Wet beveiliging en bescherming kritieke infrastructuren
Wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren

Hoofdstuk 1.
Algemene bepalingen


Artikel 1.
Deze wet regelt een aangelegenheid als bedoeld in artikel 78 van de Grondwet.

Art. 2.
Deze wet voorziet in de gedeeltelijke omzetting van de Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren.
De ADCC, zoals gedefinieerd in artikel 3, 1°, wordt aangeduid als nationaal contactpunt voor de bescherming van Europese kritieke infrastructuren, hierna “EPCIP-contactpunt” genoemd, voor het geheel van de sectoren en deelsectoren, voor Belgiė in haar relatie met de Europese Commissie en de Lidstaten van de Europese Unie.
[Deze wet voorziet in de gedeeltelijke omzetting van Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie.]

Art. 3.
Voor de toepassing van deze wet en de uitvoeringsbesluiten ervan wordt verstaan onder:
“ADCC”: Algemene Directie Crisiscentrum van de Federale Overheidsdienst Binnenlandse Zaken, belast met de bijzondere bescherming van goederen en personen en met de nationale coördinatie op het vlak van openbare orde;
“OCAD”: Coördinatieorgaan voor de dreigingsanalyse ingesteld door de wet van 10 juli 2006 betreffende de analyse van de dreiging;
“sectorale overheid”:
a)
voor de sector vervoer: de Minister bevoegd voor Vervoer of, bij delegatie door deze, een leidend personeelslid van zijn administratie;
b)
voor de sector energie: de Minister bevoegd voor Energie of, bij delegatie door deze, een leidend personeelslid van zijn administratie;
c)
[voor de sector financiėn, met uitzondering van de exploitanten van een handelsplatform in de zin van artikel 3, 6°, van de wet van 21 november 2017 over de infrastructuren voor de markten voor financiėle instrumenten en houdende omzetting van Richtlijn 2014/65/EU: de Nationale Bank van Belgiė (NBB);]
d)
[voor de exploitanten van een handelsplatform in de zin van artikel 3, 6°, van de wet van 21 november 2017 over de infrastructuren voor de markten voor financiėle instrumenten en houdende omzetting van Richtlijn 2014/65/EU: de Autoriteit voor Financiėle Diensten en Markten (FSMA);]
e)
[voor de sectoren elektronische communicatie en digitale infrastructuren: het Belgisch Instituut voor postdiensten en telecommunicatie (B.I.P.T.);]
f)
[voor de sector gezondheidszorg: de overheid aangewezen door de Koning bij besluit vastgesteld na overleg in de Ministerraad;]
g)
[voor de sector drinkwater: de overheid aangewezen door de Koning bij besluit vastgesteld na overleg in de Ministerraad;]
“kritieke infrastructuur”: installatie, systeem of een deel daarvan, van federaal belang, dat van essentieel belang is voor het behoud van vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn, en waarvan de verstoring van de werking of de vernietiging een aanzienlijke weerslag zou hebben doordat die functies ontregeld zouden raken;
“nationale kritieke infrastructuur”: kritieke infrastructuur op het Belgisch grondgebied waarvan de verstoring van de werking of de vernietiging een aanzienlijke weerslag in het land zou hebben;
“Europese kritieke infrastructuur”: de nationale kritieke infrastructuur waarvan de verstoring van de werking of de vernietiging een aanzienlijke weerslag in ten minste twee lidstaten van de Europese Unie zou hebben [of de kritieke infrastructuur die niet gelegen is op het Belgische grondgebied, maar op het grondgebied van een andere lidstaat van de Europese Unie, waarvan de onderbreking van de werking of de vernietiging een aanzienlijke weerslag zou hebben in ten minste twee lidstaten van de Europese Unie, waaronder Belgiė];
“andere punten van federaal belang”: de plaatsen die niet zijn aangeduid als kritieke infrastructuur, maar die van bijzonder belang zijn voor de openbare orde, voor de bijzondere bescherming van personen en goederen, voor het beheer van noodsituaties of voor de militaire belangen en die [het voorwerp uitmaken van beschermingsmaatregelen genomen door de ADCC];
“punten van lokaal belang”: de plaatsen die geen kritieke infrastructuren noch andere punten van federaal belang zijn, maar die van bijzonder belang zijn voor de uitvoering van de opdrachten van bestuurlijke politie op lokaal niveau en die [het voorwerp uitmaken van beschermingsmaatregelen genomen door de burgemeester];
“elektronische communicatie”: de elektronische communicatie bedoeld bij de wet van 13 juni 2005 betreffende de elektronische communicatie;
10°
“exploitant”: iedere natuurlijke persoon of rechtspersoon die verantwoordelijk is voor de investeringen in of voor de dagelijkse werking van een nationale of Europese kritieke infrastructuur;
11°
“politiediensten”: de politiediensten bedoeld bij de wet van 7 december 1998 tot organisatie van een geļntegreerde politiedienst, gestructureerd op twee niveaus;
12°
[SICAD”: communicatie- en informatiedienst van het arrondissement, zoals bedoeld bij de wet van 7 december 1998 tot organisatie van een geļntegreerde politiedienst, gestructureerd op twee niveaus.]
13°
[“de wet van 7 april 2019”: de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid;]
14°
[“beveiliging van netwerk- en informatiesystemen”: de beveiliging van netwerk- en informatiesystemen als bedoeld in artikel 6, 8° en 9°, van de wet van 7 april 2019;]
15°
[“de sector digitale infrastructuren”: de sector bedoeld in punt 6 van bijlage 1 van de wet van 7 april 2019;]
16°
[“de sector drinkwater”: de sector bedoeld in punt 5 van bijlage 1 van de wet van 7 april 2019;]
17°
[“de sector gezondheidszorg”: de sector bedoeld in punt 4 van bijlage 1 van de wet van 7 april 2019.]

Hoofdstuk 2.
Beveiliging en bescherming van de kritieke infrastructuren


Afdeling 1.
Toepassingsgebied


Art. 4.

§ 1

Dit hoofdstuk is van toepassing op de vervoersector en de energiesector wat de beveiliging en de bescherming van de nationale en de Europese kritieke infrastructuren betreft.
Het is echter niet van toepassing op de nucleaire installaties bedoeld bij de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle, met uitzondering van de elementen van een nucleaire installatie bestemd voor de industriėle productie van elektriciteit die dienen voor de transmissie van de elektriciteit.
[Artikel 8 en de artikelen 12 tot 26 zijn enkel van toepassing op de kritieke infrastructuren die gelegen zijn op het Belgisch grondgebied]

§ 2

De sector Energie bestaat uit de volgende deelsectoren:
elektriciteit, samengesteld uit infrastructuren en voorzieningen voor elektriciteitsproductie en -transmissie, met het oog op elektriciteitsvoorziening;
olie, samengesteld uit aardolieproductie, -raffinage, -behandeling, -opslag en -transmissie via pijpleidingen;
gas, samengesteld uit gasproductie, -raffinage, -behandeling, -opslag en -transmissie via pijpleidingen en terminals voor vloeibaar aardgas.
De sector Vervoer bestaat uit de volgende deelsectoren:
wegvervoer;
spoorvervoer;
luchtvervoer;
vervoer over de binnenwateren;
lange omvaart en short sea shipping en havens.

§ 3

In afwijking van § 1, eerste lid, is dit hoofdstuk niet van toepassing op de deelsector van het luchtvervoer.
Onverminderd artikel 2, tweede lid, neemt de Koning, bij een in Ministerraad overlegd besluit, de nodige maatregelen, met inbegrip van de opheffing, de aanvulling, de wijziging of de vervanging van wetsbepalingen, om de omzetting te verzekeren van de Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren wat het luchtvervoer betreft.

§ 4 [

Dit hoofdstuk is van toepassing op de sector financiėn, met inbegrip van de exploitanten van een handelsplatform bedoeld in artikel 3, 3°, d), de sector elektronische communicatie, de sector digitale infrastructuren, de sector gezondheidszorg en de sector drinkwater, wat de beveiliging en de bescherming van de nationale kritieke infrastructuren betreft.
]

Afdeling 2.
Identificatie en aanduiding van de kritieke infrastructuren


Art. 5.

§ 1 [

Teneinde de kritieke infrastructuren die onder haar bevoegdheid vallen te identificeren, overlegt de sectorale overheid vooraf met de ADCC, en raadpleegt, indien ze dit nuttig acht, de vertegenwoordigers van de sector en de exploitanten van potentiėle kritieke infrastructuren.
Met hetzelfde doel gaat de sectorale overheid over tot de voorafgaande raadpleging van de gewesten, voor de potentiėle kritieke infrastructuren die onder hun bevoegdheid vallen
]

§ 2

De te volgen procedure voor de identificatie van de nationale en de Europese kritieke infrastructuren wordt vastgesteld in bijlage.

[§ 3

Tijdens het hele identificatieproces als bedoeld in deze afdeling wordt de autoriteit bedoeld in artikel 7, § 1, van de wet van 7 april 2019 betrokken bij het door de sectorale overheden en de ADCC gevoerde nationale en internationale overleg voor de identificatie van de kritieke infrastructuren met betrekking tot de beveiliging van netwerk- en informatiesystemen.
]

Art. 6.

§ 1

De sectorale overheid bepaalt de sectorale criteria waaraan de nationale kritieke infrastructuren moeten beantwoorden rekening houdend met de bijzondere eigenschappen van de betrokken sector, in overleg met de ADCC en, in voorkomend geval, na raadpleging van de betrokken gewesten.

§ 2

De sectorale overheid bepaalt de sectorale criteria waaraan de Europese kritieke infrastructuren moeten beantwoorden, rekening houdend met de bijzondere eigenschappen van de betrokken sector, in overleg met de ADCC en, in voorkomend geval, na raadpleging van de betrokken gewesten.

§ 3

De intersectorale criteria waaraan de nationale en de Europese kritieke infrastructuren moeten beantwoorden, zijn:
het aantal potentiėle slachtoffers, met name het aantal doden of gewonden, of
de potentiėle economische weerslag, met name de omvang van de economische verliezen en/of van de kwaliteitsvermindering van producten of diensten, met inbegrip van de weerslag op het milieu, of
de potentiėle weerslag op de bevolking, met name de weerslag op het vertrouwen van de bevolking, het fysieke lijden en de verstoring van het dagelijkse leven, met inbegrip van het uitvallen van essentiėle diensten.

§ 4

De sectorale overheid bepaalt de niveaus van weerslag of de drempelwaarden die van toepassing zijn op de intersectorale criteria waaraan de nationale kritieke infrastructuren moeten beantwoorden, in overleg met de ADCC en, in voorkomend geval, na raadpleging van de betrokken gewesten.
De niveaus van weerslag of de drempelwaarden van de intersectorale criteria worden gebaseerd op de ernst van de gevolgen van de verstoring van de werking of de vernietiging van een bepaalde infrastructuur.

§ 5

De sectorale overheid bepaalt geval per geval de niveaus van weerslag of de drempelwaarden die van toepassing zijn op de intersectorale criteria waaraan de Europese kritieke infrastructuren dienen te beantwoorden, in overleg met de ADCC, met de betrokken lidstaten en, in voorkomend geval, na raadpleging van de betrokken gewesten.
De niveaus van weerslag of de drempelwaarden van de intersectorale criteria worden gebaseerd op de ernst van de gevolgen van de verstoring van de werking of de vernietiging van een bepaalde infrastructuur.

Art. 7.

§ 1 [

De sectorale overheid maakt een lijst op van de geļdentificeerde potentiėle nationale kritieke infrastructuren en zendt deze over aan de ADCC en, in voorkomend geval, aan de betrokken gewesten.
Zij voegt bij deze lijst de sectorale en intersectorale criteria, de niveaus van weerslag of de drempelwaarden die zij bepaald heeft met toepassing van artikel 6, §§ 1, 3, en 4 en zet de redenen hiervan uiteen.
Vervolgens gaat zij over tot de aanduiding van de nationale kritieke infrastructuren na advies van de ADCC en, in voorkomend geval, na raadpleging van de betrokken gewesten.
]

§ 2 [

De sectorale overheid maakt een lijst op van de geļdentificeerde potentiėle Europese kritieke infrastructuren en zendt deze over aan de ADCC en, in voorkomend geval, aan de betrokken gewesten.
Zij voegt bij deze lijst de sectorale en intersectorale criteria, de niveaus van weerslag of de drempelwaarden die zij bepaald heeft met toepassing van artikel 6, §§ 2, 3, en 5 en zet de redenen hiervan uiteen.
In samenwerking met de sectorale overheid en, in voorkomend geval, met de betrokken gewesten, is het EPCIP-contactpunt belast met het voeren van bilaterale of multilaterale besprekingen met de betrokken lidstaten van de Europese Unie, zowel inzake de potentiėle Europese kritieke infrastructuren geļdentificeerd op Belgisch grondgebied als degenen geļdentificeerd door de andere lidstaten op hun grondgebied.
Wanneer een akkoord is bereikt over de Europese kritieke infrastructuren op Belgisch grondgebied, gaat de sectorale overheid over tot de aanduiding van deze infrastructuren, na advies van de ADCC en, in voorkomend geval, na raadpleging van de betrokken gewesten.
]

[§ 3

Wanneer geen enkele kritieke infrastructuur gelegen op het Belgisch grondgebied geļdentificeerd werd binnen een sector of deelsector, zet de bevoegde sectorale overheid, in een brief ter attentie van de ADCC, de redenen uiteen die geleid hebben tot deze afwezigheid van identificatie.
]

[§ 4

Elke sectorale overheid gaat minstens één keer om de vijf jaar over tot de vernieuwing van het identificatieproces zoals beschreven in §§ 1 tot 3, voor wat betreft de kritieke infrastructuren die tot haar sector behoren
]

Art. 8.
[De sectorale overheid betekent aan de exploitant de met redenen omklede beslissing tot aanduiding van zijn infrastructuur als kritieke infrastructuur en bezorgt een kopie van deze beslissing met vermelding van de datum van betekening aan de ADCC.
De ADCC deelt eveneens de informatiegegevens die nuttig zijn voor de uitvoering van de in artikel 10 bedoelde dreigingsanalyse, met inbegrip van de datum van de betekening, mee aan het OCAD.]
[De ADCC brengt de burgemeester van de gemeente op het grondgebied waarvan de kritieke infrastructuur zich bevindt, op de hoogte van deze aanduiding.
In de in artikel 13, § 7, bedoelde gevallen brengt de ADCC de gouverneur van de provincie op het grondgebied waarvan de kritieke infrastructuur zich bevindt op de hoogte van deze aanduiding of, wanneer de kritieke infrastructuur zich op het grondgebied van de Brusselse agglomeratie bevindt, de bevoegde overheid krachtens artikel 48 van de bijzondere wet van 12 januari 1989 met betrekking tot de Brusselse instellingen.]

Art. 9.
De sectorale overheid zorgt voor de permanente opvolging van het identificatie- en aanduidingsproces van de kritieke infrastructuren, en vernieuwt het, in elk geval op eerste verzoek van de ADCC en binnen de termijn die zij bepaalt, met name in functie van de verplichtingen die de Europese Unie oplegt.

Art. 10.

§ 1 [

Binnen een termijn van negen maanden te rekenen vanaf de betekening van de aanduiding van een infrastructuur als kritieke infrastructuur, voert het OCAD een dreigingsanalyse uit voor die infrastructuur en voor de deelsector waarvan ze deel uitmaakt.
Deze analyse wordt minstens één keer om de vijf jaar vernieuwd.
]

§ 2

De dreigingsanalyse in de zin van dit hoofdstuk slaat op elk type van dreiging die onder de bevoegdheid van de ondersteunende diensten valt bedoeld in het artikel 2, 2°, van de wet van 10 juli 2006 betreffende de analyse van de dreiging.
[Overeenkomstig artikel 8, 1°, van de wet van 10 juli 2006 betreffende de analyse van de dreiging, bestaat de dreigingsanalyse uit een strategische gemeenschappelijke evaluatie. Onverminderd artikel 8 van de wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen, wordt deze evaluatie meegedeeld aan de exploitant, teneinde hem in staat te stellen de conclusies van die evaluatie te integreren in de risicoanalyse die hij dient uit te voeren krachtens artikel 13, § 3, 2°.]

Art. 11.

§ 1

In functie van de verplichtingen die de Europese Unie oplegt, brengt de sectorale overheid schriftelijk verslag uit aan het EPCIP-contactpunt, op zijn verzoek, over de Europese kritieke infrastructuur die onder de bevoegdheid van haar sector valt en over de aard van de ondervonden risico's.

§ 2

[...]

Afdeling 3.
Interne beveiligingsmaatregelen van kritieke infrastructuren


Art. 12.

§ 1

De exploitant van een kritieke infrastructuur duidt een beveiligingscontactpunt aan en maakt de contactgegevens ervan over aan de sectorale overheid binnen een termijn van zes maanden vanaf de betekening van de aanduiding als kritieke infrastructuur, alsook na elke bijwerking van deze gegevens.
[Het beveiligingscontactpunt oefent de functie van contactpunt uit ten aanzien van de sectorale overheid, de ADCC, de burgemeester, de politiediensten en elke andere bevoegde overheid of openbare dienst voor elke vraag, in verband met de beveiliging en de bescherming van de infrastructuur.]

§ 2

Indien er reeds een beveiligingscontactpunt bestaat krachtens nationale of internationale bepalingen van toepassing in een sector of een deelsector, maakt de exploitant van een kritieke infrastructuur de contactgegevens ervan over aan de sectorale overheid.

§ 3

Het beveiligingscontactpunt is te allen tijde beschikbaar.

Art. 13.

§ 1

De exploitant van een kritieke infrastructuur werkt een beveiligingsplan van de exploitant uit, hierna B.P.E. genaamd, met het oog op het voorkomen, beperken en neutraliseren van de risico's op verstoring van de werking of van de vernietiging van de kritieke infrastructuur door het op punt stellen van interne materiėle en organisatorische maatregelen.

§ 2

Het B.P.E. bevat minstens:
permanente interne beveiligingsmaatregelen, [die toegepast moeten worden] in alle omstandigheden;
graduele interne beveiligingsmaatregelen, toe te passen in functie van de dreiging.
Voor een bepaalde sector of, in voorkomend geval, per deelsector, kan de Koning deze maatregelen specificeren en opleggen om bepaalde informatie op te nemen in het B.P.E.

§ 3

De procedure van uitwerking van het B.P.E. bevat minstens de volgende stappen:
de inventaris en de ligging van de punten van de infrastructuur die, indien ze geraakt zouden worden, de verstoring van haar werking of haar vernietiging zouden kunnen veroorzaken;
een risicoanalyse, bestaande uit een identificatie van de voornaamste scenario's van pertinente potentiėle dreigingen van opzettelijke handelingen met het oog op de verstoring van de werking of de vernietiging van de kritieke infrastructuur;
een analyse van de kwetsbaarheden van de kritieke infrastructuur en de potentiėle weerslag van de verstoring van haar werking of van haar vernietiging in functie van de verschillende in aanmerking genomen scenario's;
voor elk scenario uit de risicoanalyse, de identificatie, de selectie en de aanwijzing in volgorde van prioriteit van de interne beveiligingsmaatregelen.

§ 4

De exploitant werkt het B.P.E. uit binnen een termijn van één jaar na de betekening aan de exploitant van de aanduiding van zijn infrastructuur als kritieke infrastructuur.
[Binnen een termijn van uiterlijk vierentwintig maanden, te rekenen vanaf de betekening van de aanduiding van zijn infrastructuur als kritieke infrastructuur, implementeert hij de interne beveiligingsmaatregelen voorzien in het B.P.E.
Voor een welbepaalde sector of, in voorkomend geval, per deelsector, kan de bevoegde sectorale overheid deze termijn aanpassen in functie van het type van maatregelen die zijn voorzien in het B.P.E.]

§ 5

Wat betreft de havens die vallen onder het toepassingsgebied van de wet van 5 februari 2007 betreffende de maritieme beveiliging, wordt het havenbeveiligingsplan opgelegd door die wet, gelijkgesteld met het B.P.E.

[§ 5bis

Voor de kritieke infrastructuren die onder de bevoegdheid van de sector financiėn vallen,[met uitzondering van die welke worden uitgebaat door een exploitant van een handelsplatform,] worden de beveiligingsmaatregelen, zoals het continuļteitsbeleid, de continuļteitsplannen en de plannen voor fysieke en logische beveiliging, die de ondernemingen dienen in te voeren in het kader van het prudentieel toezichtsstatuut dat op hen van toepassing is en/of in het kader van het toezicht (oversight) dat de Nationale Bank van Belgiė op hen uitoefent, gelijkgesteld met het B.P.E.
]

§ 6

De exploitant is verantwoordelijk voor het organiseren van oefeningen en voor het actualiseren van het B.P.E., in functie van de lessen getrokken uit de oefeningen of uit elke wijziging van de risicoanalyse. [Voor de sector financiėn[, met uitzondering van de kritieke infrastructuren die worden uitgebaat door een exploitant van een handelsplatform,] worden de oefeningen en de bijwerkingen van de beveiligingsmaatregelen als bedoeld in paragraaf 5bis gelijkgesteld met de oefeningen en de bijwerkingen van het B.P.E. als bedoeld in deze paragraaf.]
De Koning bepaalt voor een bepaalde sector of een deelsector, de frequentie van de oefeningen en van de bijwerkingen van het B.P.E.
De Koning bepaalt voor een bepaalde sector of, in voorkomend geval, per deelsector de nadere regels van de deelneming van de politiediensten aan de oefeningen georganiseerd door de exploitant.

[§ 7

Voor een welbepaalde sector of, in voorkomend geval, per deelsector, kan de Koning aan de exploitanten de uitwerking van een intern noodplan opleggen, waarvan het doel, wat de kritieke infrastructuur betreft, erin bestaat de nefaste gevolgen van een noodsituatie te beperken door te voorzien in aangepaste materiėle en organisatorische noodmaatregelen.
]

Art. 14.

§ 1 [

Onverminderd de wettelijke of reglementaire bepalingen die opleggen, in een bepaalde sector of deelsector, bepaalde diensten te informeren, is de exploitant ertoe gehouden, wanneer zich een gebeurtenis voordoet die van aard is om de veiligheid van de kritieke infrastructuur te bedreigen, onmiddellijk het SICAD, via de noodnummers 101 of 112, de door de bevoegde sectorale overheid aangewezen dienst en de ADCC te verwittigen.
]

[§ 1/1

Wanneer de melding van de gebeurtenis, bedoeld in de eerste paragraaf, niet vanuit de betrokken kritieke infrastructuur zelf wordt gedaan, verstrekt de federale politie aan de beveiligingscontactpunten aangeduid krachtens artikel 12 de noodzakelijke informatie om rechtstreekse meldingen aan het territoriaal bevoegde SICAD te kunnen uitvoeren.
]

§ 2

Overeenkomstig de nadere regels bepaald door de minister van Binnenlandse Zaken, verwittigt het [SICAD] de ADCC van elke gebeurtenis waarvan het kennis heeft en die van aard is de veiligheid van de kritieke infrastructuur te bedreigen [en, in voorkomend geval, de autoriteit bedoeld in artikel 7, § 1, van de wet van 7 april 2019 wat de beveiliging van netwerk- en informatiesystemen betreft.].

§ 3

Indien de gebeurtenis van aard is om de verstoring van de werking of de vernietiging van de betrokken kritieke infrastructuur als gevolg te hebben, verwittigt het EPCIP-contactpunt de bevoegde sectorale overheid en, in geval van een Europese kritieke infrastructuur, de bevoegde overheid van de betrokken lidstaten.

Afdeling 4.
Externe beschermingsmaatregelen van kritieke infrastructuren


Art. 15.
Onverminderd de bevoegdheden van de gerechtelijke overheden om maatregelen van gerechtelijke politie te nemen, neemt de ADCC externe beschermingsmaatregelen voor de kritieke infrastructuren, [...].
[In functie van het type dreiging worden deze maatregelen genomen, hetzij op basis van een analyse bedoeld in artikel 8, 2°, van de wet van 10 juli 2006 betreffende de analyse van de dreiging, op haar verzoek of ambtshalve uitgevoerd door het OCAD, hetzij op basis van een analyse uitgevoerd door de diensten van de federale politie of de inlichtingen-en veiligheidsdiensten voor de andere dreigingen dan die bedoeld in artikel 3 van de voormelde wet en die onder hun bevoegdheid vallen.]

Art. 16.
Zo dat nodig blijkt voor de handhaving van de openbare orde op het grondgebied van zijn gemeente, neemt de burgemeester externe beschermingsmaatregelen voor de kritieke infrastructuren, zonder dat deze in strijd mogen zijn met de beslissingen van de ADCC.

Art. 17.

§ 1

De externe beschermingsmaatregelen bedoeld in de artikelen 15 en 16, worden uitgevoerd door de politiediensten, onder de operationele coördinatie en leiding van de politieofficier aangewezen in toepassing van de artikelen 7/1 tot 7/3 van de wet op het politieambt.

§ 2

De ADCC richt haar bevelen, onderrichtingen en richtlijnen aan de politiediensten namens de Minister van Binnenlandse Zaken, respectievelijk in toepassing van de artikelen 61, 62 en 97, eerste lid van de wet van 7 december 1998 tot organisatie van een geļntegreerde politiedienst, gestructureerd op twee niveaus.

§ 3

De burgemeester richt zijn bevelen, onderrichtingen en richtlijnen aan de lokale politie, in toepassing van artikel 42 van de wet van 7 december 1998 tot organisatie van een geļntegreerde politiedienst, gestructureerd op twee niveaus, of, in voorkomend geval, aan de gedeconcentreerde dienst van de federale politie belast met de luchtvaartpolitie, de scheepvaartpolitie, de spoorwegpolitie of de wegpolitie.

Afdeling 5.
Informatie-uitwisseling


Art. 18.
[De ADCC, de politiediensten, het OCAD en, in voorkomend geval, de autoriteit bedoeld in artikel 7, § 1, van de wet van 7 april 2019, wat de beveiliging van netwerk- en informatiesystemen betreft] [wisselen] de nuttige informatie voor het nemen van externe beschermingsmaatregelen voor de kritieke infrastructuren [uit].

Art. 19.
[De exploitant, het beveiligingscontactpunt, de sectorale overheid, de ADCC, het OCAD, de politiediensten en, in voorkomend geval, de autoriteit bedoeld in artikel 7, § 1, van de wet van 7 april 2019, wat de beveiliging van netwerk- en informatiesystemen betreft,] werken te allen tijde samen, door een adequate informatie-uitwisseling betreffende de beveiliging en de bescherming van de kritieke infrastructuur, teneinde te waken over een overeenstemming tussen de interne beveiligingsmaatregelen en de externe beschermingsmaatregelen.

Art. 20.
De Koning [kan bepalen], voor een bepaalde sector, of in voorkomend geval, per deelsector, de informatie [...] die pertinent kan zijn voor het vervullen van de opdrachten van de ADCC, van de politiediensten en van het OCAD op het vlak van de bescherming van kritieke infrastructuren en de nadere regels van toegang tot die informatie.

Art. 21.
De ADCC kan aan de exploitant informatie over de dreiging en over de externe beschermingsmaatregelen overmaken die de exploitant toelaten zijn graduele interne beveiligingsmaatregelen op gepaste wijze toe te passen en ze in overeenstemming te brengen met de externe beschermingsmaatregelen.
[De ADCC kan een kopie van deze informatie aan de door de betrokken sectorale overheid aangewezen dienst overzenden.]

Art. 22.
[De sectorale overheid, de ADCC, het OCAD, de politiediensten en de autoriteit bedoeld in artikel 7, § 1, van de wet van 7 april 2019,] beperken de toegang tot de informatie bedoeld in hoofdstuk 2, tot de personen die er de kennis van nodig hebben en er toegang toe moeten hebben voor de uitoefening van hun functies of hun opdracht die de veiligheid en/of de bescherming van de kritieke infrastructuren tot doel hebben.

Art. 22bis.
Voor de sector financiėn[, met uitzondering van de deelsector van de exploitanten van een handelsplatform,] maakt de Nationale Bank van Belgiė aan de Minister van Financiėn een verslag over met betrekking tot de taken die zij krachtens deze wet vervult, volgens een passende frequentie van ten hoogste drie jaar.
De Nationale Bank van Belgiė brengt de Minister echter onmiddellijk op de hoogte van elke concrete en nakende dreiging voor een kritieke infrastructuur van de sector financiėn.
[Voor de exploitanten van een handelsplatform bezorgt de FSMA de minister van Financiėn een verslag met betrekking tot de taken die zij krachtens deze wet vervult, volgens een passende frequentie van ten hoogste drie jaar. De FSMA brengt hem echter onmiddellijk op de hoogte van elke concrete en nakende dreiging voor een kritieke infrastructuur die onder de bevoegdheid van haar sectoor valt.]

Art. 23.

§ 1

Onverminderd de artikelen 20 en 25, § 1, 2°, is de exploitant gehouden tot het beroepsgeheim voor wat de inhoud van het B.P.E. betreft en mag hij enkel toegang geven tot het B.P.E. aan personen die er de kennis van nodig hebben en er toegang toe moeten hebben voor de uitoefening van hun functies of van hun opdracht.
[Hij is aan hetzelfde geheim gehouden voor wat betreft alle informatie die hem ter kennis wordt gebracht met toepassing van de artikelen 5 tot en met 10, het artikel 13, §§ 6 en 7, en de artikelen 14, 19, 21 en 25.]

§ 2

Inbreuken op § 1 worden bestraft met de straffen voorzien bij artikel 458 van het Strafwetboek.

Art. 23/1.
De wet van 11 april 1994 betreffende de openbaarheid van bestuur en de wet van 5 augustus 2006 betreffende de toegang van het publiek tot milieu-informatie zijn niet van toepassing op informatie, documenten of gegevens, in welke vorm ook, bedoeld in artikel 22.

Afdeling 6.
Controle en sancties


Art. 24.

§ 1

Onverminderd de bevoegdheden van de officieren van gerechtelijke politie, wordt per sector, of, in voorkomend geval, per deelsector, een inspectiedienst ingesteld, belast met de controle op de naleving door de exploitanten van die sector of deelsector van de bepalingen van deze wet en van haar uitvoeringsbesluiten.

§ 2

De Koning wijst, voor een bepaalde sector, of, in voorkomend geval, per deelsector, de bevoegde inspectiedienst aan om de controle uit te voeren.
Hij kan de nadere regels van de controle vastleggen.
[Voor de sector financiėn[, met uitzondering van de deelsector van de exploitanten van een handelsplatform,] wordt de Nationale Bank van Belgiė aangeduid als inspectiedienst belast met het controleren van de toepassing van de bepalingen van deze wet en haar uitvoeringsbesluiten.
Daartoe mag de Nationale Bank van Belgiė gebruik maken van de informatie waarover zij beschikt in het kader van haar wettelijke opdrachten met betrekking tot het prudentieel toezicht en het toezicht (oversight) en houdt zij, in het bijzonder, rekening met de vaststellingen die in dit kader zijn gedaan. Evenzo mag de Nationale Bank van Belgiė in het kader van haar wettelijke opdrachten met betrekking tot het prudentieel toezicht en het toezicht (oversight) de informatie gebruiken waarover zij met toepassing van deze wet beschikt.]
[De Autoriteit voor Financiėle Diensten en Markten wordt aangewezen als inspectiedienst belast met het toezicht op de toepassing van de bepalingen van deze wet en van de uitvoeringsbesluiten ervan, voor de exploitanten van een handelsplatform in de zin van artikel 3, 6°, van de wet van 21 november 2017 over de infrastructuren voor de markten voor financiėle instrumenten en houdende omzetting van Richtlijn 2014/65/EU. Dit artikel doet geen afbreuk aan de mogelijkheid voor de FSMA om, voor de uitvoering van de opdrachten die haar door deze wet worden toevertrouwd, een gespecialiseerde externe dienstverlener te belasten met de uitvoering van welbepaalde taken of de bijstand van een dergelijke dienstverlener te verkrijgen.]

§ 3

De leden van de inspectiedienst [die belast zijn met de controleopdrachten bedoeld in paragraaf 1] zijn voorzien van een legitimatiekaart waarvan het model wordt vastgesteld door de Koning, per sector.
[Deze paragraaf is niet van toepassing op de inspectiedienst die is aangeduid krachtens paragraaf 2, derde lid.]

§ 4

De Koning kan de voorwaarden van vorming bepalen waaraan de leden van de inspectiedienst moeten voldoen voor een bepaalde sector of deelsector.

Art. 25.

§ 1

Bij de uitoefening van hun opdracht kunnen de leden van de inspectiedienst, op elk ogenblik:
zonder voorafgaande verwittiging, op vertoon van hun legitimatiekaart, zich toegang verschaffen tot alle plaatsen van de kritieke infrastructuur die aan hun toezicht onderworpen zijn; zij hebben slechts toegang tot bewoonde lokalen mits een machtiging die vooraf is uitgereikt door een rechter van de politierechtbank;
ter plaatse kennis nemen van het B.P.E. en van alle bescheiden, documenten en andere informatiebronnen nodig voor het volbrengen van hun opdracht;
overgaan tot elk onderzoek, elke controle en elk verhoor, alsook alle inlichtingen inwinnen die zij nodig achten voor de uitoefening van hun opdracht.

§ 2

De Koning kan, voor een bepaalde sector of deelsector, de inspectiedienst toelaten zich een kopie te laten overmaken van het B.P.E. en van alle bescheiden, documenten en andere informatiebronnen die deze dienst nodig acht voor de uitoefening van zijn opdracht. De Koning kan ook de nadere regels vaststellen volgens dewelke de kopie wordt overgemaakt aan deze dienst.

§ 3

Op basis van de gedane vaststellingen kan de inspectiedienst aanbevelingen, instructies of waarschuwingen aan de exploitant geven betreffende de naleving van de bepalingen van deze wet en van haar uitvoeringsbesluiten. [Hij kan een termijn bepalen om zich in regel te stellen. De inspectiedienst of de in artikel 24, § 3, eerste lid, bedoelde leden van deze dienst, kunnen processen-verbaal opstellen.]

[§ 4

Na elke inspectie stelt de inspectiedienst een inspectieverslag op.
]

Art. 26.

§ 1

Wordt gestraft met gevangenisstraf van acht dagen tot een jaar en met geldboete van 26 euro tot 10.000 euro of met één van die straffen alleen, de exploitant die de verplichtingen opgelegd door of krachtens deze wet betreffende de interne beveiligingsmaatregelen en de uitwisseling van informatie niet naleeft.
In geval van herhaling wordt de geldboete verdubbeld en wordt de overtreder gestraft met gevangenisstraf van vijftien dagen tot drie jaar.

§ 2

Wordt gestraft met gevangenisstraf van acht dagen tot een maand en met geldboete van 26 euro tot 1000 euro of met één van die straffen alleen, hij die de uitvoering van de controle uitgevoerd door de leden van de inspectiedienst vrijwillig verhindert of belemmert, de informatie die hem gevraagd is naar aanleiding van deze controle weigert mee te delen, of opzettelijk foutieve of onvolledige informatie meedeelt.
In geval van herhaling, wordt de geldboete verdubbeld en de overtreder gestraft met gevangenisstraf van vijftien dagen tot een jaar.

§ 3

De bepalingen van Boek I van het Strafwetboek, met inbegrip van hoofdstuk VII en artikel 85, zijn van toepassing op de vermelde inbreuken.

Hoofdstuk 3.
Bescherming van andere punten van federaal belang en van punten van lokaal belang


Art. 27.

§ 1

Onverminderd de bevoegdheden van de gerechtelijke overheden om maatregelen van gerechtelijke politie te nemen, neemt de ADCC externe beschermingsmaatregelen voor de andere punten van federaal belang.

§ 2

Zo dat nodig blijkt voor de handhaving van de openbare orde op het grondgebied van zijn gemeente, neemt de burgemeester externe beschermingsmaatregelen voor de andere punten van federaal belang, zonder dat deze in strijd mogen zijn met de beslissingen van de ADCC.

§ 3

Onverminderd de bevoegdheden van de gerechtelijke overheden voor het nemen van maatregelen van gerechtelijke politie, neemt de burgemeester externe beschermingsmaatregelen voor de punten van lokaal belang.

Art. 28.
De ADCC, de politiediensten en het OCAD verzamelen de nuttige informatie voor het nemen van externe beschermingsmaatregelen voor de andere punten van federaal belang en de politiediensten verzamelen de nuttige informatie voor het nemen van externe beschermingsmaatregelen voor de punten van lokaal belang.

Art. 29.

§ 1

De externe beschermingsmaatregelen bedoeld in artikel 27, worden uitgevoerd door de politiediensten, onder de operationele coördinatie en leiding van de politieofficier aangewezen in toepassing van de artikelen 7/1 tot 7/3 van de wet op het politieambt.

