← België

Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid

In het kort

Deze wet stelt een kader vast voor de beveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid, en zet de Europese NIS-richtlijn om in Belgisch recht. Het doel is om een hoog gemeenschappelijk niveau van beveiliging van deze systemen te waarborgen.

Wat het reguleert

Wie het betreft

Kernpunten

📄 Wettekst
7 APRIL 2019. - Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (1) FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet. De Kamer van volksvertegenwoordigers heeft aangenomen en Wij bekrachtigen, hetgeen volgt : TITEL 1. - Definities en algemene bepalingen HOOFDSTUK 1. - Onderwerp en toepassingsgebied Afdeling 1. - Onderwerp Artikel 1.Deze wet regelt een aangelegenheid als bedoeld in artikel 74 van de Grondwet. Art. 2.Deze wet voorziet met name in de omzetting van de Europese Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, hierna de "NIS-richtlijn" genoemd. Afdeling 2. - Toepassingsgebied Art. 3.§ 1. Deze wet is van toepassing op de aanbieders van essentiële diensten, zoals gedefinieerd in artikel 6, 11°, die minstens één vestiging op Belgisch grondgebied hebben en daadwerkelijk een activiteit uitoefenen die betrekking heeft op de verlening van minstens één essentiële dienst op Belgisch grondgebied. De bepalingen van titel 1, de artikelen 13, 14 en 30, alsook hoofdstuk 3 van titel 4 zijn van toepassing op de potentiële aanbieders van essentiële diensten. § 2. Deze wet is van toepassing op de digitaledienstverleners, zoals gedefinieerd in artikel 6, 21°, die hun hoofdkantoor in België hebben. Een digitaledienstverlener wordt geacht zijn hoofdkantoor in België te hebben als zijn maatschappelijke zetel zich daar bevindt. Deze wet is ook van toepassing op de digitaledienstverleners die niet in de Europese Unie gevestigd zijn wanneer zij in België diensten verlenen als bedoeld in bijlage II en hun vertegenwoordiger in België gevestigd is in het kader van de NIS-richtlijn. Art. 4.§ 1. De beveiligings- en meldingseisen bedoeld in deze wet zijn niet van toepassing op ondernemingen die onderworpen zijn aan de eisen van de artikelen 114 en 114/1 van de wet van 13 juni 2005Relevante gevonden documenten type wet prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 bron federale overheidsdienst economie, k.m.o., middenstand en energie Wet betreffende de elektronische communicatie sluiten betreffende de elektronische communicatie, wat hun activiteiten betreft op het gebied van het aanbieden van openbare elektronische-communicatienetwerken of openbare elektronische-communicatiediensten, en op verleners van vertrouwensdiensten die onderworpen zijn aan de eisen van artikel 19 van de Europese Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, wat hun activiteiten inzake vertrouwensdiensten betreft. § 2. Wanneer een sectorspecifieke rechtshandeling van de Europese Unie vereist dat aanbieders van essentiële diensten of digitaledienstverleners zorgen voor de beveiliging van hun netwerk- en informatiesystemen of voor de melding van incidenten, en op voorwaarde dat die eisen ten minste feitelijk gelijkwaardig zijn aan de verplichtingen van deze wet, kunnen de bepalingen betreffende de beveiliging van netwerk- en informatiesystemen en de melding van incidenten van deze handeling afwijken van de bepalingen van deze wet. De Koning is ermee belast de eventuele gelijkwaardige sectorspecifieke handelingen, als bedoeld in het eerste lid, nader te bepalen. § 3. Deze wet is niet van toepassing op de aanbieders die behoren tot de sector financiën in de zin van bijlage I bij deze wet, met uitzondering van de bepalingen van titel I, hoofdstuk 1 van titel II en van artikel 26. In afwijking van het eerste lid is artikel 52 van toepassing op de aanbieders die behoren tot de sector financiën in de zin van bijlage I bij deze wet, met uitzondering van de exploitanten van een handelsplatform in de zin van artikel 3, 6°, van de wet van 21 november 2017Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten5 over de infrastructuren voor de markten voor financiële instrumenten en houdende omzetting van Richtlijn 2014/65/EU. De sectorale overheden en de aanbieders die behoren tot de sector financiën in de zin van bijlage I bij deze wet zijn onderworpen aan de artikelen 65 tot 73. In afwijking op wat voorafgaat zijn de artikelen 65 tot 73 niet van toepassing op de betrokken sectorale overheid wanneer deze laatste optreedt in de gevallen bedoeld in artikel 46bis van de wet van 2 augustus 2002Relevante gevonden documenten type wet prom. 02/08/2002 pub. 04/09/2002 numac 2002003391 bron ministerie van financien Wet tot aanvulling, inzake de verhaalmiddelen tegen de beslissingen van de minister, de CBF, de CDV en de marktondernemingen, alsook inzake de tussenkomst van de CBF en van de CDV voor de strafgerechten, van de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten en tot wijziging van verschillende andere wetsbepalingen sluiten betreffende het toezicht op de financiële sector en de financiële diensten, of in artikel 12quater van de wet van 22 februari 1998Relevante gevonden documenten type wet prom. 22/02/1998 pub. 28/03/1998 numac 1998003158 bron ministerie van financien Wet tot vaststelling van het organiek statuut van de Nationale Bank van België sluiten tot vaststelling van het organiek statuut van de Nationale Bank van België. § 4. Deze wet is niet van toepassing wanneer en voor zover er maatregelen voor de beveiliging van netwerk- en informatiesystemen bestaan krachtens de wet van 15 april 1994Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten2 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle. In afwijking van het eerste lid is deze wet van toepassing op de elementen van een nucleaire installatie bestemd voor de industriële productie van elektriciteit die dienen voor de transmissie van de elektriciteit. Art. 5.§ 1. Onder voorbehoud van de bepalingen van titel 6 doet deze wet geen afbreuk aan de toepassing van Verordening EU 2016/679 of aan de wettelijke en reglementaire bepalingen die deze verordening aanvullen of verduidelijken. § 2. Deze wet doet geen afbreuk aan de toepassing van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten1 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, aan de artikelen 259bis, 314bis, 380, 382quinquies, 383bis, 383bis/1, 433septies, 433novies/1, 458bis, 550bis en 550ter van het Strafwetboek, of aan andere bepalingen van het Belgisch recht tot omzetting van Richtlijn 2011/92/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad, en van Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad. § 3. Deze wet doet geen afbreuk aan de regels die van toepassing zijn op de verwerking van informatie, documenten of gegevens, materieel, materialen of stoffen, in welke vorm ook, die geclassificeerd zijn overeenkomstig de wet van 11 december 1998Relevante gevonden documenten type wet prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 bron federale overheidsdienst binnenlandse zaken Wet betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst. - Officieuze coördinatie in het Duits type wet prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 bron ministerie van landsverdediging Wet betreffende de classificatie en de veiligheidsmachtigingen type wet prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 bron ministerie van justitie Wet tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens sluiten betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheids-adviezen. § 4. Deze wet doet geen afbreuk aan de regels die van toepassing zijn op de nucleaire documenten, in de zin van de wet van 15 april 1994Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten2 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle. HOOFDSTUK 2. - Definities Art. 6.Voor de toepassing van deze wet moet worden verstaan onder: 1° "nationaal CSIRT": het nationale computer security incident response team, aangewezen door de Koning;2° "sectorale overheid": de overheid aangewezen door de wet of de Koning bij besluit vastgesteld na overleg in de Ministerraad;3° "sectoraal CSIRT": het sectorale computer security incident response team, aangewezen door de Koning;4° "toezichthoudende autoriteit persoonsgegevens": toezichthoudende autoriteit in de zin van artikel 4, 21°, van Verordening EU 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming); 5° "instelling voor de conformiteitsbeoordeling": instelling bedoeld in artikel I.9.7° van het Wetboek van economisch recht; 6° "certificeringsaudit": een audit uitgevoerd in het kader van een certificering bedoeld in artikel 22, § 2; 7° "nationale accreditatieautoriteit": instelling die door de Koning is opgericht in uitvoering van artikel VIII.30 van het Wetboek van economisch recht; 8° "netwerk- en informatiesysteem": a) een elektronische-communicatienetwerk in de zin van artikel 2, 3°, van de wet van 13 juni 2005Relevante gevonden documenten type wet prom. 13/06/2005 pub. 20/06/2005 numac 2005011238 bron federale overheidsdienst economie, k.m.o., middenstand en energie Wet betreffende de elektronische communicatie sluiten betreffende de elektronische communicatie;b) een apparaat of groep van permanent of tijdelijk gekoppelde of bij elkaar behorende apparaten, waarvan een of meer elementen, in uitvoering van een programma, digitale gegevens automatisch verwerken, met inbegrip van de digitale, elektronische of mechanische componenten van dat apparaat die met name de automatisering van het operationele proces, de controle op afstand of het verkrijgen van werkingsgegevens in real time mogelijk maken;c) of digitale gegevens die via in de bepalingen onder a) en b), bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan;9° "beveiliging van netwerk- en informatiesystemen": het vermogen van netwerk- en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar brengen;10° "nationale strategie voor de beveiliging van netwerk- en informatiesystemen": een kader met strategische doelstellingen en prioriteiten op het gebied van de beveiliging van netwerk- en informatiesystemen op nationaal niveau;11° "aanbieder van essentiële diensten": een publieke of private entiteit die actief is in België in een van de sectoren opgenomen in bijlage I bij deze wet, die aan de criteria bedoeld in artikel 12, § 1, voldoet en die als dusdanig is aangewezen door de sectorale overheid;12° "potentiële aanbieder van essentiële diensten": een publieke of private entiteit die in België actief is in een van de sectoren opgenomen in bijlage I bij deze wet, maar niet is aangewezen als aanbieder van essentiële diensten;13° "incident": elke gebeurtenis met een reële negatieve impact op de beveiliging van netwerk- en informatiesystemen;14° "incidentenbehandeling": alle procedures ter ondersteuning van de opsporing, analyse en beheersing van en reactie op een incident;15° "risico": elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijke negatieve impact op de beveiliging van netwerk- en informatiesystemen;16° "intersectoraal criterium": factor die gemeenschappelijk is voor alle sectoren bedoeld in bijlage I bij deze wet en die het belang van een verstorend effect voor de verlening van een essentiële dienst in de zin van artikel 12, § 1, c), bepaalt;17° "sectoraal criterium": factor die eigen is aan een sector of deelsector bedoeld in bijlage I bij deze wet en die het belang van een verstorend effect voor de verlening van een essentiële dienst in de zin van artikel 12, § 1, c), bepaalt; 18° "beveiligingsbeleid voor de netwerk- en informatiesystemen (I.B.B.)" : een document als bedoeld in artikel 21, § 1, met de maatregelen voor de beveiliging van de netwerk- en informatiesystemen die een aanbieder van essentiële diensten heeft genomen; 19° "contactpunt voor de beveiliging van netwerk- en informatiesystemen": het contactpunt aangewezen door de aanbieder van essentiële diensten of de digitaledienstverlener dat de functie van contactpunt uitoefent ten aanzien van de autoriteiten bedoeld in artikel 7, voor elke vraag in verband met de beveiliging van de netwerk- en informatiesystemen waarvan de verleende essentiële diensten afhankelijk zijn.20° "digitale dienst": een dienst in de zin van artikel 1, lid 1, punt b), van de Europese Richtlijn 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij, en waarvan de soort is vermeld in de lijst in bijlage II;21° "digitaledienstverlener": elke rechtspersoon die een digitale dienst aanbiedt als bedoeld in bijlage II bij deze wet;22° "vertegenwoordiger van een digitaledienstverlener": elke in België gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om voor rekening van een niet in de Unie gevestigde digitaledienstverlener op te treden en die door de nationale autoriteit bedoeld in artikel 7, § 1, de bevoegde sectorale overheid of de bevoegde inspectiedienst kan worden gecontacteerd in plaats van de digitaledienstverlener, wat de uit deze wet voortvloeiende verplichtingen van deze laatste betreft;23° "internetknooppunt (IXP)": een netwerkinfrastructuur die de onderlinge verbinding van meer dan twee onafhankelijke autonome systemen mogelijk maakt, voornamelijk met als doel de uitwisseling van internetverkeer te vergemakkelijken;een internetknooppunt zorgt enkel voor onderlinge verbinding voor autonome systemen; een internetknooppunt vereist niet dat het internetverkeer tussen twee deelnemende autonome systemen via een derde autonoom systeem verloopt, noch dat het internetknooppunt dergelijk verkeer wijzigt of anderszins daartussen komt; 24° "domeinnaamsysteem" of "DNS": een hiërarchisch opgebouwd adresseringssysteem in een netwerk dat een zoekvraag naar een domeinnaam beantwoordt;25° "DNS-dienstverlener": een entiteit die DNS-diensten op het internet verleent;26° "register voor topleveldomeinnamen": een entiteit die de internetdomeinnamen van een specifiek topleveldomein registreert en beheert; 27° "onlinemarktplaats": een digitale dienst die het consumenten, zoals gedefinieerd in artikel I.1., eerste lid, 2°, van het Wetboek van economisch recht, en/of ondernemingen, zoals gedefinieerd in artikel I.8, 39°, van hetzelfde Wetboek, mogelijk maakt online verkoop- of dienstenovereenkomsten met ondernemingen te sluiten op de website van de onlinemarktplaats of op de website van een onderneming die gebruikmaakt van door de onlinemarktplaats aangeboden informaticadiensten; 28° "onlinezoekmachine": een digitale dienst die het gebruikers mogelijk maakt zoekacties uit te voeren op in principe alle websites of websites in een bepaalde taal op basis van een zoekvraag over om het even welk onderwerp in de vorm van een trefwoord, een zin of andere input;het resultaat zijn hyperlinks naar informatie over de opgevraagde inhoud; 29° "cloudcomputerdienst": een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit;30° " wet van 1 juli 2011Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten1": de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten1 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;31° " wet van 11 december 1998Relevante gevonden documenten type wet prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 bron federale overheidsdienst binnenlandse zaken Wet betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst. - Officieuze coördinatie in het Duits type wet prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 bron ministerie van landsverdediging Wet betreffende de classificatie en de veiligheidsmachtigingen type wet prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 bron ministerie van justitie Wet tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens sluiten": de wet van 11 december 1998Relevante gevonden documenten type wet prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 bron federale overheidsdienst binnenlandse zaken Wet betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst. - Officieuze coördinatie in het Duits type wet prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 bron ministerie van landsverdediging Wet betreffende de classificatie en de veiligheidsmachtigingen type wet prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 bron ministerie van justitie Wet tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens sluiten betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;32° " wet van 15 april 1994Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten2": de wet van 15 april 1994Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten2 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle.33° "Verordening EU 2016/679": de Europese Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming). HOOFDSTUK 3. - Bevoegde autoriteiten en samenwerking op nationaal niveau Afdeling 1. - Bevoegde autoriteiten Art. 7.§ 1. De Koning wijst de autoriteit aan die, als nationale autoriteit, belast is met de opvolging en coördinatie van de uitvoering van deze wet. De autoriteit bedoeld in het eerste lid is ook het centraal nationaal contactpunt voor de beveiliging van netwerk- en informatiesystemen, voor alle aanbieders van essentiële diensten en digitaledienstverleners, voor België in zijn relatie met de Europese Commissie, de lidstaten van de Europese Unie, de in artikel 11 van de NIS-richtlijn bedoelde Samenwerkingsgroep en het CSIRT-netwerk. Daartoe vertegenwoordigt het contactpunt België binnen de Samenwerkingsgroep. § 2. De Koning wijst de autoriteit aan die de rol van nationaal CSIRT vervult. Het nationale CSIRT vertegenwoordigt België binnen het CSIRT-netwerk bedoeld in artikel 12 van de NIS-richtlijn. Het werkt op doeltreffende, efficiënte en beveiligde wijze mee aan de opdrachten van het CSIRT-netwerk. § 3. De Koning wijst, bij besluit vastgesteld na overleg in de Ministerraad, de sectorale overheden aan die, voor hun respectie-velijke sector, belast zijn met het toezicht op de uitvoering van de bepalingen van deze wet. De Koning kan sectorale overheden oprichten, bestaande uit vertegenwoordigers van de Federale Staat, de Gemeenschappen en de Gewesten, overeenkomstig de nadere regels bepaald in artikel 92ter van de bijzondere wet van 8 augustus 1980Relevante gevonden documenten type wet prom. 08/08/1980 pub. 11/12/2007 numac 2007000980 bron federale overheidsdienst binnenlandse zaken Bijzondere wet tot hervorming der instellingen. - Officieuze coördinatie in het Duits sluiten tot hervorming der instellingen. In afwijking van het eerste lid wijst de wet zelf de bij wet opgerichte en geregelde sectorale overheden aan. § 4. De Koning wijst de autoriteit aan die, in samenwerking met de nationale autoriteit bedoeld in paragraaf 1, de identificatie van aanbieders van essentiële diensten coördineert. § 5. Per sector of, in voorkomend geval, per deelsector wordt een inspectiedienst opgericht die toeziet op de naleving van de bepalingen van deze wet en van de uitvoeringsbesluiten ervan door aanbieders van essentiële diensten of digitaledienstverleners. De Koning wijst voor een welbepaalde sector of, in voorkomend geval, per deelsector de inspectiedienst aan die bevoegd is voor het toezicht. In afwijking van het tweede lid wijst de wet de door haar opgerichte en geregelde inspectiediensten aan. Afdeling 2. - Samenwerking op nationaal niveau Art. 8.§ 1. De autoriteiten bedoeld in artikel 7 werken nauw samen om de in deze wet vastgestelde verplichtingen te vervullen. § 2. Naargelang de behoeften die nodig zijn voor de uitvoering van de wet en overeenkomstig de toepasselijke wettelijke bepalingen werken de in paragraaf 1 bedoelde autoriteiten, op nationaal niveau, ook samen met de administratieve diensten van de Staat, de administratieve autoriteiten, de gerechtelijke autoriteiten, de inlichtingen- en veiligheidsdiensten bedoeld in de wet van 30 november 1998Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten houdende regeling van de inlichtingen- en veiligheidsdiensten, de politiediensten bedoeld in de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus, en met de toezichthoudende autoriteiten persoonsgegevens. § 3. De aanbieder van essentiële diensten, de digitaledienstverlener en de autoriteiten bedoeld in artikel 7 werken te allen tijde samen door een adequate uitwisseling van informatie over de beveiliging van de netwerk- en informatiesystemen. HOOFDSTUK 4. - Informatie-uitwisseling Art. 9.