Beveiliging van de netwerken en van de informatiesystemen

De wet betreffende de elektronische communicatie

Onder "wet betreffende de elektronische communicatie” verstaan we de wet van 13 juni 2005 betreffende de elektronische communicatie.

Over het begrip "operator” kan er via de volgende link meer informatie gevonden worden.

Verplichtingen die op alle operatoren rusten

De operatoren moeten:

de risico's voor de veiligheid van hun netwerken en diensten analyseren (artikel 107/2, § 1, eerste lid). Zie hieronder de rubriek betreffende de risicoanalyse;
de passende en evenredige technische en organisatorische maatregelen nemen, waaronder in voorkomend geval versleuteling, om deze risico's goed te beheersen, alsook om de impact van beveiligingsincidenten op gebruikers en op andere netwerken en diensten zo laag mogelijk te houden (artikel 107/2, § 1, tweede lid);
alle noodzakelijke maatregelen nemen, inclusief preventieve, om de beschikbaarheid van de spraakcommunicatiediensten en van de internettoegangsdiensten zo volledig mogelijk te waarborgen in geval van uitzonderlijke netwerkuitval of in geval van overmacht (artikel 107/2, § 3).

Een telecomoperator moet een melding doen (zie ook rubriek “Praktische informatie”):

aan het BIPT in geval van een specifieke en significante dreiging van een beveiligingsincident in een voor het publiek beschikbare elektronische-communicatienetwerk of voor het publiek beschikbare elektronische-communicatiedienst en vervolgens zijn gebruikers informeren die gevolgen van die dreiging kunnen ondervinden (art. 107/3, § 1);
aan het BIPT in geval van een beveiligingsincident dat een belangrijke impact heeft gehad op de werking van de netwerken of de diensten. Wat verstaan moet worden onder “belangrijke impact” alsook de praktische werkwijze van de melding zijn verduidelijkt in het besluit van 14 december 2017 van het BIPT (zie rubriek "Praktische informatie");
aan de Gegevensbeschermingsautoriteit in geval van inbreuk op persoonsgegevens die verzonden, opgeslagen of op een andere manier verwerkt worden met betrekking tot de levering van elektronische-communicatiediensten. Deze autoriteit is zelf verplicht om het BIPT onverwijld hierover in te lichten. In sommige gevallen moet ook de abonnee die bij de inbreuk betrokken is, worden ingelicht. Het BIPT en de Gegevensbeschermingsautoriteit plegen overleg voor het beheer van het incident (art. 107/3, §§ 3 en 4).

Behalve de BIPT-statuutwet (wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector) is het juridische kader als volgt:

de artikelen 2, 68°; 107/2 tot 107/4 van de betreffende de elektronische communicatie;
de Verordening (EU) van 24 juni 2013 betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens
het besluit van 14 december 2017 betreffende de drempels en modaliteiten voor kennisgeving van veiligheidsincidenten binnen de sector elektronische communicatie

Ministeriële machtiging in het kader van de verstrekking van een 5G-netwerk

De volgende verplichtingen vloeien voort uit artikel 105 van de wet betreffende de elektronische communicatie en uit het koninklijk besluit van 16 april 2023 betreffende de ministeriële machtiging in het kader van de uitrol van een 5G-netwerk (hierna het koninklijk besluit betreffende de ministeriële machtiging):

Verplichtingen voor:	Verplichtingen:
de volgende ondernemingen wanneer ze een 5G-netwerk aanbieden: MNO’s (Mobile Network Operator, zie definitie in artikel 2, 89°, van de voornoemde wet); “full” MVNO’s (Mobile Virtual Network Operator, zie definitie in artikel 2, 90°, van de voornoemde wet), namelijk de MVNO’s die over bepaalde netwerkelementen beschikken; de nv A.S.T.R.I.D.; de ondernemingen die werden aangewezen als een exploitant van kritieke infrastructuren in de zin van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, voor zover elementen van het private 5G-netwerk worden gebruikt in een van deze kritieke infrastructuren; de ondernemingen die aangewezen zijn als een aanbieder van essentiële diensten in het kader van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (NIS-wet), op voorwaarde dat de verlening van een essentiële dienst gebruikmaakt van een privaat 5G-netwerk.	een ministeriële machtiging vragen en krijgen vóór het mogen gebruiken van een 5G-netwerkelement (voorafgaande machtiging) of; wanneer dat netwerkelement al gebruikt wordt bij de inwerkingtreding van het koninklijk besluit betreffende de ministeriële machtiging, binnen twee maanden die volgen op die datum een ministeriële machtiging vragen en krijgen (machtiging tot regularisatie) en; een ministeriële machtiging vragen en krijgen vóór een beroep te doen op een dienstenaanbieder voor het beheer van en het toezicht op zijn 5G-netwerkelementen, met uitzondering van het beroep op producenten van netwerkelementen die een dienst van ondersteuning bieden, wanneer die dienst is opgenomen in het contract voor levering van netwerkelementen (voorafgaande machtiging) of; wanneer er al een beroep wordt gedaan op een dergelijke dienstenaanbieder bij de inwerkingtreding van het koninklijk besluit betreffende de ministeriële machtiging, een ministeriële machtiging vragen en krijgen binnen twee maanden die volgen op die datum (voorafgaande machtiging).

Verplichtingen voor:

Verplichtingen:

de volgende ondernemingen wanneer ze een 5G-netwerk aanbieden:

MNO’s (Mobile Network Operator, zie definitie in artikel 2, 89°, van de voornoemde wet);
“full” MVNO’s (Mobile Virtual Network Operator, zie definitie in artikel 2, 90°, van de voornoemde wet), namelijk de MVNO’s die over bepaalde netwerkelementen beschikken;
de nv A.S.T.R.I.D.;
de ondernemingen die werden aangewezen als een exploitant van kritieke infrastructuren in de zin van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, voor zover elementen van het private 5G-netwerk worden gebruikt in een van deze kritieke infrastructuren;
de ondernemingen die aangewezen zijn als een aanbieder van essentiële diensten in het kader van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (NIS-wet), op voorwaarde dat de verlening van een essentiële dienst gebruikmaakt van een privaat 5G-netwerk.

een ministeriële machtiging vragen en krijgen vóór het mogen gebruiken van een 5G-netwerkelement (voorafgaande machtiging) of;
wanneer dat netwerkelement al gebruikt wordt bij de inwerkingtreding van het koninklijk besluit betreffende de ministeriële machtiging, binnen twee maanden die volgen op die datum een ministeriële machtiging vragen en krijgen (machtiging tot regularisatie) en;
een ministeriële machtiging vragen en krijgen vóór een beroep te doen op een dienstenaanbieder voor het beheer van en het toezicht op zijn 5G-netwerkelementen, met uitzondering van het beroep op producenten van netwerkelementen die een dienst van ondersteuning bieden, wanneer die dienst is opgenomen in het contract voor levering van netwerkelementen (voorafgaande machtiging) of;
wanneer er al een beroep wordt gedaan op een dergelijke dienstenaanbieder bij de inwerkingtreding van het koninklijk besluit betreffende de ministeriële machtiging, een ministeriële machtiging vragen en krijgen binnen twee maanden die volgen op die datum (voorafgaande machtiging).

Een nieuwe machtiging zal moeten worden gevraagd wanneer de onderneming die het 5G-netwerk aanbiedt, een netwerkelement of een dienst wenst te gebruiken waarvoor er nog geen machtiging bestaat.

Voor de Uninterruptible Power Supply (UPS) en batterijen die worden gebruikt voor het centrale deel van het 5G-netwerk hoeft geen machtiging te worden aangevraagd.

Voor de batterijen die worden gebruikt voor het radiotoegangsnetwerk van het 5G-netwerk hoeft geen machtiging te worden aangevraagd.

Voor passieve antennes die uitgerust zijn met een RET-systeem (Remote Electrical Tilt) hoeft geen machtiging te worden aangevraagd.

Artikel 11, eerste lid, van het koninklijk besluit betreffende de ministeriële machtiging bepaalt dat “voor updates van software of hardware [...] geen bijkomende machtiging nodig [is], tenzij ze de elementen vervat in het verzoek om machtiging wijzigen.”

De ministeriële machtiging wordt verstrekt door de volgende ministers: de eerste minister, de minister van Telecommunicatie, de minister van Defensie, de minister van Justitie, de minister van Binnenlandse Zaken en de minister van Buitenlandse Zaken (artikel 105, § 1, van de wet betreffende de elektronische communicatie).

Ze zullen de machtiging kunnen verlenen, ze verlenen op voorwaarde van het naleven van bepaalde voorwaarden of ze weigeren.

