Directiva 2013/40/UE/12-aug-2013 privind atacurile împotriva sistemelor informatice şi de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului
Acte UE
Jurnalul Oficial 218L
În vigoare Versiune de la: 14 August 2013
Directiva 2013/40/UE/12-aug-2013 privind atacurile împotriva sistemelor informatice şi de înlocuire a Deciziei-cadru 2005/222/JAI a Consiliului
Dată act: 12-aug-2013
Emitent: Consiliul Uniunii Europene;Parlamentul European
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 83 alineatul (1),
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naţionale,
având în vedere avizul Comitetului Economic şi Social European (1),
(1)JO C 218, 23.7.2011, p. 130.
hotărând în conformitate cu procedura legislativă ordinară (2), întrucât:
(2)Poziţia Parlamentului European din 4 iulie 2013 (nepublicată încă în Jurnalul Oficial) şi decizia Consiliului din 22 iulie 2013.
(1)Obiectivele prezentei directive constau în armonizarea sistemelor de drept penal ale statelor membre în ceea ce priveşte atacurile împotriva sistemelor informatice, prin instituirea unor norme minime privind definirea infracţiunilor şi a sancţiunilor relevante, precum şi de a îmbunătăţi cooperarea dintre autorităţile competente, inclusiv poliţia şi alte servicii specializate de aplicare a legii din statele membre, precum şi agenţiile şi organismele specializate competente ale Uniunii, cum ar fi Eurojust, Europol şi Centrul european de combatere a criminalităţii informatice şi Agenţia Uniunii Europene pentru Securitatea Reţelelor şi a Informaţiilor (ENISA).
(2)Sistemele informatice reprezintă un element esenţial al interacţiunii politice, sociale şi economice din Uniune. Societatea este deja foarte dependentă de aceste sisteme, fenomenul fiind în creştere. Buna funcţionare şi securitatea acestor sisteme în Uniune sunt vitale pentru dezvoltarea pieţei interne şi a unei economii competitive şi inovatoare. Asigurarea unui nivel adecvat de protecţie a sistemelor informatice ar trebui să facă parte dintr-un cadru cuprinzător şi eficace de măsuri de prevenţie care să completeze măsurile prevăzute de drept penal ca răspuns la criminalitatea informatică.
(3)Atacurile împotriva sistemelor informatice, în special cele care au legătură cu criminalitatea organizată, constituie o ameninţare din ce în ce mai mare, atât la nivelul Uniunii, cât şi la nivel mondial, şi se manifestă o îngrijorare crescândă în faţa posibilităţii de atacuri teroriste sau motivate politic împotriva sistemelor informatice care fac parte din infrastructura critică a statelor membre şi a Uniunii. Această situaţie reprezintă o ameninţare la adresa creării unei societăţi informaţionale mai sigure şi a unui spaţiu de libertate, securitate şi justiţie, necesitând, prin urmare, o reacţie la nivelul Uniunii, precum şi o mai bună cooperare şi coordonare la nivel internaţional.
(4)Există un număr de infrastructuri critice în Uniune a căror perturbare sau distrugere ar avea un impact transfrontalier semnificativ. Nevoia de a spori capacitatea de protecţie a infrastructurilor critice în Uniune evidenţiază necesitatea de a completa măsurile de combatere a atacurilor informatice prin sancţiuni penale severe care să reflecte gravitatea unor astfel de atacuri. Prin „infrastructură critică" se poate înţelege un element, un sistem sau o componentă a acestuia aflată pe teritoriul statelor membre, care este esenţială pentru menţinerea funcţiilor societale vitale, a sănătăţii, siguranţei, securităţii, bunăstării sociale sau economice, precum centralele electrice, reţelele de transport şi reţelele guvernamentale, şi a căror perturbare sau distrugere ar avea un impact semnificativ într-un stat membru ca urmare a incapacităţii de a menţine respectivele funcţii.
(5)Există dovezi în privinţa tendinţei producerii unor atacuri la scară largă tot mai periculoase şi recurente împotriva sistemelor informatice care, adesea, pot fi esenţiale pentru state sau pentru funcţii specifice din sectorul public sau privat. În paralel cu această tendinţă, se dezvoltă metode tot mai sofisticate, cum ar fi crearea şi utilizarea aşa- numitelor botneturi, care presupune etape succesive ale unei fapte penale, fiecare etapă prezentând un risc importante pentru interesele publice. Prezenta directivă vizează, printre altele, introducerea unor sancţiuni penale pentru etapa de creare de botneturi, şi anume etapa în care se stabileşte controlul la distanţă asupra unui număr semnificativ de calculatoare prin instalarea unor programe maliţioase, prin atacuri informatice dirijate. O dată creată, reţeaua de calculatoare infectate care alcătuieşte botnetul poate fi activată fără ştiinţa utilizatorilor calculatoarelor, pentru a lansa un atac informatic la scară largă, care în mod obişnuit are capacitatea să producă prejudicii grave, astfel cum sunt menţionate în prezenta directivă. Statele membre pot să determine ceea ce reprezintă pagubă gravă, conform dreptului şi practicilor interne proprii, precum întreruperea serviciilor aferente unor sisteme de importanţă publică semnificativă, sau care generează costuri financiare majore sau pierderea de date cu caracter personal sau de informaţii sensibile.
(6)Atacurile cibernetice la scară largă pot provoca daune economice importante atât prin întreruperea funcţionării sistemelor informatice şi a comunicaţiilor, cât şi prin pierderea sau modificarea unor informaţii confidenţiale importante din punct de vedere comercial sau a altor tipuri de date. Ar trebui acordată atenţie deosebită acţiunilor de sensibilizare a întreprinderilor mici şi mijlocii inovatoare în privinţa ameninţărilor în legătură cu astfel de atacuri şi vulnerabilităţii acestora la acest tip de atacuri, având în vedere faptul că acestea sunt într-o tot mai mare măsură dependente de funcţionarea corespunzătoare şi de disponibilitatea sistemelor informatice, precum şi faptul că resursele acestora destinate securităţii informatice sunt limitate.
(7)Existenţa unor definiţii comune în acest domeniu este importantă pentru a se asigura aplicarea coerentă a prezentei directive în statele membre.
(8)Se impune adoptarea unei abordări comune faţă de elementele constitutive ale infracţiunilor, incriminând ca infracţiuni de drept comun accesarea ilegală a unui sistem informatic, afectarea integrităţii unui sistem, afectarea integrităţii datelor şi interceptarea ilegală.
(9)Interceptarea include, nelimitându-se însă în mod obligatoriu la acestea, ascultarea, monitorizarea sau supravegherea conţinutului comunicaţiilor şi obţinerea de conţinut de date fie direct, prin accesul la sistemele informatice şi utilizarea acestora, fie indirect, utilizând dispozitive electronice de interceptare audio sau a de ascultare a convorbirilor telefonice prin mijloace tehnice.
(10)Statele membre ar trebui să prevadă sancţiuni pentru atacurile împotriva sistemelor informatice. Sancţiunile respective ar trebui să fie eficace, proporţionale şi disuasive şi ar trebui să includă pedeapsa cu închisoarea şi/sau amendă.
(11)Prezenta directivă prevede sancţiuni penale cel puţin atunci când nu reprezintă un caz minor. Statele membre pot să determine ceea ce reprezintă un caz minor conform dreptului şi practicilor interne proprii. Un caz poate fi considerat minor, de exemplu, în situaţiile în care prejudiciile cauzate de infracţiune şi/sau riscul la adresa intereselor publice sau private, de exemplu la adresa integrităţii sistemului informatic sau a datelor informatice, sau la adresa integrităţii, drepturilor şi intereselor unei persoane, este nesemnificativ sau de aşa natură încât aplicarea unei sancţiuni penale în cadrul limitelor legale sau angajarea răspunderii penale nu este necesară.
(12)Identificarea şi denunţarea ameninţărilor de atacuri informatice şi vulnerabilităţii conexe ale sistemelor informatice reprezintă un element pertinent al unei prevenţii şi reacţii eficace la atacurile informatice şi al îmbunătăţirii securităţii sistemelor informatice. Oferirea de stimulente pentru denunţarea lacunelor de securitate ar putea contribui în acest sens. Statele membre ar trebui să facă eforturi în direcţia oferirii de oportunităţi pentru detectarea şi denunţarea pe cale legală a lacunelor de securitate.
(13)Este necesar să se prevadă sancţiuni mai severe în cazul comiterii unui atac împotriva unui sistem informatic de către o organizaţie criminală, astfel cum este definită în Decizia-cadru 2008/841/JAI a Consiliului din 24 octombrie 2008 privind lupta împotriva crimei organizate (1), sau în cazul în care atacul este desfăşurat la scară largă, afectând astfel un număr semnificativ de sisteme informatice, inclusiv în cazul în care atacul vizează crearea unui botnet, sau în cazul în care atacul provoacă prejudicii grave, inclusiv în cazul în care este desfăşurat prin intermediul unui botnet. Este necesar să se prevadă sancţiuni mai severe în cazul în care atacul este săvârşit împotriva unei infrastructuri critice a unui stat membru sau a Uniunii.
(1)JO L 300, 11.11.2008, p. 42.
(14)Instituirea unor măsuri eficace împotriva furtului de identitate şi a altor infracţiuni legate de identitate constituie un alt element important al unei abordări integrate împotriva criminalităţii informatice. Necesitatea de a acţiona la nivelul Uniunii pentru a combate acest tip de comportament infracţional ar putea fi, de asemenea, analizată în contextul evaluării necesităţii unui instrument orizontal şi cuprinzător al Uniunii.
(15)În concluziile sale din 27-28 noiembrie 2008, Consiliul a invitat statele membre şi Comisia să elaboreze o nouă strategie, ţinând cont de conţinutul Convenţiei Consiliului Europei privind criminalitatea informatică din 2001. Această convenţie constituie cadrul juridic de referinţă în materie de combatere a criminalităţii informatice, inclusiv a atacurilor împotriva sistemelor informatice. Prezenta directivă se bazează pe convenţia menţionată anterior. Prin urmare, finalizarea procesului de ratificare a convenţiei de către toate statele membre cât mai curând posibil ar trebui să reprezinte o prioritate.
(16)Având în vedere modurile diferite în care pot fi efectuate atacurile şi evoluţia rapidă în materie de hardware şi software, prezenta directivă face trimitere la „instrumente" care pot fi utilizate în scopul comiterii infracţiunilor prevăzute în prezenta directivă. Instrumentele respective ar putea să reprezinte, de exemplu, programe maliţioase, inclusiv cele capabile să creeze botneturi, utilizate pentru a comite atacuri informatice. Chiar în cazul în care un astfel de instrument este adecvat sau deosebit de adecvat comiterii uneia dintre infracţiunile prevăzute în prezenta directivă, este posibil ca acesta să fi fost produs în scopuri legitime. Motivată de necesitatea de a evita incriminarea, în cazul în care astfel de instrumente sunt produse şi introduse pe piaţă în scopuri legitime, cum ar fi pentru a testa fiabilitatea unor produse de tehnologia informaţiei sau a securităţii sistemelor informatice, în afară de cerinţa privind intenţia generală, trebuie să fie îndeplinită şi cerinţa privind intenţia directă de a utiliza respectivele instrumente pentru a săvârşi una sau mai multe dintre infracţiunile prevăzute în prezenta directivă.
(17)Prezenta directivă nu impune răspundere penală în cazul în care criteriile obiective ale infracţiunilor prevăzute în prezenta directivă sunt îndeplinite, însă acţiunile sunt săvârşite fără intenţia de a săvârşi o infracţiune, cum ar fi în cazurile în care o persoană nu cunoaşte faptul că accesul nu este autorizat, sau în cazul testării sau protejării autorizate a sistemelor informatice, de exemplu, atunci când o societate sau un vânzător atribuie unei persoane sarcina de a testa fiabilitatea sistemului său de securitate. În contextul prezentei directive, obligaţiile contractuale sau acordurile de restricţionare a accesului la sisteme informatice prin intermediul unei politici privind utilizatorii sau al unor condiţii de utilizare a serviciului, precum şi litigiile de muncă privind accesul la sistemele informatice şi utilizarea acestora în scopuri personale de către un angajat, nu ar trebui să angajeze răspunderea penală, în cazurile în care accesul, în circumstanţe de acest tip, ar fi considerat neautorizat, acesta constituind unicul temei pentru demararea procedurilor penale. Prezenta directivă nu aduce atingere dreptului de acces la informaţii, astfel cum este prevăzut în legislaţia naţională şi în legislaţia Uniunii, însă în acelaşi timp nu serveşte ca o justificare pentru accesul ilegal şi arbitrar la informaţii.
(18)Atacurile informatice ar putea fi facilitate de diverse circumstanţe, cum ar fi cea în care autorul infracţiunii are acces la sistemele de securitate ale sistemelor informatice afectate în virtutea atribuţiilor sale de serviciu. În contextul legislaţiei naţionale, astfel de circumstanţe ar trebui luate în considerare în mod corespunzător pe parcursul procedurilor penale.
(19)Statele membre ar trebui să introducă dispoziţii privind circumstanţele agravante în legislaţia lor naţională în conformitate cu normele aplicabile privind circumstanţele agravante prevăzute în sistemul lor juridic. Statele membre ar trebui să se asigure că aceste circumstanţe agravante sunt puse la dispoziţia judecătorilor pentru a putea ţine seama de acestea la condamnarea autorilor infracţiunilor. Rămâne la latitudinea judecătorului să evalueze aceste circumstanţe împreună cu alte elemente factuale ale cazului analizat.
(20)Prezenta directivă nu reglementează condiţiile pentru exercitarea competenţei în privinţa oricărei infracţiuni prevăzute în aceasta, cum ar fi plângerea depusă de victimă la locul în care a fost săvârşită infracţiunea, denunţarea de către statul în care se află locul săvârşirii infracţiunii sau neurmărirea penală a autorului infracţiunii la locul în care a fost săvârşită infracţiunea.
(21)În contextul prezentei directive, statele şi organele publice ale acestora au în continuare obligaţii depline în ceea ce priveşte garantarea respectării drepturilor omului şi a libertăţilor fundamentale, în conformitate cu obligaţiile internaţionale existente.
(22)Prezenta directivă întăreşte importanţa reţelelor, cum ar fi reţeaua de puncte de contact, disponibile 24 de ore din 24 şi şapte zile din şapte, a Consiliul Europei sau a G8. Aceste puncte de contact ar trebui să fie capabile să ofere o asistenţă eficace, facilitând, printre altele, schimbul de informaţii relevante disponibile sau oferirea de consiliere tehnică sau de informaţii juridice necesare cercetărilor sau procedurilor privind infracţiuni legate de sisteme informatice şi datele conexe care îl privesc pe statul membru solicitant. În vederea asigurării unei bune funcţionări a acestor reţele, fiecare punct de contact ar trebui să aibă capacitatea de a comunica cu punctul de contact al altui stat membru în mod rapid, cu sprijinul, printre altele, al unui personal format şi dotat cu echipamentele necesare. Având în vedere viteza cu care pot fi realizate atacurile informatice la scară largă, statele membre ar trebui să fie în măsură să răspundă prompt la cererile urgente adresate de această reţea de puncte de contact. În astfel de cazuri, ar putea fi oportun ca cererea de informaţii să fie însoţită de un contact telefonic pentru a asigura o prelucrare rapidă a acesteia de către statul membru solicitat şi trimiterea unui răspuns în termen de opt ore.
(23)Cooperarea dintre autorităţile publice, pe de o parte, şi sectorul privat şi societatea civilă, pe de altă parte, prezintă o mare importanţă pentru prevenirea şi combaterea atacurilor împotriva sistemelor informatice. Se impune să fie favorizată şi îmbunătăţită cooperarea dintre prestatori de servicii, producători, organe de aplicare a legii şi autorităţi judiciare, respectând pe deplin statul de drept. Această cooperare ar putea să includă sprijinul din partea prestatorilor de servicii în efortul de a păstra eventuale probe, de a furniza elemente pentru identificarea autorilor infracţiunilor şi, în ultimă instanţă, de a închide, complet sau parţial, în conformitate cu dreptul şi practicile naţionale, sistemele informatice sau funcţiile care au fost compromise sau utilizate în scopuri ilegale. Statele membre ar trebui, de asemenea, să aibă în vedere înfiinţarea unor reţele de cooperare şi parteneriat cu prestatorii şi producătorii de servicii pentru schimbul de informaţii în legătură cu infracţiunile care fac obiectul prezentei directive.
(24)Este necesar să se culeagă date comparabile privind infracţiunile prevăzute în prezenta directivă. Datele relevante ar trebui puse la dispoziţia agenţiilor şi organismelor specializate competente ale Uniunii, cum ar fi Europol şi ENISA, în conformitate cu atribuţiile şi necesităţile informaţionale ale acestora, pentru a se obţine o imagine mai completă a criminalităţii informatice şi a securităţii informatice şi a reţelelor la nivelul Uniunii şi a se contribui, astfel, la formularea unor reacţii mai eficace. Statele membre ar trebui să transmită, de asemenea, Europolului şi Centrului european de combatere a criminalităţii informatice informaţii privind modul de operare al autorilor, în scopul efectuării unor evaluări ale ameninţărilor şi a unor analize strategice ale criminalităţii informatice în conformitate cu Decizia 2009/371/JAI a Consiliului din 6 aprilie 2009 privind înfiinţarea Oficiului European de Poliţie (Europol) (1). Transmiterea informaţiilor poate facilita o mai bună înţelegere a ameninţărilor prezente şi viitoare, contribuind astfel la un proces decizional mai adecvat şi mai precis în ceea ce priveşte prevenirea şi combaterea atacurilor împotriva sistemelor informatice.
(1)JO L 121, 15.5.2009, p. 37.
(25)Comisia ar trebui să prezinte un raport privind aplicarea prezentei directive şi propunerile legislative necesare, care pot conduce la extinderea domeniului său de aplicare, ţinând seama de evoluţiile din domeniul criminalităţii informatice. Aceste evoluţii ar putea include şi evoluţiile tehnologice care permit, de exemplu, o asigurare mai eficientă a respectării dispoziţiilor în domeniul atacurilor împotriva sistemelor informatice, care facilitează prevenirea atacurilor sau care minimizează impactul acestora. În acest scop, Comisia ar trebui să ţină seama de analizele şi de rapoartele disponibile produse de factorii implicaţi relevanţi, în special de Europol şi de ENISA.
(26)Pentru a combate în mod eficient criminalitatea informatică, se impune să fie sporită rezistenţa sistemelor informatice prin adoptarea unor măsuri corespunzătoare pentru a asigura o protecţie mai eficace a acestora împotriva atacurilor informatice. Statele membre ar trebui să ia măsurile necesare în vederea protejării sistemelor informatice care fac parte din infrastructura critică împotriva atacurilor informatice, în cadrul a ceea ce ar trebui să reprezinte protecţia sistemelor lor informatice şi a datelor conexe. Asigurarea unui nivel adecvat de protecţie şi de securitate a sistemelor informatice de către persoanele juridice, de exemplu, în legătură cu prestarea de servicii de comunicaţii electronice publice în conformitate cu legislaţia Uniunii existentă în materie de confidenţialitate şi de protecţie ale datelor şi comunicaţiilor electronice, constituie o parte esenţială a unei abordări cuprinzătoare pentru combaterea eficace a criminalităţii informatice. Ar trebui să se garanteze un nivel de protecţie adecvat împotriva ameninţărilor şi vulnerabilităţilor care pot fi identificate în mod rezonabil, în conformitate cu progresele tehnologice, pentru sectoarele specifice şi situaţiile specifice de prelucrare a datelor. Costurile şi obligaţiile asumate pentru această protecţie ar trebui să fie proporţionale cu eventualele prejudicii provocate celor afectaţi de un atac informatic. Statele membre sunt încurajate să prevadă în legislaţia lor naţională măsurile de stabilire a responsabilităţilor în cazurile în care o persoană juridică nu a asigurat, în mod vădit, un nivel adecvat de protecţie împotriva atacurilor informatice.
(27)Lacunele şi diferenţele considerabile existente în legislaţiile statelor membre şi în procedurile penale în domeniul atacurilor împotriva sistemelor informatice pot crea obstacole în calea luptei împotriva criminalităţii organizate şi terorismului şi pot îngreuna desfăşurarea unei cooperări judiciare şi poliţieneşti eficace în acest domeniu. Dat fiind caracterul transnaţional, care nu ţine seama de frontiere, al sistemelor informatice moderne, atacurile împotriva acestor sisteme sunt de natură transfrontalieră, subliniind nevoia urgentă de a se face în continuare demersuri pentru armonizarea legislaţiilor penale în acest domeniu. De asemenea, coordonarea urmăririi penale în cazurile de atacuri împotriva sistemelor informatice ar trebui să fie facilitată de o punere în aplicare şi de o aplicare propriu-zisă corespunzătoare a Deciziei-cadru 2009/948/JAI a Consiliului din 30 noiembrie 2009 privind prevenirea şi soluţionarea conflictelor referitoare la exercitarea competenţei în cadrul procedurilor penale (1). Statele membre în cooperare cu Uniunea ar trebui, de asemenea, să urmărească ameliorarea cooperării la nivel internaţional în domeniul securităţii sistemelor, reţelelor şi datelor informatice. Ar trebui să se acorde atenţia cuvenită securităţii transferului şi stocării datelor în orice acord internaţional care implică schimbul de date.
(1)JO L 328, 15.12.2009, p. 42.
(28)Îmbunătăţirea cooperării dintre organele competente de aplicare a legii şi autorităţile judiciare din Uniune este esenţială pentru combaterea eficientă a criminalităţii informatice. În acest context, intensificarea eforturilor în ceea ce priveşte formarea adecvată a autorităţilor competente pentru a se cunoaşte mai bine criminalitatea informatică şi efectele acesteia şi pentru a promova cooperarea şi schimbul de bune practici, de exemplu, prin intermediul agenţiilor şi organismelor specializate competente ale Uniunii, ar trebui încurajată. Astfel de formări ar trebui să îşi propună, printre altele, să sensibilizeze participanţii cu privire la diferenţele dintre sistemele juridice naţionale, posibilele provocări de ordin juridic şi tehnic întâlnite în anchetele penale şi distribuţia de competenţe între autorităţile naţionale competente.
(29)Prezenta directivă respectă drepturile omului şi libertăţile fundamentale şi principiile recunoscute în special de Carta drepturilor fundamentale a Uniunii Europene şi de Convenţia europeană pentru apărarea drepturilor omului şi a libertăţilor fundamentale, inclusiv protecţia datelor cu caracter personal, dreptul la confidenţialitate, libertatea de exprimare şi de informare, dreptul la un proces echitabil, prezumţia de nevinovăţie şi drepturile la apărare, precum şi principiile legalităţii şi proporţionalităţii infracţiunilor şi sancţiunilor penale. În special, prezenta directivă urmăreşte să asigure respectarea deplină a acestor drepturi şi principii şi trebuie pusă în aplicare în mod corespunzător.
(30)Protecţia datelor cu caracter personal constituie un drept fundamental în conformitate cu articolul 16 alineatul (1) din TFUE şi cu articolul 8 din Carta drepturilor fundamentale. Prin urmare, prelucrarea de date cu caracter personal în contextul punerii în aplicare a prezentei directive ar trebui să respecte pe deplin dreptul relevant al Uniunii în domeniul protecţiei datelor.
(31)În conformitate cu articolul 3 din Protocolul privind poziţia Regatului Unit şi a Irlandei cu privire la spaţiul de libertate, securitate şi justiţie, anexat la Tratatul privind Uniunea Europeană şi la Tratatul privind funcţionarea Uniunii Europene, aceste state membre au notificat intenţia lor de a participa la adoptarea şi la aplicarea prezentei directive.
(32)În conformitate cu articolele 1 şi 2 din Protocolul privind poziţia Danemarcei, anexat la Tratatul privind Uniunea Europeană şi la Tratatul privind funcţionarea Uniunii Europene, Danemarca nu participă la adoptarea prezentei directive, nu are obligaţii în temeiul acesteia şi nu face obiectul aplicării sale.
(33)Deoarece obiectivele prezentei directive, şi anume aplicarea unor sancţiuni penale eficace, proporţionale şi disuasive în cazul atacurilor împotriva sistemelor informatice în toate statele membre şi de a îmbunătăţi şi încuraja cooperarea judiciară şi între alte autorităţi competente, nu pot fi atinse la un nivel satisfăcător de statele membre şi, în consecinţă, având în vedere amploarea sau efectele acţiunii, pot fi realizate mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporţionalităţii, astfel cum este enunţat în articolul respectiv, prezenta directivă nu depăşeşte ceea ce este necesar pentru atingerea acestor obiective.
(34)Prezenta directivă vizează modificarea şi dezvoltarea dispoziţiilor Deciziei-cadru 2005/222/JAI a Consiliului din 24 februarie 2005 privind atacurile împotriva sistemelor informatice (2). Întrucât modificările care urmează să fie efectuate sunt numeroase şi substanţiale, Decizia-cadru 2005/222/JAI ar trebui să fie, din motive de claritate, înlocuită în totalitate în ceea ce priveşte statele membre care participă la adoptarea prezentei directive,
(2)JO L 69, 16.3.2005, p. 67.
ADOPTĂ PREZENTA DIRECTIVĂ:
-****-
Art. 1: Obiect
Prezenta directivă stabileşte norme minime privind definiţia infracţiunilor şi a sancţiunilor penale în domeniul atacurilor împotriva sistemelor informatice. De asemenea, prezenta directivă urmăreşte să faciliteze prevenirea unor astfel de infracţiuni şi să îmbunătăţească cooperarea dintre autorităţile judiciare şi alte autorităţi competente.
Art. 2: Definiţii
În sensul prezentei directive, se aplică următoarele definiţii:
(a)„sistem informatic" înseamnă un dispozitiv sau grup de dispozitive interconectate sau omoloage, dintre care unul sau mai multe asigură, prin intermediul unui program, prelucrarea automată a datelor informatice, precum şi datele informatice stocate, prelucrate, recuperate sau transmise de acest dispozitiv sau grup de dispozitive în vederea exploatării, a utilizării, a protecţiei şi a întreţinerii lor;
(b)„date informatice" înseamnă o reprezentare de fapte, informaţii sau concepte într-o formă adecvată pentru prelucrare într-un sistem informatic, inclusiv un program care permite unui sistem informatic să execute o funcţie;
(c)„persoană juridică" înseamnă o entitate care are statutul de persoană juridică în conformitate cu legislaţia aplicabilă, dar nu include statele sau alte organisme publice aflate în exerciţiul autorităţii de stat şi organizaţiile internaţionale de drept public;
(d)„fără a avea dreptul" înseamnă un comportament menţionat de prezenta directivă, inclusiv accesarea, afectarea integrităţii sau interceptarea fără autorizare din partea proprietarului sau a unui alt titular de drepturi, a sistemului sau a unei părţi a acestuia, sau care nu este permis în temeiul legislaţiei naţionale.
Art. 3: Accesarea ilegală a sistemelor informatice
Statele membre adoptă măsurile necesare pentru a garanta că accesarea cu intenţie şi fără drept a unui sistem informatic sau a unei părţi a acestuia este incriminată atunci când este săvârşită prin încălcarea unei măsuri de securitate, cel puţin atunci când nu reprezintă un caz minor.
Art. 4: Afectarea ilegală a integrităţii sistemului
Statele membre adoptă măsurile necesare pentru a asigura că perturbarea gravă sau întreruperea funcţionării unui sistem informatic prin introducerea, transmiterea, periclitarea, ştergerea, deteriorarea, modificarea, eliminarea datelor informatice sau prin a le face inaccesibile, cu intenţie şi fără drept, este incriminată, cel puţin atunci când nu reprezintă un caz minor.
Art. 5: Afectarea ilegală a integrităţii datelor
Statele membre adoptă măsurile necesare pentru a asigura că fapta care constă în ştergerea, periclitarea, deteriorarea, modificarea, eliminarea datelor informatice dintr-un sistem informatic
sau în a le face inaccesibile, cu intenţie şi fără drept, este incriminată, cel puţin atunci când nu reprezintă un caz minor.
Art. 6: Interceptarea ilegală
Statele membre adoptă măsurile necesare pentru a garanta că interceptarea, cu intenţie şi fără drept, prin mijloace tehnice, de transmisii private de date informatice către un sistem informatic, dinspre acesta sau în interiorul acestuia, inclusiv de emisii electromagnetice provenite de la un sistem informatic care transmite asemenea date informatice este incriminată, cel puţin atunci când nu reprezintă un caz minor.
Art. 7: Instrumentele care servesc la săvârşirea infracţiunilor
Statele membre adoptă măsurile necesare pentru a garanta că producerea, vânzarea, procurarea în vederea utilizării, importul, distribuirea sau punerea la dispoziţie în alt mod, cu intenţie, a următoarelor instrumente, fără a avea dreptul şi cu intenţia de a servi la săvârşirea oricăreia dintre infracţiunile menţionate la articolele 3-6, sunt incriminate, cel puţin atunci când nu reprezintă un caz minor:
(a)un program de calculator, conceput sau adaptat în principal în scopul săvârşirii oricăreia dintre infracţiunile menţionate la articolele 3-6;
(b)o parolă de calculator, un cod de acces sau date similare, prin care un întreg sistem informatic sau orice parte a acestuia poate fi accesat(ă).
Art. 8: Instigarea, complicitatea şi tentativa
(1)Statele membre asigură că instigarea şi complicitatea la săvârşirea oricăreia dintre infracţiunile menţionate la articolele 3-7 sunt incriminate.
(2)Statele membre se asigură că tentativa de săvârşire a oricăreia dintre infracţiunile prevăzute la articolele 4 şi 5 este incriminată.
Art. 9: Sancţiuni
(1)Statele membre iau măsurile necesare pentru a garanta că infracţiunile menţionate la articolele 3-8 sunt sancţionate de sancţiuni penale eficace, proporţionale şi disuasive.
(2)Statele membre iau măsurile necesare pentru a garanta că infracţiunile menţionate la articolele 3-7 sunt sancţionate cu o pedeapsă maximă cu închisoarea de cel puţin doi ani, cel puţin atunci când nu reprezintă un caz minor.
(3)Statele membre iau măsurile necesare pentru a garanta că infracţiunile menţionate la articolele 4 şi 5 sunt sancţionate cu o pedeapsă maximă cu închisoarea de cel puţin trei ani în cazul în care sunt săvârşite cu intenţie şi un număr semnificativ de sisteme informatice a fost afectat prin utilizarea unui instrument menţionat la articolul 7, conceput sau adaptat în principal în acest scop.
(4)Statele membre iau măsurile necesare pentru a garanta că infracţiunile menţionate la articolele 4 şi 5 sunt sancţionate cu o pedeapsă maximă cu închisoarea de cel puţin cinci ani în cazul în care:
a)sunt săvârşite în cadrul unei organizaţii criminale, astfel cum este definită în Decizia-cadru 2008/841/JAI, independent de sancţiunea prevăzută de aceasta;
b)provoacă prejudicii grave; sau
c)sunt săvârşite împotriva unui sistem informatic din infrastructura critică.
(5)Statele membre iau măsurile necesare pentru a garanta că infracţiunile menţionate la articolele 4 şi 5, în cazurile în care sunt săvârşite prin abuzul de date cu caracter personal ale unei alte persoane, în scopul de a obţine încrederea unei terţe părţi, cauzând prejudicii prin aceasta deţinătorului de drept al identităţii, acestea, în conformitate cu legislaţia naţională, pot fi considerate circumstanţe agravante, cu excepţia cazurilor în care respectivele circumstanţe sunt încadrate la altă infracţiune sancţionată de legislaţia naţională.
Art. 10: Răspunderea persoanelor juridice
(1)Statele membre iau măsurile necesare pentru a garanta angajarea răspunderii persoanelor juridice pentru oricare dintre infracţiunile prevăzute la articolele 3-8, săvârşite în beneficiul lor de către orice persoană, acţionând fie în nume propriu, fie ca parte a unui organism al persoanei juridice şi având o funcţie de conducere în cadrul persoanei juridice, în temeiul:
a)unei împuterniciri din partea persoanei juridice;
b)unei prerogative de a lua decizii în numele persoanei juridice;
c)unei prerogative de a exercita controlul în cadrul persoanei juridice.
(2)Statele membre adoptă măsurile necesare pentru a garanta angajarea răspunderii persoanelor juridice în cazul în care nesupravegherea sau neexercitarea controlului, imputabile unei persoane menţionate la alineatul (1), a permis săvârşirea, de către o persoană aflată în subordine, a oricăreia dintre infracţiunile menţionate la articolele 3-8, în beneficiul acelei persoane juridice.
(3)Răspunderea persoanelor juridice în temeiul alineatelor (1) şi (2) nu exclude procedurile penale îndreptate împotriva persoanelor fizice care sunt autori, instigatori sau complici la oricare dintre infracţiunile prevăzute la articolele 3-8.
Art. 11: Sancţiuni aplicabile persoanelor juridice
(1)Statele membre iau măsurile necesare pentru a garanta că oricărei persoane juridice a cărei răspundere este angajată în temeiul articolului 10 alineatul (1) i se aplică sancţiuni eficace, proporţionale şi disuasive, care includ amenzi penale sau administrative şi care pot să includă alte sancţiuni, ca de exemplu:
a)decăderea din dreptul de a primi beneficii publice sau ajutor public;
b)interdicţia temporară sau permanentă de a desfăşura activităţi comerciale;
c)punerea sub supraveghere judiciară;
d)lichidarea judiciară;
e)închiderea temporară sau permanentă a unităţilor care au servit la comiterea infracţiunii.
(2)Statele membre iau măsurile necesare pentru a garanta că oricărei persoane juridice a cărei răspundere este angajată în temeiul articolului 10 alineatul (2) i se aplică sancţiuni sau măsuri eficace, proporţionale şi disuasive.
Art. 12: Competenţă
(1)Statele membre îşi determină competenţa cu privire la infracţiunile menţionate la articolele 3-8 în cazul în care infracţiunea a fost săvârşită:
a)integral sau parţial pe teritoriul lor; sau
b)de către unul dintre resortisanţii lor, cel puţin în cazurile în care acţiunea constituie o infracţiune acolo unde a fost săvârşită.
(2)Atunci când îşi determină competenţa în conformitate cu alineatul (1) litera (a), un stat membru se asigură că are competenţă atunci când:
a)autorul săvârşeşte infracţiunea atunci când este prezent fizic pe teritoriul său, indiferent dacă infracţiunea vizează un sistem informatic situat pe teritoriul său; sau
b)infracţiunea vizează un sistem informatic situat pe teritoriul său, indiferent dacă autorul era sau nu era prezent fizic pe teritoriul său.
(3)Un stat membru informează Comisia atunci când decide să îşi determine competenţa în ceea ce priveşte o infracţiune dintre cele menţionate la articolele 3-8, care a fost săvârşită în afara teritoriului său, inclusiv în cazul în care:
a)autorul infracţiunii îşi are reşedinţa obişnuită pe teritoriul său; sau
b)infracţiunea a fost săvârşită în beneficiul unei persoane juridice având sediul pe teritoriul său.
Art. 13: Schimbul de informaţii
(1)În scopul efectuării schimbului de informaţii referitoare la infracţiunile menţionate la articolele 3-8, statele membre se asigură că dispun de un punct de contact naţional operaţional şi că utilizează reţeaua existentă de puncte de contact operaţionale disponibile 24 de ore din 24 şi şapte zile pe săptămână. Statele membre se asigură, de asemenea, că dispun de procedurile necesare astfel încât, pentru cereri urgente de asistenţă, autoritatea competentă poate indica, în termen de cel mult opt ore de la primire, cel puţin dacă cererea va primi un răspuns, precum şi forma şi ora estimată ale acestui răspuns.
(2)Statele membre informează Comisia cu privire la punctul lor de contact desemnat menţionat la alineatul (1). Comisia comunică aceste informaţii celorlalte state membre, precum şi agenţiilor şi organelor specializate competente ale Uniunii.
(3)Statele membre iau toate măsurile necesare pentru a se asigura că sunt puse la dispoziţie canale adecvate pentru a facilita aducerea, fără întârziere, la cunoştinţa autorităţilor naţionale competente a infracţiunilor menţionate la articolele 3-6.
Art. 14: Monitorizare şi statistici
(1)Statele membre se asigură că dispun de un sistem adecvat pentru înregistrarea, producerea şi furnizarea de date statistice cu privire la infracţiunile menţionate la articolele 3-7.
(2)Datele statistice menţionate la alineatul (1) acoperă, cel puţin, datele disponibile cu privire la numărul de infracţiuni menţionate la articolele 3-7 înregistrate de statele membre şi numărul de persoane urmărite penal şi condamnate pentru infracţiunile prevăzute la articolele 3-7.
(3)Statele membre transmit Comisiei datele culese în conformitate cu prezentul articol. Comisia asigură publicarea unei revizuiri consolidate a acestor rapoarte statistice şi transmiterea acesteia către agenţiile şi organele specializate competente ale Uniunii.
Art. 15: Înlocuirea Deciziei-cadru 2005/222/JAI
Decizia-cadru 2005/222/JAI este înlocuită în ceea ce priveşte statele membre care participă la adoptarea prezentei directive, fără a aduce atingere obligaţiilor statelor membre în ceea ce priveşte termenul pentru transpunerea deciziei-cadru în legislaţia naţională.
În ceea ce priveşte statele membre care participă la adoptarea prezentei directive, trimiterile la Decizia-cadru 2005/222/JAI se interpretează ca trimiteri la prezenta directivă.
Art. 16: Transpunere
(1)Statele membre pun în aplicare actele cu putere de lege şi actele administrative necesare pentru a se conforma prezentei directive până la 4 septembrie 2015.
(2)Statele membre transmit Comisiei textul dispoziţiilor care transpun în legislaţia naţională obligaţiile care le revin în temeiul prezentei directive.
(3)Atunci când statele membre adoptă respectivele măsuri, acestea conţin o trimitere la prezenta directivă sau sunt însoţite de o asemenea trimitere la data publicării lor oficiale. Statele membre stabilesc modalitatea de efectuare a acestei trimiteri.
Art. 17: Raportare
Până la 4 septembrie 2017, Comisia prezintă Parlamentului European şi Consiliului un raport de evaluare a gradului în care statele membre au adoptat măsurile necesare pentru a se conforma prezentei directive, însoţit, dacă este necesar, de propuneri legislative. Comisia ţine seama, de asemenea, de evoluţiile tehnice şi juridice în domeniul criminalităţii informatice, în special cu privire la domeniul de aplicare al prezentei directive.
Art. 18: Intrarea în vigoare
Prezenta directivă intră în vigoare în a douăzecea zi de la data publicării sale în Jurnalul Oficial al Uniunii Europene.
Art. 19: Destinatarii
Prezenta directivă se adresează statelor membre, în conformitate cu tratatele.
-****-
Adoptată la Bruxelles, 12 august 2013.
Pentru Parlamentul European Preşedintele M. SCHULZ | Pentru Consiliu Preşedintele L. LINKEVICIUS |
Publicat în Jurnalul Oficial cu numărul 218L din data de 14 august 2013