Nieuw wettelijk kader voor de melding van IT kwetsbaarheden
15 februari 2023
Cybercriminelen gaan actief op zoek naar kwetsbaarheden om ze dan vervolgens te gebruiken om systemen of netwerken binnen te dringen. Ze kunnen dat doen om gegevens te stelen, om te saboteren, om een ransomware-aanval uit te voeren of zelfs voor spionagedoeleinden.
Maar er zijn ook mensen met goede bedoelingen die, al dan niet op vraag van een organisatie, actief op zoek gaan naar kwetsbaarheden. Hun bevindingen bezorgen ze aan de organisatie zodat die haar systemen of netwerken beter kan beveiligen.
Een nieuw wettelijk kader
Om de situatie van deze mensen met goede bedoelingen uit te klaren is er een nieuw wettelijk kader voorzien dat ingang vindt op 15 februari 2023. Dit kader beschrijft hoe een natuurlijke of rechtspersoon zonder frauduleuze bedoelingen of de intentie om schade te berokkenen, bestaande kwetsbaarheden in netwerken en informatiesystemen in België kan opsporen en moet melden.
De basisprincipes draaien rond het respecteren van de proportionaliteit en noodzaak: de onderzoeker mag enkel handelingen uitvoeren die noodzakelijk zijn om het bestaan van de kwetsbaarheid aan te tonen. Tenzij er vooraf een beloning afgesproken is (zoals bijvoorbeeld bij een bug bounty programma of een afgesproken penetration test) mag de onderzoeker geen beloning of betaling eisen.
Een van de nieuwe bepalingen is dat een ontdekte kwetsbaarheid zo snel mogelijk gemeld moet worden aan de verantwoordelijke eigenaar van het informaticasysteem en volgens de daartoe voorziene procedure aan het Centrum voor Cybersecurity België (CCB).
Tenslotte mag de men onder geen enkele voorwaarde de ontdekte kwetsbaarheid openbaar maken zonder de toestemming van het CCB.