La loi sur la cybersécurité : nouveaux risques pour les fournisseurs de service en ligne

La nouvelle loi sur la cybersécurité (NIS) peut avoir comme conséquence que les fournisseurs de service en ligne peuvent être tenus pour responsables d’une cyberattaque dont ils seraient la victime. Les sanctions peuvent atteindre 400 000 euros voire une peine d’emprisonnement d'un an. En marge de l’adoption de suffisamment de mesures préventives, une cyberpolice et une assurance Responsabilité d’administrateur peuvent apporter la sécurité nécessaire contre ces nouveaux risques.

La loi sur la cybersécurité : nouveaux risques pour les fournisseurs de service en ligne

Si des cybercriminels piratent votre infrastructure informatique ou dérobent des données importantes de vos clients, vous serez avant tout la victime de ces auteurs. Mais si votre organisation fournit des services numériques, vous pouvez également en être tenu pour responsable. C’est l’une des conséquences de l’entrée en vigueur de la nouvelle loi sur la cybersécurité (également appelée loi NIS, qui signifie Network and Information Security) publiée le 3 mai 2019.

Dès que, en qualité de fournisseur de service numérique (ou opérateur de services essentiels dans les secteurs de l’Énergie, du Transport, du Financement ou de la Santé), vous relevez du champ d’application de cette loi, vous devrez tenir compte de plusieurs obligations supplémentaires. En cas de non-respect, vous pouvez être tenu pour responsable si vous n’avez par exemple pas entrepris suffisamment de mesures pour éviter une cyberattaque ou si vous n’avez pas signalé un accident.

Vous êtes un fournisseur de service numérique ?

La loi sur la cybersécurité décrit un fournisseur de service numérique comme suit : « une personne morale qui fournit un service numérique ». Un service numérique est « tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de services ».

Cette définition est bien entendu très large, et les annexes à la loi prévoient une foule d’exceptions. Mais globalement, les fournisseurs de service numérique sont des places de marché en ligne, moteurs de recherche en ligne et services d’informatique en nuage.

Trois obligations supplémentaires

Si vous relevez de la dénomination de « fournisseur de service numérique », trois obligations supplémentaires s’imposent à vous (la loi sur la cybersécurité vous fournit de plus amples informations).

1. Obligation de protection : vous devez identifier les risques pour la protection de vos réseaux et systèmes d’information et adopter les mesures nécessaires pour maîtriser ces risques. Il est également attendu que vous adoptiez des mesures pour garantir la continuité de vos services.

2. Obligation de notification : chaque incident affectant votre fourniture de service numérique doit être notifié par le biais de la plateforme du Centre pour la Cybersécurité Belgique (CCB). Cette obligation ne s’applique que lorsque le fournisseur de service numérique a accès aux informations nécessaires pour évaluer, complètement ou partiellement, l’impact de l’incident.

3. Obligation d’information : vous devez transmettre, dans le délai fixé, les informations nécessaires au SPF Économie pour qu’il puisse évaluer la sécurité de vos réseaux et systèmes d’information.

Sanctions pénales et administratives

Si vous ne vous conformez pas aux obligations susmentionnées, vous pouvez vous exposer à des sanctions pénales et administratives. Les sanctions pénales qui peuvent par exemple être infligées lorsque vous ne respectez pas l’obligation de sécurité peuvent atteindre une peine d’emprisonnement d’un an et/ou une amende pouvant aller jusqu’à 240 000 euros. En cas de non-respect de l’obligation d’information, ce montant peut même atteindre 400 000 euros.

Les fournisseurs de service en ligne peuvent également s’exposer à une amende administrative. Elle peut atteindre 100 000 euros.

Conclusion : protégez-vous en souscrivant les bonnes polices

En tant que fournisseur de service en ligne, vous portez une double casquette lors d’une cyberattaque : celle de victime et (si vous n’avez pas respecté les obligations de la nouvelle loi sur la cybersécurité), celle de responsable.

Il est dès lors crucial de veiller à évaluer correctement les cyberrisques et d’adopter les mesures préventives nécessaires pour veiller à ce que votre organisation et ses parties prenantes soient correctement protégées. Vous devez également être en règle avec les nouvelles obligations découlant de la loi NIS.

Vu qu’aucun risque n’est jamais totalement exclu, nous vous conseillons également de souscrire les solutions d’assurance suivantes :

  • Cyberpolice : elle vous prémunit contre les conséquences financières d’une cyberattaque, prend en charge les amendes administratives et prévoit une assistance (IT, PR, juridique) en cas de cyberattaque.
  • Assurance Responsabilité d’administrateur : elle protège la responsabilité personnelle de l’administrateur, tant sur le plan pénal que sur le plan administratif.
  • Assurance responsabilité professionnelle et responsabilité civile : offre une protection contre les conséquences financières d’erreurs professionnelles et réclamations de tiers.
Jonas Mannaerts

Nous sommes là pour vous.

Si vous souhaitez obtenir de plus amples informations, ne manquez pas de nous contacter via jonas.mannaerts@vanbreda.be ou 03 217 62 47.

Inscrivez-vous à notre newsletter.