23.7.2011   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 218/130

1.1

Η ΕΟΚΕ χαιρετίζει την ανακοίνωση της Επιτροπής σχετικά με την πρόταση οδηγίας του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου για τις επιθέσεις κατά των συστημάτων πληροφοριών και συμμερίζεται τη βαθιά ανησυχία της Επιτροπής όσον αφορά τόσο την έκταση του εγκλήματος στον κυβερνοχώρο της Ευρώπης, όσο και τις υπαρκτές και δυνητικές ζημίες που συνεπάγεται αυτή η αυξανόμενη απειλή για την οικονομία και την ευημερία των πολιτών.

1.2

Η ΕΟΚΕ συμμερίζεται την απογοήτευση της Επιτροπής για το γεγονός ότι μέχρι στιγμής, μόνο 17 από τα 27 κράτη μέλη έχουν κυρώσει τη Σύμβαση του Συμβουλίου της Ευρώπης για την Εγκληματικότητα στον Κυβερνοχώρο (1). Η ΕΟΚΕ ζητά από τα υπόλοιπα κράτη μέλη (2) – Αυστρία, Βέλγιο, Δημοκρατία της Τσεχίας, Ελλάδα, Ιρλανδία, Λουξεμβούργο, Μάλτα, Πολωνία, Σουηδία και Ηνωμένο Βασίλειο - να κυρώσουν τη σύμβαση το ταχύτερο δυνατόν.

1.3

Η ΕΟΚΕ συμφωνεί με την Επιτροπή ότι απαιτείται επειγόντως η έκδοση οδηγίας για την επικαιροποίηση του ορισμού των αδικημάτων που σχετίζονται με επιθέσεις κατά συστημάτων πληροφοριών, καθώς και για τη βελτίωση της ευρωπαϊκής δικαστικής συνεργασίας και του συντονισμού με στόχο την αποτελεσματική αντιμετώπιση αυτού του σοβαρότατου προβλήματος.

1.4

Λόγω της επιτακτικής ανάγκης να αναληφθεί νομοθετική δράση για τη στοχοθετημένη αντιμετώπιση των επιθέσεων κατά συστημάτων πληροφοριών, η ΕΟΚΕ επιδοκιμάζει την απόφαση της Επιτροπής να προτιμήσει την επιλογή πολιτικής που συνίσταται στην έκδοση οδηγίας, υποστηριζόμενης από μη νομοθετικά μέτρα εστιασμένα σε αυτή τη συγκεκριμένη πτυχή του εγκλήματος στον κυβερνοχώρο.

1.5

Εντούτοις, όπως έχει ήδη ζητήσει σε προηγούμενη γνωμοδότησή της (3), η ΕΟΚΕ προσβλέπει στην εκ παραλλήλου συνέχιση του έργου της Επιτροπής με στόχο τη θέσπιση ευρύτερου νομοθετικού πλαισίου της ΕΕ κατά του εγκλήματος στον κυβερνοχώρο. Η ΕΟΚΕ θεωρεί ότι η ύπαρξη ολοκληρωμένου πλαισίου είναι ζωτικής σημασίας προκειμένου να στεφθούν με επιτυχία το ψηφιακό θεματολόγιο για την Ευρώπη και η στρατηγική «Ευρώπη 2020» (4). Εκτός της εφαρμογής του νόμου και της επιβολής κυρώσεων, το πλαίσιο πρέπει να ρυθμίζει και θέματα που σχετίζονται με την πρόληψη, την ανίχνευση και την εκπαίδευση.

1.6

Η ΕΟΚΕ επιθυμεί να εξετάσει σε εύθετο χρόνο προτάσεις τις Επιτροπής για ένα ολοκληρωμένο πλαίσιο δράσης, με σκοπό την αντιμετώπιση του γενικότερου ζητήματος της ασφάλειας στο Διαδίκτυο. Σε 10 χρόνια, όταν η πλειονότητα του πληθυσμού θα χρησιμοποιεί το Διαδίκτυο, όταν η οικονομική και η κοινωνική δραστηριότητα θα εξαρτώνται από αυτό, φαίνεται αδιανόητο να εξακολουθήσουμε να βασιζόμαστε στην παρούσα περιστασιακή και μη δομημένη προσέγγιση της χρήσης του, δεδομένου μάλιστα ότι η οικονομική αξία αυτής της δραστηριότητας θα είναι τεράστια. Θα προκύψουν πολλαπλά θέματα τα οποία θα θέτουν άλλες προκλήσεις, όπως η ασφάλεια των προσωπικών δεδομένων, η προστασία της ιδιωτικής ζωής και το έγκλημα στον κυβερνοχώρο. Η ασφάλεια των αεροπορικών εταιριών ελέγχεται από μια κεντρική αρχή που θέτει πρότυπα για τα αεροσκάφη, τα αεροδρόμια και τις πτήσεις. Είναι καιρός να δημιουργηθεί μια ανάλογη αρχή που θα θεσπίζει πρότυπα για ασφαλείς τερματικές συσκευές (ηλεκτρονικοί υπολογιστές, φορητοί υπολογιστές με μονάδες οθόνης ευαίσθητες στην επαφή, τηλέφωνα), την ασφάλεια δικτύου, την ασφάλεια των ιστοθέσεων και την ασφάλεια των δεδομένων. Η φυσική διαμόρφωση του Διαδικτύου αποτελεί επίσης κρίσιμο στοιχείο άμυνας κατά του εγκλήματος στον κυβερνοχώρο. Η ΕΕ θα χρειαστεί μια ρυθμιστική αρχή με εξουσία στο Διαδίκτυο.

1.7

Η Οδηγία θα εστιάσει στον ορισμό του εγκλήματος και στην απειλή κυρώσεων. Η ΕΟΚΕ ζητά να δοθεί παράλληλα έμφαση στην πρόληψη, μέσω της πρόβλεψης καλύτερων μέτρων ασφάλειας. Οι κατασκευαστές εξοπλισμού πρέπει να πληρούν τα πρότυπα παράδοσης ασφαλών συσκευών. Είναι απαράδεκτο η ασφάλεια των συσκευών και, κατά συνέπεια, του δικτύου να εξαρτάται από τις προσωπικές επιλογές του κάθε κατασκευαστή. Πρέπει να εξεταστεί η εισαγωγή ενός πανευρωπαϊκού καθεστώτος για τις ηλεκτρονικές ταυτότητες, αυτό όμως πρέπει να σχεδιαστεί προσεκτικά για να αποφεύγεται η παραβίαση της ιδιωτικής ζωής·πρέπει να δρομολογηθεί η πλήρης αξιοποίηση των δυνατοτήτων ασφαλείας του IPv6, η δε εκπαίδευση των πολιτών όσον αφορά την προσωπική ασφάλειά τους στον κυβερνοχώρο (συμπεριλαμβανομένης της ασφάλειας των δεδομένων) πρέπει να αποτελέσει βασικό τμήμα κάθε προσπάθειας ψηφιακού γραμματισμού. Η Επιτροπή πρέπει να εξετάσει προηγούμενες γνωμοδοτήσεις της ΕΟΚΕ στις οποίες ρυθμίζονται αυτά τα θέματα (5).

1.8

Η ΕΟΚΕ είναι πεπεισμένη ότι η προτεινόμενη οδηγία καλύπτει επαρκώς τις επιθέσεις κατά συστημάτων πληροφοριών με τη χρήση «botnets» (6), συμπεριλαμβανομένων επίσης των επιθέσεων «άρνησης παροχής υπηρεσίας» (Denial-of-Service – DoS) (7). Η ΕΟΚΕ εκτιμά επίσης ότι η οδηγία θα βοηθήσει τις αρμόδιες αρχές να διώκουν το έγκλημα στον κυβερνοχώρο, όποτε επιχειρείται η εκμετάλλευση της διεθνούς διασύνδεσης των δικτύων, αλλά και τους δράστες που προσπαθούν να κρυφτούν πίσω από την ανωνυμία την οποία μπορούν να τους προσφέρουν τα προηγμένα εργαλεία πληροφορικής για τη διάπραξη εγκληματικών πράξεων στον κυβερνοχώρο.

1.9

Η ΕΟΚΕ επικροτεί επίσης τον κατάλογο των ποινικών αδικημάτων που καλύπτονται από την οδηγία και, κυρίως, τη συμπερίληψη της «παράνομης υποκλοπής» και τη σαφή υπόδειξη των «εργαλείων που χρησιμοποιούνται για τη διάπραξη των αδικημάτων».

1.10

Λαμβάνοντας, ωστόσο, υπόψη τη σημασία του κλίματος εμπιστοσύνης και ασφάλειας στην ψηφιακή οικονομία, καθώς και το τεράστιο ετήσιο κόστος της εγκληματικότητας στον κυβερνοχώρο (8), η ΕΟΚΕ προτείνει η αυστηρότητα των ποινών που προβλέπονται στην οδηγία να αντικατοπτρίζει τη σοβαρότητα των εγκληματικών πράξεων και ταυτόχρονα να λειτουργεί όντως αποτρεπτικά για τους εγκληματίες. Η προτεινόμενη οδηγία ορίζει ελάχιστες ποινές φυλάκισης δύο ή πέντε ετών (5 έτη υπό επιβαρυντικές περιστάσεις). Η ΕΟΚΕ προβλέπει μια κλίμακα κυρώσεων που σχετίζονται με τη σοβαρότητα του εγκλήματος.

1.11

Η ΕΟΚΕ προτείνει να αξιοποιηθεί τώρα η ευκαιρία προκειμένου να σταλεί ένα ισχυρό μήνυμα στους εγκληματίες και στους πολίτες που αναζητούν εχέγγυα, προβλέποντας αυστηρότερες ποινές. Παραδείγματος χάρη, στο Ηνωμένο Βασίλειο (9) επιβάλλονται ποινές έως και 10 ετών για μεγάλης κλίμακας επιθέσεις εις βάρος συστημάτων πληροφοριών, ενώ η Εσθονία αύξησε τις επιβαλλόμενες ποινές για μεγάλης κλίμακας επιθέσεις τρομοκρατικού χαρακτήρα οι οποίες μπορούν πλέον να τιμωρούνται με φυλάκιση έως 25 ετών (10).

1.12

Η ΕΟΚΕ χαιρετίζει την πρόταση της Επιτροπής για υποστήριξη της οδηγίας με μη νομοθετικά μέτρα που να αποσκοπούν στην προώθηση περαιτέρω συντονισμένων δράσεων σε επίπεδο ΕΕ και στην αποτελεσματικότερη εφαρμογή της νομοθεσίας. Η ΕΟΚΕ επιθυμεί επίσης να τονίσει την ανάγκη επέκτασης αυτών των δράσεων, προκειμένου να συμπεριληφθεί η στενή συνεργασία με τις χώρες της ΕΖΕΣ και το ΝΑΤΟ.

1.13

Η ΕΟΚΕ υποστηρίζει σθεναρά τις συστάσεις για την εκπόνηση προγραμμάτων κατάρτισης και την ανταλλαγή βέλτιστων πρακτικών που διατυπώνονται με στόχο να ενισχυθεί περαιτέρω η αποτελεσματικότητα των υφιστάμενων σημείων επαφής των οργάνων εφαρμογής του νόμου που είναι διαθέσιμα σε 24ωρη βάση και τις επτά ημέρες της εβδομάδας.

1.14

Πέραν των μη νομοθετικών μέτρων που αναφέρονται στην πρόταση, η ΕΟΚΕ καλεί την Επιτροπή να διοχετεύσει τους πόρους για Ε&Α ειδικά στην ανάπτυξη συστημάτων έγκαιρου εντοπισμού και ταχείας αντίδρασης, με στόχο την αντιμετώπιση των επιθέσεων εις βάρος συστημάτων πληροφοριών. Οι τεχνολογίες αιχμής του υπολογιστικού νέφους (11) και των τεχνολογιών πλέγματος (12) έχουν τη δυνατότητα να προστατεύσουν την Ευρώπη από πολλές απειλές.

1.15

Η ΕΟΚΕ συνιστά ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) να χρηματοδοτήσει ένα στοχοθετημένο πρόγραμμα ανάπτυξης δεξιοτήτων για την ενίσχυση του κλάδου της ασφάλειας των ΤΠΕ στην Ευρώπη, πέραν της απλής εφαρμογής του νόμου (13).

1.16

Για την ενίσχυση της προστασίας της Ευρώπης από επιθέσεις στον κυβερνοχώρο, η ΕΟΚΕ επιθυμεί να επαναλάβει τη σημασία που έχει η ανάπτυξη της Ευρωπαϊκής Εταιρικής Συνεργασίας Δημόσιου-Ιδιωτικού Τομέα για την Ικανότητα Αποκατάστασης (EP3R) και η ένταξή της στις εργασίες τόσο του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) όσο και της Ευρωπαϊκής Ομάδας Κυβερνητικών Ομάδων Παρέμβασης σε Καταστάσεις Έκτακτης Ανάγκης στον τομέα της Πληροφορικής –ΟΠΚΕΑΠ– (EGC).

1.17

Κρίνεται σκόπιμο να προωθηθεί ένας ισχυρός τομέας ασφάλειας των πληροφοριών στην Ευρώπη, ο οποίος να είναι σε θέση να ανταγωνίζεται σε ικανότητα τον πολύ καλά χρηματοδοτούμενο αντίστοιχο τομέα των ΗΠΑ (14). Θα πρέπει επίσης να αυξηθούν σημαντικά οι επενδύσεις σε Ε&A για την ασφάλεια στον κυβερνοχώρο και την εκπαίδευση.

1.18

Η ΕΟΚΕ σημειώνει τις απαλλαγές από την υποχρέωση εφαρμογής της παρούσας οδηγίας, οι οποίες παρέχονται στο Ηνωμένο Βασίλειο, στην Ιρλανδία και στη Δανία βάσει των Πρωτοκόλλων της Συνθήκης. Παρά τις απαλλαγές αυτές, η ΕΟΚΕ προτρέπει τα εν λόγω κράτη μέλη να συνεργάζονται στο μεγαλύτερο δυνατό βαθμό σύμφωνα με τις διατάξεις της οδηγίας προκειμένου να αποτραπεί η εκμετάλλευση από επίδοξους εγκληματίες των υφιστάμενων κενών σε επίπεδο πολιτικής στην επικράτεια της ΕΕ.

2.1

Σήμερα, η Ευρώπη εξαρτάται σε μεγάλο βαθμό από τα συστήματα πληροφοριών για τη δημιουργία πλούτου και τη διασφάλιση της ποιότητας ζωής των πολιτών. Είναι σημαντικό η αυξανόμενη εξάρτηση της Ευρώπης να συνδυαστεί με τη διαρκή βελτίωση των μέτρων ασφάλειας και την εφαρμογή ισχυρών νόμων για την προστασία των συστημάτων πληροφοριών από επιθέσεις.

2.2

Το Διαδίκτυο είναι η κομβική πλατφόρμα της ψηφιακής κοινωνίας. Η αντιμετώπιση των απειλών κατά της ασφάλειας των συστημάτων πληροφοριών είναι καθοριστικής σημασίας για την ανάπτυξη της ψηφιακής κοινωνίας και της ψηφιακής οικονομίας. Το Διαδίκτυο υποστηρίζει τις περισσότερες ευρωπαϊκές υποδομές πληροφοριών ζωτικής σημασίας: υποστήριξη της πλατφόρμας πληροφοριών και επικοινωνιών για την παροχή βασικών αγαθών και υπηρεσιών. Οι επιθέσεις κατά συστημάτων πληροφοριών –κυβερνητικών συστημάτων, χρηματοπιστωτικών συστημάτων, συστημάτων κοινωνικών υπηρεσιών και υποδομών ζωτικής σημασίας, όπως η ηλεκτροδότηση, η υδροδότηση, οι μεταφορές, η υγεία και οι υγειονομικές υπηρεσίες έκτακτης ανάγκης– έχουν καταστεί μείζον πρόβλημα.

2.3

Η αρχιτεκτονική του Διαδικτύου βασίζεται στη διασύνδεση εκατομμυρίων υπολογιστών με οικουμενική διανομή της επεξεργασίας, των επικοινωνιών και του ελέγχου. Αυτή η κατανεμημένη αρχιτεκτονική έχει καίρια σημασία για τη σταθερότητα και την ικανότητα αποκατάστασης του Διαδικτύου, με ταχεία ανάκαμψη της κυκλοφορίας οποτεδήποτε προκύπτει πρόβλημα. Ωστόσο, αυτό σημαίνει επίσης ότι μεγάλης κλίμακας επιθέσεις στον κυβερνοχώρο μπορούν να ξεκινήσουν από τα όρια του δικτύου, μέσω παραδείγματος χάρη της χρήσης «botnets», από οποιονδήποτε έχει ανάλογη πρόθεση και στοιχειώδεις γνώσεις.

2.4

Οι εξελίξεις στις τεχνολογίες των πληροφοριών έχουν επιδεινώσει αυτά τα προβλήματα, επειδή καθιστούν ευκολότερη την παραγωγή και τη διανομή εργαλείων (κακόβουλου λογισμικού –«malware» (15)– και δικτύων προγραμμάτων ρομπότ –«botnets»–), ενώ συγχρόνως προσφέρουν στους δράστες ανωνυμία και διασπείρουν την ευθύνη σε πολλαπλές δικαιοδοσίες. Δεδομένων των δυσχερειών άσκησης δίωξης, το οργανωμένο έγκλημα έχει τη δυνατότητα να αποκομίζει σημαντικά κέρδη με ελάχιστο κίνδυνο.

2.5

Σύμφωνα με μελέτη του 2009 (16), η οποία παρουσιάστηκε στο Παγκόσμιο Οικονομικό Φόρουμ, το συνολικό κόστος του εγκλήματος στον κυβερνοχώρο ανέρχεται σε 1 τρισεκατομμύριο δολάρια ($) και αυξάνεται ραγδαία. Σε πρόσφατη κυβερνητική έκθεση (17) που εκπονήθηκε στο Ηνωμένο Βασίλειο επισημαίνεται ότι το αντίστοιχο ετήσιο κόστος μόνο στο Ηνωμένο Βασίλειο ανέρχεται σε 27 δισεκατομμύρια λίρες (£). Το υψηλό κόστος της εγκληματικότητας στον κυβερνοχώρο καθιστά αναγκαία την ανάληψη σφριγηλής δράσης, τη σθεναρή εφαρμογή της νομοθεσίας και την επιβολή αυστηρών κυρώσεων στους δράστες.

2.6

Όπως εξηγείται λεπτομερώς στο έγγραφο εργασίας των υπηρεσιών της Επιτροπής το οποίο συνοδεύει την πρόταση οδηγίας (18), τα κυκλώματα του οργανωμένου εγκλήματος και ορισμένες εχθρικές κυβερνήσεις εκμεταλλεύονται τις καταστροφικές δυνατότητες των επιθέσεων εις βάρος συστημάτων πληροφοριών σε ολόκληρη την Ένωση. Οι επιθέσεις που πραγματοποιούνται με τη χρήση τέτοιων «botnets» μπορούν να αποδειχθούν εξαιρετικά επικίνδυνες για την πληγείσα χώρα στο σύνολό της και ενδέχεται επίσης να χρησιμοποιηθούν από τρομοκρατικές ή άλλες ομάδες ως μέσο άσκησης πολιτικών πιέσεων σε κάποιο κράτος.

2.7

Η επίθεση κατά της Εσθονίας, τον Απρίλιο-Μάιο του 2007, κατέστησε σαφή την ύπαρξη του συγκεκριμένου προβλήματος. Η εν λόγω επίθεση έθεσε εκτός λειτουργίας σημαντικά τμήματα των υποδομών πληροφοριών ζωτικής σημασίας τόσο της κυβέρνησης όσο και του ιδιωτικού τομέα επί πολλές ημέρες λόγω των ευρείας κλίμακας επιθέσεων που υπέστησαν –με οικονομικό κόστος κυμαινόμενο μεταξύ 19 και 28 εκατομμυρίων ευρώ, καθώς και με τεράστιο πολιτικό κόστος. Παρεμφερείς καταστροφικές επιθέσεις εξαπολύθηκαν επίσης κατά της Λιθουανίας και της Γεωργίας.

2.8

Τα παγκόσμια δίκτυα επικοινωνιών περιλαμβάνουν υψηλό βαθμό διασυνοριακής διασυνδεσιμότητας. Η ανάληψη συλλογικής και ενιαίας δράσης εκ μέρους και των 27 κρατών μελών είναι μείζονος σημασίας για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο και, ειδικότερα, των επιθέσεων εις βάρος συστημάτων πληροφοριών. Αυτή η διεθνής αλληλεξάρτηση αναγκάζει την ΕΕ να ακολουθεί μια συνεκτική πολιτική για την προστασία των συστημάτων πληροφοριών από επιθέσεις, καθώς και για την τιμωρία των δραστών.

2.9

Στη γνωμοδότησή της του 2007 με θέμα «Στρατηγική για ασφαλή κοινωνία της πληροφορίας» (19), η ΕΟΚΕ εκδήλωσε την επιθυμία να θεσπιστεί σφαιρική νομοθεσία της ΕΕ κατά του εγκλήματος στον κυβερνοχώρο. Εκτός από τις επιθέσεις κατά συστημάτων πληροφοριών, ένα ολοκληρωμένο πλαίσιο θα πρέπει επίσης να καλύπτει θέματα όπως το οικονομικό έγκλημα στον κυβερνοχώρο, το παράνομο περιεχόμενο στο Διαδίκτυο, η συλλογή/αποθήκευση/μεταφορά ηλεκτρονικών αποδεικτικών στοιχείων, καθώς και οι λεπτομερέστεροι κανόνες δικαιοδοσίας.

2.10

Η ΕΟΚΕ αναγνωρίζει ότι η διαμόρφωση ολοκληρωμένου πλαισίου αποτελεί εξαιρετικά δύσκολο έργο, το οποίο δυσχεραίνεται ακόμη περισσότερο ελλείψει πολιτικής συναίνεσης (20), αλλά και λόγω προβλημάτων που ανακύπτουν εξαιτίας της ύπαρξης σημαντικών διαφορών μεταξύ των κρατών μελών σχετικά με το παραδεκτό των ηλεκτρονικών αποδεικτικών στοιχείων στα δικαστήρια. Ωστόσο, ένα τέτοιο ολοκληρωμένο πλαίσιο θα μπορούσε να μεγιστοποιήσει τα οφέλη τόσο των νομοθετικών όσο και των μη νομοθετικών μέσων για την αντιμετώπιση του ευρέος φάσματος των προβλημάτων που σχετίζονται με την εγκληματικότητα στον κυβερνοχώρο, ενώ συγχρόνως θα συνέβαλε στη διευθέτηση του νομικού πλαισίου του ποινικού δικαίου και θα επέτρεπε τη βελτίωση της συνεργασίας για την εφαρμογή του νόμου στην επικράτεια της Ένωσης. Η ΕΟΚΕ καλεί την Επιτροπή να συνεχίσει να επιδιώκει την επίτευξη του στόχου που συνίσταται στη θέσπιση ολοκληρωμένου νομοθετικού πλαισίου της ΕΕ κατά του εγκλήματος στον κυβερνοχώρο.

2.11

Η πάταξη του εγκλήματος στον κυβερνοχώρο απαιτεί ειδικές δεξιότητες. Στη γνωμοδότηση της ΕΟΚΕ σχετικά με την πρόταση κανονισμού για τον ENISA (21) τονίσθηκε η σημασία της κατάρτισης του προσωπικού των αρχών εφαρμογής του νόμου. Η ΕΟΚΕ εκφράζει την ικανοποίησή της για το γεγονός ότι η Επιτροπή σημειώνει πρόοδο ενόψει της δημιουργίας πλατφόρμας κατάρτισης σχετικά με το έγκλημα στον κυβερνοχώρο με τη συμμετοχή των αρχών εφαρμογής του νόμου και του ιδιωτικού τομέα, όπως προτείνεται στο έγγραφο COM(2007) 267 (22).

2.12

Μεταξύ των ενδιαφερομένων για την ασφάλεια στον κυβερνοχώρο της ΕΕ περιλαμβάνεται κάθε πολίτης του οποίου η ζωή μπορεί να εξαρτάται από ζωτικές υπηρεσίες. Οι ίδιοι οι πολίτες έχουν ευθύνη προστασίας της σύνδεσής τους στο Διαδίκτυο από επιθέσεις, κατά τον καλύτερο δυνατό τρόπο. Ακόμα πιο υπεύθυνοι είναι οι πάροχοι τεχνολογίας και υπηρεσιών των ΤΠΕ που προσφέρουν τα συστήματα πληροφοριών.

2.13

Έχει ζωτική σημασία να είναι όλα τα ενδιαφερόμενα μέρη δεόντως ενημερωμένα για την ασφάλεια στον κυβερνοχώρο. Είναι επίσης σημαντικό για την Ευρώπη να διαθέτει μεγάλο αριθμό ικανών εμπειρογνωμόνων στον τομέα της ασφάλειας στον κυβερνοχώρο.

2.14

Κρίνεται σκόπιμο να προαχθεί ένας ισχυρός τομέας ασφάλειας των πληροφοριών στην Ευρώπη, ο οποίος να είναι σε θέση να ανταγωνίζεται σε ικανότητα τον γενναιόδωρα χρηματοδοτούμενο αντίστοιχο τομέα των ΗΠΑ (23). Θα πρέπει επίσης να αυξηθούν σημαντικά οι επενδύσεις σε Ε&A για την ασφάλεια στον κυβερνοχώρο και την εκπαίδευση.

3.1

Στόχος της παρούσας πρότασης είναι η αντικατάσταση της απόφασης-πλαισίου 2005/222/ΔΕΥ του Συμβουλίου, της 24ης Φεβρουαρίου 2005, για τις επιθέσεις κατά των συστημάτων πληροφοριών (24). Η απόφαση-πλαίσιο ανταποκρινόταν, όπως αναφερόταν στις αιτιολογικές σκέψεις, στον στόχο της βελτίωσης της συνεργασίας μεταξύ των δικαστικών και άλλων αρμόδιων αρχών, συμπεριλαμβανομένης της αστυνομίας και άλλων ειδικών υπηρεσιών εφαρμογής του νόμου στα κράτη μέλη, μέσω της προσέγγισης των κανόνων του ποινικού δικαίου των κρατών μελών όσον αφορά επιθέσεις κατά συστημάτων πληροφοριών. Με την εν λόγω απόφαση-πλαίσιο θεσπίστηκαν τόσο νόμοι της ΕΕ για την αντιμετώπιση αδικημάτων όπως η παράνομη πρόσβαση σε σύστημα πληροφοριών, η παράνομη παρεμβολή σε σύστημα και η παράνομη παρεμβολή σε δεδομένα, όσο και ειδικοί κανόνες σχετικά με την ευθύνη των νομικών προσώπων, τη δικαιοδοσία και την ανταλλαγή πληροφοριών. Τα κράτη μέλη όφειλαν να λάβουν τα απαραίτητα μέτρα για να συμμορφωθούν με τις διατάξεις της απόφασης-πλαισίου έως τις 16 Μαρτίου 2007.

3.2

Στις 14 Ιουλίου 2008, η Επιτροπή δημοσίευσε έκθεση σχετικά με την εφαρμογή της απόφασης-πλαισίου (25). Στα συμπεράσματά της αναφερόταν ότι οι «πρόσφατες επιθέσεις στην Ευρώπη μετά την έκδοση της απόφασης-πλαίσιο, κατέστησαν αισθητή την ύπαρξη διαφόρων απειλών όπως η εξαπόλυση μαζικών ταυτόχρονων επιθέσεων κατά συστημάτων πληροφοριών και η αυξημένη εγκληματική χρήση του αποκαλούμενου δικτύου προγραμμάτων ρομπότ (botnet)». Οι επιθέσεις αυτές δεν βρίσκονταν στο επίκεντρο της προσοχής την εποχή που είχε εκδοθεί η απόφαση-πλαίσιο.

3.3

Η παρούσα πρόταση λαμβάνει υπόψη τις νέες μεθόδους διάπραξης εγκλημάτων στον κυβερνοχώρο, ιδίως με τη χρήση δικτύων προγραμμάτων ρομπότ, των λεγόμενων «botnet» (26). Είναι πολύ δύσκολο να εντοπιστούν οι δράστες αυτών των εγκλημάτων, αφού οι υπολογιστές που απαρτίζουν το δίκτυο προγραμμάτων ρομπότ και πραγματοποιούν την επίθεση μπορεί να βρίσκονται σε διαφορετικό γεωγραφικό σημείο από τον ίδιο τον δράστη.

3.4

Οι επιθέσεις από δίκτυα προγραμμάτων ρομπότ συχνά εξαπολύονται σε μεγάλη κλίμακα. Οι μεγάλης κλίμακας επιθέσεις είναι οι επιθέσεις εκείνες που είτε πραγματοποιούνται με τη χρήση εργαλείων που πλήττουν σημαντικό αριθμό συστημάτων πληροφοριών (υπολογιστές), είτε είναι επιθέσεις που προκαλούν σημαντικές ζημίες, π.χ. διαταραχή των υπηρεσιών συστημάτων, οικονομικό κόστος ή απώλεια δεδομένων προσωπικού χαρακτήρα κ.λπ. Οι ζημίες που προκαλούνται από επιθέσεις μεγάλης κλίμακας έχουν σοβαρές επιπτώσεις στη λειτουργία του ίδιου του στόχου, και/ή θίγουν το εργασιακό του περιβάλλον. Σε αυτό το πλαίσιο, ένα μεγάλο «botnet» μπορεί να προκαλέσει πολύ σοβαρές ζημίες. Είναι δύσκολο να οριστούν τα «botnet» σε όρους μεγέθους, αλλά τα μεγαλύτερα «botnet» που έχουν γίνει γνωστά εκτιμάται ότι αριθμούν 40 000 έως 100 000 συνδέσεις (δηλ. προσβεβλημένους υπολογιστές) σε διάστημα 24 ωρών (27).

3.5

Η απόφαση-πλαίσιο έχει ορισμένες αδυναμίες λόγω της τάσης εξέλιξης του μεγέθους και του αριθμού των αδικημάτων (κυβερνοεπιθέσεις). Προσεγγίζει τη νομοθεσία ενός περιορισμένου μόνο αριθμού αδικημάτων, αλλά δεν αντιμετωπίζει πλήρως τη δυνητική απειλή που αντιπροσωπεύουν για την κοινωνία οι επιθέσεις μεγάλης κλίμακας, ούτε λαμβάνει επαρκώς υπόψη τη σοβαρότητα των εγκλημάτων και τις ποινές που πρέπει να επιβληθούν.

3.6

Στόχος της παρούσας οδηγίας είναι η προσέγγιση των κανόνων ποινικού δικαίου των κρατών μελών που αφορούν επιθέσεις κατά συστημάτων πληροφοριών και η βελτίωση της συνεργασίας μεταξύ των δικαστικών και άλλων αρμόδιων αρχών, συμπεριλαμβανομένης της αστυνομίας και άλλων εξειδικευμένων υπηρεσιών εφαρμογής του νόμου στα κράτη μέλη.

3.7

Οι επιθέσεις κατά των συστημάτων πληροφοριών, ιδίως εκείνες που προέρχονται από τα κυκλώματα του οργανωμένου εγκλήματος, αποτελούν συνεχώς αυξανόμενη απειλή και εντείνουν τις ανησυχίες για το ενδεχόμενο τρομοκρατικών επιθέσεων ή επιθέσεων με πολιτικό χαρακτήρα κατά των συστημάτων πληροφοριών που αποτελούν μέρος της ζωτικής σημασίας υποδομής των κρατών μελών και της Ένωσης. Αυτή η κατάσταση συνιστά απειλή για την επίτευξη μιας ασφαλέστερης κοινωνίας της πληροφορίας και ενός χώρου ελευθερίας, ασφάλειας και δικαιοσύνης, και πρέπει, ως εκ τούτου, να αντιμετωπιστεί στο επίπεδο της Ευρωπαϊκής Ένωσης.

3.8

Υπάρχουν στοιχεία που αποδεικνύουν την τάση για όλο και πιο επικίνδυνες και επαναλαμβανόμενες επιθέσεις μεγάλης κλίμακας κατά συστημάτων πληροφοριών ζωτικής σημασίας για τις χώρες ή για ειδικές δραστηριότητες του δημόσιου ή του ιδιωτικού τομέα. Η τάση αυτή συνοδεύεται από την ανάπτυξη όλο και πιο εξελιγμένων εργαλείων που μπορούν να χρησιμοποιηθούν από τους εγκληματίες για κάθε είδους επίθεση στον κυβερνοχώρο.

3.9

Για να διασφαλιστεί μία συνεκτική προσέγγιση μεταξύ των κρατών μελών κατά την εφαρμογή της παρούσας οδηγίας, είναι σημαντικό να υπάρχουν κοινοί ορισμοί στον τομέα αυτό, ειδικότερα για τα συστήματα πληροφοριών και τα ηλεκτρονικά δεδομένα.

3.10

Είναι ανάγκη να διαμορφωθεί κοινή προσέγγιση για τα στοιχεία αντικειμενικής υπόστασης των ποινικών αδικημάτων, με την πρόβλεψη κοινών αδικημάτων παράνομης πρόσβασης σε σύστημα πληροφοριών, παράνομης παρεμβολής σε σύστημα, παράνομης παρεμβολής σε δεδομένα και παράνομης υποκλοπής.

3.11

Τα κράτη μέλη θα πρέπει να προβλέψουν κυρώσεις για τις επιθέσεις κατά των συστημάτων πληροφοριών. Οι προβλεπόμενες κυρώσεις θα πρέπει να είναι αποτελεσματικές, αναλογικές και αποτρεπτικές.

3.12

Η οδηγία, ενώ καταργεί την απόφαση-πλαίσιο 2005/222/ΔΕΥ, θα διατηρήσει τις παρούσες διατάξεις της και θα περιλαμβάνει τα ακόλουθα νέα στοιχεία: