This document is an excerpt from the EUR-Lex website
Document 52017DC0474
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL assessing the extent to which the Member States have taken the necessary measures in order to comply with Directive 2013/40/EU on attacks against information systems and replacing Council Framework Decision 2005/222/JHA
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY oceniające, w jakim stopniu państwa członkowskie podjęły niezbędne działania w celu zapewnienia zgodności z dyrektywą Parlamentu Europejskiego i Rady 2013/40/UE dotyczącą ataków na systemy informatyczne i zastępującą decyzję ramową Rady 2005/222/WSiSW
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY oceniające, w jakim stopniu państwa członkowskie podjęły niezbędne działania w celu zapewnienia zgodności z dyrektywą Parlamentu Europejskiego i Rady 2013/40/UE dotyczącą ataków na systemy informatyczne i zastępującą decyzję ramową Rady 2005/222/WSiSW
COM/2017/0474 final
KOMISJA EUROPEJSKA
Bruksela, dnia 13.9.2017
COM(2017) 474 final
SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY
oceniające, w jakim stopniu państwa członkowskie podjęły niezbędne działania w celu zapewnienia zgodności z dyrektywą Parlamentu Europejskiego i Rady 2013/40/UE dotyczącą ataków na systemy informatyczne i zastępującą decyzję ramową Rady 2005/222/WSiSW
Spis treści
1.2. Cel i metodyka sprawozdania
2.1. Definicje prawne (art. 2 dyrektywy)
2.2. Konkretne przestępstwa (art. 3–7 dyrektywy)
a) Niezgodny z prawem dostęp do systemów informatycznych
b) Niezgodna z prawem ingerencja w systemy
c) Niezgodna z prawem ingerencja w dane
d) Niezgodne z prawem przechwytywanie
e) Narzędzia do popełniania przestępstw
2.3. Przepisy ogólne dotyczące omawianych przestępstw (art. 8–12 dyrektywy)
d) Odpowiedzialność osób prawnych
e) Kary nakładane na osoby prawne
2.4. Kwestie operacyjne (art. 13–14 dyrektywy)
a) Przepis dotyczący operacyjnych krajowych punktów kontaktowych
b) Informacje o utworzonych operacyjnych krajowych punktach kontaktowych
d) Gromadzenie danych statystycznych
e) Przekazywanie danych statystycznych Komisji
1. Wprowadzenie
Zgodnie z oceną zagrożenia wykorzystaniem internetu przez zorganizowane grupy przestępcze (IOCTA) przeprowadzoną przez Europol w 2016 r. cyberprzestępczość staje się coraz bardziej agresywna i konfrontacyjna. Tendencję tę można zaobserwować w przypadku różnych form cyberprzestępczości, w tym również w przypadku ataków na systemy informatyczne 1 . Niektóre poważne formy ataków wymienione przez Europol obejmują wykorzystywanie złośliwego oprogramowania i inżynierii społecznej w celu przeniknięcia do systemu informatycznego i przejęcia nad nim kontroli lub w celu przechwytywania wiadomości i uruchamiania szeroko zakrojonych ataków sieciowych, w tym również na systemy stanowiące element infrastruktury krytycznej. Tego rodzaju ataki uznaje się za kluczowe zagrożenia dla społeczeństwa.
Biorąc pod uwagę fakt, że coraz więcej informacji jest przechowywane w chmurze, a także z uwagi na fakt, że obecnie zarówno informacje, jak i przestępcy cechują się dużą mobilnością, współpraca transgraniczna między organami ścigania ma kluczowe znaczenie w przypadku większości dochodzeń dotyczących cyberprzestępstw.
Aby skutecznie zwalczać tego rodzaju przestępstwa, państwa członkowskie muszą wspólnie określić, jakiego rodzaju czyny powinny być uznawane za ataki na systemy informatyczne. Państwa członkowskie powinny również nakładać zbliżone kary i stosować podobne środki operacyjne w kontekście składania powiadomień o popełnieniu przestępstwa i wymiany informacji między organami. Dlatego też w dniu 12 sierpnia 2013 r. Parlament Europejski i Rada przyjęły dyrektywę 2013/40/UE („dyrektywa”) dotyczącą ataków na systemy informatyczne i zastępującą decyzję ramową Rady 2005/222/WSiSW 2 .
1.1. Cel i zakres dyrektywy
Celem dyrektywy jest zbliżenie prawa karnego państw członkowskich 3 w dziedzinie ataków na systemy informatyczne i usprawnienie współpracy między właściwymi organami. Cel ten można osiągnąć dzięki ustanowieniu zasad minimalnych dotyczących definicji przestępstw i kar w dziedzinie ataków na systemy informatyczne oraz dzięki wymogowi całodobowego funkcjonowania punktów kontaktowych przez 7 dni w tygodniu.
W dyrektywie zawarto definicje następujących terminów:
·„System informatyczny” – art. 2 lit. a) 4 . Definicja ta jest zbliżona do definicji systemu informatycznego przedstawionej w art. 1 lit. a) Konwencji Rady Europy o cyberprzestępczości z dnia 23 listopada 2001 r. („konwencja budapeszteńska”), z tą różnicą, że definicja zawarta w dyrektywie jednoznacznie obejmuje również same dane komputerowe.
·„Dane komputerowe” – art. 2 lit. b). Definicja ta jest zgodna z definicją przedstawioną w art. 1 lit. b) konwencji budapeszteńskiej, przy czym odnosi się ona do systemu informatycznego, a nie do systemu komputerowego.
·„Osoba prawna” – art. 2 lit. c). Celem tej definicji jest zapewnienie możliwości pociągnięcia do odpowiedzialności zarówno osób fizycznych, jak i osób prawnych, ale nie państw, organów publicznych ani publicznych organizacji międzynarodowych.
·„Bezprawnie” – art. 2 lit. d). Definicja odnosi się do ogólnej zasady prawa karnego i ma na celu zapewnienie osobie działającej zgodnie z przepisami prawa krajowego albo za zgodą właściciela lub innego uprawnionego do systemu informatycznego lub jego części uniknięcia odpowiedzialności karnej.
W dyrektywie zdefiniowano konkretne przestępstwa, mianowicie:
·niezgodny z prawem dostęp do systemów informatycznych (art. 3);
·niezgodna z prawem ingerencja w systemy (art. 4), która obejmuje wszelkiego rodzaju niezgodny z prawem dostęp do systemu informatycznego skutkujący poważnym utrudnieniem lub zakłóceniem jego funkcjonowania;
·niezgodna z prawem ingerencja w dane (art. 5), która oznacza wszelkiego rodzaju bezprawną ingerencję w dane komputerowe prowadzącą do naruszenia ich integralności lub dostępności;
·niezgodne z prawem przechwytywanie (art. 6) niepublicznych przekazów danych komputerowych i emisji elektromagnetycznych z systemu informatycznego zawierającego takie dane;
·niezgodne z prawem dostarczanie narzędzi do popełniania wymienionych powyżej przestępstw (art. 7). W tym kontekście za narzędzia takie można uznać program komputerowy, a także hasło komputerowe lub jakiekolwiek inne dane zapewniające możliwość uzyskania dostępu do systemu informatycznego.
Ponadto w dyrektywie rozszerzono zakres odpowiedzialności karnej na podżeganie przez osoby fizyczne lub prawne do popełniania wymienionych powyżej przestępstw, pomocnictwo przy ich popełnianiu i usiłowanie ich popełnienia (art. 8). Choć podżeganie i pomocnictwo dotyczy wszystkich przestępstw wymienionych w art. 3–7, usiłowanie dotyczy wyłącznie przestępstw, o których mowa w art. 4 i 5.
W art. 9 określono minimalne poziomy maksymalnego wymiaru kary z tytułu popełnienia przestępstw, o których mowa w dyrektywie:
·Co do zasady ustalono, że maksymalny wymiar kary z tytułu popełnienia dowolnego z wymienionych powyżej przestępstw – poza przestępstwami wskazanymi w art. 8 – wynosi co najmniej 2 lata pozbawienia wolności (art. 9 ust. 2).
·Jeżeli chodzi o przestępstwa, o których mowa w art. 4 i 5, maksymalny wymiar kary w przypadku, gdy danym działaniem dotknięta została znaczna liczba systemów informatycznych (określanym zazwyczaj jako przestępstwo z wykorzystaniem botnetów; art. 9 ust. 3) wynosi co najmniej 3 lata pozbawienia wolności.
·W przypadku przestępstw, o których mowa w art. 4 i 5, maksymalny wymiar kary wynosi co najmniej 5 lat pozbawienia wolności, jeżeli przestępstwa te zostały popełnione przez organizację przestępczą (art. 9 ust. 4 lit. a)), spowodowały poważne szkody (art. 9 ust. 4 lit. b)) lub zostały popełnione przeciwko systemowi informatycznemu o charakterze infrastruktury krytycznej (art. 9 ust. 4 lit. c)).
·W przypadku przestępstw, o których mowa w art. 4 i 5, które zostały popełnione wskutek niezgodnego z przeznaczeniem wykorzystania danych osobowych innej osoby, państwa członkowskie powinny zapewnić, aby fakt ten można było uznać za okoliczność obciążającą, o ile okoliczności te nie są już objęte zakresem innych przestępstw (art. 9 ust. 5).
W kolejnych artykułach określono minimalne wymogi dotyczące odpowiedzialności osób prawnych (art. 10) i przedstawiono przykładową listę kar, jakie mogą zostać nałożone na te osoby (art. 11).
Ponieważ przestępstwa, o których mowa powyżej, mogą zostać popełnione (tj. można się ich „dopuścić”) w miejscu, w którym sprawca przestępstwa aktualnie przebywa, a ich wpływ na dany system informatyczny może wystąpić w innym miejscu, w art. 12 określono obowiązki w zakresie ustalenia jurysdykcji, dokonując rozróżnienia między:
·miejscem, w którym sprawca przestępstwa fizycznie przebywał w chwili popełniania przestępstwa;
·miejscem, w którym znajdował się system informatyczny będący celem ataku;
·obywatelstwem sprawcy przestępstwa;
·miejscem zwykłego pobytu sprawcy przestępstwa; oraz
·miejscem prowadzenia działalności przez osobę prawną, na korzyść której popełniono przestępstwo.
Jeżeli chodzi o wymianę informacji, zgodnie z art. 13 ust. 1 państwa członkowskie są zobowiązane do zapewnienia istnienia funkcjonujących krajowych punktów kontaktowych dostępnych 24 godziny na dobę oraz przez siedem dni w tygodniu, aby mogły reagować na wszelkiego rodzaju pilne wnioski w ciągu 8 godzin od ich otrzymania.
Ponadto państwa członkowskie muszą podjąć niezbędne środki, aby usprawnić proces przekazywania powiadomień o popełnieniu wspomnianych powyżej przestępstw właściwym organom krajowym (art. 13 ust. 3) oraz aby zapewnić możliwość gromadzenia i dzielenia się minimalną ilością danych statystycznych dotyczących tych przestępstw (art. 14).
1.2. Cel i metodyka sprawozdania
Zgodnie z art. 16 dyrektywy państwa członkowskie są zobowiązane do wprowadzenia w życie przepisów ustawowych, wykonawczych i administracyjnych niezbędnych do wykonania dyrektywy i przekazania Komisji informacji na temat tych przepisów do dnia 4 września 2015 r.
Niniejsze sprawozdanie zostało sporządzone zgodnie z wymogiem ustanowionym w art. 17 dyrektywy nakładającym na Komisję obowiązek przedłożenia Parlamentowi Europejskiemu i Radzie sprawozdania z oceną stopnia, w jakim państwa członkowskie podjęły środki niezbędne do wykonania tej dyrektywy. Celem niniejszego sprawozdania jest zatem przedstawienie zwięzłego, ale wyczerpującego przeglądu najistotniejszych środków transpozycji przyjętych przez państwa członkowskie.
Transpozycja przepisów przez państwo członkowskie wiązała się z koniecznością zgromadzenia informacji na temat stosownych przepisów i środków administracyjnych, przeprowadzenia ich analizy, opracowania nowych przepisów lub – w większości przypadków – wprowadzenia zmian w istniejących aktach prawnych, zapewnienia ich przyjęcia oraz – ostatecznie – przekazania odpowiedniego sprawozdania Komisji.
22 państwa członkowskie powiadomiły Komisję o pełnym zakończeniu transpozycji dyrektywy przed upływem terminu transpozycji. W listopadzie 2015 r. Komisja wszczęła postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego z tytułu nieprzekazania informacji o krajowych środkach transpozycji przeciwko pozostałym 5 państwom członkowskim: BE, BG, IE, EL i SI 5 . Według stanu na dzień 31 maja 2017 r. postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego z tytułu nieprzekazania informacji o krajowych środkach transpozycji wszczęte przeciwko BE, BG i IE były jeszcze w toku 6 .
