Texte 2011000399
Chapitre 1er.- Dispositions générales
Article 1er. La présente loi règle une matière visée à l'article 78 de la Constitution.
Art. 2.La présente loi transpose partiellement la Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection.
La DGCC, telle que définie à l'article 3, 1°, est désignée comme point de contact national pour la protection des infrastructures critiques européennes, ci-après dénommé " point de contact EPCIP ", pour l'ensemble des secteurs et sous-secteurs, pour la Belgique dans ses relations avec la Commission européenne et les Etats membres de l'Union européenne.
["1 La pr\233sente loi transpose partiellement la Directive (UE) 2016/1148 du Parlement europ\233en et du Conseil du 6 juillet 2016 concernant des mesures destin\233es \224 assurer un niveau \233lev\233 commun de s\233curit\233 des r\233seaux et des syst\232mes d'information dans l'Union."°
----------
(1L 2019-04-07/15, art. 74, 004; En vigueur : 03-05-2019)
Art. 3.Pour l'application de la présente loi et de ses arrêtés d'exécution, l'on entend par :
1°" DGCC " : Direction générale Centre de Crise du Service public fédéral Intérieur, chargée de la protection spéciale des biens et des personnes et de la coordination nationale en matière d'ordre public;
2°" OCAM " : Organe de coordination pour l'analyse de la menace institué par la loi du 10 juillet 2006 relative à l'analyse de la menace;
3°" autorité sectorielle " :
a)pour le secteur des transports : le Ministre ayant les Transports dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration [4 à l'exception de transport hauturier et transport maritime à court distance et ports pour lequel le ministre compétent pour la mobilité maritime est l'autorité sectorielle]4;
b)pour le secteur de l'énergie : le Ministre ayant l'Energie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration;
["3 c) pour le secteur des finances, \224 l'exception des op\233rateurs de plate-forme de n\233gociation au sens de l'article 3, 6\176, de la loi du 21 novembre 2017 relative aux infrastructures des march\233s d'instruments financiers et portant transposition de la Directive 2014/65/UE : la Banque nationale de Belgique (BNB) ; d) pour les op\233rateurs de plate-forme de n\233gociation au sens de l'article 3, 6\176, de la loi du 21 novembre 2017 relative aux infrastructures des march\233s d'instruments financiers et portant transposition de la Directive 2014/65/UE : l'Autorit\233 des services et march\233s financiers (FSMA) ;"°
["3 e) pour les secteurs des communications \233lectroniques et des infrastructures num\233riques : l'Institut belge des services postaux et des t\233l\233communications (I.B.P.T.) ; f) pour le secteur de la sant\233 : l'autorit\233 publique d\233sign\233e par le Roi par arr\234t\233 d\233lib\233r\233 en Conseil des ministres ; g) pour le secteur de l'eau potable : l'autorit\233 publique d\233sign\233e par le Roi par arr\234t\233 d\233lib\233r\233 en Conseil des ministres ;"°
4°" infrastructure critique " : installation, système ou partie de celui- ci, d'intérêt fédéral, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l'interruption du fonctionnement ou la destruction aurait une incidence significative du fait de la défaillance de ces fonctions;
5°" infrastructure critique nationale " : l'infrastructure critique située sur le territoire belge, dont l'interruption du fonctionnement ou la destruction aurait une incidence significative dans le pays;
6°" infrastructure critique européenne " : l'infrastructure critique nationale dont l'interruption du fonctionnement ou la destruction aurait une incidence significative sur deux Etats membres de l'Union européenne au moins [2 ou l'infrastructure critique qui n'est pas située sur le territoire belge mais sur celui d'un autre Etat membre de l'Union européenne, dont l'interruption du fonctionnement ou la destruction aurait une incidence significative sur au moins deux Etats membres de l'Union européenne, dont la Belgique]2;
7°" autres points d'intérêt fédéral " : les lieux qui ne sont pas désignés comme infrastructure critique mais qui présentent un intérêt particulier pour l'ordre public, pour la protection spéciale des personnes et des biens, pour la gestion de situations d'urgence ou pour les intérêts militaires et qui [2 font l'objet de mesures de protection prises par la DGCC]2;
8°" points d'intérêt local " : les lieux qui ne sont ni des infrastructures critiques, ni des autres points d'intérêt fédéral, mais qui présentent un intérêt particulier pour l'exécution des missions de police administrative au niveau local et qui [2 font l'objet de mesures de protection prises par le bourgmestre]2;
9°" communications électroniques " : les communications électroniques visées par la loi du 13 juin 2005 relative aux communications électroniques;
10°" exploitant " : toute personne physique ou morale responsable des investissements relatifs à ou de la gestion quotidienne d'une infrastructure critique nationale ou européenne;
11°" services de police " : les services de police visés par la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;
12°[2 "SICAD": service d'information et de communication de l'arrondissement, tel que visé par la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux]2;
["3 13\176 \"la loi du 7 avril 2019\" : la loi du 7 avril 2019 \233tablissant un cadre pour la s\233curit\233 des r\233seaux et des syst\232mes d'information d'int\233r\234t g\233n\233ral pour la s\233curit\233 publique ; - 14\176 \"s\233curit\233 des r\233seaux et syst\232mes d'information\" : la s\233curit\233 des r\233seaux et syst\232mes d'information au sens de l'article 6, 8\176 et 9\176, de la loi du 7 avril 2019 ; - 15\176 \"le secteur des infrastructures num\233riques\" : le secteur vis\233 au point 6 de l'annexe 1 de la loi du 7 avril 2019 ; - 16\176 \"le secteur de l'eau potable\" : le secteur vis\233 au point 5 de l'annexe 1 de la loi du 7 avril 2019 ; - 17\176 \"le secteur de la sant\233\" : le secteur vis\233 au point 4 de l'annexe 1 de la loi du 7 avril 2019."°
----------
(1L 2014-04-25/09, art. 2, 002; En vigueur : 07-05-2014)
(2L 2018-07-15/08, art. 41, 003; En vigueur : 05-10-2018)
(3L 2019-04-07/15, art. 75, 004; En vigueur : 03-05-2019)
(4L 2022-10-13/10, art. 28, 008; En vigueur : 01-01-2023)
Chapitre 2.- Sécurité et protection des infrastructures critiques
Section 1ère.- Champ d'application
Art. 4.§ 1er. Le présent chapitre s'applique au secteur des transports et au secteur de l'énergie en ce qui concerne la sécurité et la protection des infrastructures critiques nationales et européennes.
Toutefois, il ne s'applique pas aux installations nucléaires visées par la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, à l'exception des éléments d'une installation nucléaire destinée à la production industrielle d'électricité qui servent au transport de l'électricité.
["1 L'article 8 et les articles 12 \224 26 s'appliquent uniquement aux infrastructures critiques situ\233es sur le territoire belge"°
§ 2. Le secteur de l'Energie comporte les sous-secteurs suivants :
1°l'électricité, composée des infrastructures et installations permettant la production et le transport d'électricité, en vue de la fourniture d'électricité;
2°le pétrole, composé de la production pétrolière, du raffinage, du traitement, du stockage et du transport par oléoducs;
3°le gaz, composé de la production gazière, du raffinage, du traitement, du stockage, du transport par gazoducs et des terminaux de gaz naturel liquéfié.
Le secteur des Transports comporte les sous-secteurs suivants :
1°transport par route;
2°transport ferroviaire;
3°transport aérien;
4°navigation intérieure;
5°transport hauturier et transport maritime à courte distance et ports.
§ 3. Par dérogation au § 1er, alinéa 1er, le présent chapitre ne s'applique pas au sous-secteur du transport aérien.
Sans préjudice de l'article 2, alinéa 2, le Roi prend, par arrêté délibéré en Conseil des ministres, les mesures nécessaires, y compris l'abrogation, l'ajout, la modification ou le remplacement de dispositions légales, pour assurer la transposition de la Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection en ce qui concerne le transport aérien.
§ 4. [2 Le présent chapitre s'applique au secteur des finances, en ce compris aux opérateurs de plate-forme de négociation visés à l'article 3, 3°, d), au secteur des communications électroniques, au secteur des infrastructures numériques, au secteur de la santé et au secteur de l'eau potable, en ce qui concerne la sécurité et la protection des infrastructures critiques nationales.]2
----------
(1L 2018-07-15/08, art. 42, 003; En vigueur : 05-10-2018)
(2L 2019-04-07/15, art. 76, 004; En vigueur : 03-05-2019)
Section 2.- Identification et désignation des infrastructures critiques
Art. 5.§ 1er. [1 Afin d'identifier les infrastructures critiques relevant de sa compétence, l'autorité sectorielle se concerte au préalable avec la DGCC, et consulte, si elle l'estime utile, les représentants du secteur et les exploitants d'infrastructures critiques potentielles.
A cette même fin, l'autorité sectorielle procède à la consultation préalable des régions, pour les infrastructures critiques potentielles relevant de leurs compétences.]1
§ 2. La procédure à suivre pour l'identification des infrastructures critiques nationales et européennes est déterminée à l'annexe.
["2 \167 3. Tout au long du processus d'identification vis\233 \224 la pr\233sente section, l'autorit\233 vis\233e \224 l'article 7, \167 1er, de la loi du 7 avril 2019 est associ\233e aux concertations nationales et internationales men\233es par les autorit\233s sectorielles et la DGCC, pour les aspects de l'identification des infrastructures critiques li\233s \224 la s\233curit\233 des r\233seaux et syst\232mes d'information."°
----------
(1L 2018-07-15/08, art. 43, 003; En vigueur : 05-10-2018)
(2L 2019-04-07/15, art. 77, 004; En vigueur : 03-05-2019)
Art. 6.§ 1er. L'autorité sectorielle établit des critères sectoriels auxquels doivent répondre les infrastructures critiques nationales eu égard aux caractéristiques particulières du secteur concerné, en concertation avec la DGCC et, le cas échéant, après consultation des régions concernées.
§ 2. L'autorité sectorielle établit des critères sectoriels auxquels doivent répondre les infrastructures critiques européennes eu égard aux caractéristiques particulières du secteur concerné, en concertation avec la DGCC et, le cas échéant, après consultation des régions concernées.
§ 3. Les critères intersectoriels auxquels doivent répondre les infrastructures critiques nationales et européennes sont :
1°le nombre potentiel de victimes, notamment le nombre de morts ou de blessés, ou
2°l'incidence potentielle économique, notamment l'ampleur des pertes économiques et/ou de la dégradation de produits ou de services, y compris l'incidence sur l'environnement, ou
3°l'incidence potentielle sur la population, notamment l'incidence sur la confiance de la population, les souffrances physiques et la perturbation de la vie quotidienne, y compris la disparition de services essentiels.
§ 4. L'autorité sectorielle établit les niveaux d'incidence ou les seuils applicables aux critères intersectoriels auxquels doivent répondre les infrastructures critiques nationales, en concertation avec la DGCC et, le cas échéant, après consultation des régions concernées.
Les niveaux d'incidence ou les seuils des critères intersectoriels sont fondés sur la gravité de l'impact de l'interruption du fonctionnement ou de la destruction d'une infrastructure donnée.
§ 5. L'autorité sectorielle établit au cas par cas les niveaux d'incidence ou les seuils applicables aux critères intersectoriels auxquels doivent répondre les infrastructures critiques européennes, en concertation avec la DGCC, avec les Etats membres concernés et, le cas échéant, après consultation des régions concernées.
Les niveaux d'incidence ou les seuils des critères intersectoriels sont fondés sur la gravité de l'impact de l'interruption du fonctionnement ou de la destruction d'une infrastructure donnée.
Art. 7.§ 1er. [1 L'autorité sectorielle établit une liste des infrastructures critiques nationales potentielles identifiées et la communique à la DGCC et, le cas échéant, aux régions concernées.
Elle joint à cette liste les critères sectoriels et intersectoriels, les niveaux d'incidence ou les seuils qu'elle a établis en application de l'article 6 §§ 1er, 3, et 4 et en expose les motifs.
Elle procède ensuite à la désignation des infrastructures critiques nationales, après avis de la DGCC et, le cas échéant, après consultation des régions concernées.]1
§ 2. [1 L'autorité sectorielle établit une liste des infrastructures critiques européennes potentielles identifiées et la communique à la DGCC et, le cas échéant, aux régions concernées.
Elle joint à cette liste les critères sectoriels et intersectoriels, les niveaux d'incidence ou les seuils qu'elle a établis en application de l'article 6, §§ 2, 3, et 5 et en expose les motifs.
Le point de contact EPCIP est chargé, en collaboration avec l'autorité sectorielle et, le cas échéant, avec les régions concernées, de mener des discussions bilatérales ou multilatérales avec les Etats membres de l'Union européenne concernés, tant en ce qui concerne les infrastructures critiques européennes potentielles identifiées sur le territoire belge que celles identifiées par les autres Etats membres sur leur territoire.
Lorsqu'un accord est intervenu sur les infrastructures critiques européennes sur le territoire belge, l'autorité sectorielle procède à la désignation de ces infrastructures après avis de la DGCC et, le cas échéant, après consultation des régions concernées.]1
["1 \167 3. Lorsqu'aucune infrastructure critique situ\233e sur le territoire belge n'a \233t\233 identifi\233e au sein d'un secteur ou d'un sous-secteur, l'autorit\233 sectorielle comp\233tente expose dans une lettre \224 destination de la DGCC les raisons qui ont abouti \224 cette absence d'identification. \167 4. Chaque autorit\233 sectorielle proc\232de au renouvellement du processus d'identification tel que d\233crit aux \167\167 1er \224 3, pour ce qui concerne les infrastructures critiques relevant de son secteur, au minimum une fois tous les cinq ans."°
----------
(1L 2018-07-15/08, art. 44, 003; En vigueur : 05-10-2018)
Art. 8.[1 L'autorité sectorielle notifie à l'exploitant la décision motivée de la désignation de son infrastructure comme infrastructure critique et communique une copie de cette décision avec mention de la date de notification à la DGCC.
La DGCC communique également à l'OCAM les informations utiles pour l'accomplissement de l'analyse de la menace visée à l'article 10, en ce compris la date à laquelle la notification a eu lieu.]1
["1 La DGCC informe le bourgmestre de la commune sur le territoire de laquelle se trouve l'infrastructure critique de cette d\233signation. Dans les cas vis\233s \224 l'article 13, \167 7, la DGCC informe de cette d\233signation le gouverneur de la province sur le territoire de laquelle se situe l'infrastructure critique ou, lorsque cette derni\232re se situe sur le territoire de l'agglom\233ration bruxelloise, l'autorit\233 comp\233tente en vertu de l'article 48 de la loi sp\233ciale du 12 janvier 1989 relative aux Institutions bruxelloises."°
["2 Dans le cadre de l'application de l'article 126/3 de la loi du 13 juin 2005 relative aux communications \233lectroniques, apr\232s la d\233signation d'une infrastructure critique et au moins annuellement, la DGCC fournit au service d\233sign\233 par le Roi, la commune dans laquelle l'infrastructure critique est situ\233e ou, le cas \233ch\233ant, une liste des communes dans lesquelles les infrastructures critiques sont situ\233es."°
----------
(1L 2018-07-15/08, art. 45, 003; En vigueur : 05-10-2018)
(2L 2022-07-20/14, art. 18, 007; En vigueur : 18-08-2022)
Art. 9.L'autorité sectorielle assure le suivi permanent du processus d'identification et de désignation des infrastructures critiques, et le renouvelle en tout cas à première demande de la DGCC et dans le délai qu'elle fixe, notamment en fonction des obligations imposées par l'Union européenne.
Art. 10.§ 1er. [1 Dans un délai de neuf mois à compter de la notification de la désignation d'une infrastructure comme infrastructure critique, l'OCAM effectue une analyse de la menace pour ladite infrastructure et pour le sous-secteur dont elle fait partie.
Cette analyse est renouvelée au minimum une fois tous les cinq ans.]1
§ 2. L'analyse de la menace au sens du présent chapitre porte sur tout type de menace qui entre dans les compétences des services d'appui visés à l'article 2, 2°, de la loi du 10 juillet 2006 relative à l'analyse de la menace.
["1 Conform\233ment \224 l'article 8, 1\176, de la loi du 10 juillet 2006 relative \224 l'analyse de la menace, l'analyse de la menace consiste en une \233valuation strat\233gique commune. Sans pr\233judice de l'article 8 de la loi du 11 d\233cembre 1998 relative \224 la classification et aux habilitations, attestations et avis de s\233curit\233, cette \233valuation est communiqu\233e \224 l'exploitant afin de lui permettre d'int\233grer les conclusions de cette \233valuation dans l'analyse des risques qu'il est tenu d'effectuer en vertu de l'article 13, \167 3, 2\176."°
----------
(1L 2018-07-15/08, art. 46, 003; En vigueur : 05-10-2018)
Art. 11.§ 1er. En fonction des obligations imposées par l'Union européenne, l'autorité sectorielle fait rapport écrit au point de contact EPCIP, à la demande de celui-ci, concernant les infrastructures critiques européennes relevant de son secteur et les types de risques rencontrés.
§ 2. [1 ...]1
----------
(1L 2018-07-15/08, art. 47, 003; En vigueur : 05-10-2018)
Section 3.Mesures internes de sécurité des infrastructures critiques
Art. 12.§ 1er. L'exploitant d'une infrastructure critique désigne un point de contact pour la sécurité et en communique les données de contact à l'autorité sectorielle dans un délai de six mois à dater de la notification de la désignation comme infrastructure critique, ainsi qu'après chaque mise à jour de ces données.
["1 Le point de contact pour la s\233curit\233 exerce la fonction de point de contact vis-\224-vis de l'autorit\233 sectorielle, de la DGCC, du bourgmestre, des services de police et de tout autre autorit\233 ou service public comp\233tent pour toute question li\233e \224 la s\233curit\233 et la protection de l'infrastructure."°
§ 2. Lorsqu'il existe déjà un point de contact pour la sécurité en vertu de dispositions nationales ou internationales applicables dans un secteur ou un sous-secteur, l'exploitant d'une infrastructure critique en communique les coordonnées à l'autorité sectorielle.
§ 3. Le point de contact pour la sécurité est disponible à tout moment.
----------
(1L 2018-07-15/08, art. 48, 003; En vigueur : 05-10-2018)
Art. 13.§ 1er. L'exploitant d'une infrastructure critique élabore un plan de sécurité de l'exploitant, ci-après dénommé P.S.E., visant à prévenir, à atténuer et à neutraliser les risques d'interruption du fonctionnement ou de destruction de l'infrastructure critique par la mise au point de mesures matérielles et organisationnelles internes.
§ 2. Le P.S.E. comprend au minimum :
1°des mesures internes de sécurité permanentes, [2 devant être appliquées]2 en toutes circonstances;
2°des mesures internes de sécurité graduelles à appliquer en fonction de la menace.
Pour un secteur déterminé ou, le cas échéant, par sous-secteur, le Roi peut détailler ces mesures et imposer d'inclure au P.S.E. certaines informations.
§ 3. La procédure d'élaboration du P.S.E. comprend au moins les étapes suivantes :
1°l'inventaire et la localisation des points de l'infrastructure qui, s'ils étaient touchés, pourraient causer l'interruption de son fonctionnement ou sa destruction;
2°une analyse des risques, consistant en une identification des principaux scénarios de menaces potentielles pertinents d'actes intentionnels visant à interrompre le fonctionnement de l'infrastructure critique ou à la détruire;
3°une analyse des vulnérabilités de l'infrastructure critique et des impacts potentiels de l'interruption de son fonctionnement ou de sa destruction en fonction des différents scénarios retenus;
4°pour chaque scénario de l'analyse des risques, l'identification, la sélection et la désignation par ordre de priorité des mesures de sécurité internes.
§ 4. L'exploitant élabore le P.S.E. dans un délai d'un an à dater de la notification de la désignation de son infrastructure comme infrastructure critique.
["2 Dans un d\233lai de vingt-quatre mois au plus tard \224 dater de la notification de la d\233signation de son infrastructure comme infrastructure critique, il met en oeuvre les mesures internes de s\233curit\233 pr\233vues dans le P.S.E. Pour un secteur d\233termin\233 ou le cas \233ch\233ant par sous-secteur, l'autorit\233 sectorielle comp\233tente peut moduler ce d\233lai en fonction du type de mesures pr\233vues dans le P.S.E."°
§ 5. Pour les ports qui tombent sous le champ d'application [4 du chapitre 2 du titre 5 de livre 2 du Code belge de la Navigation, le plan de sûreté portuaire imposé par ce titre]4 est assimilé au P.S.E.
["1 \167 5bis. Pour les infrastructures critiques relevant du secteur des finances [3 \224 l'exception de celles exploit\233es par un op\233rateur de plate-forme de n\233gociation"° , les mesures de sécurité, telles que les politiques de continuité, les plans de continuité et les plans de sécurité physique et logique, que les entreprises sont tenues de mettre en place dans le cadre du statut de contrôle prudentiel qui leur est applicable et/ou dans le cadre de la surveillance (oversight) dont elles font l'objet par la Banque nationale de Belgique, sont assimilées au P.S.E.]1
§ 6. L'exploitant est responsable d'organiser des exercices et d'actualiser le P.S.E., en fonction des enseignements des exercices ou de toute modification de l'analyse des risques. [1 Pour le secteur des finances [3 à l'exception des infrastructures critiques exploitées par un opérateur de plate-forme de négociation]3, les exercices et les mises à jour des mesures de sécurité visées au paragraphe 5bis, sont assimilés aux exercices et mises à jour du P.S.E. visés au présent paragraphe.]1
Le Roi détermine pour un secteur ou un sous-secteur déterminé, la fréquence des exercices et des mises à jour du P.S.E.
Le Roi détermine pour un secteur déterminé ou, le cas échéant, par sous-secteur, les modalités de la participation des services de police aux exercices organisés par l'exploitant.
["2 \167 7. Pour un secteur d\233termin\233 ou, le cas \233ch\233ant, par sous-secteur, le Roi peut imposer aux exploitants l'\233laboration d'un plan interne d'urgence, visant \224 limiter, au niveau de l'infrastructure critique, les cons\233quences n\233fastes d'une situation d'urgence par la mise au point de mesures mat\233rielles et organisationnelles d'urgence adapt\233es."°
----------
(1L 2014-04-25/09, art. 3, 002; En vigueur : 07-05-2014)
(2L 2018-07-15/08, art. 49, 003; En vigueur : 05-10-2018)
(3L 2019-04-07/15, art. 78, 004; En vigueur : 03-05-2019)
(4L 2019-05-08/14, art. 95, 005; En vigueur : 01-09-2020)
Art. 13/1.[1 § 1er. Pour les infrastructures critiques relevant du secteur de l'Energie à l'exception de celles visées à l'article 15bis de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, l'exploitant d'une infrastructure critique procède, à ses frais, à un audit interne annuel des mesures de sécurité contenues dans le P.S.E.
L'exploitant d'une infrastructure critique visé au paragraphe 1er fournit les rapports d'audit interne au service d'inspection de l'autorité sectorielle désigné par le Roi dans les 30 jours suivant la fin de l'audit interne.
§ 2. L'exploitant d'une infrastructure critique visé au paragraphe 1er fait procéder, au moins tous les trois ans et à ses frais, à un audit externe par un organisme d'évaluation de la conformité accrédité par l'autorité nationale d'accréditation ou par un organisme contresignant les accords d'accréditation de la "European Cooperation for Accreditation".
L'exploitant d'une infrastructure critique visé au paragraphe 1er fournit les rapports d'audit externe au service d'inspection de l'autorité sectorielle désigné par le Roi dans les 30 jours suivant la réception des rapports d'audit.
§ 3. L'exploitant d'une infrastructure critique visé au paragraphe 1er effectue son premier audit interne au plus tard trois mois après l'élaboration de son P.S.E. Il effectue son premier audit externe au plus tard douze mois après la réalisation de son premier audit interne.
§ 4. L'audit externe visé au paragraphe 2 peut être assimilé à l'audit interne visé au paragraphe 1er.]1
----------
(1Inséré par L 2023-06-11/08, art. 2, 009; En vigueur : 01-08-2024)
Art. 13/2.[1 § 1er. Le Roi peut déterminer pour les infrastructures critiques relevant du secteur de l'Energie à l'exception de celles visées à l'article 15bis de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire:
1°les conditions générales d'accréditation pour des organismes d'évaluation de la conformité;
2°les exigences sectorielles supplémentaires auxquelles l'organisme d'évaluation de la conformité peut être soumis;
3°les règles applicables à l'audit interne;
4°les règles applicables à l'audit externe;
5°les conditions de toute reconnaissance accordée par l'autorité sectorielle à un organisme d'évaluation de la conformité.
§ 2. Pour les infrastructures critiques visées au paragraphe 1er, la liste des organismes d'évaluation de la conformité accrédités ou reconnus est disponible auprès de l'autorité sectorielle, qui la tient à jour.]1
----------
(1Inséré par L 2023-06-11/08, art. 3, 009; En vigueur : 31-08-2023)
Art. 14.§ 1er. [1 Sans préjudice des dispositions légales ou réglementaires imposant, dans un secteur ou un sous-secteur déterminé, d'informer des services déterminés, lorsqu'un événement se produit, de nature à menacer la sécurité de l'infrastructure critique, l'exploitant est tenu de prévenir immédiatement le SICAD, via les numéros d'urgence 101 ou 112, le service désigné par l'autorité sectorielle et la DGCC.]1
["1 \167 1er /1. Lorsque la notification de l'\233v\233nement vis\233 au paragraphe 1er ne se fait pas depuis l'infrastructure critique concern\233e, la police f\233d\233rale fournit aux points de contact pour la s\233curit\233 d\233sign\233s en vertu de l'article 12 les informations n\233cessaires leur permettant de contacter directement le SICAD territorialement comp\233tent."°
§ 2. Conformément aux modalités déterminées par le ministre de l'Intérieur, le [1 SICAD]1 avertit la DGCC de tout événement dont il a connaissance et qui est de nature à menacer la sécurité de l'infrastructure critique [2 et, le cas échéant, l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019, pour ce qui concerne la sécurité des réseaux et systèmes d'information]2.
§ 3. Si l'événement est de nature à avoir pour conséquence l'interruption du fonctionnement ou la destruction de l'infrastructure critique concernée, le point de contact EPCIP prévient l'autorité sectorielle compétente et, en cas d'infrastructure critique européenne, l'autorité compétente des Etats membres concernés.
----------
(1L 2018-07-15/08, art. 50, 003; En vigueur : 05-10-2018)
(2L 2019-04-07/15, art. 79, 004; En vigueur : 03-05-2019)
Section 4.- Mesures externes de protection des infrastructures critiques
Art. 15.Sans préjudice des compétences des autorités judiciaires pour prendre des mesures de police judiciaire, la DGCC prend des mesures externes de protection des infrastructures critiques [1 ...]1.
["1 En fonction du type de menace, ces mesures sont prises, soit sur la base d'une analyse vis\233e \224 l'article 8, 2\176, de la loi du 10 juillet 2006 relative \224 l'analyse de la menace, r\233alis\233e \224 sa demande ou d'office par l'OCAM, soit, sur la base d'une analyse r\233alis\233e par les services de la police f\233d\233rale ou les services de renseignement et de s\233curit\233 pour les menaces autres que celles vis\233es \224 l'article 3 de la loi pr\233cit\233e et relevant de la comp\233tence de ces derniers."°
----------
(1L 2018-07-15/08, art. 51, 003; En vigueur : 05-10-2018)
Art. 16.Si cela s'avère nécessaire au maintien de l'ordre public sur le territoire de sa commune, le bourgmestre prend des mesures externes de protection pour les infrastructures critiques, sans que ces mesures puissent être en contradiction avec les décisions de la DGCC.
Art. 17.§ 1er. Les mesures externes de protection visées aux articles 15 et 16 sont exécutées par les services de police, sous la coordination et la direction opérationnelles de l'officier de police désigné en application des articles 7/1 à 7/3 de la loi sur la fonction de police.
§ 2. La DGCC adresse ses ordres, instructions et directives aux services de police au nom du Ministre de l'Intérieur, respectivement en application des articles 61, 62 et 97, alinéa 1er de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux.
§ 3. Le bourgmestre adresse ses ordres, instructions et directives à la police locale, en application de l'article 42 de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, ou, le cas échéant, au service déconcentré de la police fédérale chargé de la police de l'aéronautique, de la police de la navigation, de la police des chemins de fer ou de la police de la route.
Section 5.- Echange d'informations
Art. 18.[2 La DGCC, les services de police, l'OCAM et, le cas échéant, l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019 pour ce qui concerne la sécurité des réseaux et systèmes d'information]2[1 s'échangent]1 les informations utiles pour la prise de mesures externes de protection des infrastructures critiques.
----------
(1L 2018-07-15/08, art. 52, 003; En vigueur : 05-10-2018)
(2L 2019-04-07/15, art. 80, 004; En vigueur : 03-05-2019)
Art. 19.[1 L'exploitant, le point de contact pour la sécurité, l'autorité sectorielle, la DGCC, l'OCAM, les services de police et, le cas échéant, l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019 pour ce qui concerne la sécurité des réseaux et systèmes d'information,]1 collaborent en tout temps, par un échange adéquat d'informations concernant la sécurité et la protection de l'infrastructure critique, afin de veiller à une concordance entre les mesures internes de sécurité et les mesures externes de protection.
