Art. 13.

§ 1

De exploitant van een kritieke infrastructuur werkt een beveiligingsplan van de exploitant uit, hierna B.P.E. genaamd, met het oog op het voorkomen, beperken en neutraliseren van de risico's op verstoring van de werking of van de vernietiging van de kritieke infrastructuur door het op punt stellen van interne materiėle en organisatorische maatregelen.

§ 2

Het B.P.E. bevat minstens:
permanente interne beveiligingsmaatregelen, [die toegepast moeten worden] in alle omstandigheden;
graduele interne beveiligingsmaatregelen, toe te passen in functie van de dreiging.
Voor een bepaalde sector of, in voorkomend geval, per deelsector, kan de Koning deze maatregelen specificeren en opleggen om bepaalde informatie op te nemen in het B.P.E.

§ 3

De procedure van uitwerking van het B.P.E. bevat minstens de volgende stappen:
de inventaris en de ligging van de punten van de infrastructuur die, indien ze geraakt zouden worden, de verstoring van haar werking of haar vernietiging zouden kunnen veroorzaken;
een risicoanalyse, bestaande uit een identificatie van de voornaamste scenario's van pertinente potentiėle dreigingen van opzettelijke handelingen met het oog op de verstoring van de werking of de vernietiging van de kritieke infrastructuur;
een analyse van de kwetsbaarheden van de kritieke infrastructuur en de potentiėle weerslag van de verstoring van haar werking of van haar vernietiging in functie van de verschillende in aanmerking genomen scenario's;
voor elk scenario uit de risicoanalyse, de identificatie, de selectie en de aanwijzing in volgorde van prioriteit van de interne beveiligingsmaatregelen.

§ 4

De exploitant werkt het B.P.E. uit binnen een termijn van één jaar na de betekening aan de exploitant van de aanduiding van zijn infrastructuur als kritieke infrastructuur.
[Binnen een termijn van uiterlijk vierentwintig maanden, te rekenen vanaf de betekening van de aanduiding van zijn infrastructuur als kritieke infrastructuur, implementeert hij de interne beveiligingsmaatregelen voorzien in het B.P.E.
Voor een welbepaalde sector of, in voorkomend geval, per deelsector, kan de bevoegde sectorale overheid deze termijn aanpassen in functie van het type van maatregelen die zijn voorzien in het B.P.E.]

§ 5

Wat betreft de havens die vallen onder het toepassingsgebied van de wet van 5 februari 2007 betreffende de maritieme beveiliging, wordt het havenbeveiligingsplan opgelegd door die wet, gelijkgesteld met het B.P.E.

[§ 5bis

Voor de kritieke infrastructuren die onder de bevoegdheid van de sector financiėn vallen, worden de beveiligingsmaatregelen, zoals het continuļteitsbeleid, de continuļteitsplannen en de plannen voor fysieke en logische beveiliging, die de ondernemingen dienen in te voeren in het kader van het prudentieel toezichtsstatuut dat op hen van toepassing is en/of in het kader van het toezicht (oversight) dat de Nationale Bank van Belgiė op hen uitoefent, gelijkgesteld met het B.P.E.
]

§ 6

De exploitant is verantwoordelijk voor het organiseren van oefeningen en voor het actualiseren van het B.P.E., in functie van de lessen getrokken uit de oefeningen of uit elke wijziging van de risicoanalyse. [Voor de sector financiėn worden de oefeningen en de bijwerkingen van de beveiligingsmaatregelen als bedoeld in paragraaf 5bis gelijkgesteld met de oefeningen en de bijwerkingen van het B.P.E. als bedoeld in deze paragraaf.]
De Koning bepaalt voor een bepaalde sector of een deelsector, de frequentie van de oefeningen en van de bijwerkingen van het B.P.E.
De Koning bepaalt voor een bepaalde sector of, in voorkomend geval, per deelsector de nadere regels van de deelneming van de politiediensten aan de oefeningen georganiseerd door de exploitant.

[§ 7

Voor een welbepaalde sector of, in voorkomend geval, per deelsector, kan de Koning aan de exploitanten de uitwerking van een intern noodplan opleggen, waarvan het doel, wat de kritieke infrastructuur betreft, erin bestaat de nefaste gevolgen van een noodsituatie te beperken door te voorzien in aangepaste materiėle en organisatorische noodmaatregelen.
]