Month: April 2012

Dutch govt response to AIV/CAVV Advice On Digital Warfare

On April 6th 2012, the Dutch government responded (.pdf, in Dutch) to the Dutch Council on Int’l Affairs’ Advice On Digital Warfare. Unfortunately, that response is currently only available in Dutch. I decided to translate it to English myself: see below. Hyperlinks are mine.

WARNING: this is an unofficial translation.

Dutch Government response to the Dutch AIV / CAVV advice on Digital Warfare
Original Dutch: “Kabinetsreactie op het AIV/CAVV-advies Digitale Oorlogvoering”

On January 17th a joint committee of the Dutch Advisory Council on International Affairs (AIV) and the Dutch Advisory Committee on Issues of Public International Law presented the advice ‘Digital warfare’. The government acknowledges the committee for the sound advice. It is a valuable contribution to the debate on digital security and helps the government to clarify and strengthen the policy on this terrain. The advice is an addition to the Dutch National Cyber Security Strategy, that focused on protection of national security and the fight against cybercrime (Kamerstuk 26643, nr. 174). Also, it is an addition to the legal framework for cybersecurity that was sent to the Parliament on December 23rd (Kamerstuk 26643, nr. 220).
Original Dutch: “Op 17 januari heeft een gezamenlijke commissie van de Adviesraad voor Internationale Vraagstukken (AIV) en de Commissie van Advies inzake Volkenrechtelijke Vraagstukken (CAVV) het advies ‘Digitale oorlogvoering’ gepresenteerd. Het kabinet is de commissie erkentelijk voor het gedegen advies. Het levert een waardevolle bijdrage aan de discussie over digitale veiligheid en helpt het kabinet het beleid op dit terrein te verhelderen en te versterken. Het advies vormt een aanvulling op de Nationale Cyber Security Strategie, waarin de bescherming van de nationale veiligheid en de bestrijding van cybercrime centraal staan (Kamerstuk 26643, nr. 174). Het vormt tevens een aanvulling op het juridisch kader cyber security zoals dat op 23 december aan de Tweede Kamer is gezonden (Kamerstuk 26643, nr. 220).”

1. Summary

Original Dutch: “1. Samenvatting”

The main points of the cabinet response are as follows:

  • The digital threat requires an integrated approach. The advice is an addition to the national approach. The current crisis management structure will be held against this light;
  • The digital domain is a new operational domain for the armed forces. The Ministry of Defense is investing to significantly strengthen existing capabilities and develop new ones (including offensive);
  • The right to self-defense also applies to cyberattacks;
  • The Dutch administration does not see necessity of a new global cybertreaty. However, it will pursue practical implementation of the application of international law in the digital domain;
  • The NATO cyberpolicy is defensive, but eventually a debate is needed about the use of offensive capabilities. Article 5 also applies to cyberattacks;
  • An integrated EU-approach is necessary.

Original Dutch: “De hoofdpunten van de kabinetsreactie zijn als volgt:
–  De digitale dreiging vereist een integrale aanpak. Het advies betreft een aanvulling op de nationale aanpak. De huidige crisisbeheersingsstructuur zal hiertoe tegen het licht worden gehouden;
–  Het digitale domein is een nieuw operationeel domein voor de krijgsmacht. Defensie investeert om bestaande capaciteiten aanzienlijk te versterken en nieuwe (waaronder offensieve) te ontwikkelen;
–  Het recht op zelfverdediging is ook van toepassing op cyberaanvallen.
–  Het kabinet ziet geen noodzaak tot een nieuw wereldwijd cyberverdrag. Wel zal het kabinet inzetten
op praktische uitwerking van de toepassing van internationaalrechtelijke bepalingen in het digitale
domein;
–  Het NAVO cyberbeleid is defensief, maar op termijn is een discussie over het gebruik van offensieve
capaciteiten nodig. Artikel 5 is ook van toepassing op cyberaanvallen.
–  Een integrale EU-aanpak is noodzakelijk. “

2. The digital threat
Original Dutch: “2. De digitale dreiging”

The increasing threat against national stakes in the digital domain and the rise of the number of (complex) digital attacks worries the government. Espionage, sabotage, crime and terrorism using digital means are a direct threat to national security. This was established in, among others, the first Cyber Security Assessment Netherlands (CSBN) that was published in December 2011 (Kamerstuk 26 643, nr. 220). Without playing down the severity of the threat, the government endorses the committee’s observation that further research on the digital threat is necessary. The CSBN is an important instrument for this, developed under coordination of the Dutch National Cyber Security Centre. The CSBN will be developed further in the coming years, with emphasis on quantitative and qualitative improvement of this instrument.
Original Dutch: “De toenemende dreiging tegen nationale belangen in het digitale domein en de stijging van het aantal (complexe) digitale aanvallen baren het kabinet zorgen. Spionage, sabotage, misdaad en terrorisme langs digitale weg vormen een directe bedreiging voor de nationale veiligheid. Dit werd onder meer geconstateerd in het eerste Cyber Security Beeld Nederland (CSBN) van december 2011 (Kamerstuk 26 643, nr. 220). Zonder af te doen aan de ernst van de dreiging, onderschrijft het kabinet de constatering van de commissie dat nader onderzoek naar de digitale dreiging wenselijk is. Het CSBN is hiervoor een belangrijk instrument, dat onder coördinatie van het Nationaal Cyber Security Centrum wordt opgesteld. Het CSBN zal de komende jaren verder worden ontwikkeld, waarbij nadrukkelijk wordt ingezet op een kwantitatieve en kwalitatieve verbetering van dit instrument.”

For the Netherlands, with its open and internationally oriented economy and a strong services sector, a safe and proper functioning digital infrastructure is essential. The integrated approach documented in the National Cyber Security Strategy remains the starting point for government policy. On that ground the National Cyber Security Centre was established, where public and private parties collaborate. A joint public-private and civil-military approach is necessary because the nature of a digital attack will not always be clear, nor how extensive and sophisticated it is, nor what the end goal of the attack is (criminal, ideological, military or political). This makes it difficult to determine the (legal) ground and means of response. In organizing a joint approach, it is of importance that roles, tasks and responsibilities are clear. Here, at initiative of the National Coordinator Counterterrorism (NCTV), it will be considered whether the current crisis management structure suffices for quickly and effectively making a large-scale digital disturbance manageable. As the committee rightly states, it is of importance to also invest in a coherent cyberdiplomacy.
Original Dutch: “Voor Nederland, met een open en internationaal georiënteerde economie en een sterke dienstensector, is een veilige en goed functionerende digitale infrastructuur essentieel. Uitgangspunt voor het kabinetsbeleid blijft de integrale benadering zoals vastgelegd in de Nationale Cyber Security Strategie. Op grond hiervan is onder andere het Nationaal Cyber Security Centrum opgericht, waarbinnen publieke en private partijen samenwerken. Een gezamenlijke, publiek-private en civiel-militaire aanpak is noodzakelijk aangezien niet altijd duidelijk zal zijn wat de aard van een digitale aanval is, hoe uitgebreid en geraffineerd deze is en wat het uiteindelijke doel van de aanvaller is (crimineel, ideologisch, militair of politiek). Dit maakt het moeilijk te bepalen op welke (juridische) grond en met welke middelen moet worden gereageerd. Bij het organiseren van een gezamenlijke aanpak is het van belang dat rollen, taken en verantwoordelijkheden helder zijn. In dit kader zal, op initiatief van de NCTV, worden bezien of de huidige crisisbeheersingsstructuur afdoende is voor het snel en effectief beheersbaar maken van een grootschalige digitale verstoring. Zoals de commissie terecht stelt, is het daarnaast van belang te investeren in een samenhangende cyberdiplomatie.”

3. Operational domain for the armed forces
Original Dutch: “3. Operationeel domein voor de krijgsmacht”

The extensive use of IT enables the Ministry of Defense to fulfill its tasks more effectively and efficiently, but also entails increased vulnerability. The digital domain is therefore fundamental for the armed forces. Without proper functioning IT infrastructure, the armed forces simply cannot fulfill its tasks. Nearly all weapons and sensory systems function thanks to the use of IT components, and command and logistical support depend on digital systems too. Hence, a disturbance of the IT infrastructure of the armed forces will endanger striking force and continuity. Therefore, in the digital domain, the Ministry of Defense must guarantee reliability of own networks, (weapons and control) systems and information, as well as prevent theft of information.
Original Dutch: “Het grootschalig gebruik van ICT stelt Defensie in staat haar taken effectiever en efficiënter uit te voeren maar zorgt ook voor een grotere kwetsbaarheid. Het digitale domein is derhalve van fundamenteel belang voor de krijgsmacht. Zonder goed functionerende ICT-infrastructuur kan de krijgsmacht haar taken eenvoudigweg niet meer uitvoeren. Vrijwel alle wapen- en sensorsystemen functioneren dankzij het gebruik van ICT-componenten en ook de commandovoering en de logistieke ondersteuning zijn afhankelijk van digitale systemen. Een verstoring van de ICT-infrastructuur van de krijgsmacht zal de slagkracht en het voorzettingsvermogen dan ook in gevaar brengen. In het digitale domein moet Defensie daarom de betrouwbaarheid van eigen netwerken, (wapen- en regel)systemen en informatie waarborgen en ontvreemding van informatie voorkomen.”

At the same time, the digital domain is a new operational domain for the armed forces, that, as the committee rightly observes, “is expected to play and important role in every future conflict.” Considering that not only our own networks are vulnerable but also those of potential opponents, the digital domain can also be used to strengthen the own intelligence position and to carry out military operations. The emergence of cyberspace as operational domain strengthens the development where classical warfare is replaced with more hybrid and pluriform conflict model where the use of IT means plays an increasingly large role. The outlook is further complicated by the difficulty of establishing where they originate from and who is behind them. In addition, the committee rightly observes that the chance of a pure ‘cyberwar’, exclusively fought in the digital domain, is currently small. However, it is likely that operational cybercapabilities will be used extensively in the near future. These can be both autonomous as well as in support of conventional warfare. Herewith, it is necessary that operational (offensive) cybercapabilities become part of the total military capacity of the Dutch armed forces. The armed forces must have the capabilities to respond effectively and adequately under all circumstances and against every opponent.”
Original Dutch: “Het digitale domein vormt tegelijkertijd een nieuw operationeel domein voor de krijgsmacht dat, zoals de commissie terecht constateert, “naar verwachting in elk toekomstig conflict een belangrijke rol zal spelen.” Aangezien niet alleen onze eigen netwerken kwetsbaar zijn maar ook die van potentiële tegenstanders kan het digitale domein ook worden gebruikt voor het versterken van de eigen inlichtingenpositie en het uitvoeren van militaire operaties. De opkomst van cyber space als operationeel domein versterkt de ontwikkeling waarbij klassieke oorlogvoering plaatsmaakt voor een meer hybride en veelvormig conflictmodel waar de inzet van ICT-middelen een steeds grotere rol speelt. Het beeld wordt verder gecompliceerd doordat bij digitale aanvallen moeilijk vast te stellen is waar deze vandaan komen en wie er achter zit. Daarnaast constateert de commissie terecht dat de kans op een zuivere ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, momenteel gering is. Het is echter wel waarschijnlijk dat operationele cybercapaciteiten in de nabije toekomst veelvuldig zullen worden ingezet. Deze kunnen zowel zelfstandig als ter ondersteuning van het regulier optreden van krijgsmachten worden ingezet. Hiermee is het noodzakelijk dat operationele (offensieve) cybercapaciteiten onderdeel worden van het totale militaire vermogen van de Nederlandse krijgsmacht. De krijgsmacht moet daarbij over de capaciteiten beschikken om onder alle omstandigheden en tegen elke tegenstander doeltreffend en afdoende te kunnen reageren.”

Intelligence position
Original Dutch: “Inlichtingenpositie”

An outstanding intelligence position is a precondition for the functioning and operating of Defense in the digital domain. Considering the problem of attribution, the committee rightly observes that intelligence and security services have an important role. The gathering of intelligence and carrying out counterintelligence by the Dutch Military Intelligence and Security Service (MIVD) is not offensive activity. This concerns the gathering of intelligence from closed sources, within the legal framework of the Dutch Intelligence and Security Act of 2002 (.pdf, Wiv 2002).
Original Dutch: “Een uitstekende inlichtingenpositie is een randvoorwaarde voor het functioneren en opereren van Defensie in het digitale domein. Ten aanzien van het adresseren van de attributieproblematiek constateert de commissie terecht dat hier een belangrijke rol is weggelegd voor de inlichtingen- en veiligheidsdiensten. Het vergaren van inlichtingen en het uitvoeren van contra-inlichtingen activiteiten door de MIVD is geen offensieve activiteit. Het gaat hier om het, binnen de kaders van de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002), vergaren van inlichtingen uit gesloten bronnen.”

The committee believes that the technological developments render it desirable to consider whether the distinction between wired and wireless interception needs to be maintained. This observation is endorsed by the Review Committee on the Intelligence and Security Services (CTIVD) in the recent report nr.28 about SIGINT (.pdf). The government believes that this distinction cannot be maintained. A change of Wiv 2002 is being prepared, that also needs to involve a careful consideration regarding privacy protection and regarding effects  on providers of electronic communication. In the course of 2012, the Parliament will be informed about this.
Original Dutch: “De commissie is van mening dat de technologische ontwikkelingen het wenselijk maken dat wordt bezien of het onderscheid tussen kabelgebonden en niet-kabelgebonden interceptie gehandhaafd moet blijven. Deze constatering wordt onderschreven door de conclusie van de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) in het recente toezichtsrapport nr. 28 over SIGINT. Het kabinet is van mening dat dit onderscheid niet gehandhaafd kan blijven. Daartoe wordt een wijziging van de Wiv 2002 voorbereid, waarbij ook een zorgvuldige afweging gemaakt moet worden met betrekking tot de privacybescherming en rekening wordt gehouden met de effecten op de aanbieders van elektronische communicatienetwerken. In de loop van 2012 zal uw Kamer hieromtrent worden geïnformeerd.”

Strengthening digital capacities of Dutch Ministry of Defense
Original Dutch: “Versterken digitale capaciteiten van Defensie”

Due to the WGO-Materiaal of November 7th 2011, it has been promised to MP Hernandez that this response considers the activities of Defense. This promise is hereby fulfilled. The degree to which the described activities can be given substance depends on available financial means. In order to give direction to policy development, a defense strategy is being drafted in close consultation with national and international partners. This will be established before the summer and sent to the Parliament.
Original Dutch: “Naar aanleiding van het WGO-Materieel van 7 november 2011 is aan het lid Hernandez toegezegd in deze reactie in te gaan op de activiteiten van Defensie. Deze toezegging wordt hierbij gestand gedaan. De mate waarin invulling kan worden gegeven aan de beschreven activiteiten is afhankelijk van de beschikbare financiële ruimte. Teneinde richting te geven aan de beleidsontwikkeling wordt, in nauw overleg met nationale en internationale partners, een defensiestrategie voor cyber operations opgesteld. Deze wordt nog voor de zomer vastgesteld en aan de Kamer aangeboden.”

Under responsibility of Chief of the Netherlands Defense Staff, a program manager Cyber has been appointed and the Taskforce Cyber has been established. The program manager is responsible for the coordination of all cyberrelated activities within Defense. At short term, the priority of Defense is in strengthening the defensive and intelligence capabilities. At medium term, attention is given to establishing a Defense Cyber Expertise Centre (DCEC) at the end of 2013 and a Defense Cyber Command (DCC) at the end of 2014. The DCC coordinates cyberoperations within Defense and provides connections between the various cybercapabilities of different Defense departments. In the operational domain, an important executive role is played by the Land Forces Command.
Original Dutch: “Onder verantwoordelijkheid van de CDS is een programmamanager Cyber aangetreden en is de Taskforce Cyber opgericht. De programmamanager is verantwoordelijk voor de coördinatie van alle cybergerelateerde activiteiten binnen Defensie. Op korte termijn ligt de prioriteit van Defensie bij het versterken van de defensieve en inlichtingenvermogens. Op de middellange termijn gaat de aandacht uit naar het oprichten van een Defensie Cyber Expertise Centrum (DCEC) eind 2013 en een Defensie Cyber Commando (DCC) eind 2014. Het DCC coördineert cyber operations binnen Defensie en zorgt voor de verbinding tussen de verschillende cybervermogens van de defensieonderdelen. In het operationele domein is een belangrijke, uitvoerende rol weggelegd voor het Commando Landstrijdkrachten (CLAS).”

As also observed by the committee, finding and keeping sufficiently qualified personal will be a big challenge for Defense. Considering the need for qualified specialists in general, intensive collaboration with other public and private parties will be needed, so as to jointly achieve the most effective use of scarce capacity. To this end, talks are taking place between departments and with industry and universities. Also, possibilities to create a pool of cyberreserves are being inquired into.
Original Dutch: “Zoals ook de commissie constateert wordt het vinden en vasthouden van voldoende gekwalificeerd personeel een grote uitdaging voor Defensie. Gezien de algemene behoefte aan gekwalificeerde specialisten moet ook hier intensief worden samengewerkt met andere publieke en private partijen om gezamenlijk te komen tot een zo effectief mogelijke benutting van schaarse capaciteiten. Daartoe vindt overleg plaats tussen departementen en met bedrijfsleven en universiteiten. Ook wordt onderzocht welke mogelijkheden er zijn om een pool van cyberreservisten te creëren.”

The defensive measures are aimed at strengthening the protection of networks and weapons and control systems. The Defense Computer Emergy Response Team (DefCERT) is partly responsible for the security of these networks and systems and must be operational 24×7 by mid-2013 to protect the most critical defense networks. Until 2016, capacity is being increased to other networks and weapons and control systems. DefCERT will shortly agree on a covenant with NCSC that establishes the framework for intensive collaboration for information sharing and support in case of calamities.
Original Dutch: “De defensieve maatregelen richten zich op het versterken van de bescherming van netwerken en wapen- en regelsystemen. Het Defensie Computer Emergency Response Team (DefCERT) is mede verantwoordelijk voor de beveiliging van deze netwerken en systemen en moet medio 2013 volledig operationeel zijn om 24 uur per dag, zeven dagen per week de meest kritieke defensienetwerken te beschermen. De capaciteit wordt in de periode tot 2016 verder uitgebreid naar de overige netwerken en wapen- en regelsystemen. DefCERT zal binnenkort een convenant afsluiten met het NCSC waarin de kaders voor intensieve samenwerking worden vastgelegd voor informatie-uitwisseling en ondersteuning bij calamiteiten.”

The Taskfore Cyber will also establish offensive capabilities and a cyberdoctrine for Defense. The committee observed that offensive acts often use the same techniques as intelligence acts. To achieve offensive capabilities, an efficient use of all scarce cybercapabilities (including intelligence capabilities) within Defense is necessary. In designing offensive capabilities, the recommended separation of duties between the CDS and the directory of the MIVD is being considered.
Original Dutch: “Vanuit de Taskforce Cyber zal tevens vorm worden gegeven aan een offensieve capaciteit en wordt een Defensie cyberdoctrine opgesteld. De commissie constateert dat voor offensief optreden vaak dezelfde technieken worden gebruikt als voor inlichtingendoeleinden. Voor de realisatie van een offensieve capaciteit is een efficiënte inzet van alle schaarse cybercapaciteiten (waaronder inlichtingencapaciteiten) binnen Defensie dan ook noodzakelijk. Bij de vormgeving van offensieve capaciteit wordt rekening gehouden met de aanbeveling van de commissie over de functiescheiding tussen de CDS en de directeur van de MIVD.”

During 2012-2015, the MIVD will strengthen its cyberintelligence capabilities. A first step has been taken by expanding the capacity with nine FTE’s as of January 1st 2012. Furthermore, the MIVD and AIVD intensive the collaboration regarding cyber and signals intelligence, and that should result in a joint unit for the gathering of SIGINT and cyberintelligence.
Original Dutch: “De MIVD zal in de periode 2012-2015 de cyber inlichtingencapaciteit versterken. Een eerste stap is gezet door de uitbreiding van de capaciteit met negen vte’n per 1 januari 2012. Verder intensiveren de MIVD en de AIVD de samenwerking op het gebied van cyber en signals intelligence (SIGINT) wat moet leiden tot een gezamenlijke eenheid voor de verwerving van SIGINT en cyberinlichtingen.”

Within Defense, knowledge development and assurance will primarily be done by the DCEC. Priority is given to increasing Defense’ personnel awareness of cyberthreats. An interactive practice environment comprising e-learning modules, a simulation and a knowledge base will be delivered soon. There will also be invested in research. In 2012, an Associate Professor Cyber is appointed at the NLDA and a research group is equipped. As of January 1st 2014 a chair of Cyber Defense will be set. In January 2012, a wide cyber research program started at TNO. The research program of Defense is part of a national research agenda cybersecurity that aims effective use of available financial means for research.
Original Dutch: “Binnen Defensie zal de kennisontwikkeling en –borging primair vorm worden gegeven door het DCEC. In eerste instantie heeft het vergroten van de bewustwording bij het personeel over de cyberdreiging prioriteit. Een interactieve oefenomgeving bestaande uit e-learning modules, een simulatie en een kennisbank wordt binnenkort opgeleverd. Ook wordt in onderzoek geïnvesteerd. In 2012 wordt aan de NLDA een Universitair Hoofddocent Cyber aangesteld en een onderzoeksgroep ingericht. Per 1 januari 2014 wordt een leerstoel cyber defence ingesteld. Bij TNO is in januari 2012 een breed cyber onderzoeksprogramma gestart. Het onderzoeksprogramma van Defensie is onderdeel van een nationale onderzoeksagenda cyber security die tot doel heeft de beschikbare onderzoeksbudgetten zo effectief mogelijk te besteden.”

4. The international legal framework
Original Dutch: “4. Het internationaalrechtelijk kader”

Use of violence and right to self-defense (jus ad vellum)
Original Dutch: “Gebruik van geweld en recht op zelfverdediging (jus ad bellum)”

The findings of the committee regarding the use of violence and the right to self-defense broadly match the standpoint of the government. The government considers the committee’s observation that no different regime applies to the digital domain than for the physical domain, to be important. In the advice, existing rules of international law on the use of violence is applied strictly to digital attacks, which is consistent with the views of the government. The committee finds that, except States, also non-state actors can carry out an armed attack within the meaning of the UN Charter, against which violence may be used in self-defense. The government endorses this view and stresses that this is an important legal development.
Original Dutch: “De bevindingen van de commissie ten aanzien van het gebruik van geweld en het recht op zelfverdediging komen in grote lijnen overeen met het standpunt van het kabinet (jus ad bellum). De constatering van de commissie dat ten aanzien van digitale aanvallen geen ander regime geldt dan voor het gebruik van geweld in het fysieke domein, acht het kabinet van belang. In het advies worden de bestaande volkenrechtelijke regels inzake het gebruik van geweld strikt toegepast op digitale aanvallen, dit strookt met opvattingen van het kabinet. De commissie oordeelt dat, behalve Staten, ook niet-statelijke actoren een gewapende aanval in de zin van het VN Handvest kunnen plegen, waartegen geweld ter zelfverdediging mag worden aangewend. Het kabinet onderschrijft dit en benadrukt dat dit een belangrijke rechtsontwikkeling vormt.”

The government also endorses the finding of the committee that attribution is a key challenge in attacks in the digital domain. The committee believes that violence may be used in self-defense only if the source of the attack and the identity of the attackers can be established with a sufficient degree of certainty. The government also endorses the committee’s finding that use of force in response to an armed digital attack must meet the requirements of ‘necessity’ and ‘proportionality’.
Original Dutch: “Het kabinet onderschrijft tevens de constatering van de commissie dat attributie een belangrijke uitdaging vormt bij aanvallen in het digitale domein. Met de commissie is het kabinet van mening dat alleen gebruik mag worden gemaakt van geweld ter zelfverdediging indien de herkomst van de aanval en de identiteit van de aanvallers met een voldoende mate van zekerheid kan worden vastgesteld. Het kabinet onderschrijft tevens de bevinding van de commissie dat, bij gebruik van geweld in reactie op een gewapende digitale aanval, moet worden voldaan aan de volkenrechtelijke eisen van ‘noodzakelijkheid’ en ‘proportionaliteit’.”

Humanitarian law (jus in bello)
Original Dutch: “Humanitair oorlogsrecht (jus in bello)”

The government agrees with the conclusion of the committee that the application of the rules of international humanitarian law (jus in bello) to hostilities in the digital domain is “technically feasible and a legally required”. However, in agreement with the commission, the government believes that law of war only applies to digital acts of violence if those acts are committed in the context of armed conflict, by parties involved in that conflict. This is an important distinction from other acts of digital violence. The advice further specifies the beginning of an “armed conflict” by a digital attack, and provides some useful examples of the practical application of the basic principles of humanitarian law to digital warfare.
Original Dutch: “Het kabinet deelt de conclusie van de commissie dat toepassing van de regels van het humanitair oorlogsrecht (jus in bello) op vijandelijkheden in het digitale domein “technisch gezien haalbaar en juridisch gezien ook een vereiste” is. Echter, met de commissie is het kabinet van mening dat digitale daden van geweld alleen onder het oorlogsrecht vallen wanneer ze worden gepleegd in de context van een gewapend conflict, door de partijen bij dat conflict. Dit vormt een belangrijke afbakening ten opzichte van andere daden van digitaal geweld. Het advies geeft nadere invulling aan het ontstaan van een ‘gewapend conflict’ door een digitale aanval, als ook een aantal nuttige voorbeelden van de praktische toepassing van de basisprincipes van het oorlogsrecht op digitale oorlogvoering.”

Neutrality
Original Dutch: “Neutraliteit”

The government considers the elaboration of the committee of the concept of neutrality in relation to the use of digital weapons as a useful starting point for further thinking in this area. The Netherlands can protect its neutrality in an armed conflict from other parties by preventing the use by such parties of infrastructure and systems (e.g. botnets) on Dutch territory. This requires permanent vigilance. A good intelligence position and continuous scanning are a necessity.
Original Dutch: “Het kabinet beschouwt de uitwerking van de commissie van het begrip neutraliteit in relatie tot de inzet van digitale wapens als een nuttig startpunt voor nadere gedachtevorming op dit gebied. Nederland kan bij een gewapend conflict van andere partijen zijn neutraliteit beschermen door het verhinderen van het gebruik door deze partijen van infrastructuur en systemen (bijv. botnets) op Nederlands grondgebied. Hierbij is permanente waakzaamheid geboden. Een goede inlichtingenpositie en een permanente scanfunctie zijn hierbij noodzakelijk.”

Cybertreaty
Original Dutch: “Cyberverdrag”

In agreement with the committee, the government currently does not believe a new global cybertreaty is needed. The government believes that existing rules of international and European law regarding the use of digital violence are sufficient. The government supports the recommendation of the committee to reinforce political and practical effects of international law in the digital domain by means of a code of conduct.
Original Dutch: “Met de commissie ziet het kabinet op dit moment geen noodzaak tot een nieuw wereldwijd cyberverdrag. Het kabinet is van mening dat bestaande regels van internationaal en Europees recht voldoen ten aanzien van het gebruik van digitaal geweld. Het kabinet ondersteunt wel de aanbeveling van de commissie om door middel van een code of conduct meer politiek gewicht en praktische uitwerking te geven aan de toepassing van internationaal rechtelijke bepalingen in het digitale domein.”

International cooperation
Original Dutch: “5. Internationale samenwerking”

Due to the extensive global interconnectedness and interdependence of IT systems, international civil-military and public-private collaboration is essential. Intensive bilateral contact is taking place with the United States, United Kingdom, Germany, Australia and the Benelux. It also being examined what the possibilities are for intensified cooperation with e.g. the Scandinavian countries, Canada and France.
Original Dutch: “Door de wereldwijd verregaande onderlinge verbondenheid en wederzijdse afhankelijkheid van ICT- systemen, is internationale civiel-militaire en publiek-private samenwerking essentieel. Bilateraal vindt hiertoe intensief contact plaats met de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Australië en de Benelux-landen. Tevens worden mogelijkheden bezien voor geïntensiveerde samenwerking met o.a. de Scandinavische landen, Canada en Frankrijk.”
As the committee points out, the Netherlands is actively taking part in the debate about ethics in the digital domain, firstly to maintain an open and free internet and counterbalance countries that want to restrict free use of internet and media in name of security and fighting cybercrime. At the same time the government recognizes the importance of preventing potential conflicts between countries due to cyber incidents. The Netherlands will carry this out via the appropriate fora. The Netherlands also considers it important that companies take responsibility for the export of dual-use technology. In addition to self-restriction by companies, The Netherlands will also commit to expanding the EU export regulation regarding dual-use technology. This would enable imposing ad-hoc license requirements in individual cases where evidence exists that the goods in whole or in part will be used for to violate human rights.
Original Dutch: “Zoals de commissie opmerkt, neemt Nederland actief deel aan de discussie over gedragsnormen in het digitale domein, allereerst om een open en vrij internet te behouden en tegenwicht te bieden aan landen die het vrije gebruik van internet en media aan banden willen leggen in naam van veiligheid en bestrijden van cybercriminaliteit. Tegelijkertijd onderkent het kabinet het belang om potentiële conflicten tussen landen als gevolg van cyberincidenten te voorkomen. Nederland zal zich hiervoor via geëigende fora inzetten. Nederland acht het daarnaast van groot belang dat bedrijven hun verantwoordelijkheid nemen voor de uitvoer van technologie die zowel goed als kwaadschiks kan worden gebruikt door overheden. Omdat Nederland er ter bescherming van mensenrechten belang aan hecht dat bedrijven naast zelfrestrictie ook een kader hebben om besluiten te nemen over export van hun producten, zet Nederland zich er voor in om de dual-use verordening van de EU uit te breiden. Hierdoor zou het mogelijk worden een ad-hoc vergunningplicht op te leggen voor individuele gevallen indien er aanwijzingen zijn dat de goederen geheel of gedeeltelijk zullen worden gebruikt voor mensenrechtenschendingen.”

