VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD

Transcriptie

1 EUROPESE COMMISSIE Brussel, COM(2017) 474 final VERSLAG VAN DE COMMISSIE AAN HET EUROPEES PARLEMENT EN DE RAAD ter beoordeling van de mate waarin de lidstaten de noodzakelijke maatregelen hebben genomen om te voldoen aan Richtlijn 2013/40/EU over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad NL NL

2 Inhoudsopgave 1. Inleiding Doelstellingen en toepassingsgebied van de richtlijn Doel en methode van het verslag Omzettingsmaatregelen Juridische definities (artikel 2 van de richtlijn)... 6 a) Informatiesysteem... 6 b) Computergegevens... 6 c) Rechtspersoon... 6 d) Onrechtmatig Specifieke strafbare feiten (artikelen 3 tot en met 7 van de richtlijn)... 7 a) Onrechtmatige toegang tot informatiesystemen... 7 b) Onrechtmatige systeemverstoring... 7 c) Onrechtmatige gegevensverstoring... 7 d) Onrechtmatige onderschepping... 8 e) Instrumenten voor het plegen van strafbare feiten Algemene regels voor de betreffende strafbare feiten (artikelen 8 tot en met 12 van de richtlijn)... 8 a) Uitlokking en medeplichtigheid... 8 b) Poging... 9 c) Sancties... 9 d) Aansprakelijkheid van rechtspersonen e) Sancties tegen rechtspersonen f) Rechtsmacht Operationele kwesties (artikelen 13 en 14 van de richtlijn) a) Bepaling betreffende operationele nationale contactpunten b) Informatie over de opgezette operationele nationale contactpunten c) Rapportagekanalen d) Verzameling van statistische gegevens e) Verzending van statistische gegevens aan de Commissie Conclusie en volgende stappen

3 1. Inleiding Volgens de door Europol uitgevoerde dreigingsevaluatie van de georganiseerde internetcriminaliteit (IOCTA) over 2016 wordt cybercriminaliteit steeds agressiever en confronterender. Dit is te zien bij verschillende vormen van cybercriminaliteit, met inbegrip van aanvallen op informatiesystemen 1. Enkele ernstige soorten aanvallen die Europol noemt zijn het gebruik van kwaadaardige programmatuur en social engineering, met als doel te infiltreren in een informatiesysteem en hierover de controle te krijgen of berichten te onderscheppen, en het uitvoeren van grootschalige aanvallen op netwerken, onder andere op cruciale infrastructuur. Deze aanvallen worden genoemd als kritieke bedreigingen voor onze samenleving. Nu steeds meer informatie in de cloud wordt opgeslagen en informatie en criminelen tegenwoordig in hoge mate mobiel zijn, is grensoverschrijdende samenwerking tussen rechtshandhavingsautoriteiten voor de meeste onderzoeken op het gebied van cybercriminaliteit cruciaal geworden. Om deze criminaliteit effectief te kunnen bestrijden, dienen de lidstaten gezamenlijk te bepalen welke handelingen als een aanval op informatiesystemen moeten worden beschouwd. Ook dienen zij te beschikken over geharmoniseerde sanctieniveaus en de operationele middelen om strafbare feiten te rapporteren en informatie tussen de autoriteiten uit te wisselen. Het Europees Parlement en de Raad hebben derhalve op 12 augustus 2013 Richtlijn 2013/40/EU over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad 2 vastgesteld, hierna de richtlijn genoemd Doelstellingen en toepassingsgebied van de richtlijn De doelstellingen van de richtlijn zijn het onderling afstemmen van de strafwetgeving van de lidstaten 3 op het gebied van aanvallen op informatiesystemen en het verbeteren van de samenwerking tussen de bevoegde autoriteiten. Daartoe worden minimumvoorschriften vastgesteld voor de definitie van strafbare feiten en sancties op het gebied van aanvallen op informatiesystemen en meldpunten verplicht gesteld die 24/7 operationeel zijn. Met betrekking tot de definitie van relevante termen verwijst de richtlijn naar: een 'informatiesysteem' in artikel 2, onder a) 4. De definitie lijkt veel op de definitie van een computersysteem zoals vastgesteld in artikel 1, onder a), van het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken van 23 november 2001 (het Verdrag van Boedapest), met als verschil dat de richtlijn ook uitdrukkelijk de computergegevens zelf omvat; 'computergegevens' in artikel 2, onder b). De definitie volgt die van artikel 1, onder b), van het Verdrag van Boedapest, maar verwijst naar een informatiesysteem in plaats van naar een computersysteem; een 'rechtspersoon' in artikel 2, onder c). De definitie heeft tot doel de aansprakelijkheid van zowel natuurlijke als rechtspersonen te waarborgen, waarbij Europol, 2016 Internet Organised Crime Threat Assessment (IOCTA), beschikbaar op Hierna wordt, tenzij uitdrukkelijk anders aangegeven, met lidstaten of alle lidstaten verwezen naar de lidstaten die door de richtlijn gebonden zijn, dat wil zeggen alle lidstaten met uitzondering van Denemarken, dat niet aan de vaststelling van de richtlijn heeft deelgenomen, overeenkomstig artikel 1 en 2 van het Protocol betreffende de positie van Denemarken dat gehecht is aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie (VWEU). Overeenkomstig artikel 3 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland hebben beide landen deelgenomen aan de vaststelling van de richtlijn en zijn zij erdoor gebonden. Alle genoemde artikelen verwijzen naar de artikelen van de richtlijn tenzij anders aangegeven. 3

