Retsudvalget 2010-11 (1. samling)
REU Alm.del Bilag 63
Offentligt
910660_0001.png
910660_0002.png
910660_0003.png
910660_0004.png
910660_0005.png
910660_0006.png
910660_0007.png
910660_0008.png
910660_0009.png
910660_0010.png
910660_0011.png
Civil- og Politiafdelingen
Dato:Kontor:Sagsnr.:Dok.:
21. oktober 2010Det InternationaleKontor2010-305-1033AHS40296

GRUND

OG NÆRHEDSNOTAT

vedrørende forslag til Europa-Parlamentets og Rådets direktiv om

angreb på informationssystemer og om ophævelse af Rådets ramme-

afgørelse 2005/222/RIA

KOM(2010) 0517

Resumé

Forslaget til direktiv om angreb på informationssystemer har til formålat sikre en yderligere tilnærmelse af medlemsstaternes lovgivning i for-hold til den gældende rammeafgørelse om angreb på informationssyste-mer (2005/222/RIA). Forslaget indeholder en række forpligtelser formedlemsstaterne særligt med hensyn til kriminalisering af forskelligeformer for IT-kriminalitet og fastsætter bl.a. minimumsregler for straffe-ne herfor. Forslaget indeholder desuden bestemmelser, der har til formålat forbedre samarbejdet mellem de retlige og andre kompetente myndig-hed-er, herunder politiet og andre retshåndhævende myndigheder i med-lemsstaterne. Forslaget vurderes ikke at være i strid med nærhedsprin-cippet. Forslaget er omfattet af Danmarks forbehold vedrørende retligeog indre anliggender, og det har derfor hverken lovgivningsmæssige el-ler statsfinansielle konsekvenser. Der ses ikke at foreligge offentlige til-kendegivelser om de øvrige medlemsstaters holdninger til forslaget. Fradansk side finder man på nuværende tidspunkt – hvor der endnu ikke fo-religger høringssvar – ikke at burde tage endelig stilling til forslaget.Danmark er dog umiddelbart positiv over for forslaget.

1.

Baggrund

Den 30. september 2010 fremsatte Kommissionen et forslag til rammeaf-gørelse om angreb på informationssystemer. Formålet med forslaget er atsikre en yderligere tilnærmelse af medlemsstaternes lovgivning i forholdtil den gældende rammeafgørelse om angreb på informationssystemer(2005/222/RIA). Forslaget bygger på denne rammeafgørelse og Europa-rådets konvention om IT-kriminalitet af 23. november 2001. Kommis-sionen har derudover medtaget enkelte nye elementer.
Slotsholmsgade 101216 København K.Telefon 7226 8400Telefax 3393 3510www.justitsministeriet.dk[email protected]
Direktivforslaget behandles efter den almindelige beslutningsprocedure,hvilket indebærer, at Europa-Parlamentet og Rådet skal vedtage for-slaget.Det danske retsforbeholdForslaget er fremsat med hjemmel i Traktaten om Den Europæiske Uni-ons Funktionsmåde (TEUF), 3. del, afsnit V. Forslaget er derfor omfattetaf Danmarks forbehold vedrørende retlige og indre anliggender. Proto-kollen om Danmarks stilling, der er knyttet til Lissabon-traktaten, findersåledes anvendelse.Ifølge protokollens artikel 1 deltager Danmark ikke i Rådets vedtagelseaf foranstaltninger, der foreslås i henhold til TEUF, 3. del, afsnit V, ogifølge artikel 2 er ingen af de foranstaltninger, der er vedtaget i henholdtil TEUF, 3. del, afsnit V, bindende for eller finder anvendelse i Danmark(”retsforbeholdet”).En eventuel gennemførelse af forslaget er derfor ikke bindende for ellerfinder anvendelse i Danmark.

2.

Indhold

2.1. Generelt

Forslaget til direktiv er fremsat efter artikel 83 i TEUF, hvorefter Europa-Parlamentet og Rådet bl.a. på området for grænseoverskridende edb-kriminalitet af særlig grov karakter ved direktiv kan fastsætte minimums-regler for, hvad der skal anses for strafbare handlinger, og for straffeneherfor.Direktivforslaget har til formål at tilnærme medlemsstaternes strafferetli-ge regler til hinanden med hensyn til angreb på informationssystemer ogat forbedre samarbejdet mellem de retlige og andre kompetente myndig-heder, herunder politiet og andre retshåndhævende myndigheder i med-lemsstaterne.Det foreslås, at den eksisterende rammeafgørelse om angreb på informa-tionssystemer (2005/222/RIA) formelt ophæves.Direktivet fastsætter nærmere bestemmelser om de strafbare handlinger iforbindelse med angreb på informationssystemer og fastsætter mini-mumsregler for straffene herfor. Der lægges endvidere op til en styrkelseaf den eksisterende struktur med døgnbemandede kontaktpunkter.2
Direktivforslaget lægger i vidt omfang op til at videreføre den gældenderammeafgørelse, men forslaget indeholder også at en række nye elemen-ter, som har til formål at sikre en yderligere tilnærmelse af medlemssta-ternes lovgivning på området, tilføjes. Det drejer sig om:1) Kriminalisering af "værktøj", der anvendes til at begå lovover-trædelserne,2) nye skærpende omstændigheder,3) kriminalisering af "ulovlig opfangning" ikke-offentlige overførs-ler af edb-data,4) styrkelse af den eksisterende struktur med døgnbemandede kon-taktpunkter, og5) nye regler vedrørende indsamling af statistiske oplysninger om it-forbrydelser.Forslaget indeholder på den baggrund bestemmelser om, hvilke strafbarehandlinger der som minimum skal kriminaliseres, sanktioner, straffe-myndighed, informationsudveksling, overvågning og statistik.De nye bestemmelser i direktivforslaget vedrørende ”ulovlig opfang-ning” og ”værktøjer” bygger på tilsvarende bestemmelser i Europarådetskonvention om IT-kriminalitet.

2.2. Nærmere om hovedelementerne i forslaget

2.2.1. Strafbare handlingerForslagets indledende bestemmelser om ulovlig adgang til informations-systemer, ulovligt indgreb i informationssystemer og ulovligt indgreb idata svarer til den gældende rammeafgørelse.Efter forslaget skal medlemsstaterne i grovere tilfælde kriminalisere for-sætlig uretmæssig adgang til et informationssystem (”hacking”) eller endel heraf.Medlemsstaterne skal endvidere kriminalisere forsætligt og uretmæssigtforårsagelse af en alvorlig hindring eller afbrydelse af et informationssy-stems drift ved at indlæse eller overføre edb-data eller ved at beskadige,slette, forvanske, ændre, tilbageholde eller hindre adgang til dets edb-data, i det mindste i grovere tilfælde.Medlemsstaterne forpligtes endvidere til i grovere tilfælde at kriminalise-re forsætlig uretmæssig sletning, beskadigelse, forvanskning, ændring,3
tilbageholdelse eller hindring af adgang til edb-data i et informationssy-stem.Direktivforslaget indeholder en ny bestemmelse om ”ulovlig opfang-ning”. Ifølge bestemmelsen skal medlemsstaterne kriminalisere forsætligtog uretmæssigt opfangning af ikke-offentlige overførsler af edb-data til,fra eller inden for et informationssystem, herunder elektromagnetisk strå-ling fra et informationssystem (der indeholder sådanne edb-data) vedhjælp af tekniske hjælpemidler. Bestemmelsen omfatter bl.a. aflytning afikke offentligt tilgængelige elektroniske data, som transmitteres fra etedb-system til et andet, eller som er lagret i et edb-system, herunder elek-tromagnetisk stråling fra et edb-system, der bærer sådanne elektroniskedata.Direktivforslaget indeholder også en bestemmelse om udbredelse og be-siddelse af ”værktøjer”, dvs. de anordninger og adgangsmidler til edb-systemer, som kan anvendes til at begå en af de strafbare handlinger.Ifølge forslaget skal medlemsstaterne kriminalisere forsætlig og uret-mæssig fremstilling, salg, erhvervelse (med henblik på brug), import, be-siddelse, distribution eller i øvrigt at stille sådanne anordninger og ad-gangsmidler til rådighed med henblik på at begå en af de strafbare hand-linger omfattet af direktivet.Som ”værktøjer” i direktivets forstand nævnes anordninger, herunderedb-programmer, der hovedsagelig er beregnet eller tilpasset til at begåen af de strafbare handlinger nævnt i direktivet, og edb-password, ad-gangskoder eller tilsvarende data, hvorved der kan opnås adgang til ethelt informationssystem eller dele heraf.Ifølge forslaget skal medlemsstaterne kriminalisere medvirken til og for-søg på de nævnte strafbare handlinger.2.2.2. SanktionerDirektivforslaget pålægger medlemsstaterne at sikre, at de foreslåedestrafbare handlinger kan straffes med strafferetlige sanktioner med enmaksimal fængselsstraf på mindst to år.Ifølge forslaget skal medlemsstaterne sikre, at de nævnte strafbare hand-linger kan straffes med strafferetlige sanktioner med en maksimal fæng-selsstraf på mindst fem år, når de begås inden for rammerne af en krimi-nel organisation.
4
Forslaget indeholder i forhold til den gældende rammeafgørelse en rækketilføjelser om, hvornår der foreligger skærpende omstændigheder. Med-lemsstaterne skal således sikre, at de strafbare handlinger kan straffesmed strafferetlige sanktioner med en maksimal fængselsstraf på mindstfem år, når de begås ved hjælp af et værktøj, som er beregnet til at fore-tage angreb, der berører et betydeligt antal informationssystemer, ellerangreb, der volder betydelig skade som f.eks. afbrydelse af systemtjene-ster, økonomiske omkostninger eller tab af personlige data. Medlemssta-terne skal endvidere sørge for, at de strafbare handlinger kan straffes medstrafferetlige sanktioner med en maksimal fængselsstraf på mindst femår, når de begås ved at skjule gerningsmandens rigtige identitet og skadeden, som identiteten egentlig tilhører.Juridiske personer, der ifalder strafansvar i forbindelse med angreb påinformationssystemer, skal kunne straffes med sanktioner, der er effekti-ve, står i et rimeligt forhold til lovovertrædelsens grovhed og har en af-skrækkende virkning. Sådanne sanktioner skal omfatte bødestraffe, menkan også omfatte en række andre sanktioner som f.eks. udelukkelse fra atmodtage offentlige ydelser eller forbud mod at udøve erhvervsvirksom-hed.2.2.3. StraffemyndighedDirektivforslaget forpligter medlemsstaterne til at etablere straffemyn-dighed (jurisdiktion), når lovovertrædelsen er begået helt eller delvist påmedlemsstatens område. Medlemsstaten skal i sådanne tilfælde sørge forstraffemyndighed, hvor gerningsmanden begår lovovertrædelsen, mensden pågældende fysisk befinder sig på landets område. Det gælder uan-set, om lovovertrædelsen er rettet mod et informationssystem på det på-gældende lands territorium eller et andet lands territorium. Herudoverforpligtes medlemsstaterne til at etablere straffemyndighed i det tilfælde,hvor lovovertrædelsen begås mod et informationssystem på landets om-råde, uanset om gerningsmanden på gerningstidspunktet fysisk befandtsig på det pågældende lands område.Medlemsstaterne forpligtes endvidere til at etablere straffemyndighed,når lovovertrædelsen er begået af en af dens statsborgere eller en person,som har bopæl på den pågældende medlemsstats område eller for at skaf-fe en juridisk person, som har hjemsted på medlemsstatens område, vind-ing.2.2.4. Informationsudveksling5
Direktivforslaget indeholder en forpligtelse for medlemsstaterne til indenen vis tidsfrist at efterkomme anmodninger om bistand fra de opera-tionelle kontaktpunkter. Medlemsstaterne skal endvidere sørge for atetablere procedurer, som gør det muligt at besvare hasteanmodninger in-den 8 timer. Formålet hermed er at sikre, at kontaktpunkterne inden ennærmere fastsat frist oplyser, om de kan finde en løsning på anmodnin-gen, og hvornår det kontaktpunkt, der fremsætter anmodningen, kan for-vente, at dette sker.2.2.5. Overvågning og statistikDirektivforslaget pålægger medlemsstaterne at sikre, at der i medlemssta-ten findes et passende system til registrering, fremstilling og fremlæggel-se af statistiske oplysninger om de lovovertrædelser, der er omfattet afforslaget.

3.

Gældende dansk ret

3.1. Strafbare handlinger og sanktioner

Justitsministeriets udvalg om økonomisk kriminalitet og datakriminalitet(Brydensholt-udvalget) afgav i september 2002 betænkning nr.1417/2002 om IT-kriminalitet. I betænkningen behandledes navnligspørgsmålet om, i hvilket omfang udviklingen på IT-området nødvendig-gør nye straffebestemmelser eller ændring af gældende bestemmelser. Pågrundlaget af betænkningen og for at Danmark kunne ratificere Europa-rådets konvention om IT-kriminalitet samt med henblik på Danmarksdeltagelse i rammeafgørelsen om angreb på informationssystemer gen-nemførtes i 2004 en række straffelovsændringer, herunder straffelovens§§ 193 og 263 (lov nr. 352 af 19. maj 2004).Efter straffelovens § 193 straffes den, der på retsstridig måde fremkalderomfattende forstyrrelse i driften af almindelige samfærdselsmidler, of-fentlig postbesørgelse, telegraf- eller telefonanlæg, radio- eller fjernsyns-anlæg, informationssystemer eller anlæg, der tjener til almindelig forsy-ning med vand, gas, elektrisk strøm eller varme, straffes med bøde ellerfængsel indtil 6 år. Begås forbrydelsen groft uagtsomt, er straffen bødeeller fængsel indtil 6 måneder.Ved lovændringen i 2004 ændredes det tidligere anvendte begreb ”data-behandlingsanlæg” i straffelovens § 193, stk. 1, til ”informationssyste-mer”, der er neutralt i forhold til mulige teknologiske løsninger. Ved etinformationssystem forstås en computer eller andet databehandlingsan-6
læg. Omfattet heraf er navnlig personlige computere, herunder både sta-tionære og bærbare computere. Også andet elektronisk udstyr vil imidler-tid kunne være omfattet, hvis udstyret har funktioner svarende til dem,der findes i computere. Det gælder således elektronisk udstyr, der kananvendes til at oprette og/eller behandle dokumenter, billeder og lyde,udføre regnskabsfunktioner og lignende, herunder også hvis sådannefunktioner senere forekommer i kombination med andet elektronisk ud-styr, f.eks. fjernsyn.Efter straffelovens § 263, stk. 2, om krænkelse af datahemmeligheden(hacking), straffes den, der uberettiget skaffer sig adgang til en andensoplysninger eller programmer, der er bestemt til at bruges i et informati-onssystem med bøde eller fængsel indtil 1 år og 6 måneder. Begås for-holdet med forsæt til at skaffe sig eller gøre sig bekendt med oplysningerom en virksomheds erhvervshemmeligheder eller under andre særligtskærpende omstændigheder, kan straffen stige til fængsel indtil 6 år. Det-te gælder endvidere, når der er tale om overtrædelser af mere systematiskeller organiseret karakter. Det vil afhænge af en konkret vurdering, omovertrædelsen skønnes at være af mere systematisk eller organiseret ka-rakter.For databedrageri straffes efter straffelovens § 279 a den, som for der-igennem at skaffe sig eller andre uberettiget vinding retsstridigt ændrer,tilføjer eller sletter oplysninger eller programmer til elektronisk databe-handling eller i øvrigt retsstridigt forsøger at påvirke resultatet af sådandatabehandling. Efter straffelovens § 285 straffes databedrageri medfængsel indtil 1 år og 6 måneder. Det følger af straffelovens § 286, stk. 2,at straffen for databedrageri kan stige til fængsel indtil 8 år, når forbry-delsen er af særlig grov beskaffenhed, eller fordi forbrydelsen er udført afflere i forening, eller som følge af omfanget af den opnåede eller tilsigte-de vinding, eller når der er begået et større antal forbrydelser.Efter straffelovens § 291 straffes den, der ødelægger, beskadiger ellerbortskaffer ting, der tilhører en anden, med bøde eller fængsel indtil 1 årog 6 måneder. Øves der hærværk af betydeligt omfang, af mere systema-tisk eller organiseret karakter, eller er gerningsmanden tidligere fundetskyldig efter hærværksbestemmelsen eller en række nærmere angivnebestemmelser, (herunder den nævnte bestemmelse i straffelovens § 193),kan straffen stige til fængsel i 6 år.Efter § 293, stk. 2, straffes den, der uberettiget hindrer en anden i helteller delvis at råde over ting, med bøde eller fængsel indtil 1 år. Straffen7
kan stige til fængsel i 2 år, hvor der er tale om overtrædelser af mere sy-stematisk eller organiseret karakter, eller der i øvrigt foreligger særligtskærpende omstændigheder. Bestemmelsen blev ændret i 2004, hvorveddet blev præciseret, at bestemmelsen også omfatter elektroniske rådig-hedshindringer. Elektronisk rådighedshindring kan eksempelvis fore-komme ved e-mail bomber (f.eks. såkaldte Denial-of-Service angreb),der består i at hindre almindelig brug af systemet ved at forårsage over-belastning eller nedbrud.

3.2. Forsøg og medvirken

Forsøg på og medvirken til overtrædelse af de nævnte straffelovsbe-stemmelser er strafbart i medfør af straffelovens § 21 og § 23.

3.3. Bestemmelser om straffastsættelse

Efter straffelovens § 80 skal der ved straffens udmåling tages hensyn tillovovertrædelsens grovhed og til oplysninger om gerningsmandens per-son. Efter straffelovens § 81 vil bl.a. det forhold, at gerningen er begåetaf flere i forening, og/eller at gerningen er særligt planlangt eller led iomfattende kriminalitet som udgangspunkt være at anse som en skær-pende omstændighed.

3.4. Juridiske personer

Efter straffelovens § 306 kan der pålægges selskaber mv. (juridiske per-soner) strafansvar for overtrædelse af straffelovens bestemmelser. En ju-ridisk person kan efter straffelovens § 25 straffes med bøde.

3.5. Straffemyndighed

Straffelovens §§ 6-12 indeholder de almindelige bestemmelser om, hvor-når en strafbar handling hører under dansk straffemyndighed. Disse be-stemmelser afgrænser således, hvilke straffesager der kan pådømmes veddanske domstole.Hovedreglen om dansk straffemyndighed er det såkaldte territorialprin-cip, jf. straffelovens § 6, hvorefter handlinger, som er begået i Danmark,hører under dansk straffemyndighed. Herudover følger det af straffelov-ens §§ 7-8 b, at handlinger, som er begået uden for Danmark, i en rækkenærmere bestemte tilfælde hører under dansk straffemyndighed. Detgælder f.eks. efter omstændighederne, når en lovovertrædelse er begået iudlandet af en dansk statsborger eller mod en dansk statsborger (jf. hen-8
holdsvis straffelovens § 7 om det aktive personalprincip og § 7 a om detpassive personalprincip).Efter straffelovens § 8, nr. 5, om det såkaldte universalprincip omfatterdansk straffemyndighed handlinger, som foretages uden for den danskestat, uden hensyn til hvor gerningsmanden hører hjemme, når handlingener omfattet af en international bestemmelse, ifølge hvilken Danmark erforpligtet til at have straffemyndighed. Ved ”internationale bestemmel-ser” forstås bl.a. bestemmelser i EU-direktiver.

3.6. Informationsudveksling

Danmark er tilsluttet G8-landenes 24-timers/7 dages informationsnet tilbekæmpelse af højteknologikriminalitet. Rigspolitiets Kommunikations-center er i den forbindelse udpeget som kontaktpunkt, og centeret hardøgnet rundt en specialist i højteknologikriminalitet fra Nationalt Efter-forskningsstøttecenter (NEC) tilknyttet. Denne specialist kan til enhvertid formidle kontakt til den relevante politikreds, der vil kunne træffeoperative foranstaltninger.

4.

Lovgivningsmæssige og statsfinansielle konsekvenser

4.1. Lovgivningsmæssige konsekvenser

Forslaget er som nævnt fremsat efter TEUF, 3. del, afsnit V, og er derforomfattet af Danmarks forbehold vedrørende retlige og indre anliggender.Danmark deltager således ikke i vedtagelsen af direktivet, som ikke vilvære bindende for eller finde anvendelse i Danmark.I 2004 gennemførtes som nævnt de ændringer i straffeloven, der var nød-vendige for, at Danmark kunne ratificere Europarådets konvention omIT-kriminalitet, og for at Danmark kunne gennemføre deltage i vedtagel-sen af rammeafgørelsen om angreb på informationssystemer. De nye be-stemmelser i direktivforslaget vedrørende ”ulovlig opfangning” og”værktøjer” bygger som nævnt på tilsvarende bestemmelser i Europarå-dets konvention.Hvis forslaget til direktiv fandt anvendelse i Danmark, vurderes det, atdansk lovgivning allerede i vidt omfang opfylder de forpligtelser, der erindeholdt i direktivforslaget. En gennemførelse i dansk ret ville imidler-tid nødvendiggøre enkelte lovændringer, bl.a. at strafferammen i hvertfald i en bestemmelse skal forhøjes til 2 år. Det kan endvidere ikke ude-
9
lukkes, at forslagets bestemmelse om skærpende omstændigheder kunnenødvendiggøre visse lovændringer.

4.2. Statsfinansielle konsekvenser

Da forslaget som nævnt ikke vil være bindende for Danmark, har forslag-et ikke statsfinansielle konsekvenser.Hvis forslaget til direktiv fandt anvendelse i Danmark, skønnes det atville have statsfinansielle konsekvenser af mindre betydning.

5.

Høring

Forslaget er sendt i høring hos følgende myndigheder og organisationermv.:Østre Landsret, Vestre Landsret, Sø- og Handelsretten, samtlige byretter,Procesbevillingsnævnet, Domstolsstyrelsen, Rigspolitiet, Politiets Efter-retningstjeneste, Rigsadvokaten, Den Danske Dommerforening, Dom-merfuldmægtigforeningen, Datatilsynet, Direktoratet for Kriminalforsor-gen, Foreningen af offentlige anklagere, Politiforbundet, Advokatrådet,Landsforeningen af beskikkede advokater, Danske Advokater, AmnestyInternational, Institut for Menneskerettigheder, Retspolitisk Forening ogRetssikkerhedsfonden.Justitsministeriet har fastsat høringsfristen til den 30. november 2010.

6.

Nærhedsprincippet

Kommissionen har om nærhedsprincippet bl.a. anført, at it-kriminalitetog navnlig angreb på informationssystemer har en væsentlig grænseover-skridende dimension, som er mest iøjnefaldende i forbindelse med omfat-tende angreb, hvor de forskellige elementer af angrebet ofte befinder sigpå forskellige steder og i forskellige lande. Forslaget vil medføre en yder-ligere indbyrdes tilnærmelse af medlemsstaternes materielle strafferet ogretsplejeregler på området.Regeringens foreløbige vurdering er, at forslaget ikke er i strid med nær-hedsprincippet. Regeringen kan i den forbindelse tilslutte sig Kommissi-onens betragtninger.

7.

Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-lemsstaters holdning til forslaget.10

8.

Foreløbig generel dansk holdning

Fra dansk side finder man på nuværende tidspunkt – hvor den igangsattehøring ikke er afsluttet – ikke at burde tage endelig stilling til forslaget.Man er dog umiddelbart positiv over for forslaget.

9.

Orientering af andre af Folketingets udvalg

Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-tingets Retsudvalg.
11