La directive NIS2 approche à grands pas : à partir du 18 octobre, la nouvelle loi sur la cybersécurité entrera en vigueur. Un petit rappel : NIS2 est une directive sur la cybersécurité émise par l'Union européenne en 2022. Ce printemps, la Belgique a transposé cette directive dans une nouvelle loi sur la cybersécurité (que nous appelons en Belgique législation NIS2).
À partir du 18 octobre, notre secteur devra s'y conformer. Que vous proposiez des services DNS ou simplement l'enregistrement de noms de domaine, cette nouvelle loi nous concerne tous. Les registres et les agents d'enregistrement doivent suivre de nouvelles procédures et répondre à des obligations spécifiques. Voici un récapitulatif de tout ce qu'il faut savoir.
Qui est concerné par la législation belge NIS2 ?
- Les bureaux d'enregistrement et les revendeurs établis en Belgique.
- Les bureaux d'enregistrement et les revendeurs ayant un représentant légal de l'UE en Belgique.
De plus amples informations sur le champ d'application de la législation NIS2 sont disponibles sur le site web de la CCB.
Ce qu'il faut faire le plus tôt possible
Il faut enregistrer auprès de l'autorité nationale de cybersécurité. En Belgique, il s'agit du CCB.
Dans les deux mois suivant l'entrée en vigueur de la législation NIS2, vous devez enregistrer votre organisation auprès du CCB (article 14). En d'autres termes, vous devez le faire au plus tard le 18 décembre 2024. Cet enregistrement est obligatoire pour tous les agents d'enregistrement, revendeurs et registres. Les agents d'enregistrement qui n'ont pas de siège social en Belgique mais qui disposent d'une représentation légale dans notre pays doivent également effectuer cet enregistrement.
Le profil de votre organisation détermine les exigences NIS2 auxquelles vous devez répondre.
1. Vous êtes un fournisseur de services DNS.
Ce qui signifie que vous proposez des services de serveurs de noms récursifs ou faisant autorité. Comme vous fournissez un service essentiel, vous devez vous conformer à la législation NIS2 dans tous les domaines. En résumé, cela signifie que :
- Vous prenez des mesures de gestion des risques (article 30). Il s'agit d'actions concrètes définies par votre organisation pour protéger le réseau et les systèmes d'information.
- Vous avez le devoir de signaler les incidents significatifs (article 34-35). Vous suivez les procédures définies par la loi pour dresser des rapports et vous appliquez les mesures définies pour éviter qu'un tel incident de cybersécurité ne se reproduise.
Ces exigences ne doivent pas être sous-estimées et sont similaires à l'obtention d'une norme de sécurité de l'information (ce qu'on appelle la certification ISO). L'application de la loi NIS2 présente pas mal de similitudes avec ISO27001.
Attention : si vous proposez également l'enregistrement de noms de domaine, vous devez aussi respecter l'article 28, voir ci-dessous.
2. Vous proposez l’enregistrement de noms de domaine, sans services de serveurs de noms.
Vous devez alors vous conformer à des obligations spécifiques (article 94) concernant:
- La conservation et la vérification des coordonnées des titulaires de noms de domaine
- La publication de ces coordonnées
- Donner accès à ces coordonnées en cas de demande justifiée (émanant par exemple des services de police, des tribunaux, etc.).
Tous les agents et revendeurs appartiennent à l'une des catégories susmentionnées. Il est donc impossible d'échapper à la NIS2 et nous vous conseillons de ne pas la prendre à la légère.
Vous n'êtes pas seul pour effectuer ces démarches
- Dans la mesure du possible, nous souhaitons vous aider à comprendre cette directive et son impact sur vous en tant qu'agent d'enregistrement. Si vous avez des questions, n'hésitez pas à contacter nos collègues du service d'assistance.
- Dans les semaines à venir, nous publierons des informations détaillées sur chacun des articles cités de la directive NIS qui s'appliquent à vous. Cette page-ci vous fournira des informations actualisées sur la mise en œuvre de NIS2 en Belgique.
- Entre-temps, vous pouvez également vous rendre au CCB pour des sessions d'information sur le NIS2. Sur son site web, le CCB vous guide également à travers une évaluation des risques en quelques étapes. Vous saurez ainsi clairement quel niveau de cybersécurité vous devez atteindre en tant qu'agent ou revendeur belge.
- En tant que registre, nous voulons jouer un rôle de premier plan dans la vérification, la mise à jour, la publication et l'accès aux coordonnées des titulaires de noms de domaine (article 28). Dans la mesure du possible, nous limiterons le travail qui vous incombe en tant qu'agents. De plus amples informations à ce sujet vous seront communiquées dans les mois à venir.
Par cet article, nous soutenons les objectifs de développement durable des Nations Unies.