SÉNAT Question écrite n° 5-9409 - SENAAT Schriftelijke vraag nr. 5-9409

SÉNAT DE BELGIQUE

BELGISCHE SENAAT

________

Session 2012-2013

Zitting 2012-2013

________

25 juin 2013

25 juni 2013

________

Question écrite n° 5-9409

Schriftelijke vraag nr. 5-9409

de Karl Vanlouwe (N-VA)

van Karl Vanlouwe (N-VA)

au secrétaire d'État à la Fonction publique et à la Modernisation des Services publics, adjoint au ministre des Finances et du Développement durable, chargé de la Fonction publique

aan de staatssecretaris voor Ambtenarenzaken en Modernisering van de Openbare Diensten, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken

________

La cyberconcertation fédérale

Het federale cyberoverleg

________

criminalité informatique
protection des données

computercriminaliteit
gegevensbescherming

________

25/6/2013	Verzending vraag
12/7/2013	Antwoord

25/6/2013	Verzending vraag
12/7/2013	Antwoord

________

Herkwalificatie van : vraag om uitleg 5-3644

________

Question n° 5-9409 du 25 juin 2013 : (Question posée en néerlandais)

Vraag nr. 5-9409 d.d. 25 juni 2013 : (Vraag gesteld in het Nederlands)

En attendant la création, espérée depuis longtemps, du Centre pour la Cybersécurité en Belgique (CCSB) par la chancellerie du Premier ministre, la concertation en ce domaine se déroule à deux niveaux.

Le premier est la plateforme BELNIS qui s'occupe des menaces nationales à la sécurité informatique. Le second est l'Information Security Management Forum (ISMF), un organe de concertation entre les conseillers en information des services publics fédéraux (SPF). Dans les deux cas, le secrétariat est assuré par Fedict.

BELNIS, créé en 2005 par le Comité ministériel du renseignement et de la sécurité, se réunit mensuellement, hormis durant l'été. La collaboration des SPF est volontaire. La plateforme se compose de différents groupes de travail spécialisés, qui ont par exemple élaboré, à l'intention du Premier ministre, des recommandations pour la future agence nationale pour la sécurité de l'information.

L'ISFM a été créé dans le cadre de la loi du 15 août relative à la création et à l'organisation d'un intégrateur de services fédéral. Il se réunit toutefois depuis janvier 2011 sur une base volontaire avec une périodicité mensuelle afin d'harmoniser les mesures de sécurité. Les normes ISO de la série 27000 servent de fil rouge à la concertation. D'après la réponse à ma demande d'explications 5-2412, il aurait déjà rédigé un projet de règlement général de sécurité de l'information, accompagné d'un document qui décrit le fonctionnement souhaitable des groupes de pilotage pour la sécurité des réseaux informatiques au sein des SPF.

Voici mes questions au secrétaire d'État :

1) Comment évaluez-vous le fonctionnement de BELNIS et de l'ISMF ? Tous les services publics apportent-ils leur collaboration à ces forums ? Quels sont les services publics rarement représentés ?

2) Quels sont les groupes de travail actifs au sein de la plateforme BELNIS ? Invite-t-on aussi des acteurs privés aux réunions ?

3) Quels secteurs des autorités publiques BELNIS définit-il comme infrastructures critiques ?

4) À quel stade l'arrêté d'exécution élaboré par l'ISMF se trouve-t-il ? A-t-il été transmis au Premier ministre et peut-il être mis en œuvre ?

5) Où en est le règlement général de sécurité de l'information et le document qui décrit le fonctionnement souhaitable des groupes de pilotage pour la sécurité des réseaux informatiques au sein des SPF ?

6) Est-il possible de consulter les procès-verbaux de ces deux forums ? Je souhaiterais être informé des conclusions des réunions de BELNIS et de l'ISMF.

In afwachting van de langverwachte oprichting van het Centrum voor Cyber Security in België (CCSB) door de kanselarij van de Eerste Minister gebeurt het overleg met betrekking tot cyberonderwerpen op twee niveaus.

Ten eerste bestaat er het BELNIS-platform dat de nationale uitdagingen inzake de informatieveiligheid behandelt. Ten tweede bestaat er het Information Security Management Forum (ISMF) dat een overlegorgaan is tussen de verschillende informatieadviseurs van de federale overheidsdiensten (FOD's). Voor beide fora neemt Fedict het secretariaat op zich.

BELNIS werd in 2005 opgericht door het Ministerieel Comité voor Inlichting en Veiligheid en komt maandelijks bij elkaar, behalve in de zomermaanden. De medewerking van de FOD's gebeurt op vrijwillige basis. Het platform bestaat uit verschillende ad hoc werkgroepen, die bijvoorbeeld de aanbevelingen voor het nieuw op te richten nationaal agentschap voor informatieveiligheid hebben uitgewerkt voor de Eerste Minister.

Het ISMF werd opgericht met betrekking tot de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator. Het komt echter al sinds januari 2011 maandelijks op een vrijwillige basis bij elkaar om de veiligheidsmaatregelen te harmoniseren. In het overleg worden de ISO-normen van de reeks 27000 als leidraad gebruikt. Uit het antwoord op mijn vraag om uitleg 5-2412 blijkt dat het ISMF ondertussen een algemeen informatieveiligheidsreglement zou hebben opgesteld, samen met een document dat de wenselijke werking van de stuurgroepen voor informatieveiligheid binnen de FOD's beschrijft.

Mijn vragen aan de staatssecretaris zijn:

1) Hoe evalueert U de werking van BELNIS en het ISMF? Verlenen alle overheidsdiensten hun medewerking aan die fora? Welke overheidsdiensten zijn zelden vertegenwoordigd?

2) Welke werkgroepen zijn actief binnen het BELNIS-overlegplatform? Worden ook private actoren uitgenodigd op de vergaderingen?

3) Welke zijn de door BELNIS gedefinieerde sectoren van de overheid voor kritische infrastructuren?

4) Wat is de stand van zaken van het uitvoeringsbesluit dat binnen het ISMF werd opgesteld? Wanneer werd dit naar de Eerste Minister overgezonden en kan dit worden uitgevoerd?

5) Wat is de stand van zaken van het algemeen informatieveiligheidsreglement en het document dat de wenselijke werking van de stuurgroepen voor informatieveiligheid binnen de FOD's beschrijft?

6) Is het mogelijk om de notulen van die twee fora te raadplegen? Graag zou ik in kennis gesteld worden van de notulen van de vergaderingen van BELNIS en het ISMF.

Réponse reçue le 12 juillet 2013 :

Antwoord ontvangen op 12 juli 2013 :

1. Belnis joue le rôle qui lui a été dévolu en fonction de la décision du Conseil des ministres de 2005. Belnis ne se substitue toutefois pas à une autorité centrale de coordination. En général, l’ensemble des Services publics fédérals (SPF) prévus participent régulièrement aux réunions. L'Information Security Management Forum (ISMF), qui se tient de manière informelle depuis deux ans à l’initiative de Fedict, ne jouera pleinement son rôle que par la mise en œuvre de l’arrêté royal (AR) du 17 mars 2013. Le forum a déjà rédigé divers documents et a aussi permis un rapprochement des visions des différentes administrations participantes en matière de sécurité ICT.

2. Actuellement, deux groupes sont actifs : le groupe « Gestion des incidents », qui a défini la procédure de gestion des incidents et veille à son actualisation, et le groupe « Stratégie », qui a proposé la stratégie approuvée par le Conseil des ministres du 21 décembre 2012 et qui assure le suivi de la mise en œuvre.

3. Les secteurs sont définis dans la loi du 1^erjuillet 2011 relative à la sécurité et la protection des infrastructures critiques qui transpose la directive européenne du 08 décembre 2008. Il s’agit des secteurs Énergie, Transports, Finances et Communications électroniques. Ces infrastructures critiques doivent être désignées non par Belnis mais par les départements compétents spécialisés, désignés « autorités sectorielles ».

4. et 5. Aucun arrêté d’exécution n’a été défini par l’ISMF. Le forum a proposé différents projets de règlement en matière de sécurité informatique. Pour leur mise en œuvre, ces différents textes doivent obtenir l’approbation des comités de direction des différents services. Je souhaite faire évoluer ces propositions vers une directive fédérale.

6. Les rapports de Belnis sont des documents classifiés et sont revêtus de la mention « Diffusion restreinte » conformément à l’AR du 24 mars 2000 portant exécution de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité.

Les documents de Belnis et de l'ISMF révèlent certaines faiblesses de l’état des lieux de la sécurité ICT belge et une divulgation publique pourrait dès lors être très préjudiciable.

1. Belnis speelt de rol die haar werd toegewezen op grond van de beslissing van de ministerraad van 2005. Belnis neemt echter niet de plaats in van een centrale overheid voor coördinatie. Over het algemeen, nemen alle voorziene Federale Overheidsdiensten (FOD’s) regelmatig deel aan de vergaderingen. Het Information Security Management Forum (ISMF), dat sinds twee jaar op een informele wijze wordt gehouden op initiatief van Fedict, zal zijn rol pas volledig vervullen bij de uitvoering van het koninklijk besluit (KB) van 17 maart 2013. Het forum heeft al verschillende documenten opgesteld en dit forum heeft ook geleid tot de harmonisatie van de visies van de verschillende deelnemende overheden op het vlak van ICT-beveiliging.

2. Momenteel zijn er twee groepen werkzaam: de groep “Incidentenbeheer”, die de procedure voor het beheer van incidenten heeft bepaald en toeziet op het up to date houden ervan, en de groep “Strategie”, die de strategie heeft voorgesteld die werd goedgekeurd door de ministerraad van 21 december 2012 en voor de opvolging van de uitvoering ervan zorgt.

3. De sectoren worden bepaald in de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren die voorziet in de omzetting van de Europese richtlijn van 08 december 2008. Het betreft de sectoren energie, vervoer, financiën en elektronische communicatie. Deze kritieke infrastructuren moeten aangeduid worden, niet door Belnis, maar door de gespecialiseerde bevoegde departementen, “sectorale overheden” genoemd.

4. en 5. Er werd geen enkel uitvoeringsbesluit door het ISMF bepaald. Het forum heeft verschillende verordeningsvoorstellen gemaakt inzake informatieveiligheid. Voor de uitvoering ervan moeten deze verschillende teksten goedgekeurd worden door de directiecomités van de verschillende diensten. Ik wil deze voorstellen laten evolueren tot een federale richtlijn.

6. De verslagen van Belnis zijn geclassificeerde documenten en overeenkomstig het KB van 24 maart 2000 tot uitvoering van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen voor beperkte verspreiding vatbaar.

De documenten van Belnis en van het ISMF brengen namelijk een aantal zwakke punten aan het licht over de stand van zaken van de Belgische ICT-veiligheid en een openbaarmaking zou bijgevolg zeer schadelijke gevolgen kunnen hebben.