20 JUILLET 2022. - Loi relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité. - Traduction allemande

Le texte qui suit constitue la traduction en langue allemande de la loi du 20 juillet 2022 relative à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité (Moniteur belge du 5 août 2022).

Cette traduction a été établie par le Service central de traduction allemande à Malmedy.

FÖDERALER ÖFFENTLICHER DIENST KANZLEI DES PREMIERMINISTERS 20. JULI 2022 -Gesetz über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Benennung einer nationalen Behörde für die Cybersicherheitszertifizierung PHILIPPE, Konig der Belgier, Allen Gegenwartigen und Zukunftigen, Unser Gruß! Die Abgeordnetenkammer hat das Folgende angenommen und Wir sanktionieren es: KAPITEL 1 - Begriffsbestimmungen und allgemeine Bestimmungen Abschnitt 1 - Gegenstand und Anwendungsbereich Unterabschnitt 1 - Gegenstand

Artikel 1 - Vorliegendes Gesetz regelt eine in Artikel 74 der Verfassung erwähnte Angelegenheit. Art. 2 - Vorliegendes Gesetz führt die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013, im Nachfolgenden "Rechtsakt zur Cybersicherheit", teilweise aus.

Unterabschnitt 2 - Anwendungsbereich

Art. 3 - § 1 - Vorliegendes Gesetz ist auf die freiwillige europäische Cybersicherheitszertifizierung von IKT-Produkten, -Diensten und -Prozessen anwendbar wie im Rechtsakt zur Cybersicherheit erwähnt. § 2 - Die Kapitel 1 bis 4, 7 und 8 und die Artikel 21 und 22 sind auch auf eine verbindlich vorgeschriebene europäische Cybersicherheitszertifizierung anwendbar.

Bei der Ausführung der Artikel 21 und 22 im Rahmen der in Absatz 1 erwähnten Zertifizierung sind die Artikel 19 und 26 anwendbar.

Der König kann durch einen im Ministerrat beratenen Erlass die Kapitel 5 und 6 im Rahmen der in Absatz 1 erwähnten Zertifizierung ganz oder teilweise anwendbar machen. § 3 - Vorliegendes Gesetz berührt nicht die Befugnisse, eine Cybersicherheitszertifizierung verbindlich vorzuschreiben und zu beaufsichtigen, über die öffentliche Behörden, insbesondere die Marktüberwachungsbehörden oder sektoriellen Behörden, verfügen gemäß Artikel 6 Nr. 2 des Gesetzes vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit, Artikel 3 Nr. 3 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen und Artikel 2 Absatz 1 Nr. 1 des Königlichen Erlasses vom 2. Dezember 2011 über die kritischen Infrastrukturen im Teilsektor des Luftverkehrs.

Unter Einhaltung von § 2 sorgen die in Absatz 1 erwähnten Behörden und die zuständigen Inspektionsdienste für die Aufsicht und die Sanktionen im Zusammenhang mit den verbindlich vorgeschriebenen europäischen Cybersicherheitszertifizierungen. § 4 - Artikel 5 §§ 2 bis 4 gilt weder für die im Gesetz vom 22.

Februar 1998 zur Festlegung des Grundlagenstatuts der Belgischen Nationalbank erwähnte Belgische Nationalbank noch für die im Gesetz vom 2. August 2002 über die Aufsicht über den Finanzsektor und die Finanzdienstleistungen erwähnte FSMA noch für den im Wirtschaftsgesetzbuch erwähnten FÖD Wirtschaft. § 5 - Vorliegendes Gesetz beeinträchtigt nicht die Anwendung des Königlichen Erlasses vom 31. Januar 2006 zur Schaffung des BELAC-Systems zur Akkreditierung von Konformitätsbewertungsstellen.

Abschnitt 2 -- Begriffsbestimmungen

Art. 4 - Für die Anwendung des vorliegenden Gesetzes gelten folgende Begriffsbestimmungen: 1. "Nationale Behörde für die Cybersicherheitszertifizierung" bezeichnet die in Artikel 58 des Rechtsakts zur Cybersicherheit erwähnte Behörde, die vom König gemäß Artikel 5 § 1 benannt wird.2. "EGCZ" bezeichnet die in Artikel 62 des Rechtsakts zur Cybersicherheit erwähnte Europäische Gruppe für die Cybersicherheitszertifizierung. 3. "Nationale Akkreditierungsbehörde" bezeichnet die vom König in Ausführung von Artikel VIII.30 des Wirtschaftsgesetzbuches eingerichtete, in Artikel 2 Nr. 16 des Rechtsakts zur Cybersicherheit erwähnte nationale Akkreditierungsstelle. 4. "Öffentliche Behörde" bezeichnet die öffentliche Behörde im Sinne von Artikel 5 des Gesetzes vom 30.Juli 2018 über den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten. 5. "Inspektionsdienst" bezeichnet den in Artikel 13 § 1 erwähnten Inspektionsdienst. KAPITEL 2 - Zuständige Behörden und Zusammenarbeit auf nationaler Ebene Abschnitt 1 - Zuständige Behörden

Art. 5 - § 1 - Der König benennt die Behörde, die als nationale Behörde für die Cybersicherheitszertifizierung mit den im Rechtsakt zur Cybersicherheit und im vorliegenden Gesetz erwähnten Aufgaben und Aufträgen beauftragt ist. § 2 - Je nach Gegenstand des betreffenden Zertifizierungsschemas und auf Antrag der betreffenden öffentlichen Behörde kann der König in Abweichung davon durch einen im Ministerrat beratenen Erlass die in den Kapiteln 5 und 6 erwähnten Aufträge der in § 1 erwähnten Behörde ganz oder teilweise einer anderen öffentlichen Behörde übertragen, die in den Artikeln 21 und 22 erwähnten Aufträge ausgenommen.

Der König sorgt dafür, dass bei einer möglichen Zuweisung von Kontrollaufgaben der Fachkompetenz der betreffenden öffentlichen Behörde Rechnung getragen wird. § 3 - In dem in § 2 erwähnten Fall holt der König die Stellungnahme der in § 1 erwähnten Behörde und der betreffenden öffentlichen Behörde ein und stimmt sich vorab mit ihnen ab. § 4 - Die betreffende öffentliche Behörde hat bei der Ausführung der vom König übertragenen Aufträge und unbeschadet ihrer gesetzlichen Kontroll- und Ahndungsbefugnisse die in den Kapiteln 5 und 6 erwähnten Rechte und Verpflichtungen.

Abschnitt 2 - Zusammenarbeit auf nationaler Ebene

Art. 6 - § 1 - Die in Artikel 5 § 1 erwähnte Behörde und die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, erfüllen ihre Aufgaben in Abstimmung mit den öffentlichen Behörden, insbesondere mit der nationalen Akkreditierungsbehörde. Je nach genauem Gegenstand des Zertifizierungsschemas können die in Artikel 5 § 1 erwähnte Behörde und die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, auch die privaten Akteure konsultieren, die von der Cybersicherheitszertifizierung betroffen sind. § 2 - Gemäß Artikel 58 Absatz 7 Buchstabe h) des Rechtsakts zur Cybersicherheit tauschen die in Artikel 5 § 1 erwähnte Behörde und die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, einerseits, und die sektoriellen Behörden und die Inspektionsdienste, die in den Artikeln 3 Nr. 3 und 24 § 2 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen beziehungsweise in Artikel 7 §§ 3 und 5 des Gesetzes vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit erwähnt sind, das Belgische Institut für Post- und Fernmeldewesen und die nationale Akkreditierungsbehörde, andererseits, die Informationen aus, die für die Anwendung des Rechtsakts zur Cybersicherheit, des vorliegenden Gesetzes oder der Artikel 107/2 bis 107/5 des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation erforderlich sind, insbesondere in Bezug auf Ausstellung von Zertifikaten, Kontrolle, Sanktionen und Beschwerden. Betrifft ein Informationsaustausch personenbezogene Daten, so erfolgt dieser gemäß den Bestimmungen von Kapitel 8. Die Modalitäten des Informationsaustauschs beeinträchtigen nicht die Vertraulichkeit der betreffenden Informationen. § 3 - Die in Artikel 5 § 1 erwähnte Behörde und die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, teilen den Empfängern, das heißt einer sektoriellen Behörde, einem Inspektionsdienst, der Flughafeninspektion, der Luftfahrtinspektion oder der Belgian Supervising Authority for Air Navigation Services, die in den Artikeln 3 Nr. 3 und 24 § 2 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen, in Artikel 7 §§ 3 und 5 des Gesetzes vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit beziehungsweise in den Artikeln 2 Absatz 1 Nr. 1 und 9 und 15 §§ 1 bis 3 des Königlichen Erlasses vom 2. Dezember 2011 über die kritischen Infrastrukturen im Teilsektor des Luftverkehrs erwähnt sind, jede im Rahmen der Durchführung des Rechtsakts zur Cybersicherheit, des vorliegenden Gesetzes oder eines europäischen Schemas für die Cybersicherheitszertifizierung erhaltene Information mit, wenn sich diese Information auf einen Verstoß gegen Artikel 13 des vorerwähnten Gesetzes vom 1. Juli 2011, die Artikel 20, 21 § 1 und 33 des vorerwähnten Gesetzes vom 7. April 2019, Artikel 11 des vorerwähnten Königlichen Erlasses vom 2. Dezember 2011 oder die Abschnitte 1.7 und 11.2.8 der Durchführungsverordnung (EU) 2015/1998 der Kommission vom 5. November 2015 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit bezieht und die von der Information betroffene Stelle unter der Aufsicht dieser Empfänger steht. § 4 - Im Rahmen der in den Paragraphen 2 und 3 vorgesehenen Zusammenarbeit sind die öffentlichen Behörden, die aufgrund staatlichen Auftrags ihnen anvertraute Geheimnisse oder vertrauliche Informationen verwahren, befugt, diese Geheimnisse oder vertraulichen Informationen der in Artikel 5 § 1 erwähnten Behörde oder der öffentlichen Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, bekannt zu machen, wenn dies für die Anwendung des Rechtsakts zur Cybersicherheit oder des vorliegenden Gesetzes erforderlich ist.

Nur Informationen, die im Zusammenhang mit Kontrollen, Sanktionen und Beschwerden erforderlich sind, dürfen mitgeteilt werden. Betreffen diese Informationen personenbezogene Daten, so ist Kapitel 8 anwendbar. Die Modalitäten des Informationsaustauschs beeinträchtigen nicht die Vertraulichkeit der betreffenden Informationen.

Art. 7 - Im Rahmen der ihnen durch das Gesetz zugewiesenen Aufträge und Befugnisse können die öffentlichen Behörden die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, bei ihren in vorliegendem Gesetz erwähnten Kontrollaufträgen unterstützen.

KAPITEL 3 - Nationale Behörde für die Cybersicherheitszertifizierung Abschnitt 1 - Vertretung in der Europäischen Gruppe für die Cybersicherheitszertifizierung

Art. 8 - § 1 - Die in Artikel 5 § 1 erwähnte Behörde vertritt Belgien in der EGCZ. § 2 - Im Rahmen ihres Auftrags, Belgien in der EGCZ zu vertreten, stimmt sich die in Artikel 5 § 1 erwähnte Behörde mit den anderen vom König benannten öffentlichen Behörden ab, insbesondere in Bezug auf die Vorbereitung und die Annahme einer Stellungnahme zu einem möglichen Zertifizierungsschema im Sinne von Artikel 49 des Rechtsakts zur Cybersicherheit. § 3 - Andere öffentliche Behörden können zusammen mit der in Artikel 5 § 1 erwähnten Behörde an den Arbeiten und Sitzungen der EGCZ teilnehmen.

Abschnitt 2 - Unabhängigkeit

Art. 9 - § 1 - Die in Artikel 5 § 1 erwähnte Behörde ergreift erforderliche Maßnahmen zur Gewährleistung der Unabhängigkeit ihrer Personalmitglieder und zur Vorbeugung, Ermittlung und Beilegung von Interessenkonflikten bei der Wahrnehmung ihrer Kontroll- oder Zertifizierungsaufträge im Bereich der Cybersicherheit, um Wettbewerbsverzerrungen zu vermeiden und die Gleichbehandlung aller zu gewährleisten.

Der Begriff des Interessenkonflikts bezieht sich zumindest auf Situationen, in denen ein Mitglied des Personals der in Artikel 5 § 1 erwähnten Behörde, das mit der Zertifizierung oder Kontrolle beauftragt ist, direkt oder indirekt ein finanzielles, wirtschaftliches oder sonstiges persönliches Interesse hat, das im Rahmen seines Auftrags oder seiner Aufgaben als Beeinträchtigung seiner Unparteilichkeit und Unabhängigkeit wahrgenommen werden könnte. § 2 - Die Mitglieder des Personals der in Artikel 5 § 1 erwähnten Behörde erhalten von anderen im Rahmen ihrer Zuständigkeiten keine direkten oder indirekten Weisungen und holen solche Weisungen auch nicht ein.

Es ist ihnen untersagt, bei Beratungen oder Beschlüssen über Akten anwesend zu sein, an denen sie selbst oder ihre Verwandten oder Verschwägerten bis zum dritten Grad ein persönliches oder direktes Interesse haben.

Der König kann ebenfalls andere Situationen als Interessenkonflikte bestimmen.

KAPITEL 4 - Ausstellung von europäischen Zertifikaten Abschnitt 1 - Europäische Cybersicherheitszertifikate mit der Vertrauenswürdigkeitsstufe "niedrig" oder "mittel"

Art. 10 - § 1 - Gemäß Artikel 56 Absatz 4 des Rechtsakts zur Cybersicherheit stellen die von der nationalen Akkreditierungsbehörde akkreditierten Konformitätsbewertungsstellen europäische Cybersicherheitszertifikate mit der Vertrauenswürdigkeitsstufe "niedrig" oder "mittel" aus. § 2 - Gemäß Artikel 56 Absatz 5 Buchstabe a) des Rechtsakts zur Cybersicherheit ist die Ausstellung der in § 1 erwähnten Zertifikate der in Artikel 5 § 1 erwähnten Behörde vorbehalten, wenn das europäische Schema für die Cybersicherheitszertifizierung dies vorschreibt. § 3 - Gemäß Artikel 56 Absatz 5 Buchstabe b) des Rechtsakts zur Cybersicherheit kann die in Artikel 5 § 1 erwähnte Behörde nach Maßgabe der technischen Anforderungen des Zertifizierungsschemas und nach vorheriger Beauftragung die Ausstellung eines in § 2 erwähnten Zertifikats ganz oder teilweise einer von der nationalen Akkreditierungsbehörde als Konformitätsbewertungsstelle akkreditierten öffentlichen Stelle übertragen.

Abschnitt 2 - Europäische Cybersicherheitszertifikate mit der Vertrauenswürdigkeitsstufe "hoch"

Art. 11 - § 1 - Gemäß Artikel 56 Absatz 6 des Rechtsakts zur Cybersicherheit stellt die in Artikel 5 § 1 erwähnte Behörde europäische Cybersicherheitszertifikate mit der Vertrauenswürdigkeitsstufe "hoch" aus. § 2 - Gemäß Artikel 56 Absatz 6 Buchstabe b) des Rechtsakts zur Cybersicherheit kann die in Artikel 5 § 1 erwähnte Behörde nach Maßgabe der technischen Anforderungen des Zertifizierungsschemas und nach vorheriger Beauftragung diese Aufgabe ganz oder teilweise einer von der nationalen Akkreditierungsbehörde akkreditierten Konformitätsbewertungsstelle übertragen.

Abschnitt 3 -- Beschwerde bei Ausstellungsverweigerung

Art. 12 - Gemäß Artikel 63 Absatz 1 des Rechtsakts zur Cybersicherheit kann ein Antragsteller im Falle der Verweigerung der Ausstellung eines europäischen Cybersicherheitszertifikats durch die in Artikel 5 § 1 erwähnte Behörde oder - im Rahmen der in Artikel 10 § 3 oder Artikel 11 § 2 vorgesehenen Übertragung - durch eine Konformitätsbewertungsstelle eine Beschwerde bei der in Artikel 5 § 1 erwähnten Behörde einlegen gemäß den in Kapitel 7 vorgesehenen Modalitäten.

KAPITEL 5 -- Kontrolle

Art. 13 - § 1 - Gemäß Artikel 58 Absatz 7 und 8 des Rechtsakts zur Cybersicherheit verfügen die in Artikel 5 § 1 erwähnte Behörde und die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, jeweils über einen Inspektionsdienst, der jederzeit kontrollieren kann, ob Konformitätsbewertungsstellen, Inhaber von freiwilligen europäischen Cybersicherheitszertifikaten und Aussteller von EU-Konformitätserklärungen die durch den Rechtsakt zur Cybersicherheit, die europäischen Schemata für die Cybersicherheitszertifizierung, das vorliegende Gesetz oder seine Ausführungserlase auferlegten Vorschriften einhalten.

Die Befugnisse dieses Inspektionsdienstes beeinträchtigen nicht die Anwendung des Königlichen Erlasses vom 31. Januar 2006 zur Schaffung des BELAC-Systems zur Akkreditierung von Konformitätsbewertungsstellen.

Gemäß Artikel 58 Absatz 4 des Rechtsakts zur Cybersicherheit handelt der Inspektionsdienst bei der Ausführung seiner Kontrollaufgaben unabhängig von den anderen Diensten der in Artikel 5 § 1 erwähnten Behörde, insbesondere von dem Dienst, der für die Ausstellung der Cybersicherheitszertifikate zuständig ist, oder von den anderen Diensten der öffentlichen Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat. § 2 - Bei der Anforderung von Informationen oder Nachweisen gibt der Inspektionsdienst den Zweck der Anforderung, die gesetzlichen Bestimmungen und gegebenenfalls den/die Teil(e) des europäischen Schemas für die Cybersicherheitszertifizierung an und vermerkt die Frist, in der die Informationen oder Nachweise bereitgestellt werden müssen. § 3 - Entsprechend den besonderen Merkmalen jedes europäischen Schemas für die Cybersicherheitszertifizierung kann der Inspektionsdienst Sachverständige hinzuziehen, die dem in § 4 erwähnten Berufsgeheimnis unterliegen.

Sachverständigenkosten können auf die Konformitätsbewertungsstellen, die Inhaber von europäischen Cybersicherheitszertifikaten oder die Aussteller von EU-Konformitätserklärungen abgewälzt werden. § 4 - Mitglieder des Personals der Inspektionsdienste sind an das Berufsgeheimnis gebunden, was Informationen in Bezug auf die Ausführung des vorliegenden Gesetzes betrifft.

Art. 14 - Wenn sich eine Konformitätsbewertungsstelle, ein Inhaber von freiwilligen europäischen Cybersicherheitszertifikaten oder ein Aussteller von EU-Konformitätserklärungen außerhalb des belgischen Staatsgebiets befindet, kann der Inspektionsdienst die zuständigen nationalen Behörden für die Cybersicherheitszertifizierung der betreffenden Staaten um Zusammenarbeit und Unterstützung ersuchen.

Art. 15 - § 1 - Vereidigte Mitglieder des Inspektionsdienstes werden mit einer Legitimationskarte versehen, deren Muster vom König festgelegt wird. Sie leisten den Eid vor dem leitenden Beamten ihres Dienstes. § 2 - Vereidigte Mitglieder des Inspektionsdienstes oder Sachverständige, die für die Inspektion hinzugezogen werden, dürfen bei Konformitätsbewertungsstellen, Inhabern von europäischen Cybersicherheitszertifikaten oder Ausstellern von EU-Konformitätserklärungen, mit deren Kontrolle sie beauftragt sind, keinerlei direkte oder indirekte Interessen haben, die ihre Objektivität beeinträchtigen können. § 3 - Zur Durchführung der in Artikel 58 des Rechtsakts zur Cybersicherheit erwähnten Aufsichtstätigkeiten und unbeschadet der in Artikel 8 des Strafprozessgesetzbuches vorgesehenen Befugnisse der Gerichtspolizeioffiziere verfügen vereidigte Mitglieder des Inspektionsdienstes bei der Ausführung ihres Auftrags jederzeit über folgende Kontrollbefugnisse: 1. ohne vorherige Ankündigung auf Vorlage ihrer Legitimationskarte alle Orte betreten, die eine Konformitätsbewertungsstelle, ein Inhaber von europäischen Cybersicherheitszertifikaten oder ein Aussteller von EU-Konformitätserklärungen nutzt;zu bewohnten Räumlichkeiten haben sie nur Zugang mit der vorherigen Ermächtigung des Untersuchungsrichters, 2. vor Ort ein Zertifikat, eine EU-Konformitätserklärung und alle für die Ausführung ihres Auftrags notwendigen Urkunden, Unterlagen und anderen Informationsquellen einsehen und eine Kopie davon erhalten, 3.alle Untersuchungen, Kontrollen und Vernehmungen vornehmen und alle Informationen anfordern, die sie für die Ausführung ihres Auftrags für notwendig erachten, 4. die Personalien der Personen aufnehmen, die sich an Orten befinden, die eine Konformitätsbewertungsstelle, ein Inhaber von europäischen Cybersicherheitszertifikaten oder ein Aussteller von EU-Konformitätserklärungen nutzt, und deren Vernehmung sie für die Ausführung ihres Auftrags für notwendig erachten.Zu diesem Zweck können sie von diesen Personen die Vorlegung offizieller Identifizierungsdokumente fordern. § 4 - Um eine Ermächtigung zum Betreten bewohnter Räumlichkeiten zu erhalten, richten vereidigte Personalmitglieder des Inspektionsdienstes einen mit Gründen versehenen Antrag an den Untersuchungsrichter. Dieser Antrag enthält mindestens: 1. die Angabe der bewohnten Räumlichkeiten, zu denen die vereidigten Personalmitglieder des Inspektionsdienstes Zugang haben möchten, 2.die mutmaßlichen Verstöße, die Gegenstand der Kontrolle sind, 3. die Rechtsvorschriften, die Anlass für die Kontrolle sind, für die die Inspektoren der Meinung sind, dass sie eine Ermächtigung zum Besuch der Räumlichkeiten benötigen, 4.alle Unterlagen und Auskünfte, aus denen hervorgeht, dass der Rückgriff auf dieses Mittel notwendig ist, 5. die Verhältnismäßigkeit und Subsidiarität gegenüber jeder anderen Untersuchungshandlung. Der Untersuchungsrichter entscheidet binnen einer Frist von höchstens achtundvierzig Stunden nach Erhalt des Antrags. Die Entscheidung des Untersuchungsrichters ist mit Gründen versehen. Falls binnen der vorgeschriebenen Frist keine Entscheidung getroffen worden ist, wird davon ausgegangen, dass das Betreten der Räumlichkeiten verweigert wird. Der Inspektionsdienst kann gegen die Verweigerungsentscheidung oder das Ausbleiben einer Entscheidung binnen fünfzehn Tagen nach Notifizierung der Entscheidung beziehungsweise Ablauf der Frist bei der Anklagekammer Beschwerde einlegen.

Besuche in bewohnten Räumlichkeiten ohne Erlaubnis des Bewohners werden zwischen fünf und einundzwanzig Uhr und von mindestens zwei vereidigten Mitgliedern des Inspektionsdienstes gemeinsam vorgenommen. § 5 - Zu Beginn jeder Vernehmung wird der befragten Person mitgeteilt: 1. dass ihre Erklärungen als Beweismittel in Gerichtsverfahren verwendet werden können, 2.dass sie beantragen kann, dass alle ihr gestellten Fragen und von ihr gegebenen Antworten wortgetreu festgehalten werden, 3. dass sie das Recht hat zu schweigen und sich nicht selber zu belasten. Befragte Personen dürfen Unterlagen in ihrem Besitz verwenden, ohne dass dies zum Aufschub der Vernehmung führen kann. Sie können während der Vernehmung oder danach verlangen, dass diese Unterlagen dem Vernehmungsprotokoll beigefügt werden.

Im Vernehmungsprotokoll wird der Zeitpunkt, zu dem die Vernehmung beginnt, eventuell unterbrochen und wieder aufgenommen wird und endet, genau angegeben. Darin wird die Identität der Personen, die bei der Vernehmung beziehungsweise bei einem Teil der Vernehmung mitgewirkt haben, genau angegeben.

Am Ende der Vernehmung hat die befragte Person das Recht, das Vernehmungsprotokoll zu lesen oder um Vorlesung zu bitten. Sie darf ihre Erklärungen korrigieren oder ergänzen lassen.

Personalmitglieder des Inspektionsdienstes, die eine Person befragen, informieren sie darüber, dass sie eine Kopie des Textes ihrer Vernehmung beantragen darf. Diese Kopie wird ihr kostenlos ausgehändigt. § 6 - Mitglieder des Inspektionsdienstes dürfen Einsicht in alle Datenträger und darin enthaltene Daten nehmen. Sie dürfen sich vor Ort das Datenverarbeitungssystem und die darin enthaltenen Daten, die sie für ihre Untersuchungen und Feststellungen benötigen, vorzeigen lassen und kostenlos Auszüge, Duplikate oder Kopien daraus beziehungsweise davon in einer von ihnen gewählten lesbaren und verständlichen Form anfertigen oder beantragen.

Wenn es nicht möglich ist, Kopien vor Ort anzufertigen, dürfen Mitglieder des Inspektionsdienstes das Datenverarbeitungssystem und die darin enthaltenen Daten gegen Empfangsbestätigung mit Beschlagnahmeverzeichnis beschlagnahmen. § 7 - Um die auf der Grundlage von § 6 begonnene Suche in einem Datenverarbeitungssystem oder einem Teil davon auf ein Datenverarbeitungssystem oder einen Teil davon auszuweiten, das sich an einem anderen Ort als dem, wo die Suche durchgeführt wird, befindet, kann der Inspektionsdienst gemäß den Bedingungen von § 4 die Ermächtigung eines Untersuchungsrichters beantragen. § 8 - Sofern erforderlich, verfügen Mitglieder des Inspektionsdienstes über eine Sicherheitsermächtigung, die dem Geheimhaltungsgrad - im Sinne des Gesetzes vom 11. Dezember 1998 über die Klassifizierung und die Sicherheitsermächtigungen, -bescheinigungen und -stellungnahmen - der Informationen entspricht, zu denen sie Zugang haben müssen, um ihre Kontrolle durchführen zu können. § 9 - Wenn es für die Durchführung der in vorliegendem Kapitel erwähnten Kontrolltätigkeiten erforderlich ist und andere Mittel nicht ausreichen, können vereidigte Mitglieder des Inspektionsdienstes Zugang zu den in Artikel 458 des Strafgesetzbuches erwähnten Informationen oder Geheimnissen, die Inhaber von europäischen Cybersicherheitszertifikaten oder Aussteller von EU-Konformitätserklärungen verwahren, erhalten und sie verarbeiten. § 10 - Bei der Ausübung ihrer in vorliegendem Artikel erwähnten Kontrollbefugnisse sorgen vereidigte Mitglieder des Inspektionsdienstes dafür, dass die von ihnen angewandten Mittel geeignet und erforderlich sind für die Kontrolle der Einhaltung der Bestimmungen des Rechtsakts zur Cybersicherheit oder eines Zertifizierungsschemas, deren Einhaltung sie kontrollieren.

Art. 16 - § 1 - Am Ende der Inspektionen erstellt der Inspektionsdienst einen Bericht. Eine Kopie dieses Berichts wird der Konformitätsbewertungsstelle, dem Inhaber von europäischen Cybersicherheitszertifikaten oder dem Aussteller von EU-Konformitätserklärungen übermittelt. § 2 - Die vom Inspektionsdienst erstellten Berichte dürfen weder personenbezogene Daten der Kunden der Inhaber von europäischen Cybersicherheitszertifikaten oder der Aussteller von EU-Konformitätserklärungen noch von diesen Kunden verarbeitete personenbezogene Daten enthalten. § 3 - Die nationale Akkreditierungsbehörde und das Belgische Institut für Post- und Fernmeldewesen können auf ihren Antrag und sofern dies erforderlich ist zur Erfüllung der Aufträge wie erwähnt in Artikel VIII.30 § 2 des Wirtschaftsgesetzbuches, Kapitel II der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9.

Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates, den Artikeln 58 Absatz 7 Buchstabe c) und 60 Absatz 1 und 4 des Rechtsakts zur Cybersicherheit oder den Artikeln 107/2 bis 107/5 des Gesetzes vom 13.

Juni 2005 über die elektronische Kommunikation eine Kopie des in § 1 erwähnten Berichts erhalten.

In Abweichung von Artikel 20 des Gesetzes vom 30. Juli 2018 über den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten muss die in Absatz 1 vorgesehene Übermittlung von Berichten nicht durch ein Protokoll formalisiert werden, sofern: 1. die Übermittlung für die Ausführung von Absatz 1 erforderlich ist, 2.die Behörde, die die Daten empfängt, diese Daten unter Einhaltung der Bestimmungen des Gesetzes, der Artikel 58 Absatz 7 Buchstabe c) und 60 Absatz 1 und 4 des Rechtsakts zur Cybersicherheit oder der Artikel 107/2 bis 107/5 des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation verarbeitet, 3. die Übermittlung persönliche Identifizierungsdaten wie einen Namen, einen Vornamen, eine private oder berufliche E-Mail-Adresse, Authentifizierungsdaten oder Daten der elektronischen Kommunikation betrifft, 4.die Übermittlung der personenbezogenen Daten auf sichere Weise in einem digitalen Format oder in Papierform erfolgt. § 4 - Unter Einhaltung der Artikel 20, 21 § 1 und 33 des Gesetzes vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit und von Artikel 13 des Gesetzes vom 1.Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen übermittelt die in Artikel 5 § 1 erwähnte Behörde oder die vom König gemäß Artikel 5 § 2 benannte öffentliche Behörde eine Kopie des in § 1 vorgesehenen Berichts der sektoriellen Behörde und dem Inspektionsdienst, die in den Artikeln 3 Nr. 3 und 24 § 2 des vorerwähnten Gesetzes vom 1. Juli 2011 beziehungsweise in Artikel 7 §§ 3 und 5 des vorerwähnten Gesetzes vom 7. April 2019 erwähnt sind und je nach Anbieter oder Lieferant des betreffenden IKT-Produkts, -Dienstes oder -Prozesses im Sinne von Artikel 2 Nr. 12 bis 14 des Rechtsakts zur Cybersicherheit zuständig sind, wenn dieser Bericht mit einer Kontrolle bei einer kritischen Infrastruktur, einem Betreiber wesentlicher Dienste oder einem Anbieter digitaler Dienste im Sinne des vorerwähnten Gesetzes vom 1. Juli 2011 oder des vorerwähnten Gesetzes vom 7. April 2019 zusammenhängt.

Zur Gewährleistung der Einhaltung von Artikel 11 des Königlichen Erlasses vom 2. Dezember 2011 über die kritischen Infrastrukturen im Teilsektor des Luftverkehrs und der Abschnitte 1.7 und 11.2.8 der Durchführungsverordnung (EU) 2015/1998 der Kommission vom 5. November 2015 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit übermittelt die in Artikel 5 § 1 erwähnte Behörde oder die vom König gemäß Artikel 5 § 2 benannte öffentliche Behörde eine Kopie des in § 1 vorgesehenen Berichts der Flughafeninspektion, der Luftfahrtinspektion oder der Belgian Supervising Authority for Air Navigation Services im Sinne der Artikel 2 Absatz 1 Nr. 1 und 9 und 15 §§ 1 bis 3 des vorerwähnten Königlichen Erlasses vom 2. Dezember 2011, wenn dieser Bericht mit einer Kontrolle bei einer kritischen Infrastruktur im Sinne dieses Königlichen Erlasses zusammenhängt.

In Abweichung von Artikel 20 des Gesetzes vom 30. Juli 2018 über den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten muss die in vorliegendem Paragraphen vorgesehene Übermittlung von Berichten nicht durch ein Protokoll formalisiert werden, sofern: 1. die Übermittlung für die Ausführung von Absatz 2 erforderlich ist, 2.die Behörde, die die Daten empfängt, diese Daten unter Einhaltung der Bestimmungen des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen, des Gesetzes vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit und des Königlichen Erlasses vom 2. Dezember 2011 über die kritischen Infrastrukturen im Teilsektor des Luftverkehrs verarbeitet, 3. die Übermittlung persönliche Identifizierungsdaten wie einen Namen, einen Vornamen, eine private oder berufliche E-Mail-Adresse, Authentifizierungsdaten oder Daten der elektronischen Kommunikation betrifft, 4.die Übermittlung der personenbezogenen Daten auf sichere Weise in einem digitalen Format oder in Papierform erfolgt.

Art. 17 - § 1 - Die in Artikel 20 § 1 erwähnten Protokolle werden von vereidigten Mitgliedern des Inspektionsdienstes erstellt. § 2 - Die nationale Akkreditierungsbehörde und das Belgische Institut für Post- und Fernmeldewesen erhalten auf ihren Antrag und sofern dies erforderlich ist zur Erfüllung der Aufträge wie erwähnt in Artikel VIII.30 § 2 des Wirtschaftsgesetzbuches, Kapitel II der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9.

Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates, den Artikeln 58 Absatz 7 Buchstabe c) und 60 Absatz 1 und 4 des Rechtsakts zur Cybersicherheit oder den Artikeln 107/2 bis 107/5 des Gesetzes vom 13.

Juni 2005 über die elektronische Kommunikation eine Kopie eines Protokolls und jegliche zusätzliche Informationen im Zusammenhang mit einer Kontrolle, die von der in Artikel 5 § 1 erwähnten Behörde oder der vom König gemäß Artikel 5 § 2 benannten öffentlichen Behörde durchgeführt wird.

In Abweichung von Artikel 20 des Gesetzes vom 30. Juli 2018 über den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten muss die in Absatz 1 vorgesehene Übermittlung von Protokollen nicht durch ein Protokoll formalisiert werden, sofern: 1. die Übermittlung für die Ausführung von Absatz 1 erforderlich ist, 2.die Behörde, die die Daten empfängt, diese Daten unter Einhaltung der Bestimmungen des Gesetzes, der Artikel 58 Absatz 7 Buchstabe c) und 60 Absatz 1 und 4 des Rechtsakts zur Cybersicherheit oder der Artikel 107/2 bis 107/5 des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation verarbeitet, 3. die Übermittlung persönliche Identifizierungsdaten wie einen Namen, einen Vornamen, eine private oder berufliche E-Mail-Adresse, Authentifizierungsdaten oder Daten der elektronischen Kommunikation betrifft, 4.die Übermittlung der personenbezogenen Daten auf sichere Weise in einem digitalen Format oder in Papierform erfolgt. § 3 - Unter Einhaltung von Artikel 13 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen und der Artikel 20, 21 § 1 und 33 des Gesetzes vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit übermittelt die in Artikel 5 § 1 erwähnte Behörde oder die vom König gemäß Artikel 5 § 2 benannte öffentliche Behörde eine vollständige Kopie des Protokolls und jegliche zusätzliche Informationen im Zusammenhang mit einer Kontrolle bei einer kritischen Infrastruktur, einem Betreiber wesentlicher Dienste oder einem Anbieter digitaler Dienste im Sinne des vorerwähnten Gesetzes vom 1.

Juli 2011 oder des vorerwähnten Gesetzes vom 7. April 2019 der sektoriellen Behörde und dem Inspektionsdienst, die in den Artikeln 3 Nr. 3 und 24 § 2 des vorerwähnten Gesetzes vom 1. Juli 2011 beziehungsweise in Artikel 7 §§ 3 und 5 des vorerwähnten Gesetzes vom 7. April 2019 erwähnt sind, je nach Anbieter oder Lieferant des betreffenden IKT-Produkts, -Dienstes oder -Prozesses im Sinne von Artikel 2 Nr.12 bis 14 des Rechtsakts zur Cybersicherheit.

Unter Einhaltung von Artikel 11 des Königlichen Erlasses vom 2.

Dezember 2011 über die kritischen Infrastrukturen im Teilsektor des Luftverkehrs und der Abschnitte 1.7 und 11.2.8 der Durchführungsverordnung (EU) 2015/1998 der Kommission vom 5. November 2015 zur Festlegung detaillierter Maßnahmen für die Durchführung der gemeinsamen Grundstandards für die Luftsicherheit übermittelt die in Artikel 5 § 1 erwähnte Behörde oder die vom König gemäß Artikel 5 § 2 benannte öffentliche Behörde eine Kopie des Protokolls und jegliche zusätzliche Informationen im Zusammenhang mit einer Kontrolle bei einer kritischen Infrastruktur im Sinne von Artikel 2 Nr. 3 des vorerwähnten Königlichen Erlasses vom 2. Dezember 2011 der Flughafeninspektion, der Luftfahrtinspektion oder der Belgian Supervising Authority for Air Navigation Services im Sinne der Artikel 2 Absatz 1 Nr. 1 und 9 und 15 §§ 1 bis 3 dieses Königlichen Erlasses.

In Abweichung von Artikel 20 des Gesetzes vom 30. Juli 2018 über den Schutz natürlicher Personen hinsichtlich der Verarbeitung personenbezogener Daten muss die in vorliegendem Paragraphen vorgesehene Übermittlung von Protokollen nicht durch ein Protokoll formalisiert werden, sofern: 1. die Übermittlung für die Ausführung von Absatz 2 erforderlich ist, 2.die Behörde, die die Daten empfängt, diese Daten unter Einhaltung der Bestimmungen des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen, des Gesetzes vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit und des Königlichen Erlasses vom 2. Dezember 2011 über die kritischen Infrastrukturen im Teilsektor des Luftverkehrs verarbeitet, 3. die Übermittlung persönliche Identifizierungsdaten wie einen Namen, einen Vornamen, eine private oder berufliche E-Mail-Adresse, Authentifizierungsdaten oder Daten der elektronischen Kommunikation betrifft, 4.die Übermittlung der personenbezogenen Daten auf sichere Weise in einem digitalen Format oder in Papierform erfolgt.

Art. 18 - § 1 - Gemäß den Artikeln 53 Absatz 3 und 58 Absatz 8 Buchstabe a) des Rechtsakts zur Cybersicherheit unterstützen Konformitätsbewertungsstellen, Inhaber von freiwilligen europäischen Cybersicherheitszertifikaten und Aussteller von EU-Konformitätserklärungen die Mitglieder des Inspektionsdienstes oder die Sachverständigen, die für die Inspektion hinzugezogen werden, in vollem Umfang bei der Ausführung ihrer Aufträge, insbesondere durch bestmögliche Unterrichtung dieser Mitglieder oder Sachverständigen über alle bestehenden Sicherheitsmaßnahmen.

Falls erforderlich stellen Konformitätsbewertungsstellen, Inhaber von freiwilligen europäischen Cybersicherheitszertifikaten oder Aussteller von EU-Konformitätserklärungen den Mitgliedern des Inspektionsdienstes und den Sachverständigen, die für die Inspektion hinzugezogen werden, die erforderliche Ausrüstung zur Verfügung, damit sie bei den Inspektionen den Sicherheitsanweisungen nachkommen können. § 2 - Nach Stellungnahme der in Artikel 5 § 1 erwähnten Behörde kann der König Entgelte für Ausstellungen und Inspektionleistungen im Rahmen des freiwilligen Rückgriffs auf Zertifizierungen und Konformitätserklärungen wie im Rechtsakt zur Cybersicherheit erwähnt festlegen.

Diese Entgelte gehen zu Lasten der Konformitätsbewertungsstellen, Inhaber von freiwilligen europäischen Cybersicherheitszertifikaten und Aussteller von EU-Konformitätserklärungen. Der König legt die Berechnungs- und Zahlungsmodalitäten fest.

KAPITEL 6 - Sanktionen Abschnitt 1 - Verfahren

Art. 19 - § 1 - Werden ein oder mehrere Verstöße gegen die durch den Rechtsakt zur Cybersicherheit, vorliegendes Gesetz oder seine Ausführungserlasse auferlegten Anforderungen oder gegen die Anforderungen freiwilliger Schemata für die Cybersicherheitszertifizierung festgestellt, fordert der Inspektionsdienst den Zuwiderhandelnden auf, innerhalb einer von ihm festgelegten angemessenen Frist seinen Verpflichtungen nachzukommen.

Die Frist wird unter Berücksichtigung der Betriebsbedingungen des Zuwiderhandelnden und der zu ergreifenden Maßnahmen bestimmt. § 2 - Der Inspektionsdienst informiert den Zuwiderhandelnden vorab unter Angabe von Gründen über seine Absicht, ihm eine Inverzugsetzung zu übermitteln, und weist ihn auf sein Recht hin, binnen fünfzehn Tagen ab Erhalt dieser Information schriftlich seine Verteidigungsmittel einzureichen oder um Anhörung zu ersuchen. Es wird davon ausgegangen, dass der Zuwiderhandelnde die Information am sechsten Tag nach ihrer Versendung durch den Inspektionsdienst erhalten hat.

Art. 20 - § 1 - Stellt der Inspektionsdienst fest, dass der Zuwiderhandelnde seinen Verpflichtungen aus dem Gesetz oder dem Rechtsakt zur Cybersicherheit nicht nachgekommen ist, wird der Sachverhalt in einem Protokoll festgehalten, das von den vereidigten Mitgliedern des Inspektionsdienstes erstellt wird. § 2 - Die Tatsache, dass jemand die Ausführung einer Kontrolle durch die Mitglieder des Inspektionsdienstes vorsätzlich verhindert oder behindert, sich weigert, die anlässlich dieser Kontrolle von ihm verlangten Informationen zu übermitteln, oder wissentlich falsche oder unvollständige Angaben macht, wird von den vereidigten Mitgliedern des Inspektionsdienstes in einem Protokoll festgehalten. § 3 - Die von den vereidigten Mitgliedern des Inspektionsdienstes erstellten Protokolle haben Beweiskraft bis zum Gegenbeweis.

Abschnitt 2 - Widerruf eines Zertifikats

Art. 21 - Gemäß Artikel 58 Absatz 8 Buchstabe e) des Rechtsakts zur Cybersicherheit widerruft die in Artikel 5 § 1 erwähnte Behörde ein Cybersicherheitszertifikat, wenn der Begünstigte den Rechtsakt zur Cybersicherheit oder ein europäisches Schema für die Cybersicherheitszertifizierung nicht einhält.

Abschnitt 3 - Beschränkung, Aussetzung oder Widerruf einer Ermächtigung oder Übertragung

Art. 22 - Gemäß Artikel 58 Absatz 7 Buchstabe e) des Rechtsakts zur Cybersicherheit nimmt die in Artikel 5 § 1 erwähnte Behörde Beschränkung, Aussetzung oder Widerruf einer Ermächtigung oder Übertragung zugunsten von Konformitätsbewertungsstellen vor, wenn der Begünstigte der Ermächtigung oder Übertragung den Rechtsakt zur Cybersicherheit oder ein europäisches Schema für die Cybersicherheitszertifizierung nicht einhält.

Abschnitt 4 - Administrative Geldbußen

Art. 23 - § 1 - Mit einer administrativen Geldbuße von 500 bis 75.000 EUR wird bestraft, wer einem Informationsantrag der in Artikel 5 § 1 erwähnten Behörde oder der öffentlichen Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, nicht nachkommt. § 2 - Mit einer administrativen Geldbuße von 500 bis 100.000 EUR wird ein Hersteller oder Anbieter von IKT-Produkten, -Diensten und -Prozessen bestraft, der den in Artikel 53 des Rechtsakts zur Cybersicherheit erwähnten Bestimmungen zur Selbstbewertung der Konformität nicht nachkommt. § 3 - Mit einer administrativen Geldbuße von 500 bis 100.000 EUR wird der Inhaber eines europäischen Cybersicherheitszertifikats mit der Vertrauenswürdigkeitsstufe "niedrig" bestraft, der den Verpflichtungen aus dem entsprechenden europäischen Schema für die Cybersicherheitszertifizierung nicht nachkommt. § 4 - Mit einer administrativen Geldbuße von 500 bis 125.000 EUR wird der Inhaber eines europäischen Cybersicherheitszertifikats mit der Vertrauenswürdigkeitsstufe "mittel" oder "hoch' bestraft, der den Verpflichtungen aus dem entsprechenden europäischen Schema für die Cybersicherheitszertifizierung nicht nachkommt. § 5 - Unbeschadet des Artikels 15 § 5 Absatz 1 Nr. 3 wird mit einer administrativen Geldbuße von 500 bis 150.000 EUR bestraft, wer bei einer Kontrolle nicht mitwirkt, weil er sich weigert, die anlässlich der Kontrolle angeforderten Informationen mitzuteilen, oder wer bei einer Kontrolle auf andere Weise nicht mitwirkt. § 6 - Mit einer administrativen Geldbuße von 500 bis 200.000 EUR wird bestraft, wer wissentlich unrichtige oder unvollständige Informationen übermittelt oder sich einer anderen betrügerischen Handlung oder Unterlassung im Rahmen der Ausführung des Rechtsakts zur Cybersicherheit, des vorliegenden Gesetzes und seiner Ausführungserlasse schuldig macht.

Art. 24 - § 1 - In dem Beschluss, eine administrative Geldbuße aufzuerlegen, werden die Höhe der administrativen Geldbuße und die betroffenen Verstöße angegeben. § 2 - Die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, übermittelt dem Zuwiderhandelnden vorab ihren mit Gründen versehenen Vorschlag einer Verwaltungsstrafe gemäß den Artikeln 21, 22 oder 23 und weist ihn auf sein Recht hin, binnen fünfzehn Tagen ab Erhalt dieses Vorschlags schriftlich seine Verteidigungsmittel einzureichen oder um Anhörung zu ersuchen. Es wird davon ausgegangen, dass der Zuwiderhandelnde den Vorschlag am sechsten Tag nach seiner Versendung durch die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, erhalten hat. § 3 - Unter Berücksichtigung der Verteidigungsmittel, die binnen der in § 2 erwähnten Frist vorgebracht worden sind, oder wenn der Zuwiderhandelnde binnen dieser selben Frist nicht reagiert, kann die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, eine in Artikel 23 erwähnte Verwaltungsstrafe auferlegen. § 4 - Die administrative Geldbuße steht im Verhältnis zu der Schwere, der Dauer, den eingesetzten Mitteln, dem verursachten Schaden und den Umständen der Verstöße.

Bei Rückfall aufgrund der gleichen Verstöße binnen einer Frist von drei Jahren wird die administrative Geldbuße verdoppelt. § 5 - Das Zusammentreffen mehrerer Verstöße kann zu einer einzigen administrativen Geldbuße führen, die im Verhältnis zur Schwere der Gesamtheit der Taten steht.

Art. 25 - Der Beschluss wird dem Zuwiderhandelnden per Einschreibesendung notifiziert.

