Artikelen bij COM(2002)173 - Aanvallen op informatiesystemen - Hoofdinhoud

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

dossier	COM(2002)173 - Aanvallen op informatiesystemen.
document	COM(2002)173
datum	24 februari 2005

TOELICHTING PER ARTIKEL

Inhoudsopgave

Artikel 1 - - Werkingssfeer en doelstelling van het kaderbesluit
Artikel 2 - - Definities
Artikel 3 - - Aanvallen in de vorm van onrechtmatige toegang tot informatiesystemen
Artikel 4 - - Onrechtmatige verstoring van informatiesystemen
Artikel 5 - - Instigatie, hulp, aanstoking en poging
Artikel 6 - - Straffen
Artikel 7 - - Verzwarende omstandigheden
Artikel 8 - - Bijzondere omstandigheden
Artikel 9 - - Aansprakelijkheid van rechtspersonen
Artikel 10 - - Straffen tegen rechtspersonen
Artikel 11 - - Rechtsmacht
Artikel 12 - - Uitwisseling van informatie
Artikel 13 - - Tenuitvoerlegging
Artikel 14 - - Inwerkingtreding

Artikel 1 - - Werkingssfeer en doelstelling van het kaderbesluit

Dit artikel bepaalt uitdrukkelijk dat dit kaderbesluit ten doel heeft het strafrecht van de lidstaten op het gebied van ernstige aanvallen op informatiesystemen te harmoniseren, met name om bij te dragen aan de bestrijding van georganiseerde criminaliteit en terrorisme, en daarmee te zorgen voor een optimale politiële en justitiële samenwerking op het gebied van strafbare feiten die verband houden met aanvallen op informatiesystemen. Overeenkomstig artikel 47 van het Verdrag betreffende de Europese Unie doet dit kaderbesluit geen afbreuk aan het Gemeenschapsrecht. Daarbij wordt in het bijzonder gedoeld op de rechten en plichten op het gebied van gegevensbescherming en de bescherming van de persoonlijke levenssfeer, die zijn vastgelegd in de richtlijnen 95/46 en 97/66. Het kaderbesluit is niet bedoeld om de lidstaten te verplichten inbreuken op regels inzake de toegang tot en de bekendmaking van persoonsgegevens, de vertrouwelijke aard van berichten, de beveiliging bij de verwerking van persoonsgegevens, elektronische handtekeningen of schendingen van de intellectuele eigendom strafbaar te stellen, en het laat Richtlijn 98/84/EG betreffende de rechtsbescherming van diensten gebaseerd op of bestaande uit voorwaardelijke toegang , onverlet.

Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen; PB L 13 van 19.1.2000.

PB L 320 van 28.11.1998, blz. 54-57.

Dit kaderbesluit is niet bedoeld is om de lidstaten te verplichten onbeduidende gedragingen strafbaar te stellen. In de artikelen 3 en 4 worden de criteria omschreven waaraan moet zijn voldaan om een handeling strafbaar te stellen. Deze criteria zijn coherent met de mogelijkheden voor afwijkingen en voorbehoud die in het ontwerp-verdrag van de Raad van Europa inzake cybercriminaliteit worden geboden.

Alle strafbare feiten waarop het kaderbesluit betrekking heeft, moeten opzettelijk zijn gepleegd. In de artikelen 3, 4 en 5 wordt uitdrukkelijk de term 'opzettelijk' gebruikt. Deze term moet worden uitgelegd overeenkomstig de normale strafrechtbeginselen die in de lidstaten met betrekking tot opzet worden gehanteerd. Dit kaderbesluit vereist dus niet de strafbaarstelling van gedragingen waarbij sprake is van grove nalatigheid of andere vormen van onvoorzichtigheid, maar niet van opzet als zodanig. Het oogmerk om onrechtmatig toegang te krijgen tot informatiesystemen in het algemeen of deze te verstoren moet voldoende zijn, zonder dat bewezen moet worden dat deze opzet gericht was tegen een bepaald informatiesysteem in het bijzonder.

Artikel 2 - - Definities

In het voorgestelde kaderbesluit van de Raad gelden de volgende definities:

(a) 'Elektronisch communicatienetwerk': Deze definitie is dezelfde als die welke door de Raad en het Europees Parlement op 14 februari 2002 werd goedgekeurd in de richtlijn inzake een gemeenschappelijk regelgevingskader voor elektronische communicatienetwerken en -diensten .

Zie voor de definitieve tekst

(b) 'Computer': Deze definitie is gebaseerd op artikel 1 van het ontwerp-verdrag van de Raad van Europa inzake cybercriminaliteit. Onder deze definitie vallen bijvoorbeeld ook 'stand-alone'-pc's, persoonlijke digitale organizers, digitale decoders, persoonlijke videorecorders en mobiele telefoons (vooropgesteld dat deze over bepaalde gegevensverwerkingsfuncties beschikken, zoals WAP en derde generatie), die niet onder de gewone definitie van elektronische communicatienetwerken zouden vallen.

(c) 'Computergegevens': Deze definitie is gebaseerd op de ISO -definitie van gegevens. Stoffelijke zaken zoals boeken worden daar niet onder begrepen. Een boek dat in de vorm van computergegevens is opgeslagen (dat bijvoorbeeld in elektronische vorm is opgeslagen als een tekstverwerkingsfile) of dat door middel van een scan is omgezet in computergegevens, valt er echter wel onder. Daarom bepaalt de definitie dat computergegevens moeten zijn 'gemaakt of omgezet in een vorm' die geschikt is voor verwerking in een informatiesysteem of om een informatiesysteem een bepaalde functie te laten uitvoeren.

De Internationale organisatie voor normalisatie (ISO) is een wereldwijde federatie van nationale normalisatie-instanties uit zo'n 100 landen.

(d) 'Informatiesysteem': De definitie van informatiesystemen grijpt terug op de definitie in de richtsnoeren van de OESO voor de beveiliging van informatiesystemen van 1992 en op de vorige definities, in die zin dat in de definitie wordt verwezen naar elektronische communicatienetwerken, computers en computergegevens. Deze term is ook in eerdere communautaire rechtsinstrumenten gebruikt, zoals het Besluit van de Raad betreffende de beveiliging van informatiesystemen van 31 maart 1992 en de Aanbeveling van de Raad van 7 april 1995 inzake gemeenschappelijke veiligheidsbeoordelingscriteria voor informatietechnologie. De definitie beoogt technologisch neutraal te zijn en een correcte weergave te geven van de idee van onderling gekoppelde netwerken en systemen die gegevens bevatten. De definitie heeft zowel betrekking op hardware als op software, maar niet op de inhoud van de gegevens zelf. Ook stand-alonesystemen vallen onder de definitie. De Commissie is van mening dat het wenselijk is ook stand-alonecomputers onder de strafrechtelijke bescherming te laten vallen, in plaats van deze te beperken tot onderling gekoppelde systemen.

e) 'Rechtspersoon': Dit is een standaarddefinitie die ook in andere kaderbesluiten van de Raad wordt gebruikt.

f) 'Bevoegde persoon': Hieronder wordt iedereen verstaan die contractueel of wettelijk het recht heeft, of de rechtmatige toestemming, om een informatiesysteem te gebruiken, te beheren, te controleren, te testen, er rechtmatig wetenschappelijk onderzoek mee te doen of op een andere manier te exploiteren, en die in overeenstemming met dat recht of die rechtmatige toestemming handelt. Daaronder vallen ook personen die handelen overeenkomstig de rechtmatige instemming van iemand aan wie deze bevoegdheid expliciet is verleend. Het is bijzonder belangrijk dat de volgende categorieën personen en legale activiteiten (binnen de grenzen van de rechten, machtigingen en verantwoordelijkheden van de betrokken persoon en in overeenstemming met de Gemeenschapswetgeving inzake gegevensbescherming en de vertrouwelijke aard van berichten) niet als strafbaar worden beschouwd wanneer dit kaderbesluit wordt omgezet in nationale wetgeving:

- handelingen van gewone, zowel particuliere als zakelijke gebruikers, met inbegrip van het gebruik van encryptie om hun eigen berichten en gegevens te beveiligen;

- reverse engineering, binnen de grenzen die worden gesteld in Richtlijn 91/250 van 14 mei 1991 betreffende de rechtsbescherming van computerprogramma's ;

PB L 122, 17.5.1991, blz. 42-46.

- handelingen van beheerders, controleurs en exploitanten van netwerken en systemen;

- handelingen van bevoegde personen die een systeem testen, ongeacht of dat binnen de onderneming gebeurt of dat daartoe een externe persoon wordt aangewezen die wordt gemachtigd de beveiliging van een systeem te testen;

- rechtmatig wetenschappelijk onderzoek.

g) 'Onrechtmatig': Dit is een ruim begrip, dat de lidstaten een zekere speelruimte biedt bij het afbakenen van het strafbare feit. Om te helpen bij de tenuitvoerlegging van het kaderbesluit in de nationale wetgeving, acht de Commissie het niettemin noodzakelijk aan te geven dat bepaalde activiteiten niet tot het strafbare feit moeten worden gerekend. Het is niet mogelijk, en waarschijnlijk ook niet wenselijk, een volledige, uitsluitende lijst van uitzonderingen op het niveau van de Europese Unie op te stellen. Maar de formulering 'onrechtmatig' grijpt terug op de vorige definities, zodat gedragingen van bevoegde personen buiten de definitie vallen. Ook elke andere gedraging die volgens het nationale recht als rechtmatig wordt beschouwd valt erbuiten, met inbegrip van de standaard wettige verweermiddelen en andere machtigingen die bij nationaal recht zijn erkend.

Artikel 3 - - Aanvallen in de vorm van onrechtmatige toegang tot informatiesystemen

Dit feit omvat de onrechtmatige toegang tot informatiesystemen. Daaronder valt ook het begrip 'hacking'. Het staat de lidstaten vrij om bij de omzetting van het kaderbesluit in nationale wetgeving, onbeduidende gevallen buiten de werkingssfeer van het strafbare feit te laten vallen.

Het feit moet in de wetgeving van de lidstaten slechts strafbaar worden gesteld voor zover het is gepleegd:

(i) tegen een deel van een informatiesysteem waarvoor specifieke beveiligingsmaatregelen gelden; of

(ii) met het oogmerk om een natuurlijke of een rechtspersoon schade te berokkenen; of

(iii) met het oogmerk economisch voordeel tot gevolg te hebben.

De Commissie wenst op geen enkele manier afbreuk te doen aan het belang van het gebruik van doeltreffende technische maatregelen om informatiesystemen te beveiligen. Maar het is helaas een feit dat veel gebruikers zichzelf blootstellen aan aanvallen omdat zij onvoldoende (of helemaal geen) technische beveiligingsmaatregelen treffen. Om aanvallen die gericht zijn tegen deze gebruikers te ontmoedigen, moet de ongeoorloofde toegang tot hun systemen onder het strafrecht vallen, ook als deze systemen onvoldoende technisch beveiligd zijn. Daarom is er, mits het de bedoeling is schade te berokkenen of economisch voordeel te behalen, ook sprake van een strafbaar feit zonder dat er beveiligingsvoorzieningen zijn uitgeschakeld.

Artikel 4 - - Onrechtmatige verstoring van informatiesystemen

Tot de strafbare feiten moeten de volgende opzettelijke, onrechtmatig handelingen worden gerekend:

(a) het onrechtmatig ernstig hinderen of onderbreken van de werking van een informatiesysteem door de invoer, de transmissie, het beschadigen, wissen, verminken, wijzigen of onderdrukken van computergegevens. De componenten van de invoer of de transmissie van computergegevens hebben specifiek betrekking op het probleem van de zogenoemde 'denial of service'-aanvallen, waarbij opzettelijk wordt gepoogd een informatiesysteem te overbelasten. Ook het 'onderbreken' van de werking van een informatiesysteem moet tot de strafbare feiten worden gerekend, en hoewel dit uit het begrip 'hinderen' kan worden afgeleid, wordt het hier duidelijkheidshalve expliciet vermeld. De andere componenten van het strafbare feit (het beschadigen, wissen, verminken, wijzigen of onderdrukken van computergegevens) betreffen specifiek het probleem van de virus- en andere soorten aanvallen, die ten doel hebben de functies van het informatiesysteem zelf te hinderen of te onderbreken.

