Sicherheit von Netz- und Informationssystemen

Das Telekomgesetz

Unter „Telekomgesetz“ ist das Gesetz vom 13. Juni 2005 über die elektronische Kommunikation zu verstehen. 

Die Anbieter müssen:

• die Sicherheitsrisiken ihrer Netze und Dienste analysieren (Artikel 107/2, § 1, Absatz 1). Siehe unten den Abschnitt über die Risikoanalyse;   
• angemessene und verhältnismäßige technische und organisatorische Maßnahmen, gegebenenfalls einschließlich Verschlüsselung, ergreifen, um diese Risiken angemessen zu bewältigen sowie die Auswirkungen von Sicherheitsvorfällen sowohl auf die Nutzer als auch auf andere Netze und Dienste zu verhindern und zu begrenzen (Artikel 107/2, § 1, Absatz 2); 
• alle erforderlichen Maßnahmen, einschließlich vorbeugender Maßnahmen, ergreifen, um die möglichst vollständige Verfügbarkeit von Sprachkommunikationsdiensten und Internetzugangsdiensten im Falle eines außergewöhnlichen Netzausfalls oder höherer Gewalt zu gewährleisten (Artikel 107/2, § 3).

Ein Anbieter muss eine Meldung machen (siehe auch die Rubrik „Praktische Informationen“): 

• an das BIPT im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in einem öffentlichen elektronischen Kommunikationsnetz oder einem öffentlich zugänglichen elektronischen Kommunikationsdienst und die von dieser Gefahr potenziell betroffenen Nutzer, darüber informieren (Art 107/3, § 1);
• an das BIPT im Falle eines Sicherheitsvorfalls, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte. Was unter „beträchtliche Auswirkungen“ und die Meldungsbedingungen zu verstehen ist, wurde im Beschluss vom 14. Dezember 2017 festgelegt (siehe die Rubrik „Praktische Informationen“);
• an die Datenschutzbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste verarbeitet werden. Diese Behörde ist ihrerseits verpflichtet, das BIPT unverzüglich darüber zu informieren. In bestimmten Fällen muss der Teilnehmer, der von dem Verstoß betroffen ist, ebenfalls benachrichtigt werden. Das BIPT und die Datenschutzbehörde arbeiten zusammen, um den Vorfall zu bewältigen (Art. 107/3, §§ 3 und 4).

Neben dem Gesetz über das Statut des BIPT (Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors) ist der Rechtsrahmen der folgende:

• Artikel 2, 68°; 107/2 bis 107/4 des Telekomgesetzes;
• Verordnung (EU) der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten;
• Beschluss vom 14. Dezember 2017 über die Schwellen und nähere Bedingungen für Meldung von Sicherheitszwischenfällen im Bereich der elektronischen Kommunikation; 

Das NIS-Gesetz  

Unter „NIS-Gesetz“ ist das Gesetz vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit zu verstehen.

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der digitalen Infrastruktur bezeichnet. Dieser Sektor umfasst mindestens die folgenden Einrichtungen: IXP (Internet-Knoten), DNS-Dienstanbieter und Register für Domänen oberster Stufe.

Eine der Aufgaben der sektoralen Behörde besteht darin, in Absprache mit dem Zentrum für Cybersicherheit Belgien (ZCB) und dem Krisenzentrum des FÖD Inneres (NCCN) die Betreiber wesentlicher Dienste (BWD) ihres Sektors anzudeuten.

Das NIS-Gesetz enthält Verpflichtungen für die BWD in Bezug auf Sicherheitsmaßnahmen (Artikel 20 bis 23), Meldungen von Vorfälle (Artikel 24 und 25, siehe auch Rubrik „Praktische Informationen“) und Überprüfung (Artikel 38).

Eine Einrichtung im Bereich der digitalen Infrastruktur, die in Belgien tätig ist und vom BIPT nicht als BWD bezeichnet wurde, kann auf freiwilliger Basis Sicherheitsvorfälle melden, die erhebliche Auswirkungen auf die Verfügbarkeit der von ihnen angebotenen Dienste haben (siehe Rubrik „Praktische Informationen“). Diese freiwillige Meldung darf nicht dazu führen, dass der meldenden Einrichtung Pflichten auferlegt werden, die nicht für sie gegolten hätten, wenn sie den Vorfall nicht gemeldet hätte. Bei der Bearbeitung der Meldungen können das ZCB, das BIPT und das NCCN den durch das NIS-Gesetz vorgeschriebenen Meldungen den Vorrang vor den freiwilligen Meldungen geben. Freiwillige Meldungen werden nur bearbeitet, wenn diese Bearbeitung keinen unverhältnismäßigen oder unzumutbaren Aufwand für die oben genannten Behörden darstellt.

