52008DC0448

[pic] | AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA |

Brüsszel, 14.7.2008

COM(2008) 448 végleges

A BIZOTTSÁG JELENTÉSE A TANÁCSNAK

az információs rendszerek elleni támadásokról szóló 2005. február 24-i tanácsi kerethatározat 12. cikke alapján

1. BEVEZETÉS

1.1. Háttér

E jelentés célja értékelni, hogy a tagállamok nemzeti jogukban helyesen hajtották-e végre az információs rendszerek elleni támadásokról szóló 2005/222/IB tanácsi kerethatározatot[1] (a továbbiakban: a kerethatározat).

A kerethatározat fő célkitűzése[2] a tagállamok igazságügyi és egyéb hatóságai – köztük a rendőrség és egyéb bűnüldözési szakszolgálatok – közötti együttműködés fejlesztése a tagállamok büntető jogszabályainak az információs rendszerek elleni támadások terén történő közelítése révén. E célkitűzés megvalósítása érdekében a kerethatározatnak egyéb uniós és nemzetközi jogszabályokat kell kiegészítenie, valamint azokra építenie (ilyen különösen az Európa Tanács számítógépes bűnözésről szóló egyezménye[3]).

A kerethatározat elfogadása óta több ízben értek információs rendszereket támadások, amelyek mind azt támasztják alá, hogy az ilyen támadásokat szorosabb európai koordináció révén kell megválaszolni. Az Észtország információs infrastruktúráját megbénító 2007. májusi támadás még éppen időben ébresztett rá mindenkit arra, mennyire pusztítóak lehetnek e támadások.

Következésképpen a kerethatározat elfogadása óta egyre erősebb az arra irányuló igény, hogy a kerethatározatot valamennyi tagállam teljes körűen és megfelelően hajtsa végre. E jelentés időszerűségét még inkább hangsúlyozza a számítógépes bűnözés elleni küzdelemre tett azon utalás, amely a Bel- és Igazságügyi Tanács legutóbbi ülésén[4] kibocsátott következtetéseiben található, valamint az a kijelentés, miszerint a Tanács várja a Bizottságtól érkező végrehajtási jelentést.

1.2. Tájékoztatás és válaszok

A kerethatározat 12. cikkének (2) bekezdése kötelezi a tagállamokat, hogy 2007. március 16-ig juttassák el valamennyi olyan rendelkezésük szövegét, amelyek révén a kerethatározatban előírt kötelezettségeket nemzeti jogukba átültetik. Az előírt határidőig csupán egy tagállam (Svédország) juttatta el a Bizottságnak egy nemzeti jogszabály szövegét, és még nem is teljes egészében. A Bizottság ezért emlékeztetőben szólította fel a tagállamokat, hogy küldjék meg a kerethatározat átültetését célzó összes nemzeti rendelkezésük szövegét, továbbá a kerethatározat végrehajtásával kapcsolatosnak ítélt valamennyi információt.

A június 1-jei határidőre a Bizottság 23 tagállamtól kapott tájékoztatást vagy az emlékeztetőre adott választ. Nem érkezett válasz Máltától, Lengyelországtól[5], Szlovákiától és Spanyolországtól . Ezenfelül az Írországtól, Görögországtól és az Egyesült Királyságtól kapott válasz – amint az érintett kormányok el is ismerték – semmiféle értékelést nem tesz lehetővé az ezen államokban zajló végrehajtás tekintetében, mivel a végrehajtás ezen országokban késlekedik.

Az említett hét tagország tehát nem teljesítette a kerethatározat 12. cikkének (2) bekezdésében említett tájékoztatási kötelezettségét. E jelentés következésképpen csak a többi 20 tagállam nemzeti jogának értékelését tartalmazza.

1.3. Módszer és értékelési szempontok

E jelentés a tagállamok által szolgáltatott információkon alapul. Mindazonáltal a szükséges adatok egy része hiányzik, így a jelentésben adott értékelés és az abból levont következtetések részben hiányos információkra alapulnak.

Az Európai Unióról szóló szerződés 34. cikke (2) bekezdésének b) pontja értelmében a kerethatározatok az elérendő célokat illetően kötelezőek a tagállamokra, azonban a forma és az eszközök megválasztását a nemzeti hatóságokra hagyják. Az irányelvekre tekintettel néhány általános kitételt dolgoztak ki annak objektív értékelésére, hogy azt egy adott tagállam teljes mértékben végrehajtotta-e. E kitételek értelemszerűen alkalmazhatók a kerethatározatokra is. E kritériumok között szerepel különösen az, hogy a kerethatározatot végrehajtó szabályoknak a kerethatározat céljait tekintve hatékonyan kell működniük, meg kell felelniük az egyértelműség és jogbiztonság követelményeinek, biztosítaniuk kell a szöveg teljes körű, érthető és pontos alkalmazását, valamint az előírt időn belüli végrehajtást.

E jelentés a kerethatározat büntetőjogi rendelkezéseinek alaki végrehajtására összpontosít. E szabályok tényleges alkalmazása azonban meghaladja e jelentés kereteit.

2. ÉRTÉKELÉS

2.1. A végrehajtás általános értékelése

A kerethatározatot a 20 tagállamban meglehetősen eltérően hajtották végre. A legtöbb tagállamban a nemzeti jogszabály szövegezése közel áll a kerethatározatban használthoz. Másutt közvetettebb és általánosabb végrehajtási módot alkalmaztak. Ez számos esetben megnehezíti az alkalmazott jogi fogalmak és kifejezések összevetését. Lehetőségein belül e jelentés figyelembe veszi a tagállamok általános büntetőjogát, és kitér az e megközelítéssel kapcsolatos valamennyi problémás megoldásra.

2.2. Fogalommeghatározások (1. cikk)

A 20 tagállam nem nyújtott egyértelmű, illetve teljes körű tájékoztatást arról, hogy nemzeti jogukban hogyan alkalmazták a kerethatározatban szereplő fogalommeghatározásokat. Az általános tájékoztatásból azonban egyértelműen kitűnik, hogy a nemzeti jogban szereplő fogalommeghatározások jól megfelelnek a kerethatározatnak.

2.3. Információs rendszerekhez való jogsértő hozzáférés (2. cikk)

A Bizottság szerint mind a 20 tagállam belefoglalta nemzeti jogába a fő kötelezettséget, azaz hogy a valamely információs rendszerhez vagy annak egy részéhez való szándékos jogosulatlan hozzáférés bűncselekménynek minősül.

Az első bekezdés utolsó mondata lehetővé teszi a tagállamok számára, hogy az ilyen magatartást csak akkor minősítsék bűncselekménynek, ha megvalósul a „legalább a jelentősebb esetekben” feltétel. A következő tagállamok többé-kevésbé határozott formában ezt a megoldást választották azon az alapon, hogy az alábbiakban ismertetendő modellek megfeleljenek a „legalább a jelentősebb esetekben” fordulatnak:

- Ausztriában a büntetőjogi felelősség jogi feltétele az, hogy a számítógépes kémkedésnél és a haszonszerzés vagy károkozás érdekében történő adatszerzésnél fenn kell állnia a szándékosságnak,

- a Cseh Köztársaság a jogsértő hozzáférést csak akkor tekinti bűncselekménynek, ha a megszerzett adattal ezt követően visszaélnek, vagy az adatokat megrongálják,

- Finnországban a büntetőjogi felelősség feltétele az, hogy a jogosulatlanul megszerzett adatot „veszélyeztessék”,

- Lettországban a jogsértő hozzáférés csak akkor bűncselekmény, „ha ezáltal jelentős kár keletkezik”.

A „legalább a jelentősebb esetekben” fordulat különös értelmezésére van szükség annak értékeléséhez, hogy e modellek megfelelnek-e a kerethatározatnak. Ezen értelmezés annak megállapításához kell, hogy a tagállamok legalább alakilag átvették-e azon elemeket, amelyek a kerethatározat szándékának megfelelő bűncselekménnyé nyilvánítás lényegét képezik. A 2. cikk célja az információs rendszerek titkosságának védelme. Ennek megfelelően a Bizottság úgy véli, hogy a nem „jelentősebb eset” fordulatnak olyan esetekre kell utalnia, amelyekben a jogsértő hozzáférés kisebb jelentőségű volt, vagy amelyekben az információs rendszer titkosságának megsértése kisfokú volt. A fent említett, vonatkozó osztrák, cseh, finn és lett szabályokban szereplő részletkörülményeket – például azt, hogy különös bűnelkövetési szándék áll fenn, illetve különös kockázat vagy kár keletkezik – nem lehet a fenti értelmezéssel összhangban lévőnek tekinteni. A Bizottságnak tehát komoly fenntartásai vannak a téren, hogy a kérdéses osztrák, cseh, finn és lett rendelkezések megfelelnek-e a kerethatározat felfogásának a „legalább a jelentősebb esetekben” fordulat vonatkozásai tekintetében.

Általánosabban véve az ilyen eltérés az értelmezés és azon lehetőség alkalmazása terén, hogy egyes cselekményeket esetleg nem nyilvánítanak bűncselekménynek, komolyan veszélyezteti a tagállami büntetőjogi szabályok közelítésére irányuló célkitűzést az információs rendszerek elleni támadások tekintetében.

A Bizottság következésképpen úgy véli, hogy a 20 tagállam közül csak 16 bizonyította, hogy megfelelően végrehajtotta a kerethatározat 2. cikkét.

A 2. cikk (2) bekezdése értelmében a tagállamok határozhatnak úgy, hogy az (1) bekezdésben említett magatartás csak akkor minősüljön bűncselekménynek, ha azt valamely biztonsági intézkedés megsértése által követték el. Ezzel a lehetőséggel a 20 tagállam közül 7 élt ( Ausztria, Finnország, Németország, Magyarország, Olaszország, Lettország és Litvánia ).

2.4. Rendszerbe való jogsértő beavatkozás (3. cikk)

A Bizottság véleménye szerint mind a 20 tagállam átültette a fő kötelezettséget, azaz hogy meghozza a szükséges intézkedéseket annak érdekében, hogy valamely információs rendszer működésének számítógépes adatok bevitele, továbbítása, megrongálása, törlése, minőségi rontása, megváltoztatása, elrejtése vagy hozzáférhetetlenné tétele révén történő szándékos és súlyos akadályozása vagy megszakítása bűncselekménynek minősüljön.

Mindazonáltal ezen értékelés alátámasztása érdekében szükség lehet azon tagállamok gyakorlatának további elemzésére, amelyek a viszonylag általános rendelkezések alkalmazását választották a kerethatározat e részletes cikkének végrehajtására. Erre példa Dánia esete, amely azt állítja, hogy csak a tulajdon valamennyi típusának tönkretételét, megrongálását vagy törlését érintő nagyon általános jogi rendelkezés fedi le az említett cikkben felsorolt valamennyi feltételt. Noha ez a megközelítést elvben elfogadható, az ilyen rendelkezés alkalmazhatóságának mértékét a jogsértő hozzáférés tekintetében meg lehet kérdőjelezni, különösen olyan esetben, ahol a kár csak ideiglenes jellegű[6].

A 3. cikk utolsó mondata lehetővé teszi a tagállamok számára, hogy az ilyen magatartást csak akkor minősítsék bűncselekménynek, ha megvalósul a „legalább a jelentősebb esetekben” feltétel. Ezzel a lehetőséggel hat tagállam élt, amelyek többé-kevésbé határozott módon azt állították, hogy a következő modellek lefedik az említett körülményeket:

- az osztrák jog a beavatkozást csak „súlyos” esetekben nyilvánítja bűncselekménynek,

- a cseh jog szerint a kárt vagy veszteséget szándékosan kell okozni[7],

- a német jog előírja, hogy a beavatkozást elszenvedő információs rendszernek „harmadik fél számára jelentős fontosságúnak” kell lennie,

- az észt jog a büntetőjogi felelősség feltételéül azt határozza meg, hogy „jelentős kárt … okozzon”,

- a litván jog csak azon eseteket nyilvánítja bűncselekménynek, „ahol … károkozás történik”,

- a litván jog a beavatkozást csak akkor nyilvánítja bűncselekménynek, ha „a védőrendszereket megrongálják, tönkreteszik vagy széles körű veszteséget okoznak”.

Újból meg kell említeni, hogy a „legalább a jelentősebb esetekben” fordulat pontosabb értelmezésére van szükség annak értékeléséhez, hogy a fenti modellek megfelelnek-e a kerethatározatnak. Ennek szükségességét a fenti 2.3. pontban, a 2. cikk tekintetében már kifejtettük.

A 3. cikk célja az információs rendszerek integritásának védelme. Ennek megfelelően a Bizottság azon a véleményen van, hogy a nem „jelentősebb eset” fordulatnak olyan esetekre kell utalnia, amelyekben az információs rendszerbe való beavatkozás kisebb jelentőségű volt, vagy amelyekben az információs rendszer integritásába való beavatkozás kisfokú volt. A fent említett osztrák, észt és litván szabályok úgy tűnik, éppen e körülményekre irányulnak, és összhangban lévőnek kell őket tekinteni azon követelménnyel, hogy csak a kisebb jelentőségű beavatkozást szabad kizárni a bűncselekménynek minősítés köréből.

Mindazonáltal a vonatkozó német szabály harmadik fél számára fennálló fontosságra utal, a litván szabály pedig a védőrendszer megrongálására, illetve széles körű veszteségre. A Bizottság szerint e rendelkezések nem kapcsolódnak kielégítő módon az információs rendszerek integritásához, így nem lehet értékelni, hogy megfelelnek-e a kerethatározatban megfogalmazott azon lehetőségnek, hogy a büntetendőnek nyilvánítás köréből kizárhatók azok az esetek, amelyek nem tartoznak a „legalább a jelentősebb esetek” körébe; a Bizottság továbbá úgy véli, hogy ez nem felel meg a kerethatározat azon céljának, miszerint közelíteni kívánja a tagállamok információs rendszerek elleni támadásokra vonatkozó büntetőjogi szabályait.

Általánosabban véve az ilyen eltérés az értelmezés és azon lehetőség alkalmazása terén, hogy egyes magatartásokat esetleg nem nyilvánítanak bűncselekménynek, komolyan veszélyezteti a tagállami büntetőjogi szabályok közelítésére irányuló célkitűzést az információs rendszerek elleni támadások tekintetében.

Következésképpen a Bizottság szerint a 20 tagállam közül csak 18 bizonyította, hogy megfelelően végrehajtotta a kerethatározat 3. cikkét.

2.5. Adatokba való jogsértő beavatkozás (4. cikk)

A Bizottság véleménye szerint mind a 20 tagállam átültette a fő kötelezettséget, azaz hogy meghozza a szükséges intézkedéseket annak érdekében, hogy a valamely információs rendszer számítógépes adatainak szándékos törlése, megrongálása, minőségi rontása, megváltoztatása, elrejtése vagy hozzáférhetetlenné tétele bűncselekménynek minősüljön. Számos tagállam egyetlen nemzeti rendelkezésben hajtotta végre a 3. és 4. cikket. Dánia esetében azonban a Bizottság most sincs meggyőződve arról, hogy csak a tulajdon valamennyi típusának tönkretételét, megrongálását vagy törlését érintő nagyon általános jogi rendelkezésről lehet feltételezni, hogy lefedi az említett cikkben felsorolt számítógépes adatokkal kapcsolatos cselekményeket. E kérdés rövid tárgyalásához vissza kell utalnunk a 2.4. pontban a 3. cikk vonatkozásában tett észrevételekre.

Az említett cikk utolsó mondata lehetővé teszi a tagállamok számára, hogy az ilyen magatartást csak akkor minősítsék bűncselekménynek, ha megvalósul a „legalább a jelentősebb esetekben” feltétel. Ezzel a lehetőséggel három tagállam élt, amely többé-kevésbé határozott módon állította, hogy a következő modellek lefedik az említett körülményeket:

- a cseh jog szerint a kárt vagy veszteséget szándékosan kell okozni[8],

- az észt jog feltételül azt határozza meg, hogy „jelentős kárt … okozzon”,

- a litván jog (a büntető törvény 243. cikke) azt a feltételt írja elő, hogy „a védőrendszereket megrongálják, tönkreteszik vagy széles körű veszteséget okoznak”.

A 2.4. pontban már felvázoltak szerint a kerethatározat 3. cikkét végrehajtó azonos rendelkezések tekintetében a Bizottság úgy véli, hogy e tekintetben a cseh jog megfelel a kerethatározatnak, és az észt jogról is ezt kell feltételezni. Az előzőknek megfelelően Lettországot nem lehet úgy tekinteni, hogy eleget tett volna a kerethatározat e pontja szerinti kötelezettségeinek.

A Bizottság szerint a 20 tagállam közül 19 bizonyította, hogy megfelelően végrehajtotta a kerethatározat 4. cikkét.

2.6. Felbujtás, bűnrészesség, bűnpártolás és kísérlet (5. cikk)

A Bizottság véleménye szerint a fő kötelezettséget, azaz hogy a felbujtás, bűnrészesség, bűnpártolás és kísérlet bűncselekménynek minősüljön, a 20 tagállamból 18 elvben teljesítette. Finnország és Portugália olyan nemzeti szabályokat jelentett be, amelyek csak a kísérletet érintik, így nem bizonyították, hogy nemzeti jogukban eleget tettek-e a felbujtás, bűnrészesség és bűnpártolás bűncselekménnyé nyilvánítására vonatkozó kötelezettségüknek. Svédország nem ír elő büntetést a felbujtás, bűnrészesség, bűnpártolás és kísérlet kisebb súlyú eseteire. Ez a megközelítés nem áll összhangban a kerethatározatban foglalt követelményekkel.

A tagállamok határozhatnak úgy, hogy az információs rendszerekhez való jogsértő hozzáférés elkövetésére irányuló kísérlet esetén nem alkalmazzák ezt a kötelezettséget. Németország és Szlovénia bejelentette, hogy élni kíván ezzel a lehetőséggel.

A Bizottság ennélfogva úgy tekinti, hogy az 5. cikket a 20 tagállamból 17 hajtotta végre megfelelően.

2.7. Szankciók és súlyosító körülmények (6–7. cikk)

A Bizottság véleménye szerint mind a 20 tagállam gondoskodott arról, hogy a kerethatározat 2–5. cikkében említett bűncselekményeket hatékony, arányos és visszatartó erejű büntetőjogi szankciókkal sújtsák[9]. A rendszerbe való jogsértő beavatkozásra és az adatokba való jogsértő beavatkozásra előírt szankciók szintén megfelelnek a kerethatározat 6. cikkének (2) bekezdésében foglalt különös feltételeknek.

Változatosabb a kép a „súlyosító körülmények” figyelembevételére irányuló kötelezettség tekintetében azon bűncselekményeknél, amelyeket bűnszervezetben (7. cikk) követnek el:

- az Ausztria által bejelentett rendelkezések egyértelműen nem tesznek eleget a kerethatározatban előírt ezen kötelezettségnek,

- a dán jog nem említi külön a bűnszervezeteket,

- Finnországban a vonatkozó jogszabályban nem említik a bűnszervezeteket,

- Portugáliának ki kell néhány helyen igazítania jogszabályait, hogy teljes mértékben megfeleljenek a kerethatározatnak.

Vannak olyan tagállamok ( Bulgária, Olaszország, Lettország és Svédország ), amelyek a Bizottsághoz bejelentett rendelkezésekben nem tesznek utalást a „bűnszervezet” fordulatra. Mindazonáltal a bejelentett jogszabályszövegek azt mutatják, hogy Bulgária, Olaszország és Lettország nemzeti rendelkezései – bár közvetve, de – teljes mértékben lefedik azon kötelezettséget, mely szerint súlyosabb szankciókat kell alkalmazni azon bűncselekmények esetén, amelyek elkövetésében bűnszervezetek is részesek. E tagállamokban a kérdéses bűncselekmények valamennyi formájára vonatkozó hatályos rendelkezések a kerethatározat 7. cikkében említett súlyosabb legalacsonyabb büntetési tételt írják elő. A svéd kormány az állítja, hogy a bűnszervezetben elkövetett bűncselekményekre teljes mértékben kiterjed a svéd jogban súlyosító körülményként alkalmazott „súlyos bűncselekmény” fordulat, és e tekintetben részletes magyarázattal szolgált.

Következésképpen a Bizottság úgy tekinti, hogy a 6. cikket mind a 20 tagállam megfelelően végrehajtotta, valamint hogy 16 tagállam tett eleget a kerethatározat 7. cikkében foglalt kötelezettségeknek.

2.8. Jogi személyek felelőssége és a jogi személyekkel szemben alkalmazható szankciók (8. és 9. cikk)

A Bizottság véleménye szerint a 20 tagállamból 16 egyértelműen meghozta a szükséges intézkedéseket annak biztosítása érdekében, hogy a jogi személyek felelősségre vonhatók legyenek a 2., 3., 4. és 5. cikkben említett bűncselekményekért, amennyiben fennállnak a 8. cikk (1) bekezdésében említett körülmények.

A Cseh Köztársaság[10], Lettország és Luxemburg[11] még nem teljesítette azon kötelezettségét, mely szerint valamennyi vonatkozó jogszabályát be kell jelentenie a Bizottságnak.

Észtország állítása szerint a polgári jogi felelősségre vonatkozó saját szabályai a 8. cikk (1) bekezdésében említett valamennyi esetet lefedik, de e szabályokat nem ismertette részletesen a Bizottsággal. Nem áll fenn kötelezettség a kérdéses felelősség jellegét tekintve, és a közigazgatási vagy polgári jogi felelősségre vonatkozó nemzeti szabályok – amennyiben teljesen megfelelnek a 8. cikknek – elméletben elegendőek lehetnek. Mindazonáltal Észtország nem adott magyarázatot arra, miképpen fedi le a polgári jogi felelősségre vonatkozó jogszabály a kerethatározatban előírt kötelezettségeket.

A 8. cikk (2) bekezdése annak biztosítására kötelezi a tagállamokat, hogy a jogi személyt felelősségre lehessen vonni abban az esetben, ha az (1) bekezdésben említett személy által gyakorolt felügyelet vagy ellenőrzés hiánya tette lehetővé, hogy a jogi személynek alárendelt személy a jogi személy javára a 3. cikkben említett bűncselekményeket elkövesse. A Bizottság véleménye szerint a 20 tagállamból 10 felelt meg ennek a követelménynek. A Cseh Köztársaság, Észtország, Lettország és Luxemburg mellett – ahol a 8. cikk (1) bekezdésére vonatkozó megállapítások a 8. cikk (2) bekezdésére is érvényesek – Dánia, Finnország, Franciaország és Portugália sem mutatta be a jogi személyek felelősségét érintő, vonatkozó szabályokat. Franciaország kijelentette, hogy ez a felelősség a polgári jogi felelősség szabályaiból következik, de nem szolgált magyarázattal az említett felelősség pontos tartalmáról.

A 9. cikk értelmében a tagállamok megteszik a szükséges intézkedéseket annak érdekében is, hogy a 8. cikk (1) és (2) bekezdése alapján felelősséggel tartozó jogi személy hatékony, arányos és visszatartó erejű szankciókkal legyen sújtható. Mind a 14 tagállam, amely a 8. cikk (1) bekezdését megfelelően végrehajtó intézkedéseket jelentett be, valamint az a 10 tagállam, amely teljesítette a 8. cikk (2) bekezdéséből eredő kötelezettségeit, szintén eleget tett e kötelezettségének.

A Bizottság következésképpen úgy véli, hogy a 20 tagállam közül csak 12 bizonyította, hogy megfelelően végrehajtotta a kerethatározat 8. és 9. cikkét.

2.9. Joghatóság (10. cikk)

A Bizottság szerint a 20 tagállamból 17 teljesítette azon kötelezettségét, mely szerint meg kell állapítania joghatóságát a 2., 3., 4. és 5. cikkben említett bűncselekmények tekintetében (a 10. cikkben meghatározott különös feltételek alapján). Noha a joghatóság kérdésére vonatkozó jogalkotás tagállamonként különféle módszerei az összehasonlítást megnehezítik, a Bizottság véleménye szerint az említett cikk végrehajtása jól sikerült. Lettország és Portugália nem tett eleget azon kötelezettségének, hogy tájékoztatnia kell a Bizottságot a 10. cikket végrehajtó nemzeti szabályairól.

Az (5) bekezdésben említett lehetőséggel – mely szerint a tagállamok határozhatnak úgy, hogy nem alkalmazzák, illetve csak egyedi esetekben vagy különleges körülmények fennállása esetén alkalmazzák az (1) bekezdés b) és c) pontjában a joghatóságra vonatkozóan meghatározott szabályokat – Franciaország élt és nyújtott be erről tájékoztatást (az (1) bekezdés b) pontja tekintetében), valamint így járt el Ausztria, Finnország, Németország, Magyarország és Litvánia is (az (1) bekezdés b) pontja tekintetében). Úgy tűnik, Olaszország is alkalmazta az (1) bekezdés b) és c) pontját, valamint Észtország és Románia az (1) bekezdés c) pontját, noha ezt hivatalosan még nem erősítették meg. Ausztria – a Bizottságnak nyújtott tájékoztatása szerint – még nem döntötte el, hogy továbbra is élni kíván-e ezzel a lehetőséggel.

A Bizottság ennélfogva úgy tekinti, hogy a 10. cikket a 20 tagállamból 17 hajtotta végre megfelelően.

2.10. Információcsere (11. cikk)

A tagállamok kötelessége biztosítani, hogy a meglévő, a hét minden napjának huszonnégy órájában rendelkezésre álló operatív kapcsolattartási hálózatot igénybe vegyék. A Bizottsághoz nem érkezett olyan információ, amely alapján értékelni tudná, hogy ez a kerethatározat tekintetében ténylegesen megvalósul-e Belgiumban, a Cseh Köztársaságban, Németországban, Olaszországban, Hollandiában, Portugáliában és Szlovéniában .

Azon kötelezettség tekintetében, mely szerint a kijelölt kapcsolattartóról tájékoztatni kell a Tanács Főtitkárságát és a Bizottságot (a 11. cikk (2) bekezdése), a Bizottság nem kapott egyértelmű tájékoztatást Ausztriától, Bulgáriától, Olaszországtól és Portugáliától .

A Bizottság következésképpen úgy véli, hogy a 20 tagállam közül csak 11 bizonyította, hogy megfelelően végrehajtotta a kerethatározat 11. cikkét.

3. KÖVETKEZTETÉSEK

3.1. A végrehajtás szintje

E jelentés elsőként nyújt betekintést a kerethatározat tagállami végrehajtásába. Megerősíti, hogy jelentős eltérések vannak azon módszerekben, amelyek révén a tagállamok végrehajtották a büntetőjogi szabályozást, és így a gyakorlati alkalmazás megfigyelése nélkül nehéz teljes mértékben értékelni a nemzeti szabályozást.

A Bizottság megjegyzi, hogy a kerethatározat végrehajtása még mindig folyik a tagállamokban. Gyakorlatilag jelentős előrehaladás történt az e jelentésben értékelt mind a 20 tagállamban, és a Bizottság viszonylag jónak tartja a végrehajtás szintjét.

Nyilvánvalóan a Bizottság számára a legtöbb aggodalmat az a hét tagállam jelenti, amelyek még semmilyen végrehajtási intézkedést nem jelentettek be. A Bizottság felkéri azon tagállamokat, amelyek még nem hajtották végre a kerethatározatot nemzeti rendelkezéseikben, hogy a lehető leghamarabb orvosolják ezt a problémát. A Bizottság továbbá felkéri a tagállamokat, hogy gondosan értékeljék újra jogszabályaikat és fokozzák igyekezeteiket az információs rendszerek elleni támadásokkal szembeni küzdelem terén.

3.2. Jövőbeni fejlemények

Számos fenyegető veszélyre hívták fel a figyelmet azok a közelmúltbeli támadások, amelyek a kerethatározat elfogadása óta fordultak elő Európában, ilyenek különösen az információs rendszerek elleni kiterjedt és egyidejű támadások, valamint az ún. botnetek[12] bűnelkövetési célú fokozódó használata. A kerethatározat elfogadásakor nem e támadásokon volt a hangsúly, ezért e fejleményekre válaszul a Bizottság olyan fellépéseket fontolgat, amelyek hatékonyabban néznek szembe a botnetek miatti fenyegetéssel. Ennek keretében felmerülhet olyan tevékenységek bűncselekménnyé nyilvánítása, amelyek megkönnyítik a botnetek bűnelkövetési célú felhasználását, valamint az olyan bűncselekményekre kiszabott legkisebb büntetési tételek szigorítása, amelyeket információs rendszerek elleni kiterjedt és különösen veszélyes támadások formájában követnek el.

A Bizottság fel kíván továbbá lépni a 11. cikkben említett, éjjel-nappal elérhető kontaktpontok hatékony és megfelelő időben történő igénybevételének előmozdítása érdekében. A 2007-es komoly incidensek megerősítették az olyan gyors lefolyású, közös fellépésekre irányuló igényt, amelyekre nemzetközi szinten, gyakran magánérdekeltek részvételével kerülhetne sor az információs rendszerek elleni kiterjedt támadásokkal szemben folytatott küzdelem terén. Egy ilyen válaszadó rendszer jobb koordinációjának és következetességének előmozdítása érdekében a tagállamoknak a jövőben azt kellene átgondolniuk, hogy nem lenne-e célszerű ugyanazokat a kontaktpontokat alkalmazniuk, amelyeket az Európa Tanács/G8-hálózatban is működtetnek[13]. A Bizottság fontolóra veszi különösen, hogy uniós útmutatást állítson össze a különféle nemzetközi hálózatok igénybevételéről a csúcstechnológia területének bűnügyi kérdései terén.

[1] HL L 69., 2005.3.16., 67. o.

[2] (1) preambulumbekezdés.

[3] http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm

[4] 2007. november 8–9., lásd http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressdata/en/jha/97023.pdf

[5] Mivel a 2008. július 1-jén késedelmesen benyújtott lengyel bejelentés a szigorú közzétételi határidők miatt nem szerepelhetett e jelentésben, azt utólag, a jelentés közzétételét követő fellépésekben veszik figyelembe.

[6] Ahogyan egy másik tagállam a Bizottsághoz küldött értesítésben kiemelte.

[7] A cseh kormány kijelentette, hogy ezt a feltételt az új büntetőjogi törvény elfogadásakor elhagyják.

[8] A cseh kormány kijelentette, hogy ezt a feltételt az új büntetőjogi törvény elfogadásakor elhagyják.

[9] Meg kell jegyezni, hogy Ausztria úgy tűnik, megkérdőjelezi, vajon a rendszerbe való jogsértő beavatkozásra kirótt saját szankciói kellően visszatartó erejűek-e.

[10] A cseh kormány kijelentette, hogy e téren vannak bizonyos szabályai a polgári jogi felelősség tekintetében, de sem e szabályok szövegét, sem pedig tartalmukat nem közölte.

[11] Az e kötelezettséget lefedő szabályokra vonatkozó javaslatot 2007-ben terjesztették a luxemburgi parlament elé, de a Bizottság nem tud a javaslat elfogadásáról.

[12] A botnet röviden olyan fertőzött számítógépek összességét jelenti, amelyeken bizonyos programok közös irányítás alapján működnek.

[13] Az Egyezmény 35. cikke.