PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2010-11 (1. samling)
KOM (2010) 0517 Bilag 1
Offentligt

Civil- og Politiafdelingen

Dato:

Kontor:

Sagsnr.:

Dok.:

21. oktober 2010

Det Internationale

Kontor

2010-305-1033

AHS40296

GRUND



OG NÆRHEDSNOTAT

vedrørende forslag til Europa-Parlamentets og Rådets direktiv om

angreb på informationssystemer og om ophævelse af Rådets ramme-

afgørelse 2005/222/RIA

KOM(2010) 0517

Resumé

Forslaget til direktiv om angreb på informationssystemer har til formål

at sikre en yderligere tilnærmelse af medlemsstaternes lovgivning i for-

hold til den gældende rammeafgørelse om angreb på informationssyste-

mer (2005/222/RIA). Forslaget indeholder en række forpligtelser for

medlemsstaterne særligt med hensyn til kriminalisering af forskellige

former for IT-kriminalitet og fastsætter bl.a. minimumsregler for straffe-

ne herfor. Forslaget indeholder desuden bestemmelser, der har til formål

at forbedre samarbejdet mellem de retlige og andre kompetente myndig-

hed-er, herunder politiet og andre retshåndhævende myndigheder i med-

lemsstaterne. Forslaget vurderes ikke at være i strid med nærhedsprin-

cippet. Forslaget er omfattet af Danmarks forbehold vedrørende retlige

og indre anliggender, og det har derfor hverken lovgivningsmæssige el-

ler statsfinansielle konsekvenser. Der ses ikke at foreligge offentlige til-

kendegivelser om de øvrige medlemsstaters holdninger til forslaget. Fra

dansk side finder man på nuværende tidspunkt – hvor der endnu ikke fo-

religger høringssvar – ikke at burde tage endelig stilling til forslaget.

Danmark er dog umiddelbart positiv over for forslaget.

Baggrund

Den 30. september 2010 fremsatte Kommissionen et forslag til rammeaf-

gørelse om angreb på informationssystemer. Formålet med forslaget er at

sikre en yderligere tilnærmelse af medlemsstaternes lovgivning i forhold

til den gældende rammeafgørelse om angreb på informationssystemer

(2005/222/RIA). Forslaget bygger på denne rammeafgørelse og Europa-

rådets konvention om IT-kriminalitet af 23. november 2001. Kommis-

sionen har derudover medtaget enkelte nye elementer.

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

PDF to HTML - Convert PDF files to HTML files

Direktivforslaget behandles efter den almindelige beslutningsprocedure,

hvilket indebærer, at Europa-Parlamentet og Rådet skal vedtage for-

slaget.

Det danske retsforbehold

Forslaget er fremsat med hjemmel i Traktaten om Den Europæiske Uni-

ons Funktionsmåde (TEUF), 3. del, afsnit V. Forslaget er derfor omfattet

af Danmarks forbehold vedrørende retlige og indre anliggender. Proto-

kollen om Danmarks stilling, der er knyttet til Lissabon-traktaten, finder

således anvendelse.

Ifølge protokollens artikel 1 deltager Danmark ikke i Rådets vedtagelse

af foranstaltninger, der foreslås i henhold til TEUF, 3. del, afsnit V, og

ifølge artikel 2 er ingen af de foranstaltninger, der er vedtaget i henhold

til TEUF, 3. del, afsnit V, bindende for eller finder anvendelse i Danmark

(”retsforbeholdet”).

En eventuel gennemførelse af forslaget er derfor ikke bindende for eller

finder anvendelse i Danmark.

Indhold

2.1. Generelt

Forslaget til direktiv er fremsat efter artikel 83 i TEUF, hvorefter Europa-

Parlamentet og Rådet bl.a. på området for grænseoverskridende edb-

kriminalitet af særlig grov karakter ved direktiv kan fastsætte minimums-

regler for, hvad der skal anses for strafbare handlinger, og for straffene

herfor.

Direktivforslaget har til formål at tilnærme medlemsstaternes strafferetli-

ge regler til hinanden med hensyn til angreb på informationssystemer og

at forbedre samarbejdet mellem de retlige og andre kompetente myndig-

heder, herunder politiet og andre retshåndhævende myndigheder i med-

lemsstaterne.

