Retsudvalget 2010-11 (1. samling)
KOM (2010) 0517 Bilag 1
Offentligt
910872_0001.png
Civil- og Politiafdelingen
Dato:
Kontor:
Sagsnr.:
Dok.:
21. oktober 2010
Det Internationale
Kontor
2010-305-1033
AHS40296
GRUND
OG NÆRHEDSNOTAT
vedrørende forslag til Europa-Parlamentets og Rådets direktiv om
angreb på informationssystemer og om ophævelse af Rådets ramme-
afgørelse 2005/222/RIA
KOM(2010) 0517
Resumé
Forslaget til direktiv om angreb på informationssystemer har til formål
at sikre en yderligere tilnærmelse af medlemsstaternes lovgivning i for-
hold til den gældende rammeafgørelse om angreb på informationssyste-
mer (2005/222/RIA). Forslaget indeholder en række forpligtelser for
medlemsstaterne særligt med hensyn til kriminalisering af forskellige
former for IT-kriminalitet og fastsætter bl.a. minimumsregler for straffe-
ne herfor. Forslaget indeholder desuden bestemmelser, der har til formål
at forbedre samarbejdet mellem de retlige og andre kompetente myndig-
hed-er, herunder politiet og andre retshåndhævende myndigheder i med-
lemsstaterne. Forslaget vurderes ikke at være i strid med nærhedsprin-
cippet. Forslaget er omfattet af Danmarks forbehold vedrørende retlige
og indre anliggender, og det har derfor hverken lovgivningsmæssige el-
ler statsfinansielle konsekvenser. Der ses ikke at foreligge offentlige til-
kendegivelser om de øvrige medlemsstaters holdninger til forslaget. Fra
dansk side finder man på nuværende tidspunkt – hvor der endnu ikke fo-
religger høringssvar – ikke at burde tage endelig stilling til forslaget.
Danmark er dog umiddelbart positiv over for forslaget.
1.
Baggrund
Den 30. september 2010 fremsatte Kommissionen et forslag til rammeaf-
gørelse om angreb på informationssystemer. Formålet med forslaget er at
sikre en yderligere tilnærmelse af medlemsstaternes lovgivning i forhold
til den gældende rammeafgørelse om angreb på informationssystemer
(2005/222/RIA). Forslaget bygger på denne rammeafgørelse og Europa-
rådets konvention om IT-kriminalitet af 23. november 2001. Kommis-
sionen har derudover medtaget enkelte nye elementer.
Slotsholmsgade 10
1216 København K.
Telefon 7226 8400
Telefax 3393 3510
www.justitsministeriet.dk
[email protected]
PDF to HTML - Convert PDF files to HTML files
910872_0002.png
Direktivforslaget behandles efter den almindelige beslutningsprocedure,
hvilket indebærer, at Europa-Parlamentet og Rådet skal vedtage for-
slaget.
Det danske retsforbehold
Forslaget er fremsat med hjemmel i Traktaten om Den Europæiske Uni-
ons Funktionsmåde (TEUF), 3. del, afsnit V. Forslaget er derfor omfattet
af Danmarks forbehold vedrørende retlige og indre anliggender. Proto-
kollen om Danmarks stilling, der er knyttet til Lissabon-traktaten, finder
således anvendelse.
Ifølge protokollens artikel 1 deltager Danmark ikke i Rådets vedtagelse
af foranstaltninger, der foreslås i henhold til TEUF, 3. del, afsnit V, og
ifølge artikel 2 er ingen af de foranstaltninger, der er vedtaget i henhold
til TEUF, 3. del, afsnit V, bindende for eller finder anvendelse i Danmark
(”retsforbeholdet”).
En eventuel gennemførelse af forslaget er derfor ikke bindende for eller
finder anvendelse i Danmark.
2.
Indhold
2.1. Generelt
Forslaget til direktiv er fremsat efter artikel 83 i TEUF, hvorefter Europa-
Parlamentet og Rådet bl.a. på området for grænseoverskridende edb-
kriminalitet af særlig grov karakter ved direktiv kan fastsætte minimums-
regler for, hvad der skal anses for strafbare handlinger, og for straffene
herfor.
Direktivforslaget har til formål at tilnærme medlemsstaternes strafferetli-
ge regler til hinanden med hensyn til angreb på informationssystemer og
at forbedre samarbejdet mellem de retlige og andre kompetente myndig-
heder, herunder politiet og andre retshåndhævende myndigheder i med-
lemsstaterne.
Det foreslås, at den eksisterende rammeafgørelse om angreb på informa-
tionssystemer (2005/222/RIA) formelt ophæves.
Direktivet fastsætter nærmere bestemmelser om de strafbare handlinger i
forbindelse med angreb på informationssystemer og fastsætter mini-
mumsregler for straffene herfor. Der lægges endvidere op til en styrkelse
af den eksisterende struktur med døgnbemandede kontaktpunkter.
2
PDF to HTML - Convert PDF files to HTML files
Direktivforslaget lægger i vidt omfang op til at videreføre den gældende
rammeafgørelse, men forslaget indeholder også at en række nye elemen-
ter, som har til formål at sikre en yderligere tilnærmelse af medlemssta-
ternes lovgivning på området, tilføjes. Det drejer sig om:
1) Kriminalisering af "værktøj", der anvendes til at begå lovover-
trædelserne,
2) nye skærpende omstændigheder,
3) kriminalisering af "ulovlig opfangning" ikke-offentlige overførs-
ler af edb-data,
4) styrkelse af den eksisterende struktur med døgnbemandede kon-
taktpunkter, og
5) nye regler vedrørende indsamling af statistiske oplysninger om it-
forbrydelser.
Forslaget indeholder på den baggrund bestemmelser om, hvilke strafbare
handlinger der som minimum skal kriminaliseres, sanktioner, straffe-
myndighed, informationsudveksling, overvågning og statistik.
De nye bestemmelser i direktivforslaget vedrørende ”ulovlig opfang-
ning” og ”værktøjer” bygger på tilsvarende bestemmelser i Europarådets
konvention om IT-kriminalitet.
2.2. Nærmere om hovedelementerne i forslaget
2.2.1. Strafbare handlinger
Forslagets indledende bestemmelser om ulovlig adgang til informations-
systemer, ulovligt indgreb i informationssystemer og ulovligt indgreb i
data svarer til den gældende rammeafgørelse.
Efter forslaget skal medlemsstaterne i grovere tilfælde kriminalisere for-
sætlig uretmæssig adgang til et informationssystem (”hacking”) eller en
del heraf.
Medlemsstaterne skal endvidere kriminalisere forsætligt og uretmæssigt
forårsagelse af en alvorlig hindring eller afbrydelse af et informationssy-
stems drift ved at indlæse eller overføre edb-data eller ved at beskadige,
slette, forvanske, ændre, tilbageholde eller hindre adgang til dets edb-
data, i det mindste i grovere tilfælde.
Medlemsstaterne forpligtes endvidere til i grovere tilfælde at kriminalise-
re forsætlig uretmæssig sletning, beskadigelse, forvanskning, ændring,
3
PDF to HTML - Convert PDF files to HTML files
910872_0004.png
tilbageholdelse eller hindring af adgang til edb-data i et informationssy-
stem.
Direktivforslaget indeholder en ny bestemmelse om ”ulovlig opfang-
ning”. Ifølge bestemmelsen skal medlemsstaterne kriminalisere forsætligt
og uretmæssigt opfangning af ikke-offentlige overførsler af edb-data til,
fra eller inden for et informationssystem, herunder elektromagnetisk strå-
ling fra et informationssystem (der indeholder sådanne edb-data) ved
hjælp af tekniske hjælpemidler. Bestemmelsen omfatter bl.a. aflytning af
ikke offentligt tilgængelige elektroniske data, som transmitteres fra et
edb-system til et andet, eller som er lagret i et edb-system, herunder elek-
tromagnetisk stråling fra et edb-system, der bærer sådanne elektroniske
data.
Direktivforslaget indeholder også en bestemmelse om udbredelse og be-
siddelse af ”værktøjer”, dvs. de anordninger og adgangsmidler til edb-
systemer, som kan anvendes til at begå en af de strafbare handlinger.
Ifølge forslaget skal medlemsstaterne kriminalisere forsætlig og uret-
mæssig fremstilling, salg, erhvervelse (med henblik på brug), import, be-
siddelse, distribution eller i øvrigt at stille sådanne anordninger og ad-
gangsmidler til rådighed med henblik på at begå en af de strafbare hand-
linger omfattet af direktivet.
Som ”værktøjer” i direktivets forstand nævnes anordninger, herunder
edb-programmer, der hovedsagelig er beregnet eller tilpasset til at begå
en af de strafbare handlinger nævnt i direktivet, og edb-password, ad-
gangskoder eller tilsvarende data, hvorved der kan opnås adgang til et
helt informationssystem eller dele heraf.
Ifølge forslaget skal medlemsstaterne kriminalisere medvirken til og for-
søg på de nævnte strafbare handlinger.
2.2.2. Sanktioner
Direktivforslaget pålægger medlemsstaterne at sikre, at de foreslåede
strafbare handlinger kan straffes med strafferetlige sanktioner med en
maksimal fængselsstraf på mindst to år.
Ifølge forslaget skal medlemsstaterne sikre, at de nævnte strafbare hand-
linger kan straffes med strafferetlige sanktioner med en maksimal fæng-
selsstraf på mindst fem år, når de begås inden for rammerne af en krimi-
nel organisation.
4
PDF to HTML - Convert PDF files to HTML files
910872_0005.png
Forslaget indeholder i forhold til den gældende rammeafgørelse en række
tilføjelser om, hvornår der foreligger skærpende omstændigheder. Med-
lemsstaterne skal således sikre, at de strafbare handlinger kan straffes
med strafferetlige sanktioner med en maksimal fængselsstraf på mindst
fem år, når de begås ved hjælp af et værktøj, som er beregnet til at fore-
tage angreb, der berører et betydeligt antal informationssystemer, eller
angreb, der volder betydelig skade som f.eks. afbrydelse af systemtjene-
ster, økonomiske omkostninger eller tab af personlige data. Medlemssta-
terne skal endvidere sørge for, at de strafbare handlinger kan straffes med
strafferetlige sanktioner med en maksimal fængselsstraf på mindst fem
år, når de begås ved at skjule gerningsmandens rigtige identitet og skade
den, som identiteten egentlig tilhører.
Juridiske personer, der ifalder strafansvar i forbindelse med angreb på
informationssystemer, skal kunne straffes med sanktioner, der er effekti-
ve, står i et rimeligt forhold til lovovertrædelsens grovhed og har en af-
skrækkende virkning. Sådanne sanktioner skal omfatte bødestraffe, men
kan også omfatte en række andre sanktioner som f.eks. udelukkelse fra at
modtage offentlige ydelser eller forbud mod at udøve erhvervsvirksom-
hed.
2.2.3. Straffemyndighed
Direktivforslaget forpligter medlemsstaterne til at etablere straffemyn-
dighed (jurisdiktion), når lovovertrædelsen er begået helt eller delvist på
medlemsstatens område. Medlemsstaten skal i sådanne tilfælde sørge for
straffemyndighed, hvor gerningsmanden begår lovovertrædelsen, mens
den pågældende fysisk befinder sig på landets område. Det gælder uan-
set, om lovovertrædelsen er rettet mod et informationssystem på det på-
gældende lands territorium eller et andet lands territorium. Herudover
forpligtes medlemsstaterne til at etablere straffemyndighed i det tilfælde,
hvor lovovertrædelsen begås mod et informationssystem på landets om-
råde, uanset om gerningsmanden på gerningstidspunktet fysisk befandt
sig på det pågældende lands område.
Medlemsstaterne forpligtes endvidere til at etablere straffemyndighed,
når lovovertrædelsen er begået af en af dens statsborgere eller en person,
som har bopæl på den pågældende medlemsstats område eller for at skaf-
fe en juridisk person, som har hjemsted på medlemsstatens område, vind-
ing.
2.2.4. Informationsudveksling
5
PDF to HTML - Convert PDF files to HTML files
Direktivforslaget indeholder en forpligtelse for medlemsstaterne til inden
en vis tidsfrist at efterkomme anmodninger om bistand fra de opera-
tionelle kontaktpunkter. Medlemsstaterne skal endvidere sørge for at
etablere procedurer, som gør det muligt at besvare hasteanmodninger in-
den 8 timer. Formålet hermed er at sikre, at kontaktpunkterne inden en
nærmere fastsat frist oplyser, om de kan finde en løsning på anmodnin-
gen, og hvornår det kontaktpunkt, der fremsætter anmodningen, kan for-
vente, at dette sker.
2.2.5. Overvågning og statistik
Direktivforslaget pålægger medlemsstaterne at sikre, at der i medlemssta-
ten findes et passende system til registrering, fremstilling og fremlæggel-
se af statistiske oplysninger om de lovovertrædelser, der er omfattet af
forslaget.
3.
Gældende dansk ret
3.1. Strafbare handlinger og sanktioner
Justitsministeriets udvalg om økonomisk kriminalitet og datakriminalitet
(Brydensholt-udvalget) afgav i september 2002 betænkning nr.
1417/2002 om IT-kriminalitet. I betænkningen behandledes navnlig
spørgsmålet om, i hvilket omfang udviklingen på IT-området nødvendig-
gør nye straffebestemmelser eller ændring af gældende bestemmelser. På
grundlaget af betænkningen og for at Danmark kunne ratificere Europa-
rådets konvention om IT-kriminalitet samt med henblik på Danmarks
deltagelse i rammeafgørelsen om angreb på informationssystemer gen-
nemførtes i 2004 en række straffelovsændringer, herunder straffelovens
§§ 193 og 263 (lov nr. 352 af 19. maj 2004).
Efter straffelovens § 193 straffes den, der på retsstridig måde fremkalder
omfattende forstyrrelse i driften af almindelige samfærdselsmidler, of-
fentlig postbesørgelse, telegraf- eller telefonanlæg, radio- eller fjernsyns-
anlæg, informationssystemer eller anlæg, der tjener til almindelig forsy-
ning med vand, gas, elektrisk strøm eller varme, straffes med bøde eller
fængsel indtil 6 år. Begås forbrydelsen groft uagtsomt, er straffen bøde
eller fængsel indtil 6 måneder.
Ved lovændringen i 2004 ændredes det tidligere anvendte begreb ”data-
behandlingsanlæg” i straffelovens § 193, stk. 1, til ”informationssyste-
mer”, der er neutralt i forhold til mulige teknologiske løsninger. Ved et
informationssystem forstås en computer eller andet databehandlingsan-
6
PDF to HTML - Convert PDF files to HTML files
læg. Omfattet heraf er navnlig personlige computere, herunder både sta-
tionære og bærbare computere. Også andet elektronisk udstyr vil imidler-
tid kunne være omfattet, hvis udstyret har funktioner svarende til dem,
der findes i computere. Det gælder således elektronisk udstyr, der kan
anvendes til at oprette og/eller behandle dokumenter, billeder og lyde,
udføre regnskabsfunktioner og lignende, herunder også hvis sådanne
funktioner senere forekommer i kombination med andet elektronisk ud-
styr, f.eks. fjernsyn.
Efter straffelovens § 263, stk. 2, om krænkelse af datahemmeligheden
(hacking), straffes den, der uberettiget skaffer sig adgang til en andens
oplysninger eller programmer, der er bestemt til at bruges i et informati-
onssystem med bøde eller fængsel indtil 1 år og 6 måneder. Begås for-
holdet med forsæt til at skaffe sig eller gøre sig bekendt med oplysninger
om en virksomheds erhvervshemmeligheder eller under andre særligt
skærpende omstændigheder, kan straffen stige til fængsel indtil 6 år. Det-
te gælder endvidere, når der er tale om overtrædelser af mere systematisk
eller organiseret karakter. Det vil afhænge af en konkret vurdering, om
overtrædelsen skønnes at være af mere systematisk eller organiseret ka-
rakter.
For databedrageri straffes efter straffelovens § 279 a den, som for der-
igennem at skaffe sig eller andre uberettiget vinding retsstridigt ændrer,
tilføjer eller sletter oplysninger eller programmer til elektronisk databe-
handling eller i øvrigt retsstridigt forsøger at påvirke resultatet af sådan
databehandling. Efter straffelovens § 285 straffes databedrageri med
fængsel indtil 1 år og 6 måneder. Det følger af straffelovens § 286, stk. 2,
at straffen for databedrageri kan stige til fængsel indtil 8 år, når forbry-
delsen er af særlig grov beskaffenhed, eller fordi forbrydelsen er udført af
flere i forening, eller som følge af omfanget af den opnåede eller tilsigte-
de vinding, eller når der er begået et større antal forbrydelser.
Efter straffelovens § 291 straffes den, der ødelægger, beskadiger eller
bortskaffer ting, der tilhører en anden, med bøde eller fængsel indtil 1 år
og 6 måneder. Øves der hærværk af betydeligt omfang, af mere systema-
tisk eller organiseret karakter, eller er gerningsmanden tidligere fundet
skyldig efter hærværksbestemmelsen eller en række nærmere angivne
bestemmelser, (herunder den nævnte bestemmelse i straffelovens § 193),
kan straffen stige til fængsel i 6 år.
Efter § 293, stk. 2, straffes den, der uberettiget hindrer en anden i helt
eller delvis at råde over ting, med bøde eller fængsel indtil 1 år. Straffen
7
PDF to HTML - Convert PDF files to HTML files
kan stige til fængsel i 2 år, hvor der er tale om overtrædelser af mere sy-
stematisk eller organiseret karakter, eller der i øvrigt foreligger særligt
skærpende omstændigheder. Bestemmelsen blev ændret i 2004, hvorved
det blev præciseret, at bestemmelsen også omfatter elektroniske rådig-
hedshindringer. Elektronisk rådighedshindring kan eksempelvis fore-
komme ved e-mail bomber (f.eks. såkaldte Denial-of-Service angreb),
der består i at hindre almindelig brug af systemet ved at forårsage over-
belastning eller nedbrud.
3.2. Forsøg og medvirken
Forsøg på og medvirken til overtrædelse af de nævnte straffelovsbe-
stemmelser er strafbart i medfør af straffelovens § 21 og § 23.
3.3. Bestemmelser om straffastsættelse
Efter straffelovens § 80 skal der ved straffens udmåling tages hensyn til
lovovertrædelsens grovhed og til oplysninger om gerningsmandens per-
son. Efter straffelovens § 81 vil bl.a. det forhold, at gerningen er begået
af flere i forening, og/eller at gerningen er særligt planlangt eller led i
omfattende kriminalitet som udgangspunkt være at anse som en skær-
pende omstændighed.
3.4. Juridiske personer
Efter straffelovens § 306 kan der pålægges selskaber mv. (juridiske per-
soner) strafansvar for overtrædelse af straffelovens bestemmelser. En ju-
ridisk person kan efter straffelovens § 25 straffes med bøde.
3.5. Straffemyndighed
Straffelovens §§ 6-12 indeholder de almindelige bestemmelser om, hvor-
når en strafbar handling hører under dansk straffemyndighed. Disse be-
stemmelser afgrænser således, hvilke straffesager der kan pådømmes ved
danske domstole.
Hovedreglen om dansk straffemyndighed er det såkaldte territorialprin-
cip, jf. straffelovens § 6, hvorefter handlinger, som er begået i Danmark,
hører under dansk straffemyndighed. Herudover følger det af straffelov-
ens §§ 7-8 b, at handlinger, som er begået uden for Danmark, i en række
nærmere bestemte tilfælde hører under dansk straffemyndighed. Det
gælder f.eks. efter omstændighederne, når en lovovertrædelse er begået i
udlandet af en dansk statsborger eller mod en dansk statsborger (jf. hen-
8
PDF to HTML - Convert PDF files to HTML files
holdsvis straffelovens § 7 om det aktive personalprincip og § 7 a om det
passive personalprincip).
Efter straffelovens § 8, nr. 5, om det såkaldte universalprincip omfatter
dansk straffemyndighed handlinger, som foretages uden for den danske
stat, uden hensyn til hvor gerningsmanden hører hjemme, når handlingen
er omfattet af en international bestemmelse, ifølge hvilken Danmark er
forpligtet til at have straffemyndighed. Ved ”internationale bestemmel-
ser” forstås bl.a. bestemmelser i EU-direktiver.
3.6. Informationsudveksling
Danmark er tilsluttet G8-landenes 24-timers/7 dages informationsnet til
bekæmpelse af højteknologikriminalitet. Rigspolitiets Kommunikations-
center er i den forbindelse udpeget som kontaktpunkt, og centeret har
døgnet rundt en specialist i højteknologikriminalitet fra Nationalt Efter-
forskningsstøttecenter (NEC) tilknyttet. Denne specialist kan til enhver
tid formidle kontakt til den relevante politikreds, der vil kunne træffe
operative foranstaltninger.
4.
Lovgivningsmæssige og statsfinansielle konsekvenser
4.1. Lovgivningsmæssige konsekvenser
Forslaget er som nævnt fremsat efter TEUF, 3. del, afsnit V, og er derfor
omfattet af Danmarks forbehold vedrørende retlige og indre anliggender.
Danmark deltager således ikke i vedtagelsen af direktivet, som ikke vil
være bindende for eller finde anvendelse i Danmark.
I 2004 gennemførtes som nævnt de ændringer i straffeloven, der var nød-
vendige for, at Danmark kunne ratificere Europarådets konvention om
IT-kriminalitet, og for at Danmark kunne gennemføre deltage i vedtagel-
sen af rammeafgørelsen om angreb på informationssystemer. De nye be-
stemmelser i direktivforslaget vedrørende ”ulovlig opfangning” og
”værktøjer” bygger som nævnt på tilsvarende bestemmelser i Europarå-
dets konvention.
Hvis forslaget til direktiv fandt anvendelse i Danmark, vurderes det, at
dansk lovgivning allerede i vidt omfang opfylder de forpligtelser, der er
indeholdt i direktivforslaget. En gennemførelse i dansk ret ville imidler-
tid nødvendiggøre enkelte lovændringer, bl.a. at strafferammen i hvert
fald i en bestemmelse skal forhøjes til 2 år. Det kan endvidere ikke ude-
9
PDF to HTML - Convert PDF files to HTML files
lukkes, at forslagets bestemmelse om skærpende omstændigheder kunne
nødvendiggøre visse lovændringer.
4.2. Statsfinansielle konsekvenser
Da forslaget som nævnt ikke vil være bindende for Danmark, har forslag-
et ikke statsfinansielle konsekvenser.
Hvis forslaget til direktiv fandt anvendelse i Danmark, skønnes det at
ville have statsfinansielle konsekvenser af mindre betydning.
5.
Høring
Forslaget er sendt i høring hos følgende myndigheder og organisationer
mv.:
Østre Landsret, Vestre Landsret, Sø- og Handelsretten, samtlige byretter,
Procesbevillingsnævnet, Domstolsstyrelsen, Rigspolitiet, Politiets Efter-
retningstjeneste, Rigsadvokaten, Den Danske Dommerforening, Dom-
merfuldmægtigforeningen, Datatilsynet, Direktoratet for Kriminalforsor-
gen, Foreningen af offentlige anklagere, Politiforbundet, Advokatrådet,
Landsforeningen af beskikkede advokater, Danske Advokater, Amnesty
International, Institut for Menneskerettigheder, Retspolitisk Forening og
Retssikkerhedsfonden.
Justitsministeriet har fastsat høringsfristen til den 30. november 2010.
6.
Nærhedsprincippet
Kommissionen har om nærhedsprincippet bl.a. anført, at it-kriminalitet
og navnlig angreb på informationssystemer har en væsentlig grænseover-
skridende dimension, som er mest iøjnefaldende i forbindelse med omfat-
tende angreb, hvor de forskellige elementer af angrebet ofte befinder sig
på forskellige steder og i forskellige lande. Forslaget vil medføre en yder-
ligere indbyrdes tilnærmelse af medlemsstaternes materielle strafferet og
retsplejeregler på området.
Regeringens foreløbige vurdering er, at forslaget ikke er i strid med nær-
hedsprincippet. Regeringen kan i den forbindelse tilslutte sig Kommissi-
onens betragtninger.
7.
Andre landes kendte holdninger
Der ses ikke at foreligge offentlige tilkendegivelser om de øvrige med-
lemsstaters holdning til forslaget.
10
PDF to HTML - Convert PDF files to HTML files
8.
Foreløbig generel dansk holdning
Fra dansk side finder man på nuværende tidspunkt – hvor den igangsatte
høring ikke er afsluttet – ikke at burde tage endelig stilling til forslaget.
Man er dog umiddelbart positiv over for forslaget.
9.
Orientering af andre af Folketingets udvalg
Grundnotatet sendes – ud over til Folketingets Europaudvalg – til Folke-
tingets Retsudvalg.
11