Koninklijk besluit tot uitvoering van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid | Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique |
---|---|
9 JUNI 2024. - Koninklijk besluit tot uitvoering van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet. Gelet op de Grondwet, artikel 108; | 9 JUIN 2024. - Arrêté royal exécutant la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut. Vu la Constitution, l'article 108 ; |
Gelet op de wet van 26 april 2024 tot vaststelling van een kader voor | Vu la loi du 26 avril 2024 établissant un cadre pour la cybersécurité |
de cyberbeveiliging van netwerk- en informatiesystemen van algemeen | des réseaux et des systèmes d'information d'intérêt général pour la |
belang voor de openbare veiligheid, de artikelen 15, §§ 1 en 2, eerste | sécurité publique, les articles 15, §§ 1er et 2, alinéa 1er, 17, 7° et |
lid, 17, 7° en 10°, 39, eerste lid, 40, § 1, eerste lid, 41, 47, § 1, | 10°, 39, alinéa 1er, 40, § 1er, alinéa 1er, 41, 47, § 1er, 50, § 2, |
50, § 2, 63, §§ 1 en 2, en 75; | 63, §§ 1er et 2, et 75; |
Gelet op het koninklijk besluit van 12 juli 2019 tot uitvoering van de | Vu l'arrêté royal du 12 juillet 2019 portant exécution de la loi du 7 |
wet van 7 april 2019 tot vaststelling van een kader voor de | avril 2019 établissant un cadre pour la sécurité des réseaux et des |
beveiliging van netwerk- en informatiesystemen van algemeen belang | systèmes d'information d'intérêt général pour la sécurité publique, |
voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende | ainsi que de la loi du 1er juillet 2011 relative à la sécurité et la |
de beveiliging en de bescherming van de kritieke infrastructuren; | protection des infrastructures critiques; |
Gelet op het advies van de Inspecteur van Financiën, gegeven op 30 | Vu l'avis de l'Inspecteur des Finances, donné le 30 octobre 2023; |
oktober 2023; Gelet op de akkoordbevinding van de Staatssecretaris voor Begroting, gegeven op 7 november 2023; | Vu l'accord de la Secrétaire d'Etat au Budget, donné le 7 novembre 2023; |
Gelet op de adviesaanvraag binnen dertig dagen, die op 19 april 2024 | Vu la demande d'avis dans un délai de trente jours, adressée au |
bij de Raad van State is ingediend, met toepassing van artikel 84, § | Conseil d'Etat le 19 avril 2024, en application de l'article 84, § 1er, |
1, eerste lid, 2°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973; | alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973; |
Overwegende dat het advies niet is meegedeeld binnen die termijn; | Considérant l'absence de communication de l'avis dans ce délai; |
Gelet op artikel 84, § 5, van de wetten op de Raad van State, | Vu l'article 84, § 5, des lois sur le Conseil d'Etat, coordonnées le |
gecoördineerd op 12 januari 1973; | 12 janvier 1973; |
Overwegende het koninklijk besluit van 10 oktober 2014 tot oprichting | Considérant l'arrêté royal du 10 octobre 2014 portant création du |
van het Centrum voor Cybersecurity België; | Centre pour la Cybersécurité Belgique; |
Op de voordracht van de Eerste Minister en de Minister van | Sur la proposition du Premier Ministre et de la Ministre de |
Binnenlandse Zaken en op het advies van de in Raad vergaderde Ministers, | l'Intérieur et de l'avis des Ministres qui en ont délibéré en Conseil, |
Hebben Wij besloten en besluiten Wij : | Nous avons arrêté et arrêtons : |
HOOFDSTUK 1 - Voorwerp en definities | CHAPITRE 1er - Objet et définitions |
Artikel 1.Dit besluit voorziet in de omzetting van de Europese |
Article 1er.Le présent arrêté vise à transposer la directive |
richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 | européenne (UE) 2022/2555 du Parlement Européen et du Conseil du 14 |
december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau | décembre 2022 concernant des mesures destinées à assurer un niveau |
van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) | élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le |
nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van | règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et |
Richtlijn (EU) 2016/1148. | abrogeant la directive (UE) 2016/1148. |
Art. 2.Voor de toepassing van dit besluit zijn de definities bedoeld |
Art. 2.Pour l'application du présent arrêté, les définitions visées à |
in artikel 8 van de wet van 26 april 2024 tot vaststelling van een | l'article 8 de la loi du 26 avril 2024 établissant un cadre pour la |
kader voor de cyberbeveiliging van netwerk- en informatiesystemen van | cybersécurité des réseaux et des systèmes d'information d'intérêt |
algemeen belang voor de openbare veiligheid van toepassing. | général pour la sécurité publique sont d'application. |
Voor de toepassing van dit besluit, moet worden verstaan onder: | Pour l'application du présent arrêté, il faut entendre par : |
1° "NIS2-wet" : de wet van 26 april 2024 tot vaststelling van een | 1° « loi NIS2 » : la loi du 26 avril 2024 établissant un cadre pour la |
kader voor de cyberbeveiliging van netwerk- en informatiesystemen van | cybersécurité des réseaux et des systèmes d'information d'intérêt |
algemeen belang voor de openbare veiligheid; | général pour la sécurité publique; |
2° "conformiteitsbeoordeling": de beoordeling bedoeld in artikel 2, | 2° « évaluation de la conformité » : évaluation visée à l'article 2, |
punt 12 van Verordening (EG) nr. 765/2008 van het Europees Parlement | point 12 du Règlement (CE) n° 765/2008 du Parlement européen et du |
en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake | Conseil du 9 juillet 2008 fixant les prescriptions relatives à |
accreditatie en markttoezicht betreffende het verhandelen van | l'accréditation et à la surveillance du marché pour la |
