17.5.2019   

BG

Официален вестник на Европейския съюз

LI 129/13


РЕШЕНИЕ (ОВППС) 2019/797 НА СЪВЕТА

от 17 май 2019 година

относно ограничителни мерки срещу кибератаки, застрашаващи Съюза или неговите държави членки

СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взе предвид Договора за Европейския съюз, и по-специално член 29 от него,

като взе предвид предложението на върховния представител на Съюза по въпросите на външните работи и политиката на сигурност,

като има предвид, че:

(1)

На 19 юни 2017 г. Съветът прие заключения относно рамка за съвместен дипломатически отговор на ЕС срещу злонамерени действия в киберпространството („инструментариум за кибердипломация“), в които Съветът изрази своята загриженост поради нарасналите способности и засиленото желание на държавни и недържавни участници да преследват свои собствени цели, като предприемат злонамерени действия в киберпространството, и потвърди растящата нужда от защита на целостта и сигурността на Съюза, на неговите държави членки и на техните граждани срещу киберзаплахи и злонамерени действия в киберпространството.

(2)

Съветът подчерта, че подаването на ясни сигнали за вероятните последици от съвместен дипломатически отговор на Съюза срещу такива злонамерени действия в киберпространството влияе върху поведението на потенциалните нарушители в киберпространството, като чрез тях се укрепва сигурността на Съюза и неговите държави членки. Той заяви освен това, че мерките в рамките на общата външна политика и политика на сигурност (ОВППС), включително, ако е необходимо, ограничителните мерки, приети по силата на съответните разпоредби на Договорите, са подходящи за рамка за съвместен дипломатически отговор на Съюза срещу злонамерени действия в киберпространството с цел да насърчават сътрудничеството, да улесняват ограничаването на непосредствените и дългосрочните заплахи и да оказват влияние върху поведението на потенциалните извършители в дългосрочен план.

(3)

На 11 октомври 2017 г. Комитетът по политика и сигурност одобри насоки за прилагане на инструментариума за кибердипломация. В насоките за прилагане са посочени пет категории мерки, включително ограничителни мерки, в рамките на инструментариума за кибердипломация, както и процесът за тяхното задействане.

(4)

В заключенията на Съвета от 16 април 2018 г. относно злонамерените действия в киберпространството категорично се осъжда злонамереното използване на информационни и комуникационни технологии (ИКТ) и се подчертава, че използването на ИКТ със злонамерени цели е неприемливо, тъй като то подкопава стабилността, сигурността и ползите от интернет и използването на ИКТ. Съветът припомни, че инструментариумът за кибердипломация допринася за предотвратяването на конфликти, сътрудничеството и стабилността в киберпространството, определяйки мерките по линия на ОВППС, включително ограничителните мерки, които могат да се използват за предотвратяване на злонамерени действия в киберпространството и реакция срещу тях. Той заяви намерението на Съюза да продължи категорично да отстоява, че действащото международно право е приложимо за киберпространството, и изтъкна, че зачитането на международното право, и по-специално на Хартата на Организацията на обединените нации, е от съществено значение за поддържането на мира и стабилността. Съветът също подчерта, че държавите не трябва да използват подставени лица за извършването на неправомерни в международен план действия, при които се използват ИКТ, и следва да се стремят да гарантират, че тяхната територия не се използва от недържавни участници за извършването на такива действия, както е посочено в доклада от 2015 г. на групите правителствени експерти към ООН по въпросите на развитието в областта на информацията и телекомуникациите в контекста на международната сигурност.

(5)

На 28 юни 2018 г. Европейският съвет прие заключения, в които подчерта необходимостта от укрепване на способностите за реагиране при заплахи за киберсигурността от държави извън Съюза. Европейският съвет прикани институциите и държавите членки да изпълнят мерките, предвидени в съвместното съобщение на Комисията и на Върховния представител на Европейския съюз по въпросите на външните работи и политиката за сигурност от 13 юни 2018 г., озаглавено „Повишаване на устойчивостта и укрепване на способностите за борба с хибридните заплахи“, включително практическото използване на инструментариума за кибердипломация.

(6)

Вследствие на заключенията на Съвета от 19 юни 2017 г. Европейският съвет прие на 18 октомври 2018 г. заключения, в които се призовава да се придвижи работата по отношение на капацитета за ответни действия и възпиране на кибератаки чрез предприемане на ограничителни мерки от страна на Съюза.

(7)

В този контекст с настоящото решение се създава рамка за целенасочени ограничителни мерки за възпиране и противодействие на кибератаки със значително въздействие, които представляват външна заплаха за Съюза или за неговите държави членки. Когато бъде счетено за необходимо за постигане на целите на ОВППС, съдържащи се в съответните разпоредби на член 21 от Договора за Европейския съюз, настоящото решение позволява да бъдат приложени ограничителни мерки и в отговор на кибератаки със значително въздействие срещу трети държави или международни организации.

(8)

За да имат възпиращ ефект, целенасочените ограничителни мерки следва да бъдат съсредоточени върху умишлени кибератаки, попадащи в обхвата на настоящото решение.

(9)

Целенасочените ограничителни мерки следва да се разграничават от вменяването на отговорност за кибератаки на трета държава. Прилагането на целенасочени ограничителни мерки не се свежда до вменяване на такава отговорност, което е суверенно политическо решение, вземано за всеки отделен случай. Всяка държава членка е свободна да определи сама дали да вмени отговорността за кибератаките на трета държава.

(10)

Необходими са допълнителни действия от страна на Съюза за изпълнение на определени мерки,

ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:

Член 1

1.   Настоящото решение се прилага по отношение на кибератаки със значително въздействие, включително опити за кибератаки с потенциално значително въздействие, които представляват външна заплаха за Съюза или за неговите държави членки.

2.   Кибератаките, представляващи външна заплаха, включват кибератаките:

а)

които водят началото си или се извършват от място извън Съюза;

б)

за които се използва инфраструктура извън Съюза;

в)

които се извършват от което и да било физическо или юридическо лице, образувание или орган, установено или упражняващо дейност извън Съюза; или

г)

които се извършват с подкрепата, под ръководството или под контрола на физическо или юридическо лице, образувание или орган, упражняващо дейност извън Съюза.

3.   За тази цел кибератаките са действия, които включват което и да било от следните:

а)

достъп до информационни системи;

б)

намеса в информационни системи;

в)

намеса в данни; или

г)

прихващане на данни,

когато тези действия не са надлежно разрешени от собственика или от друг държател на правата за системата, данните или част от тях, или когато не са разрешени съгласно правото на Съюза или на съответната държава членка.

4.   Кибератаките, представляващи заплаха за държавите членки, включват кибератаки, които засягат информационните системи, свързани, наред с останалото, с:

а)

критичната инфраструктура, включително подводни кабели и изстреляни в космическото пространство обекти, която е от основно значение за поддържането на жизненоважни функции на обществото или за здравето, безопасността, сигурността и икономическото или социалното благосъстояние на хората;

б)

услугите, необходими за поддържането на основните обществени и/или икономически дейности, по-специално в секторите на енергетиката (електричество, петрол и газ); транспорта (въздушен, железопътен, воден и автомобилен); банковото дело; инфраструктурите на финансовия пазар; здравеопазването (доставчици на здравни услуги, болници и частни клиники); снабдяването с питейна вода и разпределението на питейна вода; цифровата инфраструктура; и всеки друг сектор, който е от основно значение за съответната държава членка;

в)

критичните функции на държавата, по-специално в сферите на отбраната, управлението и работата на институциите, включително за избори или за избирателния процес, функционирането на икономическата или гражданската инфраструктура, вътрешната сигурност и външните отношения, включително посредством дипломатическите мисии;

г)

съхранението или обработката на класифицирана информация; или

д)

държавните екипи за реагиране при извънредни ситуации.

5.   Кибератаките представляват заплаха за Съюза, включително тези, които са насочени срещу неговите институции, органи, служби и агенции, срещу неговите делегации в трети държави или към международни организации, срещу операциите и мисиите му в рамките на общата политика за сигурност и отбрана (ОПСО) и срещу специалните му представители.

6.   Когато бъде счетено за необходимо за постигане на целите на ОВППС, съдържащи се в съответните разпоредби на член 21 от Договора за Европейския съюз, ограничителните мерки съгласно настоящото решение могат да бъдат приложени и в отговор на кибератаки със значително въздействие срещу трети държави или международни организации.

Член 2

За целите на настоящото решение се използват следните определения:

а)

„Информационни системи“ означава устройство или група от взаимосвързани или имащи връзка помежду си устройства, едно или повече от които, съобразно дадена програма, извършват автоматизирано обработване на цифрови данни, както и цифровите данни, съхранявани, обработвани, извличани или предавани от такова устройство или група от устройства с цел експлоатация, използване, защита и поддръжка на устройството или групата устройства;

б)

„Намеса в информационна система“ означава затрудняване или прекъсване на функционирането на информационна система чрез внасяне на цифрови данни, чрез предаване, увреждане, заличаване, влошаване, изменение или скриване на такива данни или чрез премахване на достъпа до такива данни;

в)

„Намеса в данни“ означава заличаване, увреждане, влошаване, изменение или скриване на цифрови данни в информационна система или премахване на достъпа до такива данни. Това включва също така кражбата на данни, финансови средства, икономически ресурси или интелектуална собственост;

г)

„Прихващане на данни“ означава извършено с технически средства прихващане на непублични цифрови данни, изпращани до дадена информационна система, от нея или в нейните рамки, включително електромагнитни емисии от информационна система, пренасящи такива цифрови данни.

Член 3

Факторите, определящи дали дадена кибератака има значително въздействие съгласно посоченото в член 1, параграф 1, включват всеки един от изредените:

а)

обхватът, мащабът, въздействието или сериозността на предизвиканото прекъсване, включително за икономическите и обществените дейности, основните услуги, критичните държавни функции, обществения ред или обществената безопасност;

б)

броят на засегнатите физически или юридически лица, образувания или органи;

в)

броят на засегнатите държави членки;

г)

размерът на предизвиканата икономическа загуба, например чрез широкомащабно присвояване на средства, икономически ресурси или интелектуална собственост;

д)

икономическата полза, която извършителят е извлякъл за себе си или за други;

е)

размерът или естеството на откраднатите данни или мащабът на пробивите в сигурността на данните; или

ж)

естеството на чувствителната търговска информация, до която е постигнат достъп.

Член 4

1.   Държавите членки предприемат необходимите мерки за предотвратяване на влизането или транзитното преминаване през тяхна територия на:

а)

физически лица, които са отговорни за кибератаки или опити за кибератаки;

б)

физически лица, които предоставят финансова, техническа или материална подкрепа или са замесени по друг начин в кибератаки или опити за кибератаки, включително чрез планиране, подготовка, участие, ръководене, подпомагане или поощряване на такива атаки или чрез улесняването им посредством действие или бездействие;

в)

физически лица, свързани с лицата по букви а) и б);

които са изброени в приложението.

2.   Параграф 1 не задължава никоя държава членка да отказва на собствените си граждани да влязат на нейна територия.

3.   Параграф 1 не засяга случаите, когато дадена държава членка е обвързана от задължение по международното право, а именно:

а)

в качеството ѝ на приемаща държава на международна междуправителствена организация;

б)

като държава домакин на международна конференция, свикана от Организацията на обединените нации или под нейната егида;

в)

съгласно многостранно споразумение, предоставящо привилегии и имунитети; или

г)

съгласно Договора за помирение от 1929 г. (Латерански договор), сключен от Светия престол (Ватикана) и Италия.

4.   Параграф 3 се смята за приложим и в случаите, когато държава членка е домакин на Организацията за сигурност и сътрудничество в Европа (ОССЕ).

5.   Съветът се информира надлежно във всеки един от случаите, когато някоя държава членка предоставя освобождаване от мерките в съответствие с параграф 3 или 4.

6.   Държавите членки могат да предоставят освобождаване от мерките, наложени съгласно параграф 1, когато пътуването е обосновано от съображения, свързани със спешни хуманитарни нужди или участие в междуправителствени срещи или срещи, провеждани с подкрепата на Съюза или чийто домакин е Съюзът, или чийто домакин е държава членка, която е поела председателството на ОССЕ, на които се води политически диалог, пряко насърчаващ постигането на целите на политиката на ограничителни мерки, включително сигурността и стабилността в киберпространството.

7.   Държавите членки могат също да предоставят освобождаване от мерките, наложени съгласно параграф 1, когато влизането или транзитното преминаване е необходимо за провеждането на съдебен процес.

8.   Държава членка, която желае да предостави освобождаване от мерките съгласно параграф 6 или 7, уведомява Съвета за това в писмена форма. Счита се, че е предоставено освобождаване, освен ако един или няколко от членовете на Съвета не възразят в писмена форма в срок от два работни дни от получаването на уведомлението за предложеното освобождаване. В случай че един или повече от членовете на Съвета повдигнат възражение, Съветът може да реши с квалифицирано мнозинство да предостави предложеното освобождаване.

9.   Когато съгласно параграфи 3, 4, 6, 7 или 8 държава членка разреши влизане или транзитно преминаване през нейна територия на лица, включени в списъка в приложението, разрешението е строго ограничено до целта, за която е дадено, и до лицата, за които се отнася пряко.

Член 5

1.   Замразяват се всички финансови средства и икономически ресурси, принадлежащи на, притежавани, държани или контролирани от:

а)

физически или юридически лица, образувания или органи, които са отговорни за кибератаки или опити за кибератаки;

б)

физически или юридически лица, образувания или органи, които предоставят финансова, техническа или материална подкрепа или са замесени по друг начин в кибератаки или опити за кибератаки, включително чрез планиране, подготовка, участие, ръководене, подпомагане или поощряване на такива атаки или чрез улесняването им посредством действие или бездействие;

в)

физически или юридически лица, образувания или органи, свързани с физическите или юридическите лица, образуванията или органите, посочени в букви а) и б);

които са изброени в приложението.

2.   Никакви финансови средства или икономически ресурси не се предоставят пряко или непряко на или в полза на физическите или юридическите лица, образуванията или органите, изброени в приложението.

3.   Чрез дерогация от параграфи 1 и 2, компетентните органи на държавите членки може да разрешат освобождаването на определени замразени финансови средства или икономически ресурси или предоставянето на определени финансови средства или икономически ресурси при условията, които преценят за подходящи, след като са установили, че съответните финансови средства или икономически ресурси са:

а)

необходими за задоволяването на основни нужди на физическите лица, изброени в приложението, и на членове на семейството на издръжка на такива физически лица, включително плащания във връзка с хранителни продукти, наем или ипотека, лекарства и медицинско обслужване, данъци, застрахователни премии и такси за комунални услуги;

б)

предназначени изключително за заплащането на разумни по размер хонорари за професионални услуги или за възстановяването на направени разходи, свързани с предоставени правни услуги;

в)

предназначени изключително за заплащането на хонорари или такси за услуги за текущо съхранение или обслужване на замразени финансови средства или икономически ресурси;

г)

необходими за плащането на извънредни разходи, при условие че най-малко две седмици преди да даде разрешение, съответният компетентен орган е уведомил компетентните органи на останалите държави членки и Комисията за съображенията, поради които смята, че следва да бъде дадено конкретното разрешение; или

д)

предназначени за плащане по или от банкова сметка на дипломатическо представителство или консулска служба или на международна организация, ползваща се с имунитет съгласно международното право, доколкото тези плащания са предназначени за официални цели на дипломатическото представителство, консулската служба или международната организация.

Съответната държава членка информира останалите държави членки и Комисията за всяко разрешение, дадено съгласно настоящия параграф.

4.   Чрез дерогация от параграф 1, компетентните органи на държавите членки могат да разрешат освобождаването на определени замразени финансови средства или икономически ресурси, ако са изпълнени следните условия:

а)

финансовите средства или икономическите ресурси са предмет на арбитражно решение, постановено преди датата на включване в списъка в приложението на физическото или юридическо лице, образуванието или органа по параграф 1, или на съдебно решение или административен акт, постановени в Съюза, или на съдебно решение, подлежащо на изпълнение в съответната държава членка, преди или след тази дата;

б)

финансовите средства или икономическите ресурси ще се използват изключително за удовлетворяване на претенции, уважени с такова решение или акт или признати за основателни в такова решение, в рамките на приложимите законови и подзаконови актове, уреждащи правата на лицата, предявили тези претенции;

в)

решението или актът не е в полза на физическо или юридическо лице, образувание или орган, изброени в приложението; и

г)

признаването на решението или акта не противоречи на обществения ред в съответната държава членка.

Съответната държава членка информира останалите държави членки и Комисията за всяко разрешение, дадено съгласно настоящия параграф.

5.   Параграф 1 не възпрепятства физически или юридически лица, образувания или органи, изброени в приложението, да извършват дължими плащания по договори, сключени от тях преди датата на включване на тези физически или юридически лица, образувания или органи в списъка в приложението, ако съответната държава членка установи, че плащанията не се получават пряко или непряко от посочени в параграф 1 физически или юридически лица, образувания или органи.

6.   Параграф 2 не се прилага за добавянето към замразени сметки на:

а)

лихви и други приходи по тези сметки;

б)

плащания, дължими по договори, споразумения или задължения, които са сключени или възникнали преди датата, на която мерките, предвидени в параграфи 1 и 2, са започнали да се прилагат за тези сметки; или

в)

плащания, дължими съгласно съдебни, административни или арбитражни решения, постановени в Съюза или изпълними в съответната държава членка,

при условие че за всички тези лихви, други приходи и плащания продължават да се прилагат мерките, предвидени в параграф 1.

Член 6

1.   По предложение на държава членка или на върховния представител на Съюза по въпросите на външните работи и политиката на сигурност Съветът, като действа с единодушие, съставя и изменя списъка, поместен в приложението.

2.   Съветът съобщава на засегнатите физически или юридически лица, образувания или органи посоченото в параграф 1 решение, включително основанията за включване в списъка, пряко — ако адресът е известен, или чрез публикуване на известие, като на това физическо или юридическо лице, образувание или орган се дава възможност да представи възражения.

3.   Ако бъдат представени възражения или съществени нови доказателства, Съветът прави преглед на посоченото в параграф 1 решение и информира съответното физическо или юридическо лице, образувание или орган за това.

Член 7

1.   В приложението се съдържат основанията за включване в списъка на физическите и юридическите лица, образуванията и органите, посочени в членове 4 и 5.

2.   В приложението се съдържа информацията, необходима за идентифициране на съответните физически или юридически лица, образувания или органи, доколкото е налична. По отношение на физическите лица тази информация може да включва имена и псевдоними, дата и място на раждане, гражданство, номер на паспорта и на личната карта, пол, адрес, когато е известен, и длъжност или професия. По отношение на юридическите лица, образуванията или органите тази информация може да включва наименование, място и дата на регистрация, регистрационен номер и място на дейност.

Член 8

Не се удовлетворяват претенции във връзка с договор или сделка, чието изпълнение е засегнато, пряко или непряко, изцяло или частично, от мерките, наложени с настоящото решение, включително претенции за обезщетение или други претенции от този вид, а именно претенции за компенсация или претенции по гаранция, по-специално претенции за удължаване на срокове или плащане във връзка с обезпечение, гаранция или обезщетение, по-специално финансова гаранция или финансово обезщетение под всякаква форма, ако са предявени от:

а)

посочени физически или юридически лица, образувания или органи, изброени в приложението;

б)

физическо или юридическо лице, образувание или орган, които действат чрез или от името на едно от физическите или юридическите лица, образуванията или органите, посочени в буква а).

Член 9

С цел постигане на максимални резултати с мерките, предвидени в настоящото решение, Съюзът насърчава трети държави да приемат ограничителни мерки, подобни на предвидените в настоящото решение.

Член 10

Настоящото решение се прилага до 18 май 2020 г. и подлежи на редовен преглед. Действието на решението се подновява или то се изменя, в зависимост от случая, ако Съветът прецени, че неговите цели не са постигнати.

Член 11

Настоящото решение влиза в сила в деня след публикуването му в Официален вестник на Европейския съюз.

Съставено в Брюксел на 17 май 2019 година.

За Съвета

Председател

E.O. TEODOROVICI


ПРИЛОЖЕНИЕ

Списък на физическите и юридическите лица, образуванията и органите, посочени в членове 4 и 5

[…]