Verslag relatif à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d’une autorité nationale de certification de cybersécurité

5 juillet 2022 DE BELGIQUE Voir: Doc 55 2693/ (2021/2022): 001: Projet de loi. 002: Rapport de la première lecture. 003: Articles adoptés en première lecture. Voir aussi: 005: Texte adopté par la commission

FAIT AU NOM DE LA COMMISSION DE

L’ÉCONOMIE, DE LA PROTECTION DES CONSOMMATEURS ET DE L’AGENDA NUMÉRIQUE PAR MME Leslie LEONI RAPPORT DE LA DEUXIÈME LECTURE SOMMAIRE Pages

relatif à la certifi cation de cybersécurité des technologies de l’information et des communications et portant désignation d’une autorité nationale de certifi cation de cybersécurité PROJET DE LOI

N-VA : Nieuw-Vlaamse Alliantie Ecolo-Groen Ecologistes Confédérés pour l’organisation de luttes origi PS Parti Socialiste VB Vlaams Belang MR Mouvement Réformateur CD&V Christen-Democratisch en Vlaams PVDA-PTB Partij van de Arbeid van België – Parti du Travail de Belgi Open Vld Open Vlaamse liberalen en democraten Vooruit Les Engagés DéFI Démocrate Fédéraliste Indépendant INDEP-ONAFH : Indépendant - Onafhankelijk MESDAMES, MESSIEURS, En application de l’article 83 du Règlement de la Chambre, votre commission a soumis à une deuxième lecture, au cours de sa réunion du 29 juin 2022, les articles du projet de loi qu’elle avait adoptés en première lecture au cours de sa réunion du 1er juin 2022 (DOC 55 2693/003).

I. — PROCÉDURE Au cours de la réunion du 29 juin 2022, la commission a pris connaissance de la note de légistique rédigée par le Service juridique de la Chambre à propos des articles du projet de loi à l’examen adoptés en première lecture. Cette note est annexée au présent rapport. M. Pierre-Yves Dermagne, vice-premier ministre et ministre de l’Économie et du Travail, approuve l’ensemble des observations de la note de légistique du Service juridique qui, avec l’assentiment de la commission, ont été directement intégrées dans le texte, de même que quelques corrections techniques de moindre importance.

Au point 2 de sa note de légistique, le Service juridique souligne que la dernière phrase de l’article 15, § 2, en projet, soulève des difficultés d’interprétation. Pour y remédier, et puisque l’obligation de prêter serment ne vise que les fonctionnaires du service d’inspection, le vice-premier ministre propose de déplacer la phrase précitée pour l’insérer à la fin du paragraphe 1er de l’article. La commission marque son accord sur cette proposition.

Le point 4 de la note de légistique porte sur l’article 21 du projet de loi, qui tend à permettre à l’autorité nationale d’accréditation de procéder au retrait d’un certificat de cybersécurité lorsque le bénéficiaire ne respecte pas le Règlement sur la cybersécurité ou un schéma européen de certification de cybersécurité. En réponse à cette observation, le vice-premier ministre indique que la disposition précitée met correctement en œuvre l’article 58, § 8, e), du Règlement sur la cybersécurité.

Selon cette disposition, chaque autorité nationale de certification de cybersécurité dispose au moins du pouvoir de retirer les certificats de cybersécurité européens lorsque de tels certificats ne respectent pas le règlement sur la cybersécurité ou un schéma européen de certification de cybersécurité. Le vice-premier ministre estime, comme la commission, que l’article 21 du projet de loi répond à cette exigence.

II. — DISCUSSION M. Michael Freilich (N-VA) demande que le vicepremier ministre explique comment la délivrance des certificats de cybersécurité sera contrôlée, les produits TIC étant en effet régulièrement mis à jour. Comment la certification de ces produits mis à jour s’effectuerat-elle? Les entreprises devront-elles contacter l’autorité de certification de cybersécurité lors de chaque mise à jour? Devront-elles également publier le code source? Ou, va-t-on procéder à des contrôles sporadiques des logiciels mis à jour? Le vice-premier ministre répond que la certification est liée à chaque produit ou service TIC.

Les évolutions de chaque produit ou service ne devront pas nécessairement faire l’objet d’une nouvelle demande de certification tant que le produit TIC, le service TIC ou le processus TIC visé restera conforme aux exigences du schéma de certification concerné. Toutefois, s’il apparaît, lors d’un contrôle, que les mises à jour ne répondent pas aux exigences du règlement sur la cybersécurité ou du schéma de certification, le certificat de cybersécurité pourra être retiré.

