J U S T E L     -     Législation consolidée
Fin Premier mot Dernier mot Préambule
Rapport au Roi Table des matières 2 arrêtés d'exécution
Signatures Fin Version néerlandaise
 
belgiquelex . be     -     Banque Carrefour de la législation
Conseil d'Etat
ELI - Système de navigation par identifiant européen de la législation
http://www.ejustice.just.fgov.be/eli/arrete/2019/07/12/2019041284/justel

Titre
12 JUILLET 2019. - Arrêté royal portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques

Source :
CHANCELLERIE DU PREMIER MINISTRE
Publication : 18-07-2019 numéro :   2019041284 page : 72187       PDF :   version originale    
Dossier numéro : 2019-07-12/02
Entrée en vigueur : 18-07-2019

Table des matières Texte Début
CHAPITRE 1er. Objet
Art. 1
CHAPITRE 2. Définitions
Art. 2
CHAPITRE 3. Autorités compétentes
Art. 3-4
CHAPITRE 4. Notification et traitement des incidents
Section 1re. Champ d'application et plate-forme de notification
Art. 5-7
Section 2. Notifications
Art. 8-9
Section 3. Traitement de l'incident
Art. 10
Section 4. Protocole d'accord
Art. 11
CHAPITRE 5. Les notifications volontaires
Art. 12
CHAPITRE 6. Dérogations
Art. 13
CHAPITRE 7. Les organismes d'évaluation de la conformité
Art. 14
CHAPITRE 8. Dispositions finales
Art. 15-16
ANNEXES.
Art. N1-N2

Texte Table des matières Début
CHAPITRE 1er. Objet

  Article 1er. Le présent arrêté vise à transposer la directive européenne (EU) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (la " directive NIS ").

  CHAPITRE 2. Définitions

  Art. 2. Pour l'application du présent arrêté royal, il faut entendre par :
  1° " loi " : la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique;
  2° " CCB " : le Centre pour la Cybersécurité Belgique créé par l'arrêté royal du 10 octobre 2014;
  3° " DGCC " : la Direction générale Centre de Crise du Service public fédéral Intérieur, créée par l'arrêté royal du 18 avril 1988 portant création du Centre gouvernemental de Coordination et de Crise;
  4° " plate-forme de notification " : la plate-forme de notification d'incidents visée à l'article 31 de la loi.

  CHAPITRE 3. Autorités compétentes

  Art. 3. § 1er. Le CCB est désigné comme l'autorité visée à l'article 7, § 1er, et à l'article 10, § 1er, de la loi.
  Le CCB est désigné comme le CSIRT national visé à l'article 7, § 2, de la loi.
  § 2. La DGCC est désignée comme l'autorité visée à l'article 7, § 4, de la loi.
  § 3. Les autorités sectorielles visées à l'article 7, § 3, de la loi sont désignées à l'annexe 1.
  § 4. Les services d'inspection visés à l'article 7, § 5, de la loi sont désignés à l'annexe 2.

  Art. 4. § 1er. Pour les infrastructures critiques du secteur de la santé, l'autorité sectorielle visée à l'article 3, 3°, f), de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques est désignée à l'annexe 1, point c).
  § 2. Pour les infrastructures critiques du secteur de la santé, le service d'inspection visé à l'article 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques est désigné à l'annexe 2, point a).

  CHAPITRE 4. Notification et traitement des incidents

  Section 1re. Champ d'application et plate-forme de notification

  Art. 5. Le présent chapitre s'applique aux notifications d'incidents visés par les articles 24, 26, § 1er, 27, 31 et 35 de la loi du 7 avril 2019.

  Art. 6. Une plate-forme sécurisée de notification est créée afin de faciliter :
  1° l'envoi par les opérateurs de services essentiels et les fournisseurs de service numérique au CSIRT national, à l'autorité sectorielle ou son CSIRT sectoriel, et à la DGCC, des notifications d'incidents de sécurité effectuées en vertu de la loi du 7 avril 2019;
  2° la possibilité d'envoi, par les opérateurs de services essentiels et les fournisseurs de service numérique, d'une notification de violations de données à caractère personnel à une autorité de contrôle des données à caractère personnel, telle que prévue par l'article 31, § 1er, alinéa 2, et par l'article 36, § 2, de la loi.

  Art. 7. La plate-forme visée à l'article 6 est accessible par le biais d'Internet pour les opérateurs de services essentiels et les fournisseurs de service numérique au moyen d'une connexion sécurisée et l'utilisation d'une clé d'identification unique à chaque opérateur de services essentiels ou fournisseur de service numérique.

  Section 2. Notifications

  Art. 8. § 1er. La notification est réalisée via la plate-forme de notification et moyennant l'utilisation du formulaire de notification d'incident déterminé par le CSIRT national.
  La notification contient toutes les informations disponibles permettant de déterminer la nature, les causes, les effets et les conséquences de l'incident.
  § 2. Lorsque l'opérateur de services essentiels ou le fournisseur de service numérique n'est pas en mesure de fournir toutes les informations reprises dans le formulaire à l'aide des éléments en sa possession, il complète la notification initiale via la plate-forme de notification dès que les informations manquantes sont disponibles.
  § 3. Il fait de même lorsque de nouvelles informations sont connues ou lorsque des développements importants surviennent.
  § 4. A la demande du CSIRT national, de la DGGC, de l'autorité sectorielle ou de son CSIRT sectoriel, l'opérateur de services essentiels ou le fournisseur de service numérique notifie via la plate-forme de notification une mise à jour du formulaire de notification retraçant la gestion de l'incident de sa découverte à sa clôture et reprenant toutes les informations reprises dans le formulaire de notification.

  Art. 9. En cas d'indisponibilité de la plate-forme de notification visée à l'article 6, le CSIRT national informe les opérateurs de services essentiels et les fournisseurs de service numérique des modalités opérationnelles de notification à utiliser.

  Section 3. Traitement de l'incident

  Art. 10. § 1er. Le CSIRT national, l'autorité sectorielle ou son CSIRT sectoriel ou la DGCC peuvent demander à l'opérateur de services essentiels ou au fournisseur de service numérique des informations complémentaires sur les notifications qu'il a effectuées.
  § 2. Lorsque les circonstances le permettent, le CSIRT national fournit à l'opérateur de services essentiels, ou au fournisseur de service numérique qui est à l'origine de la notification toutes les informations utiles au suivi de sa notification, et le cas échéant toutes les informations qui pourraient contribuer à une gestion efficace de l'incident.
  § 3. Sans préjudice des règles applicables à la gestion de crise en cas de cyberincidents visée à l'article 3, 5°, de l'arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique, le CSIRT national assure la coordination du traitement des notifications au niveau national et international.

  Section 4. Protocole d'accord

  Art. 11. Le CSIRT national, les autorités sectorielles et la DGCC concluent un protocole d'accord pour fixer les modalités opérationnelles :
  1° de gestion de la plate-forme de notification;
  2° du traitement des notifications visées à l'article 8, § 3;
  3° des demandes d'information complémentaire à l'opérateur de services essentiels ou au fournisseur de service numérique visées à l'article 6, § 4.

  CHAPITRE 5. Les notifications volontaires

  Art. 12. § 1er. Les notifications volontaires visées à l'article 30 de la loi sont adressées directement au CSIRT national.
  § 2. Les modalités opérationnelles de cette notification sont déterminées par le CSIRT national et publiées sur son site internet.
  § 3. Le CSIRT national transmet les informations relatives à ces notifications à la DGCC et aux autorités sectorielles ou CSIRT sectoriels potentiellement intéressés.

  CHAPITRE 6. Dérogations

  Art. 13. Il est dérogé aux chapitres IV et V pour les notifications de violations de données à caractère personnel, qui suivent les règles légales ou imposées par l'autorité de contrôle des données à caractère personnel visée à l'article 6, 4°, de la loi du 7 avril 2019.

  CHAPITRE 7. Les organismes d'évaluation de la conformité

  Art. 14. Les organismes d'évaluation de la conformité qui souhaitent être accrédités pour l'audit externe et la certification des opérateurs de services essentiels, visés aux articles 22, § 2, et 38, § 2, de la loi, ou l'audit externe de fournisseurs de service numérique, doivent introduire une demande auprès de l'autorité nationale d'accréditation ou d'une institution qui est co-signataire des accords de reconnaissance du" European Cooperation for Accreditation ".
  Les conditions auxquelles l'organisme d'évaluation de la conformité doit répondre pour être accrédité à cette fin sont les suivantes :
  1° satisfaire, à tout moment, aux critères d'accréditation prévus par les normes ISO/IEC 17021 ou ISO/IEC 17065, lesquelles spécifient (a) les exigences génériques et spécifiées applicables aux organismes procédant à l'audit et à la certification des systèmes de management et; (b) les exigences visant à garantir que les organismes de certification exploitent des programmes de certification avec compétence, cohérence et impartialité;
  2° satisfaire aux procédures de fonctionnement du système d'accréditation qui sont applicables aux organismes accrédités.

  CHAPITRE 8. Dispositions finales

  Art. 15. Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.

  Art. 16. Le Premier Ministre et le Ministre ayant la sécurité et l'Intérieur dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.

  ANNEXES.

  Art. N1. Annexe 1.
  Les autorités sectorielles désignées par Nous:
  a) pour le secteur de l'énergie : le Ministre fédéral ayant l'Energie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur);
  b) pour le secteur des transports :
  - En ce qui concerne le secteur du transport, à l'exception du transport par voies d'eau accessibles aux navires maritimes : le Ministre fédéral compétent pour le Transport, ou par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur);
  - En ce qui concerne le transport par voies d'eau accessibles aux navires maritimes : le Ministre fédéral compétent pour la Mobilité maritime, ou par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur);
  c) pour le secteur de la santé : le Ministre fédéral ayant la Santé publique dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur);
  d) pour le secteur des fournisseurs de service numérique : le Ministre fédéral ayant l'Economie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur).

  Art. N2. Annexe 2.
  Les services d'inspection désignés par Nous :
  a) pour le secteur de la santé: le service public fédéral Santé publique;
  b) pour le secteur de l'énergie à l'exception des éléments d'une installation nucléaire destinée à la production industrielle d'électricité qui servent au transport de l'électricité : le service public fédéral Economie;
  c) pour le secteur des fournisseurs de service numérique : le service public fédéral Economie.
  

Signatures Texte Table des matières Début
   Donné à Bruxelles, le 12 juillet 2019.
PHILIPPE
Par le Roi :
Le Premier Ministre,
CH. MICHEL
Le Ministre de la Sécurité et de l'Intérieur,
P. DE CREM

Préambule Texte Table des matières Début
   PHILIPPE, Roi des Belges,
   A tous, présents et à venir, Salut.
   Vu la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, les articles 6, 1°, 2°, 7, 10, 31, § 1er, 36 et 39, § 1er;
   Vu l'article 3, 3°, f), inséré par la loi du 7 avril 2019, l'article 24, § 2, alinéa 1er, et l'article 31 de la loi du 1er juillet 2011 relative à la sécurité et à la protection des infrastructures critiques;
   Vu l'avis de l'Inspecteur des Finances, donné le 18 mars 2019;
   Vu l'accord de la Ministre du Budget, donné le 30 avril 2019;
   Vu les avis sur l'article 11 du présent arrêté royal, rendus par la Banque nationale de Belgique, l'Autorité des services et marchés financiers et l'Institut belge des services postaux et des télécommunications;
   Vu l'avis de l'Autorité de protection des données, rendu le 5 juin 2019;
   Vu l'avis 66.225/4 du Conseil d'Etat, donné le 22 mai 2019 sur base de l'article 84, § 1er, alinéa 1er, 3°, des lois coordonnées sur le Conseil d'Etat;
   Sur la proposition du Premier Ministre, du Ministre de la Sécurité et de l'Intérieur et de l'avis des Ministres qui en ont délibéré en Conseil,
   Nous avons arrêté et arrêtons :

Rapport au Roi Texte Table des matières Début
   RAPPORT AU ROI
   Sire,
   Considérations générales
   Le présent arrêté royal porte exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.
   L'arrêté royal a pour objectif principal de fixer le cadre général pour les notifications d'incidents de sécurité, de désigner les autorités compétentes et d'établir les conditions générales de certification des organismes devant réaliser les audits externes des opérateurs de services essentiels. Celui-ci n'aborde pas les aspects spécifiques sectoriels ou les mesures facultatives qui peuvent être prises par le Roi. Les éventuelles mesures d'exécution propres à un secteur ou sous-secteur feront l'objet, le cas échéant, d'un ou plusieurs autres arrêtés royaux.
   Le gouvernement se doit, conformément à la notion d'affaires courantes, d'adopter des dispositions réglementaires urgentes ou qui découlent d'obligations internationales de la Belgique, dont celles en matière de transposition de directives européennes. En effet, une procédure d'infraction contre la Belgique a été entamée par la Commission européenne pour retard de transposition de la directive européenne (EU) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (" directive NIS "), laquelle devait être transposée pour le 9 mai 2018.
   Pour transposer adéquatement la directive NIS en Belgique, il est nécessaire d'adopter le présent projet d'arrêté royal.
   Les modalités opérationnelles de traitement des notifications d'incidents entre les administrations concernées seront fixées dans un protocole, comme prévu à l'article 11 du présent arrêté royal.
   Conformément au champ d'application de la loi du 7 avril 2019, tel que prévu en ses articles 4 et 5, le présent arrêté royal est sans préjudice des règles applicables :
   - au traitement des informations, documents ou données, au matériel, aux matériaux ou matières, sous quelque forme que ce soit, qui sont classifiés en application de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité;
   - aux documents nucléaires, au sens de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire.
   Commentaire des articles
   CHAPITRE 1er. Objet
   Article 1er. Le Conseil d'Etat recommande de préciser que l'arrêté royal qui est adopté vise à transposer la directive européenne 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, ci-après dénommée la " directive NIS ".
   CHAPITRE 2. Définitions
   Art. 2. Au point 4°, le terme " plate-forme de notification " vise la plate-forme créée en vertu de l'article 31 de la loi du 7 avril 2019 et permettant aux opérateurs de services essentiels et aux fournisseurs de service numérique de notifier (1) au CSIRT national (CCB), à l'autorité sectorielle ou son CSIRT sectoriel, et à la Direction générale Centre de Crise du Service public fédéral Intérieur (ci-après dénommée " DGCC "), des notifications d'incidents de sécurité; et/ ou (2) aux autorités de contrôle les violations de données à caractère personnel.
   CHAPITRE 3. Autorités compétentes
   Art. 3. Dans son avis 63.296/4 du 2 mai 2018, le Conseil d'Etat a insisté sur le fait qu'il revenait au Roi de désigner les services qui seront chargés d'intervenir dans le processus d'application et de mise en oeuvre de la loi.
   En exécution de l'article 7, § 1er et 2, de la loi du 7 avril 2019, le Centre pour la Cybersécurité Belgique (ci-après dénommé " CCB ") est désigné (1) comme autorité nationale chargée du suivi et de la coordination de la mise en oeuvre de la loi du 7 avril 2019 ainsi que (2) comme point de contact national unique en matière de sécurité des réseaux et des systèmes d'information, pour l'ensemble des opérateurs de services essentiels et des fournisseurs de service numérique, pour la Belgique dans ses relations avec la Commission européenne, les Etats membres de l'Union européenne, le Groupe de coopération et le réseau des CSIRT.
   Le CCB est chargé de maintenir à jour la stratégie nationale en matière de sécurité des réseaux et des systèmes d'information.
   Conformément à l'article 3, 1° et 7°, de l'arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique, celui-ci a, en effet, déjà la mission, au titre d'autorité nationale, de superviser, coordonner et veiller à la mise en oeuvre de la stratégie belge en matière de cybersécurité, ainsi que de coordonner le suivi des obligations internationales en la matière.
   Conformément à l'article 10, § 1er, de la loi du 7 avril 2019, les autorités visées à l'article 7 de la loi du 7 avril 2019 donnent leur avis au CCB sur les propositions d'adaptation de la stratégie nationale. La DGCC fournit un avis notamment pour ce qui concerne les aspects liés à la sécurité physique des sites des opérateurs de services essentiels. En effet, la sécurité des réseaux et systèmes d'information visée par loi et la directive inclut aussi les aspects de sécurité physique liés aux réseaux et systèmes d'information.
   En exécution de l'article 7, § 2, de la loi du 7 avril 2019, l'article 3, § 1, al. 2, du présent arrêté royal désigne le Centre pour la Cybersécurité Belgique comme le centre national de réponse aux incidents de sécurité informatique (" CSIRT national "). Le CCB dispose du personnel technique apte pour traiter, au niveau national, les notifications d'incidents et pour porter éventuellement assistance.
   En exécution de l'article 7, § 4, de la loi du 7 avril 2019, l'article 3, § 2, du présent arrêté royal désigne la DGCC comme l'autorité chargée, en coopération avec le CCB, de coordonner l'identification des opérateurs de services essentiels. En effet, la DGCC dispose d'une compétence similaire dans le cadre de l'identification des infrastructures critiques visée par la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.
   En exécution de l'article 7, § 3, de la loi du 7 avril 2019, l'article 3, § 3, de l'arrêté renvoie à l'annexe 1 de l'arrêté royal pour la désignation de certaines autorités sectorielles.
   En exécution de l'article 7, § 5, de la loi du 7 avril 2019, l'article 3, § 4, de l'arrêté renvoie à l'annexe 2 de l'arrêté royal pour la désignation de certains services d'inspection.
   Il est à noter que certaines autorités sectorielles et certains services d'inspection sont déjà directement désignés par la loi du 7 avril 2019.
   Pour le secteur de l'eau potable, l'autorité sectorielle sera créée et désignée par le Roi dans un autre arrêté royal.
   Art. 4. Le présent arrêté royal exécute les dispositions nécessaires à la cohérence et la complétude entre la loi du 1er juillet 2011 et la loi du 7 avril 2019.
   En exécution des articles 3, 3°, f) et 24, § 2, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, le Roi désigne, pour le secteur de la santé, le Ministre fédéral ayant la Santé publique dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration (le cas échéant, le Ministre peut désigner un délégué différent par sous-secteur) comme autorité sectorielle et service d'inspection. Cette désignation est effectuée dans l'annexe 1, point c), de l'arrêté royal.
   L'article 3, 3°, f), de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques prévoit que le Roi peut prendre des mesures pour assurer la transposition des directives européennes concernant les infrastructures critiques. Il s'agit ici d'assurer qu'une autorité sectorielle et un service d'inspection soient bien désignés pour les éventuelles infrastructures critiques désignées dans le secteur de la santé. Cette désignation est effectuée dans l'annexe 1, point a), de l'arrêté royal.
   CHAPITRE 4. Notification et traitement des incidents
   Section 1re. Champ d'application et plate-forme de notification
   Art. 5. Le chapitre IV vise à exécuter les articles 24, 26, § 1er, 27 et 35 de la loi du 7 avril 2019.
   Ces dispositions imposent aux opérateurs de services essentiels ou aux fournisseurs de service numérique l'obligation de notifier aux autorités désignées un incident, lequel est défini à l'article 6, 13°, de la loi comme " tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d'information ".
   En l'absence de niveaux d'incidence et/ou de seuils visés à l'art 24, § 2 de la loi, l'opérateur notifie tous les incidents ayant un impact sur la disponibilité, la confidentialité, l'intégrité ou l'authenticité des réseaux et des systèmes d'information dont sont tributaires le ou les services essentiels qu'il fournit.
   Le fournisseur de service numérique est tenu de notifier les incidents ayant un impact significatif sur la fourniture du service numérique qu'il propose.
   Art. 6. En vertu de l'article 31 de la loi du 7 avril 2019, le Roi est chargé de déterminer les modalités de notification et de rapportage des incidents, en ce compris, de créer une plate-forme sécurisée de notification.
   Cette plate-forme sera entre autres destinée à être utilisée par les opérateurs de services essentiels et fournisseurs de service numérique spécifiquement visés par la loi du 7 avril 2019.
   L'article 6 crée cette plate-forme de notification. Cette plate-forme permet aux opérateurs de services essentiels et aux fournisseurs de service numérique de :
   - notifier au CCB, à l'autorité sectorielle ou son CSIRT sectoriel, et à la DGCC, les incidents de sécurité, au sens de la loi du 7 avril 2019;
   - notifier éventuellement aux autorités de contrôle les violations de données à caractère personnel, comme imposé par l'article 33, premier alinéa, du règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
   Art. 7. L'article 7 vise à préciser les modalités de création et de fonctionnement de la plate-forme créée en vertu de l'article 6 de l'arrêté. Lors de la création de la plateforme, il sera prévu une connexion sécurisée à la plate-forme notamment au moyen d'une clé d'identification unique propre à chaque opérateur de services essentiels et fournisseur de service numérique.
   Section 2. Notifications
   Art. 8. La notification doit être réalisée au moyen de la plate-forme de notification et moyennant un formulaire de notification dont le contenu sera déterminé par le CCB. Les modalités opérationnelles d'utilisation de la plate-forme de notification et les moyens sécurisés de communication figureront dans un guide élaboré par le CCB; celui-ci sera fourni aux opérateurs de services essentiels ainsi qu'aux fournisseurs de service numérique.
   La loi du 7 avril 2019 entend favoriser la rapidité des notifications et la résolution des incidents, et par conséquent elle prévoit en son article 25 que les notifications sur la plate-forme doivent être réalisées même si l'opérateur de services essentiels ou le fournisseur de service numérique ne dispose que d'une partie des informations pertinentes pour évaluer le caractère significatif de l'impact de l'incident. Conformément à l'objectif poursuivi par la loi du 7 avril 2019, l'arrêté royal prévoit un système de notification d'incident en trois stades :