Podstawą zawartych w niniejszym sprawozdaniu opisu i analizy są informacje przekazane przez państwa członkowskie do dnia 31 maja 2017 r. 7 Zgłoszenia otrzymane po tym terminie nie zostały uwzględnione. Wszystkie zgłoszone środki dotyczące przepisów krajowych zostały wzięte pod uwagę, podobnie jak orzeczenia sądów oraz – w stosownych przypadkach – powszechnie uznawana teoria prawna. Ponadto w toku analizy Komisja kontaktowała się bezpośrednio z państwami członkowskimi w przypadkach, w których było to konieczne i właściwe do celów uzyskania dodatkowych informacji lub wyjaśnień. W ramach analizy wzięto pod uwagę wszystkie zgromadzone informacje.
Nie można wykluczyć, że poza kwestiami, na które zwrócono uwagę w niniejszym sprawozdaniu, istnieją również inne wyzwania związane z transpozycją dyrektywy oraz inne przepisy lub planowane zmiany o charakterze prawnym i pozaprawnym, które nie zostały zgłoszone Komisji. Z tego względu publikacja niniejszego sprawozdania nie uniemożliwia Komisji dalszego oceniania niektórych przepisów ani udzielania państwom członkowskim dalszego wsparcia przy transpozycji i wdrażaniu przepisów dyrektywy.
2. Środki transpozycji
2.1. Definicje prawne (art. 2 dyrektywy)
W art. 2 dyrektywy przedstawiono definicje prawne pojęć „system informatyczny” (lit. a)), „dane komputerowe” (lit. b)), „osoba prawna” (lit. c)) i „bezprawnie” (lit. d)). Przepisy uwzględniające wszystkie aspekty wymienionych powyżej definicji przyjęto tylko na CY i w UK (Gibraltar). Konkretnie oznacza to:
a) System informatyczny
Definicja przedstawiona w dyrektywie opiera się na definicji pojęcia „system informatyczny” zawartej w art. 1 lit. a) konwencji budapeszteńskiej, przy czym definicję tę uzupełniono, uznając same dane komputerowe za część systemu informatycznego. Przepisy prawne, w których uwzględniono definicję systemu informatycznego, wprowadzono na CY, w IE, EL, HR, na MT, w PT, FI i UK (Gibraltar), natomiast informacje przekazane przez DE, ES, FR, LV, LU, PL, SK i SE nie miały rozstrzygającego charakteru. Jeżeli chodzi o pozostałe państwa członkowskie, tj. BE, BG, CZ, EE, IT, LT, HU, NL, AT, RO, SI i UK (z wyjątkiem Gibraltaru), w definicjach prawnych obowiązujących w tych państwach nie odniesiono się bezpośrednio do pojęcia „dane komputerowe”. Oznacza to odniesienie do art. 1 lit. a) konwencji budapeszteńskiej – zakres definicji systemu informatycznego przedstawionej w tej literze odpowiada zakresowi definicji systemu informatycznego obowiązującej w tych pozostałych państwach członkowskich.
b) Dane komputerowe
Termin „dane komputerowe” został uwzględniony w przepisach obowiązujących w BG, CZ, DE, EE, IE, EL, HR, na CY, LT, MT, w NL, AT PT, RO, FI i UK (Gibraltar), natomiast informacje przekazane przez ES, FR, IT, LV, LU PL, SK, SE i UK (poza Gibraltarem) nie miały rozstrzygającego charakteru. W przypadku SE specyficzny układ odesłań do odpowiednich artykułów sprawia jednak, że przyjęcie takiej definicji nie jest konieczne. Jeżeli chodzi o pozostałe państwa członkowskie, w HU definicja danych komputerowych odnosi się wyłącznie do przestępstw opisanych w art. 4 i 5 dyrektywy, natomiast w definicji danych komputerowych przyjętej w BE i SI nie zawarto sformułowania „program umożliwiający wykonanie funkcji przez system informatyczny”.
c) Osoba prawna
Poza LU, który nie przedstawił żadnych rozstrzygających informacji w kwestii transpozycji przepisów art. 2 lit. c), nie odnotowano żadnych problemów związanych z transpozycją definicji pojęcia „osoba prawna”. Wynika to z faktu, że co do zasady termin ten został już zdefiniowany w większości przepisów prawa cywilnego lub handlowego obowiązujących w poszczególnych państwach członkowskich. Tylko na CY zdecydowano się przyjąć przepis szczegółowy w ramach środków podjętych w celu transponowania dyrektywy.
d) Bezprawnie
Jeżeli chodzi o definicję pojęcia „bezprawnie” przedstawioną w art. 2 lit. d), transpozycję tej definicji zgłosiły wyłącznie IE, CY, RO i UK (Gibraltar), co oznacza, że 23 państwa członkowskie nie przyjęły żadnych środków transpozycji w związku z tą definicją. Należy jednak zwrócić uwagę na fakt, że we wszystkich państwach członkowskich obowiązuje ogólna zasada, zgodnie z którą dana osoba nie może zostać pociągnięta do odpowiedzialności karnej, jeżeli podjęła daną czynność zgodnie z przysługującymi jej uprawnieniami.
2.2. Konkretne przestępstwa (art. 3–7 dyrektywy)
a) Niezgodny z prawem dostęp do systemów informatycznych
Artykuł 3 dyrektywy dotyczący niezgodnego z prawem dostępu do systemu informatycznego został transponowany do przepisów krajowych obowiązujących w CZ, IE, EL, ES, FR, na CY, na LT, w LU, NL, AT, PL, PT, SK, FI i SE.
W przypadku wszystkich pozostałych państw członkowskich, tj. BE, BG, DE, EE, HR, IT, HU, LV, MT, RO, SI i UK, w stosownych przepisach krajowych zawierających opis tego przestępstwa nie dokonano rozróżnienia między uzyskaniem dostępu do całości systemu informatycznego a uzyskaniem dostępu jedynie do części tego systemu, mimo że tego rodzaju rozróżnienie zostało wprost przewidziane w przepisach dyrektywy. Ponadto przy dokonywaniu transpozycji przepisów dyrektywy do prawa DE nie uwzględniono zwykłego dostępu do sprzętu komputerowego, natomiast w przepisach transponowanych do prawa LU i AT przewidziano dodatkowe wymogi związane z działaniem ze szczególnym zamiarem (zamiar uzyskania wiedzy, postawienia w mniej korzystnej sytuacji lub dopuszczenia się oszustwa); z kolei w przepisach transponowanych do prawa LV przewidziano dodatkowy wymóg spowodowania poważnej szkody. W przypadku BE, BG, FR, HR, LU, MT, PT, RO, SI i UK zakres przepisów krajowych wykracza poza zakres przepisów dyrektywy, ponieważ zgodnie z przepisami obowiązującymi w tych państwach dana osoba może zostać pociągnięta do odpowiedzialności karnej nawet w przypadku, gdy uzyskała dostęp do systemów informatycznych bez konieczności obejścia jakichkolwiek środków bezpieczeństwa. Pozostałe państwa członkowskie albo dosłownie stwierdziły w swoich przepisach, że przestępstwo musi zostać popełnione z naruszeniem środka bezpieczeństwa (EL, CY i SK), albo posłużyły się zbliżoną terminologią w opisie tego aspektu przestępstwa (CZ, DE, EE, ES, IT, LV, LT; HU, NL, AT, PL, FI i SE).
