Wetsvoorstel en toelichting implementatie richtlijn computercriminaliteit

Wetsvoorstel tot implementatie van richtlijn 2013/40/EU van het Europees Parlement en de Raad over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PbEU L 218/8) -  Memorie van Toelichting wetsvoorstel implementatie richtlijn 2013/40/EU
Dit wetsvoorstel strekt tot implementatie van de richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvullen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PbEU L218/8)(hierna: de richtlijn). De implementatietermijn van de richtlijn loopt af op 4 september 2015 (artikel 16 van de richtlijn). Vóór die datum dient de richtlijn door de lidstaten op nationaal niveau te zijn omgezet. Een transponeringstabel is in de bijlage bij deze memorie van toelichting opgenomen.

De implementatie van de richtlijn leidt tot enkele aanscherpingen van strafbaarstellingen van computercriminaliteit in het Wetboek van Strafrecht. De wijzigingen betreffen enkele verhogingen van strafmaxima en de toevoeging van een aantal strafverzwarende omstandigheden aan de computerdelicten.

De richtlijn bouwt voort op het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (Trb. 2002, 18; hierna: het Cybercrimeverdrag) en vervangt het bestaande kaderbesluit uit 2005 (Kaderbesluit 2005/222/JBZ van 24 februari 2005 over aanvallen op informatiesystemen; PbEU L 69/67; hierna: het kaderbesluit). De richtlijn bevat enkele aanvullingen ten opzichte van het kaderbesluit. Voor een deel zijn deze aanvullingen ontleent aan het Cybercrimeverdrag. Voor een deel zijn deze aanvullingen, ook ten opzichte van het Cybercrimeverdrag, nieuw. Het betreft met name de bepalingen over de strafmaxima en strafverzwarende omstandigheden.

Dit kabinet onderkent de toenemende risico’s van cybercriminaliteit en wil dit fenomeen krachtig aanpakken. Ik verwijs ook naar het thans aan de Raad van State ter advisering voorgelegde wetsvoorstel tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van cybercrime (computercriminaliteit III). De richtlijn, waarin onder meer een aantal strafmaatverhogingen is opgenomen, sluit bij deze aanpak aan.

Van cybercriminaliteit gaan grote dreigingen uit, zoals bijvoorbeeld gevaar voor maatschappelijke ontwrichting en voor het vertrouwen in het financieel-economische systeem. Dat risico is vooral aan de orde bij aanvallen via zogenoemde ‘botnets’, waarbij controle op afstand over een aanzienlijk aantal computers tot stand wordt gebracht door deze door middel van gerichte cyberaanvallen te besmetten met kwaadaardige software. Als het eenmaal tot stand is gekomen, kan het netwerk van computers dat de ‘botnet’ vormt, zonder medeweten van de gebruikers ervan, worden ingezet om een grootschalige cyberaanval uit te voeren, die ernstige schade kan veroorzaken. Grootschalige cyberaanvallen kunnen onder andere ernstige economische schade veroorzaken doordat informatiesystemen uitvallen en communicatie wordt onderbroken en doordat er commercieel vertrouwelijke of andere gegevens verloren gaan of worden gewijzigd. Ontwrichting of vernietiging van vitale infrastructuren, zoals energiecentrales, vervoersnetwerken en overheidsnetwerken, kunnen aanzienlijke gevolgen hebben. In verband met de naar zijn aard veelal grensoverschrijdende cybercriminaliteit en grensoverschrijdende gevolgen is het noodzakelijk om een gezamenlijke Europese aanpak te ontwikkelen. Dit voorkomt ‘safe havens’. Voorkomen moet worden dat personen (via computers) in landen waar bepaalde feiten niet strafbaar zijn gesteld of met een lage straf worden bedreigd, computercriminaliteit ten aanzien van de Nederlandse overheid, Nederlandse bedrijven en burgers kunnen plegen.

Om beter weerstand te kunnen bieden aan deze problematiek is er behoefte aan het verzamelen – op EU niveau – van vergelijkbare gegevens over de in de richtlijn bedoelde strafbare feiten. Met behulp van deze gegevens, zoals bijvoorbeeld over modus operandi en frequentie, kunnen dreigingsevaluaties en strategische evaluaties van cybercriminaliteit worden uitgevoerd. Op basis daarvan kan een beter inzicht ontstaan in huidige en toekomstige dreigingen en kunnen meer passende en gerichte besluiten worden genomen over het bestrijden en voorkomen van aanvallen op informatiesystemen. Het verzamelen en doorgeven van dergelijke gegevens sluiten aan bij de huidige werkzaamheden van het Team High Tech Crime (THTC) van de dienst nationale recherche van de landelijke eenheid van politie, dat nu al het 24/7 contactpunt voor andere staten is als het gaat om de bestrijding van cybercrime door Nederland en bij de huidige werkzaamheden van het nationaal cyber security centrum van de NCTV. Beide organisaties beschikken ook al over regulieren contacten met enerzijds Europol en anderzijds ENISA.