Formålet med EU’s direktiv om IT-kriminalitet er at bekæmpe IT-kriminalitet og øge informationssikkerheden gennem skærpede nationale lovgivninger, hårdere strafferetlige sanktioner og større samarbejde mellem de relevante myndigheder.

Europa-Parlamentets og Rådets direktiv 2013/40 af 12. august 2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA.

Direktivet indfører nye regler, der harmoniserer kriminaliseringen og sanktionerne for en række strafbare handlinger, der er rettet mod informationssystemer. Reglerne betyder, at de såkaldte botnet bliver gjort ulovlige - dvs. skadelig software, der er udviklet til at fjernstyre et netværk af computere. Direktivet opfordrer desuden EU-landene til at benytte samme kontaktpunkter som Europarådet og G8 for hurtigt at kunne reagere på trusler, der involverer avanceret teknologi.

De vigtigste typer af strafbare handlinger, der er omfattet af dette direktiv, er angreb på informationssystemer, der spænder fra denial of service-angreb, der er udviklet til at lægge en server ned, til opfangning af data og botnetangreb.

IT-kriminalitet skal bekæmpes effektivt, ikke kun inden for en given medlemsstat, men også på tværs af medlemsstater. Dette kræver:

Derfor kræver dette direktiv en tilnærmelse af de strafferetlige systemer mellem EU-landene og en styrkelse af samarbejdet mellem de retslige myndigheder vedrørende:

Under alle omstændigheder skal der være tale om en internationalt strafbar handling.

Anstiftelse til, medvirken og tilskyndelse til samt forsøg på at begå ethvert af de ovennævnte strafbare forhold vil ligeledes medføre sanktioner.

Medlemsstaterne skal sørge for, at disse strafbare forhold kan idømmes strafferetlige sanktioner, der er effektive, står i et rimeligt forhold til de strafbare handlingers grovhed og har afskrækkende virkning.

Når en strafbar handling begås i forbindelse med en kriminel organisation inden for betydningen af dette direktiv, og det forårsager betydelige tab eller berører væsentlige interesser, skal dette anses for skærpende omstændigheder. Det samme gør sig gældende, hvis der begås et strafbart forhold ved at benytte en anden persons identitet, og dette volder denne person skade.

Direktivet indfører desuden en mulighed for at drage»juridiske personer«til ansvar og fastlægger de sanktioner, der kan finde anvendelse, hvis de kan drages til ansvar.

Hvert EU-land påtager sig som minimum straffemyndighed for strafbare handlinger, når de er begået på dets område eller af en af dets statsborgere. Når flere lande har straffemyndighed over et strafbart forhold, skal de samarbejde om at afgøre, hvem af dem der skal retsforfølge gerningsmændene til de nævnte forhold.

For bedre at kunne bekæmpe IT-kriminalitet opfordrer direktivet til større internationalt samarbejde mellem retslige og retshåndhævende myndigheder.

Direktivet bygger på og erstatter Rådets rammeafgørelse 2005/222/RIA om angreb på informationssystemer. Det bygger desuden på Europarådets konvention om IT-kriminalitet fra 2001, der fungerer som model for den nationale og regionale lovgivning om IT-kriminalitet og danner et fælles grundlag for samarbejde inden for og uden for EU.

REFERENCER

Dokument	Ikrafttrædelse	Gennemførelsesdato i medlemsstaterne	Den Europæiske Unions Tidende
Direktiv 2013/40/EU	3.9.2013	4.9.2015	EUT L 218 af 14.8.2013

Rådets rammeafgørelse 2005/222/RIA af 24. februar 2005 om angreb på informationssystemer.