EIROPAS KOMISIJA
Briselē, 13.9.2017
COM(2017) 474 final
KOMISIJAS ZIŅOJUMS EIROPAS PARLAMENTAM UN PADOMEI
Izvērtējums par to, cik lielā mērā dalībvalstis veikušas pasākumus, kas vajadzīgi, lai izpildītu Direktīvu 2013/40/ES par uzbrukumiem informācijas sistēmām, un ar kuru aizstāj Padomes Pamatlēmumu 2005/222/TI
Satura rādītājs
1.1. Direktīvas mērķi un darbības joma
1.2. Ziņojuma mērķis un metodika
2.1. Juridiskās definīcijas (Direktīvas 2. pants)
2.2. Konkrēti noziedzīgie nodarījumi (Direktīvas 3.–7. pants)
a) Nelikumīga piekļuve informācijas sistēmām
b) Nelikumīga iejaukšanās sistēmā
c) Nelikumīga iejaukšanās datos
e) Noziedzīgu nodarījumu izdarīšanas rīki
2.3. Vispārēji noteikumi par attiecīgajiem nodarījumiem (Direktīvas 8.–12. pants)
d) Juridisko personu atbildība
e) Juridiskām personām piemērojamās sankcijas
2.4. Operatīvie jautājumi (Direktīvas 13.–14. pants)
a) Valsts operatīvo kontaktpunktu nodrošināšana
b) Informācija par izveidotajiem valsts operatīvajiem kontaktpunktiem
e) Statistikas datu nosūtīšana Komisijai
3. Secinājumi un turpmākā rīcība
1. Ievads
Saskaņā ar Eiropola 2016. gada Interneta organizētās noziedzības draudu novērtējumu (IOCTA) kibernoziedzība kļūst arvien agresīvāka un konfrontējošāka. Tas vērojams dažādos kibernoziedzības veidos, tostarp uzbrukumos informācijas sistēmām 1 . Daži no Eiropola minētajiem nopietnajiem uzbrukumu veidiem ir ļaunprogrammatūras un sociālās inženierijas izmantošana ar mērķi slepus iesaistīties kādā informācijas sistēmā un pārņemt kontroli pār to vai pārtvert sakarus un uzsākt plaša mēroga uzbrukumus tīklā, tostarp kritiskajai infrastruktūrai. Šie uzbrukumi ir atzīti par galvenajiem draudiem sabiedrībai.
Tā kā aizvien biežāk informāciju glabā mākoņos un informācija un noziedznieki pašreiz ir ļoti mobili, tiesībaizsardzības iestāžu pārrobežu sadarbība ir kļuvusi ļoti būtiska lielākajā daļā kibernoziedzības izmeklēšanas gadījumu.
Lai iedarbīgi cīnītos ar šiem noziegumiem, dalībvalstīs vienoti jānosaka darbības, kas uzskatāmas par uzbrukumiem informācijas sistēmām. Tajās arī jābūt tuvinātiem sankciju līmeņiem un operatīvajiem līdzekļiem, kuru mērķis ir ziņot par nodarījumiem un apmainīties ar informāciju iestāžu starpā. Saskaņā ar to Eiropas Parlaments un Padome 2013. gada 12. augustā pieņēma Direktīvu 2013/40/ES (turpmāk “Direktīva”) par uzbrukumiem informācijas sistēmām, un ar kuru aizstāj Padomes Pamatlēmumu 2005/222/TI 2 .
1.1. Direktīvas mērķi un darbības joma
Direktīvas mērķi ir tuvināt dalībvalstu 3 krimināltiesības saistībā ar uzbrukumiem informācijas sistēmām un uzlabot kompetento iestāžu sadarbību. To paveic, paredzot minimālos noteikumus par noziedzīgu nodarījumu noteikšanu un sankcijām saistībā ar uzbrukumiem informācijas sistēmām un prasot nodrošināt operatīvus kontaktpunktus, kas darbojas 24 stundas diennaktī, 7 dienas nedēļā.
Direktīvā ir dotas attiecīgo terminu definīcijas.
·“Informācijas sistēma” — 2. panta a) punktā 4 . Definīcija ir līdzīga datorsistēmas definīcijai, kas minēta 1. panta a) punktā Eiropas Padomes 2001. gada 23. novembra Konvencijā par kibernoziegumiem (“Budapeštas konvencija”), izņemot to, ka Direktīvā arī skaidri aptverti paši datorizētie dati.
·“Datorizēti dati” — 2. panta b) punktā. Definīcija atbilst Budapeštas konvencijas 1. panta b) punktā sniegtajai definīcijai, vienīgi tajā ir atsauce uz informācijas sistēmu, nevis datorsistēmu.
·“Juridiska persona” — 2. panta c) punktā. Definīcijas mērķis ir nodrošināt fizisku un juridisku personu atbildību, izslēdzot valstis, publiskas struktūras vai publisko tiesību starptautiskās organizācijas.
·“Bez tiesībām” — 2. panta d) punktā. Definīcija attiecas uz krimināltiesību vispārēju principu, tās mērķis ir novērst tādas personas kriminālatbildību, kas darbojas saskaņā ar valsts tiesību aktiem vai ar informācijas sistēmas vai tās daļas īpašnieka vai cita tiesību subjekta atļauju.
Ir definēti konkrēti noziedzīgie nodarījumi, proti:
·nelikumīga piekļuve informācijas sistēmām (3. pants);
·nelikumīga iejaukšanās sistēmā (4. pants), kas ietver jebkādu nelikumīgu piekļuvi informācijas sistēmai, izraisot tās darbības būtisku kavēšanu vai pārtraukšanu;
·nelikumīga iejaukšanās datos (5. pants), kas attiecas uz jebkādu nelikumīgu iejaukšanos datorizētajos datos, piemēram, to integritātes vai pieejamības vājināšanu;
·nelikumīga pārtveršana (6. pants), pārtverot publiski nepieejamu datorizēto datu pārraidi un elektromagnētisku datu iegūšanu no informācijas sistēmas, kurā atrodas šādi dati;
·minēto noziedzīgo nodarījumu izdarīšanai izmantoto rīku nelikumīga nodrošināšana (7. pants). Šajā kontekstā šādi rīki var būt datorprogramma, kā arī datora parole vai jebkādi citi dati, ar kuru palīdzību var piekļūt informācijas sistēmai.
Turklāt ar Direktīvu piemēro kriminālatbildību fizisku un/vai juridisku personu veiktai kūdīšanai izdarīt iepriekš minētos nodarījumus vai mēģinājumam tos izdarīt, to sekmēšanai un atbalstīšanai (8. pants). Kūdīšana, sekmēšana un atbalstīšana attiecas uz visiem 3.–7. pantā minētajiem nodarījumiem, bet mēģinājums attiecas tikai uz 4. un 5. pantu.
Direktīvā minētajiem nodarījumiem piemērojamo maksimālo sodu minimālie līmeņi ir norādīti 9. pantā.
·Kā pamats visiem nodarījumiem, izņemot 8. pantā minētos, kā maksimālais sods tiek noteikta brīvības atņemšana uz vismaz diviem gadiem (9. panta 2. punkts).
·Direktīvas 4. un 5. pantā minētajiem nodarījumiem kā maksimālo sodu piemēro brīvības atņemšanu uz vismaz trim gadiem, ja ir ietekmēts ievērojams skaits informācijas sistēmu (parasti saukti par robottīkla nodarījumiem) (9. panta 3. punkts).
·Direktīvas 4. un 5. pantā minētajiem nodarījumiem kā maksimālo sodu piemēro brīvības atņemšanu uz vismaz pieciem gadiem, ja tos izdarījusi noziedzīga organizācija (9. panta 4. punkta a) apakšpunkts), ja tie izraisa nopietnu kaitējumu (9. panta 4. punkta b) apakšpunkts) vai ja tie izdarīti pret kādu kritiskās infrastruktūras informācijas sistēmu (9. panta 4. punkta c) apakšpunkts).
·Ja 4. un 5. pantā minēto nodarījumu izdara, ļaunprātīgi izmantojot citu personu personas datus, dalībvalstīm būtu jānodrošina, ka tos var uzskatīt par atbildību pastiprinošiem apstākļiem, ja vien minētos apstākļus jau neaptver cits nodarījums (9. panta 5. punkts).
Turpmākajos pantos noteikti juridisko personu atbildības minimālie nosacījumi (10. pants) un sniegts saraksts ar tām piemērojamo iespējamo sankciju piemēriem (11. pants).
Atzīstot, ka iepriekš minētos nodarījumus var izdarīt (“izpildīt”) vietā, kurā nodarījuma izdarītājs reāli darbojas, lai gan to ietekme uz mērķa informācijas sistēmu varētu būt vērojama citur, 12. pantā paredzēts pienākums noteikt jurisdikciju, izšķirot:
·vietu, kurā nodarījuma izdarītājs fiziski atrodas, izdarot nodarījumu,
·mērķa informācijas sistēmas atrašanās vietu,
·nodarījuma izdarītāja valstspiederību,
·nodarījuma izdarītāja pastāvīgo dzīvesvietu,
·tās juridiskās personas uzņēmējdarbības veikšanas vietu, kuras labā izdarīts nodarījums.
Attiecībā uz informācijas apmaiņu 13. panta 1. punktā paredzēts nodrošināt, ka dalībvalstu rīcībā ir valsts operatīvie kontaktpunkti, kas ir pieejami 24 stundas diennaktī, 7 dienas nedēļā, lai 8 stundu laikā sniegtu atbildi uz jebkādu steidzamu ārēju pieprasījumu.
Turklāt dalībvalstīm jāveic vajadzīgie pasākumi, lai veicinātu ziņošanu kompetentajām valstu iestādēm par iepriekš minētajiem nodarījumiem (13. panta 3. punkts) un vāktu un kopīgotu minimālu apjomu statistikas datu par šiem nodarījumiem (14. pants).
1.2. Ziņojuma mērķis un metodika
Saskaņā ar Direktīvas 16. pantu dalībvalstīs jābūt spēkā normatīvajiem un administratīvajiem aktiem, kas vajadzīgi, lai izpildītu šīs Direktīvas prasības līdz 2015. gada 4. septembrim, un dalībvalstīm jāpaziņo par tiem Komisijai.
Ar šo ziņojumu tiek izpildīta Direktīvas 17. pantā noteiktā prasība Komisijai sniegt ziņojumu Eiropas Parlamentam un Padomei, izvērtējot, cik lielā mērā dalībvalstis veikušas pasākumus, kas vajadzīgi, lai izpildītu Direktīvu. Tādējādi ziņojuma mērķis ir nodrošināt īsu, bet informatīvu pārskatu par galvenajiem dalībvalstu veiktajiem transponēšanas pasākumiem.
Dalībvalstu veiktā transponēšana ietvēra informācijas vākšanu par attiecīgajiem tiesību aktiem un administratīvajiem pasākumiem, to analizēšanu, jaunu tiesību aktu izstrādi vai — vairumā gadījumu — esošo aktu grozīšanu, to pieņemšanas panākšanu un, visbeidzot, ziņošanu Komisijai.
Līdz transponēšanas termiņam 22 dalībvalstis bija paziņojušas Komisijai, ka tās ir pilnībā pabeigušas Direktīvas transponēšanu. Komisija 2015. gada novembrī uzsāka pienākumu neizpildes (pārkāpumu) procedūru par valsts transponēšanas pasākumu nepaziņošanu pret atlikušajām piecām dalībvalstīm: BE, BG, EL, IE un SI 5 . Saskaņā ar situāciju 2017. gada 31. maijā pienākumu neizpildes procedūras par valsts transponēšanas pasākumu nepaziņošanu pret BE, BG un IE joprojām tiek izskatītas 6 .
Šā ziņojuma apraksts un analīze ir balstīti uz informāciju, kuru dalībvalstis sniedza līdz 2017. gada 31. maijam 7 . Pēc šā datuma saņemtie paziņojumi nav ņemti vērā. Tika ņemti vērā visi paziņotie pasākumi, kas attiecas uz valsts tiesību aktiem, kā arī tiesu lēmumi un attiecīgā gadījumā kopējā juridiskā teorija. Turklāt analīzes laikā Komisija tiešā veidā sazinājās ar dalībvalstīm, ja tas bija nepieciešams un ja tas bija atbilstoši, lai saņemtu papildu informāciju vai skaidrojumus. Visa apkopotā informācija tika ņemta vērā analīzē.
Papildus šajā ziņojumā konstatētajām problēmām ir iespējamas turpmākas problēmas attiecībā uz transponēšanu un citiem noteikumiem, kas nav paziņoti Komisijai, vai turpmākas izmaiņas leģislatīvos un neleģislatīvos jautājumos. Tādējādi šis ziņojums neliedz Komisijai turpmāk veikt dažu noteikumu izvērtēšanu un turpināt atbalstīt dalībvalstis Direktīvas transponēšanā un īstenošanā.
2. Transponēšanas pasākumi
2.1. Juridiskās definīcijas (Direktīvas 2. pants)
Direktīvas 2. pantā paredzētas jēdzienu “informācijas sistēma” (a) punkts), “datorizēti dati” (b) punkts), “juridiska persona” (c) punkts) un “bez tiesībām” (d) punkts) juridiskās definīcijas. Tikai CY un UK (Gibraltārs) ir ieviesušas tiesību aktus, kas aptver visus iepriekš minēto definīciju aspektus. Konkrētāk, tas nozīmē turpmāk minēto.
a) Informācijas sistēma
Direktīvā sniegtās definīcijas pamatā ir Budapeštas konvencijas 1. panta a) punktā minētā jēdziena “datorsistēma” definīcija, un pievienoti paši datorizētie dati kā daļa no informācijas sistēmas. CY, EL, IE, FI, HR, MT, PT un UK (Gibraltārs) ir ieviesušas tiesību aktu noteikumus ar informācijas sistēmas definīciju, bet DE, ES, FR, LU, LV, PL, SE un SK sniegtā informācija nebija pārliecinoša. Atlikušajās dalībvalstīs, t. i., AT, BE, BG, CZ, EE, HU, IT, LT, NL, RO, SI un UK (izņemot Gibraltāru), attiecīgajās juridiskajās definīcijās konkrēti nav minēts jēdziens “datorizēti dati”. Tas ietver atsauci uz Budapeštas konvencijas 1. panta a) punktu ar identisku darbības jomu jēdziena “datorsistēma” definīcijai.
b) Datorizēti dati
Jēdziens “datorizēti dati” ietverts AT, BG, CY, CZ, DE, EE, EL IE, FI, HR, LT, MT, NL, PT, RO un UK (Gibraltārs) tiesību aktos, bet ES, FR, IT, LU, LV, PL, SE, SK un UK (izņemot Gibraltāru) sniegtā informācija nebija pārliecinoša. Tomēr SE gadījumā attiecīgo pantu konkrētās struktūras dēļ šī definīcija ir lieka. Attiecībā uz atlikušajām dalībvalstīm — HU datorizēto datu definīciju attiecina tikai uz Direktīvas 4. un 5. pantā aprakstītajiem nodarījumiem, bet BE un SI datorizēto datu definīcijā nav iekļāvušas frāzi “programma, kas piemērota tam, lai informācijas sistēmā izraisītu kādu darbību”.
c) Juridiska persona
Izņemot LU, kas nesniedza pārliecinošu informāciju par 2. panta c) punkta transponēšanu, jēdziena “juridiska persona” definīcijas transponēšana neradīja nekādas problēmas. Tas ir tādēļ, ka kopumā šī definīcija jau ir iekļauta galvenokārt dalībvalstu civiltiesību vai komerctiesību noteikumos. Tikai CY ir konkrēts noteikums pasākumos, kas pieņemti Direktīvas transponēšanai.
d) Bez tiesībām
Attiecībā uz 2. panta d) punktā minēto jēdziena “bez tiesībām” definīciju jānorāda, ka tikai CY, IE, RO un UK (Gibraltārs) ir paziņojušas par transponēšanu, bet 23 dalībvalstīs attiecībā uz šo definīciju nav nekādu transponēšanas pasākumu. Tomēr jānorāda, ka visās dalībvalstīs pastāv vispārējs princips par kriminālatbildības nepiemērošanu attiecībā uz jebkādu darbību, ja šo darbību veic ar atbilstošām tiesībām.
2.2. Konkrēti noziedzīgie nodarījumi (Direktīvas 3.–7. pants)
a) Nelikumīga piekļuve informācijas sistēmām
Attiecībā uz nelikumīgu piekļuvi informācijas sistēmai jānorāda, ka Direktīvas 3. pantu aptver AT, CY, CZ, EL, ES, IE, FI, FR, LT, LU, NL, PL, PT, SE un SK valsts tiesību akti.
Visās atlikušajās dalībvalstīs, t. i., BE, BG, DE, EE, HR, HU, IT, LV, MT, RO, SI un UK, noziedzīgā nodarījuma attiecīgais apraksts valstī neatšķiras no piekļuves iegūšanas visai informācijas sistēmai vai tikai daļai no tās, lai arī tas ir skaidri noteikts Direktīvā. Arī DE transponēšana neaptver tikai piekļuvi datoraparatūrai, kā arī papildu prasības ir paredzētas AT un LU attiecībā uz īpašu nolūku (nolūks iegūt zināšanas, radīt nelabvēlīgu situāciju vai krāpniecisks nolūks) un LV attiecībā uz būtiska kaitējuma radīšanu. BE, BG, FR, HR, LU, MT, PT, RO, SI un UK gadījumā valsts noteikumu darbības joma ir plašāka par Direktīvas darbības jomu, jo šo noteikumu ietvaros nav noteikts, ka kriminālatbildību piemēro drošības pasākumu pārkāpšanas gadījumā. Atlikušās dalībvalstis vai nu atsaucas burtiski uz nodarījumu, kas izdarīts, pārkāpjot drošības pasākumu (CY, EL un SK), vai izmanto līdzīgu terminoloģiju, lai aprakstītu šo aspektu (AT, CZ, DE, EE, ES, FI, HU, IT; LT, LV, NL, PL un SE).
b) Nelikumīga iejaukšanās sistēmā
Direktīvas 4. pants attiecas uz nelikumīgu iejaukšanos sistēmā. Direktīvā minētas astoņas iespējamās darbības (datorizētu datu ievadīšana, sūtīšana, bojāšana, dzēšana, pasliktināšana, grozīšana vai anulēšana, šādu datu padarīšana par nepieejamiem) un attiecīgās darbības divi iespējamie rezultāti (informācijas sistēmas darbības būtiska kavēšana vai pārtraukšana). BE, CY, CZ, EL, IE, FR, HR, LU, MT, PT, SE un UK (izņemot Gibraltāru) ir ieviesušas attiecīgos tiesību aktus. BG atsaucas tikai uz vīrusa ievadīšanu, bet pārējās dalībvalstis (AT, DE, EE, ES, HU, IT, LV, NL, PL, RO, SI, SK un UK) konkrēti nenorāda vienu līdz pat četras iespējamajās darbības. Šajā kontekstā var konstatēt, ka vairums problēmu radās ar jēdzienu “pasliktināšana” (trūkst astoņos gadījumos) un “padarīšana par nepieejamiem” (trūkst deviņos gadījumos).
c) Nelikumīga iejaukšanās datos
Direktīvas 5. pants aptver nelikumīgu iejaukšanos datos, un tajā minētas šādas sešas iespējamās darbības: datorizētu datu dzēšana, bojāšana, pasliktināšana, grozīšana, anulēšana vai šādu datu padarīšana par nepieejamiem. CY, EL, IE un MT ir transponējušas noteikumu burtiski; BE, CZ, LT, PT un SE izmantojušas vispārīgākus jēdzienus, lai aptvertu visas iespējamās darbības. Visu pārējo dalībvalstu transponēšanas pasākumi neaptver katru iespēju, bet attiecas tikai uz piecām alternatīvām (FI un SK) vai mazāk (AT, BG, DE, EE, FR, HR, HU, IT, LU, NL, PL, RO, SI un UK). Visvairāk problēmu radās ar jēdzienu “bojāšana” (trūkst astoņos gadījumos), “pasliktināšana” (trūkst 13 gadījumos), “datu anulēšana” (trūkst 11 gadījumos) un “datu padarīšana par nepieejamiem” (trūkst 13 gadījumos). Papildus Direktīvas formulējumam FI paredzēts “nolūks radīt kaitējumu vai finansiālus zaudējumus”, lai piemērotu kriminālatbildību, bet LT un LV — “darbība ar mērķi radīt nopietnus bojājumus vai būtisku kaitējumu”.
d) Nelikumīga pārtveršana
Direktīvas 6. pants attiecas uz nelikumīgu pārtveršanu un ir vērsts uz publiski nepieejamu datorizēto datu pārraidi un elektromagnētisku datu iegūšanu no informācijas sistēmas, kurā atrodas šādi dati. CY, CZ, DE, ES, IE, FI, HR, LV, MT, RO, SE, SK un UK (Gibraltārs) ir ieviesušas tiesību aktus, kas pilnībā aptver 6. pantu. Direktīvas vispārējā darbības joma attiecībā uz datorizētu datu pārtveršanu ir attiecināta tikai uz ziņojumiem (AT un BG), personas novērošanu (EE) vai saraksti (FR un HU). Turklāt turpmāk minēto dalībvalstu transponēšanas pasākumi neaptver elektromagnētisku datu iegūšanas pārtveršanu: BE, BG, EE, FR, HU, IT, LT, LU, NL, PL, PT, SI un UK (izņemot Gibraltāru). Turklāt dažās dalībvalstīs nepieciešams īpašs nolūks (piemēram, zināšanu vai ekonomiska labuma iegūšana vai nelabvēlīgas situācijas radīšana, skatīt AT, EL, HU) vai konkrētas papildu darbības (piemēram, ierakstīšana vai uzzināšana par pārtverto saturu, skatīt BG un HU).
e) Noziedzīgu nodarījumu izdarīšanas rīki
Direktīvas 7. pantā par noziedzīgām atzītas vairākas darbības saistībā ar rīkiem, piemēram, datorprogrammām vai piekļuves kodiem, 3.–6. pantā minēto nodarījumu izdarīšanai: šādu rīku izstrāde, pārdošana, iepirkšana izmantošanai, imports, izplatīšana vai citāda veida pieejamības nodrošināšana. AT, BE, CY, DE, EL, IE un SK ir ieviesušas attiecīgos valsts tiesību aktus. Dažas dalībvalstis neaptver visus minētos nodarījumus (EE, IT, MT, PL un SI). Dažas neatsaucas uz 7. pantā minēto nodarījumu izdarītāju kā personu, kas atšķiras no 3.–6. pantā minēto nodarījumu izdarītāja (CZ un SI). Dažām nepieciešams konkrēts nolūks (radīt bojājumus vai rīkoties krāpnieciski, skatīt FI, IT un LU), konkrēts rezultāts, piemēram, slepenības pārkāpums (BG), vai vismaz attiecīgo nodarījumu sagatavošanas līmenis (SE). Visbeidzot, vērojamas atšķirības starp 7. pantu un valsts pasākumiem saistībā ar to, ka visas minētās iespējamās darbības nav transponētas. Tas attiecas uz BG, CZ, EE, ES, FR, HR, HU, IT, LT, LU, LV, PL, PT, RO, SI un UK. To starpā LU tiesību aktos konkrēti minētas piecas no sešām Direktīvā norādītajām iespējamajām darbībām, bet citas dalībvalstis skaidri min tikai četras darbības vai mazāk.
Tikai ES ir transponējusi alternatīvu jēdzienam “iepirkšana izmantošanai”.
2.3. Vispārēji noteikumi par attiecīgajiem nodarījumiem (Direktīvas 8.–12. pants)
a) Kūdīšana, sekmēšana un atbalstīšana
Saskaņā ar 8. panta 1. punktu dalībvalstīm jānodrošina, ka kūdīšana izdarīt kādu no 3.–7. pantā minētajiem nodarījumiem vai tādu nodarījumu sekmēšana un atbalstīšana ir sodāma kā noziedzīgs nodarījums. Visas dalībvalstis ir transponējušas šo noteikumu.
b) Mēģinājums
Saskaņā ar 8. panta 2. punktu mēģinājumam izdarīt kādu no 4. un 5. pantā minētajiem nodarījumiem jābūt sodāmam kā noziedzīgam nodarījumam. PT neaptver visu veidu mēģinājumus izdarīt 4. pantā minētos nodarījumus, SE nepiemēro kriminālatbildību par “saziņas slepenības pārkāpuma” nodarījuma mēģinājumu, bet visās pārējās dalībvalstīs ir ieviesti tiesību akti, ar ko transponē šo noteikumu.
c) Sodi
aa) Vispārējie noteikumi
Saskaņā ar 9. panta 1. punktu dalībvalstīm kopumā jānodrošina iedarbīgi, samērīgi un atturoši kriminālsodi par Direktīvā minētajiem nodarījumiem. Lai gan to pieņēmušas gandrīz visas dalībvalstis, AT, BE, BG, IT, PT, SE un SI neatbilst 9. panta 2. punktā noteiktajiem maksimālo sodu minimālajiem līmeņiem (skatīt iepriekš 1.1. punktu) visos gadījumos. Tas ietekmē 9. panta 1. punkta transponēšanu, jo var secināt, ka 9. panta 2. punkta minimālās prasības ir minimums iedarbīgu, samērīgu un atturošu kriminālsodu nodrošināšanai.
bb) Maksimālā soda vispārējais minimālais līmenis
Saskaņā ar 9. panta 2. punktu 3.–7. pantā minēto standarta nodarījumu maksimālā soda minimālais līmenis ir brīvības atņemšana uz vismaz diviem gadiem. Lielākā daļa dalībvalstu ievēro šo noteikumu. Tikai saistībā ar sešām dalībvalstīm vērojamas dažas neatbilstības: AT (maksimālais brīvības atņemšanas termiņš — seši mēneši), BG (maksimālais brīvības atņemšanas termiņš par visiem nodarījumiem, izņemot nelikumīgu pārtveršanu, — viens gads), IT (maksimālais brīvības atņemšanas termiņš par 7. panta b) punktā minēto nodarījumu — viens gads), PT (maksimālais brīvības atņemšanas termiņš par 3. pantā minēto nodarījumu — viens gads), SE (maksimālais brīvības atņemšanas termiņš par “bojājumu radīšanu” — viens gads) un SI (maksimālais brīvības atņemšanas termiņš par 3., 6. un 7. pantā minētajiem pārkāpumiem — viens gads). BE gadījumā maksimālā soda minimālais līmenis par 3., 6. un 7. pantu tiek sasniegts tikai tad, ja nodarījumus izdara ar krāpniecisku nolūku.
cc) Ietekmēts ievērojams skaits informācijas sistēmu
Saskaņā ar 9. panta 3. punktu maksimālo sodu minimālais līmenis tiek paaugstināts līdz brīvības atņemšanai uz trim gadiem, ja ar 4. un 5. pantā minētu nodarījumu ir ietekmēts ievērojams skaits informācijas sistēmu. Kopumā dalībvalstis ir ieviesušas atbilstošus tiesību aktus, DE atsaucas tikai uz informācijas sistēmām, “kas ir ļoti būtiskas citai”, FI paredz nodarījumu novērtēt “kopumā”, lai piemērotu soda lielāko termiņu, bet LV neatsaucas uz ievērojamu skaitu informācijas sistēmu (vai līdzīgu terminu), tā vietā minot tikai “būtiska kaitējuma” radīšanu. BG un SI sniegtā informācija nebija pārliecinoša.
dd) Noziedzīgas organizācijas
Saskaņā ar 9. panta 4. punkta a) apakšpunktu 4. un 5. pantā minētie nodarījumi ir sodāmi ar maksimālo brīvības atņemšanas termiņu vismaz piecu gadu apmērā, ja nodarījumi izdarīti, darbojoties noziedzīgā organizācijā, kā definēts Pamatlēmumā 2008/841/TI.
Lielākā daļa dalībvalstu izpilda arī 9. panta 4. punkta a) apakšpunkta noteikumu. Saskaņā ar LU un SI krimināltiesībām noteikumi par noziedzīgas organizācijas izdarītu nodarījumu neaptver kibernoziegumus. BE tiesību akti paredz maksimālo brīvības atņemšanas termiņu par 5. pantā minētajiem nodarījumiem tikai trīs gadu apmērā, DE tiesību akti neaptver fiziskās personas kā nodarījumu upurus, FI tiesību aktos prasīts papildu novērtējums par nodarījumu “kopumā”, bet SE tiesību aktos paredzēts maksimālais brīvības atņemšanas termiņš četru gadu apmērā par “ievērojamu bojājumu radīšanu”.
ee) Izraisīts nopietns kaitējums
Saskaņā ar 9. panta 4. punkta b) apakšpunktu 4. un 5. pantā minētie nodarījumi ir sodāmi ar maksimālo brīvības atņemšanas termiņu vismaz piecu gadu apmērā, ja tie izraisa nopietnu kaitējumu. Lai gan nav definīcijas, kurā būtu minēts, kas uzskatāms par nopietnu kaitējumu, visas dalībvalstis, izņemot BG, DE, FI, HU, LU un SE, ir ieviesušas Direktīvai atbilstošus tiesību aktus. HU sniegtā informācija nebija pārliecinoša. BG nesasniedz maksimālā soda minimālo piecu gadu līmeni, bet LU atsaucas uz tādu vispārēju soda klauzulu par nopietna kaitējuma izraisīšanu, kas neaptver kibernoziegumus. Nelielas neatbilstības vērojamas DE (nav aptvertas fiziskās personas kā nodarījumu upuri), FI (lielākam sodam nepieciešams papildu novērtējums par nodarījumu “kopumā”) un SE (maksimālais brīvības atņemšanas termiņš četru gadu apmērā par “ievērojamu bojājumu radīšanu”).
ff) Kritiskās infrastruktūras informācijas sistēmas
Par 4. un 5. pantā minētajiem nodarījumiem, ja tie izdarīti pret kritiskās infrastruktūras informācijas sistēmām, arī piemēro maksimālo brīvības atņemšanas termiņu vismaz piecu gadu apmērā, kā norādīts 9. panta 4. punkta c) apakšpunktā.
Vairumā dalībvalstu šis noteikums ir ievērots, bet BG nesniedza konkrētu informāciju par transponēšanu. BE ir noteikusi maksimālo trīs gadu termiņu par 5. pantā minētajiem nodarījumiem. DE neaptver fiziskās personas kā upurus. FI paredzēts papildu novērtējums par nodarījumu “kopumā”, IT paredzēta reāla “iznīcināšanas” izraisīšana, PT paredzēts “smags un ilgstošs” uzbrukums, kā arī nav atsauces uz 5. pantu, bet SE atbilst Direktīvas prasībām tikai attiecībā uz nodarījumu, kas ietver “ievērojamu kaitējumu”.
gg) Identitātes zādzība un citi nodarījumi saistībā ar identitāti
Saskaņā ar 9. panta 5. punktu dalībvalstīm jānodrošina, ka attiecībā uz katru 4. un 5. pantā minēto nodarījumu, kas ir izdarīts, ļaunprātīgi izmantojot citu personu personas datus, lai iegūtu trešās personas uzticību, un tādējādi nodarot kaitējumu identitātes likumīgajam īpašniekam, to var uzskatīt par atbildību pastiprinošiem apstākļiem, ja vien minētos apstākļus jau neaptver cits noziedzīgs nodarījums. Plašās rīcības brīvības dēļ dalībvalstīs īstenoti atšķirīgi transponēšanas pasākumi. BE un EL nav paziņojušas par transponēšanu, bet CZ krimināltiesību aktos nav konkrētu noteikumu par šo jomu. AT, CY, ES, IE, MT, PT un SE izvēlējās pieeju, kas saistīta ar atbildību pastiprinošiem apstākļiem (SE atsaucas uz “īpašas plānošanas” apstākļiem), bet visas pārējās dalībvalstis atsaucas uz papildu noteikumiem par konkrētu noziedzīgo nodarījumu. Tajās dalībvalstīs, kas atsaucas uz konkrētiem noteikumiem, vērojamas šādas transponēšanas problēmas: BG un NL nepieciešams īpašs nolūks (“labuma gūšana” un “mērķis slēpt identitāti vai to ļaunprātīgi izmantot”), DE atsaucas tikai uz “personas datiem, kas parasti nav pieejami”, FR atsaucas tikai uz personas vārdu, neminot citus personas datus, LV paredzēta “būtiska kaitējuma” radīšana, RO aptver tikai “dokumenta” izmantošanu, un tai nepieciešama prettiesiskas maldināšanas īstenošana.
d) Juridisko personu atbildība
aa) Vispārīgi
Saskaņā ar 10. panta 1. punktu juridiskas personas var saukt pie atbildības par 3.–8. pantā minētajiem nodarījumiem, ja nodarījuma izdarītājam ir a) pilnvaras pārstāvēt juridisko personu, b) pilnvaras pieņemt lēmumus juridiskās personas vārdā vai c) pilnvaras veikt juridiskās personas iekšējo kontroli. Visas dalībvalstis ir ieviesušas tiesību aktus atbilstoši minētajam punktam, vērojamas tikai šādas nelielas problēmas: BG neaptver 6. pantā minēto nodarījumu, bet HR neatsaucas uz nodarījuma izdarītāju, kuram ir pilnvaras veikt juridiskās personas iekšējo kontroli (10. panta 1. punkta c) apakšpunkts).
bb) Uzraudzības vai kontroles trūkums
Saskaņā ar 10. panta 2. punktu dalībvalstīm jānodrošina, ka juridiskas personas var saukt pie atbildības, ja 10. panta 1. punktā minētās personas uzraudzības vai kontroles trūkums ir ļāvis izdarīt nodarījumu, kas minēts 3.–8. pantā. Lai arī gandrīz visas dalībvalstis ir izpildījušas šo noteikumu, LU sniegtā informācija nebija pārliecinoša, bet BG trūkst atsauces uz 6. pantā minētā nodarījuma izdarīšanu.
e) Juridiskām personām piemērojamās sankcijas
aa) Obligātās sankcijas
Saskaņā ar Direktīvas 11. panta 1. punktu dalībvalstīm jānodrošina, ka juridiskām personām tiek piemēroti naudas sodi kā kriminālsodi vai naudas sodi bez krimināla rakstura kā iedarbīgas, samērīgas un atturošas sankcijas. Visas dalībvalstis, izņemot IE un UK, ir paziņojušas par atbilstību nodrošinošiem valsts pasākumiem. Minētajās divās valstīs iespējamo naudas sodu maksimālais apjoms nav noteikts konkrētu tiesību aktu noteikumu trūkuma dēļ. Tādējādi nevar novērtēt attiecīgo naudas sodu iedarbīgumu, samērīgumu un atturošo raksturu.
bb) Neobligātās sankcijas
Direktīvas 11. panta 1. punktā ietverts saraksts ar juridiskām personām piemērojamām papildu sankciju iespējām. Tās ir šādas: atņemt tiesības saņemt publiskus līdzekļus vai atbalstu (to izvēlējušās CY, CZ, EL, ES, HR, HU, LU, MT, PL, PT un SK), uz laiku vai pastāvīgi aizliegt veikt komercdarbību (AT, BE, CY, CZ, EL, ES FR, HR, HU, IT, LT, LV, MT, PL, PT, RO, SE, SI un SK), pakļaut tiesas uzraudzībai (CY, ES, FR, MT, PT un RO), likvidēt ar tiesas lēmumu (CY, CZ, EL, ES, FR, HR, HU, LT, LU, LV, MT, PT, RO, SI un SK) un uz laiku vai pavisam slēgt uzņēmējdarbības veikšanas vietas, kas izmantotas nodarījuma izdarīšanā (BE, CY, WS, FR, LT, MT, PT un RO). BG, DE, EE, IE, FI, NL un UK nav izvēlējušās nevienu no šīm iespējām.
cc) Sankcijas par bezdarbību
Saskaņā ar 11. panta 2. punktu dalībvalstīm jānodrošina, ka iedarbīgas, samērīgas un atturošas sankcijas piemēro juridiskajām personām, kuras ir atbildīgas par nodarījumiem, kas saistīti ar bezdarbību, kā minēts 10. panta 2. punktā. LU sniegtā informācija nebija pārliecinoša. Visas pārējās dalībvalstis, izņemot IE un UK, ir nodrošinājušas attiecīgos tiesību aktu noteikumus. IE un UK gadījumā vērojama tā pati problēma, kas radusies attiecībā uz 11. panta 1. punktu (skatīt aa) punktu iepriekš).
f) Jurisdikcija
aa) Nepieciešamais jurisdikcijas pamats
Saskaņā ar Direktīvas 12. panta 2. un 3. punktu dalībvalstīm jānosaka sava jurisdikcija attiecībā uz 3.–8. pantā minētajiem nodarījumiem, ja nodarījums ir pilnīgi vai daļēji izdarīts to teritorijā (nodarījuma izdarītājs fiziski atradies to teritorijā nodarījuma izdarīšanas brīdī vai skartā informācijas sistēma atradusies dalībvalsts teritorijā) vai ja nodarījumu ārvalstīs izdarījis dalībvalsts valstspiederīgais. Lielākā daļa dalībvalstu ir ieviesušas attiecīgus valsts tiesību aktus, IT tiesību akti neparedz jurisdikciju attiecībā uz valstspiederīgajiem ārvalstīs pamata nodarījumu gadījumā, LV un SI tiesību aktos ir atsauce uz neskaidriem noteikumiem par teritoriālajiem aspektiem, MT jurisdikcija par daļēju izdarīšanu savā teritorijā ir neskaidra, bet UK atsaucas uz datorsistēmu, nevis informācijas sistēmu.
bb) Cits jurisdikcijas pamats
Saskaņā ar 12. panta 3. punktu Komisijai jāsaņem paziņojums par to, ka dalībvalstis nosaka jurisdikciju gadījumos, kad nodarījuma izdarītāja pastāvīgā dzīvesvieta ir tās teritorijā (AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE un SK izvēlējušās šo iespēju) vai nodarījums ir izdarīts tādas juridiskās personas labā, kas veic uzņēmējdarbību tās teritorijā (CY, CZ, LV, PT, RO un SK).
2.4. Operatīvie jautājumi (Direktīvas 13.–14. pants)
a) Valsts operatīvo kontaktpunktu nodrošināšana
Direktīvas 13. panta 1. punktā dalībvalstīm noteikts pienākums nodrošināt valsts operatīvos kontaktpunktus, lai apmainītos ar informāciju par 3.–8. pantā minētajiem nodarījumiem. Balstoties uz šo noteikumu, dalībvalstīm jānodrošina, ka ir ieviestas procedūras, lai steidzamu palīdzības pieprasījumu gadījumā kompetentā iestāde var sniegt atbildi astoņās stundās no pieprasījuma saņemšanas. Saskaņā ar paziņoto informāciju lielākā daļa dalībvalstu ir izveidojušas prasīto infrastruktūru. IE un RO ir minējušas, ka attiecīgie kontaktpunkti katru dienu ir pieejami tikai konkrētā laikā, tādēļ iestāde visos iespējamajos gadījumos nevarētu sniegt atbildi astoņās stundās no pieprasījuma saņemšanas. Vairākas dalībvalstis norādījušas, ka tās izmanto operatīvo kontaktpunktu esošos tīklus, kas izveidoti ar G7 tīkla starpniecību vai saskaņā ar Budapeštā pieņemto Eiropas Padomes Konvenciju par kibernoziedzību.
b) Informācija par izveidotajiem valsts operatīvajiem kontaktpunktiem
Saskaņā ar 13. panta 2. punktu dalībvalstīm Komisijai jāsniedz kontaktinformācija par to kontaktpunktiem; Komisija pārsūtīs informāciju pārējām dalībvalstīm. Nepieciešamo informāciju ir sniegušas visas dalībvalstis.
c) Ziņošanas kanāli
Saskaņā ar 13. panta 3. punktu dalībvalstīm jānodrošina, ka ir pieejami atbilstīgi ziņošanas kanāli, lai veicinātu ziņošanu kompetentajām valstu iestādēm par 3.–6. pantā minētajiem nodarījumiem. HR, IT, IE un PT sniegtā informācija nebija pārliecinoša. Pārējām dalībvalstīm ir atšķirīgas pieejas ziņošanas kanālu ieviešanā. Vairums dalībvalstu (BE, BG, CY, CZ, DE, EE, EL, FI, FR, HR, HU, IT, LT, LV, MT, NL, PL, PT, RO, SE, SI, SK un UK) ir paziņojušas par pasākumiem, ar ko nodrošina kanālus, lai atvieglotu ziņošanu personai vai organizācijai, kura sākotnēji ziņo par nodarījumu, piemēram, kiberuzbrukuma upurim (LV nav skaidri norādījusi faktiskos ziņošanas kanālus). Tomēr citas dalībvalstis (AT, ES un LU) ir sniegušas identisku informāciju par 13. panta 1. un 2. punkta īstenošanu, tādējādi šķiet, ka to īstenotie pasākumi galvenokārt veicinās saziņu starp iestādēm.
d) Statistikas datu vākšana
Saskaņā ar 14. panta 1. un 2. punktu dalībvalstīm jānodrošina tādas sistēmas darbība, ar kuras palīdzību reģistrē, ģenerē un sniedz statistikas datus vismaz par 3.–7. pantā minēto nodarījumu skaitu, ko reģistrējušas dalībvalstis, un to personu skaitu, pret kurām ir ierosināta lieta un kuras ir notiesātas par šiem nodarījumiem. Paļaujoties uz saņemtajiem paziņojumiem, šķiet, ka lielākā daļa dalībvalstu ir ieviesušas gan tiesību aktus, gan administratīvos pasākumus, lai nodrošinātu informācijas vākšanu, parasti balstoties uz vispārēju valsts mēroga elektronisko sistēmu. Informācija no vairākām dalībvalstīm (EL, IE, UK (Gibraltārs, Ziemeļīrija un Skotija)) nebija pārliecinoša. Viens no iemesliem bija tāds, ka informāciju par Direktīvā minētajiem konkrētajiem nodarījumiem nevar apkopot atsevišķi (BE, DE un SE) vai ka savāktā informācija, iespējams, neaptver visus Direktīvā minētos nodarījumus (RO).
e) Statistikas datu nosūtīšana Komisijai
Direktīvas 14. panta 3. punktā dalībvalstīm noteikts pienākums nosūtīt attiecīgos statistikas datus Komisijai. Visas dalībvalstis, kas paziņojušas par pasākumiem, izņemot UK (Gibraltārs, Ziemeļīrija un Skotija) un HU, ir apstiprinājušas tiesisku, administratīvu vai abu veidu pasākumu ieviešanu, lai nodrošinātu šā pienākuma izpildi. Attiecībā uz EL, ES, LU un SI sniegtā informācija nebija pārliecinoša.
3. Secinājumi un turpmākā rīcība
Ar Direktīvas palīdzību panākts būtisks progress kriminālatbildības noteikšanā par kiberuzbrukumiem dalībvalstīs līdzvērtīgā līmenī, tādējādi veicinot tiesībaizsardzības iestāžu pārrobežu sadarbību šāda veida nodarījumu izmeklēšanā. Dalībvalstis ir grozījušas kriminālkodeksus un citus attiecīgos tiesību aktus, pilnveidojušas procedūras un izveidojušas vai uzlabojušas sadarbības sistēmas. Komisija atzinīgi vērtē dalībvalstu vērā ņemamos centienus Direktīvas transponēšanā.
Tomēr joprojām ir veicams ievērojams darbs, lai pilnā mērā izmantotu Direktīvas potenciālu, dalībvalstīm pilnībā īstenojot visus tās noteikumus. Līdzšinējā analīze liecina, ka daži galvenie uzlabojumi dalībvalstīs ietver definīciju izmantošanu (2. pants), kas ietekmē to nodarījumu darbības jomu, kuri valstu tiesību aktos definēti, pamatojoties uz Direktīvu. Turklāt šķiet, ka dalībvalstīm bijis problemātiski iekļaut visas iespējas, definējot darbības attiecībā uz nodarījumiem (3.–7. pants), un iekļaut vienotus standartus par kiberuzbrukumiem piemērojamajiem sodiem (9. pants). Citas problēmas ir saistītas ar tādu administratīvo noteikumu ieviešanu, kas attiecas uz atbilstīgiem ziņošanas kanāliem (13. panta 3. punkts), kā arī Direktīvā iekļauto nodarījumu uzraudzību un statistiku (14. pants).
Komisija turpinās sniegt atbalstu dalībvalstīm Direktīvas īstenošanā. Ņemot vērā potenciālo ieguldījumu pārrobežu sadarbībā, minētais īpaši attiecas uz Direktīvas operatīvajiem noteikumiem par informācijas apmaiņu (13. panta 1. un 2. punkts), ziņošanas kanāliem (13. panta 3. punkts), kā arī uzraudzību un statistiku (14. pants). Attiecībā uz to Komisija 2017. gada otrajā pusē nodrošinās dalībvalstīm papildu iespējas noteikt paraugpraksi un apmainīties ar to.
Komisija pašreiz neplāno ierosināt Direktīvas grozījumus. Šajā kontekstā, lai atbalstītu arī krimināllietu izmeklēšanas, kas saistītas ar uzbrukumiem informācijas sistēmām, kibernoziegumiem un cita veida noziegumiem, Komisija apsver pasākumus, lai uzlabotu pārrobežu piekļuvi elektroniska formāta pierādījumiem krimināllietu izmeklēšanu vajadzībām, tostarp līdz 2018. gada sākumam ierosināt leģislatīvos pasākumus 8 . Komisija arī apsver šifrēšanas nozīmi krimināllietu izmeklēšanā un ziņos par konstatējumiem līdz 2017. gada oktobrim 9 .
Komisija ir apņēmusies nodrošināt, ka visā ES tiek pabeigta transponēšana un ka noteikumi tiek īstenoti pareizi. Tas ietver uzraudzību, lai nodrošinātu, ka valstu veiktie pasākumi atbilst attiecīgajiem Direktīvas noteikumiem. Nepieciešamības gadījumā Komisija izmantos savas Līgumos paredzētās izpildes pilnvaras, īstenojot pienākumu neizpildes procedūras.