publié le 30 octobre 2023
Arrêté royal modifiant l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie
15 SEPTEMBRE 2023. - Arrêté royal modifiant l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie
RAPPORT AU ROI Sire, Généralités La
loi du 1er juillet 2011Documents pertinents retrouvés
type
loi
prom.
01/07/2011
pub.
15/07/2011
numac
2011000399
source
service public federal interieur
Loi relative à la sécurité et la protection des infrastructures critiques
fermer relative à la sécurité et la protection des infrastructures critiques (ci-après loi IC) fournit un cadre préventif en vertu duquel les exploitants des infrastructures critiques doivent préparer une analyse de risques et sont tenus de prendre des mesures de protection afin de prévenir ou d'empêcher tout événement de nature à causer des dommages à l'infrastructure ou une partie de celle-ci.
Les exploitants d'infrastructures critiques qui doivent prendre des mesures de sécurité, peuvent, en raison de la nature et du délai parfois long de leur mises en oeuvre, perdre de vue la finalité pour laquelle elles sont appliquées.
Le projet d'arrêté royal vise à introduire des mesures pour pallier les obstacles potentiels qui peuvent survenir lors de la mise en oeuvre des mesures de sécurité. L'introduction de ces mesures est également motivée par la nécessité de répondre à la situation géopolitique actuelle et au sabotage des pipelines Nord Stream.
L'introduction de ces mesures vise également à anticiper la transposition de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (ci-après directive CER). Cette dernière prévoit des mesures similaires. L'inclusion de certaines d'entre elles dans ce projet permet aux infrastructures critiques concernées par le secteur de l'énergie de se familiariser et de se préparer à la transposition de la directive indiquée ci-dessus, dont la transposition est prévue pour le 17 octobre 2024.
Commentaire article par article Article 1er L'ajout du 3° à l'article 1er vise à désigner la Direction générale de l'Energie du Service public fédéral Economie, PME, Classes moyennes et Energie comme le service d'inspection des infrastructures critiques relevant du secteur de l'énergie. Cette Direction générale a un lien direct avec le secteur de l'énergie et a déjà acquis depuis un certain temps une expertise dans le domaine couvert par la loi IC. Une désignation générale du Service public fédéral Economie, comme c'est le cas jusqu'à présent dans l'annexe 2, b), de l'arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 avril 2019Documents pertinents retrouvés type loi prom. 07/04/2019 pub. 03/05/2019 numac 2019011507 source service public federal chancellerie du premier ministre Loi établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique fermer établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique et de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et à la protection des infrastructures critiques, semble inutile.
Article 2 Cet article ajoute un chapitre 2/1 « Informations et mesures à inclure dans le P.S.E. » et vise à rendre obligatoires les informations et mesures minimales, qui doivent être inclues dans le plan de sécurité, pour les exploitants des infrastructures critiques couvertes par le présent arrêté. Cela permet d'éviter la situation où différents exploitants ont des interprétations différentes du contenu du plan de sécurité.
L'article 2/1 précise la structure à respecter pour le plan de sécurité de l'exploitant d'une infrastructure critique. En effet, une présentation uniforme des plans de sécurité est nécessaire pour faciliter la rédaction et l'examen des plans.
Si l'exploitant estime qu'il est nécessaire d'ajouter des informations supplémentaires pour supporter le plan de sécurité, cela est également possible.
L'article 2/2 en projet précise ce que la description générale des infrastructures critiques doit contenir au minimum. La description doit notamment comprendre l'inventaire des éléments de l'infrastructure critique ou des éléments dépendants de cette infrastructure critique.
Cette description minimale est importante car les mesures internes de sécurité permanentes et des mesures internes de sécurité graduelles de l'exploitant sont ajustées en conséquence.
L'Article 2/3 concerne spécifiquement l'analyse de risques d'un exploitant d'une infrastructure critique. Il s'agit d'identifier les scénarios possibles de menaces pertinentes et potentielles et les mesures de sécurité prévues en réponse aux scénarios décrits dans l'analyse de risques.
Avec l'utilisation d'analyse de risques l'exploitant peut distinguer les mesures permanentes d'une part et les mesures de sécurité interne graduelles d'autre part.
L'article 2/4 oblige l'exploitant à établir un inventaire où toutes les mesures internes de sécurité permanentes qui doivent être applicables en toutes circonstances sont décrites. L'inventaire et la description demandée peuvent être réalisés de façon sommaire par l'exploitant. Il ne doit pas être perdu de vue que l'autorité sectorielle peut toujours demander des informations complémentaires sur le contenu du P.S.E. Il est demandé à l'exploitant de démontrer le lien entre son analyse de risques et les mesures permanentes de sécurité interne prises.
En incluant obligatoirement les modalités d'action et de coordination des différentes autorités dans la section consacrée aux mesures permanentes de sécurité interne, on crée une feuille de route qui donne à toutes les parties prenantes une idée claire de ce que l'on attend d'elles pour chaque action.
L'article 2/5 concerne la description des mesures internes de sécurité graduelles. qui varient selon le type de scénario retenu dans l'analyse de risques Une distinction est faite entre les mesures générales et les mesures graduelles spécifiques au scenario. Ces dernières sont liées aux scénarios identifiés et décrits dans l'analyse de risques. Les mesures internes de sécurité graduelles générales sont mises en oeuvre lorsque des incidents se produisent selon un scénario qui n'a pas été retenu dans l'analyse de risques ou s'il est indiqué par des acteurs extérieurs que des mesures supplémentaires doivent être prises sur l'infrastructure en question.
En particulier, le plan de sécurité indique les seuils qui déclenchent les différentes mesures. Ceux-ci peuvent être, entre autres, des niveaux dans l'analyse des menaces, le nombre d'utilisateurs finals impactés, la durée de l'incident, ou l'impact sur la performance de l'infrastructure critique. Il précise les services à rétablir de façon prioritaire en cas de dégradation du fonctionnement de l'infrastructure. Ce classement permet de voir comment les différents services se comparent en termes de priorité.
En incluant obligatoirement les modalités d'action et de coordination des différentes autorités dans la section consacrée aux mesures permanentes interne de sécurité, on crée une feuille de route qui donne à toutes les parties prenantes une idée claire de ce que l'on attend d'elles dans chaque action.
En outre, un plan de communication externe à destination du public est prévu afin d'informer tout utilisateur final de l'existence d'une difficulté et du temps estimé nécessaire pour le rétablissement de l'infrastructure ou du service fourni par l'infrastructure.
La description des mesures visant à réduire et à atténuer les conséquences des incidents a pour objet de faire réfléchir l'exploitant quant à la vulnérabilité de son infrastructure afin qu'il puisse ensuite procéder à la mise en place de procédures efficaces et opérationnelles pour protéger ses infrastructures et services. Les procédures mises en place par l'exploitant pour le rétablissement du service et du fonctionnement de l'infrastructure critique poursuivent le même objectif.
Les mesures de restauration ont pour objet de préciser pour chaque élément physiquement endommagé les modalités de remplacement.
Article 2/6 détermine la fréquence des tests à réaliser par l'exploitant sur l'infrastructure critique. Vu la taille des infrastructures critiques, des exercices annuels d'une partie de l'infrastructure critique sont autorisés, et tous les éléments de l'infrastructure critique doivent être testés au minimum une fois tous les trois ans.
Si un exercice comporte un risque potentiel pour le fonctionnement de l'infrastructure critique, l'exploitant peut remplacer celui-ci par une simulation moyennant l'approbation préalable de l'autorité sectorielle.
Afin d'assurer que l'autorité sectorielle est suffisamment informée, l'alinéa 3 prévoit une obligation d'information antérieure à la réalisation d'un exercice. L'alinéa 3 prévoit qu'un rapport doit être présenté à la fin d'un exercice. Ce rapport décrira l'infrastructure concernée et l'exercice effectué. Il décrira en particulier les problèmes rencontrés et formulera des propositions pour surmonter cela. Le P.S.E. pourra être modifié en conséquence.
Article 2/7fixe la fréquence minimale des contrôles et de la révision du P.S.E. L'autorité sectorielle peut toujours demander à l'exploitant une révision du P.S.E. Au 1°, on entend toute remise en service majeure de l'infrastructure, par exemple après une longue période de maintenance pendant laquelle l'infrastructure était indisponible.
Au 2°, on entend le remplacement d'un composant existant ou de l'intégration d'un nouveau composant dans une infrastructure critique.
Cela ne concerne que les composants qui peuvent avoir un impact potentiel sur l'une des différentes parties du P.S.E. De même, il appartient à l'exploitant de vérifier périodiquement le P.S.E. lui-même.
Toute modification du P.S.E. doit être notifiée par l'exploitant à l'autorité sectorielle.
L'article 2/8 est le dernier article introduit par l'article 2 du présent projet. Selon l'article 22quinquies, § 2, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer relative à la classification et aux habilitations, attestations et avis de sécurité une autorité administrative peut demander aux personnes morales de droit public ou de droit privé qui font partie d'un secteur d'activité concerné de procéder à une analyse de risques pour elles-mêmes. L'article 2/8 introduit pour les exploitants d'infrastructures critiques relevant du secteur de l'énergie, une telle obligation, qui devrait ensuite être incluse dans le P.S.E. Sur cette base il sera possible de déterminer s'il faut procéder à des vérifications de sécurité au sein d'une infrastructure critique pour le personnel concerné.
Dans son article 14, la directive CER prévoit une vérification des antécédents. En imposant déjà l'analyse de risques dans le cadre de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer relative à la classification et aux habilitations, attestations et avis de sécurité, les exploitants d'infrastructures critiques sont déjà préparés à l'obligation résultant de cette disposition.
Article 3 Les différentes obligations introduites par l'article 2 sont très étendues. Les exploitants doivent donc établir un plan d'action détaillé décrivant comment ils rempliront ces obligations.
Les exploitants doivent soumettre leur planification au service d'inspection dans les six mois suivant leur désignation.
S'il y a des changements ou des ajouts à la planification déjà soumise, le service de l'inspection doit être informée dans les trente jours suivant ce changement ou cet ajout.
Article 4 Le service de l'inspection a déjà été défini à l'article 1er. Les mots "de la Direction générale de l'Energie du SPF Economie, P.M.E., Classes moyennes et Energie" constituent donc un pléonasme et sont superflus.
Article 5 En remettant une copie du P.S.E. et des documents annexes au service d'inspection, celui-ci peut mieux préparer l'inspection à effectuer et garder une vue d'ensemble des mesures prises par l'exploitant.
Il résulte de l'alinéa 2 que le P.S.E. ou une partie de celui-ci peut être classifié, selon la loi de 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité Article 6 Si le service de l'inspection le trouve nécessaire lors de son inspection, il peut faire appel à un organisme d'inspection accrédité à cet effet. Par exemple, si le service de l'inspection lui-même n'a pas les connaissances et l'expertise suffisantes pour effectuer l'inspection d'un composant particulier.
L'inspection par une entreprise accréditée est considérée comme une inspection complète de l'infrastructure critique au sens de l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie. Toutefois, le service d'inspection se réserve le droit de réinspecter l'infrastructure concernée ou d'être présente lors de l'inspection de l'entreprise accréditée.
L'entreprise accréditée doit remettre un rapport détaillé au service de l'inspection après avoir effectué son inspection.
Article 7 Les exploitants qui sont déjà désignés doivent soumettre leur plan d'action détaillé au service d'inspection dans les six mois suivant l'entrée en vigueur du présent arrêté.
Article 8 Les obligations introduites par articles 2, 3 et 7 n'entrent en vigueur que le premier jour du vingt-quatrième mois suivant la publication du présent arrêté au Moniteur belge. Cela donne aux exploitants suffisamment de temps pour alimenter leur P.S.E. avec les informations demandées ainsi que de mettre en oeuvre l'implémentation des différentes mesures.
Les autres articles prennent effet immédiatement.
Article 9 Cet article n'appelle pas de commentaire particulier.
J'ai l'honneur d'être, Sire, de Votre Majesté le très respectueux et très fidèle serviteur, Le Ministre de l'Energie, T. VAN DER STRAETEN CONSEIL D'ETAT section de législation Avis 73.734/3 du 29 juin 2023 sur un projet d'arrêté royal `modifiant l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie' Le 31 mai 2023, le Conseil d'Etat, section de législation, a été invité par la Ministre de l'Energie à communiquer un avis dans un délai de trente jours, sur un projet d'arrêté royal `modifiant l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie'.
Le projet a été examiné par la troisième chambre le 20 juin 2023. La chambre était composée de Jeroen VAN NIEUWENHOVE, président de chambre, Koen MUYLLE et Toon MOONEN, conseillers d'Etat, Jan VELAERS et Bruno PEETERS, assesseurs, et Yves DEPOORTER, greffier assumé.
Le rapport a été présenté par Tim CORTHAUT, premier auditeur.
La concordance entre la version française et la version néerlandaise de l'avis a été vérifiée sous le contrôle de Jeroen VAN NIEUWENHOVE, président de chambre.
L'avis, dont le texte suit, a été donné le 29 juin 2023. 1. En application de l'article 84, § 3, alinéa 1er, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973, la section de législation a fait porter son examen essentiellement sur la compétence de l'auteur de l'acte, le fondement juridique et l'accomplissement des formalités prescrites. PORTEE DU PROJET 2. Le projet d'arrêté royal soumis pour avis a pour objet d'imposer de nouveaux éléments qui devront obligatoirement figurer dans le plan de sécurité de l'exploitant (ci-après : P.S.E.) d'infrastructures critiques pour le secteur de l'énergie. A cet effet, un nouveau chapitre 2/1 est inséré dans l'arrêté royal du 11 mars 2013 `portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie' (article 2 du projet). Par ailleurs, un certain nombre de dispositions de cet arrêté sont modifiées en ce qui concerne la surveillance (articles 1er et 3 à 6).
L'article 7 contient un régime transitoire concernant la remise au service d'inspection d'un plan détaillé, conformément à l'article 3/1, en projet, de l'arrêté royal du 11 mars 2013. Les articles 2, 3 et 7 du projet entrent en vigueur le premier jour du vingt quatrième mois qui suit celui de la publication de l'arrêté envisagé au Moniteur belge (article 8).
FONDEMENT JURIDIQUE 3. Selon le préambule, le fondement juridique du projet est recherché dans les articles 13, § 2, alinéa 2, et § 6, alinéa 2, 24, § 2, alinéa 1er, et 25, § 2, de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer `relative à la sécurité et la protection des infrastructures critiques'. 3.1. Sur la base de l'article 13, § 2, alinéa 2, de cette loi, le Roi peut, pour un secteur déterminé ou, le cas échéant, par sous-secteur, détailler les mesures de sécurité requises et imposer d'inclure au P.S.E. certaines informations. Conformément à l'article 13, § 6, alinéa 2, de la même loi, le Roi peut en outre déterminer la fréquence des exercices et des mises à jour du P.S.E. 3.2. L'article 24, § 2, alinéa 1er, de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer habilite le Roi à désigner le service d'inspection. A cet égard, il faut cependant tenir compte d'un nouvel alinéa 7, ajouté à l'article 24, § 2, par l'article 4 du projet de loi `modifiant la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques', qui a été adopté le 25 mai 2023 par la Chambre des représentants(1) . Cette disposition désigne la Direction générale Energie comme le service d'inspection pour le secteur de l'Energie et habilite le Roi à déterminer les conditions et les modalités de recours à des prestataires externes dans l'exécution de ces tâches d'inspection. Cette disposition, qui doit encore entrer en vigueur, est nécessaire pour procurer un fondement juridique à l'article 6 du projet. Il faudra donc veiller à ce que l'arrêté envisagé ne soit pas publié avant cette disposition procurant le fondement juridique(2) . 3.3. Aux termes de l'article 25, § 2, de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer, le Roi peut, pour un secteur ou un sous-secteur déterminé, autoriser le service d'inspection à se faire remettre une copie du P.S.E. et des actes, documents ou autres sources d'informations que le service d'inspection estime nécessaires à l'exercice de sa mission. Le Roi peut également fixer les modalités selon lesquelles la copie est remise à ce service.
Si cette disposition procure bien en principe un fondement juridique aux articles 3 à 5 du projet, il convient toutefois d'émettre une réserve en ce qui concerne l'article 7, § 1er/1, alinéa 2, en projet, de l'arrêté royal du 11 mars 2013 (article 5 du projet). En effet, cette disposition porte sur la classification des données après que celles-ci ont été transmises au service d'inspection. A cet effet, il y a lieu de s'appuyer également sur l'article 7, § 6, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer `relative à la classification et aux habilitations, attestations et avis de sécurité', en vertu duquel le Roi détermine les modalités de classification, de déclassification et de protection d'informations, de documents, de données, de matériel, de matériaux ou de matières, et détermine quelles autorités et personnes peuvent attribuer un degré de classification.
OBSERVATIONS GENERALES 4. Selon le rapport au Roi, le projet vise à « anticiper la transposition de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (ci-après directive CER) », dont le délai de transposition court encore jusqu'au 17 octobre 2024 et qui, selon le rapport au Roi, prévoit « des mesures similaires ».Sur cette base, on n'aperçoit toutefois pas si le projet vise ou non à transposer partiellement cette directive, ni comment les mesures en projet s'articulent avec les dispositions de la directive. Il faudra le préciser dans le rapport au Roi. Le cas échéant, le projet devra également prévoir une disposition de transposition.
EXAMEN DU TEXTE Préambule 5. On complétera la mention du fondement juridique dans le préambule du projet conformément aux observations formulées aux points 3.2 et 3.3.
Article 6 6. Conformément à l'article 7, § 3, alinéa 1er, en projet, de l'arrêté royal du 11 mars 2013, le service d'inspection peut, pour les inspections d'infrastructures critiques, faire appel à des entreprises accréditées « selon les normes ISO/IEC 17021 ou ISO/IEC 17065 ». 6.1. Tout d'abord, il convient d'observer que la norme ISO/IEC 17021 est elle-même subdivisée en 14 parties différentes, qui ne sont pas, ou pas toutes, disponibles en français et en néerlandais (3), et qui ne semblent pas non plus toutes pertinentes pour le projet à l'examen.
La norme pertinente doit ainsi être définie le plus spécifiquement possible, en indiquant l'année, le numéro et la subdivision éventuelle. Il convient également de compléter la référence à la norme ISO/IEC 17065 par l'année de cette norme (2012). En effet, dans les deux cas, si une référence dynamique est visée, en d'autres termes une référence à d'éventuelles versions futures, il s'agit d'une délégation de pouvoir réglementaire illicite à un organisme de normalisation privé, puisque le contenu futur de ces normes techniques est fixé par cet organisme. 6.2. Par le passé, le Conseil d'Etat a déjà mentionné à plusieurs reprises le problème des normes techniques visées dans la législation et la réglementation qui ne sont pas publiées au Moniteur belge, qui ne sont pas rédigées ni traduites en langue néerlandaise, ni en langue française, et qui ne sont en général disponibles que contre une certaine rémunération (4) L'article VIII.2 du Code de droit économique vise à répondre à la problématique de l'absence de publication de normes techniques auxquelles des règles de droit belges font référence. Les prescriptions figurant dans la disposition précitée du Code de droit économique concernant la consultation et la mise à disposition des normes concernées devront évidemment être respectées. 7. L'accréditation obligatoire implique une restriction à la libre circulation des services, garantie par la directive services(5) .Les entreprises accréditées fournissent des services de consultance. Elles assistent les services d'inspection, mais n'exercent pas elles-mêmes d'autorité publique, de sorte qu'elles ne relèvent pas du champ d'application de l'exception prévue à l'article 2, paragraphe 2, i), de la directive services et que cette dernière s'applique pleinement à elles(6) . Par conséquent, les auteurs devront s'assurer que les normes imposées répondent aux exigences de l'article 16, paragraphe 1, troisième alinéa, de la directive services, à savoir la non-discrimination ainsi que les exigences de nécessité et de proportionnalité(7) .
LE GREFFIER LE PRESIDENT Yves DEPOORTER Jeroen VAN NIEUWENHOVE _______ Notes (1) Doc.parl., Chambre, 2022-23, nos 55-3277/003 et 55-3277/004. (2) Tant la disposition procurant le fondement juridique précitée que l'article 6 de l'arrêté envisagé entrent en effet en vigueur selon la règle usuelle (le dixième jour suivant leur publication au Moniteur belge). (3) Voir également à cet égard l'observation 6.2. (4) Voir également C.JENART, Outsourcing rulemaking powers.
Constitutional limits and national safeguards, Oxford University Press, 2022, 291 p. (5) Directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 `relative aux services dans le marché intérieur'.(6) Elles ne relèvent pas non plus des dérogations supplémentaires visées à l'article 17 de la directive services. (7) Dès lors qu'il s'agit de normes qui - pour l'heure, voir à ce sujet l'observation 6.2 - ne peuvent être consultées que contre paiement et qui n'ont pas été mises à la disposition du Conseil d'Etat, la section de législation n'est pas en mesure d'examiner elle-même cette compatibilité et doit émettre une réserve sur ce point. 15 SEPTEMBRE 2023. - Arrêté royal modifiant l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.
Vu la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer relative à la classification et aux habilitations, attestations et avis de sécurité, l'article 7, § 6, inséré par la loi du 11 septembre 2022 ;
Vu la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques, les articles 13, §§ 2, alinéa 2 et 6, alinéa 2, 24, § 2, alinéas 1er et 7, inséré par la loi du 11 juin 2023, et 25, § 2 ;
Vu l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie ;
Vu l'avis de l'Inspecteur des Finances, donné le 30 mars 2023 ;
Vu l'avis 73.734/3 du Conseil d'Etat, donné le 29 juin 2023, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973 ;
Considérant la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer relative à la classification et aux habilitations, attestations et avis de sécurité, l'article 22quinquies, § 2, inséré par la loi du 23 février 2018 ;
Sur la proposition de la Ministre de l'Energie, Nous avons arrêté et arrêtons :
Article 1er.L'article 1er, § 2, de l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie est complété par le 3° rédigé comme suit : « 3° Service d'inspection : la Direction générale de l'Energie du Service public fédéral Economie, P.M.E., Classes moyennes et Energie. ».
Art. 2.Dans le même arrêté, il est inséré un chapitre 2/1 comportant les articles 2/1 à 2/8, rédigé comme suit : « Chapitre 2/1. Informations et mesures à inclure dans le P.S.E.
Art. 2/1.Chaque exploitant produit un P.S.E. qui contient au moins les parties suivantes : 1° une partie consacrée à la description générale de l'infrastructure critique ;2° une partie consacrée à l'analyse de risques ;3° une partie consacrée aux mesures permanentes de sécurité intérieure ;4° une partie consacrée aux mesures graduelles de sécurité intérieure ;5° une partie consacrée aux exercices.
Art. 2/2.La description générale de l'infrastructure critique contient : 1° une classification hiérarchique par importance décroissante des services de base et de leurs services complémentaires, qui sont supportés par l'infrastructure critique ;2° l'architecture logique et/ou schématique de l'infrastructure critique utilisée pour la fourniture des services visés au 1° ;3° l'architecture physique de l'infrastructure critique, y compris un inventaire des équipements ;4° les caractéristiques techniques des équipements faisant partie de l'infrastructure critique ou supportés par l'infrastructure critique, y compris une classification par ordre d'importance des éléments critiques de cette infrastructure.
Art. 2/3.L'analyse de risques contient : 1° une description détaillée des scénarios envisagés par l'exploitant à partir de l'analyse de risques, y compris l'identification des principaux scénarios de menaces potentielles pertinents d'actes intentionnels visant à interrompre le fonctionnement de l'infrastructure critique ou à la détruire ;2° pour chaque type de scénario issu de l'analyse de risques, une description des mesures de prévention des incidents. Art. 2/4 La partie consacrée aux mesures permanentes de sécurité intérieure applicables en toutes circonstances contient un inventaire de ces mesures ainsi qu'une description de chacune de ces mesures.
L'exploitant indique le lien entre les mesures permanentes de sécurité intérieure et son analyse de risques visée à l'article 2/3.
Les modalités d'intervention et de coordination avec les différentes autorités aidant à la protection de l'infrastructure en toutes circonstances figurent dans cette partie.
Art. 2/5.Pour les mesures graduelles de sécurité intérieure, le P.S.E. décrit : 1° les mesures générales graduelles de sécurité intérieure ;2° les mesures graduelles de sécurité intérieure propres aux scénarios retenus dans l'analyse de risques prévue à l'article 2/3. Pour les différentes mesures graduelles de sécurité intérieure, l'exploitant indique les différents seuils retenus qui déclenchent l'entrée en vigueur de chaque mesure.
L'exploitant indique le rapport des mesures graduelles de sécurité intérieure avec son analyse de risques Prévue à l'article 2/3.
Les mesures de sécurité intérieure graduelles spécifiques comprennent : 1° la description des actions menées, par ordre de priorité, en cas de dégradation de la capacité d'exploitation de l'infrastructure critique ;2° les modalités d'intervention et de coordination des différentes autorités aidant à la protection de l'infrastructure en toutes circonstances ;3° un plan de communication au public en cas d'indisponibilité pour l'utilisateur final de tout ou partie de services essentiels fournis par l'infrastructure critique ;4° les mesures visant à réduire les conséquences des incidents ;5° les modalités de rétablissement du fonctionnement normal des services essentiels supportés par l'infrastructure critique et de l'infrastructure critique elle-même ;6° les mesures de reconstruction pour chaque partie de l'infrastructure critique.
Art. 2/6.L'exploitant procède à un exercice, dans le contexte des mesures de sécurité, sur une partie de l'infrastructure critique au moins une fois par an, de sorte que tous les éléments constitutifs de l'infrastructure critique soient testés au moins une fois tous les trois ans.
Si la réalisation d'un exercice met en péril le fonctionnement de l'infrastructure, d'une partie de celui-ci ou des services supportés par l'infrastructure critique, l'exploitant peut demander à l'autorité sectorielle de remplacer l'exercice par une simulation.
L'exploitant informe l'autorité sectorielle au moins quatre semaines à l'avance d'un exercice prévu.
L'exploitant établit un rapport de chaque exercice effectué et le remet à l'autorité sectorielle au plus tard six mois après cet exercice.
Art. 2/7.Le P.S.E. est évalué et si nécessaire mis à jour : 1° lors de toute mise en service ou toute remise en service de l'infrastructure critique ;2° lors du remplacement d'une partie existante de l'infrastructure critique ;3° lors de l'intégration d'un nouveau composant dans l'infrastructure critique ;4° lors d'un contrôle périodique ; 5° en réponse à une demande de l'autorité sectorielle suite à une analyse du P.S.E. L'exploitant notifiera immédiatement toute modification de son P.S.E. à l'autorité sectorielle.
Art. 2/8.L'exploitant d'une infrastructure critique effectue, dans le cadre de l'analyse de risques visée à l'article 13, § 3, 2°, de la loi, l'analyse de risques visée à l'article 22quinquies, § 2, de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer relative à la classification et aux habilitations, attestations et avis de sécurité et les inclut dans le P.S.E. ».
Art. 3.Dans le même arrêté, il est inséré un article 3/1, rédigé comme suit : «
Art. 3/1.L'exploitant d'une infrastructure critique doit soumettre un plan détaillé au service d'inspection. Dans cette planification, l'exploitant indique clairement, pour chaque mesure du P.S.E., quand la mise en oeuvre commencera et quand il est prévu qu'elle soit complètement mise en oeuvre.
Cette planification doit être soumise au service d'inspection dans les six mois suivant l'identification.
Lorsque le plan détaillé est modifié ou complété, l'exploitant en informe le service d'inspection dans les trente jours suivant la modification ou le complément. ».
Art. 4.Dans l'article 5 du même arrêté, les mots « de la Direction Générale Energie du SPF Economie, P.M.E., Classes moyennes et Energie » sont abrogés.
Art. 5.Dans l'article 7 du même arrêté, il est inséré un paragraphe 1er /1 rédigé comme suit : « § 1er/1. Après l'élaboration du P.S.E. conformément à l'article 13 de la loi, l'exploitant de l'infrastructure critique transmet immédiatement une copie du P.S.E. au service d'inspection. En cas de modification du P.S.E. l'exploitant de l'infrastructure critique transmet une copie du P.S.E., tel que modifié, au service d'inspection. Sur simple demande du service d'inspection, une copie est transmise à ce service de tous actes, de tous documents ou de toutes autres sources d'informations, que ce service estime nécessaire à l'exercice de sa mission.
Sans préjudice des articles 22 et 23 de la loi, l'information visée aux paragraphes 1er et 1er/1, ou une partie de cette information, est, le cas échéant, si les conditions légales respectives sont réunies, classifiée en application de l'article 3 de la loi du 11 décembre 1998Documents pertinents retrouvés type loi prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 source ministere de la justice Loi transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 source ministere de la defense nationale Loi relative à la classification et aux habilitations de sécurité type loi prom. 11/12/1998 pub. 07/05/1999 numac 1999007003 source ministere de la defense nationale Loi portant création d'un organe de recours en matière d'habilitations de sécurité fermer relative à la classification et aux habilitations, attestations et avis de sécurité. ».
Art. 6.Dans l'article 7 du même arrêté, il est inséré un paragraphe 3, rédigé comme suit : « § 3. Pour les inspections d'infrastructures critiques dans le secteur de l'énergie, le service d'inspection peut faire appel à un organisme d'inspection accrédité à cet effet. Il est chargé de l'inspection sur place et doit fournir au service d'inspection concerné un rapport d'inspection détaillé.
Le présent article n'affecte pas la capacité du service d'inspection à participer aux inspections à effectuer par les organismes d'inspection accrédités, ni sa capacité à inspecter également les infrastructures critiques inspectées par les organismes d'inspection accrédités. ».
Art. 7.Pour les infrastructures déjà identifiées, le plan détaillé, visé à l'article 3/1 de l'arrêté royal du 11 mars 2013 portant exécution des articles 13, 24 et 25 de la loi du 1er juillet 2011Documents pertinents retrouvés type loi prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 source service public federal interieur Loi relative à la sécurité et la protection des infrastructures critiques fermer relative à la sécurité et la protection des infrastructures critiques pour le secteur de l'Energie comme inséré par le présent arrêté, est remise au service d'inspection six mois après la date d'entrée en vigueur du présent arrêté.
Art. 8.Les articles 2, 3 et 7 entrent en vigueur le premier jour du vingt-quatrième mois qui suit celui de la publication du présent arrêté au Moniteur belge.
Art. 9.Le ministre qui a l'Energie dans ses attributions est chargée de l'exécution du présent arrêté.
Donné à Bruxelles, le 15 septembre 2023.
PHILIPPE Par le Roi : La Ministre de l'Energie, T. VAN DER STRAETEN