Portugal heeft zijn cybercrime-wetgeving aangepast en daarmee een belangrijke stap gezet richting het erkennen en beschermen van ethische beveiligingsonderzoekers. Met een nieuwe bepaling in artikel 8.o-A, genaamd ‘Handelingen niet strafbaar wegens publiek belang in cybersecurity’, krijgt goedbedoeld hacken onder strikte voorwaarden een wettelijke vrijstelling. Daarmee wil Portugal voorkomen dat onderzoekers die systemen testen met het doel digitale veiligheid te verbeteren, onterecht worden vervolgd.
De wetswijziging werd voor het eerst opgemerkt door cybersecurity-expert Daniel Cuthbert. Volgens het nieuwe artikel worden handelingen die eerder werden beschouwd als illegale toegang of illegale interceptie van gegevens niet langer automatisch strafbaar, zolang ze aantoonbaar plaatsvinden in het belang van cybersecurity.
Beveiligingsonderzoekers
Om binnen deze juridische veilige zone te vallen, moeten onderzoekers aan meerdere criteria voldoen. Zo moet het onderzoek uitsluitend gericht zijn op het identificeren van bestaande kwetsbaarheden en bijdragen aan de verbetering van digitale veiligheid. Financieel gewin is niet toegestaan, behalve een normaal professioneel honorarium. Ook geldt dat de kwetsbaarheid direct gemeld moet worden aan de systeembeheerder, relevante gegevensverantwoordelijken en het CNCS, het nationale cybersecuritycentrum.
Persoonsgegevens
Daarnaast mag het onderzoek niet leiden tot verstoring van diensten, dataverlies of schade, en mogen persoonsgegevens niet onrechtmatig worden verwerkt volgens de GDPR-wetgeving. Ook blijft het gebruik van bepaalde methoden, zoals phishing, social engineering, DDoS-aanvallen, wachtwoorddiefstal of malware, strikt verboden. Eventuele verkregen gegevens moeten vertrouwelijk blijven en binnen tien dagen na reparatie van de kwetsbaarheid verwijderd worden. Handelingen die plaatsvinden met expliciete toestemming van de systeembeheerder vallen eveneens onder de uitzondering, al blijft melding aan het CNCS verplicht.
Internationale trend
Portugal sluit hiermee aan bij een internationale trend. Duitsland presenteerde in november 2024 een wetsvoorstel met soortgelijke bescherming voor onderzoekers die kwetsbaarheden verantwoordelijk melden. In de Verenigde Staten introduceerde het DOJ in mei 2022 reeds een vergelijkbare uitzondering binnen de Computer Fraud and Abuse Act (CFAA).
Met deze juridische kaders ontstaat er ruimte voor verantwoorde security-research, waarbij het vinden én melden van kwetsbaarheden niet langer een juridisch risico hoeft te zijn. Hiermee wordt de rol van de ethische hacker erkend als essentieel onderdeel van moderne digitale veiligheid.