|
17.5.2019 |
ET |
Euroopa Liidu Teataja |
LI 129/13 |
NÕUKOGU OTSUS (ÜVJP) 2019/797,
17. mai 2019,
piiravate meetmete kohta, millega takistada liitu või selle liikmesriike ähvardavaid küberründeid
EUROOPA LIIDU NÕUKOGU,
võttes arvesse Euroopa Liidu lepingut, eriti selle artiklit 29,
võttes arvesse liidu välisasjade ja julgeolekupoliitika kõrge esindaja ettepanekut
ning arvestades järgmist:
|
(1) |
Nõukogu võttis 19. juunil 2017 vastu järeldused pahatahtlikule kübertegevusele ühise diplomaatilise reageerimise raamistiku kohta („küberdiplomaatia meetmete kogum“), milles nõukogu teatas, et muret valmistab nii riiklike kui ka mitteriiklike üksuste suurem suutlikkus ja soov püüelda oma eesmärkide poole pahatahtliku kübertegevuse abil, ning kinnitas üha suuremat vajadust kaitsta liidu, selle liikmesriikide ja kodanike puutumatust ja julgeolekut küberohtude ja muu pahatahtliku kübertegevuse eest. |
|
(2) |
Nõukogu rõhutas, et selgesõnaline teavitamine tagajärgedest, mille võib kaasa tuua liidu ühine diplomaatiline reageerimine sellisele pahatahtlikule kübertegevusele, mõjutab küberrünnete potentsiaalsete toimepanijate käitumist, tugevdades seeläbi liidu ja selle liikmesriikide julgeolekut. Nõukogu kinnitas ka, et aluslepingute asjakohaste sätete kohaselt vastu võetud ühise välis- ja julgeolekupoliitika (ÜVJP) meetmed, sealhulgas vajaduse korral piiravad meetmed, on pahatahtlikule kübertegevusele liidu ühise diplomaatilise reageerimise raamistiku seisukohast sobivad, eesmärgiga edendada koostööd, hõlbustada vahetute ja pikaajaliste ohtude leevendamist ja mõjutada rünnete potentsiaalsete toimepanijate käitumist pikaajalises perspektiivis. |
|
(3) |
Poliitika- ja julgeolekukomitee kiitis 11. oktoobril 2017 heaks küberdiplomaatia meetmete kogumi rakendussuunised. Need rakendussuunised viitavad küberdiplomaatia meetmete kogumi viiele meetmekategooriale, sealhulgas piiravatele meetmetele, ning nende meetmete rakendamise protsessile. |
|
(4) |
Nõukogu järeldustes pahatahtliku kübertegevuse kohta, mis võeti vastu 16. aprillil 2018. aastal, mõisteti kindlalt hukka info- ja kommunikatsioonitehnoloogia (IKT) pahatahtlik kasutamine ning rõhutati, et IKT pahatahtlik kasutamine on vastuvõetamatu, kuna see õõnestab internetist ja IKT kasutamisest tulenevat stabiilsust, julgeolekut ja kasu. Nõukogu tuletas meelde, et küberdiplomaatia meetmete kogum aitab kaasa konfliktide ennetamisele, koostööle ja stabiilsusele küberruumis, nähes ette ÜVJP raames võetavad meetmed, sealhulgas piiravad meetmed, mida saab kasutada pahatahtliku kübertegevuse ennetamiseks ja sellele reageerimiseks. Selles teatati, et liit jääb kindlameelselt seisukohale, et kehtiv rahvusvaheline õigus on kohaldatav küberruumi suhtes, ning rõhutati, et rahvusvahelise õiguse, eelkõige ÜRO põhikirja järgimine on hädavajalik selleks, et säilitada rahu ja stabiilsus. Nõukogu toonitas samuti, et riigid ei tohi kasutada IKT abil rahvusvaheliste õigusrikkumiste toimepanemiseks kolmandaid osapooli ning nad peaksid püüdma tagada, et valitsusvälised osalejad ei kasuta nende territooriumi selliste tegude sooritamiseks, mida on rahvusvahelise julgeoleku kontekstis IKT küsimustega tegelevad ÜRO info- ja telekommunikatsioonivaldkonna arengute riiklike ekspertide rühm toonud esile oma 2015. aasta aruandes. |
