Etaamb.openjustice.be
Vue multilingue de Arrêté Royal du 09/06/2024
← Retour vers "Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique"
Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique Koninklijk besluit tot uitvoering van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid
9 JUIN 2024. - Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut. Vu la Constitution, l'article 108 ; 9 JUNI 2024. - Koninklijk besluit tot uitvoering van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet. Gelet op de Grondwet, artikel 108;
Vu la loi du 26 avril 2024 établissant un cadre pour la cybersécurité Gelet op de wet van 26 april 2024 tot vaststelling van een kader voor
des réseaux et des systèmes d'information d'intérêt général pour la de cyberbeveiliging van netwerk- en informatiesystemen van algemeen
sécurité publique, les articles 15, §§ 1er et 2, alinéa 1er, 17, 7° et belang voor de openbare veiligheid, de artikelen 15, §§ 1 en 2, eerste
10°, 39, alinéa 1er, 40, § 1er, alinéa 1er, 41, 47, § 1er, 50, § 2, lid, 17, 7° en 10°, 39, eerste lid, 40, § 1, eerste lid, 41, 47, § 1,
63, §§ 1er et 2, et 75; 50, § 2, 63, §§ 1 en 2, en 75;
Vu l'arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 Gelet op het koninklijk besluit van 12 juli 2019 tot uitvoering van de
avril 2019 établissant un cadre pour la sécurité des réseaux et des wet van 7 april 2019 tot vaststelling van een kader voor de
systèmes d'information d'intérêt général pour la sécurité publique, beveiliging van netwerk- en informatiesystemen van algemeen belang
ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende
protection des infrastructures critiques; de beveiliging en de bescherming van de kritieke infrastructuren;
Vu l'avis de l'Inspecteur des Finances, donné le 30 octobre 2023; Gelet op het advies van de Inspecteur van Financiën, gegeven op 30
Vu l'accord de la Secrétaire d'Etat au Budget, donné le 7 novembre 2023; oktober 2023; Gelet op de akkoordbevinding van de Staatssecretaris voor Begroting, gegeven op 7 november 2023;
Vu la demande d'avis dans un délai de trente jours, adressée au Gelet op de adviesaanvraag binnen dertig dagen, die op 19 april 2024
Conseil d'Etat le 19 avril 2024, en application de l'article 84, § 1er, bij de Raad van State is ingediend, met toepassing van artikel 84, §
alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973; 1, eerste lid, 2°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973;
Considérant l'absence de communication de l'avis dans ce délai; Overwegende dat het advies niet is meegedeeld binnen die termijn;
Vu l'article 84, § 5, des lois sur le Conseil d'Etat, coordonnées le Gelet op artikel 84, § 5, van de wetten op de Raad van State,
12 janvier 1973; gecoördineerd op 12 januari 1973;
Considérant l'arrêté royal du 10 octobre 2014 portant création du Overwegende het koninklijk besluit van 10 oktober 2014 tot oprichting
Centre pour la Cybersécurité Belgique; van het Centrum voor Cybersecurity België;
Sur la proposition du Premier Ministre et de la Ministre de Op de voordracht van de Eerste Minister en de Minister van
l'Intérieur et de l'avis des Ministres qui en ont délibéré en Conseil, Binnenlandse Zaken en op het advies van de in Raad vergaderde Ministers,
Nous avons arrêté et arrêtons : Hebben Wij besloten en besluiten Wij :
CHAPITRE 1er - Objet et définitions HOOFDSTUK 1 - Voorwerp en definities

Article 1er.Le présent arrêté vise à transposer la directive

Artikel 1.Dit besluit voorziet in de omzetting van de Europese

européenne (UE) 2022/2555 du Parlement Européen et du Conseil du 14 richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14
décembre 2022 concernant des mesures destinées à assurer un niveau december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau
élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU)
règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van
abrogeant la directive (UE) 2016/1148. Richtlijn (EU) 2016/1148.

Art. 2.Pour l'application du présent arrêté, les définitions visées à

Art. 2.Voor de toepassing van dit besluit zijn de definities bedoeld

l'article 8 de la loi du 26 avril 2024 établissant un cadre pour la in artikel 8 van de wet van 26 april 2024 tot vaststelling van een
cybersécurité des réseaux et des systèmes d'information d'intérêt kader voor de cyberbeveiliging van netwerk- en informatiesystemen van
général pour la sécurité publique sont d'application. algemeen belang voor de openbare veiligheid van toepassing.
Pour l'application du présent arrêté, il faut entendre par : Voor de toepassing van dit besluit, moet worden verstaan onder:
1° « loi NIS2 » : la loi du 26 avril 2024 établissant un cadre pour la 1° "NIS2-wet" : de wet van 26 april 2024 tot vaststelling van een
cybersécurité des réseaux et des systèmes d'information d'intérêt kader voor de cyberbeveiliging van netwerk- en informatiesystemen van
général pour la sécurité publique; algemeen belang voor de openbare veiligheid;
2° « évaluation de la conformité » : évaluation visée à l'article 2, 2° "conformiteitsbeoordeling": de beoordeling bedoeld in artikel 2,
point 12 du Règlement (CE) n° 765/2008 du Parlement européen et du punt 12 van Verordening (EG) nr. 765/2008 van het Europees Parlement
Conseil du 9 juillet 2008 fixant les prescriptions relatives à en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake
l'accréditation et à la surveillance du marché pour la accreditatie en markttoezicht betreffende het verhandelen van
commercialisation des produits et abrogeant le règlement (CEE) n° producten en tot intrekking van Verordening (EEG) nr. 339/93;
339/93 du Conseil; 3° « attestation de conformité » : délivrance d'une affirmation de 3° "conformiteitsattest": afgifte van een bevestiging van conformiteit
conformité basée sur une décision indiquant que le respect des gebaseerd op een beslissing die de naleving van de gespecifieerde
exigences spécifiées a été démontré. Le document peut contenir le eisen aantoont. Het document kan het resultaat bevatten van een
résultat d'une vérification ou certification; verificatie of certificering;
4° « vérification » : confirmation d'une déclaration, par des preuves 4° "verificatie": bevestiging van een verklaring door middel van
objectives, que les exigences spécifiées ont été satisfaites; objectieve bewijzen, dat aan de gespecifieerde einsen is voldaan;
5° « déclaration » : informations déclarées par l'entité. 5° "verklaring": door de entiteit verklaarde informatie.
CHAPITRE 2 - Désignation des autorités compétentes HOOFDSTUK 2 - Aanwijzing van de bevoegde autoriteiten

