Institut Luxembourgeois de Régulation - Règlement 15/200/ILR du 18 décembre 2015 portant sur les modalités de notification des mesures de sécurité à prendre par les entreprises fournissant des réseaux de communications publics et/ou des services de communications électroniques au public dans le cadre de l’article 45 (1) et (2) de la loi du 27 février 2011 sur les réseaux et les services de communications électroniques - Secteur Communications électroniques.

Adapter la taille du texte :

Institut Luxembourgeois de Régulation - Règlement 15/200/ILR du 18 décembre 2015 portant sur les modalités de notification des mesures de sécurité à prendre par les entreprises fournissant des réseaux de communications publics et/ou des services de communications électroniques au public dans le cadre de l’article 45 (1) et (2) de la loi du 27 février 2011 sur les réseaux et les services de communications électroniques - Secteur Communications électroniques.

La Direction de l’Institut Luxembourgeois de Régulation,

Vu la loi du 27 février 2011 sur les réseaux et les services de communications électroniques et notamment son article 45, paragraphes (1), (2) et (3);

Vu la directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre»);

Vu la directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques;

Vu le règlement 14/181/ILR du 28 août 2014 portant définition de critères et de seuils en relation avec l’impact significatif sur le fonctionnement des réseaux ou des services à signaler obligatoirement à l’Institut en cas d’atteinte à la sécurité ou à la perte d’intégrité de réseaux et de services de communications électroniques;

Vu le règlement 13/168/ILR du 21 août 2013 relatif à la procédure de consultation instituée par l’article 78 de la loi du 27 février 2011 sur les réseaux et les services de communications électroniques;

Vu la consultation publique nationale de l’Institut Luxembourgeois de Régulation du projet de règlement sur les modalités de notification des mesures de sécurité à prendre par les entreprises fournissant des réseaux de communications publics et/ou des services de communications électroniques au public dans le cadre de l’article 45 (1) et (2) de la loi du 27 février 2011 sur les réseaux et les services de communications électroniques du 29 octobre au 30 novembre 2015;

Vu les réponses à la consultation publique susvisée;

Vu la prise de position de l’Institut aux observations formulées;

Arrête:

Art. 1er.

(1)

Le présent règlement détermine les modalités de notification par les entreprises fournissant des réseaux de communications publics ou des services de communications électroniques accessibles au public des mesures visées à l’article 45 (3) de la loi du 27 février 2011 sur les réseaux et les services de communications électroniques (ci-après la «Loi de 2011»).

(2)

Au sens du présent règlement, il y a lieu d’entendre par «mesure» les mesures de sécurité énumérées dans le document intitulé «Technical Guideline on Security Measures» publié par l’ENISA (European Network and information Security Agency) dans sa dernière version publiée sur le site internet de l’Institut.

Art. 2.

(1)

Aux fins de la notification des mesures concernant les services voix et data sur les réseaux fixes et mobiles, l’entreprise confirme par écrit à l’Institut, en remplissant le formulaire annexé au présent règlement, avoir effectivement mis en œuvre les mesures nécessaires pour atteindre un niveau de sécurité adapté et/ou approprié au risque existant.

(2)

Le formulaire visé à l’alinéa (1) est à compléter par un rapport généré par l’outil d’analyse de risque TISRIM mis à disposition par l’Institut, selon des modalités fixées par convention entre l’entreprise et l’Institut, ou par tout autre rapport équivalent couvrant au moins les mesures définies à l’article 1 (2).

Art. 3.

Les documents visés aux articles 2 (1) et 2 (2) du présent règlement sont à soumettre annuellement soit par courrier recommandé avec accusé de réception soit par dépôt à l’Institut pour le 1er juillet au plus tard et à chaque fois qu’un changement de la situation rend de nouvelles mesures nécessaires pour assurer un niveau de sécurité adapté et/ou approprié au risque existant.

Art. 4.

Le présent règlement entre en vigueur le premier jour du mois qui suit sa publication au Mémorial.

Art. 5.

Le présent règlement sera publié au Mémorial et sur le site Internet de l’Institut.

La Direction

(s.) Luc Tapella

(s.) Jacques Prost

(s.) Camille Hierzig

ANNEXE: Formulaire de notification des mesures adéquates pour gérer le risque en matière de sécurité des réseaux et des services et/ou des mesures appropriées pour assurer l’intégrité de ses réseaux


Retour
haut de page