23.7.2011   

CS

Úřední věstník Evropské unie

C 218/130

1.1

Výbor vítá sdělení Komise o návrhu směrnice Evropského parlamentu a Rady o útocích proti informačním systémům. Výbor sdílí hluboké znepokojení Komise ohledně rozsahu kybernetické trestné činnosti v Evropě a stávajících a potenciálních škod v oblasti hospodářství a životních podmínek občanů, které vyplývají z této rostoucí hrozby.

1.2

Výbor rovněž sdílí zklamání Komise nad tím, že Úmluvu Rady Evropy o kybernetické trestné činnosti („Úmluva o kybernetické trestné činnosti“) zatím ratifikovalo pouze 17 z 27 členských států. (1) Výbor vyzývá zbývající členské státy (2) – Belgii, Českou republiku, Irsko, Řecko, Lucembursko, Maltu, Rakousko, Polsko, Švédsko a Spojené království, aby úmluvu o kybernetické trestné činnosti ratifikovaly co nejdříve.

1.3

Výbor souhlasí s Komisí, že je naléhavě třeba přijmout směrnici upravující definici trestných činů v oblasti útoků proti informačním systémům a posilující koordinaci trestního soudnictví v EU a spolupráci na účinném řešení tohoto vážného problému.

1.4

Vzhledem k naléhavé potřebě legislativních kroků konkrétně zaměřených na útoky proti informačním systémům Výbor souhlasí s rozhodnutím Komise využít politické možnosti v podobě směrnice, jež bude podporována nelegislativními opatřeními zacílenými na tento specifický aspekt kybernetické trestné činnosti.

1.5

V souladu se svým předchozím stanoviskem (3) si nicméně Výbor přeje, aby Komise pokračovala v souběžné práci na návrhu uceleného právního předpisu EU zaměřeného na kybernetickou trestnou činnost. Výbor se domnívá, že komplexní rámec je zásadně důležitý pro úspěch digitální agendy a strategie Evropa 2020 (4). Tento rámec by měl kromě prosazování práva a sankcí zahrnovat také prevenci, detekci a problematiku vzdělávání.

1.6

EHSV by ve vhodnou chvíli rád zvážil návrhy Komise na vypracování komplexního rámce k řešení obecného tématu bezpečnosti internetu. V časovém horizontu deseti let, kdy většina obyvatelstva bude používat internet a na internetu bude závislá většina hospodářské a sociální aktivity, je těžko představitelné, že bychom nadále mohli vystačit se současným nekoncepčním a nestrukturovaným přístupem k využívání internetu, především vzhledem k nevyčíslitelnému ekonomickému významu této aktivity. Před námi budou četná témata včetně takových výzev, jako je zabezpečení osobních údajů, ochrana soukromí a kybernetická trestná činnost. Bezpečnost letecké dopravy je řízena ústředním orgánem, který stanoví normy pro letadla, letiště a letecký provoz. Je načase vytvořit analogický orgán, který by vydával normy pro koncová zařízení odolná vůči chybám obsluhy (osobní počítače, tablety, inteligentní telefony), normy pro zabezpečení sítí, zabezpečení internetových stránek a zabezpečení dat. Fyzická konfigurace internetu je klíčovým prvkem obrany proti kybernetické trestné činnosti. EU bude potřebovat regulační orgán, do jehož pravomoci bude náležet internet.

1.7

Směrnice se zaměří na definování této trestné činnosti a hrozbu trestů. EHSV žádá, aby se souběžně řešila prevence pomocí lepších bezpečnostních opatření. Výrobci zařízení by měli dodržovat normy a dodávat vybavení odolné vůči chybám obsluhy. Není přijatelné, aby bezpečnost zařízení, a tedy i sítě, závisela na rozmarech uživatele. Je třeba zvážit zavedení celoevropské elektronické identifikace, která však musí být promyšleně navržena tak, aby nedocházelo k narušení osobního soukromí; následovat by mělo plné využití bezpečnostních kapacit IPv6 a základní součástí vzdělání k digitální gramotnosti by měla být výuka osobního kybernetického zabezpečení občanů, včetně zabezpečení dat. Komise by měla přihlížet k předchozím stanoviskům Výboru, která se zabývala těmito tématy. (5)

1.8

Výbor vyjadřuje uspokojení nad tím, že návrh směrnice odpovídajícím způsobem zahrnuje útoky proti informačním systémům pomocí tzv. botnetů (6), včetně útoků typu „denial of service“ (7). Výbor se rovněž domnívá, že tato směrnice pomůže orgánům stíhat kybernetickou trestnou činnost, která se pokouší zneužívat mezinárodní propojení sítí, a stíhat pachatele, kteří se snaží skrýt v anonymitě prostřednictvím vyspělých nástrojů kybernetické trestné činnosti.

1.9

Výbor také vítá, že směrnice obsahuje soupis trestných činů, zejména pak to, že tento seznam zahrnuje „protiprávní sledování“ a jasné vysvětlení v otázce „prostředků použitých k páchání trestných činů“.

1.10

S ohledem na význam důvěry v digitální ekonomiku a její bezpečnost a na obrovské roční finanční náklady způsobené kybernetickou trestnou činností (8) nicméně Výbor navrhuje, aby výše trestů stanovená ve směrnici zohledňovala závažnost trestného činu a aby také působila na pachatele jako skutečný odstrašující prostředek. Návrh směrnice stanovuje nejnižší hranici trestu na 2 roky, resp. na 5 let odnětí svobody (5 let za přitěžujících okolností). EHSV předpokládá, že rozmezí ukládaných trestů bude odpovídat závažnosti této trestné činnosti.

1.11

EHSV navrhuje využít nyní příležitosti a vyslat prostřednictvím stanovení přísnějších postihů silný signál pachatelům trestné činnosti a občanům, kteří hledají jistotu. Například ve Spojeném království (9) jsou tresty za rozsáhlé útoky proti informačním systémům až 10 let odnětí svobody a Estonsko zvýšilo tresty, jež lze uložit za využití rozsáhlých útoků k teroristické činnosti, až na 25 let odnětí svobody. (10)

1.12

Výbor vítá návrh Komise podpořit tuto směrnici nelegislativními opatřeními, jež by působila ve prospěch koordinovanějšího postupu na úrovni EU a účinnějšího prosazování směrnice. EHSV by chtěl také připomenout potřebu širší koordinace, která by zahrnovala těsnou spolupráci se všemi zeměmi EFTA a NATO.

1.13

Výbor důrazně podporuje školicí programy a doporučení osvědčených postupů navržené za účelem zvýšení efektivity stávajících kontaktních míst s nepřetržitým provozem pro donucovací orgány.

1.14

Výbor vyzývá Komisi, aby kromě nelegislativních opatření zmíněných v návrhu zaměřila fondy pro výzkum a vývoj zvláště na vývoj systémů včasného zjištění a reakce, které se budou zabývat útoky proti informačním systémům. Špičkové technologie cloud computing  (11) a grid computing  (12) mají potenciál poskytnout Evropě vyšší ochranu před mnohými hrozbami.

1.15

Výbor navrhuje, aby agentura ENISA financovala program zaměřený na rozvoj dovedností v zájmu posílení evropského odvětví bezpečnosti IKT mimo oblast vymáhání práva. (13)

1.16

V zájmu posílení ochrany Evropy před kybernetickými útoky Výbor opětovně zdůrazňuje význam vývoje Evropského partnerství mezi veřejným a soukromým sektorem pro odolnost (E3PR) a chce jej propojit s činností Evropské agentury pro bezpečnost sítí a informací (ENISA) a Evropské vládní skupiny CERT (EGC).

1.17

V Evropě by mělo být podporováno silné odvětví bezpečnosti informací, které by drželo krok se schopnostmi tohoto odvětví v USA, jež je velmi dobře financováno (14). Je třeba podstatně zvýšit objem investic do výzkumu a vývoje a vzdělávání v oblasti kybernetické bezpečnosti.

1.18

Výbor bere na vědomí výjimky z ustanovení navrhované směrnice udělené podle protokolů Smlouvy Spojenému království, Irsku a Dánsku. Nehledě na tyto výjimky Výbor tyto členské státy vyzývá, aby podle ustanovení směrnice v co možná největší míře spolupracovaly, aby se pachatelům trestné činnosti zabránilo využívat mezer v politikách v rámci EU.

2.1

Evropa je dnes při vytváření bohatství a kvality našich životů velmi závislá na informačních systémech. Je důležité, aby naši rostoucí závislost v tomto směru doprovázela vzrůstající propracovanost bezpečnostních opatření a silné právní předpisy na ochranu proti útokům na informační systémy.

2.2

Internet je základní platformou digitální společnosti. Vypořádávání se s hrozbami pro bezpečnost informačních systémů je pro rozvoj digitální společnosti a digitální ekonomiky životně důležité. Internet je nositelem kritické informační infrastruktury Evropy: podporuje informační a komunikační platformy pro poskytování základního zboží a služeb. Útoky proti informačním systémům – vládním a finančním systémům, systémům sociálních služeb a zásadně důležitým systémům kritické infrastruktury, jako jsou dodávky energie, vody, doprava, zdravotní a pohotovostní služby – se staly zásadním problémem.

2.3

Architektura internetu je založena na vzájemném propojení milionů počítačů s globálně distribuovaným zpracováním, komunikací a řízením. Tato distribuovaná architektura je klíčová pro stabilitu a odolnost internetu a pro rychlou obnovu datového přenosu v případě vzniku problému. Také to však znamená, že prakticky kdokoliv se špatným úmyslem a základní znalostí problematiky může z okraje sítě spustit rozsáhlé počítačové útoky, např. využitím botnetů.

2.4

Problémy ještě vyostřil vývoj v oblasti informačních technologií, který usnadnil výrobu a šíření nástrojů („škodlivého softwaru“ (15) a „botnetů“) a zároveň zajistil pachatelům anonymitu a rozptýlil odpovědnost do jurisdikce více států. Kvůli obtížím při zahajování trestního stíhání může organizovaná trestná činnost přinášet značné zisky bez velkého rizika.

2.5

Podle studie uskutečněné v roce 2009 (16), jež byla představena na Světovém ekonomickém fóru, dosahují škody způsobené kybernetickou trestnou činností částky jednoho bilionu USD a rychle rostou. Nedávná zpráva vlády (17) Spojeného království vyčísluje roční škody jen v této zemi na 27 miliard GBP. Vysoké náklady spojené s kybernetickou trestnou činností dávají oprávnění pro tvrdé zakročení, rozhodné prosazování a vysoké tresty pro pachatele.

2.6

Jak je uvedeno v pracovním dokumentu útvarů Komise, který souvisí s návrhem směrnice (18), organizovaný zločin a nepřátelské vlády využívají zničujícího potenciálu útoků proti informačním systémům po celé EU. Útoky z těchto botnetů mohou být velmi nebezpečné pro celou postiženou zemi a mohou je využívat teroristé nebo jiní útočníci jako nástroj k vytvoření politického nátlaku na daný stát.

2.7

Útok na Estonsko, který proběhl v dubnu až květnu roku 2007, na tento problém jasně upozornil. Tento útok vzhledem k velkému rozsahu vyřadil z provozu důležité součásti kritické informační infrastruktury ve vládním i soukromém sektoru na několik dní, přičemž způsobil škody ve výši 19–28 milionů EUR a značné škody politické. Podobné zničující útoky byly provedeny rovněž proti Litvě a Gruzii.

2.8

Globální komunikační sítě se vyznačují vysokou míru přeshraničního propojení. Je zásadně důležité, aby všech 27 členských států podniklo společný a jednotný krok ve věci boje s kybernetickou trestnou činností a zejména s útoky proti informačním systémům. Vzhledem k této mezinárodní provázanosti má EU povinnost zavést integrovanou politiku v oblasti ochrany informačních systémů před útoky a postihů pachatelů souvisejících trestných činů.

2.9

Ve svém stanovisku z roku 2007 ke sdělení „Strategie pro bezpečnou informační společnost“ (19) Výbor prohlásil, že by chtěl, aby byl vytvořen komplexní právní předpis EU zaměřený proti kybernetické trestné činnosti. Kromě útoků proti informačním systémům by měl tento komplexní rámec zahrnovat i finanční kybernetickou trestnou činnost, nelegální internetový obsah, sběr/skladování/převod elektronických důkazů a podrobnější pravidla o soudní pravomoci.

2.10

Výbor uznává, že vytvoření komplexního právního rámce je velmi obtížný úkol, který je navíc ztěžován tím, že neexistuje politický konsensus (20) a že přetrvávají potíže týkající se zásadních rozdílů mezi jednotlivými členskými státy v otázkách přípustnosti elektronických důkazů u soudu. Takový komplexní rámec by nicméně maximalizoval přínos legislativních i nelegislativních nástrojů pro řešení širokého spektra problémů s kybernetickou trestnou činností. Také by se zabýval rámcem trestního práva a zároveň by zlepšoval spolupráci při vymáhání práva v rámci EU. Výbor naléhavě vyzývá Komisi, aby pokračovala v práci na komplexním právním rámci pro kybernetickou trestnou činnost.

2.11

Boj s kybernetickou trestnou činností vyžaduje zvláštní dovednosti. Ve stanovisku Výboru k návrhu nařízení o agentuře ENISA (21) se zdůrazňuje význam odborné přípravy osob působících v oblasti vymáhání práva. Výbor vítá, že Komise zaznamenává pokrok v souvislosti se zřizováním platformy pro odborné vzdělávání v problematice kybernetické trestné činnosti, jež se vztahuje i na prosazování práva a soukromý sektor, jak je navrhováno v dokumentu KOM(2007) 267 (22).

2.12

K zúčastněným stranám v oblasti kybernetické bezpečnosti v EU patří každý občan, jehož život může záviset na nezbytných službách. Právě tito občané mají odpovědnost co nejlépe chránit své připojení k internetu proti útokům. Ještě větší odpovědnost pak mají poskytovatelé technologie a služeb IKT, kteří dodávají informační systémy.

2.13

Je zásadně důležité, aby všechny zúčastněné strany byly přiměřeně informovány o kybernetické bezpečnosti. Je také důležité, aby měla Evropa k dispozici velký počet kvalifikovaných odborníků v oblasti bezpečnosti.

2.14

V Evropě by mělo být podporováno silné odvětví bezpečnosti informací, které by drželo krok se schopnostmi tohoto odvětví v USA, jež je velmi dobře financováno (23). Investice do výzkumu a vývoje a vzdělávání v oblasti kybernetické bezpečnosti by měly být podstatně zvýšeny.

3.1

Cílem tohoto návrhu je nahradit rámcové rozhodnutí Rady 2005/222/SVV ze dne 24. února 2005 o útocích proti informačním systémům (24). Rámcové rozhodnutí bylo zaměřeno, jak je uvedeno v jeho bodech odůvodnění, na zlepšení spolupráce mezi justičními a jinými příslušnými orgány, včetně policie a dalších donucovacích orgánů členských států, prostřednictvím sbližování trestněprávních předpisů v členských státech v oblasti útoků proti informačním systémům. Zavedlo právní předpisy EU pro boj s takovými trestnými činy, jako jsou protiprávní přístup k informačním systémům, protiprávní zásah do systému a protiprávní zásah do dat, i konkrétní pravidla odpovědnosti právnických osob, soudní pravomoci a výměny informací. Členské státy měly přijmout opatření nezbytná pro dosažení souladu s rámcovým rozhodnutím do 16. března 2007.

3.2

Dne 14. července 2008 Komise zveřejnila zprávu o provádění rámcového rozhodnutí (25). V závěrech této zprávy bylo uvedeno, že nedávné „útoky, k nimž došlo po přijetí rámcového rozhodnutí na různých místech Evropy, zdůraznily několik nově se objevujících hrozeb. Jedná se zejména o nový druh masivních souběžných útoků proti informačním systémům a zvýšené trestné používání tzv. botnetů“. V době přijetí rámcového rozhodnutí tyto útoky ještě nebyly v centru pozornosti.

3.3

Tento návrh bere ohled na nové metody páchání kybernetické trestné činnosti, zvláště na používání botnetů (26). Vypátrání pachatelů je velice obtížné, protože počítače, které vytvářejí botnet a provádějí útoky, se mohou nacházet jinde než pachatel sám.

3.4

Útoky prováděné pomocí botnetů jsou často velice rozsáhlé. Za rozsáhlé útoky se považují buď útoky provedené pomocí nástrojů, které ovlivňují vysoký počet počítačových systémů (počítačů), nebo útoky, které způsobí značnou škodu, např. z hlediska narušení systémových služeb, finančních nákladů, ztráty osobních informací atd. Škody způsobené rozsáhlými útoky mají velký dopad na fungování samotného cíle a/anebo ovlivňují jeho pracovní prostředí. Za „velký botnet“ se proto považuje botnet schopný způsobit závažnou škodu. Je obtížné definovat botnety podle velikosti, ale největší doložené botnety měly podle odhadů 40 000 až 100 000 připojení (tedy napadených počítačů) během 24 hodin (27).

3.5

Rámcové rozhodnutí má kvůli rostoucímu rozsahu a počtu trestných činů (kybernetických útoků) řadu nedostatků. Sbližuje právní předpisy pouze u omezeného počtu trestných činů, ale nepřináší komplexní řešení potenciální hrozby, kterou pro společnost představují útoky velkého rozsahu. Kromě toho dostatečně nezohledňuje závažnost trestných činů a související sankce.

3.6

Cílem této směrnice je sblížit trestněprávní předpisy členských států v oblasti útoků proti informačním systémům a zlepšit spolupráci mezi justičními a jinými příslušnými orgány, včetně policie a dalších specializovaných donucovacích orgánů členských států.

3.7

Útoky proti informačním systémům, zejména jsou-li projevem organizované trestné činnosti, představují rostoucí ohrožení; šíří se obavy z potenciálních teroristických anebo politicky motivovaných útoků na informační systémy, jež jsou součástí kritické infrastruktury členských států a Unie. Tato skutečnost ohrožuje vytváření bezpečnější informační společnosti a oblasti svobody, bezpečnosti a práva, a proto je třeba na ni reagovat na úrovni Evropské unie.

3.8

Existují důkazy o směřování ke stále nebezpečnějším a opakovaným rozsáhlým útokům namířeným proti informačním systémům, které jsou kritické pro jednotlivé státy nebo pro konkrétní funkce ve veřejném nebo soukromém sektoru. Tuto tendenci doprovází vývoj stále vyspělejších nástrojů, jež mohou pachatelé trestných činů využívat k provádění kybernetických útoků různých druhů.

3.9

Pro zajištění konsistentního přístupu členských států k uplatňování této směrnice je třeba v této oblasti přijmout společné definice, zejména definice informačních systémů a počítačových dat.

3.10

Je třeba dosáhnout společného přístupu k základním prvkům trestných činů zavedením jednotné definice trestných činů protiprávního přístupu k informačním systémům, protiprávního zásahu do systému, protiprávního zásahu do dat a protiprávního sledování.

3.11

Členské státy by měly stanovit postihy za útoky proti informačním systémům. Stanovené sankce by měly být účinné, přiměřené a měly by mít odstrašující efekt.

3.12

Směrnice, kterou se ruší rámcové rozhodnutí 2005/22/SVV, zachová jeho stávající ustanovení a doplní následující nové prvky: