INFORME sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a los ataques contra los sistemas de información, por la que se deroga la Decisión marco 2005/222/JAI del Consejo

18.6.2013 - (COM(2010)0517 – C7‑0293/2010 – 2010/0273(COD)) - ***I

Comisión de Libertades Civiles, Justicia y Asuntos de Interior
Ponente: Monika Hohlmeier


Procedimiento : 2010/0273(COD)
Ciclo de vida en sesión
Ciclo relativo al documento :  
A7-0224/2013

PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a los ataques contra los sistemas de información, por la que se deroga la Decisión marco 2005/222/JAI del Consejo

(COM(2010)0517 – C7‑0293/2010 – 2010/0273(COD))

(Procedimiento legislativo ordinario: primera lectura)

El Parlamento Europeo,

–  Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo (COM(2010)0517),

–  Vistos el artículo 294, apartado 2, y el artículo 83, apartado 1, del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C7‑0293/2010),

–  Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,

–  Visto el dictamen del Comité Económico y Social Europeo, de 4 de mayo de 2011[1],

–  Visto el compromiso asumido por el representante del Consejo, mediante carta de xxx , de adoptar la posición del Parlamento Europeo, de conformidad con el artículo 294, apartado 4, del Tratado de Funcionamiento de la Unión Europea,

–  Visto el artículo 55 de su Reglamento,

–  Vistos el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior y las opiniones de la Comisión de Asuntos Exteriores y de la Comisión de Industria, Investigación y Energía (A7‑0224/2011),

1.  Aprueba la posición en primera lectura que figura a continuación;

2.  Pide a la Comisión que le consulte de nuevo si se propone modificar sustancialmente su propuesta o sustituirla por otro texto;

3.  Encarga a su Presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.

Enmienda    129

Propuesta de Directiva

ENMIENDAS DEL PARLAMENTO EUROPEO[2]*

a la propuesta de la Comisión

---------------------------------------------------------

sobre la propuesta de

DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativa a los ataques contra los sistemas de información, por la que se sustituye laDecisión marco 2005/222/JAI del Consejo

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 83, apartado 1,

Vista la propuesta de la Comisión Europea [3],

Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo [4],

Visto el dictamen del Comité de las Regiones,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)  El objetivo de la presente Directiva es aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra los sistemas de información, mediante el establecimiento de normas mínimas relativas a la definición de las infracciones penales y las sanciones en este ámbito, y mejorar la cooperación entre ▌las autoridades competentes, incluida la policía y los demás servicios represivos especializados de los Estados miembros, así como las agencias especializadas de la Unión, como Eurojust, Europol y su Centro Europeo contra la Ciberdelincuencia y la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).

(1 bis)  Los sistemas de información son un elemento esencial para la interacción política, social y económica en la Unión. La dependencia de este tipo de sistemas por parte de la sociedad es muy grande y sigue aumentando. El buen funcionamiento y la seguridad de estos sistemas en la Unión es clave para el desarrollo del mercado interior y de una economía competitiva e innovadora. Garantizar un adecuado nivel de protección de los sistemas de información debe formar parte de un marco general efectivo de medidas de protección que acompañen a las respuestas del derecho penal a la ciberdelincuencia.

(2)  Los ataques contra los sistemas de información, en particular los ataques vinculados a la delincuencia organizada, son una amenaza creciente en la UE y en el resto del mundo, y cada vez preocupa más la posibilidad de atentados terroristas o con motivaciones políticas contra los sistemas de información que forman parte de las infraestructuras críticas de los Estados miembros y la Unión. Esta situación pone en peligro la realización de una sociedad de la información segura y de un espacio de libertad, seguridad y justicia y exige, por tanto, una respuesta por parte de la Unión Europea, así como una cooperación y coordinación más eficaces a escala internacional.

(2 bis)  Existe en la Unión una serie de infraestructuras críticas cuya perturbación o destrucción tendría repercusiones transfronterizas importantes. De la necesidad de incrementar en la Unión la capacidad de protección de estas infraestructuras se desprende que las medidas contra los ataques informáticos deben complementarse con sanciones penales de envergadura que reflejen la gravedad de tales ataques. Por "infraestructura crítica" se entiende un elemento, sistema o parte de este situado en los Estados miembros que es esencial, por ejemplo, para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población, como las centrales eléctricas, las redes de transporte y las redes de los órganos de gobernación, y cuya perturbación o destrucción afectaría gravemente a un Estado miembro al no poder mantener esas funciones.

(3)  Se comprueba una tendencia hacia ataques de gran escala cada vez más graves y recurrentes contra sistemas de información que a menudo pueden ser críticos para los Estados o para determinadas funciones del sector público o privado. Esta tendencia coincide con el desarrollo de métodos cada vez más sofisticados, como la creación y utilización de redes infectadas (botnets), que conllevan fases subsiguientes del acto delictivo, cada una de las cuales puede por sí sola constituir un grave peligro para el interés público. En este sentido, la Directiva tiene por objeto, entre otros, establecer sanciones penales para la fase en que se crea la red infectada, es decir, cuando se establece un control remoto sobre un número significativo de ordenadores infectándolos mediante programas nocivos a través de ataques informáticos dirigidos. En una fase posterior, los ordenadores infectados, que constituyen la red infectada, pueden activarse sin el conocimiento de los usuarios para realizar un ataque informático a gran escala, que en circunstancias normales puede causar daños graves, como menciona la Directiva. Los Estados miembros pueden establecer qué constituyen daños graves de conformidad con su ordenamiento jurídico y práctica nacionales, que pueden comprender la interrupción de los servicios del sistema de una importancia pública relevante, importantes costes económicos o pérdidas de datos personales o de información sensible.

(3 bis)  Los ataques a gran escala pueden causar graves perjuicios económicos, tanto por la paralización de los sistemas de información y de las comunicaciones como por la pérdida o alteración de información confidencial de importancia comercial o de otros datos. Debe prestarse especial atención a sensibilizar más a las PYME innovadoras sobre las amenazas y vulnerabilidades que les afectan debido a su mayor dependencia del correcto funcionamiento y de la disponibilidad de los sistemas de información y al hecho de que sus recursos para la seguridad de la información son, con frecuencia, limitados.

(4)  Es importante en esta materia disponer de definiciones comunes a fin de garantizar la aplicación coherente de la presente Directiva en los Estados miembros.

(5)  Es necesario llegar a un enfoque común respecto de los elementos constitutivos de las infracciones penales introduciendo las infracciones comunes de acceso ilegal a un sistema de información, de intromisión ilegal en el sistema, de intromisión ilegal en los datos y de interceptación ilegal.

(5 bis)  La interceptación abarca, sin limitarse necesariamente a ello, la escucha, el seguimiento y el análisis del contenido de comunicaciones, así como la obtención del contenido de los datos bien directamente, mediante el acceso y recurso a ese sistema de información, o indirectamente, mediante el recurso a sistemas de escucha y grabación electrónicos por medios técnicos.

(6)  Los Estados miembros deben prever sanciones para los ataques contra los sistemas de información. Estas sanciones deben ser efectivas, proporcionadas y disuasorias y deben contemplar penas privativas de libertad y/o sanciones pecuniarias.

(6a)  La Directiva establece sanciones penales al menos para los casos que no son de menor gravedad. Los Estados miembros podrán determinar cuáles son los casos de menor gravedad de conformidad con su ordenamiento jurídico y práctica nacionales. Un caso podrá considerarse de menor gravedad, por ejemplo, cuando el daño causado por la infracción o el riesgo que acarree para intereses públicos o privados, como la integridad de un sistema o datos informáticos, la integridad, derechos u otros intereses de una persona, resulte insignificante o sea de una índole tal que no resulte necesario imponer una sanción penal dentro del umbral jurídico ni exigir responsabilidad penal.

(6 ter)  La identificación y comunicación de las amenazas y los riesgos que plantean los ataques informáticos, así como las vulnerabilidades de los sistemas de información que les afectan, constituye un elemento pertinente de una prevención y una respuesta eficaces frente a dichos ataques y de la mejora de la seguridad de los sistemas de información. Ofrecer incentivos a la comunicación de las insuficiencias en materia de seguridad podría contribuir a producir ese efecto. Los Estados miembros deben comprometerse a brindar posibilidades que permitan la detección y comunicación legales de las deficiencias en materia de seguridad.

(7)  Es conveniente establecer sanciones más severas cuando un ataque contra un sistema de información se comete en el contexto de una organización delictiva, tal como se define en la Decisión marco 2008/841/JAI del Consejo, de 24 de octubre de 2008, relativa a la lucha contra la delincuencia organizada [5], o cuando el ataque se realiza a gran escala afectando así a un número importante de sistemas de información o causando un daño grave, en particular cuando el ataque tiene por objeto crear una red infectada o se lleva a cabo a través de una red infectada, produciendo así un daño grave. Conviene también establecer sanciones más severas cuando el ataque se lleva a cabo contra una infraestructura crítica.

(7 bis)   Otro elemento importante de un enfoque integrado contra la ciberdelincuencia es el establecimiento de medidas eficaces contra la usurpación de identidad y otras infracciones relacionadas con la identidad. Las necesidades inherentes a la actuación de la UE relativa a este tipo de conducta delictiva podrían también ser tomadas en consideración en el contexto de la evaluación de la necesidad de un instrumento global de la UE.

(8)  Las Conclusiones del Consejo de 27 y 28 de noviembre indicaron que debía desarrollarse una nueva estrategia con los Estados miembros y la Comisión, teniendo en cuenta el contenido del Convenio del Consejo de Europa de 2001 sobre la ciberdelincuencia. Este Convenio es el marco jurídico de referencia para la lucha contra la ciberdelincuencia, incluidos los ataques contra los sistemas de información. La presente Directiva se basa en dicho Convenio. Así, pues, debe considerarse como prioritario terminar cuanto antes el proceso de ratificación del Convenio por todos los Estados miembros.

(9)  Dadas las diferentes formas en que pueden realizarse los ataques y la rápida evolución de los programas y equipos informáticos, la presente Directiva se refiere a los «instrumentos» que pueden utilizarse para cometer las infracciones penales enumeradas en la presente Directiva. Estos instrumentos pueden ser, por ejemplo, programas informáticos nocivos, incluidos los que permiten crear redes infectadas, que se utilizan para cometer ataques informáticos. Aun cuando un instrumento sea adecuado o incluso especialmente adecuado para llevar a cabo las infracciones antes mencionadas, dicho instrumento podría ser creado con fines legítimos. Teniendo en cuenta la necesidad de evitar la tipificación penal cuando estos instrumentos sean creados y comercializados con fines legítimos, como probar la fiabilidad los productos de la tecnología de la información o la seguridad de los sistemas de información, además del requisito de intención general también debe cumplirse el requisito de que dichos instrumentos sean utilizados para cometer cualquiera de las infracciones a que se refiere la presente Directiva.

(10 bis)  La presente Directiva no pretende exigir responsabilidad penal cuando se cumplen los criterios objetivos de las infracciones enumeradas en la misma pero los actos se cometen sin propósito delictivo, por ejemplo cuando la persona de que se trate no sabía que el acceso no estaba autorizado o en caso de intervención autorizada o de protección de los sistemas de información, o cuando una empresa o un vendedor designen a una persona para probar la solidez de su sistema de seguridad. En el contexto de la presente Directiva, las obligaciones o los acuerdos contractuales tendentes a restringir el acceso a los sistemas de información en virtud de una política de usuarios o de las condiciones de prestación del servicio, así como los conflictos colectivos de trabajo en relación con el acceso a los sistemas de información del empresario o con la utilización de los mismos con fines privados, no deben acarrear responsabilidad penal cuando se estime que el acceso en dichas circunstancias no está autorizado y, por tanto, constituye la única base para incoar una acción penal. La presente Directiva se entiende sin perjuicio del derecho jurídicamente garantizado de acceder a la información, establecido en la legislación nacional y de la UE, pero al mismo tiempo no sirve de excepción para justificar un acceso ilícito y arbitrario a la información.

(10 ter)  La comisión de ataques informáticos podría verse facilitada por varias circunstancias, por ejemplo cuando el autor de las mismas tenga acceso, en el marco de su empleo, a los sistemas de seguridad inherentes a los sistemas de información afectados. En el contexto del derecho nacional, estas circunstancias deben tenerse debidamente en cuenta en el transcurso del procedimiento penal.

(10 quater)  Los Estados miembros deben prever en su derecho nacional las circunstancias agravantes, de conformidad con las normas aplicables establecidas por sus ordenamientos jurídicos en relación con dichas circunstancias. Asimismo, deben velar por que esas circunstancias agravantes puedan ser conocidas por los jueces para que estos las tomen en consideración a la hora de dictar sentencia con respecto a los infractores. Se deja al arbitrio del juez evaluar dichas circunstancias junto con otros elementos de hecho del caso de que se trate.

(10 quinquies)  La presente Directiva no se aplica a las condiciones que han de concurrir para que se ejerza la competencia jurisdiccional sobre alguna de las infracciones contempladas en los artículos 3 a 8, como una declaración realizada por la víctima en el lugar donde se cometió la infracción, o la denuncia del Estado en el que se cometió, o que el delincuente no haya sido procesado en el lugar donde se cometió la infracción.

(10 sexies)  En el contexto de la presente Directiva, los Estados y los organismo públicos están plenamente obligados a garantizar el respeto de los derechos y las libertades fundamentales, de conformidad con las obligaciones internacionales.

(11)  La presente Directiva subraya la importancia de redes, tales como la red de puntos de contacto del G8 o la del Consejo de Europa, disponibles veinticuatro horas al día, siete días a la semana. Los puntos de contacto han de poder prestar asistencia efectiva, facilitando así, por ejemplo, el intercambio de la información relevante disponible o la facilitación de asesoramiento técnico o de información jurídica en el marco de investigaciones o procedimientos relativos a infracciones penales relacionadas con sistemas de información y de datos asociados que impliquen al Estado miembro solicitante. Para garantizar el buen funcionamiento de las redes, cada punto de contacto debe ser capaz de realizar comunicaciones con el punto de contacto de otro Estado miembro de forma acelerada con el apoyo, entre otras cosas, de personal entrenado y equipado. Dada la velocidad a la que pueden realizarse los ataques informáticos a gran escala, todos los Estados miembros deben responder con prontitud a las solicitudes urgentes procedentes de dicha red de puntos de contacto. En tales casos, puede resultar conveniente que la solicitud de información vaya acompañada de contacto telefónico a fin de garantizar que el Estado miembro que recibe la solicitud pueda tramitarla rápidamente y que se facilite información al respecto en el plazo de ocho horas.

(11 bis)  La cooperación entre las autoridades públicas con el sector privado y la sociedad civil es de gran importancia para evitar y combatir los ataques contra los sistemas de información. Es necesario fomentar y mejorar la cooperación entre los proveedores de servicios, los productores, los servicios represivos y las autoridades judiciales, dentro del pleno respeto del principio de legalidad. La cooperación puede incluir, por ejemplo, el apoyo prestado por los proveedores de servicios al contribuir a mantener posibles pruebas, a proporcionar elementos que ayuden a identificar a los infractores y, en última instancia, a cerrar, total o parcialmente, de conformidad con la legislación nacional, que incluye la legislación y las prácticas nacionales, los sistemas de información o la supresión de las funciones que hayan creado una situación de peligro o se hayan utilizado con fines ilegales. Asimismo, los Estados miembros deben tomar en consideración el establecimiento de redes de cooperación y asociación con los proveedores de servicios y los productores para intercambiar información relativa a las infracciones en el marco de aplicación de la presente Directiva.

(12 bis)  Es necesario recopilar datos comparables sobre las infracciones a las que se refiere la presente Directiva. Los datos relevantes se pondrán a disposición de las instancias especializadas competentes, como Europol y la Agencia Europea de Seguridad de las Redes y de la Información, teniendo en cuenta sus cometidos y necesidades en materia de información, a fin de obtener una visión más completa del problema de la ciberdelincuencia y de la seguridad de la red y de la información a escala de la Unión, y contribuir así a la formulación de unas respuestas más eficaces. Los Estados miembros facilitarán a Europol y a su Centro Europeo de Ciberdelincuencia información relativa al modo de actuación de los infractores a fin de llevar a cabo evaluaciones de las amenazas y análisis estratégicos de la ciberdelincuencia de conformidad con la Decisión 2009/371/JAI del Consejo. Facilitar información puede ayudar a comprender mejor las amenazas presentes y futuras, y contribuir así a tomar decisiones de forma más adecuada y específica para combatir y prevenir los ataques contra los sistemas de información,

(12 ter)  De acuerdo con la presente Directiva, la Comisión debe presentar un informe sobre la aplicación de la misma y formular las propuestas legislativas necesarias que puedan llevar a ampliar su ámbito de aplicación, teniendo en cuenta la evolución que se produzca en el campo de la ciberdelincuencia. En dicha evolución podría figurar las innovaciones tecnológicas que permitan, por ejemplo, una represión más eficaz en el ámbito de los ataques contra los sistemas de información, o que faciliten la prevención o reduzcan al máximo la incidencia de dichos ataques. A tal fin, la Comisión tendrá en cuenta los análisis y los informes disponibles realizados por las instancias pertinentes y, en particular, por Europol y ENISA.

(12 quater)  Para combatir eficazmente la ciberdelincuencia deberá aumentarse la capacidad de adaptación de los sistemas de información mediante la adopción de las medidas adecuadas para protegerlos de manera más eficaz contra los ataques que les afecten. Los Estados miembros tomarán las medidas necesarias para proteger las infraestructuras críticas de los ataques informáticos, entre las cuales deberán tomar en consideración las medidas tendentes a proteger sus sistemas de información y los datos asociados. Garantizar un nivel adecuado de protección y seguridad de los sistemas de información por personas jurídicas, por ejemplo en conexión con la facilitación de servicios de comunicación disponibles de forma electrónica en consonancia con la legislación de la UE sobre la privacidad, la comunicación electrónica y la protección de datos, constituye una parte esencial de un planteamiento global para contrarrestar eficazmente la ciberdelincuencia. Deben preverse unos niveles adecuados de protección contra las amenazas y vulnerabilidades que puedan identificarse de forma razonable teniendo en cuenta los conocimientos más recientes sobre sectores específicos y las situaciones concretas de tratamiento de datos. El coste y la carga que representa dicha protección deben ser proporcionados a los daños probables que podría causar un ataque informático a las personas afectadas. Se alienta a los Estados miembros a que establezcan las medidas pertinentes que acarreen responsabilidades en el contexto de su legislación nacional en aquellos casos en que una persona jurídica no haya previsto claramente un nivel apropiado de protección frente a ataques informáticos.

(13)  Las diferencias y divergencias significativas que existen entre las legislaciones y los procedimientos penales de los Estados miembros en este ámbito ▌pueden dificultar la lucha contra la delincuencia organizada y el terrorismo y complicar la cooperación eficaz de los servicios de policía y las administraciones de justicia en materia de ataques contra los sistemas de información. La naturaleza transnacional y transfronteriza de los modernos sistemas de información significa que los ataques suelen revestir un carácter transfronterizo, lo que plantea la necesidad urgente de proseguir la aproximación de las legislaciones penales en este ámbito. Por otra parte, la coordinación del enjuiciamiento de los casos de ataques contra los sistemas de información debe facilitarse mediante la adecuada transposición y aplicación de la Decisión marco 2009/948/JAI del Consejo sobre la prevención y resolución de conflictos de ejercicio de jurisdicción en los procesos penales. Los Estados miembros, en cooperación con la Unión Europea, deben intentar también mejorar la cooperación internacional en lo relativo a la seguridad de los sistemas de información, de las redes de ordenadores y de los datos que estos albergan. En los acuerdos internacionales relativos al intercambio de datos debe tomarse debidamente en consideración la seguridad de la transferencia de datos y del almacenamiento de los mismos.

(13 bis)  Una mayor cooperación entre los órganos de represión y las autoridades judiciales competentes en la Unión es fundamental para combatir eficazmente la ciberdelincuencia. En este sentido, deben intensificarse los esfuerzos por ofrecer una adecuada formación a las autoridades competentes con vistas a mejorar la comprensión de la ciberdelincuencia y de sus repercusiones, y por promover la cooperación y el intercambio de las mejores prácticas por ejemplo a través de las agencias especializadas competentes de la UE. La formación debe estar dirigida, entre otras cosas, a sensibilizar más sobre los diferentes ordenamientos jurídicos nacionales, los posibles retos de tipo jurídico y técnico que se presentan en las investigaciones penales o el reparto de competencias entre las autoridades nacionales competentes.

(14)  Dado que los objetivos de la presente Directiva, a saber, garantizar que los ataques contra los sistemas de información sean castigados en todos los Estados miembros con sanciones penales efectivas, proporcionadas y disuasorias, y mejorar y fomentar la cooperación judicial superando las posibles complicaciones, no pueden ser alcanzados de manera suficiente por los Estados miembros, ya que las normas tienen que ser comunes y compatibles y, por consiguiente, pueden lograrse mejor a escala de la Unión, ésta puede adoptar medidas, de acuerdo con el principio de proporcionalidad consagrado en el artículo 5 del Tratado de la Unión Europea. La presente Directiva se limita a lo estrictamente necesario para alcanzar dichos objetivos y no excede de lo necesario para ese propósito.

(15 bis)  La protección de los datos personales es un derecho fundamental con arreglo al artículo 16, apartado 1, del TFUE y al artículo 8 de la Carta de los Derechos Fundamentales. Por ello, todo tratamiento de datos personales efectuado en el contexto de la aplicación de la presente Directiva debe cumplir plenamente la legislación pertinente de la UE en materia de protección de datos que se haya adoptado sobre la base de los Tratados.

(16)  La presente Directiva respeta las libertades y los derechos fundamentales y cumple los principios reconocidos, en particular, por la Carta de los Derechos Fundamentales de la Unión Europea y el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales, incluida la protección de datos personales, el derecho a la privacidad, la libertad de expresión e información, el derecho a un juicio equitativo, la presunción de inocencia y los derechos de la defensa, así como los principios de legalidad y proporcionalidad de las infracciones penales y las sanciones. En especial, la presente Directiva tiene por objeto garantizar el pleno respeto de dichos derechos y principios y debe aplicarse en consecuencia.

(17)  De conformidad con el artículo 3 del Protocolo sobre la posición del Reino Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, adjunto al Tratado de Funcionamiento de la Unión Europea, el Reino Unido e Irlanda han notificado su intención de participar en la adopción y aplicación de la presente Directiva ▌.

(18)  De conformidad con los artículos 1 y 2 del Protocolo sobre la posición de Dinamarca, adjunto al Tratado de Funcionamiento de la Unión Europea, Dinamarca no participa en la adopción de la presente Directiva que, por lo tanto, no será obligatoria ni se aplicará en este país.

(19)  La presente Directiva tiene la finalidad de modificar y ampliar las disposiciones de la Decisión marco 2005/222/JAI. Dado que las modificaciones necesarias son importantes, tanto en número como en alcance, la Decisión marco debe, en aras de la claridad, ser sustituida en su totalidad en relación con los Estados miembros que participan en la adopción de la misma.

HAN ADOPTADO LA PRESENTE DIRECTIVA:

Artículo 1Objeto

La presente Directiva establece normas mínimas relativas a la definición y las sanciones aplicables a las infracciones penales en el ámbito de los ataques contra los sistemas de información. También tiene por objeto facilitar la prevención de dichas infracciones y la mejora de la cooperación entre las autoridades judiciales y otras autoridades competentes.

Artículo 2Definiciones

A efectos de la presente Directiva, se aplicarán las definiciones siguientes:

a)  «sistema de información»: todo aparato o grupo de aparatos interconectados o relacionados entre sí, uno o varios de los cuales realizan, mediante un programa, el tratamiento automático de datos informáticos, así como los datos informáticos almacenados, tratados, recuperados o transmitidos por estos últimos para su funcionamiento, utilización, protección y mantenimiento;

b)  «datos informáticos»: toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función;

c)  «persona jurídica»: toda entidad a la cual el derecho vigente reconoce este estatuto, salvo los Estados y otros organismos públicos que ejercen prerrogativas estatales y las organizaciones internacionales de carácter público;

d)  «sin autorización»: el acceso, la intromisión, la interceptación o cualquier otro acto contemplado en la presente Directiva que no haya sido autorizado por el propietario o titular de otro tipo de derecho sobre el sistema o parte del mismo o no permitidos por la legislación nacional.

Artículo 3Acceso ilegal a los sistemas de información

Los Estados miembros adoptarán las medidas necesarias para que, cuando haya sido realizado intencionalmente, el acceso sin autorización al conjunto o a una parte de un sistema de información sea sancionable como infracción penal cuando la infracción se haya cometido con violación de una medida de seguridad, al menos en los casos que no sean de menor gravedad.

Artículo 4Intromisión ilegal en los sistemas de información

Los Estados miembros adoptarán las medidas necesarias para que el ▌acto, cometido intencionalmente y sin autorización, de obstaculizar o interrumpir de manera significativa el funcionamiento de un sistema de información, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad.

Artículo 5Intromisión ilegal en los datos

Los Estados miembros adoptarán las medidas necesarias para que el ▌acto, cometido intencionalmente y sin autorización, de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos contenidos en un sistema de información sea sancionable como infracción penal, al menos en los casos que no sean de menor gravedad.

Artículo 6Interceptación ilegal

Los Estados miembros adoptarán las medidas necesarias para garantizar que la ▌interceptación, por medios técnicos, de transmisiones no públicas de datos informáticos hacia, desde o dentro de un sistema de información, incluidas las emisiones electromagnéticas de un sistema de información que contenga dichos datos informáticos, se castigue como una infracción penal cuando se cometa intencionalmente y sin autorización, al menos en los casos que no sean de menor gravedad.

Artículo 7Instrumentos utilizados para cometer las infracciones

1.  Los Estados miembros adoptarán las medidas necesarias para garantizar que la producción, venta, adquisición para el uso, importación, ▌distribución u otra forma de puesta a disposición de los siguientes elementos se castiguen como infracciones penales cuando sean intencionadas y se realicen sin autorización con la intención de que sean utilizados con el fin de cometer cualquiera de las infracciones mencionadas en los artículos 3 a 6, al menos en los casos que no sean de menor gravedad:

a)  ▌un programa informático, concebido o adaptado principalmente para cometer una infracción de las mencionadas en los artículos 3 a 6;

b)  una contraseña de ordenador, un código de acceso, o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información.

Artículo 8

Inducción, complicidad y tentativa

1.  Los Estados miembros garantizarán que la inducción y la complicidad en la comisión de las infracciones mencionadas en los artículos 3 a 7 sean punibles como infracciones penales.

2.  Los Estados miembros garantizarán que la tentativa de cometer una de las infracciones mencionadas en los artículos 4 y 5 sea punible como infracción penal.

Artículo 9Sanciones

1.  Los Estados miembros adoptarán las medidas necesarias para garantizar que las infracciones mencionadas en los artículos 3 a 8 se castiguen con sanciones penales eficaces, proporcionadas y disuasorias.

2.  Los Estados miembros adoptará las medidas necesarias para garantizar que las infracciones mencionadas en los artículos 3 a 7 se castiguen con una sanción máxima de al menos dos años de prisión, al menos en los casos que no sean de menor gravedad.

3.  Los Estados miembros adoptarán las medidas necesarias para garantizar que las infracciones mencionadas en los artículos 4 y 5, cuando se hayan cometido intencionalmente, se castiguen con una sanción máxima de al menos tres años de prisión siempre que hayan afectado a un número significativo de sistemas de información o que para cometerlas se haya utilizado un instrumento, a que se refiere el artículo 7, apartado 1, concebido o adaptado principalmente con este fin.

4.  Los Estados miembros adoptarán las medidas necesarias para garantizar que las infracciones mencionadas en los artículos 4 y 5 se castiguen con una sanción máxima de al menos cinco años de prisión cuando:

a)  se cometan en el contexto de una organización delictiva con arreglo a la Decisión marco 2008/841/JAI, con independencia del nivel de la sanción que se establezca en la misma;

b)  causen daños graves; o

c)  se cometan contra el sistema de información de una infraestructura crítica.

5.  Los Estados miembros tomarán las medidas necesarias para garantizar que, cuando las infracciones a que se refieren los artículos 4 y 5 sean cometidas utilizando ilícitamente datos personales de otra persona con la finalidad de ganar la confianza de un tercero, causando así perjuicio al propietario legítimo de la identidad, ello pueda ser considerado, de conformidad con las disposiciones pertinentes de la legislación nacional, como circunstancia agravante, a menos que esta circunstancia ya esté contemplada en otra infracción que sea punible con arreglo a la legislación nacional.

Artículo 11Responsabilidad de las personas jurídicas

1.  Los Estados miembros adoptarán las medidas necesarias para garantizar que las personas jurídicas puedan ser consideradas responsables de las infracciones mencionadas en los artículos 3 a 8, cuando estas infracciones sean cometidas en su beneficio por cualquier persona que, actuando a título particular o como parte de un órgano de la persona jurídica, ostente un cargo directivo en el seno de dicha persona jurídica, basado en:

a)  el poder de representación de dicha persona jurídica; o

b)  la capacidad para tomar decisiones en nombre de dicha persona jurídica; o

c)  la capacidad para ejercer un control en el seno de dicha persona jurídica.

2.  Los Estados miembros adoptarán las medidas necesarias para garantizar que las personas jurídicas puedan ser consideradas responsables cuando la falta de supervisión o control por parte de alguna de las personas a que se refiere el apartado 1 haya hecho posible que una persona sometida a su autoridad cometa una infracción mencionada en los artículos 3 a 8 en beneficio de esa persona jurídica.

3.  La responsabilidad de las personas jurídicas en virtud de los apartados 1 y 2 no excluirá la incoación de acciones penales contra las personas físicas que sean autoras, inductoras o cómplices de las infracciones mencionadas en los artículos 3 a 8.

Artículo 12Sanciones aplicables a las personas jurídicas

1.  Los Estados miembros adoptarán las medidas necesarias para garantizar que a la persona jurídica considerada responsable en virtud de lo dispuesto en el artículo 11, apartado 1, le sean impuestas sanciones efectivas, proporcionadas y disuasorias, que incluirán multas de carácter penal o de otro tipo, y podrán incluir otras sanciones como, por ejemplo:

a)  exclusión del disfrute de ventajas o ayudas públicas;

b)  inhabilitación temporal o permanente para el ejercicio de actividades comerciales;

c)   vigilancia judicial;

d)  medida judicial de liquidación;

e)  cierre temporal o definitivo de los establecimientos utilizados para cometer la infracción.

2.  Los Estados miembros adoptarán las medidas necesarias para garantizar que a la persona jurídica considerada responsable en virtud de lo dispuesto en el artículo 11, apartado 2, le sean impuestas sanciones o medidas efectivas, proporcionadas y disuasorias.

Artículo 13Competencia

1.  Los Estados miembros establecerán sus competencias respecto de las infracciones mencionadas en los artículos 3 a 8, cuando la infracción se haya cometido:

a)  total o parcialmente en el territorio del Estado miembro afectado; o

(a bis)  por uno de sus nacionales, al menos cuando el acto constituya una infracción penal en el lugar en el que fue cometido.

2.  Al establecer sus competencias de acuerdo con el apartado 1, letra a), cada Estado miembro garantizará que su competencia incluya los casos en que:

a)  el autor cometa la infracción estando físicamente presente en el territorio del Estado miembro afectado, independientemente de que la infracción se cometa o no contra un sistema de información situado en su territorio, o

b)  la infracción se comete contra un sistema de información situado en el territorio del Estado afectado, independientemente de que el autor cometa o no la infracción estando físicamente presente en su territorio.

3.  Los Estados miembros informarán a la Comisión cuando decidan establecer nuevas competencias en relación con infracciones contempladas en los artículos 3 a 8 y cometidas fuera de su territorio, por ejemplo cuando:

a)  el autor tenga su residencia habitual en el territorio de dicho Estado miembro, o

b)  la infracción se cometa en beneficio de una persona jurídica establecida en el territorio de dicho Estado miembro.

Artículo 14Intercambio de información

1.  A efectos del intercambio de información sobre las infracciones mencionadas en los artículos 3 a 8, los Estados miembros garantizarán que tienen un punto de contacto nacional operativo y harán uso de la red existente de puntos de contacto operativos disponibles veinticuatro horas al día, siete días a la semana. Los Estados miembros también se asegurarán de que cuentan con procedimientos para que, en caso de solicitud urgente, puedan indicar en un plazo máximo de ocho horas si la solicitud de ayuda será atendida, así como la forma y el plazo aproximado en que lo será.

2.  Los Estados miembros comunicarán a la Comisión su punto de contacto designado a efectos del intercambio de información sobre las infracciones mencionadas en los artículos 3 a 8. La Comisión transmitirá esta información a los demás Estados miembros y a las agencias y organismos especializados competentes de la UE.

3.  Los Estados miembros adoptarán las medidas necesarias para garantizar la disponibilidad de canales de información adecuados a fin de facilitar sin demora indebida a las autoridades nacionales competentes información relativa a las infracciones a que se refieren los artículos 3 a 6.

Artículo 15Seguimiento y estadísticas

1.  Los Estados miembros garantizarán el establecimiento de un sistema para la recogida, elaboración y suministro de datos estadísticos sobre las infracciones mencionadas en los artículos 3 a 7.

2.  Los datos estadísticos mencionados en el apartado 1 se referirán, como mínimo, a los datos existentes sobre el número de infracciones mencionadas en los artículos 3 a 7 que han sido registrados por los Estados miembros y ▌al número de personas procesadas y condenadas por las infracciones mencionadas en los artículos 3 a 7.

3.  Los Estados miembros transmitirán a la Comisión los datos recogidos con arreglo al presente artículo. La Comisión garantizará la publicación de una revisión consolidada de sus informes estadísticos y su presentación a los organismos y agencias especializados competentes de la UE

Artículo 16

Sustitución de la Decisión marco 2005/222/JAI

Queda sustituida, en relación con los Estados miembros que participan en la adopción de la presente Directiva, la Decisión marco 2005/222/JAI, sin perjuicio de las obligaciones de los Estados miembros en lo que se refiere a los plazos de incorporación al Derecho nacional de dicha Decisión marco.

En relación con los Estados miembros que participan en la adopción de la presente Directiva, las referencias a la Decisión marco 2005/222/JAI se entenderán hechas a la presente Directiva.

Artículo 17Incorporación al Derecho nacional

1.  Los Estados miembros pondrán en vigor las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva a más tardar [dos años después de su adopción] ▌.

3.  Los Estados miembros remitirán a la Comisión el texto de las disposiciones por las que incorporen a su ordenamiento jurídico nacional las obligaciones que les impone la presente Directiva.

4.  Cuando los Estados miembros adopten dichas medidas, estas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. La forma en la que se haga dicha referencia la determinarán los Estados miembros.

Artículo 18Elaboración de informes

Antes de [CUATRO AÑOS DESPUÉS DE SU ADOPCIÓN], la Comisión presentará al Parlamento Europeo y al Consejo un informe en el que evaluará en qué medida hayan adoptado los Estados miembros las medidas necesarias para dar cumplimiento a la presente Directiva, junto con las propuestas legislativas que resulten procedentes. A este respecto, la Comisión deberá también tener en cuenta el progreso técnico y jurídico en el ámbito de la ciberdelincuencia, especialmente en lo que se refiere al ámbito de aplicación de la presente Directiva.

Artículo 19Entrada en vigor

La presente Directiva entrará en vigor el vigésimo día siguiente al de su publicación en el Diario Oficial de la Unión Europea.

Artículo 20Destinatarios

Los destinatarios de la presente Directiva son los Estados miembros de conformidad con los Tratados.

  • [1]  DO C 218 de 23.7.2011, p. 130.
  • [2] * Enmiendas: el texto nuevo o modificado se señala en negrita y cursiva; las supresiones se indican con el símbolo ▌.
  • [3]  DO C […], […],p.[…].
  • [4]  DO C […], […],p.[…].
  • [5]   DO L 300 de 11.11.2008, p. 42.

OPINIÓN de la Comisión de Asuntos Exteriores (28.11.2011)

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a los ataques contra los sistemas de información, por la que se deroga la Decisión marco 2005/222/JAI del Consejo
(COM(2010)0517 – C7-0293/2010 – 2010/0273(COD))

Ponente de opinión: Kristiina Ojuland

BREVE JUSTIFICACIÓN

La presente opinión apoya decididamente la necesidad de un mejor intercambio de información en lo relativo a la ciberseguridad entre los Estados miembros, en un contexto de preocupación creciente ante posibles ataques informáticos. Existe una verdadera urgencia para abordar la cuestión de la ciberseguridad a escala de la UE y mediante acciones coordinadas de los Estados miembros.

La presente opinión destaca el papel de la Comisión a la hora de facilitar la promoción y la coordinación de las iniciativas existentes.

La Comisión de Asuntos Exteriores y la Subcomisión de Seguridad y Defensa consideran que reviste gran importancia la necesidad urgente de actuar y reforzar la coordinación de las respuestas, las iniciativas y los programas a escala de la UE. Es preciso apoyar el desarrollo de capacidades y una colaboración más estrecha para aumentar el nivel de seguridad de la información.

En la presente opinión se sostiene la idea de designar a un Coordinador de Ciberseguridad de la UE con objeto de facilitar la integración y la coordinación de diferentes actividades e iniciativas europeas a escala de la UE y entre sus distintas instituciones.

ENMIENDAS

La Comisión de Asuntos Exteriores pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore en su informe las siguientes enmiendas:

Enmienda    1

Propuesta de Directiva

Considerando 1

Texto de la Comisión

Enmienda

(1) El objetivo de la presente Directiva es aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra los sistemas de información, y mejorar la cooperación entre las autoridades judiciales y otras autoridades competentes, incluida la policía y los demás servicios represivos especializados de los Estados miembros.

(1) El objetivo de la presente Directiva es aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra los sistemas de información, y mejorar la cooperación entre las autoridades judiciales y otras autoridades competentes, incluida la policía y los demás servicios represivos especializados de los Estados miembros y de la Unión. Este objetivo se enmarca dentro de la estrategia general de la UE dirigida a combatir la delincuencia organizada, garantizar la seguridad de las redes informáticas de una manera más eficaz, proteger las infraestructuras críticas de información y salvaguardar los datos.

Enmienda    2

Propuesta de Directiva

Considerando 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

(1 bis) Los sistemas de información son un elemento esencial para la interacción política, social y económica en la Unión. La sociedad depende cada vez más de los sistemas de información. Sin embargo, al mismo tiempo que proporcionan grandes beneficios, estos sistemas conllevan una serie de riesgos para nuestra seguridad debido a su complejidad y a su vulnerabilidad frente a la delincuencia informática de diversa índole. Por ello, la seguridad de los sistemas de información supone una preocupación constante y requiere respuestas efectivas por parte de los Estados miembros y de la UE.

Enmienda    3

Propuesta de Directiva

Considerando 2

Texto de la Comisión

Enmienda

(2) Los ataques contra los sistemas de información, en particular los dirigidos por la delincuencia organizada, son una amenaza creciente, y cada vez preocupa más la posibilidad de atentados terroristas o con motivaciones políticas contra los sistemas de información que forman parte de las infraestructuras críticas de los Estados miembros y la Unión. Esta situación pone en peligro la realización de una sociedad de la información segura y de un espacio de libertad, seguridad y justicia y exige, por tanto, una respuesta por parte de la Unión Europea.

(2) Los ataques contra los sistemas de información son una amenaza creciente. Pueden tener motivaciones terroristas o de delincuencia organizada, y pueden perpetrarlos tanto Estados como personas. Cada vez preocupa más la posibilidad de atentados terroristas o con motivaciones políticas contra los sistemas de información que forman parte de las infraestructuras críticas de los Estados miembros y la Unión. El carácter transfronterizo de ciertas infracciones y el relativamente bajo riesgo y coste para los delincuentes, sumados a los grandes beneficios que pueden obtener y los perjuicios que pueden causar con los ataques, aumentan seriamente el nivel de amenaza. Esta situación pone en peligro la realización de una sociedad de la información segura y de un espacio de libertad, seguridad y justicia y exige, por tanto, una respuesta no solo por parte de la Unión Europea sino también por parte de la comunidad internacional.

Enmienda    4

Propuesta de Directiva

Considerando 3

Texto de la Comisión

Enmienda

(3) Se comprueba una tendencia hacia ataques de gran escala cada vez más graves y recurrentes contra sistemas de información que son críticos para los Estados o para determinadas funciones del sector público o privado. Esta tendencia coincide con el desarrollo de instrumentos cada vez más sofisticados que pueden utilizar los delincuentes para lanzar ataques informáticos de diverso tipo.

(3) Se comprueba una tendencia hacia ataques de gran escala cada vez más graves y recurrentes contra sistemas de información que son críticos para los Estados miembros, la Unión o para determinadas funciones del sector público o privado, así como a escala de la Unión. Esta tendencia coincide con el rápido desarrollo de la tecnología informática y consecuentemente de instrumentos cada vez más sofisticados que pueden utilizar los delincuentes para lanzar ataques informáticos de diverso tipo, algunos de ellos con un gran potencial para crear perjuicios económicos y sociales.

Enmienda    5

Propuesta de Directiva

Considerando 4 bis (nuevo)

Texto de la Comisión

Enmienda

 

(4 bis) Se ha de efectuar una evaluación exhaustiva, fiable e independiente del nivel general de amenaza de ataques contra los sistemas de información. Las instituciones de la UE deben ajustar su nivel de seguridad de la información en consecuencia.

Enmienda    6

Propuesta de Directiva

Considerando 4 ter (nuevo)

Texto de la Comisión

Enmienda

 

(4 ter) Es necesaria una coordinación a escala de la Unión para ayudar a integrar los diversos programas, iniciativas y actividades.

Enmienda    7

Propuesta de Directiva

Considerando 6

Texto de la Comisión

Enmienda

(6) Los Estados miembros deben prever sanciones para los ataques contra los sistemas de información. Estas sanciones deben ser efectivas, proporcionadas y disuasorias.

(6) Los Estados miembros deben prever sanciones para los ataques contra los sistemas de información que deberían enmarcarse dentro de estrategias nacionales más amplias para disuadir de este tipo de ataques y combatirlos. Estas sanciones deben ser efectivas, proporcionadas y disuasorias. Habida cuenta de la naturaleza transfronteriza de las amenazas, es necesario que los Estados miembros armonicen las sanciones que imponen, con lo que se reducirían las diferencias entre Estados miembros a la hora de tratar las infracciones que se cometen en la Unión.

Enmienda    8

Propuesta de Directiva

Considerando 8 bis (nuevo)

Texto de la Comisión

Enmienda

 

(8 bis) El Consejo y la Comisión deben instar a los Estados miembros que aún no lo hayan hecho a que ratifiquen sin demora el Convenio del Consejo de Europa sobre la ciberdelincuencia.

Enmienda    9

Propuesta de Directiva

Considerando 11 bis (nuevo)

Texto de la Comisión

Enmienda

 

(11 bis) La cooperación de las autoridades públicas con el sector privado y con la sociedad civil es de gran importancia para evitar y combatir los ataques contra los sistemas de información. Debe establecerse un diálogo permanente con ellos debido al uso extendido que hacen de los sistemas de información y a la responsabilidad compartida que se requiere para la estabilidad y el buen funcionamiento de los sistemas. Aumentar la concienciación entre todos los actores implicados en el uso de sistemas de información es importante para crear una cultura de seguridad informática.

Enmienda    10

Propuesta de Directiva

Considerando 11 ter (nuevo)

Texto de la Comisión

Enmienda

(11 ter) Deben fomentarse iniciativas y proyectos recientes relacionados con la ciberdefensa, por ejemplo en el seno de la Agencia Europea de Defensa (AED), para respaldar las capacidades de ciberdefensa de los Estados miembros. Se ha de considerar una cooperación más estrecha tanto con la AED como con el Centro de Excelencia para la Ciberdefensa Cooperativa de la OTAN (CCDCOE), en particular en materia de capacitación y formación.

Enmienda    11

Propuesta de Directiva

Considerando 12

Texto de la Comisión

Enmienda

(12) Es necesario recopilar datos sobre las infracciones penales a las que se refiere la presente Directiva, a fin de obtener una visión más completa del problema a escala de la Unión y contribuir a formular respuestas más eficaces. Además, los datos contribuirán a que organismos especializados como Europol y la Agencia Europea de Seguridad de las Redes y de la Información puedan evaluar mejor el alcance de la ciberdelincuencia y el estado de la seguridad de la red y la información en Europa.

(12) Es necesario recopilar datos sobre las infracciones penales a las que se refiere la presente Directiva, a fin de obtener una visión más completa del problema a escala de la Unión y contribuir a formular respuestas más eficaces. Los Estados miembros deben mejorar el intercambio de información en lo referente a los ataques contra los sistemas de información con el apoyo de la Comisión y de la Agencia Europea de Seguridad de las Redes y de la Información. Además, los datos contribuirán a que organismos especializados como Europol y la Agencia Europea de Seguridad de las Redes y de la Información puedan evaluar mejor el alcance y el impacto de la ciberdelincuencia y el estado de la seguridad de la red y la información en Europa. Un mejor conocimiento acerca de los riesgos presentes y futuros permitirá decisiones más adecuadas para disuadir, combatir o reducir los perjuicios de los ataques contra los sistemas de información.

Enmienda    12

Propuesta de Directiva

Considerando 12 bis (nuevo)

Texto de la Comisión

Enmienda

(12 bis) El intercambio de información y las asociaciones público-privadas (APP) desempeñan un papel importante en la mejora de la ciberseguridad. Por lo tanto, la Comisión debe examinar la viabilidad de la creación de marcos o instrumentos para ayudar a que las APP cooperen entre ellas a escala nacional y de la Unión, a fin de aplicar normas de calidad de la información para la interoperabilidad y de garantizar el respeto de los derechos fundamentales, la separación de poderes y la supervisión democrática.

Enmienda    13

Propuesta de Directiva

Considerando 13

Texto de la Comisión

Enmienda

(13) Las diferencias y divergencias significativas que existen entre las legislaciones de los Estados miembros en este ámbito pueden dificultar la lucha contra la delincuencia organizada y el terrorismo y complicar la cooperación eficaz de los servicios de policía y las administraciones de justicia en materia de ataques contra los sistemas de información. La naturaleza transnacional y transfronteriza de los modernos sistemas de información significa que los ataques suelen revestir un carácter transfronterizo, lo que plantea la necesidad urgente de proseguir la aproximación de las legislaciones penales en este ámbito. Por otra parte, la coordinación del enjuiciamiento de los casos de ataques contra los sistemas de información debe facilitarse con la adopción de la Decisión marco 2009/948/JAI del Consejo sobre la prevención y resolución de conflictos de ejercicio de jurisdicción en los procesos penales.

(13) Las diferencias y divergencias significativas que existen entre las legislaciones de los Estados miembros en este ámbito pueden dificultar la lucha contra la delincuencia organizada y el terrorismo y complicar la cooperación eficaz de los servicios de policía y las administraciones de justicia en materia de ataques contra los sistemas de información. La naturaleza transnacional y transfronteriza de los modernos sistemas de información significa que los ataques suelen revestir un carácter transfronterizo, lo que plantea la necesidad urgente de proseguir la aproximación a escala de la Unión de las legislaciones penales en este ámbito. Asimismo, desde la UE debe perseguirse una mayor cooperación internacional en el ámbito de la seguridad de las redes y sistemas de información, colaborando estrechamente con otras organizaciones con competencias en este ámbito como las Naciones Unidas, la OTAN, el Consejo de Europa o la OSCE e implicando a otros actores internacionales relevantes. Por otra parte, la coordinación del enjuiciamiento de los casos de ataques contra los sistemas de información debe facilitarse con la adopción de la Decisión marco 2009/948/JAI del Consejo sobre la prevención y resolución de conflictos de ejercicio de jurisdicción en los procesos penales.

Enmienda    14

Propuesta de Directiva

Considerando 16

Texto de la Comisión

Enmienda

(16) La presente Directiva respeta los derechos fundamentales y cumple los principios reconocidos, en particular, por la Carta de los Derechos Fundamentales de la Unión Europea, incluida la protección de datos personales, la libertad de expresión e información, el derecho a un juicio equitativo, la presunción de inocencia y los derechos de la defensa, así como los principios de legalidad y proporcionalidad de las infracciones penales y las sanciones. En especial, la presente Directiva tiene por objeto garantizar el pleno respeto de dichos derechos y principios y debe aplicarse en consecuencia.

(16) La presente Directiva y toda aplicación práctica de la misma respetan los derechos fundamentales, en particular el derecho a la intimidad, y cumplen los principios reconocidos, en particular, por la Carta de los Derechos Fundamentales de la Unión Europea, incluida la protección de datos personales, la libertad de expresión e información, el derecho a un juicio equitativo, la presunción de inocencia y los derechos de la defensa, así como los principios de legalidad y proporcionalidad de las infracciones penales y las sanciones. En especial, la presente Directiva tiene por objeto garantizar el pleno respeto de dichos derechos y principios y debe aplicarse en consecuencia. La naturaleza libre y abierta de Internet no se ve afectada por la presente Directiva.

Enmienda    15

Propuesta de Directiva

Considerando 16 bis (nuevo)

Texto de la Comisión

Enmienda

 

(16 bis) El Consejo y la Comisión deben insistir, en las negociaciones y en el contexto de la cooperación con terceros países, en unos requisitos mínimos para prevenir y combatir la ciberdelincuencia y los ataques cibernéticos, así como en unas normas mínimas para la seguridad de los sistemas de información.

Enmienda    16

Propuesta de Directiva

Considerando 16 ter (nuevo)

Texto de la Comisión

Enmienda

 

(16 ter) La Comisión ha de considerar las opciones para facilitar y ayudar a terceros países en sus esfuerzos por desarrollar sus capacidades de seguridad y defensa cibernéticas.

Enmienda    17

Propuesta de Directiva

Artículo 14 – apartado 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

2 bis. La Comisión ayudará a los Estados miembros en la promoción de la resiliencia y estabilidad de Internet, y efectuará otras actividades destinadas a lograr la seguridad de la información.

Enmienda    18

Propuesta de Directiva

Artículo 14 – apartado 2 ter (nuevo)

Texto de la Comisión

Enmienda

2 ter. El Consejo clarificará el papel del Comité Político y de Seguridad y de sus demás organismos en el contexto de la actuación ante posibles ataques informáticos.

Enmienda    19

Propuesta de Directiva

Artículo 14 – apartado 2 quater (nuevo)

Texto de la Comisión

Enmienda

2 quater. Los Estados miembros mejorarán el intercambio de información relativa a la ciberseguridad. Los Estados miembros, con el apoyo de la Comisión, deben buscar la interacción con terceros países, en especial con aquellos donde se originan con mayor frecuencia los ataques.

Enmienda    20

Propuesta de Directiva

Artículo 15 – apartado 3

Texto de la Comisión

Enmienda

3. Los Estados miembros transmitirán a la Comisión los datos recogidos con arreglo al presente artículo. También garantizarán la publicación de una revisión consolidada de sus informes estadísticos.

3. Los Estados miembros transmitirán a la Comisión los datos recogidos con arreglo al presente artículo. También garantizarán la presentación al Parlamento Europeo y la publicación de una revisión consolidada de sus informes estadísticos.

Enmienda    21

Propuesta de Directiva

Artículo 15 – apartado 3 bis (nuevo)

Texto de la Comisión

Enmienda

3 bis. Se ha de designar a un Coordinador de Ciberseguridad de la Unión con objeto de facilitar la integración y coordinación de los programas, las iniciativas y las actividades de la Unión entre sus diversas instituciones.

