La loi télécom

Nous entendons par « loi télécom » la loi du 13 juin 2005 relative aux communications électroniques.

Les opérateurs doivent :  

  • analyser les risques pour la sécurité de leurs réseaux et services (article 107/2, §1er, alinéa 1er). Voir ci-dessous la rubrique relative à l’analyse de risque  ;   
  • prendre les mesures d’ordre technique et organisationnel adéquates et proportionnées, y compris le cas échéant le chiffrement, pour gérer ces risques de manière appropriée ainsi que pour prévenir et limiter l’impact des incidents de sécurité tant pour les utilisateurs que pour d’autres réseaux et services (article 107/2, §1er, alinéa 2)  ; 
  • prendre toutes les mesures nécessaires, y compris préventives, pour assurer la disponibilité la plus complète possible des services de communications vocales et des services d’accès à l’internet en cas de défaillance exceptionnelle des réseaux ou de force majeure (article 107/2, §3).

Un opérateur doit faire une notification (voir également rubrique « Informations pratiques ») :

  • à l’IBPT, en cas de menace particulière et importante d’incident de sécurité dans un réseau public de communications électroniques ou un service de communications électroniques accessibles au public et informer ses utilisateurs potentiellement concernés par une telle menace (art 107/3, §1er) ;
  • à l’IBPT, d’incident de sécurité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Ce qu’il faut entendre par « impact significatif » ainsi que les modalités de la notification ont été précisées dans la décision du 14 décembre 2017 de l’IBPT (voir rubrique « Informations pratiques ») ;
  • à l’Autorité de protection des données, en cas de violation de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques. Cette autorité est elle-même tenue d’en informer l’IBPT sans délai. Dans certains cas, l’abonné concerné par la violation doit aussi être informé. L’IBPT et l’Autorité de protection des données se concertent pour la gestion de l’incident (art. 107/3, §§3 et 4).

Outre la loi IBPT-statut (loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges), le cadre juridique est le suivant :

La loi NIS

Par « loi NIS », nous entendons la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique.

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité sectorielle et service d’inspection pour le secteur des infrastructures numériques. Ce secteur comprend au moins les entités suivantes : les IXP (points d’échange par Internet), les fournisseurs de services DNS et les registres de noms de domaines de haut niveau.

Une des tâches de l’autorité sectorielle est de désigner les opérateurs de services essentiels (OSE) de son secteur, en concertation avec le Centre pour la Cybersécurité Belgique (CCB) et le Centre de Crise du SPF Intérieur (NCCN).

La loi NIS comprend des obligations à charge des OSE en matière de mesures de sécurité (articles 20 à 23), de notification d’incident (articles 24 et 25, voir également la rubrique « Informations pratiques ») et d’audit (article 38).

Une entité du secteur des infrastructures numériques qui est active en Belgique et qui n’a pas été désignée par l’IBPT comme OSE peut notifier de manière volontaire un incident ayant un impact significatif sur la continuité des services qu'elle fournit (voir rubrique « informations pratiques). Cette notification volontaire n'a pas pour effet d'imposer à l'entité qui est à l'origine de la notification des obligations auxquelles elle n'aurait pas été soumise si elle n'avait pas procédé à ladite notification. Lors du traitement des notifications, le CCB, l'IBPT et le NCCN peuvent donner la priorité aux notifications obligatoires imposées par la loi NIS par rapport aux notifications volontaires. Les notifications volontaires ne sont traitées que lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile à charge des autorités susmentionnées.

Le cadre légal est le suivant :

  • la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ; 
  • la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ; 
  • l’arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ;
  • l’arrêté royal du 15 décembre 2021 établissant les cartes de légitimation des agents statutaires et des membres du personnel contractuel de l'Institut belge des services postaux et des télécommunications

Plus d’informations peuvent être trouvées sur le site Internet du CCB.

Analyse de risque

L’IBPT a mis en place un outil d’analyse de risques en matière de sécurité des réseaux et systèmes d’information, SERIMA.be, qui est l’abréviation de « Security Risk Management ».

L’IBPT a demandé à certains opérateurs télécoms et aux opérateurs de services essentiels (OSE) qu’il a désignés sur base de la loi NIS de lui soumettre annuellement une analyse de risque via cette plateforme.