NATO
Original Dutch: “NAVO”

In June 2011, the new strategic concept of NATO for cyber defense has been followed up by a policy plan. As the committee notes, NATO primarily focuses on strengthening the defensive capability regarding cyber threats. Partly due to insistence of the Netherlands, the need for enhanced information sharing, the development of a joint threat assessment and the importance of EU-NATO cooperation was included in the NATO policy. The government also believes that NATO should eventually develop a doctrine for the use of offensive cyber capabilities. A possible joint response to an attack will be decided upon through existing procedures. In the digital domain too it is not always straightforward to determine when Article 5 comes into force. This is always subject to political decisionmaking.
Original Dutch: “Het nieuwe strategisch concept van de NAVO heeft navolging gekregen in een in juni 2011 vastgesteld beleidsplan voor cyber defence. Zoals de commissie constateert, richt de NAVO zich vooral op het  versterken van het defensieve vermogen ten aanzien van cyberdreigingen. Mede op aandringen van Nederland is de noodzaak van intensievere informatie-uitwisseling, het ontwikkelen van een gezamenlijke dreigingsanalyse en het belang van EU-NAVO samenwerking in het NAVO-beleid opgenomen. Het kabinet is daarnaast van mening dat de NAVO op termijn een doctrine voor de inzet van offensieve cybercapaciteiten zou moeten ontwikkelen. Ten aanzien van een eventuele collectieve reactie op een aanval geldt dat een beslissing hierover via de bestaande procedures genomen zal worden. Ook in het digitale domein is niet altijd eenduidig vast te stellen wanneer artikel 5 in werking treedt. Dit is altijd onderwerp van politieke besluitvorming.”

European Union
Original Dutch: “Europese Unie”

The government shares the vision of the committee that the EU will benefit from an integrated, coordinated approach to digital security. Last year, the European Commission launched its internal security strategy, which identified the increasing of the level of security for citizens and business in cyberspace as one of its five strategic goals. The Dutch Parliament was informed about this on January 19th 2011 (Kamerstuk 32317 nr.32). Earlier this year, European Commissioner Kroes announced a proposal for a European internet safety strategy. The Netherlands supports these developments and will brings its expertise, for example in the area of ​​threat analysis and public-private partnership. In addition, The Netherlands advocates at the European Commission that external geopolitical aspects are given a clear place in the EU approach to digital security.
Original Dutch: “Het kabinet deelt de visie van de commissie dat de EU gebaat is bij een integrale, gecoördineerde aanpak van digitale veiligheid. Vorig jaar heeft de Europese Commissie haar interne veiligheidsstrategie gelanceerd, waarin het verhogen van het niveau van veiligheid voor burgers en bedrijfsleven in cyber space geïdentificeerd is als een van de vijf strategische doelen. Uw Kamer is hierover op 19 januari 2011 geïnformeerd (Kamerstuk 32317 nr. 32). Begin dit jaar heeft Eurocommissaris Kroes aangekondigd een voorstel te doen voor een Europese internetveiligheidsstrategie. Nederland steunt deze ontwikkelingen en zal haar expertise inbrengen, bijvoorbeeld op het gebied van dreigingsanalyse en publiek-private samenwerking. Daarnaast bepleit Nederland bij de Europese Commissie dat externe, geopolitieke aspecten een duidelijke plek krijgen bij de EU-aanpak van digitale veiligheid.”

EOF