La loi relative aux communications électroniques

Nous entendons par « loi relative aux communications électroniques » la loi du 13 juin 2005 relative aux communications électroniques.

Pour ce qui concerne la notion d’opérateur, des informations peuvent être trouvées en cliquant sur ce lien.

Obligations à charge de l’ensemble des opérateurs 

Les opérateurs doivent :  

  • analyser les risques pour la sécurité de leurs réseaux et services (article 107/2, §1er, alinéa 1er). Voir ci-dessous la rubrique relative à l’analyse de risque  ;   
  • prendre les mesures d’ordre technique et organisationnel adéquates et proportionnées, y compris le cas échéant le chiffrement, pour gérer ces risques de manière appropriée ainsi que pour prévenir et limiter l’impact des incidents de sécurité tant pour les utilisateurs que pour d’autres réseaux et services (article 107/2, §1er, alinéa 2)  ; 
  • prendre toutes les mesures nécessaires, y compris préventives, pour assurer la disponibilité la plus complète possible des services de communications vocales et des services d’accès à l’internet en cas de défaillance exceptionnelle des réseaux ou de force majeure (article 107/2, §3).

Un opérateur doit faire une notification (voir également rubrique « Informations pratiques ») :

  • à l’IBPT, en cas de menace particulière et importante d’incident de sécurité dans un réseau public de communications électroniques ou un service de communications électroniques accessibles au public et informer ses utilisateurs potentiellement concernés par une telle menace (art 107/3, §1er) ;
  • à l’IBPT, d’incident de sécurité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services. Ce qu’il faut entendre par « impact significatif » ainsi que les modalités de la notification ont été précisées dans la décision du 14 décembre 2017 de l’IBPT (voir rubrique « Informations pratiques ») ;
  • à l’Autorité de protection des données, en cas de violation de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques. Cette autorité est elle-même tenue d’en informer l’IBPT sans délai. Dans certains cas, l’abonné concerné par la violation doit aussi être informé. L’IBPT et l’Autorité de protection des données se concertent pour la gestion de l’incident (art. 107/3, §§3 et 4).

Outre la loi IBPT-statut (loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges), le cadre juridique est le suivant :

Autorisation ministérielle dans le cadre de la fourniture d’un réseau 5G

Les obligations suivantes résultent de l’article 105 de la loi relative aux communications électroniques et de l’arrêté royal du 16 avril 2023 relatif à l’autorisation ministérielle dans le cadre du déploiement d’un réseau 5G  (ci-après l’arrêté royal relatif à l’autorisation ministérielle):

Obligations pour : Obligations :
les entreprises suivantes lorsqu’elles offrent un réseau 5G : 
  • les MNO (Mobile Network Operator, voir définition à l’article 2, 89°, de la loi précitée) ;
  • les "full” MVNO (Mobile Virtual Network Operator, voir définition à l’article 2, 90°, de la loi précitée), à savoir les MVNO qui disposent de certains éléments de réseau ; 
  • la S.A. A.S.T.R.I.D. ; 
  • les entreprises qui ont été désignées comme exploitant d’infrastructures critiques au sens de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, pour autant que des éléments du réseau 5G privé soient utilisés dans une de ces infrastructures critiques ; 
  • les entreprises qui ont été désignées comme opérateur de service essentiel au sens de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique (loi NIS), pour autant que la fourniture d’un service essentiel fasse usage du réseau 5G privé.
  • demander et obtenir une autorisation ministérielle avant de pouvoir utiliser un élément du réseau 5G (autorisation préalable), ou ;  
  • lorsque cet élément de réseau est déjà utilisé lors de l’entrée en vigueur de l’arrêté royal relatif à l’autorisation ministérielle, demander dans les deux mois qui suivent cette date une autorisation ministérielle et l’obtenir (autorisation de régularisation), et
  • demander et obtenir une autorisation ministérielle avant d’avoir recours à un fournisseur de services pour la gestion et la supervision de leurs éléments de réseau 5G, à l’exception du recours à des équipementiers offrant un service de support, lors ce service est prévu dans le contrat de fourniture d’éléments du réseau (autorisation préalable), ou
  • lorsque le recours à un tel fournisseur de services est déjà effectif à la date d’entrée en vigueur de l’arrêté royal relatif à l’autorisation ministérielle, demander une autorisation ministérielle dans les deux mois qui suivent cette date et l’obtenir (autorisation de régularisation).

Une nouvelle autorisation devra être demandée lorsque l’entreprise qui offre le réseau 5G souhaite utiliser un élément de réseau ou un service qui n’a pas encore fait l’objet d’une autorisation.

Une autorisation ne doit pas être demandée pour les UPS (Uninterruptible Power Supply) et batteries qui sont utilisés pour la partie centrale du réseau 5G.

Une autorisation ne doit pas être demandée pour les batteries qui sont utilisées pour le réseau d'accès radioélectrique du réseau 5G.

Une autorisation ne doit pas être demandée pour les antennes passives équipées de système RET (Remote Electrical Tilt).

L’article 11, alinéa 1er, de l’arrêté royal relatif à l’autorisation ministérielle prévoit que « Les mises à jour de logiciels ou de dispositifs matériels ne nécessitent pas d’autorisation supplémentaire, sauf lorsqu’elles modifient les éléments repris dans la demande d’autorisation. »

L’autorisation ministérielle est rendue par les ministres suivants :  le Premier ministre, le ministre des Télécommunications, le ministre de la Défense, le ministre de la Justice, le ministre de l'Intérieur et le ministre des Affaires étrangères (article 105, § 1er, de la loi relative aux communications électroniques).

Ils pourront accorder l’autorisation, l’accorder moyennant le respect de certaines conditions ou la refuser.

Lorsqu’ils examinent une demande, ils devront :

  • évaluer le profil de risque du fournisseur sur la base d'un avis des services de renseignement et de sécurité (probabilité que le fournisseur subisse une ingérence de la part d'un pays autre qu'un Etat membre de l'Union européenne) et d’un avis de l’IBPT (capacité du fournisseur à garantir l'approvisionnement en termes de délai et de quantité, qualité globale de ses produits ou services et ses pratiques en matière de sécurité), et ;
  • appliquer les restrictions qui sont fixées dans l’arrêté royal relatif à l’autorisation ministérielle.

Certaines restrictions pour les MNO prennent en compte les zones sensibles en Belgique. Ces dernières sont énumérées en annexe de l’arrêté royal du 23 octobre 2022 relatif aux zones sensibles dans le cadre de la loi du 17 février 2022 introduisant des mesures de sécurité supplémentaires pour la fourniture de services mobiles 5G. Cette annexe est confidentielle. Les MNO qui doivent demander une autorisation ministérielle et qui souhaitent consulter cette annexe peuvent adresser un courriel à l’IBPT.

Les entreprises qui doivent obtenir une autorisation ministérielle (autorisation préalable ou de régularisation) doivent adresser leur demande auprès de l’IBPT conformément aux modalités fixées dans la communication du 15 mai 2023 de l’IBPT.

Obligations en matière de localisation dans le cadre de la fourniture d’un réseau 5G

À partir du 1er janvier 2028, les entreprises visées à la section précédente qui offrent un réseau 5G doivent s’assurer que les éléments suivants sont établis sur le territoire de l’Union européenne : 

  • les personnes, l’équipement, les logiciels et les données nécessaires à la surveillance en temps réel de leur réseau 5G ou de leurs éléments du cœur de réseau 5G ;
  • les personnes, l’équipement, les logiciels et les données liés au contrôle de l’accès physique et logique à leur réseau 5G ou à leurs éléments du cœur de réseau 5G.

Les personnes qui ne supervisent pas le réseau en temps réel mais auxquelles il peut être demandé d’effectuer une action ponctuelle sur le réseau peuvent se trouver en dehors du territoire de l’Union Européenne, à condition que leurs interventions soient suivies en permanence par une des personnes visées ci-dessus (arrêté royal du 18 avril 2023 relatif aux exigences en matière de localisation concernant les réseaux 5G ).

De plus, lorsqu'un MNO offre en Belgique des services de communications électroniques à l'aide d'un réseau 5G, les infrastructures de ce réseau doivent se trouver sur le territoire des Etats membres de l'Union européenne (article 105, § 8, alinéa 1er, de la loi relative aux communications électroniques).

La loi NIS2

Sécurité des réseaux et systèmes d’information

Nous entendons par « loi NIS2 » la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique, qui constitue la transposition belge de la directive NIS2 et qui remplace la loi précédente du 7 avril 2019. 

Afin de mettre en œuvre la loi NIS2, l’IBPT a été désigné comme autorité sectorielle et service d’inspection sectoriel pour le secteur des infrastructures numériques, à l’exception des prestataires de services de confiance au sens de l’article 8, 24°, de cette loi, et pour le secteur des services postaux et d’expédition. La compétence de l’IBPT dans le secteur des infrastructures numériques comprend donc les sous-secteurs suivants : les fournisseurs de points d’échange internet, les fournisseurs de services DNS, à l’exclusion des opérateurs de serveurs racines de noms de domaine, les registres de noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de réseaux publics de communications électroniques et les fournisseurs de services de communications électroniques accessibles au public.

Le CCB, en tant qu’autorité centrale chargée de la cybersécurité dans le cadre de la loi NIS2, a déjà présenté un aperçu clair et complet des éléments suivants :

-    le champ d’application de la loi NIS2 (les entités ne doivent plus être identifiées par les autorités compétentes, mais sont automatiquement des entités essentielles ou importantes en raison de leur taille et du (sous-)secteur dans lequel elles fournissent des services) ;
-    les obligations des entités essentielles et importantes (principalement s’enregistrer par le biais de safeonweb@work, prendre les mesures nécessaires pour gérer les risques en matière de cybersécurité et signaler les incidents importants), et ;
-    le régime de supervision et de sanction applicable (en ce qui concerne la supervision, l’entité doit opter pour la certification ou se soumettre à des inspections).

Pour ce cadre général, nous vous renvoyons au site Web du CCB.

L’IBPT souhaite souligner à cet égard que sa décision du 14 décembre 2017 sur la notification d’incidents n’est plus applicable en raison de l’entrée en vigueur de la loi NIS2. Le CCB a rédigé un guide sur les notifications, qui explique comment le rapport d’incident doit se dérouler aujourd’hui. Dans tous les cas, les fournisseurs de services DNS, les fournisseurs de réseaux publics de communications électroniques et les fournisseurs de services de communications électroniques accessibles au public ne devront plus s’adresser d’abord à l’IBPT (à l’exception des entités désignées comme exploitant d’infrastructures critiques ou en cas d’incident ayant une incidence sur les services d’urgence). Chaque entité essentielle et importante devra notifier un incident important en utilisant le formulaire standardisé établi par le CCB.

En outre, la Commission européenne a publié un règlement d’exécution fixant les exigences techniques et méthodologiques des mesures de cybersécurité visées dans la directive NIS2 applicables aux entités concernées (c’est-à-dire les entités qui relèvent du régime de juridiction de l’établissement principal). Ce règlement précise également quand les incidents concernant ces entités concernées doivent être considérés comme « importants » au sens de l’article 23 de la directive NIS2 et a servi de base au guide belge susmentionné sur les notifications.

En outre, en ce qui concerne les (sous-)secteurs pour lesquels l’IBPT est compétent, l’IBPT et le CCB ont conclu un protocole de coopération. À cet égard, les mesures suivantes ont été prévues :

  • Les fournisseurs de réseaux publics de communications électroniques et les fournisseurs de services de communications électroniques accessibles au public (les opérateurs au sens de la loi du 13 juin 2005 relative aux communications électroniques) doivent remplir leur notification à l’IBPT avec les informations nécessaires pour NIS2, pour lesquelles l’IBPT a fourni les formulaires nécessaires (après quoi les obligations d’enregistrement sont remplies pour ces opérateurs). S’ils se sont enregistrés sur safeonweb@work par le biais de la procédure habituelle, cette démarche est déjà suffisante et ces formulaires ne doivent pas être renvoyés remplis, bien que cela soit fortement encouragé ;
  • Si l’entité opte pour une évaluation régulière de la conformité basée sur la certification, sa supervision sera entièrement réalisée par le CCB. Cependant, lorsque l’entité choisit de se soumettre à des inspections, la supervision ex ante exercée dépend du type d’entité :
    • Pour les entités également désignées comme exploitant d’une infrastructure critique, seul l’IBPT effectuera ces inspections ;
    • Pour les autres entités, le CCB et l’IBPT établiront un plan annuel d’inspection et se chargeront chacun d’une partie des inspections
  • Pour le suivi des incidents importants, le CCB s’occupera des incidents dont la cause possible est une attaque informatique potentiellement illégale ou malveillante, tandis que l’IBPT s’occupera de tous les autres types d’incidents. Si l’incident a plusieurs causes, le CCB et l’IBPT peuvent collaborer sur ce dossier.

