5 APRIL 2019. - Wet houdende wijziging van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle betreffende de nucleaire cyberbeveiliging
Art. 1-6
Artikel 1. Deze wet regelt een aangelegenheid zoals bedoeld in artikel 74 van de Grondwet.
Art.2. Artikel 1 van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle, gewijzigd bij de wetten van 2 april 2003, 30 maart 2011, 26 januari 2014, 19 maart 2014, 15 mei 2014 en 13 december 2017 wordt aangevuld met de volgende definities :
- "nucleaire cyberbeveiligingsmaatregelen :
de maatregelen betreffende de beveiliging van netwerk- en informatiesystemen van nucleaire installaties en inrichtingen waar radioactieve stoffen worden geproduceerd, vervaardigd, gehouden of gebruikt, of waar zich toestellen of installaties bevinden die ioniserende straling uitzenden die niet van radioactieve stoffen afkomstig is, met het oog op de nucleaire cyberbeveiliging;
- nucleaire cyberbeveiliging :
de beveiliging van netwerk- en informatiesystemen van nucleaire installaties en inrichtingen waar radioactieve stoffen worden geproduceerd, vervaardigd, gehouden of gebruikt, of waar zich toestellen of installaties bevinden die ioniserende straling uitzenden die niet van radioactieve stoffen afkomstig is.
- netwerk- en informatiesysteem :
1. een elektronisch communicatienetwerk in de zin van artikel 2, 3°, van de wet van 13 juni 2005 betreffende de elektronische communicatie;
2. een apparaat of groep van permanente of tijdelijk gekoppelde of bij elkaar behorende apparaten, waarvan een of meer elementen, in uitvoering van een programma, digitale gegevens automatisch verwerken, met inbegrip van de digitale, elektronische of mechanische bestanddelen van dit apparaat die onder meer de automatisering van een operationeel proces mogelijk maken, alsook de controle op afstand of het verkrijgen van werkingsgegevens in real time;
3. of digitale gegevens die via de in de punten 1 en 2 bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.
- beveiliging van netwerk- en informatiesystemen :
het vermogen van netwerken en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar brengen;
- cyberincident :
elke gebeurtenis met een reële negatieve impact op de beveiliging van netwerk- en informatiesystemen;
- cyberrisico :
elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijke negatieve impact op de beveiliging van netwerk- en informatiesystemen."
Art.3. Artikel 15, 3de lid, van dezelfde wet, gewijzigd bij de wet van 13 december 2017, wordt aangevuld met de volgende zin :
"Onverminderd de artikelen 15bis en 15ter is het Agentschap eveneens belast met de controle op de nucleaire cyberbeveiligingsmaatregelen."
Art.4. In hoofdstuk III van dezelfde wet wordt een afdeling 3quater ingevoegd die een artikel 17sexies bevat, luidende :
" Afdeling 3quater. Bevoegdheid op het gebied van de nucleaire cyberbeveiliging
Art. 17sexies. § 1. Op voorstel van het Agentschap en na advies van de door de Koning aangewezen autoriteiten :
1° verdeelt de Koning de netwerk- en informatiesystemen van de installaties en de inrichtingen waarop de nucleaire cyberbeveiliging zoals omschreven in artikel 1, gericht is, voor zover deze netwerk- en informatiesystemen het beheer, de controle of de veiligstelling van het kernmateriaal, de radioactieve stoffen, of de toestellen en installaties die ioniserende straling uitzenden die niet van radioactieve stoffen afkomstig is, voor deze installaties of deze inrichtingen, rechtstreeks of onrechtstreeks mogelijk maken, waarborgen of ondersteunen, in categorieën, op basis van het cyberrisico dat eraan verbonden is;
2° bepaalt de Koning het beveiligingsniveau van de netwerk- en informatiesystemen bedoeld in de bepaling onder 1°;
3° bepaalt de Koning de noodzakelijke en evenredige nucleaire cyberbeveiligingsmaatregelen voor het beheer van de cyberrisico's van de categorieën van netwerk- en informatiesystemen bedoeld in de bepaling onder 1° die, in het licht van de bestaande kennis, met het hoogste cyberrisico overeenstemmen en voor het voorkomen van cyberincidenten die hierop van invloed kunnen zijn, of om de impact ervan te beperken, onverminderd de toepassing van het internationaal stelsel van de waarborgen. Deze maatregelen regelen met name de melding aan het Agentschap en aan de door de Koning aangewezen autoriteiten, van cyberincidenten met een significante impact die door de exploitant van de door deze maatregelen bedoelde installatie of inrichting moet worden gedaan;
4° regelt de Koning de uitwisseling tussen het Agentschap en de door Hem aangewezen autoriteiten van de gegevens waarover ze beschikken in verband met de cyberrisico's en de cyberincidenten waarmee de exploitant wordt of kan worden geconfronteerd.
5° bepaalt de Koning de erkenningsprocedure voor de nucleaire cyberbeveiligingsmaatregelen bedoeld in de bepaling onder 3°.
§ 2. - Het Agentschap bepaalt, na advies van de door de Koning aangewezen autoriteiten, de principes voor de nucleaire cyberbeveiligingsmaatregelen inzake behoedzaam beheer voor de categorieën van netwerk- en informatiesystemen bedoeld in paragraaf 1, 1°, die met het laagste cyberrisico overeenstemmen.
§ 3. - Het Agentschap kan de in paragraaf 1, 5°, bedoelde erkenningen aan voorwaarden onderwerpen. Het Agentschap kan deze erkenningen en de hierin opgelegde voorwaarden, te allen tijde, op eigen initiatief en op met redenen omklede wijze, wijzigen of aanvullen, indien deze wijzigingen of aanvullingen bedoeld zijn om de naleving te garanderen van de door of krachtens de wet voorziene eisen inzake de nucleaire cyberbeveiliging en deze wijzigingen of aanvullingen kennelijk gepast, evenredig en billijk zijn.
§ 4. Het Agentschap is voor de netwerk- en informatiesystemen bedoeld in paragraaf 1, 1°, belast met :
1° het informeren van de exploitanten van de installaties en inrichtingen bedoeld in paragraaf 1, 1°, over de cyberrisico's waarvan het op de hoogte is en die betrekking hebben op de netwerk- en informatiesystemen, of de daaraan gerelateerde diensten;
2° het verrichten van analyses en technisch onderzoeken ten behoeve van de in de bepaling onder 1° bedoelde opdrachten naar aanleiding van cyberrisico's of cyberincidenten, of van elementen die daarop wijzen, die niet bestaan in het onderzoek, of verplichtingen die door de gerechtelijke overheid werden opgelegd met het oog op de identificatie van personen of organisaties die voor deze cyberrisico's en cyberincidenten verantwoordelijk zijn, of daar anderszins aan bijdragen of hebben bijgedragen;
3° het informeren en sensibiliseren van gebruikers van deze netwerk- en informatiesystemen.
Het Agentschap doet hiertoe een beroep op de samenwerking, het advies en de ervaring van de door de Koning aangewezen autoriteiten.
De Koning kan, op voordracht van het Agentschap, dat het advies inwint van de door hem aangeduide autoriteiten, de nadere regelen voor de toepassing van deze paragraaf bepalen.
§ 5. Dit artikel is van toepassing onverminderd de artikelen 15bis, 15ter, 17bis, 17quater en 17quinquies van deze wet en artikel 4 § 4 van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid]] en onverminderd de toepassing van het internationaal stelsel van de waarborgen."
Art.5. In artikel 3 van de wet van 6 december 2018 houdende wijziging van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle met betrekking tot de milieueffectbeoordeling worden de woorden "In artikel 14 van dezelfde wet" vervangen door de woorden "In artikel 14 van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle".
Art. 6. De Koning bepaalt de datum van inwerkingtreding van de bepalingen van deze wet met uitzondering van artikel 5 dat uitwerking heeft op 16 januari 2019.