REU, Alm.del - 2010-11 (1. samling) - Bilag 63: Grundnotat om angreb på informationssystemer og om ophævelse af Rådets rammeafgørelse 2005/222/RIA. fra justitsministeren

Formålet med forslaget er at erstatte Rådets rammeafgørelse 2005/222/RIA af 24. februar2005 om angreb på informationssystemer1. Denne rammeafgørelse er som anført ibetragtningerne en konsekvens af ønsket om at forbedre samarbejdet mellem de retlige ogandre kompetente myndigheder, herunder politiet og andre specialiserede retshåndhævendemyndigheder i medlemsstaterne, ved at foretage en indbyrdes tilnærmelse af medlems-staternes strafferetlige regler om angreb på informationssystemer. Med rammeafgørelsen blevder indført EU-lovgivning om lovovertrædelser, såsom ulovlig adgang til informations-systemer, ulovligt indgreb i informationssystemer og ulovligt indgreb i data, samt særligeregler om juridiske personers ansvar, straffemyndighed og udveksling af oplysninger.Medlemsstaterne skulle træffe de nødvendige foranstaltninger for at efterkomme ramme-afgørelsen senest den 16. marts 2007.Den 14. juli 2008 offentliggjorde Kommissionen en beretning om gennemførelsen aframmeafgørelsen2. I beretningens konklusioner blev det anført, at der var gjort betydeligefremskridt i de fleste medlemsstater, og at gennemførelsesgraden var relativt god, men atgennemførelsen endnu ikke var tilendebragt i visse medlemsstater. Senere henne i beretningenanførtes det, at "de nylige angreb på tværs af Europa har sat fokus på adskillige nye trusler,siden rammeafgørelsen blev vedtaget, navnlig de nye massive simultane angreb påinformationssystemer og øget kriminel brug af såkaldte botnet". Der var ikke særligopmærksomhed på disse angreb, da rammeafgørelsen blev vedtaget. På foranledning af denneudvikling vil Kommissionen overveje at træffe foranstaltninger med henblik på at udtænkebedre metoder til at imødegå truslen (med hensyn til en forklaring af "botnet" henvises der tilnæste underafsnit).Vigtigheden af at træffe yderligere foranstaltninger til at øge bekæmpelsen af it-kriminalitetblev fremhævet i Haagprogrammet af 2004 om styrkelse af frihed, sikkerhed og retfærdighedi Den Europæiske Union og i Stockholmprogrammet af 2009 og handlingsplanen hertil3.Endvidere blev der erkendt et behov for at takle de nye former for kriminalitet, der opstår,særligt it-kriminalitet på EU-plan, i den digitale dagsorden for Europa4, det førsteflagskibsinitiativ vedtaget under Europa 2020-strategien, der for nylig blev fremlagt. Påindsatsområdet vedrørende tillid og sikkerhed har Kommissionen givet tilsagn omforanstaltninger til bekæmpelse af it-angreb på informationssystemer.På internationalt plan anses Europarådets konvention om it-kriminalitet (herefter"konventionen om it-kriminalitet"), der blev undertegnet den 23. november 2001, for atindeholde de mest dækkende internationale standarder til dags dato, idet den giver enomfattende og sammenhængende ramme for de forskellige aspekter af it-kriminalitet5. Indtilvidere er konventionen blevet undertegnet af alle 27 medlemsstater, men kun ratificeret af

15 medlemsstater6. Konventionen trådte i kraft den 1. juli 2004. EU har ikke undertegnetkonventionen. På grund af konventionens vigtighed tilskynder Kommissionen aktivt deresterende medlemsstater til at ratificere den snarest muligt.•Generel baggrundHvad angår it-kriminalitet, er sårbarhed på grund af en række faktorer den vigtigste årsag tilfænomenet. Utilstrækkelige retshåndhævelsesforanstaltninger er en medvirkende årsag tiludbredelsen af fænomenet og bidrager til vanskelighederne, idet visse former forlovovertrædelser begås på tværs af landegrænserne. Anmeldelse af denne type kriminalitet erofte utilstrækkelig, dels fordi visse forbrydelser ikke opdages, dels fordi ofrene(erhvervsdrivende og virksomheder) ikke anmelder forbrydelserne af frygt for at få et dårligtrygte og for, at fremtidsudsigterne for deres virksomhed bliver skadet af, at deres sårbarhedbliver offentligt kendt.Endvidere kan forskelligheder i national strafferet og strafferetspleje give anledning tilforskelle i efterforskningen og retsforfølgningen, hvilket kan føre til, at disse forbrydelserbehandles forskelligt. Udviklingen i informationsteknologi har gjort disse problemer større,idet det er blevet lettere at fremstille og distribuere værktøjer ("malware" og "botnet"),samtidig med at forbryderne kan bevare deres anonymitet, og ansvaret spredes over flerejurisdiktioner. På grund af de vanskeligheder, der er forbundet med retsforfølgning, kanorganiseret kriminalitet være særdeles indbringende, uden at der løbes nogen større risiko.Forslaget tager hensyn til de nye metoder til at begå it-kriminalitet, navnlig brug af botnet.Udtrykket "botnet" betyder et netværk af computere, der er blevet inficeret af ondsindetsoftware (computervirus). Et sådant netværk af inficerede computere ("zombier") kanaktiveres, så de udfører nærmere bestemte handlinger, såsom at angribe informationssystemer(it-angreb). "Zombierne" kan styres - ofte uden at brugerne af de inficerede computere harkendskab til det - fra en anden computer. Den "styrende" computer kaldes også "kommando-og kontrolcentret". De personer, der kontrollerer centret, er blandt gerningsmændene, idet debruger de inficerede computere til at angribe informationssystemer. Det er meget vanskeligt atopspore gerningsmændene, fordi de computere, der udgør botnettet og udfører angrebet, kanbefinde sig et andet sted end gerningsmanden selv.Angreb, der foretages ved hjælp af botnet, er ofte meget omfattende. Omfattende angreb erangreb, der enten udføres ved hjælp af værktøjer, der griber ind i et betydeligt antalinformationssystemer (computere), eller angreb, der volder betydelig skade, såsom i form afafbrydelse af systemtjenester, økonomiske omkostninger eller tab af personlige data. Skade,som forvoldes ved omfattende angreb, har betydelige konsekvenser for funktionen af det, derer målet for angrebet, og/eller påvirker dets arbejdsomgivelser. På den baggrund forstås derved "et stort botnet" et botnet, der er i stand til at volde betydelig skade. Det er svært nærmereat afgrænse størrelsen af botnet, men de største, der er set, har man anslået havde mellem40 000 og 100 000 forbindelser (dvs. inficerede computere) i døgnet7.

•Gældende bestemmelser på det område, som forslaget vedrørerPå EU-plan indførte rammeafgørelsen et minimumsniveau for den indbyrdes tilnærmelse afmedlemsstaternes lovgivning med henblik på at strafbelægge en række it-forbrydelser,herunder tiltvingelse af ulovlig adgang til informationssystemer, ulovligt indgreb iinformationssystemer, ulovligt indgreb i data og anstiftelse heraf, medvirken og tilskyndelsehertil samt forsøg herpå.Selv om bestemmelserne i rammeafgørelsen generelt er blevet gennemført afmedlemsstaterne, har afgørelsen en række mangler på grund af tendensen i overtrædelsernesomfang og antal (it-angreb). Rammeafgørelsen medfører kun en tilnærmelse af lovgivningen,for så vidt angår et begrænset antal lovovertrædelser, men tager ikke i fuldt omfang højde forden potentielle trussel, som omfattende angreb udgør for samfundet. Den tager heller ikketilstrækkeligt hensyn til forbrydelsernes grovhed og sanktionerne mod dem.Andre EU-initiativer og programmer, der er gældende eller planlagt, takler i et vist omfangproblemer vedrørende it-angreb eller spørgsmål som netsikkerhed og sikkerhed forinternetbrugere, heriblandt aktioner, der støttes gennem programmer som "forebyggelse ogbekæmpelse af kriminalitet"8, "strafferet"9og "sikrere brug af internettet"10samt "initiativetvedrørende kritisk informationsinfrastruktur11. Ud over rammeafgørelsen findes der en andenrelevant gældende retsakt, nemlig Rådets rammeafgørelse 2004/68/RIA om bekæmpelse afseksuel udnyttelse af børn og børnepornografi.På det administrative plan er inficering af computere, hvorved de bliver gjort til "botnet",allerede forbudt i henhold til EU's regler om beskyttelse af privatlivets fred ogdatabeskyttelse12. Navnlig samarbejder nationale administrative organer allerede medhinanden inden for rammerne af det europæiske kontaktnetværk for myndigheder med ansvarfor spam. I henhold til de pågældende regler skal medlemsstaterne forbyde opfangning afkommunikationer ved brug af offentlige kommunikationsnet og offentligt tilgængeligeelektroniske kommunikationstjenester uden de pågældende brugeres samtykke og udentilladelse i henhold til loven.Nærværende forslag er i overensstemmelse med disse regler. Medlemsstaterne bør væreopmærksomme på, at samarbejdet mellem administrative myndigheder og retshåndhævendemyndigheder skal forbedres, for så vidt angår sager, hvor der både kan ifaldesforvaltningsretlige og strafferetlige sanktioner.•Overensstemmelse med andre EU-politikker og -målFormålene er i overensstemmelse med EU's politik med hensyn til at bekæmpe organiseretkriminalitet, øge edb-nettenes modstandskraft, beskytte kritisk informationsinfrastruktur ogdatabeskyttelse. Målene er også i overensstemmelse med programmet for sikrere brug afinternettet, som blev udarbejdet for at fremme en sikrere brug af internettet og nyeonlineteknologier og bekæmpe ulovligt indhold.

•Høring af interesserede parterEt vidt spektrum af sagkyndige på området er blevet hørt under en række forskellige møder,hvor man har behandlet forskellige aspekter af bekæmpelsen af it-kriminalitet, herunder detretslige efterspil af disse forbrydelser (retsforfølgelsen). De omfattede særligt repræsentanterfor medlemsstaternes regeringer og den private sektor, specialkyndige dommere og anklagere,internationale organisationer, EU-agenturer og ekspertgrupper. En række eksperter ogorganisationer har efterfølgende indsendt bemærkninger og oplysninger.Hovedkonklusionerne af høringen er, at der er behov for:– at EU handler på dette område– at visse former for lovovertrædelser, som ikke er omfattet af den nuværenderammeafgørelse, gøres strafbare, navnlig nye former for it-angreb (botnet)– at hindringer for efterforskning og retsforfølgning i sager, der går på tværs aflandegrænserne, fjernes.I konsekvensanalysen er der taget hensyn til de bemærkninger, der er modtaget underhøringen.Indhentning og brug af ekspertbistandEkstern ekspertise er blevet indhentet under en række møder med interesserede parter.KonsekvensanalyseDer er set på forskellige politiske løsninger på, hvordan målet kan opfyldes.•Løsning 1: Status quo/Ingen nye EU-foranstaltningerDenne løsning indebærer, at EU ikke træffer nogen yderligere foranstaltninger til at bekæmpedenne særlige type it-kriminalitet, dvs. angreb på informationssystemer. De igangværendeforanstaltninger fortsættes, navnlig programmet til styrkelse af beskyttelsen af kritiskinformationsinfrastruktur og forbedring af samarbejdet mellem det offentlige og det private tilbekæmpelse af it-kriminalitet.•Løsning 2: Udvikling af et program til at øge indsatsen for at bekæmpe angreb påinformationssystemer ved hjælp af ikke-lovgivningsmæssige foranstaltningerIkke-lovgivningsmæssige foranstaltninger vil i forlængelse af programmet til beskyttelse afkritisk informationsinfrastruktur fokusere på retshåndhævelse og samarbejde mellem detoffentlige og det private på tværs af landegrænserne. Disse "soft law"-instrumenter bør sigte

mod at fremme en yderligere koordineret indsats på EU-plan, herunder en styrkelse af deeksisterende døgnbemandede netværk af kontaktpunkter for de retshåndhævendemyndigheder, oprettelse af et EU-netværk af offentlig-private kontaktpunkter, der involverereksperter i it-kriminalitet og retshåndhævende myndigheder, udarbejdelse af en EU-standardaftale om serviceniveauet for de retshåndhævende myndigheders samarbejde medoperatører i den private sektor og støtte til tilrettelæggelsen af programmer for uddannelse afde retshåndhævende myndigheder i efterforskning af it-kriminalitet.•Løsning 3: Målrettet ajourføring af reglerne i rammeafgørelsen (et nyt direktiv tilerstatning for den nuværende rammeafgørelse) for at imødegå truslen om omfattendeangreb på informationssystemer (botnet) og - når lovovertrædelsen begås ved at skjulegerningsmandens rigtige identitet og skade den, som identiteten egentlig tilhører - fremmeeffektiviteten af medlemsstaternes retshåndhævende myndigheders kontaktpunkter ogafhjælpe manglen på statistiske oplysninger om it-angreb.Anvendes denne løsning, skal der indføres særlig målrettet (dvs. begrænset) lovgivning for atforebygge omfattende angreb på informationssystemer. En sådan styrket lovgivning villeblive ledsaget af ikke-lovgivningsmæssige foranstaltninger til at styrke det operationellesamarbejde over landegrænserne om sådanne angreb, hvilket ville lette gennemførelsen af delovgivningsmæssige foranstaltninger. Formålet med disse foranstaltninger ville være atfremme den kritiske informationsinfrastrukturs beredskab, sikkerhed og modstandsdygtighedog udveksle erfaringer om den bedste praksis.•Løsning 4: Indførelse af omfattende EU-lovgivning til bekæmpelse af it-kriminalitetDenne løsning ville indebære omfattende ny EU-lovgivning. Ud over at indføre de "soft law"-foranstaltninger, der er nævnt under løsning 2, og foretage den i løsning 3 nævnte ajourføring,ville denne løsning også takle andre juridiske problemer i forbindelse med brug af internettet.Disse foranstaltninger ville ikke alene omfatte angreb på informationssystemer, men ogsåspørgsmålsomøkonomiskit-kriminalitet,ulovligtinternetindhold,indsamling/lagring/overførsel af elektroniske beviser, og mere detaljerede regler omjurisdiktionskompetence. Lovgivningen ville gælde sideløbende med Europarådetskonvention om it-kriminalitet og ville omfatte de dermed forbundne ikke-lovgivningsmæssigeforanstaltninger, der er nævnt ovenfor.•Løsning 5: Ajourføring af Europarådets konvention om it-kriminalitetDenne løsning ville kræve betydelig genforhandling af den nuværende konvention, hvilket eren langsommelig proces og uforeneligt med den tidsramme for handling, som foreslås ikonsekvensanalysen. Der er tilsyneladende ingen international vilje til at genforhandlekonventionen. En ajourføring af konventionen kan derfor ikke anses for en mulig løsning, daden falder uden for den ønskede tidsramme for handling.Den foretrukne politiske løsning: En kombination af ikke-lovgivningsmæssigeforanstaltninger (løsning 2) med en målrettet ajourføring af rammeafgørelsen (løsning 3)Ifølge analysen af de økonomiske og sociale konsekvenser og konsekvenserne for degrundlæggende rettigheder udgør løsning 2 og 3 den bedste tilgang til at løse problemerne ogopfylde målene i forslaget.I forbindelse med udarbejdelsen af dette forslag har Kommissionen foretaget enkonsekvensanalyse.

•Resumé af forslagetSelv om direktivet ophæver rammeafgørelse 2005/222/RIA, vil det bevare rammeafgørelsensgældende bestemmelser og indeholde følgende nye elementer:– Vedrørende materiel strafferet generelt gør direktivet følgende:A.Det strafbelægger fremstilling, salg, erhvervelse med henblik på brug, import,distribution eller på anden måde stillen til rådighed af anordninger eller værktøj, deranvendes til at begå lovovertrædelserne.Det indeholder bestemmelser om skærpende omstændigheder:•Omfattende angreb - der vil blive taget hensyn til botnet eller tilsvarendeværktøjer, idet der indføres et nyt forhold som skærpende omstændighed, såledesat det, at der etableres et botnet eller et tilsvarende værktøj, vil være en skærpendeomstændighed, når de forbrydelser, der er opført i den gældende rammeafgørelse,begås.•Når angrebene begås ved at skjule gerningsmandens rigtige identitet og skade den,som identiteten egentlig tilhører. Disse regler ville skulle være i overensstemmelsemed legalitetsprincippet og princippet om, at straffen skal stå i et rimeligt forholdtil lovovertrædelsens grovhed, og være i overensstemmelse med gældendelovgivning om beskyttelse af personoplysninger13.C.D.Det indfører "ulovlig opfangning" som en lovovertrædelse.Det indfører foranstaltninger til at forbedre EU-samarbejdet om strafferetspleje vedat styrke den eksisterende struktur med døgnbemandede kontaktpunkter14:•Det foreslås, at der indføres en forpligtelse til at efterkomme anmodninger ombistand fra de operationelle kontaktpunkter (jf. direktivets artikel 14) inden en vistidsfrist. Konventionen om it-kriminalitet indeholder ikke nogen bindendebestemmelse herom. Formålet med denne foranstaltning er at sikre, atkontaktpunkterne inden en nærmere fastsat frist oplyser, om de kan finde enløsning på anmodningen om bistand, og hvornår det kontaktpunkt, der fremsætteranmodningen, kan forvente, dette sker. Det angives ikke nærmere, nøjagtigt hvoriløsningerne skal bestå.E.Det opfylder behovet for at skaffe statistiske oplysninger om it-forbrydelser ved atgøre det obligatorisk for medlemsstaterne at sikre, at der findes et passende system tilregistrering, fremstilling og fremlæggelse af statistiske oplysninger om delovovertrædelser, der er nævnt i den eksisterende rammeafgørelse, samt den nyeovertrædelse "opfangning".

I definitionerne af de strafbare forhold i artikel 3, 4 og 5 (ulovlig adgang tilinformationssystemer, ulovligt indgreb i informationssystemer, ulovligt indgreb i data)indeholder direktivet en bestemmelse, der giver adgang til kun at kriminalisere "groveretilfælde" i forbindelse med gennemførelsen af direktivet i national ret. Dette element affleksibilitet skal gøre det muligt for medlemsstaterne ikke at dække tilfælde, som ud fra engenerel betragtning ville være omfattet af den grundlæggende definition, men som anses forikke at være til skade for den beskyttede retlige interesse, særligt handlinger begået af ungemennesker, der forsøger at bevise deres ekspertviden i it-teknologi. Denne mulighed for atbegrænse kriminaliseringsområdet bør dog ikke føre til, at der indføres yderligere elementer igerningsindholdet af lovovertrædelserne ud over dem, der allerede er medtaget i direktivet, dadette ville føre til den situation, at kun lovovertrædelser, der begås under skærpendeomstændigheder, dækkes. Under gennemførelsen bør medlemsstaterne særligt afholde sig fraat indføje yderligere elementer i gerningsindholdet for de grundlæggende lovovertrædelser,såsom særligt forsæt til at opnå ulovlig vinding fra forbrydelsen eller særlig virkning, såsomat der er forvoldt væsentlig skade.•RetsgrundlagArtikel 83, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde15.•NærhedsprincippetNærhedsprincippet gælder for Den Europæiske Unions foranstaltninger. Målene medforslaget kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne af følgende grunde:It-kriminalitet og navnlig angreb på informationssystemer har en væsentliggrænseoverskridende dimension, som er mest påfaldende i forbindelse med omfattendeangreb, hvor de indbyrdes forbundne elementer af angrebet ofte befinder sig på forskelligesteder og i forskellige lande. Dette kræver handling fra EU's side, navnlig for at være påforkant med den nuværende tendens til omfattende angreb i Europa og verden over. Der erogså blevet opfordret til handling fra EU's side og til en ajourføring af rammeafgørelse2005/222/RIA i Rådets konklusioner fra november 200816, da formålet om effektivt atbeskytte borgerne mod it-kriminalitet ikke i tilstrækkeligt omfang kan nås af medlemsstaternealene.Målene med forslaget kan opfyldes bedre gennem foranstaltninger på EU-plan af følgendeårsager:Forslaget vil medføre en yderligere indbyrdes tilnærmelse af medlemsstaternes materiellestrafferet og retsplejeregler, hvilket vil have en positiv virkning på bekæmpelsen af disseforbrydelser. For det første er det en måde at forebygge, at lovovertræderne flytter tilmedlemsstater, hvor lovgivningen om it-angreb er mindre streng. For det andet er det muligtat udveksle oplysninger og indsamle og sammenligne relevante data, når de defineres påsamme måde. For det tredje fremmes også effektiviteten af forebyggende foranstaltningerover hele EU og det internationale samarbejde.Forslaget er derfor i overensstemmelse med nærhedsprincippet.

•ProportionalitetsprincippetForslaget er i overensstemmelse med proportionalitetsprincippet af følgende grunde:Dette direktiv omfatter kun, hvad der er strengt nødvendigt for at opfylde disse mål på EU-plan, og er ikke mere vidtgående, end hvad der er nødvendigt til dette formål under hensyn tilbehovet for præcision i straffelovgivningen.•ReguleringsmiddelForeslået reguleringsmiddel: direktiv.Andre midler vil ikke være hensigtsmæssige af følgende grund:I henhold til hjemlen skal der vedtages et direktiv.Foranstaltninger af ikke-lovgivningsmæssig karakter og selvregulering ville forbedresituationen på visse områder, hvor gennemførelse er meget vigtig. Men inden for andreområder, hvor ny lovgivning er altafgørende, ville fordelene være begrænsede.4.BUDGETMÆSSIGE KONSEKVENSER

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 83,stk. 1,under henvisning til forslag fra Europa-Kommissionen17,efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg,under henvisning til udtalelse fra Regionsudvalget,efter den almindelige lovgivningsprocedure ogud fra følgende betragtninger:(1)Direktivets formål er at tilnærme medlemsstaternes strafferetlige regler til hinandenmed hensyn til angreb på informationssystemer og at forbedre samarbejdet mellem deretlige og andre kompetente myndigheder, herunder politiet og andre specialiserederetshåndhævende myndigheder i medlemsstaterne.Angreb på informationssystemer, især som led i organiseret kriminalitet, er envoksende trussel, og der er i stigende grad bekymring for mulige terrorangreb ellerpolitisk motiverede angreb på informationssystemer, der indgår i medlemsstaternes ogDen Europæiske Unions kritiske infrastruktur. Dette er en trussel mod etableringen afet sikrere informationssamfund og et område med frihed, sikkerhed og retfærdighed ogkræver derfor en reaktion fra Den Europæiske Unions side.Der er en klar tendens til, at angrebene på informationssystemer af afgørendebetydning for staterne eller for enkelte funktioner i den offentlige eller private sektorbliver stadig farligere, sker hyppigere og er mere omfattende. Denne tendens faldersammen med udviklingen af stadigt mere avancerede værktøjer, der kan bruges afforbrydere til at foretage forskellige typer angreb over internettet.Fælles definitioner på dette område, især af informationssystemer og edb-data, ervigtige for at sikre samme holdning i alle medlemsstaterne til anvendelsen af dettedirektiv.

Der er behov for at nå frem til en fælles tilgang til gerningsindholdet af strafbarehandlinger ved at indføre fælles definitioner af lovovertrædelser med hensyn tilulovlig adgang til informationssystemer, ulovligt indgreb i informationssystemer,ulovligt indgreb i data og ulovlig opfangning.Medlemsstaterne bør træffe bestemmelse om sanktioner for angreb påinformationssystemer. Sanktionerne bør være effektive, stå i et rimeligt forhold tilovertrædelsernes grovhed og have afskrækkende virkning.Der bør fastsættes strengere straffe, når det er en kriminel organisation som defineret iRådets rammeafgørelse 2008/841/RIA af 24. oktober 2008 om bekæmpelse aforganiseret kriminalitet18, der har begået angrebet på informationssystemet, nårangrebet er meget omfattende, og når lovovertrædelsen begås ved at skjulegerningsmandens rigtige identitet og skade den, som identiteten egentlig tilhører. Derbør også indføres strengere sanktioner, når et sådant angreb har forvoldt alvorlig skadeeller har berørt væsentlige interesser.I sine konklusioner fra mødet den 27. og 28. november 2008 udtalte Rådet, at derburde udvikles en ny strategi sammen med medlemsstaterne og Kommissionen, hvorider skulle tages hensyn til indholdet af Europarådets konvention om it-kriminalitet af2001. Konventionen udgør den retlige referenceramme for bekæmpelse af it-kriminalitet, herunder angreb på informationssystemer. Dette direktiv bygger påkonventionen.Under hensyn til de forskellige måder, hvorpå angreb kan foretages, og på grund afden hurtige udvikling i hardware og software, bør direktivet omhandle "værktøj", somkan bruges til at begå de lovovertrædelser, der er opført i direktivet. Ved værktøjforstås f.eks. ondsindet software, herunder botnet, der bruges til at begå it-angreb.Det er ikke hensigten, at direktivet skal pålægge strafferetligt ansvar, nårlovovertrædelserne begås uden forsæt til at begå en forbrydelse, f.eks. i forbindelsemed tilladt testning eller beskyttelse af informationssystemer.Direktivet øger vigtigheden af netværk, såsom G8 og Europarådets netværk afkontaktpunkter, der står til disposition døgnet rundt på alle ugens dage, til udvekslingaf information for at sikre, at der straks ydes bistand i forbindelse med efterforskningeller procedurer vedrørende lovovertrædelser i forbindelse med informationssystemerog data eller indsamling af beviser for en lovovertrædelse i elektronisk form.. På grundaf den hastighed, hvormed der kan foretages omfattende angreb, bør medlemsstaternevære i stand til straks at reagere på hastende anmodninger fra netværket afkontaktpunkter. Denne bistand bør bl.a. bestå i at fremme eller sikre, at der træffesforanstaltninger, såsom teknisk rådgivning, opbevaring af data, indsamling af beviser,tilvejebringelse af juridiske oplysninger og opsporing af mistænkte.Der er behov for at indsamle oplysninger om lovovertrædelser omfattet af dettedirektiv med henblik på at få et mere fuldstændigt billede af problemet på EU-plan ogdermed bidrage til at finde mere effektive løsninger på problemet. Oplysningerne vilderudover hjælpe specialiserede organer, såsom Europol og Det Europæiske Agentur

for Net- og Informationssikkerhed, til at foretage en bedre vurdering af it-kriminalitetens omfang og af net- og informationssikkerhedssituationen i Europa.(13)Betydelige mangler i og forskelle mellem medlemsstaternes lovgivning om angreb påinformationssystemer kan hæmme bekæmpelsen af organiseret kriminalitet ogterrorisme og kan vanskeliggøre et effektivt samarbejde mellem politi og retsvæsen pådette område. Den omstændighed, at moderne informationssystemer går på tværs aflandene og landegrænserne, betyder, at angreb på sådanne systemer har engrænseoverskridende dimension, hvilket understreger det presserende behov foryderligere initiativer med henblik på en indbyrdes tilnærmelse af de strafferetligeregler på området. Derudover bør koordineringen af retsforfølgningen i forbindelsemed tilfælde af angreb på informationssystemer være lettet ved vedtagelsen af Rådetsrammeafgørelse 2009/948/RIA om forebyggelse og bilæggelse af konflikter omudøvelse af jurisdiktion i straffesager.Da målene med dette direktiv, dvs. at sikre, at angreb på informationssystemer i allemedlemsstaterne straffes med sanktioner, der er effektive, står i et rimeligt forhold tilovertrædelsernes grovhed og har afskrækkende virkning, og at forbedre og fremme detretlige samarbejde ved at fjerne potentielle komplikationer, ikke i tilstrækkelig gradkan opfyldes af medlemsstaterne - idet reglerne skal være fælles og indbyrdesforenelige - og derfor bedre kan gennemføres på EU-plan, kan EU vedtageforanstaltninger i overensstemmelse med nærhedsprincippet, jf. EU-traktatensartikel 5. Dette direktiv går ikke ud over, hvad der er nødvendigt for at nå disse mål.Alle personoplysninger, der behandles i forbindelse med gennemførelsen af dettedirektiv, bør beskyttes i overensstemmelse med reglerne i Rådets rammeafgørelse2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger iforbindelse med politisamarbejde og retligt samarbejde i kriminalsager19, for så vidtangår den databehandling, der er omfattet af rammeafgørelsens anvendelsesområde, ogEuropa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 ombeskyttelse af fysiske personer i forbindelse med behandling af personoplysninger ifællesskabsinstitutionerne og -organerne og om fri udveksling af sådanneoplysninger20.I dette direktiv overholdes de grundlæggende rettigheder og de principper, som bl.a. eranerkendt i Den Europæiske Unions charter om grundlæggende rettigheder, herunderbeskyttelse af personoplysninger, ytrings- og informationsfrihed, ret til en upartiskdomstol, uskyldsformodning og ret til et forsvar samt legalitetsprincippet og princippetom proportionalitet mellem lovovertrædelse og straf. Dette direktiv tilsigter især atsikre, at disse rettigheder og principper respekteres fuldt ud, og skal gennemføres ioverensstemmelse med dem.[I medfør af artikel 1, 2, 3 og 4 i protokollen om Det Forenede Kongeriges og Irlandsstilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttetsom bilag til traktaten om Den Europæiske Unions funktionsmåde, har Det ForenedeKongerige og Irland meddelt, at de ønsker at deltage i vedtagelsen og anvendelsen afdette direktiv]/[Med forbehold af artikel 4 i protokollen om Det Forenede Kongerigesog Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed

GenstandDette direktiv fastsætter nærmere bestemmelser om de strafbare handlinger i forbindelse medangreb på informationssystemer og fastsætter minimumsregler for straffe herfor. Det indførerendvidere fælles bestemmelser om forebyggelse af angrebene og forbedring af EU-samarbejdet om strafferetspleje på dette område.Artikel 2DefinitionerI dette direktiv forstås ved:a)"informationssystem": enhver enhed eller gruppe af indbyrdes forbundne ellerbeslægtede enheder, hvoraf en eller flere ved hjælp af et program udfører automatiskbehandling af edb-data samt edb-data, som lagres, behandles, fremfindes elleroverføres i forbindelse med systemernes drift, brug, beskyttelse og vedligeholdelse"edb-data": enhver form for gengivelse af fakta, informationer eller begreber i etformat, der egner sig til behandling i et informationssystem, herunder et program,som kan anvendes til at få et informationssystem til at udføre en funktion"juridisk person": enhver enhed, der har denne status i henhold til den lovgivning,der finder anvendelse, med undtagelse af stater eller andre offentlige organer, derudøver offentlig myndighed, og offentlige internationale organisationer"uretmæssig": adgang eller indgreb, som ejeren eller en anden retmæssig indehaveraf systemet eller en del af det ikke har givet tilladelse til, eller som ikke er tilladt ihenhold til national lovgivning.

Artikel 3Ulovlig adgang til informationssystemerMedlemsstaterne træffer de nødvendige foranstaltninger for at gøre det strafbart forsætligt atskaffe sig uretmæssig adgang til et informationssystem eller en del heraf, i det mindste igrovere tilfælde.Artikel 4Ulovligt indgreb i informationssystemerMedlemsstaterne træffer de nødvendige foranstaltninger til at gøre det strafbart forsætligt oguretmæssigt at forårsage en alvorlig hindring eller afbrydelse af et informationssystems driftved at indlæse eller overføre edb-data eller ved at beskadige, slette, forvanske, ændre,tilbageholde eller hindre adgang til dets edb-data, i det mindste i grovere tilfælde.Artikel 5Ulovligt indgreb i dataMedlemsstaterne træffer de nødvendige foranstaltninger til at gøre det strafbart forsætligt oguretmæssigt at slette, beskadige, forvanske, ændre, tilbageholde eller hindre adgang til edb-data i et informationssystem, i det mindste i grovere tilfælde.Artikel 6Ulovlig opfangningMedlemsstaterne træffer de nødvendige foranstaltninger til at gøre det strafbart forsætligt oguretmæssigt at opfange ikke-offentlige overførsler af edb-data til, fra eller inden for etinformationssystem, herunder elektromagnetisk stråling fra et informationssystem, derindeholder disse edb-data, ved hjælp af tekniske hjælpemidlerArtikel 7Værktøjer, der anvendes til at begå de strafbare handlingerMedlemsstaterne træffer de nødvendige foranstaltninger til at gøre det strafbart forsætligt oguretmæssigt at fremstille, sælge, erhverve med henblik på brug, importere, være i besiddelseaf, distribuere eller på anden måde foretage tilrådighedsstillelse af følgende, med henblik på atbegå en af de strafbare handlinger i artikel 3-6:a)b)anordninger, herunder edb-programmer, der hovedsagelig er beregnet eller tilpassettil at begå en af de strafbare handlinger i artikel 3-6edb-password, adgangskoder eller tilsvarende data, hvorved der kan opnås adgang tilet helt informationssystem eller en del heraf.

Artikel 8Anstiftelse, medvirken, tilskyndelse og forsøg1.2.Medlemsstaterne sikrer, at det er strafbart at anstifte, medvirke og tilskynde til atbegå en strafbar handling som omhandlet i artikel 3-7.Medlemsstaterne sikrer, at det er strafbart at forsøge at begå en strafbar handling somomhandlet i artikel 3-6.Artikel 9Sanktioner1.Medlemsstaterne træffer de nødvendige foranstaltninger for at sikre, at de iartikel 3-8 omhandlede strafbare handlinger kan straffes med strafferetligesanktioner, der er effektive, står i et rimeligt forhold til den strafbare handlingsgrovhed og har afskrækkende virkning.Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de strafbarehandlinger i artikel 3-7 kan straffes med strafferetlige sanktioner med en maksimalfængselsstraf på mindst to år.Artikel 10Skærpende omstændigheder1.Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de strafbarehandlinger i artikel 3-7 kan straffes med strafferetlige sanktioner med en maksimalfængselsstraf på mindst fem år, når de begås inden for rammerne af en kriminelorganisation som defineret i rammeafgørelse 2008/841/RIA.Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de strafbarehandlinger i artikel 3-6 kan straffes med strafferetlige sanktioner med en maksimalfængselsstraf på mindst fem år, når de begås ved hjælp af et værktøj, der er beregnettil at foretage angreb, der berører et betydeligt antal informationssystemer, ellerangreb, der volder betydelig skade, såsom afbrydelse af systemtjenester, økonomiskeomkostninger eller tab af personlige data.Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de strafbarehandlinger i artikel 3-6 kan straffes med strafferetlige sanktioner med en maksimalfængselsstraf på mindst fem år, når de begås ved at skjule gerningsmandens rigtigeidentitet og skade den, som identiteten egentlig tilhører.

Artikel 11Juridiske personers ansvar1.Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at juridiskepersoner kan drages til ansvar for strafbare handlinger, jf. i artikel 3-8, som for atskaffe dem vinding begås af en person, der handler enten alene eller som medlem afet organ under den juridiske person, og som har en ledende stilling inden for denjuridiske person baseret på:a) en bemyndigelse til at repræsentere den juridiske personb) en beføjelse til at træffe beslutninger på den juridiske persons vegnec) en beføjelse til at udøve intern kontrol.2.Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at den juridiskeperson kan drages til ansvar, hvis manglende tilsyn eller kontrol fra en af de i stk. 1omhandlede personers side har gjort det muligt for en person, der er underlagt denjuridiske persons myndighed, at begå de strafbare handlinger i artikel 3-8 for atskaffe den juridiske person vinding.Juridiske personers ansvar i henhold til stk. 1 og 2 udelukker ikke strafferetligretsforfølgning af fysiske personer, der begår eller medvirker til de strafbarehandlinger i artikel 3-8.Artikel 12Sanktioner over for juridiske personer1.Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at der over forjuridiske personer, der kendes ansvarlige i henhold til artikel 11, stk. 1, kaniværksættes sanktioner, der er effektive, står i et rimeligt forhold tillovovertrædelsens grovhed og har afskrækkende virkning, omfatter strafferetlige ogandre bøder og kan omfatte andre sanktioner, såsom:a)b)c)d)e)2.udelukkelse fra offentlige ydelser eller tilskudmidlertidigt eller varigt forbud mod at udøve erhvervsvirksomhedanbringelse under retsligt tilsynlikvidation efter retskendelsemidlertidig eller permanent lukning af forretningssteder, der er blevet brugt tilat begå den strafbare handling.

Med henblik på udveksling af oplysninger om de strafbare handlinger, der eromhandlet i artikel 3-8, skal medlemsstaterne i overensstemmelse med reglerne omdatabeskyttelse gøre brug af det bestående netværk af kontaktpunkter, der fungererdøgnet rundt, alle ugens dage. Medlemsstaterne sikrer endvidere, at der findesprocedurer, så de kan besvare hasteanmodninger inden otte timer. Besvarelsen skalmindst angive, om anmodningen om hjælp vil blive imødekommet, hvordan det vilske og hvornår.Medlemsstaterne underretter Kommissionen om, hvilket kontaktpunkt de har udpegettil at udveksle oplysninger om de strafbare handlinger i artikel 3-8. Kommissionenvideresender oplysningerne til de øvrige medlemsstater.Artikel 15Overvågning og statistik

Rammeafgørelse 2005/222/RIA ophæves herved, idet dette dog ikke berørermedlemsstaternes forpligtelser med hensyn til frister for gennemførelse i national lovgivning.Henvisninger til den ophævede rammeafgørelse betragtes som henvisninger til dette direktiv.Artikel 17Gennemførelse1.Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraftfor at efterkomme dette direktiv senest [to år fra vedtagelsen]. De tilsender straksKommissionen disse bestemmelser med en sammenligningstabel, som visersammenhængen mellem de pågældende bestemmelser og dette direktiv.Bestemmelserne skal ved vedtagelsen indeholde en henvisning til dette direktiv ellerskal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler forhenvisningen fastsættes af medlemsstaterne.2.Medlemsstaterne tilsender Kommissionen de vigtigste nationale bestemmelser, somde udsteder på det område, der er omfattet af dette direktiv.Artikel 18Rapportering1.Senest [FIRE ÅR FRA VEDTAGELSEN] og derefter hvert tredje år forelæggerKommissionen en beretning om anvendelsen af dette direktiv i medlemsstaterne samteventuelle forslag for Europa-Parlamentet og Rådet.Medlemsstaterne sender Kommissionen alle de oplysninger, der er relevante forudarbejdelsen af den i stk. 1 omhandlede rapport. Oplysningerne skal omfatte endetaljeret beskrivelse af lovgivningsmæssige og ikke-lovgivningsmæssigeforanstaltninger, som er vedtaget i forbindelse med gennemførelsen af direktivet.

ORSLAGETS BEGRUNDELSE OG FORMÅL