14.8.2013   

DA

Den Europæiske Unions Tidende

L 218/8

(1)

Dette direktivs formål er at tilnærme medlemsstaternes strafferet til hinanden med hensyn til angreb på informationssystemer ved at fastsætte minimumsregler for definitionen af strafbare handlinger og de relevante sanktioner og at forbedre samarbejdet mellem de kompetente myndigheder, herunder politiet og andre specialiserede retshåndhævende myndigheder i medlemsstaterne samt kompetente specialiserede EU-agenturer og -organer, som f.eks. Eurojust, Europol og dets europæiske center for bekæmpelse af it-kriminalitet og Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA).

(2)

Informationssystemer er et centralt element i det politiske, sociale og økonomiske samspil i Unionen. Samfundet er dybt afhængigt af sådanne systemer og bliver det i stadig større udstrækning. Disse systemers funktionsdygtighed og sikkerhed i Unionen er en forudsætning for udviklingen af det indre marked og af en konkurrencedygtig og innovativ økonomi. Der bør sikres et passende beskyttelsesniveau for informationssystemer som led i en effektiv overordnet ramme for forebyggende foranstaltninger, der ledsager de strafferetlige foranstaltninger over for it-kriminalitet.

(3)

Angreb på informationssystemer, og især angreb som led i organiseret kriminalitet, er en voksende trussel såvel i Unionen som globalt, og der er i stigende grad bekymring for mulige terrorangreb eller politisk motiverede angreb på informationssystemer, der indgår i medlemsstaternes og Unionens kritiske infrastruktur. Dette udgør en trussel mod etableringen af et sikrere informationssamfund og et område med frihed, sikkerhed og retfærdighed og kræver derfor en reaktion på EU-niveau samt bedre samarbejde og koordination på internationalt niveau.

(4)

Der findes adskillige kritiske infrastrukturer i Unionen, hvis afbrydelse eller ødelæggelse ville få betydelige konsekvenser på tværs af grænserne. Det er blevet klart ud fra behovet for at øge Unionens evne til at beskytte kritisk infrastruktur, at foranstaltningerne mod it-angreb bør suppleres af strenge strafferetlige sanktioner, der afspejler disse angrebs alvorlige karakter. Kritisk infrastruktur kan forstås som aktiver, systemer eller dele deraf, der befinder sig i medlemsstaterne, og som er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner, menneskers sundhed, sikkerhed og økonomiske eller sociale velfærd, såsom kraftværker, transportnetværk og statslige netværk, og hvis afbrydelse eller ødelæggelse i væsentlig grad ville påvirke en medlemsstat som følge af, at disse funktioner ikke kan opretholdes.

(5)

Der er tegn på en tendens til stadig farligere og gentagne omfattende angreb på informationssystemer, der ofte kan være kritiske for medlemsstaterne eller for enkelte funktioner i den offentlige eller private sektor. Denne tendens falder sammen med udviklingen af stadigt mere avancerede metoder, f.eks. oprettelsen og anvendelsen af såkaldte botnet, der indebærer flere stadier af en strafbar handling, hvor hvert stadium i sig selv kan udgøre en alvorlig risiko for samfundets interesser. Dette direktiv sigter bl.a. mod at indføre strafferetlige sanktioner for oprettelse af botnet, dvs. den handling, som går ud på gennem målrettede it-angreb, at etablere fjernstyring af et betydeligt antal computere ved at inficere dem med skadelig software. Efter oprettelsen kan det inficerede netværk af computere, der udgør botnettet, aktiveres uden computerbrugerens vidende for at foretage et omfattende it-angreb, der som regel har kapacitet til at volde alvorlig skade, som omhandlet i dette direktiv. Medlemsstaterne bør kunne fastsætte, hvad der i henhold til deres nationale lovgivning og praksis udgør alvorlig skade, så som afbrydelse af systemtjenester med væsentlig betydning for offentligheden eller forårsagelse af store økonomiske omkostninger eller tab af personoplysninger eller følsomme oplysninger.

