Angrepp mot informationssystem

Europeiska unionens direktiv om it-brottslighet syftar till att bekämpa it-brottslighet och främja informationssäkerhet genom starkare nationella lagar, strängare straffrättsliga påföljder och bättre samarbete mellan relevanta myndigheter.

RÄTTSAKT

Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem.

SAMMANFATTNING

I detta direktiv presenteras nya regler som harmoniserar kriminalisering och straff för flertalet brott som har riktats mot informationssystem. Dessa regler omfattas av förbud mot användning av s.k. botnät, d.v.s. sabotageprogram som är utvecklade för att ta kontroll över ett nätverk av datorer för att fjärrstyra dem. I direktivet uppmanas även EU-länderna att använda sig av samma kontaktpunkter som Europarådet och G8-gruppen använder, för att snabbt kunna reagera på hot med avancerad teknik involverad.

Den främsta typen av straffbara gärningar som direktivet täcker är angrepp mot informationssystem, allt från överbelastningsattacker som syftar till att ta ner en server, till avlyssning av uppgifter och attacker från botnät.

It-brottslighet måste effektivt bekämpas, inte bara inom en viss medlemsstat utan även gränsöverskridande. Detta kräver

• att det kan säkerställas att samma brott kriminaliseras i alla medlemsstater,
• att brottsbekämpande myndigheter får de verktyg som behövs för att agera och samarbeta med varandra.

Mot bakgrund av detta krävs det i det nuvarande direktivet en tillnärmning för de straffrättsliga systemen inom EU och ett förbättrat samarbete mellan rättsliga myndigheter när det gäller

• olagligt intrång i informationssystem,
• olaglig systemstörning,
• olaglig datastörning,
• olaglig avlyssning.

I samtliga fall är det uppsåtet som avgör om handlingen är brottslig.

Anstiftan till, medhjälp till, främjande av och försök till någon av de ovannämnda handlingarna medför också påföljder.

Varje medlemsland ska vidta de åtgärder som är nödvändiga för att se till att dessa brott är belagda med effektiva, proportionella och avskräckande straffrättsliga påföljder.

Om brottet har begåtts inom ramen för en sådan kriminell organisation som avses i detta direktiv, och om brottet har orsakat allvarliga skador eller påverkat väsentliga intressen, anses detta som en försvårande omständighet. Det tillämpas likadant om ett brott har begåtts under en annan persons identitet och orsakar skada för den personen.

Direktivet innehåller också kriterier för fastställande av juridiska personers ansvar, och där fastställs sanktioner som kan tillämpas om de anses vara ansvariga.

Varje medlemsland är ansvarigt för de handlingar som begås inom dess territorium eller av en av dess medborgare. Om brottet berör flera medlemsländers jurisdiktioner ska de samarbeta för att bestämma vilket av dem som ska vidta rättsliga åtgärder mot gärningsmannen.

Förbättrat samarbete

För att lättare bekämpa it-brottslighet uppmanar direktivet till ett större, internationellt samarbete mellan rättsliga och brottsbekämpande myndigheter.

Därför måste EU-länderna

• ha en operativ nationell kontaktpunkt,
• använda det befintliga nätverket med kontaktpunkter som är tillgängliga dygnet runt,
• svara på akuta hjälpförfrågningar inom åtta timmar för att ange huruvida begäran kommer att besvaras samt den beräknade tidpunkten för svaret,
• samla in statistiska uppgifter om it-brottslighet.

Detta direktiv bygger på och ersätter rådets rambeslut 2005/222/RIF om angrepp mot informationssystem. Det vidareutvecklar även Europarådets konvention om it-brottslighet från 2001, som verkar som en förlaga för nationell och regional lagstiftning om it-brottslighet och som även upprättar en gemensam grund för samarbete inom och utanför EU.

ANKNYTANDE RÄTTSAKTER

Rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem.

Europarådets konvention om it-brottslighet

Senast ändrat 02.04.2014