Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique | Koninklijk besluit tot uitvoering van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid |
---|---|
9 JUIN 2024. - Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut. Vu la Constitution, l'article 108 ; | 9 JUNI 2024. - Koninklijk besluit tot uitvoering van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet. Gelet op de Grondwet, artikel 108; |
Vu la loi du 26 avril 2024 établissant un cadre pour la cybersécurité | Gelet op de wet van 26 april 2024 tot vaststelling van een kader voor |
des réseaux et des systèmes d'information d'intérêt général pour la | de cyberbeveiliging van netwerk- en informatiesystemen van algemeen |
sécurité publique, les articles 15, §§ 1er et 2, alinéa 1er, 17, 7° et | belang voor de openbare veiligheid, de artikelen 15, §§ 1 en 2, eerste |
10°, 39, alinéa 1er, 40, § 1er, alinéa 1er, 41, 47, § 1er, 50, § 2, | lid, 17, 7° en 10°, 39, eerste lid, 40, § 1, eerste lid, 41, 47, § 1, |
63, §§ 1er et 2, et 75; | 50, § 2, 63, §§ 1 en 2, en 75; |
Vu l'arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 | Gelet op het koninklijk besluit van 12 juli 2019 tot uitvoering van de |
avril 2019 établissant un cadre pour la sécurité des réseaux et des | wet van 7 april 2019 tot vaststelling van een kader voor de |
systèmes d'information d'intérêt général pour la sécurité publique, | beveiliging van netwerk- en informatiesystemen van algemeen belang |
ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la | voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende |
protection des infrastructures critiques; | de beveiliging en de bescherming van de kritieke infrastructuren; |
Vu l'avis de l'Inspecteur des Finances, donné le 30 octobre 2023; | Gelet op het advies van de Inspecteur van Financiën, gegeven op 30 |
Vu l'accord de la Secrétaire d'Etat au Budget, donné le 7 novembre 2023; | oktober 2023; Gelet op de akkoordbevinding van de Staatssecretaris voor Begroting, gegeven op 7 november 2023; |
Vu la demande d'avis dans un délai de trente jours, adressée au | Gelet op de adviesaanvraag binnen dertig dagen, die op 19 april 2024 |
Conseil d'Etat le 19 avril 2024, en application de l'article 84, § 1er, | bij de Raad van State is ingediend, met toepassing van artikel 84, § |
alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973; | 1, eerste lid, 2°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973; |
Considérant l'absence de communication de l'avis dans ce délai; | Overwegende dat het advies niet is meegedeeld binnen die termijn; |
Vu l'article 84, § 5, des lois sur le Conseil d'Etat, coordonnées le | Gelet op artikel 84, § 5, van de wetten op de Raad van State, |
12 janvier 1973; | gecoördineerd op 12 januari 1973; |
Considérant l'arrêté royal du 10 octobre 2014 portant création du | Overwegende het koninklijk besluit van 10 oktober 2014 tot oprichting |
Centre pour la Cybersécurité Belgique; | van het Centrum voor Cybersecurity België; |
Sur la proposition du Premier Ministre et de la Ministre de | Op de voordracht van de Eerste Minister en de Minister van |
l'Intérieur et de l'avis des Ministres qui en ont délibéré en Conseil, | Binnenlandse Zaken en op het advies van de in Raad vergaderde Ministers, |
Nous avons arrêté et arrêtons : | Hebben Wij besloten en besluiten Wij : |
CHAPITRE 1er - Objet et définitions | HOOFDSTUK 1 - Voorwerp en definities |
Article 1er.Le présent arrêté vise à transposer la directive |
Artikel 1.Dit besluit voorziet in de omzetting van de Europese |
européenne (UE) 2022/2555 du Parlement Européen et du Conseil du 14 | richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 |
décembre 2022 concernant des mesures destinées à assurer un niveau | december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau |
élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le | van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) |
règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et | nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van |
abrogeant la directive (UE) 2016/1148. | Richtlijn (EU) 2016/1148. |
Art. 2.Pour l'application du présent arrêté, les définitions visées à |
Art. 2.Voor de toepassing van dit besluit zijn de definities bedoeld |
l'article 8 de la loi du 26 avril 2024 établissant un cadre pour la | in artikel 8 van de wet van 26 april 2024 tot vaststelling van een |
cybersécurité des réseaux et des systèmes d'information d'intérêt | kader voor de cyberbeveiliging van netwerk- en informatiesystemen van |
général pour la sécurité publique sont d'application. | algemeen belang voor de openbare veiligheid van toepassing. |
Pour l'application du présent arrêté, il faut entendre par : | Voor de toepassing van dit besluit, moet worden verstaan onder: |
1° « loi NIS2 » : la loi du 26 avril 2024 établissant un cadre pour la | 1° "NIS2-wet" : de wet van 26 april 2024 tot vaststelling van een |
cybersécurité des réseaux et des systèmes d'information d'intérêt | kader voor de cyberbeveiliging van netwerk- en informatiesystemen van |
général pour la sécurité publique; | algemeen belang voor de openbare veiligheid; |
2° « évaluation de la conformité » : évaluation visée à l'article 2, | 2° "conformiteitsbeoordeling": de beoordeling bedoeld in artikel 2, |
point 12 du Règlement (CE) n° 765/2008 du Parlement européen et du | punt 12 van Verordening (EG) nr. 765/2008 van het Europees Parlement |
Conseil du 9 juillet 2008 fixant les prescriptions relatives à | en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake |
l'accréditation et à la surveillance du marché pour la | accreditatie en markttoezicht betreffende het verhandelen van |
commercialisation des produits et abrogeant le règlement (CEE) n° | producten en tot intrekking van Verordening (EEG) nr. 339/93; |
339/93 du Conseil; 3° « attestation de conformité » : délivrance d'une affirmation de | 3° "conformiteitsattest": afgifte van een bevestiging van conformiteit |
conformité basée sur une décision indiquant que le respect des | gebaseerd op een beslissing die de naleving van de gespecifieerde |
exigences spécifiées a été démontré. Le document peut contenir le | eisen aantoont. Het document kan het resultaat bevatten van een |
résultat d'une vérification ou certification; | verificatie of certificering; |
4° « vérification » : confirmation d'une déclaration, par des preuves | 4° "verificatie": bevestiging van een verklaring door middel van |
objectives, que les exigences spécifiées ont été satisfaites; | objectieve bewijzen, dat aan de gespecifieerde einsen is voldaan; |
5° « déclaration » : informations déclarées par l'entité. | 5° "verklaring": door de entiteit verklaarde informatie. |
CHAPITRE 2 - Désignation des autorités compétentes | HOOFDSTUK 2 - Aanwijzing van de bevoegde autoriteiten |
Art. 3.§ 1er. Le Centre pour la Cybersécurité Belgique, créé par |
Art. 3.§ 1. Het Centrum voor Cybersecurity België, opgericht bij het |
l'arrêté royal du 10 octobre 2014 portant création du Centre pour la | koninklijk besluit van 10 oktober 2014 tot oprichting van het Centrum |
Cybersécurité Belgique, est désigné comme autorité nationale de | voor Cybersecurity België, wordt aangewezen als nationale |
cybersécurité. | cyberbeveiligingsautoriteit. |
§ 2. Les autorités suivantes sont désignées comme autorités | § 2. De volgende autoriteiten worden aangewezen als sectorale |
sectorielles : | overheden: |
1° pour le secteur de l'énergie : le ministre fédéral ayant l'Energie | 1° voor de sector energie: de federale minister bevoegd voor Energie |
dans ses attributions ou, par délégation de celui-ci, un membre | of, bij delegatie door deze laatste, een leidend personeelslid van |
dirigeant du personnel de son administration (le cas échéant, le | zijn/haar administratie (in voorkomend geval kan de minister per |
ministre peut désigner un délégué différent par sous-secteur); | deelsector een andere gemachtigde aanwijzen); |
2° pour le secteur des transports : | 2° voor de sector vervoer: |
- en ce qui concerne le secteur du transport, à l'exception du | - wat betreft de sector vervoer, met uitzondering van het vervoer over |
transport par eau : le ministre fédéral compétent pour le Transport, | water: de federale minister bevoegd voor Vervoer of, bij delegatie |
ou par délégation de celui-ci, un membre dirigeant du personnel de son | door deze laatste, een leidend personeelslid van zijn/haar |
administration (le cas échéant, le ministre peut désigner un délégué | administratie (in voorkomend geval kan de minister per deelsector een |
différent par sous-secteur); | andere gemachtigde aanwijzen); |
- en ce qui concerne le transport par eau: le ministre fédéral | - wat betreft het vervoer over water: de federale minister bevoegd |
compétent pour la Mobilité maritime, ou par délégation de celui-ci, un | voor Maritieme Mobiliteit of, bij delegatie door deze laatste, een |
membre dirigeant du personnel de son administration (le cas échéant, | leidend personeelslid van zijn/haar administratie (in voorkomend geval |
le Ministre peut désigner un délégué différent par sous-secteur); | kan de minister per deelsector een andere gemachtigde aanwijzen); |
3° pour le secteur de la santé : | 3° voor de sector gezondheidszorg: |
- en ce qui concerne les entités exerçant des activités de recherche | - wat betreft entiteiten die onderzoeks- en ontwikkelingsactiviteiten |
et de développement dans le domaine des médicaments au sens de | uitvoeren met betrekking tot geneesmiddelen zoals gedefinieerd in |
l'article 1er, point 2, de la directive 2001/83/CE du Parlement | artikel 1, punt 2, van Richtlijn 2001/83/EG van het Europees Parlement |
européen et du Conseil du 6 novembre 2001 instituant un code | en de Raad van 6 november 2001 tot vaststelling van een communautair |
communautaire relatif aux médicaments à usage humain; les entités | wetboek betreffende geneesmiddelen voor menselijk gebruik; entiteiten |
fabriquant des produits pharmaceutiques de base et des préparations | die farmaceutische basisproducten en farmaceutische bereidingen |
pharmaceutiques au sens de l'annexe I, section C, division 21 du | vervaardigen als bedoeld in bijlage I, sectie C, afdeling 21, van |
Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 | Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad |
décembre 2006 établissant la nomenclature statistique des activités | van 20 december 2006 tot vaststelling van de statistische |
économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du | classificatie van economische activiteiten NACE Rev. 2 en tot |
wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen | |
Conseil ainsi que certains règlements (CE) relatifs à des domaines | op specifieke statistische gebieden; en entiteiten die medische |
statistiques spécifiques; et les entités fabriquant des dispositifs | hulpmiddelen vervaardigen die in het kader van de noodsituatie op het |
médicaux considérés comme critiques en cas d'urgence de santé publique | gebied van de volksgezondheid als kritiek worden beschouwd ("de lijst |
(liste des dispositifs médicaux critiques en cas d'urgence de santé | van in een noodsituatie op het gebied van de volksgezondheid kritieke |
publique) au sens de l'article 22 du règlement (UE) 2022/123 du | hulpmiddelen") in de zin van artikel 22 van Verordening (EU) 2022/123 |
Parlement européen et du Conseil du 25 janvier 2022 relatif à un rôle | van het Europees Parlement en de Raad van 25 januari 2022 betreffende |
renforcé de l'Agence européenne des médicaments dans la préparation | een grotere rol van het Europees Geneesmiddelenbureau inzake |
aux crises et la gestion de celles-ci en ce qui concerne les | crisisparaatheid en -beheersing op het gebied van geneesmiddelen en |
médicaments et les dispositifs médicaux : l'Agence fédérale des | medische hulpmiddelen: het Federaal Agentschap voor Geneesmiddelen en |
médicaments et des produits de santé créée par la loi du 20 juillet | Gezondheidsproducten opgericht door de wet van 20 juli 2006 |
2006 relative à la création et au fonctionnement de l'Agence fédérale | betreffende de oprichting en de werking van het federaal Agentschap |
des médicaments et des produits de santé; | voor geneesmiddelen en gezondheidsproducten; |
- en ce qui concerne les autres types d'entités du secteur de la santé | - wat betreft de andere soorten entiteiten van de sector |
: le ministre fédéral ayant la Santé publique dans ses attributions | gezondheidszorg: de federale minister bevoegd voor Volksgezondheid of, |
ou, par délégation de celui-ci, un membre dirigeant du personnel de | bij delegatie door deze laatste, een leidend personeelslid van |
son administration; | zijn/haar administratie; |
4° pour le secteur de l'infrastructure numérique, uniquement en ce qui | 4° voor de sector digitale infrastructuur, alleen voor wat betreft de |
concerne les prestataires de services de confiance : le ministre | verleners van vertrouwensdiensten: de federale minister bevoegd voor |
fédéral ayant l'Economie dans ses attributions ou, par délégation de | Economie of, bij delegatie door deze laatste, een leidend |
celui-ci, un membre dirigeant du personnel de son administration; | personeelslid van zijn/haar administratie; |
5° pour le secteur des fournisseurs numériques : le ministre fédéral | 5° voor de sector digitale aanbieders: de federale minister bevoegd |
ayant l'Economie dans ses attributions ou, par délégation de celui-ci, | voor Economie of, bij delegatie door deze laatste, een leidend |
un membre dirigeant du personnel de son administration; | personeelslid van zijn/haar administratie; |
6° pour les secteurs de l'espace et de la recherche : le ministre | 6° voor de sector ruimtevaart en de sector onderzoek: de federale |
fédéral de la Politique scientifique ou par délégation de celui-ci, un | minister van Wetenschapsbeleid of bij delegatie door deze laatste, een |
membre dirigeant du personnel de son administration; | leidend personeelslid van zijn/haar administratie; |
7° pour le sous-secteur de la fabrication de dispositifs médicaux et | 7° voor de deelsector vervaardiging van medische hulpmiddelen en |
de dispositifs médicaux de diagnostic in vitro, du secteur de la | medische hulpmiddelen voor in-vitrodiagnostiek, van de sector |
fabrication : l'Agence fédérale des médicaments et des produits de | vervaardiging: het Federaal Agentschap voor Geneesmiddelen en |
santé. | Gezondheidsproducten. |
CHAPITRE 3 - Cadres de référence pour l'évaluation périodique de la | HOOFDSTUK 3 - Referentiekaders voor de regelmatige |
conformité | conformiteitsbeoordeling |
Art. 4.§ 1er. L'autorité nationale de cybersécurité élabore, en |
Art. 4.§ 1. De nationale cyberbeveiligingsautoriteit zorgt, in |
concertation avec les parties prenantes concernées, maintient à jour | overleg met de relevante belanghebbenden, voor de uitwerking, |
et met à disposition du public, notamment sur son site internet, un | actualisering en openbaarmaking, met name via haar website, van een |
cadre de référence reprenant les modalités pratiques d'évaluation des | referentiekader. Dit kader bevat de praktische modaliteiten voor de |
mesures minimales de gestion des risques en matière de cybersécurité | beoordeling van de in artikel 30, § 3, van de NIS2-wet, bedoelde |
minimale maatregelen voor het beheer van cyberbeveiligingsrisico's. | |
visées à l'article 30, § 3, de la loi NIS2. | Overeenkomstig de internationale regels met betrekking tot |
Conformément aux règles internationales en matière de schémas | conformiteitsbeoordelingsschema's zijn de in het eerste lid bedoelde |
d'évaluation de la conformité, les parties prenantes concernées au | relevante belanghebbenden ten minste de autoriteiten vermeld in |
sens de l'alinéa 1er sont au moins les autorités visées à l'article 15 | artikel 15 van de NIS2-wet, de geaccrediteerde instanties en de |
de la loi NIS2, les organismes accrédités et les organisations qui | organisaties die het referentiekader het eerste lid gebruiken. |
utilisent le référentiel visé à l'alinéa 1er. | |
§ 2. Le cadre de référence contient, de manière proportionnée, au | § 2. Het referentiekader beschrijft, op evenredige wijze, ten minste |
minimum les niveaux d'assurance suivants : basique, important et essentiel. | de volgende zekerheidsniveaus: basis, belangrijk en essentieel. |
Art. 5.§ 1er. Dans le cadre de l'évaluation de la conformité visée à |
|
l'article 39 de la loi NIS2 et en tenant compte des méthodologies | Art. 5.§ 1. In het kader van de in artikel 39 van de NIS2-wet |
d'analyse des risques pertinentes, les entités essentielles | bedoelde conformiteitsbeoordeling en rekening houdend met de relevante |
choisissent un ou plusieurs cadres de référence dont le champ | methoden voor risicoanalyse, kiezen essentiële entiteiten één of meer |
d'application couvre l'ensemble des réseaux et systèmes d'information | referentiekaders waarvan het toepassingsgebied alle netwerk- en |
de l'entité parmi les cadres de référence suivants : | informatiesystemen van de entiteit omvat uit een van de volgende |
referentiekaders: | |
1° le cadre de référence visé à l'article 4; ou | 1° het in artikel 4 bedoelde referentiekader; of |
2° la norme NBN EN ISO/IEC 27001. | 2° de norm NBN EN ISO/IEC 27001. |
§ 2. Dans le cadre de l'évaluation volontaire de la conformité visée à | § 2. In het kader van de vrijwillige conformiteitsbeoordeling bedoeld |
l'article 41 de la loi NIS2, les entités importantes choisissent un | in artikel 41 van de NIS2-wet kiezen belangrijke entiteiten een van de |
cadre de référence parmi les cadres de référence visés au paragraphe 1er. | in paragraaf 1 bedoelde referentiekaders. |
CHAPITRE 4 - Modalités de l'évaluation périodique de la conformité des | HOOFDSTUK 4 - Modaliteiten van de regelmatige conformiteitsbeoordeling |
entités essentielles | van essentiële entiteiten |
Art. 6.Dans le cadre de l'évaluation de la conformité effectuée par |
Art. 6.In het kader van de conformiteitsbeoordeling door een |
un organisme d'évaluation de la conformité agréé par l'autorité | |
nationale de cybersécurité conformément au chapitre 6 et sur base du | conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 |
cadre de référence visé à l'article 4, les entités essentielles | erkend is door de nationale cyberbeveiligingsautoriteit en op basis |
van het in artikel 4 bedoelde referentiekader, verkrijgen essentiële | |
obtiennent une certification au niveau essentiel du cadre de référence | entiteiten een certificering voor het niveau "essentieel" van |
précité. | voornoemd referentiekader. |
Art. 7.Par dérogation à l'article 6, les entités essentielles |
Art. 7.In afwijking van artikel 6 kunnen essentiële entiteiten, |
peuvent, de manière motivée, obtenir une vérification, effectuée par | indien zij dit motiveren, een verificatie verkrijgen die uitgevoerd |
un organisme d'évaluation de la conformité agréé par l'autorité | wordt door een conformiteitsbeoordelingsinstantie die overeenkomstig |
nationale de cybersécurité conformément au chapitre 6, à un niveau | hoofdstuk 6 erkend is door de nationale cyberbeveiligingsautoriteit, |
inférieur du cadre de référence visé à l'article 4 si le résultat de | voor een lager niveau van het in artikel 4 bedoelde referentiekader, |
leur analyse des risques visée à l'article 30, § 5, alinéa 1er, de la | indien het resultaat van hun risicoanalyse bedoeld in artikel 30, § 5, |
loi NIS2 le justifie. | eerste lid, van de NIS2-wet dit rechtvaardigt. |
L'usage de la dérogation visée à l'alinéa 1er relève de la | Het gebruik van de in het eerste lid bedoelde afwijking valt onder de |
responsabilité de l'entité essentielle et ne fait pas, en tant que | verantwoordelijkheid van de essentiële entiteit en wordt als zodanig |
tel, l'objet d'une évaluation de la part d'un organisme d'évaluation | niet beoordeeld door een conformiteitsbeoordelingsinstantie. |
de la conformité. | |
Art. 8.Dans le cadre de l'évaluation de la conformité effectuée sur |
Art. 8.In het kader van de conformiteitsbeoordeling op basis van het |
base du cadre de référence visé à l'article 5, § 1er, 2°, les entités | referentiekader bedoeld in artikel 5, § 1, 2°, verkrijgen essentiële |
essentielles obtiennent une certification au travers d'une procédure | entiteiten een certificering via een procedure van regelmatige audits |
d'audits réguliers effectués par un organisme d'évaluation de la | uitgevoerd door een conformiteitsbeoordelingsinstantie die |
conformité agréé par l'autorité nationale de cybersécurité | overeenkomstig hoofdstuk 6 erkend is door de nationale |
conformément au chapitre 6. | cyberbeveiligingsautoriteit. |
Art. 9.Quel que soit le cadre de référence choisi, les entités |
Art. 9.Ongeacht het gekozen referentiekader bezorgen essentiële |
essentielles communiquent leur attestation de conformité ainsi que | entiteiten hun conformiteitsattest en de risicoanalyse bedoeld in |
l'analyse des risques visée à l'article 30, § 5, alinéa 1er, de la loi | artikel 30, § 5, eerste lid, van de NIS2-wet elektronisch aan de |
NIS2, à l'autorité nationale de cybersécurité, de manière | nationale cyberbeveiligingsautoriteit. |
électronique. | |
A cette fin, l'autorité nationale de cybersécurité crée, maintient à | Daartoe creëert en actualiseert de nationale |
jour et met à disposition des entités une plateforme sécurisée | cyberbeveiligingsautoriteit een beveiligd platform dat voor de |
accessible par le biais d'internet. | entiteiten toegankelijk is via internet. |
Art. 10.Dans le cadre de l'article 39, alinéa 1er, 2°, de la loi |
Art. 10.In het kader van artikel 39, eerste lid, 2°, van de NIS2-wet |
NIS2, l'évaluation périodique de la conformité par le service | vindt de regelmatige conformiteitsbeoordeling door de inspectiedienst |
d'inspection de l'autorité nationale de cybersécurité est effectuée au | van de nationale cyberbeveiligingsautoriteit niet meer dan één keer |
maximum une fois par an. | per jaar plaats. |
CHAPITRE 5 - Modalités de l'évaluation périodique volontaire de la | HOOFDSTUK 5 - Modaliteiten van de regelmatige vrijwillige |
conformité des entités importantes par un organisme d'évaluation de la | conformiteitsbeoordeling van belangrijke entiteiten door een |
conformité | conformiteitsbeoordelingsinstantie |
Art. 11.§ 1er. Lorsque les entités importantes choisissent de |
Art. 11.§ 1. Wanneer belangrijke entiteiten opteren voor een |
réaliser une évaluation périodique de la conformité sur base du cadre | regelmatige conformiteitsbeoordeling op basis van het in artikel 4 |
de référence visé à l'article 4, elles obtiennent un avis de | bedoelde referentiekader, verkrijgen zij een verificatieverklaring van |
vérification au moins au niveau important du cadre de référence | minstens het niveau belangrijk van voornoemd referentiekader. |
précité. § 2. Dans le cadre de l'évaluation périodique volontaire de la conformité visée au paragraphe 1er, les entités importantes réalisent chaque année une auto-évaluation qui est vérifiée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6. L'organisme d'évaluation de la conformité agréé délivre à l'entité concernée un rapport de vérification portant un avis de vérification, ou non, conformément au cadre de référence visé à l'article 4. | § 2. In het kader van de in paragraaf 1 bedoelde regelmatige vrijwillige conformiteitsbeoordeling verrichten belangrijke entiteiten elk jaar een zelfbeoordeling die wordt geverifieerd door een conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 erkend is door de nationale cyberbeveiligingsautoriteit. De erkende conformiteitsbeoordelingsinstantie bezorgt de betrokken entiteit een verificatieverslag dat al dan niet een verificatieverklaring bevat, overeenkomstig het in artikel 4 bedoelde referentiekader. |
Art. 12.Dans le cadre de l'évaluation de la conformité effectuée sur |
Art. 12.In het kader van de conformiteitsbeoordeling op basis van het |
base du cadre de référence visé à l'article 5, § 1er, 2°, les entités | referentiekader bedoeld in artikel 5, § 1, 2°, verkrijgen belangrijke |
importantes qui le désirent obtiennent une certification au travers | entiteiten indien gewenst een certificering via een procedure van |
regelmatige audits uitgevoerd door een | |
d'une procédure d'audits réguliers effectués par un organisme | conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 |
d'évaluation de la conformité agréé par l'autorité nationale de | erkend is door de nationale cyberbeveiligingsautoriteit. |
cybersécurité conformément au chapitre 6. | |
Art. 13.Les entités importantes qui choisissent d'effectuer |
|
l'évaluation de la conformité visée à l'article 41 de la loi NIS2, | Art. 13.Belangrijke entiteiten die opteren voor de in artikel 41 van |
quel que soit le cadre de référence choisi, communiquent leur | de NIS2-wet bedoelde conformiteitsbeoordeling, bezorgen de nationale |
attestation de conformité ainsi que l'analyse des risques visée à | cyberbeveiligingsautoriteit, ongeacht het gekozen referentiekader, hun |
l'article 30, § 5, alinéa 1er, de la loi NIS2, à l'autorité nationale | conformiteitsattest en de risicoanalyse bedoeld in artikel 30, § 5, |
de cybersécurité, de la manière visée à l'article 9, alinéa 1er. | eerste lid, van de NIS2-wet op de in artikel 9, eerste lid, bedoelde |
A cette fin, les entités importantes ont accès à la plateforme visée à | wijze. Daartoe krijgen belangrijke entiteiten toegang tot het platform |
l'article 9, alinéa 2. | bedoeld in artikel 9, tweede lid. |
CHAPITRE 6 - Conditions d'agrément | HOOFDSTUK 6 - Erkenningsvoorwaarden |
Art. 14.§ 1er. Sans préjudice du chapitre 8, l'autorité nationale de |
Art. 14.§ 1. Onverminderd hoofdstuk 8 erkent de nationale |
cybersécurité agrée les organismes d'évaluation de la conformité qui | cyberbeveiligingsautoriteit conformiteitsbeoordelingsinstanties die de |
respectent les conditions d'agréation du présent chapitre : | erkenningsvoorwaarden van dit hoofdstuk naleven: |
1° soit dans le cadre de l'application des articles 39 et 41 de la loi | 1° hetzij in het kader van de toepassing van de artikelen 39 en 41 van |
NIS2, | de NIS2-wet, |
2° soit dans le cadre de l'évaluation de la conformité sur base du | 2° hetzij in het kader van de conformiteitsbeoordeling op basis van |
référentiel visé à l'article 4. | het in artikel 4 bedoelde referentiekader. |
§ 2. Lorsque le service d'inspection de l'autorité nationale de | § 2. Wanneer de inspectiedienst van de nationale |
cybersécurité constate une violation des conditions d'agrément visées | cyberbeveiligingsautoriteit een inbreuk op de in dit hoofdstuk |
au présent chapitre, ce service d'inspection peut, au travers de la | bedoelde erkenningsvoorwaarden vaststelt, kan deze inspectiedienst, |
procédure visée à la section 1re du chapitre 2 du titre 4 de la loi | via de procedure bedoeld in afdeling 1 van hoofdstuk 2 van titel 4 van |
NIS2, mettre en demeure l'organisme d'évaluation de la conformité de | de NIS2-wet, de conformiteitsbeoordelingsinstantie aanmanen om een |
mettre fin à la violation, faute de quoi l'autorité nationale de | einde te maken aan de inbreuk. Zo niet kan de nationale |
cybersécurité peut suspendre ou retirer l'agrément visé au paragraphe | cyberbeveiligingsautoriteit de in paragraaf 1 bedoelde erkenning |
1er. | opschorten of intrekken. |
Art. 15.§ 1er. Pour être agréé, l'organisme d'évaluation de la |
Art. 15.§ 1. Om te worden erkend, moet de |
conformité doit disposer au préalable d'une accréditation délivrée par | conformiteitsbeoordelingsinstantie vooraf beschikken over een |
un organisme national d'accréditation pour réaliser la certification | accreditatie van een nationale accreditatie-instantie voor het |
et/ou la vérification en tant qu'activités d'évaluation de la | uitvoeren van de certificering en/of van de verificatie als |
conformité d'un ou plusieurs cadres de référence visés à l'article 5, | conformiteitsbeoordelingsactiviteiten voor een of meer van de |
§ 1er, 1° et/ou 2°. L'agrément se limite aux cadres de référence pour | referentiekaders bedoeld in artikel 5, § 1, 1° en/of 2°. De erkenning |
lesquels l'organisme d'évaluation de la conformité est accrédité. | is beperkt tot de referentiekaders waarvoor de conformiteitsbeoordelingsinstantie geaccrediteerd is. |
§ 2. Lorsqu'il existe un conflit d'intérêts entre l'organisme | § 2. Wanneer er sprake is van een belangenconflict tussen de |
d'évaluation de la conformité ou ses agents d'exécution et une entité | conformiteitsbeoordelingsinstantie of haar uitvoeringsinstanties en |
soumise aux obligations de la loi NIS2, l'agrément ne peut valoir pour | een entiteit waarvoor de verplichtingen van de NIS2-wet gelden, kan |
cette entité. | voor die entiteit geen erkenning worden verleend. |
Afin de détecter les situations visées à l'alinéa 1er, l'autorité | Om de in het eerste lid bedoelde situaties op te sporen, maakt de |
nationale de cybersécurité conditionne l'octroi de l'agrément à la | nationale cyberbeveiligingsautoriteit de toekenning van de erkenning |
fourniture de toutes les informations nécessaires. | afhankelijk van het verstrekken van alle nodige informatie. |
Si la situation visée à l'alinéa 1er apparaît après l'octroi de | Indien de in het eerste lid bedoelde situatie zich voordoet na de |
l'agrément, l'organisme d'évaluation de la conformité doit en informer | toekenning van de erkenning, moet de |
dans les plus brefs délais l'autorité nationale de cybersécurité et | conformiteitsbeoordelingsinstantie de nationale |
s'abstenir de participer à l'évaluation des entités concernées. | cyberbeveiligingsautoriteit zo snel mogelijk op de hoogte brengen en |
afzien van de beoordeling van de betrokken entiteiten. | |
§ 3. Les organismes d'évaluation de la conformité agréés fournissent | § 3. Erkende conformiteitsbeoordelingsinstanties moeten de nationale |
chaque année à l'autorité nationale de cybersécurité, selon les | cyberbeveiligingsautoriteit jaarlijks een verslag bezorgen volgens de |
modalités fixées par cette autorité, un rapport contenant au minimum | modaliteiten bepaald door deze autoriteit. Dit verslag bevat minstens |
les données suivantes en ce qui concerne les entités qui relèvent du | de volgende gegevens over entiteiten die tot het toepassingsgebied van |
champ d'application de la loi NIS2 : | de NIS2-wet behoren: |
1° une liste des attestations de conformité délivrées; | 1° een lijst van de uitgereikte conformiteitsattesten; |
2° une liste des attestations de conformité refusées ou suspendues; | 2° een lijst van de geweigerde en geschorste conformiteitsattesten; |
3° une liste des plaintes reçues et des suites données à celles-ci. | 3° een lijst van de ontvangen klachten en van het gevolg dat hieraan |
L'organisme d'évaluation de la conformité collabore à tout moment avec | werd gegeven. De conformiteitsbeoordelingsinstantie wordt geacht op elk ogenblik |
l'autorité nationale de cybersécurité, notamment en répondant à ses | samen te werken met de nationale cyberbeveiligingsautoriteit, onder |
demandes d'information. | meer door haar verzoeken om informatie te beantwoorden. |
CHAPITRE 7 - Dispositions relatives au service d'inspection | HOOFDSTUK 7 - Bepalingen betreffende de inspectiedienst |
Art. 16.§ 1er. Les membres assermentés du service d'inspection de |
Art. 16.§ 1. De beëdigde leden van de inspectiedienst van de |
l'autorité nationale de cybersécurité sont dotés d'une carte de | nationale cyberbeveiligingsautoriteit beschikken over een |
légitimation dont le modèle est repris à l'annexe. | legitimatiekaart waarvan het model in bijlage is opgenomen. |
§ 2. La carte de légitimation visée au paragraphe 1er a une forme | § 2. De in paragraaf 1 bedoelde legitimatiekaart is rechthoekig, 85,6 |
rectangle de 85,6 mm de longueur et 53,98 mm de largeur et est | mm lang en 53,98 mm breed, en geplastificeerd. |
plastifiée. | |
CHAPITRE 8 - Organisme d'évaluation de la conformité du secteur public | HOOFDSTUK 8 - Conformiteitsbeoordelingsinstantie voor de federale |
fédéral | overheidssector |
Art. 17.Le Service fédéral d'audit interne, créé par l'article 3 de |
Art. 17.De Federale Interneauditdienst, opgericht bij artikel 3 van |
l'arrêté royal du 4 mai 2016 portant création du Service fédéral | het koninklijk besluit van 4 mei 2016 tot oprichting van de Federale |
d'audit interne, est désigné comme organisme d'évaluation de la | Interneauditdienst, wordt aangewezen als |
conformité des entités visées à l'article 1er dudit arrêté, pour le | conformiteitsbeoordelingsinstantie voor de instanties bedoeld in |
cadre de référence visé à l'article 5, § 1er, 1°. | artikel 1 van dat besluit, wat het in artikel 5, § 1, 1°, bedoelde |
referentiekader betreft. | |
Art. 18.L'autorité nationale de cybersécurité agrée l'autorité |
Art. 18.De nationale cyberbeveiligingsautoriteit erkent de als |
désignée comme organisme d'évaluation de la conformité lorsqu'elle | conformiteitsbeoordelingsinstantie aangewezen autoriteit wanneer zij |
respecte les conditions d'agrément du présent chapitre ainsi que les | de erkenningsvoorwaarden van dit hoofdstuk naleeft, evenals de |
articles 14, § 2 et 15, § 3. | artikelen 14, § 2, en 15, § 3. |
Art. 19.Pour être agréée et effectuer les évaluations périodiques de |
Art. 19.Om te worden erkend en regelmatige conformiteitsbeoordelingen |
la conformité sur base du cadre de référence visé à l'article 5, § 1er, | te kunnen verrichten op basis van het in artikel 5, § 1, 1°, bedoelde |
1°, une autorité désignée comme organisme d'évaluation de la | referentiekader, moet een als conformiteitsbeoordelingsinstantie |
conformité doit disposer des capacités techniques pour effectuer les | aangewezen autoriteit over de technische bekwaamheid beschikken voor |
audits de certification et les vérifications dans le cadre de | het uitvoeren van certificeringsaudits en verificaties in het kader |
l'évaluation de la conformité. | van de conformiteitsbeoordeling. |
CHAPITRE 9 - Rétributions relatives aux évaluations périodiques de la | HOOFDSTUK 9 - Retributies voor regelmatige conformiteitsbeoordelingen |
conformité effectuées par le service d'inspection | uitgevoerd door de inspectiedienst |
Art. 20.§ 1er. Une rétribution est prévue pour les prestations |
Art. 20.§ 1. Er is voorzien in een retributie voor |
d'inspection choisies par l'entité essentielle dans le cadre de | inspectieprestaties die de essentiële entiteit gekozen heeft in het |
l'article 39, alinéa 1er, 2°, de la loi NIS2. | kader van artikel 39, eerste lid, 2°, van de NIS2-wet. |
Cette rétribution est déterminée sur base de la durée des prestations | Deze retributie wordt bepaald op basis van de duur van de in uren |
calculées en heures, multipliée par le taux horaire visé au paragraphe | berekende prestaties en vermenigvuldigd met het in paragraaf 2, tweede |
2, alinéa 2. | lid, bedoelde uurtarief. |
§ 2. La durée des prestations est fixée par la méthodologie du cadre | § 2. De duur van de prestaties wordt bepaald door de methodologie van |
de référence visé à l'article 5. | het in artikel 5 bedoelde referentiekader. |
Le taux horaire est fixé à 150 euro. | Het uurtarief bedraagt 150 euro. |
§ 3. Les montants visés au présent article sont rattachés à l'indice | § 3. De in dit artikel bedoelde bedragen zijn gekoppeld aan het |
des prix à la consommation de novembre 2023 et sont adaptés | indexcijfer van de consumptieprijzen van november 2023 en worden |
annuellement le 1er janvier en fonction des fluctuations de cet | jaarlijks op 1 januari aangepast aan de schommelingen van dit |
indice. | indexcijfer. |
§ 4. Les rétributions font l'objet d'une facturation détaillée. | § 4. Retributies worden gedetailleerd gefactureerd. |
Les montants facturés doivent être versés au plus tard le dernier jour | Gefactureerde bedragen moeten uiterlijk op de laatste dag van de maand |
du mois qui suit la date de la facture. A défaut, un rappel est | na de factuurdatum worden betaald. Als dit niet gebeurt, wordt een |
adressé à l'entité concernée. | herinnering gestuurd naar de betrokken entiteit. |
En cas de non-paiement dans les deux mois suivant le rappel, une mise | Bij niet-betaling binnen twee maanden na de herinnering wordt een |
en demeure est adressée par recommandé à l'entité concernée. | aangetekende ingebrekestelling verstuurd naar de betrokken entiteit. |
§ 5. La rétribution visée au paragraphe 1er n'est pas applicable pour | § 5. De in paragraaf 1 bedoelde retributie is niet van toepassing op |
les entités faisant partie du secteur de l'administration publique | entiteiten die deel uitmaken van de overheidssector bedoeld in bijlage |
visées à l'annexe I de la loi NIS2, pour autant qu'elles ne soient pas | I van de NIS2-wet, voor zover deze niet zijn vermeld in artikel 1 van |
visées à l'article 1er de l'arrêté royal du 4 mai 2016 portant | het koninklijk besluit van 4 mei 2016 tot oprichting van de Federale |
création du Service fédéral d'audit interne. | Interneauditdienst. |
CHAPITRE 10 - Dispositions abrogatoires et finales | HOOFDSTUK 10 - Opheffings- en slotbepalingen |
Art. 21.L'arrêté royal du 12 juillet 2019 portant exécution de la loi |
Art. 21.Het koninklijk besluit van 12 juli 2019 tot uitvoering van de |
du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et | wet van 7 april 2019 tot vaststelling van een kader voor de |
des systèmes d'information d'intérêt général pour la sécurité | beveiliging van netwerk- en informatiesystemen van algemeen belang |
publique, ainsi que de la loi du 1er juillet 2011 relative à la | voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende |
sécurité et la protection des infrastructures critiques est abrogé, à | de beveiliging en de bescherming van de kritieke infrastructuren wordt |
l'exception de l'article 4, de l'annexe I, point c), et de l'annexe | opgeheven, met uitzondering van artikel 4, bijlage I, punt c), en |
II, point a), de l'arrêté royal précité, dont la portée est réduite à | bijlage II, punt a), van voornoemd koninklijk besluit waarvan de |
l'exécution de la loi du 1er juillet 2011 relative à la sécurité et la | draagwijdte beperkt is tot de uitvoering van de wet van 1 juli 2011 |
protection des infrastructures critiques. | betreffende de beveiliging en de bescherming van de kritieke |
infrastructuren. | |
Art. 22.§ 1er. Lorsque les entités essentielles font le choix de la |
Art. 22.§ 1. Indien essentiële entiteiten opteren voor de |
certification sur base de l'un des cadres de référence visés à | certificering op basis van een van de in artikel 5 bedoelde |
l'article 5, elles doivent au minimum, dans les 18 mois après l'entrée | referentiekaders, moeten zij binnen 18 maanden na de inwerkingtreding |
en vigueur de la loi NIS2 ou la date de l'identification visée à | van de NIS2-wet of na de datum van de identificatie bedoeld in artikel |
l'article 11 de la loi NIS2, remplir les obligations suivantes : | 11 van de NIS2-wet, minstens voldoen aan de volgende verplichtingen: |
1° obtenir une vérification, effectuée par un organisme d'évaluation | 1° een verificatie verkrijgen die uitgevoerd wordt door een |
conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 | |
de la conformité agréé par l'autorité nationale de cybersécurité | erkend is door de nationale cyberbeveiligingsautoriteit, voor het |
conformément au chapitre 6, au niveau basique ou important du cadre de | niveau basis of belangrijk van het in artikel 4 bedoelde |
référence visé à l'article 4, selon le résultat de leur analyse des | referentiekader, naargelang het resultaat van hun risicoanalyse |
risques visée à l'article 30, § 5, alinéa 1er, de la loi NIS2 lorsque | bedoeld in artikel 30, § 5, eerste lid, van de NIS2-wet, indien de |
l'entité choisit le cadre de référence visé à l'article 4; ou | entiteit opteert voor het in artikel 4 bedoelde referentiekader; of |
2° transmettre le champ d'application et la déclaration | 2° het toepassingsgebied en de toepasselijkheidsverklaring bezorgen |
d'applicabilité lorsque l'entité choisit le cadre de référence visé à | indien de entiteit opteert voor het referentiekader bedoeld in artikel |
l'article 5, paragraphe 1, 2°. | 5, paragraaf 1, 2°. |
§ 2. Lorsque les entités essentielles font le choix de la | § 2. Indien essentiële entiteiten opteren voor de certificering op |
certification sur base de l'un des cadres de référence visés à | basis van een van de in artikel 5 bedoelde referentiekaders, |
l'article 5, dans les 30 mois suivant l'entrée en vigueur de la loi | verkrijgen zij binnen 30 maanden na de inwerkingtreding van de |
NIS2 ou la date de l'identification visée à l'article 11 de la loi | NIS2-wet of na de datum van de identificatie bedoeld in artikel 11 van |
NIS2 et selon le choix effectué conformément au § 1er, les entités | de NIS2-wet en naargelang de keuze gemaakt overeenkomstig § 1: |
essentielles : 1° obtiennent une certification conformément à l'article 6, sans | 1° een certificering overeenkomstig artikel 6, onverminderd artikel 7; |
préjudice de l'article 7; ou | of |
2° obtiennent une certification conformément à l'article 8. | 2° een certificering overeenkomstig artikel 8. |
Art. 23.§ 1er. Lorsque les entités essentielles font le choix de la |
Art. 23.§ 1. Indien essentiële entiteiten opteren voor toezicht door |
supervision par un service d'inspection visée à l'article 39, alinéa 1er, | een inspectiedienst bedoeld in artikel 39, eerste lid, 2°, van de |
2° de la loi NIS2 sur base de l'un des cadres de référence visés à | NIS2-wet op basis van een van de in artikel 5 bedoelde |
l'article 5, elles doivent au minimum, dans les 18 mois après l'entrée | referentiekaders, moeten zij binnen 18 maanden na de inwerkingtreding |
en vigueur de la loi NIS2 ou la date de l'identification visée à | van de NIS2-wet of na de datum van de identificatie bedoeld in artikel |
l'article 11 de la loi NIS2, remplir les obligations suivantes : | 11 van de NIS2-wet, minstens voldoen aan de volgende verplichtingen: |
1° transmettre une auto-évaluation du niveau basique ou important | 1° een zelfbeoordeling van niveau "basis" of "belangrijk" bezorgen |
lorsqu'elles choisissent le cadre de référence visé à l'article 4; | indien zij opteren voor het referentiekader bedoeld in artikel 4; |
2° transmettre la P.S.I., le champ d'application et la déclaration | 2° het I.B.B., het toepassingsgebied en de toepasselijkheidsverklaring |
d'applicabilité, lorsqu'elles choisissent le cadre de référence visé à | bezorgen, indien zij opteren voor het referentiekader bedoeld in |
l'article 5, paragraphe 1er, 2°. | artikel 5, paragraaf 1, 2°. |
§ 2. Lorsque les entités essentielles font le choix de la supervision | § 2. Indien essentiële entiteiten opteren voor toezicht door een |
par un service d'inspection visée à l'article 39, alinéa 1er, 2° de la | inspectiedienst bedoeld in artikel 39, eerste lid, 2°, van de NIS2-wet |
loi NIS2 sur base de l'un des cadres de référence visés à l'article 5, | op basis van een van de in artikel 5 bedoelde referentiekaders, |
bezorgen zij een stand van zaken van de voortgang van het | |
dans les 30 mois suivant l'entrée en vigueur de la loi NIS2 ou la date | conformiteitsproces binnen 30 maanden na de inwerkingtreding van de |
de l'identification visée à l'article 11 de la loi NIS2 et selon le | NIS2-wet of na de datum van de identificatie bedoeld in artikel 11 van |
choix effectué conformément au § 1er, elles transmettent une état de l'avancement de la mise en conformité. | de NIS2-wet en naargelang de keuze die overeenkomstig § 1 is gemaakt. |
§ 3. Quel que soit le choix effectué, les entités essentielles et les | § 3. Ongeacht de gemaakte keuze moeten essentiële en belangrijke |
entités importantes démontrent une amélioration continue. | entiteiten een continue verbetering aantonen. |
Art. 24.Le Premier Ministre et le Ministre qui a l'Intérieur dans ses |
Art. 24.De Eerste Minister en de Minister bevoegd voor Binnenlandse |
attributions sont chargés, chacun en ce qui les concerne, de | Zaken zijn, ieder wat hem of haar betreft, belast met de uitvoering |
l'exécution du présent arrêté. | van dit besluit. |
Donné à Bruxelles, le 9 juin 2024. | Gegeven te Brussel, 9 juni 2024. |
PHILIPPE | FILIP |
Par le Roi : | Van Koningswege : |
Le Premier Ministre, | De Eerste Minister, |
A. DE CROO | A. DE CROO |
La Ministre de l'Intérieur, | De Minister van Binnenlandse Zaken, |
A. VERLINDEN | A. VERLINDEN |
Annexe | Bijlage |
Annexe à l'arrêté royal du 9 juin 2024 exécutant la loi du 26 avril | Bijlage bij het koninklijk besluit van 9 juni 2024 tot uitvoering van |
2024 établissant un cadre pour la cybersécurité des réseaux et des | de wet van 26 april 2024 tot vaststelling van een kader voor de |
systèmes d'information d'intérêt général pour la sécurité publique | cyberbeveiliging van netwerk- en informatiesystemen van algemeen |
belang voor de openbare veiligheid | |
Annexe - Carte de légitimation | Bijlage - Legitimatiekaart |
Pour la consultation du tableau, voir image | Voor de raadpleging van de tabel, zie beeld |
Vu pour être annexé à Notre arrêté du 9 juin 2024 exécutant la loi du | Gezien om te worden gevoegd bij Ons besluit van 9 juni 2024 tot |
26 avril 2024 établissant un cadre pour la cybersécurité des réseaux | uitvoering van de wet van 26 april 2024 tot vaststelling van een kader |
et des systèmes d'information d'intérêt général pour la sécurité | voor de cyberbeveiliging van netwerk- en informatiesystemen van |
publique | algemeen belang voor de openbare veiligheid |
PHILIPPE | FILIP |
Par le Roi : | Van Koningswege : |
Le Premier Ministre, | De Eerste Minister, |
A. DE CROO | A. DE CROO |
La Ministre de l'Intérieur, | De Minister van Binnenlandse Zaken, |
A. VERLINDEN | A. VERLINDEN |