Sicherheit von Netz- und Informationssystemen

Das Gesetz über die elektronische Kommunikation

Unter „Gesetz über die elektronische Kommunikation“ ist das Gesetz vom 13. Juni 2005 über die elektronische Kommunikation zu verstehen.

Informationen zum Begriff „Betreiber“ finden Sie unter folgendem Link.

Verpflichtungen für alle Betreiber

Die Anbieter müssen:

die Sicherheitsrisiken ihrer Netze und Dienste analysieren (Artikel 107/2, § 1, Absatz 1). Siehe unten den Abschnitt über die Risikoanalyse;
angemessene und verhältnismäßige technische und organisatorische Maßnahmen, gegebenenfalls einschließlich Verschlüsselung, ergreifen, um diese Risiken angemessen zu bewältigen sowie die Auswirkungen von Sicherheitsvorfällen sowohl auf die Nutzer als auch auf andere Netze und Dienste zu verhindern und zu begrenzen (Artikel 107/2, § 1, Absatz 2);
alle erforderlichen Maßnahmen, einschließlich vorbeugender Maßnahmen, ergreifen, um die möglichst vollständige Verfügbarkeit von Sprachkommunikationsdiensten und Internetzugangsdiensten im Falle eines außergewöhnlichen Netzausfalls oder höherer Gewalt zu gewährleisten (Artikel 107/2, § 3).

Ein Anbieter muss eine Meldung machen (siehe auch die Rubrik „Praktische Informationen“):

an das BIPT im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in einem öffentlichen elektronischen Kommunikationsnetz oder einem öffentlich zugänglichen elektronischen Kommunikationsdienst und die von dieser Gefahr potenziell betroffenen Nutzer, darüber informieren (Art 107/3, § 1);
an das BIPT im Falle eines Sicherheitsvorfalls, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte. Was unter „beträchtliche Auswirkungen“ und die Meldungsbedingungen zu verstehen ist, wurde im Beschluss vom 14. Dezember 2017 festgelegt (siehe die Rubrik „Praktische Informationen“);
an die Datenschutzbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste verarbeitet werden. Diese Behörde ist ihrerseits verpflichtet, das BIPT unverzüglich darüber zu informieren. In bestimmten Fällen muss der Teilnehmer, der von dem Verstoß betroffen ist, ebenfalls benachrichtigt werden. Das BIPT und die Datenschutzbehörde arbeiten zusammen, um den Vorfall zu bewältigen (Art. 107/3, §§ 3 und 4).

Neben dem Gesetz über das Statut des BIPT (Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors) ist der Rechtsrahmen der folgende:

Artikel 2, 68°; 107/2 bis 107/4 des Gesetzes über die elektronische Kommunikation;
Verordnung (EU) der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten;
Beschluss vom 14. Dezember 2017 über die Schwellen und nähere Bedingungen für Meldung von Sicherheitszwischenfällen im Bereich der elektronischen Kommunikation.

Ministerielle Genehmigung im Zusammenhang mit der Bereitstellung eines 5G-Netzes

Die folgenden Verpflichtungen ergeben sich aus Artikel 105 des Gesetzes über die elektronische Kommunikation und dem Königlichen Erlass vom 16. April 2023 über die ministerielle Genehmigung im Zusammenhang mit dem 5G-Netzausbau (im Folgenden: Königlicher Erlass über die ministerielle Genehmigung):

