Przewodniczący. − Kolejnym punktem porządku dnia jest sprawozdanie sporządzone przez Monikę Hohlmeier w imieniu Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady dotyczącej ataków na systemy informatyczne i uchylającej decyzję ramową Rady 2005/222/WSiSW (http://ec.europa.eu/prelex/liste_resultats.cfm?CL=pl&ReqId=0&DocType=COM&DocYear=2010&DocNum=0517" – C7-0293/2010 – http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&reference=2010/0273(COD)" ) (A7-0224/2013)
Monika Hohlmeier, Berichterstatterin. − Herr Präsident, liebe Kolleginnen und Kollegen! Mit dieser Rahmenrichtlinie, mit der wir Angriffe gegen Informationssysteme unter einen gemeinschaftlichen europäischen Mindeststrafrechtsrahmen setzen wollen, setzen wir einen wichtigen Baustein, der auch zur Bekämpfung von Internetkriminalität gehört. Auf der einen Seite erwähnen wir in dieser Strafrechtsrichtlinie im Rahmen der Erwägungen auch die Fragen der Ausbildung, der Prävention, die Fragen, die sich mit der Vorbeugung gegen Angriffe auf Informationssysteme auseinandersetzen. Aber wenn sich nun einmal Angriffe ereignen, dann ist es wesentlich, dass es auch einen Strafrechtsrahmen gibt, der harmonisiert ist und der gemeinsame Mindeststrafen bemisst.
Es ist außerordentlich wichtig, dass wir das Herstellen, Verkaufen und Beschaffen zwecks Gebrauchs, Einführens oder Verbreitens oder anderweitiger Verfügbarmachung von Vorrichtungen, die zur Begehung von betreffenden Straftaten genutzt werden können, in unseren Mitgliedstaaten einheitlich unter Strafe stellen.
Es geht auch um die Einführung von erschwerenden Umständen, wenn beispielsweise Botnetze eingesetzt werden – mit dem im Jahr 2010 abgeschalteten Botnetz Bredolab, das bis zu 30 Millionen Computer unter seiner Kontrolle hatte, konnten bis zu 3,6 Milliarden Spam-Mails pro Tag und entsprechende Malware verbreitet werden. Das Gefährlichste an diesen Botnetzen ist, dass viele private Nutzer gar nicht merken, dass ihr Computer infiziert ist und als Zombie-Computer entsprechend genutzt werden kann. Schätzungen zufolge ist jeder vierte PC mit Internetverbindung ein Zombie. Welche Gefahren für unsere gesamten Netzwerke, für kritische Infrastrukturen und auch für andere Bereiche davon ausgehen, kann sich allein anhand dieses einzelnen Beispiels jeder ausmalen.
Wir haben im Rahmen dieser Strafrechtsrichtlinie auch darauf geachtet, dass wir Cyber-Großangriffe als erschwerende Umstände einstufen, und insbesondere darauf, dass die Verschleierung der wahren Identität des Täters bei Cyber-Angriffen, wenn dadurch der rechtmäßige Identitätseigentümer schwer geschädigt wird, ebenfalls unter Strafe gestellt wird.
Des Weiteren haben wir uns besonders auch mit dem Thema organisierte Kriminalität auseinandergesetzt, wird IT von Seiten der organisierten Kriminalität auch zur Begehung widerlichster Straftaten genutzt, wie das z. B. im Bereich des Menschenhandels, der Kinderpornografie der Fall ist, oder auch nach Begehung anderer schwerster Straftaten. Vor kurzem waren es 400 Millionen Euro, die bei einer einzigen Art von finanziellem Angriff abgegriffen worden sind.
Bei diesen Straftaten kann man mittlerweile auch auf Strafen von bis zu fünf Jahren als Mindesthöchststrafe gehen, wenn es sich um schwere Angriffe bzw. um schwere Straftaten handelt.
Es ist auch außerordentlich wichtig, dass wir die Kooperation zwischen den Mitgliedstaaten stärken, denn nur die Kooperation der Mitgliedstaaten kann dazu führen, dass wir auch eine verbesserte Zusammenarbeit in der Bekämpfung der internationalen Netzwerke der organisierten Kriminalität, im Bereich der Internetkriminalität bekommen. Internet ist an sich international. Gerade die Internetkriminalität zeigt, dass es dringend notwendig ist, dass die europäischen Mitgliedstaaten zusammenarbeiten, denn nur gemeinschaftlich können wir schwere Verbrechen entsprechend abwehren. Es gehört aber auch die Ausbildung und Fortbildung von Richtern, von Justizbeamten, von Staatsanwälten und von Polizisten dazu, damit wir zu einer adäquaten Bekämpfung von schwerer Internetkriminalität kommen.
Viviane Reding, Vice-President of the Commission. − Mr President, I would like to thank the rapporteur Ms Hohlmeier for the very important work which has been done. I say that on behalf of my colleague Cecilia Malmström, who is responsible for this dossier, but it is a dossier which is very dear to my heart and Cecilia and I are working closely together on this whole question of cyber-criminality. Together with the adoption of the EU Cybersecurity Strategy and the launch of the European Cybercrime Centre with Europol earlier this year, this will mark an additional and a strong political signal that the EU is serious in combating cyber-attacks.
The primary purpose of the Commission proposal was to prevent cyber-attacks. The attack in Estonia in 2007 was the triggering event, but the problem of cyber-attacks has, as everybody knows, worsened since the Estonian attack. The urgency with which we need to deal with this problem is real and the directive is a necessary response to this.
As you know, the proposal builds on the existing Framework Decision and we welcome that your report retains the provisions put forward by the Commission, such as the definition of two new offences – illegal interception and tools to commit large-scale attacks – and higher penalties for the general offences, as well as new aggravating circumstances such as attacks committed against a critical infrastructure information system.
We also welcome that the report calls for the inclusion of a new aggravating circumstance when the offences are committed by misusing personal data of another person and causing prejudice to the rightful identity owner. We believe that including this specific measure is important, as it has become one of the most common ways to commit cyber-attacks today.
Finally, the text also seeks to improve European criminal justice and police cooperation by strengthening the existing structure of contact points, including an obligation to answer urgent requests within eight hours, and the obligation to collect basic statistical data on cyber-attacks.
Last, but not least, we welcome a new obligation introduced by the European Parliament for Member States to have reporting channels in place for reporting of the offences to competent authorities. Reporting is key in order to understand the scale of the problem, and this measure is fully in line with the Member States’ commitment made in the EU policy cycle on organised and serious international crime.
We hope that the agreed text will now be swiftly adopted by both the European Parliament and the Council. Thank you again Ms Hohlmeier for the important work done in the interest of the European Union and its citizens.
Kristiina Ojuland, rapporteur for the opinion of the Committee on Foreign Affairs. − Mr President, I would like to thank Ms Hohlmeier, with whom we have been working for some time on this very important issue. We believe that this proposal, which updates the existing regulations under the 2005 Framework Decision and increases the scope of the Council of Europe Convention on Cybercrime, is a clear signal that the EU is taking all cyber threats very seriously, as the Commissioner said.
Mapping our critical infrastructure, setting minimum standards, enhancing cooperation between Member States and agreeing on common sanctions against attacks on IT systems are crucial steps in order to guarantee our digital security. At the same time, the free and open nature of the Internet is to be fully respected.
From a foreign affairs perspective, this proposal definitely increases the strength and visibility of a common EU approach to protecting and fighting attacks against information systems in the world. I urge all colleagues to vote in favour of this proposal.
Agustín Díaz de Mera García Consuegra, en nombre del Grupo PPE. – Señor Presidente, los ciudadanos europeos se ven afectados, cada día más, por la ciberdelincuencia. El 8 % de los usuarios de Internet de la Unión ha sufrido usurpación de identidad y el 12 % ha sido víctima de algún tipo de fraude en línea. Además, los ataques contra los sistemas de información tienen una dimensión transfronteriza considerable, ya que los elementos de conexión suelen situarse en diferentes países. Y, teniendo en cuenta el debate que acabamos de mantener sobre el espionaje de los Estados Unidos, me gustaría dar la bienvenida a esta directiva que permitirá una acción conjunta de todos los Estados miembros.
Felicito de todo corazón a la señora Hohlmeier por su intenso y eficaz trabajo. Con esta Directiva marco aproximaremos las normas del Derecho penal de los Estados miembros sobre este tipo de delitos, disponiendo de sanciones efectivas, proporcionadas y disuasorias, y mejorando la cooperación entre las autoridades judiciales y policiales.
Por todo ello, animo a los Estados miembros a que, de una manera rápida y correcta, realicen la implementación de la Directiva para asegurar que este tipo de conductas sean penadas y así evitar que los infractores se trasladen a Estados miembros con normas más indulgentes en la materia.
Además, para la lucha efectiva contra la ciberdelincuencia es necesario recopilar datos, pero siempre teniendo en cuenta que la Directiva cumple los principios reconocidos sobre protección de datos personales. Estos datos contribuirán a que organismos especializados, como Europol y la Agencia Europea de Seguridad de las Redes de la Información, puedan evaluar mejor el estado de seguridad de la red y la información en Europa.
Sí, señora Reding, es cierto: el 11 de enero de 2013 se creó el F3, dependiente de Europol. Aprovecho esta oportunidad para destacar su importancia y para recomendar su correcta dotación presupuestaria.
Ioan Enciu, în numele grupului S&D. – În primul rând, aş vrea să spun că mă bucur că am ajuns, în sfârşit, la momentul adoptării acestei noi directive şi vreau să-i mulţumesc doamnei Hohlmeier pentru cooperarea foarte bună pe care am avut-o în timpul negocierilor. Atacurile informatice au devenit în ultimii ani o ameninţare de primă importanţă, atât din punct de vedere economic, cât şi social şi chiar politic. Dacă ne uităm la cifre, putem vedea că această criminalitate informatică afectează anual milioane de persoane şi companii şi produce pagube anuale evaluate la aproape 300 de miliarde euro, ceea ce este enorm.
Este esenţial ca Uniunea Europeană să fie activă în a răspunde acestor noi ameninţări, iar această directivă este un pas înainte. Noua directivă va armoniza nu doar nivelul pedepselor, ci şi definiţia infracţiunilor, având în vedere că există diferenţe importante între statele membre în acest domeniu. Salut, în acelaşi timp, faptul că persoanele juridice care gestionează sisteme informatice vor fi responsabile din punct de vedere legal pentru buna funcţionare a propriilor sisteme.
Pe de altă parte, trebuie să subliniez faptul că, deşi am insistat mult ca şi statele însele să răspundă în faţa justiţiei în cazul săvârşirii de atacuri informatice, acest lucru nu a fost reţinut, mai ales din cauza opoziţiei puternice a Consiliului, dar şi a unor colegi. Cred că această propunere ar fi fost extrem de binevenită în acest moment, având în vedere scandalul legat de spionajul informatic practicat de Statele Unite. Cred că aceste activităţi ale SUA sunt inacceptabile şi ilegale şi ar fi putut să fie urmărite în justiţie, sub o formă sau alta. În lupta împotriva atacurilor informatice avem nevoie de încredere şi cooperare, atât în interiorul Uniunii Europene, cât şi la nivel internaţional, pentru că în mediul informatic frontierele nu există. De aceea, este foarte important ca statele membre să colaboreze mai mult, iar Uniunea Europeană să urmărească o mai bună cooperare la nivel internaţional. În acelaşi timp, avem nevoie de instrumente eficiente în lupta împotriva atacurilor informatice şi mă bucur, din acest punct de vedere, că mandatul ENISA a fost îmbunătăţit şi că Centrul european de combatere a infracţiunilor informatice a fost creat de curând.
În sfârşit, vreau să spun că această directivă este doar unul dintre elementele luptei împotriva atacurilor informatice şi că foarte mult rămâne de făcut, în special în ceea ce priveşte latura de prevenire şi dezvoltare a capacităţilor instituţionale şi tehnologice, atât în statele membre, cât şi la nivelul Uniunii Europene.
Norica Nicolai, on behalf of the ALDE Group. – Mr President, I have worked with my colleagues in the Subcommittee on Security and Defence on the cyber security report and followed the interesting work done by my colleagues in the Committee on Civil Liberties, Justice and Home Affairs and the Committee on the Internal Market and Consumer Protection. I have to congratulate them for their many efforts over the past two years to bring this problem onto the agenda, the work of ENISA and the promotion of the new language on cyber defence.
At the same time, this latest work on the information system must be understood as part of a greater debate. Information systems are at the core of the issue when it comes to cyber threats and both public and private structures are becoming more and more threatened. The improvements made by the Commission’s proposal are very important. By now there are hundreds of people in prison all around the EU for cybercrime but there are still people who consider cybercrime an easy adventure. More than this, we have to start thinking globally when it comes to cybercrime. This report talks of cross-border intra-EU measures, but we have to admit that we need a more developed legal framework.
Jan Philipp Albrecht, im Namen der Verts/ALE-Fraktion. –Herr Präsident! Vielen Dank an die Kollegen für Ihre Beiträge! Ich muss trotzdem derjenige sein, der heute etwas Wasser in den Wein gießt. Denn natürlich ist es wichtig, dass wir mehr Sicherheit vor Angriffen auf Informationssysteme brauchen. Natürlich ist es richtig, dass wir da politische Schritte ergreifen. Das Problem ist nur, dass wir – Herr Díaz de Mera – mit dieser Richtlinie nicht mehr Sicherheit bekommen, denn diese Richtlinie bezieht sich ja nur auf das Strafrecht. Und Strafrecht löst Sicherheitsprobleme, gesellschaftliche Probleme per se eben nicht. Und das Strafrecht ist übrigens auch eigentlich ein Mittel, das man als Ultima Ratio einsetzen sollte.
Nun ist es so, dass wir uns darauf einigen, Strafmaße zu harmonisieren – grundsätzlich ein richtiges Anliegen! Aber man muss eben auch dazusagen, der Effekt, der hier erzeugt wird, nämlich Strafen immer nur weiter zu verschärfen, ist der falsche Effekt. Stattdessen wäre es wichtig gewesen, genau das aufzunehmen, was Herr Enciu vorgeschlagen hat, nämlich auch die Verantwortlichkeit von Betreibern bei Lücken in Informationssystemen. Stattdessen werden jetzt diejenigen bestraft, die diese Lücken aufzeigen. Und das halten wir nicht für verhältnismäßig.
Timothy Kirkhope, on behalf of the ECR Group. – Mr President, I would like to thank our rapporteur, Ms Hohlmeier, for her hard work and good cooperation, as well as her patience with what I felt at times were efforts to delay the adoption of this report in order to make political points on the unrelated issue of Schengen.
Cooperation in fighting cybercrime is one of the vital areas where Europe genuinely and strongly benefits from our working more closely together. Fighting cybercrime on an EU level effectively depends on making sure that criminals are not gifted with the opportunity to set up shop in any Member State which may have insufficient protection against cyber-attacks. Obviously Europe’s defence against cybercrime is only as strong as its weakest link, and frankly there are too many weak links.
Our work here in Parliament, and with Europol in particular, shows that we are finally trying to lead on this issue. Ms Hohlmeier’s report is a clear step in the right direction against an always faceless and usually formidable enemy. The cost of cybercrime is enormous. It damages jobs and businesses and puts government institutions at risk, and it is therefore insidious. This report identifies all these things and, in my view and my group’s view, it offers a sensible and realistic way forward.
Hubert Pirker (PPE). - Herr Präsident, Frau Vizepräsidentin der Kommission! Wie wir alle wissen, sind Informationssysteme für die politische, für die gesellschaftliche und für die wirtschaftliche Interaktion inzwischen absolut unverzichtbar geworden.
Ihr Funktionieren ist entscheidend für den persönlichen Komfort, für die Wettbewerbsfähigkeit und natürlich auch für die Innovation in der Wirtschaft. Je bedeutsamer diese Informationssysteme sind, desto größer ist natürlich auch das Risiko von Angriffen durch einzelne Kriminelle oder auch durch kriminelle Organisationen. Und diese Angriffe finden statt. Die Kommission hat in Untersuchungen festgestellt, dass der jährliche Schaden mittlerweile an die 300 Mrd. Euro innerhalb der Europäischen Union ausmacht.
Die Gefahr von kriminellen Angriffen droht dem privaten Sektor genauso wie dem öffentlichen Sektor, aber insbesondere der kritischen Infrastruktur. Und zum Schutz der Informationssysteme brauchen wir daher gesetzliche Regelungen und die notwendigen Handlungsinstrumente dazu. Mit dieser Richtlinie und dem Bericht von Frau Hohlmeier, zu dem ich ihr sehr herzlich gratuliere, haben wir ein weiteres Instrument bekommen, nämlich eine europaweit einheitliche Regelung der Straftatbestände, des Strafausmaßes und der Strafmaßnahmen wie wir gehört haben. Und die sollen auch abschreckende Wirkung haben.
Was wir aber dazu brauchen, sind eben die notwendigen Instrumentarien zur Vorbeugung und zur Bekämpfung von Cybercrime und daher darf ich darauf hinweisen, wie bedeutsam es ist, dass wir dieses Cybercrime-Center bei Europol eingerichtet haben, dass wir ENISA haben. Wir müssen aber zusätzlich zu den gesetzlichen Instrumenten diese Einrichtungen stärken und ausbauen, mit Kompetenzen, mit Geld und Personal.
Ich bin überzeugt, dass mit der Richtlinie und mit diesen genannten Instrumenten, wenn wir sie entsprechend nutzen, tatsächlich die Chance besteht, dass wir uns in der Union besser als bisher vor Cybercrime schützen werden können.
Josef Weidenholzer (S&D). - Herr Präsident! Durch Angriffe auf Informationssysteme, vor allem im Bereich der kritischen Infrastruktur, kann erheblicher Schaden entstehen. Diesen Gefahren muss Europa deutlicher begegnen.
Mit der vorliegenden Richtlinie werden für den strafrechtlichen Bereich und im Bereich der Koordination der Behörden Maßnahmen ergriffen. Die Sicherheit von Informationssystemen lässt sich auf vielfältige Weise verbessern. Gerade das Informationsmanagement von Sicherheitslücken bei Angriffen ist ein Punkt, mit dem wir uns auch weiterhin beschäftigen sollten.
Die Angleichung der Strafvorschriften für Angriffe und die Verbesserung der Zusammenarbeit zwischen den Behörden, wie sie die vorliegende Richtlinie vorsieht, ist ein wichtiger Baustein zur Verbesserung. Es muss auch deutlich werden, dass es legitime Zwecke für die Nutzung von prinzipiell schädlicher Technologie und das Angreifen von Systemen gibt, zuvorderst natürlich das Testen der Systeme, das Suchen nach Sicherheitslücken, damit diese ausgebessert werden können. Das wird im Erwägungsgrund 9 auch deutlich gemacht. Wünschenswert wäre eine explizite Regelung im Gesetzestext selbst gewesen.
Dass datenschutzrechtliche Bestimmungen einzuhalten sind, sollte in unserem Zusammenhang selbstverständlich sein. Insofern ist es sehr begrüßenswert, dass das Parlament diese Aspekte deutlich verbessern konnte.
Uwagi z sali
Tunne Kelam (PPE). - Mr President, I would like to congratulate Ms Hohlmeier on her report and on coming to an agreement with the Council.
The key to controlling cybercrime is still, firstly, to establish and harmonise minimum standards and then to share information. This directive paves the way for initiatives by the Commission, and I think it is important to bear in mind that the relevant directives should be complementary, and seek to avoid duplication.
I would have wished for clearer definitions of the kinds of threat that would have minor or major impacts on infrastructure or information systems. Here the directive remains somewhat vague and could offer opportunities for ambiguous interpretation. On the whole, however, I think there has been good and encouraging progress.
(Koniec uwag z sali)
Viviane Reding, Vice-President of the Commission. − Mr President, I am grateful to Ms Hohlmeier, the committee and the Parliament for this important work and also for this interesting debate. I hope that the Parliament will endorse the proposals and the compromise agreements tomorrow, so that the directive can enter into force and make a much-awaited contribution to combating cyber-attacks in the European Union.
Monika Hohlmeier, Berichterstatterin. − Herr Präsident, Frau Kommissarin, liebe Kolleginnen und Kollegen! Ich darf ein herzliches Dankeschön an das Ende dieser Aussprache setzen. Erstens ein Dank an die Kommission für die enge Zusammenarbeit. Vielen Dank auch an Kommissarin Reding dafür, dass sie heute Abend ausdrücklich für dieses Thema hier ist, da sie ja im Justizbereich auch davon betroffen ist. Ich bedanke mich bei den Ko-Berichterstattern, die mich vielfältig unterstützt haben, sei es Kollege Enciu, sei es Kollege Alvaro, von dem ich mir wünschte, dass er heute hier sein könnte. Ich möchte ihn ausdrücklich erwähnen und ihm Dank sagen. Danke an die Kollegin Nicolai, dass sie diese Rolle heute Abend hier übernommen hat. Ich bedanke mich beim Kollegen Timothy Kirkhope und bei all den vielen Kolleginnen und Kollegen.
Wenn der Kollege Albrecht gerade eben gesagt hat, dass er Wasser in den Wein gießen möchte, haben wir doch eines miteinander erreicht, dass nämlich zumindest diejenigen nicht bestraft werden, die die Lücken aufzeigen. Wie gesagt, das sind sogenannte minor cases. Deshalb sind sie letztendlich aus der Strafrechtsrichtlinie ausgenommen, auch wenn wir seinen wichtigen Wunsch nicht mehr ganz haben durchsetzen können. Aber ich bedanke mich ganz herzlich für die gute Zusammenarbeit.
Wir haben auch Fragen des Testens ausnehmen können. Damit setzen wir zumindest einen Baustein im Rahmen der vielen Bausteine, die bei der Bekämpfung der IT-Kriminalität, aber auch bei der Stärkung der Internetsicherheit gesetzt werden müssen, aber auch im Besonderen bei der Sensibilisierung in der eigenen Bevölkerung. Denn Kenntnisse im Umgang mit dem Internet sind eine der Kernkompetenzen, die wir erreichen müssen. Eine leise Ermahnung auch an die Mitgliedstaaten: Wenn sie um die Sicherheit ihrer eigenen Systeme und der eigenen kritischen Infrastrukturen besorgt sind, mögen sie nicht immer so erschrecken, wenn die Kommission fordert, dass auch Mitgliedstaaten Mindeststandards haben müssen.
Przewodniczący. − Zamykam debatę.
Głosowanie odbędzie się w czwartek 4 lipca 2013 r. o godz. 12.00.