PROCEDIMIENTO

Título

Ataques contra los sistemas de información y derogación de la Decisión marco 2005/222/JAI del Consejo

Referencias

COM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Comisión competente para el fondo

       Fecha del anuncio en el Pleno

LIBE

7.10.2010

 

 

 

Comisión(es) competente(s) para emitir opinión

       Fecha del anuncio en el Pleno

AFET

7.4.2011

 

 

 

Ponente(s)

       Fecha de designación

Kristiina Ojuland

29.3.2011

 

 

 

Fecha de aprobación

22.11.2011

 

 

 

Resultado de la votación final

+:

–:

0:

38

8

0

Miembros presentes en la votación final

Sir Robert Atkins, Frieda Brepoels, Elmar Brok, Marietta Giannakou, Andrzej Grzyb, Takis Hadjigeorgiou, Anna Ibrisagic, Othmar Karas, Ioannis Kasoulides, Tunne Kelam, Evgeni Kirilov, Andrey Kovatchev, Eduard Kukan, Krzysztof Lisek, Sabine Lösing, Ulrike Lunacek, Barry Madlener, Francisco José Millán Mon, Annemie Neyts-Uyttebroeck, Raimon Obiols, Justas Vincas Paleckis, Ioan Mircea Paşcu, Cristian Dan Preda, Libor Rouček, José Ignacio Salafranca Sánchez-Neyra, Jacek Saryusz-Wolski, Werner Schulz, Marek Siwiec, Charles Tannock, Inese Vaidere, Kristian Vigenin, Sir Graham Watson

Suplente(s) presente(s) en la votación final

Laima Liucija Andrikienė, Elena Băsescu, Tanja Fajon, Diogo Feio, Monica Luisa Macovei, Emilio Menéndez del Valle, György Schöpflin, Traian Ungureanu, Ivo Vajgl, Renate Weber, Janusz Władysław Zemke

Suplente(s) (art. 187, apdo. 2) presente(s) en la votación final

Luís Paulo Alves, Sylvie Guillaume, Vladimir Urutchev

OPINIÓN de la Comisión de Industria, Investigación y Energía (11.11.2011)

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a los ataques contra los sistemas de información, por la que se deroga la Decisión marco 2005/222/JAI del Consejo
(COM(2010)0517 – C7‑0293/2010 – 2010/0273(COD))

Ponente de opinión: Christian Ehler

ENMIENDAS

La Comisión de Industria, Investigación y Energía pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que incorpore en su informe las siguientes enmiendas:

Enmienda    1

Propuesta de Directiva

Considerando 1

Texto de la Comisión

Enmienda

(1) El objetivo de la presente Directiva es aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra los sistemas de información, y mejorar la cooperación entre las autoridades judiciales y otras autoridades competentes, incluida la policía y los demás servicios represivos especializados de los Estados miembros.

(1) Enmarcado dentro de la estrategia general de la Unión dirigida a combatir la delincuencia organizada, aumentar la resistencia de las redes informáticas, proteger las infraestructuras críticas de información, y la protección de datos, el objetivo de la presente Directiva es aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra los sistemas de información, y mejorar la cooperación entre las autoridades judiciales y otras autoridades competentes, incluidos la policía y los demás servicios represivos especializados de los Estados miembros, la Comisión, Eurojust, Europol, los equipos nacionales y de la UE de respuesta a emergencias informáticas y la Agencia Europea de Seguridad de las Redes y de la Información, para permitir un enfoque común y global de la Unión.

Enmienda    2

Propuesta de Directiva

Considerando 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

(1 bis) Los sistemas de información son un elemento esencial para la interacción política, social y económica en Europa. La dependencia de este tipo de sistemas por parte de la sociedad es muy grande y sigue aumentando. El buen funcionamiento y la seguridad de estos sistemas en Europa es clave para el desarrollo del mercado interior y de una economía competitiva e innovadora. Sin embargo, al mismo tiempo que proporcionan grandes beneficios, los sistemas de información conllevan una serie de riesgos para nuestra seguridad debido a su complejidad y a su vulnerabilidad frente a la delincuencia informática de diversa índole. Por ello, la seguridad de los sistemas de información supone una preocupación constante y requiere respuestas efectivas por parte de los Estados miembros y de la Unión.

Enmienda    3

Propuesta de Directiva

Considerando 2

Texto de la Comisión

Enmienda

(2) Los ataques contra los sistemas de información, en particular los dirigidos por la delincuencia organizada, son una amenaza creciente, y cada vez preocupa más la posibilidad de atentados terroristas o con motivaciones políticas contra los sistemas de información que forman parte de las infraestructuras críticas de los Estados miembros y la Unión. Esta situación pone en peligro la realización de una sociedad de la información segura y de un espacio de libertad, seguridad y justicia y exige, por tanto, una respuesta por parte de la Unión Europea.

(2) Los ataques contra los sistemas de información pueden provenir de diversos actores: terroristas, grupos de la delincuencia organizada, países o individuos aislados. Son una amenaza creciente para el funcionamiento de los sistemas de información en la Unión y en todo el mundo, y cada vez preocupa más la posibilidad de atentados terroristas o con motivaciones políticas contra los sistemas de información que forman parte de las infraestructuras críticas de los Estados miembros y la Unión. El carácter transfronterizo de ciertas infracciones y el relativamente bajo riesgo y coste para los delincuentes, sumados a los grandes beneficios que pueden obtener y a los perjuicios que pueden causar con los ataques, aumenta seriamente el nivel de amenaza. Esta situación pone en peligro la realización de una sociedad de la información segura y de un espacio de libertad, democracia, seguridad y justicia, socava la creación de un mercado interior digital europeo y exige, por tanto, una respuesta por parte de la Unión Europea y a escala internacional, por ejemplo mediante el Convenio del Consejo de Europa de 2001 sobre la ciberdelincuencia.

Enmienda    4

Propuesta de Directiva

Considerando 2 bis (nuevo)

Texto de la Comisión

Enmienda

 

(2 bis) Ataques informáticos recientes, perpetrados contra redes europeas y/o sistemas de información, han ocasionado importantes daños económicos y de seguridad a la Unión.

Justificación

Los ataques informáticos sufridos por las instituciones europeas en marzo de 2011, así como de las numerosas violaciones del Régimen Europeo de Comercio de Derechos de Emisión, que se tradujeron en robos de derechos de emisión valorados en millones de euros.

Enmienda    5

Propuesta de Directiva

Considerando 3

Texto de la Comisión

Enmienda

(3) Se comprueba una tendencia hacia ataques de gran escala cada vez más graves y recurrentes contra sistemas de información que son críticos para los Estados o para determinadas funciones del sector público o privado. Esta tendencia coincide con el desarrollo de instrumentos cada vez más sofisticados que pueden utilizar los delincuentes para lanzar ataques informáticos de diverso tipo.

(3) Se comprueba una tendencia hacia ataques de gran escala cada vez más graves y recurrentes contra sistemas de información que son críticos para las organizaciones internacionales, los países, la Unión o para determinadas funciones del sector público o privado, incluidos ataques distribuidos de denegación de servicio. Estos ataques pueden causar graves perjuicios económicos, tanto por la paralización de los sistemas de información y de las propias comunicaciones como por la pérdida o alteración de información confidencial de importancia comercial o de otros datos. Las PYME innovadoras, dependientes del correcto funcionamiento y disponibilidad de los sistemas de información, al ser susceptibles de dedicar menos recursos a la seguridad de la información, son las que corren mayor riesgo de verse afectadas. Esta tendencia coincide con el rápido desarrollo de la tecnología informática y consecuentemente de instrumentos cada vez más sofisticados que pueden utilizar los delincuentes para lanzar ataques informáticos de diverso tipo, algunos de ellos con un gran potencial para causar perjuicios económicos y sociales.

Enmienda    6

Propuesta de Directiva

Considerando 4

Texto de la Comisión

Enmienda

(4) Es importante en esta materia disponer de definiciones comunes, especialmente de los sistemas de información y los datos informáticos, a fin de garantizar la aplicación coherente de la presente Directiva.

(4) Es fundamental en esta materia disponer de definiciones comunes, especialmente de los sistemas de información, los datos informáticos y las infracciones penales en relación con los sistemas de información y los datos informáticos, a fin de garantizar la aplicación coherente y uniforme de la presente Directiva en los Estados miembros.

Enmienda    7

Propuesta de Directiva

Considerando 6

Texto de la Comisión

Enmienda

(6) Los Estados miembros deben prever sanciones para los ataques contra los sistemas de información. Estas sanciones deben ser efectivas, proporcionadas y disuasorias.

(6) Además de medidas de los Estados miembros, de la Unión y del sector privado destinadas a aumentar la seguridad y la integridad de los sistemas de información y a prevenir los ataques y minimizar el impacto de los mismos, los Estados miembros deben prever tanto medidas eficaces para evitar esos ataques como sanciones armonizadas para los ataques contra los sistemas de información que deberían adoptarse en el marco de estrategias nacionales más amplias para disuadir dichos ataques y combatirlos. Estas sanciones deben ser efectivas, proporcionadas y disuasorias. La convergencia de las sanciones y penas de los Estados miembros es necesaria debido a la frecuente naturaleza transfronteriza de las amenazas y se dirige a reducir las diferencias entre Estados miembros a la hora de tratar las infracciones que se cometen en la Unión.

Enmienda    8

Propuesta de Directiva

Considerando 6 bis (nuevo)

Texto de la Comisión

Enmienda

 

(6 bis) Los Estados miembros, la Unión y el sector privado, en cooperación con la Agencia Europea de Seguridad de las Redes y de la Información, debe adoptar medidas para aumentar la seguridad y la integridad de los sistemas de información, evitar ataques y minimizar su impacto.

Enmienda    9

Propuesta de Directiva

Considerando 8

Texto de la Comisión

Enmienda

(8) Las conclusiones del Consejo de 27 y 28 de noviembre indicaron que debía desarrollarse una nueva estrategia con los Estados miembros y la Comisión, teniendo en cuenta el contenido del Convenio del Consejo de Europa de 2001 sobre la ciberdelincuencia. Este Convenio es el marco jurídico de referencia para la lucha contra la ciberdelincuencia, incluidos los ataques contra los sistemas de información. La presente Directiva se basa en dicho Convenio.

(8) Las conclusiones del Consejo de 27 y 28 de noviembre indicaron que debía desarrollarse una nueva estrategia con los Estados miembros y la Comisión, teniendo en cuenta el contenido del Convenio del Consejo de Europa de 2001 sobre la ciberdelincuencia. El Consejo y la Comisión deben animar a aquellos Estados miembros que aún no han ratificado el Convenio a que lo hagan lo antes posible. Este Convenio es el marco jurídico de referencia para la lucha contra la ciberdelincuencia, incluidos los ataques contra los sistemas de información. La presente Directiva tiene en cuenta las disposiciones pertinentes de dicho Convenio

Enmienda    10

Propuesta de Directiva

Considerando 10

Texto de la Comisión

Enmienda

(10) La presente Directiva no pretende exigir responsabilidad penal cuando las infracciones se cometen de forma no intencionada, como en el caso de las pruebas autorizadas o la protección de los sistemas de información.

(10) La presente Directiva no cubre las acciones adoptadas para garantizar la seguridad de los sistemas de información, como la capacidad de un sistema de información de resistir a los actos delictivos tal y como se definen en la Directiva, o la posibilidad de prescindir de instrumentos utilizados o susceptibles de ser utilizados para cometer dichos actos. La Directiva tampoco pretende exigir responsabilidad penal cuando concurran los criterios objetivos de los delitos enumerados en la misma pero el acto se cometa sin propósito delictivo, como en el caso de las pruebas autorizadas o la protección de los sistemas de información.

Justificación

El a veces difuso límite entre acceso malintencionado y acceso no malintencionado (actualizaciones automáticas, etc.), la enmienda pretende dejar claro que, por ejemplo, el uso de programas antivirus o de eliminación de virus, o la puesta en cuarentena de dispositivos infectados, quedan enteramente fuera del ámbito de la Directiva.

Enmienda    11

Propuesta de Directiva

Considerando 11

Texto de la Comisión

Enmienda

(11) La presente Directiva subraya la importancia de redes, tales como la red de puntos de contacto del G8 o la del Consejo de Europa, disponibles veinticuatro horas al día, siete días a la semana, para el intercambio de información con el fin de prestar asistencia inmediata en el marco de investigaciones o procedimientos relativos a infracciones penales relacionadas con datos y sistemas de información, o para la recogida por medios electrónicos de pruebas de una infracción penal. Dada la velocidad a la que pueden realizarse los ataques a gran escala, todos los Estados miembros deben responder con prontitud a las solicitudes urgentes procedentes de dicha red de puntos de contacto. La asistencia debe incluir la facilitación o la realización directa de tareas como el asesoramiento técnico, la conservación de datos, la recogida de pruebas, el suministro de información jurídica y la localización de sospechosos.

(11) La presente Directiva subraya la importancia de redes, tales como la red de puntos de contacto del G8 o la del Consejo de Europa, disponibles veinticuatro horas al día, siete días a la semana, para el intercambio de información con el fin de prestar asistencia inmediata en el marco de investigaciones o procedimientos relativos a infracciones penales relacionadas con datos y sistemas de información, o para la recogida de pruebas de una infracción penal o de un intento de cometer una infracción penal. Dada la velocidad a la que pueden realizarse los ataques a gran escala, todos los Estados miembros, la Unión y la Agencia Europea de Seguridad de las Redes y de la Información deben responder con prontitud y eficacia a las solicitudes urgentes procedentes de dicha red de puntos de contacto. La asistencia debe incluir la facilitación o la realización directa de tareas como la asistencia técnica, incluida la relativa al restablecimiento de la funcionalidad de un sistema de información, la conservación de datos de conformidad con los principios de protección de datos, la recogida de pruebas, el suministro de información jurídica, la determinación de la información amenazada o extraída y la localización e identificación de sospechosos.

Enmienda    12

Propuesta de Directiva

Considerando 11 bis (nuevo)

Texto de la Comisión

Enmienda

 

(11 bis) La cooperación de las autoridades públicas con el sector privado y con la sociedad civil es de gran importancia para evitar y combatir los ataques contra los sistemas de información. Debe establecerse un diálogo permanente con estos socios dado el uso extendido que hacen de los sistemas de información y a la responsabilidad compartida que requieren la estabilidad y el buen funcionamiento de los sistemas. Aumentar la concienciación entre todos los actores implicados en el uso de sistemas de información es importante para crear una cultura de seguridad informática.

Enmienda    13

Propuesta de Directiva

Considerando 12

Texto de la Comisión

Enmienda

(12) Es necesario recopilar datos sobre las infracciones penales a las que se refiere la presente Directiva, a fin de obtener una visión más completa del problema a escala de la Unión y contribuir a formular respuestas más eficaces. Además, los datos contribuirán a que organismos especializados como Europol y la Agencia Europea de Seguridad de las Redes y de la Información puedan evaluar mejor el alcance de la ciberdelincuencia y el estado de la seguridad de la red y la información en Europa.

(12) Es necesario recopilar datos sobre las infracciones penales a las que se refiere la presente Directiva, a fin de obtener una visión más completa del problema a escala de la Unión y contribuir a formular respuestas más eficaces. Los Estados miembros deben mejorar el intercambio de información en lo referente a los ataques contra los sistemas de información, con el apoyo de la Comisión y de la Agencia Europea de Seguridad de las Redes y de la Información. Además, los datos contribuirán a que organismos y agencias especializados como los CERT de los Estados miembros y organismos como Europol y la Agencia Europea de Seguridad de las Redes y de la Información puedan evaluar mejor el alcance de la ciberdelincuencia y el estado de la seguridad de la red y la información en la Unión y apoyar a los Estados miembros en la adopción de respuestas a los incidentes de seguridad de la información. Un mejor conocimiento acerca de los riesgos presentes y futuros permitirá adoptar decisiones más adecuadas para disuadir, combatir o reducir los perjuicios de los ataques contra los sistemas de información.

Enmienda    14

Propuesta de Directiva

Considerando 12 bis (nuevo)

Texto de la Comisión

Enmienda

(12 bis) Si bien la presente Directiva debe atenerse a estrictos requisitos de seguridad jurídica y de previsibilidad del Derecho penal, resulta también necesario establecer ―mediante las disposiciones de la misma sobre recopilación de datos e intercambio de informaciones y la obligación de la Comisión de informar periódicamente sobre su aplicación y de formular las propuestas necesarias al respecto― un mecanismo flexible que permita la adaptación a la evolución futura, lo que podría conducir a una ampliación del ámbito de la Directiva. Por evolución futura debe entenderse también cualquier novedad tecnológica que permita, por ejemplo, una aplicación de la ley más eficaz en el ámbito de los ataques contra los sistemas de información, o que facilite la prevención o la mitigación de dichos ataques.

Justificación

Si bien la introducción de sanciones es una medida bienvenida, un enfoque comunitario global para combatir la ciberdelincuencia debería no solo centrarse en una aplicación de la ley eficaz sino también desarrollar estrategias e instrumentos de prevención.

Enmienda    15

Propuesta de Directiva

Considerando 12 ter (nuevo)

Texto de la Comisión

Enmienda

(12 ter) La Agencia Europea de Seguridad de las Redes y de la Información debe desempeñar un papel estratégico en la coordinación de los esfuerzos de los Estados miembros y de las instituciones de la Unión. Se puede encomendar a la Agencia, por ejemplo, la supervisión del intercambio de información entre ellos, funcionando como punto de contacto único y como registro de incidentes de seguridad informática de la Unión. También se le puede encomendar la centralización a escala de la Unión de los datos estadísticos sobre infracciones mencionados en la presente Directiva y su utilización como base para la elaboración de informes sobre las condiciones de seguridad de los sistemas de información y de los datos informáticos en toda la Unión.

Enmienda    16

Propuesta de Directiva

Considerando 13

Texto de la Comisión

Enmienda

(13) Las diferencias y divergencias significativas que existen entre las legislaciones de los Estados miembros en este ámbito pueden dificultar la lucha contra la delincuencia organizada y el terrorismo y complicar la cooperación eficaz de los servicios de policía y las administraciones de justicia en materia de ataques contra los sistemas de información. La naturaleza transnacional y transfronteriza de los modernos sistemas de información significa que los ataques suelen revestir un carácter transfronterizo, lo que plantea la necesidad urgente de proseguir la aproximación de las legislaciones penales en este ámbito. Por otra parte, la coordinación del enjuiciamiento de los casos de ataques contra los sistemas de información debe facilitarse con la adopción de la Decisión marco 2009/948/JAI del Consejo sobre la prevención y resolución de conflictos de ejercicio de jurisdicción en los procesos penales.

(13) Las diferencias y divergencias significativas que existen entre las legislaciones de los Estados miembros en este ámbito pueden dificultar la lucha contra la delincuencia organizada y el terrorismo y complicar la cooperación eficaz de los servicios de policía y las administraciones de justicia en materia de ataques contra los sistemas de información. La naturaleza transnacional y transfronteriza de los modernos sistemas de información significa que los ataques suelen revestir un carácter transfronterizo, lo que plantea la necesidad urgente de proseguir a escala de la Unión la aproximación de las legislaciones penales nacionales en este ámbito. Asimismo, desde la Unión debe perseguirse una mayor cooperación internacional en el ámbito de la seguridad de las redes y los sistemas de información implicando a todos los actores internacionales relevantes. Por otra parte, la coordinación del enjuiciamiento de los casos de ataques contra los sistemas de información debe facilitarse con la adopción de la Decisión marco 2009/948/JAI del Consejo sobre la prevención y resolución de conflictos de ejercicio de jurisdicción en los procesos penales.

Enmienda    17

Propuesta de Directiva

Artículo 1 – apartado 1

Texto de la Comisión

Enmienda

La presente Directiva define las infracciones penales en el ámbito de los ataques contra los sistemas de información y establece las normas mínimas relativas a las sanciones correspondientes. También tiene por objeto introducir disposiciones comunes para prevenir dichos ataques y mejorar la cooperación judicial europea en materia penal en este ámbito.

La presente Directiva define las infracciones penales en el ámbito de los ataques contra los sistemas de información y establece las normas mínimas armonizadas relativas a las sanciones correspondientes. También tiene por objeto introducir disposiciones comunes tanto para prevenir como para luchar contra dichos ataques y para mejorar la cooperación europea en este ámbito, en particular en materia de justicia penal.

Enmienda    18

Propuesta de Directiva

Artículo 2 – letra d

Texto de la Comisión

Enmienda

(d) «sin autorización»: el acceso o la intromisión no autorizados por el propietario o titular de otro tipo de derecho sobre el sistema o parte del mismo o no permitidos por la legislación nacional.

(d) «sin autorización»: el acceso o la intromisión no autorizados por el propietario o titular de otro tipo de derecho sobre el sistema o parte del mismo o no permitidos por la legislación nacional o la europea.

Enmienda    19

Propuesta de Directiva

Artículo 7 – letra b

Texto de la Comisión

Enmienda

(b) una contraseña de ordenador, un código de acceso, o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información;

(b) una contraseña de ordenador, un código de acceso, un testigo de autenticación digital o físico o datos similares que permitan acceder a la totalidad o a una parte de un sistema de información;

Enmienda    20

Propuesta de Directiva

Artículo 8 – apartado 1 bis (nuevo)

Texto de la Comisión

Enmienda

 

1 bis. Los Estados miembros garantizarán que la transmisión no autorizada de datos de identificación a otras personas con vistas a llevar a cabo cualquiera de las actividades mencionadas en los artículos 3 a 7 sea considerada infracción penal.

Enmienda    21

Propuesta de Directiva

Artículo 8 – apartado 1 ter (nuevo)

Texto de la Comisión

Enmienda

 

1 ter. Los Estados miembros garantizarán que la comisión de alguna infracción de las mencionadas en los artículos 3 a 7 por una persona que, en el marco del ejercicio de sus funciones, tenga acceso a mecanismos de seguridad que protejan los sistemas de información, constituya una circunstancia agravante y se considere infracción penal.

Enmienda    22

Propuesta de Directiva

Artículo 10 – apartado 2

Texto de la Comisión

Enmienda

2. Los Estados miembros adoptarán las medidas necesarias para garantizar que las infracciones mencionadas en los artículos 3 a 6 se castiguen con sanciones penales privativas de libertad de una duración máxima de al menos cinco años cuando se cometan utilizando un instrumento concebido para lanzar ataques que afecten a un número significativo de sistemas de información o ataques que causen daños considerables como la interrupción de los servicios del sistema, costes económicos o pérdida de datos personales.

2. Los Estados miembros adoptarán las medidas necesarias para garantizar que las infracciones mencionadas en los artículos 3 a 6 se castiguen con sanciones penales privativas de libertad de una duración máxima de al menos cinco años cuando se cometan utilizando un instrumento concebido para lanzar ataques que afecten a un número significativo de sistemas de información o ataques que causen daños considerables como la interrupción de los servicios del sistema, costes económicos o pérdida de datos personales o datos sensibles.

Enmienda    23

Propuesta de Directiva

Artículo 13 – apartado 1 – letra c

Texto de la Comisión

Enmienda

(c) en beneficio de una persona jurídica que tenga su domicilio social en el territorio del Estado miembro afectado.

(c) en beneficio de una persona jurídica constituida en el territorio del Estado miembro afectado.

Enmienda    24

Propuesta de Directiva

Artículo 14 – apartado 1

Texto de la Comisión

Enmienda

1. A efectos del intercambio de información sobre las infracciones mencionadas en los artículos 3 a 8, y de acuerdo con las normas de protección de datos, los Estados miembros harán uso de la red existente de puntos de contacto operativos disponibles las 24 horas del día los 7, días de la semana. Los Estados miembros también se asegurarán de que existan procedimientos disponibles para responder a solicitudes urgentes en un plazo máximo de ocho horas. La respuesta deberá indicar al menos si se atenderá la solicitud de ayuda, así como la forma y el plazo en que se hará.

1. A efectos del intercambio de información sobre las infracciones mencionadas en los artículos 3 a 8, y de acuerdo con las normas de protección de datos, los Estados miembros garantizarán la existencia de un punto de contacto nacional operativo y harán uso de la red de puntos de contacto operativos disponibles las 24 horas del día los 7 días de la semana y también transmitirán dicha información a la Comisión y a la Agencia Europea de Seguridad de las Redes y de la Información. Los Estados miembros también se asegurarán de que existan procedimientos disponibles para responder a solicitudes urgentes en un plazo máximo de ocho horas. La respuesta deberá ser eficaz e incluir, si procede, la facilitación o la realización directa de tareas como el asesoramiento técnico, incluido el relativo al restablecimiento de la funcionalidad de un sistema de información, la conservación de datos de conformidad con los principios de protección de datos, la recogida de pruebas, el suministro de información jurídica y la localización e identificación de sospechosos. Los puntos de contacto indicarán la forma y el plazo en que se responderá a las solicitudes de ayuda.

Enmienda    25

Propuesta de Directiva

Artículo 14 – apartado 2

Texto de la Comisión

Enmienda

2. Los Estados miembros comunicarán a la Comisión su punto de contacto designado a efectos del intercambio de información sobre las infracciones mencionadas en los artículos 3 a 8. La Comisión transmitirá esta información a los demás Estados miembros.

2. Los Estados miembros comunicarán a la Comisión, a Eurojust y a la Agencia Europea de Seguridad de las Redes y de la Información su punto de contacto designado a efectos del intercambio de información sobre las infracciones mencionadas en los artículos 3 a 8. La Comisión transmitirá esta información a los demás Estados miembros.

Enmienda    26

Propuesta de Directiva

Artículo 15 – apartado 3

Texto de la Comisión

Enmienda

3. Los Estados miembros transmitirán a la Comisión los datos recogidos con arreglo al presente artículo. También garantizarán la publicación de una revisión consolidada de sus informes estadísticos.

3. Los Estados miembros transmitirán a la Comisión, a Europol y a la Agencia Europea de Seguridad de las Redes y de la Información los datos recogidos con arreglo al presente artículo y también garantizarán la publicación periódica de una revisión consolidada de sus informes estadísticos.

Enmienda    27

Propuesta de Directiva

Artículo 18 – apartado 1

Texto de la Comisión

Enmienda

1. Antes del [CUATRO AÑOS DESDE SU ADOPCIÓN] y, a continuación, cada tres años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la aplicación de la presente Directiva en los Estados miembros que incluirá las propuestas necesarias.

1. Antes del [CUATRO AÑOS DESDE SU ADOPCIÓN] y, a continuación, cada tres años, la Comisión presentará al Parlamento Europeo y al Consejo, previa consulta a todas las partes interesadas, un informe sobre la aplicación de la presente Directiva en los Estados miembros que incluirá las propuestas necesarias. En cada uno de los informes se señalarán, y se tendrán en cuenta respecto a cualquier propuesta necesaria, las soluciones técnicas que permitan una aplicación de la ley más eficaz en la Unión Europea en el ámbito de los ataques contra los sistemas de información, incluidas soluciones técnicas que pudieran servir para prevenir o paliar dichos ataques.

Enmienda    28

Propuesta de Directiva

Artículo 18 – apartado 2

Texto de la Comisión

Enmienda

2. Los Estados miembros transmitirán a la Comisión toda la información apropiada para la elaboración de los informes a que se refiere el apartado 1. La información incluirá la descripción detallada de las medidas legislativas y no legislativas que se adopten en aplicación de la presente Directiva.

2. Los Estados miembros y la Agencia Europea de Seguridad de las Redes y de la Información transmitirán a la Comisión toda la información apropiada para la elaboración de los informes a que se refiere el apartado 1. La información incluirá la descripción detallada de las medidas legislativas y no legislativas que se adopten en aplicación de la presente Directiva.

PROCEDIMIENTO

Título

Ataques contra los sistemas de información y derogación de la Decisión marco 2005/222/JAI del Consejo

Referencias

COM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Comisión competente para el fondo

       Fecha del anuncio en el Pleno

LIBE

7.10.2010

 

 

 

Comisión(es) competente(s) para emitir opinión

       Fecha del anuncio en el Pleno

ITRE

7.10.2010

 

 

 

Ponente(s)

       Fecha de designación

Christian Ehler

24.11.2010

 

 

 

Examen en comisión

13.4.2011

6.10.2011

 

 

Fecha de aprobación

10.11.2011

 

 

 

Resultado de la votación final

+:

–:

0:

49

0

1

Miembros presentes en la votación final

Ivo Belet, Bendt Bendtsen, Maria Da Graça Carvalho, Giles Chichester, Pilar del Castillo Vera, Christian Ehler, Ioan Enciu, Adam Gierek, Norbert Glante, Robert Goebbels, Fiona Hall, Jacky Hénin, Kent Johansson, Romana Jordan Cizelj, Lena Kolarska-Bobińska, Béla Kovács, Philippe Lamberts, Bogdan Kazimierz Marcinkiewicz, Marisa Matias, Judith A. Merkies, Angelika Niebler, Jaroslav Paška, Aldo Patriciello, Anni Podimata, Miloslav Ransdorf, Herbert Reul, Michèle Rivasi, Jens Rohde, Paul Rübig, Amalia Sartori, Francisco Sosa Wagner, Konrad Szymański, Michael Theurer, Ioannis A. Tsoukalas, Claude Turmes, Niki Tzavela, Marita Ulvskog, Vladimir Urutchev, Adina-Ioana Vălean

Suplente(s) presente(s) en la votación final

Antonio Cancian, Jolanta Emilia Hibner, Yannick Jadot, Ivailo Kalfin, Bernd Lange, Werner Langen, Markus Pieper, Mario Pirillo, Hannes Swoboda, Silvia-Adriana Ţicău

Suplente(s) (art. 187, apdo. 2) presente(s) en la votación final

Eider Gardiazábal Rubial

PROCEDIMIENTO

Título

Ataques contra los sistemas de información y derogación de la Decisión marco 2005/222/JAI del Consejo

Referencias

COM(2010)0517 – C7-0293/2010 – 2010/0273(COD)

Fecha de la presentación al PE

30.9.2010

 

 

 

Comisión competente para el fondo

       Fecha del anuncio en el Pleno

LIBE

7.10.2010

 

 

 

Comisión(es) competente(s) para emitir opinión

       Fecha del anuncio en el Pleno

AFET

7.4.2011

BUDG

7.10.2010

ITRE

7.10.2010

 

Opinión(es) no emitida(s)

       Fecha de la decisión

BUDG

20.10.2010

 

 

 

Ponente(s)

       Fecha de designación

Monika Hohlmeier

9.12.2010

 

 

 

Examen en comisión

3.2.2011

25.5.2011

12.1.2012

28.2.2012

 

27.3.2012

21.6.2012

6.6.2013

 

Fecha de aprobación

6.6.2013

 

 

 

Resultado de la votación final

+:

–:

0:

36

8

0

Miembros presentes en la votación final

Jan Philipp Albrecht, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Philip Claeys, Carlos Coelho, Ioan Enciu, Frank Engel, Cornelia Ernst, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Sophia in ‘t Veld, Lívia Járóka, Teresa Jiménez-Becerril Barrio, Juan Fernando López Aguilar, Baroness Sarah Ludford, Monica Luisa Macovei, Svetoslav Hristov Malinov, Véronique Mathieu Houillon, Nuno Melo, Roberta Metsola, Antigoni Papadopoulou, Georgios Papanikolaou, Jacek Protasiewicz, Carmen Romero López, Birgit Sippel, Csaba Sógor, Rui Tavares, Nils Torvalds, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Suplente(s) presente(s) en la votación final

Dimitrios Droutsas, Mariya Gabriel, Evelyne Gebhardt, Stanimir Ilchev, Franziska Keller, Jean Lambert, Jan Mulder

Suplente(s) (art. 187, apdo. 2) presente(s) en la votación final

Jens Nilsson, Sabine Verheyen

Fecha de presentación

19.6.2013