1), de la directive 2012/34/UE du Parlement européen et du Conseil du 21 novembre 2012 établissant un espace ferroviaire unique européen, y compris les exploitants d’installation de service au sens de l’article 3, point 12), de ladite directive
  c) Transports par eau– Sociétés de transport par voie d’eau intérieure, maritime et côtier de passagers et de fret, telles qu’elles sont définies pour le domaine du transport maritime à l’annexe I du règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l’amélioration de la sûreté des navires et des installations portuaires, à l’exclusion des navires exploités à titre individuel par ces sociétés
  – Entités gestionnaires des ports au sens de l’article 3, point 1), de la directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à l’amélioration de la sûreté des ports, y compris les installations portuaires au sens de l’article 2, point 11), du règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l’amélioration de la sûreté des navires et des installations portuaires, ainsi que les entités exploitant des infrastructures et des équipements à l’intérieur des ports
  – Exploitants de services de trafic maritime (STM) au sens de l’article 3, point o), de la directive 2002/59/CE du Parlement européen et du Conseil du 27 juin 2002 relative à la mise en place d’un système communautaire de suivi du trafic des navires et d’information, et abrogeant la directive 93/75/CEE du Conseil
  d) Transports routiers– Autorités routières au sens de l’article 2, point 12), du règlement délégué (UE) 2015/962 de la Commission du 18 décembre 2014 complétant la directive 2010/40/UE du Parlement européen et du Conseil en ce qui concerne la mise à disposition, dans l’ensemble de l’Union, de services d’informations en temps réel sur la circulation, chargées du contrôle de la gestion de la circulation, à l’exclusion des entités publiques pour lesquelles la gestion de la circulation ou l’exploitation de systèmes de transport intelligents constituent une partie non essentielle de leur activité générale
  – Exploitants de systèmes de transport intelligents au sens de l’article 4, point 1), de la directive 2010/40/UE du Parlement européen et du Conseil du 7 juillet 2010 concernant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d’interfaces avec d’autres modes de transport
3. Secteur bancaire  – Etablissements de crédit au sens de l’article 4, point 1), du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012
4. Infrastructures des marchés financiers  – Exploitants de plates-formes de négociation au sens de l’article 4, point 24), de la directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE
  – Contreparties centrales au sens de l’article 2, point 1), du règlement (UE) n° 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux
5. Santé  – Prestataires de soins de santé au sens de l’article 3, point g), de la directive 2011/24/UE du Parlement européen et du Conseil du 9 mars 2011 relative à l’application des droits des patients en matière de soins de santé transfrontaliers
  – Laboratoires de référence de l’Union européenne visés à l’article 15 du règlement (UE) 2022/2371 du Parlement européen et du Conseil du 23 novembre 2022 concernant les menaces transfrontières graves pour la santé et abrogeant la décision n° 1082/2013/UE
  – Entités exerçant des activités de recherche et de développement dans le domaine des médicaments au sens de l’article 1er, point 2, de la directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain
  – Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques au sens de l’annexe I, section C, division 21 du Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 décembre 2006 établissant la nomenclature statistique des activités économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du Conseil ainsi que certains règlements (CE) relatifs à des domaines statistiques spécifiques
  – Entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique (liste des dispositifs médicaux critiques en cas d’urgence de santé publique) au sens de l’article 22 du règlement (UE) 2022/123 du Parlement européen et du Conseil du 25 janvier 2022 relatif à un rôle renforcé de l’Agence européenne des médicaments dans la préparation aux crises et la gestion de celles-ci en ce qui concerne les médicaments et les dispositifs médicaux
6. Eau potable  – Fournisseurs et distributeurs d’eaux destinées à la consommation humaine au sens de l’article 2, point 1) a), de la directive (UE) 2020/2184 du Parlement européen et du Conseil du 16 décembre 2020 relative à la qualité des eaux destinées à la consommation humaine, à l’exclusion des distributeurs pour lesquels la distribution d’eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d’autres produits et biens
7. Eaux usées  – Entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, les eaux ménagères usées ou les eaux industrielles usées au sens de l’article 2, points 1), 2) et 3), de la directive 91/271/CEE du Conseil, du 21 mai 1991, relative au traitement des eaux urbaines résiduaires, à l’exclusion des entreprises pour lesquelles la collecte, l’évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale
8. Infrastructure numérique  – Fournisseurs de points d’échange internet
  – Fournisseurs de services DNS, à l’exclusion des opérateurs de serveurs racines de noms de domaine
  – Registres de noms de domaine de premier niveau
  – Fournisseurs de services d’informatique en nuage
  – Fournisseurs de services de centres de données
  – Fournisseurs de réseaux de diffusion de contenu
  – Prestataires de services de confiance
  – Fournisseurs de réseaux de communications électroniques publics
  – Fournisseurs de services de communications électroniques accessibles au public
9. Gestion des services TIC (interentreprises)  – Fournisseurs de services gérés
  – Fournisseurs de services de sécurité gérés
10. Administration publique  – Entités de l’administration publique qui dépendent de l’Etat fédéral
  – Entités de l’administration publique qui dépendent des entités fédérées, identifiés conformément à l’article 11, § 2 de la loi
  – Les zones de secours au sens de l’article 14 de la loi du 15 mai 2007 relative à la sécurité civile ou le Service d’incendie et d’aide médicale urgente de la Région de Bruxelles-Capitale créé par l’ordonnance du 19 juillet 1990 portant création d’un Service d’incendie et d’aide médicale urgente de la Région de Bruxelles-Capitale
11. Espace  – Exploitants d’infrastructures terrestres, détenues, gérées et exploitées par des Etats membres ou par des parties privées, qui soutiennent la fourniture de services spatiaux, à l’exclusion des fournisseurs de réseaux de communications électroniques publics