Det foreslås, at den eksisterende rammeafgørelse om angreb på informa-

tionssystemer (2005/222/RIA) formelt ophæves.

Direktivet fastsætter nærmere bestemmelser om de strafbare handlinger i

forbindelse med angreb på informationssystemer og fastsætter mini-

mumsregler for straffene herfor. Der lægges endvidere op til en styrkelse

af den eksisterende struktur med døgnbemandede kontaktpunkter.

PDF to HTML - Convert PDF files to HTML files

Direktivforslaget lægger i vidt omfang op til at videreføre den gældende

rammeafgørelse, men forslaget indeholder også at en række nye elemen-

ter, som har til formål at sikre en yderligere tilnærmelse af medlemssta-

ternes lovgivning på området, tilføjes. Det drejer sig om:

1) Kriminalisering af "værktøj", der anvendes til at begå lovover-

trædelserne,

2) nye skærpende omstændigheder,

3) kriminalisering af "ulovlig opfangning" ikke-offentlige overførs-

ler af edb-data,

4) styrkelse af den eksisterende struktur med døgnbemandede kon-

taktpunkter, og

5) nye regler vedrørende indsamling af statistiske oplysninger om it-

forbrydelser.

Forslaget indeholder på den baggrund bestemmelser om, hvilke strafbare

handlinger der som minimum skal kriminaliseres, sanktioner, straffe-

myndighed, informationsudveksling, overvågning og statistik.

De nye bestemmelser i direktivforslaget vedrørende ”ulovlig opfang-

ning” og ”værktøjer” bygger på tilsvarende bestemmelser i Europarådets

konvention om IT-kriminalitet.

2.2. Nærmere om hovedelementerne i forslaget

2.2.1. Strafbare handlinger

Forslagets indledende bestemmelser om ulovlig adgang til informations-

systemer, ulovligt indgreb i informationssystemer og ulovligt indgreb i

data svarer til den gældende rammeafgørelse.

Efter forslaget skal medlemsstaterne i grovere tilfælde kriminalisere for-

sætlig uretmæssig adgang til et informationssystem (”hacking”) eller en

del heraf.

Medlemsstaterne skal endvidere kriminalisere forsætligt og uretmæssigt

forårsagelse af en alvorlig hindring eller afbrydelse af et informationssy-

stems drift ved at indlæse eller overføre edb-data eller ved at beskadige,

slette, forvanske, ændre, tilbageholde eller hindre adgang til dets edb-

data, i det mindste i grovere tilfælde.

Medlemsstaterne forpligtes endvidere til i grovere tilfælde at kriminalise-

re forsætlig uretmæssig sletning, beskadigelse, forvanskning, ændring,

PDF to HTML - Convert PDF files to HTML files

tilbageholdelse eller hindring af adgang til edb-data i et informationssy-

stem.

Direktivforslaget indeholder en ny bestemmelse om ”ulovlig opfang-

ning”. Ifølge bestemmelsen skal medlemsstaterne kriminalisere forsætligt

og uretmæssigt opfangning af ikke-offentlige overførsler af edb-data til,

fra eller inden for et informationssystem, herunder elektromagnetisk strå-

ling fra et informationssystem (der indeholder sådanne edb-data) ved

hjælp af tekniske hjælpemidler. Bestemmelsen omfatter bl.a. aflytning af

ikke offentligt tilgængelige elektroniske data, som transmitteres fra et

edb-system til et andet, eller som er lagret i et edb-system, herunder elek-

tromagnetisk stråling fra et edb-system, der bærer sådanne elektroniske

data.

Direktivforslaget indeholder også en bestemmelse om udbredelse og be-

siddelse af ”værktøjer”, dvs. de anordninger og adgangsmidler til edb-

systemer, som kan anvendes til at begå en af de strafbare handlinger.

Ifølge forslaget skal medlemsstaterne kriminalisere forsætlig og uret-

mæssig fremstilling, salg, erhvervelse (med henblik på brug), import, be-

siddelse, distribution eller i øvrigt at stille sådanne anordninger og ad-

gangsmidler til rådighed med henblik på at begå en af de strafbare hand-

linger omfattet af direktivet.

Som ”værktøjer” i direktivets forstand nævnes anordninger, herunder

edb-programmer, der hovedsagelig er beregnet eller tilpasset til at begå

en af de strafbare handlinger nævnt i direktivet, og edb-password, ad-

gangskoder eller tilsvarende data, hvorved der kan opnås adgang til et

helt informationssystem eller dele heraf.

Ifølge forslaget skal medlemsstaterne kriminalisere medvirken til og for-

søg på de nævnte strafbare handlinger.

2.2.2. Sanktioner

Direktivforslaget pålægger medlemsstaterne at sikre, at de foreslåede

strafbare handlinger kan straffes med strafferetlige sanktioner med en

maksimal fængselsstraf på mindst to år.

Ifølge forslaget skal medlemsstaterne sikre, at de nævnte strafbare hand-

linger kan straffes med strafferetlige sanktioner med en maksimal fæng-

selsstraf på mindst fem år, når de begås inden for rammerne af en krimi-

nel organisation.

PDF to HTML - Convert PDF files to HTML files

Forslaget indeholder i forhold til den gældende rammeafgørelse en række

tilføjelser om, hvornår der foreligger skærpende omstændigheder. Med-

lemsstaterne skal således sikre, at de strafbare handlinger kan straffes

med strafferetlige sanktioner med en maksimal fængselsstraf på mindst

fem år, når de begås ved hjælp af et værktøj, som er beregnet til at fore-

tage angreb, der berører et betydeligt antal informationssystemer, eller

angreb, der volder betydelig skade som f.eks. afbrydelse af systemtjene-

ster, økonomiske omkostninger eller tab af personlige data. Medlemssta-

terne skal endvidere sørge for, at de strafbare handlinger kan straffes med

strafferetlige sanktioner med en maksimal fængselsstraf på mindst fem

år, når de begås ved at skjule gerningsmandens rigtige identitet og skade

den, som identiteten egentlig tilhører.

Juridiske personer, der ifalder strafansvar i forbindelse med angreb på

informationssystemer, skal kunne straffes med sanktioner, der er effekti-

ve, står i et rimeligt forhold til lovovertrædelsens grovhed og har en af-

skrækkende virkning. Sådanne sanktioner skal omfatte bødestraffe, men

kan også omfatte en række andre sanktioner som f.eks. udelukkelse fra at

modtage offentlige ydelser eller forbud mod at udøve erhvervsvirksom-

hed.

2.2.3. Straffemyndighed

Direktivforslaget forpligter medlemsstaterne til at etablere straffemyn-

dighed (jurisdiktion), når lovovertrædelsen er begået helt eller delvist på

medlemsstatens område. Medlemsstaten skal i sådanne tilfælde sørge for

straffemyndighed, hvor gerningsmanden begår lovovertrædelsen, mens

den pågældende fysisk befinder sig på landets område. Det gælder uan-

set, om lovovertrædelsen er rettet mod et informationssystem på det på-

gældende lands territorium eller et andet lands territorium. Herudover

forpligtes medlemsstaterne til at etablere straffemyndighed i det tilfælde,

hvor lovovertrædelsen begås mod et informationssystem på landets om-

råde, uanset om gerningsmanden på gerningstidspunktet fysisk befandt

sig på det pågældende lands område.

Medlemsstaterne forpligtes endvidere til at etablere straffemyndighed,

når lovovertrædelsen er begået af en af dens statsborgere eller en person,

som har bopæl på den pågældende medlemsstats område eller for at skaf-

fe en juridisk person, som har hjemsted på medlemsstatens område, vind-

ing.

2.2.4. Informationsudveksling

PDF to HTML - Convert PDF files to HTML files

Direktivforslaget indeholder en forpligtelse for medlemsstaterne til inden

en vis tidsfrist at efterkomme anmodninger om bistand fra de opera-

tionelle kontaktpunkter. Medlemsstaterne skal endvidere sørge for at

etablere procedurer, som gør det muligt at besvare hasteanmodninger in-

den 8 timer. Formålet hermed er at sikre, at kontaktpunkterne inden en

nærmere fastsat frist oplyser, om de kan finde en løsning på anmodnin-

gen, og hvornår det kontaktpunkt, der fremsætter anmodningen, kan for-

vente, at dette sker.

2.2.5. Overvågning og statistik

Direktivforslaget pålægger medlemsstaterne at sikre, at der i medlemssta-

ten findes et passende system til registrering, fremstilling og fremlæggel-

se af statistiske oplysninger om de lovovertrædelser, der er omfattet af

forslaget.

Gældende dansk ret

3.1. Strafbare handlinger og sanktioner

Justitsministeriets udvalg om økonomisk kriminalitet og datakriminalitet

(Brydensholt-udvalget) afgav i september 2002 betænkning nr.

1417/2002 om IT-kriminalitet. I betænkningen behandledes navnlig

spørgsmålet om, i hvilket omfang udviklingen på IT-området nødvendig-

gør nye straffebestemmelser eller ændring af gældende bestemmelser. På

grundlaget af betænkningen og for at Danmark kunne ratificere Europa-

rådets konvention om IT-kriminalitet samt med henblik på Danmarks

deltagelse i rammeafgørelsen om angreb på informationssystemer gen-

nemførtes i 2004 en række straffelovsændringer, herunder straffelovens

§§ 193 og 263 (lov nr. 352 af 19. maj 2004).

Efter straffelovens § 193 straffes den, der på retsstridig måde fremkalder

omfattende forstyrrelse i driften af almindelige samfærdselsmidler, of-

fentlig postbesørgelse, telegraf- eller telefonanlæg, radio- eller fjernsyns-

anlæg, informationssystemer eller anlæg, der tjener til almindelig forsy-

ning med vand, gas, elektrisk strøm eller varme, straffes med bøde eller

fængsel indtil 6 år. Begås forbrydelsen groft uagtsomt, er straffen bøde

eller fængsel indtil 6 måneder.

Ved lovændringen i 2004 ændredes det tidligere anvendte begreb ”data-

behandlingsanlæg” i straffelovens § 193, stk. 1, til ”informationssyste-

mer”, der er neutralt i forhold til mulige teknologiske løsninger. Ved et

informationssystem forstås en computer eller andet databehandlingsan-

PDF to HTML - Convert PDF files to HTML files

læg. Omfattet heraf er navnlig personlige computere, herunder både sta-

tionære og bærbare computere. Også andet elektronisk udstyr vil imidler-

tid kunne være omfattet, hvis udstyret har funktioner svarende til dem,

der findes i computere. Det gælder således elektronisk udstyr, der kan

anvendes til at oprette og/eller behandle dokumenter, billeder og lyde,

udføre regnskabsfunktioner og lignende, herunder også hvis sådanne

funktioner senere forekommer i kombination med andet elektronisk ud-

styr, f.eks. fjernsyn.

Efter straffelovens § 263, stk. 2, om krænkelse af datahemmeligheden

(hacking), straffes den, der uberettiget skaffer sig adgang til en andens

oplysninger eller programmer, der er bestemt til at bruges i et informati-

onssystem med bøde eller fængsel indtil 1 år og 6 måneder. Begås for-

holdet med forsæt til at skaffe sig eller gøre sig bekendt med oplysninger

om en virksomheds erhvervshemmeligheder eller under andre særligt

skærpende omstændigheder, kan straffen stige til fængsel indtil 6 år. Det-

te gælder endvidere, når der er tale om overtrædelser af mere systematisk

eller organiseret karakter. Det vil afhænge af en konkret vurdering, om

overtrædelsen skønnes at være af mere systematisk eller organiseret ka-

rakter.

For databedrageri straffes efter straffelovens § 279 a den, som for der-

igennem at skaffe sig eller andre uberettiget vinding retsstridigt ændrer,

tilføjer eller sletter oplysninger eller programmer til elektronisk databe-

handling eller i øvrigt retsstridigt forsøger at påvirke resultatet af sådan

databehandling. Efter straffelovens § 285 straffes databedrageri med

fængsel indtil 1 år og 6 måneder. Det følger af straffelovens § 286, stk. 2,

at straffen for databedrageri kan stige til fængsel indtil 8 år, når forbry-

delsen er af særlig grov beskaffenhed, eller fordi forbrydelsen er udført af

flere i forening, eller som følge af omfanget af den opnåede eller tilsigte-

de vinding, eller når der er begået et større antal forbrydelser.

Efter straffelovens § 291 straffes den, der ødelægger, beskadiger eller

bortskaffer ting, der tilhører en anden, med bøde eller fængsel indtil 1 år

og 6 måneder. Øves der hærværk af betydeligt omfang, af mere systema-

tisk eller organiseret karakter, eller er gerningsmanden tidligere fundet

skyldig efter hærværksbestemmelsen eller en række nærmere angivne

bestemmelser, (herunder den nævnte bestemmelse i straffelovens § 193),

kan straffen stige til fængsel i 6 år.

Efter § 293, stk. 2, straffes den, der uberettiget hindrer en anden i helt

eller delvis at råde over ting, med bøde eller fængsel indtil 1 år. Straffen

PDF to HTML - Convert PDF files to HTML files

kan stige til fængsel i 2 år, hvor der er tale om overtrædelser af mere sy-

stematisk eller organiseret karakter, eller der i øvrigt foreligger særligt

skærpende omstændigheder. Bestemmelsen blev ændret i 2004, hvorved

det blev præciseret, at bestemmelsen også omfatter elektroniske rådig-

hedshindringer. Elektronisk rådighedshindring kan eksempelvis fore-

komme ved e-mail bomber (f.eks. såkaldte Denial-of-Service angreb),

der består i at hindre almindelig brug af systemet ved at forårsage over-

belastning eller nedbrud.

3.2. Forsøg og medvirken

Forsøg på og medvirken til overtrædelse af de nævnte straffelovsbe-

stemmelser er strafbart i medfør af straffelovens § 21 og § 23.

3.3. Bestemmelser om straffastsættelse

Efter straffelovens § 80 skal der ved straffens udmåling tages hensyn til

lovovertrædelsens grovhed og til oplysninger om gerningsmandens per-

son. Efter straffelovens § 81 vil bl.a. det forhold, at gerningen er begået

af flere i forening, og/eller at gerningen er særligt planlangt eller led i

omfattende kriminalitet som udgangspunkt være at anse som en skær-

pende omstændighed.

3.4. Juridiske personer

Efter straffelovens § 306 kan der pålægges selskaber mv. (juridiske per-

soner) strafansvar for overtrædelse af straffelovens bestemmelser. En ju-

ridisk person kan efter straffelovens § 25 straffes med bøde.

3.5. Straffemyndighed

Straffelovens §§ 6-12 indeholder de almindelige bestemmelser om, hvor-

når en strafbar handling hører under dansk straffemyndighed. Disse be-

stemmelser afgrænser således, hvilke straffesager der kan pådømmes ved

danske domstole.

Hovedreglen om dansk straffemyndighed er det såkaldte territorialprin-

cip, jf. straffelovens § 6, hvorefter handlinger, som er begået i Danmark,

hører under dansk straffemyndighed. Herudover følger det af straffelov-

ens §§ 7-8 b, at handlinger, som er begået uden for Danmark, i en række

nærmere bestemte tilfælde hører under dansk straffemyndighed. Det

gælder f.eks. efter omstændighederne, når en lovovertrædelse er begået i

udlandet af en dansk statsborger eller mod en dansk statsborger (jf. hen-

PDF to HTML - Convert PDF files to HTML files

holdsvis straffelovens § 7 om det aktive personalprincip og § 7 a om det

passive personalprincip).

Efter straffelovens § 8, nr. 5, om det såkaldte universalprincip omfatter

dansk straffemyndighed handlinger, som foretages uden for den danske

stat, uden hensyn til hvor gerningsmanden hører hjemme, når handlingen

er omfattet af en international bestemmelse, ifølge hvilken Danmark er

forpligtet til at have straffemyndighed. Ved ”internationale bestemmel-

ser” forstås bl.a. bestemmelser i EU-direktiver.

3.6. Informationsudveksling

Danmark er tilsluttet G8-landenes 24-timers/7 dages informationsnet til

bekæmpelse af højteknologikriminalitet. Rigspolitiets Kommunikations-

center er i den forbindelse udpeget som kontaktpunkt, og centeret har

døgnet rundt en specialist i højteknologikriminalitet fra Nationalt Efter-

forskningsstøttecenter (NEC) tilknyttet. Denne specialist kan til enhver

tid formidle kontakt til den relevante politikreds, der vil kunne træffe

operative foranstaltninger.

Lovgivningsmæssige og statsfinansielle konsekvenser

4.1. Lovgivningsmæssige konsekvenser

Forslaget er som nævnt fremsat efter TEUF, 3. del, afsnit V, og er derfor

omfattet af Danmarks forbehold vedrørende retlige og indre anliggender.

Danmark deltager således ikke i vedtagelsen af direktivet, som ikke vil

være bindende for eller finde anvendelse i Danmark.

I 2004 gennemførtes som nævnt de ændringer i straffeloven, der var nød-

vendige for, at Danmark kunne ratificere Europarådets konvention om

IT-kriminalitet, og for at Danmark kunne gennemføre deltage i vedtagel-

sen af rammeafgørelsen om angreb på informationssystemer. De nye be-

stemmelser i direktivforslaget vedrørende ”ulovlig opfangning” og

”værktøjer” bygger som nævnt på tilsvarende bestemmelser i Europarå-

dets konvention.

Hvis forslaget til direktiv fandt anvendelse i Danmark, vurderes det, at

dansk lovgivning allerede i vidt omfang opfylder de forpligtelser, der er

indeholdt i direktivforslaget. En gennemførelse i dansk ret ville imidler-

tid nødvendiggøre enkelte lovændringer, bl.a. at strafferammen i hvert

fald i en bestemmelse skal forhøjes til 2 år. Det kan endvidere ikke ude-

PDF to HTML - Convert PDF files to HTML files

lukkes, at forslagets bestemmelse om skærpende omstændigheder kunne

nødvendiggøre visse lovændringer.

4.2. Statsfinansielle konsekvenser

Da forslaget som nævnt ikke vil være bindende for Danmark, har forslag-

et ikke statsfinansielle konsekvenser.

Hvis forslaget til direktiv fandt anvendelse i Danmark, skønnes det at

ville have statsfinansielle konsekvenser af mindre betydning.

Høring

Forslaget er sendt i høring hos følgende myndigheder og organisationer

mv.:

Østre Landsret, Vestre Landsret, Sø- og Handelsretten, samtlige byretter,

Procesbevillingsnævnet, Domstolsstyrelsen, Rigspolitiet, Politiets Efter-

retningstjeneste, Rigsadvokaten, Den Danske Dommerforening, Dom-

merfuldmægtigforeningen, Datatilsynet, Direktoratet for Kriminalforsor-

gen, Foreningen af offentlige anklagere, Politiforbundet, Advokatrådet,

Landsforeningen af beskikkede advokater, Danske Advokater, Amnesty

International, Institut for Menneskerettigheder, Retspolitisk Forening og

Retssikkerhedsfonden.

Justitsministeriet har fastsat høringsfristen til den 30. november 2010.

Nærhedsprincippet

Kommissionen har om nærhedsprincippet bl.a. anført, at it-kriminalitet

og navnlig angreb på informationssystemer har en væsentlig grænseover-

skridende dimension, som er mest iøjnefaldende i forbindelse med omfat-

tende angreb, hvor de forskellige elementer af angrebet ofte befinder sig

på forskellige steder og i forskellige lande. Forslaget vil medføre en yder-

ligere indbyrdes tilnærmelse af medlemsstaternes materielle strafferet og

retsplejeregler på området.

Regeringens foreløbige vurdering er, at forslaget ikke er i strid med nær-

hedsprincippet. Regeringen kan i den forbindelse tilslutte sig Kommissi-

onens betragtninger.

Andre landes kendte holdninger

Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-

lemsstaters holdning til forslaget.

PDF to HTML - Convert PDF files to HTML files

Foreløbig generel dansk holdning

Fra dansk side finder man på nuværende tidspunkt – hvor den igangsatte

høring ikke er afsluttet – ikke at burde tage endelig stilling til forslaget.

Man er dog umiddelbart positiv over for forslaget.

Orientering af andre af Folketingets udvalg

Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-

tingets Retsudvalg.