Les autres opérateurs télécoms peuvent faire usage de la plateforme en adressant une demande à l’IBPT. Plus d’informations peuvent être retrouvées dans la communication de l'IBPT du 5 juillet 2022 sur les analyses de risque en matière de sécurité des réseaux et des systèmes d’information.

La loi infrastructures critiques

Par « loi infrastructures critiques », nous entendons la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques. 

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité sectorielle et service d’inspection pour le secteur des communications électroniques (en ce compris le secteur des infrastructures numériques). 

En tant qu’autorité sectorielle, l’IBPT doit désigner les exploitants d’infrastructures critiques de son secteur et identifier leurs infrastructures critiques. Il le fait en concertation avec le Centre de Crise du SPF Intérieur (NCCN) et le Centre pour la Cybersécurité Belgique (CCB). 

L’obligation principale de l’exploitant d’une infrastructure critique (voir article 13 de cette loi) est d’élaborer et de mettre un œuvre un plan de sécurité, qui comprend au minimum des mesures internes de sécurité permanentes (applicables en toutes circonstances) et des mesures internes de sécurité graduelles (à appliquer en fonction de la menace).

L’exploitant doit notifier tout événement qui est de nature à menacer la sécurité de l'infrastructure critique (voir article 14 de la même loi).

L’IBPT effectue des inspections des infrastructures critiques. 

Le cadre légal est le suivant :

  • la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ; 
  • la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 27 mai 2014 portant exécution dans le secteur des communications électroniques de l’article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 14 juin 2017 désignant pour le secteur des communications électroniques le service d'inspection institué par la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 15 décembre 2021 établissant les cartes de légitimation des agents statutaires et des membres du personnel contractuel de l'Institut belge des services postaux et des télécommunications

La loi sur les avis de sécurité

Nous entendons par « loi sur les avis de sécurité » la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. 

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité administrative compétente pour le « secteur communications électroniques et infrastructures numériques », à l’exception des avis de sécurité des membres de la Cellule de coordination (de la Justice) des opérateurs télécom. Pour ces avis, l’autorité administrative compétente est le ministre de la Justice. 

Il revient à l’IBPT, en sa qualité d’autorité administrative compétente, de proposer à l’ANS (Autorité Nationale de Sécurité) les fonctions qui devraient être soumises à un avis de sécurité ainsi que les opérateurs pour lesquels la mesure est applicable. C’est l’ANS qui prend la décision en la matière. Une fois que cette décision est prise, les demandes d’avis doivent transiter via l’IBPT.  

Le cadre légal est le suivant : 

  • la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité ; 
  • l’arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • l’arrêté royal du 8 mai 2018 fixant les secteurs d'activités et les autorités administratives compétentes visées à l'article 22quinquies, § 7, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • l’arrêté royal du 8 mai 2018 déterminant la liste des données et informations qui peuvent être consultées dans le cadre de l'exécution d'une vérification de sécurité ;
  • l’arrêté royal du 8 mai 2018 fixant les montants des rétributions dues pour les habilitations de sécurité, pour les attestations de sécurité et les avis de sécurité délivrés par l'Autorité nationale de Sécurité et pour les attestations de sécurité délivrées par l'Agence fédérale de Contrôle nucléaire, ainsi que les clés de répartition visées à l'article 22septies, alinéas 6 et 8, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Documents

Inscription Newsletter

Pour recevoir des alertes via e-mail, indiquez votre adresse e-mail et votre ou vos centre(s) d’intérêt.

L’IBPT traite ces deux ou trois données personnelles (adresse e-mail (éventuellement vos nom et prénom) et centres d’intérêt) afin de vous transmettre ces messages ; il sera mis fin au traitement et vos données seront effacées si un jour vous vous désinscrivez. En savoir plus sur les cookies ou sur la protection de vos données.

Vous devrez confirmer votre inscription. Vous pourrez vous désinscrire ou adapter votre profil à tout moment via le lien de désinscription, ou en nous contactant à l’adresse webmaster@ibpt.be.

Indiquez votre adresse e-mail et votre ou vos centre(s) d’intérêt :

Vers le haut