EUROPEISKA KOMMISSIONEN Bryssel den 13.9.2017 COM(2017) 474 final RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET bedömning av i vilken utsträckning medlemsstaterna har vidtagit de åtgärder som är nödvändiga för att följa direktiv 2013/40/EU om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF SV SV
Innehållsförteckning Innehållsförteckning... 2 1. Inledning... 3 1.1 Direktivets mål och räckvidd... 3 1.2 Rapportens syfte och metod... 5 2. Införlivandeåtgärder... 6 2.1 Juridiska definitioner (artikel 2 i direktivet)... 6 a) Informationssystem... 6 b) Datorbehandlingsbara uppgifter... 6 c) Juridisk person... 6 d) Orättmätigt... 6 2.2 Särskilda brottsliga gärningar (artiklarna 3 7 i direktivet)... 7 a) Olagligt intrång i informationssystem... 7 b) Olaglig systemstörning... 7 c) Olaglig datastörning... 7 d) Olaglig avlyssning... 7 e) Verktyg som används för att begå brott... 8 2.3 Allmänna regler för berörda brott (artiklarna 8 12 i direktivet)... 8 a) Anstiftan, medhjälp och försök... 8 b) Försök... 8 c) Påföljder... 8 d) Juridiska personers ansvar... 10 e) Påföljder för juridiska personer... 10 f) Behörighet... 11 2.4 Operativa frågor (artiklarna 13 14 i direktivet)... 11 a) Bestämmelse om operativa nationella kontaktpunkter... 11 b) Information om de etablerade operativa nationella kontaktpunkterna... 11 c) Rapporteringskanaler... 11 d) Insamling av statistiska uppgifter... 12 e) Överföring av statistiska uppgifter till kommissionen... 12 3. Slutsats och nästa steg... 12 2
1. Inledning Enligt Europols hotbildsbedömning av internetstödd organiserad brottslighet (Iocta) 2016 blir it-brottsligheten alltmer aggressiv och konfrontativ. Detta framgår av olika typer av itbrottslighet, inklusive angrepp mot informationssystem. 1 Vissa allvarliga typer av angrepp som Europol nämner är användningen av sabotageprogram och social ingenjörskonst för att infiltrera och ta kontroll över ett informationssystem eller för att övervaka kommunikationsinnehåll och starta omfattande angrepp mot nätverk, även mot kritisk infrastruktur. Dessa angrepp bedöms vara de viktigaste hoten mot vårt samhälle. Med alltmer information som lagras i moln och på grund av att information och gärningsmän nu är mycket rörliga har gränsöverskridande samarbete mellan brottsbekämpande myndigheter blivit avgörande för de flesta utredningar av it-brottslighet. För att bekämpa denna brottslighet effektivt måste medlemsstaterna gemensamt definiera vilka gärningar som ska bedömas som angrepp mot informationssystem. De måste också ha likartade nivåer av påföljder och operativa möjligheter att rapportera brott och utbyta information mellan myndigheterna. Därför antog Europaparlamentet och rådet den 12 augusti 2013 direktiv 2013/40/EU (nedan kallat direktivet) om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF. 2 1.1 Direktivets mål och räckvidd Målen för direktivet är att tillnärma medlemsstaternas straffrättsliga lagstiftning 3 vad gäller angrepp mot informationssystem och att förbättra samarbetet mellan behöriga myndigheter. Detta sker genom fastställande av minimiregler om fastställande av brottsrekvisit och påföljder vad gäller angrepp mot informationssystem och genom att föreskriva operativa kontaktpunkter som är tillgängliga dygnet runt alla dagar i veckan. För definitioner av relevanta begrepp hänvisas i direktivet till följande: Informationssystem i artikel 2 a 4. Definitionen ligger nära definitionen av ett datasystem enligt artikel 1 a i Europarådets konvention om it-brottslighet av den 23 november 2001 (nedan kallad Budapestkonventionen) med det undantaget att direktivet också uttryckligen täcker de datorbehandlingsbara uppgifterna i sig. Datorbehandlingsbara uppgifter i artikel 2 b. Definitionen följer den i artikel 1 b i Budapestkonventionen och avser ett informationssystem i stället för ett datasystem. Juridisk person i artikel 2 c. Definitionen syftar till att säkerställa både fysiska och juridiska personers ansvar med undantag av stater, offentliga organ eller internationella offentliga organisationer. 1 Europols hotbildsbedömning av internetstödd organiserad brottslighet (Iocta) 2016 är tillgänglig här: https://www.europol.europa.eu/sites/default/files/documents/europol_iocta_web_2016.pdf 2 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2013:218:0008:0014:en:pdf 3 Från och med här, såvida inget annat uttryckligen anges, avser medlemsstaterna eller alla medlemsstater de medlemsstater som är bundna av direktivet, dvs. alla EU-medlemsstater utom Danmark, som inte deltog i antagandet av direktivet, i enlighet med artiklarna 1 och 2 i protokollet om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt (EUF-fördraget). I enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning deltog båda dessa medlemsstater i antagandet av direktivet och är bundna av det. 4 Alla nämnda artiklar hänvisar till artiklar i direktivet om inget annat anges. 3
Orättmätigt i artikel 2 d. Definitionen berör en allmän princip i straffrättslig lagstiftning och syftar till att undvika straffrättsligt ansvar för en person som handlar, antingen som behörig enligt nationell rätt eller med tillstånd från ägaren eller annan rättighetshavare av informationssystemet eller del av detta. Särskilda brottsliga gärningar preciseras, nämligen följande: Olagligt intrång i informationssystem (artikel 3). Olaglig systemstörning (artikel 4), vilket omfattar varje olagligt intrång i ett informationssystem som orsakar att driften allvarligt hindras eller avbryts. Olaglig datastörning (artikel 5), vilket avser varje olaglig störning av datorbehandlingsbara uppgifter som skadar deras integritet eller tillgänglighet. Olaglig avlyssning (artikel 6) av icke-offentliga överföringar av datorbehandlingsbara uppgifter och elektromagnetisk strålning från ett informationssystem som innehåller sådana uppgifter. Olagligt tillgängliggörande av verktyg som används för att begå de nämnda brotten (artikel 7). Verktyg i denna mening är exempelvis ett datorprogram, såväl som ett datorlösenord eller några andra uppgifter som gör det möjligt att få åtkomst till ett informationssystem. I direktivet utsträcks straffrättsligt ansvar till anstiftan och medhjälp av fysiska och/eller juridiska personer för att begå, och deras försök att begå, brotten ovan (artikel 8). Anstiftan och medhjälp gäller de brott som avses i artiklarna 3 7, försök avser endast artiklarna 4 och 5. De lägsta nivåerna av maximistraff för de brott som avses i direktivet finns i artikel 9: Som utgångspunkt är alla brotten belagda med ett maximistraff på minst två års fängelse, utom de som avses i artikel 8 (artikel 9.2). Minst tre års fängelse är maximistraffet för brotten som avses i artiklarna 4 och 5 då ett betydande antal informationssystem har påverkats (vanligen benämnda botnätbrott) (artikel 9.3). Minst fem års fängelse är maximistraffet för brott som avses i artiklarna 4 och 5 när det begås inom ramen för en kriminell organisation (artikel 9.4 a) och orsakar allvarlig skada (artikel 9.4 b) eller begås mot ett informationssystem som utgör kritisk infrastruktur (artikel 9.4 c). När ett brott som avses i artiklarna 4 och 5 begås genom missbruk av personuppgifter som rör en annan person ska medlemsstaterna säkerställa att det kan anses som försvårande omständigheter, om inte dessa omständigheter redan täcks av ett annat brott (artikel 9.5). De följande artiklarna fastställer minimivillkor för juridiska personers ansvar (artikel 10) och innehåller en lista över exempel på möjliga påföljder mot dem (artikel 11). På grund av att brotten som nämnts ovan kan begås (i betydelsen utföras) på den plats där gärningsmannen faktiskt agerar, medan påverkan på det drabbade informationssystemet kan uppstå någon annanstans, föreskrivs i artikel 12 skyldigheter att fastställa behörighet och att skilja mellan platsen där gärningsmannen är fysiskt närvarande när brottet begås, platsen för det drabbade informationssystemet, 4
gärningsmannens nationalitet, hans/hennes hemvist, och platsen där en juridisk person är etablerad till vars förmån brottet har begåtts. Vad beträffar informationsutbyte föreskrivs i artikel 13.1 att medlemsstaterna ska se till att de har nationella operativa kontaktpunkter som kan nås dygnet runt alla dagar i veckan så att de kan besvara en brådskande begäran om bistånd från utlandet inom åtta timmar. Dessutom måste medlemsstaterna vidta nödvändiga åtgärder för att underlätta rapportering av de brott som nämnts ovan till behöriga nationella myndigheter (artikel 13.3) och för att samla in och tillhandahålla av ett minimum av statistiska uppgifter om dessa brott (artikel 14). 1.2 Rapportens syfte och metod Enligt artikel 16 i direktivet ska medlemsstaterna sätta i kraft de lagar och andra författningar som är nödvändiga för att följa direktivet senast den 4 september 2015 och underrätta kommissionen om dem. Denna rapport svarar mot ett krav i artikel 17 i direktivet på att kommissionen ska överlämna en rapport till Europaparlamentet och rådet med en utvärdering av i vilken utsträckning medlemsstaterna har vidtagit de åtgärder som är nödvändiga för att följa bestämmelserna i direktivet. Syftet med rapporten är att ge en kortfattad men upplysande översikt över de viktigaste införlivandeåtgärderna medlemsstaterna har vidtagit. Medlemsstaternas införlivande inbegrep att samla in information om relevant lagstiftning och administrativa åtgärder, analysera informationen, utarbeta ny lagstiftning eller i de flesta fall ändra befintlig, få den antagen och slutligen rapportera den till kommissionen. Vid den tidpunkt då tidsfristen för införlivande löpte ut hade 22 medlemsstater anmält till kommissionen att de hade införlivat direktivet till fullo. I november 2015 inledde kommissionen överträdelseförfaranden för underlåtenhet att anmäla nationella införlivandeåtgärder mot de återstående fem medlemsstaterna: BE, BG, EL, IE och SI 5. Den 31 maj 2017 pågick fortfarande överträdelseförfarandena mot BE, BG och IE för underlåtenhet att anmäla nationella införlivandeåtgärder. 6 Beskrivningen och analysen i denna rapport bygger på de uppgifter som medlemsstaterna hade lämnat in senast den 31 maj 2017. 7 Anmälningar som har inkommit efter detta datum har inte beaktats. Alla anmälda åtgärder angående nationella lagstiftningar beaktades såväl som domstolsbeslut och i förekommande fall gemensam rättslig teori. Dessutom kontaktade kommissionen medlemsstaterna direkt när det var nödvändigt och lämpligt för att få ytterligare information eller förtydliganden. All insamlad information beaktades vid analysen. 5 Medlemsstaterna i detta dokument är förkortade enligt http://publications.europa.eu/code/sv/sv-5000600.htm. 6 Information om kommissionens beslut om överträdelseförfaranden finns här: http://ec.europa.eu/atwork/applying-eu-law/infringementsproceedings/infringement_decisions/?lang_code=sv. 7 IE anmälde fullt införlivande av direktivet den 31 maj 2017. 5
Utöver de problem som konstateras i denna rapport kan det förekomma ytterligare utmaningar när det gäller införlivandet och andra bestämmelser som inte har rapporterats till kommissionen, eller framtida rättslig och icke-rättslig utveckling. Rapporten hindrar därför inte kommissionen från vidare utvärdering av vissa bestämmelser och från att fortsätta att stödja medlemsstaterna i införlivandet och genomförandet av direktivet. 2. Införlivandeåtgärder 2.1 Juridiska definitioner (artikel 2 i direktivet) Artikel 2 i direktivet innehåller juridiska definitioner av a) informationssystem, b) datorbehandlingsbara uppgifter, c) juridisk person och d) orättmätigt. Endast CY och UK (Gibraltar) har infört lagstiftning som täcker alla aspekter av definitionerna ovan. I detalj betyder detta följande: a) Informationssystem Definitionen i direktivet bygger på definitionen av begreppet datasystem som det beskrivs i artikel 1 a i Budapestkonventionen med tillägg av datorbehandlingsbara uppgifter i sig som en del av informationssystemet. CY, EL, IE, FI, HR, MT, PT och UK (Gibraltar) har infört rättsregler med definition av ett informationssystem medan inga slutsatser kunde dras utifrån de uppgifter som har lämnats av DE, ES, FR, LU, LV, PL, SE och SK. De återstående medlemsstaterna, dvs. AT, BE, BG, CZ, EE, HU, IT, LT, NL, RO, SI och UK (förutom Gibraltar) nämner inte specifikt datorbehandlingsbara uppgifter i de juridiska definitionerna. Detta innebär en hänvisning till artikel 1 a i Budapestkonventionen med en identisk räckvidd för definitionen av ett datasystem. b) Datorbehandlingsbara uppgifter Begreppet datorbehandlingsbara uppgifter ges av lagstiftningen för AT, BG, CY, CZ, DE, EE, EL IE, FI, HR, LT, MT, NL, PT, RO och UK (Gibraltar) medan inga slutsatser kunde dras utifrån de uppgifter som har lämnats av ES, FR, IT, LU, LV, PL, SE, SK och UK (förutom Gibraltar). I fallet med SE gör dock den särskilda uppställningen av de avsedda artiklarna definitionen överflödig. Vad gäller de övriga medlemsstaterna hänför HU definitionen av datorbehandlingsbara uppgifter endast till brott beskrivna i artiklarna 4 och 5 i direktivet, medan både BE och SI saknar inbegripande av ett program som lämpar sig för att få ett informationssystem att utföra en viss uppgift i definitionen av datorbehandlingsbara uppgifter. c) Juridisk person Förutom för LU som lämnade uppgifter utifrån vilka inga slutsatser kunde dras angående införlivandet av artikel 2 c skapade inte införlivandet av definitionen av juridisk person några problem. Detta beror på att den i allmänhet redan finns i de flesta medlemsstaters civilrättsliga eller handelsrättsliga bestämmelser. Endast CY har en särskild bestämmelse i de antagna åtgärderna för att införliva direktivet. d) Orättmätigt Vad angår definitionen av begreppet orättmätigt i artikel 2 d anmälde endast CY, IE, RO och UK (Gibraltar) införlivande, vilket gjorde att 23 medlemsstater inte anmälde några införlivandeåtgärder för denna definition. Det måste emellertid konstateras att det i alla medlemsstater finns en generell princip om att man inte har straffrättsligt ansvar för ett handlande om detta handlande utförs rättmätigt. 6
2.2 Särskilda brottsliga gärningar (artiklarna 3 7 i direktivet) a) Olagligt intrång i informationssystem Hänvisning till olagligt intrång i informationssystem, artikel 3 i direktivet, täcks av nationell rätt i AT, CY, CZ, EL, ES, IE, FI, FR, LT, LU, NL, PL, PT, SE och SK. För alla övriga medlemsstater, dvs. BE, BG, DE, EE, HR, HU, IT, LV, MT, RO, SI och UK, skiljer inte de respektive nationella beskrivningarna av den brottsliga gärningen mellan att få åtkomst till ett informationssystem i sin helhet eller enbart en del, trots att detta uttryckligen anges i direktivet. Dessutom täcker inte DE:s införlivande ren åtkomst till datorhårdvara, och ytterligare krav beskrivs av AT och LU angående ett särskilt uppsåt (uppsåt att erhålla kunskap, vålla nackdel eller bedrägligt uppsåt) och av LV angående att orsaka omfattande skada. Vad gäller BE, BG, FR, HR, LU, MT, PT, RO, SI och UK är räckvidden av de nationella bestämmelserna bredare än direktivet, eftersom dessa bestämmelser inte kräver kringgående av någon säkerhetsåtgärd för att skapa straffrättsligt ansvar. De återstående medlemsstaterna hänvisar antingen bokstavligen till att brottet begås genom att överträda säkerhetsåtgärder (CY, EL och SK) eller använder liknande terminologi för att beskriva aspekten (AT, CZ, DE, EE, ES, FI, HU, IT, LT, LV, NL, PL och SE). b) Olaglig systemstörning Artikel 4 i direktivet avser olaglig systemstörning. I direktivet listas åtta möjliga gärningar (att mata in, överföra, skada, radera, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbehandlingsbara uppgifter) och två möjliga resultat av respektive gärning (att allvarligt hindra eller avbryta driften av ett informationssystem). BE, CY, CZ, EL, IE, FR, HR, LU, MT, PT, SE och UK (förutom Gibraltar) har infört motsvarande rättsliga åtgärder. BG hänvisar endast till att mata in virus, medan resterande medlemsstater (AT, DE, EE, ES, HU, IT, LV, NL, PL, RO, SI, SK och UK) inte särskilt nämner en eller upp till fyra av de möjliga gärningarna. I detta sammanhang kan konstateras att de flesta problemen uppstod i samband med begreppen försämra (saknades i åtta fall) och göra åtkomst omöjlig (saknades i nio fall). c) Olaglig datastörning Artikel 5 i direktivet handlar om olaglig datastörning, och följande sex möjliga gärningar anges: radera, skada, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbehandlingsbara uppgifter. CY, EL, IE och MT har införlivat bestämmelsen ordagrant. BE, CZ, LT, PT och SE använde mer generella begrepp för att helt täcka de möjliga gärningarna. Alla andra medlemsstaters införlivandeåtgärder täcker inte alla möjligheterna utan avser snarare endast fem alternativ (FI och SK) eller färre (AT, BG, DE, EE, FR, HR, HU, IT, LU, NL, PL, RO, SI och UK). De flesta problemen uppstod i samband med skada (saknades åtta gånger), försämra (tretton gånger), hindra flödet av data (elva gånger) och göra dataåtkomst omöjlig (tretton gånger). Utöver formuleringen i direktivet kräver FI uppsåt att orsaka skada eller ekonomisk förlust för straffrättsligt ansvar, medan LT och LV kräver att gärningen åsamkar stor eller omfattande skada. d) Olaglig avlyssning Artikel 6 avser olaglig avlyssning och inriktar sig på icke-offentlig överföring av datorbehandlingsbara uppgifter och elektromagnetisk strålning från ett informationssystem som innehåller sådana uppgifter. CY, CZ, DE, ES, IE, FI, HR, LV, MT, RO, SE, SK och UK (Gibraltar) har infört lagstiftning som helt täcker artikel 6. Den allmänna räckvidden av direktivet avseende avlyssning av datorbehandlingsbara uppgifter begränsas till meddelanden (AT och BG), observation av en person (EE) eller korrespondens (FR och HU). Dessutom 7
täcker inte följande medlemsstaters införlivandeåtgärder avlyssning av elektromagnetisk strålning: BE, BG, EE, FR, HU, IT, LT, LU, NL, PL, PT, SI och UK (förutom Gibraltar). Några medlemsstater kräver dessutom särskilt uppsåt (som att få kunskap eller ekonomisk vinning, eller orsaka nackdel se AT, EL, HU) eller specifika ytterligare gärningar (som inspelning eller att bli medveten om det avlyssnade innehållet se BG och HU). e) Verktyg som används för att begå brott Artikel 7 kriminaliserar ett antal gärningar angående verktyg som datorprogram eller åtkomstkoder för att begå de brott som nämns i artiklarna 3 6: att tillverka sådana verktyg, sälja, anskaffa för att använda, importera, distribuera eller på annat sätt tillgängliggöra