4 staten, overheidsentiteiten en publiekrechtelijke internationale organisaties zijn uitgesloten; 'onrechtmatig' in artikel 2, onder d). De definitie heeft betrekking op een algemeen beginsel van strafrecht en heeft tot doel de strafrechtelijke aansprakelijkheid uit te sluiten van een persoon die handelt, hetzij zoals toegestaan krachtens de nationale wetgeving, hetzij met de goedkeuring van de eigenaar of een andere rechthebbende van het informatiesysteem of een deel ervan. Er zijn specifieke strafbare feiten gedefinieerd, te weten: onrechtmatige toegang tot de informatiesystemen zelf (artikel 3); onrechtmatige systeemverstoring (artikel 4) met inbegrip van elke onrechtmatige toegang tot een informatiesysteem waardoor het functioneren ervan ernstig gehinderd of onderbroken wordt; onrechtmatige gegevensverstoring (artikel 5) die betrekking heeft op de onrechtmatige verstoring van computergegevens die de integriteit of beschikbaarheid ervan schaadt; onrechtmatige onderschepping (artikel 6) van niet-openbare transmissies van computergegevens en elektromagnetische emissies van een informatiesysteem dat zulke gegevens bevat; onrechtmatige verstrekking van instrumenten die worden gebruikt om de genoemde strafbare feiten te plegen (artikel 7). Dergelijke instrumenten kunnen in dit verband bestaan uit een computerprogramma of een computerwachtwoord of alle andere gegevens die toegang geven tot een informatiesysteem. Daarnaast wordt in de richtlijn de strafrechtelijke aansprakelijkheid uitgebreid met de uitlokking door en medeplichtigheid aan het plegen of pogen te plegen van de hierboven genoemde strafbare feiten door natuurlijke en/of rechtspersonen (artikel 8). Terwijl uitlokking en medeplichtigheid betrekking hebben op alle in artikel 3 tot en met 7 genoemde strafbare feiten, heeft de poging hiertoe alleen betrekking op de artikelen 4 en 5. In artikel 9 worden minimumniveaus voor maximale sancties voor de in de richtlijn genoemde strafbare feiten vastgesteld: uitgangspunt is een maximale gevangenisstraf van ten minste twee jaar voor alle strafbare feiten met uitzondering van de onder artikel 8 genoemde strafbare feiten (artikel 9, lid 2); voor strafbare feiten die vallen onder artikel 4 en artikel 5, waarbij een aanzienlijk aantal informatiesystemen is aangevallen (in het algemeen botnetdelicten genoemd) geldt een maximale gevangenisstraf van ten minste drie jaar (artikel 9, lid 3); ten minste vijf jaar gevangenisstraf is vereist voor de onder artikel 4 en 5 vallende strafbare feiten die worden gepleegd door een criminele organisatie (artikel 9, lid 4, onder a), ernstige schade teweegbrengen (artikel 9, lid 4, onder b), of worden gepleegd tegen een informatiesysteem van een vitale infrastructuur (artikel 9, lid 4, onder c). wanneer een onder de artikelen 4 en 5 vallend strafbaar feit gepleegd wordt in de context van misbruik van persoonlijke gegevens van een andere persoon, dienen de lidstaten ervoor te zorgen dat dit kan worden aangemerkt als verzwarende omstandigheid, tenzij die omstandigheid reeds gedekt wordt door een ander strafbaar feit (artikel 9, lid 5). In de daaropvolgende artikelen worden minimale voorwaarden vastgesteld voor de aansprakelijkheid van rechtspersonen (artikel 10) en wordt een lijst met voorbeelden van mogelijke sancties gegeven (artikel 11). Erkennende dat de hierboven genoemde strafbare feiten gepleegd (in de zin van 'uitgevoerd') kunnen worden op een plaats waar de overtreder daadwerkelijk handelt terwijl de gevolgen 4

5 voor het aangevallen informatiesysteem wellicht ergens anders optreden, voorziet artikel 12 in verplichtingen om de rechtsmacht te vestigen, waarbij onderscheid gemaakt wordt tussen: de plaats waar de overtreder zich fysiek bevindt op het moment dat het strafbaar feit gepleegd wordt, de locatie van het aangevallen informatiesysteem, de nationaliteit van de dader, zijn of haar gewone verblijfplaats, en de vestigingsplaats van een rechtspersoon ten voordele waarvan het strafbare feit is begaan. Met betrekking tot de uitwisseling van informatie verplicht artikel 13, lid 1 de lidstaten ervoor te zorgen dat zij nationale contactpunten beschikbaar stellen die 24 uur per dag en 7 dagen per week operationeel zijn, zodat alle dringende verzoeken uit het buitenland binnen acht uur beantwoord kunnen worden. Verder dienen de lidstaten de noodzakelijke maatregelen te nemen om het melden van de hierboven genoemde strafbare feiten aan de bevoegde landelijke autoriteiten te vergemakkelijken (artikel 13, lid 3) en een minimale hoeveelheid statistische gegevens over deze strafbare feiten te verzamelen en te delen (artikel 14). 1.2 Doel en methode van het verslag Artikel 16 van de richtlijn verplicht de lidstaten ertoe de nodige wettelijke en bestuursrechtelijke bepalingen in werking te doen treden om uiterlijk op vrijdag 4 september 2015 aan de richtlijn te voldoen en de Commissie daarvan in kennis te stellen. Dit verslag komt tegemoet aan het vereiste overeenkomstig artikel 17 van de richtlijn, dat voorschrijft dat de Commissie een verslag indient bij het Europees Parlement en de Europese Raad waarin wordt beoordeeld in hoeverre de lidstaten de noodzakelijke maatregelen hebben genomen om aan de richtlijn te voldoen. Het doel van het verslag is derhalve een beknopt maar informatief overzicht van de belangrijkste omzettingsmaatregelen van de lidstaten te geven. Lidstaten hebben de richtlijn omgezet door informatie over de relevante wetgeving en administratieve maatregelen te verzamelen, die te analyseren, nieuwe wetgeving op te stellen of in de meeste gevallen bestaande wetgeving aan te passen, te zorgen dat deze aangenomen wordt, en ten slotte verslag erover uit te brengen aan de Commissie. Op de datum van omzetting hadden 22 lidstaten de Commissie in kennis gesteld van de volledige afronding van de omzetting van de richtlijn. In november 2015 werden door de Commissie inbreukprocedures wegens niet-mededeling van nationale omzettingsmaatregelen ingesteld tegen de overige vijf lidstaten: BE, BG, EL, IE en SI 5. Op 31 mei 2017 waren de inbreukprocedures wegens niet-mededeling van nationale omzettingsmaatregelen tegen BE, BG en IE nog steeds in behandeling 6. De beschrijving en analyse in dit verslag zijn gebaseerd op de informatie die de lidstaten tot woensdag 31 mei 2017 hebben ingediend 7. Na die datum ontvangen kennisgevingen zijn buiten beschouwing gelaten. Alle aangemelde maatregelen inzake nationale wetgevingen werden in aanmerking genomen, evenals rechterlijke beslissingen en indien van toepassing De lidstaten worden in dit document aangeduid met de in onderstaand document vermelde codes: Informatie over de beslissingen van de Commissie inzake inbreukprocedures is te vinden op: IE heeft de volledige omzetting van de richtlijn op 31 mei 2017 gemeld. 5