|
(5) |
Euroopa Ülemkogu võttis 28. juunil 2018 vastu järeldused, milles rõhutati vajadust tugevdada võimet tegutseda liidust väljastpoolt pärinevate küberohtude vastu. Euroopa Ülemkogu palus institutsioonidel ja liikmesriikidel rakendada komisjoni ja liidu välisasjade ja julgeolekupoliitika kõrge esindaja 13. septembri 2017. aasta ühisteatises „Vastupanuvõime tugevdamine ja suutlikkuse suurendamine võitluseks hübriidohtudega“ osutatud meetmeid, sealhulgas küberdiplomaatia meetmete kogumi praktilise kasutamise vallas. |
|
(6) |
Euroopa Ülemkogu võttis 18. oktoobril 2018 vastu järeldused, milles kutsuti vastavalt nõukogu 19. juuni 2017. aasta järeldustele üles jätkama tööd suutlikkusega liidu piiravate meetmete abil küberrünnetele reageerida ja neid ära hoida. |
|
(7) |
Seda arvesse võttes kehtestatakse käesoleva otsusega sihipäraste piiravate meetmete raamistik, et takistada märkimisväärse mõjuga küberründeid, mis kujutavad liidule või selle liikmesriikidele välist ohtu, ja nendele reageerida. Kui seda peetakse vajalikuks, et saavutada Euroopa Liidu lepingu artikli 21 sätetes nimetatud asjakohased ÜVJP eesmärgid, võimaldab käesolev otsus piiravaid meetmeid kohaldada ka vastusena märkimisväärse mõjuga küberrünnetele, mis on suunatud kolmandate riikide või rahvusvaheliste organisatsioonide vastu. |
|
(8) |
Ennetava ja hoiatava mõju saavutamiseks peaksid sihipärased piiravad meetmed olema keskendatud käesoleva otsuse kohaldamisalasse kuuluvatele küberrünnetele, mis on toime pandud tahtlikult. |
|
(9) |
Sihipäraseid piiravaid meetmeid tuleks eristada kolmandate riikide küberrünnete eest vastutusele võtmisest. Sihipäraste piiravate meetmete kohaldamine ei kujuta endast sellist vastutusele võtmist, mis on iga üksikujuhtumi puhul eraldi tehtav sõltumatu poliitiline otsus. Igal liikmesriigil on vabadus ise kindlaks teha, milline kolmas riik küberründe eest vastutab. |
|
(10) |
Teatavate meetmete rakendamiseks on vaja täiendavaid liidu meetmeid, |
ON VASTU VÕTNUD KÄESOLEVA OTSUSE:
Artikkel 1
1. Käesolevat otsust kohaldatakse märkimisväärse mõjuga küberrünnetele, sealhulgas potentsiaalse märkimisväärse mõjuga küberründekatsetele, mis kujutavad liidule või selle liikmesriikidele välist ohtu.
2. Välist ohtu kujutavate küberrünnete hulka kuuluvad ründed,
|
a) |
mis pärinevad väljastpoolt liitu või mis pannakse toime väljaspool liitu; |
|
b) |
mis kasutavad liiduvälist taristut; |
|
c) |
mille toimepanijaks on füüsiline või juriidiline isik, üksus või asutus, mis on asutatud või mis tegutseb väljaspool liitu, või |
|
d) |
mille toimepanemist toetab, suunab või kontrollib väljaspool liitu tegutsev füüsiline või juriidiline isik, üksus või asutus. |
3. Küberrünnetena käsitatakse kõiki tegevusi, mis sisaldavad järgmist:
|
a) |
juurdepääs infosüsteemile; |
|
b) |
infosüsteemi häiring; |
|
c) |
andmehäiring või |
|
d) |
andmepüük, |
milleks ei ole süsteemi või andmete või nende osa omaniku või muu õiguse omaja asjakohast luba või mis ei ole lubatud liidu või asjakohase liikmesriigi õiguse alusel.
4. Liikmesriikidele ohtu kujutavad küberründed hõlmavad ründeid, mis mõjutavad muu hulgas järgmiste valdkondadega seotud infosüsteeme:
|
a) |
elutähtis taristu, sealhulgas merekaablid ja kosmosesse lennutatud objektid, mis on hädavajalikud ühiskonna elutähtsate funktsioonide või tervise, ohutuse, julgeoleku ning inimeste majandusliku või sotsiaalse heaolu seisukohalt; |
|
b) |
teenused, mis on vajalikud olulise ühiskondliku ja/või majandustegevuse säilimise seisukohast, eelkõige energeetikasektorites (elekter, nafta ja gaas); transport (lennu-, raudtee-, vee- ja maanteetransport); pangandus; finantsturu taristu; tervis (tervishoiuteenuse osutajad, haiglad ja erakliinikud); joogivee varustus ja jaotamine; digitaristu; ning muu valdkond, mis on asjaomase liikmesriigi jaoks oluline; |
|
c) |
riigi põhifunktsioonid, eelkõige kaitse, valitsemise ja institutsioonide toimimise valdkonnas, sealhulgas üldvalimiste korraldamine või hääletusprotsess, majandus- ja tsiviiltaristu toimimine, sisejulgeolek ja välissuhted, sealhulgas diplomaatiliste missioonide kaudu; |
|
d) |
salastatud teabe talletamine või töötlemine või |
|
e) |
valitsuste juures tegutsevad hädaolukordadele reageerimise rühmad. |
5. Liidule ohtu kujutavad küberründed hõlmavad selle institutsioonide, organite ja asutuste, kolmandates riikides või rahvusvaheliste organisatsioonide juures asuvate delegatsioonide, selle ühise julgeoleku- ja kaitsepoliitika (ÜJKP) operatsioonide ja missioonide ning selle eriesindajate vastaseid ründeid.
6. Kui seda peetakse vajalikuks, et saavutada Euroopa Liidu lepingu artikli 21 sätetes nimetatud asjakohased ÜVJP eesmärgid, võib käesoleva otsuse kohaseid piiravaid meetmeid kohaldada ka vastusena märkimisväärse mõjuga küberrünnetele, mis on suunatud kolmandate riikide või rahvusvaheliste organisatsioonide vastu.
Artikkel 2
Käesolevas otsuses kasutatakse järgmisi mõisteid:
a) „infosüsteem“– seade või omavahel ühendatud või seotud seadmete rühm, mille hulgast üks või mitu seadet töötlevad digitaalseid andmeid automaatselt vastavalt programmile, ning digitaalsed andmed, mida kõnealuses seadmes või seadmete rühmas talletatakse, töödeldakse, välja otsitakse või edastatakse selle või nende toimimiseks, kasutamiseks, kaitseks ja hoolduseks;
b) „infosüsteemi häiring“– infosüsteemi toimimise takistamine või katkestamine digitaalsete andmete sisestamise, edastamise, kahjustamise, kustutamise, rikkumise, muutmise, sulustamise või juurdepääsmatuks muutmise teel;
c) „andmete häiring“– infosüsteemis digitaalsete andmete kustutamine, kahjustamine, rikkumine, muutmine, sulustamine või juurdepääsmatuks muutmine; see hõlmab ka andmete, rahaliste vahendite, majandusressursside või intellektuaalomandi vargust;
d) „andmepüük“– digitaalsete andmete infosüsteemi, infosüsteemist või infosüsteemis mitteavaliku edastamise, sealhulgas selliseid digitaalseid andmeid sisaldava infosüsteemi elektromagnetkiirguse püüdmine tehniliste vahendite abil.
Artikkel 3
Tegurid, mille põhjal kindlaks teha kas küberründel on artikli 1 lõikes 1 osutatud märkimisväärne mõju, hõlmavad järgnevat:
|
a) |
põhjustatud katkestuse ulatus, maht, mõju või raskusaste, sealhulgas seoses majandusliku ja ühiskondliku tegevuse, oluliste teenuste, riigi põhifunktsioonide, avaliku korra või avaliku julgeolekuga; |
|
b) |
mõjutatud füüsiliste või juriidiliste isikute, üksuste või asutuste arv; |
|
c) |
asjaomaste liikmesriikide arv; |
|
d) |
sellise majandusliku kahju suurus, mida põhjustas näiteks suuremahuline rahaliste vahendite, majandusressursside või intellektuaalomandi vargus; |
|
e) |
majanduslik kasu, mille sai rikkumise toimepanija kas endale või teistele; |
|
f) |
varastatud andmete kogus või olemus või andmerikete ulatus või |
|
g) |
tundliku äriteabe olemus, millele juurde pääseti. |
Artikkel 4
1. Liikmesriigid võtavad vajalikud meetmed, et nende territooriumile ei saaks siseneda ega seda läbida füüsilised isikud,
|
a) |
kes on korraldanud küberründe või küberründekatse; |
|
b) |
kes toetavad küberründeid või küberründekatseid rahaliselt, tehniliselt või materiaalselt või on nendega seotud muude tegevuste kaudu, sealhulgas selliste rünnakute planeerimise, ettevalmistamise, nendes osalemise, suunamise, abistamise või julgustamise kaudu, või aitavad neile kaasa oma tegevuse või tegevusetusega; |
|
c) |
on seotud punktides a ja b loetletud isikutega, |
nagu on loetletud lisas.
2. Lõige 1 ei kohusta liikmesriiki keelama oma kodanikel sisenemast oma territooriumile.
3. Lõige 1 ei mõjuta neid juhtumeid, kui liikmesriiki seob rahvusvahelisest õigusest tulenev kohustus, nimelt
|
a) |
rahvusvahelise valitsustevahelise organisatsiooni asukohariigina; |
|
b) |
Ühinenud Rahvaste Organisatsiooni kokku kutsutud või selle egiidi all toimuva rahvusvahelise konverentsi korraldajariigina; |
|
c) |
privileege ja immuniteete kehtestava mitmepoolse lepingu alusel või |
|
d) |
Püha Tooli (Vatikani linnriik) ja Itaalia vahel 1929. aastal sõlmitud lepingust (Lateraani pakt) tulenevalt. |
4. Lõiget 3 loetakse kohalduvaks ka juhul, kui liikmesriik on Euroopa Julgeoleku- ja Koostööorganisatsiooni (OSCE) asukohariik.
5. Nõukogu tuleb nõuetekohaselt teavitada kõigist liikmesriigi poolt lõike 3 või 4 kohaselt tehtud eranditest.
6. Liikmesriigid võivad teha erandeid lõike 1 alusel kehtestatud meetmetest, kui reisimine on õigustatud seoses kiireloomuliste humanitaarvajadustega või osalemisega valitsustevahelistel kohtumistel, liidu toel toimuvatel või liidu korraldatud kohtumistel või OSCE eesistujaks oleva liikmesriigi korraldatud kohtumistel, kus peetakse poliitilist dialoogi, mis otseselt edendab piiravate meetmete poliitilisi eesmärke, sealhulgas küberruumi julgeolekut ja stabiilsust.
7. Liikmesriik võib samuti teha erandeid lõike 1 alusel kehtestatud meetmetest, kui territooriumile sisenemine või selle läbimine on vajalik kohtumenetluse läbiviimiseks.
8. Liikmesriik, kes soovib teha lõikes 6 või 7 osutatud erandeid, teatab sellest nõukogule kirjalikult. Erand loetakse jõustunuks, välja arvatud juhul, kui üks või mitu nõukogu liiget esitab kirjaliku vastuväite kahe tööpäeva jooksul alates kavandatavat erandit käsitleva teatise saamisest. Kui üks või mitu nõukogu liiget peaks esitama vastuväite, võib nõukogu otsustada kavandatava erandi tegemise kvalifitseeritud häälteenamuse alusel.
9. Kui liikmesriik lubab lõigetes 3, 4, 6, 7 või 8 alusel lisas loetletud isikutel siseneda oma territooriumile või neil seda läbida, kehtib luba rangelt ainult sel eesmärgil, milleks see on antud, ning üksnes isikute suhtes, keda see otseselt puudutab.
Artikkel 5
1. Külmutatakse kõik rahalised vahendid ja majandusressursid, mis on järgmiste füüsiliste või juriidiliste isikute, üksuste või asutuste omandis, valduses või kontrolli all:
|
a) |
kes on korraldanud küberründe või küberründekatse; |
|
b) |
kes toetavad küberründeid või küberründekatseid rahaliselt, tehniliselt või materiaalselt või on nendega seotud muu tegevuse kaudu, sealhulgas selliste rünnakute planeerimise, ettevalmistamise, nendes osalemise, suunamise, abistamise või julgustamise kaudu, või aitavad neile kaasa oma tegevuse või tegevusetusega; |
|
c) |
kes on seotud punktidega a ja b hõlmatud füüsiliste või juriidiliste isikute, üksuste või asutustega, |
nagu on loetletud lisas.
2. Rahalisi vahendeid ega majandusressursse ei anta otse ega kaudselt lisas loetletud füüsiliste või juriidiliste isikute, üksuste või asutuste käsutusse ega nende kasuks.
3. Erandina lõigetest 1 ja 2 võivad liikmesriikide pädevad asutused anda loa teatavate külmutatud rahaliste vahendite või majandusressursside vabastamiseks või kättesaadavaks tegemiseks vastavalt tingimustele, mida nad asjakohaseks peavad, ning pärast seda, kui on kindlaks tehtud, et need rahalised vahendid või majandusressursid on
|
a) |
vajalikud lisas loetletud füüsiliste isikute ja selliste füüsiliste isikute ülalpeetavate pereliikmete põhivajaduste rahuldamiseks, sealhulgas toidu, üüri või hüpoteegi, ravimite ja ravikulude, maksude, kindlustusmaksete ning kommunaalteenuste eest tasumiseks; |
|
b) |
ette nähtud üksnes õigusabiteenustega seotud mõistlike töötasude maksmiseks või nendest teenustest tulenevate kulude hüvitamiseks; |
|
c) |
ette nähtud üksnes tasude või teenustasude maksmiseks külmutatud rahaliste vahendite või majandusressursside tavapärase haldamise või säilitamise eest; |
|
d) |
vajalikud erakorraliste kulutuste katteks, tingimusel et asjaomane pädev asutus on vähemalt kaks nädalat enne loa andmist teavitanud teiste liikmesriikide pädevaid asutusi ja komisjoni põhjustest, mille alusel ta peab vajalikuks konkreetse loa andmist, või |
|
e) |
makstavad rahvusvahelise õiguse kohaselt puutumatu diplomaatilise või konsulaaresinduse või rahvusvahelise organisatsiooni pangakontole või pangakontolt, kui sellised maksed on ette nähtud diplomaatilise või konsulaaresinduse või rahvusvahelise organisatsiooni ametlikel eesmärkidel kasutamiseks. |
Asjaomane liikmesriik teavitab teisi liikmesriike ja komisjoni kõikidest käesoleva lõike alusel antud lubadest.
4. Erandina lõikest 1 võivad liikmesriikide pädevad asutused anda loa teatavate külmutatud rahaliste vahendite või majandusressursside vabastamiseks, kui on täidetud järgmised tingimused:
|
a) |
vahekohus on teinud kõnealuste rahaliste vahendite või majandusressursside kohta otsuse enne kuupäeva, mil lõikes 1 osutatud füüsiline või juriidiline isik, üksus või asutus kanti lisas esitatud loetellu, või nende kohta on liidus tehtud kohtu või haldusorgani otsus või asjaomases liikmesriigis täitmisele pööratav kohtuotsus enne või pärast nimetatud kuupäeva; |
|
b) |
rahalisi vahendeid või majandusressursse kasutatakse üksnes sellise otsusega tagatud või sellise otsusega kehtivaks tunnistatud nõuete rahuldamiseks kõnealuseid nõudeid omavate isikute õigusi reguleerivate õigusnormidega seatud piires; |
|
c) |
otsus ei ole tehtud lisas loetletud füüsilise või juriidilise isiku, üksuse või asutuse kasuks ning |
|
d) |
otsuse tunnustamine ei ole vastuolus asjaomase liikmesriigi avaliku korraga. |
Asjaomane liikmesriik teavitab teisi liikmesriike ja komisjoni kõikidest käesoleva lõike alusel antud lubadest.
5. Lõige 1 ei takista lisas esitatud loetellu kantud füüsilist või juriidilist isikut, üksust või asutust tegemast makset, mis tuleneb lepingust, mis on sõlmitud enne asjaomase füüsilise või juriidilise isiku, üksuse või asutuse lisas esitatud loetellu kandmise kuupäeva, eeldusel et asjaomane liikmesriik on teinud kindlaks, et makse otseseks või kaudseks saajaks ei ole lõikes 1 osutatud füüsiline või juriidiline isik, üksus või asutus.
6. Lõiget 2 ei kohaldata külmutatud kontodele lisatud järgmiste summade suhtes:
|
a) |
nende kontode intressid või muud tulud; |
|
b) |
maksed, mis tulenevad lepingust, kokkuleppest või kohustusest, mis sõlmiti või tekkis enne kuupäeva, mil nende kontode suhtes hakati kohaldama lõigetes 1 ja 2 sätestatud meetmeid, või |
|
c) |
maksed, mis kuuluvad tasumisele liidus tehtud või asjaomases liikmesriigis täitmisele pööratava kohtu, haldusorgani või vahekohtu otsuse alusel, |
eeldusel et selliste intresside, muude tulude ja maksete suhtes kohaldatakse jätkuvalt lõikes 1 sätestatud meetmeid.
Artikkel 6
1. Nõukogu koostab ühehäälselt liikmesriigi või liidu välisasjade ja julgeolekupoliitika kõrge esindaja ettepanekul lisas esitatud loetelu ja teeb sellesse muudatusi.
2. Nõukogu edastab lõikes 1 osutatud otsuse, sealhulgas loetellu kandmise põhjused, asjaomasele füüsilisele või juriidilisele isikule, üksusele või asutusele kas otse, kui aadress on teada, või teatise avaldamise kaudu, andes asjaomasele füüsilisele või juriidilisele isikule, üksusele või asutusele võimaluse esitada märkusi.
3. Kui esitatakse märkusi või uusi olulisi tõendeid, vaatab nõukogu lõikes 1 osutatud otsuse läbi ning teavitab vastavalt asjaomast füüsilist või juriidilist isikut, üksust või asutust.
Artikkel 7
1. Lisa sisaldab artiklites 4 ja 5 osutatud füüsiliste või juriidiliste isikute, üksuste ja asutuste loetellu kandmise põhjuseid.
2. Lisa sisaldab asjaomaste füüsiliste või juriidiliste isikute, üksuste ja asutuste tuvastamiseks vajalikku teavet selle olemasolul. Füüsiliste isikute puhul võib selline teave sisaldada nime, ja varjunimesid; sünniaega ja -kohta; kodakondsust; passi- ja isikutunnistuse numbrit; sugu; aadressi (kui see on teada) ning positsiooni või ametit. Juriidiliste isikute, üksuste või asutuste puhul võib selline teave sisaldada nimesid, registrisse kandmise kohta ja kuupäeva, registrinumbrit ja tegevuskohta.
Artikkel 8
Lepingu või tehingu puhul, mille täitmist on otse või kaudselt, tervikuna või osaliselt mõjutanud käesoleva otsusega kehtestatud meetmed, ei rahuldata ühtki nõuet, sealhulgas hüvitisnõuet ega muud samalaadset nõuet, nagu tasaarvestusnõue või tagatisnõue, eelkõige nõuet, mille eesmärk on mis tahes vormis võlakirja, tagatise või hüvitise, eelkõige finantstagatise või -hüvitise pikendamine või väljamaksmine, kui selle esitajaks on
|
a) |
lisas loetletud füüsilised või juriidilised isikud, üksused või asutused; |
|
b) |
füüsiline või juriidiline isik, üksus või asutus, kes tegutseb mõne punktis a osutatud füüsilise või juriidilise isiku, üksuse või asutuse kaudu või tema nimel. |
Artikkel 9
Käesolevas otsuses sätestatud meetmete võimalikult suure mõju tagamiseks julgustab liit kolmandaid riike võtma käesolevas otsuses sisalduvate meetmetega sarnaseid piiravaid meetmeid.
Artikkel 10
Käesolevat otsust kohaldatakse kuni 18. mai 2020 ning seda vaadatakse regulaarselt läbi. Asjakohasel juhul pikendatakse selle kehtivust või muudetakse seda, kui nõukogu leiab, et selle eesmärke ei ole saavutatud.
Artikkel 11
Käesolev otsus jõustub järgmisel päeval pärast selle avaldamist Euroopa Liidu Teatajas.
Brüssel, 17. mai 2019
Nõukogu nimel
eesistuja
E. O. TEODOROVICI
LISA
Artiklites 4 ja 5 osutatud füüsiliste või juriidiliste isikute, üksuste ja asutuste loetelu
[…]