----------
(1L 2019-04-07/15, art. 81, 004; En vigueur : 03-05-2019)
Art. 20.Le Roi [1 peut déterminer]1, pour un secteur déterminé ou, le cas échéant, par sous-secteur, les informations [1 ...]1 qui peuvent être pertinentes pour l'accomplissement des missions de la DGCC, des services de police et de l'OCAM en matière de protection des infrastructures critiques et les modalités d'accès à ces informations.
----------
(1L 2018-07-15/08, art. 53, 003; En vigueur : 05-10-2018)
Art. 21.La DGCC peut communiquer à l'exploitant des informations relatives à la menace et aux mesures externes de protection qui permettent à l'exploitant d'appliquer ses mesures internes de sécurité graduelles de manière appropriée et de les mettre en concordance avec les mesures externes de protection.
["1 La DGCC peut communiquer une copie de ces informations au service d\233sign\233 par l'autorit\233 sectorielle concern\233e."°
----------
(1L 2018-07-15/08, art. 54, 003; En vigueur : 05-10-2018)
Art. 22.[1[2 L'autorité sectorielle, la DGCC, l'OCAM, les services de police et l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019,]2 limitent l'accès aux informations visées au chapitre 2, aux personnes ayant besoin d'en connaître et d'y avoir accès pour l'exercice de leurs fonctions ou de leur mission s'inscrivant dans une finalité de sécurité et/ou de protection des infrastructures critiques.]1
----------
(1L 2018-07-15/08, art. 55, 003; En vigueur : 05-10-2018)
(2L 2019-04-07/15, art. 82, 004; En vigueur : 03-05-2019)
Art. 22bis.[1 Pour le secteur des finances [2 à l'exception du sous-secteur des opérateurs de plate-forme de négociation]2, la Banque nationale de Belgique communique au Ministre des finances un rapport relatif aux tâches qu'elle accomplit en vertu de la présente loi selon une périodicité appropriée n'excédant toutefois pas trois ans.
La Banque nationale de Belgique l'informe toutefois sans délai de toute menace concrète et imminente pesant sur une infrastructure critique du secteur des finances.]1
["2 Pour les op\233rateurs de plate-forme de n\233gociation, la FSMA communique au ministre des Finances un rapport relatif aux t\226ches qu'elle accomplit en vertu de la pr\233sente loi selon une p\233riodicit\233 appropri\233e n'exc\233dant toutefois pas trois ans. La FSMA l'informe toutefois sans d\233lai de toute menace concr\232te et imminente pesant sur une infrastructure critique relevant de son secteur."°
----------
(1Inséré par L 2014-04-25/09, art. 4, 002; En vigueur : 07-05-2014)
(2L 2019-04-07/15, art. 83, 004; En vigueur : 03-05-2019)
Art. 23.§ 1er. Sans préjudice des articles 20 et 25, § 1er, 2°, l'exploitant est tenu au secret professionnel en ce qui concerne le contenu du P.S.E. et ne peut donner accès au P.S.E. qu'aux personnes qui ont besoin d'en connaître et d'y avoir accès pour l'exercice de leurs fonctions ou de leur mission.
["1 Il est tenu au m\234me secret en ce qui concerne toutes les informations port\233es \224 sa connaissance en application des articles 5 \224 10, de l'article 13, \167\167 6 et 7, et des articles 14, 19, 21 et 25."°
§ 2. Les infractions au § 1er sont punies des peines prévues à l'article 458 du Code pénal.
----------
(1L 2018-07-15/08, art. 56, 003; En vigueur : 05-10-2018)
Art. 23/1.[1 La loi du 11 avril 1994 relative à la publicité de l'administration et la loi du 5 août 2006 relative à l'accès du public à l'information en matière d'environnement ne s'appliquent pas aux informations, documents ou données, sous quelque forme que ce soit, visés à l'article 22.]1
----------
(1Inséré par L 2018-07-15/08, art. 57, 003; En vigueur : 05-10-2018)
Section 6.- Contrôle et sanctions
Art. 24.§ 1er. Sans préjudice des attributions des officiers de police judiciaire, un service d'inspection par secteur, ou, le cas échéant, par sous-secteur, est mis en place, chargé du contrôle du respect des dispositions de la présente loi et de ses arrêtés d'exécution par les exploitants dudit secteur ou sous-secteur.
§ 2. Le Roi désigne, pour un secteur déterminé ou, le cas échéant, par sous-secteur, le service d'inspection compétent pour effectuer le contrôle.
Il peut fixer les modalités du contrôle.
["1 Pour le secteur des finances [4 \224 l'exception du sous-secteur des op\233rateurs de plate-forme de n\233gociation"° , la Banque nationale de Belgique est désignée en tant que service d'inspection chargé de contrôler l'application des dispositions de la présente loi et de ses arrêtés d'exécution.
A cette fin, la Banque nationale de Belgique peut faire usage des informations dont elle dispose dans le cadre de ses missions légales de contrôle prudentiel et de surveillance (oversight) et tient compte, notamment, des constats effectués dans ce cadre. De même, dans le cadre de ses missions légales de contrôle prudentiel et de surveillance (oversight), la Banque nationale de Belgique peut utiliser les informations dont elle dispose en application de la présente loi.]1
["5 Pour le secteur des communications \233lectroniques et des infrastructures num\233riques, l'Institut belge des services postaux et des t\233l\233communications est d\233sign\233 en tant que service d'inspection charg\233 de contr\244ler l'application des dispositions de la pr\233sente loi et de ses arr\234t\233s d'ex\233cution."°
["4 L'Autorit\233 des services et march\233s financiers est d\233sign\233e en tant que service d'inspection charg\233 de contr\244ler l'application des dispositions de la pr\233sente loi et de ses arr\234t\233s d'ex\233cution, pour les op\233rateurs de plate-forme de n\233gociation au sens de l'article 3, 6\176, de la loi du 21 novembre 2017 relative aux infrastructures des march\233s d'instruments financiers et portant transposition de la Directive 2014/65/UE. Le pr\233sent article ne porte pas pr\233judice \224 la possibilit\233 pour la FSMA, pour l'ex\233cution des missions qui lui sont confi\233es par la pr\233sente loi de charger un prestataire externe sp\233cialis\233 de l'ex\233cution de t\226ches d\233termin\233es ou d'obtenir l'assistance d'un tel prestataire."°
["6 Sans pr\233judice de l'article 15bis de la loi du 15 avril 1994 relative \224 la protection de la population et de l'environnement contre les dangers r\233sultant des rayonnements ionisants et relative \224 l'Agence f\233d\233rale de Contr\244le nucl\233aire, la Direction g\233n\233rale Energie est d\233sign\233e comme le service d'inspection charg\233 de contr\244ler l'application des dispositions de la pr\233sente loi et de ses arr\234t\233s d'ex\233cution pour le secteur de l'\233nergie. Pour l'ex\233cution des t\226ches qui lui sont confi\233es par la pr\233sente loi, la Direction g\233n\233rale Energie peut confier \224 des prestataires externes l'ex\233cution de t\226ches bien d\233finies ou se faire assister par de tels prestataires. Le Roi d\233termine les conditions et les r\232gles suppl\233mentaires de recours \224 des prestataires externes dans l'ex\233cution des t\226ches confi\233es \224 la Direction g\233n\233rale Energie."°
§ 3. Les membres du service d'inspection [3 qui sont chargés des missions de contrôle visées au paragraphe 1er]3 sont dotés d'une carte de légitimation dont le modèle est fixé par le Roi, par secteur.
["2 Le pr\233sent paragraphe n'est pas applicable au service d'inspection d\233sign\233 en vertu du paragraphe 2, alin\233a 3."°
§ 4. Le Roi peut déterminer les conditions de formation auxquelles doivent répondre les membres du service d'inspection pour un secteur ou un sous-secteur déterminé.
----------
(1L 2014-04-25/09, art. 5, 002; En vigueur : 07-05-2014)
(2L 2014-04-25/09, art. 6, 002; En vigueur : 07-05-2014)
(3L 2018-07-15/08, art. 58, 003; En vigueur : 05-10-2018)
(4L 2019-04-07/15, art. 84, 004; En vigueur : 03-05-2019)
(5L 2021-12-21/05, art. 219, 006; En vigueur : 10-01-2022)
(6L 2023-06-11/08, art. 4, 009; En vigueur : 31-08-2023)
Art. 25.§ 1er. Dans l'exercice de leur mission, les membres du service d'inspection peuvent, à tout moment :
1°pénétrer sans avertissement préalable, sur présentation de leur carte de légitimation, dans tous les lieux de l'infrastructure critique soumis à leur contrôle; ils n'ont accès aux locaux habités que moyennant autorisation préalable délivrée par un juge du tribunal de police;
2°prendre connaissance sur place du P.S.E. et de tout acte, tout document et toute autre source d'informations nécessaires à l'exercice de leur mission;
3°procéder à tout examen, contrôle et audition, et requérir toutes les informations qu'ils estiment nécessaires à l'exercice de leur mission.
§ 2. Le Roi peut, pour un secteur ou un sous-secteur déterminé, autoriser le service d'inspection à se faire remettre une copie du P.S.E. et des actes, documents ou autres sources d'informations que ce service estime nécessaires à l'exercice de sa mission. Le Roi peut également fixer les modalités selon lesquelles la copie est remise à ce service.
§ 3. Sur la base des constatations réalisées, le service d'inspection peut donner des recommandations, des instructions ou des avertissements à l'exploitant concernant le respect des dispositions de la présente loi et de ses arrêtés d'exécution. [1 Il peut fixer un délai pour se mettre en règle. Le service d'inspection ou les membres de ce service visés à l'article 24, § 3, alinéa 1er, peuvent dresser des procès-verbaux.]1
["1 \167 4. Apr\232s chaque inspection, le service d'inspection r\233dige un rapport d'inspection."°
----------
(1L 2018-07-15/08, art. 59, 003; En vigueur : 05-10-2018)
Art. 26.§ 1er. Est puni d'une peine d'emprisonnement de huit jours à un an et d'une amende de 26 euros à 10.000 euros ou de l'une de ces peines seulement l'exploitant qui ne respecte pas les obligations imposées par ou en vertu de la présente loi relatives aux mesures internes de sécurité et à l'échange d'informations.
En cas de récidive, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de quinze jours à trois ans.
§ 2. Est puni d'une peine d'emprisonnement de huit jours à un mois et d'une amende de 26 euros à 1.000 euros ou de l'une de ces peines seulement, quiconque empêche ou entrave volontairement l'exécution du contrôle effectué par les membres du service d'inspection, refuse de communiquer les informations qui lui sont demandées à l'occasion de ce contrôle, ou communique sciemment des informations inexactes ou incomplètes.
En cas de récidive, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de quinze jours à un an.
§ 3. Les dispositions du Livre 1er du Code pénal, en ce compris le chapitre VII et l'article 85, sont applicables auxdites infractions.
Chapitre 3.- Protection des autres points d'intérêt fédéral et des points d'intérêt local
Art. 27.§ 1er. Sans préjudice des compétences des autorités judiciaires pour prendre des mesures de police judiciaire, la DGCC prend des mesures de protection externes pour les autres points d'intérêt fédéral.
§ 2. Si cela s'avère nécessaire au maintien de l'ordre public sur le territoire de sa commune, le bourgmestre prend des mesures externes de protection pour les autres points d'intérêt fédéral, sans que ces mesures puissent être en contradiction avec les décisions de la DGCC.
