25 JANUARI 2019. - Koninklijk besluit tot goedkeuring van het reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017 houdende het toezicht op verwerkers van betalingstransacties
FILIP, Koning der Belgen,
Aan allen die nu zijn en hierna wezen zullen, Onze Groet.
Gelet op de wet van 22 februari 1998 tot vaststelling van het organiek statuut van de Nationale Bank van België, artikel 8, § 2;
Gelet op de wet van 24 maart 2017 houdende het toezicht op verwerkers van betalingstransacties, de artikelen 8, tweede lid, 11, § 5, 12, § 6 en 13, § 3 en § 4;
Op de voordracht van de Minister van Financiën,
Hebben Wij besloten en besluiten Wij :
Artikel 1. Het bij dit besluit gevoegde reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017 houdende het toezicht op verwerkers van betalingstransacties wordt goedgekeurd.
Art. 2. Dit besluit treedt in werking op de dag dat het in het Belgisch Staatsblad wordt bekendgemaakt.
Art. 3. De minister bevoegd voor Financiën is belast met de uitvoering van dit besluit.
Gegeven te Brussel, 25 januari 2019.
FILIP
Van Koningswege :
De Vice-Eerste Minister en Minister van Financiën,
A. DE CROO
Bijlage bij het koninklijk besluit van 25 januari 2019 tot goedkeuring van het reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017 houdende het toezicht op verwerkers van betalingstransacties
De Nationale Bank van België,
Gelet op de wet van 22 februari 1998 tot vaststelling van het organiek statuut van de Nationale Bank van België, artikel 8;
Gelet op de wet van 24 maart 2017 houdende het toezicht op verwerkers van betalingstransacties, de artikelen 8, tweede lid, 11, § 5, 12, § 6 en 13, §§ 3 en 4,
Besluit :
HOOFDSTUK 1. - Definities
Artikel 1. Voor de toepassing van dit reglement wordt verstaan onder:
-
"de wet": de wet van 24 maart 2017 houdende het toezicht op verwerkers van betalingstransacties;
-
"verwerker": iedere systeemrelevante verwerker als bedoeld in de wet.
Voor het overige gelden de definities van artikel 3 van de wet voor de toepassing van dit reglement.
HOOFDSTUK 2. - Verplichtingen van de uitbater van een betalingsschema
Art. 2. Dit hoofdstuk legt de modaliteiten vast van de in artikel 8 van de wet bedoelde verplichtingen.
Art. 3. § 1. Wanneer er een contractuele relatie bestaat tussen de uitbater van een betalingsschema en een verwerker, of wanneer de uitbater van een betalingsschema de verwerker verplicht een vergunning (een licentie of een gelijkwaardig document) te verkrijgen voor de verwerking van zijn transacties, moet de uitbater van het betalingsschema over een procedure beschikken om zich ervan te vergewissen dat de verwerker kan voldoen aan de bepalingen van Hoofdstuk 3 van de wet, waarbij in het bijzonder rekening wordt gehouden met het vermogen van de verwerker om de wijzigingen en aanpassingen die hij in zijn systemen moet aanbrengen om de via het betalingsschema uit te voeren transacties te verwerken, te implementeren.
§ 2. De zorgvuldigheid die van de uitbater van het betalingsschema wordt vereist, dient in acht te worden genomen:
-
wanneer een niet-systeemrelevante verwerker waarop een beroep wordt gedaan door het schema, systeemrelevant wordt en de verwerker daarvan in kennis wordt gesteld door de Bank;
-
vóór de relatie met de verwerker wordt aangegaan. De uitbater van het betalingsschema gaat geen contractuele relatie aan met een verwerker die hij na analyse niet in staat acht te voldoen aan Hoofdstuk 3 van de wet;
-
tijdens de relatie met de verwerker. De uitbater van het betalingsschema dient van de verwerker jaarlijks bevestiging te krijgen dat hij nog steeds voldoet aan Hoofdstuk 3 van de wet. Die bevestiging wordt door een interne auditor van de verwerker of door een externe auditor gegeven of gevalideerd.
§ 3. De uitbater van het betalingsschema houdt de documentatie van de in de eerste paragraaf bedoelde procedure, evenals de analyses die hij op grond van die procedure heeft uitgevoerd of laat uitvoeren en de jaarlijkse attesten van de verwerkers met wie hij op contractuele basis samenwerkt, ter beschikking van de Bank.
HOOFDSTUK 3. - Risico-identificatie en -beheer
Afdeling 1. - Ontwerp van de systemen
Art. 4. Deze afdeling legt de modaliteiten vast van de in artikel 11, § 2, van de wet bedoelde verplichtingen.
Art. 5. Elke verwerker neemt preventief alle redelijke maatregelen om de door hem geïdentificeerde operationele en veiligheidsrisico's te beperken.
Art. 6. Elke verwerker neemt de nodige cyberveiligheidsmaatregelen en waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van al zijn fysieke en logische middelen en van gevoelige betalingsgegevens, ongeacht of deze zijn opgeslagen of worden verstuurd of verwerkt. De verwerker past met name, maar niet uitsluitend, de volgende principes toe:
-
een benadering van het type "verdediging in de diepte" (defence in depth), waarbij gelaagde en opeenvolgende controles van het personeel, de processen en de gebruikte technologie worden uitgevoerd;
-
segregatie in de IT-omgevingen (ontwikkeling, integratie, productie) en in de door het personeel uit te voeren taken. Het personeel wordt terdege opgeleid en gecontroleerd en heeft toegang tot de functies en de gegevens op "need-to-know"-basis. Voorts krijgen de personeelsleden enkel toegang tot de middelen die noodzakelijk zijn om hun taken uit te voeren en hun verantwoordelijkheden uit te oefenen ("least privilege"-beginsel). De toewijzing van toegangsprivileges wordt regelmatig en minstens eenmaal per jaar herzien en in elk geval (a) bij een overplaatsing binnen de onderneming, (b) bij de lancering van nieuwe diensten, (c) bij elke wijziging die invloed heeft op een dienstverlening en (d) bij incidenten die, zelfs gedeeltelijk, worden veroorzaakt door ongepaste toegang tot een of meerdere middelen. Over de toegangen worden er logs gecreëerd, die bewaard worden gedurende een periode die gecorreleerd is aan de kritikaliteit van de functie, het proces of de informatiemiddelen (information asset). Die logs worden met name gebruikt om de identificatie en het onderzoek van bij het verlenen van diensten vastgestelde abnormale activiteiten te vergemakkelijken.
Art. 7. Elke verwerker beschikt over passende fysieke veiligheidsmaatregelen om met name alle gegevens die door hem worden verwerkt, en de voor die diensten gebruikte ICT-systemen te beveiligen.
Art. 8. Elke verwerker beschikt over een formeel proces voor het beheer van de wijzigingen, dat ervoor zorgt dat deze wijzigingen naar behoren gepland, getest, gedocumenteerd en goedgekeurd worden. Afhankelijk van de vastgestelde veiligheidsdreigingen en van de geplande wijzigingen omvatten die tests scenario's waarin met name wordt uitgegaan van bekende of plausibele aanvallen. De verwerker bepaalt of de wijzigingen in zijn operationele omgeving op enigerlei wijze gevolgen hebben voor de bestaande veiligheidsmaatregelen, dan wel de invoering van bijkomende risicobeperkende maatregelen vereisen.
Art. 9. Elke verwerker controleert regelmatig of alle programma's die hij voor zijn dienstverlening gebruikt, permanent worden bijgewerkt en dat de kritieke patches (correcties) en in het bijzonder die welke verband houden met de beveiliging, onverwijld worden toegepast. Mechanismen voor integriteitscontrole verifiëren voortdurend de integriteit van de toepassingen, van de "microprogramma's/microsoftware" (firmware), en van de gegevens die bij het verrichten van de verwerkingsdiensten worden gebruikt.
Art. 10. Elke verwerker controleert voortdurend het niveau van benutting van de gebruikte informaticamiddelen en zorgt ervoor dat hij te allen tijde over voldoende reservecapaciteit beschikt om onverwachte schommelingen in de activiteiten te kunnen opvangen. Die controle wordt ook over lange periodes uitgevoerd om ontwikkelingen te kunnen opsporen en, in voorkomend geval, belangrijke infrastructuuraanpassingen voldoende van tevoren te kunnen plannen.
De Bank kan richtlijnen uitvaardigen om te bepalen welke aanpassingen belangrijk zijn. In geval van twijfel over het belang van de aanpassingen raadpleegt de verwerker de Bank.
Art. 11. Elke verwerker houdt rekening met het waarschijnlijke verloop van zijn activiteiten bij de keuze van de door hem gebruikte infrastructuur en technologieën.
Art. 12. Elke verwerker evalueert en implementeert maatregelen ter aanvulling van de in de artikelen 5 tot 11 bedoelde maatregelen, die moeten worden genomen om de in artikel 11, § 2, van de wet vermelde...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI