les 11

# Cybercriminaliteit: aard en aanpak Cybercriminaliteit: aard en aanpak Dit onderwerp verkent de definitie, diverse vormen en de aanpak van cybercriminaliteit, met aandacht voor zowel inhoudelijke als procedurele aspecten, en de relevante internationale en Europese instrumenten. ## 1. Aard van cybercriminaliteit Cybercriminaliteit omvat een breed scala aan criminele activiteiten waarbij computers en informatiesystemen betrokken zijn, hetzij als primair hulpmiddel, hetzij als primair doelwit. Deze misdrijven verschijnen frequent in het nieuws en vertonen vaak gelijkenissen met traditionele offline misdaadcategorieën zoals fysieke of seksuele schade, en financiële misdrijven. ### 1.1 Onderscheid tussen cyber-enabled en cyber-afhankelijke misdrijven Cybercriminaliteit kan worden onderverdeeld in twee hoofdcategorieën: * **Cyber-enabled (cyber-gefaciliteerde) misdrijven:** Dit zijn traditionele misdrijven die gefaciliteerd worden door technologie. * Voorbeelden: fraude, identiteitsdiefstal, seksueel misbruik van kinderen, niet-consensuele verspreiding van beelden. * **Cyber-afhankelijke misdrijven:** Dit zijn misdrijven die enkel bestaan dankzij de technologie. * Voorbeelden: hacking, systeemmanipulatie, malware-implementatie. ### 1.2 Vormen en voorbeelden van cybercriminaliteit * **Seksuele uitbuiting en afpersing:** Een terugkerend patroon omvat het aangaan van een online relatie met een onbekend persoon, het overhalen van slachtoffers om intieme beelden te versturen, en deze beelden vervolgens te gebruiken voor sextortion door te dreigen met publicatie tenzij betaling wordt verricht. * **Online stalking:** Stalking vindt steeds vaker online plaats met behulp van trackingtechnologieën en intimidatie via digitale middelen. Dit kan leiden tot angst, schaamte, psychologische schade en gevolgen voor het professionele en sociale leven. * **Malware en ransomware:** Phishing wordt vaak ingezet om malware en ransomware te installeren. Slachtoffers kunnen individuen, bedrijven of kritieke entiteiten zoals ziekenhuizen en energieproviders zijn. Bij ransomware-aanvallen worden apparaten vergrendeld, toegang tot bestanden ontzegd en losgeld geëist. Aanvallen op kritieke infrastructuur kunnen hele samenlevingen ontwrichten. * **Investeringsfraude:** Hierbij proberen criminelen slachtoffers te overtuigen om te investeren in niet-bestaande of valse financiële producten, vaak met de belofte van hoge rendementen met weinig risico. Na ontvangst van geld verdwijnen de fraudeurs vaak spoorloos. Slachtoffers worden benaderd via sociale media, advertenties, valse websites, e-mails, datingplatforms, WhatsApp, sms en telefonisch. * **Voorbeeld:** Een documentaire belichtte grootschalige fraude via Facebook-advertenties, gebruik van valse aanbevelingen door bekende publieke figuren, doorverwijzing naar valse investeringsplatforms, en de geleidelijke afname van steeds grotere geldbedragen. Miljoenen euro's werden verloren, met een gemiddeld verlies per slachtoffer van ongeveer €37.000. * **Financiële cybercriminaliteit:** Dit omvat onder andere phishing om creditcardgegevens te verkrijgen, investeringsfraude (cryptovaluta of aandelen) en identiteitsdiefstal. Phishing vindt plaats via e-mail, sms, WhatsApp en telefoongesprekken, waarbij officiële organisaties worden geïmiteerd om persoonlijke gegevens te verkrijgen. * **Hacking:** Dit wordt gedefinieerd als ongeautoriseerde toegang tot een informatiesysteem. * **Ethisch hacken:** Het opsporen van kwetsbaarheden zonder kwaadwillige intentie. Sinds 15 februari 2023 zijn ethische hackers in België vrijgesteld van strafrechtelijke aansprakelijkheid onder strikte voorwaarden, zoals het handelen zonder frauduleuze opzet, het tijdig informeren van de organisatie en het Centre for Cybersecurity Belgium (CCB), en het respecteren van vertrouwelijkheid. ### 1.3 De rol van kunstmatige intelligentie (AI) AI intensiveert cybercriminaliteit aanzienlijk: * Phishingberichten zijn taalkundig perfect. * Voice deepfakes worden gebruikt om CEO's te imiteren. * AI-gegenereerde beelden en video's verhogen de geloofwaardigheid van scams. * Dit bemoeilijkt onderzoeken en de toewijzing van verantwoordelijkheid. ### 1.4 Online seksueel misbruik van kinderen (CSAM) Digitalisering heeft geleid tot een verhoogde prevalentie van CSAM door vereenvoudigde productie, wereldwijde distributie en live streaming van misbruik. Kinderen worden via sociale media en gamingplatforms benaderd ("grooming") met als doel het verkrijgen van beelden of het plegen van misbruik in het echte leven. De wetgeving criminaliseert de hele keten, van productie tot verwerving en bezit. Er bestaan discussies over uitzonderingen, zoals consensuele sexting tussen minderjarigen boven de zestien jaar, met wederzijdse toestemming, hoewel dit niet geldt bij verspreiding aan derden, bepaalde familierelaties, of indien de dader misbruik maakt van een positie van vertrouwen of gezag. ### 1.5 Niet-consensuele verspreiding van intieme beelden Dit misdrijf veroorzaakt ernstige psychologische schade en kan leiden tot zelfmoord. AI-gegenereerde deepfakes veroorzaken vergelijkbare schade en worden steeds vaker meegenomen in wetgeving. Het centrale juridische criterium is toestemming. ### 1.6 Uitdagingen Belangrijke uitdagingen bij de aanpak van cybercriminaliteit omvatten: * Snelle technologische evolutie. * Criminelen die de wetshandhaving te slim af zijn. * Beperkte middelen van de wetshandhaving. * Het territoriale karakter van het strafrecht. * Gebrek aan wereldwijde harmonisatie. * Criminelen die juridische mazen en jurisdicties met zwakke handhavingsomgevingen uitbuiten. ## 2. Procedurele aspecten en aanpak Het onderzoeken van cybercriminaliteit is bijzonder moeilijk vanwege de grenzeloze aard van het internet, de vaak internationale spreiding van daders en slachtoffers, en de moeilijkheid om daders op te sporen. Internationale instrumenten trachten de grensoverschrijdende bewijsverzameling, digitale dataopslag en samenwerking tussen wetshandhavingsinstanties te faciliteren. ### 2.1 Procedurele uitdagingen * **Vlugge bewijzen:** Digitale bewijzen zijn vaak vluchtig en kunnen snel verloren gaan. * **Anonymiteit:** Daders maken gebruik van anonimiteitstools. * **Internationale jurisdictie:** Servers bevinden zich vaak in het buitenland, wat juridische complicaties oplevert. * **Cryptocurrencies:** Het traceren van transacties met cryptocurrencies is complex. ### 2.2 Procedurele instrumenten * **Data preservation:** Het bewaren van digitale gegevens. * **Production orders:** Bevelen om specifieke computergegevens te overleggen. * **Digital searches:** Doorzoekingen van digitale systemen. * **Real-time interception:** Realtime onderschepping van communicatie (met waarborgen). ### 2.3 Internationale en Europese instrumenten * **Raad van Europa Cybercrimeverdrag (Boedapest Conventie, 2001):** Het eerste uitgebreide cybercrimeverdrag, open voor niet-Europese landen. Het streeft naar harmonisatie van strafbare feiten, procedurele bevoegdheden en internationale samenwerking (via een 24/7 contactnetwerk). * **Verenigde Naties Cybercrimeverdrag (2024):** Na jaren van onderhandelingen aangenomen, maar gecontesteerd vanwege zorgen over mensenrechten en mogelijke misbruik van surveillancebevoegdheden. De EU plant het te ondertekenen, de VS niet. Het verdrag beoogt de criminalisering van cyberafhankelijke en cyber-enabled misdrijven en faciliteert internationale samenwerking. * **EU-instrumenten:** * Richtlijn inzake seksueel misbruik van kinderen (2011). * Richtlijn inzake aanvallen op informatiesystemen (2013). * Richtlijn ter bestrijding van geweld tegen vrouwen en huiselijk geweld (inclusief cybergeweld). * **E-Evidence Verordening:** Maakt directe verzoeken aan dienstverleners mogelijk met strikte deadlines voor het verkrijgen van elektronisch bewijs in strafrechtelijke procedures. Een Europese productieverordening moet snellere toegang tot bewijs mogelijk maken (10 dagen, of 8 uur in spoedgevallen). Een Europese bewaringsverordening maakt het mogelijk data te bewaren voor toekomstige verzoeken. * **Belgisch Procedureel Recht:** Omvat de inbeslagname van data, (niet-geheime en geheime) computer- en netwerkdoorzoekingen, bewaringsbevelen, identificatie van internetgebruikers, en verplichtingen tot medewerking voor providers. Ook "legaal hacken" onder gerechtelijk toezicht is mogelijk. ### 2.4 EU Cybersecurity Strategie De EU streeft naar een open, veilige en beveiligde cyberspace. Belangrijke instrumenten hierin zijn: * **NIS-richtlijn (en NIS2):** Vereist nationale strategieën, bevoegde autoriteiten, samenwerkingsmechanismen en meldingsplichten voor essentiële en belangrijke entiteiten. Topmanagement kan persoonlijk aansprakelijk worden gesteld. * **Cybersecurity Act (Verordening (EU) 2019/881):** Definieert cybersecurity als de activiteiten die nodig zijn om netwerk- en informatiesystemen, gebruikers en andere betrokkenen te beschermen tegen cyberdreigingen. * **Cyber Resilience Act:** Stelt regels op voor het op de markt brengen van producten met digitale elementen om de cybersecurity ervan te waarborgen. Dit omvat essentiële vereisten voor ontwerp, ontwikkeling, productie en het verwerken van kwetsbaarheden gedurende de gehele levenscyclus van het product. Fabrikanten blijven verantwoordelijk voor de cybersecurity van een product. > **Tip:** De strijd tegen cybercriminaliteit vereist een multidisciplinaire aanpak, waarbij zowel wetgevende, procedurele als technologische maatregelen centraal staan. Internationale samenwerking is cruciaal vanwege de grensoverschrijdende aard van deze misdrijven. > **Voorbeeld:** De introductie van de E-Evidence Verordening toont de pogingen om de procedurele obstakels bij het verkrijgen van digitaal bewijs in grensoverschrijdende zaken te verminderen, met als doel een snellere en effectievere rechtshandhaving. --- # Specifieke vormen van cybercriminaliteit Hier is de studiehandleiding voor specifieke vormen van cybercriminaliteit. ## 2. Specifieke vormen van cybercriminaliteit Dit onderdeel van de analyse belicht diverse specifieke soorten cybercriminaliteit, waaronder seksuele uitbuiting, online stalking, malware, ransomware, investeringsfraude, en de versterkende rol van kunstmatige intelligentie in deze misdrijven. ### 2.1 Seksuele uitbuiting en afpersing Een terugkerend patroon binnen deze categorie is het aangaan van een online relatie met een onbekende, waarna slachtoffers worden overgehaald om intieme beelden te versturen. Deze beelden worden vervolgens gebruikt voor 'sextortion', waarbij dreiging met publicatie wordt gebruikt om betalingen af te dwingen. ### 2.2 Online stalking Stalking vindt steeds vaker online plaats. Hierbij maken criminelen gebruik van trackingtechnologieën en intimidatie via digitale middelen. Deze vormen van cybercriminaliteit hebben ernstige gevolgen, waaronder angst, schaamte, psychologische schade en langdurige negatieve effecten op het professionele en sociale leven van de slachtoffers. ### 2.3 Malware en ransomware Phishing wordt vaak ingezet als middel om malware en ransomware te installeren. Zowel individuen als bedrijven, en zelfs kritieke sectoren zoals ziekenhuizen, energiecentrales, transportbedrijven en waterdiensten, kunnen slachtoffer worden. Bij ransomware worden apparaten vergrendeld, wordt de toegang tot bestanden en data ontzegd en wordt losgeld geëist. Aanvallen op kritieke infrastructuur kunnen leiden tot maatschappelijke ontwrichting. > **Tip:** Malware is kwaadaardige software ontworpen om computersystemen te beschadigen of ongeautoriseerd toegang te krijgen. Ransomware is een specifieke vorm van malware die gegevens versleutelt en losgeld eist voor ontsleuteling. ### 2.4 Investeringsfraude Investeringsfraude omvat oplichtingspraktijken waarbij criminelen proberen slachtoffers te overhalen geld te investeren in niet-bestaande of valse financiële producten, zoals crypto- of forexproducten. Vaak worden hoge rendementen met weinig risico beloofd, wat een valstrik is om geld te stelen. Na ontvangst van het geld verdwijnen de fraudeurs vaak spoorloos. Slachtoffers worden benaderd via sociale media, advertenties, valse websites of platforms, e-mails, datingwebsites en -apps, WhatsApp, sms en telefoongesprekken. > **Voorbeeld:** Een documentaire belichtte wijdverspreide fraude via Facebookadvertenties, waarbij valse aanbevelingen van bekende publieke figuren werden gebruikt om slachtoffers naar nep-investeringsplatforms te leiden. Grote sommen geld, soms tienduizenden tot honderdduizenden euro's, werden hierbij geleidelijk afgetroggeld. Er werd gerapporteerd dat in het eerste halfjaar van 2025 14,6 miljoen euro aan spaargeld verloren ging, een stijging van 24% ten opzichte van 2020, met een gemiddeld verlies per Belgisch slachtoffer van ongeveer 37.000 euro. Deze operaties worden vaak uitgevoerd door professionele criminele organisaties vanuit callcenters in het buitenland. ### 2.5 Financiële cybercriminaliteit Voorbeelden van financiële cybercriminaliteit zijn phishing om creditcardgegevens te verkrijgen, investeringsfraude (in cryptovaluta of aandelen), en identiteitsdiefstal. Phishing vindt plaats via e-mail, sms, WhatsApp-berichten en telefoongesprekken. De berichten lijken authentiek en imiteren officiële organisaties om persoonsgegevens te ontfutselen, die vervolgens voor fraude worden gebruikt. ### 2.6 De rol van kunstmatige intelligentie (AI) Kunstmatige intelligentie heeft cybercriminaliteit aanzienlijk geïntensiveerd. AI maakt phishingberichten taalkundig perfect, stem-deepfakes kunnen CEO's of leidinggevenden imiteren, en AI-gegenereerde beelden en video's verhogen de geloofwaardigheid van frauduleuze communicatie. Dit resulteert in overtuigendere oplichting, moeilijkere onderzoeken en complexere attibutie van verantwoordelijkheid. ### 2.7 Cyberafhankelijk en cybergefaciliteerd misdrijf Cybercriminaliteit kan breed worden omschreven als een reeks criminele activiteiten waarbij digitale technologieën, computers en informatiesystemen betrokken zijn, hetzij als primair instrument, hetzij als primair doelwit. * **Cybergefaciliteerde misdrijven (Cyber-enabled Crimes):** Traditionele misdrijven die worden gefaciliteerd door technologie, zoals fraude, identiteitsdiefstal, seksueel misbruik van kinderen en het delen van beelden zonder toestemming. * **Cyberafhankelijke misdrijven (Cyber-dependent Crimes):** Misdrijven die enkel bestaan dankzij technologie, zoals hacking, systeeminterferentie en de inzet van malware. ### 2.8 Online seksuele uitbuiting van kinderen Technologie en digitalisering bieden nieuwe wegen voor seksuele delinquenten om contact te leggen met en kinderen te verleiden tot seksuele activiteiten ("grooming"). Dit omvat het bekijken en deelnemen aan online seksueel misbruik via live videostreaming, het verspreiden van materiaal met kinder seksuele uitbuiting (inclusief zelf gegenereerde inhoud uit "sexting"), en het plegen van seksuele afpersing van kinderen. #### 2.8.1 Child Sexual Abuse Material (CSAM) De digitalisering heeft geleid tot een verhoogde prevalentie en vereenvoudigde wereldwijde distributie van CSAM, inclusief live streaming van misbruik. Kinderen worden via sociale media en gamingplatforms benaderd, wat kan leiden tot het verzoek om beelden of zelfs tot misbruik in de echte wereld. #### 2.8.2 Criminalisering en uitzonderingen De wetgeving criminaliseert de gehele keten: productie, distributie, aanschaf, bezit, en het verkrijgen van toegang tot CSAM. In juridische evoluties wordt rekening gehouden met consensuele sexting tussen minderjarigen, met uitzonderingen waar wederzijdse toestemming bestaat en de minderjarigen de leeftijd van seksuele toestemming hebben bereikt. België heeft een expliciete uitzondering geïntroduceerd, hoewel er discussie blijft over leeftijdsgrenzen en de bescherming van jongere adolescenten. > **Tip:** Het juridische kader inzake online seksuele uitbuiting van kinderen evolueert voortdurend, met internationale verdragen zoals de Lanzarote Conventie en EU-richtlijnen die de definitie en reikwijdte van misdrijven aanpassen, waarbij de focus verschuift van "kinderpornografie" naar "materiaal met kinder seksuele uitbuiting" (CSAM). #### 2.8.3 Rechtsinstrumenten Belangrijke rechtsinstrumenten zijn het VN-Verdrag inzake de Rechten van het Kind, de Lanzarote Conventie (2007), de EU-richtlijn (2011) en de nieuwe VN Cybercriminaliteitsverdrag. De Conventie inzake de bescherming van kinderen tegen seksuele uitbuiting en seksueel misbruik (Lanzarote Conventie) beoogt de preventie en bestrijding van seksuele uitbuiting en misbruik van kinderen, de bescherming van slachtoffers en het bevorderen van internationale samenwerking, met bijzondere aandacht voor het groeiende gebruik van informatietechnologieën (ICT). ##### 2.8.3.1 Strafbare feiten met betrekking tot materiaal met kinder seksuele uitbuiting Elke partij neemt de nodige wetgevende en andere maatregelen om ervoor te zorgen dat de volgende opzettelijke handelingen, wanneer deze zonder recht worden gepleegd, worden gecriminaliseerd: * Productie van materiaal met kinder seksuele uitbuiting. * Het aanbieden of beschikbaar stellen van materiaal met kinder seksuele uitbuiting. * Distributie of transmissie van materiaal met kinder seksuele uitbuiting. * Verkrijgen van materiaal met kinder seksuele uitbuiting voor eigen gebruik of voor een ander persoon. * Bezitten van materiaal met kinder seksuele uitbuiting. * Opzettelijk toegang verkrijgen, via informatietechnologie en communicatietechnologie, tot materiaal met kinder seksuele uitbuiting. ##### 2.8.3.2 Seksuele intimidatie van kinderen De Conventie definieert seksuele intimidatie van kinderen als het opzettelijk voorstellen, via informatietechnologie en communicatietechnologie, door een volwassene aan een kind onder de leeftijd van seksuele toestemming, met het oog op het plegen van een seksueel misdrijf tegen dat kind. ##### 2.8.3.3 Uitzonderingsgrond voor consensueel materiaal Het Belgische Strafwetboek bevat een uitzonderingsgrond voor het consensueel maken, bezitten en onderling delen van seksueel getinte inhoud door minderjarigen boven de zestien jaar, mits er wederzijdse toestemming is. Deze uitzondering geldt niet onder bepaalde voorwaarden, zoals verspreiding naar derden, familierelaties met specifieke gradaties, of wanneer de dader een positie van vertrouwen of gezag over het kind heeft. > **Tip:** De juridische definitie van het bekijken van beelden van seksueel misbruik van minderjarigen via ICT, zoals vastgelegd in het Belgische Strafwetboek, is breed en omvat het zich toegang verschaffen tot dergelijke beelden. De straffen kunnen variëren van een gevangenisstraf van één jaar tot drie jaar en een geldboete van vijfhonderd euro tot tienduizend euro. ### 2.9 Niet-consensuele verspreiding van intieme beelden Dit misdrijf veroorzaakt ernstige psychologische schade, heeft gevolgen voor het professionele en persoonlijke leven van slachtoffers, en heeft in sommige gevallen tot zelfmoorden geleid. AI-gegenereerde deepfakes veroorzaken vergelijkbare schade en worden steeds vaker in de wetgeving aangepakt. Toestemming is hierbij het centrale juridische criterium. ### 2.10 Hacking Hacking wordt gedefinieerd als ongeautoriseerde toegang tot een informatiesysteem. In tegenstelling hiermee staat ethisch hacken, dat gericht is op het detecteren van kwetsbaarheden zonder kwaadaardige intentie. Historisch gezien bevond ethisch hacken zich in een juridisch grijs gebied. #### 2.10.1 Juridisch kader in België (2023) Ethische hackers zijn vrijgesteld van strafrechtelijke aansprakelijkheid indien zij handelen zonder intentie om schade te veroorzaken, hun acties beperken tot noodzakelijke tests, de betreffende organisatie onmiddellijk informeren, het Centrum voor Cybersecurity België (CCB) op de hoogte stellen en vertrouwelijkheid respecteren. België promoot ethisch hacken via initiatieven zoals 'Hack the Government'. > **Voorbeeld:** Het 'Hack the Government'-initiatief legde 70 unieke kwetsbaarheden bloot, wat aantoont hoe ethisch hacken kan bijdragen aan het versterken van de digitale veiligheid. #### 2.10.2 Definitie van kwetsbaarheid Een kwetsbaarheid wordt gedefinieerd als een zwakte, vatbaarheid of defect van een activum of van een netwerk en informatiesysteem dat door een cyberdreiging kan worden uitgebuit. --- # Cyberbeveiliging en juridische kaders Hieronder volgt een samenvatting van het onderwerp "Cyberbeveiliging en juridische kaders", opgesteld conform de gestelde eisen. ## 3. Cyberbeveiliging en juridische kaders Dit onderwerp behandelt de doelstellingen van cybersecurity, de belangrijkste EU-regelgeving zoals de NIS2-richtlijn en de Cyber Resilience Act, en de implementatie ervan op nationaal niveau, inclusief de rol van het Centre for Cybersecurity Belgium. ### 3.1 Doelstellingen van cybersecurity Cybersecurity heeft als primair doel het beschermen van netwerken, informatiesystemen, gebruikers en de samenleving in het algemeen tegen cyberdreigingen. Deze aanvallen kunnen verschillende motivaties hebben, waaronder criminele, politieke of staatsgesponsorde intenties. De doelwitten variëren van individuen en bedrijven tot kritieke infrastructuren. > **Tip:** Cybersecurity is een breed concept dat zowel technische als organisatorische maatregelen omvat om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie en systemen te waarborgen. De definitie van cybersecurity, zoals vastgelegd in de Cybersecurity Act, omvat "de activiteiten die nodig zijn ter bescherming van netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die worden getroffen door cyberdreigingen." ### 3.2 Europees juridisch kader voor cybersecurity Het Europese Unie heeft een ambitieus kader ontwikkeld om de cybersecurity binnen de lidstaten te versterken. De belangrijkste pijlers hiervan zijn de NIS2-richtlijn en de Cyber Resilience Act. #### 3.2.1 NIS2-richtlijn (Richtlijn (EU) 2022/2555) De NIS2-richtlijn, ook wel bekend als de Network and Information Security 2 Directive, heeft tot doel het nastreven van een hoog gemeenschappelijk niveau van cybersecurity in de gehele Unie. De belangrijkste vernieuwingen en vereisten omvatten: * **Verbetering van nationale cybersecuritycapaciteiten:** Lidstaten moeten nationale cybersecuritystrategieën opstellen, nationale bevoegde autoriteiten aanwijzen, cybercrisismanagementautoriteiten inrichten en contactpunten en computer security incident response teams (CSIRTs) opzetten. * **Samenwerking op nationaal en EU-niveau:** Er is voorzien in een samenwerkingsgroep, een netwerk van CSIRTs, en een Europees netwerk van cybercrisis-coördinatiecentra. * **Cybersecurity risicobeheer en rapportageverplichtingen:** Essentiële en belangrijke entiteiten binnen cruciale sectoren zijn onderworpen aan strikte risicobeheermaatregelen en meldingsplichten voor incidenten. * **Verantwoordelijkheid van topmanagement:** Topmanagers kunnen persoonlijk aansprakelijk worden gesteld voor het niet naleven van de verplichtingen onder de richtlijn. * **Uitgebreide sectoren:** De richtlijn breidt de reikwijdte uit naar sectoren van hoge kritikaliteit (energie, transport, bankwezen, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstbeheer, openbaar bestuur, ruimtevaart) en andere kritieke sectoren (post- en koeriersdiensten, afvalbeheer, chemie, voedsel, productie van medische apparatuur, computers en elektronica, machines, voertuigen, digitale providers en onderzoeksinstellingen). * **Hoge boetes:** Sancties bij niet-naleving kunnen aanzienlijk zijn. #### 3.2.2 Cyber Resilience Act De Cyber Resilience Act heeft als doel de cybersecurity van producten met digitale elementen te verbeteren door regels op te stellen voor het op de markt brengen van dergelijke producten. De kernaspecten zijn: * **Essentiële vereisten:** Verplichtingen voor het ontwerp, de ontwikkeling en de productie van producten met digitale elementen, met een focus op cybersecurity. * **Verantwoordelijkheden van economische operatoren:** Producenten blijven verantwoordelijk voor de cybersecurity van hun producten gedurende de gehele levenscyclus, inclusief het beheren van kwetsbaarheden. * **Levenscyclusbeheer van kwetsbaarheden:** Fabrikanten moeten processen opzetten voor het afhandelen van kwetsbaarheden om de cybersecurity gedurende de hele levensduur te waarborgen. * **Transparantie voor consumenten:** Consumenten moeten correct worden geïnformeerd over de cybersecuritykenmerken van de producten die zij kopen en gebruiken. * **Toepassingsgebied:** De wet is van toepassing op een breed scala aan hardware- en softwareproducten die verbonden zijn met het internet (bedraad of draadloos), inclusief oplossingen voor gegevensverwerking op afstand, zoals browsers, besturingssystemen, firewalls, routering- en beheersystemen. * **Beveiliging door ontwerp:** De nadruk ligt op "security by design" en verplichte updates. > **Tip:** Zowel de NIS2-richtlijn als de Cyber Resilience Act benadrukken het belang van een proactieve benadering van cybersecurity, waarbij de verantwoordelijkheid niet alleen bij de eindgebruiker ligt, maar ook bij de ontwerpers en aanbieders van digitale producten en diensten. ### 3.3 Implementatie op nationaal niveau: België Op nationaal niveau worden de Europese initiatieven vertaald in concrete beleidsmaatregelen en implementaties. #### 3.3.1 Rol van het Centre for Cybersecurity Belgium (CCB) Het Centre for Cybersecurity Belgium (CCB) speelt een centrale rol in de Belgische implementatie van de cybersecuritywetgeving. * **Aanstelling:** Het CCB is aangewezen als nationale bevoegde autoriteit en als nationaal CSIRT (Computer Security Incident Response Team). * **Implementatie NIS2:** België heeft de NIS2-richtlijn vroegtijdig geïmplementeerd, waarbij het CCB een sleutelrol heeft in het creëren van meldingsplatformen en het verstrekken van richtlijnen. Entiteiten moeten zich registreren, risicobeheer implementeren en incidenten binnen strikte termijnen rapporteren. * **Ethical Hacking:** Sinds 15 februari 2023 zijn ethische hackers in België vrijgesteld van strafrechtelijke aansprakelijkheid onder bepaalde voorwaarden. Deze voorwaarden omvatten: * Handelen zonder frauduleuze intentie of opzet om schade te berokkenen. * Onmiddellijke melding van ontdekte kwetsbaarheden aan de verantwoordelijke organisatie en uiterlijk bij de melding aan het nationale CSIRT. * Niet verder gaan dan noodzakelijk en proportioneel om de kwetsbaarheid te verifiëren. * Het niet openbaar maken van kwetsbaarheidsinformatie zonder toestemming van het nationale CSIRT. * **Definitie van kwetsbaarheid:** Een kwetsbaarheid wordt gedefinieerd als "een zwakheid, vatbaarheid of defect van een activum of van een netwerk- en informatiesysteem dat door een cyberdreiging kan worden uitgebuit." > **Voorbeeld:** Initiatieven zoals "Hack the Government" in België bevorderen ethisch hacken door studenten en professionals de kans te geven om de beveiliging van overheidsnetwerken te testen, wat leidt tot de ontdekking van een aanzienlijk aantal unieke kwetsbaarheden. #### 3.3.2 Andere nationale instrumenten Naast de implementatie van EU-richtlijnen, kent België ook eigen wetgeving, zoals de Wet op de informaticacriminaliteit van 2000. Op procedureel vlak biedt het Belgisch Strafwetboek mogelijkheden voor het uitvoeren van digitale zoekacties, behoud van gegevens, en wettelijke "inkijkoperaties" (legal hacking) onder gerechtelijk toezicht. ### 3.4 Verband met cybercriminaliteit Hoewel dit onderwerp zich primair richt op cybersecurity, is het belangrijk om de link met cybercriminaliteit te erkennen. De juridische kaders voor cybersecurity leggen de basis voor het voorkomen en bestrijden van de technologische aspecten die door cybercriminelen worden misbruikt. Maatregelen voor cybersecurity dragen direct bij aan het verminderen van de kans op succesvolle cyberaanvallen die gericht zijn op het plegen van criminele feiten. De complexiteit van het bestrijden van cybercriminaliteit, mede door grensoverschrijdende aspecten en snelle technologische evolutie, onderstreept het belang van een robuust en geharmoniseerd juridisch kader voor cybersecurity. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | Cybercriminaliteit | Een breed scala aan criminele activiteiten waarbij computers en informatiesystemen betrokken zijn, hetzij als primair middel, hetzij als primair doelwit. | | Cybersecurity | De activiteiten die nodig zijn om netwerk- en informatiesystemen, de gebruikers van dergelijke systemen, en andere personen die door cyberdreigingen worden getroffen, te beschermen. | | Substantief strafrecht | Het deel van het strafrecht dat zich bezighoudt met de definitie van strafbare feiten en de bijbehorende straffen, in de context van cybercriminaliteit de vraag welke online gedragingen strafbaar zijn. | | Procedureel strafrecht | Het deel van het strafrecht dat de regels en procedures omvat voor het onderzoek, de vervolging en de berechting van strafbare feiten, inclusief cybercriminaliteit, zoals bewijsvergaring en rechtshulp. | | Malware | Schadelijke software die ontworpen is om computersystemen te beschadigen, te ontregelen of ongeautoriseerde toegang te verkrijgen, zoals virussen, wormen en Trojaanse paarden. | | Ransomware | Een type malware dat de toegang tot bestanden of systemen van het slachtoffer blokkeert en losgeld eist voor het herstel van de toegang. | | Phishing | Een vorm van internetfraude waarbij criminelen zich voordoen als betrouwbare entiteiten om slachtoffers te misleiden tot het verstrekken van gevoelige informatie, zoals wachtwoorden en creditcardgegevens. | | Sextortion | Afpersing waarbij intieme beelden of video's van een slachtoffer worden gebruikt als dreigmiddel, vaak met de eis tot betaling om verspreiding te voorkomen. | | Online stalking | Het herhaaldelijk en ongerechtvaardigd benaderen of in het vizier houden van een persoon via online middelen, met als doel angst of ongemak te veroorzaken. | | Deepfake | Een gesynthetiseerde media waarin een persoon wordt vervangen door de gelijkenis van iemand anders, vaak gebruikt om desinformatie te verspreiden of personen in diskrediet te brengen. | | Hacking | Ongeautoriseerde toegang verkrijgen tot een computersysteem of netwerk, vaak met de intentie om gegevens te stelen, schade aan te richten of het systeem te ontregelen. | | Ethisch hacken | Het op geoorloofde wijze testen van de beveiliging van computersystemen en netwerken om kwetsbaarheden op te sporen die door kwaadwillende actoren misbruikt zouden kunnen worden. | | NIS2-richtlijn | De Europese Richtlijn (EU) 2022/2555 inzake maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie, gericht op het versterken van de cyberbeveiligingscapaciteiten van lidstaten en entiteiten. | | Cyber Resilience Act | Een Europese verordening die regels stelt voor het op de markt brengen van producten met digitale elementen om de cybersecurity ervan te waarborgen, inclusief vereisten voor ontwerp, ontwikkeling, productie en kwetsbaarhedenbeheer. | | Instrumenten voor internationale samenwerking | Juridische en praktische regelingen die de samenwerking tussen rechtshandhavingsinstanties in verschillende landen faciliteren, met name voor het verzamelen van bewijs en het bestrijden van grensoverschrijdende cybercriminaliteit. | | Bewijsvergaring | Het proces van het verzamelen van digitale informatie die relevant is voor een strafrechtelijk onderzoek of proces, inclusief gegevensbehoud, productiebevelen en digitale zoekacties. | | Dubbele criminaliteit | Het vereiste dat een handeling zowel in het recht van het land van oorsprong als in het recht van het aangezochte land strafbaar moet zijn om internationale rechtshulp of uitlevering mogelijk te maken. | | CSIRT (Computer Security Incident Response Team) | Een team dat is ingesteld om incidenten op het gebied van computerbeveiliging te analyseren en te helpen oplossen, en om informatie over dergelijke incidenten te verzamelen en te verspreiden. |