(6)

Omfattende it-angreb kan forvolde alvorlig økonomisk skade, såvel gennem afbrydelsen af informationssystemer og kommunikationsstrømme som gennem tabet eller forvanskningen af kommercielt vigtig fortrolig information eller andre data. Der bør lægges særlig vægt på at gøre innovative små og mellemstore virksomheder bevidste om trusler i forbindelse med sådanne angreb og deres sårbarhed overfor sådanne angreb som følge af deres øgede afhængighed af velfungerende og tilgængelige informationssystemer og ofte begrænsede midler til informationssikkerhed.

(7)

Fælles definitioner på dette område er vigtige for at sikre en ensartet tilgang i medlemsstaterne til anvendelsen af dette direktiv.

(8)

Der er behov for at nå frem til en fælles tilgang til gerningsindholdet af strafbare handlinger ved at indføre fælles definitioner af strafbare handlinger med hensyn til ulovlig adgang til informationssystemer, ulovligt indgreb i informationssystemer, ulovligt indgreb i data og ulovlig opfangning.

(9)

Opfangning omfatter, men er ikke nødvendigvis begrænset til, aflytning, overvågning eller kontrol af kommunikationens indhold og fremskaffelse af dataindholdet enten direkte via adgang til og brug af informationssystemerne, eller indirekte via anvendelse af elektronisk aflytning eller aflytningsudstyr ved hjælp af tekniske hjælpemidler.

(10)

Medlemsstaterne bør fastsætte sanktioner for angreb på informationssystemer. Disse sanktioner bør være effektive, stå i et rimeligt forhold til de strafbare handlingers grovhed og have afskrækkende virkning og bør omfatte fængsels- og/eller bødestraf.

(11)

Dette direktiv fastsætter strafferetlige sanktioner i det mindste i grovere tilfælde. Medlemsstaterne kan beslutte, hvilke tilfælde der ikke er grove i henhold til deres nationale lovgivning og praksis. Et tilfælde kan betragtes som mindre groft, f.eks. når den skade og/eller den fare for offentlige eller private interesser, der forårsages af den strafbare handling, såsom på et computersystems eller computerdatas integritet eller på en persons integritet, rettigheder og andre interesser, er ubetydelig eller af en sådan karakter, at der ikke er behov for at pålægge en strafferetlig sanktion inden for straffelovgivningens rammer eller pålægge strafferetligt ansvar.

(12)

Identifikation og indberetning af de trusler og risici, som it-angreb indebærer, og informationssystemers dermed forbundne sårbarhed er et vigtigt element i en effektiv forebyggelse af og reaktion på it-angreb og for forbedringen af informationssystemers sikkerhed. Incitamenter til at indberette sikkerhedsmangler kunne bidrage hertil. Medlemsstaterne bør bestræbe sig på at skabe muligheder for lovligt at afsløre sikkerhedsmangler og indberette dem.

(13)

Det er hensigtsmæssigt at fastsætte strengere sanktioner, når det er en kriminel organisation som defineret i Rådets rammeafgørelse 2008/841/RIA af 24. oktober 2008 om bekæmpelse af organiseret kriminalitet (3), der har begået angrebet på informationssystemet, når it-angrebet er meget omfattende og dermed berører et betydeligt antal informationssystemer, herunder når angrebet har til formål at oprette et botnet, eller når et it-angreb volder alvorlig skade, herunder når det udføres ved hjælp af et botnet. Det er også hensigtsmæssigt at fastsætte strengere sanktioner, når der foretages et angreb på kritisk infrastruktur i medlemsstaterne eller Unionen.

(14)

Indførelse af effektive foranstaltninger til bekæmpelse af identitetstyveri og andre identitetsrelaterede strafbare handlinger udgør et andet vigtigt element i en integreret strategi mod it-kriminalitet. Behov for EU-tiltag over for denne type kriminel adfærd kunne også overvejes i forbindelse med vurderingen af nødvendigheden af et omfattende horisontalt EU-instrument.

(15)

Rådet anførte i sine konklusioner fra samlingen den 27.-28. november 2008, at der burde udvikles en ny strategi sammen med medlemsstaterne og Kommissionen, hvori der skulle tages hensyn til indholdet af Europarådets konvention om it-kriminalitet af 2001. Konventionen udgør den retlige referenceramme for bekæmpelse af it-kriminalitet, herunder angreb på informationssystemer. Dette direktiv bygger på konventionen. Det bør betragtes som en prioritet, at medlemsstaterne hurtigst muligt fuldfører konventionens ratifikationsproces.

(16)

Under hensyn til de forskellige måder, hvorpå angreb kan foretages, og på grund af den hurtige udvikling i hardware og software, nævner dette direktiv værktøjer, som kan bruges til at begå de strafbare handlinger, der er opført i dette direktiv. Sådanne værktøjer kunne omfatte skadelig software, herunder værktøjer, der gør det muligt at oprette botnet, som bruges til at begå it-angreb. Selv om et sådant værktøj er egnet eller særligt egnet til at begå en af de i dette direktiv omhandlede strafbare handlinger, kan det være fremstillet til et lovligt formål. Drevet af behovet for at undgå kriminalisering i tilfælde, hvor sådanne værktøjer fremstilles og markedsføres til lovlige formål, såsom at teste pålideligheden af informationsteknologiprodukter eller informationssystemers sikkerhed, skal der foruden kravet om et generelt forsæt også foreligge et specifikt forsæt til, at anvende disse værktøjer til at begå en eller flere af de strafbare handlinger, der er fastlagt i dette direktiv.

(17)

Dette direktiv pålægger ikke strafferetligt ansvar, når de objektive kriterier for de strafbare handlinger, der er fastlagt i dette direktiv, er opfyldt, men handlingerne begås uden forsæt til at begå en strafbar handling, f.eks. når en person ikke ved, at der ikke har været givet tilladelse til adgang eller når en tilladt intervention har til formål at afprøve eller sikre informationssystemer, f.eks. når en virksomhed eller en leverandør udpeger en person til at afprøve styrken af sine sikkerhedssystemer. I forbindelse med dette direktiv bør kontraktlige forpligtelser eller aftaler om at begrænse adgang til informationssystemer ved hjælp af en brugerpolitik eller brugerbetingelser samt arbejdskonflikter vedrørende adgangen til og anvendelse af en arbejdsgivers informationssystemer til private formål ikke medføre et strafferetligt ansvar, når det under sådanne omstændigheder antages, at der ikke var givet tilladelse til adgang og dette udgør det eneste grundlag for straffesagen. Dette direktiv berører ikke retten til adgang til oplysninger, som fastsat i den nationale ret og EU-retten, men må samtidig heller ikke tjene som en begrundelse for ulovlig eller vilkårlig adgang til oplysninger.

(18)

Forskellige omstændigheder kan lette it-angreb, som f.eks. når gerningsmanden inden for rammerne af sit arbejde har adgang til sikkerhedssystemer, der indgår i de berørte informationssystemer. Der bør i den nationale ret tages passende hensyn til sådanne omstændigheder i forbindelse med en straffesag.

(19)

Medlemsstaterne bør i deres nationale ret fastsætte skærpende omstændigheder i overensstemmelse med de regler, som deres retssystem fastlægger med hensyn til skærpende omstændigheder. De bør sikre, at dommerne kan tage hensyn til disse skærpende omstændigheder, når de dømmer lovovertrædere. Det påhviler dommeren at vurdere disse omstændigheder sammen med de andre faktiske forhold i den pågældende sag.

(20)

Dette direktiv regulerer ikke betingelser for udøvelse af straffemyndighed med hensyn til nogen af de i direktivet omhandlede strafbare handlinger, herunder en anmeldelse foretaget af ofret på gerningsstedet, en angivelse fra den stat, hvor den strafbare handling blev begået, eller en manglende retsforfølgelse af gerningsmanden på gerningsstedet.

(21)

Inden for rammerne af dette direktiv er stater og offentlige organer fortsat fuldt ud forpligtet til at sikre respekten for menneskerettighederne og de grundlæggende frihedsrettigheder i overensstemmelse med gældende internationale forpligtelser.

(22)

Dette direktiv øger vigtigheden af netværk, såsom G8 eller Europarådets netværk af kontaktpunkter, der står til disposition døgnet rundt på alle ugens dage. Disse kontaktpunkter bør kunne yde effektiv bistand og derved f.eks. lette udvekslingen af tilgængelige relevante oplysninger og adgangen til teknisk rådgivning eller tilvejebringelsen af juridiske oplysninger med henblik på efterforskning eller procedurer vedrørende strafbare handlinger i forbindelse med informationssystemer og relaterede data, der involverer den anmodende medlemsstat. For at sikre netværkenes funktionsdygtighed bør hvert kontaktpunkt have kapacitet til hurtigt at kommunikere med en anden medlemsstats kontaktpunkt med støtte bl.a. fra uddannet og udrustet personale. På grund af den hastighed, hvormed der kan foretages omfattende it-angreb, bør medlemsstaterne være i stand til straks at reagere på hastende anmodninger fra netværket af kontaktpunkter. I sådanne tilfælde kan det være formålstjenligt at lade anmodningen om oplysninger ledsage af telefonisk kontakt for at sikre, at anmodningen behandles hurtigt af den anmodede medlemsstat, og at der gives en tilbagemelding inden for otte timer.

(23)

Samarbejde mellem offentlige myndigheder på den ene side og den private sektor og civilsamfundet på den anden side er af stor betydning for forebyggelsen og bekæmpelsen af angreb på informationssystemer. Det er nødvendigt at fremme og forbedre samarbejdet mellem tjenesteleverandører, producenter, retshåndhævende myndigheder og retslige myndigheder, samtidig med at retsstatsprincippet respekteres fuldt ud. Dette samarbejde kan omfatte tjenesteudbyderes bistand i forbindelse med bevarelse af eventuelle beviser, tilvejebringelse af elementer, som kan bruges til at identificere gerningsmænd og, som en sidste udvej, hel eller delvis lukning i overensstemmelse med national ret og praksis, af informationssystemer og funktioner, der er blevet inficerede eller anvendt til ulovlige formål. Medlemsstaterne bør også overveje at etablere samarbejds- og partnerskabsnetværk med tjenesteleverandører og producenter til udveksling af oplysninger om strafbare handlinger, der er omfattet af dette direktivs anvendelsesområde.

(24)

Der er et behov for at indsamle sammenlignelige data om de strafbare handlinger, der er fastsat i dette direktiv. Relevante data bør stilles til rådighed for de kompetente specialiserede EU-agenturer og -organer såsom Europol og ENISA i overensstemmelse med deres opgaver og informationsbehov for at få et mere fuldstændigt billede af problemet med it-kriminalitet og net- og informationssikkerhed på EU-plan og dermed bidrage til at finde mere effektive løsninger på problemet. Medlemsstaterne bør fremsende oplysninger om gerningsmændenes modus operandi til Europol og dets europæiske center for bekæmpelse af it-kriminalitet med henblik på at foretage trusselsvurderinger og strategiske analyser af it-kriminalitet i overensstemmelse med Rådets afgørelse 2009/371/RIA af 6. april 2009 om oprettelse af Den Europæiske Politienhed (Europol) (4). Fremsendelse af oplysninger kan fremme en bedre forståelse af aktuelle og fremtidige trusler og derved bidrage til mere relevant og målrettet beslutningstagning om bekæmpelse og forebyggelse af angreb på informationssystemer.

(25)

Kommissionen bør forelægge en rapport om anvendelsen af dette direktiv og fremsætte nødvendige forslag til retsakter som kunne føre til en udvidelse af dets anvendelsesområde under hensyntagen til udviklingen inden for it-kriminalitet. Sådanne udviklinger kan omfatte teknologiske fremskridt, f.eks. sådanne som muliggør en mere effektiv håndhævelse med hensyn til angreb på informationssystemer, letter forebyggelsen af angreb eller mindsker virkningerne heraf. Med henblik herpå bør Kommissionen tage hensyn til tilgængelige analyser og rapporter udarbejdet af relevante aktører, navnlig Europol og ENISA.

(26)

For at bekæmpe it-kriminalitet effektivt er det nødvendigt at øge informationssystemernes modstandsdygtighed ved at træffe relevante foranstaltninger til at beskytte dem mere effektivt mod it-angreb. Medlemsstaterne bør træffe de nødvendige foranstaltninger til at beskytte deres kritiske infrastruktur mod it-angreb og bør betragte beskyttelsen af deres informationssystemer og de relaterede data som et led heri. At sikre at juridiske personer sørger for et passende niveau af beskyttelse og sikkerhed for informationssystemer, f.eks. i forbindelse med adgang til offentligt tilgængelige elektroniske kommunikationstjenester i overensstemmelse med eksisterende EU-lovgivning om privatlivets fred og elektronisk kommunikation og databeskyttelse, er et centralt led i en omfattende tilgang til effektiv bekæmpelse af it-kriminalitet. Der bør leveres et passende niveau af beskyttelse mod rimeligt identificerbare trusler og sårbarheder i overensstemmelse med den nyeste udvikling i specifikke sektorer og specifikke databehandlingssituationer. Omkostninger og byrder i forbindelse med denne beskyttelse bør stå i forhold til den eventuelle skade, som et it-angreb ville påføre de berørte personer. Medlemsstaterne tilskyndes til i national ret at træffe relevante foranstaltninger om ansvarspådragelse i tilfælde, hvor en juridisk person åbenlyst har forsømt at tilvejebringe et passende beskyttelsesniveau mod it-angreb.

(27)

Betydelige mangler i og forskelle mellem medlemsstaternes lovgivning og strafferetlige procedurer om angreb på informationssystemer kan hæmme bekæmpelsen af organiseret kriminalitet og terrorisme og kan vanskeliggøre et effektivt samarbejde mellem politi og retsvæsen på dette område. Den omstændighed, at moderne informationssystemer går på tværs af landene og landegrænserne, betyder, at angreb på sådanne systemer har en grænseoverskridende dimension, hvilket understreger det presserende behov for yderligere initiativer med henblik på en indbyrdes tilnærmelse af strafferetten på området. Koordineringen af retsforfølgningen i forbindelse med tilfælde af angreb på informationssystemer bør desuden lettes ved passende gennemførelse og anvendelse af Rådets rammeafgørelse 2009/948/RIA af 30. november 2009 om forebyggelse og bilæggelse af konflikter om udøvelse af jurisdiktion i straffesager (5). Medlemsstaterne bør i samarbejde med Unionen ligeledes bestræbe sig på at forbedre det internationale samarbejde om informationssystemers, computernetværks og edb-datas sikkerhed. I alle internationale aftaler, der omhandler dataudveksling, bør der tages behørigt hensyn til dataoverførsels- og datalagringssikkerhed.

(28)

Forbedret samarbejde mellem de kompetente retshåndhævende myndigheder og retslige myndigheder i Unionen er afgørende for en effektiv bekæmpelse af it-kriminalitet. I den forbindelse bør der tilskyndes til en øget indsats for passende uddannelse af de relevante myndigheder for at øge forståelsen af it-kriminalitet og dens følger og fremme samarbejde og udveksling af bedste praksis, f.eks. via de kompetente specialiserede EU-agenturer og -organer. Denne uddannelse bør bl.a. sigte mod at øge opmærksomheden om de forskellige nationale retssystemer, eventuelle juridiske og tekniske udfordringer ved strafferetlige efterforskninger og fordelingen af beføjelser mellem de relevante nationale myndigheder.

(29)

Dette direktiv respekter menneskerettighederne og de grundlæggende frihedsrettigheder og overholder de principper, som især er anerkendt i Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, herunder beskyttelsen af personoplysninger, retten til privatlivets fred, ytrings- og informationsfrihed, retten til en retfærdig rettergang, uskyldsformodningen og retten til et forsvar samt legalitetsprincippet og princippet om proportionalitet mellem strafbar handling og straf. Dette direktiv tilsigter især at sikre, at disse rettigheder og principper respekteres fuldt ud, og skal gennemføres i overensstemmelse hermed.

(30)

Beskyttelsen af personoplysninger er, i henhold til artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde og artikel 8 i chartret om grundlæggede rettigheder, en grundlæggende rettighed. Derfor bør enhver behandling af personoplysninger i forbindelse med gennemførelsen af dette direktiv fuldt ud overholde relevant EU-ret om databeskyttelse.

(31)

I medfør af artikel 3 i protokollen om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, har disse medlemsstater meddelt, at de ønsker at deltage i vedtagelsen og anvendelsen af dette direktiv.

(32)

I medfør af artikel 1 og 2 i protokollen om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af dette direktiv, som ikke er bindende for og ikke finder anvendelse i Danmark.

(33)

Målene for dette direktiv, nemlig at underkaste angreb på informationssystemer i alle medlemsstaterne strafferetlige sanktioner, der er effektive, står i et rimeligt forhold til de strafbare handlingers grovhed og har afskrækkende virkning, og at forbedre og fremme samarbejdet mellem retslige og andre kompetente myndigheder, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor på grund af deres omfang eller virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå disse mål.

(34)

Dette direktiv sigter mod at ændre og udvide bestemmelserne i Rådets rammeafgørelse 2005/222/RIA af 24. februar 2005 om angreb på informationssystemer (6). Eftersom de ændringer, der skal foretages, er væsentlige, både hvad angår antal og karakter, bør rammeafgørelse 2005/222/RIA af hensyn til klarheden erstattes i sin helhed i forhold til de medlemsstater, der deltager i vedtagelsen af dette direktiv —

a)

et edb-program, der hovedsagelig er beregnet eller tilpasset til at begå en af de strafbare handlinger i artikel 3-6

b)

edb-password, adgangskoder eller tilsvarende data, hvorved der kan opnås adgang til et helt informationssystem eller en del heraf.

a)

de er begået inden for rammerne af en kriminel organisation som defineret i rammeafgørelse 2008/841/RIA uanset den deri fastsatte straf

b)

de forvolder alvorlig skade, eller

c)

de er begået mod et kritisk infrastruktur-informationssystem.

a)

en beføjelse til at repræsentere den juridiske person

b)

en bemyndigelse til at træffe beslutninger på den juridiske persons vegne

c)

en bemyndigelse til at udøve intern kontrol inden for den juridiske person.

a)

udelukkelse fra offentlige ydelser eller tilskud

b)

midlertidigt eller varigt forbud mod at udøve erhvervsvirksomhed

c)

anbringelse under retsligt tilsyn

d)

tvangsopløsning efter retskendelse

e)

midlertidig eller permanent lukning af forretningssteder, der er blevet brugt til at begå den strafbare handling.

a)

helt eller delvis på dens område, eller

b)

af en af dens statsborgere, i det mindste i de tilfælde, hvor handlingen er en strafbar handling dér, hvor den blev begået.

a)

gerningsmanden begår den strafbare handling, mens vedkommende fysisk befinder sig på dens område, uanset om den strafbare handling er rettet mod et informationssystem på dens område, eller

b)

den strafbare handling begås mod et informationssystem på dens område, uanset om gerningsmanden på gerningstidspunktet fysisk befinder sig på dens område.

a)

gerningsmanden har sit sædvanlige opholdssted på dens område, eller

b)

den strafbare handling er begået til fordel for en juridisk person, som har sit hjemsted på dens område.