Директива Европейского парламента и Совета Европейского Союза 2013/40/ЕС от 12.08.2013 об атаках на информационные системы и о замене Рамочного Решения 2005/222/ПВД Совета ЕС

Директива Европейского парламента и Совета Европейского Союза
2013/40/ЕС от 12 августа 2013 г.
об атаках на информационные системы и о замене Рамочного Решения 2005/222/ПВД Совета ЕС*(1)

Европейский парламент и Совет Европейского Союза,

Руководствуясь Договором о функционировании Европейского Союза, и, в частности, Статьей 83(1) Договора,

Руководствуясь предложением Европейской Комиссии,

После передачи проекта законодательного акта национальным парламентам,

Руководствуясь заключением Европейского комитета по экономическим и социальным вопросам*(2),

Действуя в соответствии с обычной законодательной процедурой*(3),

Принимая во внимание следующие обстоятельства:

(1) Целями настоящей Директивы является сближение уголовного законодательства государств-членов ЕС в отношении атак на информационные системы путем установления минимально необходимых правил по определению преступлений и соответствующих наказаний; также целью является улучшение взаимодействия между уполномоченными органами, в том числе полиции и других специализированных правоохранительных служб государств-членов ЕС, а также включая уполномоченные специализированные агентства и органы ЕС, такие как Евроюст, Европол, его Европейский центр по борьбе с киберперступностью и Европейское агентство по безопасности сети и информации (ENISA).

(2) Информационные системы являются ключевым элементом политического, социального и экономического взаимодействия в ЕС. Общество чрезвычайно и во все возрастающей степени зависит от таких систем. Бесперебойная работа и безопасность указанных систем в ЕС является значимым условием развития внутреннего рынка и конкурентной и инновационной экономики. Обеспечение достаточного уровня защиты информационных систем должно сформировать часть эффективной всесторонней системы предупредительных мер в дополнение к реакции уголовного законодательства на киберпреступность.

(3) Атаки на информационные системы и, в частности, атаки, связанные с организованной преступностью, представляют собой растущую угрозу в ЕС и в мире; существует все возрастающая обеспокоенность в потенциале террористических или политически мотивированных атак на информационные системы, формирующие часть объектов жизнеобеспечения государств-членов ЕС и ЕС в целом. Это создает угрозу достижению безопасного информационного общества и пространства свободы, безопасности и правосудия, и, следовательно, требует реагирования на уровне ЕС и улучшенного взаимодействия и координации на международном уровне.

(4) Существует определенное количество объектов жизнеобеспечения в ЕС, повреждение и разрушение которых имело бы значительные трансграничные последствия. Становится очевидным необходимость усиления защитной способности объектов жизнеобеспечения в ЕС, при которой меры против компьютерных атак должны быть дополнены применением жестких уголовных наказаний, учитывающих опасность таких атак. Объекты жизнеобеспечения могут пониматься как имущество, система или их часть, расположенные в государствах-членах ЕС, имеющие существенное значение для поддержания жизненно важных социальных функций, здоровья, надежности, безопасности, экономического или социального благополучия людей - такими объектами являются электростанции, транспортные сети или каналы управления, - повреждение или разрушение которых имело бы значительные последствия в государстве-члене ЕС как результат сбоя в поддержании указанных функций.

(5) Существуют свидетельства наличия тенденции к повторяющимся крупномасштабным атакам с все возрастающим уровнем опасности, совершаемым на информационные системы, которые зачастую могут являться жизненно важными для государства-члена ЕС или для выполнения определенных функций в публичном или частном секторах. Указанная тенденция сопровождается развитием чрезвычайно сложных способов совершения преступления, таких как создание и использование так называемых "ботнетов", включающих в себя несколько стадий уголовного деяния, где каждая стадия отдельно могла бы повлечь серьезный риск нанесения ущерба публичным интересам. Настоящая Директива, inter alia, нацелена на введение уголовных наказаний за создание ботнетов, а именно за действие по установлению удаленного контроля за значительным количеством компьютеров путем заражения их вредоносным программным обеспечением посредством нанесения целевых компьютерных атак. Однажды созданная зараженная сеть компьютеров, составляющих ботнет, может быть запущена без ведома пользователей компьютеров для целей совершения крупномасштабных компьютерных атак, которые обычно могут нанести серьезный ущерб, как указано в настоящей Директиве. Государства-члены ЕС вправе определить, что включает в себя серьезный ущерб с точки зрения их национального законодательства и практики правоприменения; таким ущербом может быть повреждение системных служб, имеющих существенное значение для общества, крупные финансовые расходы либо потеря персональных данных или конфиденциальной информации.

(6) Крупномасштабные компьютерные атаки могут нанести существенный экономический ущерб посредством приостановки работы информационных систем и коммуникации, а также путем потери или изменения важной с коммерческой точки зрения конфиденциальной информации или иных данных. Особое внимание должно быть уделено росту осознания инновационными малыми и средними предприятиями угроз, связанных с такими атаками, а также их уязвимости к данным атакам в связи с их возросшей зависимостью от надлежащего функционирования и доступности информационных систем и зачастую ограниченных ресурсов для информационной безопасности.

(7) Общие определения в указанной области важны для обеспечения в государствах-членах ЕС последовательного подхода к применению данной Директивы.

(8) Существует необходимость в выработке общего подхода к составным элементам преступлений путем введения преступлений общего рода, связанных с незаконным доступом к информационной системе, незаконным вмешательством в систему, незаконным нарушением сведений и незаконным перехватом информации.

(9) Перехват информации включает в себя, но не ограничивается, прослушивание, наблюдение или слежение за содержанием при передаче данных, а также включает в себя получение содержания данных либо напрямую посредством получения доступа и использования информационных систем, либо косвенным образом посредством использования электронных прослушивающих устройств и электронных прослушивающих устройств, подключаемых к линии связи.

(10) Государства-члены ЕС должны предусмотреть применение наказаний в отношении атак на информационные системы. Указанные наказания должны быть эффективными, пропорциональными и оказывающими сдерживающее воздействие и должны включать лишение свободы и/или штрафы.

(11) Настоящая Директива предусматривает уголовные наказания по крайней мере по делам, не являющимися малозначительными. Государства-члены ЕС вправе определить, какое дело является малозначительным согласно их национальному законодательству и практике правоприменения. Дело может рассматриваться в качестве малозначительного, в котором, к примеру, ущерб, причиненный преступлением, и/или риск причинения ущерба публичным или частным интересам, таким как целостность компьютерных систем или компьютерных данных либо неприкосновенность, права или иные интересы человека, является незначительным или имеет такой характер, при котором необходимость в назначении уголовного наказания в пределах законодательно установленного размера или необходимость в привлечении к уголовной ответственности отсутствует.

(12) Выявление и информирование об угрозах и рисках в связи с совершением компьютерных атак, а также соответствующая уязвимость информационных систем являются необходимыми элементами эффективного предотвращения и реагирования на компьютерные атаки, а также элементами усиления безопасности информационных систем. Обеспечение стимулирования для информирования о слабых местах в системе безопасности могло бы внести дополнительный вклад в достижение указанной цели. Государства-члены ЕС должны приложить усилия по обеспечению возможностей для обнаружения и информирования о слабых местах в системе безопасности на законной основе.

(13) Целесообразно предусматривать более суровые наказания при совершении атаки на информационную систему преступной организацией, как это определено в Рамочном Решении 2008/841/ПВД Совета ЕС от 24 октября 2008 г. о борьбе с организованной преступностью*(4), когда совершение компьютерных атак производится в крупном масштабе, тем самым поражая значительное количество информационных систем, в том числе когда предполагается создание ботнета или когда компьютерная атака причиняет серьезный ущерб, в том числе когда она совершается посредством ботнета. Также целесообразно предусматривать более суровые наказания, когда атака совершается на объекты жизнеобеспечения государств-членов ЕС или ЕС в целом.

(14) Установление эффективных мер, направленных против хищения персональных данных и иных преступлений против персональных данных, составляет другой важный элемент комплексного подхода по борьбе с киберпреступностью. Любая необходимость в совершении ЕС действия против данного вида преступного поведения может также рассматриваться в свете оценки такой необходимости во всестороннем документе ЕС горизонтального применения;

(15) Заключения Совета ЕС от 27 и 28 ноября 2008 г. указали, что новая стратегия должна быть разработана совместно с государствами-членами ЕС и Европейской Комиссией, принимая во внимание содержание Конвенции Совета Европы о компьютерных преступлениях 2001 г. Указанная Конвенция является рамочным правовым документом в сфере борьбы с компьютерными преступлениями, в том числе в сфере борьбы с атаками на информационные системы. Настоящая Директива основывается на положениях указанной Конвенции. Завершение процедуры ратификации указанной Конвенции всеми государствами-членами ЕС в предельно возможные короткие сроки должно рассматриваться в качестве приоритетной цели.

(16) При наличии различных способов совершения атак и при стремительном развитии аппаратного и программного обеспечения настоящая Директива указывает на инструменты, которые могут быть использованы при совершении преступлений, предусмотренных настоящей Директивой. Такие инструменты могли бы включать в себя вредоносное программное обеспечение, используемое для совершения компьютерных атак, в том числе программное обеспечение, которое способно создать ботнеты. Даже когда такой инструмент подходит или особо подходит для совершения одного из преступлений, предусмотренных настоящей Директивой, существует вероятность того, что указанный инструмент создан для достижения законной цели в связи с необходимостью устранения преступности, когда такие инструменты создаются и выпускаются на рынок с законными целями, как то: для целей проверки надежности продуктов информационных технологий или безопасности информационных систем; за исключением требования о косвенном умысле, требование о наличии прямого умысла при использовании указанных инструментов в целях совершения одного или более преступлений, предусмотренных настоящей Директивой, должно также быть выполнено.

(17) Директива не устанавливает уголовную ответственность, когда существуют объективные признаки преступлений, предусмотренных настоящей Директивой, однако деяния совершаются при отсутствии умысла, например, когда лицо не знает, что доступ не был разрешен, или в случае санкционированной проверки или защиты информационных систем, при которых компания или разработчик поручают лицу проверить эффективность системы безопасности. В контексте настоящей Директивы договорные обязательства или соглашения по ограничению доступа и использования заказчиком информационных систем для частных целей не должны влечь за собой уголовную ответственность, когда доступ при таких обстоятельствах считался бы неразрешенным и, следовательно, являлся бы единственным основанием для начала уголовного производства. Настоящая Директива не влияет на право на доступ к информации, как это предусмотрено в национальном праве и праве ЕС; в то же самое время Директива не может выступать в качестве оправдания незаконного или произвольного доступа к информации.

(18) Совершению компьютерных атак могли бы способствовать различные обстоятельства, например, когда преступник в рамках своих трудовых обязанностей обладает доступом к системам безопасности, которые связаны с зараженными информационными системами. В свете национального законодательства при наличии условий данные обстоятельства могли бы рассматриваться в рамках уголовного производства.

(19) Государства-члены ЕС должны предусмотреть в своем национальном законодательстве отягчающие обстоятельства в соответствии с применимыми правилами об отягчающих обстоятельствах, установленными в их правовых системах. Государства-члены ЕС должны обеспечить возможность применения судьями указанных отягчающих обстоятельств при назначении преступникам наказания. Судьи вправе производить оценку данных обстоятельств совместно с другими обстоятельствами по каждому конкретному делу.

(20) Настоящая Директива не регулирует условия осуществления юрисдикции в отношении указанных в ней преступлений, такие как дача показаний потерпевшим на месте совершения преступления, предъявление обвинений государством, на территории которого совершено преступление, или отказ от преследования преступника в месте совершения преступления.

(21) В свете настоящей Директивы государства и государственные органы остаются в полной мере обязанными гарантировать уважение прав и основных свобод человека в соответствии с существующими международными обязательствами.

(22) Настоящая Директива повышает значимость сетей, таких как сети контактных пунктов G8 или Совета Европы, которые доступны круглосуточно и ежедневно. Указанные контактные пункты должны быть в состоянии обеспечить эффективное содействие, к примеру, путем упрощения обмена соответствующей доступной информацией, а также обеспечения техническими консультациями или правовой информацией для целей проведения расследований или производств в отношении преступлений, касающихся информационных систем, связанных с ними сведений и включающих в себя запрашивающее государство-член ЕС. В целях обеспечения бесперебойной работы указанной сети каждый контактный пункт должен обладать способностью в ускоренном порядке осуществлять связь с контактным пунктом другого государства-члена ЕС, в том числе при поддержке квалифицированного и оснащенного оборудованием персонала. Принимая во внимание скорость, с которой могут быть совершены крупномасштабные компьютерные атаки, государства-члены ЕС должны быть способны в короткие сроки ответить на срочные запросы, полученные по указанной сети контактных пунктов. В этих случаях целесообразно, чтобы запрос о предоставлении информации сопровождался телефонным звонком в целях обеспечения запрашиваемым государством-членом ЕС быстрого прохождения запроса и предоставления обратной реакции в течение восьми часов.

(23) Взаимодействие органов государственной власти с одной стороны и частного сектора и гражданского общества с другой представляет высокую значимость для предотвращения и борьбы с атаками на информационные системы. Необходимо поощрять и улучшать взаимодействие между поставщиками услуг, авторами, правоприменительными органами и судебными органами при всемерном уважении принципа законности. Такое взаимодействие могло бы включать поддержку, оказываемую поставщиками услуг, заключающуюся в сохранении потенциальных доказательств, сообщении признаков, позволяющих идентифицировать преступников, а также, в крайнем случае, закрытии, полностью или частично, в соответствии с национальным законодательством и практикой правоприменения информационных систем или функций, которые были подвергнуты риску или использованы в незаконных целях. Государства-члены ЕС также должны рассмотреть возможность установления взаимодействия и партнерских отношений с поставщиками услуг и авторами для целей обмена информацией о преступлениях в пределах сферы действия настоящей Директивы.

(24) Существует необходимость в сборе сравнительных данных о преступлениях, предусмотренных настоящей Директивой. Соответствующие данные должны стать доступными для уполномоченных специализированных агентств и органов ЕС, таких как Европол и ENISA, в соответствии с их задачами и информационными потребностями для целей получения более полной картины о проблеме киберпреступности, безопасности сети и информации на уровне ЕС и, следовательно, целей оказания содействия в формировании более эффективного ответа. Государства-члены ЕС должны предоставлять информацию о методах деятельности преступников в Европол и Европейский центр по борьбе с киберпреступностью в целях проведения оценок угрозы и стратегических анализов киберпреступности в соответствии с Решением 2009/371/ПВД  Совета ЕС от 6 апреля 2009 г. о создании Европейского полицейского ведомства (Европол)*(5). Предоставление информации может способствовать лучшему пониманию настоящих и будущих угроз и, следовательно, способствовать надлежащему и целевому принятию решений по вопросам борьбы и предупреждения атак на информационные системы.

(25) Европейская Комиссия должна представить отчет о применении настоящей Директивы и сделать необходимые законодательные предложения, которые могли бы расширить сферу применения данной Директивы с учетом изменений в области борьбы с киберпреступностью. Данные изменения могли бы включать в себя совершенствование технологий, к примеру, таких технологий, которые позволяют более эффективно осуществлять правоприменение в области борьбы с атаками на информационные системы или которые содействуют предупреждению атак или минимизируют воздействие от таких атак. Для реализации данной цели Европейская Комиссия должна принять во внимание доступные отчеты и анализы, выполненные соответствующими участниками, в частности, Европолом и ENISA.

(26) В целях эффективной борьбы с киберпреступностью существует необходимость в укреплении устойчивости информационных систем путем принятия надлежащих мер по защите информационных систем от компьютерных атак. Государства-члены ЕС должны принять необходимые меры по защите объектов жизнеобеспечения от компьютерных атак, частью которых должны выступать меры по защите их информационных систем и связанных данных. Обеспечение надлежащего уровня защиты и безопасности информационных систем юридическими лицами, например, в связи с предоставлением общественно доступных услуг электронных средств связи в соответствии с существующим правом ЕС о конфиденциальности и электронных средствах связи, а также о защите данных, составляет важную часть всестороннего подхода по эффективному противодействию киберпреступности. Надлежащие уровни защиты должны быть обеспечены против разумно определяемых угроз и слабых мест в соответствии с уровнем развития технологий для отдельных секторов и в соответствии с отдельными условиями при обработке данных. Расходы и бремя осуществления защиты должны быть соразмерными возможному ущербу, который могла бы причинить компьютерная атака. Государства-члены ЕС вправе предпринять соответствующие шаги по применению мер ответственности в соответствии с их национальным правом в случаях, когда юридическое лицо не предоставило надлежащего уровня защиты от компьютерных атак.

(27) Значительные пробелы и различия в праве и уголовных процедурах государств-членов ЕС в области борьбы с атаками на информационные системы могут препятствовать борьбе против организованной преступности и терроризма, а также могут затруднить эффективное взаимодействие полиции и судебных органов в указанной области. Межнациональный и трансграничный характер современных информационных систем означает, что атаки на такие системы обладают трансграничной направленностью, тем самым подчеркивая острую необходимость дальнейшей деятельности по сближению уголовного законодательства в данной области. Кроме того, координация расследования случаев атак на информационные системы должна обеспечиваться надлежащей имплементацией и применением Рамочного Решения 2009/948/ПВД Совета ЕС от 30 ноября 2009 г. о предупреждении и урегулировании споров о подведомственности в уголовном судопроизводстве*(6). Государства-члены ЕС совместно с ЕС должны также прилагать усилия по развитию международного взаимодействия в решении вопросов безопасности информационных систем, компьютерных сетей и компьютерных данных. Должное внимание к безопасности передачи и хранения данных следует уделять в любом международном соглашении, предусматривающем обмен данными.

(28) Усиленное взаимодействие между уполномоченными правоприменительными органами и судебными органами власти на территории ЕС является существенным элементом в эффективной борьбе с киберпреступностью. В этой связи должны поощряться усилия по надлежащему обучению соответствующих органов власти в целях улучшения знаний о киберпреступности и ее влиянии, а также в целях поощрения взаимодействия и обмена лучшими практиками, например, с помощью уполномоченных специализированных агентств и органов ЕС. Указанное обучение должно, inter alia, быть нацелено на улучшение понимания различий национальных правовых систем, возможных юридических и технических сложностей при проведении уголовных расследований, а также улучшения понимания в вопросе распределения полномочий между соответствующими национальными органами власти.

(29) Настоящая Директива учитывает права человека и основные свободы, соблюдает принципы, признанные, в частности, Хартией Европейского Союза об основных правах и Европейской конвенцией о защите прав человека и основных свобод, включая право на защиту персональных данных, право на неприкосновенность частной жизни, свободу слова и информации, право на справедливый суд, презумпцию невиновности, право на защиту, а также принципы законности и соразмерности между преступлением и наказанием. В частности, настоящая Директива прилагает усилия по обеспечению максимального уважения указанных прав и принципов; Директива должна быть имплементирована с учетом указанных требований.

(30) Защита персональных данных является основным правом в соответствии со Статьей 16(1) Договора о функционировании Европейского Союза и Статьей 8 Хартии Европейского Союза об основных правах. Следовательно, любая обработка персональных данных в контексте имплементации настоящей Директивы должна в полной мере соответствовать праву ЕС о защите данных.

(31) Согласно Статье 3 Протокола о позиции Соединенного Королевства и Ирландии в отношении пространства свободы, безопасности и правосудия, являющегося приложением к Договору о Европейском Союзе и Договору о функционировании Европейского Союза, указанные государства-члены ЕС уведомили о своем намерении участвовать в принятии и применении настоящей Директивы.

(32) Согласно Статьям 1 и 2 Протокола о позиции Дании, являющегося приложением к Договору о Европейском Союзе и Договору о функционировании Европейского Союза, Дания не участвует в принятии настоящей Директивы, не имеет по ней обязательств и не применяет ее.

(33) Поскольку цели настоящей Директивы, а именно применение к атакам на информационные системы во всех государствах-членах ЕС эффективных, соразмерных и оказывающих сдерживающее воздействие уголовных наказаний, а также улучшение и поддержка взаимодействия между судебными и иными уполномоченными органами власти не могут быть в полной мере достигнуты государствами-членами ЕС и, следовательно, в силу масштабности и последствий данных целей могут быть эффективнее достигнуты на уровне ЕС, ЕС вправе принять меры в соответствии с принципом субсидиарности, установленным в Статье 5 Договора о Европейском Союзе. Согласно принципу пропорциональности, установленному в указанной Статье, действие настоящей Директивы не выходит за пределы того, что необходимо для достижения указанных целей.

(34) Настоящая Директива имеет целью внесение изменений и расширение действие положений Рамочного Решения 2005/222/ПВД Совета ЕС от 24 февраля 2005 г. об атаках на информационные системы*(7). В связи с тем, что подлежащие внесению изменения многочисленны и существенны, Рамочное Решение 2005/222/ПВД Совета ЕС в целях ясности должно быть полностью заменено применительно к государствам-членам ЕС, участвующим в принятии настоящей Директивы,

приняли настоящую Директиву:

Совершено в Брюсселе 12 августа 2013 г.

От имени Европейского парламента
Председатель
M. SCHULZ

От имени Совета ЕС
Председатель
L. LINKEVICIUS

_____________________________

*(1) DIRECTIVE 2013/40/EU OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA. Опубликована в Официальном Журнале (далее - ОЖ) N L 218, 14.08.2013, стр. 8 - 14.

*(2) ОЖ N С 218, 23.07.2011, стр. 130.

*(3) Позиция Европейского парламента от 4 июля 2013 г. (еще не опубликована в ОЖ) и решение Совета ЕС от 22 июля 2013 г.

*(4) ОЖ N L 300, 11.11.2008, стр. 42.

*(5) ОЖ N L 121, 15.05.2009, стр. 37.

*(6) ОЖ N L 328, 15.12.2009, стр. 42.

*(7) ОЖ N L 69, 16.03.2005, стр. 67.