   a) article 8, § 1er : le but de la notification initiale est d'attirer l'attention du CCB, de l'autorité sectorielle ou de son CSIRT sectoriel, et de la DGCC sur l'incident et ses possibles conséquences.
   b) article 8, §§ 3-4 : le but des notifications complémentaires est de tenir informés le CCB, l'autorité sectorielle ou son CSIRT sectoriel, et la DGCC sur le statut de l'incident.
   c) article 8, § 5 : le but du rapport final est de donner une vue d'ensemble de l'incident et de pouvoir en tirer des conclusions.
   Art. 9. Le Roi charge le CCB de déterminer les modalités opérationnelles de notification à utiliser par les opérateurs de services essentiels et les fournisseurs de service numérique, en cas d'indisponibilité de la plate-forme de notification visée à l'article 6.
   Section 3. Traitement de l'incident
   Art. 10. En exécution de l'article 31 de la loi du 7 avril 2019, cet article précise les démarches à suivre pour le traitement des incidents notifiés par les opérateurs de services essentiels et les fournisseurs de service numérique.
   Le Roi habilite le CCB, l'autorité sectorielle ou son CSIRT sectoriel ou la DGGC à demander à l'opérateur de services essentiels ou au fournisseur de service numérique des informations complémentaires sur les notifications qu'il a effectuées. L'objectif est d'assurer un suivi efficace et approprié de l'incident en vue d'y remédier (article 10, § 1er).
   Ensuite, le paragraphe 2 prévoit que le CCB, l'autorité sectorielle ou son CSIRT sectoriel ou la DGCC fournissent à l'opérateur de services essentiels ou au fournisseur de service numérique toutes les informations utiles au suivi de sa notification, et le cas échéant, toutes les informations qui pourraient contribuer à une gestion efficace de l'incident.
   Le CCB coordonne les notifications et la coopération au niveau national ainsi qu'au niveau international, sans préjudice de la gestion de crise en cas de cyberincidents, visée à l'article 3, 5°, de l'arrêté royal du 10 octobre 2014 portant création du Centre pour la Cybersécurité Belgique.
   L'objectif est de souligner l'importance de coopérer au niveau national et international en matière de cybersécurité afin de garantir la sécurité des réseaux et des systèmes d'information. Cette coopération devrait également permettre aux CSIRT nationaux d'échanger sur les bonnes pratiques et d'évaluer leurs stratégies nationales en matière de sécurité des réseaux et des systèmes d'information, à renforcer leurs capacités et à évaluer les exercices relatifs à la sécurité des réseaux et des systèmes d'information.
   Section 4. Protocole d'accord
   Art. 11. Par son article 11, le présent arrêté royal charge le CCB, les autorités sectorielles et la DGCC de conclure un protocole d'accord afin de fixer les modalités opérationnelles de gestion de la plate-forme, de traitements des notifications et des demandes d'informations complémentaires.
   CHAPITRE 5. Les notifications volontaires
   Art. 12. En exécution de l'article 30 de la loi, l'article 12 du présent arrêté royal charge le CCB de définir et publier sur son site internet les modalités opérationnelles des notifications volontaires.
   CHAPITRE 6. Dérogations
   Art. 13. Suivant la recommandation de l'Autorité de protection des données, l'arrêté royal déroge aux règles prévues à ses chapitres IV et V pour les notifications les violations de données à caractère personnel.
   CHAPITRE 7. Les organismes d'évaluation de la conformité
   Art. 14. Exécutant l'article 39 de la loi du 7 avril 2019, l'article 14 détermine les conditions auxquelles doivent répondre les organismes d'évaluation de la conformité qui souhaitent être accrédités par l'autorité nationale d'accréditation ou par une institution qui est co-signataire des accords de reconnaissance du " European Cooperation for Accreditation " pour l'audit externe d'opérateurs de services essentiels ou de fournisseurs de service numérique et la vérification de la conformité de la politique de sécurité de l'information (PSI) qui doit être élaborée par les opérateurs de services essentiels, à savoir :
   1° satisfaire, à tout moment, aux critères d'accréditation prévus par les normes ISO/IEC 17021 ou ISO/IEC 17065, lesquelles spécifient (a) les exigences génériques et spécifiées applicables aux organismes procédant à l'audit et à la certification des systèmes de management et; (b) les exigences visant à garantir que les organismes de certification exploitent des programmes de certification avec compétence, cohérence et impartialité;
   2° et satisfaire aux procédures de fonctionnement du système d'accréditation qui sont applicables aux organismes accrédités.
   CHAPITRE 8. Dispositions finales
   Art. 15. Vu la nécessité de transposer la directive NIS dans les plus brefs délais, il est prévu que le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.
   Art. 16. Cette disposition prévoit que le Premier Ministre et le Ministre ayant la Sécurité et l'Intérieur dans ses attributions sont chargés de l'exécution du présent arrêté.
   Annexe 1 - Les autorités sectorielles désignées
   Vous faites usage de la possibilité qui Vous a été laissée en vertu de l'article 7, § 3, de la loi du 7 avril 2019 de désigner des autorités sectorielles chargées, pour leur secteur respectif, de veiller à la mise en oeuvre des dispositions de la loi du 7 avril 2019.
   Annexe 2 - Les services d'inspection désignés
   Vous faites usage de la possibilité qui Vous a été laissée en vertu de l'article 7, § 5, de la loi du 7 avril 2019 de désigner les services d'inspection compétents pour effectuer le contrôle du respect des dispositions de la loi du 7 avril 2019 et de ses actes d'exécution par les opérateurs de services essentiels ou par les fournisseurs de service numérique.
   J'ai l'honneur d'être,
   Sire,
   de Votre Majesté
   le très respectueux et très fidèle serviteur,
   Le Premier Ministre,
   Ch. MICHEL
   Le Ministre de la Sécurité et de l'Intérieur,
   P. DE CREM
   Avis n° 66.225/4 du 22 mai 2019 du Conseil d'Etat sur un projet d'arrêté royal `portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de certaines dispositions de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques'
   Le 17 mai 2019, le Conseil d'Etat, section de législation, a été invité par le Premier Ministre à communiquer un avis, dans un délai de cinq jours ouvrables, sur un projet d'arrêté royal `portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de certaines dispositions de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques'.
   Le projet a été examiné par la quatrième chambre le 22 mai 2019. La chambre était composée de Martine BAGUET, président de chambre, Bernard BLERO et Wanda VOGEL, conseillers d'Etat, Christian BEHRENDT et Marianne DONY, assesseurs, et Charles Henri VAN HOVE, greffier assumé.
   Le rapport a été présenté par Anne VAGMAN, premier auditeur.
   La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Martine BAGUET.
   L'avis, dont le texte suit, a été donné le 22 mai 2019.
   Suivant l'article 84, § 1er, alinéa 1er, 3°, des lois `sur le Conseil d'Etat', coordonnées le 12 janvier 1973, la demande d'avis doit spécialement indiquer les motifs qui en justifient le caractère urgent.
   La lettre s'exprime en ces termes :
   " Ce projet d'arrêté royal exécute la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de certaines dispositions de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques. La loi habilite le Roi dans plusieurs dispositions à adopter des mesures d'exécution de cette loi du 7 avril 2019. Dans son avis du 63.296/4 du 2 mai 2018, le Conseil d'Etat a insisté sur le fait qu'il revenait au Roi de désigner les services qui seront chargés d'intervenir dans le processus d'application et de mise en oeuvre de la loi.
   Le gouvernement peut, conformément à la notion d'affaires courantes, adopter des dispositions réglementaires urgentes et qui découlent d'obligations internationales de la Belgique en matière de transposition de directive européenne. Une procédure d'infraction contre la Belgique a été entamée par la Commission européenne pour retard de transposition de la directive européenne (EU) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information (`directive NIS'), laquelle devait être transposée pour le 9 mai 2018.
   Ce retard expose, en effet, la Belgique à une condamnation par la Cour de justice de l'Union européenne et à des sanctions financières. Celle-ci vient par ailleurs de faire l'objet d'un rappel pour retard dans la transposition de la Directive, par courrier de la Commission européenne daté du 7 mars 2019.
   Or, pour transposer adéquatement la directive NIS en Belgique, il est nécessaire d'adopter le présent projet d'arrêté royal.
   Il convient dès lors de traiter ce projet de manière urgente pour limiter au maximum le dépassement du délai de transposition et d'imposer au plus vite la mise en oeuvre de mesures de sécurité des réseaux systèmes et d'information des opérateurs d'intérêt général pour la sécurité publique ".
   Compte tenu du moment où le présent avis est donné, le Conseil d'Etat attire l'attention sur le fait qu'en raison de la démission du Gouvernement, la compétence de celui-ci se trouve limitée à l'expédition des affaires courantes. Le présent avis est toutefois donné sans qu'il soit examiné si le projet relève bien de la compétence ainsi limitée, la section de législation n'ayant pas connaissance de l'ensemble des éléments de fait que le Gouvernement peut prendre en considération lorsqu'il doit apprécier la nécessité d'arrêter ou de modifier des dispositions réglementaires.
   Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 3°, des lois `sur le Conseil d'Etat', coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.
   Sur ces trois points, le projet appelle les observations suivantes.
   FORMALITES PREALABLES
   1. La section de législation n'aperçoit pas ce que vise précisément l'alinéa 6 du préambule comme étant l'" avis des autorités sectorielles sur l'article 11 de la loi du 7 avril 2019 ", cet avis ne figurant pas, au demeurant, au dossier. L'alinéa 6 du préambule sera donc omis.
   Par contre, dès lors que, comme le mentionne le rapport au Roi, l'article 11 du projet entend procurer exécution à l'article 39, § 1er, de la loi du 7 avril 2019 `établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique', la consultation préalable de l'autorité sectorielle et de l'autorité visée à l'article 7, § 1er, est requise.
   Sur ce point, dès lors que l'arrêté en projet a précisément pour objet de déterminer certaines autorités sectorielles ainsi que l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019, il n'est pas possible, par hypothèse, de consulter ces instances préalablement à l'adoption de l'arrêté en projet.
   Par conséquent, ce n'est qu'une fois l'arrêté en projet adopté et en vigueur, qu'il pourra être procédé à l'exécution de l'article 39, § 1er, de la loi du 7 avril 2019.
   A ce stade, l'article 11 sera donc omis du projet et fera l'objet d'un arrêté ultérieur, moyennant l'accomplissement des formalités requises.
   2. Il ressort du dossier que le projet a été soumis pour avis à l'autorité de protection des données dans le même temps qu'à la section de législation
   La date de l'avis de cette autorité sera complétée au préambule.
   Par ailleurs, il est rappelé que dans l'hypothèse où le texte du projet serait modifié ultérieurement pour tenir compte de cet avis, il faudrait à nouveau soumettre le texte ainsi modifié à l'avis de la section de législation.
   EXAMEN DU PROJET
   OBSERVATION GENERALE
   L'article 6, § 1er, du projet, attribue au CSIRT national la compétence de déterminer le formulaire devant être utilisé pour les notifications d'incidents.
   L'article 7 du projet attribue quant à lui au même CSIRT la compétence pour déterminer les modalités de notification à utiliser en cas d'indisponibilité de la plate-forme de notification, tandis que l'article 10 du projet lui confère la compétence d'arrêter les modalités des notifications volontaires visées à l'article 30 de la loi du 7 avril 2019.
   Quant à l'article 9, il impose au CSIRT, aux autorités sectorielles et à la DGCC de conclure un " protocole d'accord " dont l'objet ira au-delà de questions purement opérationnelles, et portera sur les " modalités de gestion de la plate-forme de notification ", " les modalités du traitement des notifications visées à l'article 8, § 3 " et les " modalités relatives aux demandes d'information complémentaire à l'opérateur de services essentiels ou au fournisseur de service numérique visées à l'article 6, § 4 ", des modalités qui, selon le rapport au Roi " n'ont pas encore été définies par le Roi " et concerneraient également le " financement de la plate-forme ", bien que le texte en projet ne le prévoie pas expressément.
   Comme la section de législation l'a souvent rappelé, il n'est pas admissible que les agents d'une administration qui ne répondent pas politiquement de leurs actes devant les représentants de la Nation, soient investis de compétences de nature réglementaire. Une subdélégation à de telles autorités n'est exceptionnellement concevable que si elle concerne la détermination de mesures de pure administration ou de nature essentiellement technique, ce qui n'est pas le cas en l'espèce.
   En conclusion, c'est au ministre que la compétence de déterminer ces différents éléments doit être attribuée. L'ensemble du projet sera revu en conséquence.
   OBSERVATIONS PARTICULIERES
   PREAMBULE
   1. La directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 `concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union' ne constitue pas le fondement juridique de l'arrêté en projet.
   Cette directive ne doit pas être visée au préambule, dont l'alinéa 1er sera dès lors omis(1).
   2. L'alinéa 2, devenant l'alinéa 1er, ne mentionnera pas les articles 39, § 1er(2), et 61 de la loi du 7 avril 2019. Il mentionnera en revanche l'article 36 de cette loi.
   Cet alinéa sera revu en conséquence.
   3. L'alinéa 3, devenant l'alinéa 2, mentionnera l'article 3, 3°, f), inséré par la loi du 7 avril 2019, l'article 24, § 2, alinéa 1er, et l'article 31 de la loi du 1er juillet 2011 `relative à la sécurité et la protection des infrastructures critiques'.
   Cet alinéa sera revu en conséquence.
   4. A l'alinéa 5, devenant l'alinéa 4, l'accord de la Ministre du Budget a été donné le 30 avril 2019.
   DISPOSITIF
   Article 1er (nouveau)
   Conformément à l'article 25, paragraphe 1, alinéa 3, de la directive (UE) 2016/1148, un article 1er nouveau sera inséré, qui mentionnera que l'arrêté en projet opère une transposition partielle de cette directive.
   Article 3
   1. Au paragraphe 1er, il y a lieu de remplacer les mots " à l'article 31 " par les mots " à l'article 3, 3°, f) "(3).
   2. Au paragraphe 2, il y a lieu de remplacer les mots " à l'annexe 2, point c) " par les mots " à l'annexe 2, point a) ".
   Article 5
   1. La disposition à l'examen décide de la création de la plate-forme mais sans en fixer les modalités de création et de fonctionnement. Le texte en projet sera complété aux fins de préciser plus avant ces points.
   2. Au 2°, in fine, il y a lieu de remplacer les mots " par l'article 31, § 1er, al. 2 de la loi " par les mots " par l'article 31, § 1er, alinéa 2, et par l'article 36, § 2, de la loi ".
   Article 12 (nouveau)
   Il convient de prévoir un article 12 nouveau, comportant la formule exécutoire.
   Annexes
   Outre qu'il convient de pourvoir chaque annexe d'un intitulé, celles-ci doivent être complétées par la formule usuelle :
   " Vu pour être annexé à notre arrêté... (date et intitulé) "(4).
   
   Le greffier,
   Charles-Henri VAN HOVE
   Le Président,
   Martine BAGUET
   
   ----------
   
   (1) Concernant cette directive, spécialement son article 25, voir l'observation formulée sous l'article 1er (nouveau).
   (2) Pour les raisons évoquées à l'observation 1 relative aux formalités préalables.
   (3) Disposition insérée dans la loi du 1er juillet 2011 par l'article 75 de la loi du 7 avril 2019.
   (4) Principes de technique législative - Guide de rédaction des textes législatifs et réglementaires, www.raadvst-consetat.be, onglet " Technique législative ", recommandation n° 172 et formule F 4-8-1.

Début Premier mot Dernier mot Préambule
Rapport au Roi Table des matières 2 arrêtés d'exécution
Version néerlandaise