§ 3. Sans préjudice des compétences des autorités judiciaires pour prendre des mesures de police judiciaire, le bourgmestre prend des mesures de protection externes pour les points d'intérêt local.
Art. 28.La DGCC, les services de police et l'OCAM récoltent les informations utiles pour la prise de mesures de protection externes des autres points d'intérêt fédéral et les services de police récoltent les informations utiles qui présentent un intérêt concret pour la prise de mesures de protection externe des points d'intérêt local.
Art. 29.§ 1er. Les mesures externes de protection visées à l'article 27 sont exécutées par les services de police, sous la coordination et la direction opérationnelles de l'officier de police désigné en application des articles 7/1 à 7/3 de la loi sur la fonction de police.
§ 2. La DGCC adresse ses ordres, instructions et directives aux services de polices au nom du Ministre de l'Intérieur, respectivement en application des articles 61, 62 et 97, alinéa 1er de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux.
§ 3. Le bourgmestre adresse ses ordres, instructions et directives à la police locale, en application de l'article 42 de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, ou, le cas échéant, au service déconcentré de la police fédérale chargé de la police de l'aéronautique, de la police de la navigation, de la police des chemins de fer ou de la police de la route.
Chapitre 4.- Modification de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire
Art. 30.Dans le chapitre III de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, il est inséré un article 15bis rédigé comme suit :
" Art. 15bis. Conformément à l'article 24 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques et à ses arrêtés d'exécution, l'Agence est chargée de contrôler l'application des dispositions de ladite loi aux éléments d'une installation nucléaire destinée à la production industrielle d'électricité, qui servent au transport de l'électricité et qui ont été désignés comme infrastructure critique en vertu de la loi du ... susmentionnée.
Les modalités du contrôle sont réglées par le Roi. "
Chapitre 5.- Dispositions finales
Art. 31.Le Roi prend, par arrêté délibéré en Conseil des ministres, les mesures nécessaires, y compris l'abrogation, l'ajout, la modification ou le remplacement de dispositions légales, pour assurer la transposition des directives européennes concernant les infrastructures critiques.
Il peut, par arrêté délibéré en Conseil des ministres, rendre applicables en tout ou en partie les dispositions du chapitre 2 et de ses arrêtés d'exécution à d'autres secteurs que ceux visés à l'article 4, § 2, en ce qui concerne les infrastructures critiques nationales.
Art. 32.La présente loi entre en vigueur le jour de sa publication au Moniteur belge.
Annexe.
Art. N1.Procédure applicable pour l'identification des infrastructures critiques nationales et européennes
L'identification des infrastructures critiques nationales et européennes est soumise aux étapes suivantes :
A. Identification des infrastructures critiques nationales
I. L'autorité sectorielle applique les critères sectoriels visés à l'article 6, § 1er, afin d'opérer une première sélection parmi les infrastructures existant au sein de son secteur.
II. L'autorité sectorielle applique la définition de l'infrastructure critique nationale visée à l'article 3, 5° à la sélection effectuée lors de la première étape et dresse une liste des infrastructures critiques nationales potentielles ainsi identifiées.
La gravité de l'incidence est déterminée en fonction des caractéristiques du secteur concerné, sur la base des critères intersectoriels visés à l'article 6, §§ 3 et 4. Il est tenu compte de l'existence de solutions de remplacement ainsi que de la durée de l'interruption/de la reprise d'activité.
B. Identification des infrastructures critiques européennes [1 situées sur le territoire belge]1
I. L'autorité sectorielle applique à la liste des infrastructures critiques nationales identifiées les critères sectoriels visés à l'article 6, § 2. Si l'infrastructure répond à ces critères, elle est soumise à l'étape suivante de la procédure.
II. L'autorité sectorielle applique ensuite l'élément transfrontalier de la définition de l'infrastructure critique européenne visée à l'article 3, 6°. Si l'infrastructure répond à cette définition, elle est soumise à l'étape suivante de la procédure.
III. L'autorité sectorielle applique les critères intersectoriels visés à l'article 6, §§ 3 et 5 aux infrastructures critiques européennes potentielles restantes.
Les critères intersectoriels tiennent compte des éléments suivants : la gravité de l'impact et l'existence de solutions de remplacement, ainsi que la durée de l'arrêt/de la reprise d'activité.
IV. L'identification des infrastructures critiques européennes potentielles qui franchissent toutes les étapes de cette procédure n'est communiquée qu'aux Etats membres susceptibles d'être affectés significativement par lesdites infrastructures.
["1 C. Identification des infrastructures critiques europ\233ennes non situ\233es sur le territoire belge I. L'autorit\233 sectorielle identifie les services de son secteur qui sont indispensables au maintien, en Belgique, des fonctions vitales de la soci\233t\233, de la sant\233, de la s\251ret\233, de la s\233curit\233 et du bien-\234tre \233conomique ou social des citoyens qui sont fournis par le biais d'infrastructures critiques situ\233es sur le territoire d'un autre Etat membre de l'Union europ\233enne et applique, dans la mesure du possible, \224 la liste des infrastructures identifi\233es, les crit\232res sectoriels vis\233s \224 l'article 6, \167 2. Si les infrastructures r\233pondent \224 ces crit\232res, elles sont soumises \224 l'\233tape suivante de la proc\233dure. II. L'autorit\233 sectorielle applique, dans la mesure du possible, les crit\232res intersectoriels vis\233s \224 l'article 6, \167\167 3 et 5 aux infrastructures critiques europ\233ennes potentielles restantes Les crit\232res intersectoriels tiennent compte des \233l\233ments suivants: la gravit\233 de l'impact et l'existence de solutions de remplacement, ainsi que la dur\233e de l'arr\234t/de la reprise d'activit\233. III. L'identification des infrastructures critiques europ\233ennes potentielles qui franchissent toutes les \233tapes de cette proc\233dure n'est communiqu\233e qu'aux Etats membres sur le territoire desquels ces derni\232res se situent."°
----------
(1L 2018-07-15/08, art. 60, 003; En vigueur : 05-10-2018)