producten en tot intrekking van Verordening (EEG) nr. 339/93; | commercialisation des produits et abrogeant le règlement (CEE) n° |
3° "conformiteitsattest": afgifte van een bevestiging van conformiteit | 339/93 du Conseil; 3° « attestation de conformité » : délivrance d'une affirmation de |
gebaseerd op een beslissing die de naleving van de gespecifieerde | conformité basée sur une décision indiquant que le respect des |
eisen aantoont. Het document kan het resultaat bevatten van een | exigences spécifiées a été démontré. Le document peut contenir le |
verificatie of certificering; | résultat d'une vérification ou certification; |
4° "verificatie": bevestiging van een verklaring door middel van | 4° « vérification » : confirmation d'une déclaration, par des preuves |
objectieve bewijzen, dat aan de gespecifieerde einsen is voldaan; | objectives, que les exigences spécifiées ont été satisfaites; |
5° "verklaring": door de entiteit verklaarde informatie. | 5° « déclaration » : informations déclarées par l'entité. |
HOOFDSTUK 2 - Aanwijzing van de bevoegde autoriteiten | CHAPITRE 2 - Désignation des autorités compétentes |
Art. 3.§ 1. Het Centrum voor Cybersecurity België, opgericht bij het |
Art. 3.§ 1er. Le Centre pour la Cybersécurité Belgique, créé par |
koninklijk besluit van 10 oktober 2014 tot oprichting van het Centrum | l'arrêté royal du 10 octobre 2014 portant création du Centre pour la |
voor Cybersecurity België, wordt aangewezen als nationale | Cybersécurité Belgique, est désigné comme autorité nationale de |
cyberbeveiligingsautoriteit. | cybersécurité. |
§ 2. De volgende autoriteiten worden aangewezen als sectorale | § 2. Les autorités suivantes sont désignées comme autorités |
overheden: | sectorielles : |
1° voor de sector energie: de federale minister bevoegd voor Energie | 1° pour le secteur de l'énergie : le ministre fédéral ayant l'Energie |
of, bij delegatie door deze laatste, een leidend personeelslid van | dans ses attributions ou, par délégation de celui-ci, un membre |
zijn/haar administratie (in voorkomend geval kan de minister per | dirigeant du personnel de son administration (le cas échéant, le |
deelsector een andere gemachtigde aanwijzen); | ministre peut désigner un délégué différent par sous-secteur); |
2° voor de sector vervoer: | 2° pour le secteur des transports : |
- wat betreft de sector vervoer, met uitzondering van het vervoer over | - en ce qui concerne le secteur du transport, à l'exception du |
water: de federale minister bevoegd voor Vervoer of, bij delegatie | transport par eau : le ministre fédéral compétent pour le Transport, |
door deze laatste, een leidend personeelslid van zijn/haar | ou par délégation de celui-ci, un membre dirigeant du personnel de son |
administratie (in voorkomend geval kan de minister per deelsector een | administration (le cas échéant, le ministre peut désigner un délégué |
andere gemachtigde aanwijzen); | différent par sous-secteur); |
- wat betreft het vervoer over water: de federale minister bevoegd | - en ce qui concerne le transport par eau: le ministre fédéral |
voor Maritieme Mobiliteit of, bij delegatie door deze laatste, een | compétent pour la Mobilité maritime, ou par délégation de celui-ci, un |
leidend personeelslid van zijn/haar administratie (in voorkomend geval | membre dirigeant du personnel de son administration (le cas échéant, |
kan de minister per deelsector een andere gemachtigde aanwijzen); | le Ministre peut désigner un délégué différent par sous-secteur); |
3° voor de sector gezondheidszorg: | 3° pour le secteur de la santé : |
- wat betreft entiteiten die onderzoeks- en ontwikkelingsactiviteiten | - en ce qui concerne les entités exerçant des activités de recherche |
uitvoeren met betrekking tot geneesmiddelen zoals gedefinieerd in | et de développement dans le domaine des médicaments au sens de |
artikel 1, punt 2, van Richtlijn 2001/83/EG van het Europees Parlement | l'article 1er, point 2, de la directive 2001/83/CE du Parlement |
en de Raad van 6 november 2001 tot vaststelling van een communautair | européen et du Conseil du 6 novembre 2001 instituant un code |
wetboek betreffende geneesmiddelen voor menselijk gebruik; entiteiten | communautaire relatif aux médicaments à usage humain; les entités |
die farmaceutische basisproducten en farmaceutische bereidingen | fabriquant des produits pharmaceutiques de base et des préparations |
vervaardigen als bedoeld in bijlage I, sectie C, afdeling 21, van | pharmaceutiques au sens de l'annexe I, section C, division 21 du |
Verordening (EG) nr. 1893/2006 van het Europees Parlement en de Raad | Règlement (CE) n° 1893/2006 du Parlement européen et du Conseil du 20 |
van 20 december 2006 tot vaststelling van de statistische | décembre 2006 établissant la nomenclature statistique des activités |
classificatie van economische activiteiten NACE Rev. 2 en tot | économiques NACE Rév. 2 et modifiant le règlement (CEE) n° 3037/90 du |
wijziging van Verordening (EEG) nr. 3037/90 en enkele EG-verordeningen | |
op specifieke statistische gebieden; en entiteiten die medische | Conseil ainsi que certains règlements (CE) relatifs à des domaines |
hulpmiddelen vervaardigen die in het kader van de noodsituatie op het | statistiques spécifiques; et les entités fabriquant des dispositifs |
gebied van de volksgezondheid als kritiek worden beschouwd ("de lijst | médicaux considérés comme critiques en cas d'urgence de santé publique |
van in een noodsituatie op het gebied van de volksgezondheid kritieke | (liste des dispositifs médicaux critiques en cas d'urgence de santé |
hulpmiddelen") in de zin van artikel 22 van Verordening (EU) 2022/123 | publique) au sens de l'article 22 du règlement (UE) 2022/123 du |