Verpflichtungen für:	Verpflichtungen:
die folgenden Unternehmen, wenn sie ein 5G-Netz anbieten: MNOs (Mobile Network Operator, siehe Definition in Art. 2 89° des oben genannten Gesetzes); „Full“ MVNOs (Mobile Virtual Network Operator, siehe Definition in Art. 2 90° des oben genannten Gesetzes), d.h. MVNOs, die über bestimmte Netzelemente verfügen; die Aktiengesellschaft A.S.T.R.I.D.; Unternehmen, die als Betreiber kritischer Infrastrukturen im Sinne des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen bezeichnet wurden, sofern Elemente des privaten 5G-Netzes in einer dieser kritischen Infrastrukturen genutzt werden; Unternehmen, die als Betreiber wesentlicher Dienste im Sinne des Gesetzes vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit (NIS-Gesetz) bezeichnet wurden, sofern bei der Bereitstellung eines wesentlichen Dienstes das private 5G-Netz genutzt wird.	eine ministerielle Genehmigung beantragen und erhalten, bevor sie ein Element des 5G-Netzes nutzen können (Vorabgenehmigung), oder; wenn dieses Netzelement bei Inkrafttreten des Königlichen Erlasses über die ministerielle Genehmigung bereits genutzt wird, innerhalb von zwei Monaten nach diesem Zeitpunkt eine ministerielle Genehmigung beantragen und erhalten (Regularisierungsgenehmigung), und; eine ministerielle Genehmigung beantragen und erhalten, bevor sie einen Dienstanbieter für die Verwaltung und Überwachung ihrer 5G-Netzelemente in Anspruch nehmen, mit Ausnahme der Inanspruchnahme von Geräteherstellern, die einen Unterstützungsdienst anbieten, wenn dieser Dienst im Vertrag über die Bereitstellung von Netzelementen vorgesehen ist (Vorabgenehmigung), oder; wenn die Inanspruchnahme eines solchen Dienstanbieters zum Zeitpunkt des Inkrafttretens des Königlichen Erlasses über die ministerielle Genehmigung bereits wirksam ist, innerhalb von zwei Monaten nach diesem Zeitpunkt eine ministerielle Genehmigung beantragen und erhalten (Regularisierungsgenehmigung).

Verpflichtungen für:

Verpflichtungen:

die folgenden Unternehmen, wenn sie ein 5G-Netz anbieten:

MNOs (Mobile Network Operator, siehe Definition in Art. 2 89° des oben genannten Gesetzes);
„Full“ MVNOs (Mobile Virtual Network Operator, siehe Definition in Art. 2 90° des oben genannten Gesetzes), d.h. MVNOs, die über bestimmte Netzelemente verfügen;
die Aktiengesellschaft A.S.T.R.I.D.;
Unternehmen, die als Betreiber kritischer Infrastrukturen im Sinne des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen bezeichnet wurden, sofern Elemente des privaten 5G-Netzes in einer dieser kritischen Infrastrukturen genutzt werden;
Unternehmen, die als Betreiber wesentlicher Dienste im Sinne des Gesetzes vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit (NIS-Gesetz) bezeichnet wurden, sofern bei der Bereitstellung eines wesentlichen Dienstes das private 5G-Netz genutzt wird.

eine ministerielle Genehmigung beantragen und erhalten, bevor sie ein Element des 5G-Netzes nutzen können (Vorabgenehmigung), oder;
wenn dieses Netzelement bei Inkrafttreten des Königlichen Erlasses über die ministerielle Genehmigung bereits genutzt wird, innerhalb von zwei Monaten nach diesem Zeitpunkt eine ministerielle Genehmigung beantragen und erhalten (Regularisierungsgenehmigung), und;
eine ministerielle Genehmigung beantragen und erhalten, bevor sie einen Dienstanbieter für die Verwaltung und Überwachung ihrer 5G-Netzelemente in Anspruch nehmen, mit Ausnahme der Inanspruchnahme von Geräteherstellern, die einen Unterstützungsdienst anbieten, wenn dieser Dienst im Vertrag über die Bereitstellung von Netzelementen vorgesehen ist (Vorabgenehmigung), oder;
wenn die Inanspruchnahme eines solchen Dienstanbieters zum Zeitpunkt des Inkrafttretens des Königlichen Erlasses über die ministerielle Genehmigung bereits wirksam ist, innerhalb von zwei Monaten nach diesem Zeitpunkt eine ministerielle Genehmigung beantragen und erhalten (Regularisierungsgenehmigung).

Eine neue Genehmigung muss beantragt werden, wenn das Unternehmen, das das 5G-Netz anbietet, ein Netzelement oder einen Dienst nutzen möchte, für das/den noch keine Genehmigung erteilt wurde.

Für die unterbrechungsfreie Stromversorgung (USV) und die Batterien, die für den zentralen Teil des 5G-Netzes verwendet werden, muss keine Genehmigung beantragt werden.

Für die Batterien, die für das Funkzugangsnetz des 5G-Netzes verwendet werden, muss keine Genehmigung beantragt werden.

Für passive Antennen, die mit einem RET-System (Remote Electrical Tilt) ausgestattet sind, muss keine Genehmigung beantragt werden.

Artikel 11 Absatz 1 des Königlichen Erlasses über die ministerielle Genehmigung sieht Folgendes vor: „Aktualisierungen von Software oder Hardwaregeräten erfordern keine zusätzliche Genehmigung, es sei denn, sie ändern die im Genehmigungsantrag aufgeführten Elemente. “

Die ministerielle Genehmigung wird von den folgenden Ministern erteilt: Der Premierminister, der Minister für Telekommunikation, der Minister der Landesverteidigung, der Minister der Justiz, der Minister des Innern und der Minister der Auswärtigen Angelegenheiten (Artikel 105 § 1 des Gesetzes über die elektronische Kommunikation).

Sie können die Genehmigung erteilen, sie unter bestimmten Bedingungen erteilen oder sie verweigern.

Wenn sie einen Antrag prüfen, müssen sie:

das Risikoprofil des Anbieters auf der Grundlage einer Stellungnahme der Nachrichten- und Sicherheitsdienste (Wahrscheinlichkeit, dass der Anbieter einen Eingriff von einem Land erfährt, das kein EU-Mitgliedstaat ist) und einem Gutachten des BIPT (Fähigkeit des Anbieters, die Versorgung in Bezug auf Zeit und Menge zu gewährleisten, Gesamtqualität seiner Produkte oder Dienstleistungen und seine Sicherheitspraktiken) bewerten und;
die Beschränkungen anwenden, die im Königlichen Erlass über die ministerielle Genehmigung festgelegt sind.

Einige Beschränkungen für MNO berücksichtigen empfindliche Gebiete in Belgien. Diese sind im Anhang des Königlichen Erlasses vom 23. Oktober 2022 über empfindliche Gebiete im Rahmen des Gesetzes vom 17. Februar 2022 zur Einführung zusätzlicher Sicherheitsmaßnahmen für die Bereitstellung von 5G-Mobilfunkdiensten aufgelistet. Dieser Anhang ist vertraulich. MNOs, die eine ministerielle Genehmigung beantragen müssen und diesen Anhang einsehen möchten, können dem BIPT eine E-Mail senden.

Unternehmen, die eine ministerielle Genehmigung (Vorabgenehmigung oder Regularisierungsgenehmigung) benötigen, müssen gemäß den in der Mitteilung vom 15. Mai 2023 festgelegten Modalitäten ihren Antrag beim BIPT einreichen.

Lokalisierungsverpflichtungen im Zusammenhang mit der Bereitstellung eines 5G-Netzes

Ab dem 1. Januar 2028 müssen die im vorstehenden Abschnitt genannten Unternehmen, die ein 5G-Netz anbieten, sicherstellen, dass die folgenden Elemente im Hoheitsgebiet der Europäischen Union angesiedelt sind:

Personen, Geräte, Software und Daten, die für die Echtzeitüberwachung ihres 5G-Netzes oder ihrer Elemente des 5G-Kernnetzes erforderlich sind;
Personen, Geräte, Software und Daten, die mit der Kontrolle des physischen und logischen Zugangs zu ihrem 5G-Netz oder ihren Elementen des 5G-Kernnetzes in Zusammenhang stehen.

Personen, die das Netz nicht in Echtzeit überwachen, von denen aber möglicherweise eine Einzelaktion im Netz verlangt wird, können sich außerhalb des Hoheitsgebiets der Europäischen Union befinden, sofern ihre Interventionen ständig von einer der oben genannten Personen verfolgt werden (Königlicher Erlass vom 18. April 2023 über die Lokalisierungsanforderungen für 5G-Netze).

Wenn ein MNO in Belgien elektronische Kommunikationsdienste über ein 5G-Netz anbietet, muss sich die Infrastruktur dieses Netzes zudem auf dem Gebiet der Mitgliedstaaten der Europäischen Union befinden (Art. 105 § 8 Abs. 1 des Gesetzes über die elektronische Kommunikation).

Das NIS2-Gesetz

Sicherheit von Netz- und Informationssystemen

Unter das „NIS2-Gesetz“ verstehen wir das Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit, das die belgische Umsetzung der NIS-2-Richtlinie ist und das das letzte Gesetz vom 7. April 2019 ersetzt.

Zur Ausführung des NIS2-Gesetzes ist das BIPT als sektorale Behörde und sektoraler Inspektionsdienst für den Sektor der digitalen Infrastrukturen, ausgenommen für die Vertrauensdiensteanbieter im Sinne von Artikel 8, 24°, dieses Gesetzes, und für den Sektor der Post- und Kurierdienste, angewiesen worden. Unter das Befugnis des BIPT fallen bezüglich des Sektors der digitalen Infrastrukturen also die nachstehenden Teilsektoren: die Betreiber von Internet-Knoten, DNS-Diensteanbieter, ausgenommen Betreiber von Root-Namenservern, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter öffentlicher elektronischer Kommunikationsnetze und die Anbieter öffentlicher elektronischer Kommunikationsdienste.

Das ZCB als zentrale Cybersicherheitsbehörde innerhalb des NIS2-Gesetzes, hat schon eine deutliche und ausgeweitete Übersicht von Folgendem verschafft:

der Anwendungsbereich des NIS2-Gesetzes (Einrichtungen müssen nicht mehr von den zuständigen Behörden identifiziert werden, sondern sind automatisch entweder wesentliche oder wichtige Einrichtungen wegen ihrer Größe in Kombination mit dem (Teil-)Sektor in dem Sie Dienste anbieten)
die Pflichten der wesentlichen und wichtigen Einrichtungen (vorwiegend sich über safeonweb@work registrieren, die notwendigen Maßnahmen für das Management von Cybersicherheitsrisiken nehmen und signifikante Vorfälle melden) und
das geeignete Aufsichts- und Sanktionssystem (bezüglich der Aufsicht muss die Einrichtung für Zertifizierung wählen oder sich Inspektionen unterwerfen).

Für den allgemeinen Rahmen verweisen wir dann auch auf die Website des ZCB.

Das BIPT will hierbei betonen, dass sein Beschluss vom 14. Dezember 2017 über die Meldung von Vorfällen nicht länger gilt, dadurch dass das NIS2-Gesetz in Kraft getreten ist. Das ZCB hat einen Meldungsleitfaden erstellt, in dem erläutert wird, wie die Meldung von Sicherheitsvorfällen heute erfolgen sollte. In jedem Fall werden die DNS-Diensteanbieter, die Anbieter öffentlicher elektronischer Kommunikationsnetze und die Anbieter öffentlicher elektronischer Kommunikationsdienste sich nicht mehr in erster Instanz an das BIPT wenden müssen (mit Ausnahme der Einrichtungen, die als Betreiber kritischer Infrastrukturen benannt sind, oder im Falle eines Vorfalls mit Auswirkungen auf die Notfalldienste). Jede wesentliche und bedeutende Einrichtung muss einen erheblichen Sicherheitsvorfall unter Verwendung des vom ZCB erstellten standardisierten Formulars melden.

Darüber hinaus hat die Europäische Kommission eine Durchführungsverordnung erlassen, in der die technischen und methodischen Anforderungen von der in der NIS2-Richtlinie genannten Cybersicherheitsmaßnahmen, die gelten für die betreffenden Einrichtungen (d. h. die Einrichtungen, die der Gerichtsbarkeit der Hauptniederlassung unterliegen), festgelegt sind. Diese Verordnung stellt auch klar, wann Vorfälle für diese relevanten Einrichtungen als ‚erheblich‘ im Sinne von Artikel 23 der NIS2-Richtlinie anzusehen sind, und diente als Grundlage für den oben genannten belgischen Meldungsleitfaden.

Darüber hinaus haben das BIPT und das ZCB für die (Teil-)Sektoren, für die das BIPT zuständig ist, ein Protokoll über die Zusammenarbeit geschlossen. Folgendes ist vorgesehen:

Anbieter öffentlicher elektronischer Kommunikationsnetze und Anbieter öffentlicher elektronischer Kommunikationsdienste (die Betreiber im Sinne des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation) müssen ihre Notifizierung an das BIPT um die für das NIS2 erforderlichen Informationen ergänzen, für die das BIPT die erforderlichen Formulare bereitgestellt hat (nach deren Erfüllung ihre Registrierungspflichten erfüllt wurden). Wenn sie sich nach dem üblichen Verfahren bei safeonweb@work registriert haben, reicht dies bereits aus, und diese Formulare sollten nicht mehr ausgefüllt zurückgesendet werden, obwohl dies stark empfohlen wird.
Entscheidet sich die Einrichtung für eine regelmäßige Konformitätsbewertung aufgrund einer Zertifizierung, so wird ihre Aufsicht in vollem Umfang durch das ZCB durchgeführt. Entscheidet sich die Einrichtung jedoch für Inspektionen, hängt die ausgeübte Ex-ante-Aufsicht von der Art der Einrichtung ab:
- Bei Einrichtungen, die ebenfalls als Betreiber einer kritischen Infrastruktur benannt sind, wird nur das BIPT diese Inspektionen durchführen
- Für die anderen Einrichtungen erstellen das ZCB und das BIPT jährlich einen Inspektionsplan und übernehmen jeweils einen Teil der Inspektionen
Was die Nachverfolgung erheblicher Sicherheitsvorfälle anbelangt, so wird sich das ZCB mit Sicherheitsvorfällen befassen, die wahrscheinlich durch einen potenziell illegalen oder böswilligen Computerangriff verursacht werden, während das BIPT alle anderen Arten von Sicherheitsvorfällen behandeln wird. Wenn der Sicherheitsvorfall mehrere Ursachen hat, können das ZCB und das BIPT zusammenarbeiten.

Zusätzlich zu den Bestimmungen des NIS2-Gesetzes gelten die Bestimmungen über die Sicherheit der elektronischen Kommunikation des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation (insbesondere die Artikel 107/2 bis 107/4), wenn auch in geänderter Form und mit der Ausweitung des Anwendungsbereichs auf digitale Infrastrukturen, die keine Vertrauensdiensteanbieter sind, weiterhin gleichzeitig.

Ansammlung von Registrierungsdaten für Domänennamen

Darüber hinaus wird das BIPT die Einhaltung von Artikel 164/3 des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation (Umsetzung von Artikel 28 der NIS2-Richtlinie) überwachen. Dieser Artikel verlangt von den TLD-Namenregistern und von Einrichtungen, die Dienste zur Registrierung von Domänennamen bereitstellen, die Registrierungsdaten für Domänennamen in einer dedizierten Datenbank anzusammeln und zu pflegen. Diese Daten enthalten die Informationen, die zur Identifizierung der Inhaber der Domänennamen und der Kontaktstellen, welche die Domänennamen unter den TLD verwalten, erforderlich sind. Diese Informationen umfassen mindestens Folgendes:

den Domänennamen
das Datum der Registrierung
den Namen des Domänennameninhabers, die E-Mail-Adresse und die Telefonnummer
die E-Mail-Adresse und Telefonnummer der Kontaktstelle, die den Domänennamen verwaltet, sofern sie sich von der des Domänennameninhabers unterscheidet.

Die TLD-Register und die Einrichtungen, die Dienste zur Registrierung von Domänennamen bereitstellen, sollten über Strategien und Verfahren einschließlich Überprüfungsverfahren verfügen, um sicherzustellen, dass die oben genannten Datenbanken korrekte und vollständige Informationen enthalten. Darüber hinaus übermitteln diese Einrichtungen jedem legitimen Zugangsnachfrager auf begründeten Antrag kostenlos die Registrierungsinformationen für den Domänennamen nach 72 Stunden nach Eingang des Antrags oder nach 24 Stunden nach Eingang des Antrags im Dringlichkeitsfall.

Rechtsrahmen

Der Rechtsrahmen sieht wie folgt aus:

die Durchführungsverordnung vom 17. Oktober 2024 der Kommission über kritische Einrichtungen und Netze
das Gesetz vom 26. April 2024 zur Festlegung eines Rahmens für die Cybersicherheit von Netzwerken und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit
das Gesetz vom 13. Juni 2005 über die elektronische Kommunikation
das Gesetz vom 17. Januar 2003 über die Satzung der Regulierungsbehörde des belgischen Post- und Telekommunikationsbereichs
der Königliche Erlass vom 15. Dezember 2021 zur Festlegung der Legitimationskarte der Statusbeamten und Vertragsbediensteten des Belgischen Instituts für Post und Telekommunikation.

Risikoanalyse

Das BIPT hat ein Risikoanalyse-Tool für die Sicherheit der Netze und Informationssysteme eingerichtet, SERIMA.be, das die Abkürzung für "Security Risk Management" ist.

Das BIPT hat einige Anbieter elektronischer Kommunikationsdienste und Betreiber wesentlicher Dienste (BWD), die es auf der Grundlage des NIS-Gesetzes bezeichnet hat, aufgefordert, ihm über diese Plattform jährlich eine Risikoanalyse vorzulegen.

Die anderen Anbieter elektronischer Kommunikationsdienste können die Plattform nutzen, indem sie dem BIPT einen Antrag dazu übermitteln. Weitere Informationen sind in der Mitteilung vom 12. April 2023 über die Analyse von Risiken zur Sicherheit von Netz- und Informationssystemen zu finden.

Das Gesetz „kritische Infrastrukturen“

Unter das Gesetz „kritische Infrastrukturen“ ist das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen zu verstehen.

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der elektronischen Kommunikation (einschließlich des Bereichs der digitalen Infrastruktur) bezeichnet.

Als sektorale Behörde muss das BIPT die Betreiber kritischer Infrastrukturen in seinem Sektor benennen und deren kritische Infrastrukturen identifizieren. Er tut dies in Absprache mit dem Krisenzentrum des FÖD Inneres (NCCN) und dem Zentrum für Cybersicherheit Belgien (ZCB).

Die Hauptpflicht des Betreibers einer kritischen Infrastruktur (siehe Artikel 13 dieses Gesetzes) besteht darin, einen Sicherheitsplan zu entwickeln und einzusetzen, der zumindest dauerhafte interne Sicherheitsmaßnahmen, die unter allen Umständen anwendbar sind, und abgestufte interne Sicherheitsmaßnahmen, die je nach Bedrohung anzuwenden sind, umfasst.

Der Betreiber muss jedes Ereignis melden, das die Sicherheit der kritischen Infrastruktur beeinträchtigen könnte (siehe Artikel 14 desselben Gesetzes).

Das BIPT führt Prüfungen bei kritischen Infrastrukturen durch.

Der Rechtsrahmen ist der folgende:

Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors;
Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen;
Königlicher Erlass vom 27. Mai 2014 zur Ausführung des Artikels 13 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen im Bereich der elektronischen Kommunikation;
Königlicher Erlass vom 14. Juni 2017 zur Benennung im Bereich der elektronischen Kommunikation des durch das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen eingeführten Kontrolldienstes;
Königlicher Erlass vom 15. Dezember 2021 zur Festlegung der Legitimationskarten der Beamten und Vertragsbediensteten des Belgischen Institut für Postdienste und Telekommunikation.

Das Gesetz über die Sicherheitsstellungnahmen

Unter „Gesetz über die Sicherheitsstellungnahmen“ ist das Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen zu verstehen.

Zur Umsetzung dieses Gesetzes wurde das BIPT als zuständige Verwaltungsbehörde für den „Bereich der elektronischen Kommunikation und der digitalen Infrastruktur“ bezeichnet, mit Ausnahme der Sicherheitsstellungnahmen der Mitglieder der Koordinierungsstelle (der Justiz) der Anbieter elektronischer Kommunikationsdienste. Für diese Stellungnahmen ist die zuständige Verwaltungsbehörde der Minister der Justiz.

Es obliegt dem BIPT in seiner Eigenschaft als zuständige Verwaltungsbehörde, der Nationalen Sicherheitsbehörde vorzuschlagen, welche Funktionen Gegenstand einer Sicherheitsstellungnahme sein sollen und für welche Betreiber die Maßnahme anwendbar ist. Es ist die Nationale Sicherheitsbehörde, die in dieser Angelegenheit die Entscheidung trifft. Sobald diese Entscheidung getroffen ist, müssen die Ersuchen um Stellungnahme über das BIPT erfolgen.

Der Rechtsrahmen ist der folgende:

Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen;
Gesetz vom 11. Dezember 1998 über die Einrichtung einer Widerspruchsstelle im Bereich von Sicherheitsermächtigungen, Sicherheitsbescheinigungen und Sicherheitsstellungnahmen;
Königlicher Erlass vom 24. März 2000 zur Ausführung des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen;
Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Tätigkeitsbereiche und der zuständigen Verwaltungsbehörden gemäß Artikel 22quinquies, § 7 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen
Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Liste von Daten und Informationen, die im Rahmen der Durchführung einer Sicherheitsüberprüfung eingesehen werden können
Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Höhe der von der Nationalen Sicherheitsbehörde ausgestellte Entgelte für Sicherheitsermächtigungen, für Sicherheitsbescheinigungen und Sicherheitsstellungnahmen und für von der Föderalen Nuklearkontrollbehörde ausgestellte Sicherheitsbescheinigungen sowie die Verteilungsschlüssel gemäß Artikel 22septies, Absätze 6 und 8 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen.

Nationales Krisenmanagement

Der für die föderale Phase geltende Rechtsrahmen ist Kapitel 4 der Anlage des Königlichen Erlasses vom 26. April 2024 zur Festlegung des nationalen Notfallplans. Dieser Rechtsrahmen wird hiernach erläutert.

Der Koordinierungsausschuss (COFECO) ist das zentralisierte Gremium, das das Krisenmanagement zwischen Öffentlichen Diensten auf nationaler Ebene leitet und koordiniert. Das Nationale Krisenzentrum (NCCN) sitzt diesem Ausschuss vor, und das BIPT gehört auch zum Kern der Zusammensetzung.

Für den Telekommunikationssektor wurde eine Evaluierungszelle („CELEVAL-Telekom“) gegründet. Die CELEVAL-Telekom wird vom Vorsitzenden vom COFECO zur Unterstützung bei seiner Koordinierungsaufgabe zusammengerufen.

Die Aufgabe der CELEVAL-Telekom ist relevante technische und wissenschaftliche Informationen über das Risiko, aus dem eine nationale Krise folgt und die aktuelle Lage in der die Krise sich befindet, zu sammeln. Sie soll ebenfalls die Lage auf sektoraler Ebene und ihre technischen Auswirkungen evaluieren, um den COFECO bei den zu treffenden Vorsorge- und Schutzmaßnahmen zu beraten. Hierbei muss mit der voraussichtlichen Evolution der technischen Lage, sowie mit den Auswirkungen sich möglicherweise verschlechternder Bedingungen gerechnet werden.

Die CELEVAL-Telekom wird vom BIPT geführt und ist aus Vertretern und Sachverständigen der nachstehenden Behörden und Einrichtungen zusammengesetzt:

das BIPT
die von der Krise getroffenen Betreiber
die Generaldirektion Zivile Sicherheit
die föderale Polizei
ASTRID SA
das Nationale Krisenzentrum (NCCN)
jede Person, Einrichtung oder Behörde, die für die Ausführung der Evaluierung notwendig ist.

Als Vorsitzender der CELEVAL-Telekom hat das BIPT auch Aufgaben, unter anderem:

die Zentralisierung von relevanten Informationen der verschiedenen Betreiber über die Auswirkungen oder das Sonderrisiko in Anbetracht einer koordinierten Kommunikation mit dem COFECO
die Fortsetzung der an den Telekommunikationssektor gerichteten Fragen des COFECOs
das Nehmen der notwendigen Maßnahmen zur Erfüllung der Erwartungen der betroffenen Parteien.

Das Strategiebüro bestätigt die Vorschläge vom COFECO. Dieses Büro setzt sich aus zuständigen Ministern zusammen. Sie sind befugt, Maßnahmen zu ergreifen, und tragen die politische Verantwortung.

Das Informationsbüro berichtet über die Maßnahmen. Dieses Büro setzt sich aus den Kommunikationsbeauftragten bzw. den Sprechern der betroffenen föderalen öffentlichen Dienste zusammen.

ENISA-Dokumente (die europäische Agentur für „Cyber-Sicherheit“)

Technical Guideline on Minimum Security Measures
Technical Guideline on Incident Reporting
Technical Guideline on Threats and Assets
Security Guide for ICT Procurement
Secure ICT Procurement in Electronic Communications
Protection of Underground Electronic Communications Infrastructure
Power Supply Dependencies in the Electronic Communications Sector
Signalling Security in Telecom SS7/Diameter/5G
National Roaming for Resilience
Guideline on assessing security measures in the context of Article 3(3) of the Open Internet regulation
7 Steps to shore up the Border Gateway Protocol (BGP)

BIPT-Dokumente

Urteil des Märktegerichtshofs vom 10. Mai 2023 über den Beschluss des BIPT vom 23. August 2022 über das Versäumnis von Telenet, für seinen Standort in [vertraulich] die angemessenen Sicherheitsmaßnahmen zu treffen
Mitteilung vom 15. Mai 2023 über den Antrag auf eine ministerielle Genehmigung zu Sicherheitszwecken für ein 5G-Netz
Mitteilung vom 12. April 2023 über die plattform SERIMA.be
Beschluss vom 23. August 2022 über das Versäumnis von Telenet, für seinen Standort in [vertraulich] die angemessenen Sicherheitsmaßnahmen zu treffen
Mitteilung vom 5. Juli 2022 über die plattform SERIMA.be
Mitteilung über die plattform SERIMA.be (Analyse von Risiken zur Sicherheit von Netz- und Informationssystemen)
Konsultation zum Entwurf einer Mitteilung über die Analyse von Risiken zur Sicherheit von Netz- und Informationssystemen
Mitteilung über das COVID-19-Virus anlässlich der Regierungsmitteilung vom 17. März 2020
Mitteilung über das COVID-19-Virus
Gutachten vom 15. Mai 2019 über den Entwurf eines Königlichen Erlasses zur Ausführung des NIS-Gesetzes, sowie bestimmter Vorschriften des Gesetzes „kritische Infrastrukturen
Begleitdokument für die Entwicklung eines Sicherungsplans
Beschluss vom 14. Dezember 2017 über die Schwellen und nähere Bedingungen für Meldung von Sicherheitszwischenfällen im Bereich der elektronischen Kommunikation
Konsultation über den Beschlussentwurf über die Schwellen und Bedingungen für Meldung von Sicherheitsvorfällen
Mitteilung vom 18. November 2015 über die Gefahr eines Stromausfalls im Winter 2015/2016
FAQ Geplante Stromunterbrechungen Winter 2014-2015
Beschluss vom 1. April 2014 zur Festlegung der Situationen, in welchen die Operatoren dem BIPT einen Sicherheitsvorfall melden müssen und die Bedingungen dieser Meldung
Mitteilung vom 16. September 2013 über das Hacken der Computersysteme von Belgacom
Konsultation über den Entwurf eines Königlichen Erlasses zur Ausführung im Bereich der elektronischen Kommunikation des Artikels 13 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen
Mitteilung vom 30. April 2013 über die möglichen Risiken für Verletzung der Sicherheit der Mobiltelefonnetze und -Dienste im Rahmen der 2G- und 2,5G-Technologie
Beschlussentwurf vom 3. Mai 2013 über die Festlegung der Hypothesen, worin die Betreiber dem BIPT einen Sicherheitszwischenfall mitteilen müssen, sowie der näheren Bedingungen dieser Bekanntmachung
Gutachten vom 17. Februar 2012 an Minister Vande Lanotte über die potenziellen Risiken auf Angriffe gegen die Sicherheit der mobilen Telefonnetze und -dienste im Rahmen der 2G- und 2.5G-Technologien

Kontaktstelle

BIPT - Dienst „Netzsicherheit“
Boulevard du Roi Albert II 32/10
1000 Brüssel
E-Mail

Your Europe: Feedback zur Qualität

Letzte Aktualisierung am 17.01.2025