Afdeling 3.
Interne beveiligingsmaatregelen van kritieke infrastructuren


Art. 12.

§ 1

De exploitant van een kritieke infrastructuur duidt een beveiligingscontactpunt aan en maakt de contactgegevens ervan over aan de sectorale overheid binnen een termijn van zes maanden vanaf de betekening van de aanduiding als kritieke infrastructuur, alsook na elke bijwerking van deze gegevens.
[Het beveiligingscontactpunt oefent de functie van contactpunt uit ten aanzien van de sectorale overheid, de ADCC, de burgemeester, de politiediensten en elke andere bevoegde overheid of openbare dienst voor elke vraag, in verband met de beveiliging en de bescherming van de infrastructuur.]

§ 2

Indien er reeds een beveiligingscontactpunt bestaat krachtens nationale of internationale bepalingen van toepassing in een sector of een deelsector, maakt de exploitant van een kritieke infrastructuur de contactgegevens ervan over aan de sectorale overheid.

§ 3

Het beveiligingscontactpunt is te allen tijde beschikbaar.

Art. 13.

§ 1

De exploitant van een kritieke infrastructuur werkt een beveiligingsplan van de exploitant uit, hierna B.P.E. genaamd, met het oog op het voorkomen, beperken en neutraliseren van de risico's op verstoring van de werking of van de vernietiging van de kritieke infrastructuur door het op punt stellen van interne materiėle en organisatorische maatregelen.

§ 2

Het B.P.E. bevat minstens:
permanente interne beveiligingsmaatregelen, [die toegepast moeten worden] in alle omstandigheden;
graduele interne beveiligingsmaatregelen, toe te passen in functie van de dreiging.
Voor een bepaalde sector of, in voorkomend geval, per deelsector, kan de Koning deze maatregelen specificeren en opleggen om bepaalde informatie op te nemen in het B.P.E.

§ 3

De procedure van uitwerking van het B.P.E. bevat minstens de volgende stappen:
de inventaris en de ligging van de punten van de infrastructuur die, indien ze geraakt zouden worden, de verstoring van haar werking of haar vernietiging zouden kunnen veroorzaken;
een risicoanalyse, bestaande uit een identificatie van de voornaamste scenario's van pertinente potentiėle dreigingen van opzettelijke handelingen met het oog op de verstoring van de werking of de vernietiging van de kritieke infrastructuur;
een analyse van de kwetsbaarheden van de kritieke infrastructuur en de potentiėle weerslag van de verstoring van haar werking of van haar vernietiging in functie van de verschillende in aanmerking genomen scenario's;
voor elk scenario uit de risicoanalyse, de identificatie, de selectie en de aanwijzing in volgorde van prioriteit van de interne beveiligingsmaatregelen.

§ 4

De exploitant werkt het B.P.E. uit binnen een termijn van één jaar na de betekening aan de exploitant van de aanduiding van zijn infrastructuur als kritieke infrastructuur.
[Binnen een termijn van uiterlijk vierentwintig maanden, te rekenen vanaf de betekening van de aanduiding van zijn infrastructuur als kritieke infrastructuur, implementeert hij de interne beveiligingsmaatregelen voorzien in het B.P.E.
Voor een welbepaalde sector of, in voorkomend geval, per deelsector, kan de bevoegde sectorale overheid deze termijn aanpassen in functie van het type van maatregelen die zijn voorzien in het B.P.E.]

§ 5

Wat betreft de havens die vallen onder het toepassingsgebied van de wet van 5 februari 2007 betreffende de maritieme beveiliging, wordt het havenbeveiligingsplan opgelegd door die wet, gelijkgesteld met het B.P.E.

[§ 5bis

Voor de kritieke infrastructuren die onder de bevoegdheid van de sector financiėn vallen, worden de beveiligingsmaatregelen, zoals het continuļteitsbeleid, de continuļteitsplannen en de plannen voor fysieke en logische beveiliging, die de ondernemingen dienen in te voeren in het kader van het prudentieel toezichtsstatuut dat op hen van toepassing is en/of in het kader van het toezicht (oversight) dat de Nationale Bank van Belgiė op hen uitoefent, gelijkgesteld met het B.P.E.
]

§ 6

De exploitant is verantwoordelijk voor het organiseren van oefeningen en voor het actualiseren van het B.P.E., in functie van de lessen getrokken uit de oefeningen of uit elke wijziging van de risicoanalyse. [Voor de sector financiėn worden de oefeningen en de bijwerkingen van de beveiligingsmaatregelen als bedoeld in paragraaf 5bis gelijkgesteld met de oefeningen en de bijwerkingen van het B.P.E. als bedoeld in deze paragraaf.]
De Koning bepaalt voor een bepaalde sector of een deelsector, de frequentie van de oefeningen en van de bijwerkingen van het B.P.E.
De Koning bepaalt voor een bepaalde sector of, in voorkomend geval, per deelsector de nadere regels van de deelneming van de politiediensten aan de oefeningen georganiseerd door de exploitant.

[§ 7

Voor een welbepaalde sector of, in voorkomend geval, per deelsector, kan de Koning aan de exploitanten de uitwerking van een intern noodplan opleggen, waarvan het doel, wat de kritieke infrastructuur betreft, erin bestaat de nefaste gevolgen van een noodsituatie te beperken door te voorzien in aangepaste materiėle en organisatorische noodmaatregelen.
]

Art. 14.

§ 1 [

Onverminderd de wettelijke of reglementaire bepalingen die opleggen, in een bepaalde sector of deelsector, bepaalde diensten te informeren, is de exploitant ertoe gehouden, wanneer zich een gebeurtenis voordoet die van aard is om de veiligheid van de kritieke infrastructuur te bedreigen, onmiddellijk het SICAD, via de noodnummers 101 of 112, de door de bevoegde sectorale overheid aangewezen dienst en de ADCC te verwittigen.
]

[§ 1/1

Wanneer de melding van de gebeurtenis, bedoeld in de eerste paragraaf, niet vanuit de betrokken kritieke infrastructuur zelf wordt gedaan, verstrekt de federale politie aan de beveiligingscontactpunten aangeduid krachtens artikel 12 de noodzakelijke informatie om rechtstreekse meldingen aan het territoriaal bevoegde SICAD te kunnen uitvoeren.
]

§ 2

Overeenkomstig de nadere regels bepaald door de minister van Binnenlandse Zaken, verwittigt het [SICAD] de ADCC van elke gebeurtenis waarvan het kennis heeft en die van aard is de veiligheid van de kritieke infrastructuur te bedreigen.

§ 3

Indien de gebeurtenis van aard is om de verstoring van de werking of de vernietiging van de betrokken kritieke infrastructuur als gevolg te hebben, verwittigt het EPCIP-contactpunt de bevoegde sectorale overheid en, in geval van een Europese kritieke infrastructuur, de bevoegde overheid van de betrokken lidstaten.