Sécurité des réseaux et infrastructures critiques


Entreprises concernées

Pour ce qui concerne la loi du 13 juin 2005 relative aux communications électroniques (ci-après la loi télécom), c’est l’ensemble des opérateurs sans exception qui sont tenus de respecter les dispositions en matière de sécurité des réseaux.

Par contre, pour ce qui concerne le secteur des communications électroniques visé par la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques (ci-après la loi protection des infrastructures critiques), seules les infrastructures critiques désignées par l'autorité sectorielle, en l’espèce l’IBPT pour le secteur des communications électroniques, sont soumises à cette loi.

Obligations en matière de mesure de sécurité  

La loi télécom (voir article 114) définit les mesures de sécurité que les opérateurs doivent prendre, tant pour assurer le bon fonctionnement de leur réseau et service (par exemple dans le cadre du risque de délestage électrique) que pour protéger les données (à caractère personnel) qui sont traitées dans le cadre de la fourniture de ces réseaux et services.

Par contre, selon la loi infrastructures critiques (voir article 13), l’exploitant d’une telle infrastructure doit élaborer et mettre un œuvre un plan de sécurité, qui comprend au minimum des mesures internes de sécurité permanentes, applicables en toutes circonstances et des mesures internes de sécurité graduelles à appliquer en fonction de la menace.

Obligations en matière de notification d’incident

L’article 114/1 de la loi télécom distingue 3 hypothèses de notification d’incidents de sécurité à charge des opérateurs : 

1. L’obligation de notifier à l’IBPT un risque particulier de violation de la sécurité du réseau ;

2. L’obligation de notifier à l’IBPT toute atteinte à la sécurité ou perte d'intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Ce qu’il faut entendre par « impact significatif » ainsi que les modalités de la notification ont été précisés dans la décision du Conseil de l'IBPT du 14/12/2017 (voir rubrique « notification d’incidents et informations pratiques ») ;

3. En cas de violation de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques, l’opérateur doit en informer l’Autorité de protection des données, qui est elle-même tenue d’en informer l’IBPT sans délai. Dans certains cas, l’abonné concerné par la violation doit aussi être informé. L’IBPT et l’Autorité de protection des données se concertent pour la gestion de l’incident.

Pour ce qui concerne la loi infrastructures critiques (voir article 14), l’exploitant a une obligation de notification  lorsqu'un événement se produit, de nature à menacer la sécurité de l'infrastructure critique.

L’IBPT traite les incidents de sécurité par le biais de son équipe de garde, créée à cet effet.

Contrôle et sanction

L’IBPT contrôle le respect de la législation et de ses mesures d’implémentation et impose des sanctions si nécessaire.  A ce titre, il a été désigné comme service d’inspection pour le secteur des communications électroniques dans le cadre de la loi protection des infrastructures critiques. 

Cadre légal

Les dispositions principales en matière de sécurité des réseaux sont :

1. pour ce qui concerne la sécurité des réseaux au sens strict :

a. les articles 114 à 114/2 de la loi télécom ;

b. la décision du Conseil de l'IBPT du 14/12/2017 concernant les seuils et les modalités de notification d’incidents de sécurité dans le secteur des communications électroniques

2. pour ce qui concerne les violations de données à caractère personnel :

a. les articles 2, 68° et 114 à 114/2 de la loi télécom ;

b. le Règlement (UE) n°611/2013 de la Commission européenne du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques ;

3. pour ce qui concerne la protection des infrastructures critiques dans le secteur des communications électroniques :

a. la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ;

b. l’arrêté ministériel du 17 octobre 2011 portant désignation de l'autorité sectorielle pour le secteur des communications électroniques ;

c. l’arrêté ministériel du 17 avril 2013 portant modification de l'arrêté ministériel du 17 octobre 2011 portant désignation de l'autorité sectorielle pour le secteur des communications électroniques visée à l'article 3, 3°, d, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ;

d. l’arrêté royal du 27 mai 2014 portant exécution dans le secteur des communications électroniques de l’article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques