Sancties tegen cyberaanvallen

Cyberaanvallen tegen de EU of haar lidstaten

In mei 2019 zette de Raad een sanctiekader op dat de EU in staat stelt met gerichte beperkende maatregelen cyber­aanvallen die een externe dreiging voor de EU of de lidstaten vormen te voorkomen of daarop te reageren.

Dankzij dit kader kan de EU voortaan sancties opleggen aan personen of entiteiten die verantwoordelijk zijn voor cyber­aanvallen of pogingen tot cyber­aanvallen, financiële, technische of materiële steun leveren voor zulke aanvallen of hier op een andere manier bij betrokken zijn.

Deze sanctieregeling heeft betrekking op cyber­aanvallen die ernstige gevolgen hebben en afkomstig zijn of worden uitgevoerd van buiten de EU, gebruikmaken van infrastructuur buiten de EU, worden uitgevoerd door personen of entiteiten die buiten de EU zijn gevestigd of actief zijn, of worden uitgevoerd met de steun van personen of entiteiten die buiten de EU actief zijn.

De sancties houden onder meer een verbod in voor personen om naar de EU te reizen en een bevriezing van tegoeden van personen en entiteiten. Ook is het verboden hun direct of indirect tegoeden of economische middelen te verstrekken.

De sanctieregeling is op dit moment van toepassing op 19 personen en 7 entiteiten en is onlangs verlengd tot en met 18 mei 2027.

Bij cyberaanvallen die een bedreiging vormen voor de EU-landen gaat het onder meer om aanvallen tegen informatie­systemen voor:

• kritieke infrastructuur die essentieel is voor het functioneren van de maatschappij, of de gezondheid, de veiligheid en het economische of sociale welzijn van burgers
• diensten die nodig zijn voor essentiële sociale en economische activiteiten, met name energie, vervoer, bankwezen, financiën, gezondheidszorg, drinkwater en digitale infrastructuur
• kritieke functies van de staat, met name defensie, het bestuur en het functioneren van instellingen, openbare verkiezingen, economische en civiele infrastructuur, interne veiligheid, en externe betrekkingen, onder meer diplomatieke missies
• de opslag of de verwerking van gerubriceerde informatie
• noodresponsteams van de overheid

Op deze sanctielijst staan onder meer Russische onderdanen die verantwoordelijk zijn voor een reeks cyberaanvallen tegen de EU en haar lidstaten, waaronder de aanval van 2015 op het Duitse federale parlement en de aanvallen van 2020 op verschillende ministeries in Estland.

Tot de gesanctioneerde entiteiten behoren bedrijven die zowel hackingdiensten aanbieden als producten die worden gebruikt om apparaten in de EU-lidstaten te compromitteren en er toegang toe te krijgen. Deze entiteiten zijn gevestigd in niet-EU-landen zoals Rusland, China en Iran.

• Beperkende EU-maatregelen tegen cyberaanvallen (Publicatieblad van de EU)

Meer cyberdiplomatie

De EU kwam in juni 2017 met een kader voor een gezamenlijke diplomatieke EU-respons op kwaad­willige cyber­activiteiten (het instrumentarium voor cyber­diplomatie). Door dit kader kunnen de EU en haar lidstaten alle mogelijke maatregelen in het kader van het gemeenschappelijk buitenlands en veiligheidsbeleid (GBVB), waaronder ook sancties, inzetten om kwaadwillige cyber­activiteiten tegen de integriteit en veiligheid van de EU en haar lidstaten te voorkomen, te ontmoedigen, te bestrijden en hier tegen op te treden.

Door de herziening van het instrumentarium in 2023 werd het mogelijk duurzame, op maat gemaakte, samenhangende en gecoördineerde strategieën te ontwikkelen tegen actoren die aanhoudend voor cyberdreigingen zorgen.

De EU‑cyber­beveiligings­strategie van de Europese Commissie en de Europese Dienst voor extern optreden (EDEO) uit december 2020 versterkt de diplomatieke respons van de EU op cyber­aanvallen.

Daarnaast nam de Raad in oktober 2024 een nieuw sanctiekader aan naar aanleiding van Ruslands destabiliserende activiteiten in het buitenland.

Met dit kader kan de EU optreden tegen wie betrokken is bij acties en beleidsmaatregelen, waaronder cyberaanvallen, van de Russische regering die de fundamentele waarden, veiligheid, onafhankelijkheid en integriteit van de EU en haar lidstaten, alsook die van internationale organisaties en niet-EU-landen ondermijnen.

• Hybride dreigingen vanuit Rusland
• Uitvoeringsrichtsnoeren voor het instrumentarium voor cyberdiplomatie (8 juni 2023)
• Gezamenlijke mededeling - Het opbouwen van weerbaarheid en reactiecapaciteit tegen hybride bedreigingen (13 juni 2018)
• Conclusies van de Raad over een kader voor een gezamenlijke diplomatieke EU-respons op kwaadwillige cyberactiviteiten ("Instrumentarium voor cyberdiplomatie") (19 juni 2017)
• Cyber­beveiligings­strategie (Europese Commissie)

Zie ook