Dem Beschluss wird eine Aufforderung zur Zahlung der administrativen Geldbuße binnen einer einmonatigen Frist beigefügt.

Art. 26 - Der Zuwiderhandelnde kann den Beschluss, den die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, aufgrund des Kapitels 6 getroffen hat, vor dem Märktegerichtshof anfechten.

Der Märktegerichtshof wird mit der Sache selbst befasst und verfügt über volle Rechtsprechungsbefugnis.

Zur Vermeidung des Verfalls werden Klagen binnen sechzig Tagen nach Notifizierung des Beschlusses der in Artikel 5 § 1 erwähnte Behörde oder der öffentlichen Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, durch kontradiktorische Antragschrift eingereicht.

Die Sache wird wie im Eilverfahren gemäß den Artikeln 1035 bis 1038, 1040 und 1041 des Gerichtsgesetzbuches behandelt.

Art. 27 - § 1 - Versäumt der Zuwiderhandelnde es, die administrative Geldbuße innerhalb der vorgegebenen Frist zu bezahlen, ist der Beschluss zur Auferlegung einer administrativen Geldbuße vollstreckbar und kann die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, einen Zwangsbefehl erlassen.

Zwangsbefehle werden von dem gesetzlichen Vertreter der in Artikel 5 § 1 erwähnten Behörde oder der öffentlichen Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, oder von einem zu diesem Zweck ermächtigten Personalmitglied erlassen. § 2 - Die Zustellung des Zwangsbefehls an den Zuwiderhandelnden erfolgt per Gerichtsvollzieherurkunde. Die Zustellung beinhaltet einen Zahlungsbefehl, in dem unter Androhung der Vollstreckung durch Pfändung dazu aufgefordert wird, binnen vierundzwanzig Stunden zu zahlen, und eine buchhalterische Rechtfertigung für die eingeforderten Beträge und eine Kopie der Vollstreckbarerklärung. § 3 - Der Zuwiderhandelnde kann vor dem Pfändungsrichter gegen den Zwangsbefehl Einspruch erheben.

Der Einspruch muss zur Vermeidung der Nichtigkeit mit Gründen versehen sein. Er wird binnen fünfzehn Tagen nach Zustellung des Zwangsbefehls durch eine Ladung an die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, per Gerichtsvollzieherurkunde erhoben.

Die Bestimmungen von Teil I Kapitel VIII des Gerichtsgesetzbuches finden Anwendung auf diese Frist.

Die Einlegung des Einspruchs gegen den Zwangsbefehl setzt die Vollstreckung des Zwangsbefehls und die Verjährung der im Zwangsbefehl enthaltenen Forderung aus, bis über die Begründetheit des Einspruchs befunden worden ist. Die bereits zu einem früheren Zeitpunkt durchgeführten Pfändungen behalten ihre sichernde Wirkung. § 4 - Die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, darf unter Anwendung der in Teil V des Gerichtsgesetzbuches vorgesehenen Vollstreckungsmittel eine Sicherungspfändung vornehmen lassen und den Zwangsbefehl vollstrecken.

Teilzahlungen infolge der Zustellung eines Zwangsbefehls verhindern nicht die Fortsetzung von Verfolgungen. § 5 - Die Kosten für die Zustellung des Zwangsbefehls und die Kosten für die Vollstreckung oder die Sicherungsmaßnahmen gehen zu Lasten des Zuwiderhandelnden.

Sie werden nach den Regeln festgelegt, die für Handlungen der Gerichtsvollzieher in Zivil- und Handelssachen gelten.

Art. 28 - Die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, kann nach Ablauf einer Frist von drei Jahren ab dem Tag, an dem die Tat begangen worden ist, keine administrative Geldbuße auferlegen.

KAPITEL 7 - Beschwerden Abschnitt 1 - Befassung der nationalen Behörde für die Cybersicherheitszertifizierung

Art. 29 - Gemäß Artikel 63 Absatz 1 des Rechtsakts zur Cybersicherheit nimmt die in Artikel 5 § 1 erwähnte Behörde Beschwerden im Zusammenhang mit einem europäischen Cybersicherheitszertifikat, das von der in Artikel 5 § 1 erwähnten Behörde oder - im Rahmen der in Artikel 10 § 3 oder Artikel 11 § 2 vorgesehenen Übertragung - von einer Konformitätsbewertungsstelle ausgestellt wurde, mit der Verweigerung der Ausstellung eines solchen Zertifikats oder mit einer EU-Konformitätserklärung entgegen und bearbeitet sie.

Art. 30 - Für die Einreichung einer Beschwerde durch eine natürliche oder juristische Person im Sinne von Artikel 63 des Rechtsakts zur Cybersicherheit werden keine Kosten erhoben.

Art. 31 - § 1 - Die zuständige Behörde prüft, ob die Beschwerde zulässig ist. § 2 - Eine Beschwerde ist zulässig, wenn sie: - in einer der Landessprachen verfasst ist, - eine Darlegung des Sachverhalts und die zur Identifizierung des betreffenden europäischen Cybersicherheitszertifikats, der betreffenden Verweigerung der Ausstellung eines Zertifikats oder der betreffenden EU-Konformitätserklärung erforderlichen Angaben enthält, - gemäß dem Rechtsakt zur Cybersicherheit in den Zuständigkeitsbereich der in Artikel 5 § 1 erwähnten Behörde fällt. § 3 - Die zuständige Behörde kann den Beschwerdeführer auffordern, seine Beschwerde zu präzisieren.

Art. 32 - Die Sache wird in der Sprache der Beschwerde bearbeitet.

Art. 33 - Der Beschluss über die Zulässigkeit der Beschwerde wird dem Beschwerdeführer zur Kenntnis gebracht.

Art. 34 - Erklärt die in Artikel 5 § 1 erwähnte Behörde die Beschwerde für zulässig, kann sie die ihr gemäß den Artikeln 10, 11, 21 und 22 erteilten Befugnisse ausüben.

Die in Artikel 5 § 1 erwähnte Behörde kann die beantragte Zertifizierung selbst ausstellen.

Abschnitt 2 - Gerichtlicher Rechtsbehelf

Art. 35 - Gemäß Artikel 64 Absatz 1 des Rechtsakts zur Cybersicherheit kann der Beschwerdeführer den Beschluss, der gemäß Abschnitt 1 von der in Artikel 5 § 1 erwähnten Behörde getroffen worden ist, vor dem Märktegerichtshof anfechten.

Der Märktegerichtshof wird mit der Sache selbst befasst und verfügt über volle Rechtsprechungsbefugnis.

Zur Vermeidung des Verfalls werden Klagen binnen sechzig Tagen nach Notifizierung des Beschlusses der in Artikel 5 § 1 erwähnten Behörde durch kontradiktorische Antragschrift eingereicht.

Die Sache wird wie im Eilverfahren gemäß den Artikeln 1035 bis 1038, 1040 und 1041 des Gerichtsgesetzbuches behandelt.

Durch diese Beschwerde wird die Ausführung des Beschlusses nicht ausgesetzt.

KAPITEL 8 - Verarbeitung personenbezogener Daten Abschnitt 1 - Grundsätze in Sachen Verarbeitung, Rechtsgrundlage und Zwecke

Art. 36 - § 1 - Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken: 1. Ausstellung der europäischen Cybersicherheitszertifikate und Bearbeitung der diesbezüglichen Beschwerden durch die in Artikel 5 § 1 erwähnte Behörde, 2.Kontrolle der Inhaber von europäischen Cybersicherheitszertifikaten, der Aussteller von EU-Konformitätserklärungen und der Konformitätsbewertungsstellen und gegebenenfalls Auferlegung von Sanktionen gemäß den Kapiteln 5 und 6, 3. Teilnahme der in Artikel 5 § 1 erwähnten Behörde oder jeder anderen öffentlichen Behörde, die dies beantragt, an der EGCZ, 4.Zusammenarbeit mit den sektoriellen Behörden und den Inspektionsdiensten, die in den Artikeln 3 Nr. 3 und 24 § 2 des Gesetzes vom 1. Juli 2011 über die Sicherheit und den Schutz der kritischen Infrastrukturen, in Artikel 7 §§ 3 und 5 des Gesetzes vom 7. April 2019 zur Festlegung eines Rahmens für die Sicherheit von Netz- und Informationssystemen von allgemeinem Interesse für die öffentliche Sicherheit beziehungsweise in den Artikeln 2 Absatz 1 Nr. 1 und 9 und 15 §§ 1 bis 3 des Königlichen Erlasses vom 2. Dezember 2011 über die kritischen Infrastrukturen im Teilsektor des Luftverkehrs erwähnt sind, die je nach Anbieter oder Lieferant des betreffenden IKT-Produkts, -Dienstes oder -Prozesses im Sinne von Artikel 2 Nr. 12 bis 14 des Rechtsakts zur Cybersicherheit zuständig sind, im Rahmen ihrer Befugnisse gemäß Artikel 24 § 1 des vorerwähnten Gesetzes vom 1. Juli 2011 oder den Artikeln 7 § 3 Absatz 1 und § 5 und 42 § 1 des vorerwähnten Gesetzes vom 7. April 2019, 5. Zusammenarbeit gemäß Artikel 58 Absatz 7 Buchstabe a), c) und h) des Rechtsakts zur Cybersicherheit mit öffentlichen Behörden mit besonderen Aufträgen im Bereich der Cybersicherheit im Sinne von Artikel 2 Absatz 1 dieses Rechtsakts. § 2 - Die in Artikel 5 § 1 erwähnte Behörde und die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, sind jeweils für die Verarbeitungen verantwortlich, die sie für die in § 1 erwähnten Zwecke durchführen. § 3 - Folgende Kategorien von personenbezogenen Daten werden von den in § 2 erwähnten für die Verarbeitung Verantwortlichen verarbeitet: 1. für den in § 1 Nr.1 erwähnten Zweck: die Identifizierungsdaten der natürlichen Personen, die direkt an einem Antrag auf Ausstellung eines europäischen Cybersicherheitszertifikats oder an einer diesbezüglichen Beschwerde durch die in Artikel 5 § 1 erwähnte Behörde beteiligt sind, das heißt Name, Vorname, Anschrift, Telefonnummer und E-Mail-Adresse, 2. für den in § 1 Nr.2 erwähnten Zweck: jegliche personenbezogenen Daten, die für die Ausführung der in den Kapiteln 5 und 6 erwähnten Kontroll- und Ahndungssaufträge erforderlich sind, 3. für den in § 1 Nr.3 erwähnten Zweck: die Identifikationsdaten der natürlichen Personen, die an der EGCZ teilnehmen sollen, das heißt Name, Vorname, Anschrift, Telefonnummer und E-Mail-Adresse, 4. für den in § 1 Nr.4 erwähnten Zweck: Identifizierungsdaten, das heißt Name, Vorname, Anschrift, Telefonnummer und E-Mail-Adresse oder elektronische Kommunikationsdaten im Sinne von Artikel 2 Nr. 91 des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation, die direkt mit dem Anbieter oder Lieferanten des betreffenden IKT-Produkts, -Dienstes oder -Prozesses im Sinne von Artikel 2 Nr. 12 bis 14 des Rechtsakts zur Cybersicherheit verbunden sind und vom Inspektionsdienst im Rahmen seiner Kontroll- und Ahndungsaufträge gemäß den Kapiteln 5 und 6 erfasst werden; diese Daten dürfen sich nicht auf natürliche Personen, die Kunden des betreffenden Inhabers von europäischen Cybersicherheitszertifikaten oder des betreffenden Ausstellers von EU-Konformitätserklärungen sind, beziehen oder auf personenbezogene Daten, die diese Kunden verarbeiten, 5. für den in § 1 Nr.5 erwähnten Zweck: Identifizierungsdaten, das heißt Name, Vorname, Anschrift, Telefonnummer und E-Mail-Adresse oder elektronische Kommunikationsdaten im Sinne von Artikel 2 Nr. 91 des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation, die direkt mit dem Anbieter oder Lieferanten des betreffenden IKT-Produkts, -Dienstes oder -Prozesses im Sinne von Artikel 2 Nr. 12 bis 14 des Rechtsakts zur Cybersicherheit verbunden sind und vom Inspektionsdienst im Rahmen seiner Kontroll- und Ahndungsaufträge gemäß den Kapiteln 5 und 6 erfasst werden; diese Daten dürfen sich nicht auf natürliche Personen, die Kunden des betreffenden Inhabers von europäischen Cybersicherheitszertifikaten oder des betreffenden Ausstellers von EU-Konformitätserklärungen sind, beziehen oder auf personenbezogene Daten, die diese Kunden verarbeiten.

In dem in Absatz 1 Nr. 2 erwähnten Fall dürfen personenbezogene Daten der Kunden der Inhaber von europäischen Cybersicherheitszertifikaten oder der Aussteller von EU-Konformitätserklärungen und personenbezogene Daten, die diese Kunden verarbeiten, nur verarbeitet werden, wenn sie sich für die in Kapitel 5 erwähnten Kontrollaufgaben als erforderlich erweisen.

Sofern möglich werden die in Absatz 2 erwähnten Daten pseudonymisiert beziehungsweise aggregiert, sodass das Risiko vermindert wird, personenbezogene Daten auf eine Weise zu verwenden, die mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) oder den Gesetzen und Verordnungen, die diese Verordnung ergänzen oder näher bestimmen, unvereinbar ist. § 4 - Unbeschadet des Paragraphen 3 Nr. 2 darf der Informationsaustausch zwischen öffentlichen Behörden wie in vorliegendem Gesetz erwähnt weder personenbezogene Daten der Kunden der Inhaber von europäischen Cybersicherheitszertifikaten oder der Aussteller von EU-Konformitätserklärungen noch von diesen Kunden verarbeitete personenbezogene Daten enthalten. § 5 - Personenbezogene Daten folgender Kategorien von Personen können verarbeitet werden: 1. natürliche Personen, die für Konformitätsbewertungsstellen, Inhaber von europäischen Cybersicherheitszertifikaten, Aussteller von EU-Konformitätserklärungen oder öffentliche Behörden tätig sind, 2.natürliche Personen, die an einer Kontrolle oder Anhörung im Rahmen der in Kapitel 5 vorgesehenen Kontrollaufträge teilnehmen, 3. natürliche Personen, die eine Beschwerde einreichen, 4.natürliche Personen, die an der EGCZ teilnehmen, 5. natürliche Personen, deren personenbezogene Daten im Rahmen von IKT-Produkten, -Diensten oder -Prozessen im Sinne von Artikel 2 Nr.12 bis 14 des Rechtsakts zur Cybersicherheit erfasst sind.

Art. 37 - § 1 - In Anwendung von Artikel 23 Absatz 1 Buchstabe c), e) und h) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) werden bestimmte Pflichten und Rechte, die in der erwähnten Verordnung vorgesehen sind, gemäß den Bestimmungen des vorliegenden Artikels beschränkt oder ausgeschlossen. Diese Beschränkungen beziehungsweise Ausschlüsse beeinträchtigen nicht den Wesensgehalt der Grundrechte und -freiheiten und werden in dem für den verfolgten Zweck unbedingt erforderlichen Umfang angewandt. § 2 - Für den in Artikel 36 § 1 Nr. 2 erwähnten Zweck finden die Artikel 12 bis 16, 18 und 19 der erwähnten Verordnung keine Anwendung auf die Verarbeitung personenbezogener Daten durch die in Artikel 5 § 1 erwähnte Behörde oder die öffentliche Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, die als für die Datenverarbeitung Verantwortlicher handelt, sofern die Ausübung der in diesen Artikeln verankerten Rechte die Erfordernisse der Kontrolle oder der Verrichtungen zur Vorbereitung dieser Kontrolle beeinträchtigen würde. § 3 - Die Befreiung gilt vorbehaltlich des Grundsatzes der Verhältnismäßigkeit und gegebenenfalls der Datenminimierung für alle Kategorien personenbezogener Daten, soweit die Verarbeitung dieser Daten in Übereinstimmung mit den vorerwähnten Zwecken erfolgt. Diese Befreiung gilt ebenfalls für vorbereitende Verrichtungen oder Verfahren im Hinblick auf die eventuelle Anwendung einer Verwaltungsstrafe. § 4 - Die Befreiung gilt nur während des Zeitraums, in dem die betreffende Person kontrolliert wird oder ihr gegenüber Verrichtungen zur Vorbereitung einer Kontrolle vorgenommen werden, soweit die Ausübung der Rechte, die Gegenstand der in vorliegendem Artikel erwähnten Befreiung sind, die Erfordernisse der Kontrolle oder der Verrichtungen zur Vorbereitung dieser Kontrolle beeinträchtigen würde, und gilt in jedem Fall nur bis zu einem Jahr nach Eingang des Antrags auf Ausübung des Rechts, das Gegenstand der in vorliegendem Artikel vorgesehenen Abweichung ist.

Die Dauer der in Absatz 1 erwähnten vorbereitenden Verrichtungen, während deren die in § 2 erwähnten Artikel keine Anwendung finden, darf ein Jahr ab Eingang eines Antrags auf Anwendung eines in diesen Artikeln verankerten Rechts nicht überschreiten. § 5 - Bei Eingang eines Antrags in Bezug auf Ausübung eines der Rechte, die in den in § 2 erwähnten Artikeln verankert sind, bestätigt der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen den Eingang.

Der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen informiert die betreffende Person schnellstmöglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags, schriftlich über jede Verweigerung oder Einschränkung der Rechte, die in den in § 2 erwähnten Artikeln verankert sind, und über die Gründe für diese Verweigerung oder Einschränkung. Diese Information in Bezug auf die Verweigerung oder Einschränkung sollte unterbleiben, wenn ihre Mitteilung den in § 2 erwähnten Zweck zu gefährden droht. Die Frist kann um zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl Anträge erforderlich ist. Der für die Verarbeitung Verantwortliche unterrichtet die betreffende Person innerhalb eines Monats nach Eingang des Antrags über diese Fristverlängerung und die Gründe für die Verzögerung.

Der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen unterrichtet die betreffende Person über die Möglichkeiten, bei der Datenschutzbehörde Beschwerde einzureichen oder einen gerichtlichen Rechtsbehelf einzulegen.

Der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen hält die sachlichen oder rechtlichen Gründe der Entscheidung fest.

Diese Angaben werden der Datenschutzbehörde zur Verfügung gestellt.

Hat der Inspektionsdienst von der in § 2 erwähnten Befreiung Gebrauch gemacht, so wird diese nach Abschluss der Kontrolle unverzüglich aufgehoben. Der Datenschutzbeauftragte des für die Verarbeitung Verantwortlichen unterrichtet die betreffende Person sofort hierüber.

Abschnitt 2 - Aufbewahrungsfrist

Art. 38 - Unbeschadet der Aufbewahrung, die für die weitere, in Artikel 89 der Verordnung (EU) 2016/679 erwähnte Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erforderlich ist, werden die personenbezogenen Daten, die von der in Artikel 5 § 1 erwähnten Behörde oder der öffentlichen Behörde, die der König zur Erfüllung von bestimmten in den Kapiteln 5 und 6 erwähnten Aufträgen benannt hat, zur Erfüllung der in Artikel 36 § 1 erwähnten Zwecke verarbeitet werden, unbeschadet etwaiger Rechtsbehelfe von dem für die Verarbeitung Verantwortlichen während zehn Jahren nach Abschluss der Verarbeitung aufbewahrt.

KAPITEL 9 - Abänderungsbestimmungen Abschnitt 1 - Abänderungen des Gesetzes vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors

Art. 39 - 40 - [Abänderungen des Gesetzes vom 17. Januar 2003 über das Statut der Regulierungsinstanz des belgischen Post- und Telekommunikationssektors] Abschnitt 2 - Abänderungen des Gesetzes vom 2. August 2002 über die Aufsicht über den Finanzsektor und die Finanzdienstleistungen

Art. 41 - Artikel 45 des Gesetzes vom 2. August 2002 über die Aufsicht über den Finanzsektor und die Finanzdienstleistungen, zuletzt abgeändert durch das Gesetz vom 23. Februar 2022, wird durch einen Paragraphen 6 mit folgendem Wortlaut ergänzt: " § 6 - Auf Antrag der FSMA und je nach Gegenstand des betreffenden Schemas für die Cybersicherheitszertifizierung kann der König der FSMA - sofern die FSMA über die für diese Zwecke erforderliche Fachkompetenz verfügt - durch einen im Ministerrat beratenen Erlass ganz oder teilweise die Aufträge erteilen, die in den Kapiteln 5 und 6 - mit Ausnahme der Artikel 21 und 22 - des Gesetzes vom 20. Juli 2022 über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Benennung einer nationalen Behörde für die Cybersicherheitszertifizierung erwähnt sind. In diesem Fall holt der König die Stellungnahme der in Artikel 5 § 1 des vorerwähnten Gesetzes erwähnten Behörde und der FSMA ein und stimmt sich vorab mit ihnen ab. Die FSMA übt diese Kontrollaufträge nur gegenüber Einrichtungen aus, über die sie gemäß § 1 Nr. 2 und den Sondergesetzen, die die Aufsicht über Finanzinstitute regeln, die Aufsicht ausübt."

Art. 42 - Artikel 75 § 1 desselben Gesetzes, zuletzt abgeändert durch das Gesetz vom 23. Februar 2022, wird durch eine Nr. 27 mit folgendem Wortlaut ergänzt: "27. der in Artikel 5 § 1 des Gesetzes vom 20. Juli 2022 über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Benennung einer nationalen Behörde für die Cybersicherheitszertifizierung erwähnten Behörde oder den vom König gemäß Artikel 5 § 2 desselben Gesetzes benannten Behörden." Abschnitt 3 - Abänderungen des Gesetzes vom 22. Februar 1998 zur Festlegung des Grundlagenstatuts der Belgischen Nationalbank

Art. 43 - 44 - [Abänderungen des Gesetzes vom 22. Februar 1998 zur Festlegung des Grundlagenstatuts der Belgischen Nationalbank] Abschnitt 4 - Abänderungen des Wirtschaftsgesetzbuches

Art. 45 - Artikel I.20 des Wirtschaftsgesetzbuches, eingefügt durch das Gesetz vom 17. Juli 2013 und zuletzt abgeändert durch das Gesetz vom 8. Mai 2022, wird durch eine Nr. 12 mit folgendem Wortlaut ergänzt: "12. Rechtsakt zur Cybersicherheit: Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013."

Art. 46 - In Buch XV Titel 1 Kapitel 2 desselben Gesetzbuches, eingefügt durch das Gesetz vom 20. November 2013, wird ein Abschnitt 10 mit der Überschrift "Cybersicherheitszertifizierung" eingefügt.

Art. 47 - In Abschnitt 10, eingefügt durch Artikel 46, wird ein Unterabschnitt 1 mit der Überschrift "Unterabschnitt 1 - Freiwillige Cybersicherheitszertifizierung" eingefügt.

Art. 48 - In Unterabschnitt 1, eingefügt durch Artikel 47, wird ein Artikel XV.30/3 mit folgendem Wortlaut eingefügt: "Art. XV.30/3 - Für die freiwillige Cybersicherheitszertifizierung kann der König durch einen im Ministerrat beratenen Erlass bestimmte Aufträge, die in den Kapiteln 5 und 6 - mit Ausnahme der Artikel 21 und 22 - des Gesetzes vom 20. Juli 2022 über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Benennung einer nationalen Behörde für die Cybersicherheitszertifizierung erwähnt sind, bestimmten Bediensteten des FÖD Wirtschaft übertragen, sofern der FÖD Wirtschaft über die für diese Zwecke erforderliche Fachkompetenz verfügt. In diesem Fall holt der König die Stellungnahme der in Artikel 5 § 1 des vorerwähnten Gesetzes erwähnten Behörde ein und stimmt sich vorab mit ihr ab. Der FÖD Wirtschaft übt diese Kontrollaufträge nur in Bezug auf Produkte oder Einrichtungen aus, die durch vorliegendes Gesetzbuch, seine Ausführungserlasse oder Verordnungen der Europäischen Union in Bezug auf Angelegenheiten geregelt sind, die gemäß den Büchern VI, VII, IX und XII des vorliegenden Gesetzbuches in die Verordnungsbefugnis des Königs fallen."

Art. 49 - In Abschnitt 10, eingefügt durch Artikel 46, wird ein Unterabschnitt 2 mit der Überschrift "Unterabschnitt 2 - Verbindlich vorgeschriebene Cybersicherheitszertifizierung" eingefügt.

Art. 50 - In Unterabschnitt 2, eingefügt durch Artikel 49, wird ein Artikel XV.30/4 mit folgendem Wortlaut eingefügt: "Art. XV.30/4 - § 1 - Für die aufgrund des Unionsrechts oder des nationalen Rechts nach Stellungnahme der nationalen Behörde für die Cybersicherheitszertifizierung verbindlich vorgeschriebene Cybersicherheitszertifizierung kann der König durch einen im Ministerrat beratenen Erlass bestimmte Kontrollaufträge in Bezug auf den Rechtsakt zur Cybersicherheit oder das Gesetz vom 20. Juli 2022 über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Benennung einer nationalen Behörde für die Cybersicherheitszertifizierung bestimmten Bediensteten des FÖD Wirtschaft übertragen, sofern der FÖD Wirtschaft über die für diese Zwecke erforderliche Fachkompetenz verfügt. § 2 - Die in § 1 erwähnten Kontrollaufträge, einschließlich der Ermittlung, Feststellung, Verfolgung und Ahndung von Verstößen, werden gemäß den Bestimmungen des vorliegenden Buches durchgeführt."

Art. 51 - In Buch XV Titel 3 Kapitel 2 Abschnitt 11/3 desselben Gesetzbuches, eingefügt durch das Gesetz vom 18. April 2017, werden Artikel XV.125/4/1 und XV.125/4/2 mit folgendem Wortlaut eingefügt: "Art. XV.125/4/1 - Im Rahmen der in Artikel XV.30/4 erwähnten Aufsicht wird mit einer Sanktion der Stufe 2 geahndet: 1. der Inhaber eines aufgrund des Unionsrechts oder des nationalen Rechts verbindlich vorgeschriebenen Cybersicherheitszertifikats mit der Vertrauenswürdigkeitsstufe "niedrig", der den Verpflichtungen aus dem entsprechenden Schema für die Cybersicherheitszertifizierung nicht nachkommt, 2.wer bei einer Kontrolle nicht mitwirkt, weil er sich weigert, die anlässlich der Kontrolle angeforderten Informationen mitzuteilen, oder wer bei einer Kontrolle auf andere Weise nicht mitwirkt.

Art. XV.125/4/2 - Im Rahmen der in Artikel XV.30/4 erwähnten Aufsicht wird mit einer Sanktion der Stufe 3 geahndet: 1. der Inhaber eines aufgrund des Unionsrechts oder des nationalen Rechts verbindlich vorgeschriebenen Cybersicherheitszertifikats mit der Vertrauenswürdigkeitsstufe "mittel" oder "hoch", der den Verpflichtungen aus dem entsprechenden Schema für die Cybersicherheitszertifizierung nicht nachkommt, 2.wer wissentlich unrichtige oder unvollständige Informationen übermittelt oder sich einer anderen betrügerischen Handlung oder Unterlassung im Rahmen der Ausführung des Rechtsakts zur Cybersicherheit schuldig macht." KAPITEL 10 - Inkrafttreten

Art. 52 - Vorliegendes Gesetz tritt am Tag seiner Veröffentlichung im Belgischen Staatsblatt in Kraft.

Wir fertigen das vorliegende Gesetz aus und ordnen an, dass es mit dem Staatssiegel versehen und durch das Belgische Staatsblatt veröffentlicht wird.

Gegeben zu Brüssel, den 20. Juli 2022 PHILIPPE Von Königs wegen: Der Premierminister A. DE CROO Der Minister der Wirtschaft P -Y. DERMAGNE Der Minister der Finanzen, beauftragt mit der Koordinierung der Betrugsbekämpfung V. VAN PETEGHEM Die Ministerin des Fernmeldewesens und der Post P. DE SUTTER Mit dem Staatssiegel versehen: Der Minister der Justiz V. VAN QUICKENBORNE