Institut Luxembourgeois de Régulation - Règlement 14/181/ILR du 28 août 2014 portant définition de critères et de seuils en relation avec l’impact significatif sur le fonctionnement des réseaux ou des services à signaler obligatoirement à l’Institut en cas d’atteinte à la sécurité ou à la perte d’intégrité de réseaux et de services de communications électroniques - Secteur Communications électroniques.

Adapter la taille du texte :

Institut Luxembourgeois de Régulation - Règlement 14/181/ILR du 28 août 2014 portant définition de critères et de seuils en relation avec l’impact significatif sur le fonctionnement des réseaux ou des services à signaler obligatoirement à l’Institut en cas d’atteinte à la sécurité ou à la perte d’intégrité de réseaux et de services de communications électroniques - Secteur Communications électroniques.

La Direction de l’Institut Luxembourgeois de Régulation,

Vu la loi du 27 février 2011 sur les réseaux et les services de communications électroniques et notamment l’article 45 (4);

Vu le résultat de la consultation publique nationale du 30 avril 2014 au 30 mai 2014 concernant le projet de règlement portant définition de critères et de seuils en relation avec l’impact significatif sur le fonctionnement des réseaux ou des services à signaler obligatoirement à l’Institut en cas d’atteinte à la sécurité ou à la perte d’intégrité de réseaux et de services de communications électroniques;

Vu les réponses à la consultation publique susvisée;

Arrête:

Art. 1er.

(1)

Tout impact sur le fonctionnement des services d’urgence est à signaler à l’Institut, indépendamment des seuils fixés sub (2).

(2)

Tous les incidents dont l’impact sur le fonctionnement des services voix et data sur les réseaux fixes et mobiles répondent aux critères suivants sont à notifier à l’Institut:

a) entre 1% à 2% des utilisateurs sont concernés pendant au moins 3 heures;
b) entre 2% à 5% des utilisateurs sont concernés pendant au moins 2 heures;
c) entre 5% à 10% des utilisateurs sont concernés pendant au moins 1 heure;
d) 10% des utilisateurs sont concernés indépendamment de la durée.

(3)

Le pourcentage des utilisateurs touchés est calculé pour chaque service par rapport au nombre total des utilisateurs ayant souscrit au service.

(4)

Les incidents sont à notifier par l’utilisation du formulaire «Notification des incidents» téléchargeable sur le site Internet de l’Institut.

Art. 2.

(1)

Tout incident détecté pouvant avoir un impact significatif sur le fonctionnement des réseaux ou des services doit faire l’objet d’une pré-notification à l’Institut endéans 2 jours ouvrables à l’adresse e-mail securite@ilr.lu. La pré-notification contient une estimation du nombre des utilisateurs potentiellement concernés, la durée prévisible de l’incident et les services concernés.

(2)

Dans un délai de 15 jours après la détection de l’incident, une notification définitive doit parvenir à l’Institut au cas où, après analyse interne de l’incident par le déclarant, il s’avère que cet incident répond aux critères fixés par l’article 1.

(3)

Au cas où, après analyse interne de l’incident par le déclarant, il s’avère que l’incident ayant fait l’objet d’une pré-notification ne répond pas aux critères fixés par l’article 1, l’Institut doit être informé qu’une notification définitive n’est pas requise.

(4)

L’Institut est mis au courant en parallèle sur toute information aux médias relative à un incident ayant eu un impact significatif sur le fonctionnement des réseaux ou des services.

Art. 3.

(1)

Pour les entreprises notifiées disposant d’un réseau fixe, la méthode pour déterminer le nombre d’utilisateurs affectés par un incident est basée sur le nombre des lignes d’accès impactées par heure en prenant en compte la notion de trafic de pointe (peak) et hors pointe (off peak) ainsi que le temps moyen d’une communication. Il est retenu que la durée d’une communication est en moyenne égale à 3,1 minutes. Le ratio du nombre des communications en période de pointe (peak) par rapport au nombre des communications en période creuse (off peak) est égal à 3.

(2)

Pour le calcul du nombre total des lignes impactées des raccordements en mode d’accès primaire on considère le nombre de lignes d’accès à 30 unités et en tenant compte du ratio heure de pointe/heure creuse (peak/off peak).

(3)

Pour le calcul du nombre total des lignes impactées pour les raccordements en mode d’accès de base et de lignes analogiques on considère que chacun de ces raccordements correspond à une seule ligne d’accès. Toutes ces lignes d’accès sont à considérer comme étant utilisées à 100% de leur capacité hors considération de la plage heure de pointe/heure creuse (peak/off peak).

(4)

Pour la période heure de pointe on considère les heures entre 8h00 et 19h00 du lundi au vendredi, la période heure creuse se situe entre 19h00 et 8h00 du lundi au vendredi et durant toute la journée des samedis, dimanches et jours fériés légaux.

(5)

Un incident sur la transmission des données dans un réseau fixe est notifié en fonction du nombre d’utilisateurs impactés. Chaque opérateur d’un réseau fixe définit sa vitesse de référence qui représente une valeur moyenne estimée de la vitesse d’une communication fixe entre le terminal de l’utilisateur et l’Internet au travers du réseau de l’opérateur. La vitesse de référence correspond au ratio entre la pointe maximale de trafic mesuré en Mbits/sec sur le réseau de l’opérateur fixe durant le semestre précédent à l’incident et le nombre de sessions actives au moment de cette pointe. Le résultat obtenu représente une mesure moyenne de la vitesse par session active.

La vitesse de référence est notifiée semestriellement le 30 juin et le 31 décembre à l’Institut par chaque opérateur. Le nombre d’utilisateurs impactés en cas d’incident est calculé comme coefficient entre l’écart de trafic mesuré au moment de l’incident et la vitesse de référence déterminé par l’opérateur.

