BETÆNKNING om forslag til Europa-Parlamentets og Rådets direktiv om angreb på informationssystemer og om ophævelse af Rådets rammeafgørelse 2005/222/RIA

18.6.2013 - (KOM(2010)0517 – C7‑0293/2010 – 2010/0273(COD)) - ***I

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender
Ordfører: Monika Hohlmeier


Procedure : 2010/0273(COD)
Forløb i plenarforsamlingen
Dokumentforløb :  
A7-0224/2013
Indgivne tekster :
A7-0224/2013
Vedtagne tekster :

FORSLAG TIL EUROPA-PARLAMENTETS LOVGIVNINGSMÆSSIGE BESLUTNING

om forslag til Europa-Parlamentets og Rådets direktiv om angreb på informationssystemer og om ophævelse af Rådets rammeafgørelse 2005/222/RIA

(KOM(2010)0517 – C7‑0293/2010 – 2010/0273(COD))

(Almindelig lovgivningsprocedure: førstebehandling)

Europa-Parlamentet,

–   der henviser til Kommissionens forslag til Europa-Parlamentet og Rådet (KOM(2010)0517),

–   der henviser til artikel 294, stk. 2, og artikel 83, stk.1, i traktaten om Den Europæiske Unions funktionsmåde, på grundlag af hvilke Kommissionen har forelagt forslaget for Parlamentet (C7‑0293/2010),

–   der henviser til artikel 294, stk. 3, i traktaten om Den Europæiske Unions funktionsmåde,

–   der henviser til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg af 4. maj 2011[1],

–   der henviser til, at Rådets repræsentant ved skrivelse af xxx forpligtede sig til at godkende Europa-Parlamentets holdning, jf. artikel 294, stk. 4, i traktaten om Den Europæiske Unions funktionsmåde,

–   der henviser til forretningsordenens artikel 55,

–   der henviser til betænkning fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender og udtalelser fra Udenrigsudvalget og Udvalget om Industri, Forskning og Energi (A7-0224/2013),

1.  vedtager nedenstående holdning ved førstebehandling;

2.  anmoder om fornyet forelæggelse, hvis Kommissionen agter at ændre sit forslag i væsentlig grad eller erstatte det med en anden tekst;

3.  pålægger sin formand at sende Parlamentets holdning til Rådet og Kommissionen samt til de nationale parlamenter.

Ændringsforslag  129

Forslag til direktiv

EUROPA-PARLAMENTETS ÆNDRINGSFORSLAG*

til Kommissionens forslag

---------------------------------------------------------

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig

artikel 83, stk. 1,

under henvisning til forslag fra Europa-Kommissionen[2],

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg[3],

under henvisning til udtalelse fra Regionsudvalget,

efter den almindelige lovgivningsprocedure og

ud fra følgende betragtninger:

(1)         Direktivets formål er at tilnærme medlemsstaternes straffelovgivninger til hinanden med hensyn til angreb på informationssystemer ved at fastsætte minimumsregler for definitionen af strafbare handlinger og sanktioner på dette område og at forbedre samarbejdet mellem ▌de kompetente myndigheder, herunder politiet og andre specialiserede retshåndhævende myndigheder i medlemsstaterne samt kompetente specialiserede organer i Unionen, som f.eks. Eurojust, Europol og dets europæiske center for bekæmpelse af it-kriminalitet og Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA).

(1a)       Informationssystemer er et centralt element i det politiske, sociale og økonomiske samspil i Unionen. Samfundet er dybt afhængigt af sådanne systemer og bliver det i stadig større udstrækning. Disse systemers funktionsdygtighed og sikkerhed i Unionen er en forudsætning for udviklingen af det indre marked og af en konkurrencedygtig og innovativ økonomi. Der bør sikres et passende beskyttelsesniveau for informationssystemer som led i en effektiv overordnet ramme for forebyggende foranstaltninger, der ledsager de strafferet­lige foranstaltninger over for it-kriminalitet.

(2)  Angreb på informationssystemer, især angreb som led i organiseret kriminalitet, er en voksende trussel såvel i EU som globalt, og der er i stigende grad bekymring for mulige terrorangreb eller politisk motiverede angreb på informationssystemer, der indgår i medlemsstaternes og Den Europæiske Unions kritiske infrastruktur. Dette er en trussel mod etableringen af et sikrere informationssamfund og et område med frihed, sikkerhed og retfærdighed og kræver derfor en reaktion fra Den Europæiske Unions side samt bedre koordination og samarbejde på internationalt niveau.

(2a)       Der findes et vist antal kritiske infrastrukturer i Unionen, hvis afbrydelse eller ødelæggelse ville få betydelige konsekvenser på tværs af grænserne. Der er behov for at øge mulighederne for at beskytte kritisk infrastruktur i Unionen, og derfor bør foranstaltningerne mod it-angreb suppleres af alvorlige strafferetlige sanktioner, der afspejler disse angrebs alvorlige karakter. Kritisk infrastruktur kan forstås som aktiver, systemer eller dele deraf, der befinder sig i medlemsstaterne, og som er væsentlige for f.eks. opretholdelsen af vitale samfundsmæssige funktioner og menneskers sundhed, sikkerhed og økonomiske eller sociale velfærd, såsom kraftværker, transportnet og statslige net, og hvis afbrydelse eller ødelæggelse i væsentlig grad ville påvirke en medlemsstat som følge af, at disse funktioner ikke kan opretholdes.

(3)  Der er en klar tendens til stadig farligere og gentagne omfattende angreb på informationssystemer, der ofte kan være kritiske for staterne eller for enkelte funktioner i den offentlige eller private sektor. Denne tendens falder sammen med udviklingen af stadigt mere avancerede metoder, f.eks. oprettelsen og anvendelsen af de såkaldte botnet, der indebærer flere på hinanden følgende stadier af den strafbare handling, hvor hvert stadium i sig selv kan være til alvorlig fare for samfundets interesser. Direktivet sigter derfor bl.a. mod at indføre strafferetlige sanktioner for det stadium, hvor botnettet oprettes, dvs. det stadium, hvor der gennem målrettede it-angreb etableres fjernstyring af et betydeligt antal computere ved at inficere dem med ondsindet software. På et senere stadium kan det inficerede netværk af computere, der udgør botnettet, aktiveres uden computerbrugerens vidende for at foretage et omfattende it-angreb, der som regel vil have kapacitet til at volde alvorlig skade, som omhandlet i dette direktiv. Medlemsstaterne kan fastsætte, hvad der i henhold til deres nationale lovgivning og praksis udgør alvorlig skade, hvilket kan omfatte afbrydelse af systemtjenester med væsentlig betydning for offentligheden eller store økonomiske omkostninger eller tab af personoplysninger eller følsomme oplysninger.

(3a)  Omfattende angreb kan forvolde alvorlig økonomisk skade, såvel gennem afbrydelse af informationssystemerne og kommunikationsstrømmene som gennem tab eller forvanskning af kommercielt vigtig fortrolig information eller andre data. Der bør lægges særlig vægt på at gøre innovative SMV'er bevidste omkring de dermed forbundne trusler og sårbarheder som følge af deres øgede afhængighed af velfungerende og tilgængelige informationssystemer og ofte begrænsede midler til informationssikkerhed.

(4)         Fælles definitioner på dette område er vigtige for at sikre samme holdning i alle medlemsstaterne til anvendelsen af dette direktiv.

(5)         Der er behov for at nå frem til en fælles tilgang til gerningsindholdet af strafbare handlinger ved at indføre fælles definitioner af lovovertrædelser med hensyn til ulovlig adgang til informationssystemer, ulovligt indgreb i informationssystemer, ulovligt indgreb i data og ulovlig opfangning.

(5a)       Opfangning omfatter, men er ikke nødvendigvis begrænset til, aflytning, overvågning og kontrol af kommunikationens indhold, fremskaffelse af dataindholdet enten direkte via adgang til og brug af informationssystemet, eller indirekte via anvendelse af elektronisk aflytning eller aflytningsudstyr ved hjælp af tekniske hjælpemidler.

(6)  Medlemsstaterne bør træffe bestemmelse om sanktioner for angreb på informationssystemer. Sanktionerne bør være effektive, stå i et rimeligt forhold til overtrædelsernes grovhed og have afskrækkende virkning og bør omfatte fængselsstraffe og/eller økonomiske sanktioner.

(6a)       Direktivet fastsætter strafferetlige sanktioner i det mindste i grovere tilfælde. Medlemsstaterne kan beslutte, hvilke tilfælde der ikke er grove i henhold til deres nationale lovgivning og praksis. Tilfælde kan betragtes som mindre grove, f.eks. når den skade og/eller den fare for offentlige eller private interesser, der forårsages, såsom på et computersystems eller computerdatas integritet eller på en persons integritet, rettigheder og andre interesser, er ubetydelig eller af en sådan karakter, at der ikke er behov for at pålægge en strafferetlig sanktion inden for straffelovgivningens rammer eller pålægge strafferetligt ansvar.

(6b)       Afsløring og indberetning af de trusler og farer, som it-angreb indebærer, samt informationssystemernes dermed forbundne sårbarheder er et vigtigt element i en effektiv forebyggelse af og reaktion på it-angreb og for forbedringen af informationssystemernes sikkerhed. Incitamenter til at indberette sikkerhedshuller kunne bidrage hertil. Medlemsstaterne bør bestræbe sig på at skabe muligheder for lovligt at afsløre sikkerhedshuller og indberette dem.

(7)  Der bør fastsættes strengere straffe, når det er en kriminel organisation som defineret i Rådets rammeafgørelse 2008/841/RIA af 24. oktober 2008 om bekæmpelse af organiseret kriminalitet[4], der har begået angrebet på informationssystemet, eller når angrebet er meget omfattende og dermed berører et betydeligt antal informationssystemer eller volder alvorlig skade, herunder når angrebet har til formål at oprette et botnet eller foretages ved hjælp af et botnet, og dermed resulterer i alvorlig skade. Det er også hensigtsmæssigt at fastsætte strengere straffe, når der foretages et sådant angreb på kritisk infrastruktur.

(7a)      Indførelse af effektive foranstaltninger til bekæmpelse af identitetstyveri og andre identitetsrelaterede overtrædelser udgør et andet vigtigt element i en integreret strategi mod it-kriminalitet. Behov for EU-tiltag over for denne type kriminel adfærd kan også overvejes i forbindelse med vurderingen af nødvendigheden af et omfattende horisontalt EU-instrument.

(8)         Rådet anførte i sine konklusioner fra samlingen den 27. - 28. november 2008, at der burde udvikles en ny strategi sammen med medlemsstaterne og Kommissionen, hvori der skulle tages hensyn til indholdet af Europarådets konvention om it-kriminalitet af 2001. Konventionen udgør den retlige referenceramme for bekæmpelse af it-kriminalitet, herunder angreb på informationssystemer. Dette direktiv bygger på konventionen. Det bør derfor betragtes som en prioritet, at medlemsstaterne hurtigst muligt fuldfører ratifikationsprocessen.

(9)  Under hensyn til de forskellige måder, hvorpå angreb kan foretages, og på grund af den hurtige udvikling i hardware og software, omhandler direktivet "værktøj", som kan bruges til at begå de lovovertrædelser, der er opført i direktivet. Ved værktøj forstås f.eks. ondsindet software, herunder værktøj, der gør det muligt at oprette botnet, som bruges til at begå it-angreb. Selv om et værktøj er egnet eller endda særlig egnet til at begå de nævnte lovovertrædelser, kan værktøjet være fremstillet til lovlige formål. Drevet af behovet for at undgå kriminalisering i tilfælde, hvor sådanne værktøjer fremstilles og markedsføres til lovlige formål, såsom at kontrollere pålideligheden af informationsteknologiprodukter eller informationssystemers sikkerhed, skal der foruden kravet om en generel hensigt også foreligge en specifik hensigt om, at disse værktøjer anvendes med det formål at begå en af de lovovertrædelser, der henvises til i direktivet.

(10a)  Det er ikke hensigten, at direktivet skal pålægge strafferetligt ansvar, når de objektive kriterier for lovovertrædelser, der er nævnt i dette direktiv, er opfyldt, men handlingerne udføres uden kriminelt motiv, f.eks. når personen ikke har vidst, at der ikke har været givet tilladelse til adgang eller når en tilladt intervention har til formål at afprøve eller sikre informationssystemer, f.eks. når en virksomhed eller en leverandør udpeger en person til at afprøve styrken af dens sikkerhedssystemer. I forbindelse med dette direktiv bør kontraktlige forpligtelser eller aftaler om at begrænse adgangen til informationssystemer ved hjælp af brugerpolitik eller brugerbetingelser samt arbejdskonflikter vedrørende adgangen til og anvendelse af arbejdsgiverens informationssystemer til private formål ikke medføre et strafferetligt ansvar, når adgangen under sådanne omstændigheder anses for at være uautoriseret og dermed ville udgøre det eneste grundlag for straffesagen. Dette direktiv berører ikke den ved lov garanterede ret til adgang til oplysninger, der er fastsat i den nationale lovgivning og EU-lovgivningen, men må samtidig heller ikke tjene som en undtagelse, der berettiger til ulovlig og vilkårlig adgang til oplysninger.

(10b)     Forskellige omstændigheder kan gøre det lettere at bestille it-angreb, som f.eks. når gerningsmanden inden for rammerne af sit arbejde har adgang til sikkerhedssystemer, der indgår i de berørte informationssystemer. Der bør i den nationale ret tages behørigt hensyn til sådanne omstændigheder i forbindelse med en straffesag.

(10c)  Medlemsstaterne bør i deres nationale ret fastsætte skærpende omstændigheder i overensstemmelse med de regler, som deres retssystem fastlægger med hensyn til skærpende omstændigheder. De bør sikre, at dommerne kan tage hensyn til disse skærpende omstændigheder, når de dømmer lovovertrædere. Det påhviler dommeren at vurdere disse omstændigheder sammen med de andre faktiske forhold i den pågældende sag.

(10d)     Direktivet regulerer ikke de betingelser, der skal være opfyldt for at udøve jurisdiktionskompetence med hensyn til de strafbare handlinger i artikel 3–8, herunder en anmeldelse foretaget af ofret på gerningsstedet eller en angivelse fra den stat, hvor den strafbare handling er begået, eller det forhold, at lovovertræderen ikke er blevet retsforfulgt på gerningsstedet.

(10e)     Inden for rammerne af dette direktiv er stater og offentlige organer fortsat fuldt ud forpligtet til at sikre respekten for menneskerettighederne og de grundlæggende frihedsrettigheder i overensstemmelse med de gældende internationale forpligtelser.

(11)  Direktivet øger vigtigheden af netværk, såsom G8 og Europarådets netværk af kontaktpunkter, der står til disposition døgnet rundt på alle ugens dage. Disse kontaktpunkter bør kunne yde effektiv bistand og derved f.eks. lette udvekslingen af tilgængelige relevante oplysninger eller adgangen til teknisk rådgivning eller tilvejebringelsen af juridiske oplysninger med henblik på efterforskning eller procedurer vedrørende strafbare handlinger i forbindelse med informationssystemer og relaterede data, der involverer den anmodende medlemsstat. For at sikre netværkenes funktionsdygtighed bør hvert kontaktpunkt have kapacitet til hastigt at gennemføre kommunikation med en anden medlemsstats kontaktpunkt støttet bl.a. af veluddannet og veludstyret personale. På grund af den hastighed, hvormed der kan foretages omfattende it-angreb, bør medlemsstaterne være i stand til straks at reagere på hastende anmodninger fra netværket af kontaktpunkter. I sådanne tilfælde kan det være formålstjenligt at lade anmodningen om oplysninger ledsage af telefonisk kontakt for at sikre, at anmodningen behandles hurtigt af den anmodede medlemsstat, og at der gives en tilbagemelding inden for 8 timer.

(11a)  Det er af stor betydning for forebyggelsen og bekæmpelsen af angreb på informationssystemer, at de offentlige myndigheder samarbejder med den private sektor og civilsamfundet. Det er nødvendigt at fremme og forbedre samarbejdet mellem tjenesteleverandører, producenter, retshåndhævende myndigheder og retslige myndigheder, samtidig med at retsstatsprincippet respekteres fuldt ud. Dette samarbejde kan f.eks. omfatte tjenesteudbyderes bistand i forbindelse med bevarelse af eventuelle beviser, oplysninger, som kan bruges til at identificere lovovertrædere og, som en sidste udvej, hel eller delvis lukning i overensstemmelse med national ret, herunder national lovgivning og praksis, af systemer og funktioner, der er blevet inficerede eller anvendt til ulovlige formål. Medlemsstaterne bør også overveje at etablere samarbejds- og partnerskabsnetværk med tjenesteleverandører og producenter til udveksling af oplysninger om lovovertrædelser, der er omfattet af dette direktivs anvendelsesområde.

(12a)  Der er et behov for at indsamle sammenlignelige data om lovovertrædelser, der er omhandlet af dette direktiv. Relevante data bør stilles til rådighed for de kompetente specialiserede organer såsom Europol og Det Europæiske Agentur for Net- og Informationssikkerhed i overensstemmelse med deres opgaver og informationsbehov for at få et mere fuldstændigt billede af problemet med it-kriminalitet og net- og informationssikkerhed på EU-plan og dermed bidrage til at finde mere effektive løsninger på problemet. Medlemsstaterne bør fremsende oplysninger om gerningsmændenes arbejdsmetoder til Europol og dets europæiske center for bekæmpelse af it-kriminalitet med henblik på at foretage trusselsvurderinger og strategiske analyser af it-kriminalitet i overensstemmelse med Rådets afgørelse 2009/371/RIA. Fremsendelse af oplysninger kan fremme en bedre forståelse af aktuelle og fremtidige trusler og derved bidrage til en mere relevant og målrettet beslutningstagning om bekæmpelse og forebyggelse af angreb på informationssystemer.

(12b)     I overensstemmelse med dette direktiv skal Kommissionen forelægge en rapport om anvendelsen af direktivet og fremsætte ethvert nødvendigt lovforslag om en eventuel udvidelse af dets anvendelsesområde under hensyntagen til udviklingen inden for it-kriminalitet. Sådanne udviklinger kan omfatte teknologiske fremskridt, som f.eks. kan muliggøre en mere effektiv håndhævelse med hensyn til angreb på informationssystemer, lette forebyggelsen af angreb eller mindske virkningerne heraf. Med henblik herpå bør Kommissionen tage hensyn til tilgængelige analyser og rapporter udarbejdet af relevante aktører, navnlig Europol og ENISA.

(12c)  For at bekæmpe it-kriminalitet effektivt er det nødvendigt at øge informationssystemernes modstandsdygtighed ved at træffe relevante foranstaltninger til at beskytte dem mere effektivt mod it-angreb. Medlemsstaterne bør træffe de nødvendige foranstaltninger til at beskytte kritisk infrastruktur mod it-angreb og bør betragte beskyttelsen af deres informationssystemer og de relaterede data som et led heri. At sikre at juridiske personer sørger for et passende beskyttelses- og sikkerhedsniveau for informationssystemer, f.eks. i forbindelse med adgang til offentligt tilgængelige elektroniske kommunikationstjenester i overensstemmelse med eksisterende EU-lovgivning om privatlivets fred og elektronisk kommunikation og databeskyttelse, er et centralt led i en omfattende tilgang til effektiv bekæmpelse af it-kriminalitet. Der bør leveres et passende niveau af beskyttelse mod rimeligt identificerbare trusler og sårbare områder i overensstemmelse med den nyeste udvikling i specifikke sektorer og specifikke databehandlingssituationer. Omkostninger og byrder i forbindelse med denne beskyttelse bør stå i forhold til den eventuelle skade, som et it-angreb ville påføre de berørte personer. Medlemsstaterne tilskyndes til i national ret at træffe relevante foranstaltninger om ansvarspådragelse i tilfælde, hvor en juridisk person åbenlyst har forsømt at tilvejebringe et passende beskyttelsesniveau mod it-angreb.

(13)  Betydelige mangler i og forskelle mellem medlemsstaternes lovgivning og strafferetlige procedurer om angreb på informationssystemer ▌ kan hæmme bekæmpelsen af organiseret kriminalitet og terrorisme og kan vanskeliggøre et effektivt samarbejde mellem politi og retsvæsen på dette område. Den omstændighed, at moderne informationssystemer går på tværs af landene og landegrænserne, betyder, at angreb på sådanne systemer har en grænseoverskridende dimension, hvilket understreger det presserende behov for yderligere initiativer med henblik på en indbyrdes tilnærmelse af de strafferetlige regler på området. Derudover bør koordineringen af retsforfølgningen i forbindelse med tilfælde af angreb på informationssystemer lettes ved passende gennemførelse og anvendelse af Rådets rammeafgørelse 2009/948/RIA om forebyggelse og bilæggelse af konflikter om udøvelse af jurisdiktion i straffesager. Medlemsstaterne bør i samarbejde med Den Europæiske Union ligeledes bestræbe sig på at forbedre det internationale samarbejde om informationssystemers, computernetværks og edb-datas sikkerhed. I alle internationale aftaler, der omhandler dataudveksling, bør der tages behørigt hensyn til dataoverførsels- og datalagringssikkerhed.

(13a)  Forbedret samarbejde mellem de kompetente retshåndhævende myndigheder og retslige myndigheder i Unionen er afgørende for en effektiv bekæmpelse af it-kriminalitet. I den forbindelse bør der tilskyndes til en øget indsats for passende uddannelse af de relevante myndigheder for at øge forståelsen af it-kriminalitet og dens følger og fremme samarbejde og udveksling af bedste praksis, f.eks. via de kompetente specialiserede EU-organer. Denne uddannelse bør bl.a. sigte efter at øge opmærksomheden om de forskellige nationale retssystemer, eventuelle juridiske og tekniske udfordringer ved strafferetlige efterforskninger eller fordelingen af beføjelser mellem relevante nationale myndigheder.

(14)       Målene for dette direktiv, nemlig at sikre, at angreb på informationssystemer i alle medlemsstaterne straffes med sanktioner, der er effektive, står i et rimeligt forhold til overtrædelsernes grovhed og har afskrækkende virkning, og at forbedre og fremme det retlige samarbejde ved at fjerne potentielle komplikationer, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne - idet reglerne skal være fælles og indbyrdes forenelige - og kan derfor bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. Dette direktiv går ikke videre, end hvad der er nødvendigt for at nå disse mål.

(15a)  I henhold til artikel 16, stk. 1, i TEUF og artikel 8 i chartret om grundlæggede rettigheder er beskyttelsen af personoplysninger en grundlæggende rettighed. Derfor bør enhver behandling af personoplysninger i forbindelse med gennemførelsen af dette direktiv fuldt ud overholde relevant EU-lovgivning om databeskyttelse vedtaget i henhold til traktaterne.

(16)       I dette direktiv overholdes de grundlæggende friheder og rettigheder og de principper, som bl.a. er anerkendt i Den Europæiske Unions charter om grundlæggende rettigheder og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, herunder beskyttelse af personoplysninger, retten til privatlivets fred, ytrings- og informationsfrihed, ret til en retfærdig rettergang, uskyldsformodning og ret til et forsvar samt legalitetsprincippet og princippet om proportionalitet mellem strafbar handling og straf. Dette direktiv tilsigter især at sikre, at disse rettigheder og principper respekteres fuldt ud, og skal gennemføres i overensstemmelse med dem.

(17)       I medfør af artikel 3 i protokollen om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Unions funktionsmåde, har Det Forenede Kongerige og Irland meddelt, at de ønsker at deltage i vedtagelsen og anvendelsen af dette direktiv▌.

(18)  I medfør af artikel 1 og 2 i protokollen om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af dette direktiv, som ikke er bindende for og ikke finder anvendelse i Danmark.

(19)       Dette direktiv sigter mod at ændre og udvide bestemmelserne i rammeafgørelse 2005/222/RIA. Eftersom de ændringer, der skal foretages, er væsentlige, både hvad angår antal og karakter, bør rammeafgørelsen af hensyn til klarheden erstattes i sin helhed i forhold til de medlemsstater, der deltager i vedtagelsen af dette direktiv –

VEDTAGET DETTE DIREKTIV:

Artikel 1

Genstand

Dette direktiv fastsætter minimumsregler vedrørende definitionen af strafbare handlinger og sanktioner i forbindelse med angreb på informationssystemer. Det sigter endvidere mod at lette forebyggelsen af sådanne strafbare handlinger og forbedre samarbejdet mellem de retlige og andre kompetente myndigheder.

Artikel 2

Definitioner

I dette direktiv forstås ved:

a)          "informationssystem": enhver enhed eller gruppe af indbyrdes forbundne eller beslægtede enheder, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af edb-data samt edb-data, som lagres, behandles, fremfindes eller overføres i forbindelse med systemernes drift, brug, beskyttelse og vedligeholdelse

b)  "edb-data": enhver form for gengivelse af fakta, informationer eller begreber i et format, der egner sig til behandling i et informationssystem, herunder et program, som kan anvendes til at få et informationssystem til at udføre en funktion

c)          "juridisk person": enhver enhed, der har denne status i henhold til den lovgivning, der finder anvendelse, med undtagelse af stater eller andre offentlige organer, der udøver offentlig myndighed, og offentlige internationale organisationer

d)          "uretmæssig": adgang, indgreb, opfangning eller enhver anden adfærd som omhandlet i dette direktiv, som ejeren eller en anden retmæssig indehaver af systemet eller en del af det ikke har givet tilladelse til, eller som ikke er tilladt i henhold til national lovgivning.

Artikel 3

Ulovlig adgang til informationssystemer

Medlemsstaterne træffer de nødvendige foranstaltninger til at gøre det strafbart forsætligt at skaffe sig uretmæssig adgang til et informationssystem eller en del heraf, når lovovertrædelsen er begået ved overtrædelse af en sikkerhedsforanstaltning, i det mindste i grovere tilfælde.

Artikel 4

Ulovligt indgreb i informationssystemer

Medlemsstaterne træffer de nødvendige foranstaltninger til ▌at gøre det strafbart forsætligt og uretmæssigt at forårsage en alvorlig hindring eller afbrydelse af et informationssystems drift ved at indlæse eller overføre edb-data eller ved at beskadige, slette, forvanske, ændre, tilbageholde eller hindre adgang til dets edb-data, i det mindste i grovere tilfælde.

Artikel 5

Ulovligt indgreb i data

Medlemsstaterne træffer de nødvendige foranstaltninger til at gøre det ▌ strafbart forsætligt og uretmæssigt at slette, beskadige, forvanske, ændre, tilbageholde eller hindre adgang til edb-data i et informationssystem, i det mindste i grovere tilfælde.

Artikel 6

Ulovlig opfangning

Medlemsstaterne træffer de nødvendige foranstaltninger til at gøre det strafbart forsætligt og uretmæssigt at opfange ikkeoffentlige overførsler af edb-data til, fra eller inden for et informationssystem, herunder elektromagnetisk stråling fra et informationssystem, der indeholder disse edb-data, ved hjælp af tekniske hjælpemidler, i det mindste i grovere tilfælde.

Artikel 7

Værktøjer, der anvendes til at begå de strafbare handlinger

1.          Medlemsstaterne træffer de nødvendige foranstaltninger til at gøre det strafbart forsætligt og uretmæssigt at fremstille, sælge, erhverve med henblik på brug, importere, ▌ distribuere eller på anden måde foretage tilrådighedsstillelse af følgende, med den hensigt, at det anvendes til at begå en af de strafbare handlinger i artikel 3-6, i det mindste i grovere tilfælde:

a)      ▌et edb-program, der hovedsagelig er beregnet eller tilpasset til at begå en af de strafbare handlinger i artikel 3-6

b)  edb-password, adgangskoder eller tilsvarende data, hvorved der kan opnås adgang til et helt informationssystem eller en del heraf.

Artikel 8

Anstiftelse, medvirken og forsøg

1.          Medlemsstaterne sikrer, at anstiftelse og medvirken til samt forsøg på at begå en strafbar handling som omhandlet i artikel 3-7 er strafbart.

2.          Medlemsstaterne sikrer, at det er strafbart at forsøge at begå en strafbar handling som omhandlet i artikel 4 og 5.

Artikel 9

Sanktioner

1.          Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de i artikel 3-8 omhandlede strafbare handlinger kan straffes med strafferetlige sanktioner, der er effektive, står i et rimeligt forhold til den strafbare handlings grovhed og har afskrækkende virkning.

2.          Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de strafbare handlinger i artikel 3-6 kan straffes med strafferetlige sanktioner med en maksimal fængselsstraf på mindst to år, i det mindste i grovere tilfælde.

3.  Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de i artikel 4 og 5 omhandlede strafbare handlinger, når de begås forsætligt, kan straffes med strafferetlige sanktioner med en maksimal fængselsstraf på mindst tre år, når et betydeligt antal informationssystemer er blevet berørt gennem anvendelsen af et værktøj, som omhandlet i artikel 7, stk. 1, der hovedsagelig er beregnet eller tilpasset til dette formål.

4.          Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de strafbare handlinger i artikel 4 og 5 kan straffes med strafferetlige sanktioner med en maksimal fængselsstraf på mindst fem år, når

a)     de er begået inden for rammerne af en kriminel organisation som defineret i rammeafgørelse 2008/841/RIA uanset den deri fastsatte strafferamme, eller når

b)     de forvolder alvorlig skade, eller når

c)      de er rettet mod et kritisk infrastrukturinformationssystem.

5.  Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at når strafbare handlinger som omhandlet i artikel 4 og 5 begås ved at misbruge personoplysninger vedrørende en anden person med det formål at vinde tredjemands tillid og derved skade den, som identiteten egentlig tilhører, kan det, i henhold til relevante bestemmelser i national ret, betragtes som en skærpende omstændighed, medmindre forholdet allerede er omfattet af en anden lovovertrædelse, der er strafbar i henhold til national lovgivning.

Artikel 11

Juridiske personers ansvar

1.          Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at juridiske personer kan drages til ansvar for strafbare handlinger, jf. artikel 3-8, som for at skaffe dem vinding begås af en person, der handler enten alene eller som medlem af et organ under den juridiske person, og som har en ledende stilling inden for den juridiske person baseret på:

a)      en beføjelse til at repræsentere den juridiske person

b)  en beføjelse til at træffe beslutninger på den juridiske persons vegne

c)      en beføjelse til at udøve intern kontrol inden for den juridiske person.

2.          Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at den juridiske person kan drages til ansvar, hvis manglende tilsyn eller kontrol fra en af de i stk. 1 omhandlede personers side har gjort det muligt for en person, der er underlagt den juridiske persons myndighed, at begå de strafbare handlinger i artikel 3-8 for at skaffe den juridiske person vinding.

3.          Juridiske personers ansvar i henhold til stk. 1 og 2 udelukker ikke strafferetlig retsforfølgning af fysiske personer, der begår, eller som tilskynder eller medvirker til de strafbare handlinger i artikel 3-8.

Artikel 12

Sanktioner over for juridiske personer

1.          Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at der over for juridiske personer, der kendes ansvarlige i henhold til artikel 11, stk. 1, kan iværksættes sanktioner, der er effektive, står i et rimeligt forhold til lovovertrædelsens grovhed og har afskrækkende virkning, omfatter strafferetlige og andre bøder og kan omfatte andre sanktioner såsom:

a)      udelukkelse fra offentlige ydelser eller tilskud

b)  midlertidigt eller varigt forbud mod at udøve erhvervsvirksomhed

c)      anbringelse under retsligt tilsyn

d)     likvidation efter retskendelse

e)      midlertidig eller permanent lukning af forretningssteder, der er blevet brugt til at begå den strafbare handling.

2.          Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at der over for juridiske personer, der kendes ansvarlige i henhold til artikel 11, stk. 2, kan iværksættes sanktioner eller foranstaltninger, der er effektive, står i et rimeligt forhold til lovovertrædelsens grovhed og har afskrækkende virkning.

Artikel 13

Jurisdiktionskompetence

1.          Hver medlemsstat fastlægger sin jurisdiktionskompetence i forbindelse med de strafbare handlinger i artikel 3-8, når den strafbare handling er begået:

a)      helt eller delvis på den pågældende medlemsstats område eller

aa)  af en af dens statsborgere, i det mindste i de tilfælde, hvor handlingen er en strafbar handling dér, hvor den blev udført.

2.          Når den enkelte medlemsstat fastlægger sin jurisdiktionskompetence i medfør af stk. 1, litra a), sikrer den sig, at den omfatter tilfælde, hvor:

a)      gerningsmanden begår den strafbare handling, mens vedkommende fysisk befinder sig på medlemsstatens område, uanset om den strafbare handling er rettet mod et informationssystem på dens område, eller

b)     den strafbare handling begås mod et informationssystem på medlemsstatens område, uanset om gerningsmanden på gerningstidspunktet fysisk befinder sig på dens område.

