Op 17 mei 2019 heeft de Raad van de Europese Unie een juridisch kader gecreëerd om door middel van gerichte beperkende maatregelen te reageren op de stijgende trend van georganiseerde cyberaanvallen met aanzienlijke gevolgen die een externe bedreiging vormen voor de Unie of haar lidstaten[1].

Zo kan de Raad voortaan een verbod opleggen om enerzijds naar de EU te reizen[2]of kan ze anderzijds alle geldmiddelen bevriezen die toebehoren aan natuurlijke personen of rechtspersonen die op enige wijze betrokken zijn bij cyberaanvallen of pogingen tot cyberaanvallen[3]. Dergelijke maatregelen moeten dienen als afschrikking.

Bovendien moeten zij onderscheiden worden van het aansprakelijk stellen van een derde Staat voor cyberaanvallen. De toepassing van gerichte beperkende maatregelen komt niet neer op een aansprakelijkheidstelling, wat steeds een soeverein politiek besluit blijft dat op een individuele basis wordt genomen. Het staat iedere lidstaat wel vrij om de aansprakelijkheidsstelling van een derde Staat met betrekking tot cyberaanvallen zelf te bepalen[4]. De Uniewetgever wil op die manier de juridische, technische en politieke moeilijkheden vermijden die rijzen bij het toerekenen van een cyberaanval aan een Staat[5].

Onder cyberaanvallen verstaat de verordening van 17 mei 2019 één van de volgende activiteiten:

• zich toegang verschaffen tot informatiesystemen;
• verstoren van informatiesystemen;
• verstoren van gegevens;
• onderscheppen van gegevens.

Cyberaanvallen die een externe bedreiging vormen, omvatten onder meer degene die ofwel afkomstig zijn, of worden uitgevoerd, van buiten de Unie, ofwel gebruik maken van infrastructuur buiten de Unie, dan wel worden uitgevoerd door natuurlijke of rechtspersonen die buiten de Unie zijn gevestigd of actief zijn, of worden uitgevoerd met de steun van natuurlijke personen of rechtspersonen die buiten de Unie actief zijn.

Een cyberaanval kan dan ook een bedreiging vormen voor een lidstaat als informatiesystemen worden aangevallen die bijvoorbeeld betrekking hebben op de kritieke infrastructuur, of diensten die nodig zijn voor het in stand houden van essentiële sociale en/of economische activiteiten, of kritieke functies van de staat zoals op het gebied van defensie en van het bestuur en het functioneren van de instellingen[6].

Met de SolarWinds-cyberaanval op de Amerikaanse federale regering, de cyberaanval op het Duitse federale parlement in 2015 en de recente cyberaanval op het Europees Geneesmiddelenbureau van Pfizer en BioNTech is het duidelijk dat cyberbeveiliging steeds relevanter wordt[7]. Al op 19 juni 2017 nam de Raad conclusies aan over een kader voor een gezamenlijke diplomatieke reactie op kwaadwillige cyberactiviteiten. Het zogenaamde Instrumentarium voor cyberdiplomatie waarin de Raad zijn bezorgdheid uitte over de toegenomen capaciteit en bereidheid van Staten en niet-statelijke actoren om via kwaadwillige cyberaanvallen hun doelstellingen te bereiken. De Raad wees toen al op de groeiende behoefte aan bescherming van de integriteit en veiligheid van de Unie, haar lidstaten en haar burgers tegen cyberbedreigingen[8].

Besluit

Zoals hierboven werd beschreven, kiest de Uniewetgever met het cybersanctieregime voor het sanctioneren van niet-statelijke actoren om op die manier politieke en diplomatieke moeilijkheden te vermijden. Het cybersanctieregime sluit het toeschrijven van de verantwoordelijkheid voor een cyberaanval aan een Staat expliciet uit. Het toerekenen van een cyberaanval aan een Staat kan immers aanzienlijke politieke spanningen teweegbrengen. Het is maar de vraag of de Uniewetgever op die manier geen juridische fictie creëert. De meerderheid van voorkomende cyberaanvallen wordt immers op verzoek van of met de steun van overheden uitgevoerd, zoals Stuxnet[9], Wannacry[10]en NotPetya[11]. Bovendien zal de schijn van toerekening aan een Staat blijven bestaan wanneer de Unie cybersancties uitvaardigt tegen een onderdaan van die bepaalde derde Staat[12].

Als u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren.

Joost Peeters, Studio Legale

Referenties

[1] Zie overweging (7) van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen; VERORDENING (EU) 2019/796 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[2] Zie artikel 4 van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[3] Zie artikel 5 van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen. Zie artikel 3 van de VERORDENING (EU) 2019/796 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[4] Zie overweging (8) en (9) van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[5] A. VERHELST, M. RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 2, 52.

[6] https://ecer.minbuza.nl/-/een-eu-cybersanctieregime-stap-voor-meer-veiligheid-in-cyberspace

[7] A. VERHELST, M. RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 2, 43.

[8] Zie overweging (1) van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[9] De Stuxnet-cyberaanvallen tegen Iraanse nucleaire faciliteiten waren volgens sommige bronnen een gezamenlijke operatie van de Verenigde Staten en Israël. Zie DUMORTIER, V. PAPAKONSTANTINOU en P. DE HERT, “EU sanctions against cyber-attacks and defense rights: Wanna-Cry?”, European Law Blog 2020, 2 en J. KAMBIC en S. LILES, “Non-State Cyber Power in ONG”, Journal of Information Warfare 2014, 57-67.

[10] WannaCry was een uitbraak van ransomware die zich richtte op het Windowsbesturingssyteem in verscheidende landen. Zie VK, Departement van Buitenlandse Zaken, “Foreign Office Minister condems North Korean actor for WannaCry attacks”, Persmededeling 19 december 2019, online beschikbaar op https://gov.uk/government/news/foreign-office-minister-condems-north-korean-actor-for-wannacry-attacks en G. FUSTER L. JASMONTAITE, “Cybersecurity Regulation in the European Union: The Digital, the Critical and Fundamental Rights” in M.CHRISTEN, B.GORDIJN en M.LOI (eds.), The Ethics of cybersecurity, Cham, Springer, 2020, 99-100.

[11] De NotPetya-aanval was een uitbraak van ransomware die opnieuw het Windowsbesturingssysteem viseerde. Zie VK, Departement van Buitenlandse Zaken en Nationaal Centrum voor Cyberbeveiliging, “Foreign Office Ministers condems Russia for NotPetya attacks”, Nieuwsmededeling 15 februari 2018; B. BLUMBERGS, K. VAN DER MEIJ en L.LINDSTRÖM, “NotPetya and WannaCry Call for a Joint Response from International Community”, NATO Cooperative Cyber Defence Centre of Excellence Paper 2018.

[12] A. VERHELST, M. RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 2, 52.