Notification d'incidents NIS2 en Belgique — Délais 24h / 72h / 1 mois

La directive NIS2 et sa transposition belge (articles 34-35 de la loi du 26/04/2024) imposent à toute entité essentielle ou importante de notifier au Centre pour la Cybersécurité Belgique (CCB) tout incident significatif selon une procédure en 3 étapes.

Qu'est-ce qu'un « incident significatif » ?

Un incident est qualifié de significatif au sens NIS2 si :

• Il a causé ou est susceptible de causer une perturbation opérationnelle grave du service ou des pertes financières importantes pour l'entité concernée ;
• Il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant un préjudice matériel ou moral important.

Les 3 délais de notification

Comment notifier ? (canal officiel)

La notification se fait via :

• Le portail Safeonweb@Work du CCB (atwork.safeonweb.be)
• Le CSIRT national CSIRT.be en parallèle pour assistance technique (csirt.be)
• Pour les violations de données personnelles, en parallèle à l'APD/GBA sous 72h (RGPD article 33)

Sanctions en cas de non-notification

Le défaut de notification constitue une violation de l'article 34 et expose à des amendes pouvant aller jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles. Voir page Sanctions.

Préparation : ce qu'il faut avoir avant un incident

• Procédure d'incident response écrite (cf. CyFun INC-01, ISO 5.24)
• Équipe CSIRT/CERT identifiée avec rôles
• Modèles de communication interne / externe prêts
• Comptes Safeonweb@Work activés et utilisateurs formés
• Tests réguliers (tabletop exercises, simulations)

Aide à la mise en place du dispositif →