Etaamb.openjustice.be
Arrêté Royal du 27 mai 2014
publié le 11 août 2014

Arrêté royal portant exécution dans le secteur des communications électroniques de l'article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques

source
service public federal economie, p.m.e., classes moyennes et energie
numac
2014011429
pub.
11/08/2014
prom.
27/05/2014
ELI
eli/arrete/2014/05/27/2014011429/moniteur
moniteur
https://www.ejustice.just.fgov.be/cgi/article_body(...)
liens
Conseil d'État (chrono)
Document Qrcode

27 MAI 2014. - Arrêté royal portant exécution dans le secteur des communications électroniques de l'article 13 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques


RAPPORT AU ROI Sire, Généralités La Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection a été transposée partiellement par la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques.

Alors que la Directive se limite aux secteurs du transport et de l'énergie, la loi vise également le secteur des finances ainsi que le secteur des communications électroniques.

L'article 13 de cette loi prévoit le contenu de base du plan de sécurité de l'exploitant (P.S.E) à élaborer par l'exploitant d'une infrastructure critique.

Le présent arrêté exécute cet article en détaillant les mesures de sécurité et les informations à inclure dans ce plan. Il détermine également la fréquence des exercices et des mises à jour dudit P.S.E. Une consultation publique concernant le présent projet d'arrêté a été effectuée du 25 juin au 29 juillet 2013 à la demande du Ministre de l'Economie. Ce délai fut prolongé à la demande des opérateurs jusqu'au 16 août 2013.

L'avis 56.107/4 du Conseil d'Etat, donné le 14 mai 2014, a été intégralement suivi.

Commentaire article par article : Article 1er.

Cet article précise le champ d'application de l'arrêté : le plan de sécurité de l'exploitant d'une infrastructure identifiée comme critique par l'autorité sectorielle. Cette précision est importante car les infrastructures critiques européennes visées par la Directive précitée ne concernent pas le secteur des communications électroniques.

Article 2.

Cet article précise la structure à respecter pour le plan de sécurité de l'exploitant d'une infrastructure critique. En effet, l'uniformité dans la présentation des plans de sécurité est nécessaire afin de faciliter la préparation et l'examen des plans.

Conformément à l'article 13 de la loi, il concerne les mesures internes de sécurité permanentes, les mesures internes graduelles, les exercices ainsi que les informations nécessaires pour la bonne compréhension des plans.

Article 3.

Cet article précise un certain nombre d'éléments à prendre en considération pour décrire de façon générale l'infrastructure critique concernée. Ces éléments sont en effet nécessaires afin de garantir une bonne compréhension des mesures internes de sécurité permanentes et des mesures internes de sécurité graduelles de l'exploitant.

Article 4.

L'article 4 concerne spécifiquement l'analyse de risque d'un exploitant d'une infrastructure critique. Cette analyse de risque est l'instrument d'un opérateur pour identifier, d'une part, les mesures de sécurité interne qui sont permanentes, et d'autre part, les mesures de sécurité interne qui sont graduelles.

Article 5.

Cet article précise que l'exploitant doit fournir un inventaire des mesures internes de sécurité permanentes qui sont applicables en toutes circonstances. Chaque mesure doit être décrite. L'inventaire et la description demandée peuvent être réalisés de façon sommaire par un exploitant. Il ne peut pas être perdu de vue que l'autorité sectorielle peut toujours demander des informations complémentaires pour le P.S.E. L'alinéa 2 prévoit pour les éléments critiques contrôlés à distance une obligation de sécurité renforcée de la liaison de chacun de ces éléments avec le centre de contrôle de l'opérateur. Le risque est en effet qu'en cas d'incident extérieur consistant en une coupure de courant ou autre panne, la liaison entre l'élément critique et le centre de contrôle ne soit plus assurée. Cette mesure d'autonomie constitue un minimum à réaliser pour l'infrastructure critique contrôlée à distance.

Il est demandé à l'exploitant d'établir le lien entre son analyse de risque et les mesures internes de sécurité permanentes adoptées.

Article 6.

Cet article concerne les mesures internes de sécurité graduelles, qui varient selon le type de scénario de l'analyse des risques considérés par l'exploitant d'une infrastructure critique. Elles se basent sur les scénarios de l'analyse des risques considérés par l'opérateur dans le P.S.E. Une distinction est faite entre les mesures internes de sécurité graduelles générales et les mesures internes de sécurité graduelles spécifiques liées à un scénario repris dans l'analyse de risque. Les mesures internes de sécurité graduelles générales sont mises en oeuvre lorsque des incidents se produisent selon un scénario qui n'a pas été retenu dans l'analyse de risque.

