Projet de loi relatif à la certification de cybersécurité des technologies de l'information et des communications et portant désignation d'une autorité nationale de certification de cybersécurité.
General information ¶
- Submitted by
- Vivaldi
- Submission date
- May 24, 2022
- Official page
- Visit
- Status
- Adopted
- Requirement
- Simple
- Subjects
- EC Regulation consumer protection Community certification data protection information technology public safety
Voting ¶
- Voted to adopt
- Groen CD&V Vooruit Ecolo PS | SP Open Vld MR
- Abstained from voting
- LE DéFI N-VA LDD PVDA | PTB VB
Contact form ¶
Do you have a question or request regarding this proposition? Select the most appropriate option for your request and I will get back to you shortly.
Discussion ¶
July 14, 2022 | Plenary session (Chamber of representatives)
Full source
Michael Freilich N-VA ⚠
Mijnheer de minister, collega's, vandaag ligt een wetsontwerp voor over de aanwijzing van de nationale cyberbeveiligingscertificeringsautoriteit. Het betreft een Europese richtlijn die in nationale wetgeving omgezet moet worden. Dat is voor de N-VA-fractie geen probleem. Wij hebben echter wel een probleem met de vele delegaties aan de Koning.
Het woord cyberbeveiligingscertificeringsautoriteit bevat 41 letters. Dit wetsontwerp bevat 37 pagina's, het voorblad en het eerste witblad inbegrepen. Hoeveel keer staat 'de Koning' in het wetsontwerp? 50 keer, dat is te veel van het goede! Zo dringen zich nog enkele vragen op. Men blijft vrij vaag over het aantal middelen dat men zal besteden en het aantal mensen dat men zal inzetten voor die cyberbeveiliging. De Gegevensbeschermingsautoriteit had ook een aantal vragen over de dataoverdracht en de controle daarop.
Cyberbeveiliging mag niet licht worden opgevat. Enerzijds worden de burgers gehackt en zijn ze slachtoffer van phishing, waardoor hun geld wordt gestolen. Anderzijds zijn er de vele kleine en grote ondernemingen, de ziekenhuizen, de haven van Antwerpen, die met ransomware te maken krijgen. Tot slot is er de overheid zelf en die is ook niet immuun. Vandaag las ik dat de Europese Commissie een speciale bunker ter waarde van 8 miljoen euro wil bouwen, waarin niemand meer binnen mag met een telefoon en waar er geen internetverbinding zou zijn. Zelfs een hoorapparaat zou er niet in mogen uit angst dat men informatie zou kunnen onderscheppen. Dat is terecht.
Ook voor de overheid is cyber bijzonder belangrijk. Ik heb gezien dat u er deze week niet bij was. In de kalender stond dat u iets had bijgewoond over cyberveiligheid. Ik ben benieuwd te vernemen wat u daar geleerd hebt. Het feit blijft dat ook onze overheid het slachtoffer is geworden van cyberaanvallen. Een jaar geleden bleek de mailserver van Binnenlandse Zaken geïnfiltreerd te zijn. Wij hebben een vermoeden van waar de aanval komt, maar zekerheid is er niet.
Vorige winter zagen wij ook bij Defensie een probleem. Ik heb begrepen dat het probleem nog steeds niet is opgelost. Het gaat om een 'vulnerabiliteit' van een bepaald open-sourceprogramma dat door heel veel mensen en organisaties wordt gebruikt, namelijk Log4J, een logboek. Blijkbaar was er een achterpoortje en kon men meelezen. Op het moment dat bekend werd dat er zo'n achterpoortje was, is men bij de inlichtingendienst van het leger direct gaan kijken of men geïnfiltreerd was. En wat bleek, inderdaad, men was geïnfiltreerd en werd effectief afgeluisterd. Alles werd direct afgesloten, terecht, maar vandaag zijn die servers nog niet volledig opgebouwd.
Ik stelde toen de vraag aan de eerste minister wat de regering ging doen om systematisch na te kijken of er geen gelijkaardig probleem is in de overheidsdiensten. Bij het leger heeft men specialisten, die kennen dat en kunnen dat doen, maar zitten er bij de FOD Economie of bij de Pensioendienst echte IT-cracks, die het allemaal weten?
Het antwoord dat ik kreeg op mijn vraag was dat er een persbericht was rondgestuurd. Er was een persbericht rondgestuurd en men vroeg aan iedereen om zijn verantwoordelijkheid op te nemen. De eerste minister zei ook dat elke overheidsdienst zelf verantwoordelijk is voor zijn eigen cyberveiligheid. Wij vinden dat niet kunnen. Als het CCB ressorteert onder de eerste minister, moet die natuurlijk ook het leiderschap daarvoor opnemen. Leiden met een korte ei, niet met een lange ij. Il faut être un leader et pas un souffleur.
Wij vragen dus om effectief cyberveiligheid serieus te nemen. Wij hebben hier verschillende voorstellen ingediend, maar de meeste daarvan kunnen niet op heel veel bijval rekenen. Dat is niet omdat het geen goede voorstellen zijn, maar omdat ze vanuit de oppositie komen. Dat betreur ik.
Er is de zogenaamde NIS-richtlijn voor kritieke infrastructuur in ons land, zoals Proximus, waterkrachtcentrales, kerncentrales enzovoort. Zij zijn verplicht om aan een bepaald niveau van cyberveiligheid te werken. Als blijkt dat er een hack is, zijn ze verplicht om dat te melden. Aan wie moeten ze dat melden? Aan de overheid. Maar diezelfde overheid valt niet onder de NIS-richtlijn, niet onder dezelfde stringente eisen waar de rest aan moet voldoen. Wij hebben een wetsvoorstel ingediend om die strenge regels ook voor de overheid te laten gelden. Totnogtoe is er niet veel animo om daar iets mee te doen.
Wat te denken van de hoogrisicovendoren? Bij het Belgisch leger zou men Huawei-routers gebruiken. In Kortrijk staan er camera's van Hikvision. Van al die bedrijven is geweten dat ze een nauwe band hebben met een regime dat oplegt aan die bedrijven om informatie te delen. Opnieuw heeft onze fractie een fantastisch voorstel ingediend om een lijst te maken van de hoogrisicovendoren in de cybersector zodat mensen en organisaties weten met wie ze wel en niet kunnen werken.
Dit wetsontwerp zullen we effectief Europees omzetten, maar ik heb al gezegd waar voor ons de problemen liggen. Het mag hier echter niet stoppen, er is veel meer nodig. Er is leiderschap nodig. Nu heb ik het gevoel dat men veel te veel ondergaat. Er gebeurt iets, en we volgen.
Ik heb het voorbeeld aangehaald van het antivirusprogramma Kaspersky, dat van Russische makelij is. De Franse, de Nederlandse, de Britse en zelfs de Duitse veiligheidsdiensten hebben bij de start van de oorlog bedrijven en overheden gewaarschuwd om Kaspersky niet meer te gebruiken. De N-VA gebruikte dat pakket ook, maar kort na de Russische inval hebben we beslist om dat niet meer te doen. Een antivirusprogramma op je pc heeft immers de machtiging om op het hoogste niveau van het operating system alles te kunnen lezen.
We hebben de vraag gesteld aan de premier of het geen goed idee was om daar ook meer te stoppen. Het antwoord was dat sommige landen het inderdaad verbieden en dat andere landen er alleen maar voor waarschuwen. Ik kreeg echter geen antwoord.
Mijnheer de minister, u bent ook vice-eersteminister, dus vandaar mijn vraag aan u om cyber au sérieux te nemen. Wij hebben daaromtrent verschillende wetsvoorstellen ingediend en ik hoop op uw steun.
Erik Gilissen VB ⚠
Mevrouw de voorzitster, mijnheer de vice-eersteminister, de digitalisering van onze samenleving gaat steeds verder. Om die steeds digitaler wordende samenleving veilig te houden en om een en ander in goede banen te leiden, is er nood aan goede regelgeving en instanties die waken over de digitale veiligheid van goederen en diensten. Een cyberbeveiligingscertificeringsautoriteit is zo'n instantie.
Wij hebben echter ook enkele opmerkingen bij het voorliggende wetsontwerp. Wij stellen ons bijvoorbeeld vragen bij de toegang tot de verzamelde gegevens en de bescherming van de privacy. De GBA en het COC hebben bij het voorontwerp ook een aantal opmerkingen en adviezen geformuleerd, maar die werden slechts gedeeltelijk gevolgd. Tevens merken wij op dat de Koning in artikel 5, bijvoorbeeld, de autoriteit aanduidt die als nationale cyberbeveiligingscertificeringsautoriteit zal fungeren. Ook in andere artikelen worden heel wat bevoegdheden aan de Koning toevertrouwd, wat in de praktijk eigenlijk gewoon op de regering neerkomt. Het Parlement, met goed betaalde en democratisch verkozen politici, heeft hier geen enkele inspraak meer in.
Cyberbeveiliging is belangrijk, maar onze fractie kan het voorliggend wetsontwerp niet ten volle steunen, vandaar zullen wij ons straks onthouden.
Minister Pierre-Yves Dermagne ⚠
Mijnheer Freilich, mijnheer Gilissen, bedankt voor uw uiteenzettingen en vragen.
Mijnheer Freilich, u hield een vurige en gepassioneerde uiteenzetting, maar u week wel enigszins af van de voorliggende tekst. Het gaat om een verordening van het Europees Parlement en de Raad. Ik heb uw oproep wel goed gehoord.
Mijnheer Gilissen, het advies van de Gegevensbeschermingsautoriteit was inderdaad kritisch. Bijgevolg heeft de regering de tekst aangepast. Voorliggend wetsontwerp is dus niet de tekst die aan de GBA werd voorgelegd. Op basis van het advies van de GBA zijn verschillende artikelen gewijzigd en is ook een hoofdstuk VIII ingevoegd, met een regeling voor de verwerking van de persoonsgegevens, de verwerkingsdoeleinden, de aanwijzing van de verwerkingsverantwoordelijke, categorieën van gegevens en van betrokkenen, modaliteiten voor het doorgeven van gegevens, de bewaartermijn en mogelijke uitzonderingen op de rechten van de betrokkenen, dat alles met de nodige waarborgen.
Er werd ook gevraagd waarom de nationale cyberbeveiligingscertificeringsautoriteit wordt aangeduid door de Koning. Welnu, zoals u weet is de Koning bevoegd voor de bevoegdheden van de federale administratieve overheden, met inbegrip van het CCB. Volgens de grondwettelijke bepalingen komt die bevoegdheid toe aan de Koning.