Information juridique intelligente
 Belgique | 1-800-335-6202

Koninklijk besluit tot uitvoering van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, de 12 juillet 2019

Document Cited authorities 2 Cited in Related
Vincent

HOOFDSTUK 1. Onderwerp

Artikel 1. Dit besluit voorziet in de omzetting van de Europese richtlijn (EU) 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (de "NIS-richtlijn").

HOOFDSTUK 2. Definities

Art. 2. Voor de toepassing van dit koninklijk besluit wordt verstaan onder:

  1. "wet": de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid;

  2. "CCB": het Centrum voor Cybersecurity België opgericht bij het koninklijk besluit van 10 oktober 2014;

  3. "ADCC": de Algemene Directie Crisiscentrum van de Federale Overheidsdienst Binnenlandse Zaken, opgericht bij het koninklijk besluit van 18 april 1988 tot oprichting van het coördinatie- en Crisiscentrum van de regering;

  4. "meldingsplatform": het platform voor de melding van incidenten bedoeld in artikel 31 van de wet.

    HOOFDSTUK 3. Bevoegde autoriteiten

    Art. 3. § 1. Het CCB wordt aangewezen als de autoriteit bedoeld in artikel 7, § 1, en artikel 10, § 1, van de wet.

    Het CCB wordt aangewezen als het nationale CSIRT bedoeld in artikel 7, § 2, van de wet.

    § 2. De ADCC wordt aangewezen als de autoriteit bedoeld in artikel 7, § 4, van de wet.

    § 3. De sectorale overheden bedoeld in artikel 7, § 3, van de wet worden aangewezen in bijlage 1.

    § 4. De inspectiediensten bedoeld in artikel 7, § 5, van de wet worden aangewezen in bijlage 2.

    Art. 4. § 1. Voor de kritieke infrastructuren van de sector gezondheidszorg wordt de sectorale overheid bedoeld in artikel 3, 3°, f), van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren aangewezen in bijlage 1, punt c).

    § 2. Voor de kritieke infrastructuren van de sector gezondheidszorg wordt de inspectiedienst bedoeld in artikel 24, § 2, van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren aangewezen in bijlage 2, punt a).

    HOOFDSTUK 4. Melding en verwerking van incidenten

    Afdeling 1. Toepassingsgebied en meldingsplatform

    Art. 5. Dit hoofdstuk is van toepassing op de meldingen van incidenten bedoeld in de artikelen 24, 26, § 1, 27, 31 en 35 van de wet van 7 april 2019.

    Art. 6. Een beveiligd meldingsplatform wordt opgericht met het oog op:

  5. het melden van beveiligingsincidenten door aanbieders van essentiële diensten en digitaledienstverleners aan het nationale CSIRT, de sectorale overheid of haar sectorale CSIRT, en de ADCC, krachtens de wet van 7 april 2019;

  6. het eventueel melden van inbreuken in verband met persoonsgegevens door aanbieders van essentiële diensten en digitaledienstverleners aan een toezichthoudende autoriteit persoonsgegevens, zoals bepaald in artikel 31, § 1, tweede lid, en in artikel 36, § 2, van de wet.

    Art. 7. De aanbieders van essentiële diensten en digitaledienstverleners hebben via internet toegang tot het in artikel 6 bedoelde platform door middel van een beveiligde verbinding en een voor elke aanbieder van essentiële diensten of digitaledienstverlener unieke identificatiesleutel.

    Afdeling 2. Meldingen

    Art. 8. § 1. De melding gebeurt via het meldingsplatform met behulp van het formulier voor het melden van incidenten dat is opgesteld door het nationale CSIRT.

    De melding omvat alle beschikbare informatie die toelaat de aard, de oorzaken, de effecten en de gevolgen van het incident te bepalen.

    § 2. Wanneer de aanbieder van essentiële diensten of digitaledienstverlener niet alle in het formulier gevraagde informatie kan verstrekken met behulp van de gegevens waarover hij beschikt, vult hij de oorspronkelijke melding via het meldingsplatform aan zodra de ontbrekende informatie beschikbaar is.

    § 3. Hij doet dit eveneens in geval van nieuwe informatie of belangrijke ontwikkelingen.

    § 4. Op verzoek van het nationale CSIRT, de ADCC, de sectorale overheid of haar sectorale CSIRT meldt de aanbieder van essentiële diensten of digitaledienstverlener via het meldingsplatform een actualisering van het meldingsformulier waarin hij de behandeling van het incident beschrijft vanaf het ontdekken tot het afsluiten ervan en alle informatie van het meldingsformulier overneemt.

    Art. 9. Indien het meldingsplatform bedoeld in artikel 6 niet beschikbaar is, informeert het nationale CSIRT de aanbieders van essentiële diensten en digitaledienstverleners over de te gebruiken operationele meldingsmodaliteiten.

    Afdeling 3. Verwerking van het incident

    Art. 10. § 1. Het nationale CSIRT, de sectorale overheid of haar sectorale CSIRT, of de ADCC kunnen de aanbieder van essentiële diensten of digitaledienstverlener bijkomende informatie vragen over diens meldingen.

    § 2. Wanneer de omstandigheden dit toelaten, verstrekt het nationale CSIRT de aanbieder van essentiële diensten of digitaledienstverlener die de melding heeft ingediend, alle informatie die nuttig is voor de opvolging van diens melding, en, in voorkomend geval, alle informatie die kan bijdragen tot een doeltreffende behandeling van het incident.

    § 3. Onverminderd de regels die van toepassing zijn op het crisisbeheer bij cyberincidenten, bedoeld in artikel 3, 5°, van het koninklijk besluit van 10 oktober 2014 tot oprichting van het Centrum voor Cybersecurity België, coördineert het nationale CSIRT de verwerking van de meldingen op nationaal en internationaal niveau.

    Afdeling 4. Protocolakkoord

    Art. 11. Het nationale CSIRT, de sectorale overheden en de ADCC sluiten een protocolakkoord om de operationele modaliteiten vast te leggen voor:

  7. het beheer van het meldingsplatform;

  8. de verwerking van meldingen bedoeld in artikel 8, § 3;

  9. de verzoeken om bijkomende informatie gericht aan de aanbieder van essentiële diensten of digitaledienstverlener bedoeld in artikel 6, § 4.

    HOOFDSTUK 5. Vrijwillige meldingen

    Art. 12. § 1. De vrijwillige meldingen bedoeld in artikel 30 van de wet worden rechtstreeks naar het nationale CSIRT gestuurd.

    § 2. De operationele modaliteiten van deze melding worden bepaald door het nationale CSIRT en op zijn website bekendgemaakt.

    § 3. Het nationale CSIRT bezorgt de informatie over deze meldingen aan de ADCC en aan de mogelijk belanghebbende sectorale overheden of sectorale CSIRT's.

    HOOFDSTUK 6. Afwijkingen

    Art. 13. Er wordt afgeweken van hoofdstuk IV en V voor de melding van inbreuken in verband met persoonsgegevens, die onderworpen blijft aan de wettelijke regels of de regels opgelegd door de toezichthoudende autoriteit persoonsgegevens bedoeld in artikel 6, 4°, van de wet van 7 april 2019.

    HOOFDSTUK 7. Instellingen voor de conformiteitsbeoordeling

    Art. 14. De instellingen voor de conformiteitsbeoordeling die geaccrediteerd wensen te worden voor de externe audit en certificering van aanbieders van essentiële diensten, bedoeld in de artikelen 22, § 2, en 38, § 2, van de wet, of voor de externe audit van digitaledienstverleners, moeten een aanvraag indienen bij de nationale accreditatie-autoriteit of bij een instelling die de erkenningsakkoorden van de "European Cooperation for Accreditation" medeondertekend heeft.

    Om daarvoor te worden geaccrediteerd, moet de instelling voor de conformiteitsbeoordeling de volgende voorwaarden vervullen:

  10. op ieder ogenblik voldoen aan de accreditatiecriteria van de normen ISO/IEC 17021 of ISO/IEC 17065. Deze normen specificeren (a) de algemene en specifieke eisen die gelden voor instellingen die audits en certificering van managementsystemen uitvoeren en; (b) voorschriften om ervoor te zorgen dat certificeringsinstellingen certificeringsregelingen op competente, consistente en onpartijdige wijze uitvoeren;

  11. voldoen aan de werkingsprocedures van het accreditatiesysteem die van toepassing zijn op de geaccrediteerde instellingen.

    HOOFDSTUK 8. Slotbepalingen

    Art. 15. Dit besluit treedt in werking de dag waarop het in het Belgisch Staatsblad wordt bekendgemaakt.

    Art. 16. De Eerste Minister en de Minister bevoegd voor veiligheid en binnenlandse zaken zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.

    BIJLAGEN.

    Art. N1. Bijlage 1.

    De door Ons aangewezen sectorale overheden :

    1. voor de sector energie: de federale Minister bevoegd voor Energie of, bij delegatie door deze laatste, een leidend personeelslid van zijn/haar administratie (in voorkomend geval kan de Minister per deelsector een andere gemachtigde aanwijzen);

    2. voor de sector vervoer:

      - Voor wat betreft de sector vervoer, met uitzondering van het vervoer over wateren toegankelijk voor zeeschepen: de federale Minister bevoegd voor Vervoer of, bij delegatie door deze laatste, een leidend personeelslid van zijn/haar administratie (in voorkomend geval kan de Minister per deelsector een andere gemachtigde aanwijzen);

      - Voor wat betreft het vervoer over wateren toegankelijk voor zeeschepen: de federale Minister bevoegd voor Maritieme Mobiliteit of, bij delegatie door deze laatste, een leidend personeelslid van zijn/haar administratie (in voorkomend geval kan de Minister per deelsector een andere gemachtigde aanwijzen);

    3. voor de sector gezondheidszorg: de federale Minister bevoegd voor Volksgezondheid of, bij delegatie door deze laatste, een leidend personeelslid van zijn/haar administratie (in voorkomend geval kan de Minister per deelsector een andere gemachtigde...

Pour continuer la lecture

SOLLICITEZ VOTRE ESSAI

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT