De telecomwet

Onder "telecomwet” verstaan we de wet van 13 juni 2005 betreffende de elektronische communicatie.

De operatoren moeten:

  • de risico's voor de veiligheid van hun netwerken en diensten analyseren (artikel 107/2, § 1, eerste lid). Zie hieronder de rubriek betreffende de risicoanalyse;
  • de passende en evenredige technische en organisatorische maatregelen nemen, waaronder in voorkomend geval versleuteling, om deze risico's goed te beheersen, alsook om de impact van beveiligingsincidenten op gebruikers en op andere netwerken en diensten zo laag mogelijk te houden (artikel 107/2, § 1, tweede lid);
  • alle noodzakelijke maatregelen nemen, inclusief preventieve, om de beschikbaarheid van de spraakcommunicatiediensten en van de internettoegangsdiensten zo volledig mogelijk te waarborgen in geval van uitzonderlijke netwerkuitval of in geval van overmacht (artikel 107/2, § 3).

Een telecomoperator moet een melding doen (zie ook rubriek “Praktische informatie”):

  • aan het BIPT in geval van een specifieke en significante dreiging van een beveiligingsincident voor het publiek beschikbare elektronische-communicatienetwerken of voor het publiek beschikbare elektronische-communicatiediensten en vervolgens zijn gebruikers informeren die gevolgen van die dreiging kunnen ondervinden (art. 107/3, § 1);
  • aan het BIPT in geval van een beveiligingsincident dat een belangrijke impact heeft gehad op de werking van de netwerken of de diensten. Wat verstaan moet worden onder “belangrijke impact” alsook de praktische werkwijze van de melding zijn verduidelijkt in het besluit van 14 december 2017 van het BIPT (zie rubriek "Praktische informatie");
  • aan de Gegevensbeschermingsautoriteit in geval van inbreuk op persoonsgegevens die verzonden, opgeslagen of op een andere manier verwerkt worden met betrekking tot de levering van elektronische-communicatiediensten. Deze autoriteit is zelf verplicht om het BIPT onverwijld hierover in te lichten. In sommige gevallen moet ook de abonnee die bij de inbreuk betrokken is, worden ingelicht. Het BIPT en de Gegevensbeschermingsautoriteit plegen overleg voor het beheer van het incident (art. 107/3, §§ 3 en 4).

Behalve de BIPT-statuutwet (wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector) is het juridische kader als volgt:

De NIS-wet

Onder “NIS-wet” verstaan we de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.

Om deze wet uit te voeren is het BIPT aangewezen als sectorale overheid en inspectiedienst voor de sector van de digitale infrastructuren. Die sector omvat minstens de volgende entiteiten: de IXP’s (internetknooppunten), de DNS-dienstverleners en de registers voor topleveldomeinnamen.

Een van de taken van de sectorale overheid bestaat erin de aanbieders van essentiële diensten (AED) van haar sector aan te wijzen, in overleg met het Centrum voor Cybersecurity België (CCB) en het Crisiscentrum van de FOD Binnenlandse Zaken (NCCN).

De NIS-wet bevat verplichtingen voor de AED’s inzake beveiligingsmaatregelen (de artikelen 20 tot 23), melding van incidenten (de artikelen 24 en 25, zie ook de rubriek "Praktische informatie") en audits (artikel 38).

Een entiteit van de sector van de digitale infrastructuren die in België actief is en door het BIPT niet als AED is aangewezen, kan vrijwillig een incident melden dat een belangrijke impact heeft op de continuïteit van de diensten die zij verstrekt (zie rubriek “praktische informatie”). Deze vrijwillige melding heeft niet tot gevolg dat aan de entiteit die aan de oorsprong ligt van de melding, verplichtingen worden opgelegd waar die niet aan zou zijn onderworpen, als ze die melding niet had gedaan. Bij de behandeling van de meldingen kunnen het CBB, het BIPT en het NCCN de verplichte meldingen die zijn opgelegd door de NIS-wet voorrang geven ten opzichte van de vrijwillige meldingen. De vrijwillige meldingen worden maar behandeld wanneer de behandeling ervan geen onevenredige of bovenmatige belasting vormt voor de voormelde overheden.

Het wettelijke kader is als volgt:

  • de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector; 
  • de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid; 
  • het koninklijk besluit van 12 juli 2019 tot uitvoering van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
  • het koninklijk besluit van 15 december 2021 tot vaststelling van de legitimatiekaarten van de statutaire ambtenaren en contractuele personeelsleden van het Belgisch Instituut voor postdiensten en telecommunicatie

Meer informatie is te vinden op de website van het CCB.

Risicoanalyse

Het BIPT heeft een tool voor risicoanalyse inzake veiligheid van de netwerken en informatiesystemen ingesteld, SERIMA.be, wat de afkorting is voor “Security Risk Management”.

Het BIPT heeft aan bepaalde telecomoperatoren en aan de aanbieders van essentiële diensten (AED’s) die het aangewezen heeft op basis van de NIS-wet, gevraagd om jaarlijks via dat platform een risicoanalyse eraan voor te leggen.

De overige telecomoperatoren mogen van het platform gebruikmaken mits ze dat aan het BIPT aanvragen. Meer informatie kan worden gevonden in de mededeling van 5 juli 2022 betreffende de risicoanalyses op het stuk van de beveiliging van netwerken en informatiesystemen (zie rubriek “documenten”). 

De wet kritieke infrastructuren 

Onder “wet kritieke infrastructuren” verstaan we de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren. 

Om deze wet uit te voeren is het BIPT aangewezen als sectorale overheid en inspectiedienst voor de sector van de elektronische communicatie (met inbegrip van de sector van de digitale infrastructuren). 

Als sectorale overheid moet het BIPT de exploitanten van kritieke infrastructuren van zijn sector aanwijzen en hun kritieke infrastructuren identificeren. Het doet dit in overleg met het Crisiscentrum van de FOD Binnenlandse Zaken (NCCN) en het Centrum voor Cybersecurity België (CCB). 

De voornaamste verplichting van de exploitant van een kritieke infrastructuur (zie artikel 13 van deze wet) bestaat erin een veiligheidsplan uit te werken en toe te passen, dat ten minste permanente interne veiligheidsmaatregelen omvat (die in alle omstandigheden van toepassing zijn) en geleidelijke interne veiligheidsmaatregelen (die toegepast moeten worden naargelang van de dreiging).

De exploitant moet elke gebeurtenis melden die de veiligheid van de kritieke infrastructuur kan bedreigen (zie artikel 14 van dezelfde wet).

Het BIPT verricht inspecties van de kritieke infrastructuren. 

Het wettelijke kader is als volgt: 

  • de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector; 
  • de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
  • het koninklijk besluit van 27 mei 2014 tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren; 
  • het koninklijk besluit van 14 juni 2017 houdende aanwijzing van de inspectiedienst voor de elektronische-communicatiesector, ingevoerd krachtens de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren; 
  • het koninklijk besluit van 15 december 2021 tot vaststelling van de legitimatiekaarten van de statutaire ambtenaren en contractuele personeelsleden van het Belgisch Instituut voor postdiensten en telecommunicatie

De wet betreffende de veiligheidsadviezen 

Onder de “wet betreffende de veiligheidsadviezen” verstaan we de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen. 

Om deze wet uit te voeren is het BIPT aangewezen als bevoegde administratieve overheid voor de “sector elektronische communicatie en digitale infrastructuren”, met uitzondering van de veiligheidsadviezen van de leden van de coördinatiecel (Justitie) van de telecomoperatoren. Voor deze adviezen is de minister van Justitie de bevoegde administratieve overheid. 

Het is de taak van het BIPT, in zijn hoedanigheid van bevoegde administratieve overheid, om aan de NVR (Nationale Veiligheidsraad) de functies voor te stellen die onderworpen zouden moeten worden aan een veiligheidsadvies alsook de operatoren op wie de maatregel van toepassing is. De NVR neemt de beslissing ter zake. Nadat die beslissing genomen is, moeten de adviesaanvragen via het BIPT verlopen.  

Het wettelijke kader is als volgt: 

  • de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • de wet van 11 december 1998 tot oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 24 maart 2000 tot uitvoering van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 8 mei 2018 tot vaststelling van de activiteitensectoren en de bevoegde administratieve overheden bedoeld in artikel 22quinquies, § 7, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 8 mei 2018 tot bepaling van de lijst van de gegevens en informatie die geraadpleegd kunnen worden in het kader van de uitvoering van een veiligheidsverificatie
  • het koninklijk besluit van 8 mei 2018 tot vaststelling van de bedragen van de retributies die verschuldigd zijn voor de veiligheidsmachtigingen, voor de veiligheidsattesten en veiligheidsadviezen afgegeven door de Nationale Veiligheidsoverheid en voor de veiligheidsattesten afgegeven door het Federaal Agentschap voor Nucleaire Controle alsook van de verdeelsleutels bedoeld in artikel 22septies, zesde en achtste lid, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen.

Federale fase in een noodsituatie 

Op de website van het Nationaal Crisiscentrum (NCCN) staat een beknopte voorstelling van de acties die ondernomen worden door de 4 cellen die geactiveerd worden na de afkondiging van de federale fase in een noodsituatie: 

“Tijdens een federale fase ligt leiding bij de minister van Binnenlandse Zaken. Bij de afkondiging van een federale fase door een Minister, komen er vier verschillende cellen samen:

  • De evaluatiecel zamelt informatie in, voert een evaluatie uit van de situatie een geeft advies aan COFECO. Deze cel is samengesteld uit experts en wetenschappers uit de verschillende bevoegde overheden of diensten.
  • Het Federaal Coördinatiecomité of COFECO maakt een beeld van de situatie en de evolutie, stelt maatregelen voor om de bevolking te beschermen aan de beleidscel en verdeelt beschikbare bovenlokale middelen. Deze cel is samengesteld uit vertegenwoordigers van disciplines en overheidsdiensten.
  • De beleidscel bekrachtigt de voorstellen voor maatregelen uit het COFECO. Deze cel is samengesteld uit de bevoegde ministers. Zij hebben de bevoegdheid om maatregelen uit te vaardigen en dragen er de politieke verantwoordelijkheid voor.
  • De informatiecel communiceert over de maatregelen. Deze cel is samengesteld uit de communicatieverantwoordelijken of woordvoerders van de betrokken departementen.

Het federaal coördinatiecomité staat steeds in contact met de provinciale crisiscel(len) en departementale of regionale crisiscentra, die de beslissingen binnen hun eigen bevoegdheid uitvoeren.” 

Voor de telecomsector is een evaluatiecel (“CELEVAL”) opgericht (“CELEVAL telecom”). De samenstelling van deze cel is afhankelijk van het soort van incident. Doorgaans zitten daarin onder andere de betrokken telecomoperatoren, het Centrum voor Cybersecurity België (CCB), de FOD Economie, het BIPT, het Nationaal Crisiscentrum (NCCN), de NV ASTRID, de Federale Politie en de algemene directie Civiele Veiligheid. Het BIPT zit deze cel voor. 

Het COFECO wordt voorgezeten door het Nationaal Crisiscentrum (NCCN) en daarin zit met name het BIPT indien in deze cel telecomaspecten worden besproken. 

Als voorzitter van de CELEVAL telecom heeft het BIPT de volgende taken: 

  • verslaglegging bij het COFECO over de situatie van de gehele telecomsector; 
  • follow-up van de vragen van het COFECO die aan de telecomsector gericht zijn.

Het juridische kader dat van toepassing is op de federale fase is punt 4.4 van de bijlage bij het koninklijk besluit van 31 januari 2003 tot vaststelling van het noodplan voor de crisisgebeurtenissen en -situaties die een coördinatie of een beheer op nationaal niveau vereisen
 

Documenten

Newsletter

Als u e-mailwaarschuwingen wenst te krijgen, geef dan uw e-mailadres en uw interesse(s) op.

Het BIPT verwerkt deze twee of drie persoonlijke gegevens (e-mailadres (eventueel uw naam en voornaam) en interesses) om u deze berichten te bezorgen; indien u zich op een dag uitschrijft, zullen uw gegevens niet langer verwerkt worden en zullen ze worden gewist. Meer weten over de cookies of over de bescherming van uw persoonsgegevens.

U zult uw inschrijving moeten bevestigen. U zult te allen tijde zich kunnen uitschrijven of uw profiel kunnen aanpassen via de link om uit te schrijven of door ons te contacteren via het adres webmaster@bipt.be.

Geef dan uw e-mailadres en uw interesse(s) op:

Naar boven