(1) Целите на настоящата директива са да се сближи наказателното право на държавите членки в сферата на атаките срещу информационните системи посредством установяването на минимални правила относно определението на престъпленията и определянето на съответните наказания и да подобри сътрудничеството между компетентните органи, включително полицията и други специализирани правоприлагащи органи на държавите членки, както и компетентните специализирани агенции и органи на Съюза, като Евроюст, Европол и Европейския център по киберпрестъпност към него, както и Европейската агенция за мрежова и информационна сигурност (ENISA).
(2) Информационните системи представляват ключов елемент от политическото, социалното и икономическото взаимодействие в Съюза. Все по-често и в по-голяма степен обществото зависи от тези системи. Безпроблемното функциониране и сигурността на тези системи в Съюза са от жизненоважно значение за развитието на вътрешния пазар и на конкурентоспособна и иновационна икономика. Осигуряването на подходящи равнища на защита на информационните системи следва да бъде част от цялостна ефективна рамка за превантивни мерки, съпътстваща реакцията на наказателното право спрямо киберпрестъпността.
(3) Атаките срещу информационните системи, и по-специално атаките, свързани с организираната престъпност, представляват засилваща се опасност както в Съюза, така и в световен мащаб, а съществува и растяща загриженост от вероятни атаки по терористични или политически подбуди срещу информационните системи, които са част от критичната инфраструктура на държавите членки и на Съюза. Това представлява заплаха за постигането на едно по-безопасно информационно общество и за изграждането на пространство на свобода, сигурност и правосъдие, и следователно налага ответна реакция на равнището на Съюза, а също така и по-добра координация и сътрудничество на международно равнище.
(4) В Съюза съществува определен брой критични инфраструктури, чието нарушаване или унищожаване би имало значителни трансгранични последици. От необходимостта да се подобрят способностите за защита на критичните инфраструктури в Съюза става ясно, че мерките срещу кибератаките следва да бъдат допълнени от строги наказателни санкции, отразяващи тежестта на подобни атаки. Като критична инфраструктура могат да се разглеждат разположени в държавите членки елемент, система или части от нея, които са от основно значение за поддържането на жизненоважни обществени функции, здравето, безопасността, сигурността, икономическото или социалното благосъстояние на населението. като електроцентрали, транспортни мрежи или правителствени мрежи, и чието нарушаване или унищожаване би имало значителни последици в дадената държава членка в резултат на невъзможността да се запазят тези функции.
(5) Има доказателства за наличието на тенденция към все по-опасни и повтарящи се широкомащабни атаки срещу информационните системи, които често могат да бъдат от решаващо значение за държавите членки или за определени функции в публичния или частния сектор. Тази тенденция е придружена от разработката на все по-усъвършенствани методи, като например създаването и използването на така наречените „ботнети“, които се състоят от няколко етапа на престъпното деяние, при които всеки етап поотделно би могъл да създаде сериозен риск за обществения интерес. Настоящата директива има за цел, inter alia, да въведе наказания за създаването на ботнет, по-конкретно за акта на установяване на контрол от разстояние върху значителен брой компютри посредством заразяването им със зловреден софтуер чрез целенасочени кибератаки. Веднъж създадена, заразената мрежа от компютри, която представлява ботнетът, може да бъде активирана без знанието на потребителите на компютрите, за да извърши широкомащабна кибератака, която обикновено е в състояние да причини сериозни вреди, както е посочено в настоящата директива. Държавите членки следва да могат да определят кое представлява сериозна вреда съгласно националното право и практика, като например нарушаване на системни услуги от важно обществено значение или причиняване на сериозни финансови разходи или загуба на лични данни или чувствителна информация.
(6) Широкомащабните кибератаки могат да предизвикат съществени икономически вреди както поради прекъсването на информационните системи и комуникации, така и поради загуба или промяна на важна от търговска гледна точка поверителна информация или други данни. Особено внимание следва да се обърне на повишаването на осведомеността на иновативните малки и средни предприятия за заплахи, свързани с подобни атаки, и тяхната уязвимост на такива атаки, тъй като тези предприятия зависят във все по-голяма степен от правилното функциониране и наличност на информационните системи и често разполагат с ограничени ресурси за информационна сигурност.
(7) Приемането на общи определения в тази област е важно, за да се осигури последователен подход в държавите членки при прилагането на настоящата директива.
(8) Необходимо е да бъде постигнат общ подход към елементите, съставляващи престъпления, чрез въвеждането на общи престъпления, като незаконния достъп до информационни системи, незаконната намеса в такива системи, незаконната намеса в данни и незаконното прихващане.
(9) Прихващането включва, но не се ограничава непременно до подслушването, проследяването или наблюдението на съдържанието на съобщения и достигането до съдържанието на данни с технически средства пряко, чрез достъп до информационни системи и тяхното използване, или непряко, чрез използване на електронно подслушване или подслушвателни устройства.
(10) Държавите членки следва да предвидят наказания за атаките срещу информационните системи. Предвидените наказания следва да бъдат ефективни, пропорционални и възпиращи и следва да включват лишаване от свобода и/или глоби.
(11) Настоящата директива предвижда наказания най-малкото за случаите, които не се считат за маловажни. Държавите членки следва да могат да решат какво представлява маловажен случай в зависимост от своето национално право и практика. Даден случай може да се счете за маловажен например ако причинените от престъплението вреди и/или рискът, който то поражда за публичните или частните интереси, като например по отношение на целостта на компютърната система или компютърните данни или по отношение на неприкосновеността, правата или други интереси на дадено лице, са незначителни или от такова естество, че не е необходимо да се налага наказание в съответните предвидени в правните разпоредби предели или да се налага наказателна отговорност.
(12) Установяването и докладването на заплахи, произтичащи от кибератаки, както и на свързаната с тях уязвимост на информационните системи са важни елементи, които имат отношение към ефективната превенция и реакция на кибератаките и към повишаването на сигурността на информационните системи. Осигуряването на стимули за докладване на пропуски по отношение на сигурността би могло да допринесе допълнително за постигането на тези цели. Държавите членки следва да полагат усилия за предоставянето на възможности за откриването в правен аспект и докладването на пропуски по отношение на сигурността.
(13) Целесъобразно е да се предвидят по-строги наказания, когато атаката срещу дадена информационна система е извършена от престъпна организация съгласно определението в Рамково решение 2008/841/ПВР на Съвета от 24 октомври 2008 г. относно борбата с организираната престъпност (3), когато атаката е широкомащабна и е засегнала значителен брой информационни системи или е причинила сериозни щети, включително когато целта на атаката е създаването на ботнет или когато кибератаката е причинила сериозни вреди, включително когато е извършена посредством ботнет. Също така е целесъобразно да се предвидят по-строги наказания, когато атаката е извършена срещу критична инфраструктура на държавите членки или на Съюза.
(14) Друг съществен елемент от интегрирания подход срещу киберпрестъпността представлява установяването на ефективни мерки срещу кражбата на самоличност и други престъпления, засягащи самоличността. Евентуалната нужда от действия на Съюза във връзка с този вид престъпно поведение може да се разглежда и в контекста на оценката доколко е необходим цялостен хоризонтален инструмент на Съюза.
(15) В заключенията на Съвета от 27—28 ноември 2008 г. се посочва, че следва да се разработи нова стратегия с участието на държавите членки и Комисията, като се вземе предвид съдържанието на Конвенцията на Съвета на Европа от 2001 г. за престъпления в кибернетичното пространство. Тази конвенция е референтната правна рамка за борба с престъпленията в кибернетичното пространство, включително и с атаките срещу информационните системи. Настоящата директива се основава на споменатата конвенция. Като приоритет следва да се разглежда приключването на процеса на ратификация на тази конвенция от всички държави членки във възможно най-кратък срок.
(16) Като се имат предвид различните начини, по които могат да бъдат извършени атаките, и с оглед на бързите промени в хардуера и софтуера, в настоящата директива се съдържа позоваване на „инструментите“, които могат да бъдат използвани за извършване на престъпленията, изброени в нея. Тези инструменти включват зловредния софтуер, включително този, с който могат да се създават ботнети, използвани за извършване на кибератаки. Макар и даден инструмент да бъде подходящ или дори да бъде особено подходящ за извършването на някое от престъпленията, предвидени в настоящата директива, възможно е той да е бил произведен със законна цел, като например за изпитване на надеждността на продукти на информационните технологии или на сигурността на информационни системи. В подобен случай не е достатъчно дадено лице да има общ умисъл за осъществяване на обективните критерии на някое от престъпленията, предвидени в настоящата директива, а то трябва да има пряк умисъл да използва инструментите за извършването на едно или повече от престъпленията, предвидени в настоящата директива.
(17) Настоящата директива не налага наказателна отговорност в случаите, когато са изпълнени обективните критерии за престъпленията, изброени в настоящата директива, но деянията са извършени без престъпно намерение, като например при незнание, че достъпът не е разрешен, или при възложено изпитване или защита на информационните системи, например когато дружество или продавач възложи на дадено лице изпитването на устойчивостта на системата му за сигурност. В контекста на настоящата директива договорните задължения или споразуменията за ограничаване на достъпа до информационни системи посредством правила за потребителите или условия за използване на услугата, както и трудовите спорове във връзка с достъпа до информационни системи на работодателя и използването им за лични цели не следва да водят до наказателна отговорност, когато достъпът при такива обстоятелства се счита за неразрешен и това представлява единственото основание за наказателно производство. Настоящата директива не засяга правото на достъп до информация, установено в националното законодателство и законодателството на Съюза, като същевременно тя не може да се използва като оправдание за незаконен или произволен достъп до информация.
(18) Редица обстоятелства могат да улеснят извършването на кибератаки, като например случаите, когато извършителят, в рамките на своята трудова заетост, има достъп до системите за сигурност, които са част от засегнатите информационни системи. В контекста на националното право такива обстоятелства следва да бъдат отчетени в подходяща степен в хода на наказателното производство.
(19) Държавите членки следва да предвидят в националното си право квалифициращи обстоятелства в съответствие с приложимите правила, предвидени в техните правни системи относно квалифициращите обстоятелства. Те следва да гарантират, че съдиите разполагат с възможност да разглеждат тези квалифициращи обстоятелства при осъждането на извършителите. Съдията по своя преценка оценява тези обстоятелства заедно с останалите факти по конкретния случай.
(20) Настоящата директива не урежда условията за упражняване на компетентност над което и да било от посочените в нея престъпления, например съобщаване от страна на жертвата на мястото, където е извършено престъплението, съобщаване от страна на държавата на мястото, където е извършено престъплението, или факта, че извършителят не е наказателно преследван на мястото, където е извършено престъплението.
(21) В контекста на настоящата директива държавите членки и третите държави, както и техните публичните органи продължават в пълна степен да бъдат задължени да гарантират зачитането на правата на човека и основните свободи в съответствие със съществуващите задължения в Съюза и международни задължения.
(22) С настоящата директива се засилва значението на мрежите, като мрежите на Г-8 или Съвета на Европа, съставени от звена за контакт, които са на разположение 24 часа в денонощието и седем дни в седмицата. Тези звена за контакт следва да бъдат в състояние да осигуряват ефективна помощ и по този начин да улесняват например обмена на подходяща налична информация и предоставянето на технически съвети или правна информация за целите на разследванията или производствата по престъпления, отнасящи се до информационните системи, и свързаните данни, с участието на молещата държава членка. За да се осигури гладкото функциониране на мрежите, всяко звено за контакт следва да разполага с капацитет за бързо свързване със звено за контакт на друга държава членка с помощта на, inter alia, обучен и оборудван персонал. Като се има предвид бързината, с която могат да бъдат извършени широкомащабни кибератаки, държавите членки следва да са в състояние да реагират незабавно на спешни искания, отправени по тази мрежа от звена за контакт. В подобни случаи може да бъде наложително искането за информация да се придружава от телефон за връзка, за да се гарантира, че замолената държава членка ще обработи своевременно искането и обратната информация ще бъде предоставена в рамките на осем часа.
(23) Сътрудничеството между публичните органи, от една страна, и частния сектор и гражданското общество, от друга, е от голямо значение за превенцията и борбата с атаките срещу информационните системи. Необходимо е да се насърчава и подобрява сътрудничеството между доставчиците на услуги, производителите, правоприлагащите и съдебните органи при пълно зачитане на принципите на правовата държава. Сътрудничеството би могло да включва съдействие от доставчиците на услуги за оказване на помощ за съхраняване на евентуални доказателства, за предоставяне на елементи, които да спомогнат за идентифицирането на извършителите, и като крайна мярка, частичното или пълното спиране в съответствие с националното право и практика на информационните системи или функции, които са били засегнати или използвани за незаконни цели. Държавите членки следва да обмислят също създаването на мрежи за сътрудничество и партньорство с доставчиците на услуги и производителите за обмен на информация във връзка с престъпленията, които попадат в обхвата на настоящата директива.
(24) Необходимо е да се събират съпоставими данни за престъпленията, посочени в настоящата директива. Съответните данни следва да се предоставят на компетентните специализирани агенции и органи на Съюза, като Европол и ЕNISA, в съответствие със задачите и информационните им потребности, за да се добие по-цялостна представа за проблема с киберпрестъпността и мрежовата и информационна сигурност на равнището на Съюза и по този начин се допринесе за изготвянето на по-ефективна реакция. Държавите членки следва да предоставят на Европол и Европейския център по киберпрестъпност към него информация за начина на действие на извършителите, за да се извършат оценка на заплахите и стратегически анализи на киберпрестъпността в съответствие с Решение 2009/371/ПВР на Съвета от 6 април 2009 г. за създаване на Европейска полицейска служба (Европол) (4). Предоставянето на информация може да улесни по-доброто разбиране на настоящите и бъдещите заплахи, като допринесе за по-подходящо и целенасочено вземане на решения относно борбата с атаките срещу информационните системи и тяхното предотвратяване.
(25) Комисията следва да представи доклад за прилагането на настоящата директива и ако е необходимо, да направи законодателни предложения, които може да доведат до разширяване на нейния обхват, отчитайки промените в областта на киберпрестъпността. Тези промени могат да включват технологично развитие, като например такова, което позволява по-ефективно правоприлагане в областта на атаките срещу информационните системи или улеснява предотвратяването на подобни атаки или смекчаването на последиците от тях. За тази цел Комисията следва да вземе под внимание наличните анализи и доклади, изготвени от съответните заинтересовани страни, и по-специално от Европол и ENISA.
(26) С цел ефективна борба с престъпленията в кибернетичното пространство е необходимо също така да се повиши устойчивостта на информационните системи с предприемането на подходящи мерки за по-ефективната им защита от кибератаки. Държавите членки следва да предприемат необходимите мерки за защита от кибератаки на информационните системи, които представляват част от тяхната критична инфраструктура, и следва да обмислят защитата на информационните системи и свързаните данни като част от тази защита. Осигуряването на подходящо равнище на защита и сигурност на информационните системи от юридически лица, например във връзка с предоставянето на общественодостъпни електронни съобщителни услуги в съответствие с действащото законодателство на Съюза относно неприкосновеността на личния живот, електронните съобщения и защитата на данните, представлява съществена част от цялостния подход за ефективна борба срещу киберпрестъпността. Следва да се осигуряват подходящи равнища на защита срещу заплахи и уязвимости, които могат да бъдат разумно идентифицирани, в съответствие със съвременните постижения в конкретните сектори и предвид конкретните ситуации, свързани с обработването на данни. Разходите и тежестта по осигуряване на такава защита следва да бъдат пропорционални на вероятните вреди, които евентуална кибератака може да причини на засегнатите лица. Държавите членки се насърчават да предвидят в националното си право подходящи мерки, водещи до отговорност, за случаите, когато юридическо лице явно не е осигурило подходящо равнище на защита срещу кибератаки.
(27) Значителните пропуски и различия в законите и наказателните производства на държавите членки в областта на атаките срещу информационните системи могат да възпрепятстват борбата срещу организираната престъпност и тероризма, а също така да усложнят ефективното полицейско и съдебно сътрудничество в тази област. Транснационалният характер на съвременните информационни системи, които функционират отвъд националните граници, предполага, че атаките срещу тези системи имат трансгранично измерение, което показва още веднъж спешната необходимост от осъществяване на допълнителни действия за сближаване на наказателното право в тази област. Освен това координирането на наказателното преследване по дела за атаки срещу информационни системи следва да бъде улеснено с подходящото изпълнение и прилагане на Рамково решение 2009/948/ПВР на Съвета от 30 ноември 2009 г. относно предотвратяване и уреждане на спорове за упражняване на компетентност при наказателни производства (5). В сътрудничество със Съюза държавите членки следва също да се стремят към подобряване на международното сътрудничество, свързано със сигурността на информационните системи, компютърните мрежи и данни. При всяко международно споразумение, включващо обмен на данни, следва надлежно да се разгледа сигурността на прехвърлянето и съхраняването на данните.
(28) По-доброто сътрудничество между компетентните правоприлагащи и съдебни органи в Съюза е изключително важно за ефективната борба срещу престъпленията в кибернетичното пространство. Във връзка с това следва да се насърчава активизирането на усилията за осигуряване на подходящо обучение за съответните органи, за да се подобри разбирането за киберпрестъпността и нейните последици, и за стимулиране на сътрудничеството и обмена на най-добри практики, например чрез компетентните специализирани агенции и органи на Съюза. Целта на подобно обучение, inter alia, следва да бъде повишаването на осведомеността за различните национални правни системи, евентуалните правни и технически предизвикателства при наказателни разследвания и разпределението на области на компетентност между съответните национални органи.
(29) В настоящата директива следва да се зачитат правата на човека и основните свободи и да се съблюдават принципите, признати по-специално в Хартата на основните права на Европейския съюз и Европейската конвенция за защита на правата на човека и основните свободи, включително защитата на личните данни, правото на личен живот, свободата на изразяване и на информация, правото на справедлив съдебен процес, презумпцията за невиновност и правото на защита, както и принципите на законност и пропорционалност между престъплението и наказанието. По-специално настоящата директива има за цел да осигури пълното спазване на тези права и принципи и трябва да бъде прилагана в съответствие с това.
(30) Защитата на личните данни е основно право в съответствие с член 16, параграф 1 от ДФЕС и член 8 от Хартата на основните права на Европейския съюз. Ето защо всяко обработване на лични данни при изпълнението на настоящата директива следва изцяло да зачита съответното законодателство на Съюза относно защитата на данните, прието въз основа на Договорите.
(31) В съответствие с член 3 от Протокола относно позицията на Обединеното кралство и Ирландия по отношение на пространството на свобода, сигурност и правосъдие, приложен към Договора за Европейския съюз и Договора за функционирането на Европейския съюз, посочените държави членки са уведомили за желанието си да вземат участие в приемането и прилагането на настоящата директива.
(32) В съответствие с членове 1 и 2 от Протокола относно позицията на Дания, приложен към Договора за Европейския съюз и Договора за функционирането на Европейския съюз, Дания не участва в приемането на настоящата директива и следователно не е обвързана от нея, нито от нейното прилагане.
(33) Доколкото целите на настоящата директива, а именно да обвърже атаките срещу информационните системи във всички държави членки с ефективни, пропорционални и възпиращи наказания, както и да подобри и насърчи сътрудничеството между съдебните и други компетентни органи, не могат да бъдат постигнати в достатъчна степен от държавите членки и затова поради техния обхват и последици могат да бъдат по-добре постигнати на равнището на Съюза, Съюзът може да приеме мерки в съответствие с принципа на субсидиарност, уреден в член 5 от Договора за Европейския съюз. В съответствие с принципа на пропорционалност, уреден в същия член, настоящата директива не надхвърля необходимото за постигането на тези цели.
(34) Настоящата директива има за цел да измени и разшири обхвата на разпоредбите на Рамково решение 2005/222/ПВР на Съвета от 24 февруари 2005 г. относно атаките срещу информационните системи (6). Тъй като измененията, които трябва да се направят, са значителни по брой и естество, за по-голяма яснота Рамково решение 2005/222/ПВР следва да бъде изцяло заменено по отношение на държавите членки, участващи в приемането на настоящата директива,