Art. 4.

(1)

Pour les incidents au niveau des interconnections nationales, chacun des opérateurs concernés informe séparément l’Institut conformément à l’article 2 en tenant compte des critères généraux fixés à l’article 1. Le nombre d’utilisateurs potentiellement impactés est fonction de la capacité maximale disponible entre les deux opérateurs et de la durée moyenne de communications.

(2)

Quant aux liaisons internationales, compte tenu de la diversité des infrastructures, des possibilités individuelles de ré-routage de chaque opérateur ou de leur dépendance vis-à-vis d’opérateurs tiers, il incombe à l’opérateur concerné d’informer l’Institut conformément à l’article 2 en tenant compte des critères généraux fixés à l’article 1.

(3)

Dans le cadre d’un incident sur le trafic international, l’Institut peut échanger, en cas de besoin, les informations reçues avec les autorités réglementaires des autres Etats membres et avec l’Agence Européenne de «cyber-sécurité» (ENISA).

Art. 5.

Le nombre d’utilisateurs affectés conformément à l’article 3 (1), (2) et (3) se calcule de la manière suivante:

(1) en période «heure de pointe»: Ligne d’accès primaire = 30 lignes * 60 min. / 3,1 min. = 581 lignes utilisables par PRA;
(2) en période «creuse»: Ligne d’accès primaire = 581 / 3 = 194 lignes utilisables;
(3) en période «heure de pointe» et «heure creuse»: Chaque ligne d’accès de base et chaque ligne analogique correspond à 1 ligne utilisable;
(4) nombre d’utilisateurs impactés = nombre de lignes en accès primaire + nombre de lignes en accès de base + nombre de lignes analogiques;
(5) Taux (%) = nombre d’utilisateurs affectés / nombre total de lignes utilisables.

Art. 6.

Pour les entreprises notifiées disposant d’un réseau mobile les incidents suivants sont à notifier:

(1)

Pour un incident sur une ou plusieurs stations de base le nombre d’utilisateurs maximal pendant une heure avec une durée moyenne d’une communication de 4 minutes par appel est retenu en terme de capacité de canaux voix disponibles sur une station de base comme valeur de référence pour effectuer le calcul du nombre d’utilisateurs touchés conformément à la méthode décrite à l’article 7 du présent règlement.

(2)

Pour un incident sur une ou plusieurs technologies de téléphonie mobile notamment 2G/3G/4G/TETRA, le nombre d’utilisateurs maximal est retenu en termes de capacité de canaux voix disponibles par type de technologie sur une station de base comme valeur de référence pour effectuer le calcul du nombre d’utilisateurs touchés conformément à la méthode décrite à l’article 7 du présent règlement.

(3)

Un incident sur la transmission des données mobiles est notifié en fonction du nombre d’utilisateurs touchés. Chaque opérateur mobile définit sa vitesse de référence qui représente une valeur moyenne estimée de la vitesse d’une communication mobile entre le terminal mobile de l’utilisateur et l’Internet au travers du réseau de l’opérateur. La vitesse de référence correspond au ratio entre la pointe maximale de trafic mesuré en Mbits/sec sur le réseau de l’opérateur mobile durant le semestre précédant à l’incident et le nombre de sessions actives au moment de cette pointe. Le résultat obtenu représente une mesure moyenne de la vitesse par session active.

La vitesse de référence est notifiée semestriellement le 30 juin et le 31 décembre à l’Institut par chaque opérateur mobile. Le nombre d’utilisateurs touchés en cas d’incident est calculé comme coefficient entre l’écart de trafic mesuré au moment de l’incident et la vitesse de référence déterminé par l’opérateur.

(4)

En cas d’incident sur l’équipement ou le lien de transmission d’un opérateur tiers, l’opérateur desservant l’utilisateur final informe l’Institut du nombre d’utilisateurs impacté, en utilisant la méthode décrite à l’article 7 du présent règlement.

(5)

En cas d’incident sur le lien d’interconnexion avec un opérateur tiers chacun des opérateurs concernés informe séparément l’Institut conformément à l’article 2. Sur une ligne E1 d’interconnexion il y a lieu de considérer 30 communications simultanées. La durée d’une communication sur une interconnexion entre opérateurs mobiles est en moyenne égale à 4 minutes.

(6)

En cas d’incident sur le trafic international le nombre d’utilisateurs touchés est estimé par l’opérateur mobile en fonction de la capacité maximale disponible au moment du ré-routage des communications internationales et en fonction de la saturation éventuelle des circuits de sauvegarde.

Dans le cadre d’un incident sur le trafic international, l’Institut peut échanger, en cas de besoin, les informations reçues avec les autorités réglementaires des autres Etats membres et avec l’Agence Européenne de «cyber-sécurité» (ENISA).

Art. 7.

Le nombre d’utilisateurs mobiles touchés se calcule de la manière suivante:

(1) La durée d’une communication mobile moyenne est de quatre minutes.
(2) Le nombre maximum de communications simultanées par canal voix ou data est égal à sept.
(3) Nombre de canaux voix ou data impactés: X.
(4) Nombre des utilisateurs mobiles touchés endéans une heure = X * 7 * 60 min. / 4 min.
(5) Taux (%) = nombre des utilisateurs mobiles touchés endéans une heure / nombre de cartes SIM actives.

Art. 8.

Le présent règlement est publié au Mémorial et sur le site Internet de l’Institut.

La Direction

(s.) Paul Schuh

(s.) Jacques Prost

(s.) Camille Hierzig


Retour
haut de page