[pic] | KOMISIJA EVROPSKIH SKUPNOSTI | Bruselj, 22.5.2007 SEC(2007) 641 DELOVNI DOKUMENT SLUŽB KOMISIJE Spremni dokument k SPOROČILO KOMISIJEEVROPSKEMU PARLAMENTU, SVETUIN EVROPSKEMU ODBORU REGIJ Na poti k splošni politiki o boju proti kibernetskemu kriminalu POVZETEK OCENE UČINKA {COM(2007) 267 konč.}{SEC(2007) 642} POVZETEK 1. UVOD Uporaba interneta se je v zadnjih letih zelo razširila, prisotnost novih pojavov ter novih tehnik pa je povzročila povečanje negotovosti. Komisija je v svojem Zakonodajnem in delovnem programu za leto 2007 menila, da je potrebna celovita posodobitev politike Komisije o kibernetskem kriminalu in je zato predvidela pripravo Sporočila o evropski politiki glede kibernetskega kriminala. Med začetnimi posvetovanji je postalo jasno, da ni voljo dovolj podatkov in statistik, kar je bil eden od glavnih razlogov, da je Komisija leta 2006 naročila zunanjo študijo [1] (v nadaljnjem besedilu: zunanja študija), na kateri temelji ocena učinka. Komisija je med pripravami analizirala tudi številne zakonodajne in nezakonodajne ukrepe zlasti v zvezi z morebitnimi „vrzelmi“ v obstoječem regulativnem okviru. Treba je poudariti, da je bila pri tem posebna pozornost namenjena Konvenciji Sveta Evrope o kibernetski kriminaliteti [2] (v nadaljnjem besedilu: Konvencija Sveta Evrope) in Okvirnemu sklepu o napadih na informacijske sisteme [3] , saj ta dva dokumenta veljata za najbolj celovita v smislu materialnega in procesnega prava. Na podlagi teh dejavnosti Komisija pripravlja novo splošno politično pobudo, ki jo sestavlja Sporočilo o boju proti kibernetskemu kriminalu na ravni EU. Ta ocena učinka bo tako obravnavala predvsem strateška vprašanja. V zvezi s tem Komisija poudarja svojo zavezanost k zagotavljanju, da bo politika o boju in pregonu kibernetskega kriminala določena in se bo izvajala s popolnim spoštovanjem temeljnih pravic, zlasti svobode izražanja, spoštovanja zasebnega in družinskega življenja ter varstva osebnih podatkov. Komisija bo ravnala v skladu s svojim Sporočilom o spoštovanju Listine v zakonodajnih predlogih Komisije, sprejetim leta 2005 [COM(2005) 172]. 2. TEžAVE IN CILJI Hiter razvoj interneta in drugih informacijskih sistemov je povzročil nastanek popolnoma novega gospodarskega sektorja in novih hitrih pretokov informacij, proizvodov in storitev na notranjih in zunanjih mejah EU. To je očitno imelo številne pozitivne učinke na potrošnike in državljane. Vendar je prav ta razvoj odprl tudi številne nove možnosti za storilce kaznivih dejanj. Opaziti je mogoče vzorec novih kriminalnih dejavnosti zoper internet ali z uporabo informacijskih sistemov kot orodja za kazniva dejanja. Te kriminalne dejavnosti se nenehno razvijajo, zakonodaja in operativni kazenski pregon pa očitno stežka sledita njihovemu preprečevanju. Čezmejna narava te nove vrste kaznivih dejanj ustvarja tudi potrebo po izboljšanem čezmejnem sodelovanju na področju kazenskega pregona. Da bi podrobno proučili celoten problem, je bilo obravnavanih osem strateških spornih področji, in sicer: - naraščajoča ranljivost v zvezi s tveganji kibernetskega kriminala za družbo, gospodarstvo in državljane; - povečana pogostost in prefinjenost kaznivih dejanj kibernetskega kriminala; - neobstoj skladne politike na ravni EU in zakonodaje za boj proti kibernetskemu kriminalu; - posebne težave pri operativnem sodelovanju na področju kazenskega pregona glede kibernetskega kriminala; - potreba po razvijanju zmožnosti in tehničnih orodij: usposabljanje in raziskave; - neobstoj funkcionalne strukture za sodelovanje med pomembnimi interesnimi skupinami v javnem in zasebnem sektorju; - nejasne obveznosti in odgovornosti; - pomanjkanje ozaveščenosti glede tveganj, ki izhajajo iz kibernetskega kriminala. Treba je omeniti, da so bila v okviru posvetovanj, opravljenih v zvezi s tem poročilom, izražena presenetljivo enotna stališča s strani vseh interesnih skupin – organov kazenskega pregona ali zasebnih družb – glede obstoječih težav EU na tem področju. 