LI2019129NL.01001301.xml

BESLUIT (GBVB) 2019/797 VAN DE RAAD

van 17 mei 2019

betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen

DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de Europese Unie, en met name artikel 29,

Gezien het voorstel van de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid,

Overwegende hetgeen volgt:

(1)

Op 19 juni 2017 nam de Raad conclusies aan over een kader voor een gezamenlijke diplomatieke reactie op kwaadwillige cyberactiviteiten ("Instrumentarium voor cyberdiplomatie"), waarin de Raad zijn bezorgdheid uitte over de toegenomen capaciteit en bereidheid van staten en niet-statelijke actoren om hun doelstellingen te realiseren door middel van kwaadwillige cyberactiviteiten en wees op de groeiende behoefte aan bescherming van de integriteit en veiligheid van de Unie, haar lidstaten en haar burgers tegen cyberdreigingen en kwaadwillige cyberactiviteiten.

(2)

De Raad benadrukte dat een duidelijke boodschap over de te verwachten gevolgen van een gezamenlijke diplomatieke reactie van de Unie op dergelijke kwaadaardige cyberactiviteiten het gedrag van potentiële agressors in de cyberspace beïnvloedt, waardoor de veiligheid van de Unie en haar lidstaten wordt versterkt. De Raad bevestigde ook dat de maatregelen uit hoofde van het gemeenschappelijk buitenlands en veiligheidsbeleid (GBVB), met inbegrip van, indien nodig, beperkende maatregelen, vastgesteld conform de desbetreffende bepalingen van de Verdragen, geschikt zijn voor een kader voor een gezamenlijke diplomatieke reactie van de Unie op kwaadwillige cyberactiviteiten, met als doel de samenwerking te bevorderen, de beperking van bedreigingen op korte en lange termijn te vergemakkelijken en van invloed te zijn op het gedrag van potentiële agressors op lange termijn.

(3)

Op 11 oktober 2017 keurde het Politiek en Veiligheidscomité uitvoeringsrichtsnoeren voor het instrumentarium voor cyberdiplomatie goed. De uitvoeringsrichtsnoeren bevatten vijf categorieën maatregelen, waaronder beperkende maatregelen, binnen het instrumentarium voor cyberdiplomatie, en de procedure voor het inzetten van die maatregelen.

(4)

In de conclusies van de Raad van 16 april 2018 over kwaadwillige cyberactiviteiten werd het kwaadwillige gebruik van informatie- en communicatietechnologieën (ICT's) met klem veroordeeld en werd benadrukt dat het gebruik van ICT's voor kwaadwillige doeleinden onaanvaardbaar is, aangezien het de stabiliteit, de veiligheid en de voordelen van het internet en het gebruik van ICT's in de Unie ondermijnt. De Raad memoreerde dat het instrumentarium voor cyberdiplomatie bijdraagt tot conflictpreventie, samenwerking en stabiliteit in de cyberspace, met een beschrijving van de maatregelen binnen het GBVB, waaronder beperkende maatregelen, die kunnen worden ingezet om kwaadwillige cyberactiviteiten te voorkomen en erop te reageren. De Raad stelde dat de Unie erop zal blijven hameren dat het bestaande internationale recht toepasselijk is op de cyberspace, en benadrukte dat de inachtneming van het internationaal recht, met name het Handvest van de Verenigde Naties, van essentieel belang is voor het handhaven van vrede en stabiliteit. De Raad onderstreepte ook dat staten geen internationale onrechtmatige daden met informatie- en communicatietechnologieën mogen begaan via derden, en erop moeten trachten toe te zien dat hun grondgebied niet door niet-statelijke actoren wordt benut om dergelijke daden te plegen, zoals beschreven in het rapport van 2015 van de VN-groep van regeringsdeskundigen inzake ontwikkelingen op het gebied van informatie en telecommunicatie in de context van de internationale veiligheid.

(5)

Op 28 juni 2018 nam de Europese Raad conclusies aan waarin werd beklemtoond dat de vermogens tegen van buiten de Unie afkomstige bedreigingen van de cyberbeveiliging moeten worden versterkt. De Europese Raad verzocht de instellingen en de lidstaten de maatregelen te nemen die zijn vermeld in de gezamenlijke mededeling van de Commissie en de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid van 13 juni 2018 getiteld: "Het opbouwen van weerbaarheid en reactiecapaciteit tegen hybride bedreigingen", onder meer wat betreft het praktisch gebruik van het instrumentarium voor cyberdiplomatie.

(6)

Op 18 oktober 2018 nam de Europese Raad conclusies aan waarin werd gevraagd om de werkzaamheden voort te zetten in verband met de capaciteit om te reageren op cyberaanvallen en deze door middel van beperkende maatregelen van de Unie tegen te gaan, in aansluiting op de conclusies van de Raad van 19 juni 2017.

(7)

In dit verband wordt bij dit besluit een kader vastgesteld voor gerichte beperkende maatregelen als afschrikking tegen en reactie op cyberaanvallen met aanzienlijke gevolgen die een externe bedreiging vormen voor de Unie of haar lidstaten. Indien zulks nodig wordt geacht ter verwezenlijking van GBVB-doelstellingen die in de desbetreffende bepalingen van artikel 21 van het Verdrag betreffende de Europese Unie zijn vermeld, kunnen op basis van dit besluit tevens beperkende maatregelen worden toegepast als reactie op tegen derde staten of internationale organisaties gerichte cyberaanvallen met aanzienlijke gevolgen.

(8)	Willen deze gerichte beperkende maatregelen een afschrikkende en ontradende werking hebben, dan moeten zij gericht zijn op cyberaanvallen die binnen de werkingssfeer van dit besluit liggen en met opzet worden uitgevoerd.

(9)

Gerichte beperkende maatregelen moeten worden onderscheiden van het aansprakelijk stellen van een derde staat voor cyberaanvallen. De toepassing van gerichte beperkende maatregelen komt niet neer op aansprakelijkheidsstelling, wat een soeverein politiek besluit is dat op individuele basis wordt genomen. Het staat iedere lidstaat vrij om de aansprakelijkheidsstelling van een derde staat met betrekking tot cyberaanvallen zelf te bepalen.

(10)	Meer optreden van de Unie is nodig om bepaalde maatregelen uit te voeren,

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

1. Dit besluit is van toepassing op cyberaanvallen met aanzienlijke gevolgen, met inbegrip van pogingen tot cyberaanvallen met potentieel aanzienlijke gevolgen, die een externe bedreiging vormen voor de Unie of haar lidstaten.

2. Cyberaanvallen die een externe bedreiging vormen, omvatten onder meer die welke:

a)	afkomstig zijn, of worden uitgevoerd, van buiten de Unie;

b)	gebruik maken van infrastructuur buiten de Unie;

c)	worden uitgevoerd door natuurlijke personen of rechtspersonen, entiteiten of lichamen die buiten de Unie zijn gevestigd of actief zijn; of

d)	worden uitgevoerd met de steun, op aanwijzing of onder zeggenschap van natuurlijke personen of rechtspersonen, entiteiten of lichamen die buiten de Unie actief zijn;

3. Daartoe zijn cyberaanvallen acties die een van de volgende activiteiten omvatten:

a)	zich toegang verschaffen tot informatiesystemen;

b)	verstoren van informatiesystemen;

c)	verstoren van gegevens; of

d)	onderscheppen van gegevens;

indien die acties niet door de eigenaar of een andere rechthebbende van het systeem of gegevens of een deel daarvan zijn toegelaten, of niet zijn toegestaan krachtens het recht van de Unie of de betrokken lidstaat.

4. Cyberaanvallen die een bedreiging vormen voor de lidstaten omvatten die welke gevolgen hebben voor informatiesystemen in verband met onder meer:

a)	kritieke infrastructuur, waaronder kabels onder zee en objecten die in de ruimte zijn gelanceerd, die van essentieel belang is voor het in stand houden van vitale functies van de maatschappij, of de gezondheid, veiligheid, beveiliging en het economische of sociale welzijn van mensen;

diensten die nodig zijn voor het in stand houden van essentiële sociale en / of economische activiteiten, met name in de sectoren energie (elektriciteit, olie en gas); vervoer (via de lucht, via het spoor, over water en over de weg); bankwezen; financiëlemarktinfrastructuren; gezondheidszorg (gezondheidszorgverleners, ziekenhuizen en privéklinieken); levering en distributie van drinkwater; digitale infrastructuur; en elke andere sector die voor de betrokken lidstaat van essentieel belang is;

kritieke functies van de staat, met name op het gebied van defensie, van het bestuur en het functioneren van instellingen, onder meer voor openbare verkiezingen of de kiesprocedure, van het functioneren van de economische en civiele infrastructuur, van de interne veiligheid, en de externe betrekkingen, onder meer via diplomatieke missies;

d)	de opslag of de verwerking van gerubriceerde informatie; of

e)	noodresponsteams van de overheid.

5. Cyberaanvallen die een bedreiging vormen voor de Unie omvatten die welke worden uitgevoerd tegen haar instellingen, organen en instanties, haar delegaties in derde landen of in internationale organisaties, haar operaties en missies in het kader van het gemeenschappelijk veiligheids- en defensiebeleid (GVDB) en haar speciale vertegenwoordigers.

6. Indien nodig ter verwezenlijking van GBVB-doelstellingen die in de desbetreffende bepalingen van artikel 21 van het Verdrag betreffende de Europese Unie zijn vermeld, kunnen tevens beperkende maatregelen krachtens dit besluit worden toegepast in reactie op tegen derde staten of internationale organisaties gerichte cyberaanvallen met aanzienlijke gevolgen.

Artikel 2

Voor de toepassing van dit besluit wordt verstaan onder:

a) "informatiesystemen": apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op grond van een programma automatisch digitale gegevens verwerken, alsmede de digitale gegevens die met dit apparaat of deze groep van apparaten worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud van het apparaat of van de groep van apparaten;

b) "verstoren van een informatiesysteem": ernstige obstructie of onderbreking van de werking van een informatiesysteem door het invoeren, doorgeven, beschadigen, wissen, aantasten, wijzigen of onderdrukken van digitale gegevens, of door deze gegevens ontoegankelijk te maken;

c) "verstoren van gegevens": het wissen, beschadigen, aantasten, wijzigen of onderdrukken van digitale gegevens in een informatiesysteem, of het ontoegankelijk maken van deze gegevens; hieronder valt ook diefstal van gegevens, tegoeden, economische middelen of intellectuele eigendom;

d) "onderscheppen van gegevens": onderschepping, met technische middelen, van niet-openbare transmissies van digitale gegevens naar, vanuit of binnen een informatiesysteem, met inbegrip van elektromagnetische emissies uit een informatiesysteem dat deze gegevens bevat.

Artikel 3

De factoren om te bepalen of een cyberaanval aanzienlijke gevolgen heeft als bedoeld in artikel 1, lid 1, kunnen onder meer de volgende zijn:

a)	de omvang, schaal, impact of ernst van verstoring, ook wat betreft economische en maatschappelijke activiteiten, essentiële diensten, essentiële staatsfuncties, openbare orde of openbare veiligheid;

b)	het aantal getroffen natuurlijke personen of rechtspersonen, entiteiten of lichamen;

c)	het aantal betrokken lidstaten;

d)	de omvang van de economische schade die bijvoorbeeld wordt veroorzaakt door diefstal op grote schaal van tegoeden, economische middelen of intellectuele-eigendomsrechten;

e)	het economische voordeel dat de dader voor zichzelf of anderen verkrijgt;

f)	de hoeveelheid gestolen gegevens en de aard ervan of de omvang van de gegevensinbreuken; of

g)	de aard van de commercieel gevoelige gegevens waartoe toegang is verkregen.

Artikel 4

1. De lidstaten nemen de nodige maatregelen om de binnenkomst op of de doorreis via hun grondgebied te voorkomen van:

a)	natuurlijke personen die verantwoordelijk zijn voor cyberaanvallen of pogingen daartoe;

natuurlijke personen die financiële, technische of materiële steun verlenen aan, of op enige andere wijze betrokken zijn bij cyberaanvallen of pogingen tot cyberaanvallen, met inbegrip van het plannen, voorbereiden, deelnemen aan, aansturen van, assisteren bij of aanmoedigen van dergelijke aanvallen, of het faciliteren daarvan door handelen of nalaten;

c)	natuurlijke personen die geassocieerd zijn met de onder de punten a) en b) vallende personen;

die op de lijst in de bijlage zijn vermeld.

2. Lid 1 verplicht een lidstaat niet eigen onderdanen de toegang tot zijn grondgebied te weigeren.

3. Lid 1 laat gevallen onverlet waarin een lidstaat een internationaalrechtelijke verplichting heeft, dat wil zeggen gevallen waarin een lidstaat:

a)	gastland is van een internationale intergouvernementele organisatie;

b)	gastland is van een internationale conferentie die is bijeengeroepen door of plaatsvindt onder auspiciën van de Verenigde Naties;

c)	voorrechten en immuniteiten verleent krachtens een multilaterale overeenkomst; of

d)	verplichtingen heeft op grond van het Concordaat van 1929 (Verdrag van Lateranen) tussen de Heilige Stoel (Staat Vaticaanstad) en Italië.

4. Lid 3 wordt ook geacht van toepassing te zijn op gevallen waarin een lidstaat als gastland van de Organisatie voor Veiligheid en Samenwerking in Europa (OVSE) optreedt.

5. De Raad wordt naar behoren geïnformeerd indien een lidstaat een vrijstelling op grond van lid 3 of 4 verleent.

6. De lidstaten kunnen vrijstellingen van de krachtens lid 1 opgelegde maatregelen verlenen voor reizen die worden gemaakt wegens dringende humanitaire noden of voor het bijwonen van intergouvernementele bijeenkomsten, bijeenkomsten geïnitieerd door de Unie of waarvoor de Unie als gastheer optreedt, of bijeenkomsten waarvoor een lidstaat als fungerend voorzitter van de OVSE als gastheer optreedt, indien daar een politieke dialoog wordt gevoerd die rechtstreeks de beleidsdoelstellingen van beperkende maatregelen, zoals veiligheid en stabiliteit in de cyberruimte, bevordert.

7. De lidstaten kunnen ook vrijstellingen van de krachtens lid 1 opgelegde maatregelen verlenen indien toegang of doorgang noodzakelijk is in verband met een gerechtelijke procedure.

8. Een lidstaat die een vrijstelling als genoemd in lid 6 of 7 wil verlenen, brengt dit schriftelijk ter kennis van de Raad. De vrijstelling wordt geacht te zijn toegestaan, tenzij één of meer leden van de Raad binnen twee werkdagen na ontvangst van de kennisgeving schriftelijk bezwaar maken. In dat geval kan de Raad met gekwalificeerde meerderheid van stemmen besluiten de voorgestelde vrijstelling te verlenen.

9. Indien een lidstaat de in de bijlage vermelde personen op grond van lid 3, 4, 6 7 of 8 binnenkomst op of doorreis via zijn grondgebied toestaat, geldt deze toestemming uitsluitend voor het doel waarvoor zij is verleend en uitsluitend voor de personen voor wie de toestemming geldt.

Artikel 5

1. Alle geldmiddelen en economische middelen die toebehoren aan, eigendom zijn van, in het bezit zijn van of onder zeggenschap staan van:

a)	natuurlijke personen of rechtspersonen, entiteiten of lichamen die verantwoordelijk zijn voor cyberaanvallen of pogingen daartoe;

natuurlijke personen of rechtspersonen, entiteiten of lichamen die financiële, technische of materiële steun verlenen aan, of op enige andere wijze betrokken zijn bij cyberaanvallen of pogingen tot cyberaanvallen, met inbegrip van het plannen, voorbereiden, deelnemen aan, aansturen van, assisteren bij, of aanmoedigen van dergelijke aanvallen, of het faciliteren daarvan door handelen of nalaten;

c)	natuurlijke personen of rechtspersonen, entiteiten of lichamen die geassocieerd zijn met de onder de punten a) en b) vallende natuurlijke personen of rechtspersonen, entiteiten of lichamen;

die in de bijlage worden genoemd, worden bevroren.

2. Er worden geen geldmiddelen of economische middelen op directe of indirecte wijze ter beschikking gesteld ten behoeve van de in de bijlage genoemde natuurlijke personen of rechtspersonen, entiteiten of lichamen.

3. In afwijking van de leden 1 en 2, kunnen de bevoegde autoriteiten van de lidstaten onder door hen passend geachte voorwaarden de vrijgave of de beschikbaarstelling van bepaalde bevroren geldmiddelen of economische middelen toestaan, indien zij hebben bevonden dat deze middelen:

noodzakelijk zijn voor uitgaven voor de basisbehoeften van de in de bijlage genoemde natuurlijke personen en van de hun ten laste komende gezinsleden; hiertoe behoren betalingen van voedsel, huur of hypotheeklasten, geneesmiddelen of geneeskundige behandelingen, belastingen, verzekeringspremies of nutsvoorzieningen;

b)	uitsluitend bestemd zijn voor het betalen van redelijke honoraria of het vergoeden van andere kosten van juridische diensten;

c)	uitsluitend bestemd zijn voor het betalen van honoraria of andere kosten voor het dagelijks houden of beheren van bevroren geldmiddelen of economische middelen;

noodzakelijk zijn voor het betalen van buitengewone uitgaven, mits de betrokken bevoegde autoriteit de bevoegde autoriteiten van de andere lidstaten en de Commissie ten minste twee weken voordat zij de toestemming geeft, in kennis stelt van de redenen waarom zij meent dat toestemming moet worden gegeven; of

gestort zullen worden op of betaald zullen worden van een rekening van een diplomatieke of consulaire missie of van een internationale organisatie die immuniteit geniet op grond van het internationaal recht, voor zover deze betalingen bestemd zijn voor de officiële doelen van de diplomatieke of consulaire missie of van de internationale organisatie.

De betrokken lidstaat stelt de andere lidstaten en de Commissie in kennis van iedere toestemming die conform dit lid wordt gegeven.

4. In afwijking van lid 1 kunnen de bevoegde autoriteiten van de lidstaten de vrijgave van bepaalde bevroren geldmiddelen of economische middelen toestaan, mits aan de volgende voorwaarden is voldaan:

de geldmiddelen of economische middelen zijn het voorwerp van een arbitrale uitspraak die dateert van vóór de datum waarop de natuurlijke of rechtspersoon, de entiteit of het lichaam bedoeld in lid 1, op de lijst in de bijlage is geplaatst, dan wel van een vóór of na deze datum in de Unie gegeven rechterlijke uitspraak of administratieve beslissing of in de betrokken lidstaat uitvoerbare rechterlijke beslissing;

b)	de geldmiddelen of economische middelen worden uitsluitend aangewend om te voldoen aan vorderingen die bij een dergelijke uitspraak of beslissing zijn gewaarborgd of geldig zijn verklaard, binnen de grenzen van de geldende wet- en regelgeving inzake de rechten van de houders van deze vorderingen;

c)	de uitspraak of beslissing komt niet ten goede aan een op de lijst in de bijlage geplaatst(e) natuurlijke of rechtspersoon, entiteit of lichaam; en

d)	de erkenning van de beslissing is niet in strijd met de openbare orde van de betrokken lidstaat.

De betrokken lidstaat stelt de andere lidstaten en de Commissie in kennis van iedere toestemming die overeenkomstig dit lid wordt gegeven.

5. Lid 1 belet niet dat een op de lijst in de bijlage geplaatst(e) natuurlijke persoon of rechtspersoon, entiteit of lichaam betalingen verricht die verschuldigd zijn uit hoofde van een contract dat is gesloten vóór de datum waarop die natuurlijke persoon of rechtspersoon, die entiteit of dat lichaam op de lijst werd geplaatst, mits de betrokken lidstaat heeft vastgesteld dat de betalingen niet rechtstreeks of onrechtstreeks worden ontvangen door een natuurlijke persoon of rechtspersoon, entiteit of lichaam als bedoeld in lid 1.

6. Lid 2 is niet van toepassing op bijboekingen op bevroren rekeningen van:

a)	rente of andere inkomsten van die rekeningen;

b)	betalingen die verschuldigd zijn overeenkomstig contracten, overeenkomsten of verplichtingen die zijn gesloten of ontstaan vóór de datum waarop de in de leden 1 en 2 bedoelde maatregelen op deze rekeningen van toepassing werden; of

c)	betalingen die verschuldigd zijn uit hoofde van een gerechtelijke of arbitrale uitspraak of een administratieve beslissing die in de Unie is gegeven, of die in de betrokken lidstaat uitvoerbaar is,

mits de in lid 1 genoemde maatregelen van toepassing blijven op deze rente en op andere inkomsten en betalingen.

Artikel 6

1. Met eenparigheid van stemmen stelt de Raad op voorstel van een lidstaat of van de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid de lijst in de bijlage vast en past de lijst zo nodig aan.

2. De Raad stelt de betrokken natuurlijke persoon of rechtspersoon, de betrokken entiteit of het betrokken lichaam in kennis van het in lid 1 bedoelde besluit en van de redenen voor plaatsing op de lijst, hetzij rechtstreeks (indien het adres bekend is), hetzij door de bekendmaking van een kennisgeving, zodat die natuurlijke persoon of rechtspersoon, die entiteit of dat lichaam daarover opmerkingen kan indienen.

3. Indien er opmerkingen worden ingediend of belangrijk nieuw bewijsmateriaal wordt overgelegd, toetst de Raad de in lid 1 bedoelde besluiten en brengt hij de betrokken natuurlijke of rechtspersoon, de betrokken entiteit of het betrokken lichaam op de hoogte van het resultaat van de toetsing.

Artikel 7

1. In de bijlage worden de redenen voor opneming van de in de artikelen 4 en 5 bedoelde natuurlijke personen en rechtspersonen, entiteiten en lichamen genoemd.

2. De bijlage bevat de informatie, indien deze beschikbaar is, die nodig is om de betrokken natuurlijke personen of rechtspersonen, entiteiten of lichamen te identificeren. Die informatie kan, wat natuurlijke personen betreft, bestaan uit namen en aliassen, geboortedatum en geboorteplaats, nationaliteit, paspoort- en identiteitskaartnummers, geslacht, adres (indien bekend) en functie of beroep. Met betrekking tot rechtspersonen, entiteiten of lichamen kan deze informatie bestaan uit namen, plaats en datum van registratie, registratienummer en plaats van vestiging.

Artikel 8

Vorderingen in verband met contracten of transacties waarvan de uitvoering direct of indirect, geheel of gedeeltelijk, gevolgen ondervindt van uit hoofde van dit besluit genomen maatregelen, waaronder vorderingen tot schadeloosstelling of soortgelijke vorderingen - zoals een vordering tot schuldvergelijking of een garantievordering, met name een vordering tot verlenging of uitbetaling van een obligatie, garantie of contragarantie, in het bijzonder een financiële garantie of contragarantie, ongeacht de vorm hiervan - worden niet toegewezen indien deze vorderingen worden ingesteld door:

a)	in de bijlage genoemde aangewezen natuurlijke personen of rechtspersonen, entiteiten of lichamen;

b)	een natuurlijke persoon of rechtspersoon of een entiteit die, dan wel een lichaam dat, handelt voor rekening van of namens een van de in punt a) bedoelde natuurlijke personen of rechtspersonen, entiteiten of lichamen.

Artikel 9

Opdat de maatregelen in dit besluit zo veel mogelijk effect hebben, spoort de Unie derde staten aan beperkende maatregelen te treffen die vergelijkbaar zijn met die waarin dit besluit voorziet.

Artikel 10

Dit besluit is van toepassing tot en met 18 mei 2020 en wordt voortdurend geëvalueerd. Het wordt zo nodig verlengd of gewijzigd indien de Raad van oordeel is dat de doelstellingen ervan niet worden verwezenlijkt.

Artikel 11

Dit besluit treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Brussel, 17 mei 2019.

Voor de Raad

De voorzitter

E.O. TEODOROVICI