De wet betreffende de elektronische communicatie

Onder "wet betreffende de elektronische communicatie” verstaan we de wet van 13 juni 2005 betreffende de elektronische communicatie.

Over het begrip "operator” kan er via de volgende link meer informatie gevonden worden.

Verplichtingen die op alle operatoren rusten

De operatoren moeten:

  • de risico's voor de veiligheid van hun netwerken en diensten analyseren (artikel 107/2, § 1, eerste lid). Zie hieronder de rubriek betreffende de risicoanalyse;
  • de passende en evenredige technische en organisatorische maatregelen nemen, waaronder in voorkomend geval versleuteling, om deze risico's goed te beheersen, alsook om de impact van beveiligingsincidenten op gebruikers en op andere netwerken en diensten zo laag mogelijk te houden (artikel 107/2, § 1, tweede lid);
  • alle noodzakelijke maatregelen nemen, inclusief preventieve, om de beschikbaarheid van de spraakcommunicatiediensten en van de internettoegangsdiensten zo volledig mogelijk te waarborgen in geval van uitzonderlijke netwerkuitval of in geval van overmacht (artikel 107/2, § 3).

Een telecomoperator moet een melding doen (zie ook rubriek “Praktische informatie”):

  • aan het BIPT in geval van een specifieke en significante dreiging van een beveiligingsincident in een voor het publiek beschikbare elektronische-communicatienetwerk of voor het publiek beschikbare elektronische-communicatiedienst en vervolgens zijn gebruikers informeren die gevolgen van die dreiging kunnen ondervinden (art. 107/3, § 1);
  • aan het BIPT in geval van een beveiligingsincident dat een belangrijke impact heeft gehad op de werking van de netwerken of de diensten. Wat verstaan moet worden onder “belangrijke impact” alsook de praktische werkwijze van de melding zijn verduidelijkt in het besluit van 14 december 2017 van het BIPT (zie rubriek "Praktische informatie");
  • aan de Gegevensbeschermingsautoriteit in geval van inbreuk op persoonsgegevens die verzonden, opgeslagen of op een andere manier verwerkt worden met betrekking tot de levering van elektronische-communicatiediensten. Deze autoriteit is zelf verplicht om het BIPT onverwijld hierover in te lichten. In sommige gevallen moet ook de abonnee die bij de inbreuk betrokken is, worden ingelicht. Het BIPT en de Gegevensbeschermingsautoriteit plegen overleg voor het beheer van het incident (art. 107/3, §§ 3 en 4).

Behalve de BIPT-statuutwet (wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector) is het juridische kader als volgt:

Ministeriële machtiging in het kader van de verstrekking van een 5G-netwerk

De volgende verplichtingen vloeien voort uit artikel 105 van de wet betreffende de elektronische communicatie en uit het koninklijk besluit van 16 april 2023 betreffende de ministeriële machtiging in het kader van de uitrol van een 5G-netwerk  (hierna het koninklijk besluit betreffende de ministeriële machtiging):

Verplichtingen voor: Verplichtingen:
de volgende ondernemingen wanneer ze een 5G-netwerk aanbieden: 
  • MNO’s (Mobile Network Operator, zie definitie in artikel 2, 89°, van de voornoemde wet);   
  • “full” MVNO’s (Mobile Virtual Network Operator, zie definitie in artikel 2, 90°, van de voornoemde wet), namelijk de MVNO’s die over bepaalde netwerkelementen beschikken; 
  • de nv A.S.T.R.I.D.; 
  • de ondernemingen die werden aangewezen als een exploitant van kritieke infrastructuren in de zin van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, voor zover elementen van het private 5G-netwerk worden gebruikt in een van deze kritieke infrastructuren; 
  • de ondernemingen die aangewezen zijn als een aanbieder van essentiële diensten in het kader van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (NIS-wet), op voorwaarde dat de verlening van een essentiële dienst gebruikmaakt van een privaat 5G-netwerk.
  • een ministeriële machtiging vragen en krijgen vóór het mogen gebruiken van een 5G-netwerkelement (voorafgaande machtiging) of;  
  • wanneer dat netwerkelement al gebruikt wordt bij de inwerkingtreding van het koninklijk besluit betreffende de ministeriële machtiging, binnen  twee maanden die volgen op die datum een ministeriële machtiging vragen en krijgen (machtiging tot regularisatie) en
  • een ministeriële machtiging vragen en krijgen vóór een beroep te doen op een dienstenaanbieder voor het beheer van en het toezicht op zijn 5G-netwerkelementen, met uitzondering van het beroep op producenten van netwerkelementen die een dienst van ondersteuning bieden, wanneer die dienst is opgenomen in het contract voor levering van netwerkelementen (voorafgaande machtiging) of
  • wanneer er al een beroep wordt gedaan op een dergelijke dienstenaanbieder bij de inwerkingtreding van het koninklijk besluit betreffende de ministeriële machtiging, een ministeriële machtiging vragen en krijgen binnen twee maanden die volgen op die datum (voorafgaande machtiging).

Een nieuwe machtiging zal moeten worden gevraagd wanneer de onderneming die het 5G-netwerk aanbiedt, een netwerkelement of een dienst wenst te gebruiken waarvoor er nog geen machtiging bestaat.

Voor de Uninterruptible Power Supply (UPS) en batterijen die worden gebruikt voor het centrale deel van het 5G-netwerk hoeft geen machtiging te worden aangevraagd.

Artikel 11, eerste lid, van het koninklijk besluit betreffende de ministeriële machtiging bepaalt dat “voor updates van software of hardware [...] geen bijkomende machtiging nodig [is], tenzij ze de elementen vervat in het verzoek om machtiging wijzigen.”

De ministeriële machtiging wordt verstrekt door de volgende ministers:  de eerste minister, de minister van Telecommunicatie, de minister van Defensie, de minister van Justitie, de minister van Binnenlandse Zaken en de minister van Buitenlandse Zaken (artikel 105, § 1, van de wet betreffende de elektronische communicatie).

Ze zullen de machtiging kunnen verlenen, ze verlenen op voorwaarde van het naleven van bepaalde voorwaarden of ze weigeren.

Wanneer ze een verzoek onderzoeken, zullen ze:

  • het risicoprofiel van de aanbieder moeten evalueren op basis van een advies van de inlichtingen- en veiligheidsdiensten (kans dat de aanbieder inmenging ondervindt vanwege een land dat geen lidstaat is van de Europese Unie)  en van een advies van het BIPT (vermogen van de leverancier om de bevoorrading te garanderen in termen van termijn en hoeveelheid, algemene kwaliteit van zijn producten of diensten en zijn praktijken inzake beveiliging) en; 
  • de beperkingen die vastgesteld zijn in het koninklijk besluit betreffende de ministeriële machtiging, moeten toepassen.

Bepaalde beperkingen voor de MNO’s houden rekening met de gevoelige zones in België. Die laatste worden opgesomd in de bijlage bij het koninklijk besluit van 23 oktober 2022 betreffende de gevoelige zones in het kader van de wet van 17 februari 2022 tot invoering van bijkomende beveiligingsmaatregelen voor de verstrekking van mobiele 5G-diensten. Die bijlage is vertrouwelijk. De MNO’s die een ministeriële machtiging moeten vragen en welke die bijlage willen raadplegen, kunnen een e-mail naar het BIPT sturen.

De ondernemingen die een ministeriële machtiging moeten krijgen (voorafgaande machtiging of machtiging tot regularisatie) moeten hun verzoek richten tot het BIPT in  overeenstemming met de nadere regels vastgesteld in de mededeling van 15 mei 2023 van het BIPT.

Verplichtingen inzake de lokalisatie in het kader van de verstrekking van een 5G-netwerk

Vanaf 1 januari 2028 moeten de in het voorgaande deel bedoelde ondernemingen die een 5G-netwerk aanbieden, zich ervan vergewissen dat de volgende elementen op het grondgebied van de Europese Unie zijn gevestigd: 

  • de personen, de apparatuur, de software en de gegevens nodig voor het toezicht in real time van hun 5G-netwerk of hun elementen van de kern van het 5G-netwerk;
  • de personen, de apparatuur, de software en de gegevens gelinkt aan de controle van de fysieke en logische toegang tot hun 5G-netwerk of hun elementen van de kern van het 5G-netwerk.

De personen die niet realtime toezicht houden op het netwerk, maar van wie gevraagd kan worden een specifieke handeling op het netwerk uit te voeren, kunnen zich buiten het grondgebied van de Europese Unie bevinden, op voorwaarde dat hun tussenkomsten permanent worden gevolgd door een van de hierboven bedoelde personen (koninklijk besluit van 18 april 2023 betreffende de eisen inzake lokalisatie wat de 5G-netwerken betreft).

Wanneer een MNO in België elektronische-communicatiediensten aanbiedt met behulp van een 5G-netwerk, moeten de infrastructuren van dat netwerk zich bovendien op het grondgebied van de lidstaten van de Europese Unie bevinden (artikel 105, § 8, eerste lid, van de wet betreffende de elektronische communicatie).

De NIS-wet

Onder “NIS-wet” verstaan we de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.

Om deze wet uit te voeren is het BIPT aangewezen als sectorale overheid en inspectiedienst voor de sector van de digitale infrastructuren. Die sector omvat minstens de volgende entiteiten: de IXP’s (internetknooppunten), de DNS-dienstverleners en de registers voor topleveldomeinnamen.

Een van de taken van de sectorale overheid bestaat erin de aanbieders van essentiële diensten (AED) van haar sector aan te wijzen, in overleg met het Centrum voor Cybersecurity België (CCB) en het Crisiscentrum van de FOD Binnenlandse Zaken (NCCN).

De NIS-wet bevat verplichtingen voor de AED’s inzake beveiligingsmaatregelen (de artikelen 20 tot 23), melding van incidenten (de artikelen 24 en 25, zie ook de rubriek "Praktische informatie") en audits (artikel 38).

Een entiteit van de sector van de digitale infrastructuren die in België actief is en door het BIPT niet als AED is aangewezen, kan vrijwillig een incident melden dat een belangrijke impact heeft op de continuïteit van de diensten die zij verstrekt (zie rubriek “praktische informatie”). Deze vrijwillige melding heeft niet tot gevolg dat aan de entiteit die aan de oorsprong ligt van de melding, verplichtingen worden opgelegd waar die niet aan zou zijn onderworpen, als ze die melding niet had gedaan. Bij de behandeling van de meldingen kunnen het CBB, het BIPT en het NCCN de verplichte meldingen die zijn opgelegd door de NIS-wet voorrang geven ten opzichte van de vrijwillige meldingen. De vrijwillige meldingen worden maar behandeld wanneer de behandeling ervan geen onevenredige of bovenmatige belasting vormt voor de voormelde overheden.

Het wettelijke kader is als volgt:

  • de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector; 
  • de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid; 
  • het koninklijk besluit van 12 juli 2019 tot uitvoering van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
  • het koninklijk besluit van 15 december 2021 tot vaststelling van de legitimatiekaarten van de statutaire ambtenaren en contractuele personeelsleden van het Belgisch Instituut voor postdiensten en telecommunicatie

Meer informatie is te vinden op de website van het CCB.

Risicoanalyse

Het BIPT heeft een tool voor risicoanalyse inzake veiligheid van de netwerken en informatiesystemen ingesteld, SERIMA.be, wat de afkorting is voor “Security Risk Management”.

Het BIPT heeft aan bepaalde elektronische-communicatieoperatoren en aan de aanbieders van essentiële diensten (AED’s) die het aangewezen heeft op basis van de NIS-wet, gevraagd om jaarlijks via dat platform een risicoanalyse eraan voor te leggen.

De overige elektronische-communicatieoperatoren mogen van het platform gebruikmaken mits ze dat aan het BIPT aanvragen. Meer informatie kan worden gevonden in de mededeling van 12 april 2023 betreffende de risicoanalyses op het stuk van de beveiliging van netwerken en informatiesystemen (zie rubriek “documenten”). 

De wet kritieke infrastructuren 

Onder “wet kritieke infrastructuren” verstaan we de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren. 

Om deze wet uit te voeren is het BIPT aangewezen als sectorale overheid en inspectiedienst voor de sector van de elektronische communicatie (met inbegrip van de sector van de digitale infrastructuren). 

Als sectorale overheid moet het BIPT de exploitanten van kritieke infrastructuren van zijn sector aanwijzen en hun kritieke infrastructuren identificeren. Het doet dit in overleg met het Crisiscentrum van de FOD Binnenlandse Zaken (NCCN) en het Centrum voor Cybersecurity België (CCB). 

De voornaamste verplichting van de exploitant van een kritieke infrastructuur (zie artikel 13 van deze wet) bestaat erin een veiligheidsplan uit te werken en toe te passen, dat ten minste permanente interne veiligheidsmaatregelen omvat (die in alle omstandigheden van toepassing zijn) en geleidelijke interne veiligheidsmaatregelen (die toegepast moeten worden naargelang van de dreiging).

De exploitant moet elke gebeurtenis melden die de veiligheid van de kritieke infrastructuur kan bedreigen (zie artikel 14 van dezelfde wet).

Het BIPT verricht inspecties van de kritieke infrastructuren. 

Het wettelijke kader is als volgt: 

  • de wet van 17 januari 2003 met betrekking tot het statuut van de regulator van de Belgische post- en telecommunicatiesector; 
  • de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren;
  • het koninklijk besluit van 27 mei 2014 tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren; 
  • het koninklijk besluit van 14 juni 2017 houdende aanwijzing van de inspectiedienst voor de elektronische-communicatiesector, ingevoerd krachtens de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren; 
  • het koninklijk besluit van 15 december 2021 tot vaststelling van de legitimatiekaarten van de statutaire ambtenaren en contractuele personeelsleden van het Belgisch Instituut voor postdiensten en telecommunicatie

De wet betreffende de veiligheidsadviezen 

Onder de “wet betreffende de veiligheidsadviezen” verstaan we de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen. 

Om deze wet uit te voeren is het BIPT aangewezen als bevoegde administratieve overheid voor de “sector elektronische communicatie en digitale infrastructuren”, met uitzondering van de veiligheidsadviezen van de leden van de coördinatiecel (Justitie) van de elektronische-communicatieoperatoren. Voor deze adviezen is de minister van Justitie de bevoegde administratieve overheid. 

Het is de taak van het BIPT, in zijn hoedanigheid van bevoegde administratieve overheid, om aan de NVO (Nationale Veiligheidsoverheid) de functies voor te stellen die onderworpen zouden moeten worden aan een veiligheidsadvies alsook de operatoren op wie de maatregel van toepassing is. De NVO neemt de beslissing ter zake. Nadat die beslissing genomen is, moeten de adviesaanvragen via het BIPT verlopen.  

Het wettelijke kader is als volgt: 

  • de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • de wet van 11 december 1998 tot oprichting van een beroepsorgaan inzake veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 24 maart 2000 tot uitvoering van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 8 mei 2018 tot vaststelling van de activiteitensectoren en de bevoegde administratieve overheden bedoeld in artikel 22quinquies, § 7, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen; 
  • het koninklijk besluit van 8 mei 2018 tot bepaling van de lijst van de gegevens en informatie die geraadpleegd kunnen worden in het kader van de uitvoering van een veiligheidsverificatie
  • het koninklijk besluit van 8 mei 2018 tot vaststelling van de bedragen van de retributies die verschuldigd zijn voor de veiligheidsmachtigingen, voor de veiligheidsattesten en veiligheidsadviezen afgegeven door de Nationale Veiligheidsoverheid en voor de veiligheidsattesten afgegeven door het Federaal Agentschap voor Nucleaire Controle alsook van de verdeelsleutels bedoeld in artikel 22septies, zesde en achtste lid, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen.

Federale fase in een noodsituatie 

Op de website van het Nationaal Crisiscentrum (NCCN) staat een beknopte voorstelling van de acties die ondernomen worden door de 4 cellen die geactiveerd worden na de afkondiging van de federale fase in een noodsituatie: 

“Tijdens een federale fase ligt leiding bij de minister van Binnenlandse Zaken. Bij de afkondiging van een federale fase door een Minister, komen er vier verschillende cellen samen:

  • De evaluatiecel zamelt informatie in, voert een evaluatie uit van de situatie een geeft advies aan COFECO. Deze cel is samengesteld uit experts en wetenschappers uit de verschillende bevoegde overheden of diensten.
  • Het Federaal Coördinatiecomité of COFECO maakt een beeld van de situatie en de evolutie, stelt maatregelen voor om de bevolking te beschermen aan de beleidscel en verdeelt beschikbare bovenlokale middelen. Deze cel is samengesteld uit vertegenwoordigers van disciplines en overheidsdiensten.
  • De beleidscel bekrachtigt de voorstellen voor maatregelen uit het COFECO. Deze cel is samengesteld uit de bevoegde ministers. Zij hebben de bevoegdheid om maatregelen uit te vaardigen en dragen er de politieke verantwoordelijkheid voor.
  • De informatiecel communiceert over de maatregelen. Deze cel is samengesteld uit de communicatieverantwoordelijken of woordvoerders van de betrokken departementen.

Het federaal coördinatiecomité staat steeds in contact met de provinciale crisiscel(len) en departementale of regionale crisiscentra, die de beslissingen binnen hun eigen bevoegdheid uitvoeren.” 

Voor de telecomsector is een evaluatiecel (“CELEVAL”) opgericht (“CELEVAL telecom”). De samenstelling van deze cel is afhankelijk van het soort van incident. Doorgaans zitten daarin onder andere de betrokken elektronische-communicatieoperatoren, het Centrum voor Cybersecurity België (CCB), de FOD Economie, het BIPT, het Nationaal Crisiscentrum (NCCN), de NV ASTRID, de Federale Politie en de algemene directie Civiele Veiligheid. Het BIPT zit deze cel voor. 

Het COFECO wordt voorgezeten door het Nationaal Crisiscentrum (NCCN) en daarin zit met name het BIPT indien in deze cel telecomaspecten worden besproken. 

Als voorzitter van de CELEVAL telecom heeft het BIPT de volgende taken: 

  • verslaglegging bij het COFECO over de situatie van de gehele telecomsector; 
  • follow-up van de vragen van het COFECO die aan de telecomsector gericht zijn.

Het juridische kader dat van toepassing is op de federale fase is punt 4.4 van de bijlage bij het koninklijk besluit van 31 januari 2003 tot vaststelling van het noodplan voor de crisisgebeurtenissen en -situaties die een coördinatie of een beheer op nationaal niveau vereisen
 

Documenten

Naar boven