Is ethisch hacken strafbaar?

In België is ethisch hacken, onder bepaalde voorwaarden niet strafbaar. Deze voorwaarden staan te lezen in de Belgische NIS2-wet die op 18 oktober 2024 in werking trad. Een belangrijk aspect van deze wet is de aanscherping van de (oudere) regels rond ethisch hacken. Waar ethische hackers onder de klokkenluiderswet van 28 november 2022 (van kracht sinds 15 februari 2023) een volledige vrijstelling genoten, brengt de NIS2-wet een verscherping van de voorwaarden met zich mee.

Wat is ethisch hacken?

Ethisch hacken, ook wel bekend als “white hat” hacken, is het proces waarbij iemand (al dan niet met toestemming van de eigenaar) beveiligingstests en penetratietests uitvoert op computersystemen, netwerken of webapplicaties. Het doel is om zwakke plekken en kwetsbaarheden in de beveiliging bloot te leggen, zodat deze kunnen worden verholpen voordat kwaadwillende hackers er misbruik van kunnen maken.

Ethische hackers gebruiken dezelfde technieken en methoden als kwaadwillende hackers, maar met een legitiem doel: het verbeteren van de beveiliging. Ze kunnen verschillende technieken toepassen, zoals netwerkscans, kwetsbaarheidsscans, social engineering, het testen van wachtwoorden en het onderzoeken van softwarelekken.

Deze praktijk kan belangrijk zijn voor het waarborgen van de veiligheid van digitale systemen en gegevens, aangezien het helpt om potentiële zwaktes te identificeren en te verhelpen voordat kwaadwillende hackers hiervan misbruik kunnen maken.

De klokkenluidersvrijstelling wordt aangescherpt

Hacken is in principe een strafbaar feit.

De klokkenluiderswet stelde ethische hackers evenwel vrij van strafrechtelijke aansprakelijkheid indien zij een kwetsbaarheid meldden aan het Centre for Cybersecurity Belgium (CCB) en aan vier cumulatieve voorwaarden was voldaan. Deze vrijstelling was baanbrekend in het Belgische recht en maakte het mogelijk om kwetsbaarheden te melden zonder juridische repercussies.

De NIS2-wet (artikel 22 en 23) introduceert echter strengere criteria en beperkt de verschoningsgrond tot een beperkte en limitatief opgesomde lijst van misdrijven, zoals:

Het afluisteren van private communicatie (artikel 314bis Sw.);
Hacking (artikel 550bis Sw.);
Inbreuk op het beroepsgeheim (artikel 458 Sw.)
Informaticasabotage (artikel 550ter Sw.);
Inbreuken op de telecommunicatiewet.

Het gaat dus om klassieke cyberaanvallen die vanaf afstand plaatsvinden. Daarentegen vallen fysieke aanvallen op IT-systemen niet langer onder de vrijstelling. Dit betekent dat ethische hackers die bijvoorbeeld door fysieke manipulatie van hardware kwetsbaarheden ontdekken, niet langer op juridische bescherming kunnen rekenen. Onder de Klokkenluiderswet was er een verschoningsgrond voor alle misdrijven.

Coordinated Vulnerability Disclosure (CVD) als norm

Een andere wijziging (die gelijkt loopt met andere verplichtingen onder NIS2) is de verplichting tot een gecoördineerde melding van kwetsbaarheden (CVD). De Belgische NIS2-wet voorziet in een getrapt systeem:

Binnen 24 uur na de ontdekking van een kwetsbaarheid de ethische hacker een vereenvoudigde kennisgeving doen en een eenvoudige beschrijving van de kwetsbaarheid melden.
Binnen 72 uur moet een volledige kennisgeving worden ingediend.

Voor sommige entiteiten, zoals inlichtingendiensten, politiediensten en rechtelijke instanties, geldt bovendien dat vooraf een schriftelijke overeenkomst moet worden gesloten over de modaliteiten en methodologie van het onderzoek naar mogelijke kwetsbaarheden.

Beperkingen en onzekerheden

Hoewel de NIS2-wet duidelijkere regels invoert, blijven er juridische onzekerheden voor ethische hackers:

Beperkt toepassingsgebied – De bescherming geldt enkel voor handelingen tegen Belgische ondernemingen of als de IT-infrastructuur zich op Belgisch grondgebied bevindt.
Strikte voorwaarden – Alleen specifieke misdrijven vallen onder de vrijstelling, terwijl andere cybergerelateerde handelingen, zoals informaticabedrog (artikel 504bis Sw.) of valsheid in informatica (artikel 210bis Sw.), wél strafbaar blijven.
Onzekere rechtsgrondslag voor grensoverschrijdend hacken – Internationaal opererende ethische hackers lopen nog steeds aanzienlijke risico’s en blijven COV operaties die beroep doen op de toestemming van bedrijven de norm .

Wat betekent dit voor ethische hackers en bedrijven?

Voor ethische hackers betekent de NIS2-wet dat zij voorzichtiger moeten handelen en goed moeten nagaan of hun activiteiten nog binnen de wettelijke bescherming vallen. Voor bedrijven is het belangrijk om duidelijke CVD-procedures te implementeren en transparant samen te werken met ethische hackers.

Om rechtszekerheid te waarborgen, zou een Europese regeling wenselijk zijn.

Heeft u vragen over de juridische gevolgen van de NIS2-wet voor uw organisatie of over de risico’s en rechten van ethisch hacken? Ons advocatenkantoor staat klaar om u hierin te adviseren.

Is ethisch hacken strafbaar?

Wat is ethisch hacken?

De klokkenluidersvrijstelling wordt aangescherpt

Coordinated Vulnerability Disclosure (CVD) als norm

Beperkingen en onzekerheden

Wat betekent dit voor ethische hackers en bedrijven?

Contact

Recente berichten

Mag een verhuurder huisdieren verbieden?

Bestaan er richtsnoeren om te bepalen wat een verboden AI praktijk is?

Waar moeten advocaten rekening mee houden bij het gebruik van AI?

Hoe zorg ik ervoor dat mijn organisatie AI geletterd wordt?

Worden ook Amerikaanse werken van toegepaste kunst door het auteursrecht beschermd in België?

Kan een videogameproducent cheatsoftware verbieden?

Is de DSM-Richtlijn wel correct in België omgezet?

Topics

ICT Rechtswijzer

Contactgegevens

Waar ons te vinden

Disclaimers