Vu pour être annexé à la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique
PHILIPPE
Par le Roi :
Le Premier Ministre,
A. DE CROO
La Ministre de l’Intérieur,
A. VERLINDEN


Annexe II à la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique

Annexe II – Autres secteurs critiques
SecteurSous-secteurType d’entité
1. Services postaux et d’expédition  – Prestataires de services postaux au sens de l’article 2, point 1 bis), de la directive 97/67/CE du Parlement Européen et du Conseil du 15 décembre 1997 concernant des règles communes pour le développement du marché intérieur des services postaux de la Communauté et l’amélioration de la qualité du service, y compris les prestataires de services d’expédition
2. Gestion des déchets  – Entreprises exécutant des opérations de gestion des déchets au sens de l’article 3, point 9), de la directive 2008/98/CE du Parlement européen et du Conseil du 19 novembre 2008 relative aux déchets et abrogeant certaines directives, à l’exclusion des entreprises pour lesquelles la gestion des déchets n’est pas la principale activité économique
3. Fabrication, production et distribution de produits chimiques  – Entreprises procédant à la fabrication de substances et à la distribution de substances ou de mélanges au sens de l’article 3, points 9 et 14, du règlement (CE) n° 1907/2006 du Parlement européen et du Conseil du 18 décembre 2006 concernant l’enregistrement, l’évaluation et l’autorisation des substances chimiques, ainsi que les restrictions applicables à ces substances (REACH), instituant une agence européenne des produits chimiques, modifiant la directive 1999/45/CE et abrogeant le règlement (CEE) n° 793/93 du Conseil et le règlement (CE) n° 1488/94 de la Commission ainsi que la directive 76/769/CEE du Conseil et les directives 91/155/CEE, 93/67/CEE, 93/105/CE et 2000/21/CE de la Commission et entreprises procédant à la production d’articles au sens de l’article 3, point 3), dudit règlement, à partir de substances ou de mélanges
4. Production, transformation et distribution des denrées alimentaires  – Entreprises du secteur alimentaire au sens de l’article 3, point 2), du règlement (CE) n° 178/2002 du Parlement européen et du Conseil du 28 janvier 2002 établissant les principes généraux et les prescriptions générales de la législation alimentaire, instituant l’Autorité européenne de sécurité des aliments et fixant des procédures relatives à la sécurité des denrées alimentaires qui exercent des activités de distribution en gros ainsi que de production et de transformation industrielles
5. Fabricationa) Fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro– Entités fabriquant des dispositifs médicaux au sens de l’article 2, point 1), du règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux, modifiant la directive 2001/83/CE, le règlement (CE) n° 178/2002 et le règlement (CE) n° 1223/2009 et abrogeant les directives du Conseil 90/385/CEE et 93/42/CEE et entités fabriquant des dispositifs médicaux de diagnostic in vitro au sens de l’article 2, point 2), du règlement (UE) 2017/746 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux de diagnostic in vitro et abrogeant la directive 98/79/CE et la décision 2010/227/UE de la Commission, à l’exception des entités fabriquant des dispositifs médicaux mentionnés à l’annexe I, point 5, cinquième tiret, de la présente directive
  b) Fabrication de produits informatiques, électroniques et optiques– Entreprises exerçant l’une des activités économiques visées à l’annexe I, section C, division 26 du Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 décembre 2006 établissant la nomenclature statistique des activités économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du Conseil ainsi que certains règlements (CE) relatifs à des domaines statistiques spécifiques
  c) Fabrication d’équipements électriques– Entreprises exerçant l’une des activités économiques visées à l’annexe I, section C, division 27 du Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 décembre 2006 établissant la nomenclature statistique des activités économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du Conseil ainsi que certains règlements (CE) relatifs à des domaines statistiques spécifiques
  d) Fabrication de machines et équipements n.c.a.– Entreprises exerçant l’une des activités économiques visées à l’annexe I, section C, division 28 du Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 décembre 2006 établissant la nomenclature statistique des activités économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du Conseil ainsi que certains règlements (CE) relatifs à des domaines statistiques spécifiques
  e) Construction de véhicules automobiles, remorques et semi-remorques– Entreprises exerçant l’une des activités économiques visées à l’annexe I, section C, division 29 du Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 décembre 2006 établissant la nomenclature statistique des activités économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du Conseil ainsi que certains règlements (CE) relatifs à des domaines statistiques spécifiques
  f) Fabrication d’autres matériels de transport– Entreprises exerçant l’une des activités économiques visées à l’annexe I, section C, division 30 du Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 décembre 2006 établissant la nomenclature statistique des activités économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du Conseil ainsi que certains règlements (CE) relatifs à des domaines statistiques spécifiques
6. Fournisseurs numériques  – Fournisseurs de places de marché en ligne
  – Fournisseurs de moteurs de recherche en ligne
  – Fournisseurs de plateformes de services de réseaux sociaux
7. Recherche  – Organismes de recherche


Vu pour être annexé à la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique


PHILIPPE, Par le Roi :


Le Premier Ministre, A. DE CROO
La Ministre de l’Intérieur, A. VERLINDEN