SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2021-2022 Zitting 2021-2022
________________
2 juin 2022 2 juni 2022
________________
Question écrite n° 7-1651 Schriftelijke vraag nr. 7-1651

de Els Ampe (Open Vld)
van Els Ampe (Open Vld)

au vice-premier ministre et ministre de la Justice et de la Mer du Nord
aan de vice-eersteminister en minister van Justitie en Noordzee
________________
Cyberattaques - Acteurs étatiques - Vie privée - Cybersécurité - Chiffres et tendances Cyberaanvallen - Statelijke actoren - Privacy - Cybersecurity - Cijfers en tendensen 
________________
guerre de l'information
université
protection des communications
espionnage industriel
sécurité des systèmes d'information
 informatieoorlog
universiteit
telefoon- en briefgeheim
industriële spionage
informatiebeveiliging
________ ________
2/6/2022Verzending vraag
(Einde van de antwoordtermijn: 7/7/2022)
11/7/2022Antwoord
2/6/2022Verzending vraag
(Einde van de antwoordtermijn: 7/7/2022)
11/7/2022Antwoord
________ ________
Aussi posée à : question écrite 7-1652
Aussi posée à : question écrite 7-1653		 Aussi posée à : question écrite 7-1652
Aussi posée à : question écrite 7-1653
________ ________
Question n° 7-1651 du 2 juin 2022 : (Question posée en néerlandais) Vraag nr. 7-1651 d.d. 2 juni 2022 : (Vraag gesteld in het Nederlands)

Dernièrement, la Seconde Chambre des Pays-Bas a organisé une audition relative à la loi sur les services de renseignement et de sécurité. Il y a notamment été question de la sécurité numérique aux Pays-Bas, laquelle représente, depuis plusieurs années, une part de plus en plus grande des activités des services de sécurité (cf. https://www.scienceguide.nl/2021/06/aivd hoger onderwijs is zich totaal niet bewust van digitale dreiging/).

Selon le responsable du Service général de renseignement et de sécurité des Pays-Bas, la menace provient surtout de pays comme la Russie et la Chine. Cette dernière puissance cherche principalement à s'emparer de connaissances précieuses. «Nous voyons que les attaques sont parfois dirigées contre des intérêts militaires et politiques. Elles sont alors surtout le fait des services de renseignement et de sécurité russes. Mais elles visent aussi à obtenir des positions économiques dominantes ; la Chine entre autres est très active dans ce domaine.»

Il cite par ailleurs les secteurs de pointe néerlandais, dans lesquels les entreprises et les établissements d'enseignement collaborent au sein de l'enseignement professionnel supérieur et de l'enseignement scientifique. «Il suffit d'observer les secteurs de pointe des Pays-Bas pour savoir à peu près ce que recherchent les services de sécurité chinois. Notre modèle économique de revenus et notre sécurité sont donc vraiment en danger», ajoute-t-il.

La Belgique est confrontée au même problème : il y a quelque temps, la haute école VIVES a été une des victimes de cyberattaques (cf. https://www.vrt.be/vrtnws/nl/2022/04/12/cyberaanval hogeschool vives/), et un peu plus tard, c'est une attaque générale sous forme de «Distributed Denial of Service» (DDOS) contre BELNET qui a paralysé l'internet des hautes écoles (cf. https://itdaily.be/nieuws/security/ddos aanval op belnet haalt internet hoger onderwijs onderuit/ ).

En ce qui concerne le caractère transversal de la question écrite : les différents gouvernements et maillons de la chaîne de sécurité se sont accordés sur les phénomènes qui doivent être traités en priorité au cours des prochaines années. Ceux-ci sont définis dans la Note-cadre de sécurité intégrale et dans le Plan national de sécurité pour la période 2022-2025 et ont fait l'objet d'un débat lors d'une conférence interministérielle à laquelle les acteurs de la police et de la justice ont également participé. Cette question concerne dès lors une matière transversale, partagée entre l'autorité fédérale et les Régions, ces dernières intervenant surtout dans le volet préventif.

Je souhaiterais donc poser les questions suivantes.

1) Pouvez-vous donner un aperçu du nombre d'universités et de hautes écoles qui ont été victimes d'une cyberattaque ? Quel a été leur nombre au cours des cinq dernières années ? De quel type d'attaque s'agissait-il (DDOS, attaque par logiciel rançonneur, etc.) ? À combien le préjudice financier total est-il estimé ? Dans combien de cas des données ont-elles été capturées ?

2) A-t-on déjà eu des signes indiquant qu'en matière de protection numérique, le secteur de l'enseignement est en retard sur d'autres secteurs ? Si oui, qui a envoyé ces signes et quelle suite leur a-t-on donnée ?

3) De quel pays la plupart des attaques contre nos établissements d'enseignement proviennent-elles ? Combien d'attaques de ce type sont lancées depuis la Belgique ? Quelles sont les méthodes les plus utilisées ? Dans quel but ces attaques sont-elles lancées ? Ces attaques suivent-elles certains schémas ?

4) Outre les attaques par logiciel rançonneur, à quel autre type d'attaques a-t-on encore eu affaire dans l'enseignement ? Comment y a-t-on réagi ? Les auteurs de ces attaques ont-ils été pris ? Si oui, quelles peines leur a-t-on infligées ?

5) Que comptent faire nos autorités pour rendre nos infrastructures numériques, en particulier nos universités et hautes écoles, plus résistantes aux attaques organisées ? Où en est-on à cet égard ? Qu'est-il encore prévu ? Les actions concernent-elles essentiellement le logiciel ou bien est-il également question du matériel, à remplacer ou à rénover ? Pourquoi ?

6) Reconnaissez-vous qu'à côté de la menace d'attaques par logiciel rançonneur, il existe une menace émanant d'acteurs étatiques qui se livrent à de l'espionnage – visant entre autres à obtenir des connaissances dans le domaine des technologies de pointe et des informations – et à des sabotages ? Si oui, quelles actions ciblées allez-vous entreprendre en réaction aux signes invitant les administrations à être plus attentives à leur sécurité numérique ? Si non, pour quelle raison ?

7) Admettez-vous que les activités des acteurs étatiques doivent faire l'objet d'une plus grande attention dans la protection (numérique) de nos centres d'expertise ? Si oui, comment allez-vous procéder concrètement en collaboration avec les universités, les hautes écoles et les services de sécurité ? Quelles sont les mesures en chantier ? Si non, pour quelle raison ?

 

Recent werd er in de Nederlandse Tweede Kamer een hoorzitting georganiseerd over de WIV, de wet op de Inlichtingen- en Veiligheidsdiensten. Daarin kwam ook de digitale veiligheid in Nederland aan de orde, wat in een aantal jaar een steeds belangrijker onderdeel van de bezigheden van de veiligheidsdiensten is geworden (cf. https://www.scienceguide.nl/2021/06/aivd-hoger-onderwijs-is-zich-totaal-niet-bewust-van-digitale-dreiging/).

Volgens de baas van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) komt de dreiging vooral uit landen als Rusland en China. Die laatste mogendheid heeft het vooral gemunt op hoogwaardige kennis. «We zien dat de aanvallen soms zijn gericht op militaire en politieke belangen. Dat zijn vooral Russische inlichtingen en veiligheidsdiensten. Maar het gaat ook om economische machtsposities; met name China is daar zeer actief.»

Daarbij noemt hij ook de Nederlandse topsectoren, sectoren waarin bedrijfsleven en onderzoeksinstellingen in het hoger beroepsonderwijs (hbo) en wetenschappelijk onderwijs (wo) samenwerken. «Als je kijkt naar de topsectoren in Nederland, dan weet je ongeveer wat op de bestellijst staat van de Chinese veiligheidsdiensten. Onze economisch verdienmodel en veiligheid is dan ook echt in het geding.»

Ook België kent dezelfde problematiek: eerder werd onder andere de VIVES hogeschool gehackt (cf. https://www.vrt.be/vrtnws/nl/2022/04/12/cyberaanval-hogeschool-vives/), en was er iets later een algemene «Distributed Denial of Service» (DDOS)-aanval op BELNET dat het internet van de hogescholen onderuit haalde (cf. https://itdaily.be/nieuws/security/ddos-aanval-op-belnet-haalt-internet-hoger-onderwijs-onderuit/).

Wat het transversaal karakter van de schriftelijke vraag betreft: de verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende jaren prioritair moeten worden aangepakt. Die staan gedefinieerd in de Kadernota Integrale Veiligheid en het Nationaal Veiligheidsplan voor de periode 2022-2025, en werden besproken tijdens een Interministeriële Conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale aangelegenheid met de Gewesten waarbij de rol van de Gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd:

1) Zou u een overzicht kunnen geven over het aantal universiteiten en hogescholen dat getroffen is door een cyberaanval? Hoeveel zijn er dit in de jongste vijf jaar? Welke type aanval was dit (DDOS, ransomware-aanval, enz.)? Hoeveel bedraagt de totale geraamde financiële schade? In hoeveel gevallen werd er data buitgemaakt?

2) Zijn er reeds signalen geweest die stellen dat de onderwijssector qua digitale beveiliging achterloopt op andere sectoren? Indien ja, van wie kwamen deze signalen en hoe werd hierop gereageerd?

3) Vanuit welk land komen de meeste aanvallen op onze onderwijsinstellingen? Hoeveel van dit soort aanvallen komen uit België? Welke methodes worden het meest gebruikt? Met welk doel worden deze acties opgezet? Zijn er patronen te onderscheiden?

4) Behalve ransomware-aanvallen, met welke andere soort aanvallen heeft men nog te maken gehad in het onderwijs? Hoe werd hierop gereageerd? Werden de daders ooit gevat? Indien ja, wat waren hun straffen?

5) Welke plannen hebben onze overheden om onze digitale infrastructuren, in het bijzonder universiteiten en hogescholen, weerbaarder te maken tegen georganiseerde aanvallen? Hoe ver staan ze reeds hierin? Wat staat er nog gepland? Hangt dit grotendeels samen met de software, of wordt ook de hardware aangepakt of vervangen (vernieuwd)? Waarom?

6) Erkent u, naast de dreiging van ransomware-aanvallen, de dreiging vanuit statelijke actoren als het gaat om spionage, met name gericht op het verkrijgen van hightech kennis en informatie, en sabotage? Zo ja, welke gerichte stappen gaat u nemen naar aanleiding van de signalen om de bestuurlijke aandacht voor digitale veiligheid te vergroten? Zo nee, waarom niet?

7) Bent u het ermee eens dat de activiteiten van statelijke actoren een hogere prioriteit moeten krijgen als het gaat om de (digitale) beveiliging van onze kennisinstellingen? Zo ja, hoe gaat u dit concreet oppakken in samenwerking met universiteiten, hogescholen en de veiligheidsdiensten? Welke plannen staan in de steigers? Zo nee, waarom niet?

 
Réponse reçue le 11 juillet 2022 : Antwoord ontvangen op 11 juli 2022 :

La cybersécurité est de la compétence du premier ministre. Je vous communique donc les informations dont je dispose, mais je vous invite également à poser la question au premier ministre.

1) J’ai contacté le CCB (Center for Cybersecurity Belgium) afin d’avoir plus d’informations à ce sujet. Ce dernier ne dispose malheureusement pas d’une image complète du nombre de cyberincidents dans les universités et les hautes écoles. Ces organisations ne sont pas tenues de lui faire rapport en vertu de la législation NIS.

2) Le CCB ne dispose pas d’indicateurs spécifiques pour le secteur de l’éducation. Nous ne pouvons donc pas conclure que le secteur dans son ensemble est à la traîne par rapport aux autres secteurs publics.

3) L’attribution d’une cyberattaque est très complexe et difficile. Il est souvent impossible de déterminer de quel pays ou de quelle zone provient une attaque. Les techniques utilisées, telles que les botnets, font appel à des systèmes compromis qui, à leur tour, mènent les attaques. Ainsi, une attaque réalisée à partir d’un appareil belge peut parfaitement être contrôlée depuis un opérateur situé à l’étranger.

4) Les établissements d’enseignement supérieur sont aussi régulièrement victimes d’attaques DDoS (distributed denial-of-service). Une attaque DDoS ou attaque par déni de service distribué tente de mettre hors service un serveur en le surchargeant d’un très grand nombre de demandes. Le serveur est incapable de traiter le grand nombre de demandes et le site web ou l’application devient indisponible pendant un certain temps, jusqu’à ce que l’attaque cesse ou soit atténuée.

La plus connue est l’attaque DDoS à grande échelle contre le réseau Belnet en mai 2021. Belnet a immédiatement investi dans de lourdes mesures de protection supplémentaires. Plus précisément, il s’agit de la mise en œuvre d’un centre externe d’épuration (cloud scrubbing center) au réseau Belnet qui absorbe et filtre le trafic du réseau. Le centre d’épuration sert en premier lieu à protéger le réseau Belnet lui-même et donc pas à protéger les clients individuels. Pour la protection des clients individuels, Belnet propose à ses affiliés un service de protection anti-DDoS, qui sera entièrement renouvelé et adapté à l’évolution des besoins de la communauté Belnet d’ici fin 2022.

Au cours des trois premiers mois de 2022, Belnet a dû activer son centre externe d’épuration environ trois fois plus souvent qu’au quatrième trimestre de 2021. En effet, les attaques sur des clients spécifiques étaient plus nombreuses et si puissantes qu’elles menaçaient de saturer les liaisons montantes du réseau Belnet. Même si le nombre d’activations de cette couche de protection supplémentaire reste faible, chaque activation évite un impact sur le réseau qui ne peut être sous-estimé.

En outre, après l’attaque DDoS sur son réseau, Belnet a mis en place un programme d’amélioration des services afin de renforcer la résilience de son réseau contre les cyberattaques. Il est important de noter que le programme ne comprend pas seulement des points d’action techniques, mais aussi une série d’améliorations dans les domaines des processus et de la communication. La majorité des ajustements et des améliorations ont déjà été mis en œuvre.

Pendant la pandémie de Covid, les écoles étaient plus que jamais dépendantes des plateformes d’apprentissage numériques (telles que Smartschool) et de leurs propres réseaux pour garantir la continuité de l’enseignement. Au cours de cette période, des attaques DDoS ont aussi parfois été signalées contre des écoles secondaires, lancées par les étudiants eux-mêmes dans le but d’entraver l’enseignement à distance. Les auteurs ont parfois pu être identifiés.

Suite à ces attaques, CERT.be, le service opérationnel du CCB, a développé une série de conseils pour les écoles: https://www.cert.be/sites/default/files/ddos_nl_final.pdf.

Concernant l’appréhension des auteurs de ces actes, je vous invite à interroger la ministre de l’Intérieur.

5) Chaque organisation est responsable de sa propre cybersécurité. Le CCB joue un rôle de coordination et peut offrir un soutien sous forme d’informations, d’outils et de conseils aux organisations qui le souhaitent, y compris aux universités et aux hautes écoles. Le CCB a élaboré des lignes directrices spécifiques aux institutions publiques (BSG – Baseline Security Guidelines) qui fournissent des indications minimales pour la mise en œuvre et l’évaluation d’un plan de sécurité de l’information. Ces lignes directrices fournissent une assistance aux responsables du traitement des données, mais aussi aux consultants en sécurité, aux responsables du traitement des données et aux responsables informatiques. En outre, afin de rendre les institutions publiques plus résistantes aux attaques, le CCB propose une gamme de services de cybersécurité, tels que des formations et des tests pen, auxquels les universités et les hautes écoles peuvent avoir recours. Le CCB dispose également d’un système d’alerte précoce (Early Warning System), grâce auquel les organisations d’importance vitale (notamment le potentiel scientifique et économique de notre pays) reçoivent des alertes précoces et ciblées sur les principales vulnérabilités et menaces.

Le CCB prévoit d’offrir plusieurs de ces services d’alerte à toutes les organisations de notre pays dès la fin de cette année, via un nouveau portail. Ainsi, toutes les entités impliquées dans l’enseignement supérieur en Belgique pourront en bénéficier. L’objectif des initiatives du CCB est d’aider les organisations à lutter contre les vulnérabilités tant humaines que techniques.

En ce qui concerne les mesures futures, le CCB se prépare à mettre en œuvre la future directive européenne NIS2 sur les mesures pour un niveau commun élevé de cybersécurité dans l’Union européenne (UE), dont le texte est encore en cours de finalisation et devra être transposé au niveau belge. Cette directive élargira les règles existantes pour les fournisseurs de services essentiels et les fournisseurs de services numériques, par rapport à la loi actuelle du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt public pour la sécurité publique. La directive exigera des États membres qu’ils imposent des règles relatives aux mesures de sécurité et à la notification des incidents à tous les organismes de recherche importants, moyens et essentiels. Dans le cadre européen, ces obligations ne s’appliquent pas aux établissements d’enseignement, et uniquement aux organisations dont l’objectif principal est de mener des recherches appliquées ou des développements expérimentaux en vue d’exploiter les résultats de ces recherches à des fins commerciales. Toutefois, les États membres peuvent eux-mêmes imposer ces obligations à tous les établissements d’enseignement supérieur s’ils le souhaitent.

Même si les nouvelles règles ne seront probablement pas entièrement mises en œuvre avant 2024-2025, le CCB s’emploie déjà à sensibiliser tous les acteurs concernés afin d’encourager le renforcement des cybercapacités avant même que le cadre juridique ne change.

6) Dans la stratégie nationale de cybersécurité pour 2021-2025, la Belgique identifie les services militaires et de renseignement étrangers comme l’une des plus grandes menaces pour l’État et la population belges, aux côtés des cybercriminels, des groupes terroristes et des hacktivistes. Ces menaces sont prises au sérieux et sont surveillées de près par la Sûreté de l’État (VSSE).

7) Les institutions de la connaissance sont des acteurs très importants. Si elles sont incluses dans la future directive NIS2, ces institutions peuvent faire appel aux services de la CCB tels que le EAW (système d’alerte précoce) déjà évoqué. En plus de cela, le CCB continuera de travailler sur son système d’alerte rapide afin d’avertir les petits opérateurs économiques des vulnérabilités, en plus des fournisseurs de services essentiels.

Cybersecurity behoort tot de bevoegdheid van de eerste minister. Ik geef u de informatie die ik heb, maar ik nodig u uit om de vraag ook te stellen aan de eerste minister.

1) Ik heb contact opgenomen met het CCB (Center for cybersecurity Belgium) om hierover meer informatie te krijgen. Het CCB heeft jammer genoeg geen volledig beeld van het aantal cyberincidenten in de universiteiten en hogescholen. Die organisaties zijn krachtens de NIS-wetgeving niet verplicht om dat te rapporteren aan het CCB.

2) Het CCB heeft geen indicatoren die specifiek zijn voor de onderwijssector. Er kan dan ook niet worden besloten dat de gehele sector achter loopt op de andere overheidssectoren.

3) Het is zeer ingewikkeld en moeilijk om te achterhalen waar een cyberaanval vandaan komt. Het is vaak onmogelijk te bepalen uit welk land of welke zone een aanval komt. De gebruikte technieken, zoals botnets, doen een beroep op aangetaste systemen, die op hun beurt weer aanvallen uitvoeren. Zo kan een aanval uitgevoerd door een Belgisch toestel perfect onder de controle staan van een operator die zich in het buitenland bevindt.

4) De instellingen voor hoger onderwijs zijn ook regelmatig het slachtoffer van DDoS-aanvallen (distributed denial of service). Een DDoS-aanval of een distributed-denial-of-service-aanval tracht een server buiten werking te stellen door hem te overladen met een zeer groot aantal verzoeken. De server is niet in staat om het grote aantal verzoeken te verwerken en de website of toepassing is een zekere tijd niet beschikbaar, tot de aanval ophoudt of wordt afgezwakt.

De meest bekende DDoS-aanval op grote schaal was tegen het Belnet-netwerk in mei 2021. Belnet heeft onmiddellijk geïnvesteerd in aanvullende zware beschermingsmaatregelen. Het gaat met name om de ingebruikname van een extern cloud scrubbing center op het Belnet-netwerk, dat het verkeer op het netwerk absorbeert en filtert. Het cloud scrubbing center dient in de eerste plaats om het Belnet-netwerk zelf te beschermen en dus niet om de individuele klanten te beschermen. Voor de bescherming van de individuele klanten biedt Belnet zijn leden een dienst aan om te beschermen tegen DDoS, die tegen eind 2022 volledig zal worden hernieuwd en aangepast is aan de behoeften van de Belnet-gemeenschap.

In de loop van de drie eerste maanden van 2022 heeft Belnet zijn extern cloud scrubbing center ongeveer driemaal vaker moeten activeren als in het vierde trimester van 2021. Er waren immers vaker aanvallen op specifieke klanten die zo krachtig waren dat zij dreigden de uplinks van het Belnet-netwerk te verzadigen. Ook al blijft het aantal activeringen van deze aanvullende beschermingslaag laag, toch voorkomt elke activering een niet te onderschatten impact op het netwerk.

Bovendien heeft Belnet na de DDoS-aanval op zijn netwerk een programma ter verbetering van de diensten opgezet, om de weerbaarheid van zijn netwerk tegen cyberaanvallen te versterken. Er dient te worden opgemerkt dat het programma niet alleen technische actiepunten omvat, maar ook een reeks verbeteringen op het vlak van de processen en de communicatie. Het merendeel van de aanpassingen en verbeteringen werd reeds ten uitvoer gelegd.

Tijdens de COVID-19-pandemie waren de scholen meer dan ooit afhankelijk van digitale leerplatformen (zoals Smartschool) en hun eigen netwerken om de continuïteit van het onderwijs te waarborgen. In de loop van deze periode werden er soms DDoS-aanvallen tegen secundaire scholen gemeld, die door de leerlingen zelf werden gelanceerd om het afstandsonderwijs te belemmeren. Soms konden de daders worden geïdentificeerd.

Naar aanleiding van die aanvallen heeft CERT.be, de operationele dienst van het CCB, voor de scholen een reeks adviezen uitgewerkt: https://www.cert.be/sites/default/files/ddos_nl_final.pdf.

Wat de aanhouding van de daders van die aanvallen betreft, verzoek ik u om de vraag aan de minister van Binnenlandse Zaken te stellen.

5) Elke organisatie is verantwoordelijk voor zijn eigen cybersecurity. Het CCB speelt een coördinerende rol en kan aan de organisaties die dat wensen, met inbegrip van de universiteiten en hogescholen, ondersteuning bieden in de vorm van informatie, tools en adviezen. Het CCB heeft specifieke richtsnoeren uitgewerkt voor de openbare instellingen (BSG – Baseline Security Guidelines) die minimale adviezen geven voor de tenuitvoerlegging en evaluatie van een informatieveiligheidsplan. Deze richtsnoeren bieden ondersteuning aan de verantwoordelijken voor gegevensverwerking, maar ook aan de veiligheidsconsulenten, de verantwoordelijken voor gegevensverwerking en de IT-verantwoordelijken. Teneinde de openbare instellingen weerbaarder te maken tegen de aanvallen, biedt het CCB bovendien een waaier aan cybersecurity-diensten, zoals opleidingen en pen-testen, aan waarop de universiteiten en hogescholen een beroep kunnen doen. Het CCB beschikt eveneens over een Early Warning System, waardoor de organisaties van vitaal belang (inzonderheid het wetenschappelijk en economisch potentieel van ons land) vroegtijdige waarschuwingen ontvangen die zijn gericht op de voornaamste kwetsbaarheden en dreigingen.

Het CCB is voornemens om vanaf eind dit jaar via een nieuw portaal verschillende van die waarschuwingssystemen aan alle organisaties van ons land aan te bieden. Zo kunnen de entiteiten betrokken bij het hoger onderwijs in België ook ervan gebruik maken. De bedoeling van de initiatieven van het CCB is de organisaties te helpen om de zowel menselijke als technische kwetsbaarheden te bestrijden.

Wat toekomstige maatregelen betreft, bereidt het CCB zich voor om de toekomstige Europese NIS2-richtlijn over de maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de EU ten uitvoer te leggen. De tekst ervan wordt thans afgewerkt en zal moeten worden omgezet op Belgisch niveau. Deze richtlijn zal de bestaande regels voor de leveranciers van essentiële diensten en de digitale service providers uitbreiden in vergelijking met de huidige wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid. De richtlijn zal van de lidstaten eisen dat ze aan alle grote, middelgrote en essentiële onderzoeksinstellingen regels opleggen met betrekking tot de beveiligingsmaatregelen en de rapportage van incidenten. In het Europees kader zijn die verplichtingen niet van toepassing op de onderwijsinstellingen en enkel op de organisaties wier voornaamste doel erin bestaat toegepast onderzoek of experimenten te doen om de resultaten van die onderzoeken voor commerciële doeleinden te gebruiken. De lidstaten kunnen echter zelf die verplichtingen opleggen aan alle instellingen voor hoger onderwijs, indien ze dat wensen.

Ook al zullen de nieuwe regels waarschijnlijk niet volledig ten uitvoer zijn gelegd voor 2024-2025, zet het CCB zich reeds in om alle betrokken actoren te sensibiliseren, teneinde de versterking van de cybercapaciteit aan te moedigen, nog voordat het juridisch kader wordt gewijzigd.

6) In de nationale cybersecuritystrategie voor 2021-2025 identificeert België de buitenlandse militaire diensten en inlichtingendiensten als een van de grootste bedreigingen voor de Belgische Staat en bevolking, naast cybercriminelen, terroristische groeperingen en hacktivisten. Die bedreigingen worden serieus genomen en nauw in het oog gehouden door de Veiligheid van de Staat.

7) De kennisinstellingen zijn belangrijke actoren. Indien zij worden opgenomen in de toekomstige NIS2-richtlijn, kunnen die instellingen een beroep doen op de diensten van het CCB, zoals het reeds genoemde EWS (Early Warning System). Daarnaast zal het CCB blijven werken aan zijn Early Warning System om, naast de leveranciers van essentiële diensten, de kleinschalige economische operatoren te waarschuwen voor kwetsbaarheden.