Das Telekomgesetz

Unter „Telekomgesetz“ ist das Gesetz vom 13. Juni 2005 über die elektronische Kommunikation zu verstehen. 

Die Anbieter müssen:

  • die Sicherheitsrisiken ihrer Netze und Dienste analysieren (Artikel 107/2, § 1, Absatz 1). Siehe unten den Abschnitt über die Risikoanalyse;   
  • angemessene und verhältnismäßige technische und organisatorische Maßnahmen, gegebenenfalls einschließlich Verschlüsselung, ergreifen, um diese Risiken angemessen zu bewältigen sowie die Auswirkungen von Sicherheitsvorfällen sowohl auf die Nutzer als auch auf andere Netze und Dienste zu verhindern und zu begrenzen (Artikel 107/2, § 1, Absatz 2); 
  • alle erforderlichen Maßnahmen, einschließlich vorbeugender Maßnahmen, ergreifen, um die möglichst vollständige Verfügbarkeit von Sprachkommunikationsdiensten und Internetzugangsdiensten im Falle eines außergewöhnlichen Netzausfalls oder höherer Gewalt zu gewährleisten (Artikel 107/2, § 3).

Ein Anbieter muss eine Meldung machen (siehe auch die Rubrik „Praktische Informationen“): 

  • an das BIPT im Falle einer besonderen und erheblichen Gefahr eines Sicherheitsvorfalls in einem öffentlichen elektronischen Kommunikationsnetz oder einem öffentlich zugänglichen elektronischen Kommunikationsdienst und die von dieser Gefahr potenziell betroffenen Nutzer, darüber informieren (Art 107/3, § 1);
  • an das BIPT im Falle eines Sicherheitsvorfalls, der beträchtliche Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste hatte. Was unter „beträchtliche Auswirkungen“ und die Meldungsbedingungen zu verstehen ist, wurde im Beschluss vom 14. Dezember 2017 festgelegt (siehe die Rubrik „Praktische Informationen“);
  • an die Datenschutzbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste verarbeitet werden. Diese Behörde ist ihrerseits verpflichtet, das BIPT unverzüglich darüber zu informieren. In bestimmten Fällen muss der Teilnehmer, der von dem Verstoß betroffen ist, ebenfalls benachrichtigt werden. Das BIPT und die Datenschutzbehörde arbeiten zusammen, um den Vorfall zu bewältigen (Art. 107/3, §§ 3 und 4).

Neben dem Gesetz über das Statut des BIPT (Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors) ist der Rechtsrahmen der folgende:

Das NIS-Gesetz  

Unter „NIS-Gesetz“ ist das Gesetz vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit zu verstehen.

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der digitalen Infrastruktur bezeichnet. Dieser Sektor umfasst mindestens die folgenden Einrichtungen: IXP (Internet-Knoten), DNS-Dienstanbieter und Register für Domänen oberster Stufe.

Eine der Aufgaben der sektoralen Behörde besteht darin, in Absprache mit dem Zentrum für Cybersicherheit Belgien (ZCB) und dem Krisenzentrum des FÖD Inneres (NCCN) die Betreiber wesentlicher Dienste (BWD) ihres Sektors anzudeuten.

Das NIS-Gesetz enthält Verpflichtungen für die BWD in Bezug auf Sicherheitsmaßnahmen (Artikel 20 bis 23), Meldungen von Vorfälle (Artikel 24 und 25, siehe auch Rubrik „Praktische Informationen“) und Überprüfung (Artikel 38).

Eine Einrichtung im Bereich der digitalen Infrastruktur, die in Belgien tätig ist und vom BIPT nicht als BWD bezeichnet wurde, kann auf freiwilliger Basis Sicherheitsvorfälle melden, die erhebliche Auswirkungen auf die Verfügbarkeit der von ihnen angebotenen Dienste haben (siehe Rubrik „Praktische Informationen“). Diese freiwillige Meldung darf nicht dazu führen, dass der meldenden Einrichtung Pflichten auferlegt werden, die nicht für sie gegolten hätten, wenn sie den Vorfall nicht gemeldet hätte. Bei der Bearbeitung der Meldungen können das ZCB, das BIPT und das NCCN den durch das NIS-Gesetz vorgeschriebenen Meldungen den Vorrang vor den freiwilligen Meldungen geben. Freiwillige Meldungen werden nur bearbeitet, wenn diese Bearbeitung keinen unverhältnismäßigen oder unzumutbaren Aufwand für die oben genannten Behörden darstellt.

Der Rechtsrahmen ist der folgende:

  • Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors; 
  • Gesetz vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit; 
  • Königlicher Erlass vom 12. Juli 2019 zur Ausführung des Gesetzes vom 7. April 2019 zur Schaffung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit und des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen;
  • Königlicher Erlass vom 15. Dezember 2021 zur Festlegung der Legitimationskarten der Beamten und Vertragsbediensteten des Belgischen Institut für Postdienste und Telekommunikation.

Weitere Informationen finden Sie auf der Website des ZCB.

Risikoanalyse 

Das BIPT hat ein Risikoanalyse-Tool für die Sicherheit der Netze und Informationssysteme eingerichtet, SERIMA.be, das die Abkürzung für "Security Risk Management" ist.

Das BIPT hat einige Telekombetreiber und Betreiber wesentlicher Dienste (BWD), die es auf der Grundlage des NIS-Gesetzes bezeichnet hat, aufgefordert, ihm über diese Plattform jährlich eine Risikoanalyse vorzulegen.

Die anderen Telekombetreiber können die Plattform nutzen, indem sie dem BIPT einen Antrag dazu übermitteln. Weitere Informationen sind in der Mitteilung vom 5. Juli 2022 über die Analyse von Risiken zur Sicherheit von Netz- und Informationssystemen zu finden. 

Das Gesetz „kritische Infrastrukturen“ 

Unter das Gesetz „kritische Infrastrukturen“ ist das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen zu verstehen. 

Um dieses Gesetz umzusetzen, wurde das BIPT als sektorale Behörde und Kontrolldienst für den Bereich der elektronischen Kommunikation (einschließlich des Bereichs der digitalen Infrastruktur) bezeichnet. 

Als sektorale Behörde muss das BIPT die Betreiber kritischer Infrastrukturen in seinem Sektor benennen und deren kritische Infrastrukturen identifizieren. Er tut dies in Absprache mit dem Krisenzentrum des FÖD Inneres (NCCN) und dem Zentrum für Cybersicherheit Belgien (ZCB). 

Die Hauptpflicht des Betreibers einer kritischen Infrastruktur (siehe Artikel 13 dieses Gesetzes) besteht darin, einen Sicherheitsplan zu entwickeln und einzusetzen, der zumindest dauerhafte interne Sicherheitsmaßnahmen, die unter allen Umständen anwendbar sind, und abgestufte interne Sicherheitsmaßnahmen, die je nach Bedrohung anzuwenden sind, umfasst.

Der Betreiber muss jedes Ereignis melden, das die Sicherheit der kritischen Infrastruktur beeinträchtigen könnte (siehe Artikel 14 desselben Gesetzes).

Das BIPT führt Prüfungen bei kritischen Infrastrukturen durch. 

Der Rechtsrahmen ist der folgende: 

  • Gesetz vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors; 
  • Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz kritischer Infrastrukturen; 
  • Königlicher Erlass vom 27. Mai 2014 zur Ausführung des Artikels 13 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen im Bereich der elektronischen Kommunikation; 
  • Königlicher Erlass vom 14. Juni 2017 zur Benennung im Bereich der elektronischen Kommunikation des durch das Gesetz vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen eingeführten Kontrolldienstes;
  • Königlicher Erlass vom 15. Dezember 2021 zur Festlegung der Legitimationskarten der Beamten und Vertragsbediensteten des Belgischen Institut für Postdienste und Telekommunikation.

Das Gesetz über die Sicherheitsstellungnahmen 

Unter „Gesetz über die Sicherheitsstellungnahmen“ ist das Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen zu verstehen. 

Zur Umsetzung dieses Gesetzes wurde das BIPT als zuständige Verwaltungsbehörde für den „Bereich der elektronischen Kommunikation und der digitalen Infrastruktur“ bezeichnet, mit Ausnahme der Sicherheitsstellungnahmen der Mitglieder der Koordinierungsstelle (der Justiz) der Telekombetreiber. Für diese Stellungnahmen ist die zuständige Verwaltungsbehörde der Minister der Justiz. 

Es obliegt dem BIPT in seiner Eigenschaft als zuständige Verwaltungsbehörde, der Nationalen Sicherheitsbehörde vorzuschlagen, welche Funktionen Gegenstand einer Sicherheitsstellungnahme sein sollen und für welche Betreiber die Maßnahme anwendbar ist. Es ist die Nationale Sicherheitsbehörde, die in dieser Angelegenheit die Entscheidung trifft. Sobald diese Entscheidung getroffen ist, müssen die Ersuchen um Stellungnahme über das BIPT erfolgen.  

Der Rechtsrahmen ist der folgende: 

  • Gesetz vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen; 
  • Gesetz vom 11. Dezember 1998 über die Einrichtung einer Widerspruchsstelle im Bereich von Sicherheitsermächtigungen, Sicherheitsbescheinigungen und Sicherheitsstellungnahmen; 
  • Königlicher Erlass vom 24. März 2000 zur Ausführung des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen; 
  • Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Tätigkeitsbereiche und der zuständigen Verwaltungsbehörden gemäß Artikel 22quinquies, § 7 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen 
  • Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Liste von Daten und Informationen, die im Rahmen der Durchführung einer Sicherheitsüberprüfung eingesehen werden können
  • Königlicher Erlass vom 8. Mai 2018 zur Festlegung der Höhe der von der Nationalen Sicherheitsbehörde ausgestellte Entgelte für Sicherheitsermächtigungen, für Sicherheitsbescheinigungen und Sicherheitsstellungnahmen und für von der Föderalen Nuklearkontrollbehörde ausgestellte Sicherheitsbescheinigungen sowie die Verteilungsschlüssel gemäß Artikel 22septies, Absätze 6 und 8 des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen.

BIPT-Dokumente

Newsletter

Um E-Mail-Benachrichtigungen zu erhalten, geben Sie bitte Ihre E-Mail-Adresse und Ihr(e) Interessengebiet(e) ein.

Das BIPT verarbeitet diese zwei oder drei personenbezogenen Daten (E-Mail-Adresse (eventuell Ihren Namen und Vornamen) und Interessengebiete), um Ihnen diese Nachrichten zu übermitteln. Die Verarbeitung wird beendet und Ihre Daten werden gelöscht, wenn Sie sich einmal abmelden. Erfahren Sie mehr über Cookies oder über den Schutz Ihrer Daten.

Sie müssen Ihre Anmeldung bestätigen. Sie können sich jederzeit über den Abmeldelink oder durch Kontaktaufnahme mit uns unter webmaster@bipt.be abmelden oder Ihr Profil anpassen.

Geben Sie bitte Ihre E-Mail-Adresse und Ihr(e) Interessengebiet(e) ein:

Nach oben