|
23.7.2011 |
NL |
Publicatieblad van de Europese Unie |
C 218/130 |
Advies van het Europees Economisch en Sociaal Comité over het voorstel voor een richtlijn van het Europees Parlement en de Raad over aanvallen op informatiesystemen en tot intrekking van Kaderbesluit 2005/222/JBZ van de Raad
(COM(2010) 517 definitief — 2010/0273 (COD))
2011/C 218/27
Algemeen rapporteur: de heer MORGAN
De Raad heeft op 20 januari 2011 besloten het Europees Economisch en Sociaal Comité overeenkomstig art. 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU) te raadplegen over het
Voorstel voor een richtlijn van het Europees Parlement en de Raad over aanvallen op informatiesystemen en tot intrekking van Kaderbesluit 2005/222/JBZ van de Raad
COM(2010) 517 definitief — 2010/0273 (COD)
Op 15 februari 2011 heeft het bureau van het Europees Economisch en Sociaal Comité de gespecialiseerde afdeling Vervoer, energie, infrastructuur en informatiemaatschappij met de desbetreffende voorbereidende werkzaamheden belast.
Gezien de urgentie van de werkzaamheden (art. 59 rvo) heeft het Europees Economisch en Sociaal Comité tijdens zijn op 4 en 5 mei 2011 gehouden 471e zitting (vergadering van 4 mei) de heer Morgan als algemeen rapporteur aangewezen en vervolgens onderstaand advies met 173 stemmen vóór en 1 stem tegen, bij 7 onthoudingen, goedgekeurd.
1. Conclusies en aanbevelingen
|
1.1 |
Het Comité verwelkomt het voorstel van de Commissie voor een richtlijn van het Europees Parlement en de Raad over aanvallen op informatiesystemen. Het deelt de grote zorgen van de Commissie over de omvang van cybercriminaliteit in Europa en de al bestaande en potentiële schade voor de economie en het welzijn van de burgers van deze groeiende dreiging. |
|
1.2 |
Het Comité is evenals de Commissie teleurgesteld dat tot nu toe slechts 17 van de 27 lidstaten het Verdrag inzake cybercriminaliteit van de Raad van Europa hebben geratificeerd (1). Het Comité doet een beroep op de resterende lidstaten (2) (Oostenrijk, België, de Tsjechische Republiek, Griekenland, Ierland, Luxemburg, Malta, Polen, Zweden en het Verenigd Koninkrijk) om het verdrag zo spoedig mogelijk te ratificeren. |
|
1.3 |
Het Comité deelt het standpunt van de Commissie dat er dringend een richtlijn moet komen om de definiëring van de overtredingen die typerend zijn voor aanvallen op informatiesystemen te actualiseren en om de Europese strafrechtelijke coördinatie en samenwerking te versterken ter wille van een doeltreffende aanpak van dit essentiële vraagstuk. |
|
1.4 |
Het Comité schaart zich achter het besluit van de Commissie om, gezien de dringende behoefte aan specifiek op de aanpak van aanvallen op informatiesystemen gerichte wetgeving, te kiezen voor een richtlijn en ondersteuning ervan door niet-wetgevende maatregelen die juist op dit aspect van computermisdaad een antwoord kunnen bieden. |
|
1.5 |
Maar het EESC zou er bij de Commissie op willen aandringen, zoals het al in een eerder advies heeft verklaard (3), om tegelijkertijd verder te werken aan alomvattende EU-wetgeving tegen cybercriminaliteit. Het Comité is van mening dat een alomvattend kader essentieel is voor het welslagen van de Digitale agenda en de Europa 2020-strategie (4) In dat kader moeten preventie, detectie en educatie aan de orde komen, in combinatie met sancties en de naleving van de wetgeving. |
|
1.6 |
Te zijner tijd wil het EESC voorstellen van de Commissie bestuderen voor een alomvattend actiekader dat internetveiligheid in het algemeen aanpakt. Als over tien jaar het gros van de bevolking internet gebruikt, en de meeste economische en sociale activiteit van internet afhangt, is het ondenkbaar dat we dan nog steeds kunnen vertrouwen op het huidige achteloze en ongestructureerde internetgebruik, vooral omdat de economische waarde van deze activiteit onschatbaar zal zijn. Tal van aspecten zullen van belang zijn, onder andere de beveiliging van persoonlijke gegevens en privacy, alsook cybercriminaliteit. De veiligheid van luchtvaartmaatschappijen is in handen van een centrale autoriteit die normen vaststelt voor vliegtuigen, luchthavens en vliegbewegingen. De tijd is rijp om een soortgelijke autoriteit op te richten voor het vaststellen van normen voor beveiligde eindapparatuur (pc's, pads, telefoons), netwerk-, website- en databeveiliging. De fysieke configuratie van internet is cruciaal voor de afweer tegen cybercriminaliteit. De EU heeft een regulerende instantie nodig die bevoegd is voor internet. |
|
1.7 |
De richtlijn is toegespitst op de definitie van misdaden en de afschrikkende werking van straffen. Het EESC wil dat er tegelijk gekeken wordt naar preventie via betere beveiligingsmaatregelen. Fabrikanten van apparatuur moeten aan normen voldoen voor het leveren van veilige apparaten. Het is onaanvaardbaar dat de veiligheid van apparatuur, en dus van het netwerk, afhangt van de toevallige opvattingen van de eigenaar. De invoering van een elektronische identiteitsregeling voor heel Europa valt te overwegen; dit moet zorgvuldig gebeuren om schending van privacy te voorkomen. Er moet werk worden gemaakt van de volledige exploitatie van de beveiligingsopties van Ipv6. Het onderricht in persoonlijke cyberveiligheid aan burgers, inclusief databeveiliging, moet een essentieel onderdeel worden van elk lesprogramma voor digitale vaardigheden. De Commissie zou gebruik moeten maken van eerdere adviezen van het Comité over deze aspecten (5). |
|
1.8 |
Het stemt het Comité tevreden dat in de richtlijn al de nodige maatregelen worden voorgesteld voor de aanvallen op informatiesystemen met behulp van botnets (6) met inbegrip van denial-of-service-aanvallen (DoS) (7). De richtlijn kan overheden helpen om misbruik van de internationale koppeling van netwerken te bestraffen, en om cybermisdadigers te vervolgen die anoniem proberen te blijven met behulp van de verfijnde instrumenten die eigen zijn aan cybermisdaad. |
|
1.9 |
Het Comité is ook ingenomen met de lijst van strafbare feiten die door de richtlijn gedekt worden, met name de opname van „onrechtmatige onderschepping” en de duidelijke uiteenzetting van de „Instrumenten voor het plegen van strafbare feiten”. |
|
1.10 |
Gezien het belang van vertrouwen en veiligheid voor de digitale economie, en de enorme kosten die gepaard gaan met cybermisdaad (8), is het Comité er voorstander van dat de strafmaat de ernst van de misdaad weerspiegelt en dat deze ook werkelijk afschrikkend werkt voor potentiële misdadigers. In de ontwerprichtlijn worden minimumstraffen van 2 à 5 jaar gevangenisstraf voorgesteld (5 jaar voor verzwarende omstandigheden). Het EESC bepleit straffen die in verhouding staan tot de ernst van de misdaad. |
|
1.11 |
Er zou van de gelegenheid gebruik moeten worden gemaakt om een krachtig signaal uit te zenden naar misdadigers én naar burgers die gerustgesteld willen worden, door zwaardere straffen aan te kondigen. Zo lopen de straffen voor grootschalige aanvallen op informatiesystemen in het VK (9) bijvoorbeeld op tot 10 jaar en kunnen terroristen die grootschalige aanvallen uitvoeren in Estland soms wel voor 25 jaar de cel indraaien (10) |
|
1.12 |
Het Comité verwelkomt het voorstel van de Commissie om de richtlijn aan te vullen met niet-wetgevende maatregelen teneinde verder gecoördineerd optreden op EU-niveau en betere rechtshandhaving te bevorderen. Het EESC benadrukt dat er meer coördinatie moet komen, ook door nauw samen te werken met alle EFTA-landen en de NAVO. |
|
1.13 |
Het Comité is een groot voorstander van de voorgestelde opleidingsprogramma's en aanbevelingen inzake succesvolle praktijken ter versterking van het bestaande 24/7-netwerk van meldpunten voor rechtshandhavingsinstanties. |
|
1.14 |
Het Comité dringt er bij de Commissie op aan, om naast de niet-wetgevende maatregelen die ze in het voorstel geformuleerd heeft voor de aanpak van aanvallen op informatiesystemen, met name ook O&O-middelen te besteden aan de ontwikkeling van systemen voor vroegtijdige opsporing en reactie. De recente technologieën voor cloud computing (11) en grid computing (12) kunnen Europa een betere bescherming bieden tegen vele bedreigingen. |
|
1.15 |
ENISA zou een adequaat programma voor de ontwikkeling van vaardigheden kunnen sponsoren ter versterking van Europa's ICT-beveiligingsindustrie, dat verdergaat dan rechtshandhaving (13) |
|
1.16 |
Teneinde Europa weerbaarder te maken tegen cyberaanvallen zou de Commissie vaart moeten zetten achter de oprichting van het Europees publiek-privaat partnerschap voor veerkracht (EP3R) en dit moeten inpassen in het werk van het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) en de European Governmental CERTs Group (EGC). |
|
1.17 |
Er moet worden geïnvesteerd in een sterke ICT-beveiligingsindustrie in Europa, die net zo competent is als de royaal gefinancierde beveiligingsindustrie in de VS (14) Investeringen in O&O en opleiding inzake cyberbeveiliging zouden aanzienlijk moeten worden opgeschroefd. |
|
1.18 |
Het Comité neemt kennis van de uitzonderingen die aan het Verenigd Koninkrijk, Ierland en Denemarken zijn toegestaan bij de tenuitvoerlegging van de voorgestelde richtlijn op basis van de verdragsprotocollen. Het Comité wil echter deze lidstaten oproepen om, ondanks deze uitzonderingen, zich zo coöperatief mogelijk op te stellen bij de tenuitvoerlegging van deze richtlijn, teneinde te voorkomen dat misdadigers hun voordeel doen met de bestaande beleidsverschillen in de Unie. |
2. Inleiding
|
2.1 |
Europa is voor zijn welvaart en de levenskwaliteit van zijn burgers inmiddels al sterk afhankelijk van informatiesystemen. Het is van belang dat deze groeiende afhankelijkheid hand in hand gaat met een geleidelijke verfijning van de veiligheidsmaatregelen en krachtige wetten om de informatiesystemen tegen aanvallen te beschermen. |
|
2.2 |
Internet is de belangrijkste drager van de digitale maatschappij. De bescherming tegen aanvallen op de veiligheid van de informatiesystemen is van essentieel belang voor de ontwikkeling van de digitale maatschappij en de digitale economie. Internet is de drager van bijna alle essentiële informatie-infrastructuur in Europa: het faciliteert informatie- en communicatieplatforms voor de verstrekking van wezenlijke goederen en diensten. Aanvallen op computersystemen - regeringssystemen, financiële systemen, maatschappelijke diensten en kritieke-infrastructuursystemen, zoals de aanvoer van energie, water, het vervoersnetwerk, de gezondheidszorg en de noodhulpsystemen - vormen inmiddels een groot probleem. |
|
2.3 |
De architectuur van het internet is gebaseerd op de onderlinge koppeling van miljoenen computers waarbij de gegevensverwerking, communicatie en controle over de hele wereld verspreid plaatsvindt. Door deze gedistribueerde architectuur is het internet stabiel en veerkrachtig en wordt het internetverkeer snel hersteld in geval van een probleem. Het betekent echter ook dat grootschalige cyberaanvallen aan de rand van het netwerk kunnen worden ingezet, met behulp van botnets bijvoorbeeld, door iedereen die dat wil en kán. |
|
2.4 |
Ontwikkelingen in de informatietechnologie hebben deze problemen nog groter gemaakt, doordat het voor de daders gemakkelijker is geworden om instrumenten (kwaadaardige software („malware” (15) en „botnets”) te vervaardigen en te verspreiden, terwijl ze zelf anoniem blijven en de strafrechtelijke bevoegdheid over verschillende rechtsgebieden is verspreid. Aangezien het moeilijk is om vervolging in te stellen, kan de georganiseerde misdaad forse winsten maken met geringe risico's. |
|
2.5 |
Uit een in 2009 aan het World Economic Forum voorgelegd onderzoek (16) blijkt dat de wereldwijde, snel toenemende schade van cybercriminaliteit 1 biljoen dollar bedraagt. En in een recent Brits overheidsrapport (17) wordt gesteld dat de jaarlijkse kosten alleen al in het VK op 27 miljard pond neerkomen. De hoge kosten van cybercriminaliteit vragen om krachtdadig optreden, gedegen rechtshandhaving en hoge boetes voor de daders. |
|
2.6 |
In het werkdocument van de diensten van de Commissie dat bij het voorstel voor een Richtlijn (18) is gevoegd, wordt uiteengezet hoe de georganiseerde misdaad en vijandige regeringen gebruik maken van de mogelijkheid om informatiesystemen in heel de Unie te ondermijnen. Aanvallen door dergelijke botnets kunnen zeer gevaarlijk zijn voor het desbetreffende land in zijn geheel en kunnen ook door terroristen of anderen worden gebruikt als een politiek drukmiddel. |
|
2.7 |
De aanval op Estland in april-mei 2007 heeft dit probleem onder de aandacht gebracht. Door grootschalige aanvallen werden daar belangrijke delen van de kritieke-informatiestructuur van de overheid en de particuliere sector dagenlang lamgelegd. De schade liep op tot 19 à 28 miljoen euro en er werd een zware politieke prijs betaald. In Litouwen en Georgië werden soortgelijke vernietigende aanvallen uitgevoerd. |
|
2.8 |
Wereldwijde communicatienetwerken brengen een hoge mate van grensoverschrijdende koppeling met zich mee. Het is cruciaal dat er gemeenschappelijk en uniform wordt opgetreden door alle 27 lidstaten om cybercriminaliteit te bestrijden, en met name aanvallen tegen informatiesystemen. Vanwege deze internationale onderlinge afhankelijkheid heeft de EU de verantwoordelijkheid om een geïntegreerd beleid te formuleren voor de bescherming van informatiesystemen tegen aanvallen en de bestraffing van de daders. |
|
2.9 |
In zijn advies van 2007 over „Een strategie voor een veilige informatiemaatschappij in Europa” (19) verklaarde het Comité dat het alomvattende EU-wetgeving tegen cybercriminaliteit zou verwelkomen. Een dergelijk rechtskader zou niet alleen betrekking moeten hebben op aanvallen op informatiesystemen, maar ook op zaken als financiële cybercriminaliteit, illegale internetinhoud en het verzamelen/bewaren/doorgeven van elektronisch bewijsmateriaal en andere meer gedetailleerde rechtsmachtregels. |
|
2.10 |
Het Comité erkent dat het een zware opgave zal zijn om een alomvattend rechtskader te formuleren, temeer daar het ontbreekt aan politieke consensus (20) en er aanzienlijke verschillen bestaan tussen de lidstaten ten aanzien van de ontvankelijkheid van elektronische bewijzen in de rechtszaal. Toch zou dankzij een dergelijk alomvattend rechtskader maximaal voordeel kunnen worden gehaald uit zowel de wetgevende als de niet-wetgevende instrumenten bij de bestrijding van het brede spectrum van cybermisdaden. Ook zou zo een regeling kunnen worden getroffen voor het strafrechtelijk rechtskader en zou tegelijkertijd de samenwerking op het vlak van de rechtshandhaving binnen de Unie kunnen worden verbeterd. Het Comité dringt er bij de Commissie op aan om zich sterk te blijven maken voor een alomvattend rechtskader voor cybermisdaad. |
|
2.11 |
De bestrijding van cybermisdaad vergt speciale vaardigheden. In het advies van het Comité over de voorgestelde Verordening inzake ENISA (21) werd het belang van de opleiding van personeel voor rechtshandhaving onder de aandacht gebracht. Het Comité is verheugd dat de Commissie voortgaat met de opzet van een trainingplatform voor cybermisdaad waarbij zowel rechtshandhavingsinstanties als de particuliere sector worden betrokken, zoals voorgesteld in COM(2007) 267 (22). |
|
2.12 |
Alle burgers hebben belang bij een veilig Europees internet, dat zelfs van levensbelang voor hen kan zijn. Diezelfde burgers zijn verantwoordelijk voor een optimale bescherming van hun eigen internetaansluiting tegen aanvallen van buitenaf Een nog grotere verantwoordelijkheid dragen de technologie- en ICT-providers achter de informatiesystemen. |
|
2.13 |
Het is van essentieel belang dat alle stakeholders adequaat worden geïnformeerd over cyberbeveiliging. Het is ook belangrijk dat Europa over een groot aantal deskundigen op het gebied van cyberbeveiliging beschikt. |
|
2.14 |
Er moet worden geïnvesteerd in een sterke ICT-beveiligingsindustrie in Europa, die net zo competent is als de royaal gefinancierde beveiligingsindustrie in de VS (23) Investeringen in O&O en opleiding inzake cyberbeveiliging zouden aanzienlijk moeten worden opgeschroefd. |
3. Samenvatting van het richtlijnvoorstel
|
3.1 |
Het doel van dit voorstel is Kaderbesluit 2005/222/JBZ van de Raad van 24 februari 2005 over aanvallen op informatiesystemen te vervangen (24) Dat kaderbesluit had – zoals vermeld in zijn overwegingen – ten doel de samenwerking tussen justitiële en andere bevoegde autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van de strafrechtelijke bepalingen van de lidstaten op het gebied van aanvallen op informatiesystemen. Het kaderbesluit zorgde voor EU-wetgeving inzake strafbare feiten als onrechtmatige toegang tot informatiesystemen, onrechtmatige systeemverstoring en onrechtmatige gegevensverstoring, alsmede voor specifieke regels betreffende de aansprakelijkheid van rechtspersonen, rechtsmacht en informatie-uitwisseling. De lidstaten dienden de maatregelen te nemen die noodzakelijk waren om uiterlijk op 16 maart 2007 aan de bepalingen van het kaderbesluit te voldoen. |
|
3.2 |
Op 14 juli 2008 publiceerde de Commissie een verslag over de tenuitvoerlegging van het kaderbesluit (25) Het verslag bevatte daarnaast de volgende constatering: „Sinds het vaststellen van het kaderbesluit hebben recente aanvallen in heel Europa allerlei nieuwe bedreigingen aan het licht gebracht, met name het zich voordoen van omvangrijke gelijktijdige aanvallen op informatiesystemen en een toenemend crimineel gebruik van zogeheten botnets.” Deze aanvallen waren niet het belangrijkste aandachtspunt toen het kaderbesluit werd aangenomen. |
|
3.3 |
Dit voorstel houdt rekening met de nieuwe methoden om cyberdelicten te plegen, zoals het gebruik van „botnets” (26). Het is bijzonder moeilijk om de daders op te sporen, doordat de computers die deel uitmaken van het botnet en de aanval uitvoeren, zich op een andere locatie kunnen bevinden dan de dader zelf. |
|
3.4 |
Aanvallen die door een botnet worden uitgevoerd zijn vaak grootschalig. Als grootschalig gelden aanvallen die worden uitgevoerd met behulp van instrumenten die zich bedienen van grote aantallen informatiesystemen (computers), en aanvallen die aanzienlijke schade veroorzaken, bv. in termen van ontregelde systeemdiensten, financiële kosten, verlies van persoonsgegevens, enz. De schade veroorzaakt door grootschalige aanvallen heeft grote gevolgen voor het functioneren van het doelwit en/of tast zijn werkomgeving aan. In dit kader geldt als een „groot botnet” een netwerk dat ernstige schade kan veroorzaken. Het is moeilijk om botnets te definiëren naar omvang, maar het is bekend dat de grootste botnets voor naar schatting tussen de 40 000 à 100 000 verbindingen (dat wil zeggen: besmette computers) per etmaal zorgen (27) |
|
3.5 |
Het kaderbesluit kan geen afdoend antwoord bieden op de toename in omvang en aantal van de cyberaanvallen. Dit besluit zorgt alleen voor onderlinge afstemming van de wetgeving inzake een beperkt aantal strafbare feiten, maar biedt geen volledige aanpak van de sociale risico's van grootschalige aanvallen. Ook wordt er onvoldoende rekening gehouden met de ernst van de delicten en de daaraan verbonden sancties. |
|
3.6 |
De voorgestelde nieuwe richtlijn heeft ten doel de strafrechtelijke bepalingen van de lidstaten inzake aanvallen op informatiesystemen onderling af te stemmen en de samenwerking tussen justitiële en andere bevoegde autoriteiten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties van de lidstaten, te verbeteren. |
|
3.7 |
Aanvallen op informatiesystemen, in het bijzonder in het kader van de georganiseerde criminaliteit, vormen een groeiende bedreiging en de bezorgdheid over mogelijke terroristische of politiek gemotiveerde aanvallen op informatiesystemen die deel uitmaken van de vitale infrastructuur van de lidstaten en de Unie neemt toe. Dit brengt de totstandbrenging van een veiliger informatiemaatschappij en een ruimte van vrijheid, veiligheid en recht in gevaar en maakt derhalve een reactie op het niveau van de Europese Unie noodzakelijk. |
|
3.8 |
Er zijn aanwijzingen dat grootschalige aanvallen op de informatiesystemen die van vitaal belang zijn voor staten of voor specifieke onderdelen van de publieke of particuliere sector steeds gevaarlijker en frequenter worden. Deze tendens gaat gepaard met de ontwikkeling van steeds geavanceerder instrumenten die door criminelen kunnen worden gebruikt om diverse soorten cyberaanvallen uit te voeren. |
|
3.9 |
Gemeenschappelijke definities op dit gebied, en in het bijzonder van informatiesystemen en computergegevens, zijn van belang om te garanderen dat de richtlijn in de lidstaten coherent wordt toegepast. |
|
3.10 |
Teneinde tot een gemeenschappelijke aanpak van de bestanddelen van strafbare feiten te komen, moet een gemeenschappelijke definitie worden ingevoerd van de strafbare feiten onrechtmatige toegang tot een informatiesysteem, onrechtmatige systeemverstoring en onrechtmatige gegevensverstoring. |
|
3.11 |
De lidstaten dienen aanvallen op informatiesystemen strafbaar te stellen. De straffen dienen doeltreffend, evenredig en afschrikkend te zijn. |
|
3.12 |
De richtlijn strekt weliswaar tot intrekking van Kaderbesluit 2005/222/JBZ, maar neemt de bestaande bepalingen daarvan over en breidt deze uit met de navolgende nieuwe elementen:
|
Brussel, 4 mei 2011
De voorzitter van het Europees Economisch en Sociaal Comité
Staffan NILSSON
(1) Raad van Europa, Verdrag inzake cybercriminaliteit, Boedapest, 23 november 2001, CETS nr. 185.
(2) Zie: http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185&CM=&DF=&CL=ENG
(3) EESC-advies over „Een veilige informatiemaatschappij”, PB C 97, 28 april 2007, blz. 21.
(4) COM(2010) 245, COM(2010) 2020.
(5) EESC-advies over „Een veilige informatiemaatschappij”, PB C 97, 28 april 2007, blz. 21; EESC-advies over „Het internet bevorderen”, PB C 175, 28 juli 2009, blz. 92; EESC-advies over „Bescherming van kritieke informatie-infrastructuur”, PB C 255, 22 september 2010, blz. 98; EESC-advies over „Een digitale agenda voor Europa”, PB C 54, 19 februari 2011, blz. 58; EESC-advies over de „'Nieuwe ENISA-Verordening”, nog niet in het PB gepubliceerd; EESC-advies over „Verbetering van de digitale geletterdheid, de digitale vaardigheden en de digitale inclusie”, nog niet gepubliceerd in het PB.
(6) Onder deze term wordt een netwerk verstaan van computers die zijn besmet met kwaadaardige software (een computervirus). Een dergelijk netwerk van besmette computers („zombies”) kan worden ingezet voor specifieke acties, zoals aanvallen op informatiesystemen (cyberaanvallen). Deze zombies kunnen door een andere computer worden bestuurd – dikwijls zonder dat de gebruikers van de besmette computers hier erg in hebben. Het is bijzonder moeilijk om de daders op te sporen, doordat de computers die deel uitmaken van het botnet en de aanval uitvoeren, zich op een andere locatie kunnen bevinden dan de dader zelf.
