14.8.2013   

LV

Eiropas Savienības Oficiālais Vēstnesis

L 218/8

(1)

Šīs direktīvas mērķi ir tuvināt dalībvalstu krimināltiesības attiecībā uz uzbrukumiem informācijas sistēmām, ieviešot minimālos noteikumus attiecībā uz noziedzīgu nodarījumu definēšanu un attiecīgām sankcijām, un uzlabot sadarbību starp kompetentajām iestādēm, tostarp dalībvalstu policijas un citiem specializētiem tiesībaizsardzības dienestiem, kā arī kompetentajām specializētajām Savienības aģentūrām un struktūrām, piemēram, Eurojust, Eiropolu un tā Eiropas kibernoziegumu centru un Eiropas Tīklu un informācijas drošības aģentūru (ENISA).

(2)

Informācijas sistēmas ir būtisks elements Savienības politiskajā, sociālajā un ekonomiskajā mijiedarbībā. Sabiedrība ir lielā mērā atkarīga no šādām sistēmām, un šī atkarība arvien palielinās. Minēto sistēmu netraucēta darbība un drošība Savienībā ir ārkārtīgi svarīga iekšējā tirgus un konkurētspējīgas un inovatīvas ekonomikas attīstībai. Informācijas sistēmu pienācīga līmeņa aizsardzības nodrošināšanai vajadzētu būt tādu preventīvu pasākumu iedarbīgas kompleksas sistēmas sastāvdaļai, ar kuriem papildina krimināltiesisku vēršanos pret kibernoziedzību.

(3)

Uzbrukumu informācijas sistēmām un, jo īpaši uzbrukumu, kas saistīti ar organizētu noziedzību, draudi gan Savienības, gan pasaules mērogā, kā arī bažas par iespējamiem teroristiskiem vai politiski motivētiem uzbrukumiem informācijas sistēmām, kas ir dalībvalstu un Savienības kritiskās infrastruktūras sastāvdaļa, arvien pieaug. Tas apdraud drošākas informācijas sabiedrības un brīvības, drošības un tiesiskuma telpas izveidi, un tāpēc ir jārīkojas Savienības līmenī un jāuzlabo sadarbība un koordinācija starptautiskā līmenī.

(4)

Savienībā atrodas virkne kritisku infrastruktūru, kuru darbības pārtraukšanai vai iznīcināšanai būtu nopietna pārrobežu ietekme. Ņemot vērā nepieciešamību palielināt kritiskās infrastruktūras aizsardzības spējas Savienībā, kļuvis acīmredzams, ka pasākumi pret kiberuzbrukumiem būtu jāpapildina ar stingriem kriminālsodiem, kas būtu atbilstīgi šādu uzbrukumu smagumam. Par kritiskām infrastruktūrām varētu uzskatīt objektus, sistēmas vai to daļas, kas ir izvietotas dalībvalstīs un kas ir būtiskas svarīgu sabiedrības funkciju uzturēšanai, veselības, drošuma, drošības, saimnieciskās vai sociālās labklājības nodrošināšanai, piemēram, spēkstacijas, transporta tīkli vai valdības tīkli, un kuru darbības pārtraukšana vai kuru iznīcināšana nopietni ietekmētu dalībvalsti, jo būtu traucēta turpmāka minēto funkciju izpilde.

(5)

Ir vērojama tendence, ka plaša mēroga uzbrukumi informācijas sistēmām, kas bieži var būt kritiski svarīgas dalībvalstīm vai atsevišķām publiskā vai privātā sektora funkcijām, kļūst aizvien bīstamāki un atkārtojas aizvien biežāk. Līdztekus šai tendencei ir konstatējama arvien sarežģītāku metožu attīstība, piemēram, tā saukto “robottīklu” (“botnets”) izveide un izmantošana, kurā noziedzīgai darbībai ir vairāki posmi un kurā katrs posms atsevišķi varētu radīt nopietnu risku sabiedrības interesēm. Šajā direktīvā inter alia ir paredzēts noteikt kriminālsodus par “robottīkla” izveidošanu, proti, ievērojama skaita datoru tālvadības iespējas iegūšanu, ar mērķtiecīgiem kiberuzbrukumiem inficējot tos ar ļaunprātīgu programmatūru. Kad tas ir izveidots, inficēto datoru tīklu, kas veido “robottīklu”, var aktivizēt bez datoru lietotāju ziņas, lai izraisītu plaša mēroga kiberuzbrukumu, kurš parasti ir pietiekami spēcīgs, lai radītu nopietnu kaitējumu, kā minēts šajā direktīvā. Dalībvalstis saskaņā ar saviem tiesību aktiem un praksi var noteikt, kas ir nopietns kaitējums, piemēram, traucējumu radīšana sabiedrībai ļoti svarīgos sistēmas pakalpojumos vai lielu finansiālu izmaksu radīšana vai personas datu vai sensitīvas informācijas zaudēšana.

(6)

Plaša mēroga kiberuzbrukumi var izraisīt ievērojamu ekonomisku kaitējumu gan informācijas sistēmu darbības un sakaru pārtraukumu, gan komerciāli svarīgas konfidenciālas informācijas vai citu datu zaudēšanas vai izmainīšanas rezultātā. Īpaša uzmanība būtu jāpievērš novatorisku mazo un vidējo uzņēmumu izpratnes uzlabošanai par draudiem, kas saistīti ar šādiem uzbrukumiem, un to neaizsargātību pret šādiem uzbrukumiem, jo tie arvien vairāk ir atkarīgi no informācijas sistēmu pareizas darbības un pieejamības un tiem bieži vien ir ierobežoti resursi informācijas drošībai.

(7)

Lai nodrošinātu saskaņotu pieeju šīs direktīvas piemērošanai dalībvalstīs, šajā jomā ir svarīgas vienotas definīcijas.

(8)

Ir jāpanāk kopīga pieeja noziedzīgu nodarījumu sastāvdaļām, ieviešot vienotus noziedzīgu nodarījumu sastāvus attiecībā uz nelikumīgu piekļuvi informācijas sistēmai, nelikumīgu iejaukšanos sistēmā, nelikumīgu iejaukšanos datos un nelikumīgu pārtveršanu.

(9)

Pārtveršana ietver, bet neaprobežojas ar saziņas satura noklausīšanos, uzraudzīšanu vai novērošanu, satura datu saņemšanu tiešā veidā, piekļūstot un izmantojot informācijas sistēmu, vai netieši, ar tehniskiem līdzekļiem izmantojot elektroniskas noklausīšanās vai uztveršanas ierīces.

(10)

Dalībvalstīm būtu jāparedz sodi par uzbrukumiem informācijas sistēmām. Minētajiem sodiem vajadzētu būt iedarbīgiem, samērīgiem un preventīviem, un tiem vajadzētu ietvert cietumsodu un/vai naudas sodu.

(11)

Ar šo direktīvu paredz noteikt kriminālsodus vismaz tādos gadījumos, kas nav mazsvarīgi. Katra dalībvalsts saskaņā ar saviem tiesību aktiem un praksi var noteikt, kuru pārkāpumu var uzskatīt par mazsvarīgu. Nodarījumu var uzskatīt par mazsvarīgu, piemēram, ja nodarījuma izraisītais kaitējums un/vai risks, ko tas rada publiskām vai privātām interesēm, tādām kā datortīkla vai datorizētu datu integritātei, vai personas neaizskaramībai, tiesībām vai citām personas interesēm, ir nenozīmīgs vai tāds, ka kriminālsoda piemērošana likumā paredzētajās robežās vai kriminālatbildības piemērošana nav nepieciešama.

(12)

Kiberuzbrukumu izraisītā apdraudējuma un riska, kā arī informācijas sistēmu saistītās neaizsargātības identifikācija un ziņošana par to ir būtisks elements kiberuzbrukumu efektīvā profilaksē un reaģēšanā uz tiem, kā arī informācijas sistēmu drošības uzlabošanā. Tādēļ varētu būt lietderīgi noteikt stimulus, lai ziņotu par drošības robiem. Dalībvalstīm būtu jātiecas piedāvāt šādas iespējas, lai varētu tiesiski noteikt drošības robus un ziņot par tiem.

(13)

Ir atbilstīgi noteikt bargākus sodus, ja uzbrukumu informācijas sistēmai ir veikusi noziedzīga organizācija, kā definēts Padomes Pamatlēmumā 2008/841/TI (2008. gada 24. oktobris) par cīņu pret organizēto noziedzību (3), ja kiberuzbrukums tiek veikts plašā mērogā, tādējādi skarot būtisku skaitu informācijas sistēmu, tostarp – ja uzbrukuma mērķis ir bijis izveidot “robottīklu”, vai ja kiberuzbrukums rada nopietnu kaitējumu, tostarp – ja tas izdarīts, izmantojot “robottīklu”. Ir atbilstīgi arī noteikt bargākus sodus, ja uzbrukums ir vērsts pret dalībvalstu vai Savienības kritisku infrastruktūru.

(14)

Vēl viens nozīmīgs elements integrētā pieejā kibernoziedzības apkarošanai ir efektīvu pasākumu noteikšana pret identitātes zādzību un citiem nodarījumiem saistībā ar identitāti. Novērtējot vajadzību pēc visaptveroša horizontāla Savienības instrumenta, varētu arī apsvērt, vai ir vajadzīga Savienības rīcība attiecībā uz šādu kriminālsodāmu uzvedību.

(15)

Padomes 2008. gada 27. līdz 28. novembra secinājumos ir norādīts, ka dalībvalstīm un Komisijai būtu jāizstrādā jauna stratēģija, ņemot vērā Eiropas Padomes 2001. gada Konvenciju par kibernoziedzību. Minētā konvencija ir atsauces tiesiskais regulējums cīņai pret kibernoziedzību, tostarp uzbrukumiem informācijas sistēmām. Šī direktīva ir izstrādāta, pamatojoties uz minēto konvenciju. Par prioritāti būtu jāuzskata tas, lai visas dalībvalstis pēc iespējas ātrāk pabeigtu minētās konvencijas ratificēšanas procesu.

(16)

Ņemot vērā, ka uzbrukumus ir iespējams veikt dažādos veidos, un to, cik ātri attīstās aparatūra un programmatūra, šajā direktīvā ir atsauce uz rīkiem, ko var izmantot šajā direktīvā izklāstīto nodarījumu izdarīšanai. Šādi rīki varētu būt ļaunprātīga programmatūra, tostarp arī tāda programmatūra, ar ko ir iespējams izveidot “robottīklus”, ko izmanto kiberuzbrukumu izdarīšanai. Pat ja šāds rīks ir piemērots vai īpaši piemērots kāda no šajā direktīvā izklāstīto nodarījumu veikšanai, ir iespējams, ka tas ir izstrādāts likumīgam mērķim. Lai izvairītos no kriminālatbildības piemērošanas gadījumos, kad šādi rīki ir izstrādāti un laisti tirgū likumīgiem mērķiem, piemēram, informācijas tehnoloģiju produktu izturības vai informācijas sistēmu drošības pārbaudēm, papildus prasībai par vispārīgu nodomu jābūt izpildītai arī prasībai par tiešu nodomu minētos rīkus izmantot, lai veiktu vienu vai vairākus no šajā direktīvā izklāstītajiem nodarījumiem.

(17)

Ar šo direktīvu nenosaka kriminālatbildību, ja objektīvie kritēriji šajā direktīvā izklāstītajiem nodarījumiem ir izpildīti, tomēr darbības ir veiktas bez noziedzīga nodoma, piemēram, ja persona nezina, ka piekļuve bija neatļauta, vai ja ir notikusi informācijas sistēmas aizsardzības pilnvarota pārbaude, piemēram, ja uzņēmums vai tirgotājs personai ir uzdevis pārbaudīt savas drošības sistēmas izturību. Saistībā ar šo direktīvu līgumiskas saistības vai vienošanās ierobežot piekļuvi informācijas sistēmām, izmantojot lietotāju politiku vai lietošanas noteikumus, kā arī darba strīdi attiecībā uz tiesībām piekļūt un izmantot darba devēja informācijas sistēmas privātiem mērķiem nedrīkstētu izraisīt kriminālatbildību, ja šādos apstākļos piekļuvi uzskatītu par neatļautu un tā tādējādi būtu vienīgais kriminālprocesa pamats. Šī direktīva neskar tiesības uz piekļuvi informācijai, kā noteikts valstu un Savienības tiesību aktos, lai gan tā nevar būt par attaisnojumu nelikumīgai vai patvaļīgai piekļuvei informācijai.

(18)

Kiberuzbrukumu izdarīšanu varētu atvieglot dažādi apstākļi, piemēram, ja nodarījuma izdarītājam saistībā ar viņa darbu ir piekļuve drošības sistēmām, kas ir daļa no skartajām informācijas sistēmām. Ievērojot valstu tiesību aktus, šādi apstākļi būtu attiecīgi jāņem vērā kriminālprocesa gaitā.

(19)

Dalībvalstīm savos valsts tiesību aktos būtu jāparedz atbildību pastiprinoši apstākļi saskaņā ar to tiesību sistēmā noteiktajiem piemērojamiem noteikumiem par atbildību pastiprinošiem apstākļiem. Tām būtu jānodrošina, ka minētie atbildību pastiprinošie apstākļi ir pieejami tiesnešiem apsvēršanai, nosakot sodu nodarījuma izdarītājiem. Attiecībā uz minēto apstākļu izvērtēšanu kopā ar citiem konkrētās lietas faktiem tiesnesim ir rīcības brīvība.

(20)

Šajā direktīvā nereglamentē nosacījumus jurisdikcijas īstenošanai attiecībā uz jebkuru no šeit minētajiem nodarījumiem, piemēram, cietušā iesniegumu nodarījuma izdarīšanas vietā, apsūdzību no valsts, kurā nodarījums izdarīts, vai kriminālvajāšanas neveikšanu pret nodarījuma izdarītāju nodarījuma izdarīšanas vietā.

(21)

Saistībā ar šo direktīvu valstīm un to publiskām iestādēm arvien pilnā mērā ir pienākums nodrošināt cilvēktiesību un pamatbrīvību ievērošanu saskaņā ar spēkā esošajām starptautiskajām saistībām.

(22)

Šajā direktīvā ir uzsvērta tādu tīklu nozīme kā G8 vai Eiropas Padomes kontaktpunktu tīkls, kas ir pieejami divdesmit četras stundas diennaktī, septiņas dienas nedēļā. Minētajiem kontaktpunktiem vajadzētu būt spējīgiem nodrošināt efektīvu palīdzību un tādējādi, piemēram, veicināt pieejamās attiecīgās informācijas apmaiņu vai tehnisku konsultāciju vai juridiskas informācijas sniegšanu ar nolūku veikt izmeklēšanu vai tiesvedību par noziedzīgiem nodarījumiem, kas saistīti ar informācijas sistēmām un saistītiem datiem, kas attiecas uz pieprasītāju dalībvalsti. Lai nodrošinātu tīklu netraucētu darbību, katram kontaktpunktam būtu jāspēj ātri sazināties ar citas dalībvalsts kontaktpunktu inter alia ar apmācīta un ekipēta personāla starpniecību. Ņemot vērā, cik ātri ir iespējams veikt plaša mēroga kiberuzbrukumus, dalībvalstīm vajadzētu būt spējīgām nekavējoties sniegt atbildi uz šī kontaktpunktu tīkla steidzamiem pieprasījumiem. Šādos gadījumos varētu būt lietderīgi, ka informācijas pieprasījumu papildina telefoniska sazināšanās, lai nodrošinātu, ka pieprasījuma saņēmēja dalībvalsts pieprasījumu apstrādā ātri un atbildi sniedz astoņās stundās.

(23)

Publisko iestāžu sadarbība savā starpā, no vienas puses, un privātais sektors un pilsoniskā sabiedrība, no otras puses, ir ļoti nozīmīga informācijas sistēmu uzbrukumu novēršanā un apkarošanā. Ir jāpastiprina un jāuzlabo sadarbība starp pakalpojumu sniedzējiem, ražotājiem, tiesībaizsardzības struktūrām un tiesu iestādēm, pilnībā ievērojot tiesiskumu. Šāda sadarbība varētu ietvert pakalpojumu sniedzēju atbalstu, palīdzot saglabāt iespējamos pierādījumus, sniedzot informāciju, kas palīdzētu identificēt nodarījumu izdarītājus, un kā pēdējo līdzekli saskaņā ar valstu tiesību aktiem un praksi pilnībā vai daļēji izslēdzot informācijas sistēmas vai funkcijas, kuras tiek apdraudētas vai izmantotas nelikumīgiem mērķiem. Dalībvalstīm būtu arī jāapsver iespēja izveidot sadarbības un partnerības tīklus ar pakalpojumu sniedzējiem un ražotājiem, lai apmainītos ar informāciju saistībā ar nodarījumiem, uz kuriem attiecas šīs direktīvas darbības joma.

(24)

Ir jāvāc salīdzināmi dati par šajā direktīvā izklāstītajiem nodarījumiem. Atbilstīgi dati būtu jādara pieejami kompetentajām specializētajām Savienības aģentūrām un struktūrām, piemēram, Eiropolam un ENISA atbilstīgi to uzdevumiem un vajadzībai pēc informācijas, lai panāktu pilnīgāku izpratni par problemātiku saistībā ar kibernoziedzību un tīklu un informācijas drošību Savienības līmenī un tādējādi sekmētu efektīvākas atbildes rīcības sagatavošanu. Dalībvalstīm būtu jāiesniedz Eiropolam un tā Eiropas Kibernoziegumu centram informācija par nodarījumu izdarītāju darbības veidu, lai tie veiktu kibernoziedzības izraisīto draudu novērtējumu un stratēģisko analīzi atbilstīgi Padomes Lēmumam 2009/371/TI (2009. gada 6. aprīlis), ar ko izveido Eiropas Policijas biroju (Eiropolu) (4). Informācijas sniegšana var sekmēt labāku izpratni par esošajiem un nākotnē gaidāmajiem draudiem un tādējādi var veicināt piemērotāku un mērķtiecīgāku lēmumu pieņemšanu par uzbrukumu informācijas sistēmām apkarošanu un novēršanu.

(25)

Komisijai būtu jāiesniedz ziņojums par šīs direktīvas piemērošanu un jānāk klajā ar visiem vajadzīgajiem leģislatīvo aktu priekšlikumiem, ar kuriem varētu paplašināt tās darbības jomu, ņemot vērā norises kibernoziedzības jomā. Šādas norises varētu ietvert tehnoloģiju attīstību, piemēram tādu, kuras nodrošina efektīvāku izpildi attiecībā uz uzbrukumiem informācijas sistēmām vai kuras veicina šādu uzbrukumu nepieļaušanu vai to seku mazināšanu. Tālab Komisijai būtu jāņem vērā pieejamās analīzes un ziņojumi, ko izstrādājuši atbilstīgi dalībnieki un jo īpaši Eiropols un ENISA.

(26)

Kibernoziegumu efektīvai apkarošanai jāpalielina informācijas sistēmu izturība, veicot piemērotus pasākumus, lai tās efektīvāk aizsargātu pret kiberuzbrukumiem. Dalībvalstīm būtu jāveic vajadzīgie pasākumi to kritiskās infrastruktūras aizsardzībai pret kiberuzbrukumiem, tostarp apsverot iespēju aizsargāt savas informācijas sistēmas un saistītos datus. Svarīga kompleksas pieejas sastāvdaļa kibernoziedzības efektīvai apkarošanai ir juridisku personu rīcība, nodrošinot informācijas sistēmu aizsardzības un drošības piemērotu līmeni, piemēram, saistībā ar publiski pieejamu elektroniskās saziņas pakalpojumu sniegšanu atbilstīgi spēkā esošajiem Savienības tiesību aktiem par privāto dzīvi un elektroniskajiem sakariem un datu aizsardzību. Būtu jānodrošina pienācīgs aizsardzības līmenis pret iespējami identificējamiem draudiem un neaizsargātību atbilstoši augstākajam iespējamajam līmenim attiecīgajā nozarē un konkrētām datu apstrādes situācijām. Izmaksām un slogam saistībā ar šādu aizsardzību vajadzētu būt samērīgam ar iespējamo kaitējumu, ko kiberuzbrukums izraisītu ietekmētajām personām. Dalībvalstis tiek mudinātas savos valsts tiesību aktos noteikt atbilstīgus pasākumus, paredzot atbildību gadījumos, kad juridiskā persona nepārprotami nav nodrošinājusi atbilstīga līmeņa aizsardzību pret kiberuzbrukumiem.

(27)

Ievērojami trūkumi un atšķirības dalībvalstu tiesību aktos un kriminālprocesā, kas attiecas uz uzbrukumiem informācijas sistēmām, var kavēt organizētās noziedzības un terorisma apkarošanu un sarežģīt efektīvu policijas un tiesu iestāžu sadarbību šajā jomā. Modernās informācijas sistēmas ir starptautiskas, un uz tām neattiecas robežas, tādēļ uzbrukumiem šādām sistēmām ir pārrobežu raksturs, tādējādi izceļot to, ka ir steidzami vajadzīga turpmāka rīcība krimināltiesību tuvināšanai šajā jomā. Turklāt būtu jāuzlabo saistībā ar uzbrukumiem informācijas sistēmām īstenotā kriminālprocesa koordinācija, atbilstīgi īstenojot un piemērojot Padomes Pamatlēmumu 2009/948/TI (2009. gada 30. novembris) par jurisdikcijas īstenošanas konfliktu novēršanu un atrisināšanu kriminālprocesā (5). Dalībvalstīm sadarbībā ar Savienību būtu arī jātiecas uzlabot starptautisku sadarbību saistībā ar informācijas sistēmu, datortīklu un datoru datu drošību. Visos starptautiskos nolīgumos, kas aptver datu apmaiņu, būtu pienācīgi jāapsver datu pārsūtīšanas un glabāšanas drošības jautājumi.

(28)

Lai efektīvi apkarotu kibernoziegumus, ir būtiski uzlabot sadarbību starp kompetentajām tiesībaizsardzības struktūrām un tiesu iestādēm visā Savienībā. Šajā sakarā būtu jāveicina tas, ka tiek pastiprināti centieni nodrošināt atbilstīgajām iestādēm piemērotu apmācību, lai uzlabotu izpratni par kibernoziedzību un tās ietekmi, un pastiprināta sadarbība un paraugprakses apmaiņa, piemēram, ar kompetentu specializētu Savienības aģentūru un struktūru starpniecību. Ar šādu apmācību būtu inter alia jātiecas uzlabot informētību par atšķirīgajām valstu tiesību sistēmām, iespējamām juridiskām un tehniskām problēmām, ar kurām saskaras kriminālizmeklēšanā, un kompetenču sadalījumu starp atbilstīgajām valstu iestādēm.

(29)

Šajā direktīvā ir respektētas cilvēktiesības un pamatbrīvības un ievēroti principi, kas jo īpaši atzīti Eiropas Savienības Pamattiesību hartā un Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvencijā, tostarp personas datu aizsardzība, tiesības uz privāto dzīvi, vārda un informācijas brīvība, tiesības uz taisnīgu tiesu, nevainīguma prezumpcija un tiesības uz aizstāvību, kā arī noziedzīgu nodarījumu un sodu likumības un samērīguma princips. Šo tiesību un principu pilnīga ievērošana ir īpašs šīs direktīvas mērķis, un tā ir attiecīgi jāīsteno.

(30)

Personas datu aizsardzība saskaņā ar LESD 16. panta 1. punktu un Pamattiesību hartas 8. pantu ir pamattiesība. Tāpēc, veicot jebkādu personas datu apstrādi saistībā ar šīs direktīvas īstenošanu, būtu pilnībā jāievēro atbilstīgie Savienības tiesību akti par datu aizsardzību.

(31)

Saskaņā ar 3. pantu Protokolā par Apvienotās Karalistes un Īrijas nostāju saistībā ar brīvības, drošības un tiesiskuma telpu, kas pievienots Līgumam par Eiropas Savienību un Līgumam par Eiropas Savienības darbību, minētās dalībvalstis ir informējušas par savu vēlmi piedalīties šīs direktīvas pieņemšanā un piemērošanā.

(32)

Saskaņā ar 1. un 2. pantu Protokolā par Dānijas nostāju, kas pievienots Līgumam par Eiropas Savienību un Līgumam par Eiropas Savienības darbību, Dānija nepiedalās šīs direktīvas pieņemšanā, un šī direktīva tai nav saistoša un nav jāpiemēro.

(33)

Ņemot vērā to, ka šīs direktīvas mērķus, proti, visās dalībvalstīs par uzbrukumiem informācijas sistēmām piemērot iedarbīgus, samērīgus un atturošus kriminālsodus un uzlabot un veicināt tiesu iestāžu un citu kompetentu iestāžu sadarbību, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, un to, ka paredzētās rīcības mēroga un iedarbības dēļ šos mērķus var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar Līguma par Eiropas Savienību 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā direktīvā paredz vienīgi tos pasākumus, kas ir vajadzīgi minēto mērķu sasniegšanai.

(34)

Šīs direktīvas mērķis ir grozīt un paplašināt Padomes Pamatlēmuma 2005/222/TI (2005. gada 24. februāris) par uzbrukumiem informācijas sistēmām (6) noteikumus. Tā kā veicamie grozījumi ir būtiski un to skaits ir ievērojams, skaidrības labad attiecībā uz tām dalībvalstīm, kuras piedalās šīs direktīvas pieņemšanā, Pamatlēmums 2005/222/TI būtu jāaizstāj pilnībā,

a)

“informācijas sistēma” ir ierīce vai savstarpēji savienotu vai saistītu ierīču kopums, no kurām viena vai vairākas ierīces saskaņā ar programmu automātiski apstrādā datorizētus datus, kā arī datorizēti dati, ko minētās ierīces vai ierīču kopums glabā, apstrādā, iegūst vai sūta, lai nodrošinātu savu darbību, izmantošanu, aizsargāšanu un uzturēšanu;

b)

“datorizēti dati” ir faktu, informācijas vai konceptu atveidojums formā, kas ir piemērota apstrādei informācijas sistēmā, tostarp programma, kas piemērota tam, lai informācijas sistēmā izraisītu kādu darbību;

c)

“juridiska persona” ir subjekts, kam saskaņā ar piemērojamiem tiesību aktiem ir juridiskas personas statuss, bet kas neietver nedz valstis vai publiskas struktūras, kas darbojas, īstenojot valsts varu, nedz publisko tiesību starptautiskās organizācijas;

d)

“bez tiesībām” ir šajā direktīvā minēta darbība, tostarp piekļuve, iejaukšanās vai pārtveršana bez sistēmas vai tās daļas īpašnieka vai cita tiesību subjekta atļaujas vai kas nav atļauta saskaņā ar valsts tiesību aktiem.

a)

datorprogramma, kura galvenokārt paredzēta vai pielāgota 3. līdz 6. pantā minēto nodarījumu izdarīšanai;

b)

datorparole, pieejas kods vai līdzīgi dati, ar kuru palīdzību var piekļūt informācijas sistēmai vai tās daļai.

a)

tie ir izdarīti, darbojoties noziedzīgā organizācijā, kā definēts Pamatlēmumā 2008/841/TI, bet neatkarīgi no tajā paredzētā soda;

b)

tie izraisa nopietnu kaitējumu; vai

c)

tie ir izdarīti pret kādu kritiskās infrastruktūras informācijas sistēmu.

a)

pilnvarām pārstāvēt juridisko personu;

b)

pilnvarām pieņemt lēmumus juridiskās personas vārdā;

c)

pilnvarām veikt juridiskās personas iekšējo kontroli.

a)

atņemt tiesības saņemt publiskus līdzekļus vai atbalstu;

b)

uz laiku vai pastāvīgi aizliegt veikt komercdarbību;

c)

pakļaut tiesas uzraudzībai;

d)

likvidēt ar tiesas lēmumu;

e)

uz laiku vai pavisam slēgt uzņēmējdarbības veikšanas vietas, kas izmantotas nodarījuma izdarīšanā.

a)

nodarījums ir pilnīgi vai daļēji izdarīts to teritorijā; vai

b)

nodarījumu izdarījis kāds tās valstspiederīgais, vismaz gadījumos, kad darbība ir nodarījums vietā, kur tā ir izdarīta.

a)

nodarījuma izdarītājs izdara nodarījumu, fiziski atrodoties tās teritorijā, neatkarīgi no tā, vai nodarījums ir izdarīts pret informācijas sistēmu tās teritorijā; vai

b)

nodarījums ir izdarīts pret informācijas sistēmu tās teritorijā, neatkarīgi no tā, vai nodarījuma izdarītājs izdara nodarījumu, fiziski atrodoties tās teritorijā.

a)

nodarījuma izdarītāja pastāvīgā dzīvesvieta ir tās teritorijā; vai

b)

nodarījums ir izdarīts tādas juridiskās personas labā, kas veic uzņēmējdarbību tās teritorijā.