dem. AT, BE, CY, DE, EL, IE och SK har infört motsvarande nationell lagstiftning. Några medlemsstater täcker inte alla de avsedda brotten (EE, IT, MT, PL och SI). Några hänvisar inte till gärningsmannen enligt artikel 7 som en person skild från gärningsmannen till de brott som nämns i artiklarna 3 6 (CZ och SI). Några kräver särskilt uppsåt (att orsaka skada eller att handla bedrägligt FI, IT och LU), ett särskilt resultat som kränkning av sekretess (BG) eller åtminstone en nivå av förberedelse till de avsedda brotten (SE). Slutligen återfinns diskrepanser mellan artikel 7 och de nationella åtgärderna i bristande införlivande av alla de uppräknade gärningarna. Så är fallet för BG, CZ, EE, ES, FR, HR, HU, IT, LT, LU, LV, PL, PT, RO, SI och UK. Bland dessa nämner LU:s lagstiftning specifikt fem eller sex av de i direktivet uppräknade möjliga gärningarna, medan andra medlemsstater endast hänvisar till fyra eller färre. Endast ES har införlivat alternativet att anskaffa för att använda. 2.3 Allmänna regler för berörda brott (artiklarna 8 12 i direktivet) a) Anstiftan, medhjälp och försök Enligt artikel 8.1 krävs att medlemsstaterna ska se till att anstiftan av och medhjälp till ett brott som avses i artiklarna 3 7 straffbeläggs. Alla medlemsstater har införlivat denna bestämmelse. b) Försök Enligt artikel 8.2 ska försök att begå de brott som avses i artiklarna 4 5 straffbeläggas. Även om PT inte täcker alla slags försök att begå brott som avses i artikel 4 och SE saknar straffrättsligt ansvar för försök att begå brottet överträdelse av kommunikationssekretess har alla andra medlemsstater lagstiftning som införlivar denna bestämmelse. c) Påföljder aa) Allmän bestämmelse Enligt artikel 9.1 krävs att medlemsstaterna, generellt sett, ska belägga de brott som avses i direktivet med effektiva, proportionella och avskräckande straffrättsliga påföljder. Även om detta förutsätts av nästan alla medlemsstaterna uppnår inte AT, BE, BG, IT, PT, SE och SI de lägsta nivåerna av maximistraff enligt artikel 9.2 (se avsnitt 1.1 ovan) i alla fallen. Detta påverkar införlivandet av artikel 9.1, eftersom slutsatsen kan dras att de lägsta kraven enligt artikel 9.2 är ett minimum för att anta en effektiv, proportionell och avskräckande straffrättslig påföljd. bb) Allmän lägsta nivå av maximistraff Enligt artikel 9.2 är lägsta nivån för maximistraff för de standardbrott som avses i artiklarna 3 7 minst två års fängelse. De flesta medlemsstaterna följer denna bestämmelse. Endast sex medlemsstater visar några diskrepanser: AT (högst sex månaders fängelse), BG (högst ett års fängelse för alla brott utom olaglig avlyssning), IT (högst ett års fängelse för brott som avses i 8
artikel 7 b, PT (högst ett års fängelse för brott som avses i artikel 3), SE (högst ett års fängelse för brottet orsaka skada ) och SI (högst ett års fängelse för brotten som avses i artiklarna 3, 6 och 7). Vad gäller BE uppnås lägsta nivån för maximistraff för artiklarna 3, 6 och 7 endast när brotten begås med bedrägligt uppsåt. cc) Ett betydande antal informationssystem påverkas Artikel 9.3 höjer lägsta nivån för maximistraff till tre års fängelse när ett betydande antal informationssystem påverkas av ett brott som avses i artiklarna 4 och 5. I allmänhet har medlemsstaterna infört överensstämmande lagstiftning, DE hänvisar endast till informationssystem som är av väsentlig betydelse för varandra, FI kräver bedömningen av brottet som helhet för att tillämpa ett högre straff, och LV hänvisar inte till ett betydande antal informationssystem (eller liknande ordalydelse) utan endast till att orsaka betydande skada. Utifrån de uppgifter som har lämnats av BG och SI kunde inga slutsatser dras. dd) Kriminella organisationer Enligt artikel 9.4 a tillämpas maximistraff på minst 5 års fängelse för brotten som avses i artiklarna 4 och 5 när de begås av en kriminell organisation enligt definitionen i rådets rambeslut 2008/841/RIF. De flesta medlemsstaterna följer även bestämmelsen i artikel 9.4 a. Enligt straffrättslig lagstiftning i LU och SI täcker inte bestämmelsen för ett brott begånget av en kriminell organisation it-brott. BE:s lagstiftning föreskriver ett maximistraff på endast tre års fängelse för brott som avses i artikel 5, DE:s lagstiftning täcker inte fysiska personer som offer för brotten, FI:s lagstiftning kräver en ytterligare bedömning av brottet som helhet och SE:s lagstiftning föreskriver ett maximistraff på fyra års fängelse för orsakande av betydande skada. ee) Förorsakande av allvarlig skada Artikel 9.4 b fastställer lägsta nivån till ett maximistraff på minst fem års fängelse för alla brott som avses i artiklarna 4 och 5 om allvarlig skada orsakas. Trots att det inte finns någon definition av vad som avses med allvarlig skada har alla medlemsstater, utom BG, DE, FI, HU, LU och SE, infört lagstiftning som överensstämmer med direktivet. Utifrån de uppgifter som har lämnats av HU kunde inga slutsatser dras. BG uppnår inte maximistraff på minst fem års fängelse, medan LU hänvisar till en generell påföljdsklausul, för orsakande av allvarlig skada, som inte täcker några it-brott. Det förekommer mindre diskrepanser i DE (fysiska personer som brottsoffer täcks inte), FI (högre straff kräver ytterligare bedömning av brottet som helhet ) och SE (högst fyra års fängelse för orsakande av betydande skada ). ff) Informationssystem som utgör kritisk infrastruktur Involverande av informationssystem som utgör kritisk infrastruktur i brott som avses i artiklarna 4 och 5 leder också till minst fem års fängelse, som anges i artikel 9.4 c. Även om de flesta medlemsstaterna följer denna bestämmelse uppger BG inte någon särskild införlivandeinformation. BE uppger högst tre års fängelse för brott som avses i artikel 5. DE täcker inte fysiska personer som offer. FI kräver en ytterligare bedömning av brottet som helhet, IT kräver faktiskt orsakande av förstörelse, PT kräver ett angrepp av allvarlig och långvarig art och hänvisar inte till artikel 5, och SE följer kraven i direktivet endast för brottet grovt sabotage. gg) Identitetsstöld och andra identitetsrelaterade brott Enligt artikel 9.5 ska medlemsstaterna se till att för alla brott som avses i artiklarna 4 och 5, som begås genom missbruk av personuppgifter som rör en annan person än gärningsmannen i 9
syfte att vinna tredje mans förtroende och därigenom medför skada för den som identiteten tillhör, ska detta anses som försvårande omständigheter om inte dessa omständigheter redan täcks av ett annat brott. Den stora friheten har lett till bred räckvidd av införlivandeåtgärder bland medlemsstaterna. BE och EL har inte anmält något införlivande, och det finns ingen särskild bestämmelse i CZ:s straffrättsliga lagstiftning. Infallsvinkeln försvårande omständigheter har valts av AT, CY, ES, IE, MT, PT och SE (den senare hänvisar till omständigheterna med särskild planering ), medan alla andra medlemsstater hänvisar till extra bestämmelser för den specifika brottsliga gärningen. Bland dem som hänvisar till särskilda bestämmelser kan problem med införlivande konstateras som följer: BG och NL kräver ett särskilt uppsåt ( för att tillskansa sig en fördel och i syfte att dölja eller missbruka identiteten ), DE hänvisar endast till personuppgifter som generellt ej är tillgängliga, FR hänvisar endast till namnet på en person och inga andra personuppgifter, LV kräver att omfattande skada ska orsakas, RO täcker endast användningen av ett dokument och kräver bedrägligt förfarande. d) Juridiska personers ansvar aa) Generellt Artikel 10.1 kräver att juridiska personer ställs till ansvar för brott som avses i artiklarna 3 8 om förövaren har a) behörighet att företräda den juridiska personen, b) befogenhet att fatta beslut på den juridiska personens vägnar eller c) har befogenhet att utöva kontroll inom den juridiska personen. Alla medlemsstater har infört lagstiftning i överensstämmelse med denna artikel med endast följande mindre problem: BG täcker inte brottet som avses i artikel 6, och HR hänvisar inte till en förövare som har behörighet att utöva kontroll inom den juridiska personen (artikel 10.1 c). bb) För brister i övervakning eller kontroll Enligt artikel 10.2 ska medlemsstaterna införa ansvar för juridiska personer när brott som avses i artikel 3 8 har blivit möjligt på grund av bristande övervakning eller kontroll av en person som avses i artikel 10.1. Även om nästan alla medlemsstater följer denna bestämmelse lämnade LU uppgifter utifrån vilka inga slutsatser kunde dras, och BG saknar en hänvisning till kommissionen vid ett brott som avses i artikel 6. e) Påföljder för juridiska personer aa) Obligatoriska påföljder Enligt artikel 11.1 i direktivet ska medlemsstaterna fastställa bötesstraff eller administrativa avgifter som utgör effektiva, proportionella och avskräckande påföljder för juridiska personer. Alla medlemsstaterna har anmält nationella åtgärder som följer detta krav, med undantag av IE och UK. I dessa två länder förblir det maximala beloppet för möjliga böter obestämt på grund av brist på konkreta rättsliga bestämmelser. Sålunda kan varken effektiviteten eller proportionaliteten eller den avskräckande effekten av de respektive böterna bedömas. bb) Alternativa påföljder I artikel 11.1 presenteras en lista över möjliga alternativ för ytterligare påföljder för juridiska personer. Dessa är följande: fråntagande av rätt till offentliga förmåner eller stöd (valt av CY, CZ, EL, ES, HR, HU, LU, MT, PL, PT och SK), tillfälligt eller permanent näringsförbud (AT, BE, CY, CZ, EL, ES FR, HR, HU, IT, LT, LV, MT, PL, PT, RO, SE, SI och SK), rättslig övervakning (CY, ES, FR, MT, PT och RO), rättsligt beslut om upplösning av verksamheten, (CY, CZ, EL, ES, FR, HR, HU, LT, LU, LV, MT, PT, RO, SI och SK) och tillfällig eller permanent stängning av inrättningar som har använts för att begå brottet (BE, CY, WS, FR, LT, MT, PT och RO). Det innebär att BG, DE, EE, IE, FI, NL och UK inte har valt något av alternativen. 10
cc) Påföljder för brister Enligt artikel 11.2 ska medlemsstaterna se till att effektiva, proportionella och avskräckande påföljder ska tillämpas för juridiska personer som ställs till ansvar för brister enligt artikel 10.2. Utifrån de uppgifter som har lämnats av LU kunde inga slutsatser dras. Alla medlemsstater utom IE och UK har fastställt överensstämmande rättsliga bestämmelser. För IE och UK uppstår samma problem som för artikel 11.1: (se punkt aa ovan). f) Behörighet aa) Föreskrivna villkor för behörighet Enligt artikel 12.2 och 12.3 ska medlemsstaterna fastställa sin behörighet för brott som avses i artiklarna 3 8 när brottet har begåtts helt eller delvis på deras territorium oavsett om gärningsmannen var fysiskt närvarande där när brottet begicks eller om det påverkade informationssystemet befann sig på medlemsstatens territorium eller när brottet begicks utomlands av en av medlemsstatens medborgare. De flesta medlemsstaterna har infört överensstämmande nationell lagstiftning, IT:s lagstiftning fastställer inte behörighet för medborgare utomlands för de grundläggande brotten, LV:s och SI:s lagstiftning hänvisar till otydliga bestämmelser angående territoriella aspekter, MT:s behörighet för partiell behörighet på eget territorium är otydlig och UK hänvisar till ett datorsystem i stället för ett informationssystem. bb) Andra villkor för behörighet Enligt artikel 12.3 ska medlemsstaterna fastställa behörighet i fall där gärningsmannen har sin hemvist i det respektive territoriet (valt av AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE och SK) eller, om brottet begåtts till förmån för en juridisk person som är etablerad inom respektive territorium (CY, CZ, LV, PT, RO och SK), ska kommissionen underrättas om detta. 2.4 Operativa frågor (artiklarna 13 14 i direktivet) a) Bestämmelse om operativa nationella kontaktpunkter Enligt artikel 13.1 ska medlemsstaterna etablera operativa nationella kontaktpunkter för utbyte av uppgifter om de brott som avses i artiklarna 3 8. Enligt bestämmelsen ska medlemsstaterna se till att ha förfaranden som gör att den behöriga myndigheten kan svara inom åtta timmar efter att ha fått brådskande begäran om bistånd. Enligt anmäld information har de flesta medlemsstater skapat den föreskrivna infrastrukturen. IE och RO nämnde att deras respektive kontaktpunkter endast är tillgängliga under begränsad tid varje dag, vilket inte skulle göra det möjligt för myndigheterna att alltid reagera inom åtta timmar efter begäran om bistånd. Flera medlemsstater meddelade att de använder befintliga nätverk av operativa kontaktpunkter som etablerats inom G7-nätverket eller under Europarådets Budapestkonvention om it-brottslighet. b) Information om de etablerade operativa nationella kontaktpunkterna Enligt artikel 13.2 ska medlemsstaterna ange kontaktuppgifter för sina kontaktpunkter till kommissionen, som kommer att vidarebefordra uppgifterna till de andra medlemsstaterna. Alla medlemsstater har inte lämnat den nödvändiga informationen. c) Rapporteringskanaler Enligt artikel 13.3 ska medlemsstaterna se till att lämpliga rapporteringskanaler är tillgängliga för att underlätta att de brott som avses i artiklarna 3 6 rapporteras till behöriga nationella myndigheter. Utifrån de uppgifter som har lämnats av HR, IT, IE och PT kunde inga slutsatser dras. Bland de övriga medlemsstaterna förefaller det finnas olika sätt att genomföra rapporteringskanalerna. De flesta medlemsstaterna (BE, BG, CY, CZ, DE, EE, EL, FI, FR, 11
HR, HU, IT, LT, LV, MT, NL, PL, PT, RO, SE, SI, SK och UK) har anmält åtgärder för att fastställa hur rapporteringen underlättas för den person eller organisation som inledningsvis anmäler ett brott, t.ex. offret för ett it-angrepp (med de faktiska rapporteringskanalerna ej klargjorda av LV). Andra medlemsstater (AT, ES och LU) har emellertid lämnat likartad information om att genomföra artikel 13.1 och 13.2, ur vilken det framgår att deras åtgärder huvudsakligen kommer att underlätta kommunikationen mellan myndigheter. d) Insamling av statistiska uppgifter Enligt artikel 14.1 och 14.2 ska medlemsstaterna se till att det finns ett system för registrering, insamling och tillhandahållande av statistiska uppgifter, åtminstone om antalet sådana brott som avses i artiklarna 3 7 som registrerats av medlemsstaterna och antalet personer som åtalats och dömts för sådana brott. Enligt de erhållna anmälningarna verkar det i flertalet medlemsstater finnas både rättsliga och administrativa åtgärder för att säkerställa insamling av uppgifterna, vanligen på basis av ett allmänt nationellt elektroniskt system. Utifrån de uppgifter som har lämnats av ett antal medlemsstater kunde inga slutsatser dras (EL, IE, UK (Gibraltar, Nordirland och Skottland)). En anledning kan vara att uppgifter om de särskilda brotten som avses i direktivet inte samlas in separat (BE, DE och SE) eller att de insamlade uppgifterna inte täcker alla de brott som avses i direktivet (RO). e) Överföring av statistiska uppgifter till kommissionen Enligt artikel 14.3 ska medlemsstaterna översända sina respektive statistiska uppgifter till kommissionen. Alla medlemsstater som rapporterade åtgärder, utom UK (Gibraltar, Nordirland och Skottland) och HU har bekräftat genomförande av antingen rättsliga eller administrativa åtgärder eller båda för att säkerställa efterföljande av denna skyldighet. För EL, ES, LU och SI kunde inga slutsatser dras utifrån de uppgifter som har lämnats. 3. Slutsats och nästa steg Direktivet har lett till väsentliga framsteg i att kriminalisera it-angrepp på en jämförbar nivå i medlemsstaterna, vilket underlättar det gränsöverskridande samarbetet för brottsbekämpande myndigheter i att utreda sådana brott. Medlemsstaterna har ändrat strafflagar och annan relevant lagstiftning, anpassat förfaranden och etablerat eller förbättrat samarbetssystem. Kommissionen är medveten om medlemsstaternas stora ansträngningar för att införliva direktivet. Det finns dock ytterligare avsevärt utrymme för att utnyttja direktivets potential till fullo om alla dess bestämmelser genomförs fullt ut av medlemsstaterna. Analysen hittills visar att några av de viktigaste förbättringarna medlemsstaterna kan uppnå omfattar användningen av definitionerna (artikel 2), som påverkar räckvidden av de brott som definieras av nationell rätt på basis av direktivet. Dessutom verkar medlemsstaterna ha upplevt det som en utmaning att få med alla möjligheterna att beskriva gärningar i förhållande till brott (artiklarna 3 7) och omfatta gemensamma normer för påföljder för it-angrepp (artikel 9). Andra problem verkar ha samband med genomförandet av administrativa bestämmelser om lämpliga rapporteringskanaler (artikel 13.3) och övervakningen av och statistiken över brotten som avses i direktivet (artikel 14). Kommissionen kommer att fortsätta att stödja medlemsstaterna i deras genomförande av direktivet. Med tanke på det potentiella bidraget till gränsöverskridande samarbete hänvisar detta särskilt till de operativa bestämmelserna i direktivet om informationsutbyte (artikel 13.1 och 13.2), rapporteringskanaler (artikel 13.3) och övervakning och statistik (artikel 14). För 12
detta kommer kommissionen att tillhandahålla ytterligare möjligheter för medlemsstaterna att identifiera och utbyta bästa praxis under andra halvåret 2017. Kommissionen ser för närvarande inget behov av att föreslå ändringar av direktivet. För att stödja brottsutredningar om angrepp mot informationssystem, brottslighet som möjliggörs av informationsteknik och annan brottslig verksamhet överväger kommissionen i detta sammanhang åtgärder för att förbättra gränsöverskridande åtkomst till elektroniskt bevismaterial för brottsutredningar, och att föreslå rättsliga åtgärder senast i början av 2018. 8 Kommissionen undersöker också betydelsen av kryptering vid brottsutredningar och kommer att rapportera vad som framkommit senast i oktober 2017. 9 Kommission är angelägen om att säkerställa att införlivandet genomförs i hela EU och att bestämmelserna genomförs korrekt. I detta arbete ingår att övervaka att de nationella åtgärderna är förenliga med de relevanta bestämmelserna i direktivet. Vid behov kommer kommissionen att utnyttja sina fördragsenliga befogenheter att inleda överträdelseförfaranden. 8 Inception Impact Assessment on Improving cross-border access to electronic evidence av den 4 augusti 2017, available at ec.europa.eu (ej översatt till svenska) 9 Communication on the Eighth progress report towards an effective and genuine Security Union, (COM(2017) 354 final) (ej översatt till svenska). 13