Kritieke infrastructuren
Naast kritieke infrastructuren onderscheiden we ook aanbieders van essentiële diensten (AED). Dit zijn entiteiten die essentiële diensten verlenen aan onze maatschappij of economie en die afhankelijk zijn van netwerk- en informatiesystemen. Het is belangrijk dat deze netwerk- en informatiesystemen (NIS) beveiligd zijn. De meeste kritieke infrastructuren zijn ook aanbieders van essentiële diensten.
Sectoren
Kritieke infrastructuren en aanbieders van essentiële diensten kan je vinden in de volgende sectoren:
- Energie: infrastructuren voor grootschalige productie, transport en distributie van energie (zowel elektriciteit als gas), bijvoorbeeld gaspijpleidingen of hoogspanningsmasten.
- Vervoer: vitale knooppunten van het vervoer, zowel spoorwegen, luchtverkeer als vervoer over water.
- Financiën: kritieke schakels in het elektronisch betalingsverkeer.
- Drinkwater: leveranciers en distributeurs van drinkwater.
- Gezondheid: zorginstellingen.
- Digitale infrastructuur: internetknooppunten en leveranciers van DNS-diensten.
- Elektronische communicatie: nationale verbindingen van elektronische communicatie. Binnen deze sector bestaan er enkel kritieke infrastructuren, geen aanbieders van essentiële diensten.
- Ruimtevaart: voor de ruimtevaartsector is er een Europese Verordening die lidstaten verplicht om ook geschikte bescherming en beveiliging te voorzien (gelijkgesteld aan kritieke infrastructuren).
Een definitie van het begrip ‘kritieke infrastructuur’ vind je terug in de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren. Een definitie van het begrip ‘aanbieder van essentiële diensten’ vind je terug in de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.
Verplichtingen
Iedere kritieke infrastructuur moet:
- Een beveiligingsplan hebben met algemene maatregelen die altijd gelden.
- Bijkomende maatregelen nemen, in functie van het dreigingsniveau. De analyse van het dreigingsniveau gebeurt door het OCAD.
- Een contactpunt (24u/7) hebben voor de overheid. Zo kunnen de uitbater van de kritieke infrastructuur en de overheid snel informatie uitwisselen als dit nodig is.
- Oefeningen organiseren en inspecties laten plaatsvinden. Zo blijven de procedures gekend of kunnen ze verbeterd worden.
- Ieder incident melden aan de overheid.
De beveiligings- en beschermingsmaatregelen voor kritieke infrastructuren willen elke gebeurtenis die schade aan de infrastructuur of een onderdeel ervan veroorzaakt, voorkomen of gevolgen beperken.
Het Nationaal Crisiscentrum is het contactpunt voor kritieke infrastructuren voor België en de EU.
Iedere aanbieder van essentiële diensten die de overheid identificeert, moet:
- Een beveiligingsbeleid hebben voor hun netwerk- en informatiesystemen dat technische en organisatorische maatregelen bevat om de risico’s voor de beveiliging te beheersen, incidenten te vermijden of de impact van incidenten te minimaliseren.
- Ieder beveiligingsincident bij hun netwerk- en informatiesystemen melden.
- Regelmatige interne en externe audits houden van hun netwerk- en informatiesystemen.
- Samenwerken en informatie uitwisselen met de overheid.
Het Centrum voor Cybersecurity (CCB) is het centrale contactpunt voor aanbieders van essentiele diensten voor Belgie en de EU. Het Nationaal Crisiscentrum helpt het CCB en de sectorale overheden bij de identificatie van deze aanbieders.