Suite à l’entrée en vigueur de la loi NIS2, il est essentiel que toutes les entreprises et organisations en Belgique vérifient si elles entrent dans le champ d’application de la nouvelle loi. Utilisez le Scope Test Tool pour savoir si votre organisation doit se conformer à cette nouvelle législation. Si c’est le cas, elle doit être enregistrée dans la plate-forme Safeonweb@work avant le 18 mars 2025.
La loi NIS2
La loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (la « loi NIS2 ») est entrée en vigueur le 18 octobre 2024. L’objectif de cette loi est de renforcer les mesures de cybersécurité, de gestion des incidents et de supervision des entités fournissant des services essentiels au maintien d’activités sociétales ou économiques critiques.
Le Scope Test Tool
Pour savoir si votre organisation entre dans le champ d’application de la loi NIS2, vous pouvez utiliser le « Scope Test Tool » disponible sur la plate-forme Safeonweb@work. Il incombe à l’entité NIS2 de s’enregistrer à temps, au plus tard avant le 18 mars 2025, via la plate-forme Safeonweb@ork.
Rôle de l’AFMPS en tant qu’autorité sectorielle
Le Centre pour la Cybersécurité Belgique est l’autorité nationale en charge de la cybersécurité en Belgique. Dans le secteur de la santé, l’AFMPS a été désignée comme autorité sectorielle pour les entités mentionnées dans la loi NIS2 qui relèvent de sa compétence.
Lien avec la directive CER
Un lien existe avec la Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (également appelée « directive CER »). Les entités critiques désignées en vertu de la directive CER seront désignées automatiquement comme entités essentielles dans le cadre de la loi NIS2. L’AFMPS sera désignée dans la (future) loi CER comme autorité sectorielle pour les entités qui relèvent de sa compétence. L’AFMPS sera alors responsable de l’identification et de la désignation des entités critiques requises. L’AFMPS informera en temps utile les entités critiques potentielles si elles entrent dans le champ d’application de la loi CER (et par conséquent aussi de la loi NIS2).
Notification des incidents significatifs
Les incidents significatifs doivent être obligatoirement notifiés par les entités qui entrent dans le champ d’application de la loi NIS2. Le Centre pour la Cybersécurité Belgique a rédigé un guide qui précise quand un incident est significatif et comment le notifier.