27 MEI 2014. - Koninklijk besluit tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 bron federale overheidsdienst binnenlandse zaken Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren sluiten betreffende de beveiliging en de bescherming van de kritieke infrastructuren

VERSLAG AAN DE KONING Sire, Algemeen Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren wordt gedeeltelijk omgezet door de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 bron federale overheidsdienst binnenlandse zaken Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren sluiten betreffende de beveiliging en de bescherming van de kritieke infrastructuren.

Terwijl de richtlijn zich beperkt tot de sectoren vervoer en energie, betreft de wet eveneens de sector financiën alsook de sector elektronische communicatie.

Artikel 13 van deze wet bepaalt de basisinhoud van het beveiligingsplan van de exploitant (B.P.E.) dat de exploitant van een kritieke infrastructuur dient uit te werken.

Dit besluit voert dit artikel uit door de beveiligingsmaatregelen en inlichtingen die in dit plan moeten worden begrepen, nader te bepalen.

Het bepaalt ook de frequentie van de oefeningen en van de updates van het B.P.E. Een openbare raadpleging betreffende dit ontwerp van besluit werd op verzoek van de minister van Economie georganiseerd van 25 juni tot 29 juli 2013. Deze termijn werd op vraag van de operatoren verlengd tot en met 16 augustus 2013.

Het advies 56.107/4 van de Raad van State, gegeven op 14 mei 2014, werd integraal gevolgd.

Artikelsgewijze bespreking : Artikel 1.

Dit artikel verduidelijkt het toepassingsgebied van het besluit : het beveiligingsplan van de exploitant van een infrastructuur die als kritiek werd aangewezen door de sectorale overheid. Deze verduidelijking is van belang daar de Europese kritieke infrastructuren geviseerd in de voormelde richtlijn de sector elektronische communicatie niet betreffen.

Artikel 2.

Dit artikel bepaalt nader de voor het beveiligingsplan van de exploitant van een kritieke infrastructuur te eerbiedigen structuur.

Een eenvormige voorstelling van de veiligheidsplannen is immers nodig om het opstellen en het nazicht van de plannen te vergemakkelijken.

Overeenkomstig artikel 13 van de wet, betreft het de permanente interne beveiligingsmaatregelen, de graduele interne beveiligingsmaatregelen, de oefeningen en de inlichtingen noodzakelijk voor het goede begrip van de plannen.

Artikel 3.

Dit artikel bepaalt een aantal elementen nader die moeten worden beschouwd om een algemene beschrijving te geven van de betrokken kritieke infrastructuur. Deze elementen zijn immers nodig om het goede begrip van de permanente en de graduele interne veiligheidsmaatregelen van de exploitant te verzekeren.

Artikel 4.

Artikel 4 richt zich specifiek op de risicoanalyse van een exploitant van een kritieke infrastructuur. Deze risicoanalyse is het instrument van de exploitant om te bepalen welke interne veiligheidsmaatregelen enerzijds permanent zijn, en welke anderzijds gradueel zijn.

Artikel 5.

Dit artikel bepaalt dat de exploitant een inventaris dient te geven van de permanente interne veiligheidsmaatregelen die in alle omstandigheden worden toegepast. Elke maatregel moet beschreven worden. De inventaris en de gevraagde beschrijving van de maatregelen kunnen summier gehouden worden door de exploitant. Er mag niet uit het oog verloren worden dat de sectorale overheid altijd bijkomende inlichtingen kan vragen voor het B.P.E. Het tweede lid voorziet voor op afstand gecontroleerde, kritieke onderdelen in een versterkte veiligheidsverplichting voor de verbinding van elk van deze onderdelen met het controlecentrum van de operator. Het gevaar is inderdaad dat bij een extern incident die uit een stroomonderbreking of een andere panne bestaat, de verbinding van het kritieke onderdeel met het controlecentrum niet meer is verzekerd.

Deze maatregel voor autonomie vormt voor op afstand gecontroleerde, kritieke infrastructuur een te verwezenlijken minimum.

Er wordt de exploitant gevraagd het verband aan te tonen tussen zijn risicoanalyse en de genomen permanente interne veiligheidsmaatregelen.

Artikel 6.

Dit artikel betreft de graduele interne veiligheidsmaatregelen welke variëren naargelang van het type scenario uit de risicoanalyse dat door de exploitant van een kritieke infrastructuur wordt beschouwd.

Zij zijn gebaseerd op de in het B.P.E. door de operator overwogen scenario's uit de risicoanalyse.

Er wordt onderscheid gemaakt tussen de algemene graduele interne veiligheidsmaatregelen en de specifiek met een scenario uit de risicoanalyse verbonden graduele interne veiligheidsmaatregelen. De algemene graduele interne veiligheidsmaatregelen treden in werking wanneer zich incidenten voordoen volgens een scenario dat niet is opgenomen in de risicoanalyse.

In het bijzonder vermeldt het plan de drempels die de verschillende maatregelen in werking doen treden : dit kunnen, onder andere, het aantal getroffen eindgebruikers zijn, de duur van het incident, de impact op de werkingscapaciteit van de kritieke infrastructuur, enz.

Het geeft duidelijk de hiërarchie weer van zijn klassement van de bij voorrang te herstellen diensten wanneer zich een verslechtering van werkingscapaciteit van het netwerk heeft voorgedaan. Dit klassement laat toe te zien welke dienst bij voorrang wordt in stand gehouden en hersteld bij een incident.

Voor de graduele interne veiligheidsmaatregelen wordt de exploitant gevraagd de diensten aan te wijzen aan dewelke voorrang wordt gegeven bij een achteruitgang van de werkingscapaciteit van het netwerk, daar bij een merkelijke achteruitgang mogelijk hiërarchisch lager gerangschikte diensten worden verminderd of zelfs tijdelijk onderbroken.

Er wordt daarenboven een voor het publiek bestemd extern communicatieplan voorzien teneinde elke eindgebruiker in te lichten over het bestaan van een moeilijkheid en de geschatte tijd nodig voor het herstellen van het netwerk of de dienst.

Het nader beschrijven van de maatregelen voor het verminderen van de gevolgen van incidenten heeft tot doel de operator tot nadenken aan te zetten over de kwetsbaarheid van zijn netwerk en efficiënte, operationele procedures in te voeren om zijn netwerken en diensten te beschermen. De procedures van de operator voor het herstellen van de dienst en de werking van de kritieke infrastructuur streven hetzelfde doel na.

De maatregelen voor heropbouw hebben tot doel voor elk onderdeel dat fysiek werd beschadigd de modaliteiten voor zijn vervanging te verduidelijken.

Artikel 7.

Dit artikel bepaalt de frequentie van de door de exploitant uit te voeren testen op de kritieke infrastructuur. Gelet op de moeilijkheid om een jaarlijkse oefening uit te voeren die de volledige kritieke infrastructuur omvat, worden jaarlijkse oefeningen van een deel van de kritieke infrastructuur toegelaten hoewel alle onderdelen van de kritieke infrastructuur ten minste éénmaal om de drie jaar worden getest.

Wanneer een werkelijke oefening een potentieel risico inhoudt voor de werking van de kritieke infrastructuur, dan kan de exploitant deze vervangen door een simulatie mits voorafgaande goedkeuring door de sectorale overheid.

Teneinde de afdoende inlichting van de sectorale overheid te verzekeren voorziet het derde lid in een informatieverplichting voorafgaand aan een oefening. Het derde lid legt voor elke oefening eveneens het overmaken van een verslag op. Dat verslag beschrijft de betrokken infrastructuur en de uitgevoerde oefening. Het beschrijft in het bijzonder de ontmoete moeilijkheden en formuleert voorstellen van oplossing om deze moeilijkheden op te lossen. Het B.P.E. kan dienovereenkomstig aangepast worden.

Artikel 8.

Dit artikel verduidelijkt de inlichtingen die bij het B.P.E. moeten worden gevoegd en die nodig zijn voor het goede begrip van het genoemde B.P.E. Het staat de exploitant vrij alle bijkomende inlichtingen te geven die hij nuttig acht voor het goede begrip van zijn B.P.E. Artikel 9.

Dit artikel legt de minimumfrequentie vast van de controles en de herzieningen van het B.P.E. De sectorale overheid kan altijd een dergelijke inlichting van de operator vragen en om een herziening van het B.P.E. verzoeken.

Artikel 10.

Dit artikel behoeft geen commentaar.

Dit zijn, Sire, de voornaamste bepalingen van het besluit dat aan Uwe Majesteit ter goedkeuring wordt voorgelegd.

Ik heb de eer te zijn, Sire, van Uwe Majesteit, de zeer eerbiedige en zeer getrouwe dienaar, De Minister van Economie, J. VANDE LANOTTE

RAAD VAN STATE afdeling Wetgeving Advies 56.107/4 van 14 mei 2014 over een ontwerp van koninklijk besluit `tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 bron federale overheidsdienst binnenlandse zaken Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren sluiten betreffende de beveiliging en de bescherming van de kritieke infrastructuren' Op 22 april 2014 is de Raad van State, afdeling Wetgeving, door de Vice-Eerste Minister en Minister van Economie verzocht binnen een termijn van dertig dagen een advies te verstrekken over een ontwerp van koninklijk besluit `tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 bron federale overheidsdienst binnenlandse zaken Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren sluiten betreffende de beveiliging en de bescherming van de kritieke infrastructuren'.

Het ontwerp is door de vierde kamer onderzocht op 14 mei 2014. De kamer was samengesteld uit Pierre LIENARDY, kamervoorzitter, Jacques JAUMOTTE en Bernard BLERO, staatsraden, Sébastien VAN DROOGHENBROECK en Jacques ENGLEBERT, assessoren, en Colette GIGOT, griffier.

Het verslag is uitgebracht door Anne VAGMAN, eerste auditeur.

De overeenstemming tussen de Franse en de Nederlandse tekst van het advies is nagezien onder toezicht van Pierre LIENARDY. Het advies, waarvan de tekst hierna volgt, is gegeven op 14 mei 2014.

Rekening houdende met het tijdstip waarop dit advies gegeven wordt, vestigt de Raad van State de aandacht van de Regering op het feit dat de ontstentenis van de controle die het Parlement krachtens de Grondwet moet kunnen uitoefenen, tot gevolg heeft dat de Regering niet over de volheid van haar bevoegdheid beschikt. Dit advies wordt evenwel gegeven zonder dat wordt nagegaan of dit ontwerp in die beperkte bevoegdheid kan worden ingepast, aangezien de afdeling Wetgeving geen kennis heeft van het geheel van de feitelijke gegevens welke de Regering in aanmerking kan nemen als zij te oordelen heeft of het vaststellen of wijzigen van een verordening noodzakelijk is.

Aangezien de adviesaanvraag ingediend is op basis van artikel 84, § 1, eerste lid, 2°, van de gecoördineerde wetten op de Raad van State, beperkt de afdeling Wetgeving overeenkomstig artikel 84, § 3, van de voornoemde gecoördineerde wetten haar onderzoek tot de rechtsgrond van het ontwerp, de bevoegdheid van de steller van de handeling en de te vervullen voorafgaande vormvereisten.

Wat deze drie punten betreft, geeft het ontwerp aanleiding tot de volgende opmerkingen. 1. In het derde lid van de aanhef moet "het advies" van de inspecteur van Financiën worden vermeld, en niet "het akkoord".2. De termen die in artikel 2 van het ontwerp worden gedefinieerd, worden reeds gedefinieerd of gebruikt in artikel 3, 3°, d), in artikel 4, § 4, en in artikel 13 van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 bron federale overheidsdienst binnenlandse zaken Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren sluiten `betreffende de beveiliging en de bescherming van de kritieke infrastructuren'. Zoals de afdeling Wetgeving van de Raad van State reeds heeft opgemerkt, komt het de Koning niet toe een definitie te herhalen die al in een bepaling van wetgevende aard voorkomt.

Een dergelijke werkwijze kan immers verwarring doen ontstaan over de aard van de definitie in kwestie. Ze wekt bovendien de indruk dat de Koning bevoegd is om die definitie te wijzigen terwijl alleen de wetgever daarvoor bevoegd is.

Het komt de Koning evenmin toe een term te definiëren die reeds wordt gebezigd in een wet die Hij beoogt uit te voeren.

De definities in artikel 2 van het ontwerp zijn, ten slotte, overbodig aangezien ze in werkelijkheid louter verwijzen naar de voornoemde bepalingen van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 bron federale overheidsdienst binnenlandse zaken Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren sluiten.

Op grond van al die redenen moet artikel 2 worden weggelaten en moeten de daarop volgende bepalingen dienovereenkomstig worden vernummerd.

De Griffier, Colette Gigot De Voorzitter, Pierre Liénardy

27 MEI 2014. - Koninklijk besluit tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 bron federale overheidsdienst binnenlandse zaken Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren sluiten betreffende de beveiliging en de bescherming van de kritieke infrastructuren FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op artikel 108 van de Grondwet;

Gelet op de wet van 1 juli 2011Relevante gevonden documenten type wet prom. 01/07/2011 pub. 15/07/2011 numac 2011000399 bron federale overheidsdienst binnenlandse zaken Wet betreffende de beveiliging en de bescherming van de kritieke infrastructuren sluiten betreffende de beveiliging en de bescherming van de kritieke infrastructuren, artikel 13;

Gelet op het advies van de inspecteur van Financiën, gegeven op 14 maart 2014;

Gelet op de akkoordbevinding van de Minister van Begroting, gegeven op 18 maart 2014;

Gelet op de impactanalyse van de regelgeving, uitgevoerd overeenkomstig de artikelen 6 en 7 van de wet van 15 december 2013Relevante gevonden documenten type wet prom. 15/12/2013 pub. 31/12/2013 numac 2013021138 bron federale overheidsdienst kanselarij van de eerste minister Wet houdende diverse bepalingen inzake administratieve vereenvoudiging sluiten houdende diverse bepalingen inzake administratieve vereenvoudiging;

Gelet op de raadpleging vanaf 21 maart 2014 tot 31 maart 2014 van het Interministerieel Comité voor Telecommunicatie en Radio-omroep en Televisie;

Gelet op het akkoord van het Overlegcomité, gegeven op 8 april 2014;

Gelet op het advies 56.107/4 van de Raad van State, gegeven op 14 mei 2014, met toepassing van artikel 84, § 1, eerste lid, 2°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973;

Op de voordracht van de Minister van Economie, Hebben Wij besloten en besluiten Wij :

Artikel 1.Dit besluit is van toepassing op de bescherming en de beveiliging van de kritieke infrastructuren in de sector elektronische communicatie in België.

Art. 2.Ieder exploitant werkt een B.P.E. uit dat ten minste de volgende onderdelen bevat : 1° een deel gewijd aan de algemene beschrijving van de kritieke infrastructuur;2° een deel gewijd aan de risicoanalyse;3° een deel gewijd aan de permanente interne beveiligingsmaatregelen;4° een deel gewijd aan de graduele interne beveiligingsmaatregelen;5° een deel gewijd aan de oefeningen;6° een deel gewijd aan de in artikel 6 nader bepaalde inlichtingen.

Art. 3.De algemene beschrijving van de kritieke infrastructuur bevat : 1° een hiërarchische klassering in afnemend belang van de basisdiensten en hun bijkomende diensten, die door de kritieke infrastructuur worden ondersteund;2° de logische architectuur van de kritieke infrastructuur gebruikt voor het leveren van de diensten geviseerd in punt 1° ;3° de fysieke architectuur van het netwerk dat door de kritieke infrastructuur wordt ondersteund, met daarbij inbegrepen een inventaris van de apparatuur;4° de technische karakteristieken van de apparatuur die deel uitmaakt van de kritieke infrastructuur of die door de kritieke infrastructuur wordt ondersteund.

Art. 4.De risicoanalyse bevat : 1° een uitvoerige beschrijving van de door de exploitant voorziene scenario's uit de risicoanalyse;2° voor elk type van scenario uit de risicoanalyse een beschrijving van de maatregelen ter voorkoming van incidenten.

Art. 5.Het deel gewijd aan de permanente interne in alle omstandigheden toepasbare veiligheidsmaatregelen bevat een inventaris van deze maatregelen evenals een beschrijving van elk van deze maatregelen.

Wanneer een onderdeel dat deel uitmaakt van de kritieke infrastructuur van op afstand wordt gecontroleerd, dan ziet de exploitant erop toe dat de verbinding van dit onderdeel met het controlecentrum van de operator autonoom is en over een hoog niveau van bescherming beschikt.

De exploitant geeft het verband aan van de permanente interne veiligheidsmaatregelen met zijn risicoanalyse waarvan sprake in artikel 4.

Art. 6.Voor de graduele interne veiligheidsmaatregelen beschrijft het plan : 1° de algemene graduele interne veiligheidsmaatregelen;2° de graduele interne veiligheidsmaatregelen specifiek voor de scenario's opgenomen in de risicoanalyse waarvan sprake in artikel 4. Voor de verschillende graduele interne veiligheidsmaatregelen geeft de exploitant de verschillende gebruikte drempels aan die de inwerkingtreding van elke maatregel uitlokken.

De exploitant geeft het verband aan van de graduele interne veiligheidsmaatregelen met zijn risicoanalyse waarvan sprake in artikel 4.

De specifieke graduele interne veiligheidsmaatregelen omvatten : 1° voor de hiërarchische klassering overeenkomstig artikel 3, 1°, de beschrijving van de diensten waaraan achtereenvolgens voorrang wordt gegeven in geval dat de werkingscapaciteit van het netwerk verslechtert;2° een communicatieplan naar het publiek toe in geval van onbeschikbaarheid voor de eindgebruiker van een deel of het geheel van het netwerk of van een dienst;3° de maatregelen om de gevolgen van incidenten te verminderen;4° de procedures voor het herstellen van de normale werking van de diensten ondersteund door de kritieke infrastructuur en van de kritieke infrastructuur zelf;5° de maatregelen voor de heropbouw voor elk onderdeel van de kritieke infrastructuur.

Art. 7.De exploitant voert minstens éénmaal per jaar een oefening uit op een deel van de kritieke infrastructuur, zodat het geheel van de samenstellende onderdelen van de kritieke infrastructuur ten minste éénmaal om de drie jaar worden getest.

Indien de uitvoering van een oefening de werking van het netwerk, een deel ervan, of de diensten ondersteund door de kritieke infrastructuur in gevaar brengt dan kan de exploitant aan de sectorale overheid vragen de oefening te vervangen door een simulatie.

De exploitant stelt de sectorale overheid ten minste vier weken op voorhand op de hoogte van een geplande oefening.

De exploitant stelt een verslag op van elke uitgevoerde oefening en maakt deze ten laatste zes maanden na deze oefening over aan de sectorale overheid.

Art. 8.Het B.P.E. bevat een informatief deel dat in de hierna volgende orde beschrijft : 1° de fysieke en de logische architectuur van het netwerk;2° de door de exploitant voorgestelde diensten;3° een inventaris en ligging van de kritieke onderdelen van het netwerk; 4° de bijkomende informatie die de exploitant voor het goede begrip van het B.P.E. toevoegt.

De gegeven informatie voor ieder van deze onderdelen omvat een nauwkeurige beschrijving waarbij de exploitant het gebeurlijke vertrouwelijke karakter verduidelijkt.

De informatie met betrekking tot onderdeel 3° bevat bovendien een precieze uitleg, vanuit zowel fysiek als logisch gezichtspunt, van de onderdelen die de exploitant als kritiek beschouwt in zijn infrastructuur, evenals een uitleg van de parameters waarmee de exploitant rekening houdt om het kritiek zijn van deze onderdelen te bepalen.

De informatie met betrekking tot onderdeel 4° herneemt elke bijkomende informatie dat de exploitant nuttig acht.

Art. 9.Het B.P.E. wordt geëvalueerd en, indien nodig, geactualiseerd : 1° bij elke indienststelling of elke wederindienststelling van de kritieke infrastructuur;2° bij de vervanging van een bestaand onderdeel in de kritieke infrastructuur;3° bij de integratie van een nieuw onderdeel in de kritieke infrastructuur;4° bij een periodieke controle; 5° ingevolge een vraag van de sectorale overheid ingevolge een analyse van het B.P.E. De exploitant deelt zonder verwijl elke wijziging van zijn B.P.E. mee aan de sectorale overheid.

Art. 10.De minister bevoegd voor Telecommunicatie is belast met de uitvoering van dit besluit.

Gegeven te Brussel, 27 mei 2014.

FILIP Van Koningswege : De Minister van Economie en Consumenten, J. VANDE LANOTTE