De EU-richtlijn betreffende cybercriminaliteit wil cybercriminaliteit bestrijden en informatiebeveiliging bevorderen door middel van sterkere nationale wetten, strengere straffen en meer samenwerking tussen de betrokken autoriteiten.

Richtlijn 2013/40/EUvan het Europees Parlement en de Raad van 12 augustus 2013 over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad.

Deze richtlijn voert nieuwe regels in tot harmonisering van de strafbaarstelling en de straffen voor een aantal strafbare feiten gericht tegen informatiesystemen. Deze regels omvatten een verbod op het gebruik van zogenoemde botnets - kwaadaardige software die is ontworpen om vanop afstand controle over een netwerk van computers over te nemen. De richtlijn roept EU-lidstaten ook op om dezelfde contactpunten als de Raad van Europa en de G8 te gebruiken om snel te reageren op bedreigingen waarbij geavanceerde technologie betrokken is.

De belangrijkste vormen van strafbare feiten die onder deze richtlijn vallen, zijn aanvallen op informatiesystemen, gaande van„denial of service”-aanvallen die zijn ontworpen om een server neer te halen, tot het onderscheppen van gegevens en botnetaanvallen.

Cybercriminaliteit moet effectief worden bestreden, niet alleen binnen een bepaalde lidstaat, maar ook tussen de lidstaten onderling. Dat vereist om:

Te dien einde vereist de huidige richtlijn de harmonisatie van strafrechtelijke wetgevingssystemen tussen EU-lidstaten en de versterking van de samenwerking tussen de gerechtelijke autoriteiten met betrekking tot:

Ook uitlokking, medeplichtigheid en poging tot het plegen van een van de bovenstaande feiten zal strafbaar zijn.

De lidstaten zullen ervoor moeten zorgen dat dergelijke strafbare feiten kunnen worden gestraft met doeltreffende, evenredige en afschrikkende strafrechtelijke sancties.

Indien een strafbaar feit is gepleegd in het kader van een criminele organisatie in de zin van deze richtlijn, en dat aanzienlijk verlies veroorzaakt of wezenlijke belangen beïnvloedt, zal dat worden beschouwd als een verzwarende omstandigheid. Hetzelfde geldt als een strafbaar feit wordt gepleegd met behulp van de identiteit van een andere persoon en schade aanricht aan deze persoon.

De richtlijn introduceert ook de aansprakelijkheid van„rechtspersonen” en stelt sancties vast die van toepassing kunnen zijn indien zij aansprakelijk worden bevonden.

Elke EU-lidstaat zal in ieder geval zijn rechtsmacht uitoefenen voor strafbare feiten die worden gepleegd op zijn grondgebied of door een van zijn onderdanen buiten zijn grondgebied. Wanneer verschillende landen bevoegd zijn voor een misdrijf, moeten zij samenwerken om te beslissen welk land tegen de dader van de overtreding zal procederen.

Om cybercriminaliteit beter te bestrijden roept de richtlijn op tot betere internationale samenwerking tussen gerechtelijke en wetshandhavingsinstanties.

Deze richtlijn bouwt voort op en vervangt het EU-kaderbesluit 2005/222/JBZ van de Raad over aanvallen op informatiesystemen. Het bouwt ook voort op de Conventie over cybercriminaliteit van de Raad van Europa van 2001, die dient als een model voor nationale en regionale wetgeving inzake computercriminaliteit en een gemeenschappelijke basis schept voor de samenwerking binnen en buiten de EU.

REFERENTIES

Besluit	Datum van inwerkingtreding	Uiterste datum voor omzetting in nationaal recht	Publicatieblad van de Europese Unie
Richtlijn 2013/40/EU	3.9.2013	4.9.2015	PB L 218 van 14.8.2013

Kaderbesluit 2005/222/JBZ van de Raad van 24 februari 2005 over aanvallen op informatiesystemen (PB L 69 van 16.3.2005).