19 DECEMBRE 2025. - Loi relative à la résilience des entités critiques

CHAPITRE 1er. - Dispositions générales

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Article 2. La présente loi transpose la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil.

CHAPITRE 2. - Définitions

Article 3. Pour l'application de la présente loi et de ses arrêtés d'exécution, l'on entend par:

1° OCAM: Organe de coordination pour l'analyse de la menace institué par l'article 5 de la loi du 10 juillet 2006 relative à l'analyse de la menace;

2° autorité sectorielle: l'autorité compétente désignée dans l'annexe à la présente loi ou par le Roi, par arrêté délibéré en Conseil des ministres, ou, le cas échéant, par accord de coopération pour ce qui concerne les secteurs de l'eau potable et des eaux usées, ainsi que les sous-secteurs du transport public et du transport routier;

3° entité critique: une entité publique ou privée qui est identifiée comme appartenant à l'une des catégories énumérées en annexe, conformément au chapitre 4, section 1re;

4° résilience: la capacité d'une entité critique à prévenir tout incident, à s'en protéger, à y réagir, à y résister, à l'atténuer, à l'absorber, à s'y adapter et à s'en rétablir;

5° incident: un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d'un service essentiel, y compris lorsqu'il affecte les systèmes nationaux qui préservent l'état de droit;

6° infrastructure critique: un bien, une installation, un équipement, un réseau ou un système, ou une partie d'un bien, d'une installation, d'un équipement, d'un réseau ou d'un système, qui est nécessaire à la fourniture d'un service essentiel;

7° service essentiel: un service qui est crucial pour le maintien de fonctions sociétales ou d'activités économiques vitales, de la santé publique et de la sûreté publique, ou de l'environnement;

8° risque: le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l'ampleur de cette perte ou de cette perturbation et la probabilité que l'incident se produise;

9° évaluation des risques: l'ensemble du processus permettant de déterminer la nature et l'étendue d'un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d'un service essentiel causée par cet incident;

10° SICAbrogé : service d'information et de communication de l'arrondissement, tel que visé par l'article 93, § 2, alinéa 1er, 3°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;

11° entité de l'administration publique: une autorité administrative visée à l'article 14, § 1er, alinéa 1er, des lois coordonnées sur le Conseil d'Etat qui satisfait aux critères suivants:

12° loi NIS2: la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique;

13° ZEE: la zone économique exclusive belge telle que définie et délimitée par la loi du 22 avril 1999 concernant la zone économique exclusive de la Belgique en mer du Nord.

CHAPITRE 3. - Champ d'application

Article 4. Cette loi s'applique également à la ZEE belge.

Article 5. Cette loi s'applique à tous les secteurs et sous-secteurs mentionnés dans l'annexe à la présente loi.

Toutefois, cette loi ne s'applique pas aux installations nucléaires au sens de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, à l'exception des éléments d'une installation nucléaire destinée à la production industrielle d'électricité qui servent au transport de l'électricité.

Article 6. § 1er. Les dispositions du chapitre 4, section 2, du chapitre 5 et du chapitre 7 de la présente loi ne s'appliquent pas aux entités identifiées comme critiques dans les secteurs des banques, des infrastructures des marchés financiers et des infrastructures numériques, sauf si le Roi en décide autrement pour atteindre un niveau de résilience plus élevé de ces entités critiques.

§ 2. Lorsque des dispositions d'actes juridiques sectoriels de l'Union exigent que les entités critiques adoptent des mesures pour renforcer leur résilience, le Roi peut déterminer que ces mesures sont considérées comme équivalentes aux obligations prévues au chapitre 4, section 2, au chapitre 5 et au chapitre 7 de la présente loi. Dans ce cas, ces dispositions ne s'appliquent pas à ces secteurs ou sous-secteurs.

Article 7. Pour le secteur des administrations publiques, cette loi ne s'applique pas:

1° aux services de renseignement et de sécurité visés à l'article 2 de la loi organique du 30 novembre 1998 des services de renseignement et de sécurité;

2° à l'Organe de coordination pour l'analyse de la menace institué par l'article 5 de la loi du 10 juillet 2006 relative à l'analyse de la menace;

3° au ministère de la Défense visé à l'article 1er de l'arrêté royal du 2 décembre 2018 déterminant la structure générale du Ministère de la Défense et fixant les attributions de certaines autorités;

4° aux services de police et à l'inspection générale visés à l'article 2, 2°, et 3°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;

5° aux autorités judiciaires, entendues comme les organes du pouvoir judiciaire, en ce compris le Ministère public, le Conseil d'Etat et la Cour Constitutionnelle;

6° au Service public fédéral Justice crée par l'arrêté royal du 23 mai 2001 portant création du Service public fédéral Justice, lorsqu'il gère des banques de données pour les autorités judiciaires visées au 5° ;

7° aux missions diplomatiques et consulaires belges dans des pays tiers à l'Union européenne;

8° au Centre de crise National, créé par l'arrêté royal du 18 avril 1988 portant création du Centre gouvernemental de Coordination et de Crise;

9° à l'autorité nationale de cybersécurité visée à l'article 16 de la loi NIS2.

En tout état de cause, le chapitre 4, section 2, et les chapitres 5 et 7 de la présente loi ne s'appliquent pas aux entités critiques identifiées conformément au chapitre 4, section 1re, de la présente loi, qui exercent des activités dans le domaine de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la recherche, la détection et la poursuite d'infractions pénales, ou qui fournissent des services exclusivement aux entités de l'administration publique visées au paragraphe 1er.

CHAPITRE 4. - Procédure d'identification

Section 1re. - Identification et désignation des entités critiques et des infrastructures critiques

Article 8. § 1er. L'autorité sectorielle établit une liste de services essentiels des secteurs et sous-secteurs énumérés en annexe. Lors de l'établissement de cette liste, l'autorité sectorielle tient compte du règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels. § 2. L'autorité sectorielle procède, à l'aide de la liste visée au paragraphe 1er, à une évaluation des risques au plus tard le 17 janvier 2026, et par la suite chaque fois que cela est nécessaire et au moins tous les quatre ans, en vue d'identifier les entités critiques et leurs infrastructures critiques respectives conformément à la présente section, et afin d'assister ces entités critiques à prendre des mesures en vertu de l'article 19.

L'autorité sectorielle peut procéder à une consultation préalable des entités fédérées, pour les entités critiques potentielles relevant de leurs compétences pour d'autres aspects.

§ 3. L'évaluation de risques tient compte des risques naturels et d'origine humaine pertinents, en ce compris les risques intersectoriels ou transfrontaliers, les accidents, les catastrophes naturelles, les urgences de santé publique, les menaces hybrides et les autres menaces antagonistes, notamment les infractions terroristes visées par la directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil.

§ 4. Lors de l'évaluation des risques, l'autorité sectorielle prend au moins en compte les éléments suivants, lorsque cela est pertinent pour son secteur ou sous-secteur:

1° l'évaluation des risques effectuée conformément à l'article 6, paragraphe 1, de la décision n° 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l'Union;

2° d'autres évaluations de risques pertinentes réalisées conformément aux exigences de la législation pertinente de l'Union européenne, en ce compris le règlement (UE) 2019/941 du Parlement européen et du Conseil du 5 juin sur la préparation aux risques dans le secteur de l'électricité et abrogeant la directive 2005/89/CE, le règlement (UE) 2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des mesures visant à garantir la sécurité de l'approvisionnement en gaz naturel et abrogeant le règlement (UE) n° 994/2010, et les directives 2007/60/CE du Parlement européen et du Conseil du 23 octobre 2007 relative à l'évaluation et à la gestion des risques d'inondation et 2012/18/UE du Parlement européen et du Conseil du 4 juillet 2012 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses, modifiant puis abrogeant la directive 96/82/CE du Conseil;

3° les risques pertinents découlant des dépendances entre les secteurs visés en annexe, y compris les dépendances à l'égard d'entités établies dans d'autres Etats membres de l'Union européenne et dans des pays tiers, et l'impact qu'une perturbation importante dans un secteur peut avoir sur d'autres secteurs, y compris les risques importants pour les citoyens et le marché intérieur;

4° toute information sur les incidents notifiés en vertu de l'article 20, § 1er.

Article 9. § 1er. Dans un délai de neuf mois à compter de l'entrée en vigueur de la présente loi, l'OCAM procède à une analyse de la menace pour les secteurs ou sous-secteurs énumérés en annexe.

Cette analyse de la menace reste valable pour un maximum de quatre ans à compter de sa réalisation, comme prévu à l'article 80. Cette analyse est renouvelée chaque fois que nécessaire et au moins une fois tous les quatre ans.

Toute analyse de la menace réalisée endéans les quatre ans sur base d'une autre législation pour les (sous-)secteurs énumérés en annexe doit être conforme aux obligations du présent article.

§ 2. L'analyse de la menace consiste en une évaluation stratégique commune telle que visée à l'article 8, alinéa 1er, 1°, de la loi du 10 juillet 2006 relative à l'analyse de la menace.

L'analyse de la menace vise tout type de menace qui relève de la compétence des services d'appui, énumérés à l'article 2, 2°, de la loi du 10 juillet 2006 susmentionnée, jugée pertinente par l'OCAM en ce qui concerne le secteur ou le sous-secteur.

§ 3. L'autorité visée à l'article 21, § 1er, les autorités sectorielles et les services d'appui de l'OCAM communiquent à l'OCAM toute information dont il a besoin pour effectuer l'analyse de la menace visée au paragraphe 1er.

§ 4. Sans préjudice de l'article 10, § 1er, de la loi du 10 juillet 2006 susmentionnée et de l'article 8 de la loi du 11 décembre 1998 relative à la classification, aux habilitations de sécurité, aux avis de sécurité et au service public réglementé, l'analyse de la menace visée au paragraphe 1er est communiquée aux autorités sectorielles afin de leur permettre d'en intégrer les conclusions dans l'analyse de risques qu'elles sont tenues d'effectuer en vertu de l'article 8.

Article 10. § 1er. Afin d'identifier les entités critiques et leurs infrastructures critiques respectives relevant de sa compétence, l'autorité sectorielle se concerte au préalable avec l'autorité visée à l'article 21, § 1er, et consulte les entités critiques potentielles et, le cas échéant, les représentants du secteur.

Les entités critiques potentielles sont tenues à des échanges d'informations appropriés avec l'autorité sectorielle au cours du processus d'identification.

L'autorité sectorielle peut procéder à une consultation préalable des entités fédérées pour les entités critiques potentielles relevant, pour d'autres aspects, de leurs compétences.

L'autorité sectorielle applique les critères visés à l'article 11, § 1er, afin d'effectuer une sélection parmi les entités existantes dans son secteur, et établit une liste des entités critiques potentielles ainsi identifiées.

L'importance de l'effet perturbateur d'un incident est déterminée en fonction des caractéristiques du secteur concerné, sur la base des critères visés à l'article 11, § 2.

§ 2. L'entité critique potentielle transmet à l'autorité sectorielle, dans un délai de six mois à compter de la consultation visée au paragraphe 1er, une liste motivée des infrastructures critiques qui y sont associées et qui sont nécessaires à la fourniture des services essentiels. Cette liste est validée par l'autorité sectorielle compétente, en tenant compte des critères énoncés à l'article 11, § 2.

L'autorité sectorielle se réserve le droit de modifier cette liste, en motivant sa décision.

L'entité critique est en tout temps responsable de la mise à jour de cette liste et informe l'autorité sectorielle compétente endéans les trente jours de la modification, en motivant sa décision. Toute modification doit être validée par l'autorité sectorielle. L'autorité sectorielle informe son tour cette modification à l'autorité visée à l'article 21, § 1er.

L'autorité sectorielle assure la cohérence dans son secteur ou sous-secteur en ce qui concerne l'identification des infrastructures critiques.

§ 3. Le Roi peut déterminer les conditions et les modalités concernant l'échange d'informations dans le cadre de la procédure d'identification.

§ 4. Lors du processus d'identification, l'autorité nationale de cybersécurité visée à l'article 16 de la loi NIS2 est associée aux consultations menées par les autorités sectorielles et l'autorité visée à l'article 21, § 1er, pour l'identification des entités critiques en ce qui concerne la cybersécurité des réseaux et des systèmes d'information.

Article 11. § 1er. Lors de l'identification des entités critiques, l'autorité sectorielle tient compte des résultats de l'évaluation des risques prévue à l'article 8 et de la stratégie nationale visée à l'article 22, et applique tous les critères suivants:

1° l'entité fournit un ou plusieurs services essentiels;

2° l'entité exerce ses activités sur le territoire belge et son infrastructure critique est située sur ledit territoire;

3° un incident aurait un effet perturbateur important sur la fourniture des services essentiels visés au 1° ou d'autres services essentiels des secteurs relevant du champ d'application de la présente loi, tels que définis en annexe.

§ 2. L'autorité sectorielle, en concertation avec l'autorité visée à l'article 21, § 1er, et, le cas échéant, après consultation des entités fédérées concernées, détermine si un incident pourrait avoir un effet perturbateur important sur la fourniture des services essentiels, en tenant compte des critères suivants:

1° l'intérêt de l'entité à maintenir un niveau adéquat de fourniture de service essentiel, en tenant compte des alternatives disponibles pour sa fourniture;

2° le nombre d'utilisateurs tributaires du service essentiel fourni par l'entité;

3° la part de marché de l'entité sur le marché de ces services;

4° la mesure dans laquelle d'autres secteurs énumérés en annexe dépendent de ce service essentiel;

5° la gravité et la durée de l'impact que les incidents peuvent avoir sur les activités économiques et sociales, l'environnement, la sûreté et la sécurité publiques et la santé publique;

6° la zone géographique susceptible d'être affectée par un incident, y compris d'éventuels impacts transfrontaliers;

7° les spécificités sectorielles ou sous-sectorielles.

Dans le dossier consolidé, visé à l'article 12, § 1er, l'autorité sectorielle étaie les critères visés à l'alinéa 1er de manière quantitative et de manière spécifique au secteur ou sous-secteur, pour autant que ces données soient disponibles. L'autorité visée à l'article 21, § 1er, peut, de manière motivée, demander des informations pertinentes à ce sujet à l'autorité sectorielle.

Article 12. § 1er. L'autorité sectorielle établit un dossier consolidé composé des informations suivantes:

1° une liste des entités critiques potentielles identifiées;

2° une liste des infrastructures critiques potentielles identifiées;

3° les critères utilisés tels que visés à l'article 11, § 2;

4° une justification motivée.

L'autorité sectorielle envoie le dossier consolidé pour avis à l'autorité visée à l'article 21, § 1er, et, le cas échéant, pour information aux entités fédérées concernées.

Après avoir reçu l'avis visé à l'alinéa 2, l'autorité sectorielle désigne les entités critiques et les infrastructures critiques respectives.

L'autorité sectorielle informe l'autorité visée à l'article 21, § 1, de toute modification du dossier consolidé. Chaque fois qu'il y a une modification substantielle, l'autorité visée à l'article 21, § 1er, émet un nouvel avis sur toute modification substantielle du dossier consolidé.

§ 2. Si aucune entité critique située sur le territoire belge n'a été identifiée dans un secteur ou sous-secteur, l'autorité sectorielle compétente expose, dans un courrier à l'attention de l'autorité visée à l'article 21, § 1er, les raisons qui ont conduit à cette absence d'identification.

§ 3. L'autorité sectorielle désigne les entités critiques au plus tard le 17 juillet 2026.

L'autorité sectorielle renouvelle le processus d'identification chaque fois que nécessaire et au moins une fois tous les quatre ans en ce qui concerne les entités critiques appartenant à son secteur.

Si, après la réalisation du processus d'identification, il apparaît qu'une entité critique précédemment désignée ne répond plus aux critères énoncés à l'article 11 et ne peut donc plus être désignée comme entité critique, l'autorité sectorielle compétente notifie en temps utile à cette entité qu'elle n'est plus tenue de se conformer aux obligations prévues par la présente loi.

§ 4. L'autorité visée à l'article 21, § 1er, notifie à l'autorité nationale de cybersécurité visée à l'article 16 de la loi NIS2 la liste des entités qui ont été désignées comme entités critiques dans un délai d'un mois à compter de la désignation visée au paragraphe 1er.