(b) het wissen, verminken, wijzigen, onderdrukken of ontoegankelijk maken van computergegevens in een informatiesysteem met het oogmerk een natuurlijke of een rechtspersoon schade te berokkenen. Hieronder vallen zowel virusaanvallen op de inhoud van (of de computergegevens in) het informatiesysteem als de beschadiging van websites.

In punt (a) wordt het begrip 'ernstig hinderen of onderbreken' gebruikt als een bestanddeel van het strafbare feit om de effecten van een dergelijke aanval te beschrijven. Er is geen definitie gegeven van het begrip 'ernstig hinderen', omdat dit in verschillende vormen kan plaatshebben en de omvang ervan kan verschillen naar gelang van het soort aanval en de technische capaciteiten van het aangevallen informatiesysteem. Elke lidstaat moet zelf bepalen aan welke criteria moet zijn voldaan opdat er sprake zou zijn van het 'ernstig hinderen' van een informatiesysteem. Geringe hinder of storingen van de werking moeten echter niet als ernstig worden beschouwd.

Zoals hiervoor reeds is vermeld, staat het de lidstaten vrij onbeduidende gevallen bij de omzetting van het kaderbesluit in nationaal recht niet tot de strafbare feiten te rekenen.

Artikel 5 - - Instigatie, hulp, aanstoking en poging

Door artikel 5, lid 1, wordt de lidstaten de verplichting opgelegd ervoor te zorgen dat de opzettelijke instigatie of aanstoking tot en hulp bij de strafbare feiten ten aanzien van informatiesystemen in de zin van de artikelen 3 en 4 strafbaar worden gesteld.

Artikel 5, lid 2, heeft specifiek betrekking op pogingen. Door dit artikel wordt de lidstaten de verplichting opgelegd ervoor te zorgen dat elke poging tot het plegen van een van de strafbare feiten ten aanzien van informatiesystemen in de zin van de artikelen 3 en 4 strafbaar wordt gesteld.

Artikel 6 - - Straffen

In lid 1 is bepaald dat de lidstaten de nodige maatregelen moeten nemen om ervoor te zorgen dat de strafbare feiten in de zin van de artikelen 3, 4 en 5 met doeltreffende, evenredige en afschrikkende straffen worden bestraft .

4 Deze zinsnede is ontleend aan het arrest van het Hof van Justitie van 21 september 1989 in Zaak 68/88, Jurispr. 1989, blz. 2965.

Door het eerste lid van dit artikel wordt de lidstaten de verplichting opgelegd straffen vast te stellen die evenredig zijn aan de zwaarte van het strafbare feit, waaronder ook maximumgevangenisstraffen die in ernstige gevallen niet minder dan één jaar moeten bedragen. Het begrip 'ernstige gevallen' moet aldus worden opgevat dat gedragingen die geen schade of economisch voordeel ten gevolge hebben gehad, daar niet onder vallen. Door de maximumgevangenisstraf die in ernstige gevallen ten minste één jaar moet bedragen, vallen deze strafbare feiten onder het toepassingsgebied van het Europees arrestatiebevel alsmede van andere instrumenten zoals het Kaderbesluit van de Raad van 26 juni 2001 inzake het witwassen van geld, de identificatie, opsporing, bevriezing, inbeslagneming en confiscatie van hulpmiddelen en van opbrengsten van misdrijven .

PB L 182 van 5.7.2001, blz. 1.

In overeenstemming met de aard van kaderbesluiten, die verbindend zijn voor de lidstaten ten aanzien van het te bereiken resultaat, maar deze de keuze laat wat de vorm en de middelen betreft, beschikken de lidstaten, binnen de door het kaderbesluit opgelegde grenzen en in het bijzonder wat de verzwarende omstandigheden van artikel 7 betreft, over een zekere speelruimte om hun wetgeving aan deze bepalingen aan te passen en de zwaarte van de toe te passen sancties te bepalen. De Commissie wijst erop dat het aan de lidstaten staat op grond van hun eigen rechtsstelsel te beslissen welke criteria bij het bepalen van de zwaarte van een strafbaar feit zullen worden gehanteerd.

Een sanctie hoeft niet altijd een gevangenisstraf te zijn. Door lid 2 krijgen de lidstaten de mogelijkheid overeenkomstig hun traditie en rechtsstelsel naast vrijheidsstraffen bijkomende of alternatieve straffen in de vorm van boetes op te leggen.

Artikel 7 - - Verzwarende omstandigheden

In dit artikel is bepaald dat de lidstaten de in artikel 6 gedefinieerde sancties in bepaalde omstandigheden verzwaren. De Commissie wijst erop dat de lijst van verzwarende omstandigheden in dit artikel alle andere omstandigheden die volgens de wetgeving van de lidstaten verzwarend worden geacht, onverlet laat. In deze lijst zijn de in de nationale bepalingen van de lidstaten omschreven en in vroegere voorstellen voor kaderbesluiten van de Commissie vastgelegde verzwarende omstandigheden in aanmerking genomen.

Indien aan een van de volgende in lid 1 vermelde voorwaarden is voldaan, moet de maximumgevangenisstraf ten minste vier jaar bedragen:

(a) indien het strafbare feit is gepleegd in het kader van een criminele organisatie in de zin van Gemeenschappelijk optreden 98/733/JBZ, afgezien van het daarin aangegeven strafniveau;

(b) indien het strafbare feit natuurlijke personen rechtstreeks of onrechtstreeks aanzienlijke economische schade of lichamelijk letsel heeft toegebracht of aanzienlijke schade aan een deel van de kritische infrastructuur van de lidstaat heeft veroorzaakt;

(c) indien het strafbare feit aanzienlijke opbrengsten ten gevolge heeft gehad.

De lidstaten moeten er ook voor zorgen dat de strafbare feiten als bedoeld in de artikelen 3, 4 en 5 kunnen worden bestraft met zwaardere vrijheidsstraffen dan die waarin artikel 6 voorziet, wanneer tegen de dader in een lidstaat van de Unie een eindvonnis voor een dergelijk feit is uitgesproken.

Artikel 8 - - Bijzondere omstandigheden

Dit artikel heeft betrekking op omstandigheden op grond waarvan een lidstaat de straffen in de zin van de artikelen 6 en 7 kan verlichten wanneer de dader volgens de bevoegde justitiële autoriteit slechts onbeduidende schade heeft veroorzaakt.

Artikel 9 - - Aansprakelijkheid van rechtspersonen

Evenals in andere rechtsinstrumenten op EU-niveau ter bestrijding van de verschillende soorten criminaliteit, moeten regels worden opgesteld voor situaties waarin rechtspersonen bij aanvallen op informatiesystemen zijn betrokken. Om die redenen bevat artikel 9 bepalingen op grond waarvan rechtspersonen aansprakelijk kunnen worden gesteld voor strafbare feiten in de zin van de artikelen 3, 4 en 5, te hunnen voordele gepleegd door personen die bepaalde leidende functies bekleden en die hetzij als individu of als lid van een orgaan van de rechtspersoon handelen. Het begrip aansprakelijkheid dient zodanig te worden opgevat dat daaronder zowel de strafrechtelijke als de wettelijke aansprakelijkheid vallen.

Daarnaast is in lid 2, overeenkomstig algemeen gebruik, bepaald dat een rechtspersoon eveneens aansprakelijk kan worden gesteld wanneer, bij gebreke van toezicht of controle door een persoon die in de positie is om de controle uit te oefenen, ten voordele van de rechtspersoon strafbare feiten konden worden gepleegd. Lid 3 houdt in dat rechtsprocedures tegen een rechtspersoon gelijktijdige rechtsprocedures tegen een natuurlijke persoon niet uitsluiten.

Artikel 10 - - Straffen tegen rechtspersonen

In artikel 10 is bepaald dat straffen moeten worden vastgesteld tegen rechtspersonen die aansprakelijk zijn voor strafbare feiten in de zin van de artikelen 3, 4 en 5. Deze straffen moeten doeltreffend, evenredig en afschrikkend zijn en ten minste al dan niet strafrechtelijke geldboetes omvatten. Andere mogelijke straffen tegen rechtspersonen worden eveneens aangegeven.

Artikel 11 - - Rechtsmacht

Het internationale karakter van strafbare feiten waarvan sprake is bij aanvallen op informatiesystemen impliceert dat voor een doeltreffende wetgevende reactie op het niveau van de Europese Unie duidelijke en verreikende procedurele regels inzake rechtspraak en uitlevering vereist zijn om te garanderen dat plegers van strafbare feiten niet aan vervolging kunnen ontkomen.

In lid 1 is een reeks criteria geformuleerd voor de toekenning van rechtsmacht aan nationale justitiële autoriteiten om de gevallen te vervolgen en te onderzoeken die strafbare feiten vormen in de zin van dit kaderbesluit. Een lidstaat dient zijn rechtsmacht te vestigen in drie situaties:

(a) wanneer het strafbare feit geheel of gedeeltelijk op zijn grondgebied is gepleegd, ongeacht de status van de betrokken rechtspersoon of de nationaliteit van de betrokken natuurlijke persoon (territorialiteitsbeginsel);

(b) wanneer de dader een onderdaan is van die lidstaat (actief personaliteitsbeginsel) en de handeling is gericht tegen individuen of groepen uit die staat. Lidstaten die geen onderdanen uitleveren, moeten de eigen onderdanen die in het buitenland strafbare feiten hebben gepleegd, zelf vervolgen;

(c) wanneer het strafbare feit is gepleegd ten voordele van een rechtspersoon die op het grondgebied van die lidstaat is gevestigd.

Lid 2 is bedoeld om ervoor te zorgen dat, wanneer een lidstaat zijn rechtsmacht vestigt met betrekking tot de strafbare feiten die zijn gebaseerd op het in lid 1, onder a), bedoelde territorialiteitsbeginsel, hij erop toeziet dat zijn rechtsmacht gevallen omvat waarin:

(a) de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van die lidstaat bevindt, ongeacht of het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied. Een voorbeeld daarvan is een persoon die zich vanaf het grondgebied van de betrokken lidstaat onrechtmatig toegang verschaft (hacking) tot een informatiesysteem in een derde land; of

(b) het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied, ongeacht of de dader zich bij het plegen van het feit fysiek op het grondgebied van die lidstaat bevindt. Een voorbeeld daarvan is iemand die zich vanaf het grondgebied van een derde land onrechtmatig toegang verschaft (hacking) tot een informatiesysteem op het grondgebied van de betrokken lidstaat.

Omdat niet alle lidstaten in hun rechtstraditie extraterritoriale rechtsbevoegdheid voor alle soorten strafbare feiten kennen, biedt lid 3 hun de mogelijkheid om de in lid 1, onder (b) en (c), geformuleerde regels inzake de rechtsmacht niet toe te passen.

In lid 4 is bepaald dat elke lidstaat de nodige maatregelen neemt om zijn rechtsmacht voor de strafbare feiten in de zin van de artikelen 3, 4 en 5 ook te vestigen in gevallen waarin hij weigert een persoon die van een dergelijk strafbaar feit wordt verdacht of daaraan schuldig is bevonden, aan een andere lidstaat of een derde land over te dragen of uit te leveren.

Lid 5 heeft betrekking op onder verschillende jurisdicties vallende gevallen en heeft ten doel te zorgen voor volledige samenwerking tussen de lidstaten teneinde procedures, zo mogelijk, in één enkele lidstaat te centraliseren. Daartoe wordt erop geattendeerd dat de lidstaten een beroep kunnen doen op elk in de Europese Unie ingesteld orgaan of mechanisme teneinde de samenwerking tussen hun rechterlijke instanties en de coördinatie van hun actie te vergemakkelijken. Het kan daarbij ook gaan om Eurojust en het Europees Justitieel Netwerk.

In lid 6 is bepaald dat de lidstaten het Secretariaat-generaal van de Raad en de Commissie op de hoogte brengen wanneer zij besluiten lid 3 toe te passen.

Artikel 12 - - Uitwisseling van informatie

Artikel 12 heeft ten doel de uitwisseling van informatie te vergemakkelijken door ervoor te zorgen dat operationele meldpunten worden ingesteld. Dit is van belang voor een doeltreffende politiële samenwerking. De Raad Justitie en Binnenlandse Zaken heeft met name op 19 maart 1998, en meer recent toen hij een aanbeveling van de Raad goedkeurde betreffende meldpunten die 24 uur per dag operationeel zijn voor de bestrijding van hightech-criminaliteit , erkend dat het noodzakelijk is dat alle lidstaten bij het netwerk van meldpunten van de G8 aansluiten.

PB C 187 van 3.7.2001, blz. 5.

Artikel 13 - - Tenuitvoerlegging

Artikel 13 betreft de tenuitvoerlegging en de follow-up van dit kaderbesluit. De lidstaten moeten de nodige maatregelen nemen om uiterlijk op 31 december 2003 aan dit kaderbesluit te voldoen.

De lidstaten delen het Secretariaat-generaal van de Raad en de Commissie uiterlijk op genoemde datum de tekst mede van de bepalingen waarmee zij hun verplichtingen uit hoofde van dit kaderbesluit in hun nationaal recht omzetten. Op grond van die informatie en een schriftelijk verslag van de Commissie zal de Raad binnen één jaar beoordelen in hoeverre de lidstaten hun verplichtingen uit hoofde van dit kaderbesluit zijn nagekomen.

Artikel 14 - - Inwerkingtreding

In artikel 14 is bepaald dat dit kaderbesluit in werking treedt op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Gemeenschappen.

2002/0086 (CNS)

Voorstel voor een KADERBESLUIT VAN DE RAAD over aanvallen op informatiesystemen

DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag betreffende de Europese Unie, en met name op artikel 29, artikel 30, lid 1, onder a), artikel 31 en artikel 34, lid 2, onder b),

Gezien het voorstel van de Commissie ,

PB C . ., blz.

Gezien het advies van het Europees Parlement ,

PB C . ., blz.

Overwegende hetgeen volgt:

(1) Er zijn gegevens die wijzen op aanvallen op informatiesystemen, in het bijzonder als gevolg van de dreiging van de georganiseerde criminaliteit, en de bezorgdheid over mogelijke terroristische aanvallen op informatiesystemen die deel uitmaken van de kritische infrastructuur van de lidstaten neemt toe. Dit vormt een bedreiging voor de totstandbrenging van een veiligere informatiemaatschappij en een ruimte van vrijheid, veiligheid en rechtvaardigheid, en derhalve is een reactie op het niveau van de Europese Unie noodzakelijk.

(2) Teneinde doeltreffend op deze bedreigingen te kunnen reageren, is een allesomvattende aanpak van de netwerk- en informatieveiligheid vereist, zoals is onderstreept in het Actieplan eEurope, in de mededeling van de Commissie 'Netwerk- en informatieveiligheid: voorstel voor een Europese beleidsaanpak' en in de Resolutie van de Raad van 6 december 2001 betreffende een gemeenschappelijke aanpak en specifieke acties inzake netwerk- en informatiebeveiliging.

COM (2001) 298.

(3) De noodzaak om meer bekendheid te geven aan de problemen in verband met informatieveiligheid en praktische bijstand te verlenen, is ook onderstreept in de resolutie van het Europees Parlement van 5 september 2001 .

[2001/2098(INI)].

(4) Een aantal grote lacunes en verschillen in de wetgeving van de lidstaten op dit gebied vormen een belemmering voor de bestrijding van georganiseerde criminaliteit en staan een doeltreffende politiële en justitiële samenwerking op het gebied van aanvallen op informatiesystemen in de weg. Het transnationale en grensoverschrijdende karakter van moderne elektronische communicatienetwerken houdt in dat aanvallen op informatiesystemen steeds vaker internationaal van aard zijn, waardoor wordt onderstreept dat er dringend behoefte bestaat aan verdere onderlinge afstemming van het strafrecht op dit gebied.

(5) In het actieplan van de Raad en de Commissie over hoe de bepalingen van het Verdrag van Amsterdam inzake de totstandbrenging van een ruimte van vrijheid, veiligheid en rechtvaardigheid het best kunnen worden uitgevoerd , in de conclusies van de Europese Raad van Tampere van 15 en 16 oktober 1999, in de conclusies van de Europese Raad van Santa Maria da Feira van 19 en 20 juni 2000, in het scorebord van de Commissie en in de resolutie van het Europees Parlement van 19 mei 2000 zijn wetgevende maatregelen ter bestrijding van hightech-criminaliteit, waaronder gemeenschappelijke definities, strafbaarstellingen en straffen, aangegeven of wordt op dergelijke maatregelen aangedrongen.

PB C 19 van 23.1.1999.

COM (2001) 278 def.

A5-0127/2000.

(6) De door internationale organisaties verrichte werkzaamheden, in het bijzonder die van de Raad van Europa met het oog op de onderlinge afstemming van het strafrecht en die van de G8 met het oog op transnationale samenwerking op het gebied van hightech-criminaliteit moeten worden aangevuld met een gemeenschappelijke aanpak in de Europese Unie op dit gebied. De oproep daartoe is nader uitgewerkt in de mededeling van de Commissie aan de Raad, het Europees Parlement, het Economisch en Sociaal Comité en het Comité van de Regio's 'De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden' .

COM (2000) 890.

(7) Er moet worden gezorgd voor een betere onderlinge afstemming van het strafrecht op het gebied van aanvallen op informatiesystemen teneinde een optimale politiële en justitiële samenwerking te garanderen op het gebied van strafbare feiten waarvan sprake is bij aanvallen op informatiesystemen en teneinde bij te dragen aan de bestrijding van de georganiseerde criminaliteit en terrorisme.

(8) Het kaderbesluit van de Raad inzake het Europees arrestatiebevel , de bijlage bij de Europol-Overeenkomst en het besluit van de Raad betreffende de oprichting van Eurojust bevatten verwijzingen naar computercriminaliteit, die nader moet worden omschreven. Met het oog op dergelijke instrumenten moet computercriminaliteit worden verstaan in die zin dat deze ook aanvallen op informatiesystemen omvat zoals deze zijn gedefinieerd in dit kaderbesluit, dat zal zorgen voor een veel verdergaande onderlinge afstemming van de bestanddelen van dergelijke strafbare feiten. Dit kaderbesluit vult ook het kaderbesluit inzake de bestrijding van terrorisme aan, dat betrekking heeft op terroristische handelingen waardoor grootschalige vernielingen aan een infrastructurele voorziening, inclusief een informatiesysteem, worden aangebracht, het leven van mensen in gevaar kan worden gebracht of grote economische schade kan worden veroorzaakt.

PB C . ., blz.

PB C , blz.

(9) Alle lidstaten hebben het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens geratificeerd. De persoonsgegevens die worden verwerkt in het kader van de tenuitvoerlegging van dit kaderbesluit, worden beschermd overeenkomstig de beginselen van genoemd Verdrag.

(10) Gemeenschappelijke definities op dit gebied, in het bijzonder van informatiesystemen en computergegevens, zijn van belang om in de lidstaten bij de toepassing van dit kaderbesluit een coherente aanpak te garanderen.

(11) Teneinde tot een gemeenschappelijke aanpak van de bestanddelen van strafbare feiten te komen, moet voor een gemeenschappelijke definitie van onrechtmatige toegang tot een informatiesysteem en van onrechtmatige verstoring van een informatiesysteem worden gezorgd.

(12) Er moet worden voorkomen dat met name gedragingen te zwaar worden bestraft en dat handelingen van houders van rechten en bevoegde personen - zoals rechtmatige particuliere of zakelijke gebruikers, beheerders, controleurs en exploitanten van netwerken en systemen, personen die rechtmatig wetenschappelijk onderzoek verrichten en bevoegde personen die een systeem testen, ongeacht of het om een persoon binnen de onderneming gaat of dat daartoe een externe persoon wordt aangewezen die wordt gemachtigd de beveiliging van een systeem te testen - strafbaar worden gesteld.

(13) De lidstaten zorgen ervoor dat aanvallen op informatiesystemen strafbaar worden gesteld met doeltreffende, evenredige en afschrikkende straffen, die in ernstige gevallen ook vrijheidsstraffen kunnen omvatten.

(14) Voor gevallen waarin bepaalde, met een aanval op een informatiesysteem samengaande omstandigheden ertoe leiden dat deze een nog grotere bedreiging voor de samenleving vormt, moet in zwaardere straffen worden voorzien. In dergelijke gevallen moeten de aan de daders opgelegde straffen volstaan om aanvallen op informatiesystemen te bestrijden binnen de strekking van andere instrumenten die reeds werden goedgekeurd met het oog op de bestrijding van de georganiseerde misdaad, zoals Gemeenschappelijk optreden 98/733/JBZ van 21 december 1998 door de Raad aangenomen op grond van artikel K.3 van het Verdrag betreffende de Europese Unie inzake de strafbaarstelling van deelneming aan een criminele organisatie in de lidstaten van de Europese Unie .

PB L 351 van 29.12.1998, blz. 1.

(15) Er moeten maatregelen worden genomen om het mogelijk te maken dat rechtspersonen aansprakelijk worden gesteld voor strafbare feiten in de zin van dit kaderbesluit die te hunnen voordele zijn gepleegd, en om er voor te zorgen dat elke lidstaat in situaties waarin de dader fysiek op zijn grondgebied aanwezig is of waarin het informatiesysteem zich op zijn grondgebied bevindt, bevoegd is voor ten aanzien van informatiesystemen gepleegde strafbare feiten.

(16) Er moeten ook maatregelen worden genomen met het oog op de samenwerking tussen de lidstaten teneinde een doeltreffend optreden tegen aanvallen op informatiesystemen mogelijk te maken. Er moeten operationele meldpunten worden ingesteld voor de uitwisseling van informatie.

(17) Omdat de doelstellingen om aanvallen op informatiesystemen in alle lidstaten te bestraffen met doeltreffende, evenredige en afschrikkende straffen en om de justitiële samenwerking te verbeteren en te bevorderen door mogelijke belemmeringen weg te nemen, niet in voldoende mate door de lidstaten afzonderlijk kunnen worden verwezenlijkt omdat de regels gemeenschappelijk en met elkaar verenigbaar moeten zijn, en deze doelstellingen dus beter op het niveau van de Unie kunnen worden verwezenlijkt, kan de Unie maatregelen nemen, overeenkomstig het in artikel 2 van het Verdrag betreffende de EU en artikel 5 van het EG-Verdrag omschreven subsidiariteitsbeginsel. Overeenkomstig het eveneens in artikel 5 van het EG-Verdrag omschreven evenredigheidsbeginsel gaat dit kaderbesluit niet verder dan wat nodig is om deze doelstellingen te verwezenlijken.

(18) Dit kaderbesluit laat de bevoegdheden van de Europese Gemeenschap onverlet.

(19) In dit kaderbesluit worden de grondrechten in acht genomen en de beginselen nageleefd die in het bijzonder zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, met name in de hoofdstukken II en VI.

HEEFT HET VOLGENDE KADERBESLUIT VASTGESTELD:

Artikel 1 - Werkingssfeer en doelstelling van het kaderbesluit

Dit kaderbesluit heeft ten doel de samenwerking tussen de justitiële en andere bevoegde autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van de strafrechtelijke regels van de lidstaten inzake aanvallen op informatiesystemen.

Artikel 2 - Definities

In de zin van dit kaderbesluit gelden de volgende definities:

(a) 'Elektronisch communicatienetwerk': de transmissiesystemen en in voorkomend geval de schakel- of routeringsapparatuur en andere middelen die het mogelijk maken signalen over te brengen via draad, radiogolven, optische of andere elektromagnetische middelen waaronder satellietnetwerken, vaste (circuit- en pakketgeschakelde, met inbegrip van internet) en mobiele terrestrische netwerken, netten voor radio- en televisieomroep en kabeltelevisienetten, ongeacht de aard van de overgebrachte informatie.

(b) 'Computer': elk apparaat of groep van onderling verbonden of met elkaar verband houdende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerkt.

(c) 'Computergegevens': elke weergave van feiten, gegevens of begrippen die is gemaakt of omgezet in een vorm die geschikt is voor verwerking in een informatiesysteem, met inbegrip van programma's die een informatiesysteem een bepaalde functie kunnen laten uitvoeren.

(d) 'Informatiesysteem': computers en elektronische communicatienetwerken, alsmede de computergegevens die daarmee worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.

(e) 'Rechtspersoon': ieder lichaam dat deze hoedanigheid krachtens het toepasselijke recht bezit, met uitzondering van staten of andere overheidslichamen in de uitoefening van hun openbaar gezag en van publiekrechtelijke internationale organisaties.

(f) 'Bevoegde persoon': elke natuurlijke of rechtspersoon die contractueel of wettelijk het recht heeft, of de rechtmatige toestemming, om een informatiesysteem te gebruiken, te beheren, te controleren, te testen, er rechtmatig wetenschappelijk onderzoek mee te doen of op een andere manier te exploiteren, en die in overeenstemming met dat recht of die toestemming handelt.

(g) 'Onrechtmatig' betekent dat gedragingen door bevoegde personen of andere gedragingen die in het nationale recht als rechtmatig worden erkend, zijn uitgesloten.

Artikel 3 - Onrechtmatige toegang tot informatiesystemen

De lidstaten zorgen ervoor dat de opzettelijke, onrechtmatige toegang tot een informatiesysteem of enig onderdeel daarvan, strafbaar wordt gesteld indien het feit is gepleegd:

(i) tegen een deel van een informatiesysteem waarvoor specifieke beveiligingsmaatregelen gelden; of

(ii) met het oogmerk een natuurlijke of een rechtspersoon schade te berokkenen; of

(iii) met het oogmerk economisch voordeel tot gevolg te hebben.

Artikel 4 - Onrechtmatige verstoring van informatiesystemen

De lidstaten zorgen ervoor dat de volgende opzettelijke, onrechtmatige gedragingen strafbaar worden gesteld:

(a) het ernstig hinderen of onderbreken van de werking van een informatiesysteem door de invoer, de transmissie, het beschadigen, wissen, verminken, wijzigen, onderdrukken of ontoegankelijk maken van computergegevens;

(b) het wissen, verminken, wijzigen, onderdrukken of ontoegankelijk maken van computergegevens in een informatiesysteem met het oogmerk om een natuurlijke of een rechtspersoon schade te berokkenen.

Artikel 5 - Instigatie, hulp, aanstoking en poging

1. De lidstaten zorgen ervoor dat de opzettelijke instigatie of aanstoking tot of hulp bij de feiten in de zin van de artikelen 3 en 4 strafbaar wordt gesteld.

2. De lidstaten zorgen ervoor dat pogingen om de feiten in de zin van de artikelen 3 en 4 te plegen, strafbaar worden gesteld.

Artikel 6 - Straffen

1. De lidstaten zorgen ervoor dat de strafbare feiten in de zin van de artikelen 3, 4 en 5 strafbaar worden gesteld met doeltreffende, evenredige en afschrikkende straffen, waaronder maximumgevangenisstraffen die in ernstige gevallen ten minste een jaar moeten bedragen. Het begrip 'ernstige gevallen' moet aldus worden opgevat dat gedragingen die geen schade of economisch voordeel ten gevolge hebben gehad daar niet onder vallen.

2. De lidstaten zorgen ervoor dat naast vrijheidsstraffen bijkomende of alternatieve straffen in de vorm van boetes kunnen worden opgelegd.

Artikel 7 - Verzwarende omstandigheden

1. De lidstaten zorgen ervoor dat op de strafbare feiten in de zin van de artikelen 3, 4 en 5 een maximumgevangenisstraf staat van niet minder dan vier jaar wanneer deze in de volgende omstandigheden zijn gepleegd:

(a) indien het strafbare feit werd gepleegd in het kader van een criminele organisatie in de zin van Gemeenschappelijk optreden 98/733/JBZ van 21 december 1998 inzake de strafbaarstelling van deelneming aan een criminele organisatie in de lidstaten van de Europese Unie, afgezien van het daarin aangegeven strafniveau;

(b) indien door het het strafbare feit rechtstreeks of onrechtstreeks aanzienlijke economische schade of lichamelijk letsel werd toegebracht of aanzienlijke schade aan een deel van de kritische infrastructuur van de lidstaat werd veroorzaakt;

(c) indien door het strafbare feit aanzienlijke opbrengsten werden verkregen.

2. De lidstaten zorgen ervoor dat op de strafbare feiten in de zin van de artikelen 3, 4 en 5 zwaardere vrijheidsstraffen staan dan die waarin artikel 6 voorziet, indien tegen de dader in een lidstaat voor een dergelijk strafbaar feit een eindvonnis is uitgesproken.

Artikel 8 - Bijzondere omstandigheden

Onverminderd de artikelen 6 en 7, zorgen de lidstaten ervoor dat de in de artikelen 6 en 7 bedoelde straffen kunnen worden verlicht indien de dader naar de mening van de bevoegde justitiële autoriteit slechts onbeduidende schade heeft veroorzaakt.

Artikel 9 - Aansprakelijkheid van rechtspersonen

1. De lidstaten zorgen ervoor dat rechtspersonen aansprakelijke kunnen worden gesteld voor gedragingen in de zin van de artikelen 3, 4 en 5, waaraan zich te hunnen voordele personen schuldig maken die hetzij individueel, hetzij als lid van een orgaan van de rechtspersoon handelen en die in die rechtspersoon een leidende functie bekleden op grond van:

(a) de bevoegdheid om de rechtspersoon te vertegenwoordigen; of

(b) de bevoegdheid om namens de rechtspersoon beslissingen te nemen; of

(c) de bevoegdheid om binnen de rechtspersoon toezicht uit te oefenen.

2. Afgezien van de in lid 1 genoemde gevallen, zorgen de lidstaten ervoor dat de rechtspersoon aansprakelijk kan worden gesteld wanneer, bij gebreke van toezicht of controle door een in lid 1 bedoelde persoon, strafbare feiten in de zin van de artikelen 3, 4 en 5 konden worden gepleegd ten voordele van die rechtspersoon door een onder het gezag van die rechtspersoon staande persoon.

3. De aansprakelijkheid van een rechtspersoon krachtens de leden 1 en 2 sluit strafvervolging van natuurlijke personen die strafbare feiten plegen of zich schuldig maken aan gedragingen in de zin van de artikelen 3, 4 en 5 niet uit.

Artikel 10 - Straffen tegen rechtspersonen

1. De lidstaten zorgen ervoor dat een rechtspersoon die volgens artikel 9, lid 1, aansprakelijk is, straffen kunnen worden opgelegd die doeltreffend, evenredig en afschrikkend zijn. Deze straffen omvatten al dan niet strafrechtelijke geldboetes en kunnen andere maatregelen omvatten zoals:

a) uitsluiting van uitkeringen of steun van de overheid;

b) tijdelijk of permanent verbod op het uitoefenen van commerciële activiteiten;

c) plaatsing onder toezicht van de rechter; of

d) een gerechtelijk bevel tot liquidatie.

2. De lidstaten zorgen ervoor dat tegen een rechtspersoon die volgens artikel 9, lid 2, aansprakelijk is, straffen kunnen worden vastgesteld of maatregelen kunnen worden getroffen die doeltreffend, evenredig en afschrikkend zijn.

Artikel 11 - Rechtsmacht

1. Elke lidstaat vestigt zijn rechtsmacht ten aanzien van de strafbare feiten als bedoeld in de zin van de artikelen 3, 4 en 5 indien deze:

(a) geheel of gedeeltelijk op zijn grondgebied zijn gepleegd; of

(b) door een van zijn onderdanen zijn gepleegd en de handeling is gericht tegen personen of groepen uit die staat; of

(c) zijn gepleegd ten voordele van een rechtspersoon die zijn hoofdkantoor op het grondgebied van die lidstaat heeft.

2. Bij het vestigen van de rechtsmacht overeenkomstig lid 1, onder a), zorgt elke lidstaat ervoor dat zijn rechtsmacht zich uitstrekt tot gevallen waarin:

(a) de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van die lidstaat bevindt, ongeacht of het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied; of

(b) het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied, ongeacht of de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van de betrokken lidstaat bevindt.

3. Elke lidstaat kan besluiten de in lid 1, onder b) en c) beschreven regels inzake de rechtsmacht niet of slechts in specifieke gevallen of omstandigheden toe te passen.

4. Elke lidstaat neemt de nodige maatregelen om zijn rechtsmacht ook te vestigen voor de strafbare feiten in de zin van de artikelen 3, 4 en 5 in gevallen waarin hij weigert een persoon die van een dergelijk strafbaar feit wordt verdacht of daaraan schuldig is bevonden aan een andere lidstaat of een derde land over te dragen of uit te leveren.

5. Indien een strafbaar feit onder de rechtsmacht van meer dan een lidstaat valt en indien elk van de betrokken lidstaten geldig vervolging kan instellen op grond van hetzelfde feit, werken de betrokken lidstaten samen om te beslissen wie van hen de daders zal vervolgen, teneinde de procedure zo mogelijk in een enkele lidstaat te centraliseren. Daartoe kunnen de lidstaten een beroep doen op elk orgaan of mechanisme dat in de Europese Unie is ingesteld om de samenwerking tussen hun rechterlijke instanties en de coördinatie van hun actie te vergemakkelijken.

6. De lidstaten stellen het Secretariaat-generaal van de Raad en de Commissie op de hoogte wanneer zij besluiten lid 3 toe te passen, zo nodig onder vermelding van de specifieke gevallen of omstandigheden waarin het besluit van toepassing is.

Artikel 12 - Uitwisseling van informatie

1. Met het oog op de uitwisseling van informatie in verband met strafbare feiten in de zin van de artikelen 3, 4 en 5, stellen de lidstaten, met inachtneming van de regels inzake gegevensbescherming, operationele meldpunten in die 24 uur per dag en zeven dagen per week operationeel zijn.

2. Elke lidstaat stelt het Secretariaat-generaal van de Raad en de Commissie in kennis van het meldpunt dat is aangewezen met het oog op de uitwisseling van informatie over strafbare feiten waarvan sprake is bij aanvallen op informatiesystemen. Het Secretariaat-generaal brengt deze informatie ter kennis van de andere lidstaten.

Artikel 13 - Tenuitvoerlegging

1. De lidstaten treffen de noodzakelijke maatregelen om uiterlijk op 31 december 2003 aan dit kaderbesluit te voldoen.

2. Zij stellen het Secretariaat-generaal van de Raad en de Commissie in kennis van de tekst van de bepalingen die zij goedkeuren, alsmede van eventuele andere maatregelen die zij nemen om aan dit kaderbesluit te voldoen.

3. Op basis daarvan dient de Commissie uiterlijk op 31 december 2004 bij het Europees Parlement en de Raad een verslag in over de werking van dit kaderbesluit, zo nodig vergezeld van wetgevingsvoorstellen.

4. De Raad beoordeelt in hoeverre de lidstaten aan dit kaderbesluit voldoen.

Artikel 14 - Inwerkingtreding

Dit kaderbesluit treedt in werking op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Gemeenschappen.