Deze website maakt gebruik van cookies die uitsluitend nodig zijn voor de goede werking ervan. Je kan deze niet weigeren indien je deze website wenst te bezoeken. Het BIPT gebruikt geen cookies voor analytische doeleinden.

De telecomwet

Onder "telecomwet” verstaan we de wet van 13 juni 2005 betreffende de elektronische communicatie. 

De telecomwet (zie artikel 114) definieert de veiligheidsmaatregelen die de telecomoperatoren moeten nemen, zowel om de continuïteit van de werking van hun netwerk en dienst te waarborgen als om de (persoons)gegevens te beschermen die worden verwerkt in het kader van de levering van die netwerken en diensten.

Krachtens artikel 114/1 moet een telecomoperator een melding doen  (zie ook rubriek “Praktische informatie”):

  • bij het BIPT, in geval van een bijzonder risico op inbreuk op de veiligheid van het netwerk;
  • bij het BIPT in geval van inbreuk op de veiligheid of verlies van integriteit die of dat een belangrijke impact heeft gehad op de werking van zijn netwerken of diensten. Wat verstaan moet worden onder “belangrijke impact” alsook de praktische werkwijze van de melding zijn verduidelijkt in het besluit van 14 december 2017 van het BIPT (zie rubriek "Praktische informatie");
  • aan de Gegevensbeschermingsautoriteit in geval van inbreuk op persoonsgegevens die verzonden, opgeslagen of op een andere manier verwerkt worden met betrekking tot de levering van elektronische-communicatiediensten. Deze autoriteit is zelf verplicht om het BIPT onverwijld hierover in te lichten. In sommige gevallen moet ook de abonnee die bij de inbreuk betrokken is, worden ingelicht. Het BIPT en de Gegevensbeschermingsautoriteit plegen overleg voor het beheer van het incident.

Behalve de BIPT-statuutwet (wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector) is het juridische kader als volgt:

De NIS-wet

Onder “NIS-wet” verstaan we de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.

Om deze wet uit te voeren is het BIPT aangewezen als sectorale overheid en inspectiedienst voor de sector van de digitale infrastructuren. Die sector omvat minstens de volgende entiteiten: de IXP’s (internetknooppunten), de DNS-dienstverleners en de registers voor topleveldomeinnamen.

Een van de taken van de sectorale overheid bestaat erin de aanbieders van essentiële diensten (AED) van haar sector aan te wijzen, in overleg met het Centrum voor Cybersecurity België (CCB) en het Crisiscentrum van de FOD Binnenlandse Zaken (NCCN).

De NIS-wet bevat verplichtingen voor de AED’s inzake beveiligingsmaatregelen (de artikelen 20 tot 23), melding van incidenten (de artikelen 24 en 25, zie ook de rubriek "Praktische informatie") en audits (artikel 38).

Een entiteit van de sector van de digitale infrastructuren die in België actief is en door het BIPT niet als AED is aangewezen, kan vrijwillig een incident melden dat een belangrijke impact heeft op de continuïteit van de diensten die zij verstrekt (zie rubriek “praktische informatie”). Deze vrijwillige melding heeft niet tot gevolg dat aan de entiteit die aan de oorsprong ligt van de melding, verplichtingen worden opgelegd waar die niet aan zou zijn onderworpen, als ze die melding niet had gedaan. Bij de behandeling van de meldingen kunnen het CBB, het BIPT en het NCCN de verplichte meldingen die zijn opgelegd door de NIS-wet voorrang geven ten opzichte van de vrijwillige meldingen. De vrijwillige meldingen worden maar behandeld wanneer de behandeling ervan geen onevenredige of bovenmatige belasting vormt voor de voormelde overheden.

Het wettelijke kader is als volgt:

  • de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector; 
  • de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid; 
  • het koninklijk besluit van 12 juli 2019 tot uitvoering van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren.

Meer informatie is te vinden op de website van het CCB.

Risicoanalyse

Het BIPT heeft een tool voor risicoanalyse inzake veiligheid van de netwerken en informatiesystemen ingesteld, via het onlineplatform SERIMA.be, wat de afkorting is voor “Security Risk Management”.

Het BIPT is van plan om aan bepaalde telecomoperatoren en aan de aanbieders van essentiële diensten (AED’s) die het aangewezen heeft op basis van de NIS-wet, te vragen om jaarlijks via dat platform een risicoanalyse eraan voor te leggen.

De overige telecomoperatoren mogen van het platform gebruikmaken mits ze dat aan het BIPT aanvragen. Meer informatie kan worden gevonden in de ontwerpmededeling van het BIPT betreffende de risicoanalyses op het stuk van de beveiliging van netwerken en informatiesystemen (zie rubriek “documenten”). 

De wet kritieke infrastructuren 

Onder “wet kritieke infrastructuren” verstaan we de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren. 

Om deze wet uit te voeren is het BIPT aangewezen als sectorale overheid en inspectiedienst voor de sector van de elektronische communicatie (met inbegrip van de sector van de digitale infrastructuren). 

Als sectorale overheid moet het BIPT de exploitanten van kritieke infrastructuren van zijn sector aanwijzen en hun kritieke infrastructuren identificeren. Het doet dit in overleg met het Crisiscentrum van de FOD Binnenlandse Zaken (NCCN) en het Centrum voor Cybersecurity België (CCB). 

De voornaamste verplichting van de exploitant van een kritieke infrastructuur (zie artikel 13 van deze wet) bestaat erin een veiligheidsplan uit te werken en toe te passen, dat ten minste permanente interne veiligheidsmaatregelen omvat (die in alle omstandigheden van toepassing zijn) en geleidelijke interne veiligheidsmaatregelen (die toegepast moeten worden naargelang van de dreiging).

De exploitant moet elke gebeurtenis melden die de veiligheid van de kritieke infrastructuur kan bedreigen (zie artikel 14 van dezelfde wet).

Het BIPT verricht inspecties van de kritieke infrastructuren. 

Het wettelijke kader is als volgt: 

  • de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector; 
  • de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
  • het koninklijk besluit van 27 mei 2014 tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren; 
  • het koninklijk besluit van 14 juni 2017 houdende aanwijzing van de inspectiedienst voor de elektronische-communicatiesector, ingevoerd krachtens de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren; 
  • het koninklijk besluit van 3 december 2017 houdende vaststelling van het model van de legitimatiekaart bedoeld in artikel 24, paragraaf 3, van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, voor de sector elektronische communicatie.

De wet betreffende de veiligheidsadviezen 

Onder de “wet betreffende de veiligheidsadviezen” verstaan we de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen. 

Om deze wet uit te voeren is het BIPT aangewezen als bevoegde administratieve overheid voor de “sector elektronische communicatie en digitale infrastructuren”, met uitzondering van de veiligheidsadviezen van de leden van de coördinatiecel (Justitie) van de telecomoperatoren. Voor deze adviezen is de minister van Justitie de bevoegde administratieve overheid. 

Het is de taak van het BIPT, in zijn hoedanigheid van bevoegde administratieve overheid, om aan de NVR (Nationale Veiligheidsraad) de functies voor te stellen die onderworpen zouden moeten worden aan een veiligheidsadvies alsook de operatoren op wie de maatregel van toepassing is. De NVR neemt de beslissing ter zake. Nadat die beslissing genomen is, moeten de adviesaanvragen via het BIPT verlopen.  

Het wettelijke kader is als volgt: 

  • de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • de wet van 11 december 1998 tot oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 24 maart 2000 tot uitvoering van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 8 mei 2018 tot vaststelling van de activiteitensectoren en de bevoegde administratieve overheden bedoeld in artikel 22quinquies, § 7, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 8 mei 2018 tot bepaling van de lijst van de gegevens en informatie die geraadpleegd kunnen worden in het kader van de uitvoering van een veiligheidsverificatie
  • het koninklijk besluit van 8 mei 2018 tot vaststelling van de bedragen van de retributies die verschuldigd zijn voor de veiligheidsmachtigingen, voor de veiligheidsattesten en veiligheidsadviezen afgegeven door de Nationale Veiligheidsoverheid en voor de veiligheidsattesten afgegeven door het Federaal Agentschap voor Nucleaire Controle alsook van de verdeelsleutels bedoeld in artikel 22septies, zesde en achtste lid, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen.

Documenten

  • Raadpleging betreffende de risicoanalyses op het vlak van de beveiliging van netwerken en informatiesystemen
  • Mededeling betreffende het Covid-19 virus naar aanleiding van de Regeringsmededeling van 17 maart 2020
  • Mededeling betreffende het COVID-19 virus
  • Advies van 15 mei 2019 betreffende het ontwerp van koninklijk besluit tot uitvoering van de NIS-wet alsook sommige bepalingen van de wet "kritieke infrastructuren"
  • Begeleidingsdocument voor het uitwerken van een beveiligingsplan
  • Besluit van 14 december 2017 betreffende de drempels en modaliteiten voor kennisgeving van veiligheidsincidenten binnen de sector elektronische communicatie
  • Raadpleging ontwerpbesluit betreffende de drempels en modaliteiten voor kennisgeving van veiligheidsincidenten
  • Mededeling van 18 november 2015 betreffende het gevaar voor afschakeling van het elektriciteitsnet gedurende de winter 2015/2016
  • FAQ geplande stroomonderbrekingen winter 2014-2015
  • Besluit van 1 april 2014 tot vaststelling van de hypothesen waarin de operatoren aan het BIPT een veiligheidsincident moeten melden en van de nadere bepalingen van deze kennisgeving
  • Mededeling van 16 september 2013 betreffende de feiten inzake hacking bij Belgacom
  • Raadpleging betreffende het ontwerp van koninklijk besluit tot uitvoering in de sector elektronische communicatie van artikel 13 van de Wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren
  • Mededeling van 30 april 2013 betreffende de mogelijke risico's voor schending van de veiligheid van de netwerken en diensten voor mobiele telefonie in het kader van de 2G- en 2,5G-technologie
  • Ontwerpbesluit van 3 mei 2013 tot vaststelling van de hypothesen waarin de operatoren aan het BIPT een veiligheidsincident moeten melden en van de nadere bepalingen van deze kennisgeving
  • Advies van 17 februari 2012 aan Minister Vande Lanotte betreffende de mogelijke risico's voor schending van de veiligheid van de netwerken en diensten voor mobiele telefonie in het kader van de 2g- en 2,5g-technologie

Newsletter

Als u e-mailwaarschuwingen wenst te krijgen, geef dan uw e-mailadres en uw interesse(s) op.

Het BIPT verwerkt deze twee of drie persoonlijke gegevens (e-mailadres (eventueel uw naam en voornaam) en interesses) om u deze berichten te bezorgen; indien u zich op een dag uitschrijft, zullen uw gegevens niet langer verwerkt worden en zullen ze worden gewist.

U zult uw inschrijving moeten bevestigen. U zult te allen tijde zich kunnen uitschrijven of uw profiel kunnen aanpassen via de link om uit te schrijven of door ons te contacteren via het adres webmaster@bipt.be.

Meer weten over de cookies of over de bescherming van uw persoonsgegevens?

Naar boven