14.8.2013   

SV

Europeiska unionens officiella tidning

L 218/8

(1)

Målen för detta direktiv är att tillnärma medlemsstaternas straffrättsliga lagstiftning vad gäller angrepp mot informationssystem, genom att fastställa minimiregler om fastställande av brottsrekvisit och påföljder, och att förbättra samarbetet mellan behöriga myndigheter, inbegripet polismyndigheter och andra specialiserade brottsbekämpande organ i medlemsstaterna samt behöriga specialiserade unionsbyråer och -organ såsom Eurojust, Europol och dess europeiska it-brottscentrum samt Europeiska byrån för nät- och informationssäkerhet (Enisa).

(2)

Informationssystem är av central betydelse för det politiska, sociala och ekonomiska samspelet i unionen. Samhället är i högsta grad och i växande utsträckning beroende av sådana system. Att dessa system fungerar smidigt och säkert i unionen är en förutsättning för utvecklingen av den inre marknaden och för en konkurrenskraftig och innovativ ekonomi. Säkerställande av en lämplig skyddsnivå för informationssystem bör ingå i ett effektivt övergripande ramverk med förebyggande åtgärder, tillsammans med straffrättsliga åtgärder mot it-relaterad brottslighet.

(3)

Angrepp mot informationssystem, särskilt angrepp som är kopplade till organiserad brottslighet, är ett växande problem både inom unionen och på global nivå, och oron ökar för terroristattacker eller politiskt motiverade angrepp mot de informationssystem som ingår i medlemsstaternas och unionens kritiska infrastruktur. Detta utgör ett hot mot arbetet för att skapa ett säkrare informationssamhälle och ett område med frihet, säkerhet och rättvisa och kräver därför åtgärder på unionsnivå och bättre samarbete och samordning på internationell nivå.

(4)

Inom unionen finns det en rad kritiska infrastrukturer för vilka driftstörningar, eller vars förstörelse, skulle kunna få betydande gränsöverskridande konsekvenser. Det har visat sig att behovet av att förbättra förmågan att skydda kritisk infrastruktur i unionen innebär att åtgärderna mot angrepp mot informationssystem bör kompletteras med stränga straffrättsliga påföljder som återspeglar angreppens svårhetsgrad. Med kritisk infrastruktur kan avses anläggningar, system eller delar av dessa belägna i medlemsstaterna som är nödvändiga för att upprätthålla centrala samhällsfunktioner, hälsa, säkerhet, trygghet och människors ekonomiska eller sociala välfärd, såsom kraftverk, transportnät eller myndighetsnätverk, och där störningar i driften eller förstörelse av dessa skulle få betydande konsekvenser i en medlemsstat till följd av att man inte lyckas upprätthålla dessa funktioner.

(5)

Det finns tecken på en utveckling mot allt farligare och återkommande storskaliga angrepp mot informationssystem som ofta är av vital betydelse för medlemsstater eller särskilda funktioner i den offentliga eller privata sektorn. Denna tendens är förenad med utvecklingen av alltmer sofistikerade metoder, såsom skapande och användning av s.k. botnät, som omfattar flera skeden i en brottslig gärning, där varje skede i sig kan utgöra ett allvarligt hot mot allmänna intressen. Detta direktiv syftar bland annat till att införa straffrättsliga påföljder för skapandet av botnät, det vill säga övertagande och fjärrstyrning av ett stort antal datorer genom att infektera dem via sabotageprogram genom riktade it-angrepp. När de väl har skapats kan de infekterade datorerna, som utgör botnätet, utan användarnas vetskap aktiveras för storskaliga it-angrepp, som i allmänhet kan orsaka allvarlig skada, på det sätt som avses i detta direktiv. Medlemsstaterna får fastställa vad som utgör allvarlig skada enligt deras nationella rätt och praxis, exempelvis störning av systemtjänster av stort allmänintresse, orsakande av stora ekonomiska kostnader eller förlust av personuppgifter eller känslig information.

(6)

Storskaliga it-angrepp kan orsaka betydande ekonomiska skador på grund av avbrott i informationssystemens drift och i kommunikationen och förlust eller förvanskning av hemlig information som är viktig ur kommersiell synpunkt eller andra uppgifter. Särskild uppmärksamhet bör ägnas åt att öka medvetenheten hos innovativa små och medelstora företag om vilka hot sådana angrepp utgör och deras sårbarhet för angrepp av detta slag, med tanke på att de i allt större utsträckning är beroende av att informationssystem fungerar korrekt och är tillgängliga, och de ofta begränsade resurser de har för informationssäkerhet.

(7)

Gemensamma definitioner på detta område är viktiga för att säkerställa att detta direktiv tillämpas enhetligt i medlemsstaterna.

(8)

Det finns ett behov av att fastställa en gemensam inställning i fråga om brottsrekvisit, genom att gemensamt kriminalisera olagligt intrång i informationssystem, olaglig systemstörning, olaglig datastörning och olaglig avlyssning.

(9)

Avlyssning omfattar, men är inte nödvändigtvis begränsad till, avlyssning, kontroll eller övervakning av kommunikationsinnehåll och anskaffande av uppgifter, antingen direkt genom åtkomst till och användning av informationssystem eller indirekt med tekniska hjälpmedel, genom användning av olika typer av elektroniska avlyssningsanordningar eller avlyssning med tekniska hjälpmedel.

(10)

Medlemsstaterna bör fastställa påföljder för angrepp mot informationssystem. De påföljder som fastställs bör vara effektiva, proportionella och avskräckande och bör inbegripa fängelsestraff och/eller böter.

(11)

I detta direktiv föreskrivs straffrättsliga påföljder åtminstone i fall som inte är ringa. Medlemsstaterna får fastställa vad som utgör ett ringa fall enligt deras nationella rätt och praxis. Ett fall kan anses vara ringa till exempel när den skada och/eller risk som gärningen medför för offentliga eller privata intressen, såsom ett datasystems eller datorbehandlingsbara uppgifters integritet eller en persons integritet, rättigheter och andra intressen, är obetydlig eller av sådan art att åläggande av straffrättsliga påföljder inom den lagstadgade gränsen eller åläggande av straffrättsligt ansvar inte är nödvändigt.

(12)

Identifiering och rapportering av hot och risker från it-angrepp och svagheter i informationssystem bör ingå i ett effektivt förebyggande av och effektiva åtgärder mot it-angrepp och för att förbättra säkerheten i informationssystem. Effekten kan förstärkas genom incitament att rapportera säkerhetsbrister. Medlemsstaterna bör sträva efter att ge i lag föreskrivna möjligheter att upptäcka och rapportera säkerhetsbrister.

(13)

Det är lämpligt att föreskriva strängare påföljder när ett angrepp mot ett informationssystem görs inom ramen för en sådan kriminell organisation som avses i rådets rambeslut 2008/841/RIF av den 24 oktober 2008 om kampen mot organiserad brottslighet (3), när it-angreppet är storskaligt och därmed påverkar ett betydande antal informationssystem, inklusive när angreppet syftar till att skapa ett botnät, eller när it-angreppet orsakar allvarlig skada, inklusive när det genomförs via ett botnät. Det är också lämpligt att föreskriva strängare påföljder när ett sådant angrepp riktas mot kritisk infrastruktur i medlemsstaterna eller unionen.

(14)

Införandet av effektiva åtgärder mot identitetsstöld och andra identitetsrelaterade brott utgör en annan viktig del i en samlad ansats mot it-relaterad brottslighet. Behovet av unionsåtgärder mot denna typ av brottsligt beteende kan också övervägas vid utvärderingen av behovet av ett övergripande horisontellt unionsinstrument.

(15)

Enligt rådets slutsatser av den 27–28 november 2008 bör det utarbetas en ny strategi i samarbete med medlemsstaterna och kommissionen, med hänsyn till Europarådets konvention från 2001 om it-relaterad brottslighet. Konventionen är den viktigaste rättsliga referensramen när det gäller att bekämpa it-relaterad brottslighet, inklusive angrepp mot informationssystem. Detta direktiv bygger på den konventionen. Det bör därför ses som en prioritet att alla medlemsstater slutför ratificeringen av konventionen så snart som möjligt.

(16)

Med hänsyn till de olika metoder som kan användas för att angripa informationssystem och till den snabba utvecklingen av hård- och programvara, hänvisar detta direktiv till verktyg som kan användas för att begå brott som anges i detta direktiv. Verktyg i denna mening är exempelvis sabotageprogram, inklusive sådana som kan skapa botnät, som används för it-angrepp. Även om ett verktyg är lämpat eller särskilt lämpat för att utföra ett av de brott som anges i detta direktiv kan verktyget vara tillverkat för lagliga ändamål. Eftersom det finns ett behov av att undvika kriminalisering av fall där sådana verktyg tillverkas och saluförs för lagliga ändamål, t.ex. för test av it-produkters funktionssäkerhet eller informationssystems säkerhet, måste, utöver det allmänna kravet på uppsåt, också ett krav på direkt uppsåt uppfyllas, att dessa verktyg är avsedda att användas för att begå ett eller flera av de brott som anges i detta direktiv.

(17)

Detta direktiv ålägger inte straffrättsligt ansvar när de objektiva kriterier för brott som anges i detta direktiv är uppfyllda men då gärningarna begås utan brottsligt uppsåt, till exempel när en person inte visste att det rörde sig om obehörig åtkomst eller vid föreskrivna test eller skydd av informationssystem, till exempel när en person har fått i uppdrag av ett företag eller en leverantör att testa styrkan hos dess säkerhetssystem. Avtalsenliga skyldigheter eller överenskommelser om att begränsa åtkomst till informationssystem genom en användarpolicy eller användarvillkor samt arbetsmarknadstvister om åtkomst till och användning av arbetsgivarens informationssystem för privata ändamål, bör inte föranleda straffrättsligt ansvar enligt detta direktiv, om åtkomsten under dessa omständigheter skulle bedömas vara otillåten och således utgöra den enda grunden för lagföring. Detta direktiv påverkar inte den rätt till åtkomst till information som följer av nationell rätt och unionsrätt, men får samtidigt inte fungera som undantag för att motivera olaglig och godtycklig åtkomst till information.

(18)

It-angrepp kan underlättas av olika omständigheter, till exempel när förövaren har åtkomst till de säkerhetssystem som är inbyggda i de drabbade informationssystemen i tjänsten. Inom ramen för nationell rätt bör sådana omständigheter på lämpligt sätt beaktas vid lagföring.

(19)

Medlemsstaternas nationella rätt bör innehålla regler om försvårande omständigheter i enlighet med de tillämpliga regler om försvårande omständigheter som fastställts genom deras rättsystem. De bör se till att rätten vid påföljdsbestämningen har möjlighet ta hänsyn till dessa försvårande omständigheter. Det är upp till rätten att bedöma dessa omständigheter, tillsammans med övriga faktiska sakomständigheter i det enskilda fallet.

(20)

Detta direktiv reglerar inte villkoren för utövandet av behörighet när det gäller de brott som avses i direktivet, exempelvis att det ska föreligga en anmälan från offret på den plats där brottet begicks, en formell underrättelse från den stat där brottet begicks, eller att åtal inte väckts mot gärningsmannen på den plats där gärningen har begåtts.

(21)

Stater och offentliga organ är, inom ramen för detta direktiv, skyldiga att till fullo garantera respekten för de mänskliga rättigheterna och grundläggande friheterna, i enlighet med gällande internationella förpliktelser.

(22)

Genom detta direktiv stärks betydelsen av nätverk, såsom G8 eller Europarådets nätverk av kontaktpunkter, som är tillgängliga dygnet runt alla dagar i veckan. Sådana kontaktpunkter bör kunna ge konkret stöd och till exempel underlätta utbyte av tillgänglig relevant information och tillhandahålla teknisk rådgivning eller rättslig information i utredningar eller rättegångar rörande brott med anknytning till informationssystem och data som rör den begärande medlemsstaten. För att säkerställa att nätverken fungerar smidigt bör varje kontaktpunkt kunna kommunicera med kontaktpunkter i andra medlemsstater omgående, bland annat med hjälp av utbildad och utrustad personal. Med hänsyn till hur snabbt storskaliga it-angrepp kan genomföras, bör medlemsstaterna ha kapacitet att snabbt besvara brådskande förfrågningar från detta nät av kontaktpunkter. I sådana fall kan det vara lämpligt att förfrågan om information åtföljs av en telefonkontakt, för att se till att den anmodade medlemsstaten behandlar förfrågan snabbt och ger återkoppling inom åtta timmar.

(23)

Samarbete mellan, å ena sidan, de offentliga myndigheterna och, å andra sidan, den privata sektorn och det civila samhället är mycket viktigt för att förebygga och motverka angrepp mot informationssystem. Det är nödvändigt att främja och förbättra samarbetet mellan tjänsteleverantörer, producenter, brottsbekämpande organ och rättsliga myndigheter samtidigt som rättsstatsprincipen beaktas fullt ut. Samarbetet kan inbegripa t.ex. stöd från tjänsteleverantörernas sida när det gäller att säkra potentiella bevis, bidra till fastställandet av gärningsmännens identitet och, som en sista utväg, i enlighet med nationell rätt och praxis, helt eller delvis stänga ned informationssystem eller funktioner som har angripits eller använts för olagliga ändamål. Medlemsstaterna bör också överväga att inrätta nätverk för samarbete och partnerskap med tjänsteleverantörer och producenter för utbyte av uppgifter om de brott som omfattas av detta direktiv.

(24)

Det finns behov av att samla in jämförbara uppgifter om de brott som avses i detta direktiv. Relevanta uppgifter bör göras tillgängliga för behöriga specialiserade unionsbyråer och -organ, t.ex. Europol och Enisa i enlighet med deras uppdrag och informationsbehov, för att få en mer heltäckande bild av problemet med it-relaterad brottslighet och nätverks- och informationssäkerhet på unionsnivå och därigenom medverka till utformningen av mer effektiva åtgärder. Medlemsstaterna bör översända uppgifter om gärningsmännens tillvägagångssätt till Europol och dess europeiska it-brottscentrum för utarbetande av hotbedömningar och strategiska analyser i samband med it-relaterad brottslighet i enlighet med rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol) (4). Tillhandahållandet av information kan bidra till bättre insikt om nuvarande och framtida hot och därmed bidra till att bättre och mer målinriktade beslut fattas om bekämpande och förebyggande av angrepp mot informationssystem.

(25)

Kommissionen bör överlämna en rapport om tillämpningen av detta direktiv och lägga fram nödvändiga förslag till lagstiftning som skulle kunna leda till att dess tillämpningsområde utvidgas med hänsyn till utvecklingen på området för it-relaterad brottslighet. Exempel på sådan utveckling är tekniska lösningar som till exempel möjliggör en effektivare bekämpning av angrepp mot informationssystem, eller som gör det lättare att förebygga eller minimera konsekvenserna av sådana angrepp. Kommissionen bör för detta ändamål beakta tillgängliga analyser och rapporter som utarbetats av relevanta aktörer, särskilt Europol och Enisa.

(26)

För att man effektivt ska kunna bekämpa it-relaterad brottslighet är det nödvändigt att öka informationssystemens motståndskraft genom lämpliga åtgärder för att bättre skydda dem mot it-angrepp. Medlemsstaterna bör vidta nödvändiga åtgärder för att skydda de informationssystem som utgör del av deras kritiska infrastruktur från it-angrepp, och skyddet av deras informationssystem med tillhörande data bör ingå i det. En viktig del i en heltäckande strategi för att effektivt motverka it-relaterad brottslighet är att se till att juridiska personer har en tillräckligt hög skydds- och säkerhetsnivå på informationssystem, t.ex. i samband med tillhandahållande av offentligt tillgängliga elektroniska kommunikationstjänster i enlighet med gällande unionslagstiftning om integritet och elektronisk kommunikation samt om dataskydd. Lämpliga skyddsnivåer bör tillhandahållas mot hot och svagheter som på ett rimligt sätt kan identifieras i enlighet med den senaste utvecklingen inom den specifika sektorn och de konkreta situationerna för databehandlingen. De kostnader och bördor som ett sådant skydd medför bör stå i proportion till den sannolika skadan av ett it-angrepp för de drabbade. Medlemsstaterna uppmanas att fastställa relevanta åtgärder i fråga om ansvar inom ramen för nationell rätt när det är uppenbart att en juridisk person inte har haft en lämplig skyddsnivå mot it-angrepp.

(27)

Stora luckor och skillnader i medlemsstaternas lagstiftning och straffrättsliga förfaranden när det gäller angrepp mot informationssystem kan försvåra kampen mot organiserad brottslighet och terrorism, och kan komplicera ett effektivt polisiärt och rättsligt samarbete på detta område. De moderna informationssystemens nationsöverskridande och gränslösa natur innebär att angrepp mot sådana system ofta har en gränsöverskridande dimension, vilket understryker det akuta behovet av ytterligare insatser för att tillnärma den straffrättsliga lagstiftningen på detta område. För övrigt bör adekvata åtgärder för genomförande och tillämpning av rådets rambeslut 2009/948/RIF av den 30 november 2009 om förebyggande och lösning av tvister om utövande av jurisdiktion i straffrättsliga förfaranden (5) göra det lättare att samordna åtal i fall av angrepp mot informationssystem. Medlemsstaterna bör också i samarbete med unionen verka för bättre internationellt samarbete i fråga om säkerheten i informationssystem, datornätverk och datorbehandlingsbara uppgifter. Vederbörlig hänsyn till säkerheten vid dataöverföring och lagring av uppgifter bör tas med i alla internationella avtal som rör uppgiftsutbyte.

(28)

Bättre samarbete mellan behöriga brottsbekämpande organ och rättsliga myndigheter i hela unionen är nödvändigt för att man ska kunna bekämpa it-relaterad brottslighet på ett effektivt sätt. I detta sammanhang bör ökade insatser för att ge adekvat utbildning till de berörda myndigheterna för ökad förståelse av it-relaterad brottslighet och dess konsekvenser, och för att främja samarbete och utbyte av bästa metoder, exempelvis genom de behöriga specialiserade unionsbyråerna och -organen, uppmuntras. Sådan utbildning bör bland annat syfta till att öka medvetenheten om de olika nationella rättssystemen, de eventuella rättsliga och tekniska svårigheter som kan uppstå vid brottsutredningar eller fördelningen av befogenheter mellan de relevanta nationella myndigheterna.

(29)

Detta direktiv respekterar de mänskliga rättigheterna och de grundläggande friheterna och står i överensstämmelse med de principer som erkänns särskilt i Europeiska unionens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, inklusive skyddet av personuppgifter, rätten till privatliv, yttrande- och informationsfrihet, rätten till en rättvis rättegång, oskuldspresumtion och rätten till försvar, samt med legalitetsprincipen och principen om proportionalitet mellan brottet och påföljden. Detta direktiv syftar särskilt till att säkerställa att dessa rättigheter och principer respekteras fullt ut och måste genomföras i enlighet med detta.

(30)

Skyddet av personuppgifter är en grundläggande rättighet i enlighet med artikel 16.1 i EUF-fördraget och artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Därför bör all behandling av personuppgifter i samband med genomförandet av detta direktiv vara helt och hållet förenlig med den unionsrätt som gäller beträffande uppgiftsskydd.

(31)

I enlighet med artikel 3 i protokollet om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, har dessa medlemsstater meddelat att de önskar delta i antagandet och tillämpningen av detta direktiv.

(32)

I enlighet med artiklarna 1 och 2 i protokollet om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.

(33)

Eftersom målen för detta direktiv, nämligen att underställa angrepp mot informationssystem i alla medlemsstater effektiva, proportionella och avskräckande straffrättsliga påföljder och att förbättra och uppmuntra samarbete mellan rättsliga och andra behöriga myndigheter, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, och de därför bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(34)

Syftet med detta direktiv är att ändra och utöka bestämmelserna i rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem (6). Med avseende på de medlemsstater som deltar i antagandet av detta direktiv bör rambeslut 2005/222/RIF för tydlighetens skull ersättas i sin helhet, eftersom de ändringar som görs är många och väsentliga.

a)

Ett datorprogram som utformats eller anpassats i första hand för att begå något av de brott som avses i artiklarna 3–6.

b)

Ett datorlösenord, en åtkomstkod eller liknande uppgifter som gör det möjligt att få tillgång till ett informationssystem eller delar av ett sådant system.

a)

begås inom ramen för en kriminell organisation enligt definitionen i rambeslut 2008/841/RIF, oberoende av den påföljdsnivå som föreskrivs däri, eller

b)

förorsakar allvarlig skada, eller

c)

begås mot ett informationssystem som utgör kritisk infrastruktur.

a)

Behörighet att företräda den juridiska personen.

b)

Befogenhet att fatta beslut på den juridiska personens vägnar.

c)

Befogenhet att utöva kontroll inom den juridiska personen.

a)

fråntagande av rätt till offentliga förmåner eller stöd,

b)

tillfälligt eller permanent näringsförbud,

c)

rättslig övervakning,

d)

rättsligt beslut om upplösning av verksamheten,

e)

tillfällig eller permanent stängning av inrättningar som har använts för att begå brottet.

a)

helt eller delvis på deras territorium, eller

b)

av en medborgare i medlemsstaten, åtminstone i sådana fall där gärningen utgör ett brott på den plats där den begicks.

a)

gärningsmannen är fysiskt närvarande på dess territorium när brottet begås, oavsett om brottet riktar sig mot ett informationssystem på denna medlemsstats territorium eller inte, eller

b)

brottet riktar sig mot ett informationssystem på dess territorium, oavsett om gärningsmannen är fysiskt närvarande på territoriet när brottet begås eller inte.

a)

gärningsmannen har sin hemvist på denna medlemsstats territorium, eller

b)

gärningen har begåtts till förmån för en juridisk person som är etablerad inom denna medlemsstats territorium.