In een wereld waar cyberaanvallen steeds vaker voorkomen, is het van cruciaal belang om te zorgen voor de beveiliging van communicatie- en informatiesystemen (CIS) die geclassificeerde informatie verwerken, opslaan of verzenden. 

Een communicatie- en informatiesysteem is een digitaal of IT-systeem, gaande van één enkele standalonecomputer tot een computernetwerk dat uit meerdere servers en toestellen bestaat. 

De meest voorkomende beveiligingsvereisten voor een CIS zijn: 

Vertrouwelijkheid	de verwerkte, opgeslagen of verzonden informatie mag niet begrijpelijk zijn voor derden.
Integriteit	de informatie mag niet door derden zijn gewijzigd.
Beschikbaarheid	het CIS moet bruikbaar zijn op de geplande uren en plaatsen.
Authenticatie	de identiteit van de gebruiker moet worden gecontroleerd.
Onweerlegbaarheid	de zekerheid dat de gebruiker niet kan ontkennen een handeling in een CIS te hebben uitgevoerd.

Er bestaan talrijke maatregelen om aan deze beveiligingsvereisten te voldoen, waaronder (maar niet beperkt tot): 

• Encryptie
• TEMPEST-maatregelen (beveiliging van systemen tegen ongewenste elektromagnetische straling)
• Bescherming van computernetwerken
• Bescherming van end devices
• Identity and access management (IAM)
• Risicoanalyses 
• Beveiligingsaudits 
• Pen testing 

Om te waarborgen dat aan deze beveiligingsvereisten wordt voldaan, moet een CIS worden goedgekeurd alvorens het geclassificeerde informatie mag verwerken. De goedkeuring van een CIS wordt in de Belgische wet gedefinieerd als "de officiële toelating om een communicatie- en informatiesysteem te hanteren voor de aanwending van geclassificeerde informatie nadat dit systeem werd onderworpen aan een goedkeuringsprocedure". Deze goedkeuring moet op regelmatige tijdstippen worden hernieuwd. 

De NVO is de instantie die bevoegd is om goedkeuringen van een CIS af te geven, te wijzigen, op te schorten of in te trekken. De goedkeuringsprocedure is gebaseerd op een beoordeling van documentatie, een terreinonderzoek, interviews, controle van de risicobeoordeling en het risicobeheer en op technische tests. Deze procedure verschilt naargelang het soort CIS. Wij vragen u dan ook om contact op te nemen met de CIS-sectie van de NVO om te weten welke goedkeuringsprocedure op uw CIS van toepassing is via Contact. 

Vanaf het niveau "VERTROUWELIJK" moeten geclassificeerde IT-systemen ook worden beschermd tegen de ongewenste emissie van straling die kan worden onderschept of gemonitord. Deze straling kan uit verschillende soorten golven bestaan: elektromagnetische golven, radiogolven, geluidsgolven of trillingsgolven. 

Deze bescherming, TEMPEST genaamd, kan op twee verschillende manieren gebeuren.

1. De eerste oplossing is zoning, waarbij een voldoende grote veiligheidsperimeter rond de te beschermen IT-systemen wordt ingesteld om ervoor te zorgen dat de straling voldoende wordt verminderd.
2. De tweede oplossing is specifiek IT-materiaal (‘TEMPEST niveau A, B of C’) gebruiken dat deze ongewenste straling vermindert op een wijze die gelijkwaardig is aan zoning. 

De NVO, die optreedt als National TEMPEST Authority, moet de zoning-procedures bij de  geaudite entiteiten controleren. Ze stelt ook een lijst op van bedrijven die geaccrediteerde TEMPEST-uitrusting produceren. Ter informatie, de TEMPEST-bedrijven die door de NAVO en door de EU werden geaccrediteerd, zijn: 

• Lijst van TEMPEST-bedrijven die door de NAVO zijn geaccrediteerd 

• Lijst van TEMPEST-bedrijven die door de EU zijn geaccrediteerd 

Retributies

De bedragen van de retributies voor de goedkeuringen van CIS zijn als volgt vastgelegd: 

• 250,- € voor de goedkeuring van een niet-geïnterconnecteerd  CIS van het classificatieniveau "VERTROUWELIJK", "GEHEIM" of "ZEER GEHEIM"; 
• 1.000,- € voor de goedkeuring van een geïnterconnecteerd  CIS. 

De retributies worden jaarlijks op 1 januari aangepast aan de evolutie van de gezondheidsindex van de maand september van het voorgaande jaar. De referentie-index is die van september 2023.