Arrêté grand-ducal du 30 juillet 2013 déterminant l'organisation et les attributions du Centre gouvernemental de traitement des urgences informatiques, aussi dénommé «Computer Emergency Response Team Gouvernemental»

Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,

Vu l'article 76 de la Constitution;

Vu l'arrêté royal grand-ducal du 9 juillet 1857 portant organisation du Gouvernement grand-ducal, tel qu'il a été modifié;

Vu l'arrêté grand-ducal du 27 juillet 2009 portant constitution des Ministères, tel qu'il a été modifié;

Sur le rapport de Notre Premier Ministre et après délibération du Gouvernement en Conseil;

Arrêtons:

Art. 1er.

Il est créé auprès du Premier Ministre, Ministre d'Etat, un Centre gouvernemental de traitement des urgences informatiques, aussi appelé «Computer Emergency Response Team Gouvernemental», appelé ci-après «CERT Gouvernemental».

Art. 2.

(1)

Le CERT Gouvernemental a pour missions notamment:

1. de constituer le point de contact unique dédié au traitement de tous les incidents de sécurité d'envergure affectant les réseaux et les systèmes de communication et de traitement de l'information des administrations et services de l'Etat;
2. d'assurer un service de veille, de détection, d'alerte et de réaction aux attaques informatiques sur ces réseaux et ces systèmes de communication et de traitement de l'information;
3. d'opérer une équipe d'intervention spécialisée capable de prendre en charge la prévention et la réponse aux incidents de sécurité d'envergure liés à ces systèmes de communication et de traitement de l'information;
4. de maintenir un inventaire centralisé des incidents touchant à la sécurité de ces systèmes de communication et d'information en vue de permettre au Gouvernement d'avoir une vue stratégique complète sur le sujet et d'utiliser ces statistiques dans ses processus de prise de décision en relation avec sa stratégie nationale en matière de cybersécurité;
5. d'assurer une permanence de disponibilité 24 heures sur 24 et 7 jours sur 7 en vue de réagir efficacement en situation de crise;
6. de faciliter par tous les moyens, dans un cadre national et international, la collaboration des diverses entités gouvernementales et privées liées à la sécurité des systèmes d'information;
7. de représenter le Luxembourg dans les réunions internationales pour ce qui concerne son domaine de compétence.

(2)

Le CERT Gouvernemental est autorisé, sous réserve de leur accord, à élargir son champ d'activité aux autres institutions et autorités publiques, aux organes de l'Etat, aux établissements publics ainsi qu'aux infrastructures critiques telles que recensées et désignées selon les modalités prévues par la législation en matière de Protection Nationale.

Art. 3.

Le CERT Gouvernemental est dirigé par un fonctionnaire de la carrière supérieure de l'administration gouvernementale.

Ledit fonctionnaire est autorisé à porter le titre de Directeur du CERT Gouvernemental.

Le personnel du CERT Gouvernemental est composé de fonctionnaires et employés de l'administration gouvernementale spécialement recrutés à cette fin. Le CERT Gouvernemental peut se faire assister temporairement par des experts luxembourgeois et étrangers selon ses besoins.

Art. 4.

Le CERT Gouvernemental intervient sur les systèmes de communication et d'information traitant des données non classifiées et classifiées selon la loi du 15 juin 2004 relative à la classification des pièces et aux habilitations de sécurité.

Art. 5.

Pour l'exécution de ses missions, le CERT Gouvernemental bénéficie de la part des administrations et services de l'Etat de toute la collaboration nécessaire. Le CERT Gouvernemental est notamment autorisé à:

1. recueillir, demander et obtenir des informations à caractère technique sur les infrastructures et architectures de communication et d'information;
2. recueillir, demander et obtenir un accès aux fichiers de journalisation techniques ne contenant pas d'informations à caractère personnel tel que prévu par la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel;
3. demander et obtenir un accès motivé aux fichiers de journalisation contenant des informations à caractère personnel et ayant comme finalité la protection des biens de l'Etat, conformément à la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel;
4. exiger des administrations et services de déconnecter des équipements informatiques des réseaux de communication de l'Etat.

Art. 6.

Le CERT Gouvernemental est hébergé dans les locaux du Centre des technologies de l'information de l'Etat.

Art. 7.

Notre Premier Ministre, Ministre d'Etat, est chargé de l'exécution du présent arrêté qui sera publié au Mémorial.

Le Premier Ministre,

Ministre d'Etat,

Jean-Claude Juncker

Le Ministre des Communications et des Médias,

Luc Frieden

Cabasson, le 30 juillet 2013.

Henri