17.5.2019   

HR

Službeni list Europske unije

LI 129/13


ODLUKA VIJEĆA (ZVSP) 2019/797

od 17. svibnja 2019.

o mjerama ograničavanja protiv kibernapada koji predstavljaju prijetnju Uniji ili njezinim državama članicama

VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o Europskoj uniji, a posebno njegov članak 29.,

uzimajući u obzir prijedlog Visokog predstavnika Unije za vanjske poslove i sigurnosnu politiku,

budući da:

(1)

Vijeće je 19. lipnja 2017. usvojilo zaključke o okviru za zajednički diplomatski odgovor EU-a na zlonamjerne kiberaktivnosti („Alati za kiberdiplomaciju”), u kojima je izrazilo zabrinutost zbog sve veće sposobnosti i spremnosti državnih i nedržavnih aktera da pokušaju ostvariti svoje ciljeve poduzimanjem zlonamjernih kiberaktivnosti te potvrdilo sve veću potrebu za zaštitom cjelovitosti i sigurnosti Unije, njezinih država članica i njihovih građana od kiberprijetnji i zlonamjernih kiberaktivnosti.

(2)

Vijeće je istaknulo da se jasnim ukazivanjem na vjerojatne posljedice zajedničkog diplomatskog odgovora Unije na takve zlonamjerne kiberaktivnosti utječe na ponašanje potencijalnih agresora u kiberprostoru, jačajući time sigurnost Unije i njezinih država članica. Također je potvrdilo da su mjere u okviru zajedničke vanjske i sigurnosne politike (ZVSP), uključujući prema potrebi i mjere ograničavanja, donesene na temelju relevantnih odredaba Ugovorâ, prikladne za okvir za zajednički diplomatski odgovor Unije na zlonamjerne kiberaktivnosti, s ciljem poticanja suradnje, olakšavanja ublažavanja neposrednih i dugoročnih prijetnji te dugoročnog utjecaja na ponašanje potencijalnih agresora.

(3)

Politički i sigurnosni odbor 11. listopada 2017. odobrio je provedbene smjernice za alate za kiberdiplomaciju. Provedbene smjernice odnose se na pet kategorija mjera, uključujući mjere ograničavanja, u okviru alata za kiberdiplomaciju, te postupak za primjenu tih mjera.

(4)

U Zaključcima Vijeća od 16. travnja 2018. o zlonamjernim kiberaktivnostima oštro se osuđuje zlonamjerna upotreba informacijskih i komunikacijskih tehnologija (IKT) te ističe da je upotreba IKT-a u zlonamjerne svrhe neprihvatljiva jer se time ugrožavaju stabilnost, sigurnost i prednosti koje pružaju internet i upotreba IKT-a.. Vijeće je podsjetilo na to da se alatima za kiberdiplomaciju doprinosi sprečavanju sukoba, suradnji i stabilnosti u kiberprostoru uspostavljanjem mjera u okviru ZVSP-a, uključujući mjere ograničavanja, koje se mogu primijeniti kako bi se spriječile zlonamjerne kiberaktivnosti i odgovorilo na njih. Vijeće je navelo da će Unija i dalje snažno zastupati stajalište da je postojeće međunarodno pravo primjenjivo na kiberprostor te je naglasilo da je poštovanje međunarodnog prava, posebno Povelje Ujedinjenih naroda, ključno za očuvanje mira i stabilnosti. Vijeće je ujedno istaknulo da se države ne trebaju koristiti posredničkim poslužiteljima za počinjenje međunarodnih prijestupa upotrebom IKT-a te da bi trebale nastojati osigurati da se nedržavni akteri ne služe njihovim državnim područjem za počinjenje prijestupa poput onih navedenih u izvješću iz 2015. Skupine vladinih stručnjaka Ujedinjenih naroda o razvoju u okviru u području informatike i telekomunikacija u kontekstu međunarodne sigurnosti.

(5)

Europsko vijeće usvojilo je 28. lipnja 2018. zaključke u kojima se ističe potreba za jačanjem sposobnosti za suzbijanje kibersigurnosnih prijetnji koje dolaze izvan Unije. Europsko vijeće zatražilo je od institucija i država članica da provedu mjere iz zajedničke komunikacije Komisije i Visokog predstavnika Unije za vanjske poslove i sigurnosnu politiku od 13. lipnja 2018. naslovljene „Jačanje otpornosti i povećanje sposobnosti za odgovor na hibridne prijetnje”, u koje spada i praktična upotreba alata za kiberdiplomaciju.

(6)

Europsko vijeće usvojilo je 18. listopada 2018. zaključke u kojima se poziva na daljnji rad na kapacitetima za odgovor na kibernapade i njihovo suzbijanje putem mjera ograničavanja Unije, u skladu sa zaključcima Vijeća od 19. lipnja 2017.

(7)

U tom kontekstu ovom se Odlukom uspostavlja okvir za ciljane mjere ograničavanja za suzbijanje kibernapada sa znatnim učinkom koji predstavljaju vanjsku prijetnju Uniji ili njezinim državama članicama, te za odgovor na njih. Kada se to smatra potrebnim kako bi se ostvarili ciljevi ZVSP-a iz odgovarajućih odredaba članka 21. Ugovora o Europskoj uniji, ova Odluka također omogućuje da se mjere ograničavanja primijene i kao odgovor na kibernapade sa znatnim učinkom protiv trećih država ili međunarodnih organizacija.

(8)

Radi učinkovitog suzbijanja kibernapada i odvraćanja od njih, ciljane mjere ograničavanja trebale bi se usredotočiti na namjerno izvršene kibernapade obuhvaćene područjem primjene ove Odluke.]

(9)

Ciljane mjere ograničavanja ne bi trebalo izjednačavati s pripisivanjem odgovornosti za kibernapade trećoj državi. Primjena ciljanih mjera ograničavanja ne podrazumijeva pripisivanje takve odgovornosti, što je suverena politička odluka koja se donosi za svaki slučaj zasebno. Svaka država članica može samostalno odlučiti o pripisivanju kibernapada trećoj državi.

(10)

Za provedbu određenih mjera potrebno je daljnje djelovanje Unije,

DONIJELO JE OVU ODLUKU:

Članak 1.

1.   Ova Odluka primjenjuje se na kibernapade sa znatnim učinkom, uključujući pokušaje kibernapada s potencijalno znatnim učinkom, koji predstavljaju vanjsku prijetnju Uniji ili njezinim državama članicama.

2.   Kibernapadi koji predstavljaju vanjsku prijetnju obuhvaćaju kibernapade:

(a)

koji potječu ili su izvedeni iz područja izvan Unije;

(b)

za koje se upotrebljava infrastruktura izvan Unije;

(c)

koje izvede bilo koja fizička ili pravna osoba, subjekt ili tijelo koje ima poslovni nastan ili djeluje izvan Unije; ili

(d)

koji se izvedu uz potporu, prema nalogu ili pod kontrolom bilo koje fizičke ili pravne osobe, subjekta ili tijela koji djeluju izvan Unije.

3.   U tu svrhu kibernapadi su djelovanja koja obuhvaćaju bilo koje od sljedećeg:

(a)

pristup informacijskim sustavima;

(b)

ometanje informacijskih sustava;

(c)

ometanje podataka; ili

(d)

presretanje podataka,

ako takva djelovanja nije propisno ovlastio vlasnik ili drugi nositelj prava u vezi sa sustavom ili podacima ili njihovim dijelom, ili ako nisu dopuštena u skladu s pravom Unije ili dotične države članice.

4.   Kibernapadi koji predstavljaju prijetnju državama članicama obuhvaćaju kibernapade koji pogađaju informacijske sustave povezane s, među ostalim:

(a)

kritičnom infrastrukturom, uključujući podmorske kabele i predmete poslane u svemir, koja je ključna za održavanje vitalnih funkcija društva ili za zdravlje, sigurnost, zaštitu i gospodarsku ili društvenu dobrobit ljudi;

(b)

službama nužnima za održavanje ključnih društvenih i/ili gospodarskih aktivnosti, posebno u sektorima energetike (električna energija, nafta i plin); prijevoza (zračnog, željezničkog, vodnog i cestovnog); bankarstva; infrastruktura financijskog tržišta; zdravstvenog sektora (pružatelji zdravstvene zaštite, bolnice i privatne klinike); opskrbe pitkom vodom i njezine distribucije; digitalne infrastrukture; i bilo kojeg drugog sektora koji je ključan za dotičnu državu članicu;

(c)

ključnim državnim funkcijama, posebno u područjima obrane, upravljanja i funkcioniranja institucija, među ostalim za javne izbore ili postupak glasovanja, funkcioniranja gospodarske i civilne infrastrukture, unutarnje sigurnosti te vanjskih odnosa, među ostalim putem diplomatskih misija;

(d)

pohranom ili obradom klasificiranih podataka; ili

(e)

vladinim timovima za hitne intervencije.

5.   Kibernapadi koji predstavljaju prijetnju Uniji obuhvaćaju kibernapade na njezine institucije, tijela, urede i agencije, njezine delegacije u trećim zemljama ili međunarodne organizacije, njezine operacije ili misije zajedničke vanjske i obrambene politike (ZSOP) i njezine posebne predstavnike.

6.   Ako se to smatra potrebnim kako bi se ostvarili ciljevi ZVSP-a iz odgovarajućih odredaba članka 21. Ugovora o Europskoj uniji, mjere ograničavanja u skladu s ovom Odlukom mogu se primijeniti i kao odgovor na kibernapade sa znatnim učinkom protiv trećih država ili međunarodnih organizacija.

Članak 2.

Za potrebe ove Odluke primjenjuju se sljedeće definicije:

(a)

„informacijski sustavi” znači uređaj ili skupina međupovezanih ili srodnih uređaja, od kojih jedan ili više njih, sukladno programu, provodi automatsku obradu digitalnih podataka, te digitalni podaci koji su pohranjeni, obrađeni, pronađeni ili preneseni tim uređajem ili skupinom uređaja za potrebe njegova ili njihova funkcioniranja, upotrebe, zaštite i održavanja;

(b)

„ometanje informacijskog sustava” znači sprečavanje ili prekidanje funkcioniranja informacijskog sustava unosom, prijenosom, oštećivanjem, brisanjem, degradacijom, mijenjanjem ili prikrivanjem digitalnih podataka, ili onemogućavanjem pristupa takvim podacima;

(c)

„ometanje podataka” znači brisanje, oštećivanje, degradacija, mijenjanje ili prikrivanje digitalnih podataka u informacijskom sustavu, ili onemogućavanje pristupa takvim podacima; to uključuje i krađu podataka, financijskih sredstava, gospodarskih resursa ili intelektualnog vlasništva;

(d)

„presretanje podataka” znači presretanje, s pomoću tehničkih sredstava, nejavnih prijenosa digitalnih podataka u informacijski sustav, iz ili unutar njega, uključujući elektromagnetske emisije iz informacijskog sustava kojima se prenose takvi digitalni podaci.

Članak 3.

Čimbenici s pomoću kojih se utvrđuje ima li kibernapad znatan učinak kako je navedeno u članku 1. stavku 1. obuhvaćaju bilo koje od sljedećeg:

(a)

opseg, razinu, učinak ili ozbiljnost uzrokovanog poremećaja, među ostalim u pogledu gospodarskih i društvenih aktivnosti, ključnih usluga, ključnih državnih funkcija, javnog reda ili javne sigurnosti;

(b)

broj fizičkih ili pravnih osoba, subjekata ili tijela na koji utječe;

(c)

broj dotičnih država članica;

(d)

opseg gospodarskih gubitaka uzrokovanih primjerice velikom krađom financijskih sredstava, gospodarskih resursa ili intelektualnog vlasništva;

(e)

gospodarsku korist koju je počinitelj ostvario za sebe ili druge;

(f)

količinu ili prirodu ukradenih podataka ili razmjer povreda podataka ili

(g)

prirodu komercijalno osjetljivih podataka kojima se pristupilo.

Članak 4.

1.   Države članice poduzimaju mjere koje su potrebne kako bi spriječile ulazak na svoje državno područje ili prelazak preko njega:

(a)

fizičkim osobama odgovornima za kibernapade ili pokušaje kibernapada;

(b)

fizičkim osobama koje pružaju financijsku, tehničku ili materijalnu potporu ili su na neki drugi način svjesno umiješane u kibernapade ili pokušaje kibernapada, među ostalim planiranjem, pripremanjem, usmjeravanjem, pomaganjem ili poticanjem takvih napada ili sudjelovanjem u takvim napadima, ili olakšavanjem takvih napada bilo djelovanjem ili nedjelovanjem;

(c)

fizičkim osobama povezanima s osobama navedenima u točkama (a) i (b) ovoga stavka

kako su navedene u Prilogu.

2.   Stavkom 1. državu članicu ne obvezuje se da vlastitim državljanima uskrati ulazak na svoje državno područje.

3.   Stavkom 1. ne dovode se u pitanje slučajevi u kojima za državu članicu postoji obveza na temelju međunarodnog prava, i to:

(a)

kao zemlje domaćina međunarodne međuvladine organizacije;

(b)

kao zemlje domaćina međunarodne konferencije sazvane od strane Ujedinjenih naroda ili pod njihovim pokroviteljstvom;

(c)

na temelju multilateralnog sporazuma kojim se dodjeljuju povlastice i imuniteti; ili

(d)

na temelju Sporazuma o mirenju iz 1929. (Lateranski ugovor) koji su sklopile Sveta Stolica (Država Vatikanskoga Grada) i Italija.

4.   Smatra se da se stavak 3. primjenjuje i u slučajevima kada je neka država članica zemlja domaćin Organizacije za europsku sigurnost i suradnju (OESS).

5.   Vijeće se propisno obavješćuje u svim slučajevima u kojima država članica odobrava izuzeće na temelju stavaka 3. ili 4.

6.   Države članice mogu odobriti izuzeća od mjera određenih na temelju stavka 1. ako je putovanje opravdano zbog hitne humanitarne potrebe ili zbog sudjelovanja na međuvladinim sastancima ili sastancima koje promiče ili koje organizira Unija ili koje organizira država članica koja predsjeda OESS-om, na kojima se odvija politički dijalog kojim se izravno promiču politički ciljevi mjera ograničavanja, uključujući sigurnost i stabilnost u kiberprostoru.

7.   Države članice mogu odobriti i izuzeća od mjera određenih na temelju stavka 1. ako je ulazak ili prelazak potreban za provođenje sudskog postupka.

8.   Država članica koja želi odobriti izuzeća iz stavka 6. ili 7. o tome obavješćuje Vijeće u pisanom obliku. Izuzeće se smatra odobrenim osim ako jedna ili više članica Vijeća iznese prigovor u pisanom obliku u roku od dva radna dana od primitka obavijesti o predloženom izuzeću. Ako jedna ili više članica Vijeća iznese prigovor, Vijeće kvalificiranom većinom može odlučiti odobriti predloženo izuzeće.

9.   Ako država članica na temelju stavaka 3., 4., 6., 7. ili 8. odobri ulazak na svoje državno područje ili prelazak preko njega osobama navedenima u Prilogu, odobrenje se strogo ograničava na svrhu za koju je dodijeljeno i na osobe na koje se izravno odnosi.

Članak 5.

1.   Sva financijska sredstva i gospodarski resursi u posjedu, u vlasništvu, na raspolaganju ili pod kontrolom:

(a)

fizičkih ili pravnih osoba, subjekata ili tijela odgovornih za kibernapade ili pokušaje kibernapada;

(b)

fizičkih ili pravnih osoba, subjekata ili tijela koji pružaju financijsku, tehničku ili materijalnu potporu ili su na neki drugi način svjesno umiješani u kibernapade ili pokušaje kibernapada, među ostalim planiranjem, pripremanjem, usmjeravanjem, pomaganjem ili poticanjem takvih napada ili sudjelovanjem u takvim napadima, ili olakšavanjem takvih napada ili djelovanjem ili nedjelovanjem;

(c)

fizičkih ili pravnih osoba, subjekata ili tijela povezanih s fizičkim ili pravnim osobama, subjektima ili tijelima obuhvaćenima točkama (a) i (b)

kako su navedeni u Prilogu, zamrzavaju se.

2.   Nikakva financijska sredstva ni gospodarski resursi ne stavljaju se izravno ili neizravno na raspolaganje fizičkim ili pravnim osobama, subjektima ili tijelima navedenima u Prilogu ni u njihovu korist.

3.   Odstupajući od stavaka 1. i 2., nadležna tijela država članica mogu odobriti oslobađanje određenih zamrznutih financijskih sredstava ili gospodarskih resursa, odnosno stavljanje na raspolaganje određenih financijskih sredstava ili gospodarskih resursa, pod uvjetima koje smatraju primjerenima, nakon što su utvrdila da su ta financijska sredstva ili ti gospodarski resursi:

(a)

potrebni za zadovoljavanje osnovnih potreba fizičkih osoba navedenih u Prilogu te uzdržavanih članova obitelji takvih fizičkih osoba, uključujući plaćanja za prehrambene proizvode, najamninu ili otplatu hipoteke, lijekove i liječenje, poreze, premije osiguranja i naknade za javne komunalne usluge;

(b)

namijenjeni isključivo za plaćanje opravdanih honorara ili naknadu nastalih troškova povezanih s pružanjem pravnih usluga;

(c)

namijenjeni isključivo za plaćanje pristojbi ili naknada za usluge redovitog čuvanja zamrznutih financijskih sredstava ili gospodarskih resursa ili upravljanja njima;

(d)

potrebni za izvanredne troškove, pod uvjetom da je relevantno nadležno tijelo najmanje dva tjedna prije dodjele odobrenja priopćilo nadležnim tijelima ostalih država članica i Komisiji razloge zbog kojih smatra da bi trebalo dodijeliti posebno odobrenje ili

(e)

namijenjeni uplati na račun ili isplati s računa diplomatske ili konzularne misije ili međunarodne organizacije koje uživaju imunitet u skladu s međunarodnim pravom, pod uvjetom da su ta plaćanja namijenjena za službene potrebe diplomatske ili konzularne misije ili međunarodne organizacije.

Dotična država članica obavješćuje ostale države članice i Komisiju o svakom odobrenju dodijeljenom na temelju ovog stavka.

4.   Odstupajući od stavka 1., nadležna tijela država članica mogu odobriti oslobađanje određenih zamrznutih financijskih sredstava ili gospodarskih resursa ako su ispunjeni sljedeći uvjeti:

(a)

financijska sredstva ili gospodarski resursi predmet su arbitražne odluke donesene prije datuma na koji su fizička ili pravna osoba, subjekt ili tijelo iz stavka 1. uvršteni na popis iz Priloga ili su predmet sudske ili upravne odluke donesene u Uniji, ili sudske odluke izvršive u dotičnoj državi članici, prije ili nakon tog datuma;

(b)

financijska sredstva ili gospodarski resursi upotrebljavat će se isključivo za namirenje potraživanja osiguranih takvom odlukom ili priznatih kao valjanih takvom odlukom, u okvirima određenima važećim zakonima i propisima kojima se uređuju prava osoba s takvim potraživanjima;

(c)

odluka nije u korist fizičke ili pravne osobe, subjekta ili tijela uvrštenih na popis iz Priloga; i

(d)

priznavanje odluke nije protivno javnom poretku dotične države članice.

Dotična država članica obavješćuje ostale države članice i Komisiju o svim odobrenjima dodijeljenima na temelju ovog stavka.

5.   Stavkom 1. fizičku ili pravnu osobu, subjekt ili tijelo uvrštene na popis iz Priloga ne sprečava se da izvrše plaćanja dospjela na temelju ugovora sklopljenoga prije datuma na koji su ta fizička ili pravna osoba, subjekt ili tijelo uvršteni na navedeni popis, pod uvjetom da je dotična država članica utvrdila da plaćanje ne primaju, izravno ili neizravno, fizička ili pravna osoba, subjekt ili tijelo iz stavka 1.

6.   Stavak 2. ne primjenjuje se na priljev na zamrznute račune od:

(a)

kamata ili drugih prihoda od tih računa;

(b)

plaćanja dospjelih na temelju ugovora, sporazuma ili obveza sklopljenih odnosno preuzetih prije datuma na koji su ti računi počeli podlijegati mjerama predviđenima u stavcima 1. i 2.; ili

(c)

plaćanja dospjelih na temelju sudskih, upravnih ili arbitražnih odluka donesenih u Uniji ili izvršivih u dotičnoj državi članici,

pod uvjetom da sve takve kamate, drugi prihodi i plaćanja i dalje podliježu mjerama predviđenima u stavku 1.

Članak 6.

1.   Vijeće, na prijedlog države članice ili Visokog predstavnika Unije za vanjske poslove i sigurnosnu politiku, jednoglasno odlučuje o uspostavljanju i izmjeni popisa iz Priloga.

2.   Vijeće odluku iz stavka 1., kao i razloge za uvrštavanje na popis, priopćuje dotičnoj fizičkoj ili pravnoj osobi, subjektu ili tijelu izravno, ako je adresa poznata, ili objavom obavijesti, te na taj način toj fizičkoj ili pravnoj osobi, subjektu ili tijelu pruža mogućnost očitovanja.

3.   Ako su podnesena očitovanja ili su izneseni važni novi dokazi, Vijeće preispituje odluke iz stavka 1. i o tome obavješćuje dotičnu fizičku ili pravnu osobu, subjekt ili tijelo.

Članak 7.

1.   U Prilogu se navode razlozi za uvrštenje na popis fizičkih i pravnih osoba, subjekata i tijela iz članaka 4. i 5.

2.   Prilog sadržava, ako su dostupne, informacije potrebne za utvrđivanje identiteta dotičnih fizičkih ili pravnih osoba, subjekata ili tijela. U pogledu fizičkih osoba takvi podaci mogu uključivati: imena i druga imena; datum i mjesto rođenja; državljanstvo; broj putovnice i osobne iskaznice; spol; adresu ako je poznata; te funkciju ili zanimanje. U pogledu pravnih osoba, subjekata ili tijela, takvi podaci mogu uključivati nazive, mjesto i datum upisa u registar, broj upisa u registar i mjesto obavljanja djelatnosti.

Članak 8.

Ne udovoljava se nijednom zahtjevu u vezi s bilo kojim ugovorom ili transakcijom na čije su izvršenje izravno ili neizravno, u cijelosti ili djelomično, utjecale mjere određene na temelju ove Odluke, uključujući zahtjeve za odštetu ili bilo koje druge zahtjeve te vrste, primjerice zahtjev za naknadu štete ili zahtjev na temelju jamstva, posebno zahtjev za produljenje ili plaćanje obveznice, jamstva ili odštete, osobito financijskog jamstva ili financijske odštete, u bilo kojem obliku, ako ga podnesu:

(a)

fizičke ili pravne osobe, subjekti ili tijela uvršteni na popis iz Priloga;

(b)

bilo koje fizičke ili pravne osobe, subjekti ili tijela koji djeluju putem jedne od fizičkih ili pravnih osoba, subjekata ili tijela iz točke (a) ili u njihovo ime.

Članak 9.

Kako bi učinak mjera utvrđenih u ovoj Odluci bio što veći, Unija potiče treće države da donesu mjere ograničavanja slične onima koje su predviđene u ovoj Odluci.

Članak 10.

Ova Odluka primjenjuje se do 18. svibnja 2020. te se redovito preispituje. Ona se prema potrebi produljuje ili mijenja ako Vijeće smatra da njezini ciljevi nisu ostvareni.

Članak 11.

Ova Odluka stupa na snagu sljedećeg dana od dana objave u Službenom listu Europske unije.

Sastavljeno u Bruxellesu 17. svibnja 2019.

Za Vijeće

Predsjednik

E.O. TEODOROVICI


PRILOG

Popis fizičkih i pravnih osoba, subjekata i tijela iz članaka 4. i 5.

[…]