b) Niezgodna z prawem ingerencja w systemy
Art. 4 dyrektywy dotyczy niezgodnej z prawem ingerencji w systemy. W dyrektywie wymieniono 8 możliwych działań (wprowadzenie, przekazywanie, uszkadzanie, usuwanie, pogarszanie, zmienianie lub eliminowanie danych komputerowych lub czynienie ich niedostępnymi) i 2 możliwe skutki danego działania (poważne utrudnienie lub zakłócenie funkcjonowania systemu informatycznego). Odpowiednie środki ustawodawcze w tym zakresie przyjęto w BE, CZ, IE, EL, FR, HR, na CY, w LU, na MT, w PT, SE i UK (z wyjątkiem Gibraltaru). W przepisach przyjętych w BG wspomniano wyłącznie o wprowadzeniu wirusa, natomiast w przepisach przyjętych w pozostałych państwach członkowskich (DE, EE, ES, IT, LV, HU, NL, AT, PL, RO, SI, SK i UK) nie wspomniano konkretnie o jednym czy większej liczbie (do czterech) pozostałych możliwych działań. W tym kontekście można stwierdzić, że największą liczbę problemów odnotowano w związku z pojęciami „pogarszanie” (pojęcie to pominięto w 8 przypadkach) i „czynienie niedostępnymi” (pojęcie to pominięto w 9 przypadkach).
c) Niezgodna z prawem ingerencja w dane
Artykuł 5 dyrektywy dotyczy niezgodnej z prawem ingerencji w dane – wymieniono w nim 6 możliwych czynności: usuwanie, uszkadzanie, pogarszanie, zmienianie lub eliminowanie danych lub czynienie ich niedostępnymi. IE, EL, CY i MT dokonały dosłownej transpozycji tego przepisu; BE, CZ, LT, PT i SE posłużyły się bardziej ogólnymi sformułowaniami przy opisywaniu poszczególnych możliwych czynności. W środkach transpozycji przyjętych przez pozostałe państwa członkowskie nie uwzględniono wszystkich możliwych czynności i wspomniano wyłącznie o 5 z nich (SK, FI) lub o mniejszej ich liczbie (BG, DE, EE, FR, HR, IT, LU, HU, NL, AT, PL, RO, SI i UK). Największą liczbę problemów odnotowano w związku z pojęciami „uszkadzanie” (pojęcie to pominięto w 8 przypadkach), „pogarszanie” (w 13 przypadkach), „eliminowanie danych” (w 11 przypadkach) i „czynienie ich niedostępnymi” (w 13 przypadkach). Niezależnie od brzmienia przepisów dyrektywy w przepisach obowiązujących w FI ustanowiono wymóg „działania z zamiarem wyrządzenia szkody lub wywołania strat finansowych”, który musi zostać spełniony, aby sprawca mógł zostać pociągnięty do odpowiedzialności karnej; na LV i LT sprawcę można pociągnąć do odpowiedzialności karnej wyłącznie w przypadku, gdy „działał z zamiarem spowodowania poważnych strat lub wyrządzenia poważnych szkód”.
d) Niezgodne z prawem przechwytywanie
Art. 6 dyrektywy dotyczy niezgodnego z prawem przechwytywania niepublicznych przekazów danych komputerowych i emisji elektromagnetycznych z systemu informatycznego zawierającego takie dane komputerowe. W CZ, DE, IE, ES, HR, na CY, LV, w MT, RO, SK, FI, SE i UK (Gibraltar) wprowadzono przepisy w pełni zgodne z treścią art. 6. Ogólny zakres przepisów dyrektywy odnoszących się do przechwytywania danych komputerowych został ograniczony do wiadomości (BG i AT), danych umożliwiających śledzenie danej osoby (EE) lub korespondencji (FR i HU). Ponadto w środkach transpozycji przyjętych przez następujące państwa członkowskie nie odniesiono się do przechwytywania emisji elektromagnetycznych: BE, BG, EE, FR, IT, LT, LU, HU, NL, PL, PT, SI i UK (z wyjątkiem Gibraltaru). Ponadto w niektórych państwach członkowskich wprowadzono wymóg działania ze szczególnym zamiarem (np. z zamiarem zgromadzenia wiedzy, uzyskania korzyści gospodarczych lub postawienia w mniej korzystnej sytuacji – zob. EL, HU, AT) lub wymóg podjęcia określonego rodzaju czynności (takich jak rejestrowanie przechwytywanych materiałów lub zapoznawanie się z ich treścią – zob. BG i HU).
e) Narzędzia do popełniania przestępstw
Art. 7 kryminalizuje szereg czynności związanych z korzystaniem z narzędzi takich jak programy komputerowe lub kody dostępu w celu popełnienia przestępstw, o których mowa w art. 3–6; wspomniane czynności to: wytwarzanie takich narzędzi, ich sprzedaż, dostarczanie w celu użycia, przywóz, rozpowszechnianie lub udostępnianie w inny sposób. W BE, DE, IE, EL, na CY, w AT i w SK przyjęto odpowiednie przepisy krajowe w tym zakresie. Niektóre państwa członkowskie w swoich przepisach nie uwzględniły wszystkich wymienionych powyżej przestępstw (EE, IT, MT, PL i SI). W niektórych sprawcę przestępstwa, o którym mowa w art. 7, traktuje się w taki sam sposób jak sprawcę przestępstw wymienionych w art. 3–6 (CZ i SI). W niektórych państwach zastosowano wymóg działania z określonym zamiarem (z zamiarem spowodowania szkody lub z zamiarem dopuszczenia się oszustwa – zob. IT, LU i FI), zamiarem uzyskania określonego rezultatu, np. naruszenia tajemnicy (BG) lub co najmniej czynienia przygotowań do popełnienia wspomnianych przestępstw (SE). Rozbieżności między brzmieniem art. 7 a środkami krajowymi wynikają również z braku transpozycji wszystkich wymienionych możliwych czynności. Ma to miejsce w BG, CZ, EE, ES, FR, HR, IT, na LV, na LT, w LU, na HU, w PL, PT, RO, SI i UK. Spośród tych państw tylko w przepisach przyjętych w LU wspomniano o pięciu z sześciu możliwych czynności wymienionych w dyrektywie, natomiast w pozostałych państwach członkowskich odniesiono się wprost do zaledwie czterech takich czynności lub do mniejszej ich liczby.
Czynność polegająca na dostarczaniu w celu użycia została włączona do przepisów krajowych wyłącznie w przypadku ES.
2.3. Przepisy ogólne dotyczące omawianych przestępstw (art. 8–12 dyrektywy)
a) Podżeganie i pomocnictwo
Zgodnie z przepisami art. 8 ust. 1 państwa członkowskie są zobowiązane do zapewnienia, aby podżeganie do przestępstw, o których mowa w art. 3–7, oraz pomocnictwo w tych przestępstwach były karalne jako przestępstwo. Wszystkie państwa członkowskie dokonały transpozycji tego przepisu.
b) Usiłowanie
Zgodnie z art. 8 ust. 2 usiłowanie popełnienia przestępstw, o których mowa w art. 4–5, musi być karalne jako przestępstwo. Choć PT nie uwzględniła wszystkich rodzajów usiłowania popełnienia przestępstw, o których mowa w art. 4, a SE nie przewidziała możliwości pociągnięcia danej osoby do odpowiedzialności karnej z tytułu usiłowania popełnienia przestępstwa „naruszenia poufności komunikacji”, wszystkie inne państwa członkowskie przyjęły ustawodawstwo transponujące ten przepis.
c) Sankcje
aa) Przepisy ogólne
Zgodnie z art. 9 ust. 1 państwa członkowskie są zasadniczo zobowiązane do zagwarantowania, by przestępstwa, o których mowa w dyrektywie, podlegały skutecznym, proporcjonalnym i odstraszającym sankcjom karnym. Chociaż prawie wszystkie państwa członkowskie dokonały transpozycji tego przepisu, w przepisach obowiązujących w BE, BG, IT, AT, PT, SI i SE nie wprowadzono we wszystkich przypadkach minimalnych poziomów maksymalnego wymiaru kary ustanowionych w art. 9 ust. 2 (zob. pkt 1.1 powyżej). Ma to wpływ na transpozycję art. 9 ust. 1, ponieważ można stwierdzić, że minimalne wymagania określone w art. 9 ust. 2 stanowią minimalne kryteria, na podstawie których można uznać, że dane przestępstwo podlega skutecznym, proporcjonalnym i odstraszającym sankcjom karnym.
bb) Ogólny minimalny poziom maksymalnego wymiaru kary
Zgodnie z art. 9 ust. 2 minimalny poziom maksymalnego wymiaru kary z tytułu popełnienia standardowych przestępstw, o których mowa w art. 3–7, to kara pozbawienia wolności na okres co najmniej 2 lat. Ustawodawstwo przyjęte w większości państw członkowskich jest zgodne z tym przepisem. Rozbieżności w tym zakresie zaobserwowano tylko w odniesieniu do 6 państw członkowskich: BG (maksymalny wymiar kary – 1 rok pozbawienia wolności w odniesieniu do wszystkich przestępstw poza niezgodnym z prawem przechwytywaniem), IT (maksymalny wymiar kary z tytułu popełnienia przestępstwa, o którym mowa w art. 7 lit. b) – 1 rok pozbawienia wolności), AT (maksymalny wymiar kary – 6 miesięcy pozbawienia wolności), PT (maksymalny wymiar kary z tytułu popełnienia przestępstwa, o którym mowa w art. 3 – 1 rok pozbawienia wolności), SI (maksymalny wymiar kary z tytułu popełnienia przestępstw, o których mowa w art. 3, 6 i 7 – 1 rok pozbawienia wolności) i SE (maksymalny wymiar kary z tytułu popełnienia przestępstwa „spowodowania poważnej szkody” – 1 rok pozbawienia wolności). W przypadku BE minimalny poziom maksymalnego wymiaru kary z tytułu popełnienia przestępstw, o których mowa w art. 3, 6 i 7, może zostać zasądzony wyłącznie w przypadku, gdy przestępstwa te popełniono z zamiarem dopuszczenia się oszustwa.
cc) Wpływ na dużą liczbę systemów informatycznych
Zgodnie z przepisami art. 9 ust. 3 minimalny poziom maksymalnego wymiaru kary podlega podwyższeniu do 3 lat pozbawienia wolności w przypadku, gdy przestępstwa, o których mowa w art. 4 i 5, wywierają wpływ na dużą liczbę systemów informatycznych. Ogólnie rzecz biorąc, państwa członkowskie wprowadziły odpowiednie przepisy w tym zakresie do swojego ustawodawstwa krajowego, przy czym w przepisach obowiązujących w DE odniesiono się wyłącznie do systemów informatycznych „między którymi istnieją istotne powiązania”, w przepisach obowiązujących na LV nie odniesiono się do dużej liczby systemów informatycznych (ani do podobnego sformułowania), ograniczając się wyłącznie do przepisów dotyczących wyrządzenia „poważnej szkody”, a w przepisach obowiązujących w FI ustanowiono wymóg ocenienia przestępstwa „w ujęciu całościowym” przed zasądzeniem wyższego wymiaru kary. Informacje przekazane przez BG i SI nie miały rozstrzygającego charakteru.
dd) Organizacje przestępcze
Zgodnie z art. 9 ust. 4 lit. a) w przypadku, gdy przestępstwa, o których mowa w art. 4 i 5, zostały popełnione przez organizację przestępczą w rozumieniu definicji przedstawionej w decyzji ramowej 2008/841/WSiSW, maksymalny wymiar kary z tytułu popełnienia tych przestępstw wynosi 5 lat pozbawienia wolności.
Również w tym przypadku przepisy przyjęte przez większość państw członkowskich są zgodne z przepisami art. 9 ust. 4 lit. a). W przepisach prawa karnego obowiązujących w LU i SI wśród przestępstw, które mogą zostać popełnione przez organizację przestępczą, nie wymieniono cyberprzestępstw. W ustawodawstwie BE maksymalny wymiar kary z tytułu popełnienia przestępstw, o których mowa w art. 5, wynosi zaledwie 3 lata pozbawienia wolności; w przepisach obowiązujących w DE wśród kategorii podmiotów pokrzywdzonych przestępstwami nie wymieniono osób fizycznych; w ustawodawstwie FI ustanowiono wymóg przeprowadzenia dodatkowej oceny przestępstwa „w ujęciu całościowym”, a w przepisach obowiązujących w SE maksymalny wymiar kary z tytułu „spowodowania poważnych szkód” wynosi 4 lata pozbawienia wolności.
ee) Spowodowanie poważnej szkody
Zgodnie z art. 9 ust. 4 lit. b) w przypadku spowodowania poważnej szkody w rezultacie popełnienia dowolnego przestępstwa, o którym mowa w art. 4 i 5, minimalny okres odbywania kary pozbawienia wolności stanowiącej maksymalny wymiar kary z tytułu popełnienia takiego przestępstwa wynosi 5 lat. Choć nie sformułowano definicji terminu „poważna szkoda”, wszystkie państwa członkowskie z wyjątkiem BG, DE, LU, HU, FI i SE przyjęły przepisy zgodne z przepisami dyrektywy. Informacje przekazane przez HU nie miały rozstrzygającego charakteru. W przepisach obowiązujących w BG nie osiągnięto minimalnego, pięcioletniego poziomu maksymalnego wymiaru kary, natomiast w przepisach obowiązujących w LU odniesiono się do ogólnej klauzuli dotyczącej sankcji z tytułu spowodowania poważnej szkody, która nie ma zastosowania do żadnych cyberprzestępstw. Pewne drobne rozbieżności odnotowano w przepisach obowiązujących w DE (brak osób fizycznych wśród kategorii osób pokrzywdzonych przestępstwami), FI (zasądzenie wyższego wymiaru kary wymaga przeprowadzenia dodatkowej oceny przestępstwa „w ujęciu całościowym”) oraz SE (maksymalny wymiar kary z tytułu „spowodowania poważnych szkód” wynosi 4 lata pozbawienia wolności).
ff) Systemy informatyczne o charakterze infrastruktury krytycznej
Jeżeli przestępstwa, o których mowa w art. 4 i 5, zostały popełnione przeciwko systemom informatycznym o charakterze infrastruktury krytycznej, zgodnie z art. 9 ust. 4 lit. c) maksymalny wymiar kary z tytułu popełnienia tego rodzaju przestępstw również wynosi co najmniej 5 lat pozbawienia wolności.
Choć ustawodawstwo przyjęte w większości państw członkowskich jest zgodne z tym przepisem, BG nie przekazała żadnych konkretnych informacji dotyczących transpozycji. W BE maksymalny wymiar kary z tytułu popełnienia przestępstw, o których mowa w art. 5, wynosi 3 lata pozbawienia wolności. W przepisach obowiązujących w DE nie zaliczono osób fizycznych do pokrzywdzonych. Zgodnie z przepisami obowiązującymi w IT przestępstwo musi doprowadzić do faktycznego „zniszczenia” systemów, w przepisach obowiązujących w PT ustanowiono wymóg, zgodnie z którym atak musi mieć „poważny i długotrwały charakter”, i nie odniesiono się do art. 5 dyrektywy, w FI ustanowiono wymóg przeprowadzenia dodatkowej oceny przestępstwa „w ujęciu całościowym”, a przepisy obowiązujące w SE są zgodne z wymogami przewidzianymi w dyrektywie wyłącznie w zakresie, w jakim dotyczą przestępstwa „poważnego sabotażu”.
gg) Kradzież tożsamości i inne przestępstwa związane z tożsamością
W art. 9 ust. 5 ustanowiono wymóg, zgodnie z którym państwa członkowskie są zobowiązane do zapewnienia, aby popełnienie jakiegokolwiek przestępstwa, o którym mowa w art. 4 i 5 i które zostało popełnione poprzez niewłaściwe użytkowanie danych osobowych innej osoby w celu uzyskania zaufania osoby trzeciej, tym samym powodując szkodę dla prawowitego posiadacza tej tożsamości, można było uznać za okoliczność obciążającą, o ile okoliczność ta nie jest już objęta zakresem innych przestępstw. Szeroki zakres swobody uznania w tej kwestii doprowadził do szerokiego spektrum środków transpozycji przyjmowanych przez państwa członkowskie. BE i EL nie zgłosiły żadnych środków transpozycji, a w prawie karnym obowiązującym w CZ nie przewidziano żadnych przepisów szczegółowych w tym zakresie. W IE, ES, na CY, na MT, w AT, PT i SE przyjęto podejście bazujące na okolicznościach obciążających (w tym ostatnim państwie wspomniano o okoliczności polegającej na prowadzeniu „szczególnych przygotowań”), natomiast we wszystkich innych państwach członkowskich odniesiono się do przepisów szczegółowych dotyczących poszczególnych rodzajów przestępstw. Wśród państw, które powołały się na przepisy szczegółowe, odnotowano następujące problemy związane z transpozycją: w przepisach obowiązujących w BG i NL ustanowiono wymóg działania ze szczególnym zamiarem („w celu uzyskania korzyści” oraz „w celu ukrycia lub nadużycia tożsamości”); w przepisach obowiązujących w DE odniesiono się wyłącznie do „danych osobowych, które nie są ogólnie dostępne”; przepisy obowiązujące we FR dotyczą wyłącznie imienia i nazwiska danej osoby i nie obejmują żadnych innych danych osobowych; w przepisach obowiązujących na LV ustanowiono wymóg wyrządzenia „poważnej szkody”, a przepisy obowiązujące w RO dotyczą wyłącznie przypadków posłużenia się „dokumentem”, a sprawca może zostać pociągnięty do odpowiedzialności karnej wyłącznie w przypadku, gdy dopuścił się oszustwa.
d) Odpowiedzialność osób prawnych
aa) W ujęciu ogólnym
W art. 10 ust. 1 wymaga się ustanowienia odpowiedzialności osób prawnych z tytułu przestępstw, o których mowa w art. 3–8, jeżeli sprawca tych przestępstw posiada upoważnienie do reprezentowania danej osoby prawnej (lit. a)), upoważnienie do podejmowania decyzji w imieniu osoby prawnej (lit. b)) lub upoważnienie do sprawowania kontroli w ramach tej osoby prawnej (lit. c)). Wszystkie państwa członkowskie przyjęły przepisy odpowiadające przepisom niniejszego artykułu z kilkoma tylko następującymi nieznacznymi odstępstwami: w przepisach obowiązujących w BG nie uwzględniono przestępstwa, o którym mowa w art. 6, a w przepisach obowiązujących w HR nie wspomniano o sytuacji, w której sprawca posiada upoważnienie do sprawowania kontroli w ramach danej osoby prawnej (art. 10 ust. 1 lit. c)).
bb) Z tytułu braku nadzoru lub kontroli
W art. 10 ust. 2 wymaga się od państw członkowskich wprowadzenia odpowiedzialności osób prawnych w przypadku gdy do popełnienia którekolwiek z przestępstw, o których mowa w art. 3–8, doszło z powodu braku nadzoru lub kontroli ze strony osoby, o której mowa w art. 10 ust. 1. Choć prawie wszystkie państwa członkowskie zastosowały się do tego przepisu, informacje przekazane przez LU nie miały rozstrzygającego charakteru, a w przepisach przyjętych w BG nie zawarto odniesienia do popełnienia przestępstwa, o którym mowa w art. 6.
