|
16.3.2005 |
DA |
Den Europæiske Unions Tidende |
L 69/67 |
RÅDETS RAMMEAFGØRELSE 2005/222/RIA
af 24. februar 2005
om angreb på informationssystemer
RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Union, særlig artikel 29, artikel 30, stk. 1, litra a), artikel 31, stk. 1, litra e), og artikel 34, stk. 2, litra b),
under henvisning til forslag fra Kommissionen,
under henvisning til udtalelse fra Europa-Parlamentet (1), og
ud fra følgende betragtninger:
|
(1) |
Formålet med denne rammeafgørelse er at forbedre samarbejdet mellem de retlige og andre kompetente myndigheder, herunder politiet og andre specialiserede retshåndhævende myndigheder i medlemsstaterne, ved at foretage en indbyrdes tilnærmelse af medlemsstaternes strafferetlige regler vedrørende angreb på informationssystemer. |
|
(2) |
Der er beviser for, at der er foretaget angreb på informationssystemer, især som led i organiseret kriminalitet, og der er voksende bekymring for mulige terrorangreb på informationssystemer, der udgør en del af medlemsstaternes kritiske infrastruktur. Dette er en trussel mod etableringen af et sikrere informationssamfund og et område med frihed, sikkerhed og retfærdighed og kræver derfor en reaktion fra EU’s side. |
|
(3) |
En effektiv reaktion på disse trusler kræver en samlet strategi vedrørende net- og informationssikkerheden, som det blev understreget i handlingsplanen for e-Europa, i Kommissionens meddelelse »Net- og informationssikkerhed: Forslag til en europæisk strategi« og i Rådets resolution af 28. januar 2002 om en fælles fremgangsmåde og specifikke aktioner i forbindelse med net- og informationssikkerhed (2). |
|
(4) |
Behovet for yderligere at forbedre kendskabet til problemerne i forbindelse med informationssikkerhed og for at yde praktisk bistand blev også understreget i Europa-Parlamentets beslutning af 5. september 2001. |
|
(5) |
Betydelige mangler i og forskelle mellem medlemsstaternes lovgivning på dette område kan hæmme bekæmpelsen af organiseret kriminalitet og terrorisme og kan vanskeliggøre et effektivt samarbejde mellem politi og retsvæsen i forbindelse med angreb på informationssystemer. Den omstændighed, at moderne informationssystemer går på tværs af landene og landegrænserne, betyder, at angreb på sådanne systemer ofte foregår på tværs af landegrænserne, hvilket understreger det presserende behov for yderligere initiativer med henblik på en indbyrdes tilnærmelse af medlemsstaternes strafferetlige regler på dette område. |
|
(6) |
Rådets og Kommissionens handlingsplan for, hvorledes Amsterdam-traktatens bestemmelser om indførelse af et område med frihed, sikkerhed og retfærdighed bedst kan gennemføres (3), konklusionerne fra Det Europæiske Råds møde i Tammerfors den 15.-16. oktober 1999, konklusionerne fra Det Europæiske Råds møde i Santa Maria da Feira den 19.-20. juni 2000, Kommissionens »resultattavle« og Europa-Parlamentets beslutning af 19. maj 2000 peger på eller tilskynder til lovgivningsinitiativer vedrørende bekæmpelse af højteknologisk kriminalitet, herunder fælles definitioner, gerningsindhold og sanktioner. |
|
(7) |
Det er nødvendigt at supplere det arbejde, der udføres af internationale organisationer, især Europarådets arbejde med at tilnærme landenes strafferet og G8’s arbejde med grænseoverskridende samarbejde inden for højteknologisk kriminalitet, ved at fastlægge en fælles EU-strategi på dette område. Dette blev yderligere uddybet i Kommissionens meddelelse til Rådet, Europa-Parlamentet, Det Økonomiske og Sociale Udvalg og Regionsudvalget med titlen »Et sikrere informationssamfund: Højnelse af sikkerheden i informationsinfrastrukturerne og bekæmpelse af computerrelateret kriminalitet«. |
|
(8) |
Der bør foretages en indbyrdes tilnærmelse af medlemsstaternes strafferet med hensyn til angreb på informationssystemer for at sikre det bedst mulige samarbejde mellem politi og retsvæsen vedrørende strafbare handlinger i forbindelse med angreb på informationssystemer og for at bidrage til bekæmpelsen af organiseret kriminalitet og terrorisme. |
|
(9) |
Alle medlemsstaterne har ratificeret Europarådets konvention af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. De personoplysninger, der behandles i forbindelse med gennemførelsen af denne rammeafgørelse, vil blive beskyttet i overensstemmelse med denne konventions principper. |
|
(10) |
Fælles definitioner på dette område, især af informationssystemer og edb-data, er vigtige for at sikre samme holdning i alle medlemsstaterne til anvendelsen af denne rammeafgørelse. |
|
(11) |
Der er behov for at nå frem til en fælles definition af gerningsindholdet i strafbare handlinger ved at fastlægge fælles definitioner af ulovlig adgang til et informationssystem, ulovligt indgreb i informationssystemer og ulovligt indgreb i data. |
|
(12) |
For at bekæmpe computerrelateret kriminalitet bør hver medlemsstat sikre et effektivt retligt samarbejde med hensyn til lovovertrædelser, der er baseret på adfærd som omhandlet i artikel 2, 3, 4 og 5. |
|
(13) |
Det er nødvendigt at undgå overkriminalisering, især af mindre alvorlige tilfælde, og at undgå kriminalisering af rettighedshavere og autoriserede personer. |
|
(14) |
Medlemsstaterne bør indføre sanktioner for angreb på informationssystemer, der er effektive, står i et rimeligt forhold til den strafbare handling og har en afskrækkende virkning. |
|
(15) |
Der bør indføres strengere sanktioner, når et angreb på et informationssystem bliver begået inden for rammerne af en kriminel organisation som defineret i fælles aktion 98/733/RIA af 21. december 1998 om at gøre det strafbart at deltage i en kriminel organisation i Den Europæiske Unions medlemsstater (4). Der bør også indføres strengere sanktioner, når et sådant angreb har forårsaget alvorlige skader eller har berørt væsentlige interesser. |
|
(16) |
Der bør også træffes foranstaltninger for at etablere et samarbejde mellem medlemsstaterne med henblik på en effektiv indsats mod angreb på informationssystemer. Medlemsstaterne bør derfor med henblik på udveksling af oplysninger gøre brug af det bestående netværk af kontaktpunkter, som er omhandlet i Rådets henstilling af 25. juni 2001 om kontaktpunkter, der fungerer 24 timer i døgnet (5), til bekæmpelse af højteknologikriminalitet. |
|
(17) |
Da målene om at sikre, at angreb på informationssystemer i alle medlemsstaterne straffes med sanktioner, der er effektive, står i et rimeligt forhold til den strafbare handling og har en afskrækkende virkning, og om at forbedre og fremme det retlige samarbejde ved at fjerne potentielle komplikationer, ikke i tilstrækkelig grad kan opfyldes af medlemsstaterne alene — idet reglerne skal være fælles og indbyrdes forenelige — og derfor bedre kan gennemføres på EU-plan, kan EU vedtage foranstaltninger i overensstemmelse med subsidiaritetsprincippet, jf. EF-traktatens artikel 5. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne rammeafgørelse ikke ud over, hvad der er nødvendigt for at nå disse mål. |
|
(18) |
Denne rammeafgørelse respekterer de grundlæggende rettigheder og overholder de principper, der er nævnt i artikel 6 i traktaten om Den Europæiske Union, og som afspejles i EU-charteret om grundlæggende rettigheder, især kapitel II og VI — |
VEDTAGET FØLGENDE RAMMEAFGØRELSE:
Artikel 1
Definitioner
I denne rammeafgørelse forstås ved:
|
a) |
»informationssystem«: enhver enhed eller gruppe af indbyrdes forbundne eller beslægtede enheder, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af edb-data samt edb-data, som lagres, behandles, fremfindes eller overføres i forbindelse med systemernes drift, brug, beskyttelse og vedligeholdelse |
|
b) |
»edb-data«: enhver form for gengivelse af fakta, informationer eller begreber i et format, der egner sig til behandling i et informationssystem, herunder et program, som kan anvendes til at få et informationssystem til at udføre en funktion |
|
c) |
»juridisk person«: enhver enhed, der har denne status i henhold til den lovgivning, der finder anvendelse, med undtagelse af stater eller andre offentlige organer, der udøver offentlig myndighed, og offentlige internationale organisationer |
|
d) |
»uretmæssig«: adgang eller indgreb, som ejeren eller en anden retmæssig indehaver af systemet eller en del af det ikke har givet tilladelse til, eller som ikke er tilladt i henhold til national lovgivning. |
Artikel 2
Ulovlig adgang til informationssystemer
1. Medlemsstaterne træffer de nødvendige foranstaltninger for at gøre det strafbart forsætligt at skaffe sig uretmæssig adgang til et informationssystem eller en del heraf, i det mindste i grovere tilfælde.
2. Medlemsstaterne kan beslutte, at de handlinger, der er omhandlet i stk. 1, kun er strafbare, såfremt lovovertrædelsen er begået ved overtrædelse af en sikkerhedsforanstaltning.
Artikel 3
Ulovligt indgreb i informationssystemer
Medlemsstaterne træffer de nødvendige foranstaltninger for at gøre det strafbart forsætligt og uretmæssigt at forårsage en alvorlig hindring eller afbrydelse af et informationssystems drift ved at indlæse eller overføre edb-data eller ved at beskadige, slette, forvanske, ændre, tilbageholde eller hindre adgang til dets edb-data, i det mindste i grovere tilfælde.
Artikel 4
Ulovligt indgreb i data
Medlemsstaterne træffer de nødvendige foranstaltninger for at gøre det strafbart forsætligt og uretmæssigt at slette, beskadige, forvanske, ændre, tilbageholde eller hindre adgang til edb-data i et informationssystem, i det mindste i grovere tilfælde.
Artikel 5
Anstiftelse, medvirken og tilskyndelse og forsøg
1. Medlemsstaterne sikrer, at det er strafbart at anstifte, medvirke og tilskynde til at begå en strafbar handling som omhandlet i artikel 2, 3 og 4.
2. Medlemsstaterne sikrer, at det er strafbart at forsøge at begå en strafbar handling som omhandlet i artikel 2, 3 og 4.
3. Medlemsstaterne kan beslutte ikke at håndhæve stk. 2 i forbindelse med en strafbar handling som omhandlet i artikel 2.
Artikel 6
Sanktioner
1. Medlemsstaterne træffer de nødvendige foranstaltninger for at sikre, at de i artikel 2, 3, 4 og 5 omhandlede strafbare handlinger kan straffes med strafferetlige sanktioner, der er effektive, står i et rimeligt forhold til den strafbare handling og har en afskrækkende virkning.
2. Medlemsstaterne træffer de nødvendige foranstaltninger for at sikre, at de strafbare handlinger, der er omhandlet i artikel 3 og 4, kan straffes med fængsel af en maksimal varighed på mindst et til tre år.
Artikel 7
Skærpende omstændigheder
1. Medlemsstaterne træffer de nødvendige foranstaltninger for at sikre, at de strafbare handlinger, der er omhandlet i artikel 2, stk. 2, og artikel 3 og 4, kan straffes med fængsel af en maksimal varighed på mindst to til fem år, når de er begået inden for rammerne af en kriminel organisation som defineret i den fælles aktion 98/733/RIA, idet den deri fastsatte strafferamme ikke finder anvendelse.
2. En medlemsstat kan også træffe de i stk. 1 nævnte foranstaltninger, hvis de strafbare handlinger har forvoldt alvorlig skade eller skadet væsentlige interesser.
Artikel 8
Juridiske personers ansvar
1. Medlemsstaterne træffer de nødvendige foranstaltninger for at sikre, at juridiske personer kan holdes ansvarlige for strafbare handlinger som omhandlet i artikel 2, 3, 4 og 5, som med vinding for øje er begået af en person, der handler enten individuelt eller som medlem af et organ under den juridiske person, og som har en ledende stilling inden for den juridiske person baseret på:
|
a) |
beføjelse til at repræsentere den juridiske person eller |
|
b) |
beføjelse til at træffe beslutninger på den juridiske persons vegne eller |
|
c) |
beføjelse til at udøve intern kontrol. |
2. Ud over de i stk. 1 omhandlede tilfælde sikrer medlemsstaterne, at en juridisk person kan holdes ansvarlig, hvis utilstrækkeligt tilsyn eller utilstrækkelig kontrol fra en persons side, jf. stk. 1, har gjort det muligt for en person under den juridiske persons myndighed at begå en af de i artikel 2, 3, 4 og 5 omhandlede strafbare handlinger for at skaffe den juridiske person vinding.
3. Juridiske personers ansvar i henhold til stk. 1 og 2 udelukker ikke strafferetlig forfølgning af fysiske personer, der begår, anstifter eller medvirker til en af de i artikel 2, 3, 4 og 5 omhandlede strafbare handlinger.
Artikel 9
Sanktioner over for juridiske personer
1. Medlemsstaterne træffer de nødvendige foranstaltninger for at sikre, at en juridisk person, der holdes ansvarlig i henhold til artikel 8, stk. 1, kan straffes med sanktioner, der er effektive, står i et rimeligt forhold til den strafbare handling og har en afskrækkende virkning, herunder bødestraf eller administrativt pålagte bøder, og som kan indbefatte andre sanktioner, f.eks.:
|
a) |
udelukkelse fra offentlige ydelser eller tilskud |
|
b) |
midlertidigt eller varigt forbud mod at udøve kommerciel virksomhed |
|
c) |
anbringelse under retsligt tilsyn eller |
|
d) |
likvidation efter retskendelse. |
2. Medlemsstaterne træffer de nødvendige foranstaltninger for at sikre, at en juridisk person, der holdes ansvarlig i henhold til artikel 8, stk. 2, kan straffes med sanktioner eller foranstaltninger, der er effektive, står i et rimeligt forhold til den strafbare handling og har en afskrækkende virkning.
Artikel 10
Straffemyndighed
1. Hver enkelt medlemsstat fastlægger sin straffemyndighed med hensyn til de i artikel 2, 3, 4 og 5 omhandlede strafbare handlinger, når de er begået:
|
a) |
helt eller delvis på dens område |
|
b) |
af en af dens statsborgere |
|
c) |
for at skaffe en juridisk person, som har hjemsted på dens område, vinding. |
2. Når den enkelte medlemsstat fastsætter sin straffemyndighed i medfør af stk. 1, litra a), sikrer den sig, at denne omfatter tilfælde, hvor:
|
a) |
gerningsmanden begår den strafbare handling, mens vedkommende fysisk befinder sig på medlemsstatens område, uanset om den strafbare handling er rettet mod et informationssystem på dens område, eller |
|
b) |
den strafbare handling begås mod et informationssystem på medlemsstatens område, uanset om gerningsmanden på gerningstidspunktet fysisk befinder sig på dens område. |
3. En medlemsstat, som i henhold til sin lovgivning endnu ikke udleverer eller overgiver sine egne statsborgere, træffer de nødvendige foranstaltninger for at fastlægge sin straffemyndighed med hensyn til de i artikel 2, 3, 4 og 5 nævnte strafbare handlinger og for i givet fald at indlede retsforfølgning, hvis den strafbare handling begås af en af dens statsborgere uden for dens område.
4. Hvis mere end én medlemsstat har straffemyndighed og faktisk mulighed for at retsforfølge på grundlag af de samme forhold, samarbejder de pågældende medlemsstater for at afgøre, hvem af dem der skal retsforfølge gerningsmændene, med det formål om muligt at samle retsforfølgningen i en enkelt medlemsstat. Med henblik herpå kan medlemsstaterne betjene sig af ethvert organ eller enhver mekanisme, der er oprettet inden for Den Europæiske Union, for at lette samarbejdet mellem deres judicielle myndigheder og fremme koordinationen af deres indsats. Der kan tages hensyn til følgende former for tilknytning:
|
— |
på hvilken medlemsstats område de strafbare handlinger er begået i henhold til stk. 1, litra a), og stk. 2 |
|
— |
i hvilken medlemsstat gerningsmanden er statsborger |
|
— |
i hvilken medlemsstat gerningsmanden er fundet. |
5. En medlemsstat kan beslutte ikke at anvende reglen om straffemyndighed i stk. 1, litra b) og c), eller kun at anvende den i særlige tilfælde eller under særlige omstændigheder.
6. Medlemsstaterne underretter Generalsekretariatet for Rådet og Kommissionen, hvis de beslutter at anvende stk. 5, i givet fald med en angivelse af de særlige tilfælde eller omstændigheder, hvor beslutningen gælder.
Artikel 11
Udveksling af oplysninger
1. Med henblik på udveksling af oplysninger om de strafbare handlinger, der er omhandlet i artikel 2, 3, 4 og 5, skal medlemsstaterne i overensstemmelse med reglerne om databeskyttelse gøre brug af det bestående netværk af kontaktpunkter, der fungerer døgnet rundt, alle ugens dage.
2. Den enkelte medlemsstat underretter Generalsekretariatet for Rådet samt Kommissionen, når den har udpeget kontaktpunkter til udveksling af oplysninger om strafbare handlinger i forbindelse med angreb på informationssystemer. Generalsekretariatet viderebringer disse oplysninger til de øvrige medlemsstater.
Artikel 12
Gennemførelse
1. Medlemsstaterne træffer de nødvendige foranstaltninger for at efterkomme denne rammeafgørelse senest den 16. marts 2007.
2. Medlemsstaterne meddeler senest den 16. marts 2007 Generalsekretariatet for Rådet og Kommissionen teksten til de retsforskrifter, som de udsteder for at gennemføre de forpligtelser, der følger af denne rammeafgørelse, i national ret. På baggrund af en rapport udarbejdet på grundlag af disse oplysninger og en skriftlig rapport fra Kommissionen undersøger Rådet senest den 16. september 2007, i hvilket omfang, medlemsstaterne har efterkommet bestemmelserne i denne rammeafgørelse.
Artikel 13
Ikrafttræden
Denne rammeafgørelse træder i kraft på dagen for offentliggørelsen i Den Europæiske Unions Tidende.
Udfærdiget i Bruxelles, den 24. februar 2005.
På Rådets vegne
N. SCHMIT
Formand
(1) EUT C 300 E af 11.12.2003, s. 26.
(2) EFT C 43 af 16.2.2002, s. 2.
(3) EFT C 19 af 23.1.1999, s. 1.
(4) EFT L 351 af 29.12.1998, s. 1.
(5) EFT C 187 af 3.7.2001, s. 5.