Artikelen bij COM(2008)448 - Op basis van artikel 12 van het kaderbesluit van de Raad van 24 februari 2005 over aanvallen op informatiesystemen - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2008)448 - Op basis van artikel 12 van het kaderbesluit van de Raad van 24 februari 2005 over aanvallen op informatiesystemen. |
|---|---|
| document | COM(2008)448   |
| datum | 14 juli 2008 |
|
52008DC0448
Verslag van de Commissie aan de Raad op basis van artikel 12 van het kaderbesluit van de Raad van 24 februari 2005 over aanvallen op informatiesystemen /* COM/2008/0448 def. */
[pic] | COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN |
Brussel, 14.7.2008
COM(2008) 448 definitief
VERSLAG VAN DE COMMISSIE AAN DE RAAD
op basis van artikel 12 van het kaderbesluit van de Raad van 24 februari 2005 over aanvallen op informatiesystemen
1. INLEIDING
1.1. Achtergrond
Het doel van dit verslag is na te gaan of de lidstaten Kaderbesluit 2005/222/JBZ van de Raad over aanvallen op informatiesystemen (hierna 'het kaderbesluit' genoemd) correct in hun nationaal recht hebben omgezet.
Het kaderbesluit heeft als voornaamste doel de samenwerking tussen justitiële en andere bevoegde autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van de strafrechtelijke bepalingen van de lidstaten inzake aanvallen op informatiesystemen. Gelet op deze doelstelling is het kaderbesluit bedoeld als aanvulling op andere EU- en internationale instrumenten (in het bijzonder het Verdrag van de Raad van Europa inzake computercriminaliteit).
Sinds het kaderbesluit is aangenomen is door opeenvolgende criminele aanvallen op informatiesystemen bij herhaling gebleken dat een nauwere Europese samenwerking als antwoord op dit soort aanvallen nodig is. De omvangrijke denial-of-service-aanval tegen de informatie-infrastructuur van Estland in mei 2007 was een waarschuwing op het juiste moment voor de verstorende en vernietigende gevolgen van dergelijke aanvallen.
Bijgevolg is de noodzaak van een volledige en correcte uitvoering van het kaderbesluit door alle lidstaten sterker geworden sinds de aanneming van het kaderbesluit. Dat dit verslag op het juiste moment komt, wordt voorts benadrukt door de uitdrukkelijke verwijzing naar de bestrijding van cybercriminaliteit in de conclusies van de recente bijeenkomst van de Raad justitie en binnenlandse zaken, waarin de Raad ook stelt dat hij uitziet naar de ontvangst van het verslag van de Commissie over de uitvoering.
1.2. Kennisgeving en antwoorden
Op grond van artikel 12, lid 2, van het kaderbesluit zijn lidstaten verplicht om uiterlijk op 16 maart 2007 kennis te geven van de tekst van de bepalingen waarmee de uit hoofde van het kaderbesluit op hen rustende verplichtingen in hun nationale wetgeving worden omgezet. Op die dag had slechts één staat (Zweden) de Commissie een nationale tekst toegezonden en die was dan nog onvolledig. Daarom heeft de Commissie de lidstaten een herinnering gestuurd, waarin hen werd gevraagd de Commissie de tekst van alle nationale bepalingen ter uitvoering van het kaderbesluit toe te zenden samen met alle nuttig geachte informatie betreffende de uitvoering van deze maatregel.
Op 1 juni 2008 had de Commissie van 23 lidstaten kennisgevingen of antwoorden op de herinnering ontvangen. Van Malta , Polen , Slowakije en Spanje werden geen antwoorden ontvangen. Bovendien is het op basis van de antwoorden van Ierland , Griekenland en het Verenigd Koninkrijk niet mogelijk de uitvoering in die staten te beoordelen, aangezien de uitvoering er vertraging heeft opgelopen, hetgeen ook door de respectieve regeringen wordt erkend.
Daarom zijn de zeven genoemde lidstaten de krachtens artikel 12, lid 2, van het kaderbesluit op hen rustende kennisgevingsverplichting niet nagekomen. Bijgevolg bevat dit verslag alleen een beoordeling van het recht van de andere 20 lidstaten.
1.3. Methode en beoordelingscriteria
Dit verslag is gebaseerd op de door de lidstaten verstrekte gegevens. Bepaalde noodzakelijke gegevens ontbreken echter. Derhalve berusten de feitelijke beoordeling en de daaruit getrokken conclusies in dit verslag gedeeltelijk op onvolledige informatie.
Artikel 34, lid 2, onder b), van het Verdrag betreffende de Europese Unie bepaalt dat kaderbesluiten verbindend zijn voor de lidstaten ten aanzien van het te bereiken resultaat, doch dat aan de nationale instanties de bevoegdheid wordt gelaten vorm en middelen te kiezen. Teneinde op grond van objectieve gegevens te kunnen beoordelen of een lidstaat een kaderbesluit volledig heeft uitgevoerd, zijn enkele algemene criteria voor richtlijnen ontwikkeld. Die criteria zijn van overeenkomstige toepassing op kaderbesluiten. De regels tot uitvoering van het kaderbesluit moeten met name nuttig effect hebben, gelet op de doelstellingen ervan, moeten aan de eisen van duidelijkheid en rechtszekerheid voldoen, moeten de volledige toepassing van de tekst op een voldoende duidelijke en precieze wijze verzekeren en moeten binnen de vastgestelde termijn worden uitgevoerd.
In dit verslag wordt hoofdzakelijk de klemtoon gelegd op het formele niveau van uitvoering van de strafrechtelijke bepalingen van het kaderbesluit. De feitelijke toepassing van die regels valt echter niet onder dit verslag.
2. BEOORDELING
2.1. Algemene opmerking over de uitvoering
Het kaderbesluit is op zeer uiteenlopende manieren uitgevoerd in de 20 lidstaten. In de meeste staten vertoont de formulering van het nationale recht sterke gelijkenissen met die welke in het kaderbesluit wordt gebruikt. In andere staten is een meer onrechtstreekse en algemene uitvoeringsmethode toegepast. In veel gevallen betekent dit dat de gebruikte juridische concepten en uitdrukkingen niet gemakkelijk vergelijkbaar zijn. Voor zover mogelijk wordt in dit verslag rekening gehouden met het algemene strafrecht van de lidstaten en wordt gewezen op de bijzondere moeilijkheden in verband met deze aanpak.
2.2. Definities (Artikel 1)
De 20 lidstaten hebben geen duidelijke of volledige gegevens verstrekt over de manier waarop de definities uit het kaderbesluit in hun nationale recht zijn toegepast. Uit de algemene context blijkt echter duidelijk dat de definities in hun nationale recht goed met het kaderbesluit overeenstemmen.
2.3. Onrechtmatige toegang tot informatiesystemen (Artikel 2)
De Commissie is van oordeel dat alle 20 lidstaten de voornaamste verplichting hebben uitgevoerd, namelijk opzettelijke, onrechtmatige toegang tot een informatiesysteem of enig onderdeel daarvan strafbaar te stellen.
In de laatste zin van het eerste lid wordt de lidstaten de mogelijkheid geboden om dergelijk gedrag alleen strafbaar te stellen 'voor gevallen die niet onbeduidend zijn'. De volgende lidstaten hebben, min of meer expliciet, deze mogelijkheid gebruikt, ervan uitgaande dat de hieronder beschreven voorbeelden overeenkomen met 'gevallen die niet onbeduidend zijn':
- In Oostenrijk is het wettelijke criterium voor strafrechtelijke aansprakelijkheid dat er sprake moet zijn van een oogmerk om dataspionage te plegen en om de verkregen gegevens te gebruiken om er voordeel uit te halen of schade te berokkenen;
- In Tsjechië wordt onrechtmatige toegang alleen strafbaar gesteld in gevallen waarin de gegevens nadien worden misbruikt of beschadigd;
- In Finland is het vereiste voor strafrechtelijke aansprakelijkheid dat de gegevens waartoe toegang wordt verkregen, 'in gevaar worden gebracht';
- In Letland is onrechtmatige toegang slechts strafbaar 'wanneer daardoor aanzienlijke schade wordt berokkend'.
Om te kunnen beoordelen of deze voorbeelden met het kaderbesluit overeenstemmen, is een specifieke uitlegging van 'gevallen die niet onbeduidend zijn' vereist. Een dergelijke uitlegging is vereist om vast te stellen of ten minste het kerngebied van de door het kaderbesluit bedoelde strafbaarstelling formeel door de lidstaten wordt gedekt. Artikel 2 is erop gericht de vertrouwelijkheid van informatiesystemen te beschermen. Bijgevolg is de Commissie van oordeel dat het begrip 'onbeduidend geval' moet verwijzen naar gevallen waarin de onrechtmatige toegang van geringe betekenis is of waarin een inbreuk op de vertrouwelijkheid van een informatiesysteem minder ernstig is. In de bovengenoemde overeenkomstige Oostenrijkse, Tsjechische , Finse en Letse regels worden omstandigheden gepreciseerd, bv. wanneer er sprake is van specifiek misdadig opzet of specifieke risico's of schade, die niet als consistent met bovengenoemde uitlegging kunnen worden beschouwd. De Commissie heeft dus ernstige twijfels over de vraag of de Oostenrijkse , Tsjechische , Finse en Letse bepalingen in overeenstemming zijn met de in het kaderbesluit gehuldigde opvatting over omstandigheden van 'gevallen die niet onbeduidend zijn'.
Meer algemeen vormt een dergelijke afwijkende uitlegging en toepassing van de mogelijkheid om bepaalde handelingen niet strafbaar te stellen een ernstig risico voor de doelstelling om de strafrechtelijke bepalingen van de lidstaten inzake aanvallen op informatiesystemen onderling af te stemmen.
De Commissie is derhalve van oordeel dat slechts 16 van de 20 lidstaten hebben aangetoond dat zij artikel 2 van het kaderbesluit naar behoren hebben uitgevoerd.
Op grond van artikel 2, lid 2, kan iedere lidstaat beslissen dat de in lid 1 bedoelde gedragingen alleen strafbaar worden gesteld indien het feit wordt gepleegd door een inbreuk op de beveiligingsmaatregelen. Deze mogelijkheid werd in zeven van de 20 lidstaten toegepast ( Oostenrijk, Finland, Duitsland, Hongarije, Italië, Letland en Litouwen ).
2.4. Onrechtmatige systeemverstoring (artikel 3)
De Commissie is van oordeel dat alle 20 lidstaten de voornaamste verplichting zijn nagekomen, dat wil zeggen garanderen dat het opzettelijk ernstig hinderen of het onderbreken van de werking van een informatiesysteem, door de invoer, de transmissie, het beschadigen, wissen, verminken, wijzigen, onderdrukken of ontoegankelijk maken van computergegevens, strafbaar wordt gesteld.
Om deze beoordeling te bevestigen kan het toch nodig zijn de praktijk in die lidstaten die relatief algemene bepalingen hebben gekozen voor de uitvoering van dit gedetailleerde artikel van het kaderbesluit, nader te analyseren. Dat is het geval in Denemarken dat beweert dat een zeer algemene wettelijke bepaling betreffende vernieling, beschadiging of verwijdering van alle soorten goederen alle in dit artikel opgesomde criteria omvat. Hoewel een dergelijke benadering in beginsel aanvaardbaar is, is het betwijfelbaar of een dergelijke bepaling van toepassing is op aanvallen op toegankelijkheid, met name in gevallen waarin de beschadiging slechts tijdelijk is.
In de laatste zin van artikel 3 wordt de lidstaten de mogelijkheid geboden om dergelijk gedrag alleen strafbaar te stellen 'voor gevallen die niet onbeduidend zijn'. Zes lidstaten hebben van deze mogelijkheid gebruik gemaakt en, min of meer expliciet, gesteld dat de volgende voorbeelden die omstandigheden omvatten:
- in het Oostenrijkse recht wordt verstoring alleen in 'ernstige' gevallen strafbaar gesteld;
- in het Tsjechische recht wordt vereist dat er een oogmerk is om schade of nadeel te berokkenen;
- het Duitse recht vereist dat het verstoorde informatiesysteem 'van aanzienlijk belang moet zijn voor een derde partij';
- volgens het Estse recht is strafrechtelijke aansprakelijkheid afhankelijk van het criterium dat 'aanzienlijke schade is veroorzaakt';
- volgens het Litouwse recht zijn alleen incidenten "waarbij … schade wordt veroorzaakt" strafbaar;
- volgens het Letse recht is verstoring alleen strafbaar wanneer 'de beschermingssystemen zijn beschadigd of vernield of wanneer omvangrijk verlies is veroorzaakt'.
Om te kunnen beoordelen of bovengenoemde voorbeelden met het kaderbesluit overeenstemmen, is een nadere definitie nodig van 'gevallen die niet onbeduidend zijn'. Deze noodzaak werd hierboven reeds in punt 2.3 besproken betreffende artikel 2.
Artikel 3 is erop gericht de integriteit van informatiesystemen te beschermen. Bijgevolg is de Commissie van oordeel dat het begrip 'onbeduidend geval' moet verwijzen naar gevallen waarin de systeemverstoring op zich van geringe betekenis is of waarin de integriteit van het informatiesysteem slechts in geringe mate wordt verstoord. De bovengenoemde relevante Oostenrijkse , Tsjechische , Estse en Litouwse regels lijken precies op dergelijke omstandigheden gericht te zijn en moeten geacht worden in overeenstemming te zijn met het vereiste dat alleen onbeduidende gevallen van verstoring van strafbaarstelling kunnen worden uitgesloten.
De relevante Duitse regels verwijzen echter naar het belang voor een derde partij en de Letse regels naar beschadiging van beschermingssystemen of omvangrijk verlies. De Commissie is van oordeel dat het verband tussen deze bepalingen en de integriteit van informatiesystemen niet volstaat om te beoordelen of zij overeenstemmen met de mogelijkheid uit het kaderbesluit om gevallen die niet onbeduidend zijn, van strafbaarstelling uit te sluiten en dat dit niet consistent is met de doelstelling van het kaderbesluit om de strafrechtelijke bepalingen van de lidstaten inzake aanvallen op informatiesystemen onderling af te stemmen.
Meer algemeen vormt een dergelijke afwijkende uitlegging en toepassing van de mogelijkheid om bepaalde handelingen niet strafbaar te stellen een ernstig risico voor de doelstelling om de strafrechtelijke bepalingen van de lidstaten inzake aanvallen op informatiesystemen onderling af te stemmen.
De Commissie is derhalve van oordeel dat slechts 18 van de 20 lidstaten hebben aangetoond dat zij artikel 3 van het kaderbesluit naar behoren hebben uitgevoerd.
2.5. Onrechtmatige gegevensverstoring (artikel 4)
De Commissie is van oordeel dat alle 20 lidstaten de voornaamste verplichting om het opzettelijk wissen, beschadigen, verminken, wijzigen, onderdrukken of ontoegankelijk maken van computergegevens in een informatiesysteem strafbaar te stellen, zijn nagekomen. Veel lidstaten hebben de artikelen 3 en 4 in één enkele nationale bepaling uitgevoerd. Ook hier is de Commissie er in het geval van Denemarken niet van overtuigd dat een zeer algemeen gehouden wettelijke bepaling betreffende vernieling, beschadiging of verwijdering van alle soorten goederen, de in dit artikel opgesomde handelingen in verband met computergegevens omvat. Voor een korte bespreking van deze kwestie: zie de opmerkingen over artikel 3 in punt 2.4.
In de laatste zin van het artikel wordt de lidstaten de mogelijkheid geboden om dergelijk gedrag alleen strafbaar te stellen 'voor gevallen die niet onbeduidend zijn'. Drie lidstaten hebben van deze mogelijkheid gebruik gemaakt en hebben, min of meer expliciet, gesteld dat de volgende voorbeelden die omstandigheden omvatten:
- in het Tsjechische recht is vereist dat er een oogmerk is om schade of nadeel te berokkenen;
- volgens het Estse recht is vereist dat 'aanzienlijke schade is veroorzaakt';
- in het Letse recht (artikel 243 van het strafrecht) geldt het criterium dat 'de beschermingssystemen zijn beschadigd of vernield of dat omvangrijk verlies is veroorzaakt'.
Zoals eerder aangegeven in punt 2.4 betreffende de identieke bepalingen tot uitvoering van artikel 3 van het kaderbesluit, is de Commissie van oordeel dat het Tsjechische recht op dit gebied overeenstemt met het kaderbesluit, en dat het Estse recht geacht moet worden daarmee in overeenstemming te zijn. Letland kan ook op dit punt van het kaderbesluit niet geacht worden zijn verplichtingen te zijn nagekomen.
De Commissie is van oordeel dat 19 van de 20 lidstaten hebben aangetoond dat zij artikel 4 van het kaderbesluit naar behoren hebben uitgevoerd.
2.6. Uitlokking, medeplichtigheid, poging (artikel 5)
De Commissie is van oordeel dat 18 van de 20 lidstaten in beginsel de voornaamste verplichting zijn nagekomen, te weten ervoor te zorgen dat uitlokking van, medeplichtigheid aan en poging tot een strafbaar feit strafbaar worden gesteld. Finland en Portugal hebben alleen nationale regels betreffende poging meegedeeld en hebben daarom niet aangetoond hoe de verplichtingen betreffende uitlokking en medeplichtigheid in het nationale recht worden uitgevoerd. Zweden voorziet niet in strafbaarstelling in onbeduidende zaken van uitlokking, medeplichtigheid en poging. Deze benadering is niet in overeenstemming met de vereisten van het kaderbesluit.
De lidstaten kunnen besluiten de verplichting ervoor te zorgen dat pogingen tot onrechtmatige toegang tot informatiesystemen, strafbaar wordt gesteld, niet toe te passen. Duitsland en Slovenië hebben gemeld dat zij van deze mogelijkheid gebruik maken.
Daarom is de Commissie van oordeel dat artikel 5 naar behoren is uitgevoerd in 17 van de 20 lidstaten.
2.7. Straffen en verzwarende omstandigheden (artikelen 6 en 7)
De Commissie is van oordeel dat alle 20 lidstaten ervoor hebben gezorgd dat op de in de artikelen 2 tot en met 5 van het kaderbesluit genoemde gedragingen redelijk doeltreffende, evenredige en afschrikkende straffen zijn gesteld. De op onrechtmatige systeemverstoring en onrechtmatige gegevensverstoring gestelde straffen voldoen ook aan de specifieke vereisten van artikel 6, lid 2, van het kaderbesluit.
De situatie betreffende de verplichting om rekening te houden met 'verzwarende omstandigheden' voor een strafbare gedraging begaan in het kader van een criminele organisatie (artikel 7) is meer gevarieerd.
- De bepalingen waarvan Oostenrijk kennis heeft gegeven, voldoen duidelijk niet aan deze verplichting van het kaderbesluit;
- Het Deense recht bevat geen rechtstreekse verwijzing naar criminele organisaties;
- In Finland worden criminele organisaties niet vermeld in de betrokken wetgeving;
- Portugal moet zijn wetgeving op bepaalde punten aanpassen om volledig aan het kaderbesluit te voldoen.
Andere lidstaten ( Bulgarije, Italië, Letland en Zweden ) maken geen melding van het criterium 'criminele organisaties' in de aan de Commissie meegedeelde bepalingen. Uit de meegedeelde teksten blijkt echter dat de verplichting om strengere straffen op te leggen voor in het kader van criminele organisaties gepleegde strafbare feiten in Bulgarije, Italië en Letland reeds volledig is uitgevoerd – zij het indirect – door nationale bepalingen. In die lidstaten worden in de geldende bepalingen voor alle gevallen van de betrokken strafbare gedragingen de in artikel 7 van het kaderbesluit vermelde strengere minimumstraffen opgelegd. De Zweedse regering beweert dat in het kader van criminele organisaties gepleegde strafbare gedragingen naar Zweeds recht volledig onder de verzwarende omstandigheid 'ernstig misdrijf' vallen, en heeft in dat verband nadere uitleg verschaft.
Bijgevolg is de Commissie van oordeel dat artikel 6 door alle 20 lidstaten naar behoren is uitgevoerd en dat 16 ervan voldoen aan de verplichtingen op grond van artikel 7 van het kaderbesluit.
2.8. Aansprakelijkheid van en straffen tegen rechtspersonen (artikelen 8 en 9)
De Commissie is van oordeel dat 16 van de 20 lidstaten duidelijk de nodige maatregelen hebben getroffen om te waarborgen dat rechtspersonen aansprakelijk kunnen worden gesteld voor de in de artikelen 2, 3, 4 en 5 genoemde strafbare gedragingen onder de voorwaarden bedoeld in artikel 8, lid 1.
Tsjechië, Letland en Luxemburg zijn hun verplichting om de Commissie kennis te geven van deze bepalingen, niet nagekomen.
Estland beweert dat zijn regels inzake burgerlijke aansprakelijkheid alle in artikel 8, lid 1, beschreven gevallen dekken, maar heeft de Commissie geen nadere gegevens verstrekt over deze regels. Er bestaat geen verplichting betreffende de aard van de betrokken aansprakelijkheid, en nationale regels inzake administratieve of burgerlijke aansprakelijkheid zouden – wanneer zij volledig consistent zijn met artikel 8 – in theorie kunnen volstaan. Estland heeft echter niet uiteengezet hoe zijn wetgeving inzake burgerlijke aansprakelijkheid de verplichtingen op grond van het kaderbesluit volledig dekt.
Op grond van artikel 8, lid 2, zijn de lidstaten verplicht ervoor te zorgen dat een rechtspersoon aansprakelijk kan worden gesteld in het geval dat een gebrek aan toezicht of controle door een persoon zoals bedoeld in lid 1 het mogelijk heeft gemaakt dat tot voordeel van die rechtspersoon een overtreding is begaan door een onder het gezag van die rechtspersoon staande persoon. De Commissie is van oordeel dat 10 van de 20 lidstaten aan dit vereiste hebben voldaan. Naast Tsjechië, Estland , Letland en Luxemburg , waar de conclusies over artikel 8, lid 1, ook gelden voor artikel 8, lid 2, hebben Denemarken , Finland , Frankrijk en Portugal geen relevante regels voorgelegd inzake de aansprakelijkheid van rechtspersonen. Frankrijk heeft verklaard dat die aansprakelijkheid voortvloeit uit de regels inzake burgerlijke aansprakelijkheid, maar heeft geen uitleg gegeven over de exacte inhoud van deze aansprakelijkheid.
Op grond van artikel 9 moeten de lidstaten de nodige maatregelen treffen opdat aan een rechtspersoon die volgens artikel 8, lid 1, en artikel 8, lid 2, aansprakelijk is, straffen kunnen worden opgelegd die doeltreffend, evenredig en afschrikkend zijn. Alle 14 lidstaten die maatregelen hebben voorgesteld die artikel 8, lid 1, correct uitvoeren en de 10 lidstaten die de krachtens artikel 8, lid 2, op hen rustende verplichtingen zijn nagekomen, zijn ook deze verplichtingen nagekomen.
De Commissie is derhalve van oordeel dat slechts 12 van de 20 lidstaten hebben aangetoond dat zij de artikelen 8 en 9 van het kaderbesluit naar behoren hebben uitgevoerd.
2.9. Rechtsmacht (artikel 10)
De Commissie is van oordeel dat 17 van de 20 lidstaten hun verplichting zijn nagekomen hun rechtsmacht te vestigen ten aanzien van de gedragingen in de zin van de artikelen 2, 3, 4 en 5 van het kaderbesluit (gebaseerd op de in artikel 10 vermelde specifieke criteria). Hoewel een vergelijking wordt bemoeilijkt door de verschillende wetgevingsmethoden voor kwesties inzake rechtsmacht in de lidstaten, vindt de Commissie dat het artikel goed is uitgevoerd. Letland en Portugal zijn hun verplichting om de Commissie in kennis te stellen van hun nationale regels tot uitvoering van artikel 10, niet nagekomen.
Van de in lid 5 vastgestelde mogelijkheid voor de lidstaten om te besluiten de in lid 1, onder b) en c), beschreven rechtsmachtregels niet, of slechts in specifieke gevallen of omstandigheden toe te passen, werd gebruik gemaakt en kennis gegeven door Frankrijk (in het geval van lid 1, onder b), en Oostenrijk, Finland , Duitsland , Hongarije en Litouwen (voor lid 1, onder c)). Italië lijkt ook gebruik te hebben gemaakt van lid 1, onder b) en c), en Estland en Roemenië van lid 1, onder c), hoewel zij dat niet formeel hebben bevestigd. Oostenrijk heeft de Commissie meegedeeld dat het nog nadenkt over de vraag of het van deze mogelijkheid zal blijven gebruik maken.
Daarom is de Commissie van oordeel dat artikel 10 naar behoren is uitgevoerd in 17 van de 20 lidstaten.
2.10. Uitwisseling van informatie (artikel 11)
De lidstaten zijn verplicht gebruik te maken van het bestaande netwerk van operationele meldpunten die 24 uur per dag en zeven dagen per week operationeel zijn. De Commissie heeft geen informatie ontvangen op basis waarvan zij kan beoordelen of dit met betrekking tot het kaderbesluit het geval is in België , Tsjechië , Duitsland , Italië, Nederland , Portugal en Slovenië .
Met betrekking tot de verplichting om het secretariaat-generaal van de Raad en de Commissie in kennis te stellen van het meldpunt dat is aangewezen (artikel 11, lid 2)), heeft de Commissie geen duidelijke kennisgeving ontvangen van Oostenrijk , Bulgarije, Italië en Portugal.
De Commissie is derhalve van oordeel dat slechts 11 van de 20 lidstaten hebben aangetoond dat zij alle in artikel 11 vastgestelde verplichtingen volledig zijn nagekomen.
3. CONCLUSIES
3.1. Stand van uitvoering
Dit verslag biedt een eerste inzicht in de uitvoering van het kaderbesluit door de lidstaten. Het bevestigt de grote verscheidenheid in de wijze waarop de lidstaten de strafwetgeving hebben uitgevoerd en de daaruit voortvloeiende moeilijkheid om de nationale wetgeving volledig te beoordelen zonder na te gaan hoe die in de praktijk wordt toegepast.
De Commissie merkt op dat bepaalde lidstaten nog bezig zijn met het uitvoeren van het kaderbesluit. Bijna alle in dit verslag beoordeelde 20 lidstaten hebben aanzienlijke vooruitgang geboekt. De stand van de uitvoering werd er relatief goed bevonden.
De grootste bezorgdheid van de Commissie gaat uit naar de zeven lidstaten die nog geen uitvoeringsmaatregelen hebben meegedeeld. De Commissie vraagt de lidstaten die het kaderbesluit nog niet in hun nationale wetgeving hebben omgezet, om zo snel mogelijk deze situatie te verhelpen. De Commissie vraagt de lidstaten ook om hun wetgeving opnieuw nauwkeurig te bekijken teneinde hun inspanningen om aanvallen op informatiesystemen tegen te gaan, te vergroten.
3.2. Toekomstige ontwikkelingen
Sinds het vaststellen van het kaderbesluit hebben recente aanvallen in heel Europa allerlei nieuwe bedreigingen aan het licht gebracht, met name het zich voordoen van omvangrijke gelijktijdige aanvallen op informatiesystemen en een toenemend crimineel gebruik van zogeheten botnets. Deze aanvallen waren niet het belangrijkste aandachtspunt toen het kaderbesluit werd aangenomen. Als antwoord op deze ontwikkelingen zal de Commissie acties in overweging nemen die erop gericht zijn betere antwoorden te vinden op de bedreiging van botnets. Die overwegingen kunnen betrekking hebben op specifieke strafbaarstelling van bepaalde activiteiten die crimineel gebruik van botnets vergemakkelijken en op zwaardere minimumstraffen voor gedragingen in de vorm van omvangrijke en bijzonder gevaarlijke aanvallen op informatiesystemen.
De Commissie overweegt ook om maatregelen te nemen om het doeltreffende en tijdige gebruik van de in artikel 11 vermelde contactpunten te bevorderen. De behoefte aan snel gemeenschappelijk optreden – vaak inclusief particuliere marktpartijen – op internationaal niveau om omvangrijke aanvallen op informatiesystemen tegen te gaan, werd door ernstige incidenten in 2007 benadrukt. Om betere coördinatie en consistentie in een dergelijk systeem van maatregelen te bevorderen, moeten de lidstaten verder nagaan of dezelfde contactpunten als in de Raad van Europa/G8-netwerken moeten worden gebruikt. De Commissie zal met name overwegen om EU-richtsnoeren op te stellen voor het gebruik van verscheidene internationale netwerken voor kwesties die met hightech-criminaliteit verband houden.
PB L 69 van 16.3.2005, blz. 67.
Overweging 1.
http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm.
8 en 9 november 2007, zie http://www.consilium.europa.eu/ueDocs/cms_Data/docs/pressData/nl/jha/97263.pdf
Hoewel met de op 1 juli 2008 te laat ingediende Poolse kennisgeving geen rekening kan worden gehouden gelet op de strikte publicatietermijnen, zal er later wel rekening mee worden gehouden bij acties waartoe de publicatie van dit verslag aanleiding geeft.
Zoals werd benadrukt in de kennisgeving aan de Commissie van een andere lidstaat.
De Tsjechische regering heeft verklaard dat dit vereiste zal verdwijnen bij de vaststelling van de nieuwe strafwet.
De Tsjechische regering heeft verklaard dat dit vereiste zal verdwijnen bij de vaststelling van de nieuwe strafwet.
Er zij op gewezen dat Oostenrijk zich lijkt af te vragen of zijn eigen straffen voor onrechtmatige systeemverstoring afschrikkend genoeg zijn.
De Tsjechische regering heeft verklaard dat er in Tsjechië bepaalde regels gelden inzake burgerlijke aansprakelijkheid in deze context, maar zij heeft de tekst van deze regels niet meegedeeld en evenmin de inhoud ervan beschreven.
In 2007 werd in het Luxemburgse parlement een voorstel ingediend voor regels die deze verplichting uitvoeren, maar de Commissie weet niet of het voorstel is goedgekeurd.
De term 'botnet' verwijst om kort te gaan naar een verzameling aangetaste computers waarop onder een gemeenschappelijk commando programma' s worden gedraaid.
Artikel 35 van het verdrag.