Sicherheit von Netz- und Informationssystemen

Das Telekomgesetz

Unter „Telekomgesetz“ ist das Gesetz vom 13. Juni 2005 über die elektronische Kommunikation zu verstehen. 

Das Telekomgesetz (siehe Artikel 114) definiert die Sicherheitsmaßnahmen, die Telekombetreiber ergreifen müssen, um sowohl die Kontinuität des Betriebs ihres Netzes und ihrer Dienste zu gewährleisten als auch die (personenbezogenen) Daten zu schützen, die im Zusammenhang mit der Bereitstellung dieser Netze und Dienste verarbeitet werden.

Gemäß Artikel 114/1 hat ein Telekombetreiber die Verpflichtung (siehe auch die Rubrik „Praktische Informationen“): 

• das BIPT über ein besonderes Risiko der Verletzung der Netzsicherheit zu informieren;
• dem BIPT eine Verletzung der Sicherheit oder einen Verlust der Integrität mitzuteilen, die bzw. der beträchtliche Auswirkungen auf den Betrieb seiner Netze oder die Bereitstellung seiner Dienste hatte. Was unter „erhebliche Auswirkungen“ und die Meldungsbedingungen zu verstehen ist, wurde im Beschluss vom 14. Dezember 2017 festgelegt (siehe Rubrik „Praktische Informationen“);
• im Falle einer Verletzung des Schutzes personenbezogener Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste übermittelt, gespeichert oder auf andere Weise verarbeitet wurden, die Datenschutzbehörde informieren. Diese Behörde ist ihrerseits verpflichtet, das BIPT unverzüglich zu benachrichtigen. In bestimmten Fällen muss der Teilnehmer, der von dem Verstoß betroffen ist, ebenfalls benachrichtigt werden. Das BIPT und die Datenschutzbehörde arbeiten zusammen, um den Vorfall zu bewältigen.

Neben dem Gesetz über das Statut des BIPT (Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors) ist der Rechtsrahmen der folgende:

• Artikel 2, 68°; 114 bis 114/2 des Telekomgesetzes;
• Verordnung (EU) der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten;
• Beschluss vom 14. Dezember 2017 über die Schwellen und nähere Bedingungen für Meldung von Sicherheitszwischenfällen im Bereich der elektronischen Kommunikation; 

Das NIS-Gesetz  

Unter „NIS-Gesetz“ ist das Gesetz vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit zu verstehen.

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der digitalen Infrastruktur bezeichnet. Dieser Sektor umfasst mindestens die folgenden Einrichtungen: IXP (Internet-Knoten), DNS-Dienstanbieter und Register für Domänen oberster Stufe.

Eine der Aufgaben der sektoralen Behörde besteht darin, in Absprache mit dem Zentrum für Cybersicherheit Belgien (ZCB) und dem Krisenzentrum des FÖD Inneres (NCCN) die Betreiber wesentlicher Dienste (BWD) ihres Sektors anzudeuten.

Das NIS-Gesetz enthält Verpflichtungen für die BWD in Bezug auf Sicherheitsmaßnahmen (Artikel 20 bis 23), Meldungen von Vorfälle (Artikel 24 und 25, siehe auch Rubrik „Praktische Informationen“) und Überprüfung (Artikel 38).

Eine Einrichtung im Bereich der digitalen Infrastruktur, die in Belgien tätig ist und vom BIPT nicht als BWD bezeichnet wurde, kann auf freiwilliger Basis Sicherheitsvorfälle melden, die erhebliche Auswirkungen auf die Verfügbarkeit der von ihnen angebotenen Dienste haben (siehe Rubrik „Praktische Informationen“). Diese freiwillige Meldung darf nicht dazu führen, dass der meldenden Einrichtung Pflichten auferlegt werden, die nicht für sie gegolten hätten, wenn sie den Vorfall nicht gemeldet hätte. Bei der Bearbeitung der Meldungen können das ZCB, das BIPT und das NCCN den durch das NIS-Gesetz vorgeschriebenen Meldungen den Vorrang vor den freiwilligen Meldungen geben. Freiwillige Meldungen werden nur bearbeitet, wenn diese Bearbeitung keinen unverhältnismäßigen oder unzumutbaren Aufwand für die oben genannten Behörden darstellt.

Der Rechtsrahmen ist der folgende:

• Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors; 
• Gesetz vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit; 
• Königlicher Erlass vom 12. Juli 2019 zur Ausführung des Gesetzes vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit und des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen.

Weitere Informationen finden Sie auf der Website des ZCB.

Risikoanalyse 

Das BIPT hat über die Online-Plattform SERIMA.be, der Abkürzung für „Security Risk Management „, ein Risikoanalyse-Tool für die Sicherheit von Netz- und Informationssystemen eingerichtet.

Das BIPT beabsichtigt, bestimmte Telekombetreiber und Betreiber wesentlicher Dienste (BWD), die es auf der Grundlage des NIS-Gesetzes bezeichnet hat, aufzufordern, ihm über diese Plattform jährlich eine Risikoanalyse vorzulegen.

Die anderen Telekombetreiber können die Plattform nutzen, indem sie dem BIPT einen Antrag dazu übermitteln. Weitere Informationen sind im Entwurf einer Mitteilung des BIPT über die

Analyse von Risiken zur Sicherheit von Netz- und Informationssystemen zu finden (siehe Rubrik „Dokumente“). 

Das Gesetz „kritische Infrastrukturen“ 

Unter das Gesetz „kritische Infrastrukturen“ ist das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen zu verstehen. 

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der elektronischen Kommunikation (einschließlich des Bereichs der digitalen Infrastruktur) bezeichnet. 

Als sektorale Behörde muss das BIPT die Betreiber kritischer Infrastrukturen in seinem Sektor benennen und deren kritische Infrastrukturen identifizieren. Er tut dies in Absprache mit dem Krisenzentrum des FÖD Inneres (NCCN) und dem Zentrum für Cybersicherheit Belgien (ZCB). 

Die Hauptpflicht des Betreibers einer kritischen Infrastruktur (siehe Artikel 13 dieses Gesetzes) besteht darin, einen Sicherheitsplan zu entwickeln und einzusetzen, der zumindest dauerhafte interne Sicherheitsmaßnahmen, die unter allen Umständen anwendbar sind, und abgestufte interne Sicherheitsmaßnahmen, die je nach Bedrohung anzuwenden sind, umfasst.

Der Betreiber muss jedes Ereignis melden, das die Sicherheit der kritischen Infrastruktur beeinträchtigen könnte (siehe Artikel 14 desselben Gesetzes).

Das BIPT führt Prüfungen bei kritischen Infrastrukturen durch. 

Der Rechtsrahmen ist der folgende: 

• Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors; 
• Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen; 
• Königlicher Erlass vom 27. Mai 2014 zur Ausführung des Artikels 13 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen im Bereich der elektronischen Kommunikation; 
• Königlicher Erlass vom 14. Juni 2017 zur Benennung im Bereich der elektronischen Kommunikation des durch das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen eingeführten Kontrolldienstes; 
• Königlicher Erlass vom 3. Dezember 2017 zur Festlegung des Musters der in Artikel 24 Absatz 3 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen im Bereich der elektronischen Kommunikation erwähnten Legitimationskarte.

Das Gesetz über die Sicherheitsstellungnahmen 

Unter „Gesetz über die Sicherheitsstellungnahmen“ ist das Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen zu verstehen. 

Zur Umsetzung dieses Gesetzes wurde das BIPT als zuständige Verwaltungsbehörde für den „Bereich der elektronischen Kommunikation und der digitalen Infrastruktur“ bezeichnet, mit Ausnahme der Sicherheitsstellungnahmen der Mitglieder der Koordinierungsstelle (der Justiz) der Telekombetreiber. Für diese Stellungnahmen ist die zuständige Verwaltungsbehörde der Minister der Justiz. 

Es obliegt dem BIPT in seiner Eigenschaft als zuständige Verwaltungsbehörde, der Nationalen Sicherheitsbehörde vorzuschlagen, welche Funktionen Gegenstand einer Sicherheitsstellungnahme sein sollen und für welche Betreiber die Maßnahme anwendbar ist. Es ist die Nationale Sicherheitsbehörde, die in dieser Angelegenheit die Entscheidung trifft. Sobald diese Entscheidung getroffen ist, müssen die Ersuchen um Stellungnahme über das BIPT erfolgen.  

Der Rechtsrahmen ist der folgende: 

• Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen; 
• Gesetz vom 11. Dezember 1998 über die Einrichtung einer Widerspruchsstelle im Bereich von Sicherheitsermächtigungen, Sicherheitsbescheinigungen und Sicherheitsstellungnahmen; 
• Königlicher Erlass vom 24. März 2000 zur Ausführung des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen; 
• Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Tätigkeitsbereiche und der zuständigen Verwaltungsbehörden gemäß Artikel 22quinquies, § 7 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen 
• Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Liste von Daten und Informationen, die im Rahmen der Durchführung einer Sicherheitsüberprüfung eingesehen werden können
• Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Höhe der von der Nationalen Sicherheitsbehörde ausgestellte Entgelte für Sicherheitsermächtigungen, für Sicherheitsbescheinigungen und Sicherheitsstellungnahmen und für von der Föderalen Nuklearkontrollbehörde ausgestellte Sicherheitsbescheinigungen sowie die Verteilungsschlüssel gemäß Artikel 22septies, Absätze 6 und 8 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen.