Article 30 de la loi belge NIS2 — Les 11 mesures obligatoires

Loi du 26 avril 2024 établissant un cadre pour la cybersécurité — par Matthieu Roland

11Mesures obligatoires
10 M€Sanctions max
18Secteurs concernés

L'article 30 de la loi du 26 avril 2024 (transposition belge de l'article 21 de la directive (UE) 2022/2555) impose à toutes les entités essentielles et importantes de mettre en œuvre 11 mesures de gestion des risques en matière de cybersécurité. Cette obligation s'applique depuis le 18 octobre 2024, date d'entrée en vigueur de la loi.

Les mesures doivent être proportionnées au risque, à la taille de l'organisation et à la probabilité d'incidents. Elles doivent suivre une approche multirisque protégeant les réseaux et systèmes contre tous types de menaces.

Texte légal (extrait)

« Les entités essentielles et importantes prennent des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire au minimum les conséquences des incidents pour les destinataires de leurs services et pour d'autres services. »

Les 11 mesures détaillées

1Analyse des risques et politiques de sécurité

Méthodologie formelle (ISO 27005, EBIOS RM), évaluation continue, plan de traitement, acceptation des risques résiduels par la direction.

CyFun : GOV-03  |  ISO 27001:2022 : 5.1, 5.7, 5.31

2Gestion des incidents

Détection, réponse, récupération. Plan IR, équipe CSIRT, playbooks ransomware/breach/DDoS, post-mortem.

CyFun : INC-01 à INC-05  |  ISO 27001:2022 : 5.24 à 5.28, 6.8

3Continuité d'activité

BCP, DRP, sauvegardes 3-2-1, tests réguliers, RTO/RPO documentés par processus.

CyFun : BCM-01 à BCM-04  |  ISO 27001:2022 : 5.29, 5.30, 8.13, 8.14

4Sécurité de la chaîne d'approvisionnement

Due diligence, clauses sécurité, droit d'audit, surveillance continue des fournisseurs TIC critiques.

CyFun : SUP-01 à SUP-04  |  ISO 27001:2022 : 5.19 à 5.23

5Sécurité des SI : acquisition, développement, maintenance

Secure SDLC, threat modeling, gestion des vulnérabilités, hardening, change management.

CyFun : DEV-01 à DEV-04  |  ISO 27001:2022 : 8.8, 8.9, 8.19, 8.25 à 8.32

6Évaluation de l'efficacité des mesures

Audits internes/externes, pentests annuels, scans de vulnérabilités hebdo, KPI sécurité.

CyFun : COM-02  |  ISO 27001:2022 : 5.35, 5.36, 8.29

7Cyberhygiène et formation

Programme de sensibilisation annuel obligatoire, simulations phishing, formations rôles.

CyFun : HUM-01  |  ISO 27001:2022 : 6.3

8Cryptographie

Politique cryptographique, AES-256, TLS 1.2+, gestion des clés (HSM/Key Vault).

CyFun : CRY-01 à CRY-04  |  ISO 27001:2022 : 8.24, 5.14

9Sécurité des RH, contrôle d'accès, gestion des actifs

Sélection, NDA, RBAC, moindre privilège, MFA, IAM, inventaire actifs avec propriétaires.

CyFun : HUM-01 à HUM-04, ACC-01 à ACC-04  |  ISO 27001:2022 : 5.9 à 5.18, 6.1 à 6.7

10Authentification multifacteur (MFA)

MFA obligatoire pour accès distants, comptes privilégiés, applications critiques.

CyFun : ACC-03  |  ISO 27001:2022 : 5.17, 8.5

11Communications sécurisées (voix, vidéo, texte d'urgence)

Plateformes chiffrées end-to-end pour communications de crise et incidents.

CyFun : COM-04  |  ISO 27001:2022 : 5.14, 8.21, 8.22

Sanctions en cas de non-respect (Article 56)

Détails des sanctions →

Calendrier de mise en conformité

  1. 14/12/2022 : adoption de la directive (UE) 2022/2555
  2. 17/10/2024 : date limite de transposition
  3. 26/04/2024 : adoption de la loi belge de transposition
  4. 18/10/2024 : entrée en vigueur de la loi belge
  5. Avril 2026 : 18 mois après entrée en vigueur — première évaluation

Sources officielles