[pic] | KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER |

Bruxelles, den 14.7.2008

KOM(2008) 448 endelig

BERETNING FRA KOMMISSIONEN TIL RÅDET

i henhold til artikel 12 i Rådets rammeafgørelse af 24. februar 2005 om angreb på informationssystemer

1. INDLEDNING

1.1. Baggrund

Formålet med denne rapport er at vurdere, om medlemsstaterne har indarbejdet Rådets rammeafgørelse 2005/222/RIA om angreb på informationssystemer[1] (herefter benævnt "rammeafgørelsen") korrekt i deres nationale lovgivning.

Rammeafgørelsens hovedmål[2] er gennem en indbyrdes tilnærmelse af medlemsstaternes strafferet på området angreb på informationssystemer at forbedre samarbejdet mellem de retlige og andre kompetente myndigheder, herunder politiet og andre medlemsstaters specialiserede retshåndhævende myndigheder. I lyset heraf er hensigten, at rammeafgørelsen skal supplere og bygge videre på andre EU-instrumenter og internationale instrumenter (navnlig Europarådets konvention om cyberkriminalitet[3]).

Siden rammeafgørelsens vedtagelse har flere på hinanden følgende kriminelle angreb på informationssystemer gentagne gange vist behovet for en tættere koordinering i EU som reaktion på denne type angreb. Det massive Denial of Service-angreb mod Estlands informationsinfrastruktur i maj 2007 mindede om, hvor skadelige og destruktive virkningerne af sådanne angreb kan være.

Som følge heraf er behovet for, at hver medlemsstat fuldstændigt og præcist gennemfører rammeafgørelsen, blevet større, siden denne blev vedtaget. At denne rapport kommer så meget desto mere belejligt understreges af den udtrykkelige henvisning til bekæmpelse af cyberkriminalitet i konklusionerne af det nylige møde i Rådet (indre og retlige anliggender)[4], hvori det også blev anført, at man så frem til at modtage Kommissionens rapport om gennemførelsen af rammeafgørelsen.

1.2. Meddelelser og svar

I medfør af rammeafgørelsens artikel 12, stk. 2, har medlemsstaterne pligt til inden 16. marts 2007 at sende teksten til de bestemmelser, der gennemfører de forpligtelser, de pålægges i rammeafgørelsen, i deres nationale lovgivning. På den dato havde kun én medlemsstat (Sverige) sendt de nationale gennemførelses bestemmelser til Kommissionen, og de var endda ufuldstændige. Kommissionen sendte derfor en påmindelse til medlemsstaterne, hvori den anmodede dem om at sende den teksten til alle de nationale bestemmelser, der gennemfører rammeafgørelsen i deres nationale lovgivning, og andre oplysninger vedrørende gennemførelsen af denne foranstaltning, som de fandt hensigtsmæssige.

Den 1. juni 2008 havde Kommissionen modtaget meddelelser eller svar på påmindelsen fra 23 medlemsstater. Den havde ingen svar fået fra Malta, Polen[5], Slovakiet og Spanien . Derudover gav svarene fra Irland, Grækenland og Det Forenede Kongerige ikke mulighed for at vurdere gennemførelsen af rammeafgørelsen i disse stater, da den var forsinket, hvilket de respektive regeringer erkendte.

De nævnte syv medlemsstater har derfor ikke opfyldt deres pligt til at meddele Kommissionen deres gennemførelsesbestemmelser i medfør af rammeafgørelsens artikel 12, stk. 2. Denne rapport indeholder følgelig kun en vurdering af lovgivningen i de øvrige 20 medlemsstater.

1.3. Metode og evalueringskriterier

Denne rapport er baseret på medlemsstaternes oplysninger. Nogle af de nødvendige oplysninger mangler dog. Som følge heraf er vurderingen og de efterfølgende konklusioner delvis baseret på ufuldstændige oplysninger.

I henhold til artikel 34, stk. 2, litra b), i traktaten om Den Europæiske Union er rammeafgørelser bindende for medlemsstaterne med hensyn til det tilsigtede mål, men overlader det til de nationale myndigheder at bestemme form og midler for gennemførelsen. For objektivt at vurdere, om en medlemsstat fuldt ud har gennemført en retsakt, er der blevet udviklet visse generelle kriterier i forbindelse med direktiver. Disse kriterier finder tilsvarende anvendelse på rammeafgørelser. De bestemmelser, der gennemfører en rammeafgørelse, skal fungere effektivt og tage hensyn til rammeafgørelsens mål, skal opfylde kravene om tydelighed og retssikkerhed, skal sikre en fuldstændig anvendelse af teksten på en tilstrækkelig klar og præcis måde og skal gennemføres inden for det fastsatte tidsrum.

I denne rapport fokuseres der hovedsageligt på den formelle gennemførelse af rammeafgørelsens strafferetlige bestemmelser. Den egentlige anvendelse af disse regler ligger uden for denne rapport.

2. EVALUERING

2.1. En generel bemærkning vedrørende gennemførelsen

Rammeafgørelsen er blevet gennemført meget forskelligt i de 20 medlemsstater. I de fleste medlemsstater ligger ordlyden i den nationale lovgivning tæt op ad den, der anvendes i rammeafgørelsen. I andre er der anvendt en mere indirekte og generel gennemførelsesmetode. Dette betyder i mange tilfælde, at de retlige begreber og udtryk, der er anvendt, ikke er let sammenlignelige. I denne rapport vil der så vidt muligt blive taget hensyn til medlemsstaternes almindelige strafferet, og der vil blive redegjort for særlige vanskeligheder i forbindelse med denne metode.

2.2. Definitioner (artikel 1)

De 20 medlemsstater fremlagde ikke klare eller fuldstændige oplysninger om, hvordan definitionerne i rammeafgørelsen var blevet anvendt i deres nationale lovgivning. Generelt er det dog tydeligt, at definitionerne i deres nationale lovgivning stemmer godt overens med rammeafgørelsen.

2.3. Ulovlig adgang til informationssystemer (artikel 2)

Kommissionen finder, at alle 20 medlemsstater har indarbejdet den vigtigste forpligtelse i deres lovgivning, dvs. at gøre det strafbart forsætligt at skaffe sig uretmæssig adgang til et informationssystem eller en del heraf.

Den sidste sætning i første stykke giver medlemsstaterne mulighed for at gøre denne adfærd strafbar "i det mindste i grovere tilfælde". Følgende medlemsstater har mere eller mindre udtrykkeligt anvendt denne mulighed, idet de nedenfor beskrevne modeller svarer til "grovere tilfælde":

- I Østrig er det retlige kriterium for, om den pågældende adfærd er strafbar, at hensigten var at foretage dataspionage og bruge de således opnåede data til økonomisk berigelse eller til at forårsage skade.

- Tjekkiet har kun gjort ulovlig adgang strafbar i de tilfælde, hvor dataene efterfølgende misbruges eller beskadiges.

- I Finland er kravet for, at denne adfærd er strafbar, at de data, der er opnået adgang til, "bringes i fare".

- I Letland er ulovlig adgang kun strafbar, "hvis dette forårsager væsentlige skader".

Der er behov for en specifik fortolkning af "grovere tilfælde" for at kunne vurdere, om disse modeller er i overensstemmelse med rammeafgørelsen. Det kræves for at fastslå, om i det mindste hovedmålet med at kriminalisere bestemt adfærd i rammeafgørelsen formelt er omfattet af medlemsstaternes lovgivning. Artikel 2 har til formål at beskytte fortroligheden i forbindelse med informationssystemerne. Kommissionen mener derfor, at begrebet "mindre grove tilfælde" skal henvise til tilfælde, hvor den ulovlige adgang er af mindre omfang, eller hvor der kun i mindre grad sker krænkelse af fortroligheden i forbindelse med informationssystemet. De tilsvarende ovenfor nævnte østrigske, tjekkiske, finske og lettiske regler omhandler omstændigheder, hvor der f.eks. har været tale om specifikt kriminelt forsæt, eller der har været specifikke risici eller er opstået specifikke skader, som ikke kan anses for at være i overensstemmelse med førnævnte udlægning. Kommissionen har derfor alvorlige forbehold over for, hvorvidt de pågældende østrigske, tjekkiske, finske og lettiske bestemmelser er i overensstemmelse med rammeafgørelsens begreb "i mindre grove tilfælde".

Mere generelt skaber sådanne divergerende fortolkninger og anvendelser af muligheden for ikke at gøre bestemte handlinger strafbare alvorlig fare for, at målet om at sikre en indbyrdes tilnærmelse af medlemsstaternes strafferetlige bestemmelser på området angreb mod informationssystemer ikke nås.

Kommissionen finder følgelig, at kun 16 af de 20 medlemsstater har vist, at de har gennemført rammeafgørelsens artikel 2 korrekt.

Artikel 2, stk. 2, giver medlemsstaterne mulighed for at beslutte, om de handlinger, der er omhandlet i stk. 1, kun er strafbare, hvis lovovertrædelsen er begået ved overtrædelse af en sikkerhedsforanstaltning. Den mulighed er blevet udnyttet i syv af de 20 medlemsstater ( Østrig, Finland, Tyskland, Ungarn, Italien, Letland og Litauen ).

2.4. Ulovligt indgreb i informationssystemer (artikel 3)

Kommissionen finder, at alle 20 medlemsstater dækker hovedforpligtelsen, dvs. at gøre det strafbart forsætligt og uretmæssigt at forårsage en alvorlig hindring eller afbrydelse af et informationssystems drift ved at indlæse eller overføre edb-data eller ved at beskadige, slette, forvanske, ændre, tilbageholde eller hindre adgang til dets edb-data.

Der kan dog være behov for en yderligere analyse af praksis i de medlemsstater, der har valgt at vedtage relativt generelle gennemførelsesbestemmelser for denne detaljerede artikel i rammeafgørelsen, for at kunne fastslå, om denne vurdering er korrekt. Det er tilfældet med Danmark , der hævder, at en meget generel retlig bestemmelse vedrørende ødelæggelse, beskadigelse eller fjernelse af alle typer formuegoder dækker alle kriterierne i denne artikel. Selv om den fremgangsmåde principielt er acceptabel, kan der stilles spørgsmålstegn ved, i hvor høj grad en sådan bestemmelser kan anvendes på angreb, navnlig i tilfælde, hvor skaden måske kun er midlertidig[6].

Den sidste sætning i artikel 3 giver medlemsstaterne mulighed for at gøre denne adfærd strafbar "i det mindste i grovere tilfælde". Den mulighed udnyttes af seks medlemsstater, der mere eller mindre udtrykkeligt har hævdet, at følgende modeller dækker sådanne omstændigheder:

- Østrigs lovgivning gør kun indgreb i "alvorlige" tilfælde strafbare.

- Ifølge Tjekkiets lovgivning kræves det, at der med forsæt forårsages skade eller tab[7].

- Ifølge Tysklands lovgivning kræves det, at det informationssystem, der udsættes for indgreb, er "af væsentlig betydning for tredjemand".

- Ifølge Estlands lovgivning er det afgørende kriterium for, om en bestemt adfærd er strafbar, at "der forårsages væsentlig skade".

- Ifølge Litauens lovgivning er kun hændelser, "der forårsager skade", strafbare.

- Ifølge Letlands lovgivning er det kun indgreb, hvor "beskyttelsessystemerne skades eller ødelægges, eller der forårsages omfattende tab", der er strafbare.

Også her kræves der en nærmere definition af "grovere tilfælde" for at kunne vurdere, om disse modeller er i overensstemmelse med rammeafgørelsen. Der er allerede blevet redegjort herfor i forbindelse med artikel 2 i afsnit 2.3 ovenfor.

Artikel 3 har til formål at beskytte informationssystemernes integritet. Kommissionen mener derfor, at begrebet "mindre grove tilfælde" skal henvise til tilfælde, hvor indgrebet i systemet som sådan er af mindre omfang, eller hvor der kun i mindre grad sker indgreb i informationssystemets integritet. De relevante østrigske, tjekkiske, estiske og litauiske regler, der er omhandlet ovenfor, ser ud til at sigte mod netop sådanne omstændigheder og skal betragtes som værende i overensstemmelse med kravet om, at kun mindre grove indgreb ikke behøver at blive gjort strafbare.

Den relevante tyske bestemmelse henviser imidlertid til betydningen for tredjemand, og den lettiske bestemmelse til skader på beskyttelsessystemerne eller omfattende tab. Kommissionen finder, at disse bestemmelsers forbindelse til informationssystemernes integritet er utilstrækkelig til, at det er muligt at vurdere, om de er i overensstemmelse med rammeafgørelsens mulighed for at ikke at gøre "mindre grove tilfælde" strafbare, og at det ikke er i overensstemmelse med rammeafgørelsens mål om at sikre en indbyrdes tilnærmelse af medlemsstaternes strafferetlige bestemmelser på området angreb på informationssystemer.

Mere generelt skaber sådanne divergerende fortolkninger og anvendelser af muligheden for ikke at gøre bestemte handlinger strafbare alvorlig fare for, at målet om at sikre en indbyrdes tilnærmelse af medlemsstaternes strafferetlige bestemmelser vedrørende angreb på informationssystemer ikke nås.

Kommissionen finder følgelig, at kun 18 af de 20 medlemsstater har vist, at de har gennemført rammeafgørelsens artikel 3 korrekt.

2.5. Ulovligt indgreb i data (artikel 4)

Kommissionen finder, at alle 20 medlemsstater har indarbejdet den vigtigste forpligtelse i deres lovgivning, nemlig at gøre det strafbart forsætligt og uretmæssigt at slette, beskadige, forvanske, ændre, tilbageholde eller hindre adgang til edb-data i et informationssystem. Mange medlemsstater har gennemført både artikel 3 og 4 i en enkelt national bestemmelse. I Danmarks tilfælde er Kommissionen igen ikke overbevidst om, at en meget generelt formuleret retlig bestemmelse vedrørende ødelæggelse, beskadigelse eller fjernelse af alle typer formuegoder kan formodes at dække alle handlinger vedrørende edb-data, der er nævnt i denne artikel. For en kort drøftelse af dette spørgsmål henvises til bemærkningerne vedrørende artikel 3 i afsnit 2.4.

Den sidste sætning i artiklen giver medlemsstaterne mulighed for at gøre denne adfærd strafbar "i det mindste i grovere tilfælde". Den mulighed udnyttes af tre medlemsstater, der mere eller mindre udtrykkeligt har hævdet, at følgende modeller dækker sådanne omstændigheder:

- Ifølge Tjekkiets lovgivning kræves det, at der med forsæt forårsages skade eller tab[8].

- Ifølge Estlands lovgivning kræves det, at "der forårsages væsentlig skade".

- Ifølge Letlands lovgivning (straffelovens artikel 243) er kriteriet, at "beskyttelsessystemerne skades eller ødelægges, eller der forårsages omfattende tab".

Som tidligere anført i afsnit 2.4 vedrørende identiske bestemmelser, der gennemfører rammeafgørelsens artikel 3, finder Kommissionen, at Tjekkiets lovgivning er og Letlands lovgivning må formodes at være i overensstemmelse med rammeafgørelsen i den henseende. I lighed med tidligere kan Letland ikke anses for at have opfyldt sine forpligtelser i medfør af denne artikel.

Kommissionen finder, at kun 19 af de 20 medlemsstater har vist, at de har gennemført rammeafgørelsens artikel 4 korrekt.

2.6. Anstiftelse, medvirken og tilskyndelse og forsøg (artikel 5)

Kommissionen finder, at hovedforpligtelsen, dvs. at sikre, at anstiftelse, medvirken og tilskyndelse og forsøg på at begå en strafbar handling er strafbart, principielt opfyldes i 18 af de 20 medlemsstater. Finland og Portugal har udelukkende givet meddelelse om deres nationale regler for så vidt angår forsøg på at begå en strafbar handling og har derfor ikke vist, at forpligtelserne hvad angår anstiftelse, medvirken og tilskyndelse er omfattet af deres nationale lovgivning. Sverige har ikke fastsat sanktioner i mindre grove tilfælde af anstiftelse, medvirken og tilskyndelse og forsøg. Denne fremgangsmåde er ikke i overensstemmelse med rammeafgørelsens krav.

Medlemsstaterne har mulighed for at beslutte ikke at håndhæve forpligtelsen til at sikre, at forsøg på at begå en strafbar handling i form af ulovlig adgang til informationssystemer er strafbar. Tyskland og Slovenien har rapporteret, at de udnytter den mulighed.

Kommissionen finder derfor, at artikel 5 er korrekt gennemført i 17 af de 20 medlemsstater.

2.7. Sanktioner og skærpende omstændigheder (artikel 6 og 7)

Kommissionen finder, at alle 20 medlemsstater har sørget for, at de strafbare handlinger, der er omhandlet i rammeafgørelsens artikel 2-5, straffes med strafferetlige sanktioner, der er effektive, står i et rimeligt forhold til den strafbare handling og har en afskrækkende virkning[9]. De sanktioner, der er fastsat for ulovligt systemindgreb og ulovligt dataindgreb opfylder også de specifikke krav i rammeafgørelsens artikel 6, stk. 2.

Situationen med hensyn til pligten til at tage hensyn til "skærpende omstændigheder" for en strafbar handling, der er begået inden for rammerne af en kriminel organisation (artikel 7), varierer mere.

- De bestemmelser, Østrig har givet meddelelse om, opfylder tydeligvis ikke denne forpligtelse.

- I Danmarks lovgivning henvises der ikke direkte til kriminelle organisationer.

- I Finland henvises der ikke til kriminelle organisationer i den relevante lov.

- Portugal er nødt til at foretage visse tilpasninger af sin lovgivning for fuldt ud af opfylde rammeafgørelsen.

Andre medlemsstater ( Bulgarien, Italien, Letland og Sverige ) henviser ikke til kriteriet "kriminelle organisationer" i de bestemmelser, der er meddelt Kommissionen. De lovtekster, der er givet meddelelse om, viser dog, at forpligtelsen til at anvende hårdere straffe for strafbare handlinger, der involverer kriminelle organisationer, allerede er fuldt dækket – om end indirekte – af de nationale bestemmelser i Bulgarien, Italien og Letland . I disse medlemsstater fastsættes der i gældende bestemmelser for alle tilfælde af de pågældende strafbare handlinger strengere minimumsstraffe end dem, der er nævnt i rammeafgørelsens artikel 7. Den svenske regering hævder, at strafbare handlinger, der begås inden for rammerne af kriminelle organisationer, fuldt ud er dækket af den skærpende omstændighed "alvorlig forbrydelse" i svensk ret, og har fremsendt en detaljeret forklaring herom.

Kommissionen finder følgelig, at artikel 6 er blevet ordentligt gennemført i alle 20 medlemsstater, og at 16 af dem opfylder forpligtelserne i rammeafgørelsens artikel 7.

2.8. Juridiske personers ansvar og sanktioner over for juridiske personer (artikel 8 og 9)

Kommissionen finder, at 16 af de 20 medlemsstater klart har truffet de foranstaltninger, der er nødvendige for at sikre, at en juridisk person kan holdes ansvarlig for de strafbare handlinger, der er omhandlet i artikel 2, 3, 4 og 5 under de omstændigheder, der er beskrevet i artikel 8, stk. 1.

Tjekkiet[10], Letland og Luxembourg[11] har ikke opfyldt deres forpligtelse til at give Kommissionen meddelelse om sådanne regler.

Estland hævder, at dets regler vedrørende civilretligt ansvar dækker alle de sager, der er beskrevet i artikel 8, stk. 1, men har ikke fremlagt nærmere detaljer om disse regler for Kommissionen. Der findes ingen forpligtelser for så vidt angår arten af det pågældende ansvar, og de nationale regler vedrørende administrativt eller civilretligt ansvar – når de er i fuld overensstemmelse med artikel 8 – kan teoretisk være tilstrækkelige. Estland har imidlertid ikke forklaret, hvordan dets lovgivning vedrørende civilretligt ansvar fuldt ud dækker forpligtelserne i medfør af rammeafgørelsen.

I henhold til artikel 8, stk. 2, har medlemsstaterne pligt til at sikre, at en juridisk person kan drages til ansvar, når manglende tilsyn eller kontrol fra den i stk. 1 omhandlede persons side har gjort det muligt for en person, der er underlagt den juridiske persons myndighed, at begå den omhandlede strafbare handling til fordel for den juridiske person. Kommissionen finder, at 10 af de 20 medlemsstater har opfyldt dette krav. Ud over Tjekkiet, Estland, Letland og Luxembourg , hvor konklusionerne vedrørende artikel 8, stk. 1, også gælder for artikel 8, stk. 2, har Danmark, Finland, Frankrig og Portugal ikke fremlagt nogen relevante bestemmelser om juridiske personers ansvar. Frankrig har anført, at dette ansvar er omfattet af reglerne for civilretligt ansvar, men har ikke forklaret det nøjagtige indhold af dette ansvar.

I medfør af artikel 9 skal hver medlemsstat også træffe de nødvendige foranstaltninger for at sikre, at en juridisk person, der kendes ansvarlig i medfør af artikel 8, stk. 1 og 2, kan pålægges sanktioner, der er effektive, står i et rimeligt forhold til den strafbare handling og har afskrækkende virkning. Alle de 14 medlemsstater, der fremlagde bestemmelser, der korrekt gennemfører artikel 8, stk. 1, og de 10 medlemsstater, der har opfyldt deres forpligtelser i medfør af artikel 8, stk. 2, har også opfyldt disse forpligtelser.

Kommissionen finder følgelig, at kun 12 af de 20 medlemsstater har vist, at de fuldt ud har gennemført rammeafgørelsens artikel 8 og 9.

2.9. Straffemyndighed (artikel 10)

Kommissionen finder, at 17 ud af de 20 medlemsstater har opfyldt deres forpligtelser til at fastlægge deres straffemyndighed med hensyn til de i rammeafgørelsens artikel 2, 3, 4 og 5 omhandlede strafbare handlinger (på grundlag af de specifikke kriterier, der er fastsat i artikel 10). Selv om de forskellige metoder til at lovgive om straffemyndighedsspørgsmål på tværs af medlemsstaterne gør det svært at foretage en sammenligning, finder Kommissionen, at artiklen er blevet gennemført godt. Letland og Portugal har ikke opfyldt deres forpligtelse til at informere Kommissionen om deres nationale bestemmelser, der gennemfører artikel 10.

Den mulighed, medlemsstaterne får i stk. 5 til at beslutte ikke at anvende reglen om straffemyndighed eller kun at anvende den i særlige tilfælde eller under særlige omstændigheder, og straffemyndighedsreglerne i stk. 1, litra b) og c), er blevet anvendt og meddelt af Frankrig (for så vidt angår stk. 1, litra b)) og Østrig, Finland, Tyskland, Ungarn og Litauen (for så vidt angår stk. 1, litra c)). Italien synes også at have gjort brug af stk. 1, litra b) og c), og Estland og Rumænien af stk. 1, litra c), selv om de ikke formelt har erkendt det. Østrig har informeret Kommissionen om, at landet stadig overvejer, om det skal fortsætte med at benytte sig af denne mulighed.

Kommissionen finder derfor, at artikel 10 er korrekt gennemført i 17 af de 20 medlemsstater.

2.10. Udveksling af oplysninger (artikel 11)

Medlemsstaterne har pligt til at sikre, at de gør brug af det bestående netværk af kontaktpunkter, der fungerer døgnet rundt, alle ugens dage. Kommissionen har ikke modtaget oplysninger, der sætter den i stand til at vurdere, om det er tilfældet i Belgien, Tjekkiet, Tyskland, Italien, Nederlandene, Portugal og Slovenien .

For så vidt angår forpligtelsen til at informere Rådets Generalsekretariat og Kommissionen om det udpegede kontaktpunkt (artikel 11, stk. 2), har Kommissionen ikke modtaget en klar meddelelse fra Østrig, Bulgarien, Italien og Portugal .

Kommissionen finder følgelig, at kun 11 af de 20 medlemsstater har vist, at de fuldt ud har opfyldt forpligtelserne i artikel 11.

3. KONKLUSIONER

3.1. Gennemførelsesgrad

Denne rapport giver et første indblik i medlemsstaternes gennemførelse af rammeafgørelsen. Den bekræfter, at medlemsstaterne har gennemført de strafferetlige bestemmelser på mange forskellige måder, og at det skaber problemer med fuldt ud at vurdere den nationale lovgivning, når der ikke ses på, hvordan den anvendes i praksis.

Kommissionen bemærker, at rammeafgørelsen stadig er under gennemførelse i medlemsstaterne. Der er blevet gjort betydelige fremskridt i praktisk talt alle 20 medlemsstater, der er vurderet i denne rapport, hvor gennemførelsesgraden anses for at være relativt god.

Kommissionens største bekymring vedrører selvfølgelig de syv medlemsstater, der endnu ikke har givet meddelelse om deres gennemførelsesbestemmelser. Den opfordrer de medlemsstater, der endnu ikke har gennemført rammeafgørelsen i deres nationale bestemmelse, til hurtigst muligt at rette op på den situation. Kommissionen opfordrer også medlemsstaterne til omhyggeligt at genoverveje deres lovgivning med henblik på at optrappe deres bestræbelser for at imødegå angreb på informationssystemer.

3.2. Den fremtidige udvikling

De nylige angreb på tværs af Europa har sat fokus på adskillige nye trusler, siden rammeafgørelsen blev vedtaget, navnlig de nye massive simultane angreb på informationssystemer og øget kriminel brug af såkaldte botnet[12]. Det var ikke disse angreb, der var i fokus, da rammeafgørelsen blev vedtaget. Som reaktion herpå vil Kommissionen overveje foranstaltninger med henblik på at finde bedre løsninger i forbindelse med de trusler, botnet udgør. Det kan indebære specifik kriminalisering af bestemte aktiviteter, som letter kriminel brug af botnet plus hårdere minimumsstraffe for strafbare handlinger, der begås i form af massive og særligt farlige angreb på informationssystemer.

Kommissionen overvejer også at træffe foranstaltninger til at fremme en effektiv og hurtig brug af de kontaktpunkter, der er nævnt i artikel 11, som fungerer døgnet rundt, alle ugens dage. De alvorlige begivenheder i 2007 viste, at der er behov for en hurtig fælles indsats – der ofte omfatter private operatører – på internationalt plan for at imødegå massive angreb på informationssystemer. For at fremme en bedre koordinering og sammenhæng i et sådant reaktionssystem bør medlemsstaterne fortsat overveje, om de samme kontaktpunkter bør anvendes som Europarådets G8-netværk[13]. Kommissionen vil navnlig overveje at afstikke EU-retningslinjer for anvendelsen af forskellige internationale netværk i forbindelse med højteknologiske kriminelle problemer.

[1] EUT L 69 af 16.3.2005, s. 67.

[2] Betragtning 1.

[3] http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm.

[4] 8.-9.11.2007, se: http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressdata/en/jha/97023.pdf.

[5] Den polske meddelelse blev første indgivet den 1. juli 2008 og kan ikke komme i betragtning på grund af de strenge frister for offentliggørelse. Den vil derfor blive taget med senere i forbindelse med foranstaltninger, som vil blive truffet efter offentliggørelsen af rapporten.

[6] Som understreget i meddelelsen til Kommissionen fra andre medlemsstater.

[7] Den tjekkiske regering har anført, at dette krav vil blive fjernet ved vedtagelsen af den nye straffelov.

[8] Den tjekkiske regering har anført, at dette krav vil blive fjernet ved vedtagelsen af den nye straffelov.

[9] Det skal bemærkes, at Østrig synes at stille spørgsmålstegn ved, om dets egne sanktioner for ulovligt systemindgreb er tilstrækkeligt afskrækkende.

[10] Den tjekkiske regering har anført, at der findes visse regler vedrørende civilretligt ansvar i den forbindelse, men den har hverken fremsendt teksten til disse regler eller beskrevet deres indhold.

[11] I 2007 blev der fremsat forslag til regler, der dækker denne forpligtelse i det luxembourgske parlament, men Kommissionen ved ikke, om de er blevet vedtaget.

[12] Begrebet "botnet" henviser til en samling af inficerede maskiner, der kører programmer, som kontrolleres af en bagmand.

[13] Konventionens artikel 35.