Der Rechtsrahmen ist der folgende:

• Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors; 
• Gesetz vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit; 
• Königlicher Erlass vom 12. Juli 2019 zur Ausführung des Gesetzes vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit und des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen;
• Königlicher Erlass vom 15. Dezember 2021 zur Festlegung der Legitimationskarten der Beamten und Vertragsbediensteten des Belgischen Institut für Postdienste und Telekommunikation.

Weitere Informationen finden Sie auf der Website des ZCB.

Risikoanalyse 

Das BIPT hat ein Risikoanalyse-Tool für die Sicherheit der Netze und Informationssysteme eingerichtet, SERIMA.be, das die Abkürzung für "Security Risk Management" ist.

Das BIPT hat einige Telekombetreiber und Betreiber wesentlicher Dienste (BWD), die es auf der Grundlage des NIS-Gesetzes bezeichnet hat, aufgefordert, ihm über diese Plattform jährlich eine Risikoanalyse vorzulegen.

Die anderen Telekombetreiber können die Plattform nutzen, indem sie dem BIPT einen Antrag dazu übermitteln. Weitere Informationen sind in der Mitteilung vom 5. Juli 2022 über die Analyse von Risiken zur Sicherheit von Netz- und Informationssystemen zu finden. 

Das Gesetz „kritische Infrastrukturen“ 

Unter das Gesetz „kritische Infrastrukturen“ ist das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen zu verstehen. 

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der elektronischen Kommunikation (einschließlich des Bereichs der digitalen Infrastruktur) bezeichnet. 

Als sektorale Behörde muss das BIPT die Betreiber kritischer Infrastrukturen in seinem Sektor benennen und deren kritische Infrastrukturen identifizieren. Er tut dies in Absprache mit dem Krisenzentrum des FÖD Inneres (NCCN) und dem Zentrum für Cybersicherheit Belgien (ZCB). 

Die Hauptpflicht des Betreibers einer kritischen Infrastruktur (siehe Artikel 13 dieses Gesetzes) besteht darin, einen Sicherheitsplan zu entwickeln und einzusetzen, der zumindest dauerhafte interne Sicherheitsmaßnahmen, die unter allen Umständen anwendbar sind, und abgestufte interne Sicherheitsmaßnahmen, die je nach Bedrohung anzuwenden sind, umfasst.

Der Betreiber muss jedes Ereignis melden, das die Sicherheit der kritischen Infrastruktur beeinträchtigen könnte (siehe Artikel 14 desselben Gesetzes).

Das BIPT führt Prüfungen bei kritischen Infrastrukturen durch. 

Der Rechtsrahmen ist der folgende: 

• Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors; 
• Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen; 
• Königlicher Erlass vom 27. Mai 2014 zur Ausführung des Artikels 13 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen im Bereich der elektronischen Kommunikation; 
• Königlicher Erlass vom 14. Juni 2017 zur Benennung im Bereich der elektronischen Kommunikation des durch das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen eingeführten Kontrolldienstes;
• Königlicher Erlass vom 15. Dezember 2021 zur Festlegung der Legitimationskarten der Beamten und Vertragsbediensteten des Belgischen Institut für Postdienste und Telekommunikation.

Das Gesetz über die Sicherheitsstellungnahmen 

Unter „Gesetz über die Sicherheitsstellungnahmen“ ist das Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen zu verstehen. 

Zur Umsetzung dieses Gesetzes wurde das BIPT als zuständige Verwaltungsbehörde für den „Bereich der elektronischen Kommunikation und der digitalen Infrastruktur“ bezeichnet, mit Ausnahme der Sicherheitsstellungnahmen der Mitglieder der Koordinierungsstelle (der Justiz) der Telekombetreiber. Für diese Stellungnahmen ist die zuständige Verwaltungsbehörde der Minister der Justiz. 

Es obliegt dem BIPT in seiner Eigenschaft als zuständige Verwaltungsbehörde, der Nationalen Sicherheitsbehörde vorzuschlagen, welche Funktionen Gegenstand einer Sicherheitsstellungnahme sein sollen und für welche Betreiber die Maßnahme anwendbar ist. Es ist die Nationale Sicherheitsbehörde, die in dieser Angelegenheit die Entscheidung trifft. Sobald diese Entscheidung getroffen ist, müssen die Ersuchen um Stellungnahme über das BIPT erfolgen.  

Der Rechtsrahmen ist der folgende: 

• Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen; 
• Gesetz vom 11. Dezember 1998 über die Einrichtung einer Widerspruchsstelle im Bereich von Sicherheitsermächtigungen, Sicherheitsbescheinigungen und Sicherheitsstellungnahmen; 
• Königlicher Erlass vom 24. März 2000 zur Ausführung des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen; 
• Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Tätigkeitsbereiche und der zuständigen Verwaltungsbehörden gemäß Artikel 22quinquies, § 7 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen 
• Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Liste von Daten und Informationen, die im Rahmen der Durchführung einer Sicherheitsüberprüfung eingesehen werden können
• Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Höhe der von der Nationalen Sicherheitsbehörde ausgestellte Entgelte für Sicherheitsermächtigungen, für Sicherheitsbescheinigungen und Sicherheitsstellungnahmen und für von der Föderalen Nuklearkontrollbehörde ausgestellte Sicherheitsbescheinigungen sowie die Verteilungsschlüssel gemäß Artikel 22septies, Absätze 6 und 8 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen.

Föderale Phase bei einer Notsituation 

Auf der Website des nationalen Krisenzentrums (NCCN) werden die von den vier Büros, die sich bei der Auslösung einer föderalen Phase bei einer Notsituation versammeln, getroffenen Maßnahmen wie folgt zusammengefasst: 

„Während einer föderalen Phase liegt die Leitung des Krisenmanagements in der Zuständigkeit des Ministers des Innern. Bei der Auslösung einer föderalen Phase durch den Minister versammeln sich vier verschiedene Büros.

• Das Evaluationsbüro sammelt Informationen, führt eine Beurteilung der Situation durch und richtet ein Gutachten an COFECO. Dieses Büro setzt sich aus Fachleuten und Wissenschaftlern der verschiedenen zuständigen Behörden und Dienste zusammen.
• Der Koordinierungsausschuss (COFECO) macht sich ein Bild der Situation und ihrer Entwicklung, schlägt dem Strategiebüro Maßnahmen zum Schutz der Bevölkerung vor und verteilt die verfügbaren überlokalen Mittel. Dieses Büro setzt sich aus Vertretern der Disziplinen und der öffentlichen Dienste zusammen.
• Das Strategiebüro bestätigt die Vorschläge vom COFECO. Dieses Büro setzt sich aus zuständigen Ministern zusammen. Sie sind befugt, Maßnahmen zu ergreifen, und tragen die politische Verantwortung.
• Das Informationsbüro berichtet über die Maßnahmen. Dieses Büro setzt sich aus den Kommunikationsbeauftragten bzw. den Sprechern der betroffenen föderalen öffentlichen Dienste zusammen.

Der föderale Koordinierungsausschuss steht in ständigem Kontakt mit dem/den provinzialen Krisenstab/Krisenstäben und den Krisenzentren der betreffenden Ministerien und Regionen, die die in ihrem Zuständigkeitsbereich getroffenen Entscheidungen ausführen.“ 

Für den Telekomsektor wurde eine Bewertungszelle („CELEVAL“) eingerichtet („CELEVAL Telekom“). Die Zusammensetzung dieser Zelle hängt von der Art des Vorfalls ab. Sie umfasst in der Regel unter anderem die betroffenen Telekomanbieter, das Zentrum für Cybersicherheit Belgien (CCB), den FÖD Wirtschaft, das BIPT, das nationalen Krisenzentrum (NCCN), die Aktiengesellschaft A.S.T.R.I.D., die Föderale Polizei und die Generaldirektion Zivile Sicherheit. Das BIPT führt den Vorsitz dieser Zelle. 

Der COFECO wird vom nationalen Krisenzentrum (NCCN) geleitet und umfasst insbesondere das BIPT, wenn in dieser Zelle Telekom-Elemente diskutiert werden. 

Das BIPT ist als Vorsitzender der CELEVAL Telekom zuständig für: 

• Die Berichterstattung an den COFECO über die Situation des gesamten Telekomsektors; 
• Die Weiterverfolgung der an den Telekomsektor gerichteten Forderungen des COFECO.

Der für die föderale Phase geltende Rechtsrahmen ist Punkt 4.4. der Anlage zum Königlichen Erlass vom 31. Januar 2003 zur Festlegung des Noteinsatzplans für Krisenereignisse und Krisensituationen, die eine Koordination oder eine Bewältigung auf nationaler Ebene erfordern (Deutsche Fassung: https://www.scta.be/MalmedyUebersetzungen/downloads/20030131.civ.pdf).