1 JUILLET 2011. - Loi relative à la sécurité et la protection des infrastructures critiques (NOTE : art. 13/1 inséré dans le futur par L2023-06-11/08, art. 2; En vigueur : 01-08-2024)(NOTE : Consultation des versions antérieures à partir du 15-07-2011 et mise à jour au 21-08-2023)
CHAPITRE 1er. - Dispositions générales
Art. 1-3
CHAPITRE 2. - Sécurité et protection des infrastructures critiques
Section 1re. - Champ d'application
Art. 4
Section 2. - Identification et désignation des infrastructures critiques
Art. 5-11
Section 3. Mesures internes de sécurité des infrastructures critiques
Art. 12-13
Art. 13/1 DROIT FUTUR
Art. 13/2, 14
Section 4. - Mesures externes de protection des infrastructures critiques
Art. 15-17
Section 5. - Echange d'informations
Art. 18-22, 22bis, 23, 23/1
Section 6. - Contrôle et sanctions
Art. 24-26
CHAPITRE 3. - Protection des autres points d'intérêt fédéral et des points d'intérêt local
Art. 27-29
CHAPITRE 4. - Modification de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire
Art. 30
CHAPITRE 5. - Dispositions finales
Art. 31-32
ANNEXE.
Art. N
2011014317 2013011083 2014011429 2014014066 2016014084 2017012133 2017020420 2018011520 2018031907 2018203846 2019041284 2020203270 2022030025 2023045474 2024003118
CHAPITRE 1er. - Dispositions générales
Article 1er. La présente loi règle une matière visée à l'article 78 de la Constitution.
Art.2.La présente loi transpose partiellement la Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection.
La DGCC, telle que définie à l'article 3, 1°, est désignée comme point de contact national pour la protection des infrastructures critiques européennes, ci-après dénommé " point de contact EPCIP ", pour l'ensemble des secteurs et sous-secteurs, pour la Belgique dans ses relations avec la Commission européenne et les Etats membres de l'Union européenne.
[1 La présente loi transpose partiellement la Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.]1
----------
(1)<L 2019-04-07/15, art. 74, 004; En vigueur : 03-05-2019>
Art.3.Pour l'application de la présente loi et de ses arrêtés d'exécution, l'on entend par :
1° " DGCC " : Direction générale Centre de Crise du Service public fédéral Intérieur, chargée de la protection spéciale des biens et des personnes et de la coordination nationale en matière d'ordre public;
2° " OCAM " : Organe de coordination pour l'analyse de la menace institué par la loi du 10 juillet 2006 relative à l'analyse de la menace;
3° " autorité sectorielle " :
a) pour le secteur des transports : le Ministre ayant les Transports dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration [4 à l'exception de transport hauturier et transport maritime à court distance et ports pour lequel le ministre compétent pour la mobilité maritime est l'autorité sectorielle]4;
b) pour le secteur de l'énergie : le Ministre ayant l'Energie dans ses attributions ou, par délégation de celui-ci, un membre dirigeant du personnel de son administration;
[3 c) pour le secteur des finances, à l'exception des opérateurs de plate-forme de négociation au sens de l'article 3, 6°, de la loi du 21 novembre 2017 relative aux infrastructures des marchés d'instruments financiers et portant transposition de la Directive 2014/65/UE : la Banque nationale de Belgique (BNB) ;
d) pour les opérateurs de plate-forme de négociation au sens de l'article 3, 6°, de la loi du 21 novembre 2017 relative aux infrastructures des marchés d'instruments financiers et portant transposition de la Directive 2014/65/UE : l'Autorité des services et marchés financiers (FSMA) ;]3
[3 e) pour les secteurs des communications électroniques et des infrastructures numériques : l'Institut belge des services postaux et des télécommunications (I.B.P.T.) ;
f) pour le secteur de la santé : l'autorité publique désignée par le Roi par arrêté délibéré en Conseil des ministres ;
g) pour le secteur de l'eau potable : l'autorité publique désignée par le Roi par arrêté délibéré en Conseil des ministres ;]3
4° " infrastructure critique " : installation, système ou partie de celui- ci, d'intérêt fédéral, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l'interruption du fonctionnement ou la destruction aurait une incidence significative du fait de la défaillance de ces fonctions;
5° " infrastructure critique nationale " : l'infrastructure critique située sur le territoire belge, dont l'interruption du fonctionnement ou la destruction aurait une incidence significative dans le pays;
6° " infrastructure critique européenne " : l'infrastructure critique nationale dont l'interruption du fonctionnement ou la destruction aurait une incidence significative sur deux Etats membres de l'Union européenne au moins [2 ou l'infrastructure critique qui n'est pas située sur le territoire belge mais sur celui d'un autre Etat membre de l'Union européenne, dont l'interruption du fonctionnement ou la destruction aurait une incidence significative sur au moins deux Etats membres de l'Union européenne, dont la Belgique]2;
7° " autres points d'intérêt fédéral " : les lieux qui ne sont pas désignés comme infrastructure critique mais qui présentent un intérêt particulier pour l'ordre public, pour la protection spéciale des personnes et des biens, pour la gestion de situations d'urgence ou pour les intérêts militaires et qui [2 font l'objet de mesures de protection prises par la DGCC]2;
8° " points d'intérêt local " : les lieux qui ne sont ni des infrastructures critiques, ni des autres points d'intérêt fédéral, mais qui présentent un intérêt particulier pour l'exécution des missions de police administrative au niveau local et qui [2 font l'objet de mesures de protection prises par le bourgmestre]2;
9° " communications électroniques " : les communications électroniques visées par la loi du 13 juin 2005 relative aux communications électroniques;
10° " exploitant " : toute personne physique ou morale responsable des investissements relatifs à ou de la gestion quotidienne d'une infrastructure critique nationale ou européenne;
11° " services de police " : les services de police visés par la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux;
12° [2 "SICAD": service d'information et de communication de l'arrondissement, tel que visé par la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux]2;
[3 13° "la loi du 7 avril 2019" : la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ;
- 14° "sécurité des réseaux et systèmes d'information" : la sécurité des réseaux et systèmes d'information au sens de l'article 6, 8° et 9°, de la loi du 7 avril 2019 ;
- 15° "le secteur des infrastructures numériques" : le secteur visé au point 6 de l'annexe 1 de la loi du 7 avril 2019 ;
- 16° "le secteur de l'eau potable" : le secteur visé au point 5 de l'annexe 1 de la loi du 7 avril 2019 ;
- 17° "le secteur de la santé" : le secteur visé au point 4 de l'annexe 1 de la loi du 7 avril 2019.]3
----------
(1)<L 2014-04-25/09, art. 2, 002; En vigueur : 07-05-2014>
(2)<L 2018-07-15/08, art. 41, 003; En vigueur : 05-10-2018>
(3)<L 2019-04-07/15, art. 75, 004; En vigueur : 03-05-2019>
(4)<L 2022-10-13/10, art. 28, 008; En vigueur : 01-01-2023>
CHAPITRE 2. - Sécurité et protection des infrastructures critiques
Section 1re. - Champ d'application
Art.4.§ 1er. Le présent chapitre s'applique au secteur des transports et au secteur de l'énergie en ce qui concerne la sécurité et la protection des infrastructures critiques nationales et européennes.
Toutefois, il ne s'applique pas aux installations nucléaires visées par la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, à l'exception des éléments d'une installation nucléaire destinée à la production industrielle d'électricité qui servent au transport de l'électricité.
[1 L'article 8 et les articles 12 à 26 s'appliquent uniquement aux infrastructures critiques situées sur le territoire belge]1
§ 2. Le secteur de l'Energie comporte les sous-secteurs suivants :
1° l'électricité, composée des infrastructures et installations permettant la production et le transport d'électricité, en vue de la fourniture d'électricité;
2° le pétrole, composé de la production pétrolière, du raffinage, du traitement, du stockage et du transport par oléoducs;
3° le gaz, composé de la production gazière, du raffinage, du traitement, du stockage, du transport par gazoducs et des terminaux de gaz naturel liquéfié.
Le secteur des Transports comporte les sous-secteurs suivants :
1° transport par route;
2° transport ferroviaire;
3° transport aérien;
4° navigation intérieure;
5° transport hauturier et transport maritime à courte distance et ports.
§ 3. Par dérogation au § 1er, alinéa 1er, le présent chapitre ne s'applique pas au sous-secteur du transport aérien.
Sans préjudice de l'article 2, alinéa 2, le Roi prend, par arrêté délibéré en Conseil des ministres, les mesures nécessaires, y compris l'abrogation, l'ajout, la modification ou le remplacement de dispositions légales, pour assurer la transposition de la Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection en ce qui concerne le transport aérien.
§ 4. [2 Le présent chapitre s'applique au secteur des finances, en ce compris aux opérateurs de plate-forme de négociation visés à l'article 3, 3°, d), au secteur des communications électroniques, au secteur des infrastructures numériques, au secteur de la santé et au secteur de l'eau potable, en ce qui concerne la sécurité et la protection des infrastructures critiques nationales.]2
----------
(1)<L 2018-07-15/08, art. 42, 003; En vigueur : 05-10-2018>
(2)<L 2019-04-07/15, art. 76, 004; En vigueur : 03-05-2019>
Section 2. - Identification et désignation des infrastructures critiques
Art.5.§ 1er. [1 Afin d'identifier les infrastructures critiques relevant de sa compétence, l'autorité sectorielle se concerte au préalable avec la DGCC, et consulte, si elle l'estime utile, les représentants du secteur et les exploitants d'infrastructures critiques potentielles.
A cette même fin, l'autorité sectorielle procède à la consultation préalable des régions, pour les infrastructures critiques potentielles relevant de leurs compétences.]1
§ 2. La procédure à suivre pour l'identification des infrastructures critiques nationales et européennes est déterminée à l'annexe.
[2 § 3. Tout au long du processus d'identification visé à la présente section, l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019 est associée aux concertations nationales et internationales menées par les autorités sectorielles et la DGCC, pour les aspects de l'identification des infrastructures critiques liés à la sécurité des réseaux et systèmes d'information.]2
----------
(1)<L 2018-07-15/08, art. 43, 003; En vigueur : 05-10-2018>
(2)<L 2019-04-07/15, art. 77, 004; En vigueur : 03-05-2019>
Art.6. § 1er. L'autorité sectorielle établit des critères sectoriels auxquels doivent répondre les infrastructures critiques nationales eu égard aux caractéristiques particulières du secteur concerné, en concertation avec la DGCC et, le cas échéant, après consultation des régions concernées.
§ 2. L'autorité sectorielle établit des critères sectoriels auxquels doivent répondre les infrastructures critiques européennes eu égard aux caractéristiques particulières du secteur concerné, en concertation avec la DGCC et, le cas échéant, après consultation des régions concernées.
§ 3. Les critères intersectoriels auxquels doivent répondre les infrastructures critiques nationales et européennes sont :
1° le nombre potentiel de victimes, notamment le nombre de morts ou de blessés, ou
2° l'incidence potentielle économique, notamment l'ampleur des pertes économiques et/ou de la dégradation de produits ou de services, y compris l'incidence sur l'environnement, ou
3° l'incidence potentielle sur la population, notamment l'incidence sur la confiance de la population, les souffrances physiques et la perturbation de la vie quotidienne, y compris la disparition de services essentiels.
§ 4. L'autorité sectorielle établit les niveaux d'incidence ou les seuils applicables aux critères intersectoriels auxquels doivent répondre les infrastructures critiques nationales, en concertation avec la DGCC et, le cas échéant, après consultation des régions concernées.
Les niveaux d'incidence ou les seuils des critères intersectoriels sont fondés sur la gravité de l'impact de l'interruption du fonctionnement ou de la destruction d'une infrastructure donnée.
§ 5. L'autorité sectorielle établit au cas par cas les niveaux d'incidence ou les seuils applicables aux critères intersectoriels auxquels doivent répondre les infrastructures critiques européennes, en concertation avec la DGCC, avec les Etats membres concernés et, le cas échéant, après consultation des régions concernées.
Les niveaux d'incidence ou les seuils des critères intersectoriels sont fondés sur la gravité de l'impact de l'interruption du fonctionnement ou de la destruction d'une infrastructure donnée.
Art.7.§ 1er. [1 L'autorité sectorielle établit une liste des infrastructures critiques nationales potentielles identifiées et la communique à la DGCC et, le cas échéant, aux régions concernées.
Elle joint à cette liste les critères sectoriels et intersectoriels, les niveaux d'incidence ou les seuils qu'elle a établis en application de l'article 6 §§ 1er, 3, et 4 et en expose les motifs.
Elle procède ensuite à la désignation des infrastructures critiques nationales, après avis de la DGCC et, le cas échéant, après consultation des régions concernées.]1
§ 2. [1 L'autorité sectorielle établit une liste des infrastructures critiques européennes potentielles identifiées et la communique à la DGCC et, le cas échéant, aux régions concernées.
Elle joint à cette liste les critères sectoriels et intersectoriels, les niveaux d'incidence ou les seuils qu'elle a établis en application de l'article 6, §§ 2, 3, et 5 et en expose les motifs.
Le point de contact EPCIP est chargé, en collaboration avec l'autorité sectorielle et, le cas échéant, avec les régions concernées, de mener des discussions bilatérales ou multilatérales avec les Etats membres de l'Union européenne concernés, tant en ce qui concerne les infrastructures critiques européennes potentielles identifiées sur le territoire belge que celles identifiées par les autres Etats membres sur leur territoire.
Lorsqu'un accord est intervenu sur les infrastructures critiques européennes sur le territoire belge, l'autorité sectorielle procède à la désignation de ces infrastructures après avis de la DGCC et, le cas échéant, après consultation des régions concernées.]1
[1 § 3. Lorsqu'aucune infrastructure critique située sur le territoire belge n'a été identifiée au sein d'un secteur ou d'un sous-secteur, l'autorité sectorielle compétente expose dans une lettre à destination de la DGCC les raisons qui ont abouti à cette absence d'identification.
§ 4. Chaque autorité sectorielle procède au renouvellement du processus d'identification tel que décrit aux §§ 1er à 3, pour ce qui concerne les infrastructures critiques relevant de son secteur, au minimum une fois tous les cinq ans.]1
----------
(1)<L 2018-07-15/08, art. 44, 003; En vigueur : 05-10-2018>
Art.8.[1 L'autorité sectorielle notifie à l'exploitant la décision motivée de la désignation de son infrastructure comme infrastructure critique et communique une copie de cette décision avec mention de la date de notification à la DGCC.
La DGCC communique également à l'OCAM les informations utiles pour l'accomplissement de l'analyse de la menace visée à l'article 10, en ce compris la date à laquelle la notification a eu lieu.]1
[1 La DGCC informe le bourgmestre de la commune sur le territoire de laquelle se trouve l'infrastructure critique de cette désignation.
Dans les cas visés à l'article 13, § 7, la DGCC informe de cette désignation le gouverneur de la province sur le territoire de laquelle se situe l'infrastructure critique ou, lorsque cette dernière se situe sur le territoire de l'agglomération bruxelloise, l'autorité compétente en vertu de l'article 48 de la loi spéciale du 12 janvier 1989 relative aux Institutions bruxelloises.]1
[2 Dans le cadre de l'application de l'article 126/3 de la loi du 13 juin 2005 relative aux communications électroniques, après la désignation d'une infrastructure critique et au moins annuellement, la DGCC fournit au service désigné par le Roi, la commune dans laquelle l'infrastructure critique est située ou, le cas échéant, une liste des communes dans lesquelles les infrastructures critiques sont situées.]2
----------
(1)<L 2018-07-15/08, art. 45, 003; En vigueur : 05-10-2018>
(2)<L 2022-07-20/14, art. 18, 007; En vigueur : 18-08-2022>
Art.9. L'autorité sectorielle assure le suivi permanent du processus d'identification et de désignation des infrastructures critiques, et le renouvelle en tout cas à première demande de la DGCC et dans le délai qu'elle fixe, notamment en fonction des obligations imposées par l'Union européenne.
Art.10.§ 1er. [1 Dans un délai de neuf mois à compter de la notification de la désignation d'une infrastructure comme infrastructure critique, l'OCAM effectue une analyse de la menace pour ladite infrastructure et pour le sous-secteur dont elle fait partie.
Cette analyse est renouvelée au minimum une fois tous les cinq ans.]1
§ 2. L'analyse de la menace au sens du présent chapitre porte sur tout type de menace qui entre dans les compétences des services d'appui visés à l'article 2, 2°, de la loi du 10 juillet 2006 relative à l'analyse de la menace.
[1 Conformément à l'article 8, 1°, de la loi du 10 juillet 2006 relative à l'analyse de la menace, l'analyse de la menace consiste en une évaluation stratégique commune. Sans préjudice de l'article 8 de la loi du 11 décembre 1998 relative à la classification et aux habilitations, attestations et avis de sécurité, cette évaluation est communiquée à l'exploitant afin de lui permettre d'intégrer les conclusions de cette évaluation dans l'analyse des risques qu'il est tenu d'effectuer en vertu de l'article 13, § 3, 2°.]1
----------
(1)<L 2018-07-15/08, art. 46, 003; En vigueur : 05-10-2018>
Art.11.§ 1er. En fonction des obligations imposées par l'Union européenne, l'autorité sectorielle fait rapport écrit au point de contact EPCIP, à la demande de celui-ci, concernant les infrastructures critiques européennes relevant de son secteur et les types de risques rencontrés.
§ 2. [1 ...]1
----------
(1)<L 2018-07-15/08, art. 47, 003; En vigueur : 05-10-2018>
Section 3. Mesures internes de sécurité des infrastructures critiques
Art.12.§ 1er. L'exploitant d'une infrastructure critique désigne un point de contact pour la sécurité et en communique les données de contact à l'autorité sectorielle dans un délai de six mois à dater de la notification de la désignation comme infrastructure critique, ainsi qu'après chaque mise à jour de ces données.
[1 Le point de contact pour la sécurité exerce la fonction de point de contact vis-à-vis de l'autorité sectorielle, de la DGCC, du bourgmestre, des services de police et de tout autre autorité ou service public compétent pour toute question liée à la sécurité et la protection de l'infrastructure.]1
§ 2. Lorsqu'il existe déjà un point de contact pour la sécurité en vertu de dispositions nationales ou internationales applicables dans un secteur ou un sous-secteur, l'exploitant d'une infrastructure critique en communique les coordonnées à l'autorité sectorielle.
§ 3. Le point de contact pour la sécurité est disponible à tout moment.
----------
(1)<L 2018-07-15/08, art. 48, 003; En vigueur : 05-10-2018>
Art.13.§ 1er. L'exploitant d'une infrastructure critique élabore un plan de sécurité de l'exploitant, ci-après dénommé P.S.E., visant à prévenir, à atténuer et à neutraliser les risques d'interruption du fonctionnement ou de destruction de l'infrastructure critique par la mise au point de mesures matérielles et organisationnelles internes.
§ 2. Le P.S.E. comprend au minimum :
1° des mesures internes de sécurité permanentes, [2 devant être appliquées]2 en toutes circonstances;
2° des mesures internes de sécurité graduelles à appliquer en fonction de la menace.
Pour un secteur déterminé ou, le cas échéant, par sous-secteur, le Roi peut détailler ces mesures et imposer d'inclure au P.S.E. certaines informations.
§ 3. La procédure d'élaboration du P.S.E. comprend au moins les étapes suivantes :
1° l'inventaire et la localisation des points de l'infrastructure qui, s'ils étaient touchés, pourraient causer l'interruption de son fonctionnement ou sa destruction;
2° une analyse des risques, consistant en une identification des principaux scénarios de menaces potentielles pertinents d'actes intentionnels visant à interrompre le fonctionnement de l'infrastructure critique ou à la détruire;
3° une analyse des vulnérabilités de l'infrastructure critique et des impacts potentiels de l'interruption de son fonctionnement ou de sa destruction en fonction des différents scénarios retenus;
4° pour chaque scénario de l'analyse des risques, l'identification, la sélection et la désignation par ordre de priorité des mesures de sécurité internes.
§ 4. L'exploitant élabore le P.S.E. dans un délai d'un an à dater de la notification de la désignation de son infrastructure comme infrastructure critique.
[2 Dans un délai de vingt-quatre mois au plus tard à dater de la notification de la désignation de son infrastructure comme infrastructure critique, il met en oeuvre les mesures internes de sécurité prévues dans le P.S.E.
Pour un secteur déterminé ou le cas échéant par sous-secteur, l'autorité sectorielle compétente peut moduler ce délai en fonction du type de mesures prévues dans le P.S.E.]2
§ 5. Pour les ports qui tombent sous le champ d'application [4 du chapitre 2 du titre 5 de livre 2 du Code belge de la Navigation, le plan de sûreté portuaire imposé par ce titre]4 est assimilé au P.S.E.
[1 § 5bis. Pour les infrastructures critiques relevant du secteur des finances [3 à l'exception de celles exploitées par un opérateur de plate-forme de négociation]3, les mesures de sécurité, telles que les politiques de continuité, les plans de continuité et les plans de sécurité physique et logique, que les entreprises sont tenues de mettre en place dans le cadre du statut de contrôle prudentiel qui leur est applicable et/ou dans le cadre de la surveillance (oversight) dont elles font l'objet par la Banque nationale de Belgique, sont assimilées au P.S.E.]1
§ 6. L'exploitant est responsable d'organiser des exercices et d'actualiser le P.S.E., en fonction des enseignements des exercices ou de toute modification de l'analyse des risques. [1 Pour le secteur des finances [3 à l'exception des infrastructures critiques exploitées par un opérateur de plate-forme de négociation]3, les exercices et les mises à jour des mesures de sécurité visées au paragraphe 5bis, sont assimilés aux exercices et mises à jour du P.S.E. visés au présent paragraphe.]1
Le Roi détermine pour un secteur ou un sous-secteur déterminé, la fréquence des exercices et des mises à jour du P.S.E.
Le Roi détermine pour un secteur déterminé ou, le cas échéant, par sous-secteur, les modalités de la participation des services de police aux exercices organisés par l'exploitant.
[2 § 7. Pour un secteur déterminé ou, le cas échéant, par sous-secteur, le Roi peut imposer aux exploitants l'élaboration d'un plan interne d'urgence, visant à limiter, au niveau de l'infrastructure critique, les conséquences néfastes d'une situation d'urgence par la mise au point de mesures matérielles et organisationnelles d'urgence adaptées.]2
----------
(1)<L 2014-04-25/09, art. 3, 002; En vigueur : 07-05-2014>
(2)<L 2018-07-15/08, art. 49, 003; En vigueur : 05-10-2018>
(3)<L 2019-04-07/15, art. 78, 004; En vigueur : 03-05-2019>
(4)<L 2019-05-08/14, art. 95, 005; En vigueur : 01-09-2020>
Art.13/1 DROIT FUTUR. 1 § 1er. Pour les infrastructures critiques relevant du secteur de l'Energie à l'exception de celles visées à l'article 15bis de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, l'exploitant d'une infrastructure critique procède, à ses frais, à un audit interne annuel des mesures de sécurité contenues dans le P.S.E.
L'exploitant d'une infrastructure critique visé au paragraphe 1er fournit les rapports d'audit interne au service d'inspection de l'autorité sectorielle désigné par le Roi dans les 30 jours suivant la fin de l'audit interne.
§ 2. L'exploitant d'une infrastructure critique visé au paragraphe 1er fait procéder, au moins tous les trois ans et à ses frais, à un audit externe par un organisme d'évaluation de la conformité accrédité par l'autorité nationale d'accréditation ou par un organisme contresignant les accords d'accréditation de la "European Cooperation for Accreditation".
L'exploitant d'une infrastructure critique visé au paragraphe 1er fournit les rapports d'audit externe au service d'inspection de l'autorité sectorielle désigné par le Roi dans les 30 jours suivant la réception des rapports d'audit.
§ 3. L'exploitant d'une infrastructure critique visé au paragraphe 1er effectue son premier audit interne au plus tard trois mois après l'élaboration de son P.S.E. Il effectue son premier audit externe au plus tard douze mois après la réalisation de son premier audit interne.
§ 4. L'audit externe visé au paragraphe 2 peut être assimilé à l'audit interne visé au paragraphe 1er.]1 ----------
(1)<Inséré par L 2023-06-11/08, art. 2, 009; En vigueur : 01-08-2024>
Art.13/2. [1 § 1er. Le Roi peut déterminer pour les infrastructures critiques relevant du secteur de l'Energie à l'exception de celles visées à l'article 15bis de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire:
1° les conditions générales d'accréditation pour des organismes d'évaluation de la conformité;
2° les exigences sectorielles supplémentaires auxquelles l'organisme d'évaluation de la conformité peut être soumis;
3° les règles applicables à l'audit interne;
4° les règles applicables à l'audit externe;
5° les conditions de toute reconnaissance accordée par l'autorité sectorielle à un organisme d'évaluation de la conformité.
§ 2. Pour les infrastructures critiques visées au paragraphe 1er, la liste des organismes d'évaluation de la conformité accrédités ou reconnus est disponible auprès de l'autorité sectorielle, qui la tient à jour.]1
----------
(1)<Inséré par L 2023-06-11/08, art. 3, 009; En vigueur : 31-08-2023>
Art.14.§ 1er. [1 Sans préjudice des dispositions légales ou réglementaires imposant, dans un secteur ou un sous-secteur déterminé, d'informer des services déterminés, lorsqu'un événement se produit, de nature à menacer la sécurité de l'infrastructure critique, l'exploitant est tenu de prévenir immédiatement le SICAD, via les numéros d'urgence 101 ou 112, le service désigné par l'autorité sectorielle et la DGCC.]1
[1 § 1er /1. Lorsque la notification de l'événement visé au paragraphe 1er ne se fait pas depuis l'infrastructure critique concernée, la police fédérale fournit aux points de contact pour la sécurité désignés en vertu de l'article 12 les informations nécessaires leur permettant de contacter directement le SICAD territorialement compétent.]1
§ 2. Conformément aux modalités déterminées par le ministre de l'Intérieur, le [1 SICAD]1 avertit la DGCC de tout événement dont il a connaissance et qui est de nature à menacer la sécurité de l'infrastructure critique [2 et, le cas échéant, l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019, pour ce qui concerne la sécurité des réseaux et systèmes d'information]2.
§ 3. Si l'événement est de nature à avoir pour conséquence l'interruption du fonctionnement ou la destruction de l'infrastructure critique concernée, le point de contact EPCIP prévient l'autorité sectorielle compétente et, en cas d'infrastructure critique européenne, l'autorité compétente des Etats membres concernés.
----------
(1)<L 2018-07-15/08, art. 50, 003; En vigueur : 05-10-2018>
(2)<L 2019-04-07/15, art. 79, 004; En vigueur : 03-05-2019>
Section 4. - Mesures externes de protection des infrastructures critiques
Art.15.Sans préjudice des compétences des autorités judiciaires pour prendre des mesures de police judiciaire, la DGCC prend des mesures externes de protection des infrastructures critiques [1 ...]1.
[1 En fonction du type de menace, ces mesures sont prises, soit sur la base d'une analyse visée à l'article 8, 2°, de la loi du 10 juillet 2006 relative à l'analyse de la menace, réalisée à sa demande ou d'office par l'OCAM, soit, sur la base d'une analyse réalisée par les services de la police fédérale ou les services de renseignement et de sécurité pour les menaces autres que celles visées à l'article 3 de la loi précitée et relevant de la compétence de ces derniers.]1
----------
(1)<L 2018-07-15/08, art. 51, 003; En vigueur : 05-10-2018>
Art.16. Si cela s'avère nécessaire au maintien de l'ordre public sur le territoire de sa commune, le bourgmestre prend des mesures externes de protection pour les infrastructures critiques, sans que ces mesures puissent être en contradiction avec les décisions de la DGCC.
Art.17. § 1er. Les mesures externes de protection visées aux articles 15 et 16 sont exécutées par les services de police, sous la coordination et la direction opérationnelles de l'officier de police désigné en application des articles 7/1 à 7/3 de la loi sur la fonction de police.
§ 2. La DGCC adresse ses ordres, instructions et directives aux services de police au nom du Ministre de l'Intérieur, respectivement en application des articles 61, 62 et 97, alinéa 1er de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux.
§ 3. Le bourgmestre adresse ses ordres, instructions et directives à la police locale, en application de l'article 42 de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, ou, le cas échéant, au service déconcentré de la police fédérale chargé de la police de l'aéronautique, de la police de la navigation, de la police des chemins de fer ou de la police de la route.
Section 5. - Echange d'informations
Art.18.[2 La DGCC, les services de police, l'OCAM et, le cas échéant, l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019 pour ce qui concerne la sécurité des réseaux et systèmes d'information]2 [1 s'échangent]1 les informations utiles pour la prise de mesures externes de protection des infrastructures critiques.
----------
(1)<L 2018-07-15/08, art. 52, 003; En vigueur : 05-10-2018>
(2)<L 2019-04-07/15, art. 80, 004; En vigueur : 03-05-2019>
Art.19.[1 L'exploitant, le point de contact pour la sécurité, l'autorité sectorielle, la DGCC, l'OCAM, les services de police et, le cas échéant, l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019 pour ce qui concerne la sécurité des réseaux et systèmes d'information,]1 collaborent en tout temps, par un échange adéquat d'informations concernant la sécurité et la protection de l'infrastructure critique, afin de veiller à une concordance entre les mesures internes de sécurité et les mesures externes de protection.
----------
(1)<L 2019-04-07/15, art. 81, 004; En vigueur : 03-05-2019>
Art.20.Le Roi [1 peut déterminer]1, pour un secteur déterminé ou, le cas échéant, par sous-secteur, les informations [1 ...]1 qui peuvent être pertinentes pour l'accomplissement des missions de la DGCC, des services de police et de l'OCAM en matière de protection des infrastructures critiques et les modalités d'accès à ces informations.
----------
(1)<L 2018-07-15/08, art. 53, 003; En vigueur : 05-10-2018>
Art.21.La DGCC peut communiquer à l'exploitant des informations relatives à la menace et aux mesures externes de protection qui permettent à l'exploitant d'appliquer ses mesures internes de sécurité graduelles de manière appropriée et de les mettre en concordance avec les mesures externes de protection.
[1 La DGCC peut communiquer une copie de ces informations au service désigné par l'autorité sectorielle concernée.]1
----------
(1)<L 2018-07-15/08, art. 54, 003; En vigueur : 05-10-2018>
Art.22.[1 [2 L'autorité sectorielle, la DGCC, l'OCAM, les services de police et l'autorité visée à l'article 7, § 1er, de la loi du 7 avril 2019,]2 limitent l'accès aux informations visées au chapitre 2, aux personnes ayant besoin d'en connaître et d'y avoir accès pour l'exercice de leurs fonctions ou de leur mission s'inscrivant dans une finalité de sécurité et/ou de protection des infrastructures critiques.]1
----------
(1)<L 2018-07-15/08, art. 55, 003; En vigueur : 05-10-2018>
(2)<L 2019-04-07/15, art. 82, 004; En vigueur : 03-05-2019>
Art.22bis.[1 Pour le secteur des finances [2 à l'exception du sous-secteur des opérateurs de plate-forme de négociation]2, la Banque nationale de Belgique communique au Ministre des finances un rapport relatif aux tâches qu'elle accomplit en vertu de la présente loi selon une périodicité appropriée n'excédant toutefois pas trois ans.
La Banque nationale de Belgique l'informe toutefois sans délai de toute menace concrète et imminente pesant sur une infrastructure critique du secteur des finances.]1
[2 Pour les opérateurs de plate-forme de négociation, la FSMA communique au ministre des Finances un rapport relatif aux tâches qu'elle accomplit en vertu de la présente loi selon une périodicité appropriée n'excédant toutefois pas trois ans. La FSMA l'informe toutefois sans délai de toute menace concrète et imminente pesant sur une infrastructure critique relevant de son secteur.]2
----------
(1)<Inséré par L 2014-04-25/09, art. 4, 002; En vigueur : 07-05-2014>
(2)<L 2019-04-07/15, art. 83, 004; En vigueur : 03-05-2019>
Art.23.§ 1er. Sans préjudice des articles 20 et 25, § 1er, 2°, l'exploitant est tenu au secret professionnel en ce qui concerne le contenu du P.S.E. et ne peut donner accès au P.S.E. qu'aux personnes qui ont besoin d'en connaître et d'y avoir accès pour l'exercice de leurs fonctions ou de leur mission.
[1 Il est tenu au même secret en ce qui concerne toutes les informations portées à sa connaissance en application des articles 5 à 10, de l'article 13, §§ 6 et 7, et des articles 14, 19, 21 et 25.]1
§ 2. Les infractions au § 1er sont punies des peines prévues à l'article 458 du Code pénal.
----------
(1)<L 2018-07-15/08, art. 56, 003; En vigueur : 05-10-2018>
Art.23/1. [1 La loi du 11 avril 1994 relative à la publicité de l'administration et la loi du 5 août 2006 relative à l'accès du public à l'information en matière d'environnement ne s'appliquent pas aux informations, documents ou données, sous quelque forme que ce soit, visés à l'article 22.]1
----------
(1)<Inséré par L 2018-07-15/08, art. 57, 003; En vigueur : 05-10-2018>
Section 6. - Contrôle et sanctions
Art.24.§ 1er. Sans préjudice des attributions des officiers de police judiciaire, un service d'inspection par secteur, ou, le cas échéant, par sous-secteur, est mis en place, chargé du contrôle du respect des dispositions de la présente loi et de ses arrêtés d'exécution par les exploitants dudit secteur ou sous-secteur.
§ 2. Le Roi désigne, pour un secteur déterminé ou, le cas échéant, par sous-secteur, le service d'inspection compétent pour effectuer le contrôle.
Il peut fixer les modalités du contrôle.
[1 Pour le secteur des finances [4 à l'exception du sous-secteur des opérateurs de plate-forme de négociation]4, la Banque nationale de Belgique est désignée en tant que service d'inspection chargé de contrôler l'application des dispositions de la présente loi et de ses arrêtés d'exécution.
A cette fin, la Banque nationale de Belgique peut faire usage des informations dont elle dispose dans le cadre de ses missions légales de contrôle prudentiel et de surveillance (oversight) et tient compte, notamment, des constats effectués dans ce cadre. De même, dans le cadre de ses missions légales de contrôle prudentiel et de surveillance (oversight), la Banque nationale de Belgique peut utiliser les informations dont elle dispose en application de la présente loi.]1
[5 Pour le secteur des communications électroniques et des infrastructures numériques, l'Institut belge des services postaux et des télécommunications est désigné en tant que service d'inspection chargé de contrôler l'application des dispositions de la présente loi et de ses arrêtés d'exécution.]5
[4 L'Autorité des services et marchés financiers est désignée en tant que service d'inspection chargé de contrôler l'application des dispositions de la présente loi et de ses arrêtés d'exécution, pour les opérateurs de plate-forme de négociation au sens de l'article 3, 6°, de la loi du 21 novembre 2017 relative aux infrastructures des marchés d'instruments financiers et portant transposition de la Directive 2014/65/UE. Le présent article ne porte pas préjudice à la possibilité pour la FSMA, pour l'exécution des missions qui lui sont confiées par la présente loi de charger un prestataire externe spécialisé de l'exécution de tâches déterminées ou d'obtenir l'assistance d'un tel prestataire.]4
[6 Sans préjudice de l'article 15bis de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, la Direction générale Energie est désignée comme le service d'inspection chargé de contrôler l'application des dispositions de la présente loi et de ses arrêtés d'exécution pour le secteur de l'énergie. Pour l'exécution des tâches qui lui sont confiées par la présente loi, la Direction générale Energie peut confier à des prestataires externes l'exécution de tâches bien définies ou se faire assister par de tels prestataires. Le Roi détermine les conditions et les règles supplémentaires de recours à des prestataires externes dans l'exécution des tâches confiées à la Direction générale Energie.]6
§ 3. Les membres du service d'inspection [3 qui sont chargés des missions de contrôle visées au paragraphe 1er]3 sont dotés d'une carte de légitimation dont le modèle est fixé par le Roi, par secteur.
[2 Le présent paragraphe n'est pas applicable au service d'inspection désigné en vertu du paragraphe 2, alinéa 3.]2
§ 4. Le Roi peut déterminer les conditions de formation auxquelles doivent répondre les membres du service d'inspection pour un secteur ou un sous-secteur déterminé.
----------
(1)<L 2014-04-25/09, art. 5, 002; En vigueur : 07-05-2014>
(2)<L 2014-04-25/09, art. 6, 002; En vigueur : 07-05-2014>
(3)<L 2018-07-15/08, art. 58, 003; En vigueur : 05-10-2018>
(4)<L 2019-04-07/15, art. 84, 004; En vigueur : 03-05-2019>
(5)<L 2021-12-21/05, art. 219, 006; En vigueur : 10-01-2022>
(6)<L 2023-06-11/08, art. 4, 009; En vigueur : 31-08-2023>
Art.25.§ 1er. Dans l'exercice de leur mission, les membres du service d'inspection peuvent, à tout moment :
1° pénétrer sans avertissement préalable, sur présentation de leur carte de légitimation, dans tous les lieux de l'infrastructure critique soumis à leur contrôle; ils n'ont accès aux locaux habités que moyennant autorisation préalable délivrée par un juge du tribunal de police;
2° prendre connaissance sur place du P.S.E. et de tout acte, tout document et toute autre source d'informations nécessaires à l'exercice de leur mission;
3° procéder à tout examen, contrôle et audition, et requérir toutes les informations qu'ils estiment nécessaires à l'exercice de leur mission.
§ 2. Le Roi peut, pour un secteur ou un sous-secteur déterminé, autoriser le service d'inspection à se faire remettre une copie du P.S.E. et des actes, documents ou autres sources d'informations que ce service estime nécessaires à l'exercice de sa mission. Le Roi peut également fixer les modalités selon lesquelles la copie est remise à ce service.
§ 3. Sur la base des constatations réalisées, le service d'inspection peut donner des recommandations, des instructions ou des avertissements à l'exploitant concernant le respect des dispositions de la présente loi et de ses arrêtés d'exécution. [1 Il peut fixer un délai pour se mettre en règle. Le service d'inspection ou les membres de ce service visés à l'article 24, § 3, alinéa 1er, peuvent dresser des procès-verbaux.]1
[1 § 4. Après chaque inspection, le service d'inspection rédige un rapport d'inspection.]1
----------
(1)<L 2018-07-15/08, art. 59, 003; En vigueur : 05-10-2018>
Art.26. § 1er. Est puni d'une peine d'emprisonnement de huit jours à un an et d'une amende de 26 euros à 10.000 euros ou de l'une de ces peines seulement l'exploitant qui ne respecte pas les obligations imposées par ou en vertu de la présente loi relatives aux mesures internes de sécurité et à l'échange d'informations.
En cas de récidive, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de quinze jours à trois ans.
§ 2. Est puni d'une peine d'emprisonnement de huit jours à un mois et d'une amende de 26 euros à 1.000 euros ou de l'une de ces peines seulement, quiconque empêche ou entrave volontairement l'exécution du contrôle effectué par les membres du service d'inspection, refuse de communiquer les informations qui lui sont demandées à l'occasion de ce contrôle, ou communique sciemment des informations inexactes ou incomplètes.
En cas de récidive, l'amende est doublée et le contrevenant puni d'une peine d'emprisonnement de quinze jours à un an.
§ 3. Les dispositions du Livre 1er du Code pénal, en ce compris le chapitre VII et l'article 85, sont applicables auxdites infractions.
CHAPITRE 3. - Protection des autres points d'intérêt fédéral et des points d'intérêt local
Art.27. § 1er. Sans préjudice des compétences des autorités judiciaires pour prendre des mesures de police judiciaire, la DGCC prend des mesures de protection externes pour les autres points d'intérêt fédéral.
§ 2. Si cela s'avère nécessaire au maintien de l'ordre public sur le territoire de sa commune, le bourgmestre prend des mesures externes de protection pour les autres points d'intérêt fédéral, sans que ces mesures puissent être en contradiction avec les décisions de la DGCC.
§ 3. Sans préjudice des compétences des autorités judiciaires pour prendre des mesures de police judiciaire, le bourgmestre prend des mesures de protection externes pour les points d'intérêt local.
Art.28. La DGCC, les services de police et l'OCAM récoltent les informations utiles pour la prise de mesures de protection externes des autres points d'intérêt fédéral et les services de police récoltent les informations utiles qui présentent un intérêt concret pour la prise de mesures de protection externe des points d'intérêt local.
Art.29. § 1er. Les mesures externes de protection visées à l'article 27 sont exécutées par les services de police, sous la coordination et la direction opérationnelles de l'officier de police désigné en application des articles 7/1 à 7/3 de la loi sur la fonction de police.
§ 2. La DGCC adresse ses ordres, instructions et directives aux services de polices au nom du Ministre de l'Intérieur, respectivement en application des articles 61, 62 et 97, alinéa 1er de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux.
§ 3. Le bourgmestre adresse ses ordres, instructions et directives à la police locale, en application de l'article 42 de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, ou, le cas échéant, au service déconcentré de la police fédérale chargé de la police de l'aéronautique, de la police de la navigation, de la police des chemins de fer ou de la police de la route.
CHAPITRE 4. - Modification de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire
Art.30. Dans le chapitre III de la loi du 15 avril 1994 relative à la protection de la population et de l'environnement contre les dangers résultant des rayonnements ionisants et relative à l'Agence fédérale de Contrôle nucléaire, il est inséré un article 15bis rédigé comme suit :
" Art. 15bis. Conformément à l'article 24 de la loi du 1er juillet 2011 relative à la sécurité et la protection des infrastructures critiques et à ses arrêtés d'exécution, l'Agence est chargée de contrôler l'application des dispositions de ladite loi aux éléments d'une installation nucléaire destinée à la production industrielle d'électricité, qui servent au transport de l'électricité et qui ont été désignés comme infrastructure critique en vertu de la loi du ... susmentionnée.
Les modalités du contrôle sont réglées par le Roi. "
CHAPITRE 5. - Dispositions finales
Art.31. Le Roi prend, par arrêté délibéré en Conseil des ministres, les mesures nécessaires, y compris l'abrogation, l'ajout, la modification ou le remplacement de dispositions légales, pour assurer la transposition des directives européennes concernant les infrastructures critiques.
Il peut, par arrêté délibéré en Conseil des ministres, rendre applicables en tout ou en partie les dispositions du chapitre 2 et de ses arrêtés d'exécution à d'autres secteurs que ceux visés à l'article 4, § 2, en ce qui concerne les infrastructures critiques nationales.
Art.32. La présente loi entre en vigueur le jour de sa publication au Moniteur belge.
ANNEXE.
Art. N.Procédure applicable pour l'identification des infrastructures critiques nationales et européennes
L'identification des infrastructures critiques nationales et européennes est soumise aux étapes suivantes :
A. Identification des infrastructures critiques nationales
I. L'autorité sectorielle applique les critères sectoriels visés à l'article 6, § 1er, afin d'opérer une première sélection parmi les infrastructures existant au sein de son secteur.
II. L'autorité sectorielle applique la définition de l'infrastructure critique nationale visée à l'article 3, 5° à la sélection effectuée lors de la première étape et dresse une liste des infrastructures critiques nationales potentielles ainsi identifiées.
La gravité de l'incidence est déterminée en fonction des caractéristiques du secteur concerné, sur la base des critères intersectoriels visés à l'article 6, §§ 3 et 4. Il est tenu compte de l'existence de solutions de remplacement ainsi que de la durée de l'interruption/de la reprise d'activité.
B. Identification des infrastructures critiques européennes [1 situées sur le territoire belge]1
I. L'autorité sectorielle applique à la liste des infrastructures critiques nationales identifiées les critères sectoriels visés à l'article 6, § 2. Si l'infrastructure répond à ces critères, elle est soumise à l'étape suivante de la procédure.
II. L'autorité sectorielle applique ensuite l'élément transfrontalier de la définition de l'infrastructure critique européenne visée à l'article 3, 6°. Si l'infrastructure répond à cette définition, elle est soumise à l'étape suivante de la procédure.
III. L'autorité sectorielle applique les critères intersectoriels visés à l'article 6, §§ 3 et 5 aux infrastructures critiques européennes potentielles restantes.
Les critères intersectoriels tiennent compte des éléments suivants : la gravité de l'impact et l'existence de solutions de remplacement, ainsi que la durée de l'arrêt/de la reprise d'activité.
IV. L'identification des infrastructures critiques européennes potentielles qui franchissent toutes les étapes de cette procédure n'est communiquée qu'aux Etats membres susceptibles d'être affectés significativement par lesdites infrastructures.
[1 C. Identification des infrastructures critiques européennes non situées sur le territoire belge
I. L'autorité sectorielle identifie les services de son secteur qui sont indispensables au maintien, en Belgique, des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens qui sont fournis par le biais d'infrastructures critiques situées sur le territoire d'un autre Etat membre de l'Union européenne et applique, dans la mesure du possible, à la liste des infrastructures identifiées, les critères sectoriels visés à l'article 6, § 2.
Si les infrastructures répondent à ces critères, elles sont soumises à l'étape suivante de la procédure.
II. L'autorité sectorielle applique, dans la mesure du possible, les critères intersectoriels visés à l'article 6, §§ 3 et 5 aux infrastructures critiques européennes potentielles restantes
Les critères intersectoriels tiennent compte des éléments suivants: la gravité de l'impact et l'existence de solutions de remplacement, ainsi que la durée de l'arrêt/de la reprise d'activité.
III. L'identification des infrastructures critiques européennes potentielles qui franchissent toutes les étapes de cette procédure n'est communiquée qu'aux Etats membres sur le territoire desquels ces dernières se situent.]1
----------
(1)<L 2018-07-15/08, art. 60, 003; En vigueur : 05-10-2018>