En particulier, le plan indique les seuils qui déclenchent les différentes mesures : ceux-ci peuvent, entre autres, être le nombre d'utilisateurs finals impactés, la durée de l'incident, l'impact sur la performance de l'infrastructure critique, etc. Il précise la hiérarchie de son classement des services à rétablir de façon prioritaire en cas de dégradation de la performance du réseau. Ce classement permet de voir quel service sera maintenu et rétabli de façon prioritaire en cas d'incident.

Pour les mesures internes de sécurité graduelles, il est demandé à l'exploitant d'indiquer les services auxquels la priorité est donnée en cas de détérioration de la capacité de fonctionnement du réseau, puisqu'en cas de détérioration considérable, des services classés à un niveau hiérarchique moins élevé seront réduits ou même temporairement suspendus.

En outre, un plan de communication externe à destination du public est prévu afin d'informer tout utilisateur final de l'existence d'une difficulté et du temps estimé nécessaire pour le rétablissement du réseau ou service.

La précision des mesures d'atténuation des suites des incidents a pour objectif d'inciter l'opérateur à réfléchir à la vulnérabilité de son réseau et à adopter des procédures opérationnelles efficaces pour protéger ses réseaux et services. Les procédures mises en place par l'opérateur pour le rétablissement du service et du fonctionnement de l'infrastructure critique poursuivent le même objectif.

Les mesures de restauration ont pour objet de préciser pour chaque élément physiquement endommagé les modalités de son remplacement.

Article 7.

Cet article détermine la fréquence des tests à réaliser par l'exploitant sur l'infrastructure critique. Vu la difficulté d'organiser un exercice annuel portant sur l'ensemble de l'infrastructure critique, des exercices annuels d'une partie de l'infrastructure critique sont autorisés, bien que tous les éléments de l'infrastructure critique doivent être testés au minimum une fois tous les trois ans.

Lorsqu'un exercice en situation réelle comporte un risque potentiel pour le fonctionnement de l'infrastructure critique, l'exploitant peut remplacer celui-ci par une simulation moyennant l'approbation préalable de l'autorité sectorielle.

Afin d'assurer la bonne information de l'autorité sectorielle, l'alinéa 3 prévoit une obligation d'information antérieure à la réalisation d'un exercice. L'alinéa 3 impose également la transmission d'un rapport relatif à tout exercice. Ce rapport décrira l'infrastructure concernée et l'exercice effectué. Il décrira en particulier les difficultés rencontrées et formulera des propositions de solutions destinées à remédier à ces difficultés. Le P.S.E. pourra être modifié en conséquent.

Article 8.

Cet article précise les informations à joindre au P.S.E. et nécessaires pour la bonne compréhension dudit P.S.E. L'exploitant peut transmettre toute information complémentaire qu'il juge utile pour la bonne compréhension du P.S.E. Article 9.

Cet article fixe la fréquence minimale des contrôles et de la révision du P.S.E. L'autorité sectorielle peut toujours demander une telle information de l'opérateur et solliciter une révision du P.S.E. Article 10.

Cet article ne nécessite pas de commentaire.

Telles sont, Sire, les principales dispositions de l'arrêté soumis à l'approbation de Votre Majesté.

J'ai l'honneur d'être, Sire, de Votre Majesté, le très respectueux et très fidèle serviteur, Le Ministre de l'Economie, J. VANDE LANOTTE

CONSEIL D'ETAT section de législation Avis 56.107/4 du 14 mai 2014 sur un projet d'arrêté royal `portant exécution dans le secteur des communications électroniques de l'article 13 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques' Le 22 avril 2014, le Conseil d'Etat, section de législation, a été invité par le Vice Premier Ministre et Ministre de l'Economie à communiquer un avis, dans un délai de trente jours, sur un projet d'arrêté royal `portant exécution dans le secteur des communications électroniques de l'article 13 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques'.

Le projet a été examiné par la quatrième chambre le 14 mai 2014. La chambre était composée de Pierre LIENARDY, président de chambre, Jacques JAUMOTTE et Bernard BLERO, conseillers d'Etat, Sébastien VAN DROOGHENBROECK et Jacques ENGLEBERT, assesseurs, et Colette GIGOT, greffier.

Le rapport a été présenté par Anne VAGMAN, premier auditeur.

La concordance entre la version française et la version néerlandaise a été vérifiée sous le contrôle de Pierre LIENARDY. L'avis, dont le texte suit, a été donné le 14 mai 2014.

Compte tenu du moment où le présent avis est donné, le Conseil d'Etat attire l'attention du Gouvernement sur le fait que l'absence du contrôle qu'il appartient au Parlement d'exercer en vertu de la Constitution, a pour conséquence que le Gouvernement ne dispose pas de la plénitude de ses compétences. Le présent avis est toutefois donné sans qu'il soit examiné si le projet relève bien des compétences ainsi limitées, la section de législation n'ayant pas connaissance de l'ensemble des éléments de fait que le Gouvernement peut prendre en considération lorsqu'il doit apprécier la nécessité d'arrêter ou de modifier des dispositions réglementaires.

Comme la demande d'avis est introduite sur la base de l'article 84, § 1er, alinéa 1er, 2°, des lois coordonnées sur le Conseil d'Etat, la section de législation limite son examen au fondement juridique du projet, à la compétence de l'auteur de l'acte ainsi qu'à l'accomplissement des formalités préalables, conformément à l'article 84, § 3, des lois coordonnées précitées.

Sur ces trois points, le projet appelle les observations suivantes. 1. A l'alinéa 3 du préambule, il y a lieu de mentionner « l'avis » de l'Inspecteur des Finances et non « l'accord ».2. Les termes définis à l'article 2 du projet sont déjà définis ou employés à l'article 3, 3°, d), à l'article 4, § 4, et à l'article 13 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer `relative à la sécurité et la protection des infrastructures critiques'. Comme la section de législation du Conseil d'Etat l'a déjà rappelé, il n'appartient pas au Roi de rappeler une définition qui figure déjà dans une disposition de nature législative.

En effet, pareil procédé peut induire en erreur sur la nature de la définition en question. Il laisse par ailleurs à penser qu'il est au pouvoir du Roi de modifier cette définition alors que ce pouvoir appartient au seul législateur.

De même, il n'appartient pas non plus au Roi de définir un terme déjà employé dans une loi à l'exécution de laquelle Il entend pourvoir.

Enfin, les définitions qui figurent à l'article 2 du projet sont inutiles, dès lors qu'elles se bornent en réalité à renvoyer aux dispositions précitées de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer.

Pour l'ensemble de ces motifs, l'article 2 sera omis, et les dispositions suivantes seront renumérotées en conséquence.

Le Greffier, Colette Gigot Le Président, Pierre Liénardy

27 MAI 2014. - Arrêté royal portant exécution dans le secteur des communications électroniques de l'article 13 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.

Vu l'article 108 de la Constitution;

Vu la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques, l'article 13;

Vu l'avis de l'Inspecteur des Finances, donné le 14 mars 2014;

Vu l'accord du Ministre du Budget, donné le 18 mars 2014;

Vu l'analyse d'impact de la réglementation réalisée conformément aux articles 6 et 7 de la loi du 15 décembre 2013Documents pertinents retrouvés type loi prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 source service public federal chancellerie du premier ministre Loi portant des dispositions diverses concernant la simplification administrative fermer portant des dispositions diverses en matière de simplification administrative;

Vu la consultation du 21 mars au 31 mars 2014 du Comité interministériel des Télécommunications et de la Radiodiffusion et la Télévision;

Vu l'accord du Comité de concertation, donné le 8 avril 2014;

Vu l'avis 56.107/4 du Conseil d'Etat, donné le 14 mai 2014, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973;

Sur la proposition du Ministre de l'Economie, Nous avons arrêté et arrêtons :

Article 1er.Le présent arrêté s'applique à la protection et à la sécurité des infrastructures critiques dans le secteur des communications électroniques en Belgique.

Art. 2.Tout exploitant élabore un P.S.E. qui contient au minimum les éléments suivants : 1° une partie consacrée à la description générale de l'infrastructure critique;2° une partie consacrée à l'analyse de risque;3° une partie consacrée aux mesures internes permanentes de sécurité;4° une partie consacrée aux mesures internes graduelles de sécurité;5° ° une partie consacrée aux exercices;6° une partie consacrée aux informations détaillées à l'article 6.

Art. 3.La description générale de l'infrastructure critique comprend : 1° un classement hiérarchique décroissant des services de base et leurs services associés, qui sont supportés par l'infrastructure critique;2° l'architecture logique de l'infrastructure critique utilisée pour la fourniture des services visés au point 1° ;3° l'architecture physique du réseau supporté par l'infrastructure critique, incluant un inventaire des équipements;4° les caractéristiques techniques des équipements qui font partie de l'infrastructure critique ou qui sont supportés par l'infrastructure critique.

