7 APRIL 2019. - Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (1)
FILIP, Koning der Belgen,
Aan allen die nu zijn en hierna wezen zullen, Onze Groet.
De Kamer van volksvertegenwoordigers heeft aangenomen en Wij bekrachtigen, hetgeen volgt :
TITEL 1. - Definities en algemene bepalingen
HOOFDSTUK 1. - Onderwerp en toepassingsgebied
Afdeling 1. - Onderwerp
Artikel 1. Deze wet regelt een aangelegenheid als bedoeld in artikel 74 van de Grondwet.
Art. 2. Deze wet voorziet met name in de omzetting van de Europese Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie, hierna de "NIS-richtlijn" genoemd.
Afdeling 2. - Toepassingsgebied
Art. 3. § 1. Deze wet is van toepassing op de aanbieders van essentiële diensten, zoals gedefinieerd in artikel 6, 11°, die minstens één vestiging op Belgisch grondgebied hebben en daadwerkelijk een activiteit uitoefenen die betrekking heeft op de verlening van minstens één essentiële dienst op Belgisch grondgebied.
De bepalingen van titel 1, de artikelen 13, 14 en 30, alsook hoofdstuk 3 van titel 4 zijn van toepassing op de potentiële aanbieders van essentiële diensten.
§ 2. Deze wet is van toepassing op de digitaledienstverleners, zoals gedefinieerd in artikel 6, 21°, die hun hoofdkantoor in België hebben. Een digitaledienstverlener wordt geacht zijn hoofdkantoor in België te hebben als zijn maatschappelijke zetel zich daar bevindt.
Deze wet is ook van toepassing op de digitaledienstverleners die niet in de Europese Unie gevestigd zijn wanneer zij in België diensten verlenen als bedoeld in bijlage II en hun vertegenwoordiger in België gevestigd is in het kader van de NIS-richtlijn.
Art. 4. § 1. De beveiligings- en meldingseisen bedoeld in deze wet zijn niet van toepassing op ondernemingen die onderworpen zijn aan de eisen van de artikelen 114 en 114/1 van de wet van 13 juni 2005 betreffende de elektronische communicatie, wat hun activiteiten betreft op het gebied van het aanbieden van openbare elektronische-communicatienetwerken of openbare elektronische-communicatiediensten, en op verleners van vertrouwensdiensten die onderworpen zijn aan de eisen van artikel 19 van de Europese Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, wat hun activiteiten inzake vertrouwensdiensten betreft.
§ 2. Wanneer een sectorspecifieke rechtshandeling van de Europese Unie vereist dat aanbieders van essentiële diensten of digitaledienstverleners zorgen voor de beveiliging van hun netwerk- en informatiesystemen of voor de melding van incidenten, en op voorwaarde dat die eisen ten minste feitelijk gelijkwaardig zijn aan de verplichtingen van deze wet, kunnen de bepalingen betreffende de beveiliging van netwerk- en informatiesystemen en de melding van incidenten van deze handeling afwijken van de bepalingen van deze wet.
De Koning is ermee belast de eventuele gelijkwaardige sectorspecifieke handelingen, als bedoeld in het eerste lid, nader te bepalen.
§ 3. Deze wet is niet van toepassing op de aanbieders die behoren tot de sector financiën in de zin van bijlage I bij deze wet, met uitzondering van de bepalingen van titel I, hoofdstuk 1 van titel II en van artikel 26.
In afwijking van het eerste lid is artikel 52 van toepassing op de aanbieders die behoren tot de sector financiën in de zin van bijlage I bij deze wet, met uitzondering van de exploitanten van een handelsplatform in de zin van artikel 3, 6°, van de wet van 21 november 2017 over de infrastructuren voor de markten voor financiële instrumenten en houdende omzetting van Richtlijn 2014/65/EU.
De sectorale overheden en de aanbieders die behoren tot de sector financiën in de zin van bijlage I bij deze wet zijn onderworpen aan de artikelen 65 tot 73.
In afwijking op wat voorafgaat zijn de artikelen 65 tot 73 niet van toepassing op de betrokken sectorale overheid wanneer deze laatste optreedt in de gevallen bedoeld in artikel 46bis van de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten, of in artikel 12quater van de wet van 22 februari 1998 tot vaststelling van het organiek statuut van de Nationale Bank van België.
§ 4. Deze wet is niet van toepassing wanneer en voor zover er maatregelen voor de beveiliging van netwerk- en informatiesystemen bestaan krachtens de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle.
In afwijking van het eerste lid is deze wet van toepassing op de elementen van een nucleaire installatie bestemd voor de industriële productie van elektriciteit die dienen voor de transmissie van de elektriciteit.
Art. 5. § 1. Onder voorbehoud van de bepalingen van titel 6 doet deze wet geen afbreuk aan de toepassing van Verordening EU 2016/679 of aan de wettelijke en reglementaire bepalingen die deze verordening aanvullen of verduidelijken.
§ 2. Deze wet doet geen afbreuk aan de toepassing van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, aan de artikelen 259bis, 314bis, 380, 382quinquies, 383bis, 383bis/1, 433septies, 433novies/1, 458bis, 550bis en 550ter van het Strafwetboek, of aan andere bepalingen van het Belgisch recht tot omzetting van Richtlijn 2011/92/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad, en van Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad.
§ 3. Deze wet doet geen afbreuk aan de regels die van toepassing zijn op de verwerking van informatie, documenten of gegevens, materieel, materialen of stoffen, in welke vorm ook, die geclassificeerd zijn overeenkomstig de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheids-adviezen.
§ 4. Deze wet doet geen afbreuk aan de regels die van toepassing zijn op de nucleaire documenten, in de zin van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle.
HOOFDSTUK 2. - Definities
Art. 6. Voor de toepassing van deze wet moet worden verstaan onder:
-
"nationaal CSIRT": het nationale computer security incident response team, aangewezen door de Koning;
-
"sectorale overheid": de overheid aangewezen door de wet of de Koning bij besluit vastgesteld na overleg in de Ministerraad;
-
"sectoraal CSIRT": het sectorale computer security incident response team, aangewezen door de Koning;
-
"toezichthoudende autoriteit persoonsgegevens": toezichthoudende autoriteit in de zin van artikel 4, 21°, van Verordening EU 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
-
"instelling voor de conformiteitsbeoordeling": instelling bedoeld in artikel I.9.7° van het Wetboek van economisch recht;
-
"certificeringsaudit": een audit uitgevoerd in het kader van een certificering bedoeld in artikel 22, § 2;
-
"nationale accreditatieautoriteit": instelling die door de Koning is opgericht in uitvoering van artikel VIII.30 van het Wetboek van economisch recht;
-
"netwerk- en informatiesysteem":
-
een elektronische-communicatienetwerk in de zin van artikel 2, 3°, van de wet van 13 juni 2005 betreffende de elektronische communicatie;
-
een apparaat of groep van permanent of tijdelijk gekoppelde of bij elkaar behorende apparaten, waarvan een of meer elementen, in uitvoering van een programma, digitale gegevens automatisch verwerken, met inbegrip van de digitale, elektronische of mechanische componenten van dat apparaat die met name de automatisering van het operationele proces, de controle op afstand of het verkrijgen van werkingsgegevens in real time mogelijk maken;
-
of digitale gegevens die via in de bepalingen onder a) en b), bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan;
-
-
"beveiliging van netwerk- en informatiesystemen": het vermogen van netwerk- en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar brengen;
-
"nationale strategie voor de beveiliging van netwerk- en informatiesystemen": een kader met strategische doelstellingen en prioriteiten op het gebied van de beveiliging van netwerk- en informatiesystemen op nationaal niveau;
-
"aanbieder van essentiële diensten": een publieke of private entiteit die actief is in België in een van de sectoren opgenomen in bijlage I bij deze wet, die aan de criteria bedoeld in artikel 12, § 1, voldoet en die als dusdanig is aangewezen door de sectorale overheid;
-
"potentiële aanbieder van essentiële diensten": een publieke of private entiteit die in België actief is in een van de sectoren opgenomen in bijlage I bij deze wet, maar niet is aangewezen als aanbieder van essentiële diensten;
-
"incident": elke gebeurtenis met een reële negatieve impact op de beveiliging van netwerk- en informatiesystemen;
-
...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI