Telekommunikation Sicherheit Sicherheit von Netz- & Informationssystemen

Sicherheit von Netz- und Informationssystemen

Das Gesetz über die elektronische Kommunikation

Unter „Gesetz über die elektronische Kommunikation“ ist das Gesetz vom 13. Juni 2005 über die elektronische Kommunikation zu verstehen.

Informationen zum Begriff „Betreiber“ finden Sie unter folgendem Link.

Verpflichtungen für alle Betreiber

Die Anbieter müssen:

  • die Sicherheitsrisiken ihrer Netze und Dienste analysieren (Artikel 107/2, § 1, Absatz 1). Siehe unten den Abschnitt über die Risikoanalyse;   
  • angemessene und verhältnismäßige technische und organisatorische Maßnahmen, gegebenenfalls einschließlich Verschlüsselung, ergreifen, um diese Risiken angemessen zu bewältigen sowie die Auswirkungen von Sicherheitsvorfällen sowohl auf die Nutzer als auch auf andere Netze und Dienste zu verhindern und zu begrenzen (Artikel 107/2, § 1, Absatz 2); 
  • alle erforderlichen Maßnahmen, einschließlich vorbeugender Maßnahmen, ergreifen, um die möglichst vollständige Verfügbarkeit von Sprachkommunikationsdiensten und Internetzugangsdiensten im Falle eines außergewöhnlichen Netzausfalls oder höherer Gewalt zu gewährleisten (Artikel 107/2, § 3).

Ein Anbieter muss eine Meldung machen (siehe auch die Rubrik „Praktische Informationen“): 

  • an das BIPT im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in einem öffentlichen elektronischen Kommunikationsnetz oder einem öffentlich zugänglichen elektronischen Kommunikationsdienst und die von dieser Gefahr potenziell betroffenen Nutzer, darüber informieren (Art 107/3, § 1);
  • an das BIPT im Falle eines Sicherheitsvorfalls, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte. Was unter „beträchtliche Auswirkungen“ und die Meldungsbedingungen zu verstehen ist, wurde im Beschluss vom 14. Dezember 2017 festgelegt (siehe die Rubrik „Praktische Informationen“);
  • an die Datenschutzbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste verarbeitet werden. Diese Behörde ist ihrerseits verpflichtet, das BIPT unverzüglich darüber zu informieren. In bestimmten Fällen muss der Teilnehmer, der von dem Verstoß betroffen ist, ebenfalls benachrichtigt werden. Das BIPT und die Datenschutzbehörde arbeiten zusammen, um den Vorfall zu bewältigen (Art. 107/3, §§ 3 und 4).

Neben dem Gesetz über das Statut des BIPT (Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors) ist der Rechtsrahmen der folgende:

Ministerielle Genehmigung im Zusammenhang mit der Bereitstellung eines 5G-Netzes

Die folgenden Verpflichtungen ergeben sich aus Artikel 105 des Gesetzes über die elektronische Kommunikation und dem Königlichen Erlass vom 16. April  2023 über die ministerielle Genehmigung im Zusammenhang mit dem 5G-Netzausbau (im Folgenden: Königlicher Erlass über die ministerielle Genehmigung):

Verpflichtungen für:  Verpflichtungen:
die folgenden Unternehmen, wenn sie ein 5G-Netz anbieten: 
  • MNOs (Mobile Network Operator, siehe Definition in Art. 2 89° des oben genannten Gesetzes);   
  • „Full“ MVNOs (Mobile Virtual Network Operator, siehe Definition in Art. 2 90° des oben genannten Gesetzes), d.h. MVNOs, die über bestimmte Netzelemente verfügen; 
  • die Aktiengesellschaft A.S.T.R.I.D.; 
  • Unternehmen, die als Betreiber kritischer Infrastrukturen im Sinne des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen bezeichnet wurden, sofern Elemente des privaten 5G-Netzes in einer dieser kritischen Infrastrukturen genutzt werden; 
  • Unternehmen, die als Betreiber wesentlicher Dienste im Sinne des Gesetzes vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit (NIS-Gesetz) bezeichnet wurden, sofern bei der Bereitstellung eines wesentlichen Dienstes das private 5G-Netz genutzt wird.
  • eine ministerielle Genehmigung beantragen und erhalten, bevor sie ein Element des 5G-Netzes nutzen können (Vorabgenehmigung), oder;
  • wenn dieses Netzelement bei Inkrafttreten des Königlichen Erlasses über die ministerielle Genehmigung bereits genutzt wird, innerhalb von zwei Monaten nach diesem Zeitpunkt eine ministerielle Genehmigung beantragen und erhalten (Regularisierungsgenehmigung), und
  • eine ministerielle Genehmigung beantragen und erhalten, bevor sie einen Dienstanbieter für die Verwaltung und Überwachung ihrer 5G-Netzelemente in Anspruch nehmen, mit Ausnahme der Inanspruchnahme von Geräteherstellern, die einen Unterstützungsdienst anbieten, wenn dieser Dienst im Vertrag über die Bereitstellung von Netzelementen vorgesehen ist (Vorabgenehmigung), oder
  • wenn die Inanspruchnahme eines solchen Dienstanbieters zum Zeitpunkt des Inkrafttretens des Königlichen Erlasses über die ministerielle Genehmigung bereits wirksam ist, innerhalb von zwei Monaten nach diesem Zeitpunkt eine ministerielle Genehmigung beantragen und erhalten (Regularisierungsgenehmigung).

Eine neue Genehmigung muss beantragt werden, wenn das Unternehmen, das das 5G-Netz anbietet, ein Netzelement oder einen Dienst nutzen möchte, für das/den noch keine Genehmigung erteilt wurde.

Artikel 11 Absatz 1 des Königlichen Erlasses über die ministerielle Genehmigung sieht Folgendes vor: „Aktualisierungen von Software oder Hardwaregeräten erfordern keine zusätzliche Genehmigung, es sei denn, sie ändern die im Genehmigungsantrag aufgeführten Elemente. “

Die ministerielle Genehmigung wird von den folgenden Ministern erteilt:  Der Premierminister, der Minister für Telekommunikation, der Minister der Landesverteidigung, der Minister der Justiz, der Minister des Innern und der Minister der Auswärtigen Angelegenheiten (Artikel 105 § 1 des Gesetzes über die elektronische Kommunikation).

Sie können die Genehmigung erteilen, sie unter bestimmten Bedingungen erteilen oder sie verweigern.

Wenn sie einen Antrag prüfen, müssen sie:

  • das Risikoprofil des Anbieters auf der Grundlage einer Stellungnahme der Nachrichten- und Sicherheitsdienste (Wahrscheinlichkeit, dass der Anbieter einen Eingriff von einem Land erfährt, das kein EU-Mitgliedstaat ist) und einem Gutachten des BIPT (Fähigkeit des Anbieters, die Versorgung in Bezug auf Zeit und Menge zu gewährleisten, Gesamtqualität seiner Produkte oder Dienstleistungen und seine Sicherheitspraktiken) bewerten und; 
  • die Beschränkungen anwenden, die im Königlichen Erlass über die ministerielle Genehmigung festgelegt sind. 

Einige Beschränkungen für MNO berücksichtigen empfindliche Gebiete in Belgien. Diese sind im Anhang des Königlichen Erlasses vom 23. Oktober 2022 über empfindliche Gebiete im Rahmen des Gesetzes vom 17. Februar 2022 zur Einführung zusätzlicher Sicherheitsmaßnahmen für die Bereitstellung von 5G-Mobilfunkdiensten aufgelistet. Dieser Anhang ist vertraulich. MNOs, die eine ministerielle Genehmigung beantragen müssen und diesen Anhang einsehen möchten, können dem BIPT eine E-Mail senden.

Unternehmen, die eine ministerielle Genehmigung (Vorabgenehmigung oder Regularisierungsgenehmigung) benötigen, müssen gemäß den in der Mitteilung vom 15. Mai 2023 festgelegten Modalitäten ihren Antrag beim BIPT einreichen.

