Etaamb.openjustice.be
Koninklijk Besluit van 25 januari 2019
gepubliceerd op 08 februari 2019

Koninklijk besluit tot goedkeuring van het reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017 houdende het toezicht op verwerkers van betalingstransacties

bron
federale overheidsdienst financien
numac
2019030120
pub.
08/02/2019
prom.
25/01/2019
ELI
eli/besluit/2019/01/25/2019030120/staatsblad
staatsblad
https://www.ejustice.just.fgov.be/cgi/article_body(...)
Document Qrcode

25 JANUARI 2019. - Koninklijk besluit tot goedkeuring van het reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017Relevante gevonden documenten type wet prom. 24/03/2017 pub. 24/04/2017 numac 2017030173 bron federale overheidsdienst financien Wet houdende het toezicht op verwerkers van betalingstransacties sluiten houdende het toezicht op verwerkers van betalingstransacties


FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op de wet van 22 februari 1998Relevante gevonden documenten type wet prom. 22/02/1998 pub. 28/03/1998 numac 1998003158 bron ministerie van financien Wet tot vaststelling van het organiek statuut van de Nationale Bank van België sluiten tot vaststelling van het organiek statuut van de Nationale Bank van België, artikel 8, § 2;

Gelet op de wet van 24 maart 2017Relevante gevonden documenten type wet prom. 24/03/2017 pub. 24/04/2017 numac 2017030173 bron federale overheidsdienst financien Wet houdende het toezicht op verwerkers van betalingstransacties sluiten houdende het toezicht op verwerkers van betalingstransacties, de artikelen 8, tweede lid, 11, § 5, 12, § 6 en 13, § 3 en § 4;

Op de voordracht van de Minister van Financiën, Hebben Wij besloten en besluiten Wij :

Artikel 1.Het bij dit besluit gevoegde reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017Relevante gevonden documenten type wet prom. 24/03/2017 pub. 24/04/2017 numac 2017030173 bron federale overheidsdienst financien Wet houdende het toezicht op verwerkers van betalingstransacties sluiten houdende het toezicht op verwerkers van betalingstransacties wordt goedgekeurd.

Art. 2.Dit besluit treedt in werking op de dag dat het in het Belgisch Staatsblad wordt bekendgemaakt.

Art. 3.De minister bevoegd voor Financiën is belast met de uitvoering van dit besluit.

Gegeven te Brussel, 25 januari 2019.

FILIP Van Koningswege : De Vice-Eerste Minister en Minister van Financiën, A. DE CROO

Bijlage bij het koninklijk besluit van 25 januari 2019 tot goedkeuring van het reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017Relevante gevonden documenten type wet prom. 24/03/2017 pub. 24/04/2017 numac 2017030173 bron federale overheidsdienst financien Wet houdende het toezicht op verwerkers van betalingstransacties sluiten houdende het toezicht op verwerkers van betalingstransacties De Nationale Bank van België, Gelet op de wet van 22 februari 1998Relevante gevonden documenten type wet prom. 22/02/1998 pub. 28/03/1998 numac 1998003158 bron ministerie van financien Wet tot vaststelling van het organiek statuut van de Nationale Bank van België sluiten tot vaststelling van het organiek statuut van de Nationale Bank van België, artikel 8;

Gelet op de wet van 24 maart 2017Relevante gevonden documenten type wet prom. 24/03/2017 pub. 24/04/2017 numac 2017030173 bron federale overheidsdienst financien Wet houdende het toezicht op verwerkers van betalingstransacties sluiten houdende het toezicht op verwerkers van betalingstransacties, de artikelen 8, tweede lid, 11, § 5, 12, § 6 en 13, §§ 3 en 4, Besluit : HOOFDSTUK 1. - Definities

Artikel 1.Voor de toepassing van dit reglement wordt verstaan onder: 1° "de wet": de wet van 24 maart 2017Relevante gevonden documenten type wet prom. 24/03/2017 pub. 24/04/2017 numac 2017030173 bron federale overheidsdienst financien Wet houdende het toezicht op verwerkers van betalingstransacties sluiten houdende het toezicht op verwerkers van betalingstransacties;2° "verwerker": iedere systeemrelevante verwerker als bedoeld in de wet. Voor het overige gelden de definities van artikel 3 van de wet voor de toepassing van dit reglement. HOOFDSTUK 2. - Verplichtingen van de uitbater van een betalingsschema

Art. 2.Dit hoofdstuk legt de modaliteiten vast van de in artikel 8 van de wet bedoelde verplichtingen.

Art. 3.§ 1. Wanneer er een contractuele relatie bestaat tussen de uitbater van een betalingsschema en een verwerker, of wanneer de uitbater van een betalingsschema de verwerker verplicht een vergunning (een licentie of een gelijkwaardig document) te verkrijgen voor de verwerking van zijn transacties, moet de uitbater van het betalingsschema over een procedure beschikken om zich ervan te vergewissen dat de verwerker kan voldoen aan de bepalingen van Hoofdstuk 3 van de wet, waarbij in het bijzonder rekening wordt gehouden met het vermogen van de verwerker om de wijzigingen en aanpassingen die hij in zijn systemen moet aanbrengen om de via het betalingsschema uit te voeren transacties te verwerken, te implementeren. § 2. De zorgvuldigheid die van de uitbater van het betalingsschema wordt vereist, dient in acht te worden genomen: 1° wanneer een niet-systeemrelevante verwerker waarop een beroep wordt gedaan door het schema, systeemrelevant wordt en de verwerker daarvan in kennis wordt gesteld door de Bank;2° vóór de relatie met de verwerker wordt aangegaan.De uitbater van het betalingsschema gaat geen contractuele relatie aan met een verwerker die hij na analyse niet in staat acht te voldoen aan Hoofdstuk 3 van de wet; 3° tijdens de relatie met de verwerker.De uitbater van het betalingsschema dient van de verwerker jaarlijks bevestiging te krijgen dat hij nog steeds voldoet aan Hoofdstuk 3 van de wet. Die bevestiging wordt door een interne auditor van de verwerker of door een externe auditor gegeven of gevalideerd. § 3. De uitbater van het betalingsschema houdt de documentatie van de in de eerste paragraaf bedoelde procedure, evenals de analyses die hij op grond van die procedure heeft uitgevoerd of laat uitvoeren en de jaarlijkse attesten van de verwerkers met wie hij op contractuele basis samenwerkt, ter beschikking van de Bank. HOOFDSTUK 3. - Risico-identificatie en -beheer Afdeling 1. - Ontwerp van de systemen

Art. 4.Deze afdeling legt de modaliteiten vast van de in artikel 11, § 2, van de wet bedoelde verplichtingen.

Art. 5.Elke verwerker neemt preventief alle redelijke maatregelen om de door hem geïdentificeerde operationele en veiligheidsrisico's te beperken.

Art. 6.Elke verwerker neemt de nodige cyberveiligheidsmaatregelen en waarborgt de vertrouwelijkheid, integriteit en beschikbaarheid van al zijn fysieke en logische middelen en van gevoelige betalingsgegevens, ongeacht of deze zijn opgeslagen of worden verstuurd of verwerkt. De verwerker past met name, maar niet uitsluitend, de volgende principes toe: 1° een benadering van het type "verdediging in de diepte" (defence in depth), waarbij gelaagde en opeenvolgende controles van het personeel, de processen en de gebruikte technologie worden uitgevoerd;2° segregatie in de IT-omgevingen (ontwikkeling, integratie, productie) en in de door het personeel uit te voeren taken.Het personeel wordt terdege opgeleid en gecontroleerd en heeft toegang tot de functies en de gegevens op "need-to-know"-basis. Voorts krijgen de personeelsleden enkel toegang tot de middelen die noodzakelijk zijn om hun taken uit te voeren en hun verantwoordelijkheden uit te oefenen ("least privilege"-beginsel). De toewijzing van toegangsprivileges wordt regelmatig en minstens eenmaal per jaar herzien en in elk geval (a) bij een overplaatsing binnen de onderneming, (b) bij de lancering van nieuwe diensten, (c) bij elke wijziging die invloed heeft op een dienstverlening en (d) bij incidenten die, zelfs gedeeltelijk, worden veroorzaakt door ongepaste toegang tot een of meerdere middelen.Over de toegangen worden er logs gecreëerd, die bewaard worden gedurende een periode die gecorreleerd is aan de kritikaliteit van de functie, het proces of de informatiemiddelen (information asset). Die logs worden met name gebruikt om de identificatie en het onderzoek van bij het verlenen van diensten vastgestelde abnormale activiteiten te vergemakkelijken.

Art. 7.Elke verwerker beschikt over passende fysieke veiligheidsmaatregelen om met name alle gegevens die door hem worden verwerkt, en de voor die diensten gebruikte ICT-systemen te beveiligen.

Art. 8.Elke verwerker beschikt over een formeel proces voor het beheer van de wijzigingen, dat ervoor zorgt dat deze wijzigingen naar behoren gepland, getest, gedocumenteerd en goedgekeurd worden.

Afhankelijk van de vastgestelde veiligheidsdreigingen en van de geplande wijzigingen omvatten die tests scenario's waarin met name wordt uitgegaan van bekende of plausibele aanvallen. De verwerker bepaalt of de wijzigingen in zijn operationele omgeving op enigerlei wijze gevolgen hebben voor de bestaande veiligheidsmaatregelen, dan wel de invoering van bijkomende risicobeperkende maatregelen vereisen.

Art. 9.Elke verwerker controleert regelmatig of alle programma's die hij voor zijn dienstverlening gebruikt, permanent worden bijgewerkt en dat de kritieke patches (correcties) en in het bijzonder die welke verband houden met de beveiliging, onverwijld worden toegepast.

Mechanismen voor integriteitscontrole verifiëren voortdurend de integriteit van de toepassingen, van de "microprogramma's/microsoftware" (firmware), en van de gegevens die bij het verrichten van de verwerkingsdiensten worden gebruikt.

Art. 10.Elke verwerker controleert voortdurend het niveau van benutting van de gebruikte informaticamiddelen en zorgt ervoor dat hij te allen tijde over voldoende reservecapaciteit beschikt om onverwachte schommelingen in de activiteiten te kunnen opvangen. Die controle wordt ook over lange periodes uitgevoerd om ontwikkelingen te kunnen opsporen en, in voorkomend geval, belangrijke infrastructuuraanpassingen voldoende van tevoren te kunnen plannen.

De Bank kan richtlijnen uitvaardigen om te bepalen welke aanpassingen belangrijk zijn. In geval van twijfel over het belang van de aanpassingen raadpleegt de verwerker de Bank.

Art. 11.Elke verwerker houdt rekening met het waarschijnlijke verloop van zijn activiteiten bij de keuze van de door hem gebruikte infrastructuur en technologieën.

Art. 12.Elke verwerker evalueert en implementeert maatregelen ter aanvulling van de in de artikelen 5 tot 11 bedoelde maatregelen, die moeten worden genomen om de in artikel 11, § 2, van de wet vermelde doelstellingen te bereiken. Afdeling 2. - Bedrijfscontinuïteit

Art. 13.Deze afdeling legt de modaliteiten vast van de in artikel 11, § 3, van de wet bedoelde verplichtingen.

Art. 14.§ 1. Het doeltreffend bedrijfscontinuïteitsmanagement dat door de verwerker wordt toegepast, moet tot doel hebben hem in staat te stellen te allen tijde en onder alle omstandigheden de van hem verwachte verwerkingsdiensten te leveren en de duur van de onderbrekingen zoveel mogelijk te beperken. Dit sluit niet uit dat de verwerker onderbrekingen van de dienstverlening kan plannen om zijn systemen te onderhouden. § 2. De verwerker prioriteert de maatregelen die moeten worden genomen op het gebied van bedrijfscontinuïteit door met name de als kritiek aangemerkte functies, processen, systemen en transacties te analyseren en een benadering te hanteren die met name, maar niet uitsluitend, risicogebaseerd is. Op grond van die analyse kan de verwerker op elk ogenblik bedrijfscontinuïteitsprocedures ontwikkelen en activeren om passend te reageren op noodgevallen, zonder zijn kritieke activiteiten stop te zetten.

Art. 15.§ 1. De verwerker beschikt over een bedrijfscontinuïteitsplan dat ertoe strekt: 1° de duur van de onderbrekingen van de bedrijfsactiviteiten zoveel mogelijk te beperken en 2° de integriteit en de beschikbaarheid van de verrichtingen en de vertrouwelijkheid van de gegevens te beschermen en, zo nodig, te herstellen. Het bedrijfscontinuïteitsplan is goed gedocumenteerd, beschikbaar en rechtstreeks toegankelijk voor het personeel van de operationele en ondersteunende diensten. Dit plan spitst zich toe op het snelle herstel van de bedrijfsactiviteiten en van de verwerking van de kritieke functies, processen, systemen en transacties. § 2. Het bedrijfscontinuïteitsplan wordt minstens jaarlijks getest. De tests gaan uit van een adequate reeks plausibele scenario's en omvatten procedures om te controleren of het personeel (ook op het gebied van besluitvorming) en de processen passend kunnen reageren op de voorgestelde scenario's. De plannen worden als volgt bijgewerkt: 1° regelmatig, om rekening te houden met de resultaten van de tests, de nieuw vastgestelde dreigingen en de uit eerdere incidenten getrokken lessen en de aangepaste doelstellingen inzake het herstel van de bedrijfsactiviteiten;2° na elke wijziging in de systemen en processen.

Art. 16.In noodsituaties of bij onderbreking van de bedrijfsactiviteiten beschikt de verwerker over procedures voor crisiscommunicatie waarvan hij gebruikmaakt om alle betrokkenen, ongeacht of ze intern (directie, technische teams, enz.) of extern (betalingsschema's, handelaars, kaarthouders, regulatoren, enz.) zijn, snel en op passende wijze in te lichten. Afdeling 3. - Beleid inzake het beheer van operationele en

veiligheidsrisico's

Art. 17.Deze afdeling legt de modaliteiten vast van de in artikel 11, §§ 1 en 4, van de wet bedoelde verplichtingen.

Art. 18.§ 1. Elke verwerker ontwerpt, ontwikkelt en implementeert voortdurend een algemeen kader voor het beheer van operationele risico's. De directie legt dit kader voor aan de raad van bestuur die: 1° het formeel goedkeurt;2° zorgt voor een doeltreffende ondersteuning bij de uitvoering en de ontwikkeling van het kader, door passende beslissingen te nemen met betrekking tot de personele en technische middelen die hiervoor moeten worden ingezet;3° actief betrokken is, met name via de door de directie geleverde verslagen, bij de vaststelling van het risicotolerantieniveau van de onderneming, en bij de validatie van de richtsnoeren die moeten worden gevolgd bij de effectieve tenuitvoerlegging van de risicobeperkende maatregelen. § 2. Het algemeen kader voor het beheer van de operationele risico's wordt uitvoerig gedocumenteerd en moet in het bijzonder, maar niet uitsluitend: 1° het algemeen beleid inzake het beheer van operationele risico's op het niveau van de onderneming uitvoerig beschrijven.Met het oog hierop stelt de verwerker een volledige inventaris op, en maakt hij een indeling op basis van de respectieve kritikaliteit (a) van de operationele functies, sleutelrollen en onderliggende processen, alsook van hun eventuele interdependenties en (b) van de informatiemiddelen, zoals de ICT-systemen, hun configuratie en hun interconnecties met andere interne en externe systemen; 2° voorzien in de uitvoering van specifieke beleidslijnen om te allen tijde over ervaren personeel te beschikken, en over de procedures en systemen die nodig zijn om alle operationele risico's in verband met het verlenen van de verwerkingsdiensten te identificeren, meten en beheren.Daartoe geeft de verwerker een duidelijke omschrijving van de verantwoordelijkheden van elk personeelslid op het vlak van het beheer van de operationele risico's, met bijzondere aandacht voor het bestaan van een duidelijk en doeltreffend besluitvormingsproces in noodsituaties en/of crisisperiodes. § 3. Het algemeen kader voor het beheer van de operationele risico's wordt met een passende frequentie en minstens eenmaal per jaar herzien, zodat bij de bijwerking ervan rekening gehouden kan worden met de lessen die uit de dagelijkse uitvoering ervan zijn getrokken.

Voorts wordt het kader ook bijgewerkt: 1° na elk ernstig incident dat van operationele aard is of betrekking heeft op de veiligheid van de geleverde diensten;2° vóór de invoering van belangrijke wijzigingen in de infrastructuur, de processen en procedures. De Bank kan richtlijnen uitvaardigen om te bepalen welke incidenten ernstig of welke wijzigingen belangrijk zijn. In geval van twijfel over de ernst van het incident of het belang van de wijzigingen raadpleegt de verwerker de Bank.

Art. 19.§ 1. De verwerker organiseert zich op een zodanige wijze dat hij de dreigingen en kwetsbaarheden voortdurend nauwgezet kan opvolgen. Hij past de scenario's met risico's die een impact kunnen hebben op zijn kritieke operationele functies, processen en informatiemiddelen, regelmatig aan. § 2. Om de in de paragraaf 1 bedoelde doelstelling te bereiken, voert de verwerker jaarlijks of vaker indien de Bank dat eist, risicostudies en -beoordelingen uit voor elke operationele functie, elk proces en elk informatiemiddel, zoals vastgesteld en ingedeeld per niveau van kritikaliteit, en vóór elke belangrijke wijziging in zijn infrastructuur, processen en procedures en documenteert hij die studies en beoordelingen. De conclusies van die risicostudies en -beoordelingen dienen ook gebruikt te worden om te bepalen in welke mate de gebruikte technologieën, de veiligheidsmaatregelen, de bestaande procedures, en de aangeboden prestaties moeten worden aangepast. De risicostudies en -beoordelingen en de conclusies ervan worden ter beschikking van de Bank gehouden.

De Bank kan richtlijnen uitvaardigen om te bepalen welke wijzigingen belangrijk zijn. In geval van twijfel over het belang van de wijzigingen raadpleegt de verwerker de Bank. § 3. Voor de identificatie en het beheer van de operationele risico's wordt in de praktijk gebruikgemaakt van een intern model voor de bewaking en het beheer van de risico's, zoals dat van de drie verdedigingslinies. Dit intern model beschikt over de vereiste autoriteit, onafhankelijkheid en middelen, evenals over een kanaal voor de rechtstreekse rapportering aan de directie en de raad van bestuur.

De maatregelen voor het beheer van de operationele en veiligheidsrisico's worden regelmatig onderworpen aan audits, die met een passende frequentie worden uitgevoerd door in IT en IT-veiligheid gespecialiseerde auditoren, die hetzij interne auditoren van de verwerker zijn die onafhankelijk zijn van de bedrijfsfuncties, hetzij externe auditoren. HOOFDSTUK 4. - Continuïteit van de diensten met betrekking tot de verwerking van betalingstransacties Afdeling 1. - Conformiteit van de organisatie van de verwerker

Art. 20.Deze afdeling legt de modaliteiten vast van de in artikel 12, §§ 1 en 2, van de wet bedoelde verplichtingen.

Art. 21.§ 1. De verwerker moet door een interne of externe auditor laten beoordelen of zijn organisatie in overeenstemming is met de bepalingen van artikel 12, §§ 1 en 2, van de wet. Indien zij dit nodig acht kan de Bank uitdrukkelijk verlangen dat de verwerker deze beoordeling laat uitvoeren door een onafhankelijke instelling (d.w.z. een instelling die geen deel uitmaakt van dezelfde juridische entiteit als de verwerker, noch van de groep waartoe de verwerker behoort). De onafhankelijke instelling dient op het betrokken gebied over een hoog niveau van deskundigheid en bekwaamheid te beschikken en wordt als zodanig erkend door de betrokken sector. § 2. Het conformiteitsverslag wordt minstens om de drie jaar bijgewerkt, of na elke belangrijke aanpassing in de infrastructuren en/of processen van de verwerker.

De Bank kan richtlijnen uitvaardigen om te bepalen welke aanpassingen belangrijk zijn. In geval van twijfel over het belang van de aanpassingen raadpleegt de verwerker de Bank. Afdeling 2. - Communicatie

Art. 22.Deze afdeling legt de modaliteiten vast van de in artikel 12, § 5, van de wet bedoelde verplichtingen.

Art. 23.§ 1. De verwerker dient een communicatiekanaal op te zetten waarmee de betrokken betalingsdienstaanbieders, betalingsschema's en betalingsdienstgebruikers kunnen worden ingelicht wanneer de diensten met betrekking tot de verwerking van betalingstransacties niet beschikbaar zijn in de zin van de wet. Dit kan met name een pagina op de website van de verwerker zijn, waarop onder andere de staat van het netwerk wordt vermeld.

De informatie die wordt meegedeeld kan variëren naar gelang van de ontvanger ervan en diens behoeften ter zake: 1° voor betalingsdienstaanbieders en betalingsschema's is dit met name informatie over de oorzaken en gevolgen, de verwachte duur van de verstoring evenals de geschatte totale hersteltijd;2° voor betalingsdienstgebruikers kan deze informatie zich beperken tot een schatting van de verwachte duur van de verstoring en van de totale hersteltijd. Deze informatie wordt zo spoedig mogelijk meegedeeld zodra de verwerker erover beschikt en wordt regelmatig bijgewerkt.

Indien de verwerker deze informatie niet kan meedelen, deelt de in artikel 5 van de wet bedoelde uitbater van het betalingsschema aan de betalingsdienstgebruikers en aan de eindgebruikers de informatie mee waarover hij beschikt, over met name de verwachte duur van de verstoring in de verwerking van de transacties en de geschatte totale hersteltijd. § 2. De verwerker licht de betalingsdienstaanbieders, de betalingsschema's en de betalingsdienstgebruikers vooraf in over het communicatiekanaal dat prioritair zal worden gebruikt voor de in paragraaf 1 bedoelde doelstellingen, en over het eventuele reserve- of noodkanaal. HOOFDSTUK 5. - Kennisgeving van incidenten en mededeling van de grondige analyse Afdeling 1. - Modaliteiten voor de kennisgeving van incidenten en te

verstrekken informatie

Art. 24.Deze afdeling legt de modaliteiten vast van de in artikel 13, §§ 1 en 2, van de wet bedoelde verplichtingen.

Art. 25.§ 1. De verwerker stelt de Bank in kennis wanneer de diensten met betrekking tot de verwerking van betalingstransacties niet beschikbaar zijn (in de zin van de wet). Die kennisgeving kan telefonisch of per e-mail worden meegedeeld binnen de in artikel 13, § 1, van de wet bepaalde termijnen en wordt in elk geval binnen 24 werkuren na de eerste kennisgeving gevolgd door een tweede kennisgeving per e-mail waarin de niet-beschikbaarheid wordt bevestigd. Er wordt een lijst met contactpersonen opgesteld in overleg met de Bank, die bij elke verandering van contactpersoon wordt bijgewerkt. § 2. De informatie die moet worden meegedeeld in de in paragraaf 1 bedoelde kennisgevingen van de niet-beschikbaarheid, bevat minstens: 1° de datum en het uur van de vaststelling en van het begin van de niet-beschikbaarheid;2° de beschrijving van het incident dat aanleiding heeft gegeven tot de niet-beschikbaarheid;3° het of de betrokken betalingsschema(`s);4° het betrokken transactievolume;5° de vermoedelijke of gemeten duur indien de diensten opnieuw beschikbaar zijn vóór de kennisgeving van de niet-beschikbaarheid ervan. Indien niet alle informatie beschikbaar is op het moment van de kennisgeving, deelt de verwerker de ontbrekende informatie mee zodra hij die heeft. Afdeling 2. - Mededeling van de grondige analyse van een incident

Art. 26.In deze afdeling worden de modaliteiten van de in artikel 13, § 4, van de wet bedoelde verplichtingen vastgesteld.

Art. 27.§ 1. De grondige analyse van een incident dat een inbreuk uitmaakt op de bepalingen van de artikelen 11 en 12 van de wet, wordt meegedeeld aan de Bank zodra ze is uitgevoerd en gevalideerd door de verwerker en uiterlijk twee weken nadat het incident is opgelost.

Indien het door de aard en de complexiteit van het incident niet mogelijk is om een voldoende gedetailleerde analyse uit te voeren binnen de in het vorige lid bedoelde termijn, kunnen de Bank en de verwerker in onderling overleg een bijkomende termijn vaststellen nadat de verwerker aan de Bank een tussentijdse analyse heeft bezorgd. § 2. In de grondige analyse worden eveneens de maatregelen vermeld die de verwerker voornemens is te treffen om te voorkomen dat het incident zich opnieuw voordoet, evenals de termijn waarbinnen deze maatregelen zullen worden genomen. § 3. De rapportering van de grondige analyse kan, in voorkomend geval en met instemming van de Bank, worden afgestemd op andere incidentrapporteringen die de verwerker krachtens andere wetgeving moet verrichten. HOOFDSTUK 6. - Diverse bepalingen

Art. 28.Elke verwerker bestudeert en beantwoordt de in de bijlage opgenomen vragen om te bevestigen dat hij voldoet aan de hoofdstukken 3 en 4 van dit reglement. Deze vragen dienen als richtsnoer.

Art. 29.Dit reglement treedt in werking op de datum van inwerkingtreding van het koninklijk besluit tot goedkeuring ervan.

Brussel, 20 november 2018.

De Gouverneur, J. SMETS

Bijlage Om te beoordelen of hij voldoet aan de hoofdstukken 3 en 4 van dit reglement bestudeert en beantwoordt de verwerker de volgende vragen: 1. Risico-identificatie en -beheer Risicobeheerkader op het niveau van de onderneming - Over welke processen en systemen beschikt de verwerker om de door hem gelopen risico's, met inbegrip van relevante operationele, financiële en personeelsrisico's, te identificeren en te documenteren? Welke risico's heeft de verwerker aan de hand van zijn processen en systemen geïdentificeerd en gedocumenteerd? - Over welke processen en systemen beschikt de verwerker om deze risico's te beheren? Hoe beslist de verwerker of hij restrisico's aanvaardt? - Hoe herbeoordeelt de verwerker zijn risico's en de geschiktheid van zijn risicobeheerkader om de geïdentificeerde risico's aan te pakken? Hoe vaak wordt deze herbeoordeling uitgevoerd? - Hoe komt de verwerker tegemoet aan de wettelijke of reglementaire vereisten of aan veranderde vereisten? - Hoe beoordeelt de verwerker de risico's die verbonden zijn aan zijn relaties met gebruikers? - Hoe integreert de verwerker het risicobeheer, met inbegrip van de beoordeling van het algemeen bedrijfsrisico en de financiële toestand, in zijn strategisch besluitvormingsproces? Afhankelijkheid van derden - Hoe identificeert en bewaakt de verwerker de risico's die de afhankelijkheid van derde leveranciers kan inhouden voor zijn activiteiten? - Hoe beoordeelt de verwerker of de veiligheid, betrouwbaarheid en veerkracht van zijn activiteiten niet worden verminderd door zijn afhankelijkheid van derden? - Hoe beheert de verwerker een eventuele niet-aanvaarde vermindering van de veiligheid, betrouwbaarheid en veerkracht van zijn activiteiten als gevolg van zijn afhankelijkheid van derden en hoe pakt hij dit probleem aan? Governance van het risicobeheerkader op het niveau van de onderneming - Over welke governanceregelingen beschikt de verwerker voor het identificeren en beheren van risico's? Welke zijn de lijnen van verantwoordelijkheid en verantwoording bij de verwerker op het gebied van risicobeheer? Hoe vaak wordt de doeltreffendheid van de interne auditfunctie beoordeeld? - Hoe wordt het risicobeheerkader op het niveau van de onderneming formeel onderzocht en goedgekeurd door de raad van bestuur? Interne auditfunctie - Hoe garandeert de verwerker de onafhankelijkheid en het professionalisme van de auditfunctie? Welke internationaal aanvaarde praktijken past de interneauditfunctie toe met betrekking tot het auditberoep? - Van welke rapporteringsmechanismen maakt de interneauditfunctie gebruik om haar bevindingen aan de raad van bestuur en, in voorkomend geval, aan haar toezichthouder of overseer mee te delen? 2.Informatiebeveiliging Informatiebeveiligingskader - Over welk informatiebeveiligingskader beschikt de verwerker op het niveau van de onderneming om algemene, overkoepelende richtlijnen te geven met betrekking tot oplossingen en methodes voor het aanpakken van risico's met betrekking tot de fysieke veiligheid en cyberveiligheidsrisico's? Welke beleidslijnen en procedures omvat dit kader voor: 1° de indeling van de activa (systemen en diensten) op grond van vertrouwelijkheid, integriteit en beschikbaarheid;2° de voortdurende opsporing van interne en externe bedreigingen;3° het selecteren, implementeren en documenteren van veiligheidscontroles om de vastgestelde risico's en kwetsbaarheden te verhelpen;en 4° het adequate beheer van alle activiteiten die verband houden met het beheer van het veiligheidsrisico? - Hoe integreert de verwerker relevante internationale, nationale en sectorale normen in zijn beleidslijnen en procedures? - Welke bronnen van informatiebeveiligingsrisico's heeft de verwerker vastgesteld met betrekking tot zijn kritieke diensten? Hoe heeft de verwerker deze risico's aangepakt? - Wat is de rol van de raad van bestuur van de verwerker met betrekking tot het informatiebeveiligingskader van de verwerker? Wordt dit kader formeel onderzocht en goedgekeurd door de raad van bestuur? Hoe vaak beoordeelt de raad van bestuur het kader? - Hoe heeft de raad van bestuur van de verwerker de belangrijkste taken en verantwoordelijkheden van de effectieve leiding op het gebied van informatiebeveiliging goedgekeurd? Beleidslijnen en procedures op het gebied van informatiebeveiliging - Over welke beleidslijnen en procedures beschikt de verwerker om ongeoorloofde toegang tot en ongeoorloofde bekendmaking van informatie te voorkomen? Welke beleidslijnen en procedures worden er meer in het bijzonder gevolgd voor: 1° het verlenen en intrekken van toegangsrechten voor gebruikers, met inbegrip van logische en fysieke toegang;2° de periodieke hercertificering van gebruikersprivileges;3° het toekennen, gebruiken en beheren van beheerdersaccounts (of accounts met uitgebreide toegangsprivileges);4° het voorkomen van inbreuken op de vertrouwelijkheid van gegevens;5° de bescherming van de integriteit van de systemen tegen logische of fysieke aanvallen;en 6° het integreren van controles in toepassingen die aan het betalingsschema worden verstrekt om fouten, verlies, ongeoorloofde wijzigingen in of misbruik van informatie te voorkomen? - Hoe zorgt de verwerker ervoor dat alle werknemers en betrokken externe partijen bewust worden gemaakt van hun verantwoordelijkheden en aansprakelijkheden en van veiligheidsbedreigingen, zoals gedefinieerd in het informatiebeveiligingskader? - Welke beleidslijnen en procedures worden er gevolgd om de vertrouwelijkheid, integriteit en onweerlegbaarheid van gegevens te waarborgen, ook wanneer ze in transit zijn op de netwerken en wanneer ze bij de verwerker zijn opgeslagen? - Welke beleidslijnen en procedures worden er gevolgd om informatieveiligheidsincidenten op te sporen, erop te reageren en de situatie te herstellen? Monitoring van de naleving van het informatiebeveiligingskader - Hoe gaat de verwerker na of zijn informatiebeveiligingskader wordt nageleefd en hoe houdt hij toezicht op de doeltreffendheid van de bestaande veiligheidscontroles? Meer in het bijzonder, voorzien deze beleidslijnen en procedures in de uitvoering van kwetsbaarheidsanalyses en penetratietests op het niveau van de infrastructuur en de toepassingen? - In hoeverre is het informatiebeveiligingskader van de verwerker onderworpen aan interne en externe audits? - Hoe en met welke frequentie wordt de raad van bestuur van de verwerker op de hoogte gebracht van de voornaamste bevindingen van de monitoring van de naleving van het informatiebeveiligingskader? Capaciteitsplanning - Wat zijn de beleidslijnen van de verwerker op het gebied van capaciteitsplanning? Hoe houdt de verwerker toezicht op het gebruik van de middelen en hoe past hij dit aan om te voldoen aan de behoeften van het betalingsschema en, in voorkomend geval, van haar deelnemers, zelfs onder gespannen marktomstandigheden? Hoe reageert de verwerker wanneer de behoeften van de betalingsschema's of van zijn deelnemers de operationele capaciteit overschrijden? - Hoe onderzoekt, controleert en test de verwerker de opschaalbaarheid en toereikendheid van zijn capaciteit om minstens de door een bepaald betalingsschema vastgestelde geprojecteerde stressvolumes, en, in voorkomend geval, gelijktijdige geprojecteerde stressvolumes te beheren wanneer er meerdere betalingsschema's zijn? Hoe vaak voert de verwerker deze onderzoeken, audits en tests uit? Veranderingsbeheer - Hoe beperken de beleidslijnen en procedures voor veranderingsbeheer en projectbeheer van de verwerker de risico's dat wijzigingen een ongewilde invloed hebben op de veiligheid en betrouwbaarheid van de activiteiten van de verwerker? - Hoe bepalen de beleidslijnen inzake veranderingsbeheer van de verwerker de formele bestuurlijke verantwoordelijkheden en procedures voor het plannen en testen van veranderingen, met inbegrip van regressie-, prestatie- en veiligheidstests? - In hoeverre wordt er over veranderingen die van invloed zijn op de gebruikers overlegd met het betalingsschema en worden deze veranderingen getest in samenwerking met het betalingsschema en, in voorkomend geval, met zijn deelnemers? 3.Betrouwbaarheid en veerkracht Beschikbare, betrouwbare en veerkrachtige activiteiten - Wat zijn de operationele doelstellingen van de verwerker op het gebied van beschikbaarheid, betrouwbaarheid en veerkracht en hoe worden deze gedocumenteerd? Hoe voldoen deze doelstellingen aan of overtreffen ze de behoeften van het betalingsschema en, in voorkomend geval, van zijn deelnemers? - Hoe ondersteunen de beleidslijnen en de procedures van de verwerker de doelstellingen inzake beschikbaarheid, betrouwbaarheid en veerkracht? - Hoe zorgt de verwerker ervoor dat de activiteiten die hij voor het betalingsschema en, in voorkomend geval, voor zijn deelnemers verricht, betrouwbaar en veerkrachtig zijn? Hoe zorgt de verwerker er in het bijzonder voor dat zijn verschillende bedrijfsruimten voldoende verschillende risicoprofielen hebben? Hoe zorgt de verwerker ervoor dat zijn bedrijfsruimten adequaat worden beschermd tegen natuurrampen, stroomstoringen en schadelijke menselijke handelingen? Hoe zorgt de verwerker ervoor dat zijn vervangende locaties voldoende capaciteit hebben om de kritieke diensten gedurende een langere periode te leveren? Monitoring van de activiteiten en incidentbeheer - Hoe monitort de verwerker zijn activiteiten? Hoe controleert de verwerker of hij voldoet aan de doelstellingen van het betalingsschema inzake betrouwbaarheid en veerkracht? Hoe wordt dit proces gedocumenteerd en bijgewerkt? - Hoe identificeert, registreert, categoriseert, analyseert en beheert de verwerker operationele incidenten? Hoe worden deze incidenten gemeld aan de effectieve leiding? Hoe licht de verwerker het betalingsschema en, in voorkomend geval, de bevoegde autoriteiten in over dergelijke incidenten? Welk proces wordt er gevolgd om een incident als crisis aan te merken? - Welk proces wordt er gevolgd voor het uitvoeren van een post-mortemanalyse van incidenten en hoe is dit proces opgezet om ervoor te zorgen dat de hoofdoorzaak van de incidenten vastgesteld kan worden en dat vermeden kan worden dat er zich in de toekomst opnieuw incidenten voordoen? Welke rol vervult het betalingsschema bij deze post-mortemanalyse? Bedrijfscontinuïteit - Wat zijn de doelstellingen van de verwerker op het gebied van bedrijfscontinuïteit en rampherstel? Hoe worden deze doelstellingen bepaald door de raad van bestuur en de effectieve leiding? Hoe vaak worden deze doelstellingen herzien door de raad van bestuur en de effectieve leiding? - Hoe zorgen de bedrijfscontinuïteits- en rampherstelplannen van de verwerker ervoor dat zijn kritieke diensten tijdig hervat kunnen worden in geval van een verstoring van de dienstverlening, onder meer in geval van een grootschalige verstoring? Wat bepalen deze plannen met betrekking tot een potentieel gegevensverlies als gevolg van een verstoring van de dienstverlening? - Hoe stelt de verwerker scenario's van verstoring van de dienstverlening vast en hoe is het betalingsschema bij dit proces betrokken? - Wat bepalen de bedrijfscontinuïteits- en rampherstelplannen van de verwerker met betrekking tot cyberaanvallen? Hoe zorgen deze plannen ervoor dat de verwerker in staat is om de gevolgen van een cyberaanval vast te stellen en te beheren, met inbegrip van systeemherstel wanneer het systeem is aangetast? - Over welk crisiscommunicatieplan beschikt de verwerker om verstoringen van de dienstverlening aan te pakken? Wat bepaalt het plan in verband met de communicatie en informatie-uitwisseling met het betalingsschema en de bevoegde autoriteiten? - Hoe worden de bedrijfscontinuïteits- en rampherstelplannen getest en hoe vaak gebeurt dit? Welke scenario's worden getest en omvatten die scenario's cyberaanvallen? Hoe worden de resultaten van deze tests beoordeeld en geauditeerd? Hoe zijn het betalingsschema en, in voorkomend geval, haar deelnemers, betrokken bij de bedrijfscontinuïteitssimulatietests? - Worden de bedrijfscontinuïteits- en rampherstelplannen van de verwerker regelmatig getoetst aan de verwachtingen van het betalingsschema en zo ja, hoe? 4. Technologieplanning Beleidslijnen, procedures en governanceregelingen voor technologieplanning - Over welke beleidslijnen, procedures en governanceregelingen beschikt de verwerker op het gebied van technologieplanning? Wat bepalen deze beleidslijnen, procedures en governanceregelingen in verband met de levenscyclus voor het gebruik van technologie en de keuze van nieuwe technologische standaarden? - Hoe vaak beoordeelt de verwerker de door hem gelopen technologische risico's? Hoe wordt er bij dergelijke beoordelingen rekening gehouden met de betrouwbaarheid en de veerkracht, evenals met de verouderingsrisico's en informatiebeveiligingsrisico's die verbonden zijn aan het gebruik van zijn technologie? Hoe wordt er bij deze beoordelingen rekening gehouden met de technologische risico's die schadelijk kunnen zijn voor het betalingsschema en, in voorkomend geval, voor haar deelnemers? Beleidslijnen, procedures en governanceregelingen voor het beheer van technologische veranderingen - Over welke beleidslijnen, procedures en governanceregelingen beschikt de verwerker voor de implementatie van de wijzigingen die in de gebruikte technologieën moeten worden aangebracht? Hoe behandelen deze beleidslijnen en procedures het releasebeheer, het consistent gebruik van technologie en het behoud van de veiligheid en stabiliteit van de technologie? - Hoe zorgen deze beleidsregels, procedures en governanceregelingen ervoor dat de risico's die verbonden zijn aan technologische veranderingen worden opgespoord en adequaat worden beperkt, om te voorkomen dat deze wijzigingen afbreuk kunnen doen aan de betrouwbaarheid en veerkracht van de kritieke diensten van de leverancier? Hoe en hoe vaak beoordeelt en test de verwerker de processen die worden toegepast voor het implementeren van technologische veranderingen? - Hoe verloopt het overleg tussen de verwerker en het betalingsschema en, in voorkomend geval, haar deelnemers, over voorstellen voor belangrijke veranderingen in zijn technologie die een wezenlijke invloed kunnen hebben op het betalingsschema? - Hoe betrekt de kritieke dienst het betalingsschema in voorkomend geval bij het implementeren van een technologische verandering? Is het betalingsschema bijvoorbeeld betrokken bij het testen van technologische veranderingen? Gezien om te worden gevoegd bij ons besluit van 25 januari 2019 tot goedkeuring van het reglement van de Nationale Bank van België van 20 november 2018 tot vaststelling van de modaliteiten van bepaalde verplichtingen van de wet van 24 maart 2017Relevante gevonden documenten type wet prom. 24/03/2017 pub. 24/04/2017 numac 2017030173 bron federale overheidsdienst financien Wet houdende het toezicht op verwerkers van betalingstransacties sluiten houdende het toezicht op verwerkers van betalingstransacties. Gegeven te Brussel, 25 januari 2019.

FILIP Van Koningswege : De Vice-Eerste Minister en Minister van Financiën, A. DE CROO

^