Outre les dispositions de la loi NIS2, les dispositions relatives à la sécurité des communications électroniques de la loi du 13 juin 2005 relative aux communications électroniques (en particulier les articles 107/2 à 107/4), bien que modifiées et avec l’extension du champ d’application aux infrastructures numériques à l’exception des prestataires de services de confiance, continuent de s’appliquer simultanément.

Collecte de données d’enregistrement du nom de domaine

En outre, l’IBPT veillera au respect de l’article 164/3 de la loi du 13 juin 2005 relative aux communications électroniques (transposition de l’article 28 de la directive NIS2).  Cet article exige que les registres de noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine collectent et maintenir les données d’enregistrement de noms de domaine au sein d’une base de données spécialisée. Ces données contiennent les informations nécessaires pour identifier les titulaires des noms de domaine et les points de contact qui gèrent les noms de domaine relevant des domaines de premier niveau. Ces informations comprennent au moins les éléments suivants :

  • le nom de domaine ;
  • la date d’enregistrement ;
  • le nom du titulaire du nom de domaine, son adresse électronique et son numéro de téléphone ;
  • l’adresse de courrier électronique et le numéro de téléphone permettant de contacter le point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire du nom de domaine. 

Les registres de noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine doivent mettre en place des politiques et des procédures, notamment des procédures de vérification, afin de garantir que les bases de données visées ci-dessus contiennent des informations exactes et complètes. En outre, ces entités doivent fournir gratuitement, sur demande motivée, à tout demandeur légitime d’accès les informations d’enregistrement du nom de domaine dans les 72 heures après réception de la demande ou dans les 24 heures après réception de la demande en cas d’urgence.

Cadre légal

Le cadre légal est le suivant :

Analyse de risque

L’IBPT a mis en place un outil d’analyse de risques en matière de sécurité des réseaux et systèmes d’information, SERIMA.be, qui est l’abréviation de « Security Risk Management ».

L’IBPT a demandé à certains opérateurs de communications électroniques  et aux opérateurs de services essentiels (OSE) qu’il a désignés sur base de la loi NIS de lui soumettre annuellement une analyse de risque via cette plateforme.

Les autres opérateurs de communications électroniques peuvent faire usage de la plateforme en adressant une demande à l’IBPT. Plus d’informations peuvent être retrouvées dans la communication du 12 avril 2023 sur les analyses de risque en matière de sécurité des réseaux et des systèmes d’information.

La loi infrastructures critiques

Par « loi infrastructures critiques », nous entendons la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques. 

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité sectorielle et service d’inspection pour le secteur des communications électroniques (en ce compris le secteur des infrastructures numériques). 

En tant qu’autorité sectorielle, l’IBPT doit désigner les exploitants d’infrastructures critiques de son secteur et identifier leurs infrastructures critiques. Il le fait en concertation avec le Centre de Crise du SPF Intérieur (NCCN) et le Centre pour la Cybersécurité Belgique (CCB). 

L’obligation principale de l’exploitant d’une infrastructure critique (voir article 13 de cette loi) est d’élaborer et de mettre un œuvre un plan de sécurité, qui comprend au minimum des mesures internes de sécurité permanentes (applicables en toutes circonstances) et des mesures internes de sécurité graduelles (à appliquer en fonction de la menace).

L’exploitant doit notifier tout événement qui est de nature à menacer la sécurité de l'infrastructure critique (voir article 14 de la même loi).

L’IBPT effectue des inspections des infrastructures critiques. 

Le cadre légal est le suivant :

  • la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ; 
  • la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 27 mai 2014 portant exécution dans le secteur des communications électroniques de l’article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 14 juin 2017 désignant pour le secteur des communications électroniques le service d'inspection institué par la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 15 décembre 2021 établissant les cartes de légitimation des agents statutaires et des membres du personnel contractuel de l'Institut belge des services postaux et des télécommunications

La loi sur les avis de sécurité

Nous entendons par « loi sur les avis de sécurité » la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. 

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité administrative compétente pour le « secteur communications électroniques et infrastructures numériques », à l’exception des avis de sécurité des membres de la Cellule de coordination (de la Justice) des opérateurs de communications électroniques. Pour ces avis, l’autorité administrative compétente est le ministre de la Justice. 

Il revient à l’IBPT, en sa qualité d’autorité administrative compétente, de proposer à l’ANS (Autorité Nationale de Sécurité) les fonctions qui devraient être soumises à un avis de sécurité ainsi que les opérateurs pour lesquels la mesure est applicable. C’est l’ANS qui prend la décision en la matière. Une fois que cette décision est prise, les demandes d’avis doivent transiter via l’IBPT.  

Le cadre légal est le suivant : 

  • la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité ; 
  • l’arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • l’arrêté royal du 8 mai 2018 fixant les secteurs d'activités et les autorités administratives compétentes visées à l'article 22quinquies, § 7, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • l’arrêté royal du 8 mai 2018 déterminant la liste des données et informations qui peuvent être consultées dans le cadre de l'exécution d'une vérification de sécurité ;
  • l’arrêté royal du 8 mai 2018 fixant les montants des rétributions dues pour les habilitations de sécurité, pour les attestations de sécurité et les avis de sécurité délivrés par l'Autorité nationale de Sécurité et pour les attestations de sécurité délivrées par l'Agence fédérale de Contrôle nucléaire, ainsi que les clés de répartition visées à l'article 22septies, alinéas 6 et 8, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Gestion de crise nationale

Le cadre juridique applicable à la phase fédérale est le chapitre 4 de l’annexe de l’arrêté royal du 26 avril 2024 portant fixation du plan d’urgence national. Ce cadre juridique est commenté ci-après.

Le Comité fédéral de coordination (COFECO) est l’environnement d'experts centralisé qui dirige et coordonne la gestion de crise interdépartementale au niveau national. Ce comité est présidé par le Centre de crise national (NCCN), et l’IBPT fait également partie de sa composition de base.

Pour le secteur des télécommunications, une cellule d’évaluation a été mise en place (« CELEVAL télécom »). Celle-ci se réunit sur décision du président du COFECO en soutien de ce dernier dans le cadre de sa mission de coordination.

La mission de la CELEVAL télécom est de collecter des informations techniques et scientifiques pertinentes concernant le risque à l'origine d'une crise nationale et la situation actuelle dans laquelle se trouve la crise. Elle doit également évaluer la situation au niveau sectoriel ainsi que ses conséquences techniques afin de conseiller le COFECO quant aux mesures de précaution et de protection à prendre. Dans ce cadre, il convient de tenir compte de l’évolution prévue de la situation au niveau technique, ainsi que de l’impact de conditions aggravantes qui pourraient éventuellement survenir.

La CELEVAL télécom est présidée par l’IBPT et est composée de représentants et d’experts des services publics et entités suivants :

  • L’IBPT ;
  • Les opérateurs touchés par la crise ;
  • La DG Sécurité civile ;
  • La police fédérale ;
  • La SA ASTRID ;
  • Le Centre de crise national (NCCN) ;
  • Toute personne, entité ou autorité nécessaire pour pouvoir réaliser l’évaluation. 

En tant que président de la CELEVAL télécom, l’IBPT a notamment aussi les tâches suivantes : 

  • La centralisation d’informations pertinentes des différents opérateurs en termes d’impact ou de risque particulier en vue d’une communication coordonnée avec le COFECO ; 
  • Le suivi des questions du COFECO adressées au secteur des télécommunications ;
  • La prise des mesures nécessaires pour satisfaire aux attentes des parties concernées.

La cellule stratégique ratifie les propositions du COFECO. Cette cellule est composée des ministres compétents. Ils ont la compétence de décréter des mesures et en sont politiquement responsables.

La cellule d’information communique sur les mesures. Cette cellule est composée des responsables de la communication ou des porte-paroles des départements concernés.

Documents

Point de contact

IBPT - Service NetSec
Boulevard du Roi Albert II 32 bte 10
1000 Bruxelles
email

This webpage is part of an EU quality network

Dernière mise à jour le 17/01/2025

Vers le haut