Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
In- en Uitvoer
Home

Verordening (EU) 2019/796 van de Raad van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen

Verordening (EU) 2019/796 van de Raad van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen

Artikel 1

1.

Deze verordening is van toepassing op cyberaanvallen met aanzienlijke gevolgen, met inbegrip van pogingen tot cyberaanvallen met potentieel aanzienlijke gevolgen, die een externe bedreiging vormen voor de Unie of haar lidstaten.

2.

Cyberaanvallen die een externe bedreiging vormen, omvatten onder meer die welke:

  1. afkomstig zijn, of worden uitgevoerd, van buiten de Unie;

  2. gebruik maken van infrastructuur buiten de Unie;

  3. worden uitgevoerd door natuurlijke of rechtspersonen, entiteiten of lichamen die buiten de Unie zijn gevestigd of actief zijn; of

  4. worden uitgevoerd met de steun, op aanwijzing of onder zeggenschap van natuurlijke personen of rechtspersonen, entiteiten of lichamen die buiten de Unie actief zijn.

3.

Daartoe zijn cyberaanvallen acties die een van de volgende activiteiten omvatten:

  1. zich toegang verschaffen tot informatiesystemen;

  2. verstoren van informatiesystemen;

  3. verstoren van gegevens; of

  4. onderscheppen van gegevens;

indien die acties niet door de eigenaar of een andere rechthebbende van het systeem of gegevens of een deel daarvan zijn toegelaten, of niet zijn toegestaan krachtens het recht van de Unie of de betrokken lidstaat.

4.

Cyberaanvallen die een bedreiging vormen voor de lidstaten omvatten die welke gevolgen hebben voor informatiesystemen in verband met onder meer:

  1. kritieke infrastructuur, waaronder kabels onder zee en objecten die in de ruimte zijn gelanceerd, die van essentieel belang is voor het in stand houden van vitale functies van de maatschappij, of de gezondheid, veiligheid, beveiliging en het economische of sociale welzijn van mensen;

  2. diensten die nodig zijn voor het in stand houden van essentiële sociale en/of economische activiteiten, met name in de sectoren energie (elektriciteit, olie en gas); vervoer (via de lucht, via het spoor, over water en over de weg); bankwezen; financiëlemarktinfrastructuren; gezondheidszorg (gezondheidszorgverleners, ziekenhuizen en privéklinieken); levering en distributie van drinkwater; digitale infrastructuur; en elke andere sector die voor de betrokken lidstaat van essentieel belang is;

  3. kritieke functies van de staat, met name op het gebied van defensie, van het bestuur en het functioneren van instellingen, onder meer voor openbare verkiezingen of de kiesprocedure, van het functioneren van de economische en civiele infrastructuur, van de interne veiligheid, en de externe betrekkingen, onder meer via diplomatieke missies;

  4. de opslag of de verwerking van gerubriceerde informatie; of

  5. noodresponsteams van de overheid.

5.

Cyberaanvallen die een bedreiging vormen voor de Unie omvatten die welke worden uitgevoerd tegen haar instellingen, organen en instanties, haar delegaties in derde landen of in internationale organisaties, haar operaties en missies in het kader van het gemeenschappelijk veiligheids- en defensiebeleid (GVDB) en haar speciale vertegenwoordigers.

6.

Indien nodig ter verwezenlijking van de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid (GBVB) die in de desbetreffende bepalingen van artikel 21 van het Verdrag betreffende de Europese Unie zijn vermeld, kunnen tevens beperkende maatregelen krachtens deze verordening worden toegepast in reactie op tegen derde staten of internationale organisaties gerichte cyberaanvallen met aanzienlijke gevolgen.

7.

Voor de toepassing van deze verordening wordt verstaan onder:

a) „informatiesystemen” :
apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op grond van een programma automatisch digitale gegevens verwerken, alsmede de digitale gegevens die met dat apparaat of die groep van apparaten worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud daarvan;
b) „verstoren van een informatiesysteem” :
ernstige obstructie of onderbreking van de werking van een informatiesysteem door het invoeren, doorgeven, beschadigen, wissen, aantasten, wijzigen of onderdrukken van digitale gegevens, of door deze gegevens ontoegankelijk te maken;
c) „verstoren van gegevens” :
het wissen, beschadigen, aantasten, wijzigen of onderdrukken van digitale gegevens in een informatiesysteem, of het ontoegankelijk maken van deze gegevens; hieronder valt ook diefstal van gegevens, tegoeden, economische middelen of intellectuele eigendom;
d) „onderscheppen van gegevens” :
onderschepping, met technische middelen, van niet-openbare transmissies van digitale gegevens naar, vanuit of binnen een informatiesysteem, met inbegrip van elektromagnetische emissies uit een informatiesysteem dat deze gegevens bevat.
8.

Voor de toepassing van deze verordening wordt bovendien verstaan onder:

a) „vordering” :

een vóór of na de datum van inwerkingtreding van deze verordening ingediende vordering, ook wanneer deze de vorm van een rechtsvordering heeft, die voortvloeit uit of verband houdt met een contract of transactie, en met name:

  1. een vordering tot nakoming van een verplichting die voortvloeit uit of verband houdt met een contract of transactie;

  2. een vordering tot verlenging of uitbetaling van een obligatie, financiële garantie of contragarantie, ongeacht de vorm;

  3. een vordering tot schadeloosstelling in verband met een contract of een transactie;

  4. een tegenvordering;

  5. een vordering, ook via een exequatur, waarmee wordt beoogd erkenning of uitvoering van een rechterlijke of arbitrale uitspraak of van een gelijkwaardige beslissing te verkrijgen, ongeacht de plaats van uitspraak;

b) „contract of transactie” :
een verrichting, ongeacht haar vorm en het recht dat erop van toepassing is, die een of meer contracten of soortgelijke verplichtingen tussen al dan niet dezelfde partijen omvat; in dit verband worden onder „contract” tevens begrepen alle - ook de uit juridisch oogpunt op zichzelf staande - obligaties, garanties of contragaranties, met name financiële garanties of contragaranties en kredieten, alsmede alle uit een dergelijke transactie voortkomende of daarmee verband houdende bepalingen;
c) „bevoegde autoriteiten” :
de bevoegde autoriteiten van de lidstaten als aangegeven op de websites die zijn opgesomd in bijlage II;
d) „economische middelen” :
activa van enigerlei aard, materieel of immaterieel, roerend of onroerend, die geen tegoeden zijn, maar kunnen worden gebruikt om tegoeden, goederen of diensten te verkrijgen;
e) „bevriezing van economische middelen” :
het voorkomen van het gebruik van economische middelen om op enigerlei wijze tegoeden, goederen of diensten te verkrijgen, inclusief, maar niet daartoe beperkt, door deze te verkopen, te verhuren of te hypothekeren;
f) „bevriezing van tegoeden” :
het voorkomen van het op enigerlei wijze muteren, overmaken, corrigeren en gebruiken van, toegang verschaffen tot of omgaan met tegoeden met als gevolg wijzigingen van hun omvang, bedrag, locatie, eigenaar, bezit, onderscheidende kenmerken of bestemming of elke andere wijziging waardoor het gebruik van bedoelde tegoeden, inclusief het beheer van een beleggingsportefeuille, mogelijk zou worden gemaakt;
g) „tegoeden” :

financiële activa en voordelen van enigerlei aard, met inbegrip van, maar niet beperkt tot:

  1. contanten, cheques, geldvorderingen, wissels, postwissels en andere betaalmiddelen;

  2. deposito's bij financiële instellingen of andere entiteiten, saldi op rekeningen, schulden en schuldbewijzen;

  3. in het openbaar en onderhands verhandelde waardepapieren en schuldbewijzen, inclusief aandelen, certificaten van waardepapieren, obligaties, promesses, warrants, schuldbekentenissen en derivatencontracten;

  4. rente, dividenden of andere inkomsten uit of waarde voortkomende uit of gegenereerd door activa;

  5. krediet, recht op compensatie, garanties, uitvoeringsgaranties of andere financiële verplichtingen;

  6. kredietbrieven, cognossementen en koopbrieven; en

  7. bewijsstukken van belangen in fondsen of financiële middelen;

h) „grondgebied van de Unie” :
het grondgebied van alle lidstaten waarop het Verdrag van toepassing is, onder de in het Verdrag bepaalde voorwaarden, met inbegrip van hun luchtruim.

Artikel 2

De factoren om te bepalen of een cyberaanval aanzienlijke gevolgen heeft als bedoeld in artikel 1, lid 1, punt a), kunnen onder meer de volgende zijn:

  1. de omvang, schaal, impact of ernst van verstoring, ook wat betreft economische en maatschappelijke activiteiten, essentiële diensten, essentiële staatsfuncties, openbare orde of openbare veiligheid;

  2. het aantal getroffen natuurlijke personen of rechtspersonen, entiteiten of lichamen;

  3. het aantal betrokken lidstaten;

  4. de omvang van de economische schade die bijvoorbeeld wordt veroorzaakt door diefstal op grote schaal van tegoeden, economische middelen of intellectuele eigendom;

  5. het economische voordeel dat de dader voor zichzelf of anderen verkrijgt;

  6. de hoeveelheid gestolen gegevens of de aard ervan, of de omvang van de gegevensinbreuken; of

  7. de aard van de commercieel gevoelige gegevens waartoe toegang is verkregen.

Artikel 3

1.

Alle tegoeden en economische middelen die toebehoren aan of eigendom zijn, in het bezit zijn of onder zeggenschap staan van een in bijlage I opgenomen natuurlijke persoon of rechtspersoon, entiteit of lichaam, worden bevroren.

2.

Aan of ten behoeve van in bijlage I opgenomen natuurlijke personen of rechtspersonen, entiteiten of lichamen worden geen tegoeden of economische middelen direct of indirect ter beschikking gesteld.

3.

In bijlage I worden opgenomen de door de Raad overeenkomstig artikel 5, lid 1, van Besluit (GBVB) 2019/797 aangewezen:

  1. natuurlijke personen of rechtspersonen, entiteiten of lichamen die verantwoordelijk zijn voor cyberaanvallen of pogingen tot cyberaanvallen;

  2. natuurlijke personen of rechtspersonen, entiteiten of lichamen die financiële, technische of materiële steun verlenen aan, of op enige andere wijze betrokken zijn bij cyberaanvallen of pogingen tot cyberaanvallen, met inbegrip van het plannen, voorbereiden, deelnemen aan, aansturen van, assisteren bij of aanmoedigen van dergelijke aanvallen, of het faciliteren daarvan door handelen of nalaten;

  3. natuurlijke personen of rechtspersonen, entiteiten of lichamen die geassocieerd zijn met de onder de punten a) en b) vallende natuurlijke personen of rechtspersonen, entiteiten of lichamen.

Artikel 4

1.

In afwijking van artikel 3 kunnen de bevoegde autoriteiten van de lidstaten, op door hen passend geachte voorwaarden, toestemming verlenen voor de vrijgave van bepaalde bevroren tegoeden of economische middelen of de beschikbaarstelling van bepaalde tegoeden of economische middelen, nadat zij hebben vastgesteld dat de betrokken tegoeden of economische middelen:

  1. noodzakelijk zijn voor het dekken van uitgaven voor de basisbehoeften van de in de bijlage I opgenomen natuurlijke personen of rechtspersonen, entiteiten of lichamen, en van de gezinsleden die van dergelijke natuurlijke personen afhankelijk zijn, zoals betalingen voor levensmiddelen, huur of hypotheeklasten, geneesmiddelen en medische behandelingen, belastingen, verzekeringspremies en nutsvoorzieningen;

  2. uitsluitend bestemd zijn voor de betaling van redelijke honoraria of de vergoeding van gemaakte kosten in verband met de verlening van juridische diensten;

  3. uitsluitend bestemd zijn voor de betaling van honoraria of kosten voor alleen het aanhouden of beheren van bevroren tegoeden of economische middelen;

  4. noodzakelijk zijn voor de betaling van buitengewone lasten, mits de relevante bevoegde autoriteit de bevoegde autoriteiten van de andere lidstaten en de Commissie ten minste twee weken vóór zij de toestemming verleent, in kennis stelt van de redenen waarom zij meent dat specifieke toestemming dient te worden verleend; of

  5. gestort zullen worden op of betaald zullen worden van een rekening van een diplomatieke of consulaire missie of een internationale organisatie die immuniteit geniet op grond van het internationaal recht, voor zover die betalingen bestemd zijn voor de officiële doelen van de diplomatieke of consulaire missie of de internationale organisatie.

2.

De betrokken lidstaat stelt de andere lidstaten en de Commissie in kennis van elke toestemming die overeenkomstig lid 1 is verleend en dit binnen twee weken nadat die toestemming is verleend.

Artikel 5

1.

In afwijking van artikel 3, lid 1, kunnen de bevoegde autoriteiten van de lidstaten toestemming verlenen voor de vrijgave van bepaalde bevroren tegoeden of economische middelen, mits aan de volgende voorwaarden is voldaan:

  1. de tegoeden of economische middelen zijn het voorwerp van een arbitragebesluit dat is vastgesteld vóór de datum waarop de in artikel 3 bedoelde natuurlijke personen, rechtspersonen, entiteiten of lichamen werden opgenomen in bijlage I, of van een rechterlijk of administratief besluit dat in de Unie is uitgesproken, of van een rechterlijk besluit dat in de betrokken lidstaat uitvoerbaar is, en dat van voor of na die datum dateert;

  2. de tegoeden of economische middelen worden uitsluitend benut om te voldoen aan de vorderingen die bij de beslissing zijn gewaarborgd of geldig zijn verklaard, overeenkomstig de wettelijke en bestuursrechtelijke voorschriften betreffende de rechten van de houders van die vorderingen;

  3. de beslissing komt niet ten goede aan een in bijlage I opgenomen natuurlijke persoon of rechtspersoon, entiteit of lichaam; en

  4. de erkenning van de beslissing is niet in strijd met de openbare orde van de betrokken lidstaat.

2.

De betrokken lidstaat stelt de andere lidstaten en de Commissie in kennis van elke toestemming die overeenkomstig lid 1 is verleend en dit binnen twee weken nadat die toestemming is verleend.

Artikel 6

Artikel 7

Artikel 8

Artikel 9

Artikel 10

Artikel 11

Artikel 12

Artikel 13

Artikel 14

Artikel 15

Artikel 16

Artikel 17

Artikel 18

Artikel 19

BIJLAGE I

BIJLAGE II