Lokalisierungsverpflichtungen im Zusammenhang mit der Bereitstellung eines 5G-Netzes

Ab dem 1. Januar 2028 müssen die im vorstehenden Abschnitt genannten Unternehmen, die ein 5G-Netz anbieten, sicherstellen, dass die folgenden Elemente im Hoheitsgebiet der Europäischen Union angesiedelt sind:

  • Personen, Geräte, Software und Daten, die für die Echtzeitüberwachung ihres 5G-Netzes oder ihrer Elemente des 5G-Kernnetzes erforderlich sind;
  • Personen, Geräte, Software und Daten, die mit der Kontrolle des physischen und logischen Zugangs zu ihrem 5G-Netz oder ihren Elementen des 5G-Kernnetzes in Zusammenhang stehen.

Personen, die das Netz nicht in Echtzeit überwachen, von denen aber möglicherweise eine Einzelaktion im Netz verlangt wird, können sich außerhalb des Hoheitsgebiets der Europäischen Union befinden, sofern ihre Interventionen ständig von einer der oben genannten Personen verfolgt werden (Königlicher Erlass vom 18. April 2023 über die Lokalisierungsanforderungen für 5G-Netze).

Wenn ein MNO in Belgien elektronische Kommunikationsdienste über ein 5G-Netz anbietet, muss sich die Infrastruktur dieses Netzes zudem auf dem Gebiet der Mitgliedstaaten der Europäischen Union befinden (Art. 105 § 8 Abs. 1 des Gesetzes über die elektronische Kommunikation).  

Das NIS-Gesetz  

Unter „NIS-Gesetz“ ist das Gesetz vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit zu verstehen.

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der digitalen Infrastruktur bezeichnet. Dieser Sektor umfasst mindestens die folgenden Einrichtungen: IXP (Internet-Knoten), DNS-Dienstanbieter und Register für Domänen oberster Stufe.

Eine der Aufgaben der sektoralen Behörde besteht darin, in Absprache mit dem Zentrum für Cybersicherheit Belgien (ZCB) und dem Krisenzentrum des FÖD Inneres (NCCN) die Betreiber wesentlicher Dienste (BWD) ihres Sektors anzudeuten.

Das NIS-Gesetz enthält Verpflichtungen für die BWD in Bezug auf Sicherheitsmaßnahmen (Artikel 20 bis 23), Meldungen von Vorfälle (Artikel 24 und 25, siehe auch Rubrik „Praktische Informationen“) und Überprüfung (Artikel 38).

Eine Einrichtung im Bereich der digitalen Infrastruktur, die in Belgien tätig ist und vom BIPT nicht als BWD bezeichnet wurde, kann auf freiwilliger Basis Sicherheitsvorfälle melden, die erhebliche Auswirkungen auf die Verfügbarkeit der von ihnen angebotenen Dienste haben (siehe Rubrik „Praktische Informationen“). Diese freiwillige Meldung darf nicht dazu führen, dass der meldenden Einrichtung Pflichten auferlegt werden, die nicht für sie gegolten hätten, wenn sie den Vorfall nicht gemeldet hätte. Bei der Bearbeitung der Meldungen können das ZCB, das BIPT und das NCCN den durch das NIS-Gesetz vorgeschriebenen Meldungen den Vorrang vor den freiwilligen Meldungen geben. Freiwillige Meldungen werden nur bearbeitet, wenn diese Bearbeitung keinen unverhältnismäßigen oder unzumutbaren Aufwand für die oben genannten Behörden darstellt.

Der Rechtsrahmen ist der folgende:

  • Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors; 
  • Gesetz vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit; 
  • Königlicher Erlass vom 12. Juli 2019 zur Ausführung des Gesetzes vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit und des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen;
  • Königlicher Erlass vom 15. Dezember 2021 zur Festlegung der Legitimationskarten der Beamten und Vertragsbediensteten des Belgischen Institut für Postdienste und Telekommunikation.

Weitere Informationen finden Sie auf der Website des ZCB.

Risikoanalyse 

Das BIPT hat ein Risikoanalyse-Tool für die Sicherheit der Netze und Informationssysteme eingerichtet, SERIMA.be, das die Abkürzung für "Security Risk Management" ist.

Das BIPT hat einige Anbieter elektronischer Kommunikationsdienste und Betreiber wesentlicher Dienste (BWD), die es auf der Grundlage des NIS-Gesetzes bezeichnet hat, aufgefordert, ihm über diese Plattform jährlich eine Risikoanalyse vorzulegen.