2.1. Kdo je vpleten? Kibernetski kriminal zadeva vse sektorje družbe in politika boja proti temu kriminalu bo zato vidna dejansko povsod. Ker je število državljanov, ki uporabljajo zasebne računalnike, zelo veliko, lahko na večino posameznikov – kot na potencialne žrtve – vpliva kakršna koli pobuda na področju boja proti kibernetskemu kriminalu. Poleg tega obstajajo tudi jasne navedbe, ki kažejo na povečano kriminalno dejavnost, usmerjeno zoper posebne skupine žrtev. Učinkovita politika proti kibernetskemu kriminalu bi tako lahko imela jasne koristne učinke na te skupine. Lahko se tudi pričakuje, da bosta v zvezi s tem industrija informacijske družbe in informacijska družba na splošno glavni interesni skupini glede na pomembne pozitivne gospodarske učinke, ki jih je mogoče pričakovati, če se okrepi varnost ali se vzpostavi okolje okrepljene varnosti. 2.2. Ali ima EU pravico ukrepati? Glede na obseg in pomembnost varnostnih groženj se potreba po preprečevanju groženj kibernetskega kriminala nadaljuje in mogoče celo narašča. Varnostna vprašanja, povezana s kibernetskim kriminalom, imajo globalno razsežnost in jih zato ni mogoče obravnavati samo na nacionalni ravni. Grožnja je mednarodna in tak mora biti vsaj delno tudi odgovor. Nedvomno bo boj proti kibernetskemu kriminalu še naprej najbolj pomemben in uspešen na nacionalni ravni, vendar obstaja jasna potreba po medsebojnem povezovanju in morebitnem dopolnjevanju nacionalnih prizadevanj na evropski ravni. 2.3. Cilji Splošne strateške cilje predlagane politike je mogoče na podlagi zgoraj ugotovljenih težav povzeti na naslednji način: Okrepiti in bolje uskladiti boj proti kibernetskemu kriminalu na nacionalni, evropski in mednarodni ravni. Ta splošni strateški cilj lahko razdelimo na pet strateških ciljev, ki so spodaj navedeni v začasnem prednostnem vrstnem redu: - izboljšati operativne čezmejne ukrepe kazenskega pregona proti kibernetskemu kriminalu na splošno in zlasti proti težjim oblikam kibernetskega kriminala ter izboljšati izmenjavo informacij, znanja in najboljših praks med organi kazenskega pregona v državah članicah in drugje; - opredeliti in vzpostaviti operativne instrumente za sodelovanje in določanje skupnih ciljev med javnim in zasebnim sektorjem ter izboljšati izmenjavo informacij, znanja in najboljših praks glede boja proti kibernetskemu kriminalu med javnim in zasebnim sektorjem na ravni EU; - vzpostaviti politično platformo in strukture za razvoj skladne politike EU o boju proti kibernetskemu kriminalu v sodelovanju z državami članicami in pristojnimi organizacijami EU in mednarodnimi organizacijami ter izboljšati učinkovitost obstoječega zakonodajnega in institucionalnega okvira tudi z opredelitvijo obveznosti in odgovornosti vseh zadevnih akterjev; - preprečiti vedno večjo grožnjo težjih oblik kibernetskega kriminala s spodbujanjem usposobljenosti, znanja in tehničnih orodij, vključno z ukrepi za okrepitev ustreznega usposabljanja in raziskav; - povečati splošno ozaveščenost glede groženj kibernetskega kriminala zlasti med potrošniki in drugimi ranljivimi skupinami potencialnih žrtev. 3. STRATEšKE POLITIčNE MOžNOSTI Vsaka politika boja proti kibernetskemu kriminalu bo zaradi vrste obravnavane vsebine večstranske narave. Za zagotovitev dejanske učinkovitosti mora policija združiti klasične dejavnosti kazenskega pregona z drugimi instrumenti, kot so samoregulativni elementi in vzpostavitev struktur za sodelovanje med različnimi interesnimi skupinami. Zgoraj so bila navedena številna sporna področja in strateški cilji v zvezi s to pobudo. Da bi lahko dosegli te cilje, je potrebnih več različnih in kombiniranih ukrepov. Komisija je na podlagi obsežnih posvetovanj oblikovala štiri splošne politične možnosti, sestavljene iz več posebnih ukrepov: 3.1. Splošna politična možnost 1: Ohranitev trenutnega stanja/brez sprejemanja večjih novih ukrepov Ta možnost pomeni, da Komisija na tem področju trenutno ne sprejme nobenih splošnih horizontalnih ukrepov. To pomeni, da Komisija: - nenehno ocenjuje potrebo po usmerjeni zakonodaji ali dejavnosti politike in sprejme ustrezne ukrepe, kadar je to potrebno; - spremlja obstoječe strukturne projekte EU in mednarodne strukturne projekte proti kibernetskemu kriminalu; - nadaljuje uvajanje novih projektov na ciljnih interesnih področjih za boj proti kibernetskemu kriminalu, ne sprejme pa nobene horizontalne politične pobude. 3.2. Splošna politična možnost 2: Splošna zakonodaja Ta možnost pomeni, da se sprejme politika, ki postopno predlaga splošen zakonodajni okvir za boj proti kibernetskemu kriminalu. Takšna politika pomeni: - Komisija sistematično predlaga usklajene ali poenotene opredelitve kaznivih dejanj, zlasti za EU in tudi na mednarodni ravni; - Komisija predlaga skupne minimalne standarde za inkriminiranje in kazni v EU; - vzpostavijo se formalne platforme na področju javno-zasebnega sodelovanja kot tudi na področju usposabljanja in raziskav; - vzpostavi se formalna mreža za kazenski pregon. 3.3. Splošna politična možnost 3: Vzpostavitev neformalnih mrež za kibernetski kriminal in javno-zasebnih mrež Ta možnost pomeni, da Komisija sama ali skupaj z drugimi institucijami formalno vzpostavi mreže ali skupine strokovnjakov za kibernetski kriminal in ta ukrep združi z uvedbo prostovoljne varnostne sheme potrjevanja za operaterje, proizvajalce in potrošnike. To pomeni: - vzpostavitev neformalnega organa, sestavljenega iz strokovnjakov za kazenski pregon na področju kibernetskega kriminala; - vzpostavitev neformalne platforme/mreže, sestavljene iz javnih in zasebnih strokovnjakov za kibernetski kriminal; 3.4. Splošna politična možnost 4: Skladen strateški pristop Ta možnost pomeni, da se na ravni EU uvede skladna strategija za boj proti kibernetskemu kriminalu. Glavna značilnost bi bila vzpostavitev strateškega okvira za politiko boja proti kibernetskemu kriminalu na ravni EU s splošnim ciljem, da se doseže boljša usmeritev glede dejanskih ukrepov in optimizacija obstoječih sredstev. Druge pomembne operativne značilnosti te strategije so: - izboljšano sodelovanje na področju kazenskega pregona na ravni EU; - uvedba strateške strukture za javno-zasebno sodelovanje v boju proti kibernetskemu kriminalu; - spodbujanje oblikovanja okvira za globalno mednarodno sodelovanje na zadevnem področju; - usmerjeni zakonodajni ukrepi, kadar je to potrebno. 4. OCENA POLITIčNIH MOžNOSTI IN IZBIRA POLITIčNE MOžNOSTI 4.1. Ocena Splošne politične možnosti so bile ocenjene na podlagi naslednjih meril: - družbeni učinki - gospodarski učinki - stroški za javno upravo - stopnja skladnosti s političnimi cilji - dodana vrednost in spoštovanje načela subsidiarnosti - izvedljivost Sklepi ocene so bili, na kratko: 4.1.1. Splošna politična možnost 1 Ugotovljeno je bilo, da ta možnost glede na obstoječe izzive nikakor ne bi zadostovala. Učinki možnosti „brez novih ukrepov“ so na splošno omejeni, vendar je težko oceniti, ali obstaja tveganje, da bi ta možnost imela znaten učinek, glede na to da prihodnjih oblik kaznivih dejanj ni mogoče opredeliti. Če upoštevamo sedanji in vse večji pomen te vrste kriminala, obstaja možnost dolgoročnega negativnega učinka glede pristopa „brez novih ukrepov“. 4.1.2. Splošna politična možnost 2 Ugotovljeno je bilo, da je to politično možnost mogoče uresničiti samo z zelo previdnim pristopom in dolgoročno. Potrebne bi bile podrobne študije pravne izvedljivosti in dolgotrajna politična pogajanja. Učinki te možnosti bi lahko bili zelo pomembni, vendar je zaradi majhne verjetnosti za dejanski napredek v kratkem času, ta možnost kratkoročno negotova. Vprašljivo je tudi, ali bi bili politični cilji enako učinkovito doseženi na ravni dejanskega izvajanja političnih ukrepov, kot bi bili na politični in teoretični ravni. Če bi ta možnost prevladala, bi obstajalo tveganje, da operativna raven boja proti kibernetskemu kriminalu ne bi bila v zadostni meri vpletena v strateške politične izbire in odločitve. Ob upoštevanju pomembnih, s tem povezanih učinkov, bi bilo treba razjasniti tudi vlogo Komisije v tej zvezi. Mogoče bi bilo tudi trditi, da bi se podobni rezultati lahko dosegli z blažjimi ukrepi. 4.1.3. Splošna politična možnost 3 Ta politična možnost je bila ocenjena kot zelo zanimiva s strateškega stališča, čeprav je dodano vrednost in dejanske učinke težko predvideti. Obstaja tveganje, da bi nove omrežne strukture dale zelo malo dejanskih rezultatov. Komisija bi imela idealen položaj za usklajevanje samoregulativnih ukrepov na zadevnem področju, vendar v okviru te politične možnosti bolj v vlogi koordinatorja in posrednika kot pa strateškega vodje. 4.1.4. Splošna politična možnost 4 Ugotovljeno je bilo, da vsebuje ta politična možnost številne zelo ustrezne ukrepe na strateški ravni. Opaziti je mogoče zelo malo negativnih učinkov ali večjih ovir. Po drugi strani pa je mogoče ugovarjati, da so neposredni učinki te politike precej skromni. Vendar to velja le za kratkoročne učinke; zelo pomembni učinki lahko nastanejo šele po sprejetju ustreznih izvedbenih ukrepov. Prihodnje dejanske učinke pa je kljub temu težko natančno predvideti, ker bo treba strateško raven izvajati operativno na poznejši stopnji. Takrat bodo ocenjeni vsi učinki. Ponovno je treba poudariti, da so neposredni učinki predlaganih strategij omejeni in da bodo posebni ukrepi, sprejeti pozneje v okviru ene od teh strategij, ocenjeni posebej. To pomeni, da je sedanja ocena predhodne narave. 4.2. Izbira politične možnosti Analiza je jasno izpostavila možnost 4 kot najbolj primerno. Poleg tega je jasno, da je možnost 4 tista, ki najbolj ustreza splošnim ciljem, navedenim v oddelku 2.4 zgoraj. Možnost, da se ne sprejme nobenega ukrepa na tem področju, se ne zdi primerna. Pasiven pristop bi se po vsej verjetnosti odražal v številnih dvostranskih projektih sodelovanja na področju boja proti kibernetskemu kriminalu, ki bi se še naprej izvajali brez možnosti uporabe vzporedne izmenjave najboljših praks ali sinergijskih učinkov. Splošna zakonodaja za vzpostavitev novih organov EU za uskladitev opredelitve kaznivih dejanj ter razjasnitev obveznosti in odgovornosti vseh interesnih skupin bi lahko bila zanimiva, vendar je analiza političnih razmer jasno pokazala, da je verjetnost za sprejetje predlogov za splošno in horizontalno zakonodajo zelo majhna. Poleg tega je bilo zelo malo posvetovanih interesnih skupin prepričanih, da je to v tem trenutku najpomembnejša prednostna naloga. Vendar bi lahko bila splošna zakonodaja kljub temu pomembna z dolgoročnega vidika. Vzpostavitev novih neformalnih struktur za sodelovanje na področju kazenskega pregona ali javno-zasebno sodelovanje na ravni EU bi dolgoročno tudi lahko bila dobra rešitev, vendar se zdi, da so se vse interesne skupine strinjale, da obstoječe strukture zadostujejo, čeprav morajo nujno postati bolj učinkovite. Na podlagi analize je bila prednost tako dana možnosti 4 „ skladna strategija “. Treba je poudariti, da ta možnost ne izključuje vzpostavitve formalne strukture (možnost 3) ali da se pozneje sprejme splošna zakonodaja (možnost 2). Izbrana možnost dejansko pomeni, da so vrata za nove ukrepe odprta. Pripravljalna analiza in razprave jasno kažejo, da je „skladna strategija“ možnost, ki bi najverjetneje dosegla strateške cilje politike. Takšna strategija bo verjetno imela znatne pozitivne učinke na boj proti čezmejnemu kibernetskemu kriminalu, ker bi bile pristojnosti in vloge vseh vpletenih v tem boju razjasnjene in okrepljene. Prispevala bi tudi k boljšemu dialogu in razumevanju med javnim in zasebnim sektorjem, kar bi lahko prineslo številne pozitivne stranske učinke. Z gospodarskega stališča bi lahko izbrana možnost povzročila pomembne sinergijske učinke, zmanjšano raven škode zaradi kriminalnih dejavnosti in zmanjšanje stroškov za posamezne varnostne programe. Vendar obstaja verjetnost, da se bodo pričakovani učinki v okviru izbrane možnosti uresničili šele čez nekaj let. Zato je v tem trenutku vse njene možne učinke težko oceniti. To še toliko bolj velja, ker je treba odločitve glede natančnih podrobnosti politike še sprejeti. Zato bo treba posebne učinke konkretnih elementov politike oceniti pozneje. [1] Študija za oceno učinka Sporočila o kibernetskemu kriminalu, ki jo je pripravilo podjetje Yellow Window Management Consulting (pogodba št. DG 2006/JLS D 2/03). [2] Konvencija Sveta Evrope o kibernetski kriminaliteti, 2001: http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm. [3] Okvirni sklep o napadih na informacijske sisteme (2005/222/PNZ).