Driejaarlijkse check-up vitale onderdelen elektronische communicatie

De beveiliging van de vitale onderdelen in de sector elektronische communicatie tegen terroristische aanslagen, natuurrampen en ongevallen krijgt voortaan minstens om de drie jaar een volledige check-up. Exploitanten zullen hiervoor minimum één keer per jaar een deel van hun infrastructuur onderwerpen aan veiligheidstests. Ze doen dat op basis van hun BPE of beveiligingsplan.

Extra bescherming voor kritieke infrastructuren

Europa wil dat haar lidstaten de kritieke infrastructuren op hun grondgebied extra beschermen tegen terroristische dreigingen, natuurrampen en ongevallen. Via een EU-richtlijn van 2008 legt ze daarom een gemeenschappelijke procedure op om deze vitale systemen te identificeren, aan te duiden en te controleren. De bepalingen komen bovenop die van de lidstaten. Ze moeten ervoor zorgen dat de grensoverschrijdende gevolgen bij het falen van één kritiek onderdeel beperkt blijven.

België heeft de normen midden 2011 in een wet gegoten. De ?Wet beveiliging en bescherming kritieke infrastructuren? of 'EPCIP-wet' is van toepassing op de sectoren energie, vervoer, financiën en openbare elektronische communicatie. Vandaag heeft de federale regering de uitvoeringsbepalingen klaar voor de deelsector elektronische communicatie.

6 onderdelen in beveiligingsplan elektronische communicatie

Exploitanten van kritieke infrastructuren zijn verplicht om een beveiligingsplan (BPE) uit te werken. Dit plan bevat interne beveiligingsmaatregelen om eventuele risico's op storingen of vernietigingen van de infrastructuur te voorkomen, te beperken en te neutraliseren. Een beveiligingsplan in de sector elektronische communicatie bestaat uit 6 onderdelen:

een algemene beschrijving van de kritieke infrastructuur. Dit omvat een hiërarchische klassering van de basisdiensten en bijkomende diensten die worden ondersteund, de logistieke architectuur van de infrastructuur om deze diensten te leveren, de fysieke architectuur van het netwerk dat wordt ondersteund (o.a. apparatuur) en de technische karakteristieken van de apparatuur.

de risicoanalyse. Met hierin onder meer een beschrijving van risicoscenario?s en maatregelen om incidenten te voorkomen;

de permanente interne beveiligingsmaatregelen. Dit onderdeel bevat een inventaris van de maatregelen en een beschrijving ervan. De exploitant geeft ook het verband aan met zijn risicoanalyse.

de graduele interne beveiligingsmaatregelen. Hier wordt een onderscheid gemaakt tussen de algemene veiligheidsmaatregelen en de specifieke maatregelen naargelang de scenario?s beschreven in de risicoanalyse. Specifieke maatregelen omvatten onder meer een communicatieplan en maatregelen om de gevolgen van incidenten te verminderen.

inlichtingen. De exploitant geeft hier een omschrijving van zijn infrastructuur, diensten, inventaris en ligging en eventuele bijkomende informatie die nodig is om het BPE goed te begrijpen.

Een laatste onderdeel geeft een omschrijving van de veiligheidsoefeningen.

Driejaarlijkse check-up

De federale overheid wil dat de beveiliging van de vitale onderdelen in de sector elektronische communicatie minstens elke 3 jaar volledig wordt herbekeken. Om dit te bereiken, zullen de exploitanten jaarlijks, gedurende 3 jaar, een ander deel onderwerpen aan veiligheidstests. Frequentere tests zijn toegelaten. De exploitant moet de sectorale overheid minstens 4 eken op voorgang op de hoogte brengen van een geplande oefening.

Wanneer een oefening de werking van het netwerk, een deel ervan of de diensten die ondersteund worden in gevaar brengt, dan kan de exploitant aan de sectorale overheid vragen om de test te vervangen door een simulatie.

Van iedere uitgevoerde oefening wordt een verslag opgemaakt. De exploitant moet dit binnen de 6 maanden aan de sectorale overheid bezorgen.

Indien nodig wordt het BPE herzien in functie van de resultaten.

Een BPE wordt daarnaast ook geëvalueerd en indien nodig geactualiseerd:

bij elke indienststelling of wederindienststelling van de kritieke infrastructuur;

bij de vervanging van een bestaand onderdeel in de kritieke infrastructuur;

bij de integratie van een nieuw onderdeel in de kritieke infrastructuur;

bij een periodieke controle;

op vraag van de sectorale overheid n.a.v. een analyse van het BPE.

Exploitanten zijn in dit kader dan ook verplicht om iedere wijziging van zijn BPE mee te delen aan de sectorale overheid.

21 augustus 2014

Het KB van 27 mei 2014 is op 21 augustus in werking getreden, 10 dagen na publicatie in het Staatsblad.

Bron: Koninklijk besluit van 27 mei 2014 tot uitvoering in de sector elektronische communicatie van artikel 13 van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren, BS 11 augustus 2014.