M. Michael Freilich (N-VA) comprend que les bénéficiaires ne devront pas introduire de nouvelle demande de certification pour chaque mise à jour, mais se demande si les bénéficiaires seront alors obligés d’informer l’autorité de certification de cybersécurité qu’une mise à jour a été effectuée, et si cette autorité pourra alors demander le code source. Les mises à jour régulières étant aujourd’hui courantes, le risque est que certains fabricants ou fournisseurs mal intentionnés fassent certifier un produit de base, mais y insèrent ensuite des éléments inacceptables par le biais de mises à jour.

C’est pourquoi il importe de savoir si les autorités pourront procéder à des contrôles à cet égard. Le texte à l’examen prévoit-il cette possibilité? Le vice-premier ministre reconnaît que certaines failles de sécurité peuvent découler des mises à jour, y compris des mises à jour mineures, et confirme que les services d’inspection pourront procéder à des contrôles d’initiative. Conformément à l’article 56, paragraphe 8, du Règlement sur la cybersécurité, le titulaire d’un certificat de cybersécurité européen devra informer l’autorité nationale de certification de cybersécurité ou l’organisme d’évaluation de la conformité de toute vulnérabilité ou irrégularité détectée ultérieurement concernant la sécurité du produit TIC, service TIC ou processus TIC certifié susceptible d’avoir une incidence sur son respect des exigences liées à la certification.

III. — VOTES

CHAPITRE 1ER

Définitions et dispositions générales Article 1er L’article 1er est adopté à l’unanimité.

Art. 2

L’article 2 est adopté par 12 voix et une abstention.

Art. 3

L’article 3 est adopté par 9 voix et 5 abstentions.

Art. 4

L’article 4 est adopté par 13 voix et une abstention.

CHAPITRE 2

Autorités compétentes et coopération au niveau national

Art. 5

L’article 5 est adopté par 11 voix et 3 abstentions.

Art. 6 et 7

Les articles 6 et 7 sont successivement adoptés par 10 voix et 5 abstentions.

CHAPITRE 3

Autorité nationale de certification de cybersécurité

Art. 8 et 9

Les articles 8 et 9 sont successivement adoptés par 13 voix et une abstention.

CHAPITRE 4

Délivrance des certificats européens

Art. 10 à 12

Les articles 10 à 12 sont successivement adoptés par 13 voix et une abstention.

CHAPITRE 5

Contrôle

Art. 13

L’article 13 est adopté par 9 voix et 5 abstentions.

Art. 14

L’article 14 est adopté par 13 voix et une abstention.

Art. 15 à 17

Les articles 15 à 17 sont successivement adoptés par 9 voix et 5 abstentions.

Art. 18

L’article 18 est adopté par 13 voix et une abstention.

CHAPITRE 6

Sanctions

Art. 19 à 21

Les articles 19 à 21 sont successivement adoptés par 11 voix et 3 abstentions.

Art. 22

L’article 22 est adopté par 13 voix et une abstention.

Art. 23 et 24

Les articles 23 et 24 sont successivement adoptés

Art. 25 à 28

Les articles 25 à 28 sont successivement adoptés par 9 voix et 5 abstentions.

CHAPITRE 7

Réclamations

Art. 29 à 35

Les articles 29 à 35 sont successivement adoptés

CHAPITRE 8

Traitements des données à caractère personnel

Art. 36 à 38

Les articles 36 à 38 sont successivement adoptés

CHAPITRE 9

Dispositions modificatives

Art. 39 et 40

Les articles 39 et 40 sont successivement adoptés

Art. 41

L’article 41 est adopté par 11 voix et 3 abstentions.

Art. 42 à 44

Les articles 42 à 44 sont successivement adoptés

Art. 45

L’article 45 est adopté par 11 voix et 3 abstentions.

Art. 46 et 47

Les articles 46 et 47 sont successivement adoptés

Art. 48

L’article 48 est adopté par 11 voix et 3 abstentions.

Art. 49

L’article 49 est adopté par 13 voix et une abstention.

Art. 50 et 51

Les articles 50 et 51 sont successivement adoptés

CHAPITRE 10

Entrée en vigueur

Art. 52

L’article 52 est adopté par 13 voix et une abstention. * L’ensemble du projet de loi, tel qu’il a été corrigé sur le plan légistique, est adopté, par vote nominatif, par 9 voix et 5 abstentions. Résultat du vote nominatif: Ont voté pour: Albert Vicaire; PS: Christophe Lacroix, Patrick Prévot, Leslie Leoni; MR: Florence Reuter;

Ont voté contre: Nihil. Se sont abstenus: VB: Erik Gilissen, Reccino Van Lommel; Dispositions nécessitant une mesure d’exécution (article 78.2, alinéa 4, du Règlement): articles 3, 5, 9, 15, 18, 41, 44, 48, 50. La rapporteure, Le président, Leslie LEONI Stefaan VAN HECKE Annexe: note de légistique du Service juridique

ANNEXE

NOTE À L’ATTENTION DE LA COMMISSION CONSOMMATEURS ET DE

Objet : Note de légistique relative aux article relatif à la certification de cybersécurit munications et portant désignation d'u sécurité (DOC 55-2693/003)

OBSERVATIONS PARTICULIÈR

Art

1.

Dans l'article 4, 3°, en projet, on remplacera le bedoeld in artikel 2, 16°, van de" par les mots par le Roi" / "de nationale accreditatie-instelli (Dès lors que l'article VIII.30, § 1er, du Code d créer un organisme national d'accréditation précisera dans la définition de l'autorité nati national d'accréditation unique.)

Art.

2.

Dans l'article 15, § 2, en projet, la phrase "Ils de leur service." / "Ze leggen de eed af bij de difficultés d'interprétation. En effet, la premiè rêts dans le chef des membres assermentés d les assister. Il s'en déduit sur le plan grammat "Ils prêtent serment" renvoie à la fois aux ins fin de la phrase "dirigeant de leur service" ind pection prêtent serment. Il revient à la comm

Si l'obligation de prêter serment ne vise que placera la phrase "Ils prêtent serment auprès l'insérer à la fin du paragraphe 1er, qui ne vis pection. Si l'obligation de prêter serment s'ap ainsi qu'aux experts, on remplacera, dans la d "de leur service" / "van hun dienst" par les m dienst".

3. L'article 17, § 2, alinéa 1er, en projet, prévoit qu belge des services postaux et des télécomm service d'inspection une copie d'un procès-v recevoir"), la disposition donne un pouvoir d tion. Ces derniers pourraient en effet refuser tionale d'accréditation ou de l'IBPT. Il revien conforme à l'objectif poursuivi de prévoir qu matiquement" la copie du procès-verbal lors Dans ce cas, on remplacera, dans l'article 17, recevoir une copie" / "communicatie, kan d krijgen van" par les mots " télécommunicatio tionale accreditatieautoriteit… een kopie van

4. L'article 21, en projet, règle l'hypothèse du r paragraphe 8, e), du Règlement sur la cybe chaque autorité nationale de certification de tirer les certificats de cybersécurité europée règlement sur la cybersécurité ou un schéma ticle 21 du projet de loi prévoit pour sa part qu un certificat de cybersécurité lorsque le béné sécurité ou un schéma européen de certifica disposition en projet met ainsi correctement e rité

AMÉLIORATIONS PUREMENT FORMELLES ET

C TIQ

5. Dans l'article 3, § 2, alinéa 2, en projet, on rem cation, les" / "in het kader van een dergelijke c tification visée à l'alinéa 1er, les" / "in het kade (Améliore la précision du texte.) Si la commission suit cette observation, on a § 2, alinéa 3.

6. Dans le texte français de l'article 3, § 3, alinéa juillet 2011 relative à la protection et la sécurit du 1er juillet 2011 Loi relative à la sécurité et la (On citera de manière correcte l'intitulé de la

7. Dans l'article 3, § 3, alinéa 2, en projet, on su cables et" / "de toepasselijke wettelijke bepali (Le membre de phrase à supprimer n'a aucu d'inspection doivent respecter les disposition

8. Dans l'article 3, § 3, alinéa 2, en projet, on rem voornoemde overheden" par les mots "les aut bedoelde overheden". (Il se recommande de désigner avec précision sation de mots imprécis tels que "précitées" /

10. On remplacera, dans l'article 6, § 3, en projet, tievelijk" par les mots "la Belgian Supervising Belgian Supervising Authority for Air Navigatio (L'article 2 de l'arrêté royal du 2 décembre 20 sous-secteur du transport aérien donne une dudit arrêté. L'abréviation "BSA-ANS" pour v gation Services" ne peut dès lors être utilisée cité. Dans un autre acte, on citera la dénomin Si la commission suit cette observation, on ap alinéa 2, et 17, § 3, alinéa 2, en projet.