(7) Denial-of-Service (DOS)-aanvallen maken computerdiensten (bijv. een website of een internetdienst) onbeschikbaar voor de doelgroep. De server of webpagina waarmee contact wordt gemaakt, wordt voor de gebruikers „onbeschikbaar”. Zo'n aanval kan ertoe leiden dat online betaalsystemen bijv. niet meer werken, waardoor de gebruikers geld kwijtraken.
(8) Uit een in 2009 aan het World Economic Forum voorgelegd onderzoek blijkt dat de wereldwijde, snel toenemende schade van cybercriminaliteit 1 biljoen dollar bedraagt. Zie de par. 2.5 en 2.7 hierna.
(9) http://www.legislation.gov.uk/ukpga/2006/48/contents.
(10) SEC(2010) 1122 final - Commission Staff Working Document and Impact Assessment, begeleidend document bij het voorstel voor een richtlijn over aanvallen op informatiesystemen.
(11) Cloud computing behelst de verlening van computerdiensten op verzoek, of automatisch, via internet. Clouddiensten worden de gebruikers op een eenvoudig te begrijpen manier gepresenteerd, zonder dat de gebruiker hoeft te weten hoe de diensten worden verleend. Geavanceerde antivirus- en internetbeveiligingssoftware voor de eindgebruiker worden via een cloudplatform aan iedere aangesloten gebruiker in Europa aangeboden, waardoor de noodzaak om zich te beschermen minder urgent wordt.
(12) Grids zijn een vorm van gedistribueerde computers waarbij een „virtuele supercomputer” bestaat uit diverse netwerken van min of meer aan elkaar gekoppelde computers die samenwerken om zeer omvangrijke opdrachten uit te voeren. Grid computertechnologie kan een platform zijn om cyberaanvallen real-time te analyseren en daarop te reageren.
(13) EESC-advies over de „'Nieuwe ENISA-Verordening”, PB C 107, 28 april 2011, blz. 58.
(14) Uit de officiële cijfers van het Witte Huis blijkt dat de regering van de VS in 2010 407 miljoen dollar heeft uitgegeven aan O&O en opleiding inzake cyberveiligheid en dat ze voor 2012548 miljoen dollar heeft begroot. http://www.whitehouse.gov/sites/default/files/microsites/ostp/FY12-slides.pdf.
(15) „Malware” is een afkorting voor kwaadaardige software. Deze software is ontwikkeld om in het geheim in te breken in computersystemen, dus zonder de voorafgaande toestemming van de eigenaar.
(16) „Unsecured Economies: Protecting Vital Information”, uitgevoerd door onderzoekers van het Purdue University's Centre for Education and Research in Information Assurance and Security, in opdracht van McAfee (2009), http://www.cerias.purdue.edu/assets/pdf/mfe_unsec_econ_pr_rpt_fnl_online_012109.pdf.
(17) http://www.cabinetoffice.gov.uk/resource-library/cost-of-cyber-crime.
(18) SEC(2010) 1122.
(19) EESC-advies over „Een veilige informatiemaatschappij”, PB C 97, 28 april 2007, blz. 21 (TEN/254).
(20) SEC(2010) 1122, Effectbeoordeling bij COM(2010) 517.
(21) EESC-advies over de „'Nieuwe ENISA-Verordening”, PB C 107, 28 april 2011, blz. 58.
(22) COM(2007) 267 „Naar een algemeen beleid voor de bestrijding van cybercriminaliteit”.
(23) Uit de officiële cijfers van het Witte Huis blijkt dat de regering van de VS in 2010407 miljoen dollar heeft uitgegeven aan O&O en opleiding inzake cyberveiligheid en dat ze voor 2012548 miljoen dollar heeft begroot. http://www.whitehouse.gov/sites/default/files/microsites/ostp/FY12-slides.pdf.
(24) PB L 69, 16 maart 2005, blz. 68.
(25) Verslag van de Commissie aan de Raad op basis van artikel 12 van het kaderbesluit van de Raad van 24 februari 2005 over aanvallen op informatiesystemen, COM(2008) 448.
(26) Zie voetnoot 6 hierboven.
(27) Het aantal verbindingen per etmaal is de gebruikelijke eenheid om de omvang van botnets in uit te drukken.
(28) Ingevoerd bij het Verdrag en Kaderbesluit 2005/222/JBZ over aanvallen op informatiesystemen.