§ 2

De ADCC richt haar bevelen, onderrichtingen en richtlijnen aan de politiediensten namens de Minister van Binnenlandse Zaken, respectievelijk in toepassing van de artikelen 61, 62 en 97, eerste lid van de wet van december 1998 tot organisatie van een geļntegreerde politiedienst, gestructureerd op twee niveaus.

§ 3

De burgemeester richt zijn bevelen, onderrichtingen en richtlijnen aan de lokale politie, in toepassing van artikel 42 van de wet van 7 december 1998 tot organisatie van een geļntegreerde politiedienst, gestructureerd op twee niveaus, of, in voorkomend geval, aan de gedeconcentreerde dienst van de federale politie belast met de luchtvaartpolitie, de scheepvaartpolitie, de spoorwegpolitie of de wegpolitie.

Hoofdstuk 4.
Wijziging van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle


Art. 30.
In het hoofdstuk III van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle, wordt een artikel 15bis ingevoegd, luidende:
(...)

Hoofdstuk 5.
Slotbepalingen


Art. 31.
De Koning neemt, bij een in Ministerraad overlegd besluit, de nodige maatregelen, met inbegrip van de opheffing, de aanvulling, de wijziging of de vervanging van wetsbepalingen, om de omzetting van de Europese richtlijnen betreffende de kritieke infrastructuren te verzekeren.
Hij kan, bij een in Ministerraad overlegd besluit, de bepalingen van hoofdstuk 2 en de uitvoeringsbesluiten ervan volledig of gedeeltelijk van toepassing maken op andere sectoren dan diegene bedoeld door het artikel 4, § 2, wat betreft de nationale kritieke infrastructuren.

Art. 32.
Deze wet treedt in werking de dag waarop ze in het Belgisch Staatsblad wordt bekendgemaakt.

Bijlage
Procedure van toepassing op de identificatie van nationale en Europese kritieke infrastructuren

De identificatie van de nationale en de Europese kritieke infrastructuren is onderworpen aan de volgende stappen:

A Identificatie van de nationale kritieke infrastructuren

I

De sectorale overheid past de sectorale criteria bedoeld in artikel 6, § 1, toe teneinde een eerste selectie te maken tussen de infrastructuren die in haar sector bestaan.

II

De sectorale overheid past de definitie toe van de nationale kritieke infrastructuur bedoeld in artikel 3, 5°, op de selectie verricht tijdens de eerste stap en stelt een lijst op van de aldus geļdentificeerde potentiėle nationale kritieke infrastructuren.
De ernst van de weerslag wordt bepaald in functie van de karakteristieken van de betrokken sector, op basis van de intersectorale criteria bedoeld in artikel 6, §§ 3 et 4. Er wordt rekening gehouden met het bestaan van vervangingsoplossingen, alsook met de duur van de verstoring/ herneming van de activiteit.

B Identificatie van de Europese kritieke infrastructuren[gelegen op het Belgisch grondgebied]

I

De sectorale overheid past op de lijst van geļdentificeerde nationale kritieke infrastructuren de sectorale criteria toe bedoeld in artikel 6, § 2. Indien de infrastructuur aan deze criteria beantwoordt, dan wordt zij onderworpen aan de volgende stap van de procedure.

II

II. De sectorale overheid past vervolgens het grensoverschrijdende element toe van de definitie van Europese kritieke infrastructuur bedoeld in artikel 3, 6°. Indien de infrastructuur aan deze definitie beantwoordt, dan wordt zij onderworpen aan de volgende stap van de procedure.

III

De sectorale overheid past de intersectorale criteria, bedoeld in artikel 6, §§ 3 en 5 toe op de overblijvende potentiėle Europese kritieke infrastructuren.
De intersectorale criteria houden rekening met volgende elementen: de ernst van de impact en het bestaan van vervangingsoplossingen, alsook de duur van de verstoring/herneming van de activiteit.

IV

De identificatie van de potentiėle Europese kritieke infrastructuren die alle stappen van deze procedure doorstaan, wordt enkel medegedeeld aan de lidstaten die aanzienlijk door deze infrastructuren kunnen worden getroffen.

[
C Identificatie van de Europese kritieke infrastructuren die niet op het Belgisch grondgebied gelegen zijn

I

De sectorale overheid identificeert de diensten van haar sector die van essentieel belang zijn voor het behoud in Belgiė van de vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn van de burgers en die geleverd worden via kritieke infrastructuren, gelegen op het grondgebied van een andere lidstaat van de Europese Unie, en past, in de mate van het mogelijke, de in artikel 6, § 2, bedoelde sectorale criteria toe op de lijst van de geļdentificeerde infrastructuren.
Indien de infrastructuren aan die criteria voldoen, worden zij onderworpen aan de volgende fase van de procedure.

II

De sectorale overheid past, in de mate van het mogelijke, de in artikel 6, §§ 3 en 5 bedoelde intersectorale criteria toe op de overige potentiėle Europese kritieke infrastructuren
De intersectorale criteria houden rekening met de volgende elementen: de ernst van de impact en het bestaan van vervangende oplossingen, alsook de duur van de stopzetting /hervatting van de activiteit.

III

De identificatie van de potentiėle Europese kritieke infrastructuren die alle fasen van deze procedure doorlopen wordt slechts meegedeeld aan de lidstaten op het grondgebied waarvan deze zich bevinden.
]