Texte 2014011429
Article 1er.Le présent arrêté s'applique à la protection et à la sécurité des infrastructures critiques dans le secteur des communications électroniques en Belgique.
Art. 2.Tout exploitant élabore un P.S.E. qui contient au minimum les éléments suivants :
1°une partie consacrée à la description générale de l'infrastructure critique;
2°une partie consacrée à l'analyse de risque;
3°une partie consacrée aux mesures internes permanentes de sécurité;
4°une partie consacrée aux mesures internes graduelles de sécurité;
5°° une partie consacrée aux exercices;
6°une partie consacrée aux informations détaillées à l'article 6.
Art. 3.La description générale de l'infrastructure critique comprend :
1°un classement hiérarchique décroissant des services de base et leurs services associés, qui sont supportés par l'infrastructure critique;
2°l'architecture logique de l'infrastructure critique utilisée pour la fourniture des services visés au point 1° ;
3°l'architecture physique du réseau supporté par l'infrastructure critique, incluant un inventaire des équipements;
4°les caractéristiques techniques des équipements qui font partie de l'infrastructure critique ou qui sont supportés par l'infrastructure critique.
Art. 4.L'analyse de risque contient :
1°une description détaillée des scénarios de l'analyse des risques prévus par l'exploitant;
2°pour chaque type de scénario de l'analyse des risques, une description des mesures de prévention des incidents.
Art. 5.La partie consacrée aux mesures internes de sécurité permanentes, applicables en toutes circonstances, contient un inventaire de ces mesures ainsi qu'une description de chacune de ces mesures.
L'exploitant veille à ce qu'en cas de contrôle à distance d'un élément faisant partie de l'infrastructure critique, la liaison entre cet élément et le centre de contrôle de l'opérateur soit autonome et dispose d'un haut niveau de protection.
L'exploitant met les mesures internes de sécurité permanentes en relation avec son analyse de risque prévue à l'article 4.
Art. 6.Pour les mesures internes de sécurité graduelles, le plan décrit :
1°les mesures internes de sécurité graduelles générales;
2°les mesures internes de sécurité graduelles spécifiques pour les scénarios repris dans l'analyse de risque prévue à l'article 4.
Pour les différentes mesures internes de sécurité graduelles l'exploitant indique les différents seuils utilisés qui engendrent la mise en oeuvre de chaque mesure.
L'exploitant met les mesures internes de sécurité graduelles en relation avec son analyse de risque prévue à l'article 4.
Les mesures internes de sécurité graduelles spécifiques comprennent :
1°pour le classement hiérarchique conformément à l'article 3, 1°, la description des services auxquels il est accordé successivement priorité lorsque la performance du réseau se détériore;
2°un plan de communication vers le public en cas d'indisponibilité pour l'utilisateur final de tout ou partie du réseau ou d'un service;
3°les mesures en vue d'atténuer les suites d'incidents;
4°les procédures en vue de rétablir le fonctionnement normal des services supportés par l'infrastructure critique et de l'infrastructure critique elle-même;
5°les mesures de restauration de chaque élément de l'infrastructure critique.
Art. 7.L'exploitant effectue au moins une fois par an un exercice portant sur une partie de l'infrastructure critique, de façon à ce que la totalité des éléments constitutifs de l'infrastructure critique soit testée au moins une fois tous les trois ans.
Si la réalisation d'un exercice met en péril le fonctionnement du réseau, d'une partie de celui-ci, ou des services supportés par l'infrastructure critique, l'exploitant peut demander à l'autorité sectorielle de remplacer l'exercice par une simulation.
L'exploitant informe l'autorité sectorielle d'un test au moins quatre semaines avant la tenue dudit exercice.
L'exploitant établit un rapport concernant chaque exercice effectué et le transmet au plus tard six mois après cet exercice à l'autorité sectorielle.
Art. 8.Le P.S.E. comprend une partie informative décrivant dans l'ordre suivant :
1°l'architecture physique et logique du réseau;
2°les services proposés par l'exploitant;
3°un inventaire et la localisation des éléments critiques du réseau;
4°les informations complémentaires que l'exploitant ajoute pour la bonne compréhension du P.S.E.
L'information donnée pour chacune de ces parties comprend une description précise dont l'exploitant précise l'éventuel caractère confidentiel.
L'information relative à la partie 3° comporte en outre une explication précise, tant du point de vue physique que du point de vue logique, des éléments que l'exploitant considère comme critiques dans son infrastructure, ainsi qu'une explication des paramètres que l'exploitant prend en compte pour déterminer la criticité de ces éléments.
L'information relative à la partie 4° reprend toute information complémentaire estimée utile par l'exploitant.
Art. 9.Le P.S.E. est évalué et, si nécessaire, actualisé :
1°lors de chaque mise en service ou remise en service de l'infrastructure critique;
2°lors du remplacement d'un élément existant dans l'infrastructure critique;
3°lors de l'intégration d'un nouvel élément dans l'infrastructure critique;
4°lors d'un contrôle périodique;
5°suite à une demande de l'autorité sectorielle suite à une analyse du P.S.E.
L'exploitant communique sans délai toute modification de son P.S.E. à l'autorité sectorielle.
Art. 10.Le ministre qui a les Télécommunications dans ses attributions est chargé de l'exécution du présent arrêté.