3.  En medlemsstat underretter Kommissionen, hvis den beslutter at fastlægge yderligere jurisdiktion med hensyn til en af de strafbare handlinger i artikel 3-8, som er begået uden for deres område, f.eks. når

a)     gerningsmanden har sit sædvanlige opholdssted på den pågældende medlemsstats område, eller

b)     den strafbare handling er begået til fordel for en juridisk person, som har sit hjemsted på den pågældende medlemsstats område.

Artikel 14

Informationsudveksling

1.          Med henblik på udveksling af oplysninger om de strafbare handlinger, der er omhandlet i artikel 3–8, sikrer medlemsstaterne, at de har et funktionelt nationalt kontaktpunkt og gør brug af det bestående netværk af kontaktpunkter, der fungerer døgnet rundt, alle ugens dage. Medlemsstaterne sikrer endvidere, at der findes procedurer, så de i forbindelse med hasteanmodninger i hvert fald inden for højst otte timer kan angive, om anmodningen om hjælp vil blive imødekommet, samt på hvilken måde og på hvilket tidspunkt dette forventes at ske.

2.  Medlemsstaterne underretter Kommissionen om, hvilket kontaktpunkt de har udpeget til at udveksle oplysninger om de strafbare handlinger i artikel 3-8. Kommissionen videresender oplysningerne til de øvrige medlemsstater og kompetente specialiserede EU-agenturer og -organer.

3.          Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at der stilles passende rapporteringskanaler til rådighed med henblik på at lette rapportering uden unødige forsinkelser til de kompetente nationale myndigheder om de strafbare handlinger, der er omhandlet i artikel 3 – 6.

Artikel 15

Overvågning og statistik

1.          Medlemsstaterne sikrer, at der findes et system til registrering, fremstilling og fremlæggelse af statistiske oplysninger om de strafbare handlinger i artikel 3–7.

2.          De statistiske oplysninger i stk. 1 skal mindst omfatte de eksisterende oplysninger om det antal strafbare handlinger, jf. artikel 3–7, der er registreret i medlemsstaterne, og▌ antallet af personer, der er blevet retsforfulgt og dømt for de strafbare handlinger omhandlet i artikel 3–7.

3.  Medlemsstaterne fremsender de oplysninger, der er indsamlet i henhold til denne artikel, til Kommissionen. Kommissionen sikrer, at der offentliggøres en konsolideret oversigt over disse statistiske rapporter, og at denne fremsendes til de kompetente specialiserede EU-agenturer og -organer.

Artikel 16

Erstatning af rammeafgørelse 2005/222/RIA

Rammeafgørelse 2005/222/RIA erstattes hermed i forhold til de medlemsstater, der deltager i vedtagelsen af dette direktiv, idet dette dog ikke berører medlemsstaternes forpligtelser for så vidt angår fristerne for gennemførelse af rammeafgørelsen i national ret.

I forhold til de medlemsstater, der deltager i vedtagelsen af dette direktiv, gælder henvisninger til rammeafgørelse 2005/222/RIA som henvisninger til dette direktiv.

Artikel 17

Gennemførelse

1.          Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest [to år fra vedtagelsen] ▌.

3.  Medlemsstaterne meddeler Kommissionen teksten til de bestemmelser, som gennemfører de forpligtelser, der pålægges dem i medfør af dette direktiv, i deres nationale lovgivning.

4.          Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

Artikel 18

Rapportering

Kommissionen forelægger senest [FIRE ÅR FRA VEDTAGELSEN] en rapport for Europa-Parlamentet og Rådet med en vurdering af, i hvilket omfang medlemsstaterne har truffet de nødvendige foranstaltninger til at efterkomme dette direktiv, om nødvendigt ledsaget af lovgivningsmæssige forslag. I den forbindelse tager Kommissionen også hensyn til den tekniske og lovgivningsmæssige udvikling inden for it-kriminalitet, navnlig med hensyn til dette direktivs anvendelsesområde.

Artikel 19

Ikrafttræden

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 20

Adressater

Dette direktiv er rettet til medlemsstaterne i overensstemmelse med traktaterne.

________________________

  • [1]  EUT C 218, 23.7.2011, s. 130
  • [2]               EUT C […] af […], s. […].
  • [3]               EUT C […] af […], s. […].
  • [4]               EUT L 300 af 11.11.2008, s. 42.

UDTALELSE fra Udenrigsudvalget (28.11.2011)

til Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender

om forslag til Europa-Parlamentets og Rådets direktiv om angreb på informationssystemer og om ophævelse af Rådets rammeafgørelse 2005/222/RIA
(KOM(2010)0517 – C7-0293/2010 – 2010/0273(COD))

Ordfører: Kristiina Ojuland

KORT BEGRUNDELSE

Denne udtalelse støtter på baggrund af øgede bekymringer over potentielle it-angreb behovet for en bedre informationsudveksling om it-sikkerhed mellem medlemsstaterne. Det haster med at behandle spørgsmålet om it-sikkerhed både på EU-plan og via koordinerede aktioner fra medlemsstaternes side.

Udtalelsen understreger Kommissionens rolle i forbindelse med at fremme og koordinere eksisterende initiativer.

Udenrigsudvalget og Underudvalget om Sikkerhed og Forsvar mener, at det presserende behov for at handle og styrke koordineringen af reaktioner, initiativer og programmer på EU-plan er meget vigtigt. Opbyggelse af kapacitet og et mere intensivt samarbejde med sigte på at øge it-sikkerheden bør støttes.

Udtalelsen støtter ideen om at udnævne en EU-internetsikkerhedskoordinator for at lette integrationen og koordineringen af de forskellige europæiske aktiviteter og initiativer på EU-plan og i alle EU-institutioner.

ÆNDRINGSFORSLAG

Udenrigsudvalget opfordrer Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender, som er korresponderende udvalg, til at optage følgende ændringsforslag i sin betænkning:

Ændringsforslag  1

Forslag til direktiv

Betragtning 1

Kommissionens forslag

Ændringsforslag

(1) Direktivets formål er at tilnærme medlemsstaternes strafferetlige regler til hinanden med hensyn til angreb på informationssystemer og at forbedre samarbejdet mellem de retlige og andre kompetente myndigheder, herunder politiet og andre specialiserede retshåndhævende myndigheder i medlemsstaterne.

(1) Direktivets formål er at tilnærme medlemsstaternes strafferetlige regler til hinanden med hensyn til angreb på informationssystemer og at forbedre samarbejdet mellem de retlige og andre kompetente myndigheder, herunder politiet og andre specialiserede retshåndhævende myndigheder i medlemsstaterne og i Unionen. Denne målsætning er et led i EU's overordnede strategi til bekæmpelse af organiseret kriminalitet, mere effektiv sikring af informationsnetværk, beskyttelse af essentiel informationsstruktur og databeskyttelse.

Ændringsforslag  2

Forslag til direktiv

Betragtning 1 a (ny)

Kommissionens forslag

Ændringsforslag

 

(1a) Informationssystemer er et vitalt element i det politiske, sociale og økonomiske samspil i Unionen. Samfundet bliver stadig mere afhængigt af informationssystemer. Foruden deres betydelige fordele rummer de imidlertid også en række risici for vores sikkerhed som følge af deres kompleksitet og sårbarhed over for forskellige former for it-kriminalitet. Informationssystemernes sikkerhed er derfor en konstant kilde til bekymring, som kræver virkningsfulde tiltag fra medlemsstaternes og Unionens side.

Ændringsforslag  3

Forslag til direktiv

Betragtning 2

Kommissionens forslag

Ændringsforslag

(2) Angreb på informationssystemer, især som led i organiseret kriminalitet, er en voksende trussel, og der er i stigende grad bekymring for mulige terrorangreb eller politisk motiverede angreb på informationssystemer, der indgår i medlemsstaternes og Den Europæiske Unions kritiske infrastruktur. Dette er en trussel mod etableringen af et sikrere informationssamfund og et område med frihed, sikkerhed og retfærdighed og kræver derfor en reaktion fra Den Europæiske Unions side.

(2) Angreb på informationssystemer er en voksende trussel. De kan stamme fra terrorisme eller fra organiseret kriminalitet, og de kan foretages af stater eller af enkeltpersoner. Der er i stigende grad bekymring for mulige terrorangreb eller politisk motiverede angreb på informationssystemer, der indgår i medlemsstaternes og EU's kritiske infrastruktur. Den grænseoverskridende karakter af visse overtrædelser og de relativt lave risici og omkostninger for gerningsmændene øger i kombination med potentialet for stort udbytte og den skade, der påføres, risikoen for sådanne angreb. Dette er en trussel mod etableringen af et sikrere informationssamfund og et område med frihed, sikkerhed og retfærdighed, og kræver derfor en reaktion, ikke alene fra Den Europæiske Unions, men også fra det internationale samfunds side.

Ændringsforslag  4

Forslag til direktiv

Betragtning 3

Kommissionens forslag

Ændringsforslag

(3) Der er en klar tendens til, at angrebene på informationssystemer af afgørende betydning for staterne eller for enkelte funktioner i den offentlige eller private sektor bliver stadig farligere, sker hyppigere og er mere omfattende. Denne tendens falder sammen med udviklingen af stadigt mere avancerede værktøjer, der kan bruges af forbrydere til at foretage forskellige typer angreb over internettet.

(3) Der er en klar tendens til, at angrebene på informationssystemer af afgørende betydning for medlemsstaterne, for Unionen eller for enkelte funktioner i den offentlige eller private sektor samt på EU-plan bliver stadig farligere, sker hyppigere og er mere omfattende. Denne tendens falder sammen med den hurtige udvikling af it-teknologien og dermed af stadigt mere avancerede værktøjer, der kan bruges af forbrydere til at foretage forskellige typer angreb over internettet, heraf nogle med stort potentiale for at forvolde økonomisk og social skade.

Ændringsforslag  5

Forslag til direktiv

Betragtning 4 a (ny)

Kommissionens forslag

Ændringsforslag

 

(4a) Der bør foretages en grundig, pålidelig og uafhængig vurdering af det overordnede trusselsniveau for angreb mod informationssystemer. EU-institutionerne bør justere deres it-sikkerhedsniveauer derefter.

Ændringsforslag  6

Forslag til direktiv

Betragtning 4 b (ny)

Kommissionens forslag

Ændringsforslag

 

(4b) Der kræves samordning på EU-plan for at integrere de forskellige initiativer, programmer og aktiviteter.

Ændringsforslag  7

Forslag til direktiv

Betragtning 6

Kommissionens forslag

Ændringsforslag

(6) Medlemsstaterne bør træffe bestemmelse om sanktioner for angreb på informationssystemer. Sanktionerne bør være effektive, stå i et rimeligt forhold til overtrædelsernes grovhed og have afskrækkende virkning.

(6) Medlemsstaterne bør træffe bestemmelse om sanktioner for angreb på informationssystemer som led i en række overordnede nationale strategier for afskrækkelse fra og bekæmpelse af sådanne angreb. Sanktionerne bør være effektive, stå i et rimeligt forhold til overtrædelsernes grovhed og have afskrækkende virkning. Som følge af truslens tværnationale art er det nødvendigt, at medlemsstaterne afstemmer deres straffe efter hinanden og dermed reducerer forskellene i håndteringen af overtrædelser i hele EU.

Ændringsforslag  8

Forslag til direktiv

Betragtning 8 a (ny)

Kommissionens forslag

Ændringsforslag

 

(8a) Rådet og Kommissionen bør opfordre de medlemsstater, der endnu ikke har ratificeret Europarådets konvention om it-kriminalitet, til at gøre dette snarest muligt.

Ændringsforslag  9

Forslag til direktiv

Betragtning 11 a (ny)

Kommissionens forslag

Ændringsforslag

 

(11a) Myndighedernes samarbejde med den private sektor og civilsamfundet er af stor betydning for at kunne undgå og bekæmpe internetangreb. Det er nødvendigt at etablere en løbende dialog med disse aktører som følge af deres omfattende brug af computersystemer og nødvendigheden af fælles ansvar i forbindelse med at sikre pålidelige og funktionelle systemer. Det er nødvendigt, at bevidstheden blandt alle interessenter på computersystemområdet øges, således at der skabes en datasikkerhedsorienteret mentalitet.

Ændringsforslag  10

Forslag til direktiv

Betragtning 11b (new)

Kommissionens forslag

Ændringsforslag

(11b) Nye initiativer og projekter vedrørende it-forsvar, som f.eks. i Det Europæiske Forsvarsagentur (EDA), bør tilskyndes til at støtte medlemsstaternes kapacitet til it-forsvar. Der bør tages skridt til et tættere samarbejde med både EDA og med NATO’s cyber-forsvarscenter (CCDCOE), navnlig hvad angår kapacitetsopbygning og uddannelse.

Ændringsforslag  11

Forslag til direktiv

Betragtning 12

Kommissionens forslag

Ændringsforslag

(12) Der er behov for at indsamle oplysninger om lovovertrædelser omfattet af dette direktiv med henblik på at få et mere fuldstændigt billede af problemet på EU-plan og dermed bidrage til at finde mere effektive løsninger på problemet. Oplysningerne vil derudover hjælpe specialiserede organer, såsom Europol og Det Europæiske Agentur for Net- og Informationssikkerhed, til at foretage en bedre vurdering af it-kriminalitetens omfang og af net- og informationssikkerhedssituationen i Europa.

(12) Der er behov for at indsamle oplysninger om lovovertrædelser omfattet af dette direktiv med henblik på at få et mere fuldstændigt billede af problemet på EU-plan og dermed bidrage til at finde mere effektive løsninger på problemet. Medlemsstaterne bør med støtte fra Kommissionen og Det Europæiske Agentur for Net- og Informationssikkerhed intensivere udvekslingen af oplysninger om internetangreb. Oplysningerne vil derudover hjælpe specialiserede organer, såsom Europol og Det Europæiske Agentur for Net- og Informationssikkerhed, til at foretage en bedre vurdering af it-kriminalitetens omfang og virkninger og af net- og informationssikkerhedssituationen i Europa. Øget viden om aktuelle og fremtidige risici vil gøre det muligt at træffe beslutninger, der på mere virkningsfuld vis kan virke afskrækkende og bekæmpe internetangreb eller begrænse skadernes omfang.

Ændringsforslag  12

Forslag til direktiv

Betragtning 12 a (ny)

Kommissionens forslag

Ændringsforslag

(12a) Informationsudveksling og offentlig-private partnerskaber spiller en væsentlig rolle for forbedring af it-sikkerheden. Kommissionen bør derfor undersøge, om det kan lade sig gøre at skabe rammer eller instrumenter, der kan bistå offentlig-private partnerskaber med at samarbejde på nationalt plan og EU-plan med henblik på at fastsætte informationskvalitetsnormer for interoperabilitet og sikre overholdelsen af grundlæggende rettigheder, magtadskillelse og demokratisk kontrol.

Ændringsforslag  13

Forslag til direktiv

Betragtning 13

Kommissionens forslag

Ændringsforslag

(13) Betydelige mangler i og forskelle mellem medlemsstaternes lovgivning om angreb på informationssystemer kan hæmme bekæmpelsen af organiseret kriminalitet og terrorisme og kan vanskeliggøre et effektivt samarbejde mellem politi og retsvæsen på dette område. Den omstændighed, at moderne informationssystemer går på tværs af landene og landegrænserne, betyder, at angreb på sådanne systemer har en grænseoverskridende dimension, hvilket understreger det presserende behov for yderligere initiativer med henblik på en indbyrdes tilnærmelse af de strafferetlige regler på området. Derudover bør koordineringen af retsforfølgningen i forbindelse med tilfælde af angreb på informationssystemer være lettet ved vedtagelsen af Rådets rammeafgørelse 2009/948/RIA om forebyggelse og bilæggelse af konflikter om udøvelse af jurisdiktion i straffesager.

(13) Betydelige mangler i og forskelle mellem medlemsstaternes lovgivning om angreb på informationssystemer kan hæmme bekæmpelsen af organiseret kriminalitet og terrorisme og kan vanskeliggøre et effektivt samarbejde mellem politi og retsvæsen på dette område. Den omstændighed, at moderne informationssystemer går på tværs af landene og landegrænserne, betyder, at angreb på sådanne systemer har en grænseoverskridende dimension, hvilket understreger det presserende behov for yderligere initiativer med henblik på en indbyrdes tilnærmelse af de strafferetlige regler på området på EU-plan. EU bør også stræbe efter større internationalt samarbejde inden for datanetværkssikkerhed ved at arbejde tæt sammen med andre organisationer med relevante kompetenceområder, såsom FN, NATO, Europarådet og OSCE, og med inddragelse af andre internationale interessenter. Derudover bør koordineringen af retsforfølgningen i forbindelse med tilfælde af angreb på informationssystemer være lettet ved vedtagelsen af Rådets rammeafgørelse 2009/948/RIA om forebyggelse og bilæggelse af konflikter om udøvelse af jurisdiktion i straffesager.

Ændringsforslag  14

Forslag til direktiv

Betragtning 16

Kommissionens forslag

Ændringsforslag

(16) I dette direktiv overholdes de grundlæggende rettigheder og de principper, som bl.a. er anerkendt i Den Europæiske Unions charter om grundlæggende rettigheder, herunder beskyttelse af personoplysninger, ytrings- og informationsfrihed, ret til en upartisk domstol, uskyldsformodning og ret til et forsvar samt legalitetsprincippet og princippet om proportionalitet mellem lovovertrædelse og straf. Dette direktiv tilsigter især at sikre, at disse rettigheder og principper respekteres fuldt ud, og skal gennemføres i overensstemmelse med dem.

(16) I dette direktiv og ved enhver praktisk gennemførelse heraf overholdes de grundlæggende rettigheder, og de principper, især privatlivets fred, som bl.a. er anerkendt i Den Europæiske Unions charter om grundlæggende rettigheder, herunder beskyttelse af personoplysninger, ytrings- og informationsfrihed, ret til en retfærdig rettergang, uskyldsformodning og ret til et forsvar samt legalitetsprincippet og princippet om proportionalitet mellem lovovertrædelse og straf. Dette direktiv tilsigter især at sikre, at disse rettigheder og principper respekteres fuldt ud, og skal gennemføres i overensstemmelse med dem. Den frihed og åbenhed, som kendetegner internettet, påvirkes ikke negativt af dette direktiv.

Ændringsforslag  15

Forslag til direktiv

Betragtning 16 a (ny)

Kommissionens forslag

Ændringsforslag

 

(16a) Rådet og Kommissionen bør i forhandlinger og i samarbejdet med tredjelande stå fast på minimumskrav for forebyggelse og bekæmpelse af it-kriminalitet og internetangreb såvel som på minimumsstandarder for informationssystemsikkerhed.

Ændringsforslag  16

Forslag til direktiv

Betragtning 16 b (ny)

Kommissionens forslag

Ændringsforslag

 

(16b) Kommissionen bør overveje mulighederne for at bistå tredjelande i disses bestræbelser på at opbygge deres internetsikkerhed og internet-forsvarskapacitet.

Ændringsforslag  17

Forslag til direktiv

Artikel 14 – stk. 2 a (nyt)

Kommissionens forslag

Ændringsforslag

 

2a. Kommissionen bistår medlemsstaterne med at fremme internettets modstandskraft og stabilitet og træffer andre foranstaltninger til at opnå it-sikkerhed.

Ændringsforslag  18

Forslag til direktiv

Artikel 14 – stk. 2 b (nyt)

Kommissionens forslag

Ændringsforslag

2b. Rådet tydeliggør, hvilken rolle Den Politiske og Sikkerhedspolitiske Komité og dets øvrige organer skal spille i forbindelse med håndteringen af potentielle it-angreb.

Ændringsforslag  19

Forslag til direktiv

Artikel 14 – stk. 2 c (nyt)

Kommissionens forslag

Ændringsforslag

2c. Medlemsstaterne forbedrer informationsudvekslingen vedrørende it-sikkerhed. Medlemsstaterne bør med Kommissionens støtte søge samarbejde med tredjelande, navnlig med dem, hvorfra angrebene oftest kommer.

Ændringsforslag  20

Forslag til direktiv

Artikel 15 – stk. 3

Kommissionens forslag

Ændringsforslag

3. Medlemsstaterne fremsender de oplysninger, der er indsamlet i henhold til denne artikel, til Kommissionen. De sikrer tillige, at der offentliggøres en konsolideret oversigt over disse statistiske rapporter.

3. Medlemsstaterne fremsender de oplysninger, der er indsamlet i henhold til denne artikel, til Kommissionen. De sikrer tillige, at en konsolideret oversigt over disse statistiske rapporter forelægges Europa-Parlamentet og offentliggøres.

Ændringsforslag  21

Forslag til direktiv

Artikel 15 – stk. 3 a (nyt)

Kommissionens forslag

Ændringsforslag

3a. Der udpeges en unionskoordinator for internetsikkerhed med henblik på at fremme integrationen og samordningen af Unionens initiativer, programmer og aktiviteter i alle Unionens institutioner.

PROCEDURE

Titel

Angreb på informationssystemer og ophævelse af Rådets rammeafgørelse 2005/222/RIA

Referencer

KOM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Korresponderende udvalg

       Dato for meddelelse på plenarmødet

LIBE

7.10.2010

 

 

 

Rådgivende udvalg

       Dato for meddelelse på plenarmødet

AFET

7.4.2011

 

 

 

Ordfører

       Dato for valg

Kristiina Ojuland

29.3.2011

 

 

 

Dato for vedtagelse

22.11.2011

 

 

 

Resultat af den endelige afstemning

+:

–:

0:

38

8

0

Til stede ved den endelige afstemning - medlemmer

Sir Robert Atkins, Frieda Brepoels, Elmar Brok, Marietta Giannakou, Andrzej Grzyb, Takis Hadjigeorgiou, Anna Ibrisagic, Othmar Karas, Ioannis Kasoulides, Tunne Kelam, Evgeni Kirilov, Andrey Kovatchev, Eduard Kukan, Krzysztof Lisek, Sabine Lösing, Ulrike Lunacek, Barry Madlener, Francisco José Millán Mon, Annemie Neyts-Uyttebroeck, Raimon Obiols, Justas Vincas Paleckis, Ioan Mircea Paşcu, Cristian Dan Preda, Libor Rouček, José Ignacio Salafranca Sánchez-Neyra, Jacek Saryusz-Wolski, Werner Schulz, Marek Siwiec, Charles Tannock, Inese Vaidere, Kristian Vigenin, Sir Graham Watson

Til stede ved den endelige afstemning - stedfortrædere

Laima Liucija Andrikienė, Elena Băsescu, Tanja Fajon, Diogo Feio, Monica Luisa Macovei, Emilio Menéndez del Valle, György Schöpflin, Traian Ungureanu, Ivo Vajgl, Renate Weber, Janusz Władysław Zemke

Til stede ved den endelige afstemning - stedfortrædere, jf. art. 187, stk. 2

Luís Paulo Alves, Sylvie Guillaume, Vladimir Urutchev

UDTALELSE fra Udvalget om Industri, Forskning og Energi (11.11.2011)

til Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender

om forslag til Europa-Parlamentets og Rådets direktiv om angreb på informationssystemer og om ophævelse af Rådets rammeafgørelse 2005/222/RIA
(KOM(2010)0517 – C7‑0293/2010 – 2010/0273(COD))

Ordfører for udtalelse: Christian Ehler

ÆNDRINGSFORSLAG

Udvalget om Industri, Forskning og Energi opfordrer Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender, som er korresponderende udvalg, til at optage følgende ændringsforslag i sin betænkning:

Ændringsforslag  1

Forslag til direktiv

Betragtning 1

Kommissionens forslag

Ændringsforslag

(1) Direktivets formål er at tilnærme medlemsstaternes strafferetlige regler til hinanden med hensyn til angreb på informationssystemer og at forbedre samarbejdet mellem de retlige og andre kompetente myndigheder, herunder politiet og andre specialiserede retshåndhævende myndigheder i medlemsstaterne.

(1) Som led i EU's overordnede strategi for bekæmpelse af organiseret kriminalitet, forøgelse af computernetværkenes modstandsdygtighed, beskyttelse af kritisk informationsinfrastruktur samt databeskyttelse har dette direktiv til formål at tilnærme medlemsstaternes strafferetlige regler til hinanden med hensyn til angreb på informationssystemer og forbedre samarbejdet mellem de retlige og andre kompetente myndigheder, herunder politiet og andre specialiserede retshåndhævende myndigheder i medlemsstaterne, Kommissionen, Eurojust, Europol, nationale it-beredskabsenheder (CERT) og Det Europæiske Agentur for Net- og Informationssikkerhed, med henblik på at muliggøre en fælles og omfattende EU-tilgang.

Ændringsforslag  2

Forslag til direktiv

Betragtning 1 a (ny)

Kommissionens forslag

Ændringsforslag

 

(1a) Informationssystemer er et centralt element i det politiske, sociale og økonomiske samspil i Europa. Samfundet bliver stadig mere afhængigt af sådanne systemer. Disse systemers funktionsdygtighed og sikkerhed i Europa er en forudsætning for udviklingen af ​​det indre marked og af en konkurrencedygtig og innovativ økonomi. Men selv om informationssystemer giver store fordele, indebærer de også en række risici for vores sikkerhed på grund af deres kompleksitet og sårbarhed over for forskellige former for it-kriminalitet. Informationssystemernes sikkerhed er således en konstant kilde til bekymring, som kræver effektive svar fra medlemsstaternes og EU's side.

Ændringsforslag  3

Forslag til direktiv

Betragtning 2

Kommissionens forslag

Ændringsforslag

(2) Angreb på informationssystemer, især som led i organiseret kriminalitet, er en voksende trussel, og der er i stigende grad bekymring for mulige terrorangreb eller politisk motiverede angreb på informationssystemer, der indgår i medlemsstaternes og Den Europæiske Unions kritiske infrastruktur. Dette er en trussel mod etableringen af et sikrere informationssamfund og et område med frihed, sikkerhed og retfærdighed og kræver derfor en reaktion fra Den Europæiske Unions side.

(2) Angreb på informationssystemer kan komme fra forskellige aktører såsom terrorister, organiserede kriminelle grupper, lande eller isolerede individer. De er en voksende trussel mod informationssystemernes funktionsdygtighed såvel i EU som globalt, og der er i stigende grad bekymring for mulige terrorangreb eller politisk motiverede angreb på informationssystemer, der indgår i medlemsstaternes og Den Europæiske Unions kritiske infrastruktur. Den grænseoverskridende karakter af visse lovovertrædelser og de relativt lave risici og omkostninger, de indebærer for gerningsmændene set i forhold til de store gevinster, de kan opnå, og de skader, de kan forvolde ved disse angreb, gør truslen så meget desto mere alvorlig. Dette er en trussel mod etableringen af et sikrere informationssamfund og et område med frihed, demokrati, sikkerhed og retfærdighed, undergraver etableringen af et digitalt indre marked i EU og kræver derfor en reaktion fra Den Europæiske Unions side samt på internationalt plan, f.eks. gennem Europarådets konvention om it-kriminalitet fra 2001.

Ændringsforslag  4

Forslag til direktiv

Betragtning 2 a (ny)

Kommissionens forslag

Ændringsforslag

 

(2a) De seneste it-angreb rettet mod EU-netværk eller -informationssystemer har påført Unionen store økonomiske og sikkerhedsmæssige skader.

Begrundelse

Der henvises her til it-angrebene på EU-institutionerne i marts 2011 og til de talrige indbrud i EU's emissionshandelssystem, der har medført tyveri af emissionstilladelser til en værdi af flere millioner EUR.

Ændringsforslag  5

Forslag til direktiv

Betragtning 3

Kommissionens forslag

Ændringsforslag

(3) Der er en klar tendens til, at angrebene på informationssystemer af afgørende betydning for staterne eller for enkelte funktioner i den offentlige eller private sektor bliver stadig farligere, sker hyppigere og er mere omfattende. Denne tendens falder sammen med udviklingen af stadigt mere avancerede værktøjer, der kan bruges af forbrydere til at foretage forskellige typer angreb over internettet.

(3) Der er en klar tendens til, at angrebene på informationssystemer af afgørende betydning for internationale organisationer, for lande, for EU eller for enkelte funktioner i den offentlige eller private sektor, herunder DDoS-angreb (Distributed Denial of Service), bliver stadig farligere, sker hyppigere og er mere omfattende. Sådanne angreb kan forvolde alvorlig økonomisk skade, såvel gennem afbrydelse af selve informationssystemerne og kommunikationsstrømmene som gennem tab eller forvanskning af kommercielt vigtig fortrolig information eller andre data. Innovative SMV'er, der er afhængige af adgangen til velfungerende informationssystemer, men ofte har færre midler til informationssikkerhed, er særligt udsatte. Denne tendens falder sammen med den hurtige udvikling af it-teknologien og dermed af stadigt mere avancerede værktøjer, der kan bruges af forbrydere til at foretage forskellige typer angreb over internettet, heraf nogle med potentiale for at forvolde omfattende økonomisk og samfundsmæssig skade.

Ændringsforslag  6

Forslag til direktiv

Betragtning 4

Kommissionens forslag

Ændringsforslag

(4) Fælles definitioner på dette område, især af informationssystemer og edb-data, er vigtige for at sikre samme holdning i alle medlemsstaterne til anvendelsen af dette direktiv.

(4) Fælles definitioner på dette område, især af informationssystemer, edb-data og strafbare handlinger i forbindelse med informationssystemer og edb-data, er afgørende for at sikre en konsekvent og ensartet tilgang i alle medlemsstaterne til anvendelsen af dette direktiv.

Ændringsforslag  7

Forslag til direktiv

Betragtning 6

Kommissionens forslag

Ændringsforslag

(6) Medlemsstaterne bør træffe bestemmelse om sanktioner for angreb på informationssystemer. Sanktionerne bør være effektive, stå i et rimeligt forhold til overtrædelsernes grovhed og have afskrækkende virkning.

(6) I tilgift til de foranstaltninger, som medlemsstaterne, EU og den private sektor træffer for at øge informationssystemernes sikkerhed og integritet samt forebygge angreb og minimere deres virkninger, bør medlemsstaterne træffe bestemmelse såvel om effektive foranstaltninger til at forhindre sådanne angreb som om harmoniserede sanktioner for angreb på informationssystemer, som bør fastlægges inden for rammerne af bredere nationale strategier for forebyggelse og bekæmpelse af sådanne angreb. Sanktionerne bør være effektive, stå i et rimeligt forhold til overtrædelsernes grovhed og have afskrækkende virkning. Der er behov for konvergens mellem de sanktioner og straffe, som medlemsstaterne anvender, på grund af den ofte grænseoverskridende karakter af truslerne, således at forskellene mellem de måder, hvorpå medlemsstaterne håndterer lovovertrædelser begået inden for EU, mindskes.

Ændringsforslag  8

Forslag til direktiv

Betragtning 6 a (ny)

Kommissionens forslag

Ændringsforslag

 

(6a) Medlemsstaterne, EU og den private sektor bør i samarbejde med Det Europæiske Agentur for Net- og Informationssikkerhed tage skridt til at øge informationssystemernes sikkerhed og integritet med henblik på at forhindre angreb og minimere deres virkninger.

Ændringsforslag  9

Forslag til direktiv

Betragtning 8

Kommissionens forslag

Ændringsforslag

(8) I sine konklusioner fra mødet den 27. og 28. november 2008 udtalte Rådet, at der burde udvikles en ny strategi sammen med medlemsstaterne og Kommissionen, hvori der skulle tages hensyn til indholdet af Europarådets konvention om it-kriminalitet af 2001. Konventionen udgør den retlige referenceramme for bekæmpelse af it-kriminalitet, herunder angreb på informationssystemer. Dette direktiv bygger på konventionen.

(8) I sine konklusioner fra mødet den 27. og 28. november 2008 udtalte Rådet, at der burde udvikles en ny strategi sammen med medlemsstaterne og Kommissionen, hvori der skulle tages hensyn til indholdet af Europarådets konvention om it-kriminalitet af 2001. Rådet og Kommissionen bør tilskynde de medlemsstater, der endnu ikke har ratificeret konventionen, til at gøre det hurtigst muligt. Konventionen udgør den retlige referenceramme for bekæmpelse af it-kriminalitet, herunder angreb på informationssystemer. Dette direktiv tager hensyn til de relevante bestemmelser i konventionen.

Ændringsforslag  10

Forslag til direktiv

Betragtning 10

Kommissionens forslag

Ændringsforslag

(10) Det er ikke hensigten, at direktivet skal pålægge strafferetligt ansvar, når lovovertrædelserne begås uden forsæt til at begå en forbrydelse, f.eks. i forbindelse med tilladt testning eller beskyttelse af informationssystemer.

(10) Dette direktiv dækker ikke foranstaltninger, der træffes med henblik på at gøre informationssystemerne sikre, f.eks. for at sætte dem i stand til at modstå de strafbare handlinger, der er defineret i dette direktiv, eller med henblik på at fjerne adgangen til værktøjer, der anvendes eller kan anvendes til sådanne handlinger. Det er heller ikke hensigten, at det skal pålægge strafferetligt ansvar, når de objektive kriterier for en strafbar handling i henhold til direktivet er opfyldt, men handlingen er foretaget uden forsæt til at begå en forbrydelse, f.eks. i forbindelse med tilladt testning eller beskyttelse af informationssystemer

Begrundelse

På grund af den undertiden uklare sondring mellem ondsindede og ikke-ondsindede indgreb (f.eks. automatiske opdateringer m.m.) søges det med dette ændringsforslag præciseret, at f.eks. anvendelsen af antivirussoftware eller værktøjer til fjernelse af virusser eller anbringelsen af inficerede anordninger i karantæne falder helt uden for direktivets anvendelsesområde.

Ændringsforslag  11

Forslag til direktiv

Betragtning 11

Kommissionens forslag

Ændringsforslag

(11) Direktivet øger vigtigheden af netværk, såsom G8 og Europarådets netværk af kontaktpunkter, der står til disposition døgnet rundt på alle ugens dage, til udveksling af information for at sikre, at der straks ydes bistand i forbindelse med efterforskning eller procedurer vedrørende lovovertrædelser i forbindelse med informationssystemer og data eller indsamling af beviser for en lovovertrædelse i elektronisk form. På grund af den hastighed, hvormed der kan foretages omfattende angreb, bør medlemsstaterne være i stand til straks at reagere på hastende anmodninger fra netværket af kontaktpunkter. Denne bistand bør bl.a. bestå i at fremme eller sikre, at der træffes foranstaltninger, såsom teknisk rådgivning, opbevaring af data, indsamling af beviser, tilvejebringelse af juridiske oplysninger og opsporing af mistænkte.

(11) Direktivet øger vigtigheden af netværk, såsom G8 og Europarådets netværk af kontaktpunkter, der står til disposition døgnet rundt på alle ugens dage, til udveksling af information for at sikre, at der straks ydes bistand i forbindelse med efterforskning eller procedurer vedrørende lovovertrædelser i forbindelse med informationssystemer og data eller indsamling af beviser for en lovovertrædelse eller planer om at begå en lovovertrædelse. På grund af den hastighed, hvormed der kan foretages omfattende angreb, bør medlemsstaterne, EU og Det Europæiske Agentur for Net- og Informationssikkerhed være i stand til at reagere hurtigt og effektivt på hastende anmodninger fra netværket af kontaktpunkter. Denne bistand bør bl.a. bestå i at fremme eller sikre, at der træffes foranstaltninger, såsom teknisk bistand, bl.a. med henblik på at genoprette informationssystemets funktionsevne, opbevaring af data i overensstemmelse med databeskyttelsesprincipperne, indsamling af beviser, tilvejebringelse af juridiske oplysninger, identifikation af oplysninger, der er bragt i fare og/eller stjålet, og opsporing og identifikation af mistænkte.

Ændringsforslag  12

Forslag til direktiv

Betragtning 11 a (ny)

Kommissionens forslag

Ændringsforslag

 

(11a) Det er af stor betydning for forebyggelsen og bekæmpelsen af angreb på informationssystemer, at de offentlige myndigheder samarbejder med den private sektor og civilsamfundet. Der bør etableres en permanent dialog med disse partnere i lyset af, at de benytter informationssystemer i meget stort omfang, og at der er behov for ansvarsdeling, hvis systemernes stabilitet og funktionsdygtighed skal sikres. Skabelsen af en it-sikkerhedskultur forudsætter, at alle interessenters bevidsthed herom under brugen af informationssystemerne skærpes.

Ændringsforslag  13

Forslag til direktiv

Betragtning 12

Kommissionens forslag

Ændringsforslag

(12) Der er behov for at indsamle oplysninger om lovovertrædelser omfattet af dette direktiv med henblik på at få et mere fuldstændigt billede af problemet på EU-plan og dermed bidrage til at finde mere effektive løsninger på problemet. Oplysningerne vil derudover hjælpe specialiserede organer, såsom Europol og Det Europæiske Agentur for Net- og Informationssikkerhed, til at foretage en bedre vurdering af it-kriminalitetens omfang og af net- og informationssikkerhedssituationen i Europa.

(12) Der er behov for at indsamle oplysninger om lovovertrædelser omfattet af dette direktiv med henblik på at få et mere fuldstændigt billede af problemet på EU-plan og dermed bidrage til at finde mere effektive løsninger på problemet. Det er nødvendigt, at medlemsstaterne forbedrer udvekslingen af oplysninger om angreb på informationssystemer med støtte fra Kommissionen og Det Europæiske Agentur for Net- og Informationssikkerhed. Oplysningerne vil derudover hjælpe specialiserede organer og agenturer, såsom medlemsstaternes it-beredskabsenheder (CERT), Europol og Det Europæiske Agentur for Net- og Informationssikkerhed, til at foretage en bedre vurdering af it-kriminalitetens omfang og af net- og informationssikkerhedssituationen i EU og til at bistå medlemsstaterne med at udforme svar på brud på informationssikkerheden. En øget viden om nuværende og fremtidige risici vil gøre det lettere at træffe hensigtsmæssige beslutninger om forebyggelse og bekæmpelse af angreb på informationssystemer eller begrænsning af de herved forvoldte skader.

Ændringsforslag  14

Forslag til direktiv

Betragtning 12 a (ny)

Kommissionens forslag

Ændringsforslag

(12a) Selv om det er vigtigt, at direktivet opfylder strenge krav til retssikkerhed og forudsigelighed i strafferetlig henseende, er der også behov for at tilvejebringe en fleksibel mekanisme, der kan muliggøre en tilpasning til fremtidige udviklinger, herunder en eventuel udvidelse af direktivets anvendelsesområde, hvilket det opfylder med sine bestemmelser om indsamling af data, informationsudveksling og Kommissionens forpligtelse til regelmæssigt at aflægge beretning om dets anvendelse og stille ethvert nødvendig forslag. Sådanne fremtidige udviklinger omfatter også teknologiske fremskridt, som f.eks. kan muliggøre en mere effektiv håndhævelse med hensyn til angreb på informationssystemer, lette forebyggelsen af angreb eller mindske virkningerne heraf.

Begrundelse

Selv om indførelsen af sanktioner og straffe påskønnes, bør en omfattende EU-tilgang til bekæmpelse af it-kriminalitet ikke kun fokusere på effektiv lovhåndhævelse, men også udvikle strategier og instrumenter til forebyggelse af denne form for kriminalitet.

Ændringsforslag  15

Forslag til direktiv

Betragtning 12 b (ny)

Kommissionens forslag

Ændringsforslag

(12b) Det Europæiske Agentur for Net- og Informationssikkerhed bør spille en strategisk rolle i samordningen af medlemsstaternes og EU-institutionernes indsats. Agenturet kan for eksempel få til opgave at føre tilsyn med informationsudvekslingen mellem dem og derved fungere som fælles kontaktpunkt og som EU's register for internet-sikkerhedshændelser. Det kan også få til opgave at centralisere indsamlingen af statistiske oplysninger om lovovertrædelser omfattet af dette direktiv på EU-plan og benytte disse som grundlag for udarbejdelse af rapporter om situationen for informationssystem- og edb-datasikkerheden i hele EU.

Ændringsforslag  16

Forslag til direktiv

Betragtning 13

Kommissionens forslag

Ændringsforslag

(13) Betydelige mangler i og forskelle mellem medlemsstaternes lovgivning om angreb på informationssystemer kan hæmme bekæmpelsen af organiseret kriminalitet og terrorisme og kan vanskeliggøre et effektivt samarbejde mellem politi og retsvæsen på dette område. Den omstændighed, at moderne informationssystemer går på tværs af landene og landegrænserne, betyder, at angreb på sådanne systemer har en grænseoverskridende dimension, hvilket understreger det presserende behov for yderligere initiativer med henblik på en indbyrdes tilnærmelse af de strafferetlige regler på området. Derudover bør koordineringen af retsforfølgningen i forbindelse med tilfælde af angreb på informationssystemer være lettet ved vedtagelsen af Rådets rammeafgørelse 2009/948/RIA om forebyggelse og bilæggelse af konflikter om udøvelse af jurisdiktion i straffesager.

(13) Betydelige mangler i og forskelle mellem medlemsstaternes lovgivning om angreb på informationssystemer kan hæmme bekæmpelsen af organiseret kriminalitet og terrorisme og kan vanskeliggøre et effektivt samarbejde mellem politi og retsvæsen på dette område. Den omstændighed, at moderne informationssystemer går på tværs af landene og landegrænserne, betyder, at angreb på sådanne systemer har en grænseoverskridende dimension, hvilket understreger det presserende behov for yderligere initiativer på EU-plan med henblik på en indbyrdes tilnærmelse af de nationale strafferetlige regler på området. På samme måde bør EU arbejde for et øget internationalt samarbejde omkring net- og informationssikkerhed med inddragelse af alle relevante internationale aktører. Derudover bør koordineringen af retsforfølgningen i forbindelse med tilfælde af angreb på informationssystemer være lettet ved vedtagelsen af Rådets rammeafgørelse 2009/948/RIA om forebyggelse og bilæggelse af konflikter om udøvelse af jurisdiktion i straffesager.

Ændringsforslag  17

Forslag til direktiv

Artikel 1 – stk. 1

Kommissionens forslag

Ændringsforslag

Dette direktiv fastsætter nærmere bestemmelser om de strafbare handlinger i forbindelse med angreb på informationssystemer og fastsætter minimumsregler for straffe herfor. Det indfører endvidere fælles bestemmelser om forebyggelse af angrebene og forbedring af EU-samarbejdet om strafferetspleje på dette område.

Dette direktiv fastsætter nærmere bestemmelser om de strafbare handlinger i forbindelse med angreb på informationssystemer og fastsætter harmoniserede minimumsregler for straffe herfor. Det indfører endvidere fælles bestemmelser med henblik på både forebyggelse af angrebene og forbedring af EU-samarbejdet på dette område, navnlig hvad angår strafferetspleje.

Ændringsforslag  18

Forslag til direktiv

Artikel 2 – litra d

Kommissionens forslag

Ændringsforslag

d) "uretmæssig": adgang eller indgreb, som ejeren eller en anden retmæssig indehaver af systemet eller en del af det ikke har givet tilladelse til, eller som ikke er tilladt i henhold til national lovgivning.

d) "uretmæssig": adgang eller indgreb, som ejeren eller en anden retmæssig indehaver af systemet eller en del af det ikke har givet tilladelse til, eller som ikke er tilladt i henhold til national ret eller EU-ret.

Ændringsforslag  19

Forslag til direktiv

Artikel 7 – litra b

Kommissionens forslag

Ændringsforslag

b) edb-password, adgangskoder eller tilsvarende data, hvorved der kan opnås adgang til et helt informationssystem eller en del heraf.

b) edb-password, adgangskoder, digitale eller fysiske kodevisere eller tilsvarende data, hvorved der kan opnås adgang til et helt informationssystem eller en del heraf.

Ændringsforslag  20

Forslag til direktiv

Artikel 8 – stk. 1 a (nyt)

Kommissionens forslag

Ændringsforslag

 

1a. Medlemsstaterne sikrer, at det er strafbart at foretage uautoriseret videregivelse af identifikationsdata til tredjemand med henblik på at begå en af handlingerne i artikel 3-7.

Ændringsforslag  21

Forslag til direktiv

Artikel 8 – stk. 1 b (nyt)

Kommissionens forslag

Ændringsforslag

 

1b. Medlemsstaterne sikrer, at det betragtes som en skærpende omstændighed, hvis en af de strafbare handlinger i artikel 3-7 begås af en person, som i kraft af sit ansættelsesforhold har adgang til de sikkerhedssystemer, der er indbygget i informationssystemer.

Ændringsforslag  22

Forslag til direktiv

Artikel 10 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de strafbare handlinger i artikel 3-6 kan straffes med strafferetlige sanktioner med en maksimal fængselsstraf på mindst fem år, når de begås ved hjælp af et værktøj, der er beregnet til at foretage angreb, der berører et betydeligt antal informationssystemer, eller angreb, der volder betydelig skade, såsom afbrydelse af systemtjenester, økonomiske omkostninger eller tab af personlige data.

2. Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at de strafbare handlinger i artikel 3-6 kan straffes med strafferetlige sanktioner med en maksimal fængselsstraf på mindst fem år, når de begås ved hjælp af et værktøj, der er beregnet til at foretage angreb, der berører et betydeligt antal informationssystemer, eller angreb, der volder betydelig skade, såsom afbrydelse af systemtjenester, økonomiske omkostninger eller tab af personlige data eller følsomme oplysninger.

Ændringsforslag  23

Forslag til direktiv

Artikel 13 – stk. 1 – litra c

Kommissionens forslag

Ændringsforslag

c) for at skaffe en juridisk person, der har hjemsted på den pågældende medlemsstats område, vinding.

c) for at skaffe en juridisk person, der er etableret i henhold til lovgivningen på den pågældende medlemsstats område, vinding.

Ændringsforslag  24

Forslag til direktiv

Artikel 14 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Med henblik på udveksling af oplysninger om de strafbare handlinger, der er omhandlet i artikel 3-8, skal medlemsstaterne i overensstemmelse med reglerne om databeskyttelse gøre brug af det bestående netværk af kontaktpunkter, der fungerer døgnet rundt, alle ugens dage. Medlemsstaterne sikrer endvidere, at der findes procedurer, så de kan besvare hasteanmodninger inden otte timer. Besvarelsen skal mindst angive, om anmodningen om hjælp vil blive imødekommet, hvordan det vil ske og hvornår.

1. Med henblik på udveksling af oplysninger om de strafbare handlinger, der er omhandlet i artikel 3-8, skal medlemsstaterne sikre, at de har et funktionelt nationalt kontaktpunkt, og i overensstemmelse med reglerne om databeskyttelse gøre brug af netværket af kontaktpunkter, der fungerer døgnet rundt, alle ugens dage, og endvidere videresende sådanne oplysninger til Kommissionen og Det Europæiske Agentur for Net- og Informationssikkerhed. Medlemsstaterne sikrer endvidere, at der findes procedurer, så de kan besvare hasteanmodninger inden otte timer. Besvarelsen skal være effektiv og skal i relevant omfang omfatte fremme eller direkte gennemførelse af følgende foranstaltninger: teknisk rådgivning, bl.a. med henblik på at genoprette informationssystemets funktionsevne, bevaring af data i overensstemmelse med databeskyttelsesprincipperne, indsamling af beviser, tilvejebringelse af juridiske oplysninger og opsporing og identifikation af mistænkte. Kontaktpunkterne skal angive, på hvilken måde og inden for hvilken frist anmodninger om hjælp vil blive besvaret.

Ændringsforslag  25

Forslag til direktiv

Artikel 14 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne underretter Kommissionen om, hvilket kontaktpunkt de har udpeget til at udveksle oplysninger om de strafbare handlinger i artikel 3-8. Kommissionen videresender oplysningerne til de øvrige medlemsstater.

2. Medlemsstaterne underretter Kommissionen, Eurojust og Det Europæiske Agentur for Net- og Informationssikkerhed om, hvilket kontaktpunkt de har udpeget til at udveksle oplysninger om de strafbare handlinger i artikel 3-8. Kommissionen videresender oplysningerne til de øvrige medlemsstater.

Ændringsforslag  26

Forslag til direktiv

Artikel 15 – stk. 3

Kommissionens forslag

Ændringsforslag

3. Medlemsstaterne fremsender de oplysninger, der er indsamlet i henhold til denne artikel, til Kommissionen. De sikrer tillige, at der offentliggøres en konsolideret oversigt over disse statistiske rapporter.

3. Medlemsstaterne fremsender de oplysninger, der er indsamlet i henhold til denne artikel, til Kommissionen, Europol og Det Europæiske Agentur for Net- og Informationssikkerhed og sikrer tillige, at der med jævne mellemrum offentliggøres en konsolideret oversigt over disse statistiske rapporter.

Ændringsforslag  27

Forslag til direktiv

Artikel 18 – stk. 1

Kommissionens forslag

Ændringsforslag

1. Senest [FIRE ÅR FRA VEDTAGELSEN] og derefter hvert tredje år forelægger Kommissionen en beretning om anvendelsen af dette direktiv i medlemsstaterne samt eventuelle forslag for Europa-Parlamentet og Rådet.

1. Senest [FIRE ÅR FRA VEDTAGELSEN] og derefter hvert tredje år forelægger Kommissionen efter høring af alle relevante interesserede parter en beretning om anvendelsen af dette direktiv i medlemsstaterne samt eventuelle forslag for Europa-Parlamentet og Rådet. Hver beretning skal identificere og i forbindelse med eventuelle nødvendige forslag tage højde for tekniske løsninger, der kan gøre det muligt at opnå en mere effektiv retshåndhævelse i EU i forbindelse med angreb på informationssystemer, herunder tekniske løsninger, der kan bidrage til at forebygge sådanne angreb eller mindske deres virkninger.

Ændringsforslag  28

Forslag til direktiv

Artikel 18 – stk. 2

Kommissionens forslag

Ændringsforslag

2. Medlemsstaterne sender Kommissionen alle de oplysninger, der er relevante for udarbejdelsen af den i stk. 1 omhandlede rapport. Oplysningerne skal omfatte en detaljeret beskrivelse af lovgivningsmæssige og ikke-lovgivningsmæssige foranstaltninger, som er vedtaget i forbindelse med gennemførelsen af direktivet.

2. Medlemsstaterne og Det Europæiske Agentur for Net- og Informationssikkerhed sender Kommissionen alle de oplysninger, der er relevante for udarbejdelsen af den i stk. 1 omhandlede rapport. Oplysningerne skal omfatte en detaljeret beskrivelse af lovgivningsmæssige og ikke-lovgivningsmæssige foranstaltninger, som er vedtaget i forbindelse med gennemførelsen af direktivet.

PROCEDURE

Titel

Angreb på informationssystemer og ophævelse af Rådets rammeafgørelse 2005/222/RIA

Referencer

KOM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Korresponderende udvalg

       Dato for meddelelse på plenarmødet

LIBE

7.10.2010

 

 

 

Rådgivende udvalg

       Dato for meddelelse på plenarmødet

ITRE

7.10.2010

 

 

 

Ordfører

       Dato for valg

Christian Ehler

24.11.2010

 

 

 

Behandling i udvalg

13.4.2011

6.10.2011

 

 

Dato for vedtagelse

10.11.2011

 

 

 

Resultat af den endelige afstemning

+:

–:

0:

49

0

1

Til stede ved den endelige afstemning - medlemmer

Ivo Belet, Bendt Bendtsen, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Ioan Enciu, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Jacky Hénin, Kent Johansson, Romana Jordan Cizelj, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Bogdan Kazimierz Marcinkiewicz, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Aldo Patriciello, Anni Podimata, Miloslav Ransdorf, Herbert Reul, Michèle Rivasi, Jens Rohde, Paul Rübig, Amalia Sartori, Francisco Sosa Wagner, Konrad Szymański, Michael Theurer, Ioannis A. Tsoukalas, Claude Turmes, Niki Tzavela, Marita Ulvskog, Vladimir Urutchev, Adina-Ioana Vălean

Til stede ved den endelige afstemning - stedfortrædere

Antonio Cancian, Jolanta Emilia Hibner, Yannick Jadot, Ivailo Kalfin, Bernd Lange, Werner Langen, Markus Pieper, Mario Pirillo, Hannes Swoboda, Silvia-Adriana Ţicău

Til stede ved den endelige afstemning - stedfortrædere, jf. art. 187, stk. 2

Eider Gardiazábal Rubial

PROCEDURE

Titel

Angreb på informationssystemer og ophævelse af Rådets rammeafgørelse 2005/222/RIA

Referencer

COM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Dato for høring af EP

30.9.2010

 

 

 

Korresponderende udvalg

       Dato for meddelelse på plenarmødet

LIBE

7.10.2010

 

 

 

Rådgivende udvalg

       Dato for meddelelse på plenarmødet

AFET

7.4.2011

BUDG

7.10.2010

ITRE

7.10.2010

 

Ingen udtalelse

       Dato for afgørelse

BUDG

20.10.2010

 

 

 

Ordfører

       Dato for valg

Monika Hohlmeier

9.12.2010

 

 

 

Behandling i udvalg

3.2.2011

25.5.2011

12.1.2012

28.2.2012

 

27.3.2012

21.6.2012

6.6.2013

 

Dato for vedtagelse

6.6.2013

 

 

 

Resultat af den endelige afstemning

+:

–:

0:

36

8

0

Til stede ved den endelige afstemning - medlemmer

Jan Philipp Albrecht, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Philip Claeys, Carlos Coelho, Ioan Enciu, Frank Engel, Cornelia Ernst, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Sophia in ‘t Veld, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Nuno Melo, Roberta Metsola, Antigoni Papadopoulou, Georgios Papanikolaou, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Rui Tavares, Nils Torvalds, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Til stede ved den endelige afstemning - stedfortrædere

Dimitrios Droutsas, Mariya Gabriel, Evelyne Gebhardt, Stanimir Ilchev, Franziska Keller, Jean Lambert, Jan Mulder

Til stede ved den endelige afstemning - stedfortrædere, jf. art. 187, stk. 2

Jens Nilsson, Sabine Verheyen

Dato for indgivelse

19.6.2013