ISSN 1977-0766
Dziennik Urzędowy
Unii Europejskiej
L 129I
Wydanie polskie
Legislacja
Rocznik 62
17 maja 2019
|
ISSN 1977-0766 |
||
|
Dziennik Urzędowy Unii Europejskiej |
L 129I |
|
|
|
||
|
Wydanie polskie |
Legislacja |
Rocznik 62 |
|
Spis treści |
|
II Akty o charakterze nieustawodawczym |
Strona |
|
|
|
ROZPORZĄDZENIA |
|
|
|
* |
||
|
|
|
DECYZJE |
|
|
|
* |
|
PL |
Akty, których tytuły wydrukowano zwykłą czcionką, odnoszą się do bieżącego zarządzania sprawami rolnictwa i generalnie zachowują ważność przez określony czas. Tytuły wszystkich innych aktów poprzedza gwiazdka, a drukuje się je czcionką pogrubioną. |
II Akty o charakterze nieustawodawczym
ROZPORZĄDZENIA
|
17.5.2019 |
PL |
Dziennik Urzędowy Unii Europejskiej |
LI 129/1 |
ROZPORZĄDZENIE RADY (UE) 2019/796
z dnia 17 maja 2019 r.
w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 215,
uwzględniając decyzję Rady (WPZiB) 2019/797 z dnia 17 maja 2019 r. w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim (1),
uwzględniając wspólny wniosek Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa oraz Komisji Europejskiej,
a także mając na uwadze, co następuje:
|
(1) |
W dniu 18 października 2018 r. Rada Europejska przyjęła konkluzje, w których wezwano do kontynuowania prac nad zdolnościami do reagowania na cyberataki i zapobiegania im z wykorzystaniem unijnych środków ograniczających – zgodnie z konkluzjami Rady z dnia 19 czerwca 2017 r. |
|
(2) |
W dniu 17 maja 2019 r. Rada przyjęła decyzję (WPZiB) 2019/797. Decyzją (WPZiB) 2019/797 ustanowiono ramy dla ukierunkowanych środków ograniczających służących zapobieganiu cyberatakom i reagowaniu na cyberataki, które wywołują poważne skutki i stanowią zewnętrzne zagrożenie dla Unii lub jej państw członkowskich. Osoby, podmioty i organy objęte środkami ograniczającymi wymieniono w wykazie w załączniku do tej decyzji. |
|
(3) |
Niniejsze rozporządzenie nie narusza praw podstawowych i jest zgodne z zasadami uznanymi w Karcie praw podstawowych Unii Europejskiej, w szczególnosci z prawem do skutecznego środka prawnego i dostępu do bezstronnego sądu oraz z prawem do ochrony danych osobowych. Niniejsze rozporządzenie powinno być stosowane zgodnie z tymi prawami. |
|
(4) |
Uprawnienie do sporządzenia i zmiany wykazu zawartego w załączniku I do niniejszego rozporządzenia powinno być wykonywane przez Radę w celu zapewnienia spójności z procedurą sporządzania, wprowadzania zmian i dokonywania przeglądu załącznika do decyzji (WPZiB) 2019/797. |
|
(5) |
Na potrzeby wprowadzania w życie niniejszego rozporządzenia oraz w celu zapewnienia jak największej pewności prawa w Unii nazwiska, nazwy i inne istotne dane dotyczące osób fizycznych i prawnych, podmiotów i organów, których środki pieniężne i zasoby gospodarcze mają zostać zamrożone zgodnie z niniejszym rozporządzeniem, powinny zostać podane do wiadomości publicznej. Wszelkie operacje przetwarzania danych osobowych powinny odbywać się zgodnie z rozporządzeniami Parlamentu Europejskiego i Rady (UE) 2016/679 (2) i (UE) 2018/1725 (3). |
|
(6) |
Komisja i państwa członkowskie powinny się wzajemnie informować o środkach przyjętych na mocy niniejszego rozporządzenia i dzielić się wszelkimi innymi dostępnymi im istotnymi informacjami w związku z niniejszym rozporządzeniem. |
|
(7) |
Państwa członkowskie powinny przyjąć przepisy dotyczące sankcji nakładanych w przypadku naruszenia przepisów niniejszego rozporządzenia oraz zapewnić wdrożenie przyjętych przepisów. Sankcje te powinny być skuteczne, proporcjonalne i odstraszające, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Artykuł 1
1. Niniejsze rozporządzenie ma zastosowanie do cyberataków wywołujących poważne skutki – w tym do usiłowania przeprowadzenia cyberataków mogących wywoływać poważne skutki – które to ataki stanowią zewnętrzne zagrożenie dla Unii lub jej państw członkowskich.
2. Cyberataki stanowiące zewnętrzne zagrożenie obejmują cyberataki, które:
|
a) |
zostały przygotowane poza terytorium Unii lub są przeprowadzane spoza terytorium Unii; |
|
b) |
wykorzystują infrastrukturę znajdującą się poza terytorium Unii; |
|
c) |
są przeprowadzane przez osobę fizyczną lub prawną, podmiot lub organ, które mają siedzibę lub prowadzą działalność poza terytorium Unii; lub |
|
d) |
są przeprowadzane przy wsparciu, na zlecenie lub pod kontrolą osoby fizycznej lub prawnej, podmiotu lub organu, które prowadzą działalność poza terytorium Unii. |
3. W związku z powyższym cyberataki są działaniami obejmującymi co najmniej jeden z następujących elementów:
|
a) |
dostęp do systemów informacyjnych; |
|
b) |
ingerencja w systemy informacyjne; |
|
c) |
ingerencja w dane; lub |
|
d) |
przechwytywanie danych, |
i przy założeniu że działania takie nie są prowadzone na podstawie należytego upoważnienia wydanego przez właściciela lub inny podmiot mający prawa do systemu lub danych lub ich części lub nie są dozwolone na mocy prawa Unii lub danego państwa członkowskiego.
4. Cyberataki stanowiące zagrożenie dla państw członkowskich obejmują cyberataki na systemy informacyjne związane, między innymi, z:
|
a) |
infrastrukturą krytyczną – w tym podmorskie kable i obiekty wystrzelone w przestrzeń kosmiczną – która jest niezbędna do utrzymania podstawowych funkcji społecznych lub zdrowia, bezpieczeństwa, ochrony i dobrobytu materialnego lub społecznego ludności; |
|
b) |
usługami niezbędnymi do utrzymania podstawowej działalności społecznej lub gospodarczej, w szczególności w sektorze energii (energii elektrycznej, ropy naftowej i gazu), transportu (lotniczego, kolejowego, wodnego i drogowego), bankowości, infrastruktury rynków finansowych, zdrowia (ośrodki opieki zdrowotnej, szpitale i prywatne kliniki), zaopatrzenia w wodę pitną i jej dystrybucji, infrastruktury cyfrowej, oraz w każdym innym sektorze, który ma podstawowe znaczenie dla danego państwa członkowskiego; |
|
c) |
krytycznymi funkcjami państwa, w szczególności w obszarze obrony, zarządzania instytucjami i ich funkcjonowania, w tym wyborów państwowych lub procesu głosowania, funkcjonowania infrastruktury gospodarczej i cywilnej, bezpieczeństwa wewnętrznego i stosunków zewnętrznych, w tym za pośrednictwem misji dyplomatycznych; |
|
d) |
przechowywaniem lub przetwarzaniem informacji niejawnych; lub |
|
e) |
rządowymi zespołami reagowania kryzysowego. |
5. Cyberataki stanowiące zagrożenie dla Unii obejmują cyberataki przeprowadzane przeciwko jej instytucjom, organom i jednostkom organizacyjnym, jej delegaturom w państwach trzecich lub w organizacjach międzynarodowych, jej operacjom i misjom w dziedzinie wspólnej polityki bezpieczeństwa i obrony (WPBiO) oraz jej specjalnym przedstawicielom.
6. Jeżeli uznaje się to za konieczne do osiągnięcia celów wspólnej polityki zagranicznej i bezpieczeństwa (WPZiB) określonych w odpowiednich postanowieniach art. 21 Traktatu o Unii Europejskiej, środki ograniczające na mocy niniejszego rozporządzenia można również stosować w odpowiedzi na wywołujące poważne skutki cyberataki wymierzone przeciwko państwom trzecim lub organizacjom międzynarodowym.
7. Do celów niniejszego rozporządzenia stosuje się następujące definicje:
|
a) |
„systemy informacyjne” oznaczają urządzenie lub grupę wzajemnie połączonych lub powiązanych ze sobą urządzeń, z których przynajmniej jedno, zgodnie z programem, dokonuje automatycznego przetwarzania danych cyfrowych, jak również danych cyfrowych przechowywanych, przetwarzanych, wyszukiwanych lub przekazywanych przez to urządzenie lub tę grupę urządzeń, w celach eksploatacji, użycia, ochrony lub utrzymania tego urządzenia lub tej grupy urządzeń; |
|
b) |
„ingerencja w system informacyjny” oznacza utrudnienie lub przerwanie funkcjonowania systemu informacyjnego przez wprowadzenie danych cyfrowych, przekazanie takich danych, ich uszkodzenie, usunięcie, pogorszenie ich jakości, ich zmianę lub wyeliminowanie bądź przez uczynienie ich niedostępnymi; |
|
c) |
„ingerencja w dane” oznacza usunięcie, uszkodzenie, pogorszenie jakości, zmianę lub wyeliminowanie danych cyfrowych w systemie informacyjnym, bądź uczynienie ich niedostępnymi. Obejmuje również kradzież danych, środków finansowych, zasobów gospodarczych lub praw własności intelektualnej; |
|
d) |
„przechwycenie danych” oznacza przechwycenie, za pomocą środków technicznych, niepublicznych przekazów danych cyfrowych do systemu informacyjnego, z systemu informacyjnego lub w ramach takiego systemu, w tym emisji elektromagnetycznych z systemu informacyjnego zawierających takie dane cyfrowe. |
8. Do celów niniejszego rozporządzenia stosuje się następujące dodatkowe definicje:
|
a) |
„roszczenie” oznacza dowolne roszczenie, niezależnie od tego, czy jest dochodzone w postępowaniu sądowym, zgłoszone przed dniem wejścia w życie niniejszego rozporządzenia lub po tym dniu, wynikające z umowy lub transakcji lub pozostające w związku z umową lub transakcją, w szczególności obejmujące:
|
|
b) |
„umowa lub transakcja” oznacza dowolną transakcję, niezależnie od jej formy i mającego zastosowanie prawa, obejmującą jedną lub kilka umów lub podobnych zobowiązań zawartych przez te same lub różne strony; do celów niniejszej definicji „umowa” obejmuje obligacje, gwarancje lub zabezpieczenia, w szczególności gwarancje finansowe lub finansowe listy gwarancyjne, oraz kredyty, prawnie niezależne lub nie, a także wszelkie postanowienia z nimi związane, których źródłem jest taka transakcja lub które są z nią związane; |
|
c) |
„właściwe organy” oznaczają właściwe organy państw członkowskich wskazane na stronach internetowych wymienionych w załączniku II; |
|
d) |
„zasoby gospodarcze” oznaczają aktywa wszelkiego rodzaju, rzeczowe i niematerialne, ruchome i nieruchome, które nie są środkami pieniężnymi, ale mogą być użyte do pozyskania środków pieniężnych, towarów lub usług; |
|
e) |
„zamrożenie zasobów gospodarczych” oznacza uniemożliwienie wykorzystania zasobów gospodarczych do uzyskiwania środków pieniężnych, towarów lub usług w jakikolwiek sposób, między innymi przez ich sprzedaż, wynajem lub obciążenie hipoteką; |
|
f) |
„zamrożenie środków pieniężnych” oznacza zapobieganie wszelkim ruchom tych środków, ich przenoszeniu, zmianom, wykorzystaniu, udostępnianiu lub dokonywaniu nimi transakcji w jakikolwiek sposób, który powodowałby jakąkolwiek zmianę ich wielkości, wartości, lokalizacji, własności, posiadania, charakteru lub przeznaczenia lub każdą inną zmianę, która umożliwiłaby korzystanie z nich, w tym zarządzanie portfelem; |
|
g) |
„środki pieniężne” oznaczają aktywa finansowe i wszelkiego rodzaju korzyści, między innymi:
|
|
h) |
„terytorium Unii” oznacza terytoria państw członkowskich, do których ma zastosowanie Traktat, na warunkach określonych w Traktacie, w tym ich przestrzeń powietrzną. |
Artykuł 2
Czynniki określające, czy cyberatak ma poważne skutki, o których mowa w art. 1 ust. 1, obejmują co najmniej jeden z następujących elementów:
|
a) |
zakres, skalę, wpływ lub stopień spowodowanych zakłóceń m.in. działalności gospodarczej i społecznej, usług podstawowych, krytycznych funkcji państwa, porządku publicznego lub bezpieczeństwa publicznego; |
|
b) |
liczbę osób fizycznych lub prawnych, podmiotów lub organów, których dotyczy cyberatak; |
|
c) |
liczbę państw członkowskich, których dotyczy cyberatak; |
|
d) |
wielkość poniesionych strat gospodarczych, na przykład w wyniku zakrojonej na szeroką skalę kradzieży środków finansowych, zasobów gospodarczych lub praw własności intelektualnej; |
|
e) |
korzyść ekonomiczną odniesioną przez sprawcę lub zapewnioną przez niego innym osobom; |
|
f) |
ilość lub charakter ukradzionych danych lub skalę naruszenia ochrony danych; lub |
|
g) |
charakter poufnych danych handlowych, do których uzyskano dostęp. |
Artykuł 3
1. Zamraża się wszystkie środki pieniężne i zasoby gospodarcze należące do osób fizycznych lub prawnych, podmiotów lub organów wymienionych w załączniku I, będące ich własnością, w ich posiadaniu lub przez nie kontrolowane.
2. Nie udostępnia się osobom fizycznym lub prawnym, podmiotom lub organom wymienionym w załączniku I, ani na ich rzecz – bezpośrednio lub pośrednio – żadnych środków pieniężnych ani zasobów gospodarczych.
3. Załącznik I zawiera, zgodnie z ustaleniami Rady w myśl art. 5 ust. 1 decyzji (WPZiB) 2019/797 wykaz:
|
a) |
osób fizycznych lub prawnych, podmiotów lub organów odpowiedzialnych za przeprowadzenie lub usiłowanie przeprowadzenia cyberataków; |
|
b) |
osób fizycznych lub prawnych, podmiotów lub organów, które zapewniają finansowe, techniczne lub materialne wsparcie dla cyberataków lub w celu usiłowania przeprowadzenia cyberataków, bądź też w inny sposób angażują się w takie ataki, w tym przez ich planowanie, przygotowywanie, uczestnictwo w nich, kierowanie nimi, pomoc w nich, lub zachęcanie do takich ataków, lub ułatwianie ich poprzez działanie lub zaniechanie; |
|
c) |
osób fizycznych lub prawnych, podmiotów lub organów powiązanych z wymienionymi osobami fizycznymi lub prawnymi, podmiotami oraz organami, objętymi lit. a) i b) niniejszego ustępu. |
Artykuł 4
1. Na zasadzie odstępstwa od art. 3 ust. 1 właściwe organy państw członkowskich mogą zezwolić na uwolnienie niektórych zamrożonych środków pieniężnych lub zasobów gospodarczych lub na udostępnienie niektórych środków pieniężnych lub zasobów gospodarczych na warunkach, jakie uznają za stosowne, po ustaleniu, że dane środki pieniężne lub zasoby gospodarcze są:
|
a) |
niezbędne do zaspokojenia podstawowych potrzeb osób fizycznych wymienionych w wykazie w załączniku I oraz członków rodzin pozostających na utrzymaniu takich osób fizycznych, w tym do zapłacenia za żywność, leki i leczenie oraz uiszczenia podatków, składek ubezpieczeniowych, opłat z tytułu najmu lub kredytu hipotecznego i opłat za usługi użyteczności publicznej; |
|
b) |
przeznaczone wyłącznie na pokrycie uzasadnionych kosztów honorariów lub na zwrot poniesionych wydatków związanych z usługami prawniczymi; |
|
c) |
przeznaczone wyłącznie na pokrycie opłat i należności za usługi polegające na zwykłym przechowywaniu lub utrzymywaniu zamrożonych środków pieniężnych lub zasobów gospodarczych; |
|
d) |
niezbędne do pokrycia wydatków nadzwyczajnych, pod warunkiem że właściwy organ powiadomił właściwe organy pozostałych państw członkowskich i Komisję, co najmniej dwa tygodnie przed wydaniem zezwolenia, o powodach, dla których uważa, że należy wydać specjalne zezwolenie; lub |
|
e) |
są przedmiotem wpłaty na rachunek lub wypłaty z rachunku misji dyplomatycznej lub konsularnej lub organizacji międzynarodowej posiadającej immunitet na mocy prawa międzynarodowego, o tyle, o ile wpłaty te są przeznaczone na oficjalne cele misji dyplomatycznej lub konsularnej lub organizacji międzynarodowej. |
2. Dane państwo członkowskie informuje pozostałe państwa członkowskie oraz Komisję o wszelkich zezwoleniach przyznanych na mocy ust. 1 w ciągu dwóch tygodni od przyznania zezwolenia.
Artykuł 5
1. Na zasadzie odstępstwa od art. 3 ust. 1 właściwe organy państw członkowskich mogą zezwolić na uwolnienie niektórych zamrożonych środków pieniężnych lub zasobów gospodarczych, pod warunkiem, że ile spełnione są następujące warunki:
|
a) |
środki pieniężne lub zasoby gospodarcze są przedmiotem orzeczenia arbitrażowego wydanego przed datą umieszczenia w wykazie w załączniku I osoby fizycznej lub prawnej, podmiotu lub organu, o których mowa w art. 3, orzeczenia sądowego lub decyzji administracyjnej wydanych w Unii, lub orzeczenia sądowego wykonalnego w danym państwie członkowskim przed tą datą lub po tej dacie; |
|
b) |
środki pieniężne lub zasoby gospodarcze zostaną wykorzystane wyłącznie w celu zaspokojenia roszczeń zabezpieczonych takim orzeczeniem lub decyzją lub uznanych za zasadne w takim orzeczeniu lub decyzji, w granicach określonych przez mające zastosowanie przepisy ustawowe i wykonawcze regulujące prawa osób, którym takie roszczenia przysługują; |
|
c) |
orzeczenie lub decyzja nie zostały wydane na korzyść osoby fizycznej lub prawnej, podmiotu lub organu wymienionych w załączniku I; oraz |
|
d) |
uznanie orzeczenia lub decyzji nie jest sprzeczne z porządkiem publicznym danego państwa członkowskiego. |
2. Dane państwo członkowskie informuje pozostałe państwa członkowskie oraz Komisję o wszelkich zezwoleniach przyznanych na mocy ust. 1 w ciągu dwóch tygodni od przyznania zezwolenia.
Artykuł 6
1. Na zasadzie odstępstwa od art. 3 ust. 1, pod warunkiem że płatność dokonywana przez osobę fizyczną lub prawną, podmiot lub organ ujęty w wykazie w załączniku I jest należna na podstawie umowy lub porozumienia zawartego przez daną osobę fizyczną lub prawną, podmiot lub organ lub z zobowiązania powstałego dla danej osoby fizycznej lub prawnej, podmiotu lub organu, zanim ta osoba fizyczna lub prawna, podmiot lub organ zostały ujęte w wykazie w załączniku I, właściwe organy państw członkowskich mogą zezwolić, na warunkach, jakie uznają za stosowne, na zwolnienie niektórych zamrożonych środków pieniężnych lub zasobów gospodarczych, o ile właściwy organ stwierdził, że:
|
a) |
środki pieniężne lub zasoby gospodarcze zostaną wykorzystane do dokonania płatności przez osobę fizyczną lub prawną, podmiot lub organ ujęte w wykazie w załączniku I; oraz |
|
b) |
dokonanie płatności nie narusza art. 3 ust. 2. |
2. Dane państwo członkowskie informuje pozostałe państwa członkowskie oraz Komisję o wszelkich zezwoleniach przyznanych na mocy ust. 1 w ciągu dwóch tygodni od przyznania zezwolenia.
Artykuł 7
1. Art. 3 ust. 2 nie stanowi przeszkody dla zasilania zamrożonych rachunków przez instytucje finansowe lub kredytowe otrzymujące środki pieniężne przekazywane im przez strony trzecie na rachunek ujętych w wykazie osoby fizycznej lub prawnej, podmiotu lub organu, o ile wszelkie kwoty dodatkowe na takich rachunkach zostają również zamrożone. Instytucja finansowa lub kredytowa niezwłocznie informuje odpowiedni właściwy organ o takich transakcjach.
2. Art. 3 ust. 2 nie ma zastosowania do kwot dodatkowych na zamrożonych rachunkach w postaci:
|
a) |
odsetek ani innych dochodów z tych rachunków; |
|
b) |
płatności należnych z tytułu umów, porozumień lub zobowiązań, które zostały zawarte lub powstały przed datą umieszczenia w załączniku I osoby fizycznej lub prawnej, podmiotu lub organu, o których mowa w art. 3 ust. 1; lub |
|
c) |
płatności należnych na podstawie orzeczenia sądowego, administracyjnego lub arbitrażowego wydanego w państwie członkowskim lub wykonalnego w danym państwie członkowskim; |
pod warunkiem że wszelkie takie odsetki, inne dochody i płatności nadal podlegają środkom przewidzianym w art. 3 ust. 1.
Artykuł 8
1. Bez uszczerbku dla obowiązujących zasad dotyczących sprawozdawczości, poufności i tajemnicy zawodowej osoby fizyczne i prawne, podmioty i organy:
|
a) |
niezwłocznie dostarczają wszelkie informacje, które ułatwiłyby zachowanie zgodności z przepisami niniejszego rozporządzenia, takie jak informacje dotyczące rachunków lub kwot zamrożonych zgodnie z art. 3 ust. 1, właściwemu organowi państwa członkowskiego, w którym te osoby fizyczne i prawne, podmioty lub organy mają miejsce zamieszkania lub siedzibę, i przekazują takie informacje Komisji, bezpośrednio albo za pośrednictwem państw członkowskich; oraz |
|
b) |
współpracują z właściwym organem przy weryfikowaniu informacji, o których mowa w lit. a). |
2. Wszelkie dodatkowe informacje uzyskane bezpośrednio przez Komisję są udostępniane państwom członkowskim.
3. Wszelkie informacje przekazane lub uzyskane zgodnie z niniejszym artykułem są wykorzystywane jedynie w celu, w jakim zostały przekazane lub uzyskane.
Artykuł 9
Zakazuje się świadomego i umyślnego udziału w działaniach, których celem lub skutkiem jest ominięcie środków, o których mowa w art. 3.
Artykuł 10
1. Zamrożenie środków pieniężnych i zasobów gospodarczych lub odmowa ich udostępnienia, jeśli dokonane w dobrej wierze w oparciu o przekonanie, że działanie takie jest zgodne z niniejszym rozporządzeniem, nie skutkują żadnego rodzaju odpowiedzialnością osoby fizycznej lub prawnej, podmiotu ani organu wykonującego takie działanie ani ich zarządu lub pracowników, chyba że udowodniono, że środki pieniężne i zasoby gospodarcze zostały zamrożone lub zablokowane na skutek zaniedbania.
2. Działania osób fizycznych lub prawnych, podmiotów lub organów nie stanowią podstawy do odpowiedzialności z ich strony, jeżeli nie wiedziały one i nie miały uzasadnionego powodu do przypuszczenia, że ich działania mogą naruszyć środki określone w niniejszym rozporządzeniu.
Artykuł 11
1. Nie są zaspokajane żadne roszczenia w związku z jakąkolwiek umową lub transakcją, których wykonanie zostało zakłócone, bezpośrednio lub pośrednio, w całości lub części, przez środki nałożone niniejszym rozporządzeniem, w tym roszczenia odszkodowawcze lub wszelkie inne roszczenia tego rodzaju, takie jak roszczenia o odszkodowanie lub roszczenia wynikające z gwarancji, w szczególności roszczenia o przedłużenie terminu płatności lub o zapłatę obligacji, gwarancji lub zabezpieczeń, w szczególności gwarancji finansowych lub finansowych listów gwarancyjnych w jakiejkolwiek formie – o ile zostały one wniesione przez:
|
a) |
wskazane osoby fizyczne lub prawne, podmioty lub organy wymienione w załączniku I; |
|
b) |
jakiekolwiek osoby fizyczne lub prawne, podmioty lub organy działające za pośrednictwem lub w imieniu osób fizycznych lub prawnych, podmiotów lub organów, o których mowa w lit. a). |
2. We wszelkich postępowaniach zmierzających do zaspokojenia roszczenia ciężar dowodu, że zaspokojenie roszczenia nie jest zakazane przepisami ust. 1, spoczywa na osobie fizycznej lub prawnej, podmiocie lub organie dochodzącym zaspokojenia tego roszczenia.
3. Niniejszy artykuł pozostaje bez uszczerbku dla prawa osób fizycznych lub prawnych, podmiotów i organów, o których mowa w ust. 1, do wystąpienia o sądową kontrolę zgodności z prawem niewypełnienia zobowiązań umownych zgodnie z niniejszym rozporządzeniem.
Artykuł 12
1. Komisja i państwa członkowskie informują się wzajemnie o środkach przyjętych na podstawie niniejszego rozporządzenia i dzielą się wszelkimi innymi dostępnymi im istotnymi informacjami w związku z niniejszym rozporządzeniem, w szczególności informacjami dotyczącymi:
|
a) |
środków pieniężnych zamrożonych na mocy art. 3 oraz zezwoleń udzielonych na mocy art. 4,5 i 6; oraz |
|
b) |
naruszeń przepisów i trudności z ich egzekwowaniem oraz orzeczeń wydanych przez sądy krajowe. |
2. Państwa członkowskie niezwłocznie przekazują sobie wzajemnie oraz Komisji wszelkie inne dostępne im istotne informacje, które mogłyby mieć wpływ na skuteczne wykonanie niniejszego rozporządzenia.
Artykuł 13
1. W przypadku gdy Rada podejmie decyzję o objęciu osoby fizycznej lub prawnej, podmiotu lub organu środkami, o których mowa w art. 3, wprowadza ona stosowne zmiany w załączniku I.
2. Rada powiadamia zainteresowaną osobę fizyczną lub prawną, zainteresowany podmiot lub organ, o decyzji, o której mowa w ust. 1 wraz z uzasadnieniem bezpośrednio, jeżeli znany jest adres, lub poprzez opublikowanie powiadomienia, aby umożliwić przedstawienie uwag przez daną osobę fizyczną lub prawną, dany podmiot lub organ.
3. W przypadku gdy zostaną zgłoszone uwagi lub przedstawione istotne nowe dowody, Rada dokonuje przeglądu decyzji, o której mowa w ust. 1 i odpowiednio informuje daną osobę fizyczną lub prawną, dany podmiot lub organ.
4. Wykaz w załączniku I jest poddawany regularnym przeglądom, które odbywają się co najmniej raz na 12 miesięcy.
5. Komisja jest upoważniona do zmiany załącznika II na podstawie informacji przekazywanych przez państwa członkowskie.
Artykuł 14
1. Załącznik I zawiera uzasadnienie umieszczenia w wykazie wymienionych w nim osób fizycznych lub prawnych, podmiotów lub organów.
2. Załącznik I zawiera - w przypadku gdy są one dostępne - informacje, które są niezbędne do zidentyfikowania danych osób fizycznych lub prawnych, podmiotów lub organów. W przypadku osób fizycznych, takie informacje mogą obejmować imiona i nazwiska, w tym pseudonimy, datę i miejsce urodzenia, obywatelstwo, numery paszportu i dokumentu tożsamości, płeć, adres, jeśli jest znany, a także stanowisko lub zawód. W przypadku osób prawnych, podmiotów lub organów informacje takie mogą obejmować nazwy, miejsce i datę wpisu do rejestru, numer w rejestrze i miejsce prowadzenia działalności.
Artykuł 15
1. Państwa członkowskie przyjmują przepisy dotyczące sankcji nakładanych w przypadku naruszenia przepisów niniejszego rozporządzenia oraz przyjmują wszelkie środki konieczne do zapewnienia ich wdrażania. Przewidziane sankcje są skuteczne, proporcjonalne i odstraszające.
2. Państwa członkowskie powiadamiają Komisję o przepisach, o których mowa w ust. 1, niezwłocznie po wejściu w życie niniejszego rozporządzenia, a następnie powiadamiają ją o ich wszelkich późniejszych zmianach mających wpływ na te przepisy.
Artykuł 16
1. Komisja przetwarza dane osobowe w celu realizacji zadań spoczywających na niej na mocy niniejszego rozporządzenia. Do zadań w tym zakresie należy:
|
a) |
dodanie treści załącznika I do elektronicznego skonsolidowanego wykazu osób, grup i podmiotów podlegających sankcjom finansowym Unii oraz na interaktywnej mapie sankcji, które są ogólnie dostępne; |
|
b) |
przetwarzanie informacji na temat wpływu środków przewidzianych w niniejszym rozporządzeniu, takich jak wartość zamrożonych środków pieniężnych i informacje o zezwoleniach wydanych przez właściwe organy. |
2. Na potrzeby niniejszego rozporządzenia służby Komisji określone w załączniku II są wyznaczone jako „administrator danych” z ramienia Komisji w rozumieniu art. 3 ust. 8 rozporządzenia (UE) 2018/1725 w celu zapewnienia, by zainteresowane osoby fizyczne mogły wykonywać swoje prawa zgodnie z tym rozporządzeniem.
Artykuł 17
1. Państwa członkowskie wyznaczają właściwe organy, o których mowa w niniejszym rozporządzeniu, i podają ich nazwy na stronach internetowych wymienionych w załączniku II. Państwa członkowskie powiadamiają Komisję o wszelkich zmianach swoich adresów stron internetowych wymienionych w załączniku II.
2. Państwa członkowskie zgłaszają Komisji swoje właściwe organy, w tym dane kontaktowe tych właściwych organów, niezwłocznie po wejściu w życie niniejszego rozporządzenia, oraz powiadamiają ją o wszelkich późniejszych zmianach.
3. W przypadku gdy niniejsze rozporządzenie określa wymóg powiadamiania, informowania lub innego porozumiewania się z Komisją, adres i inne dane kontaktowe na potrzeby takiego porozumiewania się wskazuje się w załączniku II.
Artykuł 18
Niniejsze rozporządzenie stosuje się:
|
a) |
na terytorium Unii, w tym w granicach jej przestrzeni powietrznej; |
|
b) |
na pokładach statków powietrznych lub wodnych podlegających jurysdykcji państw członkowskich; |
|
c) |
do każdej osoby fizycznej będącej obywatelem państwa członkowskiego i przebywającej na terytorium Unii lub poza nim; |
|
d) |
do każdej osoby prawnej, podmiotu lub organu, na terytorium Unii lub poza nim, zarejestrowanych lub utworzonych na mocy prawa państwa członkowskiego; |
|
e) |
do osób prawnych, podmiotów lub organów w odniesieniu do dowolnej działalności gospodarczej prowadzonej, w całości lub częściowo, na terytorium Unii. |
Artykuł 19
Niniejsze rozporządzenie wchodzi w życie następnego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 17 maja 2019 r.
W imieniu Rady
E.O. TEODOROVICI
Przewodniczący
(1) Zob. s. 13 niniejszego Dziennika Urzędowego.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).
ZAŁĄCZNIK I
Wykaz osób fizycznych i prawnych, podmiotów i organów, o których mowa w art. 3
[…]
ZAŁĄCZNIK II
Strony internetowe zawierające informacje o właściwych organach oraz adresy na potrzeby powiadomień kierowanych do Komisji
BELGIA
https://diplomatie.belgium.be/nl/Beleid/beleidsthemas/vrede_en_veiligheid/sancties
https://diplomatie.belgium.be/fr/politique/themes_politiques/paix_et_securite/sanctions
https://diplomatie.belgium.be/en/policy/policy_areas/peace_and_security/sanctions
BUŁGARIA
https://www.mfa.bg/en/101
CZECHY
www.financnianalytickyurad.cz/mezinarodni-sankce.html
DANIA
http://um.dk/da/Udenrigspolitik/folkeretten/sanktioner/
NIEMCY
http://www.bmwi.de/DE/Themen/Aussenwirtschaft/aussenwirtschaftsrecht,did=404888.html
ESTONIA
http://www.vm.ee/est/kat_622/
IRLANDIA
http://www.dfa.ie/home/index.aspx?id=28519
GRECJA
http://www.mfa.gr/en/foreign-policy/global-issues/international-sanctions.html
HISZPANIA
http://www.exteriores.gob.es/Portal/en/PoliticaExteriorCooperacion/GlobalizacionOportunidadesRiesgos/Paginas/SancionesInternacionales.aspx
FRANCJA
http://www.diplomatie.gouv.fr/fr/autorites-sanctions/
CHORWACJA
http://www.mvep.hr/sankcije
WŁOCHY
https://www.esteri.it/mae/it/politica_estera/politica_europea/misure_deroghe
CYPR
http://www.mfa.gov.cy/mfa/mfa2016.nsf/mfa35_en/mfa35_en?OpenDocument
ŁOTWA
http://www.mfa.gov.lv/en/security/4539
LITWA
http://www.urm.lt/sanctions
LUKSEMBURG
https://maee.gouvernement.lu/fr/directions-du-ministere/affaires-europeennes/mesures-restrictives.html
WĘGRY
http://www.kormany.hu/download/9/2a/f0000/EU%20szankci%C3%B3s%20t%C3%A1j%C3%A9koztat%C3%B3_20170214_final.pdf
MALTA
https://foreignaffairs.gov.mt/en/Government/SMB/Pages/Sanctions-Monitoring-Board.aspx
NIDERLANDY
https://www.rijksoverheid.nl/onderwerpen/internationale-sancties
AUSTRIA
http://www.bmeia.gv.at/view.php3?f_id=12750&LNG=en&version=
POLSKA
https://www.gov.pl/web/dyplomacja
PORTUGALIA
http://www.portugal.gov.pt/pt/ministerios/mne/quero-saber-mais/sobre-o-ministerio/medidas-restritivas/medidas-restritivas.aspx
RUMUNIA
http://www.mae.ro/node/1548
SŁOWENIA
http://www.mzz.gov.si/si/omejevalni_ukrepi
SŁOWACJA
https://www.mzv.sk/europske_zalezitosti/europske_politiky-sankcie_eu
FINLANDIA
http://formin.finland.fi/kvyhteistyo/pakotteet
SZWECJA
http://www.ud.se/sanktioner
ZJEDNOCZONE KRÓLESTWO
https://www.gov.uk/sanctions-embargoes-and-restrictions
Adres, na który należy przesyłać powiadomienia do Komisji Europejskiej:
|
European Commission |
|
Service for Foreign Policy Instruments (FPI) |
|
EEAS 07/99 |
|
B-1049 Bruxelles/Brussel, Belgia |
|
E-mail: relex-sanctions@ec.europa.eu |
DECYZJE
|
17.5.2019 |
PL |
Dziennik Urzędowy Unii Europejskiej |
LI 129/13 |
DECYZJA RADY (WPZiB) 2019/797
z dnia 17 maja 2019 r.
w sprawie środków ograniczających w celu zwalczania cyberataków zagrażających Unii lub jej państwom członkowskim
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 29,
uwzględniając wniosek Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa,
a także mając na uwadze, co następuje:
|
(1) |
19 czerwca 2017 r. Rada przyjęła konkluzje dotyczące ram wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne (zwanych dalej „zestawem narzędzi dla dyplomacji cyfrowej”), w których Rada wyraziła zaniepokojenie rosnącą zdolnością i gotowością podmiotów państwowych i niepaństwowych do realizowania swoich celów za pomocą szkodliwych działań w cyberprzestrzeni i podkreśliła rosnącą potrzebę chronienia integralności i bezpieczeństwa Unii, jej państw członkowskich oraz ich obywateli przed zagrożeniami dla cyberbezpieczeństwa i szkodliwymi działaniami w cyberprzestrzeni. |
|
(2) |
Rada podkreśliła, że wyraźne sygnalizowanie prawdopodobnych konsekwencji, jakie nastąpią w wyniku wspólnej unijnej reakcji dyplomatycznej na takie szkodliwe działania w cyberprzestrzeni, wpływa na zachowania potencjalnych agresorów w tej przestrzeni i tym samym wzmacnia bezpieczeństwo Unii i jej państw członkowskich. Rada potwierdziła też, że środki przewidziane w ramach wspólnej polityki zagranicznej i bezpieczeństwa (WPZiB), w tym w razie konieczności środki ograniczające przyjmowane zgodnie z odpowiednimi postanowieniami traktatów stanowią odpowiednie ramy wspólnej reakcji dyplomatycznej na szkodliwe działania w cyberprzestrzeni i mają zachęcać do współpracy, ułatwiać ograniczanie bezpośrednich i długoterminowych zagrożeń oraz w perspektywie długoterminowej wpływać na zachowania potencjalnych agresorów. |
|
(3) |
W dniu 11 października 2017 r. Komitet Polityczny i Bezpieczeństwa zatwierdził wytyczne wykonawcze dotyczące zestawu narzędzi dla dyplomacji cyfrowej. Wytyczne te odnoszą się do pięciu kategorii środków, w tym środków ograniczających, w ramach zestawu narzędzi dla dyplomacji cyfrowej, a także do procesu stosowania tych środków. |
|
(4) |
W konkluzjach Rady z dnia 16 kwietnia 2018 r. w sprawie szkodliwych działań w cyberprzestrzeni stanowczo potępiono szkodliwe użycie technologii informacyjno-komunikacyjnej (ICT) i podkreślono, że użycie ICT do szkodliwych celów jest nie do zaakceptowania, ponieważ podważa stabilność, bezpieczeństwo i korzyści, jakie zapewnia internet i używanie ICT. Rada przypomniała, że zestaw narzędzi dla dyplomacji cyfrowej przyczynia się do zapobiegania konfliktom, do współpracy i stabilności w cyberprzestrzeni przez określanie środków w ramach WPZiB, w tym środków ograniczających, które mogą być stosowane do zapobiegania szkodliwym działaniom w cyberprzestrzeni i reagowania na nie. Stwierdziła, że Unia będzie nadal zdecydowanie stać na straży tego, aby istniejące prawo międzynarodowe miało zastosowanie do cyberprzestrzeni, oraz podkreśliła, że poszanowanie prawa międzynarodowego, w szczególności Karty Narodów Zjednoczonych, ma podstawowe znaczenie dla utrzymania pokoju i stabilności. Rada podkreśliła również, że państwa mają nie używać serwerów proxy do popełniania czynów, które są niezgodne z prawem międzynarodowym, przy stosowaniu ICT i że państwa powinny dążyć do zapewnienia, aby ich terytorium nie było wykorzystywane przez podmioty niepaństwowe do popełniania takich czynów, zgodnie z treścią sprawozdania z 2015 r. sporządzonego przez ONZ-owskie grupy ekspertów rządowych dotyczące rozwoju w dziedzinie informacji i telekomunikacji w kontekście bezpieczeństwa międzynarodowego. |
|
(5) |
28 czerwca 2018 r. Rada Europejska przyjęła konkluzje, w których pokreślono potrzebę wzmocnienia zdolności w zakresie eliminowania zagrożeń dla cyberbezpieczeństwa pochodzących spoza Unii. Rada Europejska wezwała instytucje i państwa członkowskie do wdrożenia środków, o których mowa we wspólnym komunikacie Komisji i Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa z dnia 13 września 2017 r. zatytułowanym „Zwiększenie odporności i wzmocnienie zdolności reagowania na zagrożenia hybrydowe”, w tym do praktycznego zastosowania zestawu narzędzi dla dyplomacji cyfrowej. |
|
(6) |
18 października 2018 r. Rada Europejska przyjęła konkluzje, w których wezwała do kontynuowania prac nad zdolnościami do reagowania na cyberataki i zapobiegania im z wykorzystaniem unijnych środków ograniczających – zgodnie z konkluzjami Rady z 19 czerwca 2017 r. |
|
(7) |
W tym kontekście niniejsza decyzja ustanawia ramy dla ukierunkowanych środków ograniczających służących zapobieganiu cyberatakom i reagowaniu na cyberataki, które wywołują poważne skutki i stanowią zewnętrzne zagrożenie dla Unii lub jej państw członkowskich. Jeżeli uznaje się to za konieczne do osiągnięcia celów WPZiB określonych w odpowiednich postanowieniach art. 21 Traktatu o Unii Europejskiej, niniejsza decyzja pozwala również, aby środki ograniczające były stosowane w odpowiedzi na wywołujące poważne skutki cyberataki wymierzone przeciwko państwom trzecim lub organizacjom międzynarodowym. |
|
(8) |
Z myślą o uzyskaniu efektów odstraszających i zniechęcających, ukierunkowane środki ograniczające powinny koncentrować się na wchodzących w zakres niniejszej decyzji cyberatakach, które są przeprowadzane celowo. |
|
(9) |
Należy rozróżnić ukierunkowane środki ograniczające i ustalenie państwa trzeciego odpowiedzialnego za cyberataki. Zastosowanie takich ukierunkowanych środków ograniczających nie jest równoznaczne z takim ustaleniem, które stanowi suwerenną decyzję polityczną podejmowaną w trybie indywidualnym. Każde państwo członkowskie ma swobodę w dokonaniu ustalenia, które państwo trzecie jest odpowiedzialne za cyberataki. |
|
(10) |
Unia musi podjąć dalsze działania, aby wprowadzić w życie niektóre środki, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
1. Niniejsza decyzja ma zastosowanie do cyberataków wywołujących poważne skutki – w tym do usiłowania przeprowadzenia cyberataków mogących wywoływać poważne skutki – które to ataki stanowią zewnętrzne zagrożenie dla Unii lub jej państw członkowskich.
2. Cyberataki stanowiące zewnętrzne zagrożenie obejmują cyberataki, które:
|
a) |
zostały przygotowane poza terytorium Unii lub są przeprowadzane spoza terytorium Unii; |
|
b) |
wykorzystują infrastrukturę znajdującą się poza terytorium Unii; |
|
c) |
są przeprowadzane przez osobę fizyczną lub prawną, podmiot lub organ, które mają siedzibę lub prowadzą działalność poza terytorium Unii; lub |
|
d) |
są przeprowadzane przy wsparciu, na zlecenie lub pod kontrolą osoby fizycznej lub prawnej, podmiotu lub organu, które prowadzą działalność poza terytorium Unii. |
3. W związku z powyższym cyberataki są działaniami obejmującymi co najmniej jeden z następujących elementów:
|
a) |
dostęp do systemów informacyjnych; |
|
b) |
ingerencja w systemy informacyjne; |
|
c) |
ingerencja w dane; lub |
|
d) |
przechwytywanie danych, |
i przy założeniu że działania takie nie są prowadzone na podstawie należytego upoważnienia wydanego przez właściciela lub inny podmiot mający prawa do systemu lub danych lub ich części lub nie są dozwolone na mocy prawa Unii lub danego państwa członkowskiego.
4. Cyberataki stanowiące zagrożenie dla państw członkowskich obejmują cyberataki na systemy informacyjne związane, między innymi, z:
|
a) |
infrastrukturą krytyczną – w tym podmorskie kable i obiekty wystrzelone w przestrzeń kosmiczną – która jest niezbędna do utrzymania podstawowych funkcji społecznych lub zdrowia, bezpieczeństwa, ochrony i dobrobytu materialnego lub społecznego ludności; |
|
b) |
usługami niezbędnymi do utrzymania podstawowej działalności społecznej lub gospodarczej, w szczególności w sektorze energii (energii elektrycznej, ropy naftowej i gazu), transportu (lotniczego, kolejowego, wodnego i drogowego), bankowości, infrastruktury rynków finansowych, zdrowia (ośrodki opieki zdrowotnej, szpitale i prywatne kliniki), zaopatrzenia w wodę pitną i jej dystrybucji, infrastruktury cyfrowej, oraz w każdym innym sektorze, który ma podstawowe znaczenie dla danego państwa członkowskiego; |
|
c) |
krytycznymi funkcjami państwa, w szczególności w obszarze obrony, zarządzania instytucjami i ich funkcjonowania, w tym wyborów państwowych lub procesu głosowania, funkcjonowania infrastruktury gospodarczej i cywilnej, bezpieczeństwa wewnętrznego i stosunków zewnętrznych, w tym za pośrednictwem misji dyplomatycznych; |
|
d) |
przechowywaniem lub przetwarzaniem informacji niejawnych; lub |
|
e) |
rządowymi zespołami reagowania kryzysowego. |
5. Cyberataki stanowiące zagrożenie dla Unii obejmują cyberataki przeprowadzane przeciwko jej instytucjom, organom i jednostkom organizacyjnym, jej delegaturom w państwach trzecich lub w organizacjach międzynarodowych, jej operacjom i misjom w dziedzinie wspólnej polityki bezpieczeństwa i obrony (WPBiO) oraz jej specjalnym przedstawicielom.
6. Jeżeli uznaje się to za konieczne do osiągnięcia celów WPZiB określonych w odpowiednich postanowieniach art. 21 Traktatu o Unii Europejskiej, środki ograniczające na mocy niniejszej decyzji można również stosować w odpowiedzi na wywołujące poważne skutki cyberataki wymierzone przeciwko państwom trzecim lub organizacjom międzynarodowym.
Artykuł 2
Do celów niniejszej decyzji stosuje się następujące definicje:
|
a) |
„systemy informacyjne” oznaczają urządzenie lub grupę wzajemnie połączonych lub powiązanych ze sobą urządzeń, z których przynajmniej jedno, zgodnie z programem, dokonuje automatycznego przetwarzania danych cyfrowych, jak również danych cyfrowych przechowywanych, przetwarzanych, wyszukiwanych lub przekazywanych przez to urządzenie lub tę grupę urządzeń, w celach eksploatacji, użycia, ochrony lub utrzymania tego urządzenia lub tej grupy urządzeń; |
|
b) |
„ingerencja w system informacyjny” oznacza utrudnienie lub przerwanie funkcjonowania systemu informacyjnego przez wprowadzenie danych cyfrowych, przekazanie takich danych, ich uszkodzenie, usunięcie, pogorszenie ich jakości, ich zmianę lub wyeliminowanie bądź przez uczynienie ich niedostępnymi; |
|
c) |
„ingerencja w dane” oznacza usunięcie, uszkodzenie, pogorszenie jakości, zmianę lub wyeliminowanie danych cyfrowych w systemie informacyjnym, bądź uczynienie ich niedostępnymi; obejmuje ona również kradzież danych, środków finansowych, zasobów gospodarczych lub praw własności intelektualnej; |
|
d) |
„przechwycenie danych” oznacza przechwycenie, za pomocą środków technicznych, niepublicznych przekazów danych cyfrowych do systemu informacyjnego, z systemu informacyjnego lub w ramach takiego systemu, w tym emisji elektromagnetycznych z systemu informacyjnego zawierających takie dane cyfrowe. |
Artykuł 3
Czynniki określające, czy cyberatak ma poważne skutki, o których mowa w art. 1 ust. 1, obejmują co najmniej jeden z następujących elementów:
|
a) |
zakres, skalę, wpływ lub stopień spowodowanych zakłóceń m.in. działalności gospodarczej i społecznej, usług kluczowych, krytycznych funkcji państwa, porządku publicznego lub bezpieczeństwa publicznego; |
|
b) |
liczbę osób fizycznych lub prawnych, podmiotów lub organów, których dotyczy cyberatak; |
|
c) |
liczbę państw członkowskich, których dotyczy cyberatak; |
|
d) |
wielkość poniesionych strat gospodarczych, na przykład w wyniku zakrojonej na szeroką skalę kradzieży środków finansowych, zasobów gospodarczych lub praw własności intelektualnej; |
|
e) |
korzyść ekonomiczną odniesioną przez sprawcę dla siebie lub dla innych osób; |
|
f) |
ilość lub charakter ukradzionych danych lub skalę naruszenia ochrony danych; lub |
|
g) |
charakter poufnych danych handlowych, do których uzyskano dostęp. |
Artykuł 4
1. Państwa członkowskie przyjmują środki niezbędne do uniemożliwienia wjazdu na ich terytoria lub tranzytu przez te terytoria:
|
a) |
osób fizycznych odpowiedzialnych za przeprowadzenie lub usiłowanie przeprowadzenia cyberataków; |
|
b) |
osób fizycznych, które zapewniają finansowe, techniczne lub materialne wsparcie dla cyberataków lub usiłowania przeprowadzenia cyberataków, bądź też w inny sposób angażują się w takie ataki, w tym przez ich planowanie, przygotowywanie, uczestnictwo w nich, kierowanie nimi, pomoc w nich lub zachęcanie do takich ataków lub ułatwianie ich poprzez działanie lub zaniechanie; |
|
c) |
osób fizycznych powiązanych z osobami fizycznymi, o których mowa w lit. a) i b); |
których wykaz zamieszczono w załączniku.
2. Ust. 1 nie zobowiązuje państwa członkowskiego do odmowy jego własnym obywatelom wjazdu na jego terytorium.
3. Ust. 1 pozostaje bez uszczerbku dla przypadków, gdy dane państwo członkowskie związane jest zobowiązaniem wynikającym z prawa międzynarodowego, a mianowicie:
|
a) |
jest państwem goszczącym międzynarodową organizację międzyrządową; |
|
b) |
jest państwem goszczącym międzynarodową konferencję zwołaną przez Organizację Narodów Zjednoczonych lub pod jej auspicjami; |
|
c) |
na mocy umowy wielostronnej przyznającej przywileje i immunitety; lub |
|
d) |
na podstawie Traktatu pojednawczego (Traktatu laterańskiego) z 1929 r. zawartego między Stolicą Apostolską (Państwem Watykańskim) a Włochami. |
4. Ust. 3 uznaje się za mający zastosowanie również w przypadkach, gdy dane państwo członkowskie jest krajem goszczącym Organizację Bezpieczeństwa i Współpracy w Europie (OBWE).
5. Rada jest należycie informowana o wszystkich przypadkach przyznania przez państwo członkowskie wyłączenia na mocy ust. 3 lub 4.
6. Państwa członkowskie mogą przyznawać wyłączenia ze środków nałożonych na podstawie ust. 1 w przypadkach, gdy podróż jest uzasadniona pilną potrzebą humanitarną lub uczestnictwem w posiedzeniach międzyrządowych lub posiedzeniach popieranych przez Unię lub których gospodarzem jest Unia lub dane państwo członkowskie sprawujące przewodnictwo w OBWE, gdzie prowadzony jest dialog polityczny bezpośrednio propagujący polityczne cele środków ograniczających, w tym zapewnienie bezpieczeństwa i stabilności cyberprzestrzeni.
7. Państwa członkowskie mogą też przyznawać wyłączenia ze środków nałożonych na podstawie ust. 1 w przypadkach, gdy wjazd lub przejazd jest konieczny w związku z uczestnictwem w postępowaniu sądowym.
8. Państwo członkowskie, które zamierza przyznać wyłączenia określone w ust. 6 lub 7, powiadamia o tym Radę na piśmie. Wyłączenie uważa się za przyznane, chyba że co najmniej jeden członek Rady wniesie sprzeciw na piśmie w ciągu dwóch dni roboczych od otrzymania powiadomienia o proponowanym wyłączeniu. W przypadku gdy co najmniej jeden członek Rady wniesie sprzeciw, Rada może postanowić o przyznaniu proponowanego wyłączenia, stanowiąc większością kwalifikowaną.
9. W przypadkach gdy zgodnie z ust. 3, 4, 6, 7 lub 8 państwo członkowskie zezwala na wjazd lub przejazd przez swoje terytorium osobom wymienionym w załączniku, zezwolenie jest ściśle ograniczone do celu, dla którego zostało wydane oraz do wymienionych w nim osób.
Artykuł 5
1. Wszelkie środki finansowe i zasoby gospodarcze należące do lub będące własnością, w posiadaniu lub znajdujące się pod kontrolą:
|
a) |
osób fizycznych lub prawnych, podmiotów lub organów odpowiedzialnych za przeprowadzenie lub próby przeprowadzenia cyberataków; |
|
b) |
osób fizycznych lub prawnych, podmiotów lub organów, które zapewniają finansowe, techniczne lub materialne wsparcie dla cyberataków lub w celu usiłowania przeprowadzenia cyberataków, bądź też w inny sposób angażują się w takie ataki, w tym przez ich planowanie, przygotowywanie, uczestnictwo w nich, kierowanie nimi, pomoc w nich lub zachęcanie do takich ataków lub ułatwianie ich poprzez działanie lub zaniechanie; |
|
c) |
osób fizycznych lub prawnych, podmiotów lub organów powiązanych z osobami fizycznymi lub prawnymi, podmiotami lub organami, o których mowa w lit. a) i b) niniejszego ustępu; |
których wykaz zamieszczono w załączniku, zostają zamrożone.
2. Nie udostępnia się – bezpośrednio lub pośrednio – osobom fizycznym lub prawnym, podmiotom lub organom wymienionym w załączniku ani na ich rzecz żadnych środków finansowych ani zasobów gospodarczych.
3. W drodze odstępstwa od ust. 1 i 2 właściwe organy państwa członkowskiego mogą zezwolić na odblokowanie niektórych zamrożonych środków finansowych lub zasobów gospodarczych lub na udostępnienie ich na warunkach, jakie uznają za stosowne, po ustaleniu, że odnośne środki finansowe lub zasoby gospodarcze:
|
a) |
są niezbędne do zaspokojenia podstawowych potrzeb osób fizycznych wymienionych w załączniku oraz członków rodzin pozostających na utrzymaniu takich osób fizycznych, w tym opłat za żywność, z tytułu najmu lub kredytu hipotecznego, za leki i leczenie, z tytułu podatków, składek ubezpieczeniowych oraz opłat za usługi użyteczności publicznej; |
|
b) |
są przeznaczone wyłącznie na pokrycie uzasadnionych kosztów honorariów lub zwrotów poniesionych wydatków związanych z usługami prawniczymi; |
|
c) |
są przeznaczone wyłącznie na pokrycie opłat lub należności za usługi polegające na zwykłym przechowywaniu lub utrzymywaniu zamrożonych środków finansowych lub zasobów gospodarczych; |
|
d) |
są niezbędne do pokrycia nadzwyczajnych wydatków, pod warunkiem że właściwy organ powiadomił właściwe organy pozostałych państw członkowskich oraz Komisję o powodach, dla których uważa, że należy udzielić szczególnego zezwolenia, co najmniej dwa tygodnie przed jego udzieleniem; lub |
|
e) |
zostaną wpłacone na rachunek lub wypłacone z rachunku misji dyplomatycznej lub misji konsularnej lub organizacji międzynarodowej posiadającej immunitet na mocy prawa międzynarodowego, w zakresie, jakim płatności te są przeznaczone na oficjalne cele tej misji dyplomatycznej lub misji konsularnej lub organizacji międzynarodowej. |
Dane państwo członkowskie informuje pozostałe państwa członkowskie oraz Komisję o wszelkich zezwoleniach udzielonych na podstawie niniejszego ustępu.
4. W drodze odstępstwa od ust. 1 właściwe organy państw członkowskich mogą zezwolić na odblokowanie niektórych zamrożonych środków finansowych lub zasobów gospodarczych, jeżeli spełnione są następujące warunki:
|
a) |
środki finansowe lub zasoby gospodarcze są przedmiotem orzeczenia arbitrażowego wydanego przed datą umieszczenia w wykazie znajdującym się w załączniku osoby fizycznej lub prawnej, podmiotu lub organu, o których mowa w ust. 1, lub orzeczenia sądowego lub decyzji administracyjnej wydanych w Unii, lub orzeczenia sądowego podlegającego wykonaniu w danym państwie członkowskim, przed tą datą lub po tej dacie; |
|
b) |
środki finansowe lub zasoby gospodarcze zostaną wykorzystane wyłącznie w celu zaspokojenia roszczeń zabezpieczonych takim orzeczeniem lub decyzją lub uznanych za zasadne w takim orzeczeniu lub decyzji, w granicach określonych przez mające zastosowanie przepisy ustawowe i wykonawcze regulujące prawa osób, którym takie roszczenia przysługują; |
|
c) |
orzeczenie lub decyzja nie przynoszą korzyści osobie fizycznej lub prawnej, podmiotowi lub organowi wymienionym w załączniku; oraz |
|
d) |
uznanie tego orzeczenia lub tej decyzji nie jest sprzeczne z porządkiem publicznym danego państwa członkowskiego. |
Dane państwo członkowskie informuje pozostałe państwa członkowskie oraz Komisję o wszelkich zezwoleniach udzielonych na podstawie niniejszego ustępu.
5. Ust. 1 nie uniemożliwia osobie fizycznej lub prawnej, podmiotowi lub organowi, wymienionym w załączniku, dokonywania płatności należnej z tytułu umowy zawartej przed dniem umieszczenia tej osoby fizycznej lub prawnej, takiego podmiotu lub takiego organu w wykazie znajdującym się w załączniku, pod warunkiem że dane państwo członkowskie ustaliło, że płatność nie jest bezpośrednio lub pośrednio dokonywana na rzecz osoby fizycznej lub prawnej, podmiotu lub organu, o których mowa w ust. 1.
6. Ust. 2 nie ma zastosowania do księgowania na zamrożonych rachunkach:
|
a) |
odsetek ani innych dochodów z tych rachunków; |
|
b) |
płatności należnych z tytułu umów, porozumień lub zobowiązań, które zostały zawarte lub powstały przed datą objęcia tych rachunków środkami przewidzianymi w ust. 1 i 2; lub |
|
c) |
płatności należnych z tytułu orzeczeń sądowych, decyzji administracyjnych lub orzeczeń arbitrażowych wydanych w Unii lub podlegających wykonaniu w danym państwie członkowskim, |
pod warunkiem że wszelkie takie odsetki, inne dochody i płatności nadal podlegają środkom przewidzianym w ust. 1.
Artykuł 6
1. Rada, stanowiąc jednomyślnie na wniosek państwa członkowskiego lub Wysokiego Przedstawiciela Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa, sporządza i zmienia wykaz znajdujący się w załączniku.
2. Rada przekazuje decyzję, o której mowa w ust. 1, wraz z uzasadnieniem umieszczenia w wykazie, danej osobie fizycznej lub prawnej, danemu podmiotowi lub danemu organowi bezpośrednio – jeżeli adres jest znany – albo w drodze opublikowania ogłoszenia, umożliwiając takiej osobie fizycznej lub prawnej, takiemu podmiotowi lub takiemu organowi przedstawienie uwag.
3. W przypadku gdy zostaną zgłoszone uwagi lub przedstawione istotne nowe dowody, Rada dokonuje przeglądu decyzji, o której mowa w ust. 1, i informuje o tym daną osobę fizyczną lub prawną, dany podmiot lub dany organ.
Artykuł 7
1. Załącznik zawiera uzasadnienie umieszczenia w wykazie osób fizycznych i prawnych, podmiotów i organów, o których mowa w art. 4 i 5.
2. Załącznik zawiera – w przypadku gdy są one dostępne – informacje, które są niezbędne do zidentyfikowania danych osób fizycznych lub prawnych, podmiotów lub organów. W przypadku osób fizycznych informacje takie mogą obejmować imiona i nazwiska, w tym pseudonimy, datę i miejsce urodzenia, obywatelstwo, numery paszportu i dokumentu tożsamości, płeć, adres, jeśli jest znany, a także stanowisko lub zawód. W przypadku osób prawnych, podmiotów lub organów informacje takie mogą obejmować nazwy, miejsce i datę wpisu do rejestru, numer w rejestrze i miejsce prowadzenia działalności.
Artykuł 8
Nie są zaspokajane żadne roszczenia w związku z dowolną umową lub transakcją, których wykonanie zostało zakłócone, bezpośrednio lub pośrednio, w całości lub części, przez środki nałożone niniejszą decyzją, w tym roszczenia odszkodowawcze lub wszelkie inne roszczenia tego rodzaju, takie jak roszczenia o odszkodowanie lub roszczenia wynikające z gwarancji, w szczególności roszczenia o przedłużenie terminu płatności lub o zapłatę obligacji, gwarancji lub zabezpieczeń, w szczególności gwarancji finansowych lub finansowych listów gwarancyjnych, w dowolnej formie – o ile zostały one wniesione przez:
|
a) |
wskazane osoby fizyczne lub prawne, podmioty lub organy wymienione w wykazie w załączniku; |
|
b) |
wszelkie osoby fizyczne lub prawne, podmioty lub organy działające za pośrednictwem lub w imieniu osób fizycznych lub prawnych, podmiotów lub organów, o których mowa w lit. a). |
Artykuł 9
W celu maksymalizacji oddziaływania środków przewidzianych w niniejszej decyzji, Unia zachęca państwa trzecie do przyjmowania środków ograniczających podobnych do tych przewidzianych w niniejszej decyzji.
Artykuł 10
Niniejszą decyzję stosuje się do dnia 18 maja 2020 r. Niniejsza decyzja jest poddawana stałemu przeglądowi. Jeżeli Rada uzna, że cele niniejszej decyzji nie zostały osiągnięte, jej okres obowiązywania zostanie przedłużony lub dokona się w niej odpowiednich zmian.
Artykuł 11
Niniejsza decyzja wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Sporządzono w Brukseli dnia 17 maja 2019 r.
W imieniu Rady
E.O. TEODOROVICI
Przewodniczący
ZAŁĄCZNIK
Wykaz osób fizycznych i prawnych, podmiotów i organów, o których mowa w art. 4 i 5
[…]