23.7.2011   

SL

Uradni list Evropske unije

C 218/130

1.1

Odbor pozdravlja sporočilo Komisije o predlogu direktive Evropskega parlamenta in Sveta o napadih na informacijske sisteme. Tako kot Komisija tudi Odbor izraža globoko zaskrbljenost glede obsega kibernetske kriminalitete v Evropi ter dejanske in potencialne škode, ki jo ta naraščajoča grožnja povzroča gospodarstvu in blaginji državljanov.

1.2

Odbor tudi deli razočaranje Komisije, da je doslej le 17 od 27 držav članic ratificiralo Konvencijo Sveta Evrope o kibernetski kriminaliteti („Konvencijo o kibernetski kriminaliteti“) (1). Odbor poziva preostale države članice (2) – Avstrijo, Belgijo, Češko, Grčijo, Irsko, Luksemburg, Malto, Poljsko, Švedsko in Združeno kraljestvo –, naj Konvencijo o kibernetski kriminaliteti ratificirajo čimprej.

1.3

Odbor se strinja s Komisijo, da je direktiva nujno potrebna za posodobitev opredelitve kaznivih dejanj, povezanih z napadi na informacijske sisteme, ter za okrepitev usklajevanja kazenskega pravosodja EU in sodelovanja za učinkovito obravnavo tega kritičnega problema.

1.4

Zaradi nujne potrebe po zakonodajnem ukrepu, ki bi posebej obravnaval napade na informacijske sisteme, se Odbor strinja z odločitvijo Komisije, da uporabi možnost direktive, podprte z nezakonodajnimi ukrepi, usmerjenimi k temu posebnemu vidiku kibernetske kriminalitete.

1.5

Vendar bi Odbor želel, kot je zahteval že v enem predhodnih mnenj (3), da Komisija hkrati nadaljuje s pripravo celovite zakonodaje EU proti kibernetski kriminaliteti. Odbor meni, da je celovit okvir bistvenega pomena za uspeh Digitalne agende in strategije Evropa 2020  (4). Okvir bi moral poleg kazenskega pregona in kazni obravnavati vprašanja preprečevanja, odkrivanja in izobraževanja.

1.6

EESO meni, da bi morala Komisija ob primernem času predložiti predloge za celovit okvir ukrepov za obvladovanje splošnega problema varnosti interneta. Čez deset let bo internet uporabljala večina prebivalstva in od njega bo odvisna večina gospodarskih in družbenih dejavnosti, zato je nepredstavljivo, da bi se še vedno mogli zanašati na zdajšnji ležerni in nestrukturirani pristop k uporabi interneta, zlasti ker bo gospodarska vrednost teh dejavnosti neizmerljiva. Pojavljalo se bo veliko vprašanj, med njimi tudi vprašanja varnosti osebnih podatkov in zasebnosti ter kibernetskega kriminala. Letalsko varnost nadzira osrednji organ, ki določa standarde za letala, letališča in letalske dejavnosti. Čas je, da se vzpostavi podoben organ, ki bo vzpostavljal standarde za varnost terminalnih naprav (osebnih in tabličnih računalnikov, „pametnih telefonov“), omrežij, spletnih mest in podatkov. Fizična konfiguracija interneta je eden ključnih dejavnikov v obrambi pred kibernetsko kriminaliteto. EU bo potrebovala regulator s pooblastili za internet.

1.7

Direktiva se bo osredotočila na opredelitev kaznivih dejanj in zagrožene kazni. Odbor poziva, naj se enako pozornost nameni tudi preprečevanju s pomočjo boljših varnostnih ukrepov. Proizvajalci opreme morajo izpolnjevati standarde za zagotavljanje varnih naprav. Nesprejemljivo je, da je varnost naprav in s tem omrežij odvisna od kapric njihovih lastnikov. Treba je preučiti uvedbo vseevropskega sistema elektronske identifikacije, vendar bi moral biti ta sistem skrbno zasnovan, da bi preprečili kršitve zasebnosti; v celoti bi bilo treba začeti izkoriščati varnostne zmogljivosti v IPv6 in izobraževanje državljanov na področju osebne kibernetske varnosti, vključno z varstvom podatkov, bi moralo biti temeljna sestavina vseh izobraževalnih programov na področju digitalne pismenosti. Komisija bi se morala opreti na prejšnja mnenja Odbora o teh vprašanjih (5).

1.8

Odbor je zadovoljen, da predlagana direktiva ustrezno zajema napade na informacijske sisteme z uporabo botnetov (6), vključno z ohromitvijo storitve (denial of service – DoS) (7). Odbor tudi meni, da bo direktiva oblastem pomagala pri pregonu kibernetske kriminalitete, ki poskuša izkoristiti mednarodno medsebojno povezljivost omrežij, pa tudi pri pregonu storilcev, ki se poskušajo skrivati za anonimnostjo, ki jo lahko zagotavljajo izpopolnjena orodja kibernetske kriminalitete.

1.9

Odbor je zadovoljen tudi s seznamom kaznivih dejanj, ki jih zajema direktiva, zlasti z vključitvijo „nezakonitega prestrezanja“ in jasno obrazložitvijo „orodij, ki se uporabljajo za kazniva dejanja“.

1.10

Vendar pa Odbor – glede na pomembnost zaupanja in varnosti za digitalno gospodarstvo ter velikanske letne stroške kibernetske kriminalitete (8) – predlaga, da bi morala v direktivi višina predvidenih kazni odražati resnost kaznivega dejanja in tudi v resnici odvračati storilce kaznivih dejanj. Predlagana direktiva določa kazni najmanj dveh do petih let zapora (pet let za oteževalne okoliščine). EESO predlaga razpon kazni v odvisnosti od teže kaznivega dejanja.

1.11

EESO predlaga, da bi bilo treba zdaj izkoristiti priložnost, da se storilcem kaznivih dejanj in državljanom, ki pričakujejo zagotovila, pošlje jasno sporočilo z določitvijo strožjih kazni. V Združenem kraljestvu (9) se na primer obsežni napadi na informacijske sisteme kaznujejo z zaporno kaznijo do 10 let, Estonija pa je poostrila svoje kazni, pri čemer je za obsežne napade v teroristične namene zagrožena kazen do 25 let zapora. (10)

1.12

Odbor pozdravlja predlog Komisije, da se direktiva podpre z nezakonodajnimi ukrepi za spodbujanje nadaljnjega usklajenega ukrepanja na ravni EU in bolj učinkovitega izvrševanja zakonodaje. Poudarja tudi, da je treba to usklajevanje razširiti na tesno sodelovanje z vsemi državami organizacij EFTA in NATO.

1.13

Odbor močno podpira programe usposabljanja in priporočila za najboljšo prakso, predlagana za izboljšanje učinkovitosti obstoječih kontaktnih točk za organe pregona, ki so na voljo neprekinjeno (24 ur na dan, sedem dni v tednu).

1.14

Poleg nezakonodajnih ukrepov, omenjenih v predlogu, Odbor poziva Komisijo, naj zlasti sredstva za raziskave in razvoj usmeri v razvoj sistemov zgodnjega odkrivanja in odzivanja, namenjenih obrambi pred napadi na informacijske sisteme. Sodobne tehnologije računalništva v oblaku (11) in porazdeljene obdelave podatkov (grid computing)  (12) ponujajo možnosti za boljšo zaščito Evrope pred številnimi nevarnostmi.

1.15

Odbor predlaga, naj Evropska agencija za varnost omrežij in informacij (ENISA) financira usmerjen program razvoja veščin za krepitev varnosti evropske industrije informacijskih in komunikacijskih tehnologij, ki presega kazenski pregon (13).

1.16

Za okrepitev obrambe Evrope pred kibernetskimi napadi želi Odbor poudariti pomen razvoja evropskega javno-zasebnega partnerstva za odpornost (European Public Private Partnership for Resilience, EP3R) ter ga vključiti v delo agencije ENISA in evropske skupine vladnih skupin za odzivanje na računalniške grožnje (European Governmental Group of Computer Emergency Response Teams, EGC CERTs).

1.17

V Evropi bi si morali prizadevati za močno industrijo informacijske varnosti, ki bi bila po sposobnostih enakovredna zelo dobro financirani industriji v ZDA (14). Naložbe v raziskave in razvoj ter izobraževanje na področju kibernetske varnosti je treba bistveno povečati.

1.18

Odbor opozarja na izvzetja iz obveznosti prenosa predlagane direktive, ki so v skladu s protokoli k Pogodbam odobrena Združenemu kraljestvu, Irski in Danski. Ne glede na izvzetja pa Odbor te države članice poziva, naj v čim večji meri ravnajo v skladu z določbami Direktive, da bi storilcem kaznivih dejanj v vsej Uniji preprečili izkoriščanje vrzeli v politiki EU.

2.1

Evropa je danes pri svojih prizadevanjih za ustvarjanje blaginje in kakovosti življenja državljanov močno odvisna od informacijskih sistemov. Vse večja odvisnost od informacijskih sistemov pa terja ustrezne, vse bolj izpopolnjene varnostne ukrepe in stroge zakone za zaščito informacijskih sistemov pred napadi.

2.2

Internet je središčna platforma digitalne družbe. Obvladovanje groženj za varnost informacijskih sistemov je za razvoj digitalne družbe in digitalnega gospodarstva bistvenega pomena. Internet podpira večino kritične informacijske infrastrukture v Evropi: informacijske in komunikacijske platforme za zagotavljanje osnovnih dobrin in storitev. Napadi na informacijske sisteme – vladne in finančne sisteme, socialne službe in infrastrukturne sisteme ključnega pomena, kot so oskrba z elektriko in vodo, prevoz ter zdravstvene in reševalne službe – so postali velik problem.

2.3

Arhitektura interneta temelji na medsebojni povezanosti milijonov računalnikov, pri čemer so obdelava, komunikacija in nadzor nad podatki razporejeni po svetu. Ta decentralizirana arhitektura je ključna za stabilnost in odpornost interneta, saj se tako lahko ob težavah promet spet hitro obnovi. Vendar to pomeni tudi, da je mogoče obsežne kibernetske napade sprožiti s samega roba omrežja, na primer z uporabo botnetov, to pa lahko stori vsakdo, ki to hoče in ima ustrezno osnovno znanje.

2.4

Razvoj na področju informacijske tehnologije je te probleme še bolj zaostril, saj sta se poenostavili izdelava in distribucija orodij (zlonamerna programska oprema (15) in botneti), hkrati pa storilci lahko ostanejo anonimni in se izmikajo odgovornosti, ki je razpršena po različnih sodnih pristojnostih. Zaradi težav s sodnim pregonom je mogoče z organizirano kriminaliteto ustvarjati velike dobičke ob majhnem tveganju.

2.5

Po ugotovitvah neke študije iz leta 2009, predstavljene na Svetovnemu gospodarskemu forumu (16), svetovni stroški zaradi kibernetske kriminalitete dosegajo bilijon dolarjev na leto in se hitro povečujejo. Nedavno objavljeno poročilo britanske vlade (17) pa ocenjuje, da ti stroški samo v Združenem kraljestvu dosegajo 27 milijard funtov na leto. Visoki stroški kibernetske kriminalitete upravičujejo sprejemanje strogih ukrepov, njihovo odločno izvrševanje in visoke kazni za storilce.

2.6

V delovnem dokumentu služb Komisije (18), ki je priloženo predlogu direktive, je opisano, kako organizirani kriminal in sovražno nastrojene vlade izkoriščajo destruktivni potencial napadov na informacijske sisteme v vsej Uniji. Napadi iz takšnih botnetov so lahko za prizadete države kot celote zelo nevarni. Kot orodje za izvajanje političnega pritiska na državo jih lahko uporabljajo tudi teroristi ali drugi.

2.7

Napad na Estonijo v aprilu in maju 2007 je opozoril na ta problem. Zaradi obsežnih napadov so bili več dni onesposobljeni pomembni deli kritične informacijske infrastrukture v vladi in zasebnem sektorju. Povzročena je bila velika gospodarska škoda – 19 do 28 milijonov EUR – in prišlo je do resnih političnih posledic. Podobni uničujoči napadi so bili sproženi tudi proti Litvi in Gruziji.

2.8

Globalna komunikacijska omrežja terjajo visoko stopnjo čezmejne medsebojne povezanosti. Ključnega pomena je, da vseh 27 držav članic skupno in enotno ukrepa proti kibernetski kriminaliteti, zlasti proti napadom na informacijske sisteme. Ta mednarodna soodvisnost nalaga Evropski uniji odgovornost, da mora imeti celostno politiko za zaščito informacijskih sistemov pred napadi in za kaznovanje storilcev.

2.9

Odbor se je leta 2007 v svojem mnenju o strategiji za varno informacijsko družbo  (19) zavzel za celovito zakonodajo EU proti kibernetski kriminaliteti. Poleg napadov na informacijske sisteme bi moral celovit okvir zajemati finančno kibernetsko kriminaliteto, nezakonite internetne vsebine, zbiranje, hranjenje in prenos elektronskih dokazov ter podrobnejša pravila o sodni pristojnosti.

2.10

Odbor se zaveda, da je oblikovanje celovitega okvira zelo težka naloga, ki jo še dodatno otežujejo pomanjkanje političnega soglasja (20) in težave zaradi velikih razlik med državami članicami glede dopustnosti elektronskih dokazov na sodiščih. Vendar bi tak celovit okvir omogočil, da bi v največji meri izkoristili tako koristi zakonodajnih kot nezakonodajnih instrumentov za obvladovanje širokega razpona problemov v zvezi s kibernetsko kriminaliteto. Obravnaval bi tudi kazenskopravni okvir in obenem izboljšal sodelovanje organov pregona v Uniji. Odbor poziva Komisijo, naj nadaljuje delo v smeri celovitega pravnega okvira na področju boja proti kibernetski kriminaliteti.

2.11

Boj proti kibernetski kriminaliteti zahteva posebna znanja. Odbor je v svojem mnenju o predlogu uredbe o agenciji ENISA (21) opozoril na pomen usposabljanja osebja s področja kazenskega pregona. Z zadovoljstvom ugotavlja, da Komisija napreduje pri oblikovanju platforme za usposabljanje na področju kibernetske kriminalitete, ob vključitvi kazenskega pregona in zasebnega sektorja, kot je predlagano v COM(2007) 267 (22).

2.12

Udeležene strani so pri kibernetski varnosti v EU vsi državljani, katerih življenje bi bilo lahko odvisno od ključnih storitev. Ti državljani so tudi dolžni čim bolje zavarovati svojo internetno povezavo pred napadi. Še večjo odgovornost imajo ponudniki tehnologije in storitev informacijskih in komunikacijskih tehnologij, ki zagotavljajo informacijske sisteme.

2.13

Izjemno pomembno je, da so vse udeležene strani ustrezno poučene o kibernetski varnosti. Za Evropo je pomembno tudi, da ima veliko usposobljenih strokovnjakov na področju kibernetske varnosti.

2.14

V Evropi bi si morali prizadevati za močno industrijo informacijske varnosti, ki bi bila po sposobnostih enakovredna zelo dobro financirani industriji v ZDA (23). Naložbe v raziskave in razvoj ter izobraževanje na področju kibernetske varnosti je treba bistveno povečati.

3.1

Namen predloga je nadomestitev Okvirnega sklepa Sveta 2005/222/PNZ z dne 24. februarja 2005 o napadih na informacijske sisteme (24). Okvirni sklep je, kot je navedeno v njegovih uvodnih izjavah, odziv na načrtovano izboljšanje sodelovanja med pravosodnimi in drugimi pristojnimi organi, vključno s policijo in drugimi specializiranimi službami kazenskega pregona držav članic, s približevanjem določb kazenskega prava v državah članicah na področju napadov na informacijske sisteme. Okvirni sklep uvaja zakonodajo EU za obravnavanje kaznivih dejanj, kot so nezakonit dostop do informacijskih sistemov, nezakonito poseganje v sisteme in nezakonito poseganje v podatke, ter posebna pravila glede odgovornosti pravnih oseb, sodne pristojnosti in izmenjave informacij. Države članice so morale potrebne ukrepe za izpolnitev določb Okvirnega sklepa sprejeti do 16. marca 2007.

3.2

Komisija je 14. julija 2008 objavila poročilo o izvajanju Okvirnega sklepa (25). Poročilo v sklepnih ugotovitvah navaja, da so „od sprejetja OS […] nedavni napadi po Evropi opozorili na številne nove grožnje, zlasti pojav istočasnih napadov na informacijske sisteme in večja kazniva uporaba tako imenovanih botnetov.“ Ti napadi ob sprejetju Okvirnega sklepa niso bili v središču pozornosti.

3.3

Ta predlog upošteva nove metode izvajanja kibernetskih kaznivih dejanj, zlasti uporabo botnetov (26). Storilce je zelo težko izslediti, saj so lahko računalniki, ki sestavljajo botnet in izvajajo napad, drugje kot storilci.

3.4

Napadi prek botnetov so pogosto obsežni. Lahko so izpeljani z orodji, ki vplivajo na veliko število informacijskih sistemov (računalnikov), ali pa povzročijo znatno škodo, npr. v smislu motenih sistemskih storitev, finančnih stroškov, izgube osebnih podatkov itd. Škoda, ki jo povzročijo obsežni napadi, zelo vpliva na delovanje tarče napadov in/ali na njeno delovno okolje. V tem smislu lahko „velik botnet“ povzroči resno škodo. Botnete je težko opredeliti glede na velikost, vendar se ocenjuje, da je imel največji odkriti botnet 40 000 do 100 000 povezav (tj. okuženih računalnikov) v 24 urah (27).

3.5

Okvirni sklep ima vrsto pomanjkljivosti zaradi trenda, ki se nanaša na velikost in število kaznivih dejanj (kibernetskih napadov). Zakonodaje približuje le pri omejenem številu kaznivih dejanj, ne obravnava pa v celoti možne nevarnosti, ki jo za družbo pomenijo obsežni kibernetski napadi. Prav tako ne upošteva dovolj teže kaznivih dejanj in kazni zanje.

3.6

Cilj Direktive je približati kazenskopravne predpise držav članic na področju napadov na informacijske sisteme ter izboljšati sodelovanje med pravosodnimi in drugimi pristojnimi organi, vključno s policijo in drugimi specializiranimi službami kazenskega pregona držav članic.

3.7

Napadi na informacijske sisteme, zlasti tisti, ki bi lahko izhajali iz okolij organiziranega kriminala, postajajo vedno večja grožnja, povečuje pa se tudi zaskrbljenost zaradi možnosti terorističnih ali politično motiviranih napadov na informacijske sisteme, ki so del ključne infrastrukture držav članic in Unije. To ogroža uresničevanje ciljev varnejše informacijske družbe ter območja svobode, varnosti in pravice, zato zahteva odziv na ravni Evropske unije.

3.8

Obstaja težnja k vedno bolj nevarnim in ponavljajočim se obsežnim napadom na informacijske sisteme, ki so kritičnega pomena za države ali za posebne funkcije v javnem ali zasebnem sektorju. To težnjo spremlja razvoj vedno bolj izpopolnjenih orodij, ki jih storilci kaznivih dejanj lahko uporabljajo za različne vrste kibernetskih napadov.

3.9

Za zagotovitev skladnega pristopa k uporabi te direktive v državah članicah so pomembne skupne opredelitve na tem področju, zlasti opredelitve informacijskih sistemov in računalniških podatkov.

3.10

Treba je doseči skupen pristop k sestavnim elementom kaznivih dejanj, in sicer z uvedbo skupnih opredelitev za kazniva dejanja nezakonitega dostopa do informacijskega sistema, nezakonitega poseganja v sisteme, nezakonitega poseganja v podatke in nezakonitega prestrezanja podatkov.

3.11

Države članice morajo predvideti potrebne kazni za napade na informacijske sisteme. Te morajo biti učinkovite, sorazmerne in odvračilne.

3.12

Direktiva bo razveljavila Okvirni sklep 2005/222/PNZ, vendar bo ohranila njegove določbe in vključila naslednje nove elemente: