26 APRIL 2024. - Wet tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid
TITEL 1. - Definities en algemene bepalingen
HOOFDSTUK 1. - Onderwerp en toepassingsgebied
Afdeling 1. - Onderwerp
Art. 1-2
Afdeling 2. - Toepassingsgebied
Art. 3-7
HOOFDSTUK 2. - Definities
Art. 8
HOOFDSTUK 3. - Categorieën van entiteiten
Art. 9-10
HOOFDSTUK 4. - Identificatie
Art. 11-12
HOOFDSTUK 5. - Registratie van de entiteiten
Art. 13-14
TITEL 2. - Bevoegde autoriteiten en samenwerking op nationaal niveau
HOOFDSTUK 1. - Bevoegde autoriteiten
Afdeling 1. - Aanwijzing van de bevoegde autoriteiten
Art. 15
Afdeling 2. - De nationale cyberbeveiligingsautoriteit
Art. 16
Onderafdeling 1. - Taken met betrekking tot de rol van bevoegde autoriteit belast met cyberbeveiliging
Art. 17
Onderafdeling 2. - Taken met betrekking tot het cybercrisisbeheer
Art. 18
Onderafdeling 3. - Taken en voorschriften met betrekking tot de rol van nationaal CSIRT
Art. 19-23
Afdeling 3. - De eventuele sectorale overheden
Art. 24
HOOFDSTUK 2. - Samenwerking op nationaal niveau
Art. 25
HOOFDSTUK 3. - Vertrouwelijkheid en informatie-uitwisseling
Art. 26-27
HOOFDSTUK 4. - Nationale cyberbeveiligingsstrategie
Art. 28
HOOFDSTUK 5. - Het nationale plan voor cyberbeveiligingsincidenten en cybercrisisrespons
Art. 29
TITEL 3. - Maatregelen voor het beheer van cyberbeveiligingsrisico's en rapportageverplichtingen
HOOFDSTUK 1. - Maatregelen voor het beheer van cyberbeveiligingsrisico's
Art. 30-33
HOOFDSTUK 2. - Melding van incidenten
Afdeling 1. - Verplichte melding
Art. 34-37
Afdeling 2. - Vrijwillige melding
Art. 38
TITEL 4. - Toezicht en sancties
HOOFDSTUK 1. - Toezicht
Afdeling 1. - Regelmatige conformiteitsbeoordeling
Art. 39-43
Afdeling 2. - Algemene bepalingen betreffende de inspectiedienst
Art. 44-47
Afdeling 3. - Het door de inspectiedienst uitgeoefende toezicht op de entiteiten
Art. 48-50
HOOFDSTUK 2. - De administratieve maatregelen en geldboetes
Afdeling 1. - Procedure
Art. 51-57
Afdeling 2. - Administratieve maatregelen en geldboetes
Art. 58-61
TITEL 5. - Specifieke bepalingen voor de overheidssector
Art. 62-65
TITEL 6. - Verwerking van persoonsgegevens
HOOFDSTUK 1. - Beginselen betreffende de verwerking
Art. 66-70
HOOFDSTUK 2. - Bewaartermijn
Art. 71
HOOFDSTUK 3. - Beperking van de rechten van de betrokkenen
Art. 72-73
HOOFDSTUK 4. - Beperkingen inzake de verplichte melding van inbreuken in verband met persoonsgegevens
Art. 74
TITEL 7. - Slotbepalingen
HOOFDSTUK 1. - Overgangsbepaling
Art. 75
HOOFDSTUK 2. - Wijzigingsbepalingen
Afdeling 1. - Wijzigingen van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle
Art. 76-77
Afdeling 2. - Wijzigingen van de wet van 22 februari 1998 tot vaststelling van het organiek statuut van de Nationale Bank van België
Art. 78-80
Afdeling 3. - Wijziging van de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten
Art. 81
Afdeling 4. - Wijzigingen van de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector
Art. 82-83
Afdeling 5. - Wijzigingen van de wet van 13 juni 2005 betreffende de elektronische communicatie
Art. 84-94
Afdeling 6. - Wijzigingen van de wet van 21 november 2017 over de infrastructuren voor de markten voor financiële instrumenten en houdende omzetting van Richtlijn 2014/65/EU
Art. 95-96
HOOFDSTUK 3. - Opheffingsbepaling
Art. 97
HOOFDSTUK 4. - Inwerkingtreding
Art. 98
1994025189 1998003158 2002003392 2003014009 2005011238 2017014203 2019011507
TITEL 1. - Definities en algemene bepalingen
HOOFDSTUK 1. - Onderwerp en toepassingsgebied
Afdeling 1. - Onderwerp
Artikel 1. Deze wet regelt een materie bedoeld in artikel 74 van de Grondwet.
Art.2. Deze wet voorziet met name in de omzetting van de Europese Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148. Deze richtlijn wordt hierna de "NIS2-richtlijn" genoemd.
Afdeling 2. - Toepassingsgebied
Art.3. § 1. Binnen de grenzen van artikel 4 en onverminderd artikel 6 is deze wet van toepassing op publieke of private entiteiten van een in bijlage I of II bedoelde soort die:
1° een middelgrote onderneming zijn krachtens artikel 2 van de bijlage bij Aanbeveling nr. 2003/361/EG; of
2° een onderneming die de plafonds overschrijdt zoals bepaald in lid 1 van hetzelfde artikel van deze bijlage.
Artikel 3, lid 4, van de bijlage bij Aanbeveling nr. 2003/361/EG geldt niet voor de toepassing van deze wet.
§ 2. In het kader van de toepassing van artikel 6, lid 2, van de bijlage bij Aanbeveling nr. 2003/361/EG houdt de nationale cyberbeveiligingsautoriteit rekening met de mate van onafhankelijkheid van een entiteit ten opzichte van haar partnerondernemingen of verbonden ondernemingen, meer bepaald wat de netwerk- en informatiesystemen betreft waarvan zij gebruikmaakt bij het verlenen van haar diensten en wat de diensten betreft die zij verleent.
Op basis van het eerste lid beschouwt de nationale cyberbeveiligingsautoriteit een dergelijke entiteit als een entiteit die niet wordt aangemerkt als een middelgrote onderneming uit hoofde van artikel 2 van de bijlage bij Aanbeveling nr. 2003/361/EG, noch de plafonds voor een middelgrote onderneming als bepaald in lid 1 van dat artikel overschrijdt, indien die entiteit, rekening houdend met de mate van onafhankelijkheid die zij geniet, niet als middelgrote onderneming zou worden aangemerkt of niet zou worden geacht die plafonds te overschrijden ingeval alleen rekening zou worden gehouden met haar eigen gegevens.
De Koning kan de criteria bepalen op basis waarvan de mate van onafhankelijkheid van een entiteit ten opzichte van haar partnerondernemingen of verbonden ondernemingen wordt beoordeeld.
§ 3. Onverminderd artikel 6 is deze wet ook van toepassing op entiteiten van een in bijlage I of II bedoelde soort, ongeacht hun omvang, in een van de volgende gevallen:
1° de diensten worden verleend door:
a) aanbieders van openbare elektronische communicatienetwerken of van openbare elektronische-communicatiediensten;
b) verleners van vertrouwensdiensten;
c) registers voor topleveldomeinnamen en domeinnaamsysteem-dienstverleners;
2° de entiteit wordt geïdentificeerd als een essentiële of belangrijke entiteit overeenkomstig hoofdstuk 4 van deze titel;
3° de entiteit is een overheidsinstantie:
a) die van de Federale Staat afhangt;
b) die van de deelgebieden afhangt, geïdentificeerd overeenkomstig artikel 11, § 2;
c) die een hulpverleningszone is in de zin van artikel 14 van de wet van 15 mei 2007 betreffende de civiele veiligheid of de Brusselse Hoofdstedelijke Dienst voor Brandweer en Dringende Medische Hulp in de zin van de ordonnantie van 19 juli 1990 houdende oprichting van de Brusselse Hoofdstedelijke Dienst voor Brandweer en Dringende Medische Hulp.
§ 4. Onverminderd artikel 6 is deze wet van toepassing op entiteiten, ongeacht hun omvang, die worden geïdentificeerd als exploitanten van een kritieke infrastructuur in de zin van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren.
§ 5. Deze wet is van toepassing op entiteiten, ongeacht hun omvang, die domeinnaamregistratiediensten verlenen.
§ 6. Na raadpleging van de eventuele betrokken sectorale overheden en de nationale cyberbeveiligingsautoriteit kan de Koning, bij besluit vastgesteld na overleg in de Ministerraad, andere sectoren en/of deelsectoren toevoegen aan bijlage I of II of de bestaande sectoren en/of deelsectoren uitbreiden.
Art.4. § 1. Deze wet is van toepassing op de in artikel 3 bedoelde entiteiten die gevestigd zijn in België en die hun diensten verlenen of hun activiteiten verrichten in de Europese Unie.
§ 2. In afwijking van paragraaf 1 is deze wet van toepassing op:
1° aanbieders van openbare elektronische-communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten, wanneer zij deze diensten in België verlenen;
2° DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsook op aanbieders van onlinemarktplaatsen, onlinezoekmachines of platformen voor socialenetwerkdiensten, wanneer zij hun hoofdvestiging in België hebben, overeenkomstig de paragrafen 4 en 5.
§ 3. Indien een entiteit bedoeld in paragraaf 2, 2°, niet in de Europese Unie is gevestigd, maar diensten in de Unie aanbiedt, wijst zij een vertegenwoordiger in de Unie aan. De vertegenwoordiger is gevestigd in een van de lidstaten waar de diensten worden verleend.
§ 4. Voor de toepassing van deze wet hebben de in paragraaf 2, 2°, bedoelde entiteiten hun hoofdvestiging in België wanneer zij er hoofdzakelijk de beslissingen nemen rond maatregelen voor het beheer van cyberbeveiligingsrisico's.
Indien de plaats waar deze beslissingen worden genomen niet kan worden bepaald of zich niet in de Europese Unie bevindt, worden de in paragraaf 2, 2°, bedoelde entiteiten geacht hun hoofdvestiging in België te hebben wanneer zij er hun cyberbeveiligingsactiviteiten uitvoeren.
Indien de plaats waar deze activiteiten plaatsvinden niet kan worden bepaald, worden de in paragraaf 2, 2°, bedoelde entiteiten geacht hun hoofdvestiging in België te hebben wanneer hun vestiging met het grootste aantal werknemers zich daar bevindt.
§ 5. Voor de toepassing van deze wet worden de in paragraaf 2, 2°, bedoelde entiteiten geacht hun hoofdvestiging in België te hebben, wanneer zij niet gevestigd zijn in de Europese Unie maar hun diensten verlenen in de Unie en hun vertegenwoordiger in de Europese Unie in België gevestigd is.
§ 6. De aanwijzing van een vertegenwoordiger door een entiteit bedoeld in paragraaf 2, 2°, doet geen afbreuk aan juridische stappen die tegen de entiteit zelf kunnen worden ingesteld.
Art.5. § 1. Deze wet doet geen afbreuk aan de toepassing van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), aan de wettelijke en reglementaire bepalingen die deze verordening aanvullen of verduidelijken of aan de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
§ 2. Deze wet doet geen afbreuk aan de wet van 11 december 1998 betreffende de classificatie, de veiligheidsmachtigingen, veiligheidsattesten, veiligheidsadviezen en de publiek gereguleerde dienst en is niet van toepassing op communicatie- en informatiesystemen die zijn goedgekeurd om geclassificeerde informatie in elektronische vorm te gebruiken overeenkomstig de bovengenoemde wet.
§ 3. Deze wet doet geen afbreuk aan de regels die van toepassing zijn op nucleaire documenten in de zin van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle.
§ 4. Behoudens de artikelen 8 en 38 en titel 2 is deze wet niet van toepassing op:
1° de inlichtingen- en veiligheidsdiensten bedoeld in artikel 2 van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten;
2° het Coördinatieorgaan voor de dreigingsanalyse opgericht bij artikel 5 van de wet van 10 juli 2006 betreffende de analyse van de dreiging;
3° het Ministerie van Landsverdediging bedoeld in artikel 1 van het koninklijk besluit van 2 december 2018 tot bepaling van de algemene structuur van het Ministerie van Landsverdediging en tot vaststelling van de bevoegdheden van bepaalde autoriteiten;
4° de politiediensten en de algemene inspectie bedoeld in artikel 2, 2° en 3°, van de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus;
5° de rechterlijke overheden, begrepen als de organen van de rechterlijke macht, met inbegrip van het Openbaar Ministerie;
6° de Federale Overheidsdienst Justitie opgericht bij het koninklijk besluit van 23 mei 2001 houdende oprichting van de Federale Overheidsdienst Justitie, wanneer deze databanken beheert voor de rechterlijke overheden bedoeld in 5°;
7° de netwerk- en informatiesystemen van Belgische diplomatieke en consulaire missies in landen buiten de Europese Unie;
8° de inrichtingen van klasse I in de zin van artikel 3.1 van het koninklijk besluit van 20 juli 2001 houdende algemeen reglement op de bescherming van de bevolking, van de werknemers en het leefmilieu tegen het gevaar van de ioniserende stralingen.
In afwijking van het eerste lid, 8°, is deze wet van toepassing op de elementen van een nucleaire installatie bestemd voor de industriële productie van elektriciteit die dienen voor de transmissie van elektriciteit.
§ 5. De bepalingen van titel 3, 4 en 5 zijn niet van toepassing op:
1° het NCCN;
2° de nationale cyberbeveiligingsautoriteit bedoeld in artikel 16.
§ 6. De paragrafen 4 en 5 zijn niet van toepassing wanneer een van deze entiteiten optreedt als verlener van vertrouwensdiensten.
Art.6. § 1. Indien een sectorspecifiek rechtsinstrument van de Europese Unie vereist dat entiteiten die tot het toepassingsgebied van deze wet behoren, maatregelen nemen voor het beheer van cyberbeveiligingsrisico's of significante incidenten melden en indien deze eisen ten minste gelijkwaardig zijn aan de in deze wet bepaalde verplichtingen, zijn de relevante bepalingen van deze wet niet van toepassing op deze entiteiten.
Indien een in het eerste lid bedoeld sectorspecifiek rechtsinstrument van de Europese Unie niet op alle entiteiten in een specifieke sector die tot het toepassingsgebied van deze wet behoort, betrekking heeft, zijn de relevante bepalingen van deze wet van toepassing op de entiteiten waarop dit sectorspecifieke rechtsinstrument van de Europese Unie geen betrekking heeft.
§ 2. De in paragraaf 1, eerste lid, bedoelde eisen worden geacht gelijkwaardig te zijn aan de verplichtingen van deze wet wanneer:
1° de maatregelen voor het beheer van cyberbeveiligingsrisico's ten minste gelijkwaardig zijn aan de maatregelen bedoeld in artikel 30; of
2° het sectorspecifieke rechtsinstrument van de Europese Unie in onmiddellijke toegang voorziet, in voorkomend geval automatisch en rechtstreeks, tot de meldingen van incidenten voor het nationale CSIRT en wanneer de eisen voor het melden van significante incidenten ten minste gelijkwaardig zijn aan de verplichtingen bedoeld in de artikelen 34 tot 37.
§ 3. De bepalingen van de titels 3 tot 5 zijn niet van toepassing op entiteiten die behoren tot de sectoren van het bankwezen en de infrastructuur voor de financiële markt in de zin van bijlage I die onder het toepassingsgebied vallen van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011, met inbegrip van de activiteit van centrale effectenbewaarinstelling verricht door de Nationale Bank van België.
§ 4. De bepalingen van titel 3, hoofdstuk 1, van titel 4 en van titel 5 zijn niet van toepassing:
1° op de Nationale Bank van België, met uitzondering van haar activiteit van centrale effectenbewaarinstelling waarop paragraaf 3 van toepassing is;
2° op financiële instellingen die onderworpen zijn aan het toezicht van de Nationale Bank van België krachtens de artikelen 8 en 12bis van de wet van 22 februari 1998 tot vaststelling van het organiek statuut van de Nationale Bank van België en die niet onder paragraaf 3 vallen.
Art.7. De Koning kan, bij besluit vastgesteld na overleg in de Ministerraad:
1° de gelijkwaardige sectorspecifieke rechtsinstrumenten bedoeld in artikel 6, § 1, eerste lid, nader bepalen;
2° bijzondere regels vaststellen met betrekking tot de coördinatie van de informatie-uitwisseling, met inbegrip van de eisen voor het melden van significante incidenten, tussen de entiteiten bedoeld in artikel 6, § § 3 en 4, de betrokken sectorale overheid, de nationale cyberbeveiligingsautoriteit en de autoriteit belast met het beheer van cyberrisico's.
HOOFDSTUK 2. - Definities
Art.8. Voor de toepassing van deze wet moet worden verstaan onder:
1° "netwerk- en informatiesysteem":
a) een elektronische-communicatienetwerk in de zin van artikel 2, 3°, van de wet van 13 juni 2005 betreffende de elektronische communicatie;
b) elk apparaat of elke groep van onderling verbonden of bij elkaar behorende apparaten, waarvan er een of meer, in uitvoering van een programma, digitale gegevens automatisch verwerken, met inbegrip van de digitale, elektronische of mechanische componenten van dat apparaat die met name de automatisering van het operationele proces, de controle op afstand of het verkrijgen van werkingsgegevens in real time mogelijk maken; of
c) digitale gegevens die worden opgeslagen, verwerkt, opgehaald of verzonden met behulp van de in punten a) en b) bedoelde elementen met het oog op de werking, het gebruik, de bescherming en het onderhoud ervan;
2° "beveiliging van netwerk- en informatiesystemen": het vermogen van netwerk- en informatiesystemen om op een bepaald niveau van betrouwbaarheid weerstand te bieden aan elke gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via deze netwerk- en informatiesystemen worden aangeboden, in gevaar kan brengen;
3° "cyberbeveiliging": cyberbeveiliging als bedoeld in artikel 2, 1), van Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening), hierna de "cyberbeveiligingsverordening" genoemd;
4° "nationale cyberbeveiligingsstrategie": een samenhangend kader met strategische doelstellingen en prioriteiten op het vlak van cyberbeveiliging en governance om die doelstellingen en prioriteiten in België te verwezenlijken;
5° "incident": een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt;
6° "bijna-incident": een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar had kunnen brengen, maar die met succes is voorkomen of zich niet heeft voorgedaan;
7° "grootschalig cyberbeveiligingsincident": een incident dat leidt tot een verstoringsniveau dat te groot is om door een getroffen lidstaat van de Europese Unie alleen te worden verholpen of dat significante gevolgen heeft voor ten minste twee lidstaten van de Europese Unie;
8° "incidentenbehandeling": alle acties en procedures die gericht zijn op het voorkomen, opsporen, analyseren en indammen van of het reageren op en het herstellen van een incident;
9° "risico": de mogelijkheid van verlies of verstoring als gevolg van een incident, wat wordt uitgedrukt als een combinatie van de omvang van een dergelijk verlies of een dergelijke verstoring en de waarschijnlijkheid dat een dergelijk incident zich voordoet;
10° "cyberdreiging": een cyberdreiging bedoeld in artikel 2, punt 8), van de cyberbeveiligingsverordening;
11° "significante cyberdreiging": een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat zij ernstige gevolgen kan hebben voor de netwerk- en informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door het veroorzaken van aanzienlijke materiële of immateriële schade;
12° "ICT-product": een ICT-product als bedoeld in artikel 2, 12), van de cyberbeveiligingsverordening;
13° "ICT-dienst": een ICT-dienst als bedoeld in artikel 2, 13), van de cyberbeveiligingsverordening;
14° "ICT-proces": een ICT-proces als bedoeld in artikel 2, 14), van de cyberbeveiligingsverordening;
15° "kwetsbaarheid": een zwakheid, vatbaarheid of gebrek van ICT-producten of ICT-diensten die door een cyberdreiging kan worden uitgebuit;
16° "norm": een norm als bedoeld in artikel 2, 1), van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie, tot wijziging van de Richtlijnen 89/686/EEG en 93/15/EEG van de Raad alsmede de Richtlijnen 94/9/EG, 94/25/EG, 95/16/EG, 97/23/EG, 98/34/EG, 2004/22/EG, 2007/23/EG, 2009/23/EG en 2009/105/EG van het Europees Parlement en de Raad en tot intrekking van Beschikking 87/95/EEG van de Raad en Besluit nr. 1673/2006/EG van het Europees Parlement en de Raad, hierna "Verordening (EU) nr. 1025/2012";
17° "internetknooppunt": een netwerkfaciliteit die de interconnectie van meer dan twee onafhankelijke netwerken (autonome systemen) mogelijk maakt, voornamelijk ter vergemakkelijking van de uitwisseling van internetverkeer, die alleen interconnectie voor autonome systemen biedt en die niet vereist dat het internetverkeer dat tussen een paar deelnemende autonome systemen verloopt, via een derde autonoom systeem verloopt, noch dat verkeer wijzigt of anderszins verstoort;
18° "domeinnaamsysteem" of "DNS": een hiërarchisch gedistribueerd naamgevingssysteem dat het mogelijk maakt internetdiensten en -bronnen te identificeren, waardoor eindgebruikersapparaten in staat worden gesteld routing- en connectiviteitsdiensten op het internet te gebruiken om die diensten en bronnen te bereiken;
19° "DNS-dienstverlener": een entiteit die de volgende diensten verleent:
a) openbare recursieve domeinnaamomzettingsdiensten voor interneteindgebruikers; of
b) gezaghebbende domeinnaamomzettingsdiensten voor gebruik door derden, met uitzondering van root-naamservers;
20° "register voor topleveldomeinnamen": een entiteit waaraan een specifieke topleveldomeinnaam is gedelegeerd en die verantwoordelijk is voor het beheer van de topleveldomeinnaam, met inbegrip van de registratie van domeinnamen onder de topleveldomeinnaam en de technische exploitatie van de topleveldomeinnaam, met inbegrip van de exploitatie van de naamservers, het onderhoud van de databases en de verdeling van de zonebestanden van de topleveldomeinnaam over de naamservers, ongeacht of die activiteiten door de entiteit zelf worden uitgevoerd of worden uitbesteed, maar met uitzondering van situaties waarin topleveldomeinnamen uitsluitend voor eigen gebruik worden aangewend door een register;
21° "entiteit die domeinnaamregistratiediensten aanbiedt": een registrator of een agent die namens registrators optreedt, zoals een aanbieder van privacy- of proxy-registratiediensten of wederverkoper;
22° "digitale dienst": een dienst in de zin van artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij;
23° "vertrouwensdienst": een vertrouwensdienst in de zin van artikel 3, 16, van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, hierna de "eIDAS-verordening" genoemd;
24° "verlener van vertrouwensdiensten": een verlener van vertrouwensdiensten in de zin van artikel 3, 19, van de eIDAS-verordening;
25° "gekwalificeerde vertrouwensdienst": een gekwalificeerde vertrouwensdienst in de zin van artikel 3, 17, van de eIDAS-verordening;
26°"gekwalificeerde verlener van vertrouwensdiensten": een gekwalificeerde verlener van vertrouwensdiensten in de zin van artikel 3, 20, van de eIDAS-verordening;
27° "onlinemarktplaats": een onlinemarktplaats in de zin van artikel I.8, 41°, van het Wetboek van economisch recht;
28° "onlinezoekmachine": een onlinezoekmachine als bedoeld in artikel 2, 5), van Verordening (EU) 2019/1150 van het Europees Parlement en de Raad van 20 juni 2019 ter bevordering van billijkheid en transparantie voor zakelijke gebruikers van onlinetussenhandelsdiensten;
29° "cloudcomputingdienst": een digitale dienst die administratie op aanvraag en brede toegang op afstand tot een schaalbare en elastische pool van deelbare computerbronnen mogelijk maakt, ook wanneer die bronnen over verschillende locaties verspreid zijn;
30° "datacentrumdienst": een dienst die structuren of groepen van structuren omvat die bestemd zijn voor de gecentraliseerde accommodatie, de interconnectie en de exploitatie van IT- en netwerkapparatuur die diensten op het gebied van gegevensopslag, -verwerking en -transport aanbiedt, samen met alle faciliteiten en infrastructuren voor energiedistributie en omgevingscontrole;
31° "netwerk voor de levering van inhoud": een netwerk van geografisch verspreide servers met het oog op een hoge beschikbaarheid, toegankelijkheid of snelle levering van digitale inhoud en diensten aan internetgebruikers ten behoeve van aanbieders van inhoud en diensten;
32° "platform voor socialenetwerkdiensten": een platform dat eindgebruikers in staat stelt zich met elkaar te verbinden, te delen, te ontdekken en met elkaar te communiceren via meerdere apparaten, met name via chats, posts, video's en aanbevelingen;
33° "vertegenwoordiger": een in de Europese Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om op te treden namens een DNS-dienstverlener, een register voor topleveldomeinnamen, een entiteit die domeinnaamregistratiediensten verleent, een aanbieder van cloudcomputingdiensten, een aanbieder van datacentrumdiensten, een aanbieder van een netwerk voor de levering van inhoud, een aanbieder van beheerde diensten, een aanbieder van beheerde beveiligingsdiensten, of een aanbieder van een onlinemarktplaats, van een onlinezoekmachine of van een platform voor socialenetwerkdiensten die niet in de Europese Unie is gevestigd, en die door de nationale cyberbeveiligingsautoriteit kan worden gecontacteerd in plaats van de entiteit zelf met betrekking tot de verplichtingen van die entiteit uit hoofde van deze wet;
34° "overheidsinstantie": een administratieve overheid bedoeld in artikel 14, § 1, eerste lid, van de gecoördineerde wetten op de Raad van State die aan de volgende criteria voldoet:
a) zij is niet van industriële of commerciële aard;
b) zij oefent niet hoofdzakelijk een activiteit uit, opgesomd in de kolom soort entiteit van een andere sector of deelsector van een van de bijlagen;
c) zij is geen privaatrechtelijke rechtspersoon.
35° "openbaar elektronische-communicatienetwerk": een openbaar elektronische-communicatienetwerk als bedoeld in artikel 2, 10°, van de wet van 13 juni 2005 betreffende de elektronische communicatie;
36° "elektronische-communicatiedienst": een elektronische-communicatiedienst in de zin van artikel 2, 5°, van de wet van 13 juni 2005 betreffende de elektronische communicatie;
37° "entiteit": een natuurlijke of rechtspersoon die als zodanig is opgericht en erkend volgens het nationale recht van zijn vestigingsplaats, en die in eigen naam rechten kan uitoefenen en aan verplichtingen kan worden onderworpen;
38° "aanbieder van beheerde diensten": een entiteit die diensten verleent die verband houden met de installatie, het beheer, de exploitatie of het onderhoud van ICT-producten, -netwerken, -infrastructuur, -toepassingen of andere netwerk- en informatiesystemen, via bijstand of actieve administratie bij de klanten ter plaatse of op afstand;
39° "aanbieder van beheerde beveiligingsdiensten": een aanbieder van beheerde diensten die bijstand biedt of verleent voor activiteiten die verband houden met risicobeheer op het gebied van cyberbeveiliging;
40° "onderzoeksorganisatie": een entiteit die als hoofddoel heeft het verrichten van toegepast onderzoek of experimentele ontwikkeling met het oog op de exploitatie van de resultaten van dat onderzoek voor commerciële doeleinden, met uitsluiting van onderwijsinstellingen;
41° "Aanbeveling nr. 2003/361/EG": de Aanbeveling van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen;
42° "wet van 13 juni 2005": de wet van 13 juni 2005 betreffende de elektronische communicatie;
43° "wet van 1 juli 2011": de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
44° "koninklijk besluit van 18 april 1988": het koninklijk besluit van 18 april 1988 tot oprichting van het coördinatie- en Crisiscentrum van de regering;
45° "nationale cyberbeveiligingsautoriteit": de autoriteit bedoeld in artikel 16;
46° "nationaal CSIRT": het nationale computer security incident response team;
47° "Enisa": het Agentschap van de Europese Unie voor cyberbeveiliging opgericht bij de cyberbeveiligingsverordening;
48° "NCCN": het Centrum opgericht door het koninklijk besluit van 18 april 1988;
49° "Verordening (EU) 2016/679": Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
50° "gegevensbeschermingsautoriteit": toezichthoudende autoriteit in de zin van artikel 4, 21°, van Verordening (EU) 2016/679;
51° "nationale accreditatie-instantie": de instantie bedoeld in artikel 2, punt 11, van Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93, hierna "Verordening (EG) nr. 765/2008";
52° "beveiligingsbeleid voor de netwerk- en informatiesystemen ("I.B.B.")": het beleid vastgelegd in een document bedoeld in artikel 30, met de te nemen maatregelen voor de beveiliging van netwerk- en informatiesystemen door een essentiële of belangrijke entiteit;
53° "conformiteitsbeoordelingsinstantie": de instantie bedoeld in artikel 2, punt 13, van Verordening (EG) nr. 765/2008;
54° "sectorale overheid": de overheid bedoeld in artikel 15, § 2;
55° "CSIRT-netwerk": het netwerk van nationale CSIRT's opgericht bij artikel 15 van de NIS2-richtlijn;
56° "samenwerkingsgroep": de samenwerkingsgroep opgericht bij artikel 14 van de NIS2-richtlijn;
57° "significant incident": elk incident dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat:
1° een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
2° andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
58° "cybercrisis": elk cyberbeveiligingsincident dat wegens zijn aard of gevolgen:
1° de vitale belangen van het land of de essentiële behoeften van de bevolking bedreigt;
2° een dringende besluitvorming vereist;
3° en de gecoördineerde inzet van verscheidene departementen en organismen vergt.
59° "Instituut": het Belgisch Instituut voor postdiensten en telecommunicatie zoals bedoeld in artikel 13 van de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector.
HOOFDSTUK 3. - Categorieën van entiteiten
Art.9. Zijn essentiële entiteiten:
1° de entiteiten van een in bijlage I bedoelde soort die de plafonds voor middelgrote ondernemingen overschrijden die zijn bepaald in artikel 2, lid 1, van de bijlage bij Aanbeveling nr. 2003/361/EG;
2° de gekwalificeerde verleners van vertrouwensdiensten en de registers voor topleveldomeinnamen, alsook de DNS-dienstverleners, ongeacht hun omvang;
3° de aanbieders van openbare elektronische-communicatienetwerken of van openbare elektronische-communicatiediensten die minstens in aanmerking komen als middelgrote ondernemingen uit hoofde van artikel 2 van de bijlage bij Aanbeveling nr. 2003/361/EG;
4° de overheidsinstanties die van de Federale Staat afhangen;
5° de entiteiten bedoeld in artikel 3, § 4;
6° alle andere entiteiten van een in bijlage I of II bedoelde soort die worden geïdentificeerd als essentiële entiteiten overeenkomstig artikel 11.
Art.10. Zijn belangrijke entiteiten:
1° de entiteiten van een in bijlage I of II bedoelde soort die niet als essentiële entiteiten worden beschouwd op basis van artikel 9;
2° de entiteiten die worden geïdentificeerd als belangrijke entiteiten overeenkomstig artikel 11.
HOOFDSTUK 4. - Identificatie
Art.11. § 1. Onverminderd artikel 6 identificeert de nationale cyberbeveiligingsautoriteit, op eigen initiatief of op voorstel van de eventuele betrokken sectorale overheid, een entiteit als een essentiële of belangrijke entiteit, ongeacht haar omvang, in de volgende gevallen:
1° de entiteit is de enige aanbieder, in België, van minstens één dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten, met name in een van de sectoren of deelsectoren van de bijlagen I en II van de wet;
2° een verstoring van de door de entiteit verleende dienst kan aanzienlijke gevolgen hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid;
3° een verstoring van de door de entiteit verleende dienst kan een aanzienlijk systeemrisico met zich brengen, met name voor sectoren waar een dergelijke verstoring een grensoverschrijdende impact kan hebben;
4° de entiteit is kritiek vanwege het specifieke belang ervan op nationaal of regionaal niveau voor de specifieke sector of het specifieke type dienst, of voor andere onderling afhankelijke sectoren in België.
§ 2. Wat betreft de entiteiten die van de deelgebieden afhangen, identificeert de nationale cyberbeveiligingsautoriteit overheidsinstanties die, na een risicobeoordeling, diensten verlenen waarvan de verstoring aanzienlijke gevolgen kan hebben voor kritieke maatschappelijke of economische activiteiten.
§ 3. In het kader van de identificatie bedoeld in de paragrafen 1 en 2 legt de nationale cyberbeveiligingsautoriteit vooraf een ontwerpbeslissing voor aan de betrokken entiteit en vervolgens aan de eventuele betrokken deelgebieden en sectorale overheden, die binnen zestig dagen een niet-gepubliceerd advies uitbrengen.
Indien binnen de in het eerste lid bedoelde termijn geen advies is uitgebracht, kan worden voorbijgegaan aan het feit dat geen advies gegeven is.
In geval van een ongunstig advies van een sectorale overheid en indien de nationale cyberbeveiligingsautoriteit haar ontwerpbeslissing wenst te handhaven, wordt de ontwerpbeslissing samen met het advies voorgelegd aan het Strategisch Comité Inlichtingen en Veiligheid, opgericht bij het koninklijk besluit van 22 december 2020 tot oprichting van de Nationale Veiligheidsraad, het Strategisch Comité Inlichtingen en Veiligheid en het Coördinatiecomité Inlichtingen en Veiligheid die een bindend advies uitbrengen.
§ 4. De nationale cyberbeveiligingsautoriteit evalueert en actualiseert, in voorkomend geval, minstens om de twee jaar de identificatie van essentiële en belangrijke entiteiten volgens de modaliteiten bedoeld in de paragrafen 1 tot 3.
De nationale cyberbeveiligingsautoriteit stuurt de identificaties en actualiseringen van essentiële entiteiten naar het NCCN en naar de eventuele betrokken sectorale overheid.
De nationale cyberbeveiligingsautoriteit stuurt de identificaties en actualiseringen van belangrijke entiteiten naar de eventuele betrokken sectorale autoriteit.
§ 5. In de gevallen bedoeld in paragraaf 1 kan de Koning, bij besluit vastgesteld na overleg in de Ministerraad, een entiteit die geen deel uitmaakt van de in de bijlage bedoelde sectoren, aanwijzen als een essentiële of belangrijke entiteit.
Art.12. In het kader van de identificatie bedoeld in artikel 11 bezorgt de betrokken entiteit op verzoek van de nationale cyberbeveiligingsautoriteit of de sectorale overheid, alle informatie die nuttig is voor haar eventuele identificatie.
HOOFDSTUK 5. - Registratie van de entiteiten
Art.13. § 1. Binnen vijf maanden na de inwerkingtreding van de wet of de in artikel 11 bedoelde identificatie registreren essentiële entiteiten, belangrijke entiteiten en entiteiten die domeinnaamregistratiediensten verlenen zich bij de nationale cyberbeveiligingsautoriteit volgens de door deze autoriteit vastgestelde praktische modaliteiten en bezorgen haar de volgende informatie:
1° hun naam, alsook hun registratienummer bij de Kruispuntbank van Ondernemingen (KBO) of een gelijkwaardige registratie in de Europese Unie;
2° hun adres en hun actuele contactgegevens, waaronder hun e-mailadres, hun IP-bereiken en hun telefoonnummer;
3° indien van toepassing, de relevante sector en deelsector bedoeld in bijlage I of II, en
4° indien van toepassing, een lijst van de lidstaten waar zij diensten verlenen die binnen het toepassingsgebied van deze wet vallen.
De Koning kan deze lijst met informatie aanvullen.
§ 2. In afwijking van paragraaf 1, eerste lid, vervolledigt de in voornoemde paragraaf bedoelde entiteit, wanneer zij krachtens een wettelijke verplichting al een deel van de in voornoemde paragraaf bedoelde informatie meedeelt aan de betrokken sectorale overheid, deze informatie bij deze sectorale overheid.
De in paragraaf 1, eerste lid, bedoelde entiteit bezorgt de informatie binnen vijf maanden na de inwerkingtreding van de wet, volgens de door voornoemde overheid vastgestelde praktische modaliteiten.
§ 3. De in paragraaf 1, eerste lid, bedoelde entiteiten bezorgen onmiddellijk elke wijziging in de informatie die zij op grond van paragraaf 1, eerste lid, en paragraaf 2, eerste lid, hebben ingediend, en in elk geval binnen twee weken na de datum van de wijziging.
§ 4. De betrokken sectorale overheid bezorgt de krachtens de paragrafen 2 en 3 verzamelde informatie aan de nationale cyberbeveiligingsautoriteit.
De nationale cyberbeveiligingsautoriteit neemt de nodige maatregelen om ervoor te zorgen dat de sectorale overheden de meegedeelde gegevens kunnen raadplegen voor de sectoren die hen aangaan.
Art.14. § 1. Binnen twee maanden na de inwerkingtreding van de wet verstrekken DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, alsmede aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten de nationale cyberbeveiligingsautoriteit volgens de modaliteiten bedoeld in artikel 13, § 1, eerste lid, ten minste de volgende informatie:
1° hun naam;
2° hun relevante sector, deelsector en soort entiteit bedoeld in bijlage I of II, waar van toepassing;
3° het adres van hun hoofdvestiging en hun andere wettelijke vestigingen in de Unie of, indien deze niet in de Unie zijn gevestigd, van hun op grond van artikel 4, § 3, aangewezen vertegenwoordiger;
4° hun actuele contactgegevens, met inbegrip van e-mailadressen en telefoonnummers en, indien van toepassing, deze van hun op grond van artikel 4, § 3, aangewezen vertegenwoordiger;
5° de lidstaten waar ze hun diensten verlenen die tot het toepassingsgebied van deze wet behoren; en
6° hun IP-bereiken.
§ 2. De in paragraaf 1 bedoelde entiteiten stellen de nationale cyberbeveiligingsautoriteit onverwijld en in elk geval binnen drie maanden na de datum waarop de wijziging van kracht is geworden, in kennis van eventuele wijzigingen in de gegevens die zij op grond van paragraaf 1 hebben ingediend.
§ 3. In afwijking van paragraaf 1 worden de in diezelfde paragraaf bedoelde gegevens met betrekking tot gekwalificeerde verleners van vertrouwensdiensten in België, die al zijn verstrekt aan het in artikel 17 van de eIDAS-verordening bedoelde toezichthoudende orgaan, door dat orgaan doorgestuurd naar de nationale cyberbeveiligingsautoriteit, volgens de door de Koning vastgestelde modaliteiten.
TITEL 2. - Bevoegde autoriteiten en samenwerking op nationaal niveau
HOOFDSTUK 1. - Bevoegde autoriteiten
Afdeling 1. - Aanwijzing van de bevoegde autoriteiten
Art.15. § 1. De Koning wijst de nationale cyberbeveiligingsautoriteit aan.
§ 2. Na advies van de nationale cyberbeveiligingsautoriteit kan de Koning, bij besluit vastgesteld na overleg in de Ministerraad, een sectorale overheid en, in voorkomend geval, een sectorale inspectiedienst aanwijzen die voor een specifieke sector of deelsector belast is met het toezicht op de uitvoering van de bijkomende sectorale of deelsectorale maatregelen voor het beheer van cyberbeveiligingsrisico's bedoeld in artikel 33.
In het kader van de aanwijzing bedoeld in het eerste lid houdt de Koning rekening met de identiteit van de in het kader van de wet van 1 juli 2011 aangewezen sectorale overheden en sectorale inspectiediensten.
De Koning kan, bij besluit vastgesteld na overleg in de Ministerraad, sectorale overheden oprichten, bestaande uit vertegenwoordigers van de Federale Staat, de Gemeenschappen en de Gewesten, overeenkomstig de modaliteiten bepaald in artikel 92ter van de bijzondere wet van 8 augustus 1980 tot hervorming der instellingen.
In afwijking van het eerste lid wijst deze wet zelf de bij wet opgerichte en geregelde sectorale overheden en sectorale inspectiediensten aan.
Afdeling 2. - De nationale cyberbeveiligingsautoriteit
Art.16. De nationale cyberbeveiligingsautoriteit is belast met de opvolging en coördinatie van de uitvoering van deze wet, het toezicht op de uitvoering ervan door de essentiële en belangrijke entiteiten, alsook met het beheer van cybercrises en cyberbeveiligingsincidenten overeenkomstig artikel 18.
Daartoe vervult de nationale cyberbeveiligingsautoriteit de taken van bevoegde autoriteit voor essentiële en belangrijke entiteiten, van nationaal CSIRT, van centraal nationaal contactpunt voor de uitvoering van deze wet, en vertegenwoordigt zij België in de samenwerkingsgroep, het CSIRT-netwerk en het Europees netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) bedoeld in artikel 16 van de NIS2-richtlijn.
Onderafdeling 1. - Taken met betrekking tot de rol van bevoegde autoriteit belast met cyberbeveiliging
Art.17. De nationale cyberbeveiligingsautoriteit heeft de volgende taken:
1° het zorgen voor coördinatie tussen de bevoegde autoriteiten in het kader van de toepassing van deze wet, alsook tussen de verschillende diensten en autoriteiten die betrokken zijn bij cyberbeveiliging in België;
2° het opvolgen en coördineren van en toezien op de uitvoering van de nationale cyberbeveiligingsstrategie bedoeld in artikel 28;
3° het identificeren van de essentiële en belangrijke entiteiten overeenkomstig artikel 11;
4° het toezien op de uitvoering van de wet door de essentiële en belangrijke entiteiten overeenkomstig titel 4;
5° het zorgen voor coördinatie tussen de overheden en de private sector of de wetenschappelijke wereld;
6° het formuleren van voorstellen tot aanpassing van het wettelijk en regelgevend kader op het vlak van cyberbeveiliging;
7° het opstellen, verspreiden en toezien op de uitvoering van standaarden, richtlijnen en normen voor de cyberbeveiliging van de verschillende soorten informatiesystemen;
8° het coördineren van de Belgische vertegenwoordiging in internationale fora voor cyberbeveiliging, van de opvolging van internationale verplichtingen en van voorstellen van het nationale standpunt op dit vlak;
9° het fungeren als centraal contactpunt dat een verbindingsfunctie vervult om, in het kader van de toepassing van deze wet, te zorgen voor grensoverschrijdende samenwerking van de Belgische autoriteiten met de bevoegde autoriteiten van andere lidstaten van de Europese Unie en in voorkomend geval met de Europese Commissie en Enisa, alsmede om te zorgen voor sectoroverschrijdende samenwerking met andere bevoegde Belgische autoriteiten;
10° het coördineren van de evaluatie en certificering van de beveiliging van informatie- en communicatiesystemen;
11° het informeren en sensibiliseren van gebruikers van informatie- en communicatiesystemen;
12° het toekennen van subsidies voor projecten en activiteiten rond cyberbeveiliging, binnen de grenzen van haar begrotingskredieten en volgens de voorwaarden bepaald door de Koning;
13° het faciliteren en aanmoedigen van de organisatie van opleidingen rond cyberbeveiliging voor personeelsleden van essentiële of belangrijke entiteiten;
14° het opstellen van een lijst van essentiële en belangrijke entiteiten, alsook van entiteiten die domeinnaamregistratiediensten verlenen. Vervolgens het regelmatig en ten minste om de twee jaar evalueren en, in voorkomend geval, actualiseren van die lijst.
Onderafdeling 2. - Taken met betrekking tot het cybercrisisbeheer
Art.18. Onverminderd de artikel en 8 en 9 van de wet van 15 mei 2007 betreffende de civiele veiligheid en de uitvoeringsbesluiten ervan en onverminderd de bevoegdheden van het NCCN vervult de nationale cyberbeveiligingsautoriteit de volgende taken met betrekking tot het cybercrisisbeheer:
1° in samenwerking met het NCCN, het vaststellen van de capaciteiten, middelen en procedures die in geval van een cybercrisis kunnen worden ingezet;
2° het opvolgen van de opmaak, actualisering en operationalisering van het nationale plan voor cyberbeveiligingsincidenten en cybercrisisrespons bedoeld in artikel 29, in samenwerking met het NCCN;
3° het vervullen van de rol van coördinator bij het beheer van cybercrises en cyberbeveiligingsincidenten, in voorkomend geval overeenkomstig het in 2° bedoelde plan.
Onderafdeling 3. - Taken en voorschriften met betrekking tot de rol van nationaal CSIRT
Art.19. § 1. Het nationale CSIRT heeft de volgende taken:
1° het monitoren en analyseren van cyberdreigingen, kwetsbaarheden en incidenten op nationaal niveau, en, op verzoek, het verlenen van bijstand aan de betrokken essentiële en belangrijke entiteiten met betrekking tot het realtime of bijna-realtime monitoren van hun netwerk- en informatiesystemen;
2° het verstrekken van vroegtijdige waarschuwingen, meldingen en aankondigingen en het verspreiden van informatie onder de betrokken essentiële en belangrijke entiteiten en aan de bevoegde autoriteiten en andere relevante belanghebbenden over cyberdreigingen, kwetsbaarheden en incidenten, in bijna-realtime indien mogelijk;
3° het reageren op incidenten en verlenen van bijstand aan de betrokken essentiële en belangrijke entiteiten, indien van toepassing;
4° het verzamelen en analyseren van forensische gegevens en het zorgen voor dynamische risico- en incidentenanalyse en situationeel bewustzijn met betrekking tot cyberbeveiliging;
5° op verzoek van een essentiële of belangrijke entiteit: het proactief scannen van de netwerk- en informatiesystemen van de betrokken entiteit om kwetsbaarheden met mogelijk significante gevolgen op te sporen;
6° het deelnemen aan het CSIRT-netwerk, het doeltreffend, efficiënt en veilig samenwerken in dit netwerk en, in overeenstemming met zijn capaciteiten en bevoegdheden, het verlenen van wederzijdse bijstand aan andere leden van dit netwerk op hun verzoek;
7° indien van toepassing, het optreden als coördinator ten behoeve van het in artikel 22 bedoelde proces van gecoördineerde bekendmaking van kwetsbaarheden;
8° het bijdragen aan de uitrol van veilige instrumenten voor het delen van informatie;
9° het proactief en niet-intrusief scannen van openbaar toegankelijke netwerk- en informatiesystemen als deze scan wordt uitgevoerd om kwetsbare of onveilig geconfigureerde netwerk- en informatiesystemen op te sporen en de betrokken entiteiten te informeren en deze geen negatieve gevolgen heeft voor de werking van de diensten van de entiteiten;
10° het opsporen, observeren en analyseren van computerbeveiligingsproblemen;
11° het tot stand brengen van samenwerkingsrelaties met relevante belanghebbenden in de private sector, teneinde de doelstellingen van deze wet te verwezenlijken;
12° het vergemakkelijken van de in punt 11° bedoelde samenwerking door de invoering en het gebruik te bevorderen van gemeenschappelijke of gestandaardiseerde praktijken, classificatieschema's en taxonomieën met betrekking tot:
a) procedures voor de incidentenbehandeling;
b) crisisbeheer; en
c) de gecoördineerde bekendmaking van kwetsbaarheden uit hoofde van artikel 22;
13° het samenwerken en in voorkomend geval uitwisselen van relevante informatie overeenkomstig artikel 27 met de in datzelfde artikel bedoelde gemeenschappen;
14° het deelnemen aan de overeenkomstig artikel 19 van de NIS2-richtlijn georganiseerde collegiale toetsingen.
Na advies van het nationale CSIRT kan de Koning, bij een besluit vastgesteld na overleg in de Ministerraad, dit CSIRT bijkomende taken toevertrouwen.
§ 2. Bij de uitvoering van de in paragraaf 1 bedoelde taken kan het nationale CSIRT, op grond van een risicogebaseerde benadering, prioriteit geven aan bepaalde taken.
Art.20. De voorschriften voor het nationale CSIRT omvatten het volgende:
1° beschikken over een passende, veilige en weerbare communicatie- en informatie-infrastructuur waardoor informatie kan worden uitgewisseld met essentiële en belangrijke entiteiten en andere relevante belanghebbenden;
2° een hoge mate van beschikbaarheid van zijn communicatiekanalen garanderen door zwakke punten te voorkomen en te allen tijde te beschikken over diverse kanalen waarlangs ze gecontacteerd kunnen worden en contact met anderen kunnen opnemen; de communicatiekanalen duidelijk specificeren en meedelen aan de gebruikersgroep en de samenwerkingspartners;
3° beschikken over lokalen en informatiesystemen die zich op beveiligde locaties bevinden;
4° uitgerust zijn met een adequaat systeem voor het beheren en routeren van verzoeken met het oog op doeltreffende en efficiënte overdrachten;
5° de vertrouwelijkheid en betrouwbaarheid van zijn activiteiten waarborgen;
6° beschikken over voldoende personeel om te allen tijde de beschikbaarheid van zijn diensten te garanderen, en ervoor zorgen dat zijn personeel naar behoren wordt opgeleid;
7° uitgerust zijn met redundante systemen en reservewerkruimten om de continuïteit van zijn diensten te waarborgen.
Art.21. § 1. In het kader van de uitoefening van zijn bevoegdheden neemt het nationale CSIRT alle passende maatregelen om de in de artikel en 19 en 20 bepaalde doelstellingen te verwezenlijken. Deze maatregelen moeten evenredig zijn met die doelstellingen, en in overeenstemming met de beginselen van objectiviteit, transparantie en non-discriminatie.
§ 2. Indien dat strikt noodzakelijk is voor de uitvoering van zijn taken opgesomd in artikel 19, § 1, 1° tot 5°, kan het nationale CSIRT identificatiegegevens bedoeld in artikel 2, eerste lid, 5°, van de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector of elektronische-communicatiemetagegevens bedoeld in artikel 2, 93°, van de wet van 13 juni 2005 verkrijgen van een operator in de zin van artikel 2, 11°, van de voormelde wet van 13 juni 2005, die deze gegevens bewaart.
Zonder afbreuk te doen aan of zich in te mengen in de bevoegdheden van personen die de gerechtelijke politie uitoefenen en de gerechtelijke autoriteiten, worden met voornoemde taken de volgende doeleinden nagestreefd:
1° zonder strafrechtelijke finaliteit, het voorkomen, onderzoeken en opsporen van inbreuken die online of via een elektronische-communicatienetwerk of -dienst worden gepleegd, met inbegrip van zware criminele feiten;
2° het voorkomen van ernstige bedreigingen voor de openbare veiligheid;
3° het onderzoeken van beveiligingsproblemen bij elektronische-communicatienetwerken of -diensten of informatiesystemen.
Het nationale CSIRT kan bepalen binnen welke termijn de operator op zijn verzoek moet reageren, naargelang de dringendheid hiervan.
§ 3. Indien het nationale CSIRT een operator een verzoek om identificatiegegevens bedoeld in artikel 2, eerste lid, 5°, van de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector stuurt, wordt dat verzoek toegestaan door de hiërarchische meerdere.
§ 4. Indien het nationale CSIRT een operator een verzoek om elektronische-communicatiemetagegevens in de zin van artikel 2, 93°, van de wet van 13 juni 2005 die geen in paragraaf 3 bedoelde gegevens zijn, stuurt, wordt dat verzoek vooraf gecontroleerd door de gegevensbeschermingsautoriteit.
In dringende en naar behoren met redenen omklede gevallen kan het nationale CSIRT optreden zonder de voorafgaande controle bedoeld in het eerste lid, en de gegevens rechtstreeks opvragen. Dit verzoek wordt onverwijld naar de in het eerste lid bedoelde overheid gestuurd om een latere controle mogelijk te maken.
Indien de gegevensbeschermingsautoriteit, na de in het tweede lid bedoelde controle, weigert de geldigheid van het in het eerste lid bedoelde verzoek om elektronische-communicatiemetagegevens te bevestigen, stelt het nationale CSIRT de betrokken operator daarvan onverwijld in kennis en verwijdert het de ontvangen metagegevens.
§ 5. De directeur-generaal van het nationale CSIRT wijst uitdrukkelijk de personen aan die gemachtigd zijn om de in dit artikel bedoelde elektronische-communicatiegegevens te verwerken.
§ 6. Het nationale CSIRT brengt de betrokken natuurlijke personen voor zover mogelijk op de hoogte van de toegang tot hun elektronische-communicatiegegevens als de uitvoering van zijn taken of van een lopend onderzoek hierdoor niet meer in het gedrang kan komen en als deze personen kunnen worden geïdentificeerd.
§ 7. Onverminderd de artikel en 28quinquies, § 1, en 57, § 1, van het Wetboek van strafvordering mag het nationale CSIRT, om die doelstellingen te verwezenlijken, alle beschikbare gegevens bezitten, onthullen of verspreiden, of er enig gebruik van maken, zelfs als die gegevens voortkomen uit een ongerechtigde toegang tot een informaticasysteem door een derde.
§ 8. Het nationale CSIRT vervult zijn opdrachten met de nodige behoedzaamheid die verwacht mag worden van een overheid, waarbij er steeds bij voorrang voor wordt gezorgd dat de werking van het informaticasysteem niet wordt verstoord en alle redelijke voorzorgen worden genomen om te voorkomen dat het informaticasysteem materiële schade oploopt.
De directeur-generaal van het nationale CSIRT zorgt voor de naleving van de in dit artikel vermelde voorwaarden. Daartoe werkt hij interne procedures uit.
Art.22. § 1. In zijn rol van coördinator met het oog op een gecoördineerde bekendmaking van kwetsbaarheden treedt het nationale CSIRT op als betrouwbare tussenpersoon en vergemakkelijkt het, waar nodig, de interactie tussen de natuurlijke of rechtspersoon die een mogelijke kwetsbaarheid meldt enerzijds en de fabrikant of aanbieder van de mogelijk kwetsbare ICT-producten of -diensten anderzijds, op verzoek van een van beide partijen.
In dat kader omvatten de taken van het nationale CSIRT met name:
1° het identificeren van en contact opnemen met de betrokken entiteiten;
2° het bijstaan van de natuurlijke of rechtspersonen die een kwetsbaarheid melden; en
3° het onderhandelen over tijdschema's voor de bekendmaking, en het beheren van kwetsbaarheden die van invloed zijn op meerdere entiteiten.
§ 2. Iedere natuurlijke of rechtspersoon kan, zelfs desgevraagd anoniem, aan het nationale CSIRT het bestaan van een mogelijke kwetsbaarheid melden.
De melding gebeurt schriftelijk, volgens de procedure die op de website van het nationale CSIRT beschreven is.
Deze melding doet geen afbreuk aan de toepassing van de wet van 28 november 2022 betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de private sector of van wettelijke bepalingen betreffende de bescherming van melders van inbreuken op het Unie- of nationale recht vastgesteld binnen een juridische entiteit in de overheidssector.
§ 3. Het nationale CSIRT ziet erop toe dat de gemelde kwetsbaarheid zorgvuldig wordt opgevolgd en waarborgt de anonimiteit van de natuurlijke of rechtspersoon die de kwetsbaarheid meldt, voor zover deze persoon hierom verzoekt en de in artikel 23 bedoelde voorwaarden naleeft.
Het nationale CSIRT waarborgt de volledigheid, integriteit, duurzame opslag en geheimhouding van de informatie die via de melding wordt overgemaakt.
De toegang tot deze informatie wordt beperkt tot personen die daartoe door de directeur-generaal van het nationale CSIRT gemachtigd zijn, behalve indien het delen van deze informatie noodzakelijk is voor de uitvoering van de taken opgesomd in dit artikel .
§ 4. Met inachtneming van de voorwaarden opgesomd in artikel 21, § § 1 en 4, kan het nationale CSIRT de beveiliging van een netwerk- en informatiesysteem observeren, onderzoeken en testen om te bepalen of er sprake is van een mogelijke kwetsbaarheid of om de door de melder gebruikte methoden na te gaan.
§ 5. Wanneer een gemelde kwetsbaarheid significante gevolgen kan hebben voor entiteiten in meer dan één lidstaat, werkt het nationale CSIRT, in voorkomend geval, samen met andere als coördinator aangewezen CSIRT's binnen het CSIRT-netwerk.
§ 6. De directeur-generaal van het nationale CSIRT zorgt voor de naleving van de in dit artikel vermelde voorwaarden. Daartoe werkt hij interne procedures uit.
Art.23. § 1. In het kader van de procedure bedoeld in artikel 22 plegen melders geen inbreuk op de artikel en 314bis, 458, 550bis en 550ter van het Strafwetboek en op artikel 145 van de wet van 13 juni 2005, op voorwaarde dat:
1° zij zonder bedrieglijk opzet of het oogmerk om te schaden hebben gehandeld;
2° zij onverwijld en uiterlijk binnen vierentwintig uur na de ontdekking van een mogelijke kwetsbaarheid een vereenvoudigde kennisgeving met de identificatie van het betrokken systeem en een eenvoudige beschrijving van de mogelijke kwetsbaarheid hebben gestuurd naar de organisatie die verantwoordelijk is voor het systeem en naar het nationale CSIRT;
3° zij onverwijld en uiterlijk binnen tweeënzeventig uur na de ontdekking van een mogelijke kwetsbaarheid een volledige kennisgeving hebben gestuurd naar de organisatie die verantwoordelijk is voor het systeem, in voorkomend geval met inachtneming van de door deze organisatie vastgestelde meldingsmodaliteiten, en naar het nationale CSIRT, overeenkomstig de in artikel 22, § 2, bedoelde procedure;
4° zij niet verder zijn gegaan dan nodig en evenredig was om het bestaan van een kwetsbaarheid na te gaan en die te melden;
5° zij de informatie over de ontdekte kwetsbaarheid en de kwetsbare systemen niet openbaar hebben gemaakt zonder de toestemming van het nationale CSIRT;
6° zij, wat betreft de netwerken en systemen van de in artikel 5, § § 4 en 5, bedoelde organisaties en van de rechterlijke instanties, en de informatie die door hen of namens hen wordt verwerkt, vóór het plegen van die daden een schriftelijke overeenkomst hebben gesloten met de bevoegde dienst over de te hanteren modaliteiten en methodologie in het kader van het onderzoek naar mogelijke kwetsbaarheden.
§ 2. Personen die informatie melden over een mogelijke kwetsbaarheid waarvan zij in het kader van hun beroep kennis hebben gekregen, worden niet geacht hun beroepsgeheim te hebben geschonden en kunnen op generlei wijze aansprakelijk worden gesteld voor de overdracht van informatie die noodzakelijk was om een mogelijke kwetsbaarheid aan het nationale CSIRT te melden.
§ 3. Voor elke andere mogelijke aansprakelijkheid van melders die voortvloeit uit handelingen of nalatigheden die niet noodzakelijk zijn voor de uitvoering van de in artikel 22 bedoelde procedure en die niet voldoen aan de voorwaarden van paragraaf 1, blijft het toepasselijke recht gelden.
Afdeling 3. - De eventuele sectorale overheden
Art.24. Onverminderd de andere bepalingen kan de sectorale overheid:
1° sectorale oefeningen organiseren, coördineren of eraan deelnemen, voor wat betreft de maatregelen bedoeld in de artikel en 30 en 33;
2° de gevolgen van een incident voor de sector analyseren en beheren;
3° deelnemen aan de werkzaamheden van de samenwerkingsgroep voor de onderwerpen die betrekking hebben op haar bevoegdheden;
4° de entiteiten die onder haar sector vallen sensibiliseren.
HOOFDSTUK 2. - Samenwerking op nationaal niveau
Art.25. § 1. De autoriteiten bedoeld in hoofdstuk 1 van deze titel werken samen om de in deze wet vastgestelde verplichtingen na te komen.
§ 2. Naargelang de behoeften die nodig zijn voor de uitvoering van deze wet werken de in paragraaf 1 bedoelde autoriteiten op nationaal niveau ook samen met het NCCN, de administratieve diensten van de Staat, de administratieve overheden, met inbegrip van de nationale autoriteiten krachtens Verordening (EG) nr. 300/2008 en nr. 2018/1139, de toezichthoudende organen uit hoofde van Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, de Nationale Bank van België, de Autoriteit voor Financiële Diensten en Markten, het Instituut, de krachtens de wet van 1 juli 2011 bevoegde autoriteiten, de gerechtelijke overheden, de inlichtingen- en veiligheidsdiensten bedoeld in de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdiensten, de politiediensten bedoeld in de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus, en de gegevensbeschermingsautoriteiten.
§ 3. De essentiële en belangrijke entiteiten en de autoriteiten bedoeld in hoofdstuk 1 van deze titel werken te allen tijde samen door een adequate uitwisseling van informatie over de beveiliging van netwerk- en informatiesystemen.
§ 4. De in hoofdstuk 1 van deze titel bedoelde autoriteiten en de in het kader van de wet van 1 juli 2011 bevoegde autoriteiten werken samen en wisselen regelmatig informatie uit inzake het als kritiek aanmerken van infrastructuren, over risico's, cyberdreigingen en incidenten, alsook over niet-cyberrisico's, -dreigingen en -incidenten die gevolgen hebben voor exploitanten van infrastructuren die uit hoofde van de wet van 1 juli 2011 als kritieke infrastructuren zijn aangemerkt, en over de maatregelen die in reactie op dergelijke risico's, dreigingen en incidenten zijn genomen.
§ 5. De in hoofdstuk 1 van deze titel bedoelde autoriteiten en de autoriteiten die bevoegd zijn krachtens Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG, Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 en de wet van 13 juni 2005, wisselen regelmatig relevante informatie uit, onder meer met betrekking tot relevante incidenten en cyberdreigingen.
§ 6. De nationale cyberbeveiligingsautoriteit richt een coördinatie- en evaluatieplatform op dat de in artikel 15 bedoelde autoriteiten en het NCCN toelaat informatie uit te wisselen en hun optreden in het kader van de uitvoering van deze wet op elkaar af te stemmen.
HOOFDSTUK 3. - Vertrouwelijkheid en informatie-uitwisseling
Art.26. § 1. Dit artikel doet geen afbreuk aan de toepassing van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle, de wet van 11 april 1994 betreffende de openbaarheid van bestuur of andere wettelijke bepalingen die de vertrouwelijkheid van informatie met betrekking tot de wezenlijke belangen van de nationale openbare veiligheid waarborgen.
§ 2. Eenieder die beroepshalve zijn medewerking dient te verlenen aan de conformiteitsbeoordeling of het toezicht is tot geheimhouding verplicht. Diegene die dit geheim schendt, wordt gestraft met de straffen bepaald in artikel 458 van het Strafwetboek.
Personen die uit hoofde van hun staat of beroep kennis dragen van geheimen die hun zijn toevertrouwd, mogen deze geheimen bekendmaken voor de uitvoering van deze wet.
Deze personen verkrijgen het akkoord van de autoriteiten bedoeld in artikel 5, § 4, wanneer deze autoriteiten bij het geheim betrokken zijn.
§ 3. De autoriteiten bedoeld in hoofdstuk 1 van deze titel en de essentiële of belangrijke entiteiten, of hun onderaannemers, beperken de toegang tot de informatie in het kader van deze wet tot de personen die ervan op de hoogte moeten zijn en er toegang toe moeten hebben voor de uitoefening van hun functie of opdracht die verband houdt met de uitvoering van deze wet.
§ 4. De informatie die door essentiële of belangrijke entiteiten aan de autoriteiten bedoeld in hoofdstuk 1 van deze titel wordt bezorgd, mag worden uitgewisseld met autoriteiten van de Europese Unie, Belgische of buitenlandse autoriteiten, wanneer die uitwisseling noodzakelijk is voor de toepassing van wettelijke bepalingen.
De uitgewisselde informatie wordt beperkt tot hetgeen relevant is voor en evenredig is met het doel van die uitwisseling, met name overeenkomstig Verordening (EU) 2016/679. Bij die uitwisseling van informatie wordt de vertrouwelijkheid van de informatie gewaarborgd en worden de beveiligings- en commerciële belangen van essentiële of belangrijke entiteiten beschermd.
Art.27. § 1. Binnen het toepassingsgebied van deze wet vallende entiteiten en, indien van toepassing, andere entiteiten die niet binnen het toepassingsgebied van deze wet vallen, kunnen op vrijwillige basis onderling, binnen gemeenschappen, relevante informatie over cyberbeveiliging uitwisselen, met inbegrip van informatie over cyberdreigingen, bijna-incidenten, kwetsbaarheden, technieken en procedures, indicatoren voor aantasting, vijandige tactieken, dreigingsactorspecifieke informatie, cyberbeveiligingswaarschuwingen en aanbevelingen betreffende de configuratie van cyberbeveiligingsinstrumenten om cyberaanvallen te detecteren, wanneer dat uitwisselen van informatie:
1° beoogt incidenten te voorkomen, te detecteren, erop te reageren of ervan te herstellen of de gevolgen ervan te beperken;
2° het niveau van de cyberbeveiliging verhoogt, met name door de bewustwording met betrekking tot cyberdreigingen te vergroten, het vermogen van dergelijke dreigingen om zich te verspreiden te beperken of te belemmeren, een reeks verdedigingscapaciteiten, het herstel en openbaarmaking van kwetsbaarheden, het opsporen van dreigingen, beheersings- en preventietechnieken, beperkingsstrategieën of respons- en herstelfasen te ondersteunen of gezamenlijk onderzoek naar cyberdreigingen door publieke en private entiteiten te bevorderen.
§ 2. De informatie-uitwisseling bedoeld in paragraaf 1 wordt uitgevoerd door middel van informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging met betrekking tot de potentieel gevoelige aard van de uitgewisselde informatie.
§ 3. De nationale cyberbeveiligingsautoriteit faciliteert de vaststelling van de in paragraaf 2 bedoelde informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging. In dergelijke regelingen kunnen de operationele elementen, met inbegrip van het gebruik van specifieke ICT-platforms en automatiseringshulpmiddelen, de inhoud en de voorwaarden van de informatie-uitwisselingsregelingen worden gespecificeerd. De nationale cyberbeveiligingsautoriteit en de eventuele sectorale overheden kunnen voorwaarden opleggen aan het gebruik van de informatie die zij ter beschikking stellen van de gemeenschappen bedoeld in paragraaf 1.
§ 4. De essentiële en belangrijke entiteiten stellen de nationale cyberbeveiligingsautoriteit in kennis van hun deelname aan de in paragraaf 2 bedoelde informatie-uitwisselingsregelingen op het gebied van cyberbeveiliging wanneer zij dergelijke regelingen aangaan, of, indien van toepassing, van hun terugtrekking uit dergelijke regelingen, zodra de terugtrekking van kracht wordt.
HOOFDSTUK 4. - Nationale cyberbeveiligingsstrategie
Art.28. § 1. De in Raad vergaderde ministers keuren de nationale cyberbeveiligingsstrategie goed en werken deze minstens om de vijf jaar bij op basis van prestatie-indicatoren, na advies van de Nationale Veiligheidsraad, de in artikel 15 bedoelde autoriteiten, het NCCN en, in voorkomend geval, de gegevensbeschermingsautoriteiten.
Deze strategie bepaalt de strategische doelstellingen, de middelen die nodig zijn om die doelstellingen te behalen, en passende beleids- en regelgevingsmaatregelen, om een hoog niveau van cyberbeveiliging te bereiken en te handhaven.
§ 2. De nationale cyberbeveiligingsstrategie omvat onder meer:
1° de doelstellingen en prioriteiten van de nationale cyberbeveiligingsstrategie, met name inzake de in de bijlagen I en II bedoelde sectoren;
2° een governancekader om de in punt 1° bedoelde doelstellingen en prioriteiten te verwezenlijken, met inbegrip van de taken en verantwoordelijkheden van de overheid en de andere belanghebbenden alsook van het in paragraaf 3 bedoelde beleid;
3° een governancekader dat de taken en verantwoordelijkheden van de belanghebbenden in België verduidelijkt, ter onderbouwing van de samenwerking en coördinatie, in België, tussen de autoriteiten bedoeld in hoofdstuk 1 van deze titel, alsook van de samenwerking en coördinatie tussen die autoriteiten en uit hoofde van sectorspecifieke rechtsinstrumenten van de Europese Unie bevoegde autoriteiten;
4° een mechanisme om relevante activa vast te stellen en een beoordeling van de risico's in België;
5° een inventarisatie van de maatregelen om te zorgen voor paraatheid, respons en herstel bij incidenten, met inbegrip van samenwerking tussen de publieke en de private sector;
6° een lijst van de verschillende belanghebbenden en autoriteiten die betrokken zijn bij de uitvoering van de nationale cyberbeveiligingsstrategie;
7° een beleidskader voor versterkte coördinatie tussen de autoriteiten bedoeld in hoofdstuk 1 van deze titel en de uit hoofde van de wet van 1 juli 2011 bevoegde autoriteiten, met als doel het delen van informatie over risico's, cyberdreigingen en incidenten, alsook over niet-cyberrisico's, -dreigingen en -incidenten, en in voorkomend geval de uitoefening van toezichthoudende taken;
8° een plan, met inbegrip van de noodzakelijke maatregelen, om het algemene niveau van cyberbeveiligingsbewustzijn bij de burgers te verbeteren;
9° een overzicht van de onderwijs-, bewustmakings- en opleidingsprogramma's met betrekking tot de nationale cyberbeveiligingsstrategie;
10° een overzicht van de plannen voor onderzoek en ontwikkeling met betrekking tot de nationale cyberbeveiligingsstrategie.
§ 3. Er worden beleidsmaatregelen genomen die integraal deel uitmaken van de nationale cyberbeveiligingsstrategie:
1° inzake cyberbeveiliging in de toeleveringsketen voor ICT-producten en ICT-diensten die door entiteiten worden gebruikt voor het verlenen van hun diensten;
2° inzake het opnemen en specificeren van cyberbeveiligingsgerelateerde eisen voor ICT-producten en ICT-diensten bij overheidsopdrachten, onder meer met betrekking tot cyberbeveiligingscertificering, versleuteling en het gebruik van open-source-cyberbeveiligingsproducten;
3° voor het beheer van kwetsbaarheden, met inbegrip van de bevordering en vergemakkelijking van de gecoördineerde bekendmaking van kwetsbaarheden overeenkomstig artikel 22;
4° inzake het in stand houden van de algemene beschikbaarheid, integriteit en vertrouwelijkheid van de openbare kern van het open internet, in voorkomend geval met inbegrip van de cyberbeveiliging van onderzeese communicatiekabels;
5° voor het bevorderen van de ontwikkeling en integratie van relevante geavanceerde technologieën met het oog op de toepassing van geavanceerde risicobeheersmaatregelen op het gebied van cyberbeveiliging;
6° voor het bevorderen en ontwikkelen van onderwijs en opleiding op het gebied van cyberbeveiliging, cyberbeveiligingsvaardigheden, bewustmakings- en onderzoeks- en ontwikkelingsinitiatieven rond cyberbeveiliging, alsook van richtsnoeren voor goede praktijken en controles op het gebied van cyberhygiëne, gericht op burgers, belanghebbenden en entiteiten;
7° voor het ondersteunen van academische en onderzoeksinstellingen bij de ontwikkeling, versterking en bevordering van de uitrol van instrumenten voor cyberbeveiliging en een veilige netwerkinfrastructuur;
8° met inbegrip van relevante procedures en passende instrumenten voor het delen van informatie, ter ondersteuning van het vrijwillig delen van cyberbeveiligingsinformatie tussen entiteiten;
9° voor het versterken van de digitale weerbaarheid en het basisniveau van cyberhygiëne van kleine en middelgrote ondernemingen, met name die welke van het toepassingsgebied van deze wet zijn uitgesloten, door te voorzien in gemakkelijk toegankelijke richtsnoeren en bijstand voor hun specifieke behoeften;
10° voor het bevorderen van actieve cyberbescherming.
HOOFDSTUK 5. - Het nationale plan voor cyberbeveiligingsincidenten en cybercrisisrespons
Art.29. § 1. De Koning stelt, bij besluit vastgesteld na overleg in de Ministerraad, een nationaal plan voor cyberbeveiligingsincidenten en cybercrisisrespons op. Dit plan is een nationaal plan in de zin van artikel 9, § 2, van de wet van 15 mei 2007 betreffende de civiele veiligheid.
§ 2. Onverminderd de elementen die moeten worden opgenomen in de nationale plannen, bevat het nationale plan voor cyberbeveiligingsincidenten en cybercrisisrespons ten minste:
1° de doelstellingen van de nationale paraatheidsmaatregelen en -activiteiten;
2° de taken en verantwoordelijkheden van de cybercrisisbeheerautoriteiten;
3° de cybercrisisbeheerprocedures, met inbegrip van de integratie ervan in het algemene nationale crisisbeheerkader en in de informatie-uitwisselingskanalen;
4° de nationale paraatheidsmaatregelen, met inbegrip van oefeningen en opleidingsactiviteiten;
5° de relevante publieke en private belanghebbenden en betrokken infrastructuur;
6° de nationale procedures en regelingen tussen de betrokken nationale autoriteiten en instanties om de effectieve deelname van België aan het gecoördineerde beheer van cybercrises en cyberbeveiligingsincidenten op het niveau van de Europese Unie en de ondersteuning daarvan te waarborgen.
TITEL 3. - Maatregelen voor het beheer van cyberbeveiligingsrisico's en rapportageverplichtingen
HOOFDSTUK 1. - Maatregelen voor het beheer van cyberbeveiligingsrisico's
Art.30. § 1. De essentiële en belangrijke entiteiten nemen passende en evenredige technische, operationele en organisatorische maatregelen om de risico's voor de beveiliging van de netwerk- en informatiesystemen die zij voor hun activiteiten of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
§ 2. Rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten, zorgen de in paragraaf 1 bedoelde maatregelen voor een beveiligingsniveau van de netwerk- en informatiesystemen dat is afgestemd op de risico's die zich voordoen. Bij de beoordeling van de evenredigheid van die maatregelen wordt naar behoren rekening gehouden met de mate waarin de entiteit aan risico's is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.
§ 3. De in paragraaf 1 bedoelde maatregelen zijn gebaseerd op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen, en hebben ten minste betrekking op het volgende:
1° beleid inzake risicoanalyse en beveiliging van informatiesystemen;
2° incidentenbehandeling;
3° bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningenplannen en crisisbeheer;
4° de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
5° beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
6° beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico's te beoordelen;
7° basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
8° beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
9° beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
10° wanneer gepast, het gebruik van multifactorauthenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit;
11° een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden.
§ 4. Wanneer essentiële en belangrijke entiteiten nagaan welke maatregelen bedoeld in paragraaf 3, 4°, passend zijn, houden zij rekening met de specifieke kwetsbaarheden van elke rechtstreekse leverancier en dienstverlener en met de algemene kwaliteit van de producten en de cyberbeveiligingspraktijken van hun leveranciers en dienstverleners, met inbegrip van hun veilige ontwikkelingsprocedures.
Deze maatregelen moeten passend zijn in het licht van de resultaten van de op het niveau van de Europese Unie gecoördineerde beveiligingsrisicobeoordelingen van kritieke toeleveringsketens.
§ 5. Iedere essentiële en belangrijke entiteit voert een risicoanalyse uit gebaseerd op een benadering die alle gevaren omvat en tot doel heeft de netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen en werkt, op basis daarvan, een I.B.B. uit dat minstens de in paragraaf 3 bedoelde aspecten bevat.
§ 6. Een essentiële of belangrijke entiteit die vaststelt dat zij niet voldoet aan de in paragraaf 3 bedoelde maatregelen, neemt onverwijld alle noodzakelijke, passende en evenredige corrigerende maatregelen.
Art.31. § 1. De bestuursorganen van essentiële en belangrijke entiteiten keuren de maatregelen voor het beheer van cyberbeveiligingsrisico's goed die deze entiteiten nemen om te voldoen aan artikel 30, zien toe op de uitvoering ervan en zijn aansprakelijk voor inbreuken door deze entiteiten op dat artikel .
Dit artikel doet geen afbreuk aan de aansprakelijkheidsregels die gelden voor overheidsinstanties, alsook voor ambtenaren en verkozen of benoemde mandatarissen.
§ 2. De leden van de bestuursorganen van essentiële en belangrijke entiteiten volgen een opleiding zodat ze over voldoende kennis en vaardigheden beschikken om risico's te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen.
Art.32. De essentiële of belangrijke entiteit is verantwoordelijk voor de uitgevoerde risicoanalyse, alsook voor de keuze en uitvoering van de maatregelen bedoeld in artikel 30, § 1.
Art.33. Na raadpleging van de nationale cyberbeveiligingsautoriteit, de eventuele betrokken sectorale overheid en deelgebieden kan de Koning, bij besluit vastgesteld na overleg in de Ministerraad, passende en evenredige bijkomende maatregelen voor het beheer van cyberbeveiligingsrisico's opleggen.
HOOFDSTUK 2. - Melding van incidenten
Afdeling 1. - Verplichte melding
Art.34. § 1. De essentiële en belangrijke entiteiten melden elk significant incident onverwijld aan het nationale CSIRT, volgens de modaliteiten bepaald in een protocol gesloten tussen het nationale CSIRT en het NCCN. Deze entiteiten rapporteren onder meer alle informatie die het nationale CSIRT in staat stelt om eventuele grensoverschrijdende gevolgen van het incident te bepalen.
In voorkomend geval stellen de betrokken entiteiten de ontvangers van hun diensten onverwijld in kennis van significante incidenten die een nadelige invloed kunnen hebben op de verlening van de diensten betreffende de sectoren of deelsectoren van de bijlagen I en II.
Het nationale CSIRT bezorgt de in het eerste lid bedoelde meldingen onmiddellijk aan de eventuele bevoegde sectorale overheden. Meldingen van essentiële entiteiten worden ook doorgestuurd naar het NCCN.
§ 2. Indien van toepassing delen de betrokken entiteiten de ontvangers van hun diensten die mogelijkerwijs door een significante cyberdreiging worden getroffen, onverwijld mee welke maatregelen die ontvangers kunnen nemen in reactie op die dreiging. Indien nodig stellen de entiteiten die ontvangers ook in kennis van de significante cyberdreiging zelf.
§ 3. Na raadpleging van de nationale cyberbeveiligingsautoriteit, de sectorale overheden, het NCCN en de deelgebieden kan de Koning, bij besluit vastgesteld na overleg in de Ministerraad, precieze meldingsdrempels bepalen naargelang de impact of dringendheid van het incident.
§ 4. Een melding leidt niet tot blootstelling van de entiteit aan een verhoogde aansprakelijkheid.
Art.35. § 1. Voor de in artikel 34, § 1, eerste lid, bedoelde melding bezorgen de betrokken entiteiten het nationale CSIRT:
1° onverwijld en in elk geval binnen vierentwintig uur nadat zij kennis hebben gekregen van het significante incident, een vroegtijdige waarschuwing waarin, indien van toepassing, wordt aangegeven of het significante incident vermoedelijk door een onrechtmatige of kwaadwillige handeling is veroorzaakt, dan wel grensoverschrijdende gevolgen zou kunnen hebben;
2° onverwijld en in elk geval binnen tweeënzeventig uur nadat zij kennis hebben gekregen van het significante incident, een incidentmelding met, indien van toepassing, een update van de in 1° bedoelde informatie, een initiële beoordeling van het significante incident, met inbegrip van de ernst en de gevolgen ervan en, indien beschikbaar, de indicatoren voor aantasting;
3° op verzoek van het nationale CSIRT of van de eventuele betrokken sectorale overheid, een tussentijds verslag over relevante updates van de situatie;
4° uiterlijk één maand na de indiening van de in 2° bedoelde incidentmelding, een eindverslag waarin het volgende is opgenomen:
a) een gedetailleerde beschrijving van het incident, met inbegrip van de ernst en de gevolgen ervan;
b) het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;
c) toegepaste en lopende risicobeperkende maatregelen;
d) in voorkomend geval, de grensoverschrijdende gevolgen van het incident;
5° indien het incident nog aan de gang is op het moment dat het in 4° bedoelde eindverslag moet worden ingediend, dienen de betrokken entiteiten op dat moment een voortgangsverslag in, en binnen één maand nadat zij het incident definitief hebben afgehandeld, een eindverslag.
§ 2. In afwijking van paragraaf 1, 2°, meldt een verlener van vertrouwensdiensten significante incidenten die gevolgen hebben voor de verlening van zijn vertrouwensdiensten onverwijld, en in elk geval binnen vierentwintig uur nadat hij er kennis van heeft gekregen, aan het nationale CSIRT.
§ 3. Het nationale CSIRT bezorgt de in de paragrafen 1 en 2 bedoelde meldingen onmiddellijk aan de eventuele bevoegde sectorale overheden. Meldingen van essentiële entiteiten worden ook doorgestuurd naar het NCCN.
Art.36. § 1. Het nationale CSIRT verstrekt onverwijld en zo mogelijk binnen vierentwintig uur na ontvangst van de in artikel 35, § 1, 1°, bedoelde vroegtijdige waarschuwing een antwoord aan de meldende entiteit, met inbegrip van een eerste feedback over het significante incident en, op verzoek van de entiteit, richtsnoeren of operationeel advies voor de uitvoering van mogelijke risicobeperkende maatregelen.
§ 2. Het nationale CSIRT verleent aanvullende technische ondersteuning indien de betrokken entiteit daarom verzoekt. Wanneer wordt vermoed dat het significante incident van criminele aard is, geeft het nationale CSIRT ook richtsnoeren voor het melden van het significante incident aan de rechtshandhavingsinstanties.
Art.37. § 1. In voorkomend geval, en met name wanneer het significante incident betrekking heeft op twee of meer lidstaten, stelt het nationale CSIRT de andere getroffen lidstaten en Enisa onverwijld in kennis van het significante incident. Die informatie omvat het soort informatie dat overeenkomstig artikel 35 is ontvangen. Daarbij beschermt het nationale CSIRT, overeenkomstig het Unie- of het nationale recht, de beveiligings- en commerciële belangen van de entiteit, alsook de vertrouwelijkheid van de verstrekte informatie.
§ 2. Wanneer publieke bewustmaking nodig is om een significant incident te voorkomen of een lopend incident aan te pakken, of wanneer de bekendmaking van het significante incident anderszins in het algemeen belang is, kan het nationale CSIRT, na raadpleging van de betrokken entiteit, het NCCN, de eventuele betrokken sectorale overheid en de betrokken minister, het publiek over het significante incident informeren of van de entiteit verlangen dat zij dit doet.
§ 3. De nationale cyberbeveiligingsautoriteit stuurt, op verzoek van de eventuele betrokken sectorale overheid, de op grond van artikel 34, § 1, eerste lid, ontvangen meldingen door naar de centrale contactpunten van de andere betrokken lidstaten.
§ 4. De nationale cyberbeveiligingsautoriteit dient om de drie maanden bij Enisa een samenvattend verslag in met geanonimiseerde en geaggregeerde gegevens over significante incidenten, incidenten, cyberdreigingen en bijna-incidenten die overeenkomstig artikel 34, § 1, eerste lid, en artikel 38, § 1, zijn gemeld.
§ 5. Het nationale CSIRT verstrekt de uit hoofde van de wet van 1 juli 2011 bevoegde autoriteiten informatie over significante incidenten, incidenten, cyberdreigingen en bijna-incidenten die overeenkomstig artikel 34, § 1, eerste lid, en artikel 38, § 1, zijn gemeld door exploitanten van infrastructuren die uit hoofde van de wet van 1 juli 2011 als kritieke infrastructuren zijn geïdentificeerd.
Afdeling 2. - Vrijwillige melding
Art.38. § 1. Naast de in artikel 34 bedoelde meldingsverplichtingen kunnen vrijwillig aan het nationale CSIRT worden gemeld door:
1° essentiële en belangrijke entiteiten: incidenten, cyberdreigingen en bijna-incidenten;
2° andere dan in 1° bedoelde entiteiten, ongeacht of zij tot het toepassingsgebied van deze wet behoren: significante incidenten, cyberdreigingen en bijna-incidenten.
§ 2. De in paragraaf 1 bedoelde vrijwillige meldingen worden op dezelfde wijze verwerkt als de verplichte meldingen bedoeld in afdeling 1 van dit hoofdstuk.
Er kan evenwel voorrang worden gegeven aan de verwerking van verplichte meldingen boven die van vrijwillige meldingen.
Onverminderd het voorkomen, opsporen, onderzoeken en vervolgen van strafbare feiten, mag een vrijwillige melding er niet direct toe leiden dat een inspectie volgens artikel 44 wordt opgestart of dat er bijkomende verplichtingen worden opgelegd aan de meldende entiteit waaraan zij niet zou zijn onderworpen indien zij de melding niet had ingediend.
TITEL 4. - Toezicht en sancties
HOOFDSTUK 1. - Toezicht
Afdeling 1. - Regelmatige conformiteitsbeoordeling
Art.39. Essentiële entiteiten onderwerpen zich aan een regelmatige conformiteitsbeoordeling van de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico's bedoeld in artikel 30, op basis van de door de Koning bepaalde modaliteiten en referentiekaders:
1° ofwel opteren zij voor een in artikel 40 bedoelde regelmatige conformiteitsbeoordeling, op basis van een van de door de Koning bepaalde referentiekaders;
2° ofwel onderwerpen zij zich aan een inspectie door de nationale cyberbeveiligingsautoriteit, op basis van de door de Koning bepaalde nadere regels.
In afwijking van het eerste lid en op verzoek van de betrokken sectorale overheid worden de in het eerste lid, 2°, bedoelde inspecties gezamenlijk uitgevoerd, onder leiding van de nationale cyberbeveiligingsautoriteit of worden gedelegeerd aan de eventuele betrokken inspectiedienst mits akkoord van de nationale cyberbeveiligingsautoriteit.
Indien de Koning meerdere referentiekaders bepaalt, kiezen essentiële entiteiten aan welk referentiekader zij zich onderwerpen.
Art.40. § 1. De in artikel 39, eerste lid, 1°, bedoelde regelmatige conformiteitsbeoordeling wordt verricht door een conformiteitsbeoordelingsinstantie die erkend is door de nationale cyberbeveiligingsautoriteit volgens de door de Koning bepaalde voorwaarden.
Voor het toezicht op entiteiten die worden geïdentificeerd als exploitanten van een kritieke infrastructuur in de zin van de wet van 1 juli 2011 en overheidsinstanties beschikken de conformiteitsbeoordelingsinstantie en de natuurlijke personen die de conformiteit beoordelen over een veiligheidsmachtiging.
§ 2. De inspectiedienst van de nationale cyberbeveiligingsautoriteit kan op elk ogenblik nagaan of de conformiteitsbeoordelingsinstanties de in paragraaf 1 bedoelde erkenningsvoorwaarden naleven, overeenkomstig de bepalingen van dit hoofdstuk.
Art.41. Belangrijke entiteiten kunnen zich vrijwillig onderwerpen aan een regelmatige conformiteitsbeoordeling bedoeld in artikel 39, eerste lid, 1°, van de uitvoering van de maatregelen voor het beheer van cyberbeveiligingsrisico's bedoeld in artikel 30, § 3, op basis van de door de Koning bepaalde modaliteiten en referentiekaders.
Art.42. Essentiële en belangrijke entiteiten die zich aan een regelmatige conformiteitsbeoordeling bedoeld in artikel 39, eerste lid, 1°, onderwerpen, respectievelijk overeenkomstig artikel 39 en 41, worden tot bewijs van het tegendeel geacht de in artikel 30 bedoelde verplichtingen na te leven.
Art.43. Een lijst van de conformiteitsbeoordelingsinstanties die overeenkomstig artikel 40 erkend zijn door de nationale cyberbeveiligingsautoriteit, is beschikbaar bij laatstgenoemde autoriteit, die ze actueel houdt.
Afdeling 2. - Algemene bepalingen betreffende de inspectiedienst
Art.44. § 1. De inspectiedienst van de nationale cyberbeveiligingsautoriteit voert controles uit om na te gaan of de essentiële en belangrijke entiteiten de maatregelen voor het beheer van cyberbeveiligingsrisico's en de regels voor het melden van incidenten naleven.
In afwijking van het eerste lid en op verzoek van de betrokken sectorale overheid worden deze controles gezamenlijk uitgevoerd, onder leiding van de nationale cyberbeveiligingsautoriteit, of gedelegeerd aan de eventuele betrokken inspectiedienst mits akkoord van de nationale cyberbeveiligingsautoriteit.
De bevoegde sectorale overheid of sectorale inspectiedienst of, indien geen sectorale inspectiedienst is aangewezen door de wet of de Koning, de inspectiedienst van de nationale cyberbeveiligingsautoriteit kan controles uitvoeren om na te gaan of de essentiële en belangrijke entiteiten de bijkomende sectorale of deelsectorale maatregelen voor het beheer van cyberbeveiligingsrisico's bedoeld in artikel 33 naleven.
§ 2. Bij het formuleren van een verzoek om informatie of bewijzen vermelden de inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst het doeleinde van het verzoek, de precieze informatie of bewijzen die worden gevraagd en de termijn waarbinnen deze moeten worden verstrekt.
De inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst kunnen een beroep doen op experten.
§ 3. De inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele sectorale overheden en sectorale inspectiediensten kunnen prioriteit geven aan de in deze titel bedoelde toezichtstaken volgens een risicogebaseerde benadering.
§ 4. Bij de aanpak van incidenten die leiden tot inbreuken in verband met persoonsgegevens zoals gedefinieerd in artikel 4, punt 12), van Verordening (EU) 2016/679, werken de inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele sectorale overheden en sectorale inspectiediensten nauw samen met de gegevensbeschermingsautoriteiten, onverminderd de bevoegdheid en taken van deze laatsten.
Art.45. § 1. De inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst stellen de uit hoofde van de wet van 1 juli 2011 de bevoegde autoriteiten in kennis wanneer zij hun toezichts- en handhavingsbevoegdheden uitoefenen om ervoor te zorgen dat een exploitant van een infrastructuur die uit hoofde van de wet van 1 juli 2011 als kritieke infrastructuur wordt geïdentificeerd, voldoet aan deze wet. In voorkomend geval kunnen de uit hoofde van de wet van 1 juli 2011 bevoegde autoriteiten de inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst verzoeken hun toezichts- en handhavingsbevoegdheden uit te oefenen ten aanzien van een exploitant van een infrastructuur die is geïdentificeerd als kritieke infrastructuur uit hoofde van de wet van 1 juli 2011.
§ 2. De inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst werken samen met de relevante autoriteiten die bevoegd zijn uit hoofde van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011. De inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst stellen met name het oversightforum dat is opgericht op grond van artikel 32, lid 1, van bovengenoemde verordening in kennis wanneer zij hun toezichts- en handhavingsbevoegdheden uitoefenen om ervoor te zorgen dat een essentiële of belangrijke entiteit die op grond van artikel 31 van bovengenoemde verordening als kritieke derde aanbieder van ICT-diensten is aangewezen, voldoet aan deze wet.
Art.46. § 1. Wanneer de netwerk- en informatiesystemen van een entiteit zich buiten het Belgische grondgebied bevinden, kunnen de inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst, in overleg met de nationale cyberbeveiligingsautoriteit, de bevoegde toezichthoudende autoriteiten van andere lidstaten om samenwerking en bijstand verzoeken.
In het kader van het verzoek bedoeld in het eerste lid:
1° kunnen de inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst de bevoegde toezichthoudende autoriteiten van andere lidstaten verzoeken om toezichts- of handhavingsmaatregelen te nemen;
2° kunnen de inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst de bevoegde toezichthoudende autoriteiten van andere lidstaten op een met redenen omklede wijze om wederzijdse bijstand verzoeken, zodat de toezichts- of handhavingsmaatregelen op een effectieve, efficiënte en consistente wijze kunnen worden uitgevoerd.
De wederzijdse bijstand bedoeld in het tweede lid, 2°, kan betrekking hebben op verzoeken om informatie en toezichtsmaatregelen, met inbegrip van verzoeken om inspecties ter plaatse, toezicht elders of gerichte beveiligingsaudits uit te voeren.
§ 2. In verhouding tot hun middelen en voor zover dit binnen hun bevoegdheden valt, werken de inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst samen met de toezichthoudende autoriteiten bevoegd voor cyberbeveiliging van andere lidstaten en verlenen ze bijstand aan deze autoriteiten die daarom verzoeken, wanneer de netwerk- en informatiesystemen van de betrokken entiteit zich op Belgisch grondgebied bevinden.
In het kader van het verzoek bedoeld in het eerste lid:
1° centraliseert de nationale cyberbeveiligingsautoriteit de informatie en raadplegingen met betrekking tot de toezichts- en handhavingsmaatregelen die zijzelf of de eventuele bevoegde sectorale overheid of sectorale inspectiedienst heeft genomen, en deelt deze mee aan de toezichthoudende autoriteiten bevoegd voor cyberbeveiliging van andere lidstaten;
2° kan dit verzoek betrekking hebben op toezichts- of handhavingsmaatregelen;
3° kan dit verzoek, op een met redenen omklede wijze, betrekking hebben op wederzijdse bijstand, zodat de toezichts- of handhavingsmaatregelen op een effectieve, efficiënte en consistente wijze kunnen worden uitgevoerd.
De wederzijdse bijstand bedoeld in het tweede lid, 3°, kan betrekking hebben op verzoeken om informatie en toezichtsmaatregelen, met inbegrip van verzoeken om inspecties ter plaatse, toezicht elders of gerichte beveiligingsaudits uit te voeren.
De autoriteit waaraan een verzoek om bijstand is gericht, mag dat verzoek niet weigeren, tenzij wordt vastgesteld dat zij niet bevoegd is om de gevraagde bijstand te verlenen, de gevraagde bijstand niet in verhouding staat tot de toezichthoudende taken van deze autoriteit, of het verzoek betrekking heeft op informatie of activiteiten inhoudt die, indien ze openbaar zouden worden gemaakt of zouden worden uitgevoerd, in strijd zouden zijn met de wezenlijke belangen van de nationale veiligheid, de openbare veiligheid of de defensie van België. Alvorens een dergelijk verzoek af te wijzen, raadpleegt voornoemde autoriteit de andere betrokken bevoegde autoriteiten alsook, op verzoek van een van de betrokken lidstaten, de Europese Commissie en Enisa.
§ 3. De inspectiedienst van de nationale cyberbeveiligingsautoriteit en de eventuele bevoegde sectorale overheid of sectorale inspectiedienst kunnen in onderlinge overeenstemming gezamenlijke toezichtsacties uitvoeren, en dit onderling en/of met de bevoegde toezichthoudende autoriteiten van andere lidstaten.
§ 4. Dit artikel is niet van toepassing op diplomatieke en consulaire missies.
Art.47. § 1. De leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit en van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst beschikken over een legitimatiekaart waarvan het model door de Koning wordt bepaald.
§ 2. De leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit en van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst en de experten die deelnemen aan de inspectie, mogen geen enkel rechtstreeks of onrechtstreeks belang hebben in de ondernemingen of instellingen waarvoor zij met het toezicht belast zijn, waardoor hun objectiviteit in het gedrang zou kunnen komen. Zij leggen de eed af bij de leidend ambtenaar van hun dienst.
De autoriteiten bedoeld in artikel 44, § 1, nemen de nodige maatregelen om, bij de uitvoering van hun taken, de onafhankelijkheid van hun personeelsleden te garanderen en om belangenconflicten doeltreffend te voorkomen, te identificeren en op te lossen.
Het begrip "belangenconflict" heeft minstens betrekking op situaties waarin een personeelslid van de autoriteiten bedoeld in artikel 44, § 1, rechtstreeks of onrechtstreeks financiële, economische of andere persoonlijke belangen heeft die geacht kunnen worden zijn onpartijdigheid en onafhankelijkheid in het kader van zijn opdracht of functie in het gedrang te brengen.
§ 3. De personeelsleden van de autoriteiten bedoeld in artikel 44, § 1, krijgen noch vragen binnen de grenzen van hun bevoegdheden op directe of indirecte wijze instructies van derden.
Het is hen verboden aanwezig te zijn bij een beraadslaging of besluit over dossiers waarin zij een persoonlijk of rechtstreeks belang hebben of waarin hun bloed- of aanverwanten tot en met de derde graad een persoonlijk of rechtstreeks belang hebben.
De Koning kan ook andere situaties benoemen als belangenconflicten.
Afdeling 3. - Het door de inspectiedienst uitgeoefende toezicht op de entiteiten
Art.48. § 1. Onverminderd de bevoegdheden van de officieren van gerechtelijke politie bedoeld in artikel 8 van het Wetboek van strafvordering beschikken de beëdigde leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit en de beëdigde leden van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst bij de uitoefening van hun toezichtsopdracht over de volgende toezichtsbevoegdheden, en dit zowel in het kader van administratieve handelingen als in het kader van de vaststelling van inbreuken op deze wet:
1° toegang vragen tot alle documenten of informatie die nodig zijn voor de uitoefening van hun toezichtsopdracht en hiervan een kopie verkrijgen, met name de bewijzen van de uitvoering van het cyberbeveiligingsbeleid, zoals de resultaten van conformiteitsbeoordelingen en van beveiligingsaudits of de respectieve onderliggende bewijzen;
2° overgaan, ter plaatse of elders, tot elk onderzoek, elke controle en elk verhoor, met inbegrip van steekproefsgewijze controles die worden uitgevoerd door daartoe opgeleide professionals;
3° essentiële entiteiten onderwerpen aan regelmatige en gerichte beveiligingsaudits die worden uitgevoerd door een onafhankelijke instantie, gebaseerd op door de betrokken inspectiedienst of de gecontroleerde entiteit verrichte risicobeoordelingen of op andere beschikbare risicogerelateerde informatie;
4° alle informatie inwinnen die zij nodig achten voor de beoordeling van de door de betrokken entiteit genomen maatregelen voor het beheer van cyberbeveiligingsrisico's, met name betreffende het gedocumenteerde cyberbeveiligingsbeleid, de naleving van de verplichting om informatie in te dienen bij de nationale cyberbeveiligingsautoriteit of bij de eventuele sectorale overheid overeenkomstig titel 1 en de uitvoering van deze wet;
5° een ad-hocaudit uitvoeren, met name in gevallen waarin dat gerechtvaardigd is vanwege een significant incident of een inbreuk op deze wet;
6° beveiligingsscans uitvoeren op basis van objectieve, niet-discriminerende, eerlijke en transparante risicobeoordelingscriteria, indien nodig in samenwerking met de betrokken entiteit;
7° de identiteit opnemen van de personen die zich op de door de entiteit gebruikte plaatsen bevinden en van wie ze het verhoor nodig achten voor de uitoefening van hun opdracht. Daartoe kunnen ze van deze personen eisen dat ze officiële identificatiedocumenten voorleggen;
8° in voorkomend geval, de bijstand vragen van de federale of lokale politiediensten in het kader van het gebruik van geweld;
9° informatie inwinnen bij de personeelsleden bedoeld in artikel 9 van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle, voor de uitvoering van de bepalingen van deze wet;
10° zonder voorafgaande verwittiging, op vertoon van hun legitimatiekaart, alle door de entiteit gebruikte plaatsen betreden; zij hebben slechts toegang tot bewoonde lokalen mits vooraf een machtiging is uitgereikt door de onderzoeksrechter.
§ 2. In het kader van de inspectie van belangrijke entiteiten worden de toezichtsbevoegdheden bedoeld in paragraaf 1 achteraf ("ex post") uitgeoefend op basis van bewijzen, aanwijzingen of informatie waaruit blijkt dat een belangrijke entiteit deze wet niet naleeft.
§ 3. Om een machtiging tot betreding van bewoonde lokalen te bekomen, richten de leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit en van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst een met redenen omkleed verzoek aan de onderzoeksrechter. Dit verzoek bevat minstens de volgende gegevens:
1° de identificatie van de bewoonde ruimten waartoe zij toegang wensen te hebben;
2° de eventuele inbreuken die het voorwerp zijn van het toezicht;
3° alle documenten en inlichtingen waaruit blijkt dat het gebruik van dit middel nodig is.
De onderzoeksrechter beslist binnen een termijn van maximum achtenveertig uur na ontvangst van het verzoek. De beslissing van de onderzoeksrechter is met redenen omkleed. Bij gebrek aan een beslissing binnen de voorgeschreven termijn wordt het plaatsbezoek geacht te zijn geweigerd. De inspectiedienst van de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid of sectorale inspectiedienst kan beroep instellen tegen de weigeringsbeslissing of het gebrek aan een beslissing bij de kamer van inbeschuldigingstelling binnen vijftien dagen na de kennisgeving van de beslissing of het verstrijken van de termijn.
Bezoeken aan bewoonde lokalen zonder toestemming van de bewoner gebeuren tussen vijf en eenentwintig uur door minstens twee leden van de inspectiedienst die samen optreden.
§ 4. Bij het begin van elk verhoor wordt aan de ondervraagde persoon meegedeeld:
1° dat zijn verklaringen voor een rechtbank als bewijs kunnen worden gebruikt;
2° dat hij kan vragen dat alle vragen die hem worden gesteld en de antwoorden die hij geeft, worden genoteerd in de gebruikte bewoordingen;
3° dat hij het recht heeft om te zwijgen en niet bij te dragen tot zijn eigen beschuldiging.
Elke ondervraagde persoon mag de documenten in zijn bezit gebruiken, zonder dat daardoor het verhoor uitgesteld wordt. Hij mag tijdens het verhoor of later vragen om die documenten bij het verhoor te voegen.
Het verhoor vermeldt nauwkeurig het tijdstip waarop het wordt aangevat, eventueel onderbroken en hervat, alsook beëindigd. Het vermeldt de identiteit van de personen die tussenkomen tijdens het verhoor of een deel ervan.
Aan het einde van het verhoor heeft de ondervraagde persoon het recht om zijn verhoor te lezen of het te laten voorlezen. Hij mag zijn verklaringen laten verbeteren of er iets aan laten toevoegen.
De leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit en van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst die een persoon ondervragen, delen hem mee dat hij een kopie mag vragen van de tekst van zijn verhoor. Deze kopie wordt gratis verstrekt.
§ 5. De leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit en van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst mogen alle informatiedragers en de erin opgenomen gegevens raadplegen. Zij mogen zich ter plaatse het informaticasysteem en de erin opgenomen gegevens die zij nodig hebben voor hun onderzoeken en vaststellingen doen voorleggen en er kosteloos uittreksels, duplicaten of kopieën van nemen of vragen in een door hen gevraagde leesbare en verstaanbare vorm.
Indien het niet mogelijk is om ter plaatse kopieën te nemen, mogen de leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit en van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst, tegen een ontvangstbewijs dat een inventaris bevat, het informaticasysteem en de erin opgenomen gegevens in beslag nemen.
§ 6. Om de zoekactie in een informaticasysteem of een deel hiervan die op basis van paragraaf 5 werd opgestart uit te breiden naar een informaticasysteem of een deel hiervan dat zich op een andere plaats bevindt dan die van de zoekactie, kan de inspectiedienst van de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid of sectorale inspectiedienst een onderzoeksrechter vragen om op te treden.
§ 7. Wanneer de inspectiedienst van de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid of sectorale inspectiedienst er in het kader van het toezicht of de handhaving kennis van krijgen dat de inbreuk door een essentiële of belangrijke entiteit op de in de artikel en 30 en 34 tot 37 vastgestelde verplichtingen een inbreuk in verband met persoonsgegevens in de zin van artikel 4, punt 12, van Verordening (EU) 2016/679 kan inhouden, die op grond van artikel 33 van die verordening moet worden gemeld, stellen zij de gegevensbeschermingsautoriteiten daarvan onverwijld in kennis.
Wanneer de bevoegde gegevensbeschermingsautoriteit in een andere lidstaat dan België gevestigd is, stelt de inspectiedienst van de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid of sectorale inspectiedienst de in België gevestigde bevoegde gegevensbeschermingsautoriteit in kennis van de in het eerste lid bedoelde potentiële inbreuk in verband met persoonsgegevens.
§ 8. Bij de uitvoering van hun toezichtsbevoegdheden bedoeld in dit artikel zorgen de beëdigde leden van de autoriteiten bedoeld in artikel 44, § 1, ervoor dat de door hen gebruikte middelen passend en noodzakelijk zijn voor dit toezicht.
Art.49. § 1. Na elke inspectie stellen de leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit en van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst een verslag op en bezorgen ze daarvan een kopie aan de geïnspecteerde entiteit.
§ 2. De nationale cyberbeveiligingsautoriteit en de eventuele sectorale overheid wisselen hun inspectieverslagen uit.
Art.50. § 1. De entiteit waarop toezicht wordt uitgeoefend, verleent haar volledige medewerking aan de leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit of van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst bij de uitoefening van hun functie en met name om deze zo goed mogelijk te informeren over alle bestaande beveiligingsmaatregelen.
Indien nodig stelt de entiteit het nodige materiaal ter beschikking van de leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit of van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst, opdat ze de veiligheidsvoorschriften naleven tijdens de inspecties.
§ 2. De kosten van de inspecties zijn niet ten laste van de entiteiten.
In afwijking van het vorige lid kan de Koning, voor elke sector of deelsector, bij besluit vastgesteld na overleg in de Ministerraad en na advies van de nationale cyberbeveiligingsautoriteit en van de eventuele betrokken sectorale overheid, retributies bepalen voor de inspectieprestaties. De Koning bepaalt de berekenings- en betalingsregels.
§ 3. Het feit dat iemand de uitvoering van een controle door de leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit of van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst opzettelijk verhindert of belemmert, de informatie die hem gevraagd wordt naar aanleiding van deze controle weigert mee te delen, of bewust foutieve of onvolledige informatie verstrekt, wordt opgetekend in een proces-verbaal door de beëdigde leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit of van de eventuele bevoegde sectorale overheid of sectorale inspectiedienst.
HOOFDSTUK 2. - De administratieve maatregelen en geldboetes
Afdeling 1. - Procedure
Art.51. § 1. Wanneer een of meer inbreuken op de eisen van deze wet, de uitvoeringsbesluiten ervan of de eraan verbonden individuele administratieve beslissingen worden vastgesteld, kunnen de feiten opgetekend worden in een proces-verbaal door de beëdigde leden van de inspectiedienst van de nationale cyberbeveiligingsautoriteit, van de eventuele sectorale inspectiedienst of van de eventuele betrokken sectorale overheid, overeenkomstig artikel 44, § 1.
Mits de nationale cyberbeveiligingsautoriteit akkoord gaat, kan de sectorale overheid administratieve maatregelen en geldboetes als bedoeld in afdeling 2 opleggen aan een entiteit.
De nationale cyberbeveiligingsautoriteit informeert de betrokken sectorale overheid wanneer zij overweegt om administratieve maatregelen en geldboetes als bedoeld in de artikel en 58 en 59 op te leggen aan een entiteit.
Wanneer de autoriteiten bedoeld in het eerste en tweede lid er tijdens hun toezichtsopdracht kennis van krijgen dat een in het eerste of tweede lid bedoelde inbreuk door een essentiële of belangrijke entiteit een inbreuk in verband met persoonsgegevens zoals gedefinieerd in artikel 4, punt 12), van Verordening (EU) 2016/679 kan inhouden, die op grond van artikel 33 van die verordening moet worden gemeld, stellen zij de bevoegde gegevensbeschermingsautoriteiten daarvan onverwijld in kennis.
§ 2. Op basis van het in paragraaf 1 bedoelde proces-verbaal en, in voorkomend geval, van de relevante verslagen bedoeld in artikel 49, § 1, kan de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid een ontwerp van beslissing opstellen dat minstens de referenties van het proces-verbaal dat de inbreuk vaststelt en de feiten beschrijft die aanleiding hebben gegeven tot de procedure, en een of meer overwogen administratieve maatregelen of geldboetes als bedoeld in artikel 58 en/of 59 bevat, alsook de termijn waarbinnen de betrokken entiteit de administratieve maatregelen zou uitvoeren.
De in het eerste lid bedoelde termijn wordt bepaald rekening houdend met de werkingsomstandigheden van de entiteit en de te nemen maatregelen.
§ 3. De nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid verstuurt het in paragraaf 2 bedoelde ontwerp van beslissing naar de betrokken entiteit, met een gedetailleerde motivering voor de overwogen administratieve maatregelen en/of geldboetes, en laat haar weten dat zij het recht heeft om, binnen dertig dagen na ontvangst van deze informatie, haar verweermiddelen schriftelijk in te dienen of te vragen om te worden gehoord. De informatie wordt geacht te zijn ontvangen door de overtreder de zesde dag na de verzending van voormeld ontwerp van beslissing.
In afwijking van het eerste lid wordt het ontwerp van beslissing niet vooraf naar de betrokken entiteit gestuurd in naar behoren gemotiveerde uitzonderlijke gevallen waarin een onmiddellijk optreden om een incident te voorkomen of erop te reageren anders zou worden belemmerd.
§ 4. Nadat de betrokken entiteit haar verweermiddelen heeft kunnen aanvoeren, op het einde van de termijn bedoeld in paragraaf 3, eerste lid, of in het geval bedoeld in paragraaf 3, tweede lid, zal de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid het ontwerp van beslissing bedoeld in paragraaf 2, eerste lid, handhaven, wijzigen of ervan afzien, rekening houdend met de entiteitscategorie waartoe de betrokken entiteit behoort, de verweermiddelen van deze laatste en de in artikel 54 bedoelde elementen.
Art.52. § 1. Indien de op grond van artikel 58, 1° tot 4°, en 6°, genomen handhavingsmaatregelen ondoeltreffend zijn, kan de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid een termijn vaststellen waarbinnen een essentiële entiteit wordt verzocht de noodzakelijke maatregelen te nemen om de tekortkomingen te verhelpen of aan haar eisen te voldoen.
§ 2. Indien een essentiële entiteit geen gevolg geeft aan de maatregel(en) vermeld in de beslissing bedoeld in artikel 51, § 4, stelt de autoriteit die deze beslissing heeft genomen de feiten vast in een proces-verbaal.
§ 3. Op basis van het in paragraaf 2 bedoelde proces-verbaal stelt de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid een ontwerp van beslissing op dat minstens een of meer overwogen administratieve maatregelen of geldboetes bedoeld in de artikel en 59 en/of 60 bevat.
§ 4. De nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid verstuurt het in paragraaf 3 bedoelde ontwerp van beslissing naar de betrokken entiteit, met een gedetailleerde motivering voor de overwogen administratieve maatregelen en/of geldboetes, en laat haar weten dat zij het recht heeft om, binnen dertig dagen na ontvangst van deze informatie, haar verweermiddelen schriftelijk in te dienen of te vragen om te worden gehoord. De informatie wordt geacht te zijn ontvangen door de overtreder de zesde dag na de verzending van voormeld ontwerp van beslissing.
In afwijking van het eerste lid wordt het ontwerp van beslissing niet vooraf naar de betrokken entiteit gestuurd in naar behoren gemotiveerde uitzonderlijke gevallen waarin een onmiddellijk optreden om een incident te voorkomen of erop te reageren anders zou worden belemmerd.
§ 5. Nadat de betrokken entiteit haar verweermiddelen heeft kunnen aanvoeren, op het einde van de termijn bedoeld in paragraaf 4, eerste lid, of in het geval bedoeld in paragraaf 4, tweede lid, zal de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid het in paragraaf 3 bedoelde ontwerp van beslissing handhaven, wijzigen of ervan afzien, rekening houdend met de verweermiddelen van de betrokken entiteit en de in artikel 54 bedoelde elementen.
Art.53. De processen-verbaal van de beëdigde leden van de inspectiedienst hebben bewijskracht tot het tegendeel is bewezen.
Art.54. § 1. Bij het nemen van handhavingsmaatregelen in het kader van de in de artikel en 51 en 52 bedoelde procedures eerbiedigt de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid de rechten van de verdediging, houdt zij rekening met de omstandigheden van elk afzonderlijk geval en houdt zij ten minste naar behoren rekening met:
1° de in de artikel en 9 en 10 bedoelde categorie waartoe de betrokken entiteit behoort;
2° de ernst van de inbreuk en het belang van de geschonden bepalingen, waarbij onder meer het volgende in ieder geval een ernstige inbreuk vormt:
a) herhaalde inbreuken;
b) het niet melden of niet verhelpen van significante incidenten;
c) het niet verhelpen van tekortkomingen naar aanleiding van bindende aanwijzingen van de bevoegde autoriteiten;
d) het belemmeren van audits of monitoringsactiviteiten waartoe de inspectiedienst van de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid of sectorale inspectiedienst opdracht heeft gegeven naar aanleiding van de vaststelling van een inbreuk;
e) het verstrekken van valse of heel onnauwkeurige informatie met betrekking tot de maatregelen voor het beheer van cyberbeveiligingsrisico's of de in titel 3 bedoelde melding van incidenten;
3° de duur van de inbreuk;
4° eventuele relevante eerdere inbreuken door de betrokken entiteit;
5° elke veroorzaakte materiële of immateriële schade, met inbegrip van elke financiële of economische schade, gevolgen voor andere diensten en het aantal getroffen gebruikers;
6° opzet of nalatigheid van de pleger van de inbreuk;
7° door de entiteit genomen maatregelen om de materiële of immateriële schade te voorkomen of te beperken;
8° de naleving van goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen;
9° de mate waarin de aansprakelijk gestelde natuurlijke of rechtspersonen meewerken met de inspectiedienst van de nationale cyberbeveiligingsautoriteit of met de eventuele bevoegde sectorale overheid of sectorale inspectiedienst.
§ 2. Indien de gegevensbeschermingsautoriteiten een administratieve geldboete opleggen op grond van artikel 58, lid 2, punt i), van Verordening (EU) 2016/679, legt de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid geen administratieve geldboete op voor een inbreuk die voortvloeit uit dezelfde gedraging als die waarvoor een administratieve geldboete uit hoofde van artikel 58, lid 2, punt i), van die verordening is opgelegd.
Art.55. § 1. De in de artikel en 51 en 52 bedoelde beslissingen worden bij aangetekende zending ter kennis gebracht van de overtreder.
§ 2. De administratieve geldboetes die worden opgelegd door een in artikel 51 of 52 bedoelde beslissing, moeten worden betaald binnen de zestig dagen na ontvangst van de in paragraaf 1 bedoelde aangetekende zending.
Deze termijn kan verlengd worden in functie van het bedrag van de administratieve geldboete.
De in het eerste lid bedoelde termijn wordt geacht in te gaan uiterlijk zes dagen na de in paragraaf 1 bedoelde aangetekende zending.
§ 3. Wanneer een in artikel 51 of 52 bedoelde beslissing een andere administratieve maatregel dan een administratieve geldboete oplegt, vermeldt deze beslissing de termijn waarbinnen de maatregel moet worden uitgevoerd.
§ 4. De nationale cyberbeveiligingsautoriteit en, desgevallend, de eventuele sectorale overheid wisselen hun in artikel 51 of 52 bedoelde beslissing uit.
Art.56. § 1. Als de betrokken entiteit de administratieve geldboete niet betaalt binnen de gestelde termijn, is de beslissing om een administratieve geldboete op te leggen uitvoerbaar en kan de nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid een dwangbevel uitvaardigen.
Het dwangbevel wordt uitgevaardigd door een wettelijke vertegenwoordiger van de nationale cyberbeveiligingsautoriteit of van de eventuele bevoegde sectorale overheid of door een daartoe gemachtigd personeelslid.
§ 2. Het dwangbevel wordt aan de overtreder bij gerechtsdeurwaarderexploot betekend. De betekening bevat een bevel om te betalen binnen achtenveertig uur op straffe van tenuitvoerlegging door beslag, alsook een boekhoudkundige verantwoording van de gevorderde bedragen en een afschrift van de uitvoerbaarverklaring.
§ 3. De overtreder kan tegen het dwangbevel verzet aantekenen bij de beslagrechter.
Het verzet is, op straffe van nietigheid, met redenen omkleed. Het moet worden ingediend door middel van een dagvaarding van de nationale cyberbeveiligingsautoriteit of van de eventuele bevoegde sectorale overheid bij deurwaardersexploot binnen vijftien dagen te rekenen vanaf de betekening van het dwangbevel.
De bepalingen van hoofdstuk VIII van het eerste deel van het Gerechtelijk Wetboek zijn van toepassing op deze termijn, met inbegrip van de verlengingen bepaald in artikel 50, tweede lid, en artikel 55 van dit Wetboek.
De uitoefening van verzet tegen het dwangbevel schorst de tenuitvoerlegging hiervan, alsook de verjaring van de schuldvorderingen opgenomen in het dwangbevel, tot uitspraak is gedaan over de gegrondheid ervan. De reeds eerder gelegde beslagen behouden hun bewarend karakter.
§ 4. De nationale cyberbeveiligingsautoriteit of de eventuele bevoegde sectorale overheid mag bewarend beslag laten leggen en het dwangbevel uitvoeren met gebruikmaking van de middelen tot tenuitvoerlegging bepaald in het vijfde deel van het Gerechtelijk Wetboek.
De gedeeltelijke betalingen gedaan ingevolge de betekening van een dwangbevel verhinderen de voortzetting van de vervolging niet.
§ 5. De betekeningskosten van het dwangbevel evenals de kosten van tenuitvoerlegging of van bewarende maatregelen zijn ten laste van de overtreder.
Ze worden bepaald volgens de regels die gelden voor de akten van gerechtsdeurwaarders in burgerlijke zaken en handelszaken.
Art.57. De feiten zijn drie jaar na het plegen verjaard. De verjaring wordt alleen gestuit door onderzoekshandelingen of door de vervolging een inspectiedienst. Deze handelingen doen een nieuwe periode van gelijke duur lopen, zelfs ten aanzien van personen die niet betrokken zijn.
De administratieve maatregelen of geldboetes verjaren vijf jaar na de datum waarop ze ten uitvoer moeten worden gelegd. De verjaringstermijn wordt geschorst in geval van beroep tegen de administratieve beslissing.
Afdeling 2. - Administratieve maatregelen en geldboetes
Art.58. De volgende administratieve maatregelen kunnen aan entiteiten worden opgelegd op basis van artikel 51:
1° waarschuwingen geven over inbreuken door de betrokken entiteiten op deze wet;
2° bindende aanwijzingen vaststellen of een bevel uitvaardigen waarin de betrokken entiteiten worden verplicht de vastgestelde tekortkomingen of de inbreuken op deze wet te verhelpen;
3° de betrokken entiteiten gelasten een einde te maken aan gedragingen die inbreuk maken op deze wet en af te zien van herhaling van die gedragingen;
4° de betrokken entiteiten gelasten er op een gespecificeerde wijze en binnen een gespecificeerde termijn voor te zorgen dat hun maatregelen voor het beheer van cyberbeveiligingsrisico's in overeenstemming zijn met titel 3 of te voldoen aan de verplichtingen inzake het melden van incidenten bedoeld in dezelfde titel;
5° de betrokken entiteiten gelasten de natuurlijke of rechtspersonen aan wie zij diensten verlenen of voor wie zij activiteiten uitvoeren die mogelijkerwijs door een significante cyberdreiging worden beïnvloed, in kennis te stellen van de aard van de dreiging en van alle mogelijke beschermings- of herstelmaatregelen die deze natuurlijke of rechtspersonen kunnen nemen als reactie op die dreiging;
6° de betrokken entiteiten gelasten de naar aanleiding van een beveiligingsaudit gedane aanbevelingen binnen een redelijke termijn uit te voeren;
7° de betrokken entiteiten gelasten aspecten van inbreuken op deze wet op een bepaalde manier openbaar te maken;
8° wanneer de betrokken entiteit een essentiële entiteit is, een controlefunctionaris aanwijzen die gedurende een bepaalde periode duidelijk omschreven taken heeft om erop toe te zien dat de betrokken entiteiten voldoen aan de maatregelen voor het beheer van cyberbeveiligingsrisico's en inzake het melden van incidenten bedoeld in titel 3.
Wanneer de betrokken entiteit een essentiële entiteit is, omvatten de bindende aanwijzingen bedoeld in het eerste lid, 2°, ook de maatregelen die nodig zijn om een incident te voorkomen of te verhelpen, alsmede uiterste termijnen voor de uitvoering van dergelijke maatregelen en voor verslaggeving over de uitvoering ervan.
Art.59. De volgende administratieve geldboetes kunnen aan entiteiten worden opgelegd op basis van artikel 51 of 52:
1° eenieder die niet voldoet aan de in artikel 12 bedoelde rapportageverplichtingen wordt bestraft met een geldboete van 500 tot 125.000 euro;
2° een entiteit die een persoon die optreedt voor haar rekening nadelige gevolgen berokkent ingevolge de uitvoering, te goeder trouw en in het kader van zijn functie, van de verplichtingen die voortvloeien uit deze wet, wordt bestraft met een geldboete van 500 tot 200.000 euro;
3° onverminderd artikel 48, § 4, eerste lid, 3°, eenieder die niet voldoet aan de in deze titel bedoelde toezichtverplichtingen wordt bestraft met een geldboete van 500 tot 200.000 euro;
4° een belangrijke entiteit die niet voldoet aan de verplichtingen betreffende de maatregelen voor het beheer van cyberbeveiligingsrisico's en/of aan de rapportageverplichtingen bedoeld in titel 3, wordt bestraft met een geldboete van 500 tot 7.000.000 euro of van 1,4 procent van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag het hoogst is;
5° een essentiële entiteit die niet voldoet aan de verplichtingen betreffende de maatregelen voor het beheer van cyberbeveiligingsrisico's en/of aan de rapportageverplichtingen bedoeld in titel 3, wordt bestraft met een geldboete van 500 tot 10.000.000 euro of van 2 procent van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag het hoogst is.
De administratieve geldboete wordt verdubbeld in geval van herhaling van dezelfde feiten binnen een termijn van drie jaar.
De samenloop van meerdere inbreuken kan aanleiding geven tot één enkele administratieve geldboete die in verhouding staat tot de ernst van het geheel van de feiten.
Art.60. Indien de gevraagde maatregelen niet binnen de gestelde termijn worden ondernomen, kunnen aan essentiële entiteiten op grond van artikel 52 de volgende administratieve maatregelen worden opgelegd:
1° de nationale cyberbeveiligingsautoriteit verzoeken een certificering of vergunning tijdelijk op te schorten met betrekking tot alle of een deel van de relevante door de betrokken entiteit verleende diensten of verrichte activiteiten;
2° een natuurlijke persoon met leidinggevende verantwoordelijkheden op het niveau van de algemeen directeur of de wettelijke vertegenwoordiger in de betrokken entiteit tijdelijk verbieden leidinggevende functies in die entiteit uit te oefenen.
De in het eerste lid bedoelde tijdelijke opschortingen of verboden worden slechts toegepast tot de betrokken entiteit de maatregelen heeft genomen die nodig zijn om de tekortkomingen te verhelpen of te voldoen aan de vereisten van de bevoegde autoriteit die deze handhavingsmaatregelen heeft opgelegd.
Art.61. Elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële of een belangrijke entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, heeft de bevoegdheid om ervoor te zorgen dat deze entiteit deze wet nakomt. Deze personen zijn aansprakelijk voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze wet.
Dit artikel doet geen afbreuk aan de aansprakelijkheidsregels die gelden voor overheidsinstanties, alsook voor ambtenaren en verkozen of benoemde overheidsfunctionarissen.
TITEL 5. - Specifieke bepalingen voor de overheidssector
Art.62. De administratieve maatregelen en geldboetes bedoeld in de artikel en 59 en 60 zijn niet van toepassing op entiteiten die deel uitmaken van de overheidssector.
Art.63. § 1. De Koning wordt gemachtigd een autoriteit aan te wijzen als conformiteitsbeoordelingsinstantie voor alle of een deel van de overheidsinstanties.
§ 2. De in paragraaf 1 bedoelde autoriteit wordt erkend door de nationale cyberbeveiligingsautoriteit, volgens de door de Koning bepaalde modaliteiten, om de in artikel 39, eerste lid, 1°, bedoelde regelmatige conformiteitsbeoordeling uit te voeren.
De in het eerste lid bedoelde erkenning heeft betrekking op een of meer van de in artikel 39 bedoelde referentiekaders.
Art.64. De inspectiedienst van de nationale cyberbeveiligingsautoriteit of, in voorkomend geval, de sectorale inspectiedienst die door de Koning is aangewezen voor de overheidssector, is bij de uitvoering van zijn toezichthoudende taken operationeel onafhankelijk van de overheidsinstanties waarop hij toezicht houdt.
Art.65. Artikel 47 is van toepassing op de inspectiedienst bedoeld in artikel 64.
TITEL 6. - Verwerking van persoonsgegevens
HOOFDSTUK 1. - Beginselen betreffende de verwerking
Art.66. De definities van Verordening (EU) 2016/679 zijn van toepassing op deze titel.
Art.67. De verwerking van persoonsgegevens vindt plaats voor de volgende doeleinden:
1° de verbetering van de cyberbeveiliging dankzij een betere bescherming van de netwerk- en informatiesystemen, een krachtiger preventie- en veiligheidsbeleid, de preventie van beveiligingsincidenten en de bescherming tegen cyberdreigingen;
2° de uitvoering van de taken van de nationale cyberbeveiligingsautoriteit, met name het identificeren van de entiteiten, het informeren en sensibiliseren van de gebruikers van informatie- en communicatiesystemen, het toekennen van subsidies, de internationale samenwerking tussen de nationale cyberbeveiligingsautoriteit, de bevoegde autoriteiten van andere lidstaten, internationale fora voor cyberbeveiliging, Enisa en de Europese Commissie;
3° het beheer van cybercrises en cyberbeveiligingsincidenten;
4° de uitvoering van de taken van het nationale CSIRT bedoeld in de volgende artikel en:
a) 19, § 1;
b) 21, § 2, tweede lid, 1° tot 3°;
c) 22, § § 2 tot 6;
d) 37, § § 1 tot 3 en § 5;
5° de samenwerking, met name de informatie-uitwisseling tussen de nationale cyberbeveiligingsautoriteit, de eventuele sectorale overheden, het NCCN en de autoriteiten die bevoegd zijn in het kader van de wet van 1 juli 2011, alsook de autoriteiten bedoeld in artikel 25, § 2, in het kader van de uitvoering van deze wet en de wet van 1 juli 2011;
6° de samenwerking tussen essentiële en belangrijke entiteiten en de autoriteiten bedoeld in titel 2, hoofdstuk 1;
7° het delen van informatie tussen de autoriteiten bedoeld in artikel 25, § 5;
8° de continuïteit van de dienstverlening door belangrijke of essentiële entiteiten;
9° het melden van incidenten en bijna-incidenten;
10° de controle van en het toezicht op essentiële en belangrijke entiteiten, alsook de voorbereiding, de organisatie, het beheer en de opvolging van administratieve maatregelen en geldboetes.
Art.68. De verwerkingsverantwoordelijken verwerken de volgende categorieën van persoonsgegevens:
1° voor het doeleinde bedoeld in artikel 67, 1°: de identificatie-, verbindings-, locatie- en elektronische- communicatiegegevens als bedoeld in artikel 2, 91°, van de wet van 13 juni 2005, van de personen die betrokken zijn bij de opdrachten rond de verbetering van de cyberbeveiliging, een krachtiger preventie- en veiligheidsbeleid, de preventie van beveiligingsincidenten en de bescherming tegen cyberdreigingen bedoeld in artikel 67, 1°;
2° voor het doeleinde bedoeld in artikel 67, 2°: de identificatie-, verbindings-, locatie- en elektronische- communicatiegegevens als bedoeld in artikel 2, 91°, van de wet van 13 juni 2005, van de personen die betrokken zijn bij de uitvoering van de taken van de nationale cyberbeveiligingsautoriteit;
3° voor het doeleinde bedoeld in artikel 67, 3°: de identificatie-, verbindings-, locatie- en elektronische- communicatiegegevens als bedoeld in artikel 2, 91°, van de wet van 13 juni 2005, van de personen die betrokken zijn bij cybercrises en cyberbeveiligingsincidenten;
4° voor het doeleinde bedoeld in artikel 67, 4°: de identificatie-, verbindings-, locatie-, elektronische- communicatiegegevens als bedoeld in artikel 2, 91°, van de wet van 13 juni 2005, en elektronische-communicatiemetagegevens als bedoeld in artikel 2, 93°, van voornoemde wet van 13 juni 2005, van de personen die betrokken zijn bij de uitvoering van de taken van het CSIRT;
5° voor het doeleinde bedoeld in artikel 67, 5°: de identificatiegegevens van de personen die betrokken zijn bij de samenwerking in het kader van de wet van 1 juli 2011;
6° voor het doeleinde bedoeld in artikel 67, 6°: de identificatiegegevens van de personen die betrokken zijn bij de samenwerking;
7° voor het doeleinde bedoeld in artikel 67, 7°: de identificatiegegevens van de personen die betrokken zijn bij het delen van informatie;
8° voor het doeleinde bedoeld in artikel 67, 8°: de identificatiegegevens van de personen die betrokken zijn bij het waarborgen van de continuïteit van de dienstverlening;
9° voor het doeleinde bedoeld in artikel 67, 9°: de identificatie-, verbindings-, locatie- en elektronische- communicatiegegevens als bedoeld in artikel 2, 91°, van de wet van 13 juni 2005, van de personen die betrokken zijn bij de melding;
10° voor het doeleinde bedoeld in artikel 67, 10°: de persoonsgegevens die nodig en relevant zijn voor de uitoefening van de controle-, toezichts- en sanctieopdrachten, van de personen die betrokken zijn bij deze controles, dit toezicht of deze sancties.
Art.69. De persoonsgegevens van de volgende categorieën van personen kunnen het voorwerp uitmaken van verwerkingen:
1° de personen die rechtstreeks deelnemen aan de opdrachten die krachtens titel 2 zijn toevertrouwd aan de nationale cyberbeveiligingsautoriteit;
2° de personen bedoeld in het kader van de verplichtingen voor essentiële en belangrijke entiteiten krachtens titel 3;
3° de personen die betrokken zijn bij een incident;
4° de personen die rechtstreeks betrokken zijn bij het toezicht, de controle en de sancties bedoeld in titel 4.
Art.70. De volgende entiteiten zijn verantwoordelijk voor de verwerkingen die zij uitvoeren voor de verwezenlijking van de doeleinden bedoeld in artikel 67:
1° de nationale cyberbeveiligingsautoriteit;
2° het NCCN;
3° de eventuele sectorale overheid;
4° de eventuele sectorale inspectiedienst;
5° de essentiële en belangrijke entiteiten;
6° de entiteiten die domeinnaamregistratiediensten verlenen;
7° de autoriteiten bedoeld in artikel 23, § 1, 6°.
HOOFDSTUK 2. - Bewaartermijn
Art.71. De verwerkingsverantwoordelijke bewaart de persoonsgegevens die verwerkt worden in het kader van de in deze wet bedoelde verwerkingen om de doeleinden bedoeld in artikel 67 te realiseren, onverminderd eventuele beroepsprocedures, gedurende vijf jaar na afloop van de laatste verwerking en maximaal gedurende tien jaar na de eerste verwerking.
HOOFDSTUK 3. - Beperking van de rechten van de betrokkenen
Art.72. § 1. Met toepassing van artikel 23.1, punten a) tot e) en h), van Verordening (EU) 2016/679 worden sommige verplichtingen en rechten van deze verordening beperkt of uitgesloten, overeenkomstig de bepalingen van dit hoofdstuk. Deze beperkingen of uitsluitingen mogen geen afbreuk doen aan de wezenlijke inhoud van de fundamentele rechten en vrijheden en moeten worden toegepast voor zover dit strikt noodzakelijk is voor het nagestreefde doel.
§ 2. De artikel en 12 tot 16, 18 en 19 van voornoemde verordening zijn niet van toepassing op verwerkingen van persoonsgegevens die worden verricht door een autoriteit bedoeld in artikel 15 voor het doeleinde bedoeld in artikel 67, 10°, voor zover de uitoefening van de in deze artikel en vastgelegde rechten nadelig zou zijn voor de controle, het toezicht of de voorbereidende werkzaamheden ervan.
§ 3. De vrijstelling geldt voor de categorieën van persoonsgegevens bedoeld in artikel 68, 10°. Deze vrijstelling geldt ook voor voorbereidende werkzaamheden of procedures met het oog op de eventuele toepassing van een administratieve sanctie.
§ 4. De vrijstelling geldt enkel voor de periode tijdens dewelke de betrokkene onderworpen is aan een controle, toezicht of de voorbereidende werkzaamheden ervan, voor zover de uitoefening van de rechten die het voorwerp uitmaken van de in dit artikel bedoelde afwijking nadelig zou zijn voor de controle, het toezicht of de voorbereidende werkzaamheden ervan. In ieder geval geldt ze slechts maximaal één jaar na aanvang van een controle, toezicht of de voorbereidende werkzaamheden ervan.
De duur van de voorbereidende werkzaamheden bedoeld in het eerste lid, tijdens dewelke de in paragraaf 2 bedoelde artikel en niet van toepassing zijn, is beperkt tot maximaal één jaar na ontvangst van een verzoek betreffende de toepassing van een van de in deze artikel en vastgelegde rechten.
§ 5. De verwerkingsverantwoordelijke die niet voldoet aan alle bepalingen van deze titel en met name van artikel 73, kan geen gebruik maken van de vrijstelling.
Art.73. § 1. De betrokken verwerkingsverantwoordelijke verleent de betrokkene toegang tot beperkte informatie over de verwerking van zijn persoonsgegevens, voor zover deze mededeling de verwezenlijking van de doelstellingen van deze wet niet in het gedrang brengt. Hierbij moet het voor de betrokkene onmogelijk zijn om na te gaan of hij al dan niet het voorwerp uitmaakt van een onderzoek, en kan hij in geen geval persoonsgegevens rechtzetten, wissen, beperken, meedelen, of aan derden overdragen, noch enige vorm van verwerking van voormelde gegevens die in het bovenvermelde kader noodzakelijk is, stopzetten.
§ 2. De maatregel betreffende de weigering of beperking van de rechten die zijn vastgelegd in de artikel en bedoeld in artikel 72, § 2, moet worden opgeheven:
1° voor maatregelen die gerechtvaardigd zijn door de verplichtingen inzake het melden van incidenten, bij het afsluiten van de verwerking van een incident door de autoriteiten bedoeld in de artikel en 34 en 38;
2° voor maatregelen die gerechtvaardigd zijn door de verplichtingen krachtens titel 4, bij het afsluiten van de controle, het toezicht of de voorbereidende werkzaamheden ervan door de inspectiedienst, alsook in de periode tijdens dewelke de eventuele sectorale overheid de stukken verwerkt die afkomstig zijn van de inspectiedienst met het oog op vervolging;
3° uiterlijk één jaar na ontvangst van het verzoek dat is ingediend overeenkomstig de artikel en bedoeld in artikel 72, § 2, behalve indien een controle of toezicht loopt.
§ 3. De betrokken verwerkingsverantwoordelijke heft de maatregel betreffende de weigering of beperking van de rechten die zijn vastgelegd in de artikel en bedoeld in artikel 72, § 2, ook op zodra deze maatregel niet meer nodig is voor het nakomen van een van de doeleinden bedoeld in artikel 67.
§ 4. In alle toepassingsgevallen van de paragrafen 2 en 3 informeert de functionaris voor gegevensbescherming de betrokkene of betrokkenen schriftelijk dat de maatregel betreffende de weigering of beperking is opgeheven.
HOOFDSTUK 4. - Beperkingen inzake de verplichte melding van inbreuken in verband met persoonsgegevens
Art.74. De betrokken verwerkingsverantwoordelijke is vrijgesteld van het meedelen van een inbreuk in verband met persoonsgegevens aan een of meer welbepaalde betrokkenen, in de zin van artikel 34 van Verordening EU 2016/679, mits toestemming van de nationale cyberbeveiligingsautoriteit, voor zover deze individuele kennisgeving de verwezenlijking van de doeleinden bedoeld in artikel 72, § 2, in het gedrang zou brengen.
TITEL 7. - Slotbepalingen
HOOFDSTUK 1. - Overgangsbepaling
Art.75. De Koning stelt de termijnen vast waarbinnen essentiële entiteiten hun eerste regelmatige conformiteitsbeoordelingen bedoeld in artikel 39 uitvoeren.
HOOFDSTUK 2. - Wijzigingsbepalingen
Afdeling 1. - Wijzigingen van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle
Art.76. In artikel 1 van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle, laatstelijk gewijzigd bij de wet van 7 februari 2024, worden de woorden "- "de wet van 7 april 2019": de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid;" vervangen door de woorden "- de NIS2-wet: de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid;".
Art.77. In hoofdstuk III, afdeling 1, van dezelfde wet wordt artikel 15ter, ingevoegd bij de wet van 7 april 2019, vervangen als volgt:
"Art. 15ter. Het Agentschap wordt aangewezen als sectorale inspectiedienst, in de zin van de NIS2-wet, voor de sector energie, wat betreft de bijkomende maatregelen voor het beheer van cyberbeveiligingsrisico's die van toepassing zijn op de elementen van een nucleaire installatie bestemd voor de industriële productie van elektriciteit die dienen voor de transmissie van elektriciteit.
