Netwerkveiligheid en kritieke infrastructuren


Betrokken ondernemingen

Wat de wet van 13 juni 2005 betreffende de elektronische communicatie betreft (verder de telecomwet) zijn alle operatoren zonder uitzondering verplicht om de bepalingen inzake veiligheid van de netwerken in acht te nemen.

Wat daarentegen de sector van de elektronische communicatie betreft, bedoeld bij de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren (verder de wet bescherming van de kritieke infrastructuren), zijn aan deze wet enkel de kritieke infrastructuren onderworpen die aangewezen zijn door de sectorale overheid, in casu het BIPT voor de elektronische-communicatiesector.

Verplichtingen inzake veiligheidsmaatregel  

De telecomwet (zie artikel 114) definieert de veiligheidsmaatregelen die de operatoren moeten nemen, zowel om de goede werking van hun netwerk en dienst te waarborgen (bijvoorbeeld in het kader van het risico voor afschakeling van het stroomnet) als om de (persoons)gegevens te beschermen die worden verwerkt in het kader van de levering van die netwerken en diensten.

Volgens de wet kritieke infrastructuren (zie artikel 13) moet de exploitant van een dergelijke infrastructuur evenwel een veiligheidsplan uitwerken en toepassen, dat ten minste interne permanente veiligheidsmaatregelen omvat die in alle omstandigheden van toepassing zijn, en geleidelijke interne veiligheidsmaatregelen die toegepast moeten worden naargelang van de dreiging.

Verplichtingen inzake melding van incidenten

Artikel 114/1 van de telecomwet maakt een onderscheid tussen 3 gevallen van melding van veiligheidsincidenten ten laste van de operatoren: 

1. De verplichting om aan het BIPT een bijzonder risico van inbreuk op de beveiliging van het netwerk te melden;

2. De verplichting om het BIPT in kennis te stellen van elke inbreuk op de veiligheid of elk verlies van integriteit die of dat een belangrijke impact heeft gehad op de werking van de netwerken of diensten. Wat verstaan moet worden onder “belangrijke impact” alsook de praktische werkwijze van de kennisgeving zijn verduidelijkt in het besluit van de Raad van het BIPT van 14/12/2017 (zie rubriek “melding van incidenten en praktische informatie”);

3. In geval van inbreuk in verband met persoonsgegevens die worden verzonden, opgeslagen of op een andere manier verwerkt met betrekking tot de levering van elektronische-communicatiediensten moet de operator de Gegevensbeschermingsautoriteit daarover inlichten, die op haar beurt onmiddellijk het BIPT daarvan op de hoogte moet brengen. In sommige gevallen moet ook de abonnee die bij de inbreuk betrokken is, worden ingelicht. Het BIPT en de Gegevensbeschermingsautoriteit plegen overleg voor het beheer van het incident.

Wat de wet kritieke infrastructuren betreft (zie artikel 14) heeft de exploitant een kennisgevingsplicht wanneer zich een gebeurtenis voordoet die een bedreiging kan vormen voor de veiligheid van de kritieke infrastructuur.

Het BIPT behandelt de veiligheidsincidenten via zijn wachtteam dat daartoe is opgericht.

Controle en sanctie

Het BIPT controleert de naleving van de wetgeving en van de uitvoeringsmaatregelen ervan en legt indien nodig sancties op.  Daarbij is het aangewezen als inspectiedienst voor de elektronische-communicatiesector in het kader van de wet bescherming van kritieke infrastructuren. 

Wettelijk kader

De voornaamste bepalingen inzake netwerkbeveiliging zijn:

1. wat betreft de netwerkbeveiliging in de strikte betekenis:

a. de artikelen 114 tot en met 114/2 van de telecomwet;

b. het besluit van de Raad van het BIPT van 14/12/2017 betreffende de drempels en modaliteiten voor kennisgeving van veiligheidsincidenten binnen de sector elektronische communicatie

2. wat betreft de inbreuken in verband met persoonsgegevens:

a. de artikelen 2, 68°,en 114 tot 114/2 van de telecomwet;

b. Verordening (EU) nr. 611/2013 van de Commissie van 24 juni 2013 betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens op grond van Richtlijn 2002/58/EG van het Europees Parlement en de Raad betreffende privacy en elektronische communicatie;

3. wat betreft de bescherming van kritieke infrastructuur voor de sector van de elektronische communicatie:

a. de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;

b. het ministerieel besluit van 17 oktober 2011 houdende aanwijzing van de sectorale overheid voor de sector elektronische communicatie;

c. het ministerieel besluit van 17 april 2013 tot wijziging van het ministerieel besluit van 17 oktober 2011 houdende aanwijzing van de sectorale overheid voor de sector elektronische communicatie, bedoeld in artikel 3, 3°, d, van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;

d. het koninklijk besluit van 27 mei 2014 tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren