Ce site Internet utilise des cookies qui sont uniquement nécessaires à son bon fonctionnement. Ils ne peuvent être refusés si vous souhaitez visiter ce site. L’IBPT n’utilise pas de cookie à finalité analytique.

La loi télécom

Nous entendons par « loi télécom » la loi du 13 juin 2005 relative aux communications électroniques.

La loi télécom (voir article 114) définit les mesures de sécurité que les opérateurs télécoms doivent prendre, tant pour assurer la continuité du fonctionnement de leur réseau et service que pour protéger les données (à caractère personnel) qui sont traitées dans le cadre de la fourniture de ces réseaux et services.

En vertu de l’article 114/1, un opérateur télécom doit faire une notification (voir également rubrique « informations pratiques ») :

  • à l’IBPT, en cas de risque particulier de violation de la sécurité du réseau ;
  • à l’IBPT, en cas d’atteinte à la sécurité ou perte d'intégrité ayant eu un impact significatif sur le fonctionnement de ses réseaux ou services. Ce qu’il faut entendre par « impact significatif » ainsi que les modalités de la notification ont été précisées dans la décision du 14 décembre 2017 de l’IBPT (voir rubrique « informations pratiques ») ;
  • à l’Autorité de protection des données, en cas de violation de données à caractère personnel transmises, stockées ou traitées d'une autre manière en relation avec la fourniture de services de communications électroniques. Cette autorité est elle-même tenue d’en informer l’IBPT sans délai. Dans certains cas, l’abonné concerné par la violation doit aussi être informé. L’IBPT et l’Autorité de protection des données se concertent pour la gestion de l’incident.

Outre la loi IBPT-statut (loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges), le cadre juridique est le suivant :

La loi NIS

Par « loi NIS », nous entendons la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique.

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité sectorielle et service d’inspection pour le secteur des infrastructures numériques. Ce secteur comprend au moins les entités suivantes : les IXP (points d’échange par Internet), les fournisseurs de services DNS et les registres de noms de domaines de haut niveau.

Une des tâches de l’autorité sectorielle est de désigner les opérateurs de services essentiels (OSE) de son secteur, en concertation avec le Centre pour la Cybersécurité Belgique (CCB) et le Centre de Crise du SPF Intérieur (NCCN).

La loi NIS comprend des obligations à charge des OSE en matière de mesures de sécurité (articles 20 à 23), de notification d’incident (articles 24 et 25, voir également la rubrique « Informations pratiques ») et d’audit (article 38).

Une entité du secteur des infrastructures numériques qui est active en Belgique et qui n’a pas été désignée par l’IBPT comme OSE peut notifier de manière volontaire un incident ayant un impact significatif sur la continuité des services qu'elle fournit (voir rubrique « informations pratiques). Cette notification volontaire n'a pas pour effet d'imposer à l'entité qui est à l'origine de la notification des obligations auxquelles elle n'aurait pas été soumise si elle n'avait pas procédé à ladite notification. Lors du traitement des notifications, le CCB, l'IBPT et le NCCN peuvent donner la priorité aux notifications obligatoires imposées par la loi NIS par rapport aux notifications volontaires. Les notifications volontaires ne sont traitées que lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile à charge des autorités susmentionnées.

Le cadre légal est le suivant :

  • la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ; 
  • la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ; 
  • l’arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques.

Plus d’informations peuvent être trouvées sur le site Internet du CCB.

Analyse de risque

L’IBPT a mis en place un outil d’analyse de risques en matière de sécurité des réseaux et systèmes d’information, via la plateforme en ligne SERIMA.be, qui est l’abréviation de « Security Risk Management ».

L’IBPT entend demander à certains opérateurs télécoms et aux opérateurs de services essentiels (OSE) qu’il a désignés sur base de la loi NIS de lui soumettre annuellement une analyse de risque via cette plateforme.

Les autres opérateurs télécoms peuvent faire usage de la plateforme en adressant une demande à l’IBPT. Plus d’informations peuvent être retrouvées dans le projet de communication de l’IBPT sur les analyses de risque en matière de sécurité des réseaux et des systèmes d’information.

La loi infrastructures critiques

Par « loi infrastructures critiques », nous entendons la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques. 

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité sectorielle et service d’inspection pour le secteur des communications électroniques (en ce compris le secteur des infrastructures numériques). 

En tant qu’autorité sectorielle, l’IBPT doit désigner les exploitants d’infrastructures critiques de son secteur et identifier leurs infrastructures critiques. Il le fait en concertation avec le Centre de Crise du SPF Intérieur (NCCN) et le Centre pour la Cybersécurité Belgique (CCB). 

L’obligation principale de l’exploitant d’une infrastructure critique (voir article 13 de cette loi) est d’élaborer et de mettre un œuvre un plan de sécurité, qui comprend au minimum des mesures internes de sécurité permanentes (applicables en toutes circonstances) et des mesures internes de sécurité graduelles (à appliquer en fonction de la menace).

L’exploitant doit notifier tout événement qui est de nature à menacer la sécurité de l'infrastructure critique (voir article 14 de la même loi).

L’IBPT effectue des inspections des infrastructures critiques. 

Le cadre légal est le suivant :

  • la loi du 17 janvier 2003 relative au statut du régulateur des secteurs des postes et des télécommunications belges ; 
  • la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 27 mai 2014 portant exécution dans le secteur des communications électroniques de l’article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 14 juin 2017 désignant pour le secteur des communications électroniques le service d'inspection institué par la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques ; 
  • l’arrêté royal du 3 décembre 2017 portant fixation du modèle de la carte de légitimation mentionnée à l'article 24, paragraphe 3, de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques, pour le secteur des communications électroniques.

La loi sur les avis de sécurité

Nous entendons par « loi sur les avis de sécurité » la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité. 

Afin de mettre en œuvre cette loi, l’IBPT a été désigné comme autorité administrative compétente pour le « secteur communications électroniques et infrastructures numériques », à l’exception des avis de sécurité des membres de la Cellule de coordination (de la Justice) des opérateurs télécom. Pour ces avis, l’autorité administrative compétente est le ministre de la Justice. 

Il revient à l’IBPT, en sa qualité d’autorité administrative compétente, de proposer à l’ANS (Autorité Nationale de Sécurité) les fonctions qui devraient être soumises à un avis de sécurité ainsi que les opérateurs pour lesquels la mesure est applicable. C’est l’ANS qui prend la décision en la matière. Une fois que cette décision est prise, les demandes d’avis doivent transiter via l’IBPT.  

Le cadre légal est le suivant : 

  • la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • la loi du 11 décembre 1998 portant création d'un organe de recours en matière d'habilitations, d'attestations et d'avis de sécurité ; 
  • l’arrêté royal du 24 mars 2000 portant exécution de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • l’arrêté royal du 8 mai 2018 fixant les secteurs d'activités et les autorités administratives compétentes visées à l'article 22quinquies, § 7, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité ; 
  • l’arrêté royal du 8 mai 2018 déterminant la liste des données et informations qui peuvent être consultées dans le cadre de l'exécution d'une vérification de sécurité ;
  • l’arrêté royal du 8 mai 2018 fixant les montants des rétributions dues pour les habilitations de sécurité, pour les attestations de sécurité et les avis de sécurité délivrés par l'Autorité nationale de Sécurité et pour les attestations de sécurité délivrées par l'Agence fédérale de Contrôle nucléaire, ainsi que les clés de répartition visées à l'article 22septies, alinéas 6 et 8, de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Documents

  • Consultation concernant le projet de communication sur les analyses de risque en matière de sécurité des réseaux et des systèmes d’information
  • Communication concernant le virus COVID-19 à la suite de la communication du gouvernement du 17 mars 2020
  • Communication concernant le virus COVID-19
  • Avis du 15 mai 2019 concernant le projet d'arrêté royal portant exécution de la loi NIS, ainsi que de certaines dispositions de la loi « infrastructures critiques »
  • Document d’aide pour l’élaboration d’un plan de sécurité
  • Décision du 14 décembre 2017 concernant les seuils et les modalités de notification d’incidents de sécurité dans le secteur des communications electroniques
  • Projet de décision concernant les seuils et les modalités de notification d’incidents de sécurité
  • Communication du 18 novembre 2015 concernant le risque de délestage électrique durant l’hiver 2015/2016
  • FAQ concernant les coupures de courant prévues pour l'hiver 2014-2015
  • Décision du 1er avril 2014 fixant les hypothèses dans lesquelles les opérateurs doivent notifier à l’IBPT un incident de sécurité et les modalités de cette notification
  • Communication du 16 septembre 2013 concernant les faits d’intrusion informatique auprès de Belgacom
  • Consultation concernant le projet d’arrêté royal portant exécution dans le secteur des communications électroniques de l’article 13 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques
  • Communication du 30 avril 2013 concernant les risques potentiels d’atteinte à la sécurité des réseaux et services de téléphonie mobile dans le cadre des technologies 2G et 2.5G
  • Projet de décision du 3 mai 2013 fixant les hypothèses dans lesquelles les opérateurs doivent notifier à l’IBPT un incident de sécurité et les modalités de cette notification
  • Avis du 17 février 2012 au Ministre Vande Lanotte concernant les risques potentiels d’atteinte à la sécurité des réseaux et services de téléphonie mobile dans le cadre des technologies 2G et 2.5G

Inscription Newsletter

Pour recevoir des alertes via e-mail, indiquez votre adresse e-mail et votre ou vos centre(s) d’intérêt.

L’IBPT traite ces deux ou trois données personnelles (adresse e-mail (éventuellement vos nom et prénom) et centres d’intérêt) afin de vous transmettre ces messages ; il sera mis fin au traitement et vos données seront effacées si un jour vous vous désinscrivez.

Vous devrez confirmer votre inscription. Vous pourrez vous désinscrire ou adapter votre profil à tout moment via le lien de désinscription ou en nous contactant à l’adresse webmaster@ibpt.be.

En savoir plus sur les cookies ou sur la protection de vos données.

Vers le haut