|
16.3.2005 |
FI |
Euroopan unionin virallinen lehti |
L 69/67 |
NEUVOSTON PUITEPÄÄTÖS 2005/222/YOS,
tehty 24 päivänä helmikuuta 2005,
tietojärjestelmiin kohdistuvista hyökkäyksistä
EUROOPAN UNIONIN NEUVOSTO, joka
ottaa huomioon Euroopan unionista tehdyn sopimuksen ja erityisesti sen 29 artiklan, 30 artiklan 1 kohdan a alakohdan, 31 artiklan 1 kohdan e alakohdan ja 34 artiklan 2 kohdan b alakohdan,
ottaa huomioon komission ehdotuksen,
ottaa huomioon Euroopan parlamentin lausunnon (1),
sekä katsoo seuraavaa:
|
(1) |
Tämän puitepäätöksen tavoitteena on parantaa oikeus- ja muiden toimivaltaisten viranomaisten, jäsenvaltioiden poliisi- ja muut erikoistuneet lainvalvontaviranomaiset mukaan luettuina, yhteistyötä lähentämällä jäsenvaltioiden rikosoikeudellisia säännöksiä, jotka koskevat tietojärjestelmiin kohdistuvia hyökkäyksiä. |
|
(2) |
Tietojärjestelmiä vastaan on todistetusti tehty hyökkäyksiä erityisesti järjestäytyneen rikollisuuden toimesta, ja samalla kannetaan kasvavaa huolta terrorihyökkäysten mahdollisuudesta tietojärjestelmiä vastaan, jotka ovat osa jäsenvaltioiden keskeistä infrastruktuuria. Koska hyökkäykset uhkaavat turvallisemman tietoyhteiskunnan saavuttamista sekä vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen kehittämistä, niihin on varauduttava Euroopan unionin tasolla. |
|
(3) |
Tehokas varautuminen näihin uhkiin edellyttää verkko- ja tietoturvallisuuden kokonaisvaltaista turvaamista, kuten on todettu eEurope-toimintasuunnitelmassa, komission tiedonannossa ”Verkko- ja tietoturva: ehdotus eurooppalaiseksi lähestymistavaksi” sekä yhteisestä lähestymistavasta ja erityisistä toimista verkko- ja tietoturvallisuuden alalla 28 päivänä tammikuuta 2002 annetussa neuvoston päätöslauselmassa (2). |
|
(4) |
Myös 5 päivänä syyskuuta 2001 annetussa Euroopan parlamentin päätöslauselmassa on korostettu tarvetta tiedottaa tietoturvaan liittyvistä ongelmista ja antaa käytännön apua niiden ratkaisemiseksi. |
|
(5) |
Jäsenvaltioiden tämän alan lainsäädäntöjen merkittävät puutteet ja lainsäädäntöjen väliset erot saattavat vaikeuttaa järjestäytyneen rikollisuuden ja terrorismin torjuntaa sekä hankaloittaa tehokasta poliisi- ja oikeusyhteistyötä tietojärjestelmiin kohdistuvien hyökkäysten osalta. Koska nykyaikaiset tietojärjestelmät eivät tunne maantieteellisiä rajoja, niihin kohdistuvat hyökkäykset ovat usein luonteeltaan rajat ylittäviä, mikä korostaa pikaista tarvetta lähentää edelleen jäsenvaltioiden rikoslainsäädäntöä tällä alalla. |
|
(6) |
Parhaista tavoista panna täytäntöön Amsterdamin sopimuksen määräykset vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen toteuttamisesta annetussa neuvoston ja komission toimintasuunnitelmassa (3), Tampereella 15 ja 16 päivänä lokakuuta 1999 ja Santa Maria da Feirassa 19 ja 20 päivänä kesäkuuta 2000 pidettyjen Eurooppa-neuvoston kokousten päätelmissä, komission tulostaulussa ja Euroopan parlamentin 19 päivänä toukokuuta 2000 antamassa päätöslauselmassa edellytetään huipputekniikkaan liittyvän rikollisuuden torjumiseksi lainsäädäntötoimia ja näiden osana yhteisten rikostunnusmerkistöjen, syytteeseen asettamisen edellytysten ja seuraamusten yhteistä määrittelemistä. |
|
(7) |
Kansainvälisten järjestöjen, erityisesti Euroopan neuvoston tekemää työtä rikoslainsäädännön lähentämiseksi ja G8-ryhmän työtä huipputekniikkaan liittyvää rikollisuutta koskevan valtioiden rajat ylittävän yhteistyön edistämiseksi, on täydennettävä määrittelemällä Euroopan unionin yhteinen toimintalinja tällä alalla. Tätä ajatusta on kehitelty komission neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle sekä alueiden komitealle antamassa tiedonannossa ”Turvallisempaan tietoyhteiskuntaan tietojärjestelmien turvallisuutta parantamalla ja tietokonerikollisuutta ehkäisemällä”. |
|
(8) |
Tietojärjestelmiin kohdistuviin hyökkäyksiin sovellettavia rikosoikeuden säännöksiä olisi lähennettävä, jotta voidaan taata mahdollisimman tiivis oikeudellinen ja poliisiyhteistyö tällaisiin hyökkäyksiin liittyvien rikosten alalla sekä edistää järjestäytyneen rikollisuuden ja terrorismin torjuntaa. |
|
(9) |
Kaikki jäsenvaltiot ovat ratifioineet yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä 28 päivänä tammikuuta 1981 tehdyn Euroopan neuvoston yleissopimuksen. Tämän puitepäätöksen täytäntöönpanon yhteydessä käsiteltäviä henkilötietoja olisi suojeltava mainitun yleissopimuksen periaatteiden mukaisesti. |
|
(10) |
Alan yhteiset, erityisesti tietojärjestelmiä ja dataa koskevat määritelmät, ovat tärkeitä sen varmistamiseksi, että jäsenvaltiot soveltavat tätä puitepäätöstä yhdenmukaisesti. |
|
(11) |
Rikostunnusmerkistöihin on omaksuttava yhteinen linja antamalla yhteinen rikosmääritelmä laittomista tunkeutumisista tietojärjestelmään, laittomasta järjestelmän häirinnästä ja laittomasta datan vahingoittamisesta. |
|
(12) |
Tietoverkkorikollisuuden torjumiseksi kunkin jäsenvaltion olisi varmistettava tehokas oikeudellinen yhteistyö, kun on kyse 2, 3, 4 ja 5 artiklassa tarkoitettuun toimintaan perustuvista rikoksista. |
|
(13) |
On vältettävä ylikriminalisointia, erityisesti vähämerkityksisten tapausten säätämistä rangaistaviksi, ja kriminalisoimasta toimintaa, jota harjoittavat oikeudenhaltijat tai toimintaan oikeutetut henkilöt. |
|
(14) |
Jäsenvaltioiden on säädettävä tietojärjestelmiin kohdistuviin hyökkäyksiin syyllistyneille määrättävistä seuraamuksista. Säädettyjen seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. |
|
(15) |
On tarkoituksenmukaista säätää ankarammista seuraamuksista silloin, kun tietojärjestelmään kohdistuva hyökkäys tapahtuu rikollisjärjestön puitteissa, sellaisena kuin tämä on määritelty rikollisjärjestöön osallistumisen kriminalisoinnista Euroopan unionin jäsenvaltioissa 21 päivänä joulukuuta 1998 hyväksytyssä yhteisessä toiminnassa 98/733/YOS (4). On myös aiheellista säätää ankarammista seuraamuksista, kun hyökkäys on aiheuttanut vakavia vahinkoja tai vaikuttanut haitallisesti olennaisiin etuihin. |
|
(16) |
Lisäksi olisi säädettävä toimenpiteistä jäsenvaltioiden välisen yhteistyön tiivistämiseksi, jotta tietojärjestelmiin kohdistuvia hyökkäyksiä voidaan torjua tehokkaasti. Jäsenvaltioiden olisi näin ollen hyödynnettävä ympärivuorokautisista yhteyspisteistä huipputeknologiaan liittyvän rikollisuuden torjumiseksi 25 päivänä kesäkuuta 2001 annetussa neuvoston suosituksessa (5) tarkoitettua olemassa olevaa yhteyspisteiden verkostoa tietojenvaihtoa varten. |
|
(17) |
Jäsenvaltiot eivät voi riittävällä tavalla toteuttaa puitepäätöksen tavoitteita eli sitä, että tietojärjestelmiin kohdistuvista hyökkäyksistä määrätään kaikissa jäsenvaltioissa tehokkaita, oikeasuhteisia ja varoittavia rikosoikeudellisia seuraamuksia ja että oikeudellista yhteistyötä tehostetaan ja siihen kannustetaan poistamalla mahdolliset hankaluudet, koska sääntöjen on oltava yhteiset ja yhteensopivat, vaan ne voidaan tämän vuoksi saavuttaa paremmin unionin tasolla, unioni voi toteuttaa toimenpiteitä Euroopan yhteisön perustamissopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Kyseisessä artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä puitepäätöksessä ei ylitetä sitä, mikä on näiden tavoitteiden saavuttamiseksi tarpeen. |
|
(18) |
Tässä puitepäätöksessä kunnioitetaan Euroopan unionista tehdyn sopimuksen 6 artiklassa tunnustettuja ja Euroopan unionin perusoikeuskirjassa, erityisesti sen II ja VI luvussa, esitettyjä perusoikeuksia ja periaatteita, |
ON TEHNYT TÄMÄN PUITEPÄÄTÖKSEN:
1 artikla
Määritelmät
Tässä puitepäätöksessä käytetään seuraavia määritelmiä:
|
a) |
’Tietojärjestelmällä’ tarkoitetaan laitetta tai toisiinsa kytkettyjä tai liitettyjä laitteita, joista yksi tai useampi on ohjelmoitu automaattista tietojenkäsittelyä varten, sekä dataa, jota niissä varastoidaan, käsitellään, haetaan tai välitetään niiden toimintaa, käyttöä, suojausta tai huoltoa varten. |
|
b) |
’Datalla’ tarkoitetaan sellaisessa muodossa olevaa tosiseikkojen, tietojen tai käsitteiden esitystä, että se soveltuu käsiteltäväksi tietojärjestelmässä, mukaan lukien ohjelmat, joiden avulla tietojärjestelmä pystyy suorittamaan jonkin toiminnon. |
|
c) |
’Oikeushenkilöllä’ tarkoitetaan yksikköä, jolla on sovellettavan lain mukaan oikeushenkilön asema, lukuun ottamatta valtioita tai muita julkisia elimiä niiden käyttäessä julkista valtaa, tai julkisoikeudellisia kansainvälisiä järjestöjä. |
|
d) |
Ilmaisulla ’oikeudettomasti’ tarkoitetaan järjestelmään tunkeutumista tai sen häirintää, johon ei ole järjestelmän tai sen osan omistajan tai muun oikeudenhaltijan lupaa tai joka ei ole sallittua kansallisen lainsäädännön mukaan. |
2 artikla
Laiton tunkeutuminen tietojärjestelmään
1. Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että tahallinen oikeudeton tunkeutuminen tietojärjestelmään tai sen osaan on rikosoikeudellisesti rangaistava teko, ainakin jos kyse ei ole vähäisestä tapauksesta.
2. Kukin jäsenvaltio voi päättää, että 1 kohdassa tarkoitetusta menettelystä syytetään vain, jos teko on tehty murtamalla turvajärjestelyt.
3 artikla
Laiton järjestelmän häirintä
Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että oikeudeton tietojärjestelmän toiminnan tahallinen törkeä estäminen tai keskeyttäminen dataa syöttämällä, siirtämällä, vahingoittamalla, tuhoamalla, turmelemalla, muuttamalla tai poistamalla tai saattamalla datan käyttökelvottomaksi, on rikosoikeudellisesti rangaistava teko, ainakin jos kyse ei ole vähäisestä tapauksesta.
4 artikla
Laiton datan vahingoittaminen
Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että oikeudeton tietojärjestelmässä olevan datan tahallinen tuhoaminen, vahingoittaminen, turmeleminen, muuttaminen, poistaminen tai saattaminen käyttökelvottomaksi on rikosoikeudellisesti rangaistava teko, ainakin jos kyse ei ole vähäisestä tapauksesta.
5 artikla
Yllytys, avunanto ja yritys
1. Kunkin jäsenvaltion on varmistettava, että yllytys tai avunanto 2, 3 ja 4 artiklassa tarkoitettuun rikokseen on rikosoikeudellisesti rangaistava teko.
2. Kunkin jäsenvaltion on varmistettava, että 2, 3 ja 4 artiklassa tarkoitettujen rikosten yritys on rikosoikeudellisesti rangaistava teko.
3. Kukin jäsenvaltio voi päättää olla soveltamatta 2 kohtaa 2 artiklassa tarkoitettujen rikosten osalta.
6 artikla
Seuraamukset
1. Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että 2, 3, 4 ja 5 artiklassa tarkoitetuista teoista voidaan määrätä tehokkaita, oikeasuhteisia ja varoittavia rikosoikeudellisia seuraamuksia.
2. Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että 3 ja 4 artiklassa tarkoitetuista teoista voidaan määrätä rikosoikeudellisena seuraamuksena enimmillään vähintään yhdestä kolmeen vuotta vankeutta.
7 artikla
Raskauttavat olosuhteet
1. Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että 2 artiklan 2 kohdassa sekä 3 ja 4 artiklassa tarkoitetusta teosta voidaan määrätä rikosoikeudellisia seuraamuksia, jotka enimmillään ovat vähintään kahdesta viiteen vuotta vankeutta, kun teko on tehty yhteisessä toiminnassa 98/733/YOS annetun määritelmän mukaisen rikollisjärjestön puitteissa riippumatta siitä, mikä on yhteisessä toiminnassa säädetty seuraamus.
2. Jäsenvaltio voi toteuttaa 1 kohdassa tarkoitettuja toimenpiteitä myös silloin, kun teko on aiheuttanut vakavia vahinkoja tai vaikuttanut haitallisesti olennaisiin etuihin.
8 artikla
Oikeushenkilöiden vastuu
1. Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että oikeushenkilö voidaan saattaa vastuuseen 2, 3, 4 ja 5 artiklassa tarkoitetuista teoista, jotka on sen hyväksi tehnyt joko yksin tai oikeushenkilön elimen osana toimiva henkilö, jonka johtava asema oikeushenkilössä perustuu:
|
a) |
valtaan edustaa oikeushenkilöä; tai |
|
b) |
valtuuteen tehdä päätöksiä oikeushenkilön puolesta; tai |
|
c) |
valtuuteen harjoittaa valvontaa oikeushenkilössä. |
2. Edellä 1 kohdassa tarkoitettujen tapausten lisäksi jäsenvaltioiden on varmistettava, että oikeushenkilö voidaan saattaa vastuuseen, jos 1 kohdassa tarkoitetun henkilön harjoittaman ohjauksen tai valvonnan puutteellisuus on mahdollistanut sen, että oikeushenkilön alaisena toimiva henkilö on tehnyt kyseisen oikeushenkilön hyväksi 2, 3, 4 ja 5 artiklassa tarkoitettuja tekoja.
3. Edellä 1 ja 2 kohdassa tarkoitettu oikeushenkilön vastuu ei estä rikosoikeudenkäyntiä sellaisia luonnollisia henkilöitä vastaan, jotka ovat tekijöinä, yllyttäjinä tai avunantajina kyseisen oikeushenkilön hyväksi tehdyissä 2, 3, 4 ja 5 artiklassa tarkoitetuissa teoissa.
9 artikla
Oikeushenkilöihin kohdistettavat seuraamukset
1. Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet sen varmistamiseksi, että 8 artiklan 1 kohdan mukaisesti vastuulliseksi todettua oikeushenkilöä voidaan rangaista tehokkain, oikeasuhteisin ja varoittavin seuraamuksin, joihin kuuluvat rikosoikeudelliset tai muut sakot ja joihin voi kuulua myös muita seuraamuksia, kuten:
|
a) |
oikeuden menettäminen julkisista varoista myönnettyjen etuuksien tai tuen saamiseen; |
|
b) |
tilapäinen tai pysyvä kielto harjoittaa liiketoimintaa; |
|
c) |
oikeudelliseen valvontaan asettaminen; tai |
|
d) |
oikeudellinen määräys lopettaa toiminta. |
2. Kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet, jotta 8 artiklan 2 kohdan mukaisesti vastuulliseksi todettua oikeushenkilöä voidaan rangaista tehokkain, oikeasuhteisin ja varoittavin seuraamuksin tai toimenpitein.
10 artikla
Lainkäyttövalta
1. Jäsenvaltion on ulotettava lainkäyttövaltansa 2, 3, 4 ja 5 artiklassa tarkoitettuun tekoon, jos
|
a) |
teko on tehty kokonaan tai osittain sen alueella; tai |
|
b) |
teon on tehnyt sen kansalainen; tai |
|
c) |
teko on tehty sellaisen oikeushenkilön hyväksi, jonka kotipaikka on kyseisen jäsenvaltion alueella. |
2. Ulottaessaan lainkäyttövaltansa 1 kohdan a alakohdan mukaisesti jäsenvaltion on varmistettava, että sen lainkäyttövaltaan kuuluvat tapaukset, joissa:
|
a) |
rikoksentekijä tekee teon ollessaan fyysisesti jäsenvaltion alueella riippumatta siitä, kohdistuuko teko kyseisen jäsenvaltion alueella sijaitsevaan tietojärjestelmään; tai |
|
b) |
teko on kohdistunut kyseisen jäsenvaltion alueella sijaitsevaan tietojärjestelmään riippumatta siitä, oliko rikoksentekijä tekoa tehdessään fyysisesti jäsenvaltion alueella. |
3. Jäsenvaltion, joka ei lainsäädäntönsä nojalla toistaiseksi luovuta omia kansalaisiaan, on toteutettava tarvittavat toimenpiteet ulottaakseen lainkäyttövaltansa 2, 3, 4 ja 5 artiklassa tarkoitettuun tekoon ja ryhdyttävä tarvittaessa sitä koskeviin syytetoimiin, kun teon on suorittanut kyseisen jäsenvaltion kansalainen jäsenvaltion alueen ulkopuolella.
4. Jos teko kuuluu useamman kuin yhden jäsenvaltion lainkäyttövaltaan, ja näistä mikä tahansa voi pätevästi ryhtyä syytetoimiin samojen tosiseikkojen perusteella, asianomaisten jäsenvaltioiden on toimittava yhteistyössä päättääkseen siitä, mikä niistä ryhtyy syytetoimiin rikoksentekijöitä vastaan, tarkoituksenaan keskittää oikeudelliset menettelyt mahdollisuuksien mukaan yhteen jäsenvaltioon. Tätä varten jäsenvaltiot voivat käyttää mitä tahansa Euroopan unionissa perustettua elintä tai järjestelmää edistääkseen oikeusviranomaisten yhteistyötä ja niiden toiminnan yhteensovittamista. Seuraavat tekijät voidaan ottaa huomioon tässä esitetyssä järjestyksessä:
|
— |
kyseessä on oltava jäsenvaltio, jonka alueella teot on tehty 1 kohdan a alakohdan ja 2 kohdan mukaisesti, |
|
— |
kyseessä on oltava jäsenvaltio, jonka kansalainen tekijä on, |
|
— |
kyseessä on oltava jäsenvaltio, josta tekijä on tavoitettu. |
5. Jäsenvaltio voi päättää olla soveltamatta 1 kohdan b ja c alakohdassa asetettuja lainkäyttövaltasääntöjä tai soveltaa niitä vain erityistapauksissa tai -tilanteissa.
6. Jäsenvaltioiden on ilmoitettava neuvoston pääsihteeristölle ja komissiolle päätöksestään soveltaa 5 kohtaa sekä tarvittaessa myös niistä erityistapauksista tai -tilanteista, joissa päätöstä sovelletaan.
11 artikla
Tietojenvaihto
1. Jäsenvaltioiden on varmistettava, että ne hyödyntävät nykyistä kaikkina viikonpäivinä ja ympärivuorokautisesti toimivien yhteyspisteiden verkostoa 2, 3, 4 ja 5 artiklassa tarkoitettuja rikoksia koskevaa tietojenvaihtoa varten ja tietosuojasäännösten mukaisesti.
2. Kunkin jäsenvaltion on ilmoitettava neuvoston pääsihteeristölle ja komissiolle tietojärjestelmiin kohdistuvia rikoksia koskevaa tietojenvaihtoa varten nimeämänsä yhteyspisteen yhteystiedot. Pääsihteeristö toimittaa tiedot muille jäsenvaltioille.
12 artikla
Täytäntöönpano
1. Jäsenvaltioiden on toteutettava tämän puitepäätöksen säännösten noudattamisen edellyttämät tarpeelliset toimenpiteet viimeistään 16 päivänä maaliskuuta 2007.
2. Jäsenvaltioiden on viimeistään 16 päivänä maaliskuuta 2007 toimitettava neuvoston pääsihteeristölle ja komissiolle kirjallisina säännökset, joilla niille tästä puitepäätöksestä aiheutuvat velvoitteet saatetaan osaksi niiden kansallista lainsäädäntöä. Neuvosto arvioi viimeistään 16 päivänä syyskuuta 2007 näiden tietojen ja komission kirjallisen kertomuksen pohjalta laaditun selvityksen perusteella, missä määrin jäsenvaltiot ovat noudattaneet tämän puitepäätöksen säännöksiä.
13 artikla
Voimaantulo
Tämä puitepäätös tulee voimaan päivänä, jona se julkaistaan Euroopan unionin virallisessa lehdessä.
Tehty Brysselissä 24 päivänä helmikuuta 2005.
Neuvoston puolesta
Puheenjohtaja
N. SCHMIT
(1) EUVL C 300 E, 11.12.2003, s. 26.
(2) EYVL C 43, 16.2.2002, s. 2.
(3) EYVL C 19, 23.1.1999, s. 1.
(4) EYVL L 351, 29.12.1998, s. 1.
(5) EYVL C 187, 3.7.2001, s. 5.