van het Europees Parlement en de Raad van 25 januari 2022 betreffende | Parlement européen et du Conseil du 25 janvier 2022 relatif à un rôle |
een grotere rol van het Europees Geneesmiddelenbureau inzake | renforcé de l'Agence européenne des médicaments dans la préparation |
crisisparaatheid en -beheersing op het gebied van geneesmiddelen en | aux crises et la gestion de celles-ci en ce qui concerne les |
medische hulpmiddelen: het Federaal Agentschap voor Geneesmiddelen en | médicaments et les dispositifs médicaux : l'Agence fédérale des |
Gezondheidsproducten opgericht door de wet van 20 juli 2006 | médicaments et des produits de santé créée par la loi du 20 juillet |
betreffende de oprichting en de werking van het federaal Agentschap | 2006 relative à la création et au fonctionnement de l'Agence fédérale |
voor geneesmiddelen en gezondheidsproducten; | des médicaments et des produits de santé; |
- wat betreft de andere soorten entiteiten van de sector | - en ce qui concerne les autres types d'entités du secteur de la santé |
gezondheidszorg: de federale minister bevoegd voor Volksgezondheid of, | : le ministre fédéral ayant la Santé publique dans ses attributions |
bij delegatie door deze laatste, een leidend personeelslid van | ou, par délégation de celui-ci, un membre dirigeant du personnel de |
zijn/haar administratie; | son administration; |
4° voor de sector digitale infrastructuur, alleen voor wat betreft de | 4° pour le secteur de l'infrastructure numérique, uniquement en ce qui |
verleners van vertrouwensdiensten: de federale minister bevoegd voor | concerne les prestataires de services de confiance : le ministre |
Economie of, bij delegatie door deze laatste, een leidend | fédéral ayant l'Economie dans ses attributions ou, par délégation de |
personeelslid van zijn/haar administratie; | celui-ci, un membre dirigeant du personnel de son administration; |
5° voor de sector digitale aanbieders: de federale minister bevoegd | 5° pour le secteur des fournisseurs numériques : le ministre fédéral |
voor Economie of, bij delegatie door deze laatste, een leidend | ayant l'Economie dans ses attributions ou, par délégation de celui-ci, |
personeelslid van zijn/haar administratie; | un membre dirigeant du personnel de son administration; |
6° voor de sector ruimtevaart en de sector onderzoek: de federale | 6° pour les secteurs de l'espace et de la recherche : le ministre |
minister van Wetenschapsbeleid of bij delegatie door deze laatste, een | fédéral de la Politique scientifique ou par délégation de celui-ci, un |
leidend personeelslid van zijn/haar administratie; | membre dirigeant du personnel de son administration; |
7° voor de deelsector vervaardiging van medische hulpmiddelen en | 7° pour le sous-secteur de la fabrication de dispositifs médicaux et |
medische hulpmiddelen voor in-vitrodiagnostiek, van de sector | de dispositifs médicaux de diagnostic in vitro, du secteur de la |
vervaardiging: het Federaal Agentschap voor Geneesmiddelen en | fabrication : l'Agence fédérale des médicaments et des produits de |
Gezondheidsproducten. | santé. |
HOOFDSTUK 3 - Referentiekaders voor de regelmatige | CHAPITRE 3 - Cadres de référence pour l'évaluation périodique de la |
conformiteitsbeoordeling | conformité |
Art. 4.§ 1. De nationale cyberbeveiligingsautoriteit zorgt, in |
Art. 4.§ 1er. L'autorité nationale de cybersécurité élabore, en |
overleg met de relevante belanghebbenden, voor de uitwerking, | concertation avec les parties prenantes concernées, maintient à jour |
actualisering en openbaarmaking, met name via haar website, van een | et met à disposition du public, notamment sur son site internet, un |
referentiekader. Dit kader bevat de praktische modaliteiten voor de | cadre de référence reprenant les modalités pratiques d'évaluation des |
beoordeling van de in artikel 30, § 3, van de NIS2-wet, bedoelde | mesures minimales de gestion des risques en matière de cybersécurité |
minimale maatregelen voor het beheer van cyberbeveiligingsrisico's. | |
Overeenkomstig de internationale regels met betrekking tot | visées à l'article 30, § 3, de la loi NIS2. |
conformiteitsbeoordelingsschema's zijn de in het eerste lid bedoelde | Conformément aux règles internationales en matière de schémas |
relevante belanghebbenden ten minste de autoriteiten vermeld in | d'évaluation de la conformité, les parties prenantes concernées au |
artikel 15 van de NIS2-wet, de geaccrediteerde instanties en de | sens de l'alinéa 1er sont au moins les autorités visées à l'article 15 |
organisaties die het referentiekader het eerste lid gebruiken. | de la loi NIS2, les organismes accrédités et les organisations qui |
utilisent le référentiel visé à l'alinéa 1er. | |
§ 2. Het referentiekader beschrijft, op evenredige wijze, ten minste | § 2. Le cadre de référence contient, de manière proportionnée, au |
de volgende zekerheidsniveaus: basis, belangrijk en essentieel. | minimum les niveaux d'assurance suivants : basique, important et essentiel. |
Art. 5.§ 1er. Dans le cadre de l'évaluation de la conformité visée à |
|
Art. 5.§ 1. In het kader van de in artikel 39 van de NIS2-wet |
l'article 39 de la loi NIS2 et en tenant compte des méthodologies |
bedoelde conformiteitsbeoordeling en rekening houdend met de relevante | d'analyse des risques pertinentes, les entités essentielles |
methoden voor risicoanalyse, kiezen essentiële entiteiten één of meer | choisissent un ou plusieurs cadres de référence dont le champ |
referentiekaders waarvan het toepassingsgebied alle netwerk- en | d'application couvre l'ensemble des réseaux et systèmes d'information |
informatiesystemen van de entiteit omvat uit een van de volgende | de l'entité parmi les cadres de référence suivants : |
referentiekaders: | |