6 gemeenschappelijke rechtstheorie. Daarnaast heeft de Commissie tijdens de analyse rechtstreeks contact opgenomen met de lidstaten wanneer dit nodig en van toepassing was om extra informatie of toelichting te krijgen. Alle verzamelde informatie is in de analyse meegenomen. Naast de kwesties die in dit verslag aan de orde komen, kunnen er ook andere problemen zijn bij de omzetting en andere bepalingen die niet aan de Commissie zijn meegedeeld, of kunnen zich in de toekomst ontwikkelingen voordoen, zowel op het gebied van wetgeving als in andere domeinen. Dit verslag weerhoudt de Commissie er daarom niet van sommige bepalingen verder te evalueren en zo de lidstaten te blijven ondersteunen met de omzetting en tenuitvoerlegging van de richtlijn. 2. Omzettingsmaatregelen 2.1 Juridische definities (artikel 2 van de richtlijn) Artikel 2 van de richtlijn stelt juridische definities vast voor 'informatiesysteem' (onder a)), 'computergegevens' (onder b)), 'rechtspersoon' (onder c)) en 'onrechtmatig' (onder d)). Alleen CY en UK (Gibraltar) hebben wetgeving ingevoerd die alle aspecten van de hierboven genoemde definities omvat. Meer gedetailleerd betekent dit: a) Informatiesysteem De definitie van de richtlijn bouwt voort op de definitie van de term 'computersysteem' zoals vastgesteld in artikel 1, onder a), van het Verdrag van Boedapest, waarbij de computergegevens zelf worden toegevoegd als deel van het informatiesysteem. CY, EL, IE, FI, HR, MT, PT en UK (Gibraltar) hebben wettelijke bepalingen ingevoerd met de definitie van een informatiesysteem, terwijl de door DE, ES, FR, LU, LV, PL, SE en SK verstrekte informatie niet sluitend was. Voor de overige lidstaten, dat wil zeggen AT, BE, BG, CZ, EE, HU, IT, LT, NL, RO, SI en UK (met uitzondering van Gibraltar), maken de respectievelijke juridische definities niet specifiek melding van 'computergegevens'. Dit impliceert een verwijzing naar artikel 1, onder a), van het Verdrag van Boedapest met een identiek toepassingsgebied voor de definitie van een computersysteem. b) Computergegevens De term 'computergegevens' is vastgelegd in de wetgeving van AT, BG, CY, CZ, DE, EE, EL IE, FI, HR, LT, MT, NL, PT, RO en UK (Gibraltar), terwijl de door ES, FR, IT, LU, LV, PL, SE, SK en UK (met uitzondering van Gibraltar) verstrekte informatie niet sluitend was. In het geval van SE maakte de specifieke opzet van de verwijzende artikelen deze definitie overbodig. Wat de overige lidstaten betreft, verwijst de definitie van computergegevens in HU alleen naar de in artikel 4 en artikel 5 van de richtlijn beschreven strafbare feiten, terwijl bij zowel BE als SI de opname van 'programma s die een informatiesysteem een bepaalde functie kunnen laten vervullen' ontbreekt in de definitie van computergegevens. c) Rechtspersoon Met uitzondering van LU, dat geen sluitende informatie heeft verstrekt over de omzetting van artikel 2, onder c), leverde de omzetting van de definitie van 'rechtspersoon' geen problemen op. De reden hiervoor is gelegen in het feit dat, in het algemeen, deze term meestal al voorkomt in de bepalingen van het burgerlijk recht en handelsrecht van de lidstaten. Alleen CY heeft een specifieke bepaling in de maatregelen aangenomen om de richtlijn om te zetten. 6

7 d) Onrechtmatig Met betrekking tot de definitie van de term 'onrechtmatig' in artikel 2, onder d), hebben alleen CY, IE, RO en UK (Gibraltar) melding gemaakt van een omzetting, waardoor er 23 lidstaten overblijven die geen omzettingsmaatregelen voor deze definitie hebben genomen. Hierbij moet echter worden opgemerkt dat in alle lidstaten het algemeen beginsel bestaat van afwezigheid van strafrechtelijke aansprakelijkheid voor handelingen die op basis van overeenkomstige bevoegdheden worden uitgevoerd. 2.2 Specifieke strafbare feiten (artikelen 3 tot en met 7 van de richtlijn) a) Onrechtmatige toegang tot informatiesystemen Met betrekking tot de onrechtmatige toegang tot een informatiesysteem wordt artikel 3 van de richtlijn bestreken door de nationale wetgevingen van AT, CY, CZ, EL, ES, IE, FI, FR, LT, LU, NL, PL, PT, SE en SK. Voor alle overige lidstaten, d.w.z. BE, BG, DE, EE, HR, HU, IT, LV, MT, RO, SI en UK, maakt de betreffende nationale beschrijving van het strafbaar feit geen onderscheid tussen het verkrijgen van toegang tot het volledige informatiesysteem of slechts een deel daarvan, ook al wordt dit onderscheid expliciet in de richtlijn genoemd. Ook bestrijkt de omzetting van DE niet het uitsluitend toegang krijgen tot de computerhardware en stellen AT en LU extra eisen wat betreft een specifieke opzet (intentie om kennis te vergaren, schade toe te brengen of frauduleuze bedoelingen) en LV wat betreft het veroorzaken van aanzienlijke schade. In het geval van BE, BG, FR, HR, LU, MT, PT, RO, SI en UK is het toepassingsgebied van de nationale bepalingen breder dan de richtlijn, aangezien deze bepalingen voor de vaststelling van strafrechtelijke aansprakelijkheid niet voorschrijven dat er veiligheidsmaatregelen ontdoken zijn. De overige lidstaten verwijzen ofwel letterlijk naar het plegen van een strafbaar feit door het schenden van een veiligheidsmaatregel (CY, EL en SK), of gebruiken vergelijkbare terminologie om dit aspect te beschrijven (AT, CZ, DE, EE, ES, FI, HU, IT. LT, LV, NL, PL en SE). b) Onrechtmatige systeemverstoring Artikel 4 van de richtlijn verwijst naar onrechtmatige systeemverstoring. De richtlijn geeft een opsomming van acht mogelijke handelingen (de invoer van computergegevens, de transmissie, het beschadigen, wissen, verminken, wijzigen, onderdrukken of ontoegankelijk maken van dergelijke gegevens) en twee mogelijke gevolgen van de betreffende handeling (ernstig hinderen of onderbreken van de werking van een informatiesysteem). BE, CY, CZ, EL, IE, FR, HR, LU, MT, PT, SE en UK (met uitzondering van Gibraltar) hebben overeenkomstige wettelijke maatregelen ingevoerd. BG verwijst alleen naar het invoeren van een virus, terwijl in de rest van de lidstaten (AT, DE, EE, ES, HU, IT, LV, NL, PL, RO, SI, SK en UK), een tot vier van de mogelijke handelingen niet specifiek genoemd worden. In deze context kan worden opgemerkt dat de meeste problemen zich voordeden met de termen 'verminken' (in acht gevallen ontbrekend) en 'ontoegankelijk maken' (in negen gevallen ontbrekend). c) Onrechtmatige gegevensverstoring Artikel 5 van de richtlijn bestrijkt de onrechtmatige gegevensverstoring en geeft een opsomming van de volgende zes mogelijke handelingen: wissen, beschadigen, verminken, wijzigen, onderdrukken of ontoegankelijk maken van gegevens. CY, EL, IE en MT hebben de bepaling letterlijk omgezet; BE, CZ, LT, PT en SE hebben meer algemene termen gebruikt om alle mogelijke handelingen te bestrijken. Alle andere omzettingsmaatregelen van de lidstaten bestrijken niet alle afzonderlijke mogelijkheden maar verwijzen daarentegen naar slechts vijf opties (FI en SK) of minder (AT, BG, DE, EE, FR, HR, HU, IT, LU, NL, PL, RO, 7

8 SI en UK). De meeste problemen deden zich voor met 'beschadigen' (acht keer ontbrekend), 'verminken' (dertien keer ontbrekend), 'gegevens onderdrukken' (elf keer ontbrekend) en 'gegevens ontoegankelijk maken' (dertien keer ontbrekend). Aanvullend op de formulering van de richtlijn vereist FI de 'intentie om schade of financieel verlies toe te brengen' voor strafrechtelijke aansprakelijkheid, terwijl LT en LV voorschrijven dat 'door de handeling ernstige of aanzienlijke schade ontstaat'. d) Onrechtmatige onderschepping Artikel 6 verwijst naar onrechtmatige onderschepping en is gericht op de niet-openbare transmissies van computergegevens en elektromagnetische emissies uit een informatiesysteem dat zulke gegevens bevat. CY, CZ, DE, ES, IE, FI, HR, LV, MT, RO, SE, SK en UK (Gibraltar) hebben wetgeving ingevoerd die artikel 6 volledig bestrijkt. Het algemene toepassingsgebied van de richtlijn met betrekking tot het onderscheppen van computergegevens is beperkt tot berichten (AT en BG), het observeren van een persoon (EE) of correspondentie (FR en HU). Verder bestrijken de omzettingsmaatregelen van de volgende lidstaten niet de onderschepping van elektromagnetische emissies: BE, BG, EE, FR, HU, IT, LT, LU, NL, PL, PT, SI en UK (met uitzondering van Gibraltar). Daarnaast moet er in enkele lidstaten een specifieke opzet bestaan (bijvoorbeeld het verkrijgen van kennis of economisch gewin, of het veroorzaken van een nadelige positie zie AT, EL, HU) of specifieke additionele handelingen (zoals het registreren of kennisnemen van de onderschepte inhoud zie BG en HU). e) Instrumenten voor het plegen van strafbare feiten Artikel 7 stelt een aantal handelingen strafbaar die betrekking hebben op instrumenten zoals computerprogramma's of toegangscodes voor het plegen van de in artikel 3 tot en met 6 genoemde strafbare feiten: het vervaardigen van zulke instrumenten, de verkoop ervan, aanschaf voor gebruik, invoer, verspreiding of het op andere wijze ter beschikking stellen. AT, BE, CY, DE, EL, IE en SK hebben overeenkomstige nationale wetgeving ingevoerd. Sommige lidstaten bestrijken niet alle genoemde strafbare feiten (EE, IT, MT, PL, EN SI). Sommigen maken geen onderscheid tussen de dader van de in artikel 7 genoemde strafbare feiten en degene die de in artikel 3 tot en met 6 genoemde strafbare feiten pleegt (CZ en SI). Sommigen eisen dat er sprake moet zijn van specifieke opzet (het veroorzaken van schade of frauduleus handelen zie FI, IT en LU), van een specifiek resultaat zoals bijvoorbeeld schending van geheimhouding (BG) of ten minste een bepaalde mate van voorbereiding van de genoemde strafbare feiten (SE). Tot slot zijn er verschillen aangetroffen tussen artikel 7 en de nationale maatregelen doordat niet de volledige lijst van mogelijke handelingen is omgezet. Dit is het geval voor BG, CZ, EE, ES, FR, HR, HU, IT, LT, LU, LV, PL, PT, RO, SI en UK. Hiervan noemt de wetgeving van LU specifiek vijf van de zes in de richtlijn opgesomde mogelijke handelingen, terwijl de andere lidstaten slechts expliciet verwijzen naar vier handelingen of minder. De optie van aanschaf voor gebruik is alleen door ES omgezet. 2.3 Algemene regels voor de betreffende strafbare feiten (artikelen 8 tot en met 12 van de richtlijn) a) Uitlokking en medeplichtigheid Artikel 8, lid 1 verplicht de lidstaten ervoor te zorgen dat uitlokking van of medeplichtigheid aan een van de in de artikelen 3 tot en met 7 genoemde feiten strafbaar wordt gesteld. Alle lidstaten hebben deze bepaling omgezet. 8

9 b) Poging Overeenkomstig artikel 8, lid 2, dient poging tot een van de in de artikelen 4 en 5 genoemde feiten strafbaar te worden gesteld. Hoewel PT niet alle soorten pogingen tot het plegen van de in artikel 4 genoemde strafbare feiten bestrijkt en bij SE de strafrechtelijke aansprakelijkheid ontbreekt voor poging tot schending van de vertrouwelijke aard van de communicatie, hebben alle andere lidstaten wetgeving vastgesteld die deze bepaling omzet. c) Sancties aa) algemene bepaling Artikel 9, lid 1 bepaalt dat de lidstaten, in het algemeen, moeten voorzien in effectieve, evenredige en ontmoedigende sancties voor de onder de richtlijn vallende strafbare feiten. Hoewel dit door bijna alle lidstaten is opgevolgd, voldoen AT, BE, BG, IT, PT, SE en SI niet in alle gevallen aan de minimumniveaus van de in artikel 9, lid 2 bepaalde maximale sancties (zie punt 1.1). Dit heeft gevolgen voor de omzetting van artikel 9, lid 1, aangezien de conclusie voor de hand ligt dat de minimumvereisten van artikel 9, lid 2, als minimum zijn gesteld teneinde een effectieve, evenredige en ontmoedigende sanctie vast te stellen. bb) algemeen minimumniveau van de maximale sanctie Overeenkomstig artikel 9, lid 2 is het minimumniveau van de maximale sanctie voor een van de in artikel 3 tot en met 7 genoemde strafbare feiten een gevangenisstraf van ten minste twee jaar. De meeste lidstaten voldoen aan deze bepaling. Slechts zes lidstaten vertonen enkele afwijkingen: AT (gevangenisstraf van ten hoogste zes maanden), BG (gevangenisstraf van ten hoogste een jaar voor alle strafbare feiten met uitzondering van onrechtmatige onderschepping), IT (ten hoogste een jaar gevangenisstraf voor het in artikel 7, onder b), genoemde strafbare feit, PT (ten hoogste een jaar gevangenisstraf voor het in artikel 3 genoemde strafbare feit), SE (ten hoogste een jaar gevangenisstraf voor het strafbaar feit toebrengen van schade ) en SI (ten hoogste een jaar gevangenisstraf voor de in artikelen 3, 6 en 7 genoemde strafbare feiten). In het geval van BE wordt het minimumniveau van de maximale straf voor de artikelen 3, 6 en 7 slechts bereikt wanneer er bij het plegen van de strafbare feiten sprake is van frauduleuze bedoelingen. cc) een aanzienlijk aantal informatiesystemen is getroffen Artikel 9, lid 3 verhoogt het minimumniveau van de maximale sanctie tot drie jaar gevangenisstraf wanneer een aanzienlijk aantal informatiesystemen is getroffen door een van de in de artikelen 4 en 5 genoemde strafbare feiten. In het algemeen hebben de lidstaten overeenkomstige wetgeving ingevoerd. DE verwijst slechts naar informatiesystemen die van aanzienlijk belang zijn voor een ander informatiesysteem, in FI moet een beoordeling van het strafbaar feit als geheel plaatsvinden om de zwaardere straf te kunnen toepassen, en LV verwijst niet naar een aanzienlijk aantal informatiesystemen (of een vergelijkbare term), maar slechts naar het veroorzaken van aanzienlijke schade. De informatie van DE en SI was niet sluitend. dd) criminele organisaties Overeenkomstig artikel 9, lid 4, onder a), moet een maximale gevangenisstraf van ten minste vijf jaar gelden voor de in de artikelen 4 en 5 genoemde strafbare feiten, wanneer deze worden gepleegd door een criminele organisatie zoals omschreven in Kaderbesluit 2008/841/JBZ. De meeste lidstaten voldoen wederom aan de bepaling van artikel 9, lid 4, onder a). De bepalingen van de strafwetgeving van LU en SI inzake door criminele organisaties gepleegde strafbare feiten bestrijken geen cybercriminaliteit. De wetgeving van BE voorziet in een maximale gevangenisstraf van slechts drie jaar voor de in artikel 5 genoemde strafbare feiten, 9

10 de wetgeving van DE sluit natuurlijke personen uit als slachtoffer van de strafbare feiten, de wetgeving van FI eist een extra beoordeling van het strafbaar feit in zijn geheel en de wetgeving van SE voorziet in een maximale sanctie van vier jaar gevangenisstraf voor het toebrengen van ernstige schade. ee) veroorzaken van ernstige schade Artikel 9, lid 4, onder b), stelt een maximale gevangenisstraf van ten minste vijf jaar verplicht voor alle in de artikelen 4 en 5 genoemde strafbare feiten wanneer er ernstige schade wordt veroorzaakt. Hoewel er geen definitie is van wat als ernstige schade beschouwd moet worden, hebben alle lidstaten, met uitzondering van BG, DE, FI, HU, LU en SE, wetgeving ingevoerd die overeenkomstig de richtlijn is. De informatie van HU was niet sluitend. In BG is de maximale straf minder dan vijf jaar, terwijl LU een algemene strafclausule voor het toebrengen van ernstige schade kent die niet van toepassing is op cybercriminaliteit. Er zijn kleine afwijkingen in DE (niet van toepassing op natuurlijke personen die slachtoffer zijn van de strafbare feiten), FI (hogere straffen vereisen een extra beoordeling van het strafbaar feit in zijn geheel ) en SE (maximaal vier jaar gevangenisstraf voor ernstige schade toebrengen ). ff) informatiesystemen voor cruciale infrastructuur Indien er informatiesystemen voor cruciale infrastructuur betrokken zijn bij de in de artikelen 4 en 5 genoemde strafbare feiten leidt dit eveneens tot een maximale gevangenisstraf van ten minste vijf jaar, conform het bepaalde in artikel 9, lid 4, onder c). Hoewel de meeste lidstaten aan deze bepaling voldoen, heeft BG geen specifieke informatie gegeven over de omzetting ervan. BE heeft een maximumtermijn van drie jaar vastgesteld voor de strafbare feiten van artikel 5. De wetgeving van DE sluit natuurlijke personen als slachtoffers uit. FI eist een extra beoordeling van het strafbaar feit in zijn geheel, IT schrijft voor dat er daadwerkelijk vernietiging wordt veroorzaakt, PT eist een aanval op ernstige en langdurige wijze en verwijst niet naar artikel 5, en SE voldoet slechts aan de vereisten van de richtlijn voor het strafbaar feit ernstige sabotage. gg) diefstal van identiteit en andere met identiteit verband houdende strafbare feiten Artikel 9, lid 5 eist dat de lidstaten ervoor zorgen dat wanneer een van de in de artikelen 4 en 5 bedoelde strafbare feiten wordt gepleegd door misbruik te maken van persoonsgegevens van een andere persoon met het oogmerk het vertrouwen van een derde te winnen, waardoor de rechtmatige bezitter van een identiteit schade wordt berokkend, dit kan worden beschouwd als verzwarende omstandigheden, tenzij deze omstandigheden reeds worden bestreken door een ander strafbaar feit. De grote mate van beoordelingsvrijheid heeft geleid tot grote variatie van de omzettingsmaatregelen van de lidstaten. BE en EL hebben geen kennis gegeven van enige omzetting en in de strafwetgeving van CZ is geen specifieke bepaling opgenomen. AT, CY, ES, IE, MT, PT en SE hebben gekozen voor de verzwarende benadering (waarbij door de laatste de omstandigheid van speciale planning wordt genoemd) terwijl alle andere lidstaten extra bepalingen voor het specifieke strafbare feit noemen. Bij de lidstaten die specifieke bepalingen noemen, kunnen de volgende omzettingsproblemen worden genoemd: BG en NL eisen een specifiek oogmerk ( een voordeel verwerven en het oogmerk om de identiteit te verhelen of misbruiken ). DE verwijst slechts naar persoonlijke gegevens die niet algemeen toegankelijk zijn, FR verwijst slechts naar de naam van een persoon en niet naar andere persoonsgegevens, LV eist het veroorzaken van aanzienlijke schade, RO bestrijkt slechts het gebruik van een document en het plegen van bedrog. 10

11 d) Aansprakelijkheid van rechtspersonen aa) in het algemeen Artikel 10, lid 1, vereist dat rechtspersonen aansprakelijk moeten kunnen worden gesteld voor de door artikel 3 tot en met 8 bestreken strafbare feiten als de pleger de bevoegdheid heeft om de rechtspersoon te vertegenwoordigen (onder a), de bevoegdheid heeft om namens de rechtspersoon beslissingen te nemen (onder b), of de bevoegdheid heeft om binnen de rechtspersoon toezicht uit te oefenen (onder c). Alle lidstaten hebben wetgeving overeenkomstig dit artikel ingevoerd. Slechts de volgende minder belangrijke kwesties moeten worden genoemd: BG bestrijkt niet het strafbaar feit van artikel 6 en HR verwijst niet naar een pleger die de bevoegdheid bezit om binnen de rechtspersoon toezicht uit te oefenen (artikel 10, lid 1, onder c). bb) bij gebrek aan toezicht of controle Artikel 10, lid 2, vereist dat de lidstaten rechtspersonen aansprakelijk kunnen stellen wanneer een van de door artikel 3 tot en met 8 bestreken strafbare feiten heeft kunnen plaatsvinden door gebrek aan toezicht of controle door een in artikel 10, lid 1 genoemde persoon. Hoewel vrijwel alle lidstaten aan deze bepaling voldoen, was de door LU verstrekte informatie niet sluitend en ontbreekt in BG een verwijzing naar het plegen van een onder artikel 6 vallend strafbaar feit. e) Sancties tegen rechtspersonen aa) verplichte sancties Artikel 11, lid 1 van de richtlijn schrijft de lidstaten voor te voorzien in strafrechtelijke of niet-strafrechtelijke boetes als effectieve, evenredige en ontmoedigende sancties voor rechtspersonen. Alle lidstaten hebben kennis gegeven van nationale maatregelen die hieraan voldoen, met uitzondering van IE en UK. In deze twee landen blijft het maximumbedrag van mogelijke boetes onbepaald doordat concrete wettelijke bepalingen ontbreken. Daarom kan noch de effectiviteit, noch de evenredigheid noch de ontmoedigende aard van de betreffende boetes worden beoordeeld. bb) optionele sancties Artikel 11, lid 1 geeft verder een lijst van mogelijkheden voor extra sancties tegen rechtspersonen. Het betreft: uitsluiting van door de overheid verleende uitkeringen of steun (gekozen door CY, CZ, EL, ES, HR, HU, LU, MT, PL, PT en SK), tijdelijke of permanent verbod op het uitoefenen van commerciële activiteiten (AT, BE, CY, CZ, EL, ES FR, HR, HU, IT, LT, LV, MT, PL, PT, RO, SE, SI en SK), plaatsing onder toezicht van de rechter (CY, ES, FR, MT, PT en RO), gerechtelijk bevel tot ontbinding (CY, CZ, EL, ES, FR, HR, HU,LT, LU, LV, MT, PT, RO, SI en SK) en de tijdelijke of permanente sluiting van vestigingen die voor het plegen van het strafbaar feit zijn gebruikt (BE, CY, WS, FR, LT, MT, PT en RO). Daarmee blijven BG, DE, EE, IE, FI, NL en UK over als lidstaten die niet voor een van de opties gekozen hebben. cc) sancties voor nalatigheid Overeenkomstig artikel 11, lid 2, dienen de lidstaten ervoor te zorgen dat er effectieve, evenredige en ontmoedigende sancties worden toegepast voor rechtspersonen die aansprakelijk zijn voor verzuimdelicten zoals genoemd in artikel 10, lid 2. De informatie van LU was niet sluitend. Alle andere lidstaten, met uitzondering van IE en UK, hebben voorzien in overeenkomstige wettelijke bepalingen. In het geval van IE en UK doet zich dezelfde kwestie voor bij artikel 11, lid 1: (Zie punt aa) hierboven). 11

12 f) Rechtsmacht aa) vereiste gronden voor de vestiging van rechtsmacht Artikel 12, leden 2 en 3, van de richtlijn bepaalt dat de lidstaten hun rechtsmacht vestigen voor de in artikel 3 tot en met 8 genoemde strafbare feiten wanneer het strafbaar feit volledig of gedeeltelijk op hun grondgebied is gepleegd hetzij omdat de pleger daar fysiek aanwezig was op het tijdstip van plegen, hetzij omdat het getroffen informatiesysteem zich op het grondgebied van de lidstaat bevond of wanneer het strafbaar feit in het buitenland is gepleegd door een van de onderdanen van de lidstaat. De meeste lidstaten hebben overeenkomstige nationale wetgeving ingevoerd, de wetgeving van IT bepaalt niet de rechtsmacht voor onderdanen in het buitenland in het geval van de basisdelicten, de wetgevingen van LV en SI verwijzen naar onduidelijke bepalingen met betrekking tot territoriale aspecten, de wetgeving van MT is niet duidelijk wat betreft delicten die gedeeltelijk op het eigen grondgebied zijn gepleegd en UK verwijst naar een computersysteem in plaats van naar een informatiesysteem. bb) overige gronden voor de vestiging van rechtsmacht Artikel 12, lid 3 bepaalt dat indien lidstaten hun rechtsmacht vestigen voor gevallen waarin de pleger zijn of haar gewone verblijfplaats in het betreffende land heeft (gekozen door AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE en SK) of als het strafbaar feit gepleegd wordt ten bate van een rechtspersoon die in het betreffende land gevestigd is (AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE en SK), de Commissie hiervan in kennis gesteld dient te worden. 2.4 Operationele kwesties (artikelen 13 en 14 van de richtlijn) a) Bepaling betreffende operationele nationale contactpunten Artikel 13, lid 1 roept de lidstaten op operationele nationale contactpunten in te stellen met als doel de uitwisseling van informatie over de in artikel 3 tot en met 8 genoemde strafbare feiten. Op basis van deze bepaling dienen de lidstaten ervoor te zorgen dat er procedures zijn vastgesteld die de bevoegde autoriteiten in staat stellen om een dringend verzoek tot assistentie binnen acht uur na ontvangst te beantwoorden. Volgens de toegezonden informatie hebben de meeste lidstaten de vereiste infrastructuur opgezet. IE en RO vermeldden dat de respectievelijke contactpunten slechts een beperkt aantal uren per dag beschikbaar zijn, waardoor de autoriteiten niet in elk mogelijk geval binnen acht uur na ontvangst van een verzoek een antwoord kunnen geven. Verschillende lidstaten gaven aan dat zij gebruik maken van bestaande netwerken van operationele contactpunten die zijn opgezet via het G7-netwerk of uit hoofde van het Verdrag van Boedapest van de Raad van Europa. b) Informatie over de opgezette operationele nationale contactpunten Artikel 13, lid 2 verplicht de lidstaten de contactgegevens van de contactpunten te verstrekken aan de Commissie, die de gegevens zal doorsturen naar de overige lidstaten. Alle lidstaten hebben de benodigde informatie verstrekt. c) Rapportagekanalen Artikel 13, lid 3 verplicht de lidstaten ervoor te zorgen dat passende rapportagekanalen ter beschikking worden gesteld om het rapporteren van de in de artikelen 3 tot en met 6 genoemde strafbare feiten aan de bevoegde nationale autoriteiten te vergemakkelijken. De informatie van HR, IT, IE EN PT was niet sluitend. De overige lidstaten blijken verschillende benaderingen te hanteren bij de tenuitvoerlegging van de rapportagekanalen. De meeste lidstaten (BE, BG, CY, CZ, DE, EE, EL, FI, FR, HR, HU, IT, LT, LV, MT, NL, PL, PT, RO, SE, SI, SK en UK) hebben melding gemaakt van maatregelen die voorzien in kanalen die rapportage gemakkelijker maken voor de persoon of organisatie die in eerste instantie een 12

13 strafbaar feit meldt, d.w.z het slachtoffer van een cyberaanval (waarbij voor LV de feitelijke rapportagekanalen onduidelijk blijven). Andere lidstaten (AT, ES en LU) hebben echter dezelfde informatie verstrekt over de tenuitvoerlegging van artikel 13, leden 1 en 2, waaruit kan worden afgeleid dat hun maatregelen hoofdzakelijk de communicatie tussen autoriteiten zullen vergemakkelijken. d) Verzameling van statistische gegevens Overeenkomstig artikel 14, leden 1 en 2, dienen de lidstaten ervoor te zorgen dat er een systeem is ingesteld voor het registreren, aanmaken en verstrekken van statistische gegevens, ten minste over het aantal in artikel 3 tot en met 7 genoemde strafbare feiten dat door de lidstaten is geregistreerd, en het aantal personen dat voor deze strafbare feiten vervolgd en veroordeeld is. Vertrouwend op de ontvangen informatie lijken de meeste lidstaten zowel wettelijke als administratieve maatregelen te hebben genomen om ervoor te zorgen dat de informatie verzameld wordt, meestal op basis van een algemeen landelijk elektronisch systeem. De informatie van een aantal lidstaten was niet sluitend (EL, IE, UK (Gibraltar, Noord-Ierland en Schotland)). Een van de redenen was dat er geen afzonderlijke informatie verzameld wordt over de in de richtlijn genoemde specifieke strafbare feiten (BE, DE en SE) of dat de verzamelde informatie niet alle in de richtlijn genoemde strafbare feiten bestrijkt (RO). e) Verzending van statistische gegevens aan de Commissie Artikel 14, lid 3 roept de lidstaten op de bedoelde statistische gegevens aan de Commissie te verstrekken. Alle lidstaten die maatregelen gemeld hebben, met uitzondering van UK (Gibraltar, Noord-Ierland en Schotland) en HU, hebben de tenuitvoerlegging van wettelijke dan wel administratieve maatregelen of beide bevestigd teneinde de naleving van deze verplichting te waarborgen. Voor EL, ES, LU en SI was de informatie niet sluitend. 3. Conclusie en volgende stappen De richtlijn heeft tot aanzienlijke vooruitgang geleid in het op een vergelijkbaar niveau strafbaar stellen van cyberaanvallen in de lidstaten, wat de grensoverschrijdende samenwerking van autoriteiten op het gebied van wetshandhaving die dit soort strafbare feiten onderzoeken, gemakkelijker maakt. De lidstaten hebben strafwetboeken en andere relevante wetgeving gewijzigd, procedures gestroomlijnd en samenwerkingsprogramma's opgezet of verbeterd. De Commissie is zich ervan bewust dat de lidstaten grote inspanningen hebben geleverd om de richtlijn om te zetten. De richtlijn heeft beslist nog meer potentieel, maar om dat te kunnen waarmaken zouden de lidstaten alle bepalingen ervan volledig ten uitvoer moeten brengen. Uit de analyse tot nu toe blijkt dat het gebruik van definities (artikel 2) een van de voornaamste verbeteringen is die door de lidstaten kunnen worden bereikt, wat invloed heeft op het toepassingsgebied van de in nationale wetgeving op basis van de richtlijn gedefinieerde strafbare feiten. Daarnaast blijkt het voor lidstaten een uitdaging te zijn om alle mogelijkheden ter bepaling van maatregelen in verband met strafbare feiten in hun wetgeving op te nemen (artikelen 3 tot en met 7), en om gemeenschappelijke normen voor sancties op cyberaanvallen op te nemen (artikel 9). Andere kwesties lijken betrekking te hebben op de tenuitvoerlegging van administratieve bepalingen inzake gepaste rapportagekanalen (artikel 13, lid 3) en de monitoring en statistieken van de in de richtlijn opgenomen strafbare feiten (artikel 14). De Commissie zal de lidstaten ondersteuning blijven bieden bij de tenuitvoerlegging van de richtlijn. Gelet op de mogelijke bijdrage aan grensoverschrijdende samenwerking heeft dit met name betrekking op de operationele bepalingen van de richtlijn inzake de uitwisseling van informatie (artikel 13, lid 1 en 2), rapportagekanalen (artikel 13, lid 3) en monitoring en 13

14 statistieken (artikel 14). De Commissie zal de lidstaten daarom extra gelegenheid bieden om in de tweede helft van 2017 beste praktijken te identificeren en uit te wisselen. De Commissie meent dat er op dit moment geen noodzaak is om wijzigingen in de richtlijn voor te stellen. Teneinde ook strafrechtelijke onderzoeken naar aanvallen op informatiesystemen, cybercriminaliteit en andere strafbare feiten mogelijk te maken, overweegt de Commissie in dit verband ook om voor begin 2018 maatregelen te treffen om de grensoverschrijdende toegang tot elektronisch bewijsmateriaal voor strafrechtelijke onderzoeken te verbeteren, met inbegrip van wetgevingsmaatregelen 8. De Commissie overweegt tevens de rol van encryptie in strafrechtelijke onderzoeken en zal verslag doen van haar bevindingen in oktober De Commissie is vastbesloten ervoor te zorgen dat de omzetting in de hele EU wordt afgerond en dat de bepalingen correct worden uitgevoerd. Daarvoor ziet zij er onder andere op toe dat nationale maatregelen voldoen aan de overeenkomstige bepalingen in de richtlijn. Zo nodig zal de Commissie haar handhavingsbevoegdheden uit hoofde van de Verdragen aanwenden door inbreukprocedures in te leiden. 8 9 Inception Impact Assessment on Improving cross-border access to electronic evidence van 4 augustus 2017, beschikbaar op Mededeling inzake het achtste voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie, COM(2017) 354 final. 14