15 SEPTEMBER 2023. - Koninklijk besluit tot wijziging van het koninklijk besluit van 11 maart 2013 tot uitvoering van de artikelen 13, 24 en 25 van de wet van 1 juli 2011 betreffende de beveiliging en bescherming van de kritieke infrastructuren voor de sector Energie
Art. 1-2, 2/1, 2/2, 2/3, 2/4, 2/5, 2/6, 2/7, 2/8, 3-9
Artikel 1. Artikel 1, § 2, van het koninklijk besluit van 11 maart 2013 tot uitvoering van de artikelen 13, 24 en 25 van de wet van 1 juli 2011 betreffende de beveiliging en bescherming van de kritieke infrastructuren voor de sector Energie wordt aangevuld met een bepaling onder 3°, luidende:
"3° inspectiedienst: de Algemene Directie Energie van de Federale Overheidsdienst Economie, K.M.O., Middenstand en Energie.".
Art.2. In hetzelfde besluit wordt een hoofdstuk 2/1 ingevoegd die de artikelen 2/1 tot 2/8 bevat, luidende:
"Hoofdstuk 2/1. Informatie en maatregelen op te nemen in het B.P.E.
Art. 2/1. Iedere exploitant werkt een B.P.E. uit dat ten minste de volgende onderdelen bevat:
1° een deel gewijd aan de algemene beschrijving van de kritieke infrastructuur;
2° een deel gewijd aan de risicoanalyse;
3° een deel gewijd aan de permanente interne beveiligingsmaatregelen;
4° een deel gewijd aan de graduele interne beveiligingsmaatregelen;
5° een deel gewijd aan de oefeningen.
Art. 2/2. De algemene beschrijving van de kritieke infrastructuur bevat:
1° een hiërarchische rangschikking in afnemend belang van de basisdiensten en hun bijkomende diensten, die door de kritieke infrastructuur worden ondersteund;
2° de logische en/of schematisch architectuur van de kritieke infrastructuur gebruikt voor het leveren van de diensten bedoeld in 1° ;
3° de fysieke architectuur van de kritieke infrastructuur, met inbegrip van een inventaris van de apparatuur;
4° de technische karakteristieken van de apparatuur die deel uitmaakt van de kritieke infrastructuur of die door de kritieke infrastructuur wordt ondersteund, met inbegrip van een rangschikking in afnemend belang van de kritieke elementen van deze infrastructuur.
Art. 2/3. De risicoanalyse bevat:
1° een uitvoerige beschrijving van de door de exploitant voorziene scenario's uit de risicoanalyse met inbegrip van de identificatie van de voornaamste scenario's van pertinente potentiële dreigingen van opzettelijke handelingen met het oog op de verstoring van de werking of de vernietiging van de kritieke infrastructuur;
2° voor elk type van scenario uit de risicoanalyse een beschrijving van de maatregelen ter voorkoming van incidenten.
Art. 2/4. Het deel gewijd aan de permanente interne in alle omstandigheden toepasbare veiligheidsmaatregelen bevat een inventaris van deze maatregelen evenals een beschrijving van elk van deze maatregelen.
De exploitant geeft het verband aan van de permanente interne veiligheidsmaatregelen met zijn risicoanalyse waarvan sprake in artikel 2/3.
De modaliteiten van optreden en coördinatie van de verschillende autoriteiten die de infrastructuur in alle omstandigheden helpen beschermen, worden in dit deel opgenomen.
Art. 2/5. Voor de graduele interne veiligheidsmaatregelen beschrijft het B.P.E.:
1° de algemene graduele interne veiligheidsmaatregelen;
2° de graduele interne veiligheidsmaatregelen specifiek voor de scenario's opgenomen in de risicoanalyse bedoeld in artikel 2/3.
Voor de verschillende graduele interne veiligheidsmaatregelen geeft de exploitant de verschillende gebruikte drempels aan die de inwerkingtreding van elke maatregel uitlokt.
De exploitant geeft het verband aan van de graduele interne veiligheidsmaatregelen met zijn risicoanalyse bedoeld in artikel 2/3.
De specifieke graduele interne veiligheidsmaatregelen omvatten:
1° een beschrijving van de te nemen maatregelen, in volgorde van prioriteit in het geval dat de werkingscapaciteit van de kritieke infrastructuur verslechtert;
2 de modaliteiten van optreden en coördinatie van de verschillende autoriteiten die de infrastructuur in alle omstandigheden helpen beschermen;
3° een communicatieplan naar het publiek toe in geval van onbeschikbaarheid voor de eindgebruiker van een deel of het geheel van de essentiële diensten uitgevoerd door de kritieke infrastructuur;
4° de maatregelen om de gevolgen van incidenten te verminderen;
5° de procedures voor het herstellen van de normale werking van de essentiële diensten ondersteund door de kritieke infrastructuur en van de kritieke infrastructuur zelf;
6° de maatregelen voor de heropbouw van elk onderdeel van de kritieke infrastructuur.
Art. 2/6. De exploitant voert minstens eenmaal per jaar een oefening, in het kader van de veiligheidsmaatregelen, uit op een deel van de kritieke infrastructuur, zodat het geheel van de samenstellende onderdelen van de kritieke infrastructuur ten minste eenmaal om de drie jaar worden getest.
Indien de uitvoering van een oefening de werking van de infrastructuur, een deel ervan, of de diensten ondersteund door de kritieke infrastructuur in gevaar brengt dan kan de exploitant aan de sectorale overheid vragen de oefening te vervangen door een simulatie.
De exploitant stelt de sectorale overheid ten minste vier weken op voorhand op de hoogte van een geplande oefening.
De exploitant stelt een verslag op van elke uitgevoerde oefening en maakt deze ten laatste zes maanden na deze oefening over aan de sectorale overheid.
Art. 2/7. Het B.P.E. wordt geëvalueerd en, indien nodig, geactualiseerd:
1° bij elke indienststelling of elke wederindienststelling van de kritieke infrastructuur;
2° bij de vervanging van een bestaand onderdeel in de kritieke infrastructuur;
3° bij de integratie van een nieuw onderdeel in de kritieke infrastructuur;
4° bij een periodieke controle;
5° ingevolge een vraag van de sectorale overheid naar aanleiding van een analyse van het B.P.E.
De exploitant deelt onmiddellijk elke wijziging van zijn B.P.E. mee aan de sectorale overheid.
Art. 2/8. De exploitant van een kritieke infrastructuur voert als onderdeel van de risicoanalyse bedoeld in artikel 13, § 3, 2°, van de wet, de risicoanalyse bedoeld in artikel 22quinquies, § 2, van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen uit en neemt deze op in het B.P.E.".
Art.3. In hetzelfde besluit wordt een artikel 3/1 ingevoegd, luidende:
"Art. 3/1. De exploitant van een kritieke infrastructuur maakt een gedetailleerde planning over aan de inspectiedienst. In deze planning geeft de exploitant duidelijk aan, per maatregel van het B.P.E., wanneer de implementatie wordt gestart, en wanneer deze volledig geïmplementeerd wordt voorzien.
Deze planning wordt binnen zes maanden na de identificatie aan de inspectiedienst overgemaakt.
Bij een wijziging of aanvulling van de gedetailleerde planning brengt de exploitant binnen dertig dagen na de wijziging of aanvulling de inspectiedienst daarvan op de hoogte.".
Art.4. In artikel 5 van hetzelfde besluit worden de woorden "van de Algemene Directie Energie van de FOD Economie, K.M.O., Middenstand en Energie" opgeheven.
Art.5. In artikel 7 van hetzelfde besluit, wordt een paragraaf 1/1 ingevoegd, luidende:
" § 1/1. Na de uitwerking van een B.P.E. overeenkomstig artikel 13 van de wet stuurt de exploitant van de kritieke infrastructuur onmiddellijk een kopie van het B.P.E. naar de inspectiedienst. In geval van wijziging van het B.P.E. verstrekt de exploitant van de kritieke infrastructuur een kopie van het B.P.E., zoals gewijzigd, aan de inspectiedienst. Op eenvoudige aanvraag van de inspectiedienst wordt aan deze dienst eveneens een kopie bezorgd van alle bescheiden, documenten en andere informatiebronnen die deze dienst nodig acht voor de uitoefening van zijn opdracht.
Onverminderd de artikelen 22 en 23 van de wet wordt de informatie, of een deel van de informatie bedoeld in de paragrafen 1 en 1/1, indien aan de respectieve wettelijke voorwaarden voldaan is, desgevallend geclassificeerd met toepassing van artikel 3 van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen.".
Art.6. In artikel 7 van hetzelfde besluit wordt een paragraaf 3 ingevoegd, luidende:
" § 3. Voor de inspecties van de kritieke infrastructuren binnen de sector Energie kan de inspectiedienst een beroep doen op een daartoe geaccrediteerd inspectieorganisme. Het wordt belast met de inspectie ter plaatse en dient de betrokken inspectiedienst te voorzien van een gedetailleerd inspectieverslag.
Dit artikel doet geen afbreuk aan de mogelijkheid voor de inspectiedienst om deel te nemen aan de door geaccrediteerde inspectieorganismen uit te voeren inspecties noch aan de mogelijkheid om de door geaccrediteerde inspectieorganismen geïnspecteerde kritieke infrastructuren ook te controleren.".
Art.7. Voor de reeds geïdentificeerde infrastructuren wordt de gedetailleerde planning, bedoeld in artikel 3/1 van het koninklijk besluit van 11 maart 2013 tot uitvoering van de artikelen 13, 24 en 25 van de wet van 1 juli 2011 betreffende de beveiliging en bescherming van de kritieke infrastructuren voor de sector Energie zoals ingevoegd bij dit besluit, zes maanden vanaf de datum van inwerkingtreding van dit besluit aan de inspectiedienst geleverd.
Art.8. De artikelen 2, 3 en 7 treden in werking op de eerste dag van de vierentwintigste maand na die waarin dit besluit is bekendgemaakt in het Belgisch Staatsblad.
Art. 9. De minister bevoegd voor Energie is belast met de uitvoering van dit besluit.