1° het in artikel 4 bedoelde referentiekader; of | 1° le cadre de référence visé à l'article 4; ou |
2° de norm NBN EN ISO/IEC 27001. | 2° la norme NBN EN ISO/IEC 27001. |
§ 2. In het kader van de vrijwillige conformiteitsbeoordeling bedoeld | § 2. Dans le cadre de l'évaluation volontaire de la conformité visée à |
in artikel 41 van de NIS2-wet kiezen belangrijke entiteiten een van de | l'article 41 de la loi NIS2, les entités importantes choisissent un |
in paragraaf 1 bedoelde referentiekaders. | cadre de référence parmi les cadres de référence visés au paragraphe 1er. |
HOOFDSTUK 4 - Modaliteiten van de regelmatige conformiteitsbeoordeling | CHAPITRE 4 - Modalités de l'évaluation périodique de la conformité des |
van essentiële entiteiten | entités essentielles |
Art. 6.In het kader van de conformiteitsbeoordeling door een |
Art. 6.Dans le cadre de l'évaluation de la conformité effectuée par |
un organisme d'évaluation de la conformité agréé par l'autorité | |
conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 | nationale de cybersécurité conformément au chapitre 6 et sur base du |
erkend is door de nationale cyberbeveiligingsautoriteit en op basis | cadre de référence visé à l'article 4, les entités essentielles |
van het in artikel 4 bedoelde referentiekader, verkrijgen essentiële | |
entiteiten een certificering voor het niveau "essentieel" van | obtiennent une certification au niveau essentiel du cadre de référence |
voornoemd referentiekader. | précité. |
Art. 7.In afwijking van artikel 6 kunnen essentiële entiteiten, |
Art. 7.Par dérogation à l'article 6, les entités essentielles |
indien zij dit motiveren, een verificatie verkrijgen die uitgevoerd | peuvent, de manière motivée, obtenir une vérification, effectuée par |
wordt door een conformiteitsbeoordelingsinstantie die overeenkomstig | un organisme d'évaluation de la conformité agréé par l'autorité |
hoofdstuk 6 erkend is door de nationale cyberbeveiligingsautoriteit, | nationale de cybersécurité conformément au chapitre 6, à un niveau |
voor een lager niveau van het in artikel 4 bedoelde referentiekader, | inférieur du cadre de référence visé à l'article 4 si le résultat de |
indien het resultaat van hun risicoanalyse bedoeld in artikel 30, § 5, | leur analyse des risques visée à l'article 30, § 5, alinéa 1er, de la |
eerste lid, van de NIS2-wet dit rechtvaardigt. | loi NIS2 le justifie. |
Het gebruik van de in het eerste lid bedoelde afwijking valt onder de | L'usage de la dérogation visée à l'alinéa 1er relève de la |
verantwoordelijkheid van de essentiële entiteit en wordt als zodanig | responsabilité de l'entité essentielle et ne fait pas, en tant que |
niet beoordeeld door een conformiteitsbeoordelingsinstantie. | tel, l'objet d'une évaluation de la part d'un organisme d'évaluation |
de la conformité. | |
Art. 8.In het kader van de conformiteitsbeoordeling op basis van het |
Art. 8.Dans le cadre de l'évaluation de la conformité effectuée sur |
referentiekader bedoeld in artikel 5, § 1, 2°, verkrijgen essentiële | base du cadre de référence visé à l'article 5, § 1er, 2°, les entités |
entiteiten een certificering via een procedure van regelmatige audits | essentielles obtiennent une certification au travers d'une procédure |
uitgevoerd door een conformiteitsbeoordelingsinstantie die | d'audits réguliers effectués par un organisme d'évaluation de la |
overeenkomstig hoofdstuk 6 erkend is door de nationale | conformité agréé par l'autorité nationale de cybersécurité |
cyberbeveiligingsautoriteit. | conformément au chapitre 6. |
Art. 9.Ongeacht het gekozen referentiekader bezorgen essentiële |
Art. 9.Quel que soit le cadre de référence choisi, les entités |
entiteiten hun conformiteitsattest en de risicoanalyse bedoeld in | essentielles communiquent leur attestation de conformité ainsi que |
artikel 30, § 5, eerste lid, van de NIS2-wet elektronisch aan de | l'analyse des risques visée à l'article 30, § 5, alinéa 1er, de la loi |
nationale cyberbeveiligingsautoriteit. | NIS2, à l'autorité nationale de cybersécurité, de manière |
électronique. | |
Daartoe creëert en actualiseert de nationale | A cette fin, l'autorité nationale de cybersécurité crée, maintient à |
cyberbeveiligingsautoriteit een beveiligd platform dat voor de | jour et met à disposition des entités une plateforme sécurisée |
entiteiten toegankelijk is via internet. | accessible par le biais d'internet. |
Art. 10.In het kader van artikel 39, eerste lid, 2°, van de NIS2-wet |
Art. 10.Dans le cadre de l'article 39, alinéa 1er, 2°, de la loi |
vindt de regelmatige conformiteitsbeoordeling door de inspectiedienst | NIS2, l'évaluation périodique de la conformité par le service |
van de nationale cyberbeveiligingsautoriteit niet meer dan één keer | d'inspection de l'autorité nationale de cybersécurité est effectuée au |
per jaar plaats. | maximum une fois par an. |
HOOFDSTUK 5 - Modaliteiten van de regelmatige vrijwillige | CHAPITRE 5 - Modalités de l'évaluation périodique volontaire de la |
conformiteitsbeoordeling van belangrijke entiteiten door een | conformité des entités importantes par un organisme d'évaluation de la |
conformiteitsbeoordelingsinstantie | conformité |
Art. 11.§ 1. Wanneer belangrijke entiteiten opteren voor een |
Art. 11.§ 1er. Lorsque les entités importantes choisissent de |
regelmatige conformiteitsbeoordeling op basis van het in artikel 4 | réaliser une évaluation périodique de la conformité sur base du cadre |
bedoelde referentiekader, verkrijgen zij een verificatieverklaring van | de référence visé à l'article 4, elles obtiennent un avis de |
minstens het niveau belangrijk van voornoemd referentiekader. | vérification au moins au niveau important du cadre de référence |
§ 2. In het kader van de in paragraaf 1 bedoelde regelmatige vrijwillige conformiteitsbeoordeling verrichten belangrijke entiteiten elk jaar een zelfbeoordeling die wordt geverifieerd door een conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 erkend is door de nationale cyberbeveiligingsautoriteit. De erkende conformiteitsbeoordelingsinstantie bezorgt de betrokken entiteit een verificatieverslag dat al dan niet een verificatieverklaring bevat, overeenkomstig het in artikel 4 bedoelde referentiekader. | précité. § 2. Dans le cadre de l'évaluation périodique volontaire de la conformité visée au paragraphe 1er, les entités importantes réalisent chaque année une auto-évaluation qui est vérifiée par un organisme d'évaluation de la conformité agréé par l'autorité nationale de cybersécurité conformément au chapitre 6. L'organisme d'évaluation de la conformité agréé délivre à l'entité concernée un rapport de vérification portant un avis de vérification, ou non, conformément au cadre de référence visé à l'article 4. |
Art. 12.In het kader van de conformiteitsbeoordeling op basis van het |
Art. 12.Dans le cadre de l'évaluation de la conformité effectuée sur |
referentiekader bedoeld in artikel 5, § 1, 2°, verkrijgen belangrijke | base du cadre de référence visé à l'article 5, § 1er, 2°, les entités |
entiteiten indien gewenst een certificering via een procedure van | importantes qui le désirent obtiennent une certification au travers |
regelmatige audits uitgevoerd door een | |
conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 | d'une procédure d'audits réguliers effectués par un organisme |
erkend is door de nationale cyberbeveiligingsautoriteit. | d'évaluation de la conformité agréé par l'autorité nationale de |
cybersécurité conformément au chapitre 6. | |
Art. 13.Les entités importantes qui choisissent d'effectuer |
|
Art. 13.Belangrijke entiteiten die opteren voor de in artikel 41 van |
l'évaluation de la conformité visée à l'article 41 de la loi NIS2, |
de NIS2-wet bedoelde conformiteitsbeoordeling, bezorgen de nationale | quel que soit le cadre de référence choisi, communiquent leur |
cyberbeveiligingsautoriteit, ongeacht het gekozen referentiekader, hun | attestation de conformité ainsi que l'analyse des risques visée à |
conformiteitsattest en de risicoanalyse bedoeld in artikel 30, § 5, | l'article 30, § 5, alinéa 1er, de la loi NIS2, à l'autorité nationale |
eerste lid, van de NIS2-wet op de in artikel 9, eerste lid, bedoelde | de cybersécurité, de la manière visée à l'article 9, alinéa 1er. |
wijze. Daartoe krijgen belangrijke entiteiten toegang tot het platform | A cette fin, les entités importantes ont accès à la plateforme visée à |
bedoeld in artikel 9, tweede lid. | l'article 9, alinéa 2. |
HOOFDSTUK 6 - Erkenningsvoorwaarden | CHAPITRE 6 - Conditions d'agrément |
Art. 14.§ 1. Onverminderd hoofdstuk 8 erkent de nationale |
Art. 14.§ 1er. Sans préjudice du chapitre 8, l'autorité nationale de |
cyberbeveiligingsautoriteit conformiteitsbeoordelingsinstanties die de | cybersécurité agrée les organismes d'évaluation de la conformité qui |
erkenningsvoorwaarden van dit hoofdstuk naleven: | respectent les conditions d'agréation du présent chapitre : |
1° hetzij in het kader van de toepassing van de artikelen 39 en 41 van | 1° soit dans le cadre de l'application des articles 39 et 41 de la loi |
de NIS2-wet, | NIS2, |
2° hetzij in het kader van de conformiteitsbeoordeling op basis van | 2° soit dans le cadre de l'évaluation de la conformité sur base du |
het in artikel 4 bedoelde referentiekader. | référentiel visé à l'article 4. |
§ 2. Wanneer de inspectiedienst van de nationale | § 2. Lorsque le service d'inspection de l'autorité nationale de |
cyberbeveiligingsautoriteit een inbreuk op de in dit hoofdstuk | cybersécurité constate une violation des conditions d'agrément visées |
bedoelde erkenningsvoorwaarden vaststelt, kan deze inspectiedienst, | au présent chapitre, ce service d'inspection peut, au travers de la |
via de procedure bedoeld in afdeling 1 van hoofdstuk 2 van titel 4 van | procédure visée à la section 1re du chapitre 2 du titre 4 de la loi |
de NIS2-wet, de conformiteitsbeoordelingsinstantie aanmanen om een | NIS2, mettre en demeure l'organisme d'évaluation de la conformité de |
einde te maken aan de inbreuk. Zo niet kan de nationale | mettre fin à la violation, faute de quoi l'autorité nationale de |
cyberbeveiligingsautoriteit de in paragraaf 1 bedoelde erkenning | cybersécurité peut suspendre ou retirer l'agrément visé au paragraphe |
opschorten of intrekken. | 1er. |
Art. 15.§ 1. Om te worden erkend, moet de |
Art. 15.§ 1er. Pour être agréé, l'organisme d'évaluation de la |
conformiteitsbeoordelingsinstantie vooraf beschikken over een | conformité doit disposer au préalable d'une accréditation délivrée par |
accreditatie van een nationale accreditatie-instantie voor het | un organisme national d'accréditation pour réaliser la certification |
uitvoeren van de certificering en/of van de verificatie als | et/ou la vérification en tant qu'activités d'évaluation de la |
conformiteitsbeoordelingsactiviteiten voor een of meer van de | conformité d'un ou plusieurs cadres de référence visés à l'article 5, |
referentiekaders bedoeld in artikel 5, § 1, 1° en/of 2°. De erkenning | § 1er, 1° et/ou 2°. L'agrément se limite aux cadres de référence pour |
is beperkt tot de referentiekaders waarvoor de conformiteitsbeoordelingsinstantie geaccrediteerd is. | lesquels l'organisme d'évaluation de la conformité est accrédité. |
§ 2. Wanneer er sprake is van een belangenconflict tussen de | § 2. Lorsqu'il existe un conflit d'intérêts entre l'organisme |
conformiteitsbeoordelingsinstantie of haar uitvoeringsinstanties en | d'évaluation de la conformité ou ses agents d'exécution et une entité |
een entiteit waarvoor de verplichtingen van de NIS2-wet gelden, kan | soumise aux obligations de la loi NIS2, l'agrément ne peut valoir pour |
voor die entiteit geen erkenning worden verleend. | cette entité. |
Om de in het eerste lid bedoelde situaties op te sporen, maakt de | Afin de détecter les situations visées à l'alinéa 1er, l'autorité |
nationale cyberbeveiligingsautoriteit de toekenning van de erkenning | nationale de cybersécurité conditionne l'octroi de l'agrément à la |
afhankelijk van het verstrekken van alle nodige informatie. | fourniture de toutes les informations nécessaires. |
Indien de in het eerste lid bedoelde situatie zich voordoet na de | Si la situation visée à l'alinéa 1er apparaît après l'octroi de |
toekenning van de erkenning, moet de | l'agrément, l'organisme d'évaluation de la conformité doit en informer |
conformiteitsbeoordelingsinstantie de nationale | dans les plus brefs délais l'autorité nationale de cybersécurité et |
cyberbeveiligingsautoriteit zo snel mogelijk op de hoogte brengen en | s'abstenir de participer à l'évaluation des entités concernées. |
afzien van de beoordeling van de betrokken entiteiten. | |
§ 3. Erkende conformiteitsbeoordelingsinstanties moeten de nationale | § 3. Les organismes d'évaluation de la conformité agréés fournissent |
cyberbeveiligingsautoriteit jaarlijks een verslag bezorgen volgens de | chaque année à l'autorité nationale de cybersécurité, selon les |
modaliteiten bepaald door deze autoriteit. Dit verslag bevat minstens | modalités fixées par cette autorité, un rapport contenant au minimum |
de volgende gegevens over entiteiten die tot het toepassingsgebied van | les données suivantes en ce qui concerne les entités qui relèvent du |
de NIS2-wet behoren: | champ d'application de la loi NIS2 : |
1° een lijst van de uitgereikte conformiteitsattesten; | 1° une liste des attestations de conformité délivrées; |
2° een lijst van de geweigerde en geschorste conformiteitsattesten; | 2° une liste des attestations de conformité refusées ou suspendues; |
3° een lijst van de ontvangen klachten en van het gevolg dat hieraan | 3° une liste des plaintes reçues et des suites données à celles-ci. |
werd gegeven. De conformiteitsbeoordelingsinstantie wordt geacht op elk ogenblik | L'organisme d'évaluation de la conformité collabore à tout moment avec |
samen te werken met de nationale cyberbeveiligingsautoriteit, onder | l'autorité nationale de cybersécurité, notamment en répondant à ses |
meer door haar verzoeken om informatie te beantwoorden. | demandes d'information. |
HOOFDSTUK 7 - Bepalingen betreffende de inspectiedienst | CHAPITRE 7 - Dispositions relatives au service d'inspection |
Art. 16.§ 1. De beëdigde leden van de inspectiedienst van de |
Art. 16.§ 1er. Les membres assermentés du service d'inspection de |
nationale cyberbeveiligingsautoriteit beschikken over een | l'autorité nationale de cybersécurité sont dotés d'une carte de |
legitimatiekaart waarvan het model in bijlage is opgenomen. | légitimation dont le modèle est repris à l'annexe. |
§ 2. De in paragraaf 1 bedoelde legitimatiekaart is rechthoekig, 85,6 | § 2. La carte de légitimation visée au paragraphe 1er a une forme |
mm lang en 53,98 mm breed, en geplastificeerd. | rectangle de 85,6 mm de longueur et 53,98 mm de largeur et est |
plastifiée. | |
HOOFDSTUK 8 - Conformiteitsbeoordelingsinstantie voor de federale | CHAPITRE 8 - Organisme d'évaluation de la conformité du secteur public |
overheidssector | fédéral |
Art. 17.De Federale Interneauditdienst, opgericht bij artikel 3 van |
Art. 17.Le Service fédéral d'audit interne, créé par l'article 3 de |
het koninklijk besluit van 4 mei 2016 tot oprichting van de Federale | l'arrêté royal du 4 mai 2016 portant création du Service fédéral |
Interneauditdienst, wordt aangewezen als | d'audit interne, est désigné comme organisme d'évaluation de la |
conformiteitsbeoordelingsinstantie voor de instanties bedoeld in | conformité des entités visées à l'article 1er dudit arrêté, pour le |
artikel 1 van dat besluit, wat het in artikel 5, § 1, 1°, bedoelde | cadre de référence visé à l'article 5, § 1er, 1°. |
referentiekader betreft. | |
Art. 18.De nationale cyberbeveiligingsautoriteit erkent de als |
Art. 18.L'autorité nationale de cybersécurité agrée l'autorité |
conformiteitsbeoordelingsinstantie aangewezen autoriteit wanneer zij | désignée comme organisme d'évaluation de la conformité lorsqu'elle |
de erkenningsvoorwaarden van dit hoofdstuk naleeft, evenals de | respecte les conditions d'agrément du présent chapitre ainsi que les |
artikelen 14, § 2, en 15, § 3. | articles 14, § 2 et 15, § 3. |
Art. 19.Om te worden erkend en regelmatige conformiteitsbeoordelingen |
Art. 19.Pour être agréée et effectuer les évaluations périodiques de |
te kunnen verrichten op basis van het in artikel 5, § 1, 1°, bedoelde | la conformité sur base du cadre de référence visé à l'article 5, § 1er, |
referentiekader, moet een als conformiteitsbeoordelingsinstantie | 1°, une autorité désignée comme organisme d'évaluation de la |
aangewezen autoriteit over de technische bekwaamheid beschikken voor | conformité doit disposer des capacités techniques pour effectuer les |
het uitvoeren van certificeringsaudits en verificaties in het kader | audits de certification et les vérifications dans le cadre de |
van de conformiteitsbeoordeling. | l'évaluation de la conformité. |
HOOFDSTUK 9 - Retributies voor regelmatige conformiteitsbeoordelingen | CHAPITRE 9 - Rétributions relatives aux évaluations périodiques de la |
uitgevoerd door de inspectiedienst | conformité effectuées par le service d'inspection |
Art. 20.§ 1. Er is voorzien in een retributie voor |
Art. 20.§ 1er. Une rétribution est prévue pour les prestations |
inspectieprestaties die de essentiële entiteit gekozen heeft in het | d'inspection choisies par l'entité essentielle dans le cadre de |
kader van artikel 39, eerste lid, 2°, van de NIS2-wet. | l'article 39, alinéa 1er, 2°, de la loi NIS2. |
Deze retributie wordt bepaald op basis van de duur van de in uren | Cette rétribution est déterminée sur base de la durée des prestations |
berekende prestaties en vermenigvuldigd met het in paragraaf 2, tweede | calculées en heures, multipliée par le taux horaire visé au paragraphe |
lid, bedoelde uurtarief. | 2, alinéa 2. |
§ 2. De duur van de prestaties wordt bepaald door de methodologie van | § 2. La durée des prestations est fixée par la méthodologie du cadre |
het in artikel 5 bedoelde referentiekader. | de référence visé à l'article 5. |
Het uurtarief bedraagt 150 euro. | Le taux horaire est fixé à 150 euro. |
§ 3. De in dit artikel bedoelde bedragen zijn gekoppeld aan het | § 3. Les montants visés au présent article sont rattachés à l'indice |
indexcijfer van de consumptieprijzen van november 2023 en worden | des prix à la consommation de novembre 2023 et sont adaptés |
jaarlijks op 1 januari aangepast aan de schommelingen van dit | annuellement le 1er janvier en fonction des fluctuations de cet |
indexcijfer. | indice. |
§ 4. Retributies worden gedetailleerd gefactureerd. | § 4. Les rétributions font l'objet d'une facturation détaillée. |
Gefactureerde bedragen moeten uiterlijk op de laatste dag van de maand | Les montants facturés doivent être versés au plus tard le dernier jour |
na de factuurdatum worden betaald. Als dit niet gebeurt, wordt een | du mois qui suit la date de la facture. A défaut, un rappel est |
herinnering gestuurd naar de betrokken entiteit. | adressé à l'entité concernée. |
Bij niet-betaling binnen twee maanden na de herinnering wordt een | En cas de non-paiement dans les deux mois suivant le rappel, une mise |
aangetekende ingebrekestelling verstuurd naar de betrokken entiteit. | en demeure est adressée par recommandé à l'entité concernée. |
§ 5. De in paragraaf 1 bedoelde retributie is niet van toepassing op | § 5. La rétribution visée au paragraphe 1er n'est pas applicable pour |
entiteiten die deel uitmaken van de overheidssector bedoeld in bijlage | les entités faisant partie du secteur de l'administration publique |
I van de NIS2-wet, voor zover deze niet zijn vermeld in artikel 1 van | visées à l'annexe I de la loi NIS2, pour autant qu'elles ne soient pas |
het koninklijk besluit van 4 mei 2016 tot oprichting van de Federale | visées à l'article 1er de l'arrêté royal du 4 mai 2016 portant |
Interneauditdienst. | création du Service fédéral d'audit interne. |
HOOFDSTUK 10 - Opheffings- en slotbepalingen | CHAPITRE 10 - Dispositions abrogatoires et finales |
Art. 21.Het koninklijk besluit van 12 juli 2019 tot uitvoering van de |
Art. 21.L'arrêté royal du 12 juillet 2019 portant exécution de la loi |
wet van 7 april 2019 tot vaststelling van een kader voor de | du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et |
beveiliging van netwerk- en informatiesystemen van algemeen belang | des systèmes d'information d'intérêt général pour la sécurité |
voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende | publique, ainsi que de la loi du 1er juillet 2011 relative à la |
de beveiliging en de bescherming van de kritieke infrastructuren wordt | sécurité et la protection des infrastructures critiques est abrogé, à |
opgeheven, met uitzondering van artikel 4, bijlage I, punt c), en | l'exception de l'article 4, de l'annexe I, point c), et de l'annexe |
bijlage II, punt a), van voornoemd koninklijk besluit waarvan de | II, point a), de l'arrêté royal précité, dont la portée est réduite à |
draagwijdte beperkt is tot de uitvoering van de wet van 1 juli 2011 | l'exécution de la loi du 1er juillet 2011 relative à la sécurité et la |
betreffende de beveiliging en de bescherming van de kritieke | protection des infrastructures critiques. |
infrastructuren. | |
Art. 22.§ 1. Indien essentiële entiteiten opteren voor de |
Art. 22.§ 1er. Lorsque les entités essentielles font le choix de la |
certificering op basis van een van de in artikel 5 bedoelde | certification sur base de l'un des cadres de référence visés à |
referentiekaders, moeten zij binnen 18 maanden na de inwerkingtreding | l'article 5, elles doivent au minimum, dans les 18 mois après l'entrée |
van de NIS2-wet of na de datum van de identificatie bedoeld in artikel | en vigueur de la loi NIS2 ou la date de l'identification visée à |
11 van de NIS2-wet, minstens voldoen aan de volgende verplichtingen: | l'article 11 de la loi NIS2, remplir les obligations suivantes : |
1° een verificatie verkrijgen die uitgevoerd wordt door een | 1° obtenir une vérification, effectuée par un organisme d'évaluation |
conformiteitsbeoordelingsinstantie die overeenkomstig hoofdstuk 6 | |
erkend is door de nationale cyberbeveiligingsautoriteit, voor het | de la conformité agréé par l'autorité nationale de cybersécurité |
niveau basis of belangrijk van het in artikel 4 bedoelde | conformément au chapitre 6, au niveau basique ou important du cadre de |
referentiekader, naargelang het resultaat van hun risicoanalyse | référence visé à l'article 4, selon le résultat de leur analyse des |
bedoeld in artikel 30, § 5, eerste lid, van de NIS2-wet, indien de | risques visée à l'article 30, § 5, alinéa 1er, de la loi NIS2 lorsque |
entiteit opteert voor het in artikel 4 bedoelde referentiekader; of | l'entité choisit le cadre de référence visé à l'article 4; ou |
2° het toepassingsgebied en de toepasselijkheidsverklaring bezorgen | 2° transmettre le champ d'application et la déclaration |
indien de entiteit opteert voor het referentiekader bedoeld in artikel | d'applicabilité lorsque l'entité choisit le cadre de référence visé à |
5, paragraaf 1, 2°. | l'article 5, paragraphe 1, 2°. |
§ 2. Indien essentiële entiteiten opteren voor de certificering op | § 2. Lorsque les entités essentielles font le choix de la |
basis van een van de in artikel 5 bedoelde referentiekaders, | certification sur base de l'un des cadres de référence visés à |
verkrijgen zij binnen 30 maanden na de inwerkingtreding van de | l'article 5, dans les 30 mois suivant l'entrée en vigueur de la loi |
NIS2-wet of na de datum van de identificatie bedoeld in artikel 11 van | NIS2 ou la date de l'identification visée à l'article 11 de la loi |
de NIS2-wet en naargelang de keuze gemaakt overeenkomstig § 1: | NIS2 et selon le choix effectué conformément au § 1er, les entités |
1° een certificering overeenkomstig artikel 6, onverminderd artikel 7; | essentielles : 1° obtiennent une certification conformément à l'article 6, sans |
of | préjudice de l'article 7; ou |
2° een certificering overeenkomstig artikel 8. | 2° obtiennent une certification conformément à l'article 8. |
Art. 23.§ 1. Indien essentiële entiteiten opteren voor toezicht door |
Art. 23.§ 1er. Lorsque les entités essentielles font le choix de la |
een inspectiedienst bedoeld in artikel 39, eerste lid, 2°, van de | supervision par un service d'inspection visée à l'article 39, alinéa 1er, |
NIS2-wet op basis van een van de in artikel 5 bedoelde | 2° de la loi NIS2 sur base de l'un des cadres de référence visés à |
referentiekaders, moeten zij binnen 18 maanden na de inwerkingtreding | l'article 5, elles doivent au minimum, dans les 18 mois après l'entrée |
van de NIS2-wet of na de datum van de identificatie bedoeld in artikel | en vigueur de la loi NIS2 ou la date de l'identification visée à |
11 van de NIS2-wet, minstens voldoen aan de volgende verplichtingen: | l'article 11 de la loi NIS2, remplir les obligations suivantes : |
1° een zelfbeoordeling van niveau "basis" of "belangrijk" bezorgen | 1° transmettre une auto-évaluation du niveau basique ou important |
indien zij opteren voor het referentiekader bedoeld in artikel 4; | lorsqu'elles choisissent le cadre de référence visé à l'article 4; |
2° het I.B.B., het toepassingsgebied en de toepasselijkheidsverklaring | 2° transmettre la P.S.I., le champ d'application et la déclaration |
bezorgen, indien zij opteren voor het referentiekader bedoeld in | d'applicabilité, lorsqu'elles choisissent le cadre de référence visé à |
artikel 5, paragraaf 1, 2°. | l'article 5, paragraphe 1er, 2°. |
§ 2. Indien essentiële entiteiten opteren voor toezicht door een | § 2. Lorsque les entités essentielles font le choix de la supervision |
inspectiedienst bedoeld in artikel 39, eerste lid, 2°, van de NIS2-wet | par un service d'inspection visée à l'article 39, alinéa 1er, 2° de la |
op basis van een van de in artikel 5 bedoelde referentiekaders, | loi NIS2 sur base de l'un des cadres de référence visés à l'article 5, |
bezorgen zij een stand van zaken van de voortgang van het | |
conformiteitsproces binnen 30 maanden na de inwerkingtreding van de | dans les 30 mois suivant l'entrée en vigueur de la loi NIS2 ou la date |
NIS2-wet of na de datum van de identificatie bedoeld in artikel 11 van | de l'identification visée à l'article 11 de la loi NIS2 et selon le |
de NIS2-wet en naargelang de keuze die overeenkomstig § 1 is gemaakt. | choix effectué conformément au § 1er, elles transmettent une état de l'avancement de la mise en conformité. |
§ 3. Ongeacht de gemaakte keuze moeten essentiële en belangrijke | § 3. Quel que soit le choix effectué, les entités essentielles et les |
entiteiten een continue verbetering aantonen. | entités importantes démontrent une amélioration continue. |
Art. 24.De Eerste Minister en de Minister bevoegd voor Binnenlandse |
Art. 24.Le Premier Ministre et le Ministre qui a l'Intérieur dans ses |
Zaken zijn, ieder wat hem of haar betreft, belast met de uitvoering | attributions sont chargés, chacun en ce qui les concerne, de |
van dit besluit. | l'exécution du présent arrêté. |
Gegeven te Brussel, 9 juni 2024. | Donné à Bruxelles, le 9 juin 2024. |
FILIP | PHILIPPE |
Van Koningswege : | Par le Roi : |
De Eerste Minister, | Le Premier Ministre, |
A. DE CROO | A. DE CROO |
De Minister van Binnenlandse Zaken, | La Ministre de l'Intérieur, |
A. VERLINDEN | A. VERLINDEN |
Bijlage | Annexe |
Bijlage bij het koninklijk besluit van 9 juni 2024 tot uitvoering van | Annexe à l'arrêté royal du 9 juin 2024 exécutant la loi du 26 avril |
de wet van 26 april 2024 tot vaststelling van een kader voor de | 2024 établissant un cadre pour la cybersécurité des réseaux et des |
cyberbeveiliging van netwerk- en informatiesystemen van algemeen | systèmes d'information d'intérêt général pour la sécurité publique |
belang voor de openbare veiligheid | |
Bijlage - Legitimatiekaart | Annexe - Carte de légitimation |
Voor de raadpleging van de tabel, zie beeld | Pour la consultation du tableau, voir image |
Gezien om te worden gevoegd bij Ons besluit van 9 juni 2024 tot | Vu pour être annexé à Notre arrêté du 9 juin 2024 exécutant la loi du |
uitvoering van de wet van 26 april 2024 tot vaststelling van een kader | 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux |
voor de cyberbeveiliging van netwerk- en informatiesystemen van | et des systèmes d'information d'intérêt général pour la sécurité |
algemeen belang voor de openbare veiligheid | publique |
FILIP | PHILIPPE |
Van Koningswege : | Par le Roi : |
De Eerste Minister, | Le Premier Ministre, |
A. DE CROO | A. DE CROO |
De Minister van Binnenlandse Zaken, | La Ministre de l'Intérieur, |
A. VERLINDEN | A. VERLINDEN |