België creëert een veilig en wettelijk kader voor ethische hackers en bug bounty hunters die kwetsbaarheden ontdekken in computersystemen. Al zijn er vanuit die nieuwe wetgeving wel bepaalde voorwaarden van tel.
Als onderdeel van de Belgische wet op de bescherming van klokkenluiders van 28 november 2022 werden bepalingen goedgekeurd die een veilige haven moeten bieden voor ethische hackers.
Ze voorzien in een kader voor de bekendmaking van kwetsbaarheden voor de beveiliging van netwerken en informatiesystemen. Volgens de nieuwe wetgeving kan iedereen die een kwetsbaarheid, die door een cyberdreiging kan worden uitgebuit, bij een organisatie in België aantreft dat melden aan het Centre for Cybersecurity Belgium (CCB) .
Die nieuwe bepalingen hierover zullen van kracht zijn op 15 februari 2023. ‘Een stap in de goede richting voor Europese wetgeving inzake de openbaarmaking van beveiligingskwetsbaarheden’, zo omschrijft Stijn Jans, ceo en medeoprichter van bug bounty platform Intigriti de vordering in de nieuwe wetgeving.
Voorwaarden
In het kader van de wet zullen degenen die kwetsbaarheden aan het CCB bekendmaken niet worden geacht een strafbaar feit te hebben gepleegd. Al moeten ze hierbij wel voldoen aan een aantal voorwaarden.
Zo moet de ethische hacker of cyberonderzoeker zo spoedig mogelijk, en volgens een voorgeschreven procedure, de kwetsbaarheid melden. De melder moet hebben gehandeld zonder frauduleuze bedoelingen of kwaad opzet. En bovendien mag de melder niet verder gaan dan wat nodig is om het bestaan van die mogelijke kwetsbaarheid te verifiëren.
