(à l’image) Entouré de Michel Canévet et de Patrick Chaize, rapporteurs de la la commission spéciale chargée d’examiner le projet de loi “relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité”, que je préside.

Les rapporteurs ayant accepté ma proposition de commencer les auditions par la Commission européenne et les autorités belges qui ont déjà transposé NIS 2, notre délégation* s’est rendue à Bruxelles le 10 décembre 2024.

Commission européenne – Cybersécurité

La première étape du déplacement s’est traduite par deux séquences à la Commission européenne.

1 – Entretien avec Christiane Kirketerp de Viron, directrice à la direction générale CONNECT de la Commission européenne, chargée de la cybersécurité

La direction générale des réseaux de communication, du contenu et des technologies (Connect) élabore et met en œuvre des politiques visant à adapter l’Europe à l’ère numérique. Elle s’emploie à faire de l’Europe un leader mondial dans le domaine de l’économie, fondée sur les données et de la cybersécurité.

La directive européenne NIS 2 (Network and Information Security) devait être transposée dans le droit national de chaque État membre de l’Union européenne avant le 17 octobre 2024.

À l’échéance, seules la Belgique et l’Italie ont transposé NIS 2. Depuis octobre, la Croatie, la Lituanie et la Grèce l’ont également transposée. Une transposition partielle a été observée en Allemagne, Lettonie et République Tchèque. Plusieurs États membres, dont la France, ont un processus parlementaire en cours.

Le 28 novembre 2024, la Commission européenne a décidé aujourd’hui d’ouvrir des procédures d’infraction en envoyant une lettre de mise en demeure à 23 États membres, dont la France.

À ma question sur les interrogations concernant une définition commune de la notion « d’incident », la directrice m’a renvoyé au règlement exécutif publié le 17 octobre 2024 qui détaille les mesures de sécurité, et le seuil pour les incidents de certains secteurs : NIS2 : Règlement d’exécution de la Commission relatif aux entités et réseaux critiques

2 – Entretien avec Boris Augustinov de la DG FISMA (direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux) et Heike Buss de la DG HOME (direction générale chargée des affaires intérieures) de la Commission européenne.

Cette audition nous a permis de faire le point sur l’avancée de la transposition des directives sur la résilience des entités critiques, dite « REC » et la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Nos interlocuteurs nous ont confié que ces textes permettent de passer de la protection à la résilience. Même avec beaucoup de protection, il est impossible d’éviter les cyber-attaques. Il est fondamental de travailler à la résilience, afin de pouvoir récupérer les informations. +d’images

(*) Délégation de la commission spéciale sur le projet de loi Cybersécurité
Président :
Olivier Cadic, sénateur (Union centriste), VP de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Rapporteurs :
Michel Canévet, sénateur (Union centriste), membre de la commission des Finances ;
Patrick Chaize, sénateur (Les Républicains), membre de la commission des Affaires économiques ;
Hugues Saury, sénateur (Les Républicains), membre de la commission des Affaires étrangères, de la Défense et des Forces armées ;
Administrateurs :
Thomas Braud, administrateur à la commission des Affaires étrangères, de la Défense et des Forces armées
Clément Dugravot, administrateur à la commission des Affaires économiques
Pablo-Vladimir de La Borie de La Batut, administrateur à la commission des Affaires
européennes
Léa Khoury, administratrice-adjointe à l’antenne du Sénat à Bruxelles

Banque nationale de Belgique

Notre rapporteur Michel Canévet, membre de la commission des Finances a souhaité auditionner des représentants* de la Banque nationale de Belgique, sur les impacts de la résilience opérationnelle numérique du secteur financier, dite «DORA».

La Banque nationale de Belgique a régulièrement fait face aux attaques cyber en déni de service ou DDoS, par ransomware sur des fournisseurs, et tiré les leçons de l’attaque contre « Solarwinds ».

L’harmonisation des réglementations et l’identification des entités susceptibles d’être impactées par un incident sont des plus-values de DORA.

Nos interlocuteurs ont attiré notre attention sur les éventuels trous dans la raquette de DORA avec les entités qui font des produits financiers, sans que ce soit une activité majeure, à l’instar de la distribution de contrats d’assurance ou de prêts à la consommation.

Les exigences de DORA paraissent élevées. Elles nécessitent un délai pour tenir compte des engagements contractuels avec les partenaires pour les petits entreprises.

Et de conclure sur la nécessaire prise de conscience de l’évolution législative dans leur profession : « Il y a deux groupes : ceux qui comprennent qu’ils ont un travail à faire, et ceux qui n’ont pas compris ». +d’images

(*) Représentants de la Banque nationale de Belgique :
Thomas Plomteux, Head of IT Prudential Supervision
Liesbeth Denturck, conseillère juridique
Geoffroy Delrée, directeur adjoint gestion des Affaires publiques, institutionnelles et projets stratégiques
Antoine Greindl, juriste, FSMA +d’images

Centre belge pour la cybersécurité (CCB)

Ultime séquence de cette journée d’auditions à Bruxelles, un entretien avec des représentants du centre belge pour la cybersécurité (CCB), dont Valéry Vander Geeten, responsable juridique et coordinateur de la transposition NIS2.

La loi transposant la directive NIS2 dans la législation belge est entrée en vigueur le 18 octobre 2024.

600 entités se sont enregistrées à ce jour sur la plateforme créée à cet effet : 300 Importantes et 300 Essentielles. Le CCB estime que 2500 entreprises sont concernées en Belgique par la directive.

L’évaluation de la conformité des entités Essentielles se fait selon 3 options :

1 – Référentiel Cyfun :
Les mesures de sécurité s’appuient sur le référentiel Cyfun du CCB.
Le label des CyberFundamentals s’obtient par un organisme d’évaluation de la conformité accréditée et organisée par la CCB.

2 – ISO 27000 :
Il est également possible d’obtenir un label CyFun en utilisant une certification ISO 27001 existante, sous réserve que l’organisme d’évaluation de la conformité (CAB) soit accrédité par le CCB.

3 – Inspection par le CCB :
Cette option permet aux experts de la CCB d’inspecter la conformité de l’organisation vis à vis de Cyfun ou de l’ISO 27000.

Un travail a été engagé avec d’autres pays européens intéressés pour reprendre le framework cyber fondamental de la CCB.

Nous avons salué l’approche pragmatique du CCB et remercié nos interlocuteurs pour leur partage d’information. +d’images