11. On remplacera, dans l'article 6, § 4, alinéa 2, e

"Seules les informations nécessaires en matièr vent être communiquées." / "Enkel de noodzakelijke informatie met betrek kendgemaakt worden.".

(Formulation plus usuelle et plus précise de la

12. Dans l'article 10, § 2, en projet, on remplacera afgifte van deze certificaten" par les mots "la est" / "de afgifte van de in paragraaf 1 bedoeld

13. Dans le texte français de l'article 13, § 3, alin experts, lesquels sont" par les mots "à des exp (Meilleure concordance entre les deux langue

14. Dans l'article 15, § 4, alinéa 1er, en projet, on r service" / "richten de personeelsleden van de mentés du personnel du service" / "richten de (Dès lors que l'article 15, § 3, 1°, précise que l n'ont accès aux locaux habités que moyenna tion, on précisera dans le paragraphe 4 que c service d'inspection qui adressent la demand 1° de l'article 15.

16. Dans l'article 23, § 3, en projet, on remplacera Europese cyberbeveiligingscertificeringsregeli cyberbeveiligingscertificeringsregeling". (On fera correspondre au mot "correspondan dans le texte néerlandais.) - à l'article 23, § 4, en projet, à l'article XV.125/4/1, 1°, en projet, du Cod à l'article XV.125/4/2, 1°, en projet, du Cod

17. On supprimera, dans l'article 26, alinéa 1er, en ciaire" / "bedoeld in artikel 101 van het Gerech (Il n'est pas usuel, lorsque l'on se réfère à une dans le Code judiciaire : cfr notamment : art création de l'Autorité de protection des don mique, etc.) néa 1er, en projet.

18. On supprimera, dans l'article 27, § 3, alinéa 3 prorogations prévues à l’article 50, alinéa 2, e verlengingen bepaald in artikel 50, tweede lid, (Dès lors que les articles 50 et 55 du Code jud partie du Code judiciaire qui est déclaré appli phrase, il est superflu de préciser que les pror 55 du Code judiciaire s'appliquent également

19. On supprimera, dans le texte néerlandais de l (Mise en concordance des deux langues. Les m perflus et ne trouvent aucun correspondant d

20. Dans l'article 32, en projet, on supprimera, da placera dans le texte néerlandais le mot "land (Dès lors que l'article 31, § 2, en projet, prévoi rédigée dans une des langues nationales, le q en projet.)

21. L'énumération qui figure à l'article 36, § 3, a incidentes qui s'analysent comme deux aliné technique législative, le Conseil d'État recom dans une énumération. Cela pose des difficu d'établir après l’énumération un alinéa spé l’énumération à propos duquel une précision

Si la commission donne suite à cette observat projet de loi les deux alinéas figurant au 2° d spécifiques, rédigés comme suit :

1 Voir : Conseil d'État, Principes de technique législative, Guide de réd

22. Dans l'article 36, § 5, 5°, en projet, on remplac cessus TIC" / "in ICT-producten, -diensten of - services TIC ou processus TIC" / "in ICT-produc (Uniformisation de la terminologie utilisée pa

23. Dans l'article 37, § 3, en projet, on remplacera étranger aux finalités" par les mots "données (Assure une meilleure concordance entre les [n'est pas étranger aux finalités] est moins str tement des données doit être conforme [in ov

CORRECTIONS RELATIVES AUX PH

N.B. : Quelques corrections moins importantes on secrétariat de la commission

NOTA TER ATTENTIE VAN DE COMMISSI SCHERMING EN

D

BIJZONDERE OPMERKIN

LOUTER VORMELIJKE VERBETERING

11. Men vervange in het ontworpen artikel 6, § 4,

(Meer gebruikelijke en nauwkeurigere formul

1 Zie: Raad van State, Beginselen van de wetgevingstechniek, Handleid 55, nr. 60.

Chaque fois que possible, les données visées à plètent ou le précisent."

VERBETERINGEN BETREFFENDE DE IN

N.B.: Enkele minder belangrijke verbeteringen w missiesecretariaat bezorgd.