27 MEI 2014. - Koninklijk besluit tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren
Art. 1-10
Artikel 1. Dit besluit is van toepassing op de bescherming en de beveiliging van de kritieke infrastructuren in de sector elektronische communicatie in België.
Art.2. Ieder exploitant werkt een B.P.E. uit dat ten minste de volgende onderdelen bevat :
1° een deel gewijd aan de algemene beschrijving van de kritieke infrastructuur;
2° een deel gewijd aan de risicoanalyse;
3° een deel gewijd aan de permanente interne beveiligingsmaatregelen;
4° een deel gewijd aan de graduele interne beveiligingsmaatregelen;
5° een deel gewijd aan de oefeningen;
6° een deel gewijd aan de in artikel 6 nader bepaalde inlichtingen.
Art.3. De algemene beschrijving van de kritieke infrastructuur bevat :
1° een hiërarchische klassering in afnemend belang van de basisdiensten en hun bijkomende diensten, die door de kritieke infrastructuur worden ondersteund;
2° de logische architectuur van de kritieke infrastructuur gebruikt voor het leveren van de diensten geviseerd in punt 1° ;
3° de fysieke architectuur van het netwerk dat door de kritieke infrastructuur wordt ondersteund, met daarbij inbegrepen een inventaris van de apparatuur;
4° de technische karakteristieken van de apparatuur die deel uitmaakt van de kritieke infrastructuur of die door de kritieke infrastructuur wordt ondersteund.
Art.4. De risicoanalyse bevat :
1° een uitvoerige beschrijving van de door de exploitant voorziene scenario's uit de risicoanalyse;
2° voor elk type van scenario uit de risicoanalyse een beschrijving van de maatregelen ter voorkoming van incidenten.
Art.5. Het deel gewijd aan de permanente interne in alle omstandigheden toepasbare veiligheidsmaatregelen bevat een inventaris van deze maatregelen evenals een beschrijving van elk van deze maatregelen.
Wanneer een onderdeel dat deel uitmaakt van de kritieke infrastructuur van op afstand wordt gecontroleerd, dan ziet de exploitant erop toe dat de verbinding van dit onderdeel met het controlecentrum van de operator autonoom is en over een hoog niveau van bescherming beschikt.
De exploitant geeft het verband aan van de permanente interne veiligheidsmaatregelen met zijn risicoanalyse waarvan sprake in artikel 4.
Art.6. Voor de graduele interne veiligheidsmaatregelen beschrijft het plan :
1° de algemene graduele interne veiligheidsmaatregelen;
2° de graduele interne veiligheidsmaatregelen specifiek voor de scenario's opgenomen in de risicoanalyse waarvan sprake in artikel 4.
Voor de verschillende graduele interne veiligheidsmaatregelen geeft de exploitant de verschillende gebruikte drempels aan die de inwerkingtreding van elke maatregel uitlokken.
De exploitant geeft het verband aan van de graduele interne veiligheidsmaatregelen met zijn risicoanalyse waarvan sprake in artikel 4.
De specifieke graduele interne veiligheidsmaatregelen omvatten :
1° voor de hiërarchische klassering overeenkomstig artikel 3, 1°, de beschrijving van de diensten waaraan achtereenvolgens voorrang wordt gegeven in geval dat de werkingscapaciteit van het netwerk verslechtert;
2° een communicatieplan naar het publiek toe in geval van onbeschikbaarheid voor de eindgebruiker van een deel of het geheel van het netwerk of van een dienst;
3° de maatregelen om de gevolgen van incidenten te verminderen;
4° de procedures voor het herstellen van de normale werking van de diensten ondersteund door de kritieke infrastructuur en van de kritieke infrastructuur zelf;
5° de maatregelen voor de heropbouw voor elk onderdeel van de kritieke infrastructuur.
Art.7. De exploitant voert minstens éénmaal per jaar een oefening uit op een deel van de kritieke infrastructuur, zodat het geheel van de samenstellende onderdelen van de kritieke infrastructuur ten minste éénmaal om de drie jaar worden getest.
Indien de uitvoering van een oefening de werking van het netwerk, een deel ervan, of de diensten ondersteund door de kritieke infrastructuur in gevaar brengt dan kan de exploitant aan de sectorale overheid vragen de oefening te vervangen door een simulatie.
De exploitant stelt de sectorale overheid ten minste vier weken op voorhand op de hoogte van een geplande oefening.
De exploitant stelt een verslag op van elke uitgevoerde oefening en maakt deze ten laatste zes maanden na deze oefening over aan de sectorale overheid.
Art.8. Het B.P.E. bevat een informatief deel dat in de hierna volgende orde beschrijft :
1° de fysieke en de logische architectuur van het netwerk;
2° de door de exploitant voorgestelde diensten;
3° een inventaris en ligging van de kritieke onderdelen van het netwerk;
4° de bijkomende informatie die de exploitant voor het goede begrip van het B.P.E. toevoegt.
De gegeven informatie voor ieder van deze onderdelen omvat een nauwkeurige beschrijving waarbij de exploitant het gebeurlijke vertrouwelijke karakter verduidelijkt.
De informatie met betrekking tot onderdeel 3° bevat bovendien een precieze uitleg, vanuit zowel fysiek als logisch gezichtspunt, van de onderdelen die de exploitant als kritiek beschouwt in zijn infrastructuur, evenals een uitleg van de parameters waarmee de exploitant rekening houdt om het kritiek zijn van deze onderdelen te bepalen.
De informatie met betrekking tot onderdeel 4° herneemt elke bijkomende informatie dat de exploitant nuttig acht.
Art.9. Het B.P.E. wordt geëvalueerd en, indien nodig, geactualiseerd :
1° bij elke indienststelling of elke wederindienststelling van de kritieke infrastructuur;
2° bij de vervanging van een bestaand onderdeel in de kritieke infrastructuur;
3° bij de integratie van een nieuw onderdeel in de kritieke infrastructuur;
4° bij een periodieke controle;
5° ingevolge een vraag van de sectorale overheid ingevolge een analyse van het B.P.E.
De exploitant deelt zonder verwijl elke wijziging van zijn B.P.E. mee aan de sectorale overheid.
Art. 10. De minister bevoegd voor Telecommunicatie is belast met de uitvoering van dit besluit.