Art. 4.L'analyse de risque contient : 1° une description détaillée des scénarios de l'analyse des risques prévus par l'exploitant;2° pour chaque type de scénario de l'analyse des risques, une description des mesures de prévention des incidents.

Art. 5.La partie consacrée aux mesures internes de sécurité permanentes, applicables en toutes circonstances, contient un inventaire de ces mesures ainsi qu'une description de chacune de ces mesures.

L'exploitant veille à ce qu'en cas de contrôle à distance d'un élément faisant partie de l'infrastructure critique, la liaison entre cet élément et le centre de contrôle de l'opérateur soit autonome et dispose d'un haut niveau de protection.

L'exploitant met les mesures internes de sécurité permanentes en relation avec son analyse de risque prévue à l'article 4.

Art. 6.Pour les mesures internes de sécurité graduelles, le plan décrit : 1° les mesures internes de sécurité graduelles générales;2° les mesures internes de sécurité graduelles spécifiques pour les scénarios repris dans l'analyse de risque prévue à l'article 4. Pour les différentes mesures internes de sécurité graduelles l'exploitant indique les différents seuils utilisés qui engendrent la mise en oeuvre de chaque mesure.

L'exploitant met les mesures internes de sécurité graduelles en relation avec son analyse de risque prévue à l'article 4.

Les mesures internes de sécurité graduelles spécifiques comprennent : 1° pour le classement hiérarchique conformément à l'article 3, 1°, la description des services auxquels il est accordé successivement priorité lorsque la performance du réseau se détériore;2° un plan de communication vers le public en cas d'indisponibilité pour l'utilisateur final de tout ou partie du réseau ou d'un service;3° les mesures en vue d'atténuer les suites d'incidents;4° les procédures en vue de rétablir le fonctionnement normal des services supportés par l'infrastructure critique et de l'infrastructure critique elle-même;5° les mesures de restauration de chaque élément de l'infrastructure critique.

Art. 7.L'exploitant effectue au moins une fois par an un exercice portant sur une partie de l'infrastructure critique, de façon à ce que la totalité des éléments constitutifs de l'infrastructure critique soit testée au moins une fois tous les trois ans.

Si la réalisation d'un exercice met en péril le fonctionnement du réseau, d'une partie de celui-ci, ou des services supportés par l'infrastructure critique, l'exploitant peut demander à l'autorité sectorielle de remplacer l'exercice par une simulation.

L'exploitant informe l'autorité sectorielle d'un test au moins quatre semaines avant la tenue dudit exercice.

L'exploitant établit un rapport concernant chaque exercice effectué et le transmet au plus tard six mois après cet exercice à l'autorité sectorielle.

Art. 8.Le P.S.E. comprend une partie informative décrivant dans l'ordre suivant : 1° l'architecture physique et logique du réseau;2° les services proposés par l'exploitant;3° un inventaire et la localisation des éléments critiques du réseau; 4° les informations complémentaires que l'exploitant ajoute pour la bonne compréhension du P.S.E. L'information donnée pour chacune de ces parties comprend une description précise dont l'exploitant précise l'éventuel caractère confidentiel.

L'information relative à la partie 3° comporte en outre une explication précise, tant du point de vue physique que du point de vue logique, des éléments que l'exploitant considère comme critiques dans son infrastructure, ainsi qu'une explication des paramètres que l'exploitant prend en compte pour déterminer la criticité de ces éléments.

L'information relative à la partie 4° reprend toute information complémentaire estimée utile par l'exploitant.

Art. 9.Le P.S.E. est évalué et, si nécessaire, actualisé : 1° lors de chaque mise en service ou remise en service de l'infrastructure critique;2° lors du remplacement d'un élément existant dans l'infrastructure critique;3° lors de l'intégration d'un nouvel élément dans l'infrastructure critique;4° lors d'un contrôle périodique; 5° suite à une demande de l'autorité sectorielle suite à une analyse du P.S.E. L'exploitant communique sans délai toute modification de son P.S.E. à l'autorité sectorielle.

Art. 10.Le ministre qui a les Télécommunications dans ses attributions est chargé de l'exécution du présent arrêté.

Donné à Bruxelles, le 27 mai 2014.

PHILIPPE Par le Roi : Le Ministre de l'Economie et des Consommateurs, J. VANDE LANOTTE

^