De Koning bepaalt de praktische inspectiemodaliteiten, na advies van het Agentschap."
Afdeling 2. - Wijzigingen van de wet van 22 februari 1998 tot vaststelling van het organiek statuut van de Nationale Bank van België
Art.78. In artikel 36/1 van de wet van 22 februari 1998 tot vaststelling van het organiek statuut van de Nationale Bank van België, laatstelijk gewijzigd bij de wet van 20 december 2023, wordt de bepaling onder 28° vervangen als volgt:
"28° "de NIS2-wet": de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid;".
Art.79. In artikel 36/14 van dezelfde wet, laatstelijk gewijzigd bij de wet van 20 december 2023, worden de volgende wijzigingen aangebracht:
1° in paragraaf 1, 20°, worden de woorden "aan de autoriteit bedoeld in artikel 7, § 1, van de wet van 7 april 2019" vervangen door de woorden "aan de nationale cyberbeveiligingsautoriteit bedoeld in artikel 8, 45°, van de NIS2-wet";
2° in dezelfde paragraaf, 20° /1, worden de woorden "aan de autoriteit bedoeld in artikel 7, § 1, van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid - NIS-wet" vervangen door de woorden "aan de nationale cyberbeveiligingsautoriteit bedoeld in artikel 8, 45°, van de NIS2-wet en aan het nationaal CSIRT bedoeld in artikel 8, 46°, van dezelfde wet";
3° in dezelfde paragraaf, 24°, worden de woorden "aan de autoriteiten bedoeld in artikel 7 van de wet van 7 april 2019 voor de uitvoering van de bepalingen van de wet van 7 april 2019" vervangen door de woorden "aan de autoriteiten bedoeld in artikel 15 van de NIS2-wet voor de uitvoering van de bepalingen van de NIS2-wet".
Art.80. Artikel 36/47 van dezelfde wet, ingevoegd bij de wet van 7 april 2019, wordt vervangen als volgt:
"Art. 36/47. Voor de toepassing van de NIS2-wet wordt de Bank aangewezen als sectorale overheid en sectorale inspectiedienst voor de entiteiten van de sector financiën, met uitzondering van de exploitanten van een handelsplatform in de zin van artikel 3, 6°, van de wet van 21 november 2017 over de infrastructuren voor de markten voor financiële instrumenten en houdende omzetting van Richtlijn 2014/65/EU.
Wanneer zij dit nuttig acht, deelt de Bank zo snel mogelijk met de ECB relevante informatie over incidentmeldingen die zij ontvangt krachtens de NIS2-Wet of Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011."
Afdeling 3. - Wijziging van de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten
Art.81. In artikel 75, § 1, 15°, van de wet van 2 augustus 2002 betreffende het toezicht op de financiële sector en de financiële diensten, laatstelijk gewijzigd bij de wet van 20 juli 2020, worden de woorden "artikel 7 van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid" vervangen door de woorden "artikel 15 van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid".
Afdeling 4. - Wijzigingen van de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector
Art.82. In artikel 1/1 van de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector, vervangen bij de wet van 21 december 2021, wordt de bepaling onder 1° vervangen als volgt:
"1° Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148;".
Art.83. In artikel 14 van dezelfde wet, laatstelijk gewijzigd bij de wet van 17 december 2023, worden de volgende wijzigingen aangebracht:
1° in paragraaf 1, eerste lid, worden de woorden "wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid" vervangen door de woorden "wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid";
2° in dezelfde paragraaf, eerste lid, 3°, wordt de bepaling onder h), vervangen als volgt:
"h) de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, voor wat betreft de taken toegewezen aan de sectorale overheid en de sectorale inspectiedienst voor de sector digitale infrastructuur, met uitzondering van de verleners van vertrouwensdiensten in de zin van artikel 8, 24°, van dezelfde wet;";
3° in dezelfde paragraaf wordt het tweede lid vervangen als volgt:
"Voor de toepassing van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, wordt het Instituut aangewezen als sectorale overheid in de zin van artikel 8, 54°, van dezelfde wet en als sectorale inspectiedienst in de zin van artikel 44, § 1, tweede lid, van dezelfde wet voor de sector digitale infrastructuur, met uitzondering van de verleners van vertrouwensdiensten in de zin van artikel 8, 24°, van dezelfde wet, en voor de sector post- en koeriersdiensten."
Afdeling 5. - Wijzigingen van de wet van 13 juni 2005 betreffende de elektronische communicatie
Art.84. Artikel 1, tweede lid, van de wet van 13 juni 2005 betreffende de elektronische communicatie, laatstelijk gewijzigd bij de wet van 21 december 2021,wordt aangevuld met een bepaling onder 7°, luidende:
"7° Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148."
Art.85. In artikel 2 van dezelfde wet, laatstelijk gewijzigd bij de wet van 20 juli 2022, worden de volgende wijzigingen aangebracht:
1° de bepaling onder 48/1° wordt vervangen als volgt:
"48/1° "register voor topleveldomeinnamen": een entiteit waaraan een specifieke topleveldomeinnaam is gedelegeerd en die verantwoordelijk is voor het beheer van de topleveldomeinnaam, met inbegrip van de registratie van domeinnamen onder de topleveldomeinnaam en de technische exploitatie van de topleveldomeinnaam, met inbegrip van de exploitatie van de naamservers, het onderhoud van de databases en de verdeling van de zonebestanden van de topleveldomeinnaam over de naamservers, ongeacht of die activiteiten door de entiteit zelf worden uitgevoerd of worden uitbesteed, maar met uitzondering van situaties waarin topleveldomeinnamen uitsluitend voor eigen gebruik worden aangewend door een register;";
2° de bepaling onder 48/3° wordt ingevoegd, luidende:
"48/3° "entiteit die domeinnaamregistratiediensten aanbiedt": een registrator of een agent die namensregistrators optreedt, zoals een aanbieder van privacy- of proxy-registratiediensten of wederverkoper;";
3° de bepalingen onder 62/2° en 62/3° worden vervangen als volgt:
"62/2° "netwerk- en informatiesysteem":
a) een elektronische-communicatienetwerk bedoeld in de bepaling onder3°;
b) elk apparaat of elke groep van onderling verbonden of bij elkaar behorende apparaten, waarvan er een of meer, in uitvoering van een programma, digitale gegevens automatisch verwerken, met inbegrip van de digitale, elektronische of mechanische componenten van dat apparaat die met name de automatisering van het operationele proces, de controle op afstand of het verkrijgen van werkingsgegevens in real time mogelijk maken; of
c) digitale gegevens die worden opgeslagen, verwerkt, opgehaald of verzonden met behulp van de in de bepalingen onder a) en b) bedoelde elementen met het oog op de werking, het gebruik, de bescherming en het onderhoud ervan;
62/3° "beveiliging van netwerk- en informatiesystemen": het vermogen van netwerk- en informatiesystemen om op een bepaald niveau van betrouwbaarheid weerstand te bieden aan elke gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die door of via deze netwerk- en informatiesystemen worden aangeboden, in gevaar kan brengen;";
4° de bepalingen onder 62/4° tot 62/8° worden ingevoegd, luidende:
"62/4° "beveiligingsincident": een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt;
62/5° "cyberbeveiliging": cyberbeveiliging bedoeld in artikel 2, punt 1), van Verordening (EU) 2019/881 van het Europees Parlement en de Raad van 17 april 2019 inzake Enisa (het Agentschap van de Europese Unie voor cyberbeveiliging), en inzake de certificering van de cyberbeveiliging van informatie- en communicatietechnologie en tot intrekking van Verordening (EU) nr. 526/2013 (de cyberbeveiligingsverordening);
62/6° "incidentenbehandeling": alle acties en procedures die gericht zijn op het voorkomen, opsporen, analyseren en indammen van of het reageren op en het herstellen van een beveiligingsincident;
62/7° "cyberdreiging": een cyberdreiging als bedoeld in artikel 2, punt 8), van Verordening (EU) 2019/881;
62/8° "significante cyberdreiging": een cyberdreiging waarvan op basis van de technische kenmerken kan worden aangenomen dat zij ernstige gevolgen kan hebben voor de netwerk- en informatiesystemen van een entiteit of de gebruikers van de diensten van de entiteit door het veroorzaken van aanzienlijke materiële, lichamelijke of immateriële schade;";
5° het artikel wordt aangevuld met een bepaling onder 94°, luidende:
"94° "aanbieder van digitale infrastructuur": een entiteit die behoort tot de sector digitale infrastructuur, met uitzondering van de verleners van vertrouwensdiensten, in de zin van artikel 8, 24°, van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.".
Art.86. In artikel 6, 4°, van dezelfde wet, vervangen bij de wet van 21 december 2021, worden de woorden "netwerken en diensten" vervangen door de woorden "netwerk- en informatiesystemen".
Art.87. In artikel 105, § 2, 2°, van dezelfde wet, vervangen bij de wet van 17 februari 2022, worden de woorden "of als aanbieder van essentiële diensten in de zin van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid" opgeheven.
Art.88. In dezelfde wet wordt artikel 107/2, ingevoegd bij de wet van 21 december 2021, vervangen als volgt:
"Art. 107/2. § 1. Onverminderd de bepalingen van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid analyseren de aanbieders van digitale infrastructuur de risico's voor de beveiliging van hun netwerk- en informatiesystemen. Het Instituut kan de nadere regels van deze risicoanalyse vaststellen.
§ 2. Onverminderd Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, hierna te noemen de AVG, en de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, hierna te noemen de wet van 30 juli 2018, zorgen de operatoren ervoor dat in ieder geval:
1° wordt gewaarborgd dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens die ze verwerken;
2° opgeslagen of verzonden persoonsgegevens worden beschermd tegen onbedoelde of onwettige vernietiging, onbedoeld verlies of wijziging, en niet-toegestane of onwettige opslag, verwerking, toegang of vrijgave; en
3° een beveiligingsbeleid wordt ingevoerd met betrekking tot de verwerking van persoonsgegevens.
Het Instituut kan de door deze operatoren genomen maatregelen controleren en aanbevelingen formuleren over de beste praktijken betreffende het beveiligingspeil dat met deze maatregelen moet worden gehaald.
§ 3. De operatoren nemen alle noodzakelijke maatregelen, inclusief preventieve, om de beschikbaarheid van de spraakcommunicatiediensten en de internettoegangsdiensten zo volledig mogelijk te waarborgen in geval van uitzonderlijke netwerkuitval of in geval van overmacht.
Op voorstel van het Instituut of op eigen initiatief, en na advies van het Instituut, kan de Koning deze maatregelen preciseren.
§ 4. De operatoren bieden hun abonnees kosteloos, rekening houdend met de stand van de techniek, de gepaste beveiligde diensten aan die de eindgebruikers in staat stellen ongewenste elektronische communicatie in alle vormen te verhinderen.".
Art.89. In dezelfde wet wordt artikel 107/3, ingevoegd bij de wet van 21 december 2021, vervangen als volgt:
"Art. 107/3. § 1. In geval van een significante cyberdreiging informeert de aanbieder van digitale infrastructuur het Instituut over de dreiging, over mogelijke beschermingsmaatregelen of oplossingen die de gebruikers kunnen toepassen, alsook over de maatregelen die hij heeft genomen of overweegt te nemen.
Het Instituut kan de gevallen preciseren waarin informatie moet worden verstrekt alsook de nadere regels voor die kennisgeving.
§ 2. In geval van inbreuk in verband met persoonsgegevens verwittigt de operator van elektronische-communicatiediensten onverwijld de Gegevensbeschermingsautoriteit, die onverwijld het Instituut verwittigt.
Indien de inbreuk in verband met persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor de persoonsgegevens of persoonlijke levenssfeer van een abonnee of een individueel persoon, stelt de operator van elektronische-communicatiediensten onverwijld ook de betrokken abonnee of individuele persoon in kennis van de inbreuk.
De Gegevensbeschermingsautoriteit gaat na of de operator deze verplichting nakomt en brengt het Instituut op de hoogte wanneer ze van oordeel is dat dit niet het geval is.
De kennisgeving van een inbreuk in verband met persoonsgegevens aan een betrokken abonnee of individuele persoon is niet vereist wanneer de operator van elektronische-communicatiediensten tot voldoening van het Instituut heeft aangetoond dat hij de gepaste technologische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de data die bij de beveiligingsinbreuk betrokken waren. Dergelijke technologische beschermingsmaatregelen maken de gegevens onbegrijpelijk voor eenieder die geen recht op toegang daartoe heeft.
Onverminderd de verplichting van de operator van elektronische-communicatiediensten om de betrokken abonnees en individuele personen in kennis te stellen, indien deze operator de abonnee of individuele persoon niet reeds in kennis heeft gesteld van de inbreuk in verband met persoonsgegevens, kan het Instituut op verzoek van de Gegevensbeschermingsautoriteit hem, na te hebben bezien of en welke ongunstige gevolgen uit de inbreuk voortvloeien, verzoeken dat te doen.
In de kennisgeving aan de abonnee of de individuele persoon worden ten minste de aard van de inbreuk in verband met persoonsgegevens, alsmede de contactpunten voor meer informatie vermeld, en worden er maatregelen aanbevolen om mogelijke negatieve gevolgen van de inbreuk in verband met persoonsgegevens te verlichten.
De kennisgeving aan de Gegevensbeschermingsautoriteit bevat bovendien een omschrijving van de gevolgen van de inbreuk in verband met persoonsgegevens en van de door de operator van elektronische-communicatiediensten voorgestelde of getroffen maatregelen om die inbreuk te verhelpen.
§ 3. Onder voorbehoud van technische uitvoeringsmaatregelen van de Europese Commissie overeenkomstig artikel 4, punt 5, van Richtlijn 2002/58/EG, en na advies van de Gegevensbeschermingsautoriteit, kan het Instituut richtsnoeren aannemen en, waar nodig, instructies uitvaardigen betreffende de omstandigheden waarin de kennisgeving van de inbreuk in verband met persoonsgegevens door de operatoren van elektronische-communicatiediensten noodzakelijk is.
Onder voorbehoud van technische uitvoeringsmaatregelen van de Europese Commissie overeenkomstig artikel 4, punt 5, van Richtlijn 2002/58/EG, en na advies van het Instituut, kan de Gegevensbeschermingsautoriteit richtsnoeren aannemen en, waar nodig, instructies uitvaardigen betreffende het voor deze kennisgeving toepasselijke formaat, alsmede de manier waarop de kennisgeving geschiedt.
De operatoren van elektronische-communicatiediensten houden een inventaris bij van inbreuken in verband met persoonsgegevens, onder meer met de feiten in verband met deze inbreuken, de gevolgen ervan en de herstelmaatregelen die zijn genomen, zodat de Gegevensbeschermingsautoriteit en het Instituut kunnen nagaan of de bepalingen van paragraaf 2 werden nageleefd. Deze inventaris bevat uitsluitend de voor dit doel noodzakelijke gegevens.".
Art.90. In dezelfde wet wordt artikel 107/4, ingevoegd bij de wet van 21 december 2021, vervangen als volgt:
"Art. 107/4. § 1. Dit artikel is van toepassing, onverminderd de bepalingen van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, met name voor wat betreft de toezichtsbevoegdheden verleend aan de sectorale overheid of de sectorale inspectiedienst.
§ 2. Het Instituut kan een aanbieder van digitale infrastructuur bindende instructies geven in het kader van de artikel en 107/2 en 107/3 en van de artikel en 30 en 33 van de bovengenoemde wet van 26 april 2024, onder meer de maatregelen die nodig zijn om een beveiligingsincident op te lossen of te voorkomen wanneer een significante dreiging is vastgesteld, alsook het tijdschema voor de uitvoering van die instructies.
§ 3. In het kader van het toezicht op de artikel en 107/2 en 107/3 en op de artikel en 30 en 33 van de wet van 26 april 2024 tot vaststelling van een kader voor de cyber- beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, kan het Instituut de aanbieder van digitale infrastructuur onderwerpen aan:
a) inspecties ter plaatse en toezicht elders, met inbegrip van steekproefsgewijze controles, die worden uitgevoerd door daartoe opgeleide professionals;
b) regelmatige en gerichte beveiligingsaudits die worden uitgevoerd door het Instituut of door een onafhankelijke instantie;
c) ad-hocaudits;
d) beveiligingsscans op basis van objectieve, niet-discriminerende, eerlijke en transparante risicobeoordelingscriteria, indien nodig in samenwerking met de betrokken aanbieder van digitale infrastructuur;
e) verzoeken om informatie die nodig is om de door de betrokken aanbieder van digitale infrastructuur genomen maatregelen voor het beheer van cyberbeveiligingsrisico's;
f) verzoeken van toegang tot alle gegevens, documenten en informatie die het Instituut nodig acht voor de uitoefening van zijn toezichthoudende taken;
g) verzoeken om bewijs van de uitvoering van het cyberbeveiligingsbeleid, zoals de resultaten van beveiligingsaudits die door een gekwalificeerde auditor zijn uitgevoerd en de respectieve onderliggende bewijzen.
De in het eerste lid, b), bedoelde gerichte beveiligingsaudits zijn gebaseerd op door het Instituut of de gecontroleerde entiteit verrichte risicobeoordelingen of op andere beschikbare risicogerelateerde informatie.
Wanneer de in het eerste lid, b), bedoelde beveiligingsaudit wordt uitgevoerd door een onafhankelijke instantie, dan stelt de aanbieder van digitale infrastructuur een of meer instanties ter goedkeuring aan het Instituut voor. Het Instituut geeft zijn akkoord wanneer de onafhankelijke instantie gekwalificeerd is om de audit uit te voeren en onafhankelijk is van de aanbieder van digitale infrastructuur. Bij uitblijven van een akkoord vanwege het Instituut binnen de termijn die het bij het verzoek heeft vastgesteld, wijst het Instituut zelf de onafhankelijk instantie aan. Deze laatste bezorgt aan het Instituut het volledige verslag en de resultaten van deze audit en de kosten van de audit zijn ten laste van de aanbieder van digitale infrastructuur, behalve in naar behoren met redenen omklede gevallen waarin het Instituut anders besluit.
Bij de uitoefening van zijn bevoegdheden uit hoofde van lid 1, e), f) of g), vermeldt het Instituut het doel van het verzoek en de gevraagde informatie.
Het Instituut kan bepalen op welke wijze de aanbieder van digitale infrastructuur informatie over de risicoanalyse moet verstrekken.
Op verzoek van het Instituut neemt een aanbieder van digitale infrastructuur deel aan een oefening in verband met de beveiliging van de netwerk- en informatiesystemen of organiseert hij een dergelijke oefening.
Op verzoek van het Instituut en in het kader van het beheer van beveiligingsincidenten, deelt een aanbieder van digitale infrastructuur het Instituut een contactpersoon mee die steeds bereikbaar is.
§ 4. Op verzoek van het Instituut en om een onderzoek in te stellen naar een geval van niet-conformiteit met de artikel en 30 en 33 van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, of met een uitvoeringsmaatregel, alsook naar de gevolgen ervan voor de beveiliging van netwerk- en informatiesystemen, geeft de aanbieder van digitale infrastructuur het Instituut toegang tot alle elementen van zijn netwerk.
§ 5. Onverminderd de bevoegdheden van de nationale cyberbeveiligingsautoriteit coördineert het Instituut de initiatieven rond de beveiliging van openbare elektronische-communicatienetwerken en openbare elektronische-communicatiediensten.
Het ziet toe op het opsporen, observeren en analyseren van beveiligingsproblemen, en kan de gebruikers hierover informatie verstrekken.
§ 6. Indien een aanbieder van digitale infrastructuur dit artikel of een op grond van dit artikel genomen beslissing van het Instituut niet naleeft, kunnen de in titel 4, hoofdstuk 2, van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid bedoelde administratieve maatregelen of geldboetes worden opgelegd.".
Art.91. In artikel 126/3, § 3, l), van dezelfde wet, ingevoegd bij de wet van 20 juli 2022, worden de woorden "essentiële diensten van aanbieders van essentiële diensten ondersteunen aangeduid op basis van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid" vervangen door de woorden "diensten van essentiële entiteiten in de zin van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid".
Art.92. In artikel 164/1 van dezelfde wet, ingevoegd bij de wet van 10 juli 2012, worden de volgende wijzigingen aangebracht:
1° de woorden "Internetdomeinnaamregistreerbureau van het topniveaudomein" worden vervangen door de woorden "register voor topleveldomeinnamen van het topleveldomein";
2° in de bepaling onder 4° wordt het woord "domeinnaamregistreerbureau" vervangen door de woorden "register voor topleveldomeinnamen";
3° in de bepaling onder 4° wordt het woord "Internet-domeinnaamregistreerbureau" vervagen door de woorden "register voor topleveldomeinnamen";
4° in de bepaling onder 5° wordt het woord "topniveaudomein" vervangen door het woord "topleveldomein".
Art.93. In artikel 164/2 van dezelfde wet worden de volgende wijzigingen aangebracht:
1° de woorden "Internetdomeinnaamregistreerbureau" worden vervangen door de woorden "register voor topleveldomeinnamen";
2° in de Nederlandse tekst wordt het woord "topniveaudomein" vervangen door het woord "topleveldomein".
Art.94. In titel VI, hoofdstuk III, van dezelfde wet, wordt een artikel 164/3 ingevoegd, luidende:
"Art. 164/3. § 1. Registers voor topleveldomeinnamen en entiteiten die domeinnaamregistratiediensten verlenen, verzamelen met de nodige zorgvuldigheid nauwkeurige en volledige domeinnaamregistratiegegevens en houden deze bij in een speciale database overeenkomstig het Unierecht inzake de bescherming van persoonsgegevens.
§ 2.De domeinregistratiegegevens bedoeld in het eerste lid bevatten de noodzakelijke informatie om de houders van de domeinnamen en de contactpunten die de domeinnamen onder de topleveldomeinnamen beheren, te identificeren en te contacteren. Die informatie omvat ten minste:
1° de domeinnaam;
2° de registratiedatum;
3° de naam van de houder van de domeinnaam, zijn e-mailadres en zijn telefoonnummer;
4° het e-mailadres en het telefoonnummer van het contactpunt dat de domeinnaam beheert, indien deze verschillen van die van de houder van de domeinnaam.
De Koning kan, na advies van het Instituut, aanbieders van privacy- of proxy-registratiediensten en wederverkopers gelasten de domeinnaamregistratiegegevens die ze hebben verzameld te delen met de registrators, en de modaliteiten daarvan bepalen.
De naleving van de in dit artikel bedoelde verplichtingen mag er niet toe leiden dat domeinnaamregistratiegegevens tweemaal worden verzameld bij de betrokkene. Daartoe werken de registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen, met elkaar samen.
De Koning kan, na advies van het Instituut, de modaliteiten van deze samenwerking preciseren.
§ 2. De registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen, beschikken over beleidslijnen en procedures, waaronder verificatieprocedures, om te garanderen dat de in paragraaf 1, eerste lid, bedoelde databases juiste en volledige informatie bevatten. Deze beleidslijnen en procedures worden openbaar gemaakt.
Wanneer de domeinnaamregistratiegegevens opgesomd in paragraaf 1, tweede lid, van een domeinnaam onjuist, onnauwkeurig of onvolledig zijn, blokkeren de registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen onmiddellijk het functioneren van deze domeinnaam tot de houder van de domeinnaam de registratiegegevens corrigeert zodat deze juist, nauwkeurig en volledig worden.
Indien de houder van de domeinnaam nalaat om dit te doen binnen de termijn zoals bepaald door het register voor topleveldomeinnamen of door de entiteit die domeinnaamregistratiediensten verleent, wordt de domeinnaam geannuleerd.
De transfer van een geblokkeerde domeinnaam naar een andere entiteit die domeinnaamregistratiediensten verleent, is verboden.
§ 3. De registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen, maken de domeinnaamregistratiegegevens die geen persoonsgegevens zijn, onverwijld openbaar na de registratie van een domeinnaam.
§ 4. Op een naar behoren met redenen omkleed verzoek, verschaffen de registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen, kosteloos, aan de legitieme toegangvragende partijen, de gegevens opgesomd in paragraaf 1, tweede lid, onverwijld en in elk geval binnen tweeënzeventig uur na ontvangst van het verzoek, of vierentwintig uur na ontvangst van het verzoek ingeval van hoogdringendheid.
Legitieme toegangvragende partijen omvatten elke natuurlijke of rechtspersoon die een verzoek indient voor het onderzoeken, vaststellen, uitoefenen of verdedigen van strafrechtelijke, burgerrechtelijke of andere bepalingen in het Unierecht of Belgisch recht.
Als legitieme toegangvragende partij worden beschouwd:
1° elke persoon in het kader van inbreuken op intellectuele eigendomsrechten of naburige rechten;
2° het Instituut;
3° het CCB;
4° het nationale CSIRT;
5° de politiediensten;
6° de gerechtelijke overheden;
7° de inlichtingen- en veiligheidsdiensten;
8° de FOD Economie;
9° de FOD Financiën.
De Koning kan, na advies van het Instituut, bijkomende legitieme toegangvragende partijen aan deze lijst toevoegen.
De registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen, stellen de verzoeker in staat om gemakkelijk zijn verzoek in te dienen.
Er is sprake van hoogdringendheid indien het gebruik van een domeinnaam kan leiden tot levensbedreigende situaties en/of onherstelbare schade.
Elke weigering van een naar behoren met redenen omkleed verzoek wordt met redenen omkleed.
Het beleid en de procedures met betrekking tot de bekendmaking van deze gegevens worden openbaar gemaakt.
De registers voor topleveldomeinnamen en de entiteiten die domeinnaamregistratiediensten verlenen, mogen de houder van een domeinnaam niet op de hoogte brengen wanneer een verzoek zoals bedoeld in het eerste lid werd ingediend.
§ 5. Het Instituut kan een register voor topleveldomeinnamen of een entiteit die domeinnaamregistratiediensten verleent bindende instructies geven met het oog op de naleving van dit artikel.
§ 6. Indien een register voor topleveldomeinnamen of een entiteit die domeinnaamregistratiediensten verleent dit artikel , een in uitvoering van dit artikel aangenomen koninklijk besluit of een bindende instructie van het Instituut niet naleeft, kan het Instituut de in hoofdstuk 2 van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid bedoelde administratieve maatregelen of geldboetes opleggen.".
Afdeling 6. - Wijzigingen van de wet van 21 november 2017 over de infrastructuren voor de markten voor financiële instrumenten en houdende omzetting van Richtlijn 2014/65/EU
Art.95. In artikel 71 van de wet van 21 november 2017 over de infrastructuren voor de markten voor financiële instrumenten en houdende omzetting van Richtlijn 2014/65/EU, gewijzigd bij de wet van 7 april 2019, worden de woorden "en van titel 2 van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid. Voor de uitvoering van de voormelde opdrachten betreffende de wet van 7 april 2019 kan de FSMA niettemin een gespecialiseerde externe dienstverlener belasten met de uitvoering van welbepaalde toezichtsopdrachten of de bijstand van een dergelijke dienstverlener verkrijgen" opgeheven.
Art.96. Artikel 79, § 4, van dezelfde wet, ingevoegd bij de wet van 7 april 2019, wordt opgeheven.
HOOFDSTUK 3. - Opheffingsbepaling
Art.97. De wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid wordt opgeheven.
HOOFDSTUK 4. - Inwerkingtreding
Art. 98. Deze wet treedt in werking op 18 oktober 2024.
Bijlage I bij de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid
| Sector | Deelsector | Soort entiteit |
| 1. Energie | a) Elektriciteit | - Elektriciteitsbedrijven zoals gedefinieerd in artikel 2, punt 57, van Richtlijn (EU) 2019/944 van het Europees Parlement en de Raad van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU, die de functie verrichten van "levering" zoals gedefinieerd in artikel 2, punt 12, van die richtlijn |
| - Distributiesysteembeheerders zoals gedefinieerd in artikel 2, punt 29, van Richtlijn (EU) 2019/944 van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU | ||
| - Transmissiesysteembeheerders zoals gedefinieerd in artikel 2, punt 35, van Richtlijn (EU) 2019/944 van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU | ||
| - Producenten zoals gedefinieerd in artikel 2, punt 38, van Richtlijn (EU) 2019/944 van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU | ||
| - Benoemde elektriciteitsmarktbeheerders zoals gedefinieerd in artikel 2, punt 8, van Verordening (EU) 2019/943 van het Europees Parlement en de Raad | ||
| - Marktdeelnemers zoals gedefinieerd in artikel 2, punt 25, van Verordening (EU) 2019/943 van het Europees Parlement en de Raad van 5 juni 2019 betreffende de interne markt voor elektriciteit, die aggregatie verrichten of vraagrespons- of energieopslagdiensten verstrekken zoals gedefinieerd in artikel 2, punten 18, 20 en 59, van Richtlijn (EU) 2019/944 van 5 juni 2019 betreffende gemeenschappelijke regels voor de interne markt voor elektriciteit en tot wijziging van Richtlijn 2012/27/EU | ||
| - Exploitanten van een laadpunt die verantwoordelijk zijn voor het beheer en de exploitatie van een laadpunt dat een laaddienst levert aan eindgebruikers, onder meer namens en voor rekening van een aanbieder van mobiliteitsdiensten | ||
| b) Stadsverwarming en -koeling | - Exploitanten van stadsverwarming of stadskoeling zoals gedefinieerd in artikel 2, punt 19, van Richtlijn (EU) 2018/2001 van het Europees Parlement en de Raad van 11 december 2018 ter bevordering van het gebruik van energie uit hernieuwbare bronnen | |
| c) Aardolie | - Exploitanten van oliepijpleidingen | |
| - Exploitanten van voorzieningen voor de productie, raffinage en behandeling van olie, opslag en transport | ||
| - Centrale entiteiten voor de voorraadvorming zoals gedefinieerd in artikel 2, punt f), van Richtlijn 2009/119/EG van de Raad van 14 september 2009 houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden | ||
| d) Aardgas | - Leveringsbedrijven zoals gedefinieerd in artikel 2, punt 8, van Richtlijn 2009/73/EG van het Europees Parlement en de Raad van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG | |
| - Distributiesysteembeheerders zoals gedefinieerd in artikel 2, punt 6, van Richtlijn 2009/73/EG van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG | ||
| - Transmissiesysteembeheerders zoals gedefinieerd in artikel 2, punt 4, van Richtlijn 2009/73/EG van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG | ||
| - Opslagsysteembeheerders zoals gedefinieerd in artikel 2, punt 10, van Richtlijn 2009/73/EG van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG | ||
| - LNG-systeembeheerders zoals gedefinieerd in artikel 2, punt 12, van Richtlijn 2009/73/EG van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG | ||
| - Aardgasbedrijven zoals gedefinieerd in artikel 2, punt 1, van Richtlijn 2009/73/EG van 13 juli 2009 betreffende gemeenschappelijke regels voor de interne markt voor aardgas en tot intrekking van Richtlijn 2003/55/EG | ||
| - Exploitanten van voorzieningen voor de raffinage en behandeling van aardgas | ||
| e) Waterstof | - Exploitanten van voorzieningen voor de productie, opslag en transmissie van waterstof | |
| 2. Vervoer | a) Lucht | - Luchtvaartmaatschappijen zoals gedefinieerd in artikel 3, punt 4, Verordening (EG) nr. 300/2008 van het Europees Parlement en de Raad van 11 maart 2008 inzake gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart en tot intrekking van Verordening (EG) nr. 2320/2002, die voor commerciële doeleinden worden gebruikt |
| - Luchthavenbeheerders zoals gedefinieerd in artikel 2, punt 2, van Richtlijn 2009/12/EG van het Europees Parlement en de Raad van 11 maart 2009 inzake luchthavengelden, luchthavens als bedoeld in artikel 2, punt 1, van die richtlijn, met inbegrip van de kernluchthavens die in bijlage II, afdeling 2, bij Verordening (EU) 1315/2013 van het Europees Parlement en de Raad van 11 december 2013 betreffende richtsnoeren van de Unie voor de ontwikkeling van het trans-Europees vervoersnetwerk en tot intrekking van Besluit nr. 661/2010/EU zijn opgenomen, alsook de entiteiten die bijbehorende installaties bedienen welke zich op luchthavens bevinden | ||
| - Exploitanten op het gebied van verkeersbeheer en -controle die luchtverkeersleidingsdiensten zoals gedefinieerd in artikel 2, punt 1, van Verordening (EG) nr. 549/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot vaststelling van het kader voor de totstandbrenging van het gemeenschappelCIke Europese luchtruim aanbieden | ||
| b) Spoor | - Infrastructuurbeheerders zoals gedefinieerd in artikel 3, punt 2, van Richtlijn 2012/34/EU van het Europees Parlement en de Raad van 21 november 2012 tot instelling van één Europese spoorwegruimte | |
| - Spoorwegondernemingen zoals gedefinieerd in artikel 3, punt 1, van Richtlijn 2012/34/EU van 21 november 2012 tot instelling van één Europese spoorwegruimte, inclusief exploitanten van dienstvoorzieningen zoals gedefinieerd in artikel 3, punt 12, van die richtlijn | ||
| c) Water | - Bedrijven voor vervoer over water (binnenvaart, kust- en zeevervoer) van passagiers en vracht, die in bijlage I bij Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad van 31 maart 2004 betreffende de verbetering van de beveiliging van schepen en havenfaciliteiten als bedrijven in maritiem vervoer worden gedefinieerd, met uitzondering van de door deze bedrijven geëxploiteerde individuele vaartuigen | |
| - Beheerders van havens zoals gedefinieerd in artikel 3, punt 1, van Richtlijn 2005/65/EG van het Europees Parlement en de Raad van 26 oktober 2005 betreffende het verhogen van de veiligheid van havens, inclusief hun havenfaciliteiten zoals gedefinieerd in artikel 2, punt 11, van Verordening (EG) nr. 725/2004 van het Europees Parlement en de Raad van 31 maart 2004 betreffende de verbetering van de beveiliging van schepen en havenfaciliteiten; alsook entiteiten die werken en uitrusting in havens beheren | ||
| - Exploitanten van verkeersbegeleidingssystemen (VBS) zoals gedefinieerd in artikel 3, punt o), van Richtlijn 2002/59/EG van het Europees Parlement en de Raad van 27 juni 2002 betreffende de invoering van een communautair monitoring en informatiesysteem voor de zeescheepvaart en tot intrekking van Richtlijn 93/75/EEG van de Raad | ||
| d) Weg | - Wegenautoriteiten zoals gedefinieerd in artikel 2, punt 12, van gedelegeerde Verordening (EU) 2015/962 van de Commissie van 18 december 2014 ter aanvulling van Richtlijn 2010/40/EU van het Europees Parlement en de Raad wat de verlening van EU-wijde realtimeverkeersinformatiediensten betreft die verantwoordelijk zijn voor het verkeersbeheer, met uitzondering van overheidsinstanties waarvoor verkeersbeheer of de exploitatie van intelligente vervoerssystemen slechts een niet-essentieel onderdeel van hun algemene activiteit is | |
| - Exploitanten van intelligente vervoerssystemen zoals gedefinieerd in artikel 4, punt 1, van Richtlijn 2010/40/EU van het Europees Parlement en de Raad van 7 juli 2010 betreffende het kader voor het invoeren van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen | ||
| 3. Bankwezen | - Kredietinstellingen zoals gedefinieerd in artikel 4, punt 1, Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen en tot wijziging van Verordening (EU) nr. 648/2012 | |
| 4. Infrastructuur voor de financiële markt | - Exploitanten van handelsplatformen zoals gedefinieerd in artikel 4, punt 24, van Richtlijn 2014/65/EU van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten en tot wijziging van Richtlijn 2002/92/EG en Richtlijn 2011/61/EU | |
| - Centrale tegenpartijen zoals gedefinieerd in artikel 2, punt 1, Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad van 4 juli 2012 betreffende otc-derivaten, centrale tegenpartijen en transactieregisters | ||
| 5. Gezondheidszorg | - Zorgaanbieders zoals gedefinieerd in artikel 3, punt g), van Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg | |
| - EU-referentielaboratoria als bedoeld in artikel 15 van Verordening (EU) 2022/2371 van het Europees Parlement en de Raad van 23 november 2022 inzake ernstige grensoverschrijdende gezondheidsbedreigingen en tot intrekking van Besluit nr. 1082/2013/EU inzake ernstige grensoverschrijdende bedreigingen van de gezondheid | ||
| - Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen zoals gedefinieerd in artikel 1, punt 2, van Richtlijn 2001/83/EG van het Europees Parlement en de Raad van 6 november 2001 tot vaststelling van een communautair wetboek betreffende geneesmiddelen voor menselijk gebruik | ||
| - Entiteiten die farmaceutische basisproducten en farmaceutische bereidingen als bedoeld in bijlage I, sectie C, afdeling 21, van Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad van 20 december 2006 tot vaststelling van de statistische classificatie van economische activiteiten NACE Rev. 2 en tot wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen op specifieke statistische gebieden vervaardigen | ||
| - Entiteiten die medische hulpmiddelen vervaardigen die in het kader van de noodsituatie op het gebied van de volksgezondheid als kritiek worden beschouwd ("de lijst van in een noodsituatie op het gebied van de volksgezondheid kritieke hulpmiddelen") in de zin van artikel 22 van Verordening (EU) 2022/123 van het Europees Parlement en de Raad van 25 januari 2022 betreffende een grotere rol van het Europees Geneesmiddelenbureau inzake crisisparaatheid en -beheersing op het gebied van geneesmiddelen en medische hulpmiddelen | ||
| 6. Drinkwater | - Leveranciers en distributeurs van voor menselijke consumptie bestemd water zoals gedefinieerd in artikel 2, punt 1, a), van Richtlijn (EU) 2020/2184 van het Europees Parlement en de Raad van 16 december 2020 betreffende de kwaliteit van voor menselijke consumptie bestemd water, met uitzondering van distributeurs waarvoor de distributie van water voor menselijke consumptie een niet-essentieel deel is van hun algemene activiteit van distributie van andere waren en goederen die niet worden beschouwd als essentiële of belangrijke diensten | |
| 7. Afvalwater | - Ondernemingen die stedelijk afvalwater, huishoudelijk afvalwater of industrieel afvalwater zoals gedefinieerd in artikel 2, punten 1, 2 en 3, van Richtlijn 91/271/EEG van de Raad van 21 mei 1991 inzake de behandeling van stedelijk afvalwater opvangen, lozen of behandelen, met uitzondering van ondernemingen waarvoor het opvangen, lozen of behandelen van stedelijk afvalwater, huishoudelijk afvalwater of industrieel afvalwater een niet-essentieel onderdeel van hun algemene activiteit is | |
| 8. Digitale infrastructuur | - Aanbieders van internetknooppunten | |
| - DNS-dienstverleners, met uitzondering van exploitanten van root-naamservers | ||
| - Registers voor topleveldomeinnamen | ||
| - Aanbieders van cloudcomputingdiensten | ||
| - Aanbieders van datacentrumdiensten | ||
| - Aanbieders van netwerken voor de levering van inhoud | ||
| - Verleners van vertrouwensdiensten | ||
| - Aanbieders van openbare elektronische-communicatienetwerken | ||
| - Aanbieders van openbare elektronische-communicatiediensten | ||
| 9. Beheer van ICT-diensten (business-to-business) | - Aanbieders van beheerde diensten | |
| - Aanbieders van beheerde beveiligingsdiensten | ||
| 10. Overheid | - Overheidsinstanties die van de Federale Staat afhangen | |
| - Overheidsinstanties die van de deelgebieden afhangen, geïdentificeerd overeenkomstig artikel 11, § 2, van de wet | ||
| - De hulpverleningszones in de zin van artikel 14 van de wet van 15 mei 2007 betreffende de civiele veiligheid of de Brusselse Hoofdstedelijke Dienst voor Brandweer en Dringende Medische Hulp opgericht door de ordonnantie van 19 juli 1990 houdende oprichting van de Brusselse Hoofdstedelijke Dienst voor Brandweer en Dringende Medische Hulp | ||
| 11. Ruimtevaart | - Exploitanten van grondfaciliteiten die in het bezit zijn van of beheerd of geëxploiteerd worden door de lidstaten of door particuliere partijen en die de verlening van vanuit de ruimte opererende diensten ondersteunen, met uitzondering van aanbieders van openbare elektronischecommunicatienetwerken |
| Sector | Deelsector | Soort entiteit |
| 1. Post- en koeriersdiensten | - Aanbieders van postdiensten zoals gedefinieerd in artikel 2, punt 1bis, van Richtlijn 97/67/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende gemeenschappelijke regels voor de ontwikkeling van de interne markt voor postdiensten in de Gemeenschap en de verbetering van de kwaliteit van de dienst, met inbegrip van aanbieders van koeriersdiensten | |
| 2. Afvalstoffenbeheer | - Ondernemingen die handelingen in het kader van afvalstoffenbeheer uitvoeren zoals gedefinieerd in artikel 3, punt 9, van Richtlijn 2008/98/EG van het Europees Parlement en de Raad van 19 november 2008 betreffende afvalstoffen en tot intrekking van een aantal richtlijnen, met uitzondering van ondernemingen waarvoor afvalstoffenbeheer niet de voornaamste economische activiteit is | |
| 3. Vervaardiging, productie en distributie van chemische stoffen | - Ondernemingen die stoffen vervaardigen en stoffen of mengsels distribueren als bedoeld in artikel 3, punten 9 en 14, van Verordening (EG) nr. 1907/2006 van het Europees Parlement en de Raad van 18 december 2006 inzake de registratie en beoordeling van en de autorisatie en beperkingen ten aanzien van chemische stoffen (REACH), tot oprichting van een Europees Agentschap voor chemische stoffen, houdende wijziging van Richtlijn 1999/45/EG en houdende intrekking van Verordening (EEG) nr. 793/93 van de Raad en Verordening (EG) nr. 1488/94 van de Commissie alsmede Richtlijn 76/769/EEG van de Raad en de Richtlijnen 91/155/EEG, 93/67/EEG, 93/105/EG en 2000/21/EG van de Commissie en ondernemingen die voorwerpen zoals gedefinieerd in artikel 3, punt 3, van die verordening produceren uit stoffen of mengsels | |
| 4. Productie, verwerking en distributie van levensmiddelen | - Levensmiddelenbedrijven zoals gedefinieerd in artikel 3, punt 2, Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad van 28 januari 2002 tot vaststelling van de algemene beginselen en voorschriften van de levensmiddelenwetgeving, tot oprichting van een Europese Autoriteit voor voedselveiligheid en tot vaststelling van procedures voor voedselveiligheidsaangelegenheden die zich bezighouden met groothandel en industriële productie en verwerking | |
| 5. Vervaardiging | a) Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek | - Entiteiten die medische hulpmiddelen zoals gedefinieerd in artikel 2, punt 1, van Verordening (EU) 2017/745 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen, tot wijziging van Richtlijn 2001/83/EG, Verordening (EG) nr. 178/2002 en Verordening (EG) nr. 1223/2009, en tot intrekking van Richtlijnen 90/385/EEG en 93/42/EEG van de Raad vervaardigen en entiteiten die medische hulpmiddelen voor in-vitrodiagnostiek zoals gedefinieerd in artikel 2, punt 2, van Verordening (EU) 2017/746 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen voor in-vitrodiagnostiek en tot intrekking van Richtlijn 98/79/EG en Besluit 2010/227/EU van de Commissie vervaardigen, met uitzondering van entiteiten die medische hulpmiddelen vervaardigen als bedoeld in bijlage I, punt 5, vijfde streepje, van deze richtlijn |
| b) Vervaardiging van informaticaproducten en van elektronische en optische producten | - Ondernemingen die economische activiteiten uitvoeren als bedoeld in bijlage I, sectie C, afdeling 26, van Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad van 20 december 2006 tot vaststelling van de statistische classificatie van economische activiteiten NACE Rev. 2 en tot wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen op specifieke statistische gebieden | |
| c) Vervaardiging van elektrische apparatuur | - Ondernemingen die economische activiteiten uitvoeren als bedoeld in bijlage I, sectie C, afdeling 27, van Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad van 20 december 2006 tot vaststelling van de statistische classificatie van economische activiteiten NACE Rev. 2 en tot wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen op specifieke statistische gebieden | |
| d) Vervaardiging van machines, apparaten en werktuigen, n.e.g. | - Ondernemingen die economische activiteiten uitvoeren als bedoeld in bijlage I, sectie C, afdeling 28, van Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad van 20 december 2006 tot vaststelling van de statistische classificatie van economische activiteiten NACE Rev. 2 en tot wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen op specifieke statistische gebieden | |
| e) Vervaardiging van motorvoertuigen, aanhangers en opleggers | - Ondernemingen die economische activiteiten uitvoeren als bedoeld in bijlage I, sectie C, afdeling 29, van Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad van 20 december 2006 tot vaststelling van de statistische classificatie van economische activiteiten NACE Rev. 2 en tot wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen op specifieke statistische gebieden | |
| f) Vervaardiging van andere transportmiddelen | - Ondernemingen die economische activiteiten uitvoeren als bedoeld in bijlage I, sectie C, afdeling 30, van Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad van 20 december 2006 tot vaststelling van de statistische classificatie van economische activiteiten NACE Rev. 2 en tot wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen op specifieke statistische gebieden | |
| 6. Digitale aanbieders | - Aanbieders van onlinemarktplaatsen | |
| - Aanbieders van onlinezoekmachines | ||
| - Aanbieders van platforms voor socialenetwerkdiensten | ||
| 7. Onderzoek | - Onderzoeksorganisaties |