(Обикновена законодателна процедура: първо четене)

– като взе предвид предложението на Комисията до Европейския парламент и Съвета (COM(2010)0517),

– като взе предвид член 294, параграф 2 и член 83, параграф 1 от Договора за функционирането на Европейския съюз, съгласно които Комисията е внесла предложението (C7 0293/2010),

– като взе предвид член 294, параграф 3 от Договора за функционирането на Европейския съюз,

– като взе предвид становището на Икономическия и социален комитет от 4 май 2011 г.¹,

– като взе предвид поетия с писмо от 21 юни 2013 г. ангажимент на представителя на Съвета за одобряване на позицията на Европейския парламент съобразно член 294, параграф 4 от Договора за функционирането на Европейския съюз,

– като взе предвид член 55 от своя правилник,

– като взе предвид доклада на комисията по граждански свободи, правосъдие и вътрешни работи и становищата на комисията по външни работи и на комисията по промишленост, изследвания и енергетика (A7-0224/2013),

1. Приема изложената по-долу позиция на първо четене;

2. Изисква от Комисията да се отнесе до него отново, в случай че възнамерява да внесе съществени промени в своето предложение или да го замени с друг текст;

3. Възлага на своя председател да предаде позицията на Парламента съответно на Съвета и на Комисията, както и на националните парламенти.

P7_TC1-COD(2010)0273

Позиция на Европейския парламент, приета на първо четене на 4 юли 2013 г. с оглед приемането на Директива 2013/.../ЕС на Европейския парламент и на Съвета относно атаките срещу информационните системи и за замяна на Рамково решение 2005/222/ПВР на Съвета

ЕВРОПЕЙСКИЯТ ПАРЛАМЕНТ И СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взеха предвид Договора за функционирането на Европейския съюз, и по-специално член 83, параграф 1 от него,

като взеха предвид предложението на Европейската комисия,

след предаване на проекта на законодателния акт на националните парламенти,

като взеха предвид становището на Европейския икономически и социален комитет¹,

в съответствие с обикновената законодателна процедура²,

като имат предвид, че:

(1) Целите на настоящата директива са да се сближи наказателното право на държавите-членки в сферата на атаките срещу информационните системи посредством установяването на минимални правила относно определението на престъпленията и определянето на съответните наказания и да подобри сътрудничеството между ▌компетентните органи, включително полицията и други специализирани правоприлагащи органи на държавите-членки, както и компетентните специализирани агенции и органи на Съюза като Евроюст, Европол и Европейския център по киберпрестъпност към него, както и Европейската агенция за мрежова и информационна сигурност (ENISA).

(2) Информационните системи представляват ключов елемент от политическото, социалното и икономическото взаимодействие в Съюза. Все по-често и в по-голяма степен обществото зависи от тези системи. Безпроблемното функциониране и сигурността на тези системи в Съюза са от жизненоважно значение за развитието на вътрешния пазар и на конкурентоспособна и иновационна икономика. Осигуряването на подходящи равнища на защита на информационните системи следва да бъде част от цялостна ефективна рамка за превантивни мерки, съпътстваща реакцията на наказателното право спрямо киберпрестъпността.

(3) Атаките срещу информационните системи и, по-специално атаките, свързани с организираната престъпност, представляват засилваща се опасност както в Съюза, така и в световен мащаб, а съществува и растяща загриженост от вероятни атаки по терористични или политически подбуди срещу информационните системи, които са част от критичната инфраструктура на държавите-членки и на Съюза. Това представлява заплаха за постигането на едно по-безопасно информационно общество и за изграждането на пространство на свобода, сигурност и правосъдие, и следователно налага ответна реакция на равнището на Съюза, а също така и по-добра координация и сътрудничество на международно равнище.

(4) В Съюза съществува определен брой критични инфраструктури, чието нарушаване или унищожаване би имало значителни трансгранични последици. От необходимостта да се подобрят способностите за защита на критичните инфраструктури в Съюза става ясно, че мерките срещу кибератаките следва да бъдат допълнени от строги наказателни санкции, отразяващи тежестта на подобни атаки. Като критична инфраструктура могат да се разглеждат разположени в държавите-членки елемент, система или части от нея, които са от основно значение за поддържането на жизненоважни обществени функции, здравето, безопасността, сигурността, икономическото или социалното благосъстояние на населението, , като електроцентрали, транспортни мрежи или правителствени мрежи, и чието нарушаване или унищожаване би имало значителни последици в дадената държава-членка в резултат на невъзможността да се запазят тези функции.

(5) Има доказателства за наличието на тенденция към все по-опасни и повтарящи се широкомащабни атаки срещу информационните системи, които често могат да бъдат от решаващо значение за държавите-членки или за определени функции в публичния или частния сектор. Тази тенденция е придружена от разработката на все по-усъвършенствани методи, като например създаването и използването на така наречените ботнети, които се състоят от няколко етапи на престъпното деяние, при които всеки етап поотделно би могъл да създаде сериозен риск за обществения интерес. Настоящата директива има за цел, inter alia, да въведе наказания за създаването на ботнет, по-конкретно за акта на установяване на контрол от разстояние върху значителен брой компютри посредством заразяването им със зловреден софтуер чрез целенасочени кибератаки. Веднъж създадена заразената мрежа от компютри, която представлява ботнетът, може да бъде активирана без знанието на потребителите на компютрите, за да извърши широкомащабна кибератака, която обикновено е в състояние да причини сериозни вреди, както е посочено в настоящата директива. Държавите-членки следва да могат да определят кое представлява сериозна вреда съгласно националното право и практика, като например нарушаване на системни услуги от важно обществено значение или причиняване на сериозни финансови разходи или загуба на лични данни или чувствителна информация.

(7) Приемането на общи определения в тази област е важно, за да се осигури последователен подход в държавите-членки при прилагането на настоящата директива.

(8) Необходимо е да бъде постигнат общ подход към елементите, съставляващи престъпления, чрез въвеждането на общи престъпления като незаконният достъп до информационни системи, незаконната намеса в такива системи, незаконната намеса в данни и незаконното прихващане.

(9) Прихващането включва, но не се ограничава непременно до подслушването, проследяването или наблюдението на съдържанието на съобщения и достигането до съдържанието на данни с технически средства пряко, чрез достъп до информационни системи и тяхното използване, или непряко, чрез използване на електронно подслушване или подслушвателни устройства.

(10) Държавите-членки следва да предвидят наказания за атаките срещу информационните системи. Предвидените наказания следва да бъдат ефективни, пропорционални и възпиращи и следва да включват лишаване от свобода и/или глоби.

(11) Настоящата директива предвижда наказания най-малкото за случаите, които не се считат за маловажни. Държавите-членки следва да могат да решат какво представлява маловажен случай в зависимост от своето национално право и практика. Даден случай може да се счете за маловажен, например ако причинените от престъплението вреди и/или рискът, който то поражда за публичните или частните интереси, като например по отношение на целостта на компютърната система или компютърните данни или по отношение на неприкосновеността, правата или други интереси на дадено лице, са незначителни или от такова естество, че не е необходимо да се налага наказание в съответните, предвидени в правните разпоредби предели или да се налага наказателна отговорност.

(13) Целесъобразно е да се предвидят по-строги наказания, когато атаката срещу дадена информационна система е извършена от престъпна организация съгласно определението в Рамково решение 2008/841/ПВР на Съвета от 24 октомври 2008 г. относно борбата с организираната престъпност¹, когато атаката е широкомащабна и е засегнала значителен брой информационни системи или е причинила сериозни щети, включително когато целта на атаката е създаването на ботнет или когато кибератаката е причинила сериозни вреди, включително когато е извършена посредстом ботнет. Също така е целесъобразно да се предвидят по-строги наказания, когато атаката е извършена срещу критична инфраструктура на държавите-членки или на Съюза.

(14) Друг съществен елемент от интегрирания подход срещу киберпрестъпността представлява установяването на ефективни мерки срещу кражбата на самоличност и други престъпления, засягащи самоличността. Евентуалната нужда от действия на Съюза във връзка с този вид престъпно поведение може да се разглежда и в контекста на оценката доколко е необходим цялостен хоризонтален инструмент на Съюза.

(15) В заключенията на Съвета от 27—28 ноември 2008 г. се посочва, че следва да се разработи нова стратегия с участието на държавите-членки и Комисията, като се вземе предвид съдържанието на Конвенцията на Съвета на Европа от 2001 г. за престъпления в кибернетичното пространство. Тази конвенция е референтната правна рамка за борба с престъпленията в кибернетичното пространство, включително и с атаките срещу информационните системи. Настоящата директива се основава на споменатата конвенция. Като приоритет следва да се разглежда приключването на процеса на ратификация на тази конвенция от всички държави-членки във възможно най-кратък срок.

(16) Като се имат предвид различните начини, по които могат да бъдат извършени атаките, и с оглед на бързите промени в хардуера и софтуера, настоящата директива се съдържа позоваване на „инструментите“, които могат да бъдат използвани за извършване на престъпленията, изброени в нея. Тези инструменти включват зловредният софтуер, включително този, с който могат да се създават ботнети, използвани за извършване на кибератаки. Макар и даден инструмент да бъде подходящ или дори да бъде особено подходящ за извършването на някое от престъпленията, предвидени в настоящата директива, възможно е той да е бил произведен със законна цел, като например за изпитване на надеждността на продукти на информационните технологии или на сигурността на информационни системи.В подобен случай не е достатъчно дадено лице да има общ умисъл за осъществяване на обективните критерии на някое от престъпленията, предвидени в настоящата директива, а то трябва да има пряк умисъл да използва инструментите за извършването на едно или повече от престъпленията, предвидени в настоящата директива.

(17) Настоящата директива не налага наказателна отговорност в случаите, когато са изпълнени обективните критерии за престъпленията, изброени в настоящата директива, но деянията са извършени без престъпно намерение, като например при незнание, че достъпът не е разрешен, или при възложено изпитване или защита на информационните системи, например когато дружество или продавач възложи на дадено лице изпитването на устойчивостта на системата му за сигурност. В контекста на настоящата директива договорните задължения или споразуменията за ограничаване на достъпа до информационни системи посредством правила за потребителите или условия за използване на услугата, както и трудовите спорове във връзка с достъпа до информационни системи на работодателя и използването им за лични цели, не следва да водят до наказателна отговорност, когато достъпът при такива обстоятелства се счита за неразрешен и това представлява единственото основание за наказателно производство. Настоящата директива не засяга правото на достъп до информация, установено в националното законодателство и законодателството на Съюза, като същевременно тя не може да се използва като оправдание за незаконен или произволен достъп до информация.

(18) Редица обстоятелства могат да улеснят извършването на кибератаки, като например случаите, когато извършителят, в рамките на своята трудова заетост, има достъп до системите за сигурност, които са част от засегнатите информационни системи. В контекста на националното право такива обстоятелства следва да бъдат отчетени в подходяща степен в хода на наказателното производство.

(19) Държавите-членки следва да предвидят в националното си право квалифициращи обстоятелства в съответствие с приложимите правила, предвидени в техните правни системи относно квалифициращите обстоятелства. Те следва да гарантират, че съдиите разполагат с възможност да разглеждат тези квалифициращи обстоятелства при осъждането на извършителите. Съдията по своя преценка оценява тези обстоятелства заедно с останалите факти по конкретния случай.

(20) Настоящата директива не урежда условията за упражняване на компетентност над което и да било от посочените в нея престъпления, например съобщаване от страна на жертвата на мястото, където е извършено престъплението, съобщаване от страна на държавата на мястото, където е извършено престъплението, или факта, че извършителят не е наказателно преследван на мястото, където е извършено престъплението.

(21) В контекста на настоящата директива държавите-членки и третите държави, както и техните публичните органи продължават в пълна степен да бъдат задължени да гарантират зачитането на правата на човека и основните свободи в съответствие със съществуващите задължения в Съюза и международни задължения.

(22) С настоящата директива се засилва значението на мрежите, като мрежите на Г-8 или Съвета на Европа, съставени от звена за контакт, които са на разположение 24 часа в денонощието и седем дни в седмицата. Тези звена за контакт следва да бъдат в състояние да осигуряват ефективна помощ и по този начин да улесняват например обмена на подходяща налична информация и предоставянето на технически съвети или правна информация за целите на разследванията или производствата по престъпления, отнасящи се информационните системи, и свързаните данни, с участието на молещата държава-членка. За да се осигури гладкото функциониране на мрежите, всяко звено за контакт следва да разполага с капацитет за бързо свързване със звено за контакт на друга държава-членка с помощта на, inter alia, обучен и оборудван персонал. Като се има предвид бързината, с която могат да бъдат извършени широкомащабни кибератаки, държавите-членки следва да са в състояние да реагират незабавно на спешни искания, отправени по тази мрежа от звена за контакт. В подобни случаи може да бъде наложително искането за информация да се придружава от телефон за връзка, за да се гарантира, че замолената държава-членка ще обработи своевременно искането и обратната информация ще бъде предоставена в рамките на осем часа.

(24) Необходимо е да се събират съпоставими данни за престъпленията, посочени в настоящата директива. Съответните данни следва да се предоставят на компетентните специализирани агенции и органи на Съюза като Европол и ЕNISA в съответствие със задачите и информационните им потребности, за да се добие по-цялостна представа за проблема с киберпрестъпността и мрежовата и информационна сигурност на равнището на Съюза и по този начин се допринесе за изготвянето на по-ефективна реакция. Държавите-членки следва да предоставят на Европол и Европейския център по киберпрестъпност към него информация за начина на действие на извършителите, за да се извърши оценка на заплахите и стратегически анализи на киберпрестъпността в съответствие с Решение 2009/371/ПВР на Съвета от 6 април 2009 г. за създаване на Европейска полицейска служба (Европол)¹. Предоставянето на информация може да улесни по-доброто разбиране на настоящите и бъдещите заплахи, като допринесе за по-подходящо и целенасочено вземане на решения относно борбата с атаките срещу информационните системи и тяхното предотвратяване.

(25) Комисията следва да представи доклад за прилагането на настоящата директива и ако е необходимо, да направи законодателни предложения, които може да доведат до разширяване на нейния обхват, отчитайки промените в областта на киберпрестъпността. Тези промени могат да включват технологично развитие, като например такова, което позволява по-ефективно правоприлагане в областта на атаките срещу информационните системи или улеснява предотвратяването на подобни атаки или смекчаването на последиците от тях. За тази цел Комисията следва да вземе под внимание наличните анализи и доклади, изготвени от съответните заинтересовани страни, и по-специално от Европол и ENISA.

(26) С цел ефективна борба с престъпленията в кибернетичното пространство е необходимо също така да се повиши устойчивостта на информационните системи с предприемането на подходящи мерки за по-ефективната им защита от кибератаки. Държавите-членки следва да предприемат необходимите мерки за защита от кибератаки на информационните системи, които представляват част от тяхната критична инфраструктура, и следва да обмислят защитата на информационните системи и свързаните данни като част от тази защита. Осигуряването на подходящо равнище на защита и сигурност на информационните системи от юридически лица, например във връзка с предоставянето на обществено достъпни електронни съобщителни услуги в съответствие с действащото законодателство на Съюза относно неприкосновеността на личния живот, електронните съобщения и защитата на данните, представлява съществена част от цялостния подход за ефективна борба срещу киберпрестъпността. Следва да се осигуряват подходящи равнища на защита срещу заплахи и уязвимости, които могат да бъдат разумно идентифицирани, в съответствие със съвременните постижения в конкретните сектори и предвид конкретните ситуации, свързани с обработването на данни. Разходите и тежестта по осигуряване на такава защита следва да бъдат пропорционални на вероятните вреди, които евентуална кибератака може да причини на засегнатите лица. Държавите-членки се насърчават да предвидят в националното си право подходящи мерки, водещи до отговорност, за случаите, когато юридическо лице явно не е осигурило подходящо равнище на защита срещу кибератаки.

(27) Значителните пропуски и различия в законите и наказателните производства на държавите-членки в областта на атаките срещу информационните системи ▌могат да възпрепятстват борбата срещу организираната престъпност и тероризма, а също така да усложнят ефективното полицейско и съдебно сътрудничество в тази област. Транснационалният характер на съвременните информационни системи, които функционират отвъд националните граници, предполага, че атаките срещу тези системи имат трансгранично измерение, което показва още веднъж спешната необходимост от осъществяване на допълнителни действия за сближаване на наказателното право в тази област. Освен това координирането на наказателното преследване по дела за атаки срещу информационни системи следва да бъде улеснено с подходящото изпълнение и прилагане на Рамково решение 2009/948/ПВР на Съвета от 30 ноември 2009 г. относно предотвратяване и уреждане на спорове за упражняване на компетентност при наказателни производства¹. В сътрудничество с Съюза държавите-членки следва също да се стремят към подобряване на международното сътрудничество, свързано със сигурността на информационните системи, компютърните мрежи и данни. При всяко международно споразумение, включващо обмен на данни, следва надлежно да се разгледа сигурността на прехвърлянето и съхраняването на данните.