Art. 3.§ 1er. Le Centre pour la Cybersécurité Belgique, créé par

Art. 3.§ 1. Het Centrum voor Cybersecurity België, opgericht bij het

l'arrêté royal du 10 octobre 2014 portant création du Centre pour la koninklijk besluit van 10 oktober 2014 tot oprichting van het Centrum
Cybersécurité Belgique, est désigné comme autorité nationale de voor Cybersecurity België, wordt aangewezen als nationale
cybersécurité. cyberbeveiligingsautoriteit.
§ 2. Les autorités suivantes sont désignées comme autorités § 2. De volgende autoriteiten worden aangewezen als sectorale
sectorielles : overheden:
1° pour le secteur de l'énergie : le ministre fédéral ayant l'Energie 1° voor de sector energie: de federale minister bevoegd voor Energie
dans ses attributions ou, par délégation de celui-ci, un membre of, bij delegatie door deze laatste, een leidend personeelslid van
dirigeant du personnel de son administration (le cas échéant, le zijn/haar administratie (in voorkomend geval kan de minister per
ministre peut désigner un délégué différent par sous-secteur); deelsector een andere gemachtigde aanwijzen);
2° pour le secteur des transports : 2° voor de sector vervoer:
- en ce qui concerne le secteur du transport, à l'exception du - wat betreft de sector vervoer, met uitzondering van het vervoer over
transport par eau : le ministre fédéral compétent pour le Transport, water: de federale minister bevoegd voor Vervoer of, bij delegatie
ou par délégation de celui-ci, un membre dirigeant du personnel de son door deze laatste, een leidend personeelslid van zijn/haar
administration (le cas échéant, le ministre peut désigner un délégué administratie (in voorkomend geval kan de minister per deelsector een
différent par sous-secteur); andere gemachtigde aanwijzen);
- en ce qui concerne le transport par eau: le ministre fédéral - wat betreft het vervoer over water: de federale minister bevoegd
compétent pour la Mobilité maritime, ou par délégation de celui-ci, un voor Maritieme Mobiliteit of, bij delegatie door deze laatste, een
membre dirigeant du personnel de son administration (le cas échéant, leidend personeelslid van zijn/haar administratie (in voorkomend geval
le Ministre peut désigner un délégué différent par sous-secteur); kan de minister per deelsector een andere gemachtigde aanwijzen);
3° pour le secteur de la santé : 3° voor de sector gezondheidszorg:
- en ce qui concerne les entités exerçant des activités de recherche - wat betreft entiteiten die onderzoeks- en ontwikkelingsactiviteiten
et de développement dans le domaine des médicaments au sens de uitvoeren met betrekking tot geneesmiddelen zoals gedefinieerd in
l'article 1er, point 2, de la directive 2001/83/CE du Parlement artikel 1, punt 2, van Richtlijn 2001/83/EG van het Europees Parlement
européen et du Conseil du 6 novembre 2001 instituant un code en de Raad van 6 november 2001 tot vaststelling van een communautair
communautaire relatif aux médicaments à usage humain; les entités wetboek betreffende geneesmiddelen voor menselijk gebruik; entiteiten
fabriquant des produits pharmaceutiques de base et des préparations die farmaceutische basisproducten en farmaceutische bereidingen
pharmaceutiques au sens de l'annexe I, section C, division 21 du vervaardigen als bedoeld in bijlage I, sectie C, afdeling 21, van
Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad
décembre 2006 établissant la nomenclature statistique des activités van 20 december 2006 tot vaststelling van de statistische
économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du classificatie van economische activiteiten NACE Rev. 2 en tot
wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen
Conseil ainsi que certains règlements (CE) relatifs à des domaines op specifieke statistische gebieden; en entiteiten die medische
statistiques spécifiques; et les entités fabriquant des dispositifs hulpmiddelen vervaardigen die in het kader van de noodsituatie op het
médicaux considérés comme critiques en cas d'urgence de santé publique gebied van de volksgezondheid als kritiek worden beschouwd ("de lijst
(liste des dispositifs médicaux critiques en cas d'urgence de santé van in een noodsituatie op het gebied van de volksgezondheid kritieke
publique) au sens de l'article 22 du règlement (UE) 2022/123 du hulpmiddelen") in de zin van artikel 22 van Verordening (EU) 2022/123
Parlement européen et du Conseil du 25 janvier 2022 relatif à un rôle van het Europees Parlement en de Raad van 25 januari 2022 betreffende
renforcé de l'Agence européenne des médicaments dans la préparation een grotere rol van het Europees Geneesmiddelenbureau inzake
aux crises et la gestion de celles-ci en ce qui concerne les crisisparaatheid en -beheersing op het gebied van geneesmiddelen en
médicaments et les dispositifs médicaux : l'Agence fédérale des medische hulpmiddelen: het Federaal Agentschap voor Geneesmiddelen en
médicaments et des produits de santé créée par la loi du 20 juillet Gezondheidsproducten opgericht door de wet van 20 juli 2006
2006 relative à la création et au fonctionnement de l'Agence fédérale betreffende de oprichting en de werking van het federaal Agentschap
des médicaments et des produits de santé; voor geneesmiddelen en gezondheidsproducten;
- en ce qui concerne les autres types d'entités du secteur de la santé - wat betreft de andere soorten entiteiten van de sector
: le ministre fédéral ayant la Santé publique dans ses attributions gezondheidszorg: de federale minister bevoegd voor Volksgezondheid of,
ou, par délégation de celui-ci, un membre dirigeant du personnel de bij delegatie door deze laatste, een leidend personeelslid van
son administration; zijn/haar administratie;
4° pour le secteur de l'infrastructure numérique, uniquement en ce qui 4° voor de sector digitale infrastructuur, alleen voor wat betreft de
concerne les prestataires de services de confiance : le ministre verleners van vertrouwensdiensten: de federale minister bevoegd voor
fédéral ayant l'Economie dans ses attributions ou, par délégation de Economie of, bij delegatie door deze laatste, een leidend
celui-ci, un membre dirigeant du personnel de son administration; personeelslid van zijn/haar administratie;
5° pour le secteur des fournisseurs numériques : le ministre fédéral 5° voor de sector digitale aanbieders: de federale minister bevoegd
ayant l'Economie dans ses attributions ou, par délégation de celui-ci, voor Economie of, bij delegatie door deze laatste, een leidend
un membre dirigeant du personnel de son administration; personeelslid van zijn/haar administratie;
6° pour les secteurs de l'espace et de la recherche : le ministre 6° voor de sector ruimtevaart en de sector onderzoek: de federale
fédéral de la Politique scientifique ou par délégation de celui-ci, un minister van Wetenschapsbeleid of bij delegatie door deze laatste, een
membre dirigeant du personnel de son administration; leidend personeelslid van zijn/haar administratie;
7° pour le sous-secteur de la fabrication de dispositifs médicaux et 7° voor de deelsector vervaardiging van medische hulpmiddelen en
de dispositifs médicaux de diagnostic in vitro, du secteur de la medische hulpmiddelen voor in-vitrodiagnostiek, van de sector
fabrication : l'Agence fédérale des médicaments et des produits de vervaardiging: het Federaal Agentschap voor Geneesmiddelen en
santé. Gezondheidsproducten.
CHAPITRE 3 - Cadres de référence pour l'évaluation périodique de la HOOFDSTUK 3 - Referentiekaders voor de regelmatige
conformité conformiteitsbeoordeling

Art. 4.§ 1er. L'autorité nationale de cybersécurité élabore, en

Art. 4.§ 1. De nationale cyberbeveiligingsautoriteit zorgt, in

concertation avec les parties prenantes concernées, maintient à jour overleg met de relevante belanghebbenden, voor de uitwerking,
et met à disposition du public, notamment sur son site internet, un actualisering en openbaarmaking, met name via haar website, van een
cadre de référence reprenant les modalités pratiques d'évaluation des referentiekader. Dit kader bevat de praktische modaliteiten voor de
mesures minimales de gestion des risques en matière de cybersécurité beoordeling van de in artikel 30, § 3, van de NIS2-wet, bedoelde
minimale maatregelen voor het beheer van cyberbeveiligingsrisico's.
visées à l'article 30, § 3, de la loi NIS2. Overeenkomstig de internationale regels met betrekking tot
Conformément aux règles internationales en matière de schémas conformiteitsbeoordelingsschema's zijn de in het eerste lid bedoelde
d'évaluation de la conformité, les parties prenantes concernées au relevante belanghebbenden ten minste de autoriteiten vermeld in
sens de l'alinéa 1er sont au moins les autorités visées à l'article 15 artikel 15 van de NIS2-wet, de geaccrediteerde instanties en de
de la loi NIS2, les organismes accrédités et les organisations qui organisaties die het referentiekader het eerste lid gebruiken.
utilisent le référentiel visé à l'alinéa 1er.
§ 2. Le cadre de référence contient, de manière proportionnée, au § 2. Het referentiekader beschrijft, op evenredige wijze, ten minste
minimum les niveaux d'assurance suivants : basique, important et essentiel. de volgende zekerheidsniveaus: basis, belangrijk en essentieel.

Art. 5.§ 1er. Dans le cadre de l'évaluation de la conformité visée à

l'article 39 de la loi NIS2 et en tenant compte des méthodologies

Art. 5.§ 1. In het kader van de in artikel 39 van de NIS2-wet

d'analyse des risques pertinentes, les entités essentielles bedoelde conformiteitsbeoordeling en rekening houdend met de relevante
choisissent un ou plusieurs cadres de référence dont le champ methoden voor risicoanalyse, kiezen essentiële entiteiten één of meer
d'application couvre l'ensemble des réseaux et systèmes d'information referentiekaders waarvan het toepassingsgebied alle netwerk- en
de l'entité parmi les cadres de référence suivants : informatiesystemen van de entiteit omvat uit een van de volgende
referentiekaders:
1° le cadre de référence visé à l'article 4; ou 1° het in artikel 4 bedoelde referentiekader; of
2° la norme NBN EN ISO/IEC 27001. 2° de norm NBN EN ISO/IEC 27001.
§ 2. Dans le cadre de l'évaluation volontaire de la conformité visée à § 2. In het kader van de vrijwillige conformiteitsbeoordeling bedoeld
l'article 41 de la loi NIS2, les entités importantes choisissent un in artikel 41 van de NIS2-wet kiezen belangrijke entiteiten een van de
cadre de référence parmi les cadres de référence visés au paragraphe 1er. in paragraaf 1 bedoelde referentiekaders.
CHAPITRE 4 - Modalités de l'évaluation périodique de la conformité des HOOFDSTUK 4 - Modaliteiten van de regelmatige conformiteitsbeoordeling
entités essentielles van essentiële entiteiten

Art. 6.Dans le cadre de l'évaluation de la conformité effectuée par

Art. 6.In het kader van de conformiteitsbeoordeling door een

un organisme d'évaluation de la conformité agréé par l'autorité
nationale de cybersécurité conformément au chapitre 6 et sur base du conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6
cadre de référence visé à l'article 4, les entités essentielles erkend is door de nationale cyberbeveiligingsautoriteit en op basis
van het in artikel 4 bedoelde referentiekader, verkrijgen essentiële
obtiennent une certification au niveau essentiel du cadre de référence entiteiten een certificering voor het niveau "essentieel" van
précité. voornoemd referentiekader.

Art. 7.Par dérogation à l'article 6, les entités essentielles

Art. 7.In afwijking van artikel 6 kunnen essentiële entiteiten,

peuvent, de manière motivée, obtenir une vérification, effectuée par indien zij dit motiveren, een verificatie verkrijgen die uitgevoerd
un organisme d'évaluation de la conformité agréé par l'autorité wordt door een conformiteitsbeoordelingsinstantie die overeenkomstig
nationale de cybersécurité conformément au chapitre 6, à un niveau hoofdstuk 6 erkend is door de nationale cyberbeveiligingsautoriteit,
inférieur du cadre de référence visé à l'article 4 si le résultat de voor een lager niveau van het in artikel 4 bedoelde referentiekader,
leur analyse des risques visée à l'article 30, § 5, alinéa 1er, de la indien het resultaat van hun risicoanalyse bedoeld in artikel 30, § 5,
loi NIS2 le justifie. eerste lid, van de NIS2-wet dit rechtvaardigt.
L'usage de la dérogation visée à l'alinéa 1er relève de la Het gebruik van de in het eerste lid bedoelde afwijking valt onder de
responsabilité de l'entité essentielle et ne fait pas, en tant que verantwoordelijkheid van de essentiële entiteit en wordt als zodanig
tel, l'objet d'une évaluation de la part d'un organisme d'évaluation niet beoordeeld door een conformiteitsbeoordelingsinstantie.
de la conformité.

Art. 8.Dans le cadre de l'évaluation de la conformité effectuée sur

Art. 8.In het kader van de conformiteitsbeoordeling op basis van het

base du cadre de référence visé à l'article 5, § 1er, 2°, les entités referentiekader bedoeld in artikel 5, § 1, 2°, verkrijgen essentiële
essentielles obtiennent une certification au travers d'une procédure entiteiten een certificering via een procedure van regelmatige audits
d'audits réguliers effectués par un organisme d'évaluation de la uitgevoerd door een conformiteitsbeoordelingsinstantie die
conformité agréé par l'autorité nationale de cybersécurité overeenkomstig hoofdstuk 6 erkend is door de nationale
conformément au chapitre 6. cyberbeveiligingsautoriteit.

Art. 9.Quel que soit le cadre de référence choisi, les entités

Art. 9.Ongeacht het gekozen referentiekader bezorgen essentiële

essentielles communiquent leur attestation de conformité ainsi que entiteiten hun conformiteitsattest en de risicoanalyse bedoeld in
l'analyse des risques visée à l'article 30, § 5, alinéa 1er, de la loi artikel 30, § 5, eerste lid, van de NIS2-wet elektronisch aan de
NIS2, à l'autorité nationale de cybersécurité, de manière nationale cyberbeveiligingsautoriteit.
électronique.
A cette fin, l'autorité nationale de cybersécurité crée, maintient à Daartoe creëert en actualiseert de nationale
jour et met à disposition des entités une plateforme sécurisée cyberbeveiligingsautoriteit een beveiligd platform dat voor de
accessible par le biais d'internet. entiteiten toegankelijk is via internet.

Art. 10.Dans le cadre de l'article 39, alinéa 1er, 2°, de la loi

Art. 10.In het kader van artikel 39, eerste lid, 2°, van de NIS2-wet

NIS2, l'évaluation périodique de la conformité par le service vindt de regelmatige conformiteitsbeoordeling door de inspectiedienst
d'inspection de l'autorité nationale de cybersécurité est effectuée au van de nationale cyberbeveiligingsautoriteit niet meer dan één keer
maximum une fois par an. per jaar plaats.
CHAPITRE 5 - Modalités de l'évaluation périodique volontaire de la HOOFDSTUK 5 - Modaliteiten van de regelmatige vrijwillige
conformité des entités importantes par un organisme d'évaluation de la conformiteitsbeoordeling van belangrijke entiteiten door een
conformité conformiteitsbeoordelingsinstantie

Art. 11.§ 1er. Lorsque les entités importantes choisissent de

Art. 11.§ 1. Wanneer belangrijke entiteiten opteren voor een

réaliser une évaluation périodique de la conformité sur base du cadre regelmatige conformiteitsbeoordeling op basis van het in artikel 4
de référence visé à l'article 4, elles obtiennent un avis de bedoelde referentiekader, verkrijgen zij een verificatieverklaring van
vérification au moins au niveau important du cadre de référence minstens het niveau belangrijk van voornoemd referentiekader.
précité. § 2. Dans le cadre de l'évaluation périodique volontaire de la conformité visée au paragraphe 1er, les entités importantes réalisent chaque année une auto-évaluation qui est vérifiée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6. L'organisme d'évaluation de la conformité agréé délivre à l'entité concernée un rapport de vérification portant un avis de vérification, ou non, conformément au cadre de référence visé à l'article 4. § 2. In het kader van de in paragraaf 1 bedoelde regelmatige vrijwillige conformiteitsbeoordeling verrichten belangrijke entiteiten elk jaar een zelfbeoordeling die wordt geverifieerd door een conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 erkend is door de nationale cyberbeveiligingsautoriteit. De erkende conformiteitsbeoordelingsinstantie bezorgt de betrokken entiteit een verificatieverslag dat al dan niet een verificatieverklaring bevat, overeenkomstig het in artikel 4 bedoelde referentiekader.

Art. 12.Dans le cadre de l'évaluation de la conformité effectuée sur

Art. 12.In het kader van de conformiteitsbeoordeling op basis van het

base du cadre de référence visé à l'article 5, § 1er, 2°, les entités referentiekader bedoeld in artikel 5, § 1, 2°, verkrijgen belangrijke
importantes qui le désirent obtiennent une certification au travers entiteiten indien gewenst een certificering via een procedure van
regelmatige audits uitgevoerd door een
d'une procédure d'audits réguliers effectués par un organisme conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6
d'évaluation de la conformité agréé par l'autorité nationale de erkend is door de nationale cyberbeveiligingsautoriteit.
cybersécurité conformément au chapitre 6.

Art. 13.Les entités importantes qui choisissent d'effectuer

l'évaluation de la conformité visée à l'article 41 de la loi NIS2,

Art. 13.Belangrijke entiteiten die opteren voor de in artikel 41 van

quel que soit le cadre de référence choisi, communiquent leur de NIS2-wet bedoelde conformiteitsbeoordeling, bezorgen de nationale
attestation de conformité ainsi que l'analyse des risques visée à cyberbeveiligingsautoriteit, ongeacht het gekozen referentiekader, hun
l'article 30, § 5, alinéa 1er, de la loi NIS2, à l'autorité nationale conformiteitsattest en de risicoanalyse bedoeld in artikel 30, § 5,
de cybersécurité, de la manière visée à l'article 9, alinéa 1er. eerste lid, van de NIS2-wet op de in artikel 9, eerste lid, bedoelde
A cette fin, les entités importantes ont accès à la plateforme visée à wijze. Daartoe krijgen belangrijke entiteiten toegang tot het platform
l'article 9, alinéa 2. bedoeld in artikel 9, tweede lid.
CHAPITRE 6 - Conditions d'agrément HOOFDSTUK 6 - Erkenningsvoorwaarden

Art. 14.§ 1er. Sans préjudice du chapitre 8, l'autorité nationale de

Art. 14.§ 1. Onverminderd hoofdstuk 8 erkent de nationale

cybersécurité agrée les organismes d'évaluation de la conformité qui cyberbeveiligingsautoriteit conformiteitsbeoordelingsinstanties die de
respectent les conditions d'agréation du présent chapitre : erkenningsvoorwaarden van dit hoofdstuk naleven:
1° soit dans le cadre de l'application des articles 39 et 41 de la loi 1° hetzij in het kader van de toepassing van de artikelen 39 en 41 van
NIS2, de NIS2-wet,
2° soit dans le cadre de l'évaluation de la conformité sur base du 2° hetzij in het kader van de conformiteitsbeoordeling op basis van
référentiel visé à l'article 4. het in artikel 4 bedoelde referentiekader.
§ 2. Lorsque le service d'inspection de l'autorité nationale de § 2. Wanneer de inspectiedienst van de nationale
cybersécurité constate une violation des conditions d'agrément visées cyberbeveiligingsautoriteit een inbreuk op de in dit hoofdstuk
au présent chapitre, ce service d'inspection peut, au travers de la bedoelde erkenningsvoorwaarden vaststelt, kan deze inspectiedienst,
procédure visée à la section 1re du chapitre 2 du titre 4 de la loi via de procedure bedoeld in afdeling 1 van hoofdstuk 2 van titel 4 van
NIS2, mettre en demeure l'organisme d'évaluation de la conformité de de NIS2-wet, de conformiteitsbeoordelingsinstantie aanmanen om een
mettre fin à la violation, faute de quoi l'autorité nationale de einde te maken aan de inbreuk. Zo niet kan de nationale
cybersécurité peut suspendre ou retirer l'agrément visé au paragraphe cyberbeveiligingsautoriteit de in paragraaf 1 bedoelde erkenning
1er. opschorten of intrekken.

Art. 15.§ 1er. Pour être agréé, l'organisme d'évaluation de la

Art. 15.§ 1. Om te worden erkend, moet de

conformité doit disposer au préalable d'une accréditation délivrée par conformiteitsbeoordelingsinstantie vooraf beschikken over een
un organisme national d'accréditation pour réaliser la certification accreditatie van een nationale accreditatie-instantie voor het
et/ou la vérification en tant qu'activités d'évaluation de la uitvoeren van de certificering en/of van de verificatie als
conformité d'un ou plusieurs cadres de référence visés à l'article 5, conformiteitsbeoordelingsactiviteiten voor een of meer van de
§ 1er, 1° et/ou 2°. L'agrément se limite aux cadres de référence pour referentiekaders bedoeld in artikel 5, § 1, 1° en/of 2°. De erkenning
lesquels l'organisme d'évaluation de la conformité est accrédité. is beperkt tot de referentiekaders waarvoor de conformiteitsbeoordelingsinstantie geaccrediteerd is.
§ 2. Lorsqu'il existe un conflit d'intérêts entre l'organisme § 2. Wanneer er sprake is van een belangenconflict tussen de
d'évaluation de la conformité ou ses agents d'exécution et une entité conformiteitsbeoordelingsinstantie of haar uitvoeringsinstanties en
soumise aux obligations de la loi NIS2, l'agrément ne peut valoir pour een entiteit waarvoor de verplichtingen van de NIS2-wet gelden, kan
cette entité. voor die entiteit geen erkenning worden verleend.
Afin de détecter les situations visées à l'alinéa 1er, l'autorité Om de in het eerste lid bedoelde situaties op te sporen, maakt de
nationale de cybersécurité conditionne l'octroi de l'agrément à la nationale cyberbeveiligingsautoriteit de toekenning van de erkenning
fourniture de toutes les informations nécessaires. afhankelijk van het verstrekken van alle nodige informatie.
Si la situation visée à l'alinéa 1er apparaît après l'octroi de Indien de in het eerste lid bedoelde situatie zich voordoet na de
l'agrément, l'organisme d'évaluation de la conformité doit en informer toekenning van de erkenning, moet de
dans les plus brefs délais l'autorité nationale de cybersécurité et conformiteitsbeoordelingsinstantie de nationale
s'abstenir de participer à l'évaluation des entités concernées. cyberbeveiligingsautoriteit zo snel mogelijk op de hoogte brengen en
afzien van de beoordeling van de betrokken entiteiten.
§ 3. Les organismes d'évaluation de la conformité agréés fournissent § 3. Erkende conformiteitsbeoordelingsinstanties moeten de nationale
chaque année à l'autorité nationale de cybersécurité, selon les cyberbeveiligingsautoriteit jaarlijks een verslag bezorgen volgens de
modalités fixées par cette autorité, un rapport contenant au minimum modaliteiten bepaald door deze autoriteit. Dit verslag bevat minstens
les données suivantes en ce qui concerne les entités qui relèvent du de volgende gegevens over entiteiten die tot het toepassingsgebied van
champ d'application de la loi NIS2 : de NIS2-wet behoren:
1° une liste des attestations de conformité délivrées; 1° een lijst van de uitgereikte conformiteitsattesten;
2° une liste des attestations de conformité refusées ou suspendues; 2° een lijst van de geweigerde en geschorste conformiteitsattesten;
3° une liste des plaintes reçues et des suites données à celles-ci. 3° een lijst van de ontvangen klachten en van het gevolg dat hieraan
L'organisme d'évaluation de la conformité collabore à tout moment avec werd gegeven. De conformiteitsbeoordelingsinstantie wordt geacht op elk ogenblik
l'autorité nationale de cybersécurité, notamment en répondant à ses samen te werken met de nationale cyberbeveiligingsautoriteit, onder
demandes d'information. meer door haar verzoeken om informatie te beantwoorden.
CHAPITRE 7 - Dispositions relatives au service d'inspection HOOFDSTUK 7 - Bepalingen betreffende de inspectiedienst

Art. 16.§ 1er. Les membres assermentés du service d'inspection de

Art. 16.§ 1. De beëdigde leden van de inspectiedienst van de

l'autorité nationale de cybersécurité sont dotés d'une carte de nationale cyberbeveiligingsautoriteit beschikken over een
légitimation dont le modèle est repris à l'annexe. legitimatiekaart waarvan het model in bijlage is opgenomen.
§ 2. La carte de légitimation visée au paragraphe 1er a une forme § 2. De in paragraaf 1 bedoelde legitimatiekaart is rechthoekig, 85,6
rectangle de 85,6 mm de longueur et 53,98 mm de largeur et est mm lang en 53,98 mm breed, en geplastificeerd.
plastifiée.
CHAPITRE 8 - Organisme d'évaluation de la conformité du secteur public HOOFDSTUK 8 - Conformiteitsbeoordelingsinstantie voor de federale
fédéral overheidssector

Art. 17.Le Service fédéral d'audit interne, créé par l'article 3 de

Art. 17.De Federale Interneauditdienst, opgericht bij artikel 3 van

l'arrêté royal du 4 mai 2016 portant création du Service fédéral het koninklijk besluit van 4 mei 2016 tot oprichting van de Federale
d'audit interne, est désigné comme organisme d'évaluation de la Interneauditdienst, wordt aangewezen als
conformité des entités visées à l'article 1er dudit arrêté, pour le conformiteitsbeoordelingsinstantie voor de instanties bedoeld in
cadre de référence visé à l'article 5, § 1er, 1°. artikel 1 van dat besluit, wat het in artikel 5, § 1, 1°, bedoelde
referentiekader betreft.

Art. 18.L'autorité nationale de cybersécurité agrée l'autorité

Art. 18.De nationale cyberbeveiligingsautoriteit erkent de als

désignée comme organisme d'évaluation de la conformité lorsqu'elle conformiteitsbeoordelingsinstantie aangewezen autoriteit wanneer zij
respecte les conditions d'agrément du présent chapitre ainsi que les de erkenningsvoorwaarden van dit hoofdstuk naleeft, evenals de
articles 14, § 2 et 15, § 3. artikelen 14, § 2, en 15, § 3.

Art. 19.Pour être agréée et effectuer les évaluations périodiques de

Art. 19.Om te worden erkend en regelmatige conformiteitsbeoordelingen

la conformité sur base du cadre de référence visé à l'article 5, § 1er, te kunnen verrichten op basis van het in artikel 5, § 1, 1°, bedoelde
1°, une autorité désignée comme organisme d'évaluation de la referentiekader, moet een als conformiteitsbeoordelingsinstantie
conformité doit disposer des capacités techniques pour effectuer les aangewezen autoriteit over de technische bekwaamheid beschikken voor
audits de certification et les vérifications dans le cadre de het uitvoeren van certificeringsaudits en verificaties in het kader
l'évaluation de la conformité. van de conformiteitsbeoordeling.
CHAPITRE 9 - Rétributions relatives aux évaluations périodiques de la HOOFDSTUK 9 - Retributies voor regelmatige conformiteitsbeoordelingen
conformité effectuées par le service d'inspection uitgevoerd door de inspectiedienst

Art. 20.§ 1er. Une rétribution est prévue pour les prestations

Art. 20.§ 1. Er is voorzien in een retributie voor

d'inspection choisies par l'entité essentielle dans le cadre de inspectieprestaties die de essentiële entiteit gekozen heeft in het
l'article 39, alinéa 1er, 2°, de la loi NIS2. kader van artikel 39, eerste lid, 2°, van de NIS2-wet.
Cette rétribution est déterminée sur base de la durée des prestations Deze retributie wordt bepaald op basis van de duur van de in uren
calculées en heures, multipliée par le taux horaire visé au paragraphe berekende prestaties en vermenigvuldigd met het in paragraaf 2, tweede
2, alinéa 2. lid, bedoelde uurtarief.
§ 2. La durée des prestations est fixée par la méthodologie du cadre § 2. De duur van de prestaties wordt bepaald door de methodologie van
de référence visé à l'article 5. het in artikel 5 bedoelde referentiekader.
Le taux horaire est fixé à 150 euro. Het uurtarief bedraagt 150 euro.
§ 3. Les montants visés au présent article sont rattachés à l'indice § 3. De in dit artikel bedoelde bedragen zijn gekoppeld aan het
des prix à la consommation de novembre 2023 et sont adaptés indexcijfer van de consumptieprijzen van november 2023 en worden
annuellement le 1er janvier en fonction des fluctuations de cet jaarlijks op 1 januari aangepast aan de schommelingen van dit
indice. indexcijfer.
§ 4. Les rétributions font l'objet d'une facturation détaillée. § 4. Retributies worden gedetailleerd gefactureerd.
Les montants facturés doivent être versés au plus tard le dernier jour Gefactureerde bedragen moeten uiterlijk op de laatste dag van de maand
du mois qui suit la date de la facture. A défaut, un rappel est na de factuurdatum worden betaald. Als dit niet gebeurt, wordt een
adressé à l'entité concernée. herinnering gestuurd naar de betrokken entiteit.
En cas de non-paiement dans les deux mois suivant le rappel, une mise Bij niet-betaling binnen twee maanden na de herinnering wordt een
en demeure est adressée par recommandé à l'entité concernée. aangetekende ingebrekestelling verstuurd naar de betrokken entiteit.
§ 5. La rétribution visée au paragraphe 1er n'est pas applicable pour § 5. De in paragraaf 1 bedoelde retributie is niet van toepassing op
les entités faisant partie du secteur de l'administration publique entiteiten die deel uitmaken van de overheidssector bedoeld in bijlage
visées à l'annexe I de la loi NIS2, pour autant qu'elles ne soient pas I van de NIS2-wet, voor zover deze niet zijn vermeld in artikel 1 van
visées à l'article 1er de l'arrêté royal du 4 mai 2016 portant het koninklijk besluit van 4 mei 2016 tot oprichting van de Federale
création du Service fédéral d'audit interne. Interneauditdienst.
CHAPITRE 10 - Dispositions abrogatoires et finales HOOFDSTUK 10 - Opheffings- en slotbepalingen

Art. 21.L'arrêté royal du 12 juillet 2019 portant exécution de la loi

Art. 21.Het koninklijk besluit van 12 juli 2019 tot uitvoering van de

du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et wet van 7 april 2019 tot vaststelling van een kader voor de
des systèmes d'information d'intérêt général pour la sécurité beveiliging van netwerk- en informatiesystemen van algemeen belang
publique, ainsi que de la loi du 1er juillet 2011 relative à la voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende
sécurité et la protection des infrastructures critiques est abrogé, à de beveiliging en de bescherming van de kritieke infrastructuren wordt
l'exception de l'article 4, de l'annexe I, point c), et de l'annexe opgeheven, met uitzondering van artikel 4, bijlage I, punt c), en
II, point a), de l'arrêté royal précité, dont la portée est réduite à bijlage II, punt a), van voornoemd koninklijk besluit waarvan de
l'exécution de la loi du 1er juillet 2011 relative à la sécurité et la draagwijdte beperkt is tot de uitvoering van de wet van 1 juli 2011
protection des infrastructures critiques. betreffende de beveiliging en de bescherming van de kritieke
infrastructuren.

Art. 22.§ 1er. Lorsque les entités essentielles font le choix de la

Art. 22.§ 1. Indien essentiële entiteiten opteren voor de

certification sur base de l'un des cadres de référence visés à certificering op basis van een van de in artikel 5 bedoelde
l'article 5, elles doivent au minimum, dans les 18 mois après l'entrée referentiekaders, moeten zij binnen 18 maanden na de inwerkingtreding
en vigueur de la loi NIS2 ou la date de l'identification visée à van de NIS2-wet of na de datum van de identificatie bedoeld in artikel
l'article 11 de la loi NIS2, remplir les obligations suivantes : 11 van de NIS2-wet, minstens voldoen aan de volgende verplichtingen:
1° obtenir une vérification, effectuée par un organisme d'évaluation 1° een verificatie verkrijgen die uitgevoerd wordt door een
conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6
de la conformité agréé par l'autorité nationale de cybersécurité erkend is door de nationale cyberbeveiligingsautoriteit, voor het
conformément au chapitre 6, au niveau basique ou important du cadre de niveau basis of belangrijk van het in artikel 4 bedoelde
référence visé à l'article 4, selon le résultat de leur analyse des referentiekader, naargelang het resultaat van hun risicoanalyse
risques visée à l'article 30, § 5, alinéa 1er, de la loi NIS2 lorsque bedoeld in artikel 30, § 5, eerste lid, van de NIS2-wet, indien de
l'entité choisit le cadre de référence visé à l'article 4; ou entiteit opteert voor het in artikel 4 bedoelde referentiekader; of
2° transmettre le champ d'application et la déclaration 2° het toepassingsgebied en de toepasselijkheidsverklaring bezorgen
d'applicabilité lorsque l'entité choisit le cadre de référence visé à indien de entiteit opteert voor het referentiekader bedoeld in artikel
l'article 5, paragraphe 1, 2°. 5, paragraaf 1, 2°.
§ 2. Lorsque les entités essentielles font le choix de la § 2. Indien essentiële entiteiten opteren voor de certificering op
certification sur base de l'un des cadres de référence visés à basis van een van de in artikel 5 bedoelde referentiekaders,
l'article 5, dans les 30 mois suivant l'entrée en vigueur de la loi verkrijgen zij binnen 30 maanden na de inwerkingtreding van de
NIS2 ou la date de l'identification visée à l'article 11 de la loi NIS2-wet of na de datum van de identificatie bedoeld in artikel 11 van
NIS2 et selon le choix effectué conformément au § 1er, les entités de NIS2-wet en naargelang de keuze gemaakt overeenkomstig § 1:
essentielles : 1° obtiennent une certification conformément à l'article 6, sans 1° een certificering overeenkomstig artikel 6, onverminderd artikel 7;
préjudice de l'article 7; ou of
2° obtiennent une certification conformément à l'article 8. 2° een certificering overeenkomstig artikel 8.

Art. 23.§ 1er. Lorsque les entités essentielles font le choix de la

Art. 23.§ 1. Indien essentiële entiteiten opteren voor toezicht door

supervision par un service d'inspection visée à l'article 39, alinéa 1er, een inspectiedienst bedoeld in artikel 39, eerste lid, 2°, van de
2° de la loi NIS2 sur base de l'un des cadres de référence visés à NIS2-wet op basis van een van de in artikel 5 bedoelde
l'article 5, elles doivent au minimum, dans les 18 mois après l'entrée referentiekaders, moeten zij binnen 18 maanden na de inwerkingtreding
en vigueur de la loi NIS2 ou la date de l'identification visée à van de NIS2-wet of na de datum van de identificatie bedoeld in artikel
l'article 11 de la loi NIS2, remplir les obligations suivantes : 11 van de NIS2-wet, minstens voldoen aan de volgende verplichtingen:
1° transmettre une auto-évaluation du niveau basique ou important 1° een zelfbeoordeling van niveau "basis" of "belangrijk" bezorgen
lorsqu'elles choisissent le cadre de référence visé à l'article 4; indien zij opteren voor het referentiekader bedoeld in artikel 4;
2° transmettre la P.S.I., le champ d'application et la déclaration 2° het I.B.B., het toepassingsgebied en de toepasselijkheidsverklaring
d'applicabilité, lorsqu'elles choisissent le cadre de référence visé à bezorgen, indien zij opteren voor het referentiekader bedoeld in
l'article 5, paragraphe 1er, 2°. artikel 5, paragraaf 1, 2°.
§ 2. Lorsque les entités essentielles font le choix de la supervision § 2. Indien essentiële entiteiten opteren voor toezicht door een
par un service d'inspection visée à l'article 39, alinéa 1er, 2° de la inspectiedienst bedoeld in artikel 39, eerste lid, 2°, van de NIS2-wet
loi NIS2 sur base de l'un des cadres de référence visés à l'article 5, op basis van een van de in artikel 5 bedoelde referentiekaders,
bezorgen zij een stand van zaken van de voortgang van het
dans les 30 mois suivant l'entrée en vigueur de la loi NIS2 ou la date conformiteitsproces binnen 30 maanden na de inwerkingtreding van de
de l'identification visée à l'article 11 de la loi NIS2 et selon le NIS2-wet of na de datum van de identificatie bedoeld in artikel 11 van
choix effectué conformément au § 1er, elles transmettent une état de l'avancement de la mise en conformité. de NIS2-wet en naargelang de keuze die overeenkomstig § 1 is gemaakt.
§ 3. Quel que soit le choix effectué, les entités essentielles et les § 3. Ongeacht de gemaakte keuze moeten essentiële en belangrijke
entités importantes démontrent une amélioration continue. entiteiten een continue verbetering aantonen.

Art. 24.Le Premier Ministre et le Ministre qui a l'Intérieur dans ses

Art. 24.De Eerste Minister en de Minister bevoegd voor Binnenlandse

attributions sont chargés, chacun en ce qui les concerne, de Zaken zijn, ieder wat hem of haar betreft, belast met de uitvoering
l'exécution du présent arrêté. van dit besluit.
Donné à Bruxelles, le 9 juin 2024. Gegeven te Brussel, 9 juni 2024.
PHILIPPE FILIP
Par le Roi : Van Koningswege :
Le Premier Ministre, De Eerste Minister,
A. DE CROO A. DE CROO
La Ministre de l'Intérieur, De Minister van Binnenlandse Zaken,
A. VERLINDEN A. VERLINDEN
Annexe Bijlage
Annexe à l'arrêté royal du 9 juin 2024 exécutant la loi du 26 avril Bijlage bij het koninklijk besluit van 9 juni 2024 tot uitvoering van
2024 établissant un cadre pour la cybersécurité des réseaux et des de wet van 26 april 2024 tot vaststelling van een kader voor de
systèmes d'information d'intérêt général pour la sécurité publique cyberbeveiliging van netwerk- en informatiesystemen van algemeen
belang voor de openbare veiligheid
Annexe - Carte de légitimation Bijlage - Legitimatiekaart
Pour la consultation du tableau, voir image Voor de raadpleging van de tabel, zie beeld
Vu pour être annexé à Notre arrêté du 9 juin 2024 exécutant la loi du Gezien om te worden gevoegd bij Ons besluit van 9 juni 2024 tot
26 avril 2024 établissant un cadre pour la cybersécurité des réseaux uitvoering van de wet van 26 april 2024 tot vaststelling van een kader
et des systèmes d'information d'intérêt général pour la sécurité voor de cyberbeveiliging van netwerk- en informatiesystemen van
publique algemeen belang voor de openbare veiligheid
PHILIPPE FILIP
Par le Roi : Van Koningswege :
Le Premier Ministre, De Eerste Minister,
A. DE CROO A. DE CROO
La Ministre de l'Intérieur, De Minister van Binnenlandse Zaken,
A. VERLINDEN A. VERLINDEN
^