02019D0797 — FI — 16.05.2020 — 001.003


Tämä asiakirja on ainoastaan dokumentoinnin apuväline eikä sillä ole oikeudellista vaikutusta. Unionin toimielimet eivät vastaa sen sisällöstä. Säädösten todistusvoimaiset versiot on johdanto-osineen julkaistu Euroopan unionin virallisessa lehdessä ja ne ovat saatavana EUR-Lexissä. Näihin virallisiin teksteihin pääsee suoraan tästä asiakirjasta siihen upotettujen linkkien kautta.

►B

NEUVOSTON PÄÄTÖS (YUTP) 2019/797,

annettu 17 päivänä toukokuuta 2019,

unionia tai sen jäsenvaltioita uhkaavien kyberhyökkäysten vastaisista rajoittavista toimenpiteistä

(EUVL L 129I 17.5.2019, s. 13)

Muutettu:

 

 

Virallinen lehti

  N:o

sivu

päivämäärä

►M1

NEUVOSTON PÄÄTÖS (YUTP) 2020/651, annettu 14 päivänä toukokuuta 2020,

  L 153

4

15.5.2020


Oikaistu:

►C1

Oikaisu, EUVL L 230, 17.7.2020, s.  36 (2019/797,)




▼B

NEUVOSTON PÄÄTÖS (YUTP) 2019/797,

annettu 17 päivänä toukokuuta 2019,

unionia tai sen jäsenvaltioita uhkaavien kyberhyökkäysten vastaisista rajoittavista toimenpiteistä



1 artikla

1.  Tätä päätöstä sovelletaan vaikutukseltaan merkittäviin kyberhyökkäyksiin, mukaan lukien potentiaaliselta vaikutukseltaan merkittäviin kyberhyökkäysten yrityksiin, jotka muodostavat ulkoisen uhkan unionille tai sen jäsenvaltioille.

2.  Ulkoisen uhkan muodostaviin kyberhyökkäyksiin sisältyvät

a) 

unionin ulkopuolelta peräisin olevat tai toteutettavat kyberhyökkäykset;

b) 

unionin ulkopuolista infrastruktuuria hyödyntävät kyberhyökkäykset;

c) 

unionin ulkopuolelle sijoittautuneen tai unionin ulkopuolella toimivan luonnollisen henkilön, oikeushenkilön, yhteisön tai elimen toteuttamat kyberhyökkäykset; tai

d) 

unionin ulkopuolella toimivan luonnollisen henkilön, oikeushenkilön, yhteisön tai elimen tuella, johdolla tai valvonnassa toteutettavat kyberhyökkäykset.

3.  Kyberhyökkäyksiä ovat toimet, joihin liittyy

a) 

pääsy tietojärjestelmiin;

b) 

tietojärjestelmien häirintä;

c) 

tietojen vahingoittaminen; tai

d) 

tietojen sieppaaminen,

ja joihin ei ole järjestelmän tai tietojen tai niiden osan omistajan tai muun oikeudenhaltijan asianmukaista lupaa tai jotka eivät ole sallittuja unionin oikeuden tai asianomaisen jäsenvaltion lainsäädännön nojalla.

4.  Jäsenvaltioille uhkan muodostaviin kyberhyökkäyksiin sisältyvät muun muassa seuraaviin tietojärjestelmiin vaikuttavat kyberhyökkäykset:

a) 

elintärkeä infrastruktuuri, mukaan lukien vedenalaiset kaapelit ja ulkoavaruuteen lähetetyt esineet, joka on keskeinen yhteiskunnan välttämättömien toimintojen tai terveydenhuollon, turvallisuuden, turvatoimien sekä väestön taloudellisen tai sosiaalisen hyvinvoinnin ylläpitämiseksi;

b) 

keskeisten yhteiskunnallisten ja/tai taloudellisten toimintojen ylläpitämiseksi välttämättömät palvelut, erityisesti seuraavilla aloilla: energia (sähkö, öljy ja kaasu); liikenne (lento-, rautatie-, vesi- ja tieliikenne); pankkitoiminta; finanssimarkkinoiden infrastruktuurit; terveydenhuolto (terveydenhuoltopalvelujen tarjoajat, sairaalat ja yksityisklinikat); juomaveden toimittaminen ja jakelu; digitaalinen infrastruktuuri; ja muu asianomaiselle jäsenvaltiolle elintärkeä ala;

c) 

valtioiden elintärkeät tehtävät, erityisesti seuraavilla aloilla: puolustus, instituutioiden hallinto ja toiminta, mukaan lukien vaalien järjestäminen tai äänestysmenettely, talous- ja siviili-infrastruktuurin toiminta, sisäinen turvallisuus ja ulkosuhteet, mukaan lukien diplomaattiedustustot;

d) 

turvallisuusluokiteltujen tietojen säilyttäminen tai käsittely; tai

e) 

valtionhallinnon kriisiryhmät.

5.  Unionille uhkan muodostaviin kyberhyökkäyksiin sisältyvät kyberhyökkäykset, jotka kohdistuvat sen toimielimiin, elimiin ja laitoksiin, sen edustustoihin kolmansissa maissa tai kansainvälisissä järjestöissä, sen yhteisen turvallisuus- ja puolustuspolitiikan (YTPP) operaatioihin ja sen erityisedustajiin.

6.  Tämän päätöksen mukaisia rajoittavia toimenpiteitä voidaan soveltaa myös vastauksena kolmansiin valtioihin tai kansainvälisiin järjestöihin kohdistuviin vaikutukseltaan merkittäviin kyberhyökkäyksiin, jos tämä katsotaan tarpeelliseksi Euroopan unionista tehdyn sopimuksen 21 artiklan asiaankuuluvien määräysten mukaisten YUTP:n tavoitteiden saavuttamiseksi.

2 artikla

Tässä päätöksessä tarkoitetaan

a) 

’tietojärjestelmillä’ laitetta tai toisiinsa kytkettyjä tai liitettyjä laitteita, joista yksi tai useampi on ohjelmoitu automaattista digitaalista tietojenkäsittelyä varten, sekä digitaalisia tietoja, joita kyseisessä laitteessa tai kyseisissä toisiinsa kytketyissä tai liitetyissä laitteissa varastoidaan, käsitellään, haetaan tai välitetään niiden toimintaa, käyttöä, suojausta ja huoltoa varten.

b) 

’tietojärjestelmien häirinnällä’ tietojärjestelmän toiminnan haittaamista tai keskeyttämistä syöttämällä digitaalisia tietoja, siirtämällä, vahingoittamalla, tuhoamalla, turmelemalla, muuttamalla tai poistamalla tällaisia tietoja taikka ehkäisemällä pääsyn tällaisiin tietoihin.

c) 

’tietojen vahingoittamisella’ digitaalisten tietojen tuhoamista, vahingoittamista, turmelemista, muuttamista tai poistamista taikka tällaisiin tietoihin pääsyn ehkäisemistä; tähän sisältyy myös tietojen, varojen, taloudellisten resurssien tai immateriaalioikeuksien varastaminen.

d) 

’tietojen sieppaamisella’ tietojen hankkimista teknisin keinoin luottamuksellisesta digitaalisten tietojen siirrosta tietojärjestelmään, tietojärjestelmästä tai tietojärjestelmän sisällä, mukaan lukien tällaisia digitaalisia tietoja sisältävästä tietojärjestelmästä lähtevä sähkömagneettinen säteily.

3 artikla

Tekijöitä, jotka määrittävät, onko kyberhyökkäyksellä 1 artiklan 1 kohdassa tarkoitettu merkittävä vaikutus, ovat muun muassa

a) 

vaikutusala, laajuus, aiheutettujen häiriöiden vaikutukset tai vakavuus, myös taloudellisiin ja yhteiskunnallisiin toimintoihin, keskeisiin palveluihin, valtion elintärkeisiin tehtäviin, yleiseen järjestykseen tai turvallisuuteen;

b) 

niiden luonnollisten henkilöiden, oikeushenkilöiden, yhteisöjen tai elinten määrä, joihin ne vaikuttavat;

c) 

niiden jäsenvaltioiden määrä, joihin ne vaikuttavat;

d) 

aiheutettujen taloudellisten tappioiden määrä, kuten laajamittainen varojen, taloudellisten resurssien tai immateriaalioikeuksien varastaminen;

e) 

tekijän itselleen tai toisille tuottama taloudellinen hyöty;

f) 

varastettujen tietojen määrä tai laatu tai tietoturvaloukkausten laajuus; tai

g) 

niiden kaupallisesti arkaluonteisten tietojen luonne, joihin on saatu pääsy.

4 artikla

1.  Jäsenvaltioiden on toteutettava tarvittavat toimenpiteet estääkseen seuraavien pääsyn alueelleen tai kauttakulun alueensa kautta:

a) 

luonnolliset henkilöt, jotka ovat vastuussa kyberhyökkäyksistä tai niiden yrityksistä;

b) 

luonnolliset henkilöt, jotka tukevat kyberhyökkäyksiä tai niiden yrityksiä taloudellisesti, teknisesti tai aineellisesti tai ovat muuten osallisia niihin, myös tällaisten hyökkäysten suunnittelun, valmistelun, osallistumisen, ohjaamisen, avustamisen tai kannustamisen kautta taikka niiden helpottamisen kautta joko teoin tai laiminlyönnein;

c) 

luonnolliset henkilöt, jotka ovat lähellä a ja b alakohdan soveltamisalaan kuuluvia henkilöitä,

sellaisina kuin heidät luetellaan liitteessä.

2.  Edellä oleva 1 kohta ei velvoita jäsenvaltiota kieltämään omien kansalaistensa pääsyä alueelleen.

3.  Edellä oleva 1 kohta ei vaikuta tapauksiin, joissa jäsenvaltiota sitoo kansainvälisen oikeuden velvoite

a) 

kansainvälisen hallitustenvälisen järjestön isäntämaana;

b) 

Yhdistyneiden kansakuntien koolle kutsuman tai sen suojeluksessa järjestettävän kansainvälisen konferenssin isäntämaana;

c) 

erioikeuksia ja vapauksia myöntävän monenvälisen sopimuksen mukaisesti; tai

d) 

Pyhän istuimen (Vatikaanivaltio) ja Italian välillä vuonna 1929 tehdyn sopimuksen (lateraanisopimus) nojalla.

4.  Edellä olevan 3 kohdan katsotaan soveltuvan myös tapauksiin, joissa jäsenvaltio toimii Euroopan turvallisuus- ja yhteistyöjärjestön (Etyj) isäntämaana.

5.  Neuvostolle on asianmukaisesti ilmoitettava kaikista tapauksista, joissa jäsenvaltio myöntää poikkeuksen 3 tai 4 kohdan nojalla.

6.  Jäsenvaltiot voivat myöntää poikkeuksia 1 kohdan nojalla käyttöön otetuista toimenpiteistä, jos matkustaminen on perusteltua pakottavista humanitaarisista syistä tai osallistumiseksi hallitustenvälisiin kokouksiin tai unionin aloitteesta järjestettyihin tai unionin isännöimiin tai Etyjin puheenjohtajavaltiona toimivan jäsenvaltion isännöimiin kokouksiin, joissa käydään rajoittavien toimenpiteiden poliittisia tavoitteita, mukaan lukien turvallisuutta ja vakautta kybertoimintaympäristössä, välittömästi tukevaa poliittista vuoropuhelua.

7.  Jäsenvaltiot voivat myös myöntää poikkeuksia 1 kohdan nojalla käyttöön otetuista toimenpiteistä, jos maahantulo tai kauttakulku on perusteltua oikeusprosessin päätökseen saattamiseksi.

8.  Jäsenvaltion, joka haluaa myöntää 6 tai 7 kohdassa tarkoitettuja poikkeuksia, on ilmoitettava siitä neuvostolle kirjallisesti. Poikkeus katsotaan myönnetyksi, jollei yksi tai useampi neuvoston jäsen esitä kirjallista vastalausetta kahden työpäivän kuluessa ehdotettua poikkeusta koskevan ilmoituksen vastaanottamisesta. Jos yksi tai useampi neuvoston jäsen esittää vastalauseen, neuvosto voi määräenemmistöllä päättää myöntää ehdotetun poikkeuksen.

9.  Tapauksissa, joissa jäsenvaltio 3, 4, 6, 7 tai 8 kohdan nojalla antaa luvan liitteessä lueteltujen henkilöiden pääsyyn alueelleen tai kulkemiseen alueensa kautta, lupa on rajoitettava tiukasti siihen tarkoitukseen, johon se myönnetään, ja henkilöihin, joita se suoraan koskee.

5 artikla

1.  Jäädytetään kaikki varat ja taloudelliset resurssit, jotka ovat seuraavien omistuksessa, hallussa tai määräysvallassa:

a) 

luonnolliset henkilöt, oikeushenkilöt, yhteisöt tai elimet, jotka ovat vastuussa kyberhyökkäyksistä tai niiden yrityksistä;

b) 

luonnolliset henkilöt, oikeushenkilöt, yhteisöt tai elimet, jotka tukevat kyberhyökkäyksiä tai niiden yrityksiä taloudellisesti, teknisesti tai aineellisesti tai ovat muuten osallisia niihin, myös tällaisten hyökkäysten suunnittelun, valmistelun, osallistumisen, ohjaamisen, avustamisen tai kannustamisen kautta taikka niiden helpottamisen kautta joko teoin tai laiminlyönnein;

c) 

luonnolliset henkilöt, oikeushenkilöt, yhteisöt tai elimet, jotka ovat lähellä a ja b alakohdan soveltamisalaan kuuluvia luonnollisia henkilöitä, oikeushenkilöitä, yhteisöjä tai elimiä,

sellaisina kuin ne luetellaan liitteessä.

2.  Mitään varoja tai taloudellisia resursseja ei saa suoraan tai välillisesti asettaa liitteessä lueteltujen luonnollisten henkilöiden, oikeushenkilöiden, yhteisöjen tai elinten saataville tai hyödynnettäviksi.

3.  Poiketen siitä, mitä 1 ja 2 kohdassa säädetään, jäsenvaltioiden toimivaltaiset viranomaiset voivat antaa luvan tiettyjen jäädytettyjen varojen tai taloudellisten resurssien vapauttamiseen tai tiettyjen varojen tai taloudellisten resurssien asettamiseen saataville asianmukaisiksi katsominsa ehdoin ja todettuaan, että asianomaiset varat tai taloudelliset resurssit

a) 

►C1  ovat tarpeen liitteessä lueteltujen luonnollisten henkilöiden, oikeushenkilöiden, yhteisöjen tai elinten sekä tällaisten luonnollisten henkilöiden huollettavina olevien perheenjäsenten ◄ perustarpeiden tyydyttämiseksi, mukaan lukien menot, jotka aiheutuvat elintarvikkeiden hankinnasta, vuokrasta tai asuntolainasta, lääkkeistä ja sairaanhoidosta, veroista, vakuutusmaksuista ja julkisten palvelujen käytöstä;

b) 

on tarkoitettu yksinomaan oikeudellisiin palveluihin liittyvien kohtuullisten palkkioiden maksamiseen tai näistä palveluista aiheutuneiden kulujen korvaamiseen;

c) 

on tarkoitettu yksinomaan jäädytettyjen varojen tai taloudellisten resurssien tavanomaisesta säilyttämisestä tai hoidosta aiheutuvien palkkioiden tai palvelumaksujen maksamiseen;

d) 

ovat tarpeen poikkeuksellisia menoja varten edellyttäen, että asiaankuuluva toimivaltainen viranomainen on ilmoittanut muiden jäsenvaltioiden toimivaltaisille viranomaisille ja komissiolle vähintään kaksi viikkoa ennen luvan antamista perusteet, joiden nojalla se katsoo, että erityinen lupa olisi annettava; tai

e) 

on maksettava kansainvälisen oikeuden mukaisesti koskemattomuutta nauttivan diplomaatti- tai konsuliedustuston tai kansainvälisen järjestön tilille tai tililtä, mikäli tällaiset maksut on tarkoitettu käytettäviksi kyseisen diplomaatti- tai konsuliedustuston tai kansainvälisen järjestön virallisiin tarkoituksiin.

Asianomaisen jäsenvaltion on ilmoitettava muille jäsenvaltioille ja komissiolle kaikista tämän kohdan nojalla annetuista luvista.

4.  Poiketen siitä, mitä 1 kohdassa säädetään, jäsenvaltioiden toimivaltaiset viranomaiset voivat antaa luvan tiettyjen jäädytettyjen varojen tai taloudellisten resurssien vapauttamisen edellyttäen, että seuraavat ehdot täyttyvät:

a) 

varoihin tai taloudellisiin resursseihin kohdistuu välimiesoikeuden päätös, joka on annettu ennen sitä päivää, jona 1 kohdassa tarkoitettu luonnollinen henkilö, oikeushenkilö, yhteisö tai elin sisällytettiin liitteessä olevaan luetteloon, tai unionissa annettu oikeudellinen tai hallinnollinen päätös tai asianomaisessa jäsenvaltiossa täytäntöönpanokelpoinen oikeudellinen päätös, joka on annettu ennen kyseistä päivää tai sen jälkeen;

b) 

varoja tai taloudellisia resursseja käytetään yksinomaan kattamaan tällaisella päätöksellä turvatut tai tällaisessa päätöksessä vahvistetut vaateet niiden sovellettavien lakien ja määräysten asettamissa rajoissa, jotka koskevat sellaisten henkilöiden oikeuksia, joilla on tällaisia vaateita;

c) 

päätöstä ei ole annettu liitteessä luetellun luonnollisen henkilön, oikeushenkilön, yhteisön tai elimen eduksi; ja

d) 

päätöksen tunnustaminen ei ole asianomaisen jäsenvaltion oikeusjärjestyksen perusteiden vastaista.

Asianomaisen jäsenvaltion on ilmoitettava muille jäsenvaltioille ja komissiolle kaikista tämän kohdan nojalla annetuista luvista.

5.  Edellä oleva 1 kohta ei estä liitteessä lueteltua luonnollista henkilöä, oikeushenkilöä, yhteisöä tai elintä suorittamasta maksua, joka johtuu sopimuksesta, joka on tehty ennen sitä päivää, jolloin kyseinen luonnollinen henkilö, oikeushenkilö, yhteisö tai elin sisällytettiin mainittuun luetteloon, edellyttäen, että asianomainen jäsenvaltio on todennut, että 1 kohdassa tarkoitettu luonnollinen henkilö, oikeushenkilö, yhteisö tai elin ei ole suoraan tai välillisesti maksun saaja.

6.  Edellä olevaa 2 kohtaa ei sovelleta seuraaviin jäädytetyille tileille lisättäviin määriin:

a) 

kyseisistä tileistä kertyvät korko- tai muut tuotot;

b) 

sellaisista sopimuksista tai velvoitteista johtuvat maksut, jotka tehtiin tai jotka syntyivät ennen sitä päivää, josta lähtien kyseisiin tileihin on sovellettu 1 ja 2 kohdassa säädettyjä toimenpiteitä; tai

c) 

unionissa annettujen tai asianomaisessa jäsenvaltiossa täytäntöönpanokelpoisten oikeudellisten, hallinnollisten tai välimiesoikeuden päätösten perusteella suoritettavat maksut,

edellyttäen, että tällaisiin korkotuottoihin, muihin tuottoihin ja maksuihin sovelletaan edelleen 1 kohdassa säädettyjä toimenpiteitä.

6 artikla

1.  Neuvosto vahvistaa yksimielisesti liitteessä olevan luettelon ja muuttaa sitä jäsenvaltion tai unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan ehdotuksesta.

2.  Neuvosto antaa 1 kohdassa tarkoitetut päätökset, mukaan lukien luetteloon merkitsemisen perusteet, tiedoksi asianomaiselle luonnolliselle henkilölle, oikeushenkilölle, yhteisölle tai elimelle joko suoraan, jos osoite on tiedossa, tai julkaisemalla ilmoituksen, ja antaa kyseiselle luonnolliselle henkilölle, oikeushenkilölle, yhteisölle tai elimelle mahdollisuuden esittää huomautuksia.

3.  Jos huomautuksia tehdään tai jos esitetään olennaista uutta näyttöä, neuvosto tarkastelee 1 kohdassa tarkoitettua päätöstä uudelleen ja ilmoittaa asiasta asianomaiselle luonnolliselle henkilölle, oikeushenkilölle, yhteisölle tai elimelle.

7 artikla

1.  Liitteeseen sisällytetään 4 ja 5 artiklassa tarkoitettujen luonnollisten henkilöiden, oikeushenkilöiden, yhteisöjen ja elinten luetteloon merkitsemisen perusteet.

2.  Liite sisältää tiedot, jotka ovat tarpeen asianomaisten luonnollisten henkilöiden, oikeushenkilöiden, yhteisöjen tai elinten tunnistamiseksi, jos nämä tiedot ovat saatavilla. Luonnollisten henkilöiden osalta tällaisia tietoja voivat olla: nimet ja peitenimet; syntymäaika ja -paikka; kansalaisuus; passin ja henkilökortin numero; sukupuoli; osoite, jos se on tiedossa; sekä toimi tai ammatti. Oikeushenkilöiden, yhteisöjen tai elinten osalta tällaisia tietoja voivat olla nimet, rekisteröintipaikka ja -aika, rekisterinumero ja toimipaikka.

8 artikla

Vaateita, jotka liittyvät sopimukseen tai liiketoimeen, jonka suorittamiseen ovat vaikuttaneet suoraan tai välillisesti, kokonaan tai osittain toimenpiteet, jotka on otettu käyttöön tämän päätöksen nojalla, mukaan lukien korvausvaateet tai muut senkaltaiset vaateet, kuten hyvitysvaatimus tai vakuuteen perustuva vaatimus, erityisesti joukkolainan, vakuuden tai korvauksen, etenkin missä tahansa muodossa olevan rahallisen vakuuden tai rahallisen korvauksen, pidentämistä tai maksamista koskeva vaade, ei oteta huomioon, jos vaateiden esittäjä on

a) 

liitteessä lueteltu nimetty luonnollinen henkilö, oikeushenkilö, yhteisö tai elin;

b) 

luonnollinen henkilö, oikeushenkilö, yhteisö tai elin, joka toimii a alakohdassa tarkoitetun luonnollisen henkilön, oikeushenkilön, yhteisön tai elimen välityksellä tai puolesta.

9 artikla

Jotta tässä päätöksessä säädettyjen toimenpiteiden vaikutus olisi mahdollisimman suuri, unioni rohkaisee kolmansia valtioita hyväksymään rajoittavia toimenpiteitä, jotka ovat samankaltaisia kuin tässä päätöksessä säädetyt toimenpiteet.

▼M1

10 artikla

Tätä päätöstä sovelletaan 18 päivään toukokuuta 2021 ja sitä tarkastellaan jatkuvasti uudelleen. Se uusitaan tai sitä muutetaan tarvittaessa, jos neuvosto katsoo, että sen tavoitteita ei ole saavutettu.

▼B

11 artikla

Tämä päätös tulee voimaan sitä päivää seuraavana päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.




LIITE

Luettelo 4 ja 5 artiklassa tarkoitetuista luonnollisista henkilöistä, oikeushenkilöistä, yhteisöistä ja elimistä

[…]