Toelichting bij COM(2010)517 - Aanvallen op informatiesystemen - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2010)517 - Aanvallen op informatiesystemen. |
|---|---|
| bron | COM(2010)517   |
| datum | 30-09-2010 |
Het doel van dit voorstel is Kaderbesluit 2005/222/JBZ van de Raad van 24 februari 2005 over aanvallen op informatiesystemen[1] te vervangen. Dat kaderbesluit had – zoals vermeld in zijn overwegingen – ten doel de samenwerking tussen justitiële en andere bevoegde autoriteiten van de lidstaten, zoals de politie en andere gespecialiseerde rechtshandhavingsinstanties, te verbeteren door middel van de onderlinge afstemming van de strafrechtelijke bepalingen van de lidstaten op het gebied van aanvallen op informatiesystemen. Het kaderbesluit zorgde voor EU-wetgeving inzake strafbare feiten als onrechtmatige toegang tot informatiesystemen, onrechtmatige systeemverstoring en onrechtmatige gegevensverstoring, alsmede voor specifieke regels betreffende de aansprakelijkheid van rechtspersonen, rechtsmacht en informatie-uitwisseling. De lidstaten dienden de maatregelen te nemen die noodzakelijk waren om uiterlijk op 16 maart 2007 aan de bepalingen van het kaderbesluit te voldoen.
Op 14 juli 2008 publiceerde de Commissie een verslag over de tenuitvoerlegging van het kaderbesluit[2]. In de conclusies van het verslag werd vastgesteld dat er in de meeste lidstaten belangrijke vooruitgang was geboekt en dat het uitvoeringsniveau betrekkelijk goed was, hoewel de tenuitvoerlegging in een aantal lidstaten nog niet volledig was afgerond. Het verslag bevatte daarnaast de volgende constatering: 'Sinds het vaststellen van het kaderbesluit hebben recente aanvallen in heel Europa allerlei nieuwe bedreigingen aan het licht gebracht, met name het zich voordoen van omvangrijke gelijktijdige aanvallen op informatiesystemen en een toenemend crimineel gebruik van zogeheten botnets.' Deze aanvallen waren niet het belangrijkste aandachtspunt toen het kaderbesluit werd aangenomen. Naar aanleiding van deze ontwikkelingen zal de Commissie nagaan met welke acties beter op dit gevaar kan worden ingespeeld (zie volgende punt voor een uitleg van het verschijnsel botnet).
Het belang van verdere maatregelen om de strijd tegen cybercriminaliteit op te voeren werd onderstreept in het Haags programma van 2004 betreffende de versterking van vrijheid, veiligheid en recht in de Europese Unie en in het programma van Stockholm van 2009 en het bijbehorende actieplan[3]. Bovendien werd in de onlangs gepresenteerde digitale agenda voor Europa[4], het eerste kerninitiatief in het kader van de Europa 2020-strategie, vastgesteld dat de groei van nieuwe vormen van criminaliteit, en met name van cybercriminaliteit, op Europees niveau moet worden gekeerd. Bij de acties op het gebied van vertrouwen en beveiliging staan maatregelen ter bestrijding van cyberaanvallen op informatiesystemen centraal.
Op internationaal niveau wordt het op 23 november 2001 ondertekende Verdrag inzake cybercriminaliteit van de Raad van Europa (hierna 'Verdrag inzake cybercriminaliteit' genoemd) beschouwd als de tot dusver meest volledige internationale rechtsnorm, aangezien het voorziet in een alomvattend en samenhangend kader dat de diverse aspecten van cybercriminaliteit bestrijkt[5]. Het Verdrag is door alle 27 lidstaten ondertekend, maar tot dusver door slechts 15 lidstaten geratificeerd[6]. Het Verdrag is op 1 juli 2004 in werking getreden. De EU is geen partij bij het Verdrag. Gelet op het belang van dit instrument, moedigt de Commissie de overige EU-lidstaten uitdrukkelijk aan om het Verdrag zo spoedig mogelijk te ratificeren.
Algemene context
Er zijn tal van factoren waardoor cybercriminaliteit een kans krijgt. Tekortkomingen in de rechtshandhaving dragen ertoe bij dat het verschijnsel om zich heen kan grijpen. Het probleem is des te groter daar sommige soorten delicten de landsgrenzen overschrijden. Cybercriminaliteit wordt dikwijls onvoldoende gemeld, deels omdat bepaalde strafbare feiten onopgemerkt blijven en deels omdat de slachtoffers (economische actoren en ondernemingen) strafbare feiten niet melden uit angst voor een slechte naam en omdat zij er beducht voor zijn dat hun bedrijfsvooruitzichten eronder zullen lijden wanneer hun kwetsbare punten algemeen bekend worden.
Daarnaast kunnen discrepanties tussen de nationale strafrechtelijke bepalingen en procedures leiden tot verschillen bij onderzoek en vervolging, waardoor deze strafbare feiten op uiteenlopende manieren worden aangepakt. Ontwikkelingen in de informatietechnologie hebben deze problemen nog groter gemaakt, doordat het voor de daders gemakkelijker is geworden om instrumenten (kwaadaardige software en botnets) te vervaardigen en te verspreiden, terwijl ze zelf anoniem blijven en de strafrechtelijke bevoegdheid over verschillende rechtsgebieden is verspreid. Aangezien het moeilijk is om vervolging in te stellen, kan de georganiseerde misdaad forse winsten maken met geringe risico's.
Dit voorstel houdt rekening met de nieuwe methoden om cyberdelicten te plegen, zoals het gebruik van 'botnets'. Onder deze term wordt een netwerk verstaan van computers die zijn besmet met kwaadaardige software (een computervirus). Een dergelijk netwerk van besmette computers ("zombies") kan worden ingezet voor specifieke acties, zoals aanvallen op informatiesystemen (cyberaanvallen). Deze zombies kunnen door een andere computer worden bestuurd – dikwijls zonder dat de gebruikers van de besmette computers hier erg in hebben. De besturingscomputer wordt ook wel aangeduid als het 'command-and-control centre'. De personen die dit centrum besturen, behoren tot de daders, aangezien zij de besmette computers gebruiken voor aanvallen op informatiesystemen. Het is bijzonder moeilijk om de daders op te sporen, doordat de computers die deel uitmaken van het botnet en de aanval uitvoeren, zich op een andere locatie kunnen bevinden dan de dader zelf.
Aanvallen die door een botnet worden uitgevoerd zijn vaak grootschalig. Als grootschalig gelden aanvallen die worden uitgevoerd met behulp van instrumenten die zich bedienen van grote aantallen informatiesystemen (computers), en aanvallen die aanzienlijke schade veroorzaken, bv. in termen van ontregelde systeemdiensten, financiële kosten, verlies van persoonsgegevens, enz. De schade veroorzaakt door grootschalige aanvallen heeft grote gevolgen voor het functioneren van het doelwit en/of tast zijn werkomgeving aan. In dit kader geldt als een 'groot botnet' een netwerk dat ernstige schade kan veroorzaken. Het is moeilijk om botnets te definiëren naar omvang, maar het is bekend dat de grootste botnets voor naar schatting tussen de 40 000 en 100 000 verbindingen (dat wil zeggen: besmette computers) per etmaal zorgen[7].
Bestaande bepalingen op het door het voorstel bestreken gebied
Op EU-niveau moest het kaderbesluit zorgen voor een minimale onderlinge aanpassing van de wetgeving van de lidstaten om een aantal vormen van cybercriminaliteit strafbaar te stellen, met inbegrip van onrechtmatige toegang tot informatiesystemen, onrechtmatige systeemverstoring, onrechtmatige gegevensverstoring, alsook uitlokking van, medeplichtigheid aan en poging tot dergelijke feiten.
Hoewel de bepalingen van het kaderbesluit over het algemeen door de lidstaten ten uitvoer zijn gelegd, schiet het instrument op bepaalde punten tekort door de toename van de feiten (cyberaanvallen), zowel in omvang als in aantal. Het kaderbesluit zorgt alleen voor onderlinge afstemming van de wetgeving inzake een beperkt aantal strafbare feiten, maar biedt geen volledige aanpak van de sociale risico's van grootschalige aanvallen. Ook wordt er onvoldoende rekening gehouden met de ernst van de delicten en de daaraan verbonden sancties.
Andere lopende of geplande EU-initiatieven en –programma's richten zich ook op het oplossen van problemen in verband met cyberaanvallen of daarmee samenhangende kwesties, zoals netwerkbeveiliging en de veiligheid van internetgebruikers. Het gaat onder meer om maatregelen die worden ondersteund door de programma's 'Preventie en de bestrijding van criminaliteit'[8], 'Strafrecht'[9], 'Veiliger internet'[10] en het initiatief 'Bescherming van kritieke informatie-infrastructuur'[11]. Naast het genoemde kaderbesluit is er nog een belangrijk rechtsinstrument van kracht, namelijk Kaderbesluit 2004/68/JBZ ter bestrijding van seksuele uitbuiting van kinderen en kinderpornografie.
Het besmetten van computers met het oog op integratie in botnets is al verboden op grond van EU-regelgeving inzake privacy en gegevensbescherming[12]. Met name administratieve instanties werken al samen in het kader van het Europese verbindingsnetwerk van organen voor spambestrijding (Contact Network of Spam Authorities, CNSA). Op grond van voornoemde regelgeving moeten de lidstaten het verbieden om zonder toestemming van de betrokken gebruikers of een wettelijke machtiging berichten te onderscheppen die zijn verzonden via openbare communicatienetwerken en openbaar beschikbare elektronische communicatiediensten.
Dit voorstel voldoet aan deze regelgeving. De lidstaten dienen te streven naar betere samenwerking tussen de administratieve en wetshandhavingsinstanties bij zaken waarop zowel administratieve als strafrechtelijke sancties van toepassing zijn.
Samenhang met andere beleidsgebieden en doelstellingen van de Unie
De doelstellingen zijn in overeenstemming met het EU-beleid op het gebied van de bestrijding van de georganiseerde criminaliteit, vergroting van de veerkracht van netwerken, bescherming van de vitale infrastructuur en gegevensbescherming. De doelstellingen stroken tevens met het programma voor een veiliger internet, dat werd opgezet om een veiliger gebruik van internet en van nieuwe onlinetechnologieën te bevorderen en om illegale inhoud te bestrijden.
Aan dit voorstel is grondig onderzoek voorafgegaan om te waarborgen dat de bepalingen ervan volledig in overeenstemming zijn met de grondrechten, in het bijzonder de bescherming van persoonsgegevens, de vrijheid van meningsuiting en van informatie, het recht op een eerlijk proces, het beginsel van het vermoeden van onschuld, de rechten van de verdediging, alsmede het legaliteitsbeginsel en het evenredigheidsbeginsel inzake delicten en straffen.
Inhoudsopgave
Raadpleging van belanghebbenden
Tal van deskundigen op dit gebied zijn geraadpleegd tijdens meerdere bijeenkomsten over diverse aspecten van de bestrijding van cybercriminaliteit, zoals de justitiële follow-up (vervolging) van strafbare feiten. Het ging met name om vertegenwoordigers van de overheden van de lidstaten, de particuliere sector, gespecialiseerde rechters en aanklagers, internationale organisaties, Europese agentschappen en groepen van deskundigen. Een aantal deskundigen en organisaties heeft nadien standpunten ingediend en informatie verstrekt.
De belangrijkste punten die uit de raadpleging naar voren zijn gekomen, zijn:
- de noodzaak van EU-optreden op dit gebied;
- de noodzaak om handelingen strafbaar te stellen die niet in het huidige kaderbesluit zijn opgenomen, met name nieuwe soorten cyberaanvallen (botnets);
- de noodzaak om hinderpalen voor onderzoek en vervolging in grensoverschrijdende zaken uit de weg te ruimen.
Met de informatie die bij de raadpleging naar voren is gebracht, is in de effectbeoordeling rekening gehouden.
Bijeenbrengen en benutten van deskundigheid
Externe knowhow is verworven tijdens verscheidene bijeenkomsten met belanghebbenden.
Effectbeoordeling
Diverse beleidsopties zijn overwogen als middel om het beoogde doel te bereiken.
- Beleidsoptie 1: Status quo/geen nieuwe EU-maatregelen
Deze optie houdt in dat de EU geen verdere maatregelen treft om deze vorm van cybercriminaliteit, namelijk aanvallen op informatiesystemen, te bestrijden. Lopende maatregelen, zoals met name de programma's voor betere bescherming van de vitale informatiestructuur en betere publiek-private samenwerking tegen cybercriminaliteit, zouden moeten worden voortgezet.
- Beleidsoptie 2: Ontwikkeling van een programma om aanvallen op informatiesystemen krachtiger tegen te gaan met niet-wetgevende maatregelen
Naast het programma ter bescherming van de vitale informatie-infrastructuur zouden niet-wetgevende maatregelen met name grensoverschrijdende wetshandhaving en publiek-private samenwerking bevorderen. Deze 'soft law'-instrumenten zouden meer gecoördineerde EU-maatregelen moeten bevorderen door onder meer een versterking van het bestaande 24/7-netwerk van meldpunten voor rechtshandhavingsinstanties, de oprichting van een EU-netwerk van publiek-private meldpunten voor deskundigen op het gebied van cybercriminaliteit en rechtshandhavingsinstanties, de formulering van een standaard-EU-dienstenovereenkomst voor samenwerking op het gebied van rechtshandhaving met particuliere partijen, en ondersteuning van de organisatie van voor rechtshandhavingsinstanties bestemde opleidingsprogramma's op het gebied van onderzoek naar cybercriminaliteit.
- Beleidsoptie 3: Gerichte herziening van de regels van het kaderbesluit (nieuwe richtlijn ter vervanging van het huidige kaderbesluit) om het risico van grootschalige aanvallen op informatiesystemen (botnets) aan te pakken en om, indien de dader zijn ware identiteit verhult en de rechtmatige bezitter van een identiteit schade berokkent, de doeltreffendheid van de meldpunten voor rechtshandhaving van de lidstaten te verbeteren en te zorgen voor statistische gegevens over cyberaanvallen.
Deze optie houdt de invoering in van specifieke gerichte (d.w.z. beperkte) wetgeving ter voorkoming van grootschalige aanvallen op informatiesystemen. Een dergelijke verscherpte wetgeving zou vergezeld gaan van niet-wetgevende maatregelen ter verbetering van de operationele grensoverschrijdende samenwerking tegen zulke aanvallen, hetgeen de tenuitvoerlegging van de wetgevende maatregelen zou vereenvoudigen. Deze maatregelen zouden de paraatheid, veiligheid en veerkracht van de vitale informatie-infrastructuur moeten vergroten en moeten leiden tot uitwisseling van beste praktijken.
- Beleidsoptie 4: Invoering van alomvattende EU-wetgeving tegen cybercriminaliteit
Deze optie houdt nieuwe alomvattende EU-wetgeving in. Naast de 'soft law'-maatregelen van beleidsoptie 2 en de herziening van beleidsoptie 3 zouden ook andere juridische problemen in verband met internetgebruik worden aangepakt. Dergelijke maatregelen zouden niet alleen betrekking hebben op aanvallen op informatiesystemen, maar ook op zaken als financiële cybercriminaliteit, illegale internetinhoud en het verzamelen/bewaren/doorgeven van elektronisch bewijsmateriaal; ook zouden zij meer gedetailleerde rechtsmachtsregels meebrengen. De wetgeving zou naast het Verdrag inzake cybercriminaliteit van de Raad van Europa bestaan en worden begeleid door de hierboven genoemde niet-wetgevende maatregelen.
- Beleidsoptie 5: Herziening van het Verdrag inzake cybercriminaliteit van de Raad van Europa
Deze optie houdt een grondige heronderhandeling van het huidige Verdrag in. Dit veronderstelt een langdurig proces en is niet te rijmen met de termijnen voor actie die in de effectbeoordeling worden voorgesteld. Er lijkt geen internationale bereidheid te zijn om opnieuw te onderhandelen over het Verdrag. Een herziening van het Verdrag kan derhalve niet als een haalbare optie worden aangemerkt, aangezien zij buiten de vereiste termijn zou vallen.
Voorkeursoptie: Combinatie van niet-wetgevende maatregelen (optie 2) en een gerichte herziening van het kaderbesluit (optie 3)
Op grond van de analyse van de economische en sociale gevolgen en van de implicaties op het gebied van de grondrechten komen de opties 2 en 3 naar voren als de beste aanpak van het probleem, die aan de doelstellingen van het voorstel beantwoordt.
Ter voorbereiding van dit voorstel heeft de Commissie een effectbeoordeling uitgevoerd.
Samenvatting van de voorgestelde maatregel
De richtlijn strekt weliswaar tot intrekking van Kaderbesluit 2005/222/JBZ, maar neemt de bestaande bepalingen daarvan over en breidt deze uit met de navolgende nieuwe elementen.
- Met betrekking tot het materiële strafrecht in het algemeen:
A. stelt de richtlijn de productie, verkoop, aanschaf voor gebruik, invoer, verspreiding of het op andere wijze beschikbaar maken van instrumenten voor het plegen van de strafbare feiten strafbaar;
B. bevat de richtlijn de volgende verzwarende omstandigheden:
- de grootschaligheid van de aanvallen: botnets of vergelijkbare instrumenten zouden worden aangepakt door een nieuwe verzwarende omstandigheid in te voeren, in de zin dat het opzetten van een botnet of een vergelijkbaar instrument bij het plegen van de in het huidige kaderbesluit opgesomde strafbare feiten als een verzwarende factor zou gelden,
- het plegen van dergelijke aanvallen door de ware identiteit van de dader te verhullen en de rechtmatige bezitter van de identiteit schade te berokkenen. Dergelijke regels zouden moeten voldoen aan het legaliteitsbeginsel en het evenredigheidsbeginsel inzake delicten en straffen, en in overeenstemming moeten zijn met de bestaande wetgeving inzake de bescherming van persoonsgegevens[13];
C. stelt de richtlijn 'onrechtmatige onderschepping' strafbaar;
D. voert de richtlijn maatregelen in ter verbetering van de Europese strafrechtelijke samenwerking door de bestaande structuur van 24/7-meldpunten[14] te versterken:
- er wordt voorgesteld dat binnen een bepaalde termijn (vastgesteld in artikel 14 van de richtlijn) gehoor moet worden gegeven aan een verzoek om bijstand van de operationele meldpunten. Het Verdrag inzake cybercriminaliteit kent een dergelijke bindende bepaling niet. Deze maatregel moet ervoor zorgen dat de meldpunten binnen een vastgestelde termijn verklaren of zij gehoor kunnen geven aan het verzoek om bijstand en wanneer het verzoekende meldpunt een oplossing tegemoet kan zien. De eigenlijke inhoud van de oplossingen wordt niet vermeld;
E. voorziet de richtlijn in de behoefte aan statistische gegevens over cybercriminaliteit door lidstaten ertoe te verplichten voor een passend systeem te zorgen, waarmee statistische gegevens over de in het huidige kaderbesluit bedoelde strafbare feiten en het toegevoegde nieuwe feit 'onrechtmatige onderschepping' kunnen worden geregistreerd, aangemaakt en verstrekt.
De richtlijn bevat in de definities van strafbare feiten in de artikelen 3, 4 en 5 (onrechtmatige toegang tot informatiesystemen, onrechtmatige systeemverstoring en onrechtmatige gegevensverstoring) een bepaling op grond waarvan alleen 'gevallen die niet onbeduidend zijn' bij de omzetting van de richtlijn in nationaal recht strafbaar hoeven te worden gesteld. Deze speelruimte moet lidstaten in de gelegenheid stellen om te voorzien in een uitzondering voor gevallen die in abstracto onder de basisdefinitie zouden vallen, maar niet gelden als schadelijk voor het beschermde rechtsbelang, in het bijzonder wanneer het bijvoorbeeld gaat om jongeren die hun deskundigheid op het gebied van informatietechnologie proberen te tonen. Deze mogelijkheid om de strafbaarstelling te beperken dient echter niet te leiden tot de invoering van aanvullende bestanddelen van strafbare feiten die verder gaan dan hetgeen reeds in de richtlijn is opgenomen, aangezien dit een situatie zou scheppen waarin uitsluitend feiten waarbij sprake is van verzwarende omstandigheden, strafbaar worden gesteld. Bij de omzetting dienen de lidstaten er zich met name van te onthouden de basisdelicten uit te breiden met aanvullende bestanddelen, zoals bv. de specifieke opzet om op criminele wijze illegale opbrengsten te genereren of de aanwezigheid van een specifiek effect, zoals het veroorzaken van aanzienlijke schade.
Rechtsgrondslag
Artikel 83, lid 1, van het Verdrag betreffende de werking van de Europese Unie[15].
Subsidiariteitsbeginsel
Op de maatregelen van de Europese Unie is het subsidiariteitsbeginsel van toepassing. De doelstellingen van het voorstel kunnen om de navolgende redenen niet voldoende door de lidstaten worden verwezenlijkt:
cybercriminaliteit en in het bijzonder aanvallen op informatiesystemen hebben een forse grensoverschrijdende dimensie, die het duidelijkst blijkt uit grootschalige aanvallen, aangezien de gekoppelde elementen waarmee de aanval wordt uitgevoerd zich dikwijls op verschillende locaties en in meerdere landen bevinden. Dit vereist EU-optreden, met name om het hoofd te bieden aan de huidige tendens om binnen en buiten Europa grootschalige aanvallen uit te voeren. Ook in de conclusies van de Raad van november 2008[16] is gepleit voor actie op EU-niveau en een herziening van Kaderbesluit 2005/222/JBZ, aangezien de doelstelling om burgers doeltreffend te beschermen tegen cybercriminaliteit niet toereikend kan worden verwezenlijkt door de lidstaten alleen.
De doelstellingen van het voorstel zullen beter worden verwezenlijkt door een optreden van de EU, en wel om de navolgende redenen:
het voorstel zal het materiële strafrecht van de lidstaten en de procedureregels verder onderling afstemmen, hetgeen positieve gevolgen zal hebben voor de bestrijding van deze strafbare feiten. Ten eerste kan zo worden voorkomen dat daders naar lidstaten trekken waar de wetgeving inzake cyberaanvallen soepeler is. Ten tweede maken gezamenlijke definities het mogelijk om informatie uit te wisselen en relevante gegevens te verzamelen en vergelijken. Ten derde worden de preventieve maatregelen in de EU er doeltreffender van en zal ook de internationale samenwerking er door worden versterkt.
Het voorstel is dan ook in overeenstemming met het subsidiariteitsbeginsel.
Evenredigheidsbeginsel
Het voorstel is om de navolgende reden in overeenstemming met het evenredigheidsbeginsel.
Deze richtlijn beperkt zich tot het voor de verwezenlijking van deze doelstellingen op Europees niveau vereiste minimum en reikt niet verder dan wat daarvoor nodig is, rekening
houdend met de vereiste nauwkeurigheid van de strafwetgeving.
Keuze van het instrument
Voorgesteld instrument: richtlijn.
Andere instrumenten zouden om de navolgende reden ongeschikt zijn:
de rechtsgrondslag vereist een richtlijn;
niet-wetgevende maatregelen en zelfregulering zouden de situatie weliswaar verbeteren op sommige gebieden waarop tenuitvoerlegging van cruciaal belang is, maar op andere terreinen waar nieuwe wetgeving onmisbaar is, zouden dergelijke maatregelen niet veel uithalen.
Het voorstel heeft geringe gevolgen voor de begroting van de Unie. Meer dan 90% van de geraamde kosten van 5 913 000 EUR zou ten laste van de lidstaten komen en er kan EU-financiering worden aangevraagd om de kosten te beperken.
Intrekking van bestaande wetgeving
De goedkeuring van het voorstel heeft de intrekking van bestaande wetgeving tot gevolg.
- Territoriale werkingssfeer
Deze richtlijn is overeenkomstig de Verdragen gericht tot de lidstaten.