Die anderen Anbieter elektronischer Kommunikationsdienste können die Plattform nutzen, indem sie dem BIPT einen Antrag dazu übermitteln. Weitere Informationen sind in der Mitteilung vom 12. April 2023 über die Analyse von Risiken zur Sicherheit von Netz- und Informationssystemen zu finden. 

Das Gesetz „kritische Infrastrukturen“ 

Unter das Gesetz „kritische Infrastrukturen“ ist das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen zu verstehen. 

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der elektronischen Kommunikation (einschließlich des Bereichs der digitalen Infrastruktur) bezeichnet. 

Als sektorale Behörde muss das BIPT die Betreiber kritischer Infrastrukturen in seinem Sektor benennen und deren kritische Infrastrukturen identifizieren. Er tut dies in Absprache mit dem Krisenzentrum des FÖD Inneres (NCCN) und dem Zentrum für Cybersicherheit Belgien (ZCB). 

Die Hauptpflicht des Betreibers einer kritischen Infrastruktur (siehe Artikel 13 dieses Gesetzes) besteht darin, einen Sicherheitsplan zu entwickeln und einzusetzen, der zumindest dauerhafte interne Sicherheitsmaßnahmen, die unter allen Umständen anwendbar sind, und abgestufte interne Sicherheitsmaßnahmen, die je nach Bedrohung anzuwenden sind, umfasst.

Der Betreiber muss jedes Ereignis melden, das die Sicherheit der kritischen Infrastruktur beeinträchtigen könnte (siehe Artikel 14 desselben Gesetzes).

Das BIPT führt Prüfungen bei kritischen Infrastrukturen durch. 

Der Rechtsrahmen ist der folgende: 

  • Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors; 
  • Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen; 
  • Königlicher Erlass vom 27. Mai 2014 zur Ausführung des Artikels 13 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen im Bereich der elektronischen Kommunikation; 
  • Königlicher Erlass vom 14. Juni 2017 zur Benennung im Bereich der elektronischen Kommunikation des durch das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen eingeführten Kontrolldienstes;
  • Königlicher Erlass vom 15. Dezember 2021 zur Festlegung der Legitimationskarten der Beamten und Vertragsbediensteten des Belgischen Institut für Postdienste und Telekommunikation.

Das Gesetz über die Sicherheitsstellungnahmen 

Unter „Gesetz über die Sicherheitsstellungnahmen“ ist das Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen zu verstehen. 

Zur Umsetzung dieses Gesetzes wurde das BIPT als zuständige Verwaltungsbehörde für den „Bereich der elektronischen Kommunikation und der digitalen Infrastruktur“ bezeichnet, mit Ausnahme der Sicherheitsstellungnahmen der Mitglieder der Koordinierungsstelle (der Justiz) der Anbieter elektronischer Kommunikationsdienste. Für diese Stellungnahmen ist die zuständige Verwaltungsbehörde der Minister der Justiz. 

Es obliegt dem BIPT in seiner Eigenschaft als zuständige Verwaltungsbehörde, der Nationalen Sicherheitsbehörde vorzuschlagen, welche Funktionen Gegenstand einer Sicherheitsstellungnahme sein sollen und für welche Betreiber die Maßnahme anwendbar ist. Es ist die Nationale Sicherheitsbehörde, die in dieser Angelegenheit die Entscheidung trifft. Sobald diese Entscheidung getroffen ist, müssen die Ersuchen um Stellungnahme über das BIPT erfolgen.  

Der Rechtsrahmen ist der folgende: 

  • Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen; 
  • Gesetz vom 11. Dezember 1998 über die Einrichtung einer Widerspruchsstelle im Bereich von Sicherheitsermächtigungen, Sicherheitsbescheinigungen und Sicherheitsstellungnahmen; 
  • Königlicher Erlass vom 24. März 2000 zur Ausführung des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen; 
  • Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Tätigkeitsbereiche und der zuständigen Verwaltungsbehörden gemäß Artikel 22quinquies, § 7 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen 
  • Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Liste von Daten und Informationen, die im Rahmen der Durchführung einer Sicherheitsüberprüfung eingesehen werden können
  • Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Höhe der von der Nationalen Sicherheitsbehörde ausgestellte Entgelte für Sicherheitsermächtigungen, für Sicherheitsbescheinigungen und Sicherheitsstellungnahmen und für von der Föderalen Nuklearkontrollbehörde ausgestellte Sicherheitsbescheinigungen sowie die Verteilungsschlüssel gemäß Artikel 22septies, Absätze 6 und 8 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen.

Föderale Phase bei einer Notsituation 

Auf der Website des nationalen Krisenzentrums (NCCN) werden die von den vier Büros, die sich bei der Auslösung einer föderalen Phase bei einer Notsituation versammeln, getroffenen Maßnahmen wie folgt zusammengefasst: 

„Während einer föderalen Phase liegt die Leitung des Krisenmanagements in der Zuständigkeit des Ministers des Innern. Bei der Auslösung einer föderalen Phase durch den Minister versammeln sich vier verschiedene Büros.

  • Das Evaluationsbüro sammelt Informationen, führt eine Beurteilung der Situation durch und richtet ein Gutachten an COFECO. Dieses Büro setzt sich aus Fachleuten und Wissenschaftlern der verschiedenen zuständigen Behörden und Dienste zusammen.
  • Der Koordinierungsausschuss (COFECO) macht sich ein Bild der Situation und ihrer Entwicklung, schlägt dem Strategiebüro Maßnahmen zum Schutz der Bevölkerung vor und verteilt die verfügbaren überlokalen Mittel. Dieses Büro setzt sich aus Vertretern der Disziplinen und der öffentlichen Dienste zusammen.
  • Das Strategiebüro bestätigt die Vorschläge vom COFECO. Dieses Büro setzt sich aus zuständigen Ministern zusammen. Sie sind befugt, Maßnahmen zu ergreifen, und tragen die politische Verantwortung.
  • Das Informationsbüro berichtet über die Maßnahmen. Dieses Büro setzt sich aus den Kommunikationsbeauftragten bzw. den Sprechern der betroffenen föderalen öffentlichen Dienste zusammen.

Der föderale Koordinierungsausschuss steht in ständigem Kontakt mit dem/den provinzialen Krisenstab/Krisenstäben und den Krisenzentren der betreffenden Ministerien und Regionen, die die in ihrem Zuständigkeitsbereich getroffenen Entscheidungen ausführen.“ 

Für den Telekomsektor wurde eine Bewertungszelle („CELEVAL“) eingerichtet („CELEVAL Telekom“). Die Zusammensetzung dieser Zelle hängt von der Art des Vorfalls ab. Sie umfasst in der Regel unter anderem die betroffenen Anbieter elektronischer Kommunikationsdienste, das Zentrum für Cybersicherheit Belgien (CCB), den FÖD Wirtschaft, das BIPT, das nationalen Krisenzentrum (NCCN), die Aktiengesellschaft A.S.T.R.I.D., die Föderale Polizei und die Generaldirektion Zivile Sicherheit. Das BIPT führt den Vorsitz dieser Zelle. 

Der COFECO wird vom nationalen Krisenzentrum (NCCN) geleitet und umfasst insbesondere das BIPT, wenn in dieser Zelle Telekom-Elemente diskutiert werden. 

Das BIPT ist als Vorsitzender der CELEVAL Telekom zuständig für: 

  • Die Berichterstattung an den COFECO über die Situation des gesamten Telekomsektors; 
  • Die Weiterverfolgung der an den Telekomsektor gerichteten Forderungen des COFECO.

Der für die föderale Phase geltende Rechtsrahmen ist Punkt 4.4. der Anlage zum Königlichen Erlass vom 31. Januar 2003 zur Festlegung des Noteinsatzplans für Krisenereignisse und Krisensituationen, die eine Koordination oder eine Bewältigung auf nationaler Ebene erfordern (Deutsche Fassung: https://www.scta.be/MalmedyUebersetzungen/downloads/20030131.civ.pdf). 
 

ENISA-Dokumente (die europäische Agentur für „Cyber-Sicherheit“)

BIPT-Dokumente

Nach oben