Wanneer ze een verzoek onderzoeken, zullen ze:

het risicoprofiel van de aanbieder moeten evalueren op basis van een advies van de inlichtingen- en veiligheidsdiensten (kans dat de aanbieder inmenging ondervindt vanwege een land dat geen lidstaat is van de Europese Unie) en van een advies van het BIPT (vermogen van de leverancier om de bevoorrading te garanderen in termen van termijn en hoeveelheid, algemene kwaliteit van zijn producten of diensten en zijn praktijken inzake beveiliging) en;
de beperkingen die vastgesteld zijn in het koninklijk besluit betreffende de ministeriële machtiging, moeten toepassen.

Bepaalde beperkingen voor de MNO’s houden rekening met de gevoelige zones in België. Die laatste worden opgesomd in de bijlage bij het koninklijk besluit van 23 oktober 2022 betreffende de gevoelige zones in het kader van de wet van 17 februari 2022 tot invoering van bijkomende beveiligingsmaatregelen voor de verstrekking van mobiele 5G-diensten. Die bijlage is vertrouwelijk. De MNO’s die een ministeriële machtiging moeten vragen en welke die bijlage willen raadplegen, kunnen een e-mail naar het BIPT sturen.

De ondernemingen die een ministeriële machtiging moeten krijgen (voorafgaande machtiging of machtiging tot regularisatie) moeten hun verzoek richten tot het BIPT in overeenstemming met de nadere regels vastgesteld in de mededeling van 15 mei 2023 van het BIPT.

Verplichtingen inzake de lokalisatie in het kader van de verstrekking van een 5G-netwerk

Vanaf 1 januari 2028 moeten de in het voorgaande deel bedoelde ondernemingen die een 5G-netwerk aanbieden, zich ervan vergewissen dat de volgende elementen op het grondgebied van de Europese Unie zijn gevestigd:

de personen, de apparatuur, de software en de gegevens nodig voor het toezicht in real time van hun 5G-netwerk of hun elementen van de kern van het 5G-netwerk;
de personen, de apparatuur, de software en de gegevens gelinkt aan de controle van de fysieke en logische toegang tot hun 5G-netwerk of hun elementen van de kern van het 5G-netwerk.

De personen die niet realtime toezicht houden op het netwerk, maar van wie gevraagd kan worden een specifieke handeling op het netwerk uit te voeren, kunnen zich buiten het grondgebied van de Europese Unie bevinden, op voorwaarde dat hun tussenkomsten permanent worden gevolgd door een van de hierboven bedoelde personen (koninklijk besluit van 18 april 2023 betreffende de eisen inzake lokalisatie wat de 5G-netwerken betreft).

Wanneer een MNO in België elektronische-communicatiediensten aanbiedt met behulp van een 5G-netwerk, moeten de infrastructuren van dat netwerk zich bovendien op het grondgebied van de lidstaten van de Europese Unie bevinden (artikel 105, § 8, eerste lid, van de wet betreffende de elektronische communicatie).

De NIS2-wet

Beveiliging van netwerk- en informatiesystemen

Onder “NIS2-wet” verstaan we de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, die de Belgische omzetting van de NIS2-richtlijn vormt en die de voorgaande wet van 7 april 2019 vervangt.

Om de NIS2-wet uit te voeren is het BIPT aangewezen als sectorale overheid en sectorale inspectiedienst voor de sector van de digitale infrastructuren, met uitzondering van de verleners van vertrouwensdiensten in de zin van artikel 8, 24° van deze wet, en voor de sector post- en koeriersdiensten. Onder de bevoegdheid van het BIPT inzake de sector van de digitale infrastructuren, vallen aldus de volgende subsectoren: de aanbieders van internetknooppunten, de DNS-dienstverleners, met uitzondering van exploitanten van root-naamservers, de registers voor topleveldomeinnamen, de aanbieders van cloudcomputingdiensten, de aanbieders van datacentrumdiensten, de aanbieders van netwerken voor de levering van inhoud, de aanbieders van openbare elektronische-communicatienetwerken en de aanbieders van openbare elektronische-communicatiediensten.

Het CCB, als centrale cyberbeveiligingsautoriteit binnen de NIS2-wet, heeft reeds een duidelijk en uitgebreid overzicht geschetst van:

het toepassingsgebied van de NIS2-wet (entiteiten moeten niet langer door de bevoegde overheden geïdentificeerd worden, maar zijn automatisch ofwel essentiële ofwel belangrijke entiteiten omwille van hun omvang in combinatie met de (sub)sector waarin ze diensten verlenen);
de verplichtingen van de essentiële en belangrijke entiteiten (voornamelijk zich registreren via safeonweb@work, de nodige maatregelen voor het beheer van cyberbeveiligingsrisico’s nemen en significante incidenten melden), en;
het toepasselijke toezichts- en sanctioneringregime (qua toezicht moet de entiteit kiezen voor certificatie of zich onderwerpen aan inspecties).

Voor dit algemene kader verwijzen we dan ook graag door naar de website van het CCB.

Het BIPT wenst hierbij te benadrukken dat zijn besluit van 14 december 2017 inzake het melden van incidenten niet langer van toepassing is door het in werking treden van de NIS2-wet. Het CCB heeft een meldingsgids opgesteld, waarin wordt uitgelegd hoe de incidentmelding tegenwoordig dient te verlopen. In ieder geval zullen de DNS-dienstverleners, de aanbieders van openbare elektronische-communicatienetwerken en de aanbieders van openbare elektronische-communicatiediensten zich niet langer in eerste instantie tot het BIPT moeten richten (met uitzondering van de entiteiten die zijn aangeduid als exploitant van kritieke infrastructuur, of wanneer het gaat om een incident met impact op de nooddiensten). Iedere essentiële en belangrijke entiteit zal een significant incident moeten melden via het door het CCB opgestelde gestandaardiseerde formulier.

Bovendien heeft de Europese Commissie een uitvoeringsverordening uitgevaardigd waarin de technische en methodologische vereisten worden vastgesteld van de in NIS2-richtlijn bedoelde cyberbeveiligingsmaatregelen die gelden voor de relevante entiteiten (zijnde die entiteiten die onder het jurisdictieregime van de hoofdvestiging vallen). Deze verordening verduidelijkt ook wanneer incidenten voor die relevante entiteiten gezien moeten worden als ‘significant’ in de zin van artikel 23 van de NIS2-richtlijn en diende als basis voor de bovenvermelde Belgische meldingsgids.

Wat betreft de (sub)sectoren waarvoor het BIPT bevoegd is, hebben het BIPT en het CCB overigens een samenwerkingsprotocol afgesloten. Daarbij werd het volgende voorzien:

De aanbieders van openbare elektronische-communicatienetwerken en de aanbieders van openbare elektronische-communicatiediensten (de operatoren in de zin van de wet van 13 juni 2005 betreffende de elektronische communicatie) moeten hun kennisgeving aan het BIPT aanvullen met de voor NIS2 noodzakelijke informatie, waarvoor het BIPT de nodige formulieren ter beschikking heeft gesteld (waarna voor deze operatoren hun registratieplicht voldaan is). Indien zij zich via de gebruikelijke procedure op safeonweb@work hebben geregistreerd, is dit reeds afdoende en moeten deze formulieren niet meer ingevuld worden teruggestuurd, al wordt dit sterk aangemoedigd;
Indien de entiteit kiest voor een regelmatige conformiteitsbeoordeling op basis van certificatie, zal het toezicht daarop volledig door het CCB worden uitgevoerd. Wanneer de entiteit er echter voor kiest om zich te onderwerpen aan inspecties, is het uitgeoefende ex-ante toezicht afhankelijk van het type entiteit:
- Wat betreft de entiteiten die tevens zijn aangeduid als exploitant van een kritieke infrastructuur zal uitsluitend het BIPT deze inspecties uitvoeren;
- Wat betreft de overige entiteiten zullen het CCB en het BIPT jaarlijks een inspectieplan opstellen en elk een deel van de inspecties voor hun rekening nemen;
Wat betreft de opvolging van significante incidenten zal het CCB zich ontfermen over die incidenten waarvan de waarschijnlijke oorzaak een mogelijk illegale of kwaadwillige computeraanval is, terwijl het BIPT zich zal ontfermen over alle andere soorten incidenten. Indien het incident meerdere oorzaken heeft, kunnen het CCB en BIPT hiertoe samenwerken.

Naast de bepalingen van de NIS2-wet, blijven de bepalingen aangaande de veiligheid van de elektronische communicatie van de wet van 13 juni 2005 betreffende de elektronische communicatie (meer bepaald de artikelen 107/2 tot en met 107/4), zij het in gewijzigde vorm en met uitbreiding van het toepassingsgebied naar de digitale infrastructuren met uitzondering van de vertrouwensdienstverleners, daarnaast gelijktijdig gelden.

Verzameling van domeinnaamregistratiegegevens

Bovendien zal het BIPT toezicht houden op de naleving van artikel 164/3 van de wet van 13 juni 2005 betreffende de elektronische communicatie (omzetting van artikel 28 van de NIS2-richtlijn). Dit artikel verplicht de registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen ertoe om domeinnaamregistratiegegevens te verzamelen en bij te houden in een speciale database. Deze gegevens bevatten de informatie die noodzakelijk is om de houders van de domeinnamen en de contactpunten die de domeinnamen onder de topleveldomeinnamen beheren, te identificeren. Die informatie omvat ten minste:

de domeinnaam;
de registratiedatum;
de naam van de houder van de domeinnaam, zijn e-mailadres en zijn telefoonnummer;
het e-mailadres en het telefoonnummer van het contactpunt dat de domeinnaam beheert, indien deze verschillen van die van de houder van de domeinnaam.

De registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen, moeten over beleidslijnen en procedures beschikken, waaronder verificatieprocedures, om te garanderen dat de hierboven bedoelde databases juiste en volledige informatie bevatten. Bovendien moeten deze entiteiten aan iedere legitieme toegangvragende partij op een met redenen omkleed verzoek, kosteloos, de domeinnaamregistratiegegevens verschaffen na 72 uur na ontvangst van het verzoek, of na 24 uur na ontvangst van het verzoek ingeval van hoogdringendheid.

Wettelijk kader

Het wettelijk kader is als volgt:

de uitvoeringsverordening van 17 oktober 2024 de Commissie inzake kritieke entiteiten en netwerken;
de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid;
de wet van 13 juni 2005 betreffende de elektronische communicatie;
de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector;
het koninklijk besluit van 15 december 2021 tot vaststelling van de legitimatiekaarten van de statutaire ambtenaren en contractuele personeelsleden van het Belgisch Instituut voor postdiensten en telecommunicatie.

Risicoanalyse

Het BIPT heeft een tool voor risicoanalyse inzake veiligheid van de netwerken en informatiesystemen ingesteld, SERIMA.be, wat de afkorting is voor “Security Risk Management”.

Het BIPT heeft aan bepaalde elektronische-communicatieoperatoren en aan de aanbieders van essentiële diensten (AED’s) die het aangewezen heeft op basis van de NIS-wet, gevraagd om jaarlijks via dat platform een risicoanalyse eraan voor te leggen.

De overige elektronische-communicatieoperatoren mogen van het platform gebruikmaken mits ze dat aan het BIPT aanvragen. Meer informatie kan worden gevonden in de mededeling van 12 april 2023 betreffende de risicoanalyses op het stuk van de beveiliging van netwerken en informatiesystemen (zie rubriek “documenten”).

De wet kritieke infrastructuren

Onder “wet kritieke infrastructuren” verstaan we de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren.

Om deze wet uit te voeren is het BIPT aangewezen als sectorale overheid en inspectiedienst voor de sector van de elektronische communicatie (met inbegrip van de sector van de digitale infrastructuren).

Als sectorale overheid moet het BIPT de exploitanten van kritieke infrastructuren van zijn sector aanwijzen en hun kritieke infrastructuren identificeren. Het doet dit in overleg met het Crisiscentrum van de FOD Binnenlandse Zaken (NCCN) en het Centrum voor Cybersecurity België (CCB).

De voornaamste verplichting van de exploitant van een kritieke infrastructuur (zie artikel 13 van deze wet) bestaat erin een veiligheidsplan uit te werken en toe te passen, dat ten minste permanente interne veiligheidsmaatregelen omvat (die in alle omstandigheden van toepassing zijn) en geleidelijke interne veiligheidsmaatregelen (die toegepast moeten worden naargelang van de dreiging).

De exploitant moet elke gebeurtenis melden die de veiligheid van de kritieke infrastructuur kan bedreigen (zie artikel 14 van dezelfde wet).

Het BIPT verricht inspecties van de kritieke infrastructuren.

Het wettelijke kader is als volgt:

de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector;
de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
het koninklijk besluit van 27 mei 2014 tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
het koninklijk besluit van 14 juni 2017 houdende aanwijzing van de inspectiedienst voor de elektronische-communicatiesector, ingevoerd krachtens de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
het koninklijk besluit van 15 december 2021 tot vaststelling van de legitimatiekaarten van de statutaire ambtenaren en contractuele personeelsleden van het Belgisch Instituut voor postdiensten en telecommunicatie

De wet betreffende de veiligheidsadviezen

Onder de “wet betreffende de veiligheidsadviezen” verstaan we de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen.

Om deze wet uit te voeren is het BIPT aangewezen als bevoegde administratieve overheid voor de “sector elektronische communicatie en digitale infrastructuren”, met uitzondering van de veiligheidsadviezen van de leden van de coördinatiecel (Justitie) van de elektronische-communicatieoperatoren. Voor deze adviezen is de minister van Justitie de bevoegde administratieve overheid.

Het is de taak van het BIPT, in zijn hoedanigheid van bevoegde administratieve overheid, om aan de NVO (Nationale Veiligheidsoverheid) de functies voor te stellen die onderworpen zouden moeten worden aan een veiligheidsadvies alsook de operatoren op wie de maatregel van toepassing is. De NVO neemt de beslissing ter zake. Nadat die beslissing genomen is, moeten de adviesaanvragen via het BIPT verlopen.

Het wettelijke kader is als volgt:

de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
de wet van 11 december 1998 tot oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
het koninklijk besluit van 24 maart 2000 tot uitvoering van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
het koninklijk besluit van 8 mei 2018 tot vaststelling van de activiteitensectoren en de bevoegde administratieve overheden bedoeld in artikel 22quinquies, § 7, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen;
het koninklijk besluit van 8 mei 2018 tot bepaling van de lijst van de gegevens en informatie die geraadpleegd kunnen worden in het kader van de uitvoering van een veiligheidsverificatie
het koninklijk besluit van 8 mei 2018 tot vaststelling van de bedragen van de retributies die verschuldigd zijn voor de veiligheidsmachtigingen, voor de veiligheidsattesten en veiligheidsadviezen afgegeven door de Nationale Veiligheidsoverheid en voor de veiligheidsattesten afgegeven door het Federaal Agentschap voor Nucleaire Controle alsook van de verdeelsleutels bedoeld in artikel 22septies, zesde en achtste lid, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen.

Nationaal crisisbeheer

Het juridisch kader dat van toepassing is op de federale fase is hoofdstuk 4 van de bijlage bij het koninklijk besluit van 26 april 2024 tot vaststelling van het nationaal noodplan. Dit juridisch kader wordt hierna toegelicht.

Het Federaal Coördinatiecomité (COFECO) is de gecentraliseerde deskundigenomgeving die het interdepartementale crisisbeheer op nationaal niveau aanstuurt en coördineert. Dit comité wordt voorgezeten door het Nationaal Crisiscentrum (NCCN), en het BIPT maakt ook deel uit van de basissamenstelling.

Voor de telecomsector werd een Evaluatiecel (“CELEVAL-telecom”) opgericht. De CELEVAL-telecom komt samen op beslissing van de voorzitter van het COFECO ter ondersteuning van deze laatste in zijn coördinatieopdracht.

De opdracht van de CELEVAL-telecom bestaat erin relevante technische en wetenschappelijke informatie te verzamelen met betrekking tot het risico waaruit een nationale crisis voortvloeit en de actuele situatie waarin de crisis zich bevindt. Ze dient eveneens de situatie op sectorieel niveau en de technische gevolgen daarvan te evalueren om het COFECO te adviseren over de te nemen voorzorgs- en beschermingsmaatregelen. Hierbij moet rekening gehouden worden met de verwachte evolutie van de situatie op technisch vlak, alsook met de impact van verslechterende omstandigheden die zich eventueel kunnen voordoen.

De CELEVAL-telecom wordt voorgezeten door het BIPT en bestaat uit vertegenwoordigers en deskundigen van de volgende overheidsdiensten en entiteiten:

Het BIPT;
De door de crisis getroffen operatoren;
Het DG Civiele Veiligheid;
De federale politie;
De nv ASTRID;
Het Nationaal Crisiscentrum (NCCN);
Elke persoon, entiteit of overheid die nodig is om de evaluatie uit te kunnen voeren.

Als voorzitter van de CELEVAL-telecom heeft het BIPT eveneens en onder andere de volgende taken:

het centraliseren van relevante informatie van de verschillende operatoren in termen van impact of bijzonder risico met het oog op een gecoördineerde communicatie naar het COFECO;
follow-up van de vragen van het COFECO die aan de telecomsector gericht zijn;
het nemen van de nodige maatregelen om aan de verwachtingen van de betrokken partijen te voldoen.

De beleidscel bekrachtigt de voorstellen voor maatregelen uit het COFECO. Deze cel is samengesteld uit de bevoegde ministers. Zij hebben de bevoegdheid om maatregelen uit te vaardigen en dragen er de politieke verantwoordelijkheid voor.

De informatiecel communiceert over de maatregelen. Deze cel is samengesteld uit de communicatieverantwoordelijken of woordvoerders van de betrokken departementen.

Documenten van Enisa (Europees agentschap voor cyberveiligheid)

Technical Guideline on Minimum Security Measures
Technical Guideline on Incident Reporting
Technical Guideline on Threats and Assets
Security Guide for ICT Procurement
Secure ICT Procurement in Electronic Communications
Protection of Underground Electronic Communications Infrastructure
Power Supply Dependencies in the Electronic Communications Sector
Signalling Security in Telecom SS7/Diameter/5G
National Roaming for Resilience
Guideline on assessing security measures in the context of Article 3(3) of the Open Internet regulation
7 Steps to shore up the Border Gateway Protocol (BGP)

Documenten

Arrest van het Marktenhof van 10 mei 2023 betreffende het besluit van het BIPT van 23 augustus 2022 betreffende het niet nemen door Telenet van de gepaste veiligheidsmaatregelen voor zijn site in [vertrouwelijk]
Mededeling van 15 mei 2023 betreffende de aanvraag van een ministeriële machtiging om veiligheidsdoeleinden voor een 5G-netwerk
Mededeling van 12 april 2023 betreffende het platform SERIMA.be
Besluit van 23 augustus 2022 betreffende het niet nemen door Telenet van de gepaste veiligheidsmaatregelen voor zijn site in [vertrouwelijk]
Mededeling van 5 juli 2022 betreffende het platform SERIMA.be
Mededeling betreffende het platform SERIMA.be (risicoanalyses op het vlak van de beveiliging van netwerken en informatiesystemen)
Raadpleging betreffende de risicoanalyses op het vlak van de beveiliging van netwerken en informatiesystemen
Mededeling betreffende het Covid-19 virus naar aanleiding van de Regeringsmededeling van 17 maart 2020
Mededeling betreffende het COVID-19 virus
Advies van 15 mei 2019 betreffende het ontwerp van koninklijk besluit tot uitvoering van de NIS-wet alsook sommige bepalingen van de wet "kritieke infrastructuren"
Begeleidingsdocument voor het uitwerken van een beveiligingsplan
Besluit van 14 december 2017 betreffende de drempels en modaliteiten voor kennisgeving van veiligheidsincidenten binnen de sector elektronische communicatie
Raadpleging ontwerpbesluit betreffende de drempels en modaliteiten voor kennisgeving van veiligheidsincidenten
Mededeling van 18 november 2015 betreffende het gevaar voor afschakeling van het elektriciteitsnet gedurende de winter 2015/2016
FAQ geplande stroomonderbrekingen winter 2014-2015
Besluit van 1 april 2014 tot vaststelling van de hypothesen waarin de operatoren aan het BIPT een veiligheidsincident moeten melden en van de nadere bepalingen van deze kennisgeving
Mededeling van 16 september 2013 betreffende de feiten inzake hacking bij Belgacom
Raadpleging betreffende het ontwerp van koninklijk besluit tot uitvoering in de sector elektronische communicatie van artikel 13 van de Wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren
Mededeling van 30 april 2013 betreffende de mogelijke risico's voor schending van de veiligheid van de netwerken en diensten voor mobiele telefonie in het kader van de 2G- en 2,5G-technologie
Ontwerpbesluit van 3 mei 2013 tot vaststelling van de hypothesen waarin de operatoren aan het BIPT een veiligheidsincident moeten melden en van de nadere bepalingen van deze kennisgeving
Advies van 17 februari 2012 aan Minister Vande Lanotte betreffende de mogelijke risico's voor schending van de veiligheid van de netwerken en diensten voor mobiele telefonie in het kader van de 2g- en 2,5g-technologie

Contact

BIPT – Dienst Vergunningen
Koning Albert II-laan 32 bus 10
1000 Brussel
e-mail
Tel.: +32 (0)2 226 88 15

Your Europe: Feedback over de kwaliteit

Laatst bijgewerkt op 17/01/2025