§ 1. Dit artikel doet geen afbreuk aan de toepassing van de wet van 11 december 1998Relevante gevonden documenten type wet prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 bron federale overheidsdienst binnenlandse zaken Wet betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst. - Officieuze coördinatie in het Duits type wet prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 bron ministerie van landsverdediging Wet betreffende de classificatie en de veiligheidsmachtigingen type wet prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 bron ministerie van justitie Wet tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens sluiten, de wet van 15 april 1994Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten2, de wet van 11 april 1994 betreffende de openbaarheid van bestuur of andere wettelijke bepalingen die de vertrouwelijkheid van de informatie m.b.t. de wezenlijke belangen van de nationale openbare veiligheid waarborgen. De autoriteiten bedoeld in artikel 7, de aanbieder van essentiële diensten, de digitaledienstverlener, of hun onderaannemers, beperken de toegang tot de informatie over de uitvoering van deze wet tot de personen die er de kennis van nodig hebben en er toegang toe moeten hebben voor de uitoefening van hun functie of opdracht die verband houdt met deze wet. § 2. De personeelsleden van de aanbieder van essentiële diensten, de digitaledienstverlener, of hun onderaannemers, zijn gebonden aan het beroepsgeheim wat de informatie over de uitvoering van deze wet betreft. Personen die uit hoofde van hun staat of beroep kennis dragen van geheimen die hun zijn toevertrouwd, mogen deze geheimen bekendmaken voor de uitvoering van deze wet. § 3. De informatie die door aanbieders van essentiële diensten en digitaledienstverleners aan de autoriteiten bedoeld in artikel 7 wordt bezorgd, mag worden uitgewisseld met autoriteiten van de Europese Unie, Belgische of buitenlandse autoriteiten, wanneer die uitwisseling noodzakelijk is voor de toepassing van wettelijke bepalingen. De uitgewisselde informatie wordt beperkt tot hetgeen relevant is voor en evenredig is met het doel van die uitwisseling, met name overeenkomstig Verordening EU 2016/679. Bij die uitwisseling van informatie wordt de vertrouwelijkheid van de informatie gewaarborgd en worden de veiligheid en de commerciële belangen van de aanbieders van essentiële diensten en de digitaledienstverleners beschermd. HOOFDSTUK 5. - Nationale strategie voor de beveiliging van netwerk- en informatiesystemen Art. 10.§ 1. De Koning wijst, bij besluit vastgesteld na overleg in de Ministerraad, de autoriteit aan die belast is met de actualisering van de bestaande nationale strategie voor de beveiliging van netwerk- en informatiesystemen. § 2. De in paragraaf 1 bedoelde strategie wordt geactualiseerd na advies van de autoriteiten bedoeld in artikel 7 en, in voorkomend geval, van de toezichthoudende autoriteiten persoonsgegevens. Ze heeft minstens betrekking op de sectoren bedoeld in bijlage I en de diensten bedoeld in bijlage II. In deze strategie worden passende strategische en regelgevingsdoelstellingen bepaald om een hoog niveau van beveiliging van netwerk- en informatiesystemen tot stand te brengen en te handhaven. § 3. De nationale strategie voor de beveiliging van netwerk- en informatiesystemen betreft onder meer de volgende punten: a) de doelstellingen en de prioriteiten van de nationale strategie voor de beveiliging van netwerk- en informatiesystemen;b) een governancekader ter verwezenlijking van de doelstellingen en de prioriteiten van de nationale strategie voor de beveiliging van netwerk- en informatiesystemen, met inbegrip van de taken en verantwoordelijkheden van de overheidsorganen en de andere betrokken actoren;c) de bepaling van maatregelen inzake paraatheid, reactie en herstel, met inbegrip van samenwerking tussen de publieke en de particuliere sector;d) een overzicht van de onderwijs-, bewustmakings- en opleidingsprogramma's met betrekking tot de nationale strategie voor de beveiliging van netwerk- en informatiesystemen;e) een overzicht van de plannen voor onderzoek en ontwikkeling met betrekking tot de nationale strategie voor de beveiliging van netwerk- en informatiesystemen;f) een risicobeoordelingsplan om risico's te identificeren;g) een lijst van de verschillende actoren die betrokken zijn bij de uitvoering van de nationale strategie voor de beveiliging van netwerk- en informatiesystemen. TITEL 2. - Netwerk- en informatiesystemen van de aanbieders van essentiële diensten HOOFDSTUK 1. - Identificatie van de aanbieders van essentiële diensten Art. 11.§ 1. De sectorale overheid identificeert de aanbieders van essentiële diensten van haar sector en houdt hierbij minstens rekening met de soorten aanbieders bedoeld in bijlage I van deze wet. Binnen de grenzen van hun respectievelijke bevoegdheden overleggen de autoriteiten bedoeld in artikel 7, §§ 1 en 4, met de sectorale overheid om over te gaan tot deze identificatie. De sectorale overheid raadpleegt, in voorkomend geval, de betrokken gewesten of gemeenschappen en de vertegenwoordigers van de in bijlage I bedoelde entiteiten. § 2. Na raadpleging van de potentiële aanbieder van essentiële diensten deelt de sectorale overheid deze aanbieder mee welke door hem verleende dienst of diensten als essentieel worden beschouwd. § 3. De sectorale overheid zorgt voor een permanente opvolging van het identificatie- en aanwijzingsproces van de aanbieders van essentiële diensten en van hun essentiële diensten, volgens de in dit hoofdstuk beschreven procedures. Dit proces vindt voor het eerst plaats uiterlijk binnen zes maanden na de inwerkingtreding van deze wet. De sectorale overheid evalueert en, in voorkomend geval, actualiseert minstens om de twee jaar de identificatie van de aanbieders van essentiële diensten en van hun essentiële diensten. De actualiseringen worden naar de autoriteiten bedoeld in artikel 7, §§ 1 en 4, gestuurd. Art. 12.§ 1. Om de in artikel 11 bedoelde aanbieders te identificeren, past de sectorale overheid de volgende criteria toe: a) de entiteit verleent een dienst die van essentieel belang is voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten;b) de verlening van die dienst is afhankelijk van netwerk- en informatiesystemen;en c) een incident kan aanzienlijke verstorende effecten hebben voor de verlening van die dienst, rekening houdend met de in artikel 13 bedoelde criteria en weerslagniveaus of drempelwaarden. § 2. Behoudens tegenbewijs wordt de verlening van een essentiële dienst geacht afhankelijk te zijn van netwerk- en informatiesystemen. Art. 13.§ 1. Om het belang van het in artikel 12, § 1, c), bedoelde verstorende effect vast te stellen, bepaalt de sectorale overheid sectorale en/of intersectorale criteria, weerslagniveaus of drempelwaarden voor haar sector. Het aanzienlijke verstorende effect staat vast zodra de potentiële aanbieder van essentiële diensten aan een drempelwaarde of weerslagniveau voldoet. Binnen de grenzen van hun respectievelijke bevoegdheden overleggen de autoriteiten bedoeld in artikel 7, §§ 1 en 4, met de sectorale overheid om de criteria, weerslagniveaus en drempelwaarden te bepalen, in voorkomend geval na raadpleging van de betrokken gewesten of gemeenschappen en van de vertegenwoordigers van de in bijlage I bedoelde entiteiten. § 2. De sectorale overheid houdt minstens rekening met de volgende intersectorale criteria op basis van de beschikbare informatie: a) het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende dienst;b) de afhankelijkheid van de andere in bijlage I bedoelde sectoren van de door die entiteit verleende dienst;c) de gevolgen die incidenten kunnen hebben, wat betreft mate en duur, voor economische of maatschappelijke activiteiten of de openbare veiligheid;d) het marktaandeel van die entiteit;e) de omvang van het geografische gebied dat door een incident kan worden getroffen;f) het belang van de entiteit voor de instandhouding van een toereikend dienstverleningsniveau, rekening houdend met de beschikbare alternatieven voor het verlenen van die dienst. § 3. Na advies van de autoriteiten bedoeld in artikel 7 en raadpleging van de betrokken gewesten en gemeenschappen kan de Koning deze intersectorale criteria aanvullen. Art. 14.De potentiële aanbieder van essentiële diensten bezorgt, op verzoek van een autoriteit bedoeld in artikel 7, alle nuttige informatie over zijn eventuele identificatie als aanbieder van essentiële diensten, met inbegrip van de informatie die toelaat te objectiveren of de verlening van de essentiële dienst al dan niet afhankelijk is van netwerk- en informatiesystemen. De door de potentiële aanbieder overgezonden relevante informatie wordt meegedeeld aan de andere autoriteiten bedoeld in artikel 7. Art. 15.§ 1. De sectorale overheid bezorgt de autoriteiten bedoeld in artikel 7, §§ 1 en 4, een met redenen omkleed voorstel van lijst van aanbieders van essentiële diensten van haar sector, samen met een of meer toegepaste identificatiecriteria. Wanneer de sectorale overheid geen enkele aanbieder van essentiële diensten binnen een sector of deelsector heeft voorgesteld, licht ze de redenen hiervoor schriftelijk toe. De autoriteiten bedoeld in artikel 7, §§ 1 en 4, brengen, binnen de grenzen van hun respectievelijke bevoegdheden, advies uit over het met redenen omklede voorstel van lijst, in voorkomend geval na raadpleging van de gewesten en gemeenschappen. § 2. Wanneer de sectorale overheid vaststelt dat de entiteit die zij voornemens is aan te wijzen als aanbieder van essentiële diensten een of meer essentiële diensten in minstens één andere lidstaat van de Europese Unie verleent, brengt ze de autoriteiten bedoeld in artikel 7, §§ 1 en 4, daarvan op de hoogte. Deze laatsten organiseren, in samenwerking met de betrokken sectorale overheden, de besprekingen met de betrokken buitenlandse nationale autoriteit of autoriteiten en, in voorkomend geval, met de betrokken gewesten of gemeenschappen. § 3. De sectorale overheid stelt de aanbieder in kennis van haar met redenen omklede beslissing betreffende zijn aanwijzing als aanbieder van essentiële diensten. Deze kennisgeving gebeurt op beveiligde wijze. Ze bezorgt ook een kopie van deze beslissing aan de autoriteiten bedoeld in artikel 7, §§ 1 en 4. In voorkomend geval brengt de sectorale overheid de betrokken gewesten en/of gemeenschappen hiervan op de hoogte. Art. 16.Binnen drie maanden na zijn aanwijzing bezorgt de aanbieder van essentiële diensten de sectorale overheid een beschrijving van de netwerk- en informatiesystemen waarvan de verlening van de betrokken essentiële dienst of diensten afhankelijk is. De sectorale overheid bezorgt deze beschrijving aan de autoriteit bedoeld in artikel 7, § 1. Art. 17.Onverminderd de eventuele toepassing van de wet van 11 december 1998Relevante gevonden documenten type wet prom. 11/12/1998 pub. 28/12/2023 numac 2023047806 bron federale overheidsdienst binnenlandse zaken Wet betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst. - Officieuze coördinatie in het Duits type wet prom. 11/12/1998 pub. 07/05/1999 numac 1999007004 bron ministerie van landsverdediging Wet betreffende de classificatie en de veiligheidsmachtigingen type wet prom. 11/12/1998 pub. 03/02/1999 numac 1999009051 bron ministerie van justitie Wet tot omzetting van de richtlijn 95/46/EG van 24 oktober 1995 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrij verkeer van die gegevens sluiten worden de bestuursdocumenten betreffende de toepassing van dit hoofdstuk als bestuursdocumenten beschouwd die verband houden met de veiligheid van de bevolking, de openbare orde en de veiligheid, in de zin van artikel 6, § 1, van de wet van 11 april 1994 betreffende de openbaarheid van bestuur, en die niet het voorwerp mogen uitmaken van inzage, uitleg of mededeling in afschrift voor het publiek. Art. 18.§ 1. In afwijking van artikel 11 wijst de sectorale overheid de exploitanten van kritieke infrastructuren aan, zoals aangeduid krachtens artikel 8 van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten1 en artikel 6 van het koninklijk besluit van 2 december 2011 betreffende de kritieke infrastructuren in de deelsector van het luchtvervoer, als aanbieders van essentiële diensten, wanneer hun sector is opgenomen in bijlage I van deze wet en de verlening van hun essentiële diensten afhankelijk is van netwerk- en informatiesystemen. Deze aanwijzing gebeurt in overleg met de autoriteiten bedoeld in artikel 7, §§ 1 en 4, binnen de grenzen van hun respectievelijke bevoegdheden. § 2. Behoudens tegenbewijs wordt de exploitatie van een kritieke infrastructuur geacht afhankelijk te zijn van netwerk- en informatiesystemen. § 3. De exploitant bezorgt de sectorale overheid, op haar verzoek of op verzoek van de autoriteiten bedoeld in artikel 7, §§ 1 en 4, alle nuttige informatie over zijn eventuele identificatie als aanbieder van essentiële diensten, met inbegrip van de informatie die toelaat te objectiveren of hij al dan niet afhankelijk is van netwerk- en informatiesystemen. De sectorale overheid bezorgt de door de exploitant meegedeelde relevante informatie aan de autoriteiten bedoeld in artikel 7, §§ 1 en 4. § 4. Artikel 15, § 3, is van toepassing op de met redenen omklede beslissing tot aanwijzing van een exploitant van een kritieke infrastructuur als aanbieder van essentiële diensten. Art. 19.De Koning kan, bij besluit vastgesteld na overleg in de Ministerraad, andere sectoren of soorten aanbieders toevoegen aan bijlage I van deze wet. HOOFDSTUK 2. - Beveiligingsmaatregelen Art. 20.De aanbieder van essentiële diensten neemt passende en evenredige technische en organisatorische maatregelen om de risico's voor de beveiliging van netwerk- en informatiesystemen waarvan zijn essentiële diensten afhankelijk zijn, te beheersen. Deze maatregelen zorgen, rekening houdend met de stand van de technische kennis, voor een niveau van fysieke en logische beveiliging van netwerk- en informatiesystemen dat is afgestemd op de risico's die zich voordoen. De aanbieder neemt ook passende maatregelen om incidenten die de beveiliging van de voor de verlening van die essentiële diensten gebruikte netwerk- en informatiesystemen aantasten, te voorkomen of de gevolgen ervan te minimaliseren, teneinde de continuïteit van deze diensten te waarborgen. Art. 21.§ 1. De aanbieder van essentiële diensten werkt een beveiligingsbeleid uit voor zijn netwerk- en informatiesystemen (hierna "I.B.B." genoemd) dat minstens de in artikel 20 bedoelde concrete beveiligingsdoelstellingen en -maatregelen bevat. § 2. De aanbieder van essentiële diensten werkt zijn I.B.B. uiterlijk uit binnen een termijn van twaalf maanden na de kennisgeving van zijn aanwijzing. Hij implementeert de in zijn I.B.B. beschreven maatregelen uiterlijk binnen een termijn van vierentwintig maanden na de kennisgeving van zijn aanwijzing. Voor een welbepaalde sector of, in voorkomend geval, per deelsector kan de bevoegde sectorale overheid deze termijn aanpassen in functie van het soort maatregelen waarin het I.B.B. voorziet. § 3. Na advies van de autoriteiten bedoeld in artikel 7 en, in voorkomend geval, na raadpleging van de betrokken gewesten of gemeenschappen kan de Koning de aanbieders van essentiële diensten van een of meer sectoren beveiligingsmaatregelen opleggen. § 4. In overleg met de autoriteit bedoeld in artikel 7, § 1, en, in voorkomend geval, na raadpleging van de gewesten of gemeenschappen kan de sectorale overheid, bij individuele administratieve beslissing, bijkomende beveiligingsmaatregelen opleggen. § 5. De maatregelen voor de fysieke en logische beveiliging van netwerk- en informatiesystemen die zijn opgenomen in het beveiligingsplan van de exploitant (B.P.E.) bedoeld in artikel 13 van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten1 en in artikel 11 van het koninklijk besluit van 2 december 2011 betreffende de kritieke infrastructuren in de deelsector van het luchtvervoer, worden gelijkgesteld met het I.B.B. indien alle in paragraaf 2 bedoelde informatie erin opgenomen is. Art. 22.§ 1. Het I.B.B. bedoeld in artikel 21, § 1, wordt tot bewijs van het tegendeel geacht conform te zijn met de beveiligingseisen bedoeld in artikel 20, indien de beveiligingsmaatregelen die het invoert voldoen aan de eisen van de norm ISO/IEC 27001 of aan een nationale, buitenlandse of internationale norm die door de Koning als gelijkwaardig wordt erkend, bij besluit vastgesteld na overleg in de Ministerraad. Het in het eerste lid bedoelde besluit wordt genomen na advies van de nationale accreditatieautoriteit, de sectorale overheid en de autoriteit bedoeld in artikel 7, § 1. § 2. De naleving van de eisen bedoeld in paragraaf 1 wordt aangetoond aan de hand van een certificaat uitgereikt door een instelling voor de conformiteitsbeoordeling die volgens de norm ISO/IEC 17021 of ISO/IEC 17065 geaccrediteerd is door de nationale accreditatieautoriteit of door een instelling die de erkenningsakkoorden van de "European Cooperation for Accreditation" medeondertekend heeft. Het uitgereikte certificaat moet betrekking hebben op het certificeringsdomein waarvoor de instelling voor de conformiteitsbeoordeling geaccrediteerd is en op de volledige inhoud van het I.B.B. Art. 23.§ 1. De aanbieder van essentiële diensten wijst zijn contactpunt aan voor de beveiliging van netwerk- en informatiesystemen en deelt de gegevens ervan mee aan de bevoegde sectorale overheid binnen een termijn van drie maanden na de kennisgeving van de aanwijzing als aanbieder van essentiële diensten, en, onverwijld, na elke actualisering van deze gegevens. De sectorale overheid stelt deze gegevens ter beschikking van de autoriteiten bedoeld in artikel 7, §§ 1, en 4. § 2. Indien er reeds een beveiligingscontactpunt bestaat krachtens nationale of internationale bepalingen die van toepassing zijn in een sector of een deelsector, bezorgt de aanbieder van essentiële diensten de contactgegevens ervan aan de sectorale overheid binnen de in paragraaf 1 bedoelde termijnen. § 3. Het in paragraaf 1 bedoelde contactpunt voor de beveiliging van netwerk- en informatiesystemen is te allen tijde beschikbaar. HOOFDSTUK 3. - Melding van incidenten Art. 24.§ 1. De aanbieder van essentiële diensten meldt onverwijld alle incidenten die aanzienlijke gevolgen hebben voor de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van de netwerk- en informatiesystemen waarvan de door hem verleende essentiële dienst of diensten afhankelijk zijn. § 2. Na advies van het nationale CSIRT, de autoriteit bedoeld in artikel 7, § 4, de sectorale overheid en, in voorkomend geval, van de betrokken gewesten of gemeenschappen, kan de Koning, per sector of deelsector, de weerslagniveaus en/of de drempelwaarden bepalen die minstens aanzienlijke gevolgen hebben in de zin van paragraaf 1. § 3. Indien geen weerslagniveaus en/of drempelwaarden als bedoeld in paragraaf 2 zijn bepaald, meldt de aanbieder alle incidenten die gevolgen hebben voor de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van de netwerk- en informatiesystemen waarvan de door hem verleende essentiële dienst of diensten afhankelijk zijn. § 4. De Koning kan verschillende meldingscategorieën creëren volgens de mate van impact van het incident. Art. 25.De melding bedoeld in artikel 24 gebeurt tegelijkertijd bij het nationale CSIRT, de sectorale overheid of haar sectorale CSIRT, en de autoriteit bedoeld in artikel 7, § 4. De meldingsplicht is van toepassing zelfs wanneer de aanbieder van essentiële diensten slechts gedeeltelijk over de relevante informatie beschikt om te bepalen of het incident een aanzienlijke impact heeft. Art. 26.§ 1. Dit hoofdstuk is van toepassing op de exploitanten van een handelsplatform in de zin van artikel 3, 6°, van de wet van 21 november 2017Relevante gevonden documenten type wet prom. 30/11/1998 pub. 18/12/1998 numac 1998007272 bron ministerie van landsverdediging Wet houdende regeling van de inlichtingen- en veiligheidsdienst sluiten5 over de infrastructuren voor de markten voor financiële instrumenten en houdende omzetting van Richtlijn 2014/65/EU. § 2. Aanbieders die behoren tot de sector financiën in de zin van bijlage I van de wet, met uitzondering van de exploitanten van een handelsplatform, melden onverwijld aan de Nationale Bank van België (NBB) alle incidenten die aanzienlijke gevolgen hebben voor de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van de netwerk- en informatiesystemen waarvan de door hen verleende essentiële dienst of diensten afhankelijk zijn. De NBB bepaalt de aanzienlijke gevolgen bedoeld in dit lid. De NBB bezorgt de melding vervolgens onverwijld aan het nationale CSIRT en de autoriteit bedoeld in artikel 7, § 4. Art. 27.De onderneming die een digitale dienst verleent aan een aanbieder van essentiële diensten en die onderworpen is aan deze wet, meldt deze aanbieder onverwijld alle incidenten die aanzienlijke gevolgen, in de zin van artikel 24, hebben voor de continuïteit van zijn essentiële diensten. Vervolgens meldt de aanbieder van essentiële diensten dit incident volgens de in dit hoofdstuk beschreven procedures. Art. 28.§ 1. Wanneer een aanbieder van essentiële diensten getroffen is door een incident met aanzienlijke gevolgen in de zin van artikel 24, is hij verplicht het incident aan te pakken en reactieve maatregelen te nemen om het op te lossen. De aanbieder van essentiële diensten blijft verantwoordelijk voor de aanpak van het incident. § 2. De aanbieder van essentiële diensten onderzoekt incidenten of verdachte gebeurtenissen die hem door het nationale CSIRT, de sectorale overheid of de autoriteit bedoeld in artikel 7, § 4, worden gemeld. Art. 29.Op basis van de informatie in de melding van de aanbieder van essentiële diensten informeert het nationale CSIRT de andere getroffen lidstaten van de Europese Unie als het incident aanzienlijke gevolgen heeft voor de continuïteit van essentiële diensten in die lidstaten. Het nationale CSIRT beschermt daarbij, overeenkomstig het Unierecht of nationale wetgeving die met het Unierecht in overeenstemming is, de veiligheids- en commerciële belangen van de aanbieder van essentiële diensten alsook de vertrouwelijkheid van de informatie in diens melding. Het nationale CSIRT bezorgt de in het eerste lid bedoelde meldingen aan de centrale contactpunten van de andere getroffen lidstaten. Art. 30.§ 1. De potentiële aanbieders van essentiële diensten mogen op vrijwillige basis incidenten melden die aanzienlijke gevolgen hebben voor de continuïteit van de door hen in België verleende diensten. Vrijwillige melding mag niet leiden tot het opleggen aan de meldende entiteit van verplichtingen waaraan zij niet zou zijn onderworpen als zij die melding niet had gedaan. § 2. Bij de behandeling van meldingen mogen het nationale CSIRT, de sectorale overheid of haar sectorale CSIRT, en de autoriteit bedoeld in artikel 7, § 4, de door deze wet opgelegde verplichte meldingen prioritair verwerken ten opzichte van vrijwillige meldingen. Vrijwillige meldingen worden enkel verwerkt wanneer die verwerking geen onevenredige of overmatige belasting vormt voor het nationale CSIRT, de sectorale overheid of haar sectorale CSIRT, en de autoriteit bedoeld in artikel 7, § 4. Art. 31.§ 1. De Koning is ermee belast de nadere regels voor de melding en rapportering van incidenten te bepalen, en een beveiligd meldingsplatform op te richten. Via dit platform kunnen aanbieders van essentiële diensten ook inbreuken in verband met persoonsgegevens melden aan de toezichthoudende autoriteiten, zoals opgelegd door artikel 33, eerste alinea, van Verordening EU 2016/679. § 2. Wanneer publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen, kan het nationale CSIRT na raadpleging van de aanbieder die de melding heeft ingediend en van de bevoegde sectorale overheid, het publiek over afzonderlijke incidenten informeren. Hierbij wordt uitsluitend algemene informatie over het incident meegedeeld. TITEL 3. - Netwerk- en informatiesystemen van digitaledienstverleners HOOFDSTUK 1. - Toepassingsgebied Art. 32.Deze titel is niet van toepassing op micro- en kleine ondernemingen zoals gedefinieerd in de aanbeveling van de Europese Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (2003/361/EG). HOOFDSTUK 2. - De beveiligingseisen Art. 33.§ 1. De digitaledienstverleners identificeren de risico's voor de beveiliging van de netwerk- en informatiesystemen die zij gebruiken voor het aanbieden in de Europese Unie van de in bijlage II bedoelde diensten en nemen passende en evenredige technische en organisatorische maatregelen om die risico's te beheersen. Deze maatregelen zorgen, rekening houdend met de stand van de technische kennis, voor een niveau van beveiliging van netwerk- en informatiesystemen dat is afgestemd op de risico's die zich voordoen, en houden rekening met de volgende aspecten: a) de beveiliging van systemen en voorzieningen;b) de behandeling van incidenten;c) het beheer van de bedrijfscontinuïteit;d) toezicht, controle en testen;e) de inachtneming van de internationale normen. § 2. De digitaledienstverleners nemen ook maatregelen om incidenten die de beveiliging van hun netwerk- en informatiesystemen aantasten, voor de in bijlage II van deze wet bedoelde diensten die in de Europese Unie worden aangeboden, te voorkomen en te minimaliseren, teneinde de continuïteit van deze diensten te waarborgen. Art. 34.De digitaledienstverleners wijzen een contactpunt aan voor de computerbeveiliging en delen de gegevens ervan mee aan de sectorale overheid die bevoegd is voor de digitaledienstverleners, alsook na elke actualisering van deze gegevens. De sectorale overheid bezorgt deze informatie aan de nationale autoriteit bedoeld in artikel 7, § 1. HOOFDSTUK 3. - Melding van incidenten Art. 35.§ 1. De digitaledienstverleners melden onverwijld ieder incident dat aanzienlijke gevolgen heeft voor de verlening van een door hen in de Europese Unie aangeboden dienst als bedoeld in bijlage II. Incidenten worden tegelijkertijd gemeld aan het nationale CSIRT, de sectorale overheid of haar sectorale CSIRT, en de autoriteit bedoeld in artikel 7, § 4, via het meldingsplatform bedoeld in artikel 31. § 2. De melding gebeurt overeenkomstig de uitvoeringsverordeningen van de Europese Commissie, waaronder de Uitvoeringsverordening (EU) 2018/151 van 30 januari 2018 tot vaststelling van toepassings-bepalingen voor Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad wat betreft de nadere specificatie van de door digitaledienstverleners in aanmerking te nemen elementen voor het beheer van de risico's in verband met de beveiliging van netwerk- en informatiesystemen en van de parameters om te bepalen of een incident aanzienlijke gevolgen heeft. De meldingen bevatten informatie om te bepalen of de eventuele grensoverschrijdende impact van het incident aanzienlijk is. Melding leidt voor de meldende partij niet tot een verhoogde aansprakelijkheid. § 3. De verplichting om een incident te melden geldt alleen wanneer de digitaledienstverlener toegang heeft tot de informatie die nodig is om de gevolgen van een incident volledig of gedeeltelijk te beoordelen. Art. 36.§ 1. Deze melding gebeurt overeenkomstig de door de Koning bepaalde nadere regels en via het platform bedoeld in artikel 31. § 2. Via het platform bedoeld in artikel 31 kunnen digitaledienstverleners ook inbreuken in verband met persoonsgegevens melden aan de toezichthoudende autoriteiten, zoals opgelegd door artikel 33, eerste alinea, van Verordening EU 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Art. 37.§ 1. Het nationale CSIRT stelt in voorkomend geval, en in het bijzonder indien het in artikel 35, paragraaf 1 bedoelde incident op minstens één andere lidstaat van de Europese Unie betrekking heeft, de andere getroffen lidstaat of lidstaten in kennis. Het nationale CSIRT beschermt daarbij, overeenkomstig de nationale wetgeving en het Unierecht, de veiligheids- en commerciële belangen van de digitaledienstverlener alsook de vertrouwelijkheid van de verstrekte informatie. § 2. Na raadpleging van de betrokken digitaledienstverlener, de sectorale overheid en, in voorkomend geval, de autoriteiten of CSIRT's van de andere betrokken lidstaten van de Europese Unie kan het nationale CSIRT het publiek informeren over afzonderlijke incidenten of eisen dat de digitaledienstverlener dit doet. Het verstrekken van deze informatie kan met name nodig zijn wanneer publieke bewustwording zou toelaten een incident te voorkomen of een lopend incident te beheersen, of wanneer de openbaarmaking van het incident anderszins in het algemeen belang is. TITEL 4. - Toezicht en sancties HOOFDSTUK 1. - Toezicht op de aanbieders van essentiële diensten Afdeling 1. - Audits Art. 38.§ 1. De aanbieder van essentiële diensten voert, jaarlijks en op zijn kosten, een interne audit uit van de netwerk- en informatiesystemen waarvan de door hem verleende essentiële diensten afhankelijk zijn. Deze interne audit moet de aanbieder van essentiële diensten toelaten zich ervan te vergewissen dat de in zijn I.B.B. bepaalde maatregelen en processen goed worden toegepast en regelmatig worden gecontroleerd. De aanbieder van essentiële diensten bezorgt de interne auditverslagen binnen de dertig dagen aan de sectorale overheid. § 2. De aanbieder van essentiële diensten laat, minstens om de drie jaar en op zijn kosten, een externe audit uitvoeren door een instelling voor de conformiteitsbeoordeling die geaccrediteerd is door de nationale accreditatieautoriteit of door een instelling die de erkenningsakkoorden van de "European Cooperation for Accreditation" medeondertekend heeft. De aanbieder van essentiële diensten bezorgt de externe auditverslagen binnen de dertig dagen aan de sectorale overheid. § 3. De aanbieder van essentiële diensten voert zijn eerste interne audit uit uiterlijk binnen de drie maanden na de uitwerking van zijn I.B.B. Hij voert zijn eerste externe audit uit uiterlijk binnen de vierentwintig maanden na de uitvoering van zijn eerste interne audit. Art. 39.§ 1. Na advies van de sectorale overheid en de autoriteit bedoeld in artikel 7, § 1, bepaalt de Koning: 1° de algemene accreditatievoorwaarden op basis van de eisen van de normen ISO/IEC 17021 of ISO/IEC 17065;2° de bijkomende sectorale eisen waaraan de instelling voor de conformiteitsbeoordeling onderworpen kan zijn;3° de regels die van toepassing zijn op de interne audit;4° de regels die van toepassing zijn op de externe audit. § 2. Bij besluit vastgesteld na overleg in de Ministerraad kan de Koning, na advies van de sectorale overheid en de autoriteit bedoeld in artikel 7, § 1, ook de voorwaarden bepalen voor een eventuele erkenning die door de sectorale overheid aan een instelling voor de conformiteitsbeoordeling wordt verleend. § 3. De lijst van de geaccrediteerde of erkende instellingen voor de conformiteitsbeoordeling is beschikbaar bij de sectorale overheid die ze actueel houdt. Art. 40.§ 1. Certificeringsaudits kunnen door de inspectiedienst of de sectorale overheid worden gelijkgesteld met de verplichte jaarlijkse interne audit bedoeld in artikel 39, § 1. De verslagen van deze audits worden binnen de dertig dagen door de aanbieder van essentiële diensten aan de sectorale overheid bezorgd. § 2. Certificeringsaudits kunnen door de inspectiedienst of de sectorale overheid worden gelijkgesteld met de verplichte externe audit bedoeld in artikel 39, § 2. De verslagen van deze audits worden binnen de dertig dagen door de aanbieder van essentiële diensten aan de sectorale overheid bezorgd. Art. 41.De autoriteit bedoeld in artikel 7, § 1, kan de sectorale overheid of de inspectiedienst, mits motivering, vragen haar de certificerings- of auditverslagen van een aanbieder van essentiële diensten te bezorgen. Afdeling 2. - Inspectiedienst Art. 42.§ 1. De inspectiediensten kunnen op elk ogenblik controles uitvoeren op de naleving door de aanbieder van essentiële diensten van de beveiligingsmaatregelen en de regels voor het melden van incidenten. § 2. De autoriteit bedoeld in artikel 7, § 1, of de sectorale overheid kan de inspectiedienst, mits motivering, aanbevelen om controles uit te voeren. Na advies van de sectorale overheid en de autoriteit bedoeld in artikel 7, § 1, kan de Koning de eventuele sectorale praktische controlemodaliteiten bepalen. § 3. Bij het formuleren van een verzoek om informatie of bewijzen vermeldt de inspectiedienst het doel van het verzoek en de termijn waarbinnen de informatie of bewijzen moeten worden verstrekt. De inspectiedienst kan een beroep doen op experten. Art. 43.Wanneer de netwerk- en informatiesystemen van een aanbieder van essentiële diensten zich buiten het Belgische grondgebied bevinden, kan de inspectiedienst, in overleg met de autoriteit bedoeld in artikel 7, § 1, de bevoegde toezichthoudende autoriteiten van deze andere landen om samenwerking en bijstand verzoeken. Deze bijstand en samenwerking kunnen betrekking hebben op informatie-uitwisseling en verzoeken om toezichtmaatregelen. Art. 44.§ 1. De leden van de inspectiedienst beschikken over een legitimatiekaart waarvan het model, per sector of, in voorkomend geval, per deelsector, door de Koning wordt bepaald. § 2. De leden van de inspectiedienst of de experten die deelnemen aan de inspectie, mogen geen enkel rechtstreeks of onrechtstreeks belang hebben in de ondernemingen of instellingen waarop zij toezicht dienen uit te oefenen, waardoor hun objectiviteit in het gedrang zou kunnen komen. Ze leggen de eed af bij de leidend ambtenaar van hun dienst. § 3. Onverminderd de bevoegdheden van de officieren van gerechtelijke politie bedoeld in artikel 8 van het Wetboek van strafvordering beschikken de beëdigde leden van de inspectiedienst op elk ogenblik over de volgende toezichtbevoegdheden bij de uitoefening van hun opdracht, en dit zowel in het kader van administratieve handelingen als in het kader van de vaststelling va …

🔗 Vers la source officielle

AI-uitleg op basis van de officiële wettekst. Indicatief, vervangt geen juridisch advies.