Naar aanleiding van de Richtlijn aanvallen op informatie systemen heeft het kabinet een wetsvoorstel gemaakt ter implementatie van de richtlijn. Jan-Jaap Oerlemans staat op zijn blog kort stil bij de inhoud van het wetsvoorstel en plaatst daar enkele kanttekeningen bij.

Strafverhoging

De Europese Commissie en het Europese Parlement vonden het nodig computerdelicten binnen de EU te harmoniseren en maximale gevangenisstraffen voor te schrijven om computercriminaliteit beter te bestrijden. In het bijzonder maken zij zich zorgen over de opkomst van botnets, de economische schade dat cybercrime kan veroorzaken en de ontwrichtende gevolgen die aanvallen op vitale IT infrastructuren kunnen hebben.

Als gevolg van de Richtlijn aanvallen op informatiesystemen wordt nu in Nederland de maximale gevangenisstraf voor

1. computervredebreuk (art. 138ab lid 1 Sr),
2. het uitvoeren denial-of-service aanvallen (art. 138b lid 1 Sr) en
3. het wederrechtelijk aftappen van netwerkverkeer (139c lid 1 Sr en 139d lid 1 Sr)

verhoogd van maximaal één jaar naar maximaal twee jaar gevangenisstraf.

Strafverzwarende omstandigheden

Daarnaast schrijft de richtlijn voor dat in bepaalde (strafverzwarende) omstandigheden een maximale gevangenisstraf van vijf jaar moet gelden.

Voor de implementatie hiervan wordt ten eerste in een lastig geformuleerd artikel (art. 138b lid 2 Sr) voorgesteld om een maximale gevangenisstraf van 3 jaar voor te schrijven indien een botnet wordt gebruikt (dit staat er niet letterlijk, maar dat een “aanzienlijk aantal computers” worden aangestuurd na gebruik van kwaadaardige software, hacking tools of wachtwoorden zoals beschreven in art. 139d lid 2 Sr) om

1. denial-of-service aanvallen uit te voeren (art. 138b Sr) en
2. computers te beschadigen of malware te installeren (zie art. 350a Sr en het voorgestelde art. 350c Sr voor ‘werken voor telecommunicatie’).

Bij art. 350a lid 2 Sr en het voorgestelde artikel 350c lid 2 Sr wordt dan terugverwezen naar art. 138b lid 2 Sr.

Ten tweede schrijft de richtlijn voor dat in de omstandigheid dat een denial-of-service aanval of computerverstoringen worden gepleegd

1. in het kader van een criminele organisatie,
2. het feit ernstige schade tot gevolg heeft of
3. wanneer het feit is gepleegd tegen een geautomatiseerd werk behorende tot een vitale infrastructuur, een maximale gevangenisstraf van vijf jaar moet gelden.

Nu is dat volgens de minister al geregeld voor omstandigheid 1, maar geldt deze strafverzwaring nog niet voor aanvallen die “ernstige schade veroorzaken” of voor aanvallen gericht tot een “geautomatiseerd werk behorende tot een vitale infrastructuur”. Daarom wordt een nieuw lid in art. 138b Sr voorgesteld (art. 138b lid 3 Sr), waardoor voor een dos-aanval die leidt tot ernstige schade of gericht is op een computer die behoort tot een vitale infrastructuur een maximale gevangenisstraf van vijf jaar zou gaan gelden. De strafverzwaring moet ook gelden voor computerverstoringen zoals strafbaar is gesteld inart. 350a Sr en 350c Sr, waarvoor in deze artikelen wederom wordt terugverwezen naarart. 138b lid 3 Sr.

Kanttekeningen

• Oerlemans vindt het vreemd dat er een apart wetsvoorstel is gemaakt: het Wetsvoorstel Computercriminaliteit III is immers nog niet naar de Tweede Kamer gestuurd en ziet eveneens op de versterking van de bestrijding van cybercrime.
• Ten tweede worden de materieelrechtelijke bepalingen m.b.t. computercriminaliteit door het wetsvoorstel nu wel erg ingewikkeld door het creëren van een complex systeem met kruisverwijzingen naar art. 138b Sr en 139d Sr. Art. 139d Sr verwijst naar het wederrechtelijk voorhanden hebben van ‘hacking tools’ en wachtwoorden met het oogmerk om te hacken, wederrechtelijk gegevens af te tappen en om denial-of-service aanvallen uit te voeren.
• Ten derde acht Oerlemans het kwalijk dat het brede begrip “vitale infrastructuren” uit de richtlijn niet nader wordt gedefinieerd in de Memorie van Toelichting van het wetsvoorstel.

Lees verder:

• Nóg een wet computercriminaliteit? OerlemansBlog – Blog about cybercrime and privacy