Maand: november 2021
PDF

Het EU-cybersanctieregime van 2019 als antwoord op cyberdreigingen en kwaadwillige cyberactiviteiten

Op 17 mei 2019 heeft de Raad van de Europese Unie (hierna: Raad) een juridisch kader gecreëerd om door middel van gerichte beperkende maatregelen te reageren op de stijgende trend van georganiseerde cyberaanvallen met aanzienlijke gevolgen die een externe bedreiging vormen voor de Unie of haar lidstaten.[1]

Zo kan de Raad voortaan een verbod opleggen om enerzijds naar de EU te reizen[2] of kan ze anderzijds alle geldmiddelen bevriezen die toebehoren aan natuurlijke personen of rechtspersonen die op enige wijze betrokken zijn bij cyberaanvallen of pogingen tot cyberaanvallen.[3] Dergelijke maatregelen moeten dienen als afschrikking.

Bovendien moeten zij onderscheiden worden van het aansprakelijk stellen van een derde Staat voor cyberaanvallen. De toepassing van gerichte beperkende maatregelen komt niet neer op een aansprakelijkheidstelling, wat steeds een soeverein politiek besluit blijft dat op een individuele basis wordt genomen. Het staat iedere lidstaat wel vrij om de aansprakelijkheidsstelling van een derde Staat met betrekking tot cyberaanvallen zelf te bepalen.[4] De Uniewetgever wil op die manier de juridische, technische en politieke moeilijkheden vermijden die rijzen bij het toerekenen van een cyberaanval aan een Staat.[5]

Onder cyberaanvallen verstaat de verordening van 17 mei 2019 één van de volgende activiteiten:

  • zich toegang verschaffen tot informatiesystemen;
  • verstoren van informatiesystemen;
  • verstoren van gegevens;
  • onderscheppen van gegevens.

Cyberaanvallen die een externe bedreiging vormen, omvatten onder meer degene die ofwel afkomstig zijn, of worden uitgevoerd, van buiten de Unie, ofwel gebruik maken van infrastructuur buiten de Unie, dan wel worden uitgevoerd door natuurlijke of rechtspersonen die buiten de Unie zijn gevestigd of actief zijn, of worden uitgevoerd met de steun van natuurlijke personen of rechtspersonen die buiten de Unie actief zijn.

Een cyberaanval kan dan ook een bedreiging vormen voor een lidstaat indien  informatiesystemen worden aangevallen die bijvoorbeeld betrekking hebben op de kritieke infrastructuur, of diensten die nodig zijn voor het in stand houden van essentiële sociale en/of economische activiteiten, of kritieke functies van de staat zoals op het gebied van defensie en van het bestuur en het functioneren van de instellingen.[6]

Met de SolarWinds-cyberaanval op de Amerikaanse federale regering, de cyberaanval op het Duitse federale parlement in 2015 en de recente cyberaanval op het Europees Geneesmiddelenbureau van Pfizer en BioNTech is het duidelijk dat cyberbeveiliging steeds relevanter wordt.[7] Al op 19 juni 2017 nam de Raad conclusies aan over een kader voor een gezamenlijke diplomatieke reactie op kwaadwillige cyberactiviteiten. Het zogenaamde Instrumentarium voor cyberdiplomatie waarin de Raad zijn bezorgdheid uitte over de toegenomen capaciteit en bereidheid van Staten en niet-statelijke actoren om via kwaadwillige cyberaanvallen hun doelstellingen te bereiken. De Raad wees toen al op de groeiende behoefte aan bescherming van de integriteit en veiligheid van de Unie, haar lidstaten en haar burgers tegen cyberbedreigingen.[8]

Besluit

Zoals hierboven werd beschreven, kiest de Uniewetgever met het cybersanctieregime voor het sanctioneren van niet-statelijke actoren om op die manier politieke en diplomatieke moeilijkheden te vermijden. Het cybersanctieregime sluit het toeschrijven van de verantwoordelijkheid voor een cyberaanval aan een Staat expliciet uit. Het toerekenen van een cyberaanval aan een Staat kan immers aanzienlijke politieke spanningen teweegbrengen. Het is maar de vraag of de Uniewetgever op die manier geen juridische fictie creëert. De meerderheid van voorkomende cyberaanvallen wordt immers op verzoek van of met de steun van overheden uitgevoerd, zoals Stuxnet[9], Wannacry[10] en NotPetya[11]. Bovendien zal de schijn van toerekening aan een Staat blijven bestaan wanneer de Unie cybersancties uitvaardigt tegen een onderdaan van die bepaalde derde Staat.[12]

Indien u na het lezen van dit artikel nog vragen hebt, aarzel dan niet om ons te contacteren via [email protected] of 03 216 70 70.

[1] Zie overweging (7) van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen; VERORDENING (EU) 2019/796 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[2] Zie artikel 4 van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[3] Zie artikel 5 van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen. Zie artikel 3 van de VERORDENING (EU) 2019/796 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[4] Zie overweging (8) en (9) van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[5] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.

[6] https://ecer.minbuza.nl/-/een-eu-cybersanctieregime-stap-voor-meer-veiligheid-in-cyberspace

[7] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.43.

[8] Zie overweging (1) van het BESLUIT (GBVB) 2019/797 VAN DE RAAD van 17 mei 2019 betreffende beperkende maatregelen tegen cyberaanvallen die de Unie of haar lidstaten bedreigen.

[9] De Stuxnet-cyberaanvallen tegen Iraanse nucleaire faciliteiten waren volgens sommige bronnen een gezamenlijke operatie van de Verenigde Staten en Israël. Zie DUMORTIER, V.PAPAKONSTANTINOU en P. DE HERT, “EU sanctions against cyber-attacks and defense rights: Wanna-Cry?”, European Law Blog 2020, 2 en J. KAMBIC en S. LILES, “Non-State Cyber Power in ONG”, Journal of Information Warfare 2014, 57-67.

[10] WannaCry was een uitbraak van ransomware die zich richtte op het Windowsbesturingssyteem in verscheidende landen. Zie VK, Departement van Buitenlandse Zaken, “Foreign Office Minister condems North Korean actor for WannaCry attacks”, Persmededeling 19 december 2019, online beschikbaar op https://gov.uk/government/news/foreign-office-minister-condems-north-korean-actor-for-wannacry-attacks en G. FUSTER L. JASMONTAITE, “Cybersecurity Regulation in the European Union: The Digital, the Critical and Fundamental Rights” in M.CHRISTEN, B.GORDIJN en M.LOI (eds.), The Ethics of cybersecurity, Cham, Springer, 2020, 99-100.

[11] De NotPetya-aanval was een uitbraak van ransomware die opnieuw het Windowsbesturingssysteem viseerde. Zie VK, Departement van Buitenlandse Zaken en Nationaal Centrum voor Cyberbeveiliging, “Foreign Office Ministers condems Russia for NotPetya attacks”, Nieuwsmededeling 15 februari 2018; B. BLUMBERGS, K. VAN DER MEIJ en L.LINDSTRÖM, “NotPetya and WannaCry Call for a Joint Response from International Community”, NATO Cooperative Cyber Defence Centre of Excellence Paper 2018.

[12] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.

—————————————————————-

Le régime des cyber-sanctions de l’UE de 2019 en réponse aux cyber-menaces et aux cyber-activités malveillantes.

Le 17 mai 2019, le Conseil de l’Union européenne (ci-après : le Conseil) a créé un cadre juridique pour répondre, par des mesures restrictives ciblées, à la tendance croissante des cyberattaques organisées ayant des conséquences import antes et constituant une menace extérieure pour l’Union ou ses États membres.[1] 

Par exemple, le Conseil peut désormais imposer une interdiction de voyager[2] dans l’UE ou geler tous les fonds appartenant à des personnes physiques ou morales qui sont impliquées de quelque manière que ce soit dans des cyberattaques ou des tentatives de cyberattaques.[3]  Ces mesures devraient avoir un effet dissuasif.

En outre, il convient de faire une distinction avec la responsabilité d’un État membre pour des faits de cyberattaque. L’application de mesures restrictives ciblées ne constitue pas une imposition de responsabilité, qui reste toujours une décision politique souveraine prise sur une base individuelle. Toutefois, chaque État membre est libre de déterminer la responsabilité d’un État tiers en matière de cyberattaques.[4] Le législateur de l’Union souhaite ainsi éviter les difficultés juridiques, techniques et politiques liées à l’attribution d’une cyberattaque à un État.[5]

Par cyberattaque, le règlement du 17 mai 2019 entend l’une des activités suivantes :

– l’accès aux systèmes d’information ;

– perturbation des systèmes d’information ;

– perturbation des données ;

– interception des données.

Les cyberattaques qui constituent une menace externe comprennent celles ; qui ont pour origine ou sont menées par des entités situées en dehors de l’Union, qui utilisent des infrastructures situées en dehors de l’Union, qui sont menées par des personnes physiques ou morales basées ou opérant en dehors de l’Union, ou qui sont menées avec le soutien de personnes physiques ou morales opérant en dehors de l’Union.

Une cyberattaque peut donc constituer une menace pour un État membre si les systèmes d’information qui sont attaqués concernent, par exemple, des infrastructures critiques, ou des services nécessaires au maintien d’activités sociales et/ou économiques essentielles, ou des fonctions critiques de l’État telles que celles liées à la défense et à l’administration et au fonctionnement des institutions.[6]

Avec la cyberattaque de SolarWinds contre le gouvernement fédéral américain, la cyberattaque contre le parlement fédéral allemand en 2015 et la récente cyberattaque contre l’Agence européenne des médicaments de Pfizer et BioNTech, il est clair que la cybersécurité devient de plus en plus pertinente.[7]  Déjà le 19 juin 2017, le Conseil adoptait des conclusions sur un cadre pour une réponse diplomatique conjointe aux cyberactivités malveillantes. Le dénommé « Instrumentarium  pour la cyberdiplomatie », dans lequel le Conseil s’est dit préoccupé par la capacité et la volonté accrues des États et des acteurs non étatiques d’atteindre leurs objectifs par le biais de cyberattaques malveillantes. À l’époque, le Conseil soulignait déjà la nécessité croissante de protéger l’intégrité et la sécurité de l’Union, de ses États membres et de ses citoyens contre les cybermenaces.[8]

Conclusion 

Comme décrit ci-dessus, avec le régime de cyber-punition, le législateur de l’Union choisit de sanctionner les acteurs non étatiques afin d’éviter les difficultés politiques et diplomatiques. Le régime des cyberpénalités exclut explicitement l’attribution de la responsabilité d’une cyberattaque à un État. Après tout, attribuer une cyberattaque à un État peut provoquer des tensions politiques considérables. La question est de savoir si le législateur de l’Union ne crée pas ainsi une fiction juridique. Après tout, la majorité des cyberattaques courantes sont menées à la demande ou avec le soutien des gouvernements, comme Stuxnet[9], Wannacry[10] et NotPetya[11] . En outre, l’apparence d’attribution à un État subsistera lorsque l’Union émettra des cyber-sanctions contre un ressortissant de cet État tiers particulier.[12]

Si vous avez des questions après avoir lu cet article, n’hésitez pas à nous contacter via l’adresse email [email protected] ou par téléphone au 03 216 70 70.

[1] Voir le considérant (7) de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l’Union ou ses États membres ; RÈGLEMENT (UE) 2019/796 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l’Union ou ses États membres.

[2] Voir l’article 4 de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l’Union ou ses États membres.

[3] Voir l’article 5 de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l’Union ou ses États membres. Voir l’article 3 du RÈGLEMENT (UE) 2019/796 du Conseil du 17 mai 2019 concernant des mesures restrictives à l’encontre des cyberattaques qui menacent l’Union ou ses États membres.

[4] Voir les considérants (8) et (9) de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l’Union ou ses États membres.

[5] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.

[6] https://ecer.minbuza.nl/-/een-eu-cybersanctieregime-stap-voor-meer-veiligheid-in-cyberspace

[7] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.43.

[8] Voir le considérant (1) de la DÉCISION (PESC) 2019/797 du CONSEIL du 17 mai 2019 concernant des mesures restrictives contre les cyberattaques menaçant l’Union ou ses États membres.

[9] Les cyberattaques Stuxnet contre les installations nucléaires iraniennes étaient, selon certaines sources, une opération conjointe américano-israélienne. Voir DUMORTIER, V.PAPAKONSTANTINOU et P. DE HERT, “EU sanctions against cyber-attacks and defence rights : Wanna-Cry ?”, European Law Blog 2020, 2 et J. KAMBIC et S. LILES, “Non-State Cyber Power in ONG”, Journal of Information Warfare 2014, 57-67.

[10] WannaCry était une épidémie de ransomware qui visait le système d’exploitation Windows dans plusieurs pays. Voir Royaume-Uni, ministère des Affaires étrangères, ” Foreign Office Minister condems North Korean actor for WannaCry attacks “, communiqué de presse du 19 décembre 2019, disponible en ligne sur https://gov.uk/government/news/foreign-office-minister-condems-north-korean-actor-for-wannacry-attacks et G. FUSTER L. JASMONTAITE, ” Cybersecurity Regulation in the European Union : The Digital, the Critical and Fundamental Rights ” in M.CHRISTEN, B.GORDIJN and M.LOI (eds.), The Ethics of cybersecurity, Cham, Springer, 2020, 99-100.

[11] L’attaque NotPetya était une épidémie de ransomware qui visait à nouveau le système d’exploitation Windows. Voir Royaume-Uni, ministère des Affaires étrangères et Centre national de cybersécurité, ” Foreign Office Ministers condemns Russia for NotPetya attacks “, communiqué de presse du 15 février 2018 ; B. BLUMBERGS, K. VAN DER MEIJ et L.LINDSTRÖM, ” NotPetya and WannaCry Call for a Joint Response from International Community “, NATO Cooperative Cyber Defence Centre of Excellence Paper 2018.

[12] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.

—————————————————————————

Die EU-Cybersanktionsregelung 2019 als Reaktion auf Cyber-Bedrohungen und bösartige Cyber-Aktivitäten

Am 17. Mai 2019 hat der Rat der Europäischen Union (im Folgenden: Rat) einen Rechtsrahmen geschaffen, um mit gezielten restriktiven Maßnahmen auf den zunehmenden Trend zu organisierten Cyberangriffen mit erheblichen Folgen zu reagieren, die eine externe Bedrohung für die Union oder ihre Mitgliedstaaten darstellen.[1] 

So kann der Rat nun beispielsweise ein Einreiseverbot[2] in die EU verhängen oder alle Gelder einfrieren, die natürlichen oder juristischen Personen gehören, die in irgendeiner Weise an Cyberangriffen oder versuchten Cyberangriffen beteiligt sind.[3]  Solche Maßnahmen sollten abschreckend wirken.

Außerdem sollten sie von der Haftung eines Drittstaats für Cyberangriffe unterschieden werden. Die Anwendung gezielter restriktiver Maßnahmen kommt nicht der Auferlegung einer Haftung gleich, die immer eine souveräne politische Entscheidung auf individueller Basis bleibt. Es steht jedoch jedem Mitgliedstaat frei, die Haftung eines Drittstaates für Cyberangriffe festzulegen.[4] Auf diese Weise möchte der Unionsgesetzgeber die rechtlichen, technischen und politischen Schwierigkeiten vermeiden, die mit der Zuordnung eines Cyberangriffs zu einem Staat verbunden sind.[5]

Unter Cyberangriffen versteht die Verordnung vom 17. Mai 2019 eine der folgenden Aktivitäten:

– zugang zu Informationssystemen zu erhalten;

– unterbrechung von Informationssystemen;

– störende Daten;

– abfangen von Daten.

Zu den Cyberangriffen, die eine externe Bedrohung darstellen, gehören solche, die entweder von Einrichtungen außerhalb der Union ausgehen oder von diesen durchgeführt werden, Infrastrukturen außerhalb der Union nutzen oder von natürlichen oder juristischen Personen durchgeführt werden, die außerhalb der Union ansässig oder tätig sind, oder die mit Unterstützung von außerhalb der Union tätigen natürlichen oder juristischen Personen durchgeführt werden.

Ein Cyberangriff kann daher eine Bedrohung für einen Mitgliedstaat darstellen, wenn Informationssysteme angegriffen werden, die sich beispielsweise auf kritische Infrastrukturen oder Dienste beziehen, die für die Aufrechterhaltung wesentlicher sozialer und/oder wirtschaftlicher Aktivitäten oder kritischer Funktionen des Staates, z. B. im Zusammenhang mit der Verteidigung sowie der Verwaltung und dem Funktionieren der Institutionen, erforderlich sind.[6]

Mit dem SolarWinds-Cyberangriff auf die US-Bundesregierung, dem Cyberangriff auf den deutschen Bundestag im Jahr 2015 und dem jüngsten Cyberangriff auf die Europäische Arzneimittelagentur von Pfizer und BioNTech wird deutlich, dass die Cybersicherheit zunehmend an Bedeutung gewinnt.[7]  Bereits am 19. Juni 2017 hat der Rat Schlussfolgerungen zu einem Rahmen für eine gemeinsame diplomatische Reaktion auf bösartige Cyberaktivitäten angenommen. Das so genannte Instrumentarium für Cyber-Diplomatie, in dem der Rat seine Besorgnis über die zunehmende Fähigkeit und Bereitschaft von Staaten und nichtstaatlichen Akteuren zum Ausdruck brachte, ihre Ziele durch böswillige Cyber-Angriffe zu erreichen. Schon damals wies der Rat auf die wachsende Notwendigkeit hin, die Integrität und Sicherheit der Union, ihrer Mitgliedstaaten und ihrer Bürger vor Cyber-Bedrohungen zu schützen.[8]

Abschluss

Wie oben beschrieben, entscheidet sich der Unionsgesetzgeber bei der Cyber-Strafrechtsregelung für die Sanktionierung nichtstaatlicher Akteure, um politische und diplomatische Schwierigkeiten zu vermeiden. Die Cyber-Sanktionsregelung schließt ausdrücklich aus, dass einem Staat die Verantwortung für einen Cyber-Angriff zugeschrieben wird. Schließlich kann die Zuschreibung eines Cyberangriffs an einen Staat zu erheblichen politischen Spannungen führen. Es stellt sich die Frage, ob der Unionsgesetzgeber auf diese Weise nicht eine rechtliche Fiktion schafft. Schließlich wird die Mehrzahl der gängigen Cyberangriffe im Auftrag oder mit Unterstützung von Regierungen durchgeführt, wie z. B. Stuxnet[9], Wannacry[10] und NotPetya[11]. Darüber hinaus bleibt der Anschein der Zurechnung zu einem Staat bestehen, wenn die Union Cyber-Sanktionen gegen einen Staatsangehörigen dieses bestimmten Drittstaats verhängt.[12]

Wenn Sie nach der Lektüre dieses Artikels noch Fragen haben, zögern Sie bitte nicht, uns unter [email protected] oder 03 216 70 70 zu kontaktieren.

[1] Siehe Erwägungsgrund (7) der BESCHLUSS  (GASP)  2019/797  DES  RATES vom  17.  Mai  2019 über  restriktive  Maßnahmen  gegen  Cyberangriffe,  die  die  Union  oder  ihre  Mitgliedstaaten bedrohen; VERORDNUNG (EU) 2019/796 DES RATES vom 17. Mai 2019 über  restriktive  Maßnahmen  gegen  Cyberangriffe,  die  die  Union  oder  ihre  Mitgliedstaaten bedrohen.

[2] Siehe Artikel 4 der BESCHLUSS  (GASP)  2019/797  DES  RATES vom  17.  Mai  2019 über  restriktive  Maßnahmen  gegen  Cyberangriffe,  die  die  Union  oder  ihre  Mitgliedstaaten bedrohen.

[3] Siehe Artikel 5 der BESCHLUSS  (GASP)  2019/797  DES  RATES vom  17.  Mai  2019 über  restriktive  Maßnahmen  gegen  Cyberangriffe,  die  die  Union  oder  ihre  Mitgliedstaaten bedrohen; Siehe Artikel 3 der VERORDNUNG (EU) 2019/796 DES RATES vom 17. Mai 2019 über  restriktive  Maßnahmen  gegen  Cyberangriffe,  die  die  Union  oder  ihre  Mitgliedstaaten bedrohen.

[4] Siehe Erwägungsgrund (7) und (8) der BESCHLUSS  (GASP)  2019/797  DES  RATES vom  17.  Mai  2019 über  restriktive  Maßnahmen  gegen  Cyberangriffe,  die  die  Union  oder  ihre  Mitgliedstaaten bedrohen

[5] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.

[6] https://ecer.minbuza.nl/-/een-eu-cybersanctieregime-stap-voor-meer-veiligheid-in-cyberspace

[7] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.43.

[8] Siehe Erwägungsgrund (1) der BESCHLUSS  (GASP)  2019/797  DES  RATES vom  17.  Mai  2019 über  restriktive  Maßnahmen  gegen  Cyberangriffe,  die  die  Union  oder  ihre  Mitgliedstaaten bedrohen

[9] Die Stuxnet-Cyber-Angriffe auf iranische Atomanlagen waren einigen Quellen zufolge eine gemeinsame Operation der USA und Israels. Siehe DUMORTIER, V. PAPAKONSTANTINOU und P. DE HERT, “EU-Sanktionen gegen Cyberangriffe und Verteidigungsrechte: Wanna-Cry?”, European Law Blog 2020, 2 und J. KAMBIC und S. LILES, “Non-State Cyber Power in ONG”, Journal of Information Warfare 2014, 57-67.

[10] WannaCry war ein Ausbruch von Ransomware, die in mehreren Ländern auf das Windows-Betriebssystem abzielte. Siehe UK, Department of Foreign Affairs, “Foreign Office Minister condemns North Korean actor for WannaCry attacks”, Pressemitteilung vom 19. Dezember 2019, online verfügbar unter https://gov.uk/government/news/foreign-office-minister-condems-north-korean-actor-for-wannacry-attacks und G. FUSTER L. JASMONTAITE, “Cybersecurity Regulation in the European Union: The Digital, the Critical and Fundamental Rights” in M.CHRISTEN, B.GORDIJN and M.LOI (eds.), The Ethics of cybersecurity, Cham, Springer, 2020, 99-100.

[11] De NotPetya-aanval was een uitbraak van ransomware die opnieuw het Windowsbesturingssysteem viseerde. Zie VK, Departement van Buitenlandse Zaken en Nationaal Centrum voor Cyberbeveiliging, “Foreign Office Ministers condems Russia for NotPetya attacks”, Nieuwsmededeling 15 februari 2018; B. BLUMBERGS, K. VAN DER MEIJ en L.LINDSTRÖM, “NotPetya and WannaCry Call for a Joint Response from International Community”, NATO Cooperative Cyber Defence Centre of Excellence Paper 2018.

[12] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.

———————————————–

The 2019 EU cyber sanctions regime in response to cyber threats and malicious cyber activities

On 17 May 2019, the Council of the European Union (hereinafter: Council) created a legal framework to respond with targeted restrictive measures to the increasing trend of organised cyber-attacks with significant consequences that pose an external threat to the Union or its Member States.[1] 

For example, the Council can now impose a ban on travelling[2] to the EU or freeze all funds belonging to natural or legal persons who are in any way involved in cyber-attacks or attempted cyber-attacks.[3]  Such measures should serve as a deterrent.

Moreover, they should be distinguished from holding a member state liable for a cyber-attack. The application of targeted restrictive measures does not imply liability, which always remains a sovereign political decision taken on an individual basis. However, each Member State is free to determine the liability of a third State in respect of cyber-attacks.[4]  In this way, the Union legislator wishes to avoid the legal, technical and political difficulties of attributing a cyber-attack to a State.[5]

By cyber-attacks, the regulation of 17 May 2019 means one of the following activities:

– gaining access to information systems;

– disrupting information systems;

– disrupting data;

– intercepting data.

Cyber-attacks that pose an external threat include those that either originate from, or are conducted by, entities outside the Union, use infrastructure located outside the Union, or are conducted by natural or legal persons based or operating outside the Union, or are conducted with the support of natural or legal persons operating outside the Union.[6]

A cyber-attack may therefore pose a threat to a Member State if information systems are attacked which, for example, relate to critical infrastructure, or services necessary for the maintenance of essential social and/or economic activities, or critical functions of the state such as those relating to defence and the administration and functioning of the institutions.

With the SolarWinds cyber-attack on the US federal government, the cyber-attack on the German federal parliament in 2015 and the recent cyber-attack on the European Medicines Agency of Pfizer and BioNTech, it is clear that cyber security is becoming increasingly relevant.[7]  Already on 19 June 2017, the Council adopted conclusions on a framework for a joint diplomatic response to malicious cyber activities. The so-called Instrumentarium for Cyber Diplomacy in which the Council expressed her concerns about the increased capacity and willingness of States and non-state actors to achieve their objectives through malicious cyber-attacks. At the time, the Council was already highlighting the growing need to protect the integrity and security of the Union, its Member States and its citizens from cyber threats.[8]

Conclusion

As described above, with the cyber-sanctions regime, the Union legislator chooses to sanction non-state actors in order to avoid political and diplomatic difficulties. The cyber-sanctions regime explicitly excludes attributing responsibility for a cyber-attack to a state. After all, attributing a cyber-attack to a state can cause considerable political tensions. The question is whether the Union legislator is not creating a legal fiction in this way. After all, the majority of common cyber-attacks are carried out at the request or with the support of governments, such as Stuxnet[9], Wannacry[10] and NotPetya[11]. Moreover, the appearance of attribution to a State will remain when the Union issues cyber-sanctions against a citizen of that particular third State.[12]

We will closely monitor the evolution in this area. If you have any questions after reading this article, please do not hesitate to contact us at [email protected] or 03 216 70 70.

[1] See recital (7) of the COUNCIL DECISION (CFSP) 2019/797 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States; COUNCIL REGULATION (EU) 2019/796 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States.

[2] See article 4 of the COUNCIL DECISION (CFSP) 2019/797 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States.

[3] See article 5 of the COUNCIL DECISION (CFSP) 2019/797 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States; See article 3 of the COUNCIL REGULATION (EU) 2019/796 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States.

[4] See recital (8) and (9) of the COUNCIL DECISION (CFSP) 2019/797 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States.

[5] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.

[6] https://ecer.minbuza.nl/-/een-eu-cybersanctieregime-stap-voor-meer-veiligheid-in-cyberspace

[7] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.43.

[8] See recital (1) of the COUNCIL DECISION (CFSP) 2019/797 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States.

[9] The Stuxnet cyber-attacks against Iranian nuclear facilities were, according to some sources, a joint US-Israeli operation. See DUMORTIER, V.PAPAKONSTANTINOU and P. DE HERT, “EU sanctions against cyber-attacks and defence rights: Wanna-Cry?”, European Law Blog 2020, 2 and J. KAMBIC and S. LILES, “Non-State Cyber Power in ONG”, Journal of Information Warfare 2014, 57-67.

[10] WannaCry was an outbreak of ransomware that targeted the Windows operating system in several countries. See UK, Department of Foreign Affairs, “Foreign Office Minister condems North Korean actor for WannaCry attacks”, Press release 19 December 2019, available online at https://gov.uk/government/news/foreign-office-minister-condems-north-korean-actor-for-wannacry-attacks and G. FUSTER L. JASMONTAITE, “Cybersecurity Regulation in the European Union: The Digital, the Critical and Fundamental Rights” in M.CHRISTEN, B.GORDIJN and M.LOI (eds.), The Ethics of cybersecurity, Cham, Springer, 2020, 99-100.

[11] The NotPetya attack was an outbreak of ransomware that again targeted the Windows operating system. See UK, Department of Foreign Affairs and National Cyber Security Centre, “Foreign Office Ministers condemns Russia for NotPetya attacks”, News Release 15 February 2018; B. BLUMBERGS, K. VAN DER MEIJ and L.LINDSTRÖM, “NotPetya and WannaCry Call for a Joint Response from International Community”, NATO Cooperative Cyber Defence Centre of Excellence Paper 2018.

[12] A.VERHELST, M.RUELENS en J. WOUTERS., “Het EU-cybersanctieregime en zijn verenigbaarheid met de grondrechten in het Unierecht”, RW 2021-22, nr. 02, 11 september 2021, p.52.

PDF

Wettelijk kader voor KMO-financiering
De wet van 21 december 2013 betreffende diverse bepalingen inzake de financiering voor kleine en middelgrote ondernemingen (hierna: Wet KMO-financiering) voorziet in een afzonderlijk wettelijk kader betreffende de financiering aan kleine en middelgrote ondernemingen. Dit bijzonder wettelijke kader kwam er om de kredietverlening aan KMO’s te stimuleren waarbij een beter evenwicht tussen de rechten en plichten van kredietgever en ,KMO-kredietnemer vooropstond. Dit doet deze wet door aan de kredietgever een aantal plichten en beperkingen op te leggen. Wij bespreken de belangrijkste elementen hierna, zoals zij na de Wijzigingswet van 21 december 2017 van kracht zijn.
Zorgvuldigheidsplicht
Artikel 4 van deze wet behelst eigenlijk louter het algemene beginsel van uitvoering van overeenkomsten te goeder trouw. Meer bepaald wordt verduidelijkt dat alle informatie verstrekt door eender welke partij bij een kredietverlening aan een KMO correct, duidelijk en niet misleidend moet zijn.
Informatieplicht
Allereerst moet de kredietgever en indien van toepassing de kredietbemiddelaar, aan de KMO (die om een financiering verzoekt) en aan de persoonlijke zekerheidsteller (indien van toepassing) alle informatie opvragen die zijn noodzakelijk achten om te oordelen over de haalbaarheid, de financiële toestand van de kredietnemer en over de terugbetalingsmogelijkheden en lopende financiële verbintenissen. De kredietgever en indien van toepassing de kredietbemiddelaar, moet op basis van die informatie op zoek gaan naar de vorm van kredietovereenkomst uit haar aanbod, dat het best is aangepast aan de kredietnemer op het moment van het sluiten van de overeenkomst. Indien dit niet werd nageleefd, kan door de rechtbank de kosteloze omzetting naar een gepast krediet worden opgelegd. De kredietgever en indien van toepassing de kredietbemiddelaar verstrekt aan de kredietnemer bij de kredietaanvraag een schriftelijke toelichting inhoudende de verschillende kredietvormen die mogelijks geschikt zijn voor de onderneming. Hierbij dient ook kosteloos op het moment van het kredietaanbod een exemplaar van de ontwerpkredietovereenkomst bezorgd worden aan de kredietnemer. De persoonlijke zekerheidssteller moet desgevallend ook kosteloos een kopie hiervan kunnen opvragen.
Kredietweigering
De weigering van het verstrekken van een krediet moet door de kredietgever en indien van toepassing de kredietbemiddelaar op een transparante wijze gebeuren t.a.v. de kredietnemer. Hierbij moeten de belangrijkste elementen die aan de basis liggen van deze weigering of die de risico-inschatting hebben beïnvloed worden meegedeeld op een begrijpbare wijze voor de kredietnemer. Het wordt hierbij wel bevestigd dat dit artikel als doel heeft om een transparante, duidelijke communicatie te verplichten, een recht op krediet voor de kredietnemer-KMO kan hieruit niet afgeleid worden. De kredietgevers behouden immers hun contractuele vrijheid. Willekeur wordt echter ontraden door de plicht tot behoorlijke kennisgeving van de motieven in leven te roepen.
Zekerheden en waarborgen
Dit hoofdstuk werd in de Wet KMO-financiering ingevoegd door de Wijzigingswet van 21.12.2017 nadat de noodzaak hiertoe bleek uit de evaluatie van de eerste jaren van de Wet KMO-financiering. Wederom wordt hier de nadruk gelet op de noodzaak aan transparantie informatie door de kredietgever en indien van toepassing de kredietbemiddelaar. Zij moeten indien de toekenning van het krediet afhankelijk gemaakt wordt van de vestiging van een zekerheid of een waarborg, de kredietnemer over de belangrijkste kenmerken van deze zekerheid of waarborg en ook de impact ervan op de kredietaanvraag op verstaanbare wijze informeren. De contractuele vrijheid van de kredietgever blijft onaangeroerd. De volledige vrijgave van de zekerheid of waarborg kan door de kredietnemer of de zekerheid-/borgsteller gevorderd worden wanneer het krediet volledig of gedeeltelijk terugbetaald is. Indien deze teruggave geweigerd wordt moet de kredietgever en indien van toepassing de kredietbemiddelaar de kredietnemer of belanghebbende derde schriftelijk op transparante wijze en op verstaanbare wijze informeren omtrent de belangrijkste elementen aan de basis van deze weigering of de belangrijkste elementen die de risico-inschatting beïnvloed hebben. Ook dient de kredietgever en indien van toepassing de kredietbemiddelaar de kredietnemer schriftelijk bij de kredietaanvraag te informeren over de mogelijkheden tot het bekomen van overheidsgaranties conform de wijze bepaald in de Gedragscode.
Gedragscode
In de wet wordt voorzien dat de representatieve interprofessionele organisaties van de zelfstandigen en de KMO’s en van de kredietsector onderling een gedragscode uitwerken. Unizo, UCM, NSZ en Febelfin ondertekenden op 28 februari 2018 een nieuwe gedragscode die aangepast werd aan de wijzigingen ingevoerd door de Wijzigingswet van 21 december 2017. In deze gedragscode vindt men voornamelijk de nadere, praktische uitwerking van de bepalingen van de Wet KMO-financiering. O.m. wordt de wijze van uitvoering van de informatieplicht nader uitgewerkt.
Vervroegde terugbetaling en wederbeleggingsvergoeding
De kredietnemer heeft altijd het recht om geheel of gedeeltelijk het verschuldigd kapitaalsaldo vervroegd terug te betalen. Buiten de wederbeleggingsvergoeding, mag de uitoefening van dit recht niet afhankelijk gemaakt worden van bijkomende voorwaarden. De wederbeleggingsvergoeding kan maximaal zes maanden interesten bedragen, berekend over de terugbetaalde som en naar de in de overeenkomst bepaalde rentevoet bij kredieten ten belope van maximaal twee miljoen euro. Bij kredieten voor een bedrag van meer dan twee miljoen, hebben de kredietnemer en kredietgever meer contractvrijheid om deze overeen te komen, met de beperking dat het bedrag maximaal gelijk mag zijn aan het bedrag volgens de berekeningsmodaliteiten vastgesteld in de gedragscode. Voormelde beperkingen zijn enkel van toepassing op de kredieten die niet onder het toepassingsgebied van de beperking van artikel 1907bis BW (lening op interest) vallen. Hierin wordt immers reeds een beperking tot zes maanden interest opgelegd. De bepalingen die toch bijkomende vergoedingen opleggen, zijn van rechtswege nietig. Onrechtmatige bedingen De Wijzigingswet van 21 december 2017 heeft ook een lijst ingevoegd van bedingen in de kredietovereenkomsten tussen kredietgever en kredietnemer-KMO die in elk geval onrechtmatig zijn. Deze onrechtmatige bedingen zijn verboden en indien opgenomen in de kredietovereenkomst, worden deze bedingen als nietig beschouwd. Indien de overeenkomst zonder dergelijk nietig beding kan blijven verder bestaan, blijft de kredietovereenkomst voor het overige wel bindend voor de partijen. Deze bedingen zijn bedingen die:
– voorzien in een onherroepelijke verbintenis van de kredietnemer terwijl de uitvoering van de prestaties van de kredietgever onderworpen is aan een voorwaarde waarvan de
verwezenlijking uitsluitend afhankelijk is van haar wil;
– de kredietgever toestaan de overeenkomst voor bepaalde duur eenzijdig te beëindigen (buiten in geval van wanprestatie van de kredietnemer) zonder redelijke
schadeloosstelling voor de kredietnemer, met uitzondering van overmacht;
– de kredietgever toestaan de overeenkomst van onbepaalde duur op te zeggen (buiten in geval van wanprestatie van de kredietnemer) zonder redelijke opzegtermijn voor de
kredietnemer, met uitzondering van overmacht;
– de mogelijkheid voorzien voor de kredietgever om eenzijdig (ten nadele) van de kredietnemer de toegepaste interesten, kosten, provisies of andere vergoedingen te wijzigen, losstaand van objectieve criteria die uitdrukkelijk in de overeenkomst opgenomen zijn met een redelijke opzegtermijn.
Evaluatie
Tweejaarlijks zou de wet en de gedragscode in principe aan een evaluatie moeten worden onderworpen. Tot nu toe is slechts één evaluatie bekend sinds de inwerkingtreding van de Wet op KMO-financiering, welke geleid heeft tot de Wijzigingswet van 21 december 2017. Wij durven enigszins te betwijfelen of deze Wet het hoofddoel dat beoogd werd, namelijk de vlottere toegang tot financiering, weet te bereiken. Uit het voorgaande kan u afleiden dat de wet voornamelijk voor een meer evenwichtige verhouding tussen kredietgever en kredietnemer zorgt. Hierbij moet de kredietgever zorgvuldig te werk gaan door op voldoende transparante wijze te informeren en zich te onthouden van het invoeren enkele onrechtmatige bedingen. Een vlottere en goedkopere toegang tot financiering lijkt ons hiervan geen logisch gevolg aangezien de kredietgever een grotere werklast heeft gekregen om te voldoen aan de ingevoerde verplichtingen en te kunnen aantonen dat hij hieraan heeft voldaan. Een nieuwe evaluatie waarbij cijfers omtrent de toegang tot financiering worden opgenomen zou uitermate
interessant en nuttig kunnen blijken om hierover een oordeel te vellen.
Voor verdere vragen en inlichtingen omtrent deze Wet staan wij steeds tot uw beschikking via
mail: [email protected] of per telefoon: 03/216.70.70.
 
—————————————–
Cadre juridique pour le financement des PME
La loi du 21 décembre 2013 relative à diverses dispositions concernant le financement des petites et moyennes entreprises (ci-après : loi sur le financement des PME) prévoit un cadre juridique distinct pour le financement des petites et moyennes entreprises. Ce cadre juridique spécial a été créé afin de stimuler l’octroi de crédits aux PME avec un meilleur équilibre des droits et obligations entre le prêteur et la PME emprunteuse. Cette loi y parvient en imposant un certain nombre d’obligations et de restrictions au prêteur. Nous abordons ci-dessous les principaux éléments, tels qu’ils sont en vigueur après la loi modificative du 21 décembre 2017.
Devoir de rigueur
L’article 4 de cette loi ne fait que consacrer le principe général de l’exécution des accords de bonne foi. Plus précisément, cet article énonce que toutes les informations fournies par toute partie à un prêt à une PME doivent être correctes, claires et non trompeuses.
Obligation d’information
Tout d’abord, le prêteur et, le cas échéant, l’intermédiaire de crédit, doivent demander à la PME (qui demande un financement) et au garant personnel (s’il y a lieu) toutes les informations qu’ils jugent nécessaires pour évaluer la faisabilité du projet, la situation financière, les options de remboursement et les engagements financiers en cours de l’emprunteur. Le prêteur et, le cas échéant, l’intermédiaire de crédit, doivent utiliser ces informations pour rechercher le type de contrat de crédit le plus approprié pour l’emprunteur au moment de la conclusion du contrat. Si cela n’est pas respecté, le tribunal peut imposer la conversion en un crédit plus approprié, sans frais. Le prêteur et, le cas échéant, l’intermédiaire de crédit doivent fournir à l’emprunteur, au moment de la demande de prêt, une explication écrite sur les différentes formes de crédit qui peuvent convenir à l’entreprise. Une copie du projet de la convention de crédit est également fournie gratuitement à l’emprunteur au moment de l’offre de crédit. En cas de nécessité, le garant personnel doit également pouvoir en obtenir une copie gratuitement. Refus de crédit Le refus d’accorder un crédit doit être fait par le prêteur et, le cas échéant, l’intermédiaire de crédit, de manière transparente vis-à-vis de l’emprunteur. Les principaux éléments sur lesquels le refus est fondé ou qui ont influencé l’évaluation du risque doivent être communiqués d’une manière compréhensible pour l’emprunteur. Il est confirmé que le but de cet article est d’exiger une communication transparente et claire, mais qu’il ne confère aucun droit au crédit à la PME emprunteuse. Les prêteurs conservent leur liberté contractuelle. Toutefois, l’arbitraire est découragé par l’obligation de fournir une notification appropriée des raisons du refus.
Titres et garanties
En évaluant l’application de la loi sur le financement, il s’est avéré nécessaire d’y ajouter des titres et des garanties. Ce chapitre a donc été inséré dans la loi sur le financement des PME par une loi modificative du 21.12.2017 A nouveau, l’accent est mis sur la nécessité d’une transparence de l’information de la part du prêteur et, le cas échéant, de l’intermédiaire de crédit. Si l’octroi du crédit est subordonné à la constitution d’un cautionnement ou d’une garantie, ils doivent informer l’emprunteur de manière intelligible sur les principales caractéristiques de
ce cautionnement ou de cette garantie ainsi que sur son impact sur la demande de crédit. La liberté contractuelle du créancier n’est pas affectée. La libération totale de la sûreté ou de la garantie peut être réclamée par l’emprunteur ou le garant lorsque le crédit a été entièrement ou partiellement remboursé. En cas de refus, le prêteur et, le cas échéant, l’intermédiaire de crédit, doivent informer l’emprunteur ou le tiers par écrit, de manière transparente et intelligible, des éléments clés qui sous-tendent le refus ou des éléments clés qui ont influencé l’évaluation du risque. En outre, le prêteur et, le cas échéant, l’intermédiaire de crédit doivent informer l’emprunteur par écrit, au moment de la demande de crédit, des possibilités d’obtenir des garanties publiques selon les modalités précisées dans le Code de conduite.
Code de conduite
La loi prévoit que les organisations interprofessionnelles représentatives des indépendants, des PME et du secteur du crédit établissent entre elles un code de conduite. Le 28 février 2018, Unizo, UCM, NSZ et Febelfin ont signé un nouveau code de conduite adapté aux changements introduits par la loi modificative du 21 décembre 2017. Ce code de conduite contient principalement l’élaboration plus poussée et pratique des dispositions de la loi sur le financement des PME. Il précise notamment les modalités de mise en oeuvre de l’obligation d’information. Frais de remboursement anticipé et de réinvestissement L’emprunteur a toujours le droit de rembourser par anticipation tout ou partie du solde du capital dû. Outre la pénalité de réinvestissement, l’exercice de ce droit ne peut être soumis à des conditions supplémentaires. La commission de réinvestissement peut s’élever à un maximum de six mois
d’intérêts, calculés sur la somme remboursée et au taux d’intérêt spécifié dans la convention, dans le cas de prêts ne dépassant pas deux millions d’euros. Dans le cas de crédits supérieurs à deux millions, l’emprunteur et le prêteur disposent d’une plus grande liberté contractuelle pour se mettre d’accord, sous réserve que le montant ne puisse pas dépasser le montant selon les méthodes de calcul prévues par le Code de conduite. Les restrictions susmentionnées ne s’appliquent qu’aux crédits qui ne tombent pas sous le coup de la restriction de l’article 1907bis CC (prêt à intérêt). Cet article impose déjà une limitation à six mois d’intérêts. Les dispositions qui imposent néanmoins des paiements supplémentaires sont nulles et non avenues.
Les clauses abusives
La loi modificative du 21 décembre 2017 a également ajouté une liste de clauses aux contrats de crédit entre prêteur et emprunteur-PME qui sont en tout état de cause illégales. Ces clause abusives sont interdites et si elles sont incluses dans le contrat de crédit, ces conditions sont considérées comme nulles et non avenues. Si le contrat peut continuer à exister sans cette clause nulle et non avenue, le contrat de crédit reste par ailleurs contraignant pour les parties. Ces clauses sont celles qui :
– prévoient un engagement irrévocable de la part de l’emprunteur alors que l’exécution des obligations du prêteur est soumise à une condition dont la réalisation dépend exclusivement de sa seule volonté ;
– permettent au prêteur de résilier unilatéralement le contrat pour une durée indéterminée (sauf en cas d’inexécution de l’emprunteur) sans indemnisation raisonnable de l’emprunteur, hormis le cas de force majeure
– permettent au prêteur de résilier le contrat pour une durée indéterminée (sauf en cas d’inexécution de l’emprunteur) sans délai de préavis raisonnable pour l’emprunteur, sauf en cas de force majeure.
– permettent au prêteur de modifier unilatéralement (au détriment de l’emprunteur) les intérêts, les frais, les commissions ou autres indemnités appliqués, indépendamment de tout critère objectif explicitement défini dans le contrat, et moyennant un délais de préavis raisonnable.
Évaluation
En principe, la loi et le code de conduite devraient être évalués tous les deux ans. A ce jour, une seule évaluation est connue depuis l’entrée en vigueur de la loi de financement des PME, qui a d’ailleurs donné lieu à la loi modificative du 21 décembre 2017. Nous doutons quelque peu que cette loi soit en mesure d’atteindre l’objectif principal qui était envisagé, à savoir un accès plus facile au financement. De ce qui précède, vous pouvez déduire que la loi assure principalement une relation plus équilibrée entre le prêteur et l’emprunteur. Ce faisant, le prêteur doit agir avec la diligence requise en fournissant des informations suffisamment transparentes et en s’abstenant d’introduire des clauses abusives. Un accès plus facile et moins cher au financement ne nous semble pas être une conséquence logique, puisque le prêteur a reçu une plus grande charge de travail pour satisfaire aux obligations introduites et pour démontrer qu’il les a satisfaites. Une nouvelle évaluation incluant des chiffres sur l’accès au financement pourrait s’avérer extrêmement intéressante et utile pour porter un jugement sur ce point.
Pour toute question ou information complémentaire sur cette loi, nous sommes à votre disposition à tout moment par e-mail : [email protected] ou par téléphone : 03/216.70.70.
—————————————–
Legal framework for SME financing
The Law of 21 December 2013 on various provisions on financing for small and medium-sized enterprises (hereinafter: SME Financing Law) provides for a separate legal framework on financing for small and medium-sized enterprises. This special legal framework was created in order to stimulate the granting of credit to SMEs with a better balance of rights and obligations between the lender and SME borrower. This law does this by imposing a number of obligations and restrictions on the lender. We discuss the main elements below, as they are inforce after the Amending Law of 21 December 2017.
Duty of care
Article 4 of this law merely sets out the general principle of performing agreements in good faith. More specifically, it clarifies that all information provided by any party to a loan to an SME must be correct, clear and not misleading.
Duty to inform
First of all, the creditor and, where applicable, the credit intermediary, must request from the SME (requesting finance) and from the personal guarantor (if applicable) all the information they deem necessary to assess the borrower’s feasibility, financial situation, repayment options and current financial commitments. The creditor and, where applicable the credit intermediary, must use this information to seek out the form of credit agreement from its range that is the most appropriate for the borrower at the time of conclusion of the
agreement. If this is not respected the court may impose the conversion to an appropriate credit free of charge. The creditor and, if applicable the credit intermediary must provide the
borrower with a written explanation at the time of the loan application concerning the various forms of credit that may be suitable for the company. A copy of the draft credit agreement shall also be supplied to the borrower free of charge at the time of the credit offer. If necessary, the personal guarantor must also be able to obtain a copy free of charge.
Credit refusal
The refusal of a credit must be made by the creditor and, where applicable, the credit intermediary, in a transparent manner towards the borrower. The main elements on which the refusal is based or which have influenced the risk assessment must be communicated in a way that the borrower can understand. It is hereby confirmed that the purpose of this article is to require transparent and clear communication, but that it does not confer any right to credit on the borrower-SME. The lenders retain their contractual freedom. However, arbitrariness is discouraged by the obligation to provide proper notification of the reasons.
Securities and guarantees
This chapter was inserted into the SME Financing Law by the Amending Law of 21.12.2017 after the need for it arose from the evaluation of the first years of the SME Financing Law. Once again, emphasis is placed on the need for transparency of information by the creditor and, if applicable, the credit intermediary. If the granting of credit is made subject to the constitution of a security or guarantee, they must inform the borrower in a comprehensible manner of the main characteristics of this security or guarantee and also of its impact on the credit application. The contractual freedom of the creditor shall remain unaffected. The full release of the security or guarantee may be claimed by the borrower or the guarantor when the credit has been fully or partially repaid. In the event of refusal to release the surety or guarantee, the creditor and, where applicable the credit intermediary shall inform the borrower or the affected third party in writing, in a transparent and intelligible manner, of the key elements underlying such refusal or of the key elements that influenced the risk assessment. In addition, the creditor and, if applicable, the credit intermediary must inform the borrower in writing, at the time of the credit application, of the possibilities for obtaining government guarantees in accordance with the manner specified in the Code of Conduct.
Code of conduct
The law stipulates that the representative interprofessional organisations of the self-employed, the SMEs and the credit sector draw up a code of conduct among themselves. Unizo, UCM, NSZ and Febelfin signed a new code of conduct on 28 February 2018, which was adapted to the changes introduced by the Amending Law of 21 December 2017. This code of conduct mainly contains the further, practical elaboration of the provisions of the SME Financing Law. Among other things, the way in which the obligation to provide information is implemented is further elaborated. Early repayment and reinvestment fee The borrower shall at all times be entitled to repay early all or part of the capital balance due. Apart from the reinvestment penalty, the exercise of this right may not be made subject to additional conditions. The reinvestment fee may amount to a maximum of six months’ interest, calculated on the sum repaid and at the interest rate specified in the agreement, in the case of loans not exceeding two million euro. In the case of loans exceeding two million euro, the borrower and lender have greater  contractual freedom to agree on the amount, subject to the limit that the amount may not exceed the amount according to the calculation methods set out in the Code of Conduct. The aforementioned restrictions only apply to the credits that do not fall within the scope of the restriction of Article 1907bis BW (loan on interest). This already imposes a limitation to six months of interest. The provisions which nevertheless impose additional fees are null and void.
Unlawful clauses
The Amending Law of 21 December 2017 has also inserted a list of clauses in credit agreements between lender and borrower-SME that are unlawful in any case. These unlawful clauses are prohibited and if included in the credit agreement, these clauses are considered null and void. If the agreement can continue to exist without such null and void clause, the credit agreement shall otherwise remain binding on the parties. Such clauses are those which:
-provide for an irrevocable commitment on the part of the borrower whereas the performance of the creditor’s obligations is subject to a
condition the fulfilment of which depends exclusively on its will;
-allow the creditor to terminate the fixed-term agreement unilaterally (except in the case of default by the borrower) without reasonable compensation for the borrower, except in the case of force majeure
-allowing the creditor to terminate the open-end agreement (except in the case of non-performance by the borrower) without a reasonable period of notice for the borrower, except in the case of force majeure
-allowing the creditor to unilaterally change (to the detriment of the borrower) the interest, charges, commissions or other fees applied, independently of any objective criteria expressly laid down in the agreement, with a reasonable period of notice.
Evaluation
In principle, the Act and the Code of Conduct should be evaluated every two years. So far, only one evaluation is known since the entry into force of the SME Finance Act, which led to the Amendment Law of 21 December 2017. We are somewhat doubtful that this Law succeeds in achieving the main objective that was envisaged, namely easier access to financing. From the foregoing, you may deduce that the Law mainly ensures a more balanced relationship between lender and borrower. In doing so, the lender must act with due care by providing sufficiently transparent information and refraining from introducing any unlawful clauses. A smoother and cheaper access to finance does not seem to us to be a logical consequence of this, as
the creditor has been given a greater workload to meet the obligations introduced and to demonstrate that he has met them. A new evaluation including figures on access to financing could prove extremely interesting and useful in making a judgement on this.
For further questions and information about this Law, we are always at your disposal by e-mail: [email protected] or by phone: 03/216.70.70.
 
————————————————

Rechtlicher Rahmen für die Finanzierung von KMBs

Das Gesetz vom 21. Dezember 2013 über verschiedene Bestimmungen zur Finanzierung kleiner und mittlerer Unternehmen (im Folgenden: KMB-Finanzierungsgesetz) sieht einen
eigenen Rechtsrahmen für die Finanzierung kleiner und mittlerer Unternehmen vor. Dieser besondere Rechtsrahmen wurde geschaffen, um die Kreditvergabe an die KMB zu
fördern und ein besseres Gleichgewicht zwischen den Rechten und Pflichten des Kreditgebers und des KMB-Kreditnehmers herzustellen. Dieses Gesetz sieht eine Reihe
von Verpflichtungen und Einschränkungen für den Kreditgeber vor. Im Folgenden werden die wichtigsten Elemente erörtert, wie sie nach dem Änderungsgesetz vom 21. Dezember
2017 in Kraft sind.

Die Sorgfaltspflicht
In Artikel 4 dieses Gesetzes geht es eigentlich nur um den allgemeinen Grundsatz der Erfüllung von Verträgen in gutem Vertrauen. Insbesondere wird klargestellt, dass alle
Informationen, die von einer der Parteien eines Darlehens an ein KMU bereitgestellt werden, korrekt, klar und nicht irreführend sein müssen. Informationspflicht
Zunächst müssen der Kreditgeber und gegebenenfalls der Kreditvermittler von dem KMB (das die Finanzierung beantragt) und dem persönlichen Bürgen (falls zutreffend) alle
Informationen einholen, die sie für notwendig erachten, um die Durchführbarkeit und die finanzielle Situation des Kreditnehmers sowie die Möglichkeit der Rückzahlung und die
bestehenden finanziellen Verpflichtungen zu beurteilen. Der Kreditgeber und gegebenenfalls der Kreditvermittler müssen diese Informationen
nutzen, um aus ihrem Angebot die für den Kreditnehmer zum Zeitpunkt des Vertragsabschlusses am besten geeignete Form des Kreditvertrags auszuwählen. Wird dies
nicht beachtet, kann das Gericht die kostenlose Umwandlung in einen angemessenen

Kredit anordnen.
Der Kreditgeber und gegebenenfalls der Kreditvermittler müssen dem Kreditnehmer zum Zeitpunkt der Beantragung des Kredits schriftlich erläutern, welche Kreditformen für das
Unternehmen in Betracht kommen. Ein Exemplar des Kreditvertragsentwurfs wird dem Kreditnehmer zum Zeitpunkt des Kreditangebots ebenfalls kostenlos zur Verfügung
gestellt. Gegebenenfalls muss auch der persönliche Bürge die Möglichkeit haben, kostenlos eine Kopie zu erhalten.

Kreditverweigerung
Die Verweigerung eines Kredits muss vom Kreditgeber und gegebenenfalls vom Kreditvermittler in transparenter Weise gegenüber dem Kreditnehmer ausgesprochen werden. Die wichtigsten Elemente, auf die sich die Verweigerung stützt oder die die Risikobewertung beeinflusst haben, müssen dem Kreditnehmer in verständlicher Form mitgeteilt werden. Es wird bestätigt, dass der Zweck dieses Artikels darin besteht, eine transparente und eindeutige Kommunikation zu verlangen, dass er jedoch dem Kreditnehmer-KMB kein Recht auf einen Kredit einräumt. Die Kreditgeber behalten ihre Vertragsfreiheit. Der Willkür wird jedoch durch die Verpflichtung zur ordnungsgemäßen Mitteilung der Gründe entgegengewirkt.

Sicherheiten und Garantien
Dieses Kapitel wurde durch das Änderungsgesetz vom 21.12.2017 in das KMBFinanzierungsgesetz eingefügt, nachdem sich aus der Evaluierung der ersten Jahre des
KMU-Finanzierungsgesetzes die Notwendigkeit dafür ergeben hatte. Auch hier wird die Notwendigkeit der Transparenz der Informationen durch den
Kreditgeber und gegebenenfalls den Kreditvermittler hervorgehoben. Wird die Gewährung eines Kredits von der Stellung einer Sicherheit oder Bürgschaft abhängig gemacht, so
müssen sie den Kreditnehmer in verständlicher Form über die wichtigsten Merkmaledieser Sicherheit oder Bürgschaft sowie über ihre Auswirkungen auf den Kreditantrag
informieren. Die Vertragsfreiheit des Kreditgebers bleibt unberührt. Die vollständige Freigabe der Sicherheit oder der Bürgschaft kann vom Kreditnehmer oder
vom Bürgen verlangt werden, wenn der Kredit ganz oder teilweise zurückgezahlt worden ist. Im Falle einer solchen Ablehnung müssen der Kreditgeber und gegebenenfalls der
Kreditvermittler den Kreditnehmer oder den Dritten schriftlich in transparenter und verständlicher Weise über die wesentlichen Elemente, die der Verweigerung zugrunde
liegen, oder über die wesentlichen Elemente, die die Risikobewertung beeinflusst haben, informieren. Darüber hinaus müssen der Kreditgeber und gegebenenfalls der
Kreditvermittler den Kreditnehmer zum Zeitpunkt der Beantragung des Kredits schriftlich über die Möglichkeiten zur Erlangung staatlicher Garantien gemäß den im
Verhaltenskodex festgelegten Modalitäten informieren.

Verhaltenskodex
Das Gesetz sieht vor, dass die repräsentativen Branchenverbände der Selbstständigen, der KMB und des Kreditwesens untereinander einen Verhaltenskodex ausarbeiten. Am 28.
Februar 2018 unterzeichneten Unizo, UCM, NSZ und Febelfin einen neuen Verhaltenskodex, der an die durch das Änderungsgesetz vom 21. Dezember 2017
eingeführten Änderungen angepasst wurde. Dieser Verhaltenskodex enthält vor allem die weitere, praktische Ausgestaltung der Bestimmungen des KMU-Finanzierungsgesetzes.
Unter anderem wird die Art und Weise, wie die Informationspflicht umgesetzt wird, näher erläutert.

Vorzeitige Rückzahlung und Wiederanlagegebühr
Der Kreditnehmer hat jederzeit das Recht, den fälligen Kapitalsaldo ganz oder teilweise vorzeitig zurückzuzahlen. Abgesehen von der Wiederanlagegebühr darf die Ausübung
dieses Rechts nicht von zusätzlichen Bedingungen abhängig gemacht werden. Die Wiederanlagegebühr kann sich bei Krediten bis zu einem Wert von zwei Millionen
Euro auf maximal sechs Monatszinsen belaufen, die auf den zurückgezahlten Betrag und zu dem im Vertrag festgelegten Satz berechnet werden. Bei Krediten, die zwei Millionen
übersteigen, haben Kreditnehmer und Kreditgeber eine größere vertragliche Vereinbarungsfreiheit, wobei der Betrag den Betrag gemäß den im Verhaltenskodex
festgelegten Berechnungsmethoden nicht überschreiten darf. Die vorgenannten Beschränkungen gelten nur für Kredite, die nicht unter die Beschränkung von Artikel
1907bis BW (Zinsdarlehen) fallen. Damit ist bereits eine Begrenzung der Zinsen auf sechs

Monate vorgesehen.
Die Bestimmungen, die dennoch zusätzliche Gebühren vorsehen, sind nichtig.

Unzulässige Bedingungen
Das Änderungsgesetz vom 21. Dezember 2017 hat auch eine Liste von Bedingungen in Kreditverträgen zwischen Kreditgebern und kreditnehmenden KMB eingeführt, die in
jedem Fall unzulässig sind. Diese rechtswidrigen Klauseln sind verboten, und wenn sie im Kreditvertrag enthalten sind, gelten sie als nichtig. Kann der Vertrag ohne eine solche
nichtige Klausel fortbestehen, so bleibt der Kreditvertrag ansonsten für die Parteien verbindlich. Solche Bedingungen sind solche, die:

-eine unwiderrufliche Verpflichtung des Kreditnehmers vorsehen, während die Erfüllung der Verpflichtungen des Kreditgebers an eine Bedingung geknüpft ist,
deren Erfüllung ausschließlich von seinem Willen abhängt;

-dem Kreditgeber die Möglichkeit geben, den Vertrag auf unbestimmte Zeit einseitig zu kündigen (außer im Falle der Nichterfüllung durch den Kreditnehmer),
ohne dass der Kreditnehmer eine angemessene Entschädigung erhält, außer im Falle höherer Gewalt.

-dem Kreditgeber die Möglichkeit geben, den Vertrag auf unbestimmte Zeit zu kündigen (außer im Falle eines Ausfalls des Kreditnehmers), ohne dass der
Kreditnehmer eine angemessene Kündigungsfrist einhalten muss, außer im Falle höherer Gewalt.

-dem Kreditgeber die Möglichkeit geben, die angewandten Zinsen, Gebühren, Provisionen oder sonstigen Entgelte einseitig (zum Nachteil des Kreditnehmers) zu ändern, und zwar unabhängig von objektiven, ausdrücklich im Vertrag festgelegten Kriterien und mit einer angemessenen Kündigungsfrist. Evaluierung Im Prinzip sollten das Gesetz und der Verhaltenskodex alle zwei Jahre evaluiert werden. Seit dem Inkrafttreten des Mittelstandsfinanzierungsgesetzes, das zum Änderungsgesetz vom 21. Dezember 2017 führte, ist bisher nur eine Evaluierung bekannt. Wir bezweifeln, dass dieses Gesetz in der Lage ist, das angestrebte Hauptziel zu erreichen, nämlich den Zugang zu Finanzmitteln zu erleichtern. Daraus lässt sich ableiten, dass das Gesetz vor allem für ein ausgewogeneres Verhältnis zwischen Kreditgeber und Kreditnehmer sorgt. Dabei muss der Kreditgeber mit der gebotenen Sorgfalt vorgehen,
indem er hinreichend transparente Informationen bereitstellt und von der Einführung unzulässiger Klauseln absieht. Ein leichterer und billigerer Zugang zu Finanzmitteln scheint uns keine logische Folge davon zu sein, da der Gläubiger eine größere Arbeitsbelastung hat, um die eingeführten Verpflichtungen zu erfüllen und nachzuweisen, dass er sie erfüllt hat. Eine neue Bewertung, die auch Zahlen über den Zugang zu Finanzmitteln enthält, könnte sich als äußerst interessant und nützlich erweisen, um diese Frage zu beurteilen.

Für weitere Fragen und Informationen zu diesem Gesetz stehen wir Ihnen jederzeit per EMail: [email protected] oder per Telefon: 03/216.70.70 zur Verfügung.

Hoofdwebsite Contact
afspraak maken upload






      GDPR proof area
      Upload uw documenten





      sleep uw documenten naar hier of kies bestand


      sleep uw briefwisseling naar hier of kies bestand











        Benelux (€... )EU (€... )Internationaal (prijs op aanvraag)

        Door de aanvraag in te dienen, verklaart u zich uitdrukkelijk akkoord met onze algemene voorwaarden en bevestigt u dat u onze privacyverklaring aandachtig heeft gelezen. Het verzenden van deze aanvraag geldt als een opdrachtbevestiging.
        error: Helaas, deze content is beschermd!