26 AVRIL 2024. - Loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique(NOTE : Consultation des versions antérieures à partir du 17-05-2024 et mise à jour au 19-01-2026)

TITRE 1er. - Définitions et dispositions générales

CHAPITRE 1er. - Objet et champ d'application

Section 1re. - Objet

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Article 2. La présente loi vise notamment à transposer la directive européenne (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148. Cette directive est dénommée ci-après la "directive NIS2".

Section 2. - Champ d'application

Article 3. § 1er. Dans les limites de l'article 4 et sans préjudice de l'article 6, la présente loi s'applique aux entités publiques ou privées d'un type visé à l'annexe I ou II et qui constituent:

1° une entreprise moyenne en vertu de l'article 2 de l'annexe de la recommandation n° 2003/361/CE; ou

2° une entreprise qui dépasse les plafonds prévus au paragraphe 1er du même article de cette annexe.

L'article 3, § 4, de l'annexe de la recommandation n° 2003/361/CE ne s'applique pas aux fins de la présente loi.

§ 2. Dans le cadre de l'application de l'article 6, paragraphe 2, de l'annexe de la recommandation n° 2003/361/CE, l'autorité nationale de cybersécurité tient compte du degré d'indépendance dont jouit une entité à l'égard de ses partenaires et de ses entreprises liées, en particulier en ce qui concerne les réseaux et les systèmes d'information qu'elle utilise pour fournir ses services et en ce qui concerne les services qu'elle fournit.

Sur base de l'alinéa 1er, l'autorité nationale de cybersécurité considère qu'une telle entité ne constitue pas une entreprise moyenne en vertu de l'article 2 de l'annexe de la recommandation n° 2003/361/CE, ou ne dépasse pas les plafonds applicables à une entreprise moyenne prévus au paragraphe 1 dudit article, si, après prise en compte du degré d'indépendance de ladite entité, celle-ci n'aurait pas été considérée comme constituant une entreprise moyenne ou dépassant lesdits plafonds si seules ses propres données avaient été prises en compte.

Le Roi peut déterminer les critères sur base desquels le degré d'indépendance dont jouit une entité à l'égard de ses partenaires et de ses entreprises liées est évalué.

§ 3. Sans préjudice de l'article 6, la présente loi s'applique également aux entités d'un type visé à l'annexe I ou II, quelle que soit leur taille, dans un des cas suivants:

1° les services sont fournis par:

2° l'entité est identifiée comme une entité essentielle ou importante conformément au chapitre 4 du présent titre;

3° l'entité est une entité de l'administration publique:

§ 4. Sans préjudice de l'article 6, quelle que soit leur taille, la présente loi s'applique aux entités identifiées comme [¹ entités critiques au sens de la loi du 19 décembre 2025 relative à la résilience des entités critiques ]¹.

§ 5. Quelle que soit leur taille, la présente loi s'applique aux entités fournissant des services d'enregistrement de noms de domaine.

§ 6. Après consultation des éventuelles autorités sectorielles concernées et de l'autorité nationale de cybersécurité, le Roi peut, par arrêté délibéré en Conseil des ministres, ajouter d'autres secteurs et/ou sous-secteurs à l'annexe I ou II ou élargir les secteurs et/ou sous-secteurs existants.

(1)2025-12-19/94, art. 65, 002; En vigueur : 19-01-2026>

Article 4. § 1er. La présente loi s'applique aux entités visées à l'article 3 qui sont établies en Belgique et qui fournissent leurs services ou exercent leurs activités au sein de l'Union européenne.

§ 2. Par exception au paragraphe 1er, la présente loi s'applique:

1° aux fournisseurs de réseaux de communications électroniques publics ou aux fournisseurs de services de communications électroniques accessibles au public, lorsqu'ils fournissent ces services en Belgique;

2° aux fournisseurs de services DNS, registres de noms de domaine de premier niveau, entités fournissant des services d'enregistrement de noms de domaine, fournisseurs de services d'informatique en nuage, fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, ainsi qu'aux fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux, lorsqu'ils ont leur établissement principal en Belgique, conformément aux paragraphes 4 et 5.

§ 3. Si une entité visée au paragraphe 2, 2°, n'est pas établie dans l'Union européenne mais y fournit des services, elle désigne un représentant dans l'Union. Le représentant est établi dans l'un des Etats membres où les services sont fournis.

§ 4. Pour l'application de la présente loi, les entités visées au paragraphe 2, 2°, ont leur établissement principal en Belgique lorsqu'elles y prennent principalement les décisions liées aux mesures de gestion des risques de cybersécurité.

Si l'endroit où ces décisions sont prises ne peut être déterminé ou ne se trouve pas dans l'Union européenne, les entités visées au paragraphe 2, 2°, sont réputées avoir leur établissement principal en Belgique lorsqu'elles y conduisent leurs opérations de cybersécurité.

Si l'endroit où sont conduites ces opérations ne peut être déterminé, les entités visées au paragraphe 2, 2°, sont réputées avoir leur établissement principal en Belgique lorsque s'y trouve leur établissement avec le plus grand nombre d'employés.

§ 5. Les entités visées au paragraphe 2, 2°, sont réputées avoir leur établissement principal en Belgique, pour l'application de la présente loi, lorsqu'elles ne sont pas établies dans l'Union européenne mais qu'elles fournissent leurs services dans l'Union et que leur représentant dans l'Union européenne est établi en Belgique.

§ 6. La désignation d'un représentant par une entité visée au paragraphe 2, 2°, est sans préjudice d'actions en justice qui pourraient être intentées contre l'entité elle-même.

Article 5. § 1er. La présente loi ne porte pas préjudice à l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ni aux dispositions légales et réglementaires qui complètent ou précisent ledit règlement ni à la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

§ 2. La présente loi est sans préjudice de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, attestations de sécurité, avis de sécurité et au service public réglementé et ne s'applique pas aux systèmes de communication et d'information approuvés pour utiliser des informations classifiées sous forme électronique conformément à la loi précitée.

§ 3. La présente loi est sans préjudice des règles applicables aux documents nucléaires, au sens de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire.

§ 4. Sous réserve des articles 8 et 38 ainsi que du titre 2, la présente loi ne s'applique pas:

1° aux services de renseignement et de sécurité visés à l'article 2 de la loi du 30 novembre 1998 organique des services de renseignement et de sécurité;

2° à l'Organe de coordination pour l'analyse de la menace créé par l'article 5 de la loi du 10 juillet 2006 relative à l'analyse de la menace;

3° au Ministère de la Défense visé à l'article 1er de l'arrêté royal du 2 décembre 2018 déterminant la structure générale du Ministère de la Défense et fixant les attributions de certaines autorités;

4° aux services de police et à l'inspection générale visés à l'article 2, 2° et 3°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;

5° aux autorités judiciaires, entendues comme les organes du pouvoir judiciaire, le ministère public inclus;

6° au Service public fédéral Justice créé par l'arrêté royal du 23 mai 2001 portant création du Service Public Fédéral Justice, lorsqu'il gère des banques de données pour les autorités judiciaires visés au 5°;

7° aux réseaux et systèmes d'information des missions diplomatiques et consulaires belges dans des pays tiers à l'Union européenne;

8° aux établissements de classe I au sens de l'article 3.1 de l'arrêté royal du 20 juillet 2001 portant règlement général de la protection de la population, des travailleurs et de l'environnement contre le danger des rayonnements ionisants.

Par dérogation à l'alinéa 1er, 8°, la présente loi est applicable aux éléments d'une installation nucléaire destinée à la production industrielle d'électricité et qui servent au transport de l'électricité.

§ 5. Les dispositions du titre 3, du titre 4 et du titre 5 ne s'appliquent pas:

1° au NCCN;

2° à l'autorité nationale de cybersécurité visée à l'article 16.

§ 6. Les paragraphes 4 et 5 ne s'appliquent pas lorsqu'une de ces entités agit en tant que prestataire de services de confiance.

Article 6. § 1er. Lorsqu'un instrument juridique sectoriel de l'Union européenne impose aux entités qui entrent dans le champ d'application de la présente loi d'adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents significatifs et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente loi, les dispositions pertinentes de la présente loi ne sont pas applicables à ces entités.

Lorsqu'un instrument juridique sectoriel de l'Union européenne visé à l'alinéa 1er ne couvre pas l'ensemble des entités d'un secteur spécifique entrant dans le champ d'application de la présente loi, les dispositions pertinentes de la présente loi s'appliquent aux entités non couvertes par cet instrument juridique sectoriel de l'Union européenne.

§ 2. Les exigences visées au paragraphe 1er, alinéa 1er, sont considérées comme ayant un effet équivalent aux obligations de la présente loi lorsque:

1° les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures visées à l'article 30; ou

2° l'instrument juridique sectoriel de l'Union européenne prévoit un accès immédiat, s'il y a lieu automatique et direct, aux notifications d'incidents pour le CSIRT national et lorsque les exigences relatives à la notification des incidents significatifs sont au moins équivalentes aux obligations visées aux articles 34 à 37.

§ 3. Les dispositions des titres 3 à 5 ne s'appliquent pas aux entités relevant des secteurs bancaire et infrastructures des marchés financiers au sens de l'annexe I qui tombent dans le champ d'application du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, en ce compris l'activité de dépositaire central de titres exercée par la Banque Nationale de Belgique.

§ 4. Les dispositions du titre 3, chapitre 1er, du titre 4 et du titre 5 ne s'appliquent pas:

1° à la Banque Nationale de Belgique, exception faite de son activité de dépositaire central de titres à laquelle s'applique le paragraphe 3;

2° aux établissements financiers soumis à la supervision de la Banque Nationale de Belgique en vertu des articles 8 et 12bis de la loi du 22 février 1998 fixant le statut organique de la Banque Nationale de Belgique qui ne relèvent pas du paragraphe 3.

Article 7. Le Roi peut, par arrêté délibéré en Conseil des ministres:

1° préciser les instruments juridiques sectoriels équivalents visés à l'article 6, § 1er, alinéa 1er;

2° définir des règles particulières relatives à la coordination de l'échange d'informations, en ce compris des exigences relatives à la notification des incidents significatifs, entre les entités visées à l'article 6, § § 3 et 4, l'autorité sectorielle concernée, l'autorité nationale de cybersécurité et l'autorité chargée de la gestion des risques cyber.

CHAPITRE 2. - Définitions

Article 8. Pour l'application de la présente loi, il faut entendre par:

1° "réseau et système d'information":

2° "sécurité des réseaux et des systèmes d'information": la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, ou des services que ces réseaux et systèmes d'information offrent ou rendent accessibles;

3° "cybersécurité": la cybersécurité au sens de l'article 2, 1), du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), ci-après le "règlement sur la cybersécurité";

4° "stratégie nationale en matière de cybersécurité": le cadre cohérent fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser en Belgique;

5° "incident": un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement, ou des services que les réseaux et systèmes d'information offrent ou rendent accessibles;

6° "incident évité": un événement qui aurait pu compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement, ou des services que les réseaux et systèmes d'information offrent ou rendent accessibles, mais dont la réalisation a pu être empêchée ou ne s'est pas produite;

7° "incident de cybersécurité majeur": un incident qui provoque des perturbations dépassant les capacités de réaction du seul Etat membre de l'Union européenne concerné ou qui a un impact significatif sur au moins deux Etats membres de l'Union européenne;

8° "traitement des incidents": toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier;

9° "risque": le potentiel de perte ou de perturbation à la suite d'un incident, à exprimer comme la combinaison de l'ampleur d'une telle perte ou d'une telle perturbation et de la probabilité qu'un tel incident se produise;

10° "cybermenace": une cybermenace visée à l'article 2, point 8), du règlement sur la cybersécurité;

11° "cybermenace importante": une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d'avoir un impact grave sur les réseaux et les systèmes d'information d'une entité ou les utilisateurs des services de l'entité, en causant un dommage matériel, corporel ou moral considérable;

12° "produit TIC": un produit TIC au sens de l'article 2, 12), du règlement sur la cybersécurité;

13° "service TIC": un service TIC au sens de l'article 2, 13), du règlement sur la cybersécurité;

14° "processus TIC": un processus TIC au sens de l'article 2, 14), du règlement sur la cybersécurité;

15° "vulnérabilité": une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace;

16° "norme": une norme au sens de l'article 2, 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil ci-après le "règlement (UE) n°1025/2012";

17° "point d'échange internet": une structure de réseau qui permet l'interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l'échange de trafic internet, qui n'assure l'interconnexion que pour des systèmes autonomes et qui n'exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu'il ne modifie ou n'altère par ailleurs un tel trafic;