Overslaan en naar de inhoud gaan

Ontwerp van wet houdende wijziging van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het FANC > cybersecurity - elektriciteitsproductie

Door de toenemende cyberaanvallen gericht tegen de overheid en de industrie, wordt de cyberbeveiliging, zowel op internationaal als op nationaal gebied, meer en meer een prioriteit. Deze dreigingen, in het bijzonder dan in de nucleaire sector en bij de nucleaire toepassingen, die steeds vaker in de actualiteit komen, leiden tot een groeiende bezorgdheid bij de regeringen en de veiligheidsautoriteiten. Zo is  de regering er zich terdege van bewust dat de Belgische nucleaire installaties een mogelijk doelwit vormen voor cyberaanvallen en dat, hetzelfde, meer in het algemeen, geldt voor de inrichtingen waar ioniserende straling wordt gebruikt.

Nucleaire cyberbeveiliging op internationaal vlak

Op internationaal gebied gaat er meer en meer aandacht naar de cyberbeveiliging in het algemeen. Het World Economic Forum (WEF) heeft zo, op 24 januari 2018, op de laatste jaarlijkse vergadering, aangekondigd dat er een Global Centre for Cybersecurity zal worden opgericht, dat, onder zijn auspiciën, kan bijdragen tot de veiligheid en de beveiliging van de wereldwijde cyberspace. Het WEF heeft inderdaad vastgesteld dat de cyberbeveiliging een van de belangrijkste uitdagingen op wereldvlak wordt van onze tijd, dit omwille van de grensoverschrijdende aard van de cyber-aanvallen, waartegen de instanties die zich hiervoor elk afzonderlijk inzetten zich vaak niet opgewassen voelen.

Ook op  talrijke internationale fora komt de nucleaire cyberbeveiliging steeds vaker aan bod, zoals bijvoorbeeld op de Nuclear Security Summit, of de IAEA, waar het thema van de cyberbeveiliging meer en meer behandeld wordt als een volwaardige en aparte dimensie van de nucleaire beveiliging. Wij verwijzen in dit verband naar de desbetreffende resoluties van de Algemene Conferentie, de International Conference on Computer Security in a Nuclear World, die werd georganiseerd in Wenen van 1 tot 5 juni 2015, het Plan Nucleaire Beveiliging  2018-2021, alsook de verschillende documenten met aanbevelingen hierover die in de Nuclear Security Series werden uitgewerkt. Hieruit blijkt ook dat België bijzonder actief is en nauwgezet meewerkt aan de verschillende werkgroepen die deze specifieke aanbevelingen binnen de IAEA ontwikkelen.

Wettelijk stelsel van de nucleaire cyberbeveiliging in België – Genese van het project

Het wettelijk stelsel van de cyberbeveiliging van de nucleaire sector in België is hoofdzakelijk opgebouwd vanuit de fysieke beveiliging en de nucleaire beveiliging, omwille van de hieronder aangehaalde redenen.

Dit is een van de redenen waarom de nucleaire sector slechts gedeeltelijk aansluit op de mechanismen van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren die voorziet in de omzetting van de Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren, die beveiligings- en meldingsverplichtingen voorziet voor de netwerk- en informatiesystemen voor de exploitanten van (nationale en Europese) kritieke infrastructuren. Deze wet van 1 juli 2011 is niet gericht op de nucleaire installaties als dusdanig en nog minder op alle inrichtingen waarop dit ontwerp van toepassing is, maar heeft uitsluitend betrekking op de elementen van nucleaire installaties die dienen voor de transmissie van elektriciteit en werden aangeduid als kritieke infrastructuren.

Anderzijds werd er op 10 oktober 2014, bij koninklijk besluit, een nationale autoriteit opgericht (het Centrum voor Cybersecurity België “CCB”) die belast werd met de supervisie, de coördinatie en het toezicht op de uitvoering van de Belgische strategie inzake Cybersecurity (goedgekeurd in 2012).

Daarvoor waren de inspanningen van de regering op het gebied van de nucleaire beveiliging al jaren vooral gericht op de versterking van de fysieke beveiligingssystemen van de nucleaire installaties. Het doel hierbij was vooral om elke niet-toegestane toegang tot de nucleaire sites te verhinderen, zodat elke kwaadwillige handeling waarbij kernmateriaal betrokken was, kon worden voorkomen.

Door de wereldwijde toename van de cyberaanvallen tegen regeringen, instanties en de industrie, werd de cyberbeveiliging evenwel een prioriteit. Het is in deze context dat de Belgische bevoegde autoriteiten een proces gelanceerd hadden dat erop gericht was een aantal mogelijke kenmerken van eventuele cyberaanvallen tegen de nucleaire sector te identificeren. Deze aanpak heeft ertoe geleid dat de bijzonderheden van een dreiging en de specifieke risico’s van de nucleaire installaties op ons grondgebied in kaart konden worden gebracht.

Van bij het begin maakt de Belgische aanpak van de nucleaire cyberbeveiliging deel uit van het specifiek stelsel voor de fysieke beveiliging van de nucleaire installaties en de bescherming van de zogenaamde gecategoriseerde informatie, dat met name betrekking heeft op de fysieke beveiligingsmaatregelen voor nucleaire installaties (cf. koninklijke besluiten van 17 oktober 2011). Deze aanpak is het gevolg van de toepassing, door België, van het Verdrag inzake de fysieke beveiliging van kernmateriaal, zoals gewijzigd. Het gewijzigd Verdrag, dat als doel heeft om op wereldschaal een doeltreffende fysieke beveiliging van het kernmateriaal en nucleaire installaties in te voeren en te handhaven, heeft tevens betrekking op de bescherming van de gevoelige informatie. Daarenboven steunt België het standpunt dat het gewijzigd Verdrag tevens van toepassing is op de cyberspace. Dat is de reden waarom de Belgische geldende regelgeving de nucleaire exploitanten ertoe verplicht om elke vorm van informatie te beschermen die als een « nucleair document » (in de zin van artikel 1bis van de wet van 15 april 1994 betreffende de bescherming van de bevolking en van het leefmilieu tegen de uit ioniserende stralingen voortspruitende gevaren en betreffende het Federaal Agentschap voor Nucleaire Controle) gedefinieerd werd, inclusief deze in elektronische of in digitale vorm. Bijgevolg, en hoewel de termen "cyberbeveiliging" en "cyberaanval" niet letterlijk in de nu geldende wetgeving werden opgenomen, heeft elke nucleaire installatie toch de lege lata de verplichting om maatregelen te treffen om deze nucleaire documenten te beschermen.

Algemeen beschouwd zijn de Belgische nucleaire veiligheidsautoriteiten er zich terdege van bewust dat de kerninstallaties, net als trouwens, meer algemeen, de inrichtingen waar ioniserende straling wordt gebruikt, een mogelijk doelwit kunnen vormen voor cyberaanvallen.

Het bewijs hiervan is het feit dat België, op eigen initiatief, het toepassingsgebied van de weerstandstests van 2011 had uitgebreid tot het risico op cyberaanvallen: na de kernramp in de kerncentrale van Fukushima-Daiichi in 2011, werden de Belgische nucleaire installaties van klasse I onderworpen aan weerstandstests - « stress tests » genoemd - in het kader van gezamenlijke Europese initiatieven. In ons land bleef het toepassingsgebied van deze weerstandstest niet beperkt tot de extreme natuurfenomenen, maar werd het uitgebreid tot mogelijke bedreigingen die het gevolg zijn van, al dan niet kwaadwillige, menselijke handelingen, waaronder een cyberaanval. De kwetsbaarheid van de installaties voor cyberaanvallen werd door de exploitanten geanalyseerd en vervolgens door het FANC en Bel V op de betrouwbaarheid ervan geëvalueerd.

De exploitanten hadden de mogelijkheden onderzocht van een eventueel verlies van de controle over hun centrales, rekening gehouden met de bestaande beveiligingsvoorzieningen. Volgens hun analyses was  het verlies van de veiligheidsfuncties van de kerncentrales ten gevolge van een cyberaanval weinig waarschijnlijk, met name gelet op de maatregelen (met inbegrip van de fysieke beveiliging) die voorzien zijn om de informaticasystemen die de veiligheidsfuncties ondersteunen, te beschermen.

Hoewel de evaluatie van het FANC en Bel V deze conclusies grotendeels bevestigde, werden er toch een aantal aandachtspunten geïdentificeerd. In het nationaal rapport over deze stresstests werd er gesteld dat de cyberrisico’s van nabij dienden te worden opgevolgd, omdat:

  • De kwetsbaarheid en het risico toenemen naarmate de informaticatechnologie van de installaties verder moderniseert.
  • De kwetsbaarheid van de industriële systemen van het type SCADA (Supervisory Control and Data Acquisition) verhoogt met het opduiken van nieuwe malware die ontwikkeld wordt om zulke systemen aan te vallen.

Bovendien werd de voormelde wet van 15 april 1994 onlangs gewijzigd (cf. wijzigingswet van 13 december 2017) om het wettelijk kader t.a.v. de beveiliging van radioactieve stoffen te verduidelijken en te versterken, alsook voor toestellen en installaties die ioniserende straling uitzenden die niet van radioactieve stoffen afkomstig is. Het spreekt voor zich dat de bepalingen m.b.t. de cyberbeveiliging bij deze nieuwe regels moeten aansluiten.

Doel van het wetsontwerp

Rekening gehouden met de dreiging en de hierboven uiteengezette beschouwingen, diende het wettelijk stelsel hoofdzakelijk in twee opzichten verder te worden aangevuld en uitgewerkt: enerzijds mocht het niet worden beperkt tot de nucleaire installaties, maar moest het worden uitgebreid tot alle inrichtingen waar ioniserende straling wordt gebruikt. Anderzijds mogen de maatregelen die door de operatoren moeten worden genomen er niet alleen op gericht zijn om de informatie te beschermen, maar tevens de industriële en technische operaties, gelet op de kwetsbaarheid van de systemen van het type SCADA.

De belangrijkste bepalingen van het ontwerp dat ter beraadslaging wordt voorgelegd, bestaan in de machtiging van de Koning om de maatregelen inzake nucleaire cyberbeveiliging te bepalen die aan de betrokken operatoren worden opgelegd en in de machtiging van het Agentschap om de grote lijnen te bepalen voor de nucleaire cyberbeveiligingsmaatregelen inzake het behoedzaam beheer voor de categorieën van netwerk- en informatiesystemen met de minste risico’s.

Het ontwerp voorziet daarenboven dat het FANC  verschillende rollen zal spelen, waaronder een bewustmakingsrol,  en verantwoordelijk zal zijn voor de inspecties en controles m.b.t. de nucleaire cyberbeveiligingsmaatregelen.

Dit ontwerp is niet bedoeld om de cyberaanvallen te criminaliseren en evenmin ander onbetamelijk gedrag. De desbetreffende conventies en internationale teksten, vooral het Cybercrimeverdrag, dat in Budapest op 23 november 2001 werd ondertekend en, meer algemeen, de Richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit  2005/222/JBZ van de Raad, het Verdrag inzake de fysieke beveiliging van kernmateriaal (VFBK), zoals herzien, voor wat de nucleaire beveiliging betreft, namelijk internationale normen met een dergelijk perspectief, hebben tot de noodzakelijke toepassingswetten geleid (in dit verband vermelden we de wet van 6 juli 2017 houdende vereenvoudiging, harmonisering, informatisering en modernisering van bepalingen van burgerlijke recht en van burgerlijk procesrecht alsook van het notariaat, en houdende diverse bepalingen inzake justitie, die een titel 14 bevat waardoor de richtlijn 2013/40/EU van het Europees Parlement en van de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad werd omgezet in Belgisch recht, of ook nog de wet van 23 mei 2013 tot wijziging van het Strafwetboek om het in overeenstemming te brengen met het Internationaal Verdrag betreffende de bestrijding van daden van nucleair terrorisme, gedaan te New York op 14 september 2005, en met de Wijziging van het Verdrag inzake externe beveiliging van kernmateriaal, aangenomen te Wenen op 8 juli 2005 door de Conferentie van de Staten die partij zijn bij het Verdrag).

Er moet hierbij worden verduidelijkt dat dit ontwerp in geen geval een aan de nucleaire sector aangepast omzettingsontwerp is van de  zogenaamde “NIS-Richtlijn” (d.w.z. de (EU) Richtlijn 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie); dit ontwerp sluit  eerder aan op de internationale verdragen m.b.t. de nucleaire beveiliging, onze verschillende internationale “commitments” en de werkzaamheden van de IAEA; het lijkt ons geschikt om aan de vereisten van een sector te beantwoorden die een intrinsiek beveiligingsrisico inhoudt, maar niet noodzakelijk een risico op de onderbreking van een essentiële dienst (wat de bedoeling is van de in voorbereiding zijnde “wet van XX XX XXXX tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid», hierna “de wet van XX XX XXXX” genoemd).

Naast dit fundamentele verschil in perspectief, beoogt dit wetsontwerp een gelijkaardig maar ander stelsel in te voeren dan wat voorzien is door de wet van XX XX XXXX, die o.a. de omzetting van de Richtlijn” tot doel heeft .

Een dergelijke specifieke en aparte aanpak dringt zich niet alleen op omwille van het huidig kader van de nucleaire cyberbeveiliging (zie hierboven), of van de genese van het huidig ontwerp (zie hierboven), maar tevens omwille van de specifieke kenmerken van de nucleaire cyberbeveiliging, in het bijzonder de link met de « categorisering » (classificatie) van de informatie, met de nationale beveiliging en het feit dat de cyberbeveiligingsmaatregelen die moeten worden getroffen, desgevallend, in sommige opzichten, zouden moeten samengaan met, of deel uitmaken van, of tot uiting komen in de « fysieke beveiligingsmaatregelen», de « beveiligingsmaatregelen voor de radioactieve stoffen, met uitzondering van het kernmateriaal » of de « beveiligingsmaatregelen voor de toestellen of installaties die ioniserende straling uitzenden die niet van radioactieve stoffen afkomstig is », in de zin van de wet van 15 april 1994 (zie respectievelijk de artikelen 17bis, eerste streepje, 17quater 3°) en 17quinquies 1°)) van de wet.

Gelet op het bovenstaande doet het evenwel geen afbreuk aan de bijzondere bepalingen van bovenvermelde wet van XX XX XXXX  die tegelijk betrekking hebben op de elementen van een nucleaire installatie bestemd voor de industriële productie van elektriciteit die dienen voor de transmissie van de elektriciteit (zie artikel [[4 §4]] van deze wet) en de inspectiebevoegdheid m.b.t. de uitvoering ervan door het FANC (zie artikel [[52]]  van deze wet waardoor een artikel 15ter in de wet van 15 april 1994 wordt ingevoegd).

Tot slot moet worden benadrukt dat in de paragrafen 1 en 4 van artikel 17sexies van het ontwerp de Koning gemachtigd is om  autoriteiten aan te duiden, hoofdzakelijk om advies te verstekken, om informatie uit te wisselen of om meldingen van cyberincidenten te ontvangen. Het betreft het Centrum voor Cybersecurity België (“CCB”), opgericht bij koninklijk besluit van 10 oktober 2014, met inbegrip van zijn dienst het « Computer Emergency Response Team » (CERT.be), van het Crisiscentrum, opgericht bij koninklijk besluit van 18 april 1988 “tot oprichting van het coördinatie- en Crisiscentrum van de regering” en waarbij de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren (zie haar artikel 3,1°) een fundamentele rol speelt inzake beveiliging en bescherming van de kritieke infrastructuren, of nog van andere bestaande, of nog op te richten instellingen.

Het is natuurlijk de bedoeling om het mogelijk te maken dat de bevoegde nationale autoriteiten op het gebied van de cyberbeveiliging, de kritieke infrastructuren, of het crisisbeheer ook hun medewerking, hun advies en ervaring ter beschikking kunnen stellen van de nucleaire cyberbeveiliging.