Decreet tot wijziging van het Energiedecreet van 8 mei 2009 en het decreet van 19 april 2024 over de operationalisering van een Vlaamse Nutsregulator, wat betreft cyberbeveiliging
- Documenttype
- Decreet
- Publicatiedatum
- 27 mei 2026
- Status
- Geldig
- Trefwoorden
- energie cyberbeveiliging nutsregulator vitale infrastructuur netbeheerders regelgeving
INHOUDSTAFEL
Hoofdstuk 1. Inleidende bepaling
Hoofdstuk 2. Wijzigingen van het Energiedecreet van 8 mei 2009
Hoofdstuk 3. Wijzigingen van het decreet van 19 april 2024 over de operationalisering van een Vlaamse Nutsregulator
Hoofdstuk 4. Wijziging van het decreet van 27 februari 2026 houdende diverse bepalingen inzake energie en klimaat
Hoofdstuk 5. Slotbepalingen
Hoofdstuk 1. Inleidende bepaling
Artikel 1. ( 01/09/2025 - Inleidende bepaling )
Dit decreet regelt een gewestaangelegenheid.
Hoofdstuk 2. Wijzigingen van het Energiedecreet van 8 mei 2009
Artikel 2. ( 01/01/2026 - Definities inzake cyberbeveiliging )
In artikel 1.1.2 van het Energiedecreet van 8 mei 2009, het laatst gewijzigd bij het decreet van 21 februari 2025, wordt paragraaf 2 aangevuld met punten 71° tot en met 76°, die luiden als volgt:
- 71° cyberbeveiligingsincident: een gebeurtenis die de beschikbaarheid, integriteit, vertrouwelijkheid of authenticiteit van een energiesysteem, een energie-informatiesysteem of de gegevensverwerking ervan aantast of redelijkerwijs kan aantasten;
- 72° vitale energie-infrastructuur: een productie-, transmissie-, distributie-, opslag- of meetinfrastructuur waarvan de verstoring of vernietiging significante negatieve gevolgen heeft voor de leveringszekerheid, de volksgezondheid, de openbare veiligheid of de economie in het Vlaamse Gewest;
- 73° meldingsplichtige entiteit: een netbeheerder voor elektriciteit of aardgas, een transmissienetbeheerder, een leveringsvergunninghouder met meer dan 100.000 afnemers in het Vlaamse Gewest, een uitbater van een productie-eenheid met een nominaal elektrisch vermogen van ten minste 25 MW, of een uitbater van een opslagfaciliteit met een nuttige opslagcapaciteit van ten minste 50 MWh;
- 74° minimale cyberbeveiligingsnormen: door of krachtens dit decreet vastgestelde organisatorische en technische basisvereisten inzake identificatie, bescherming, detectie, respons en herstel met betrekking tot energiesystemen en energie-informatiesystemen;
- 75° beveiligingsaudit: een systematisch, onafhankelijk en gedocumenteerd onderzoek naar de mate van conformiteit met de minimale cyberbeveiligingsnormen en de doeltreffendheid van het informatiebeveiligingsbeheer;
- 76° sectoraal beveiligingscentrum energie: een door de Vlaamse Regering erkende entiteit die ten behoeve van de energiesector diensten levert inzake monitoring, detectie, analyse en coördinatie van respons bij cyberbeveiligingsincidenten.
Artikel 3. ( 01/01/2026 - Invoeging van hoofdstuk over cyberbeveiliging )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 21 februari 2025, wordt in titel VI een hoofdstuk 6/1 ingevoegd, dat luidt als volgt:
"Hoofdstuk 6/1. Cyberbeveiliging van energiediensten
Art. 6/1.1. Toepassingsgebied
§1. Dit hoofdstuk is van toepassing op meldingsplichtige entiteiten.
§2. De Vlaamse Regering kan, na advies van de Vlaamse Nutsregulator voor Nutsvoorzieningen, bijkomende categorieën van entiteiten aanwijzen waarop dit hoofdstuk geheel of gedeeltelijk van toepassing is, indien dit noodzakelijk is voor de bescherming van vitale energie-infrastructuur.
Art. 6/1.2. Minimale cyberbeveiligingsnormen
§1. Meldingsplichtige entiteiten implementeren en onderhouden proportionele en risicogebaseerde organisatorische en technische maatregelen die minstens voldoen aan de minimale cyberbeveiligingsnormen.
§2. De maatregelen bestrijken ten minste de volgende domeinen:
- risicobeheer, inclusief activabeheer en kwetsbaarheidsbeheer;
- toegangsbeheer en sterke authenticatie voor kritieke systemen;
- segmentatie van netwerken en scheiding van kantoor- en procesnetwerken;
- patchbeheer en changebeheer;
- detectie en bewaking van anomalieën en indringingen;
- incidentrespons, herstel en continuïteitsplanning, met inbegrip van offline back-ups;
- beveiliging van de toeleveringsketen, met bijzondere aandacht voor derden met toegang tot systemen of gegevens.
Art. 6/1.3. Meldingsplicht bij cyberbeveiligingsincidenten
§1. Meldingsplichtige entiteiten melden zonder onredelijke vertraging en uiterlijk binnen vierentwintig uur na kennisname een cyberbeveiligingsincident dat een aanzienlijke impact kan hebben op de levering van energie of de veiligheid van het energiesysteem aan de Vlaamse Nutsregulator voor Nutsvoorzieningen en aan het door de Vlaamse Regering aangewezen contactpunt voor cyberbeveiliging.
§2. Uiterlijk binnen tweeënzeventig uur na de initiële melding verstrekt de meldingsplichtige entiteit een geactualiseerde beoordeling van de impact, de vermoedelijke oorzaak en de reeds genomen mitigerende maatregelen.
§3. Binnen dertig kalenderdagen na het cyberbeveiligingsincident bezorgt de meldingsplichtige entiteit een eindverslag met een oorzakenanalyse, een beschrijving van de structurele verbetermaatregelen en een tijdschema voor de implementatie ervan.
§4. De Vlaamse Regering bepaalt het meldingsformat, de beveiligingsclassificatie en de communicatiekanalen.
Art. 6/1.4. Beveiligingsaudits en tests
§1. Meldingsplichtige entiteiten onderwerpen hun energiesystemen en energie-informatiesystemen ten minste eenmaal per twaalf maanden aan een onafhankelijke beveiligingsaudit door een auditor die voldoet aan door de Vlaamse Regering te bepalen erkenningscriteria.
§2. Naast de jaarlijkse audit voeren meldingsplichtige entiteiten ten minste eenmaal per drie jaar een gesimuleerde crisisoefening uit, gericht op cyberbeveiligingsincidenten, waarbij relevante interne en externe partijen worden betrokken.
§3. De samenvattende auditrapporten en de evaluaties van de crisisoefeningen worden binnen dertig kalenderdagen na afronding bezorgd aan de Vlaamse Nutsregulator voor Nutsvoorzieningen.
Art. 6/1.5. Verplichtingen inzake toeleveringsketen en componentbeveiliging
§1. Meldingsplichtige entiteiten nemen in contracten met leveranciers bepalingen op inzake informatiebeveiliging, waaronder minimaal beveiligingsvereisten, auditrechten en incidentmeldingsplichten.
§2. Voor de toepassing van §1 stelt de Vlaamse Regering richtlijnen vast voor risicobeoordeling van essentiële componenten en softwareversies die in vitale energie-infrastructuur worden toegepast.
Art. 6/1.6. Bescherming van vertrouwelijke informatie
§1. Informatie die wordt verstrekt of ontvangen krachtens dit hoofdstuk en die door de verstrekker als vertrouwelijk of gevoelig wordt geclassificeerd, wordt door de ontvangers uitsluitend gebruikt voor het doel waarvoor ze is meegedeeld en wordt beschermd tegen ongeoorloofde bekendmaking.
§2. De Vlaamse Regering bepaalt de regels inzake classificatie, uitwisseling en bewaring van de in §1 bedoelde informatie."
Artikel 4. ( 01/01/2026 - Uitbreiding rapporteringsplicht )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 21 februari 2025, wordt in artikel 6.2.4 een paragraaf 5 ingevoegd, die luidt als volgt: "§5. Onverminderd hoofdstuk 6/1 bezorgen meldingsplichtige entiteiten aan de Vlaamse Nutsregulator voor Nutsvoorzieningen uiterlijk op 31 maart van elk jaar een beknopt voortgangsrapport over de stand van zaken van de implementatie van de minimale cyberbeveiligingsnormen en de opvolging van aanbevelingen uit beveiligingsaudits."
Artikel 5. ( 01/01/2026 - Uitvoeringsbevoegdheid Vlaamse Regering )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 21 februari 2025, wordt in hoofdstuk 6/1, ingevoegd bij artikel 3, een artikel 6/1.7 ingevoegd, dat luidt als volgt:
"Art. 6/1.7. Uitvoeringsmaatregelen
§1. De Vlaamse Regering stelt, na raadpleging van de betrokken sectororganisaties, de minimale cyberbeveiligingsnormen vast en kan referentiekaders en certificatieregelingen aanduiden die geacht worden aan die normen te voldoen.
§2. De Vlaamse Regering kan voor bepaalde categorieën van meldingsplichtige entiteiten gefaseerde termijnen vastleggen voor de implementatie van specifieke maatregelen."
Artikel 6. ( 01/01/2026 - Sancties bij niet-naleving )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 21 februari 2025, wordt in titel XII, hoofdstuk 2, in artikel 12.2.1 een paragraaf 3 toegevoegd, die luidt als volgt: "§3. Een meldingsplichtige entiteit die nalaat te voldoen aan de verplichtingen, vermeld in de artikelen 6/1.2 tot en met 6/1.4, of aan de meldingsplicht, vermeld in artikel 6/1.3, kan door de bevoegde toezichthouder worden beboet met een administratieve geldboete van ten minste 2.500 euro en ten hoogste 500.000 euro per inbreuk. Bij herhaling binnen een periode van vierentwintig maanden kan de maximale geldboete worden verdubbeld."
Artikel 7. ( 01/01/2026 - Uitzondering op openbaarheid )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 21 februari 2025, wordt in titel XIV een artikel 14.3.2/1 ingevoegd, dat luidt als volgt:
"Art. 14.3.2/1. Uitzondering op openbaarheid voor cybersecurity-informatie
In afwijking van de bepalingen inzake openbaarheid van bestuur wordt toegang geweigerd tot documenten die informatie bevatten over beveiligingsarchitecturen, kwetsbaarheden, incidentresponsplannen, auditbevindingen of andere gegevens waarvan de openbaarmaking een reëel risico creëert voor de cyberbeveiliging van vitale energie-infrastructuur. De Vlaamse Regering bepaalt nadere regels over de afbakening en motivering van deze uitzondering."
Hoofdstuk 3. Wijzigingen van het decreet van 19 april 2024 over de operationalisering van een Vlaamse Nutsregulator
Artikel 8. ( 01/10/2025 - Uitbreiding van de opdrachten van de Vlaamse Nutsregulator )
In artikel 5 van het decreet van 19 april 2024 over de operationalisering van een Vlaamse Nutsregulator, het laatst gewijzigd bij het decreet van 12 december 2025, wordt een punt 12° toegevoegd, dat luidt als volgt: "12° het uitoefenen van toezicht op de naleving van de bepalingen inzake cyberbeveiliging in de energiesector, zoals vastgelegd in of krachtens het Energiedecreet van 8 mei 2009, en het uitbrengen van richtsnoeren daaromtrent."
Artikel 9. ( 01/10/2025 - Invoeging van een hoofdstuk over cybertoezicht )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 12 december 2025, wordt in titel V een hoofdstuk 5/1 ingevoegd, dat luidt als volgt:
"Hoofdstuk 5/1. Cybertoezicht
Art. 23/1. Toezichtsbevoegdheden
§1. De Vlaamse Nutsregulator voor Nutsvoorzieningen kan, met het oog op de uitoefening van haar toezichtstaken inzake cyberbeveiliging, van meldingsplichtige entiteiten alle informatie en documenten vorderen die redelijkerwijze nodig zijn voor de beoordeling van de naleving.
§2. Daartoe kan de Vlaamse Nutsregulator ter plaatse inspecties uitvoeren, waaronder geauthentiseerde technische controles, onder voorwaarden die de integriteit en beschikbaarheid van de systemen vrijwaren.
Art. 23/2. Verbeterplannen
§1. Indien de Vlaamse Nutsregulator vaststelt dat een meldingsplichtige entiteit niet voldoet aan de minimale cyberbeveiligingsnormen, kan zij een verbeterplan opleggen met concrete maatregelen, termijnen en rapportageverplichtingen.
§2. De entiteit bezorgt per kwartaal een voortgangsrapport over het verbeterplan aan de Vlaamse Nutsregulator.
Art. 23/3. Samenwerking en informatie-uitwisseling
§1. De Vlaamse Nutsregulator wisselt, binnen het kader van de toepasselijke vertrouwelijkheidsregels, relevante informatie uit met het door de Vlaamse Regering aangewezen contactpunt voor cyberbeveiliging en met het sectoraal beveiligingscentrum energie, met het oog op situational awareness en gecoördineerde respons.
§2. De Vlaamse Regering stelt een protocol vast dat de reikwijdte, modaliteiten en beveiliging van de informatie-uitwisseling regelt.
Art. 23/4. Gegevensbescherming en proportionaliteit
De uitoefening van de bevoegdheden, vermeld in dit hoofdstuk, geschiedt met inachtneming van de beginselen van noodzakelijkheid en proportionaliteit en met eerbiediging van de toepasselijke regelgeving inzake de bescherming van persoonsgegevens."
Artikel 10. ( 01/10/2025 - Administratieve geldboeten )
In artikel 28 van hetzelfde decreet, het laatst gewijzigd bij het decreet van 12 december 2025, wordt een paragraaf 4 ingevoegd, die luidt als volgt: "§4. Onverminderd de sancties voorzien in het Energiedecreet van 8 mei 2009 kan de Vlaamse Nutsregulator voor Nutsvoorzieningen bij vastgestelde niet-naleving van de krachtens dat decreet opgelegde verplichtingen inzake cyberbeveiliging een administratieve geldboete opleggen van ten minste 5.000 euro en ten hoogste 750.000 euro per inbreuk, rekening houdend met de ernst, de duur en de impact op de leveringszekerheid. Vooraleer een geldboete op te leggen, wordt de betrokken entiteit gehoord."
Artikel 11. ( 01/10/2025 - Vertrouwelijkheidsplicht )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 12 december 2025, wordt in artikel 9 een paragraaf 3 toegevoegd, die luidt als volgt: "§3. De personeelsleden en aangestelden die in het kader van het cybertoezicht informatie ontvangen of verwerken, zijn gehouden tot strikte vertrouwelijkheid. De schending van deze plicht wordt gesanctioneerd overeenkomstig de geldende tuchtreglementering en kan aanleiding geven tot burgerrechtelijke aansprakelijkheid."
Artikel 12. ( 01/10/2025 - Bindende richtsnoeren )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 12 december 2025, wordt in artikel 7 een paragraaf 2/1 ingevoegd, die luidt als volgt: "§2/1. De Vlaamse Nutsregulator voor Nutsvoorzieningen kan, na openbare raadpleging, bindende richtsnoeren vaststellen over de interpretatie en toepassing van de minimale cyberbeveiligingsnormen bedoeld in het Energiedecreet van 8 mei 2009. De richtsnoeren worden bekendgemaakt in het Belgisch Staatsblad en op de website van de Vlaamse Nutsregulator."
Hoofdstuk 4. Wijziging van het decreet van 27 februari 2026 houdende diverse bepalingen inzake energie en klimaat
Artikel 13. ( 01/04/2026 - Cyberoefenprogramma en subsidiegrondslag )
In artikel 34 van het decreet van 27 februari 2026 houdende diverse bepalingen inzake energie en klimaat, het laatst gewijzigd bij het decreet van 15 mei 2026, wordt een paragraaf 2 ingevoegd, die luidt als volgt: "§2. De Vlaamse Regering kan, binnen de perken van de goedgekeurde kredieten, subsidies toekennen aan meldingsplichtige entiteiten voor de organisatie en deelname aan sectorale cybercrisisoefeningen. De Vlaamse Regering bepaalt de voorwaarden, het subsidiepercentage en de verantwoordingsvereisten."
Artikel 14. ( 01/04/2026 - Interbestuurlijke coördinatie )
In hetzelfde decreet, het laatst gewijzigd bij het decreet van 15 mei 2026, wordt in hoofdstuk 7 een artikel 52/1 ingevoegd, dat luidt als volgt:
"Art. 52/1. Interbestuurlijke coördinatie cyberbeveiliging
§1. Er wordt een interbestuurlijke stuurgroep cyberbeveiliging energie opgericht, die de afstemming verzekert tussen de Vlaamse administraties bevoegd voor energie en voor informatieveiligheid, de Vlaamse Nutsregulator voor Nutsvoorzieningen en het door de Vlaamse Regering aangewezen contactpunt voor cyberbeveiliging.
§2. De stuurgroep stelt jaarlijks een gecoördineerd werkprogramma vast en rapporteert daarover aan de Vlaamse Regering."
Hoofdstuk 5. Slotbepalingen
Artikel 15. ( 01/09/2025 - Overgangsbepalingen )
Voor meldingsplichtige entiteiten die op de datum van inwerkingtreding van de artikelen 3 tot en met 7 reeds operationeel zijn, gelden de volgende overgangsbepalingen:
- de implementatie van de maatregelen, vermeld in artikel 6/1.2, §2, punten 1° tot en met 4°, wordt uiterlijk binnen negen maanden na inwerkingtreding afgerond;
- de eerste beveiligingsaudit, vermeld in artikel 6/1.4, vindt uiterlijk twaalf maanden na inwerkingtreding plaats;
- de verplichting tot jaarlijkse rapportering, vermeld in artikel 4, is voor het eerst van toepassing op het kalenderjaar volgend op het jaar van inwerkingtreding.
Artikel 16. ( 01/09/2025 - Inwerkingtreding )
Dit decreet treedt in werking als volgt:
- artikel 1 treedt in werking op 1 september 2025;
- de artikelen 8 tot en met 12 treden in werking op 1 oktober 2025;
- de artikelen 2 tot en met 7 treden in werking op 1 januari 2026;
- de artikelen 13 en 14 treden in werking op 1 april 2026.
Artikel 17.
Dit artikel is nog niet in werking. Hieronder vindt u de eerste "toekomstige versie".
( Datum afhankelijk van externe gebeurtenis - Bekendmaking in het Belgisch Staatsblad van het besluit van de Vlaamse Regering houdende erkenning van een sectoraal beveiligingscentrum energie )
In hetzelfde decreet van 19 april 2024 over de operationalisering van een Vlaamse Nutsregulator, het laatst gewijzigd bij het decreet van 12 december 2025, wordt in hoofdstuk 5/1 een artikel 23/5 ingevoegd, dat luidt als volgt:
"Art. 23/5. Erkenning sectoraal beveiligingscentrum energie
§1. De Vlaamse Regering kan, na een oproep en op basis van objectieve en niet-discriminerende erkenningscriteria, een sectoraal beveiligingscentrum energie erkennen voor een hernieuwbare termijn van vijf jaar.
§2. Het erkende centrum levert aan meldingsplichtige entiteiten en de Vlaamse Nutsregulator voor Nutsvoorzieningen diensten inzake monitoring, detectie, analyse en coördinatie van respons bij cyberbeveiligingsincidenten, met inachtneming van de toepasselijke vertrouwelijkheidsregels.
§3. De Vlaamse Regering bepaalt de erkenningscriteria, de taken, de kwaliteitsvereisten, de rapporteringsverplichtingen en de regels inzake toezicht en intrekking van de erkenning."