e) Kary nakładane na osoby prawne
aa) Kary obowiązkowe
W art. 11 ust. 1 dyrektywy ustanowiono wymóg zobowiązujący państwa członkowskie do przewidzenia skutecznych, proporcjonalnych i odstraszających kar dla osób prawnych w postaci grzywien o charakterze karnym lub innym. Wszystkie państwa członkowskie poza IE i UK zgłosiły środki krajowe zgodne z przepisami dyrektywy. W IE i w UK maksymalna kwota ewentualnych grzywien pozostaje nieokreślona z uwagi na brak precyzyjnych przepisów ustawowych. W przypadku tych państw ocena skuteczności, proporcjonalności i odstraszającego charakteru odpowiednich grzywien nie jest więc możliwa.
bb) Kary fakultatywne
W art. 11 ust. 1 zawarto wykaz potencjalnych kar dodatkowych, jakie można nałożyć na osoby prawne. Kary te obejmują: pozbawienie prawa do korzystania ze świadczeń publicznych lub pomocy publicznej (odpowiednie przepisy w tym zakresie przyjęto w CZ, EL, ES, HR, na CY, w LU, na HU, na MT, w PL, PT i na SK), czasowy lub stały zakaz prowadzenia działalności gospodarczej (BE, CZ, EL, ES, FR, HR, IT, CY, LV, LT, HU, MT, AT, PL, PT, RO, SI, SK i SE), poddanie nadzorowi sądowemu (ES, FR, CY, MT, PT i RO), likwidację sądową (CZ, EL, ES, FR, HR, CY, LT, LV, LU, HU, MT, PT, RO, Si i SK) oraz czasowe lub stałe zamknięcie zakładów wykorzystanych w celu popełnienia przestępstwa (BE, ES, FR, CY, LT, MT, PT i RO). W przepisach obowiązujących w BG, DE, IE, EE, NL, FI i UK nie przewidziano żadnej z wymienionych powyżej kar fakultatywnych.
cc) Kary z tytułu zaniechań
Zgodnie z przepisami art. 11 ust. 2 państwa członkowskie zostały zobowiązane do zapewnienia stosowania skutecznych, proporcjonalnych i odstraszających kar wobec osób prawnych odpowiedzialnych za przestępstwa zaniechania, o których mowa w art. 10 ust. 2. Informacje przekazane przez LU nie miały rozstrzygającego charakteru. Wszystkie pozostałe państwa członkowskie z wyjątkiem IE i UK przyjęły odpowiednie przepisy prawne w tym zakresie. W przypadku IE i UK ten sam problem odnotowano w związku z art. 11 ust. 1 (zob. lit. aa) powyżej).
f) Jurysdykcja
aa) Wymagane podstawy jurysdykcji
Zgodnie z art. 12 ust. 2 i 3 dyrektywy państwa członkowskie są zobowiązane do ustanowienia swojej jurysdykcji w odniesieniu do przestępstw, o których mowa w art. 3–8, gdy przestępstwa te zostały popełnione w całości lub w części na ich terytorium – czy to z uwagi na fakt, że sprawca był fizycznie obecny na terytorium tego państwa w momencie popełnienia przestępstwa, czy z uwagi na fakt, że system informatyczny będący celem ataku znajdował się na terytorium tego państwa członkowskiego – lub w przypadku gdy przestępstwa te zostały popełnione za granicą przez jednego z obywateli danego państwa członkowskiego. Większość państw członkowskich wprowadziła odpowiednie przepisy krajowe, przy czym w przepisach wprowadzonych w IT nie ustalono jurysdykcji dla obywateli włoskich przebywających za granicą w przypadku podstawowych form przestępstw, w przepisach wprowadzonych w LV i SI odniesiono się do niejasnych przepisów dotyczących kwestii terytorialnych, przepisy MT dotyczące jurysdykcji w sprawie popełnienia przestępstwa częściowo na terytorium Malty są niejasne, a w przepisach UK jest mowa o systemie komputerowym, a nie o systemie informatycznym.
bb) Inne podstawy jurysdykcji
Zgodnie z art. 12 ust. 3, jeżeli państwa członkowskie podejmą decyzję o ustanowieniu jurysdykcji w przypadku, gdy sprawca ma swoje miejsce zwykłego pobytu na terytorium danego państwa (rozwiązanie wybrane przez CZ, IE, HR, CY, LV, LT, NL, AT, SK, FI i SE), lub w przypadku, gdy przestępstwo zostało popełnione na korzyść osoby prawnej mającej swoją siedzibę na terytorium danego państwa (CZ, CY, LV, PT, RO i SK), muszą poinformować Komisję o tym fakcie.
2.4. Kwestie operacyjne (art. 13–14 dyrektywy)
a) Przepis dotyczący operacyjnych krajowych punktów kontaktowych
W art. 13 ust. 1 państwa członkowskie wezwano do ustanowienia operacyjnych krajowych punktów kontaktowych do celów wymiany informacji odnoszących się do przestępstw, o których mowa w art. 3–8. Na podstawie tego przepisu państwa członkowskie muszą zapewnić przyjęcie procedur umożliwiających właściwemu organowi udzielenie odpowiedzi na wszelkie pilne wnioski o pomoc w ciągu 8 godzin od momentu otrzymania takich wniosków. Z przekazanych informacji wynika, że większość państw członkowskich ustanowiła wymaganą infrastrukturę. IE i RO wspomniały, że odpowiednie punkty kontaktowe są dostępne wyłącznie przez określoną liczbę godzin w ciągu dnia, co w niektórych przypadkach uniemożliwi organowi udzielenie odpowiedzi na wniosek w ciągu 8 godzin od momentu jego otrzymania. Szereg państw członkowskich wskazało, że korzysta z istniejących sieci operacyjnych punktów kontaktowych utworzonych w ramach sieci G7 lub w ramach konwencji budapeszteńskiej Rady Europy o cyberprzestępczości.
b) Informacje o utworzonych operacyjnych krajowych punktach kontaktowych
Zgodnie z art. 13 ust. 2 państwa członkowskie są zobowiązane do przekazania danych kontaktowych swoich punktów kontaktowych Komisji, która przekaże te dane pozostałym państwom członkowskim. Wszystkie państwa członkowskie przekazały wymagane informacje.
c) Kanały informacyjne
W art. 13 ust. 3 państwa członkowskie zostały zobowiązane do zagwarantowania udostępnienia odpowiednich kanałów informacyjnych w celu ułatwienia zgłaszania właściwym organom krajowym przestępstw, o których mowa w art. 3–6. Informacje przekazane przez IE, HR, IT i PT nie miały rozstrzygającego charakteru. Jeżeli chodzi o pozostałe państwa członkowskie, wydaje się, że wywiązują się one z obowiązku wprowadzania kanałów informacyjnych na różne sposoby. Większość państw członkowskich (BE, BG, CZ, DE, EE, EL, FR, HR, IT, CY, LV, LT, HU, MT, NL, PL, PT, RO, SI, SK, FI, SE i UK) zgłosiła środki dotyczące kanałów służących ułatwieniu osobom lub organizacjom, np. osobom lub organizacjom pokrzywdzonym wskutek ataku cybernetycznego, pierwsze zgłoszenie popełnienia przestępstwa (przy czym w przypadku LV nie przekazano jednoznacznych informacji dotyczących samych kanałów informacyjnych). Inne państwa członkowskie (ES, LU i AT) przekazały jednak takie same informacje w związku z wdrażaniem art. 13 ust. 1 i 2, co świadczy o tym, że środki przyjęte w tych państwach będą służyły głównie usprawnieniu wymiany informacji między organami.
d) Gromadzenie danych statystycznych
Zgodnie z art. 14 ust. 1 i 2 państwa członkowskie muszą zapewnić istnienie systemu umożliwiającego rejestrowanie, tworzenie i dostarczanie danych statystycznych obejmujących co najmniej dane dotyczące liczby przestępstw, o których mowa w art. 3–7, zarejestrowanych przez państwa członkowskie oraz dane dotyczące liczby osób oskarżonych o popełnienie tych przestępstw i skazanych za ich popełnienie. Otrzymane zgłoszenia zdają się wskazywać, że większość państw członkowskich przyjęła środki prawne i administracyjne w celu zapewnienia gromadzenia stosownych informacji, zazwyczaj z wykorzystaniem ogólnokrajowego systemu elektronicznego. Informacje przekazane przez szereg państw członkowskich nie miały rozstrzygającego charakteru (IE, EL, UK (Gibraltar, Irlandia Północna i Szkocja)). Jednym z powodów był brak możliwości odrębnego gromadzenia informacji na temat poszczególnych przestępstw, o których mowa w dyrektywie (BE, DE i SE) lub fakt, że gromadzone informacje mogą nie obejmować wszystkich przestępstw wymienionych w dyrektywie (RO).
e) Przekazywanie danych statystycznych Komisji
W art. 14 ust. 3 państwa członkowskie zostały wezwane do przekazywania Komisji odpowiednich danych statystycznych. Wszystkie państwa członkowskie, które zgłosiły środki, z wyjątkiem HU i UK (Gibraltar, Irlandia Północna i Szkocja), potwierdziły wdrożenie środków prawnych lub administracyjnych albo obydwu tych rodzajów środków w celu wywiązania się z tego zobowiązania. W przypadku EL, ES, LU i SI przekazane informacje nie miały rozstrzygającego charakteru.
3. Wnioski i dalsze działania
Dyrektywa przyczyniła się do osiągnięcia istotnych postępów w procesie zapewniania zbliżonego poziomu kryminalizacji ataków cybernetycznych we wszystkich państwach członkowskich, co sprzyja współpracy transgranicznej między organami ścigania prowadzącymi dochodzenia w sprawie tego rodzaju przestępstw. Państwa członkowskie wprowadziły zmiany w swoich kodeksach karnych i w innych stosownych przepisach, uprościły stosowane przez siebie procedury i ustanowiły lub udoskonaliły swoje mechanizmy współpracy. Komisja docenia znaczne wysiłki podjęte przez państwa członkowskie na rzecz transpozycji dyrektywy.
Potencjał dyrektywy nie został jeszcze jednak w pełni wykorzystany – zakres jej oddziaływania mógłby zostać istotnie zwiększony, gdyby państwa członkowskie w pełni wdrożyły wszystkie jej przepisy. Wyniki przeprowadzonych do tej pory analiz wskazują, że usprawnienia, których państwa członkowskie mogłyby dokonać, obejmują m.in. stopień wykorzystania definicji (art. 2), co ma wpływ na zakres przestępstw określanych w prawie krajowym na podstawie przepisów dyrektywy. Ponadto wydaje się, że państwa członkowskie napotykają trudności z uwzględnieniem wszystkich czynności wiążących się z określonymi przestępstwami (art. 3–7) oraz wspólnych norm dotyczących sankcji nakładanych z tytułu przeprowadzenia ataku cybernetycznego (art. 9). Inne problemy zdają się dotyczyć wdrażania przepisów administracyjnych dotyczących odpowiednich kanałów informacyjnych (art. 13 ust. 3) oraz monitorowania przestępstw, o których mowa w dyrektywie, i gromadzenia danych statystycznych na temat tych przestępstw (art. 14).
Komisja będzie nadal wspierała państwa członkowskie w ich wysiłkach na rzecz wdrożenia dyrektywy. Biorąc pod uwagę potencjalny wkład w prowadzenie współpracy transgranicznej, wysiłki te powinny koncentrować się w szczególności na operacyjnych przepisach dyrektywy dotyczących wymiany informacji (art. 13 ust. 1 i 2), kanałów informacyjnych (art. 13 ust. 3) oraz monitorowania i statystyk (art. 14). W tym celu Komisja zapewni państwom członkowskim dodatkowe możliwości w zakresie identyfikowania najlepszych praktyk i ich wymiany w drugiej połowie 2017 r.
Komisja nie widzi obecnie potrzeby proponowania zmian w dyrektywie. W tym kontekście, aby również wesprzeć dochodzenia w sprawie ataków na systemy informatyczne, przestępczości wykorzystującej cyberprzestrzeń i innych rodzajów przestępstw, Komisja rozważa środki, które poprawiłyby transgranicznego dostęp do elektronicznych dowodów w dochodzeniach karnych, w tym zaproponowanie środków legislacyjnych do końca 2018 r. 8 Komisja zastanawia się również nad rolą szyfrowania w dochodzeniach w sprawach karnych i zamierza przedstawić swoje ustalenia w tej kwestii do października 2017 r. 9
Komisja zobowiązuje się do zapewnienia pomyślnego zakończenia transpozycji dyrektywy w całej UE oraz prawidłowego wdrożenia jej przepisów. W tym celu Komisja zamierza m.in. monitorować zgodność środków krajowych z odpowiednimi przepisami dyrektywy. W stosownych przypadkach Komisja zamierza korzystać z uprawnień w zakresie egzekwowania prawa przysługujących jej na mocy Traktatów, wszczynając postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego.