Директива 2013/40/EU Европейского парламента и Совета от 12 августа 2013 г. об атаках на информационные системы и замене рамочного решения Совета 2005/222/JHA

14.8.2013

В

Официальный журнал Европейского Союза

Л 218/8

ДИРЕКТИВА 2013/40/EU ЕВРОПЕЙСКОГО ПАРЛАМЕНТА И СОВЕТА

от 12 августа 2013 г.

об атаках на информационные системы и замене рамочного решения Совета 2005/222/JHA

ЕВРОПЕЙСКИЙ ПАРЛАМЕНТ И СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

Принимая во внимание Договор о функционировании Европейского Союза и, в частности, его статью 83(1),

Принимая во внимание предложение Европейской комиссии,

После передачи проекта законодательного акта национальным парламентам,

Принимая во внимание мнение Европейского экономического и социального комитета (1),

Действуя в соответствии с обычной законодательной процедурой (2),

Тогда как:

(1)

Целями настоящей Директивы являются сближение уголовного законодательства государств-членов в области атак на информационные системы путем установления минимальных правил, касающихся определения уголовных преступлений и соответствующих санкций, а также улучшение сотрудничества между компетентными органами, включая полицию и другие органы. специализированные правоохранительные службы государств-членов, а также компетентные специализированные агентства и органы Союза, такие как Евроюст, Европол и его Европейский центр по киберпреступности, а также Европейское агентство сетевой и информационной безопасности (ENISA).

(2)

Информационные системы являются ключевым элементом политического, социального и экономического взаимодействия в Союзе. Общество в значительной степени и во все большей степени зависит от таких систем. Бесперебойная работа и безопасность этих систем в Союзе жизненно важны для развития внутреннего рынка и конкурентоспособной и инновационной экономики. Обеспечение надлежащего уровня защиты информационных систем должно стать частью эффективной комплексной системы профилактических мер, сопровождающих уголовно-правовые меры реагирования на киберпреступность.

(3)

Атаки на информационные системы и, в частности, атаки, связанные с организованной преступностью, представляют собой растущую угрозу в Евросоюзе и во всем мире, и растет обеспокоенность по поводу возможности террористических или политически мотивированных атак на информационные системы, которые являются частью критической инфраструктуры. государств-членов и Союза. Это представляет собой угрозу созданию более безопасного информационного общества и зоны свободы, безопасности и справедливости и, следовательно, требует реагирования на уровне Союза и улучшения сотрудничества и координации на международном уровне.

(4)

В Евросоюзе существует ряд критически важных инфраструктур, нарушение или разрушение которых будет иметь значительные трансграничные последствия. В связи с необходимостью повысить возможности защиты критической инфраструктуры в Союзе стало очевидно, что меры против кибератак должны быть дополнены строгими уголовными наказаниями, отражающими серьезность таких атак. Под критической инфраструктурой можно понимать актив, систему или ее часть, расположенную в государствах-членах ЕС, которая необходима для поддержания жизненно важных социальных функций, здоровья, безопасности, экономического или социального благополучия людей, например, электростанции, транспортные сети или государственные сети, нарушение или разрушение которых будет иметь значительные последствия для государства-члена ЕС в результате неспособности поддерживать эти функции.

(5)

Существуют свидетельства тенденции к все более опасным и повторяющимся крупномасштабным атакам, проводимым против информационных систем, которые часто могут иметь решающее значение для государств-членов или для определенных функций в государственном или частном секторе. Эта тенденция сопровождается развитием все более изощренных методов, таких как создание и использование так называемых «ботнетов», которые включают в себя несколько стадий преступного деяния, где каждая стадия в отдельности может представлять серьезную угрозу общественным интересам. Данная Директива направлена, в частности, на введение уголовной ответственности за создание ботнетов, а именно за установление удаленного контроля над значительным количеством компьютеров путем заражения их вредоносным программным обеспечением посредством целенаправленных кибератак. После создания зараженная сеть компьютеров, составляющих ботнет, может быть активирована без ведома пользователей компьютеров для запуска крупномасштабной кибератаки, которая обычно способна нанести серьезный ущерб, как указано в настоящей Директиве. Государства-члены ЕС могут определить, что представляет собой серьезный ущерб в соответствии со своим национальным законодательством и практикой, например, нарушение работы системных служб, имеющих важное общественное значение, или причинение крупных финансовых затрат или потеря личных данных или конфиденциальной информации.

(6)

Крупномасштабные кибератаки могут нанести существенный экономический ущерб как за счет нарушения работы информационных систем и связи, так и за счет потери или изменения коммерчески важной конфиденциальной информации или других данных. Особое внимание следует уделить повышению осведомленности инновационных малых и средних предприятий об угрозах, связанных с такими атаками, и их уязвимости к таким атакам в связи с их повышенной зависимостью от правильного функционирования и доступности информационных систем и часто ограниченных ресурсов для информации. безопасность.

(7)

Общие определения в этой области важны для обеспечения последовательного подхода в государствах-членах ЕС к применению настоящей Директивы.

(8)

Необходимо добиться единого подхода к составу уголовных преступлений путем введения таких общих преступлений, как незаконный доступ к информационной системе, незаконное вмешательство в систему, незаконное вмешательство в данные и незаконный перехват.

(9)

Перехват включает, помимо прочего, прослушивание, мониторинг или наблюдение за содержанием сообщений и получение содержания данных либо напрямую, посредством доступа и использования информационных систем, либо косвенно посредством использования электронного подслушивания. или устройства для прослушивания с помощью технических средств.

(10)

Государства-члены должны предусмотреть санкции за атаки на информационные системы. Эти наказания должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие и включать тюремное заключение и/или штрафы.

(11)

Эта Директива предусматривает уголовные наказания, по крайней мере, за немалые случаи. Государства-члены ЕС могут определить, что представляет собой незначительное дело, в соответствии со своим национальным законодательством и практикой. Дело может считаться незначительным, например, если ущерб, причиненный правонарушением и/или риск для общественных или частных интересов, таких как целостность компьютерной системы или компьютерных данных, или целостность, права или другие интересов лица, является незначительным или имеет такой характер, что наложение уголовного наказания в пределах правового порога или наложение уголовной ответственности не является необходимым.

(12)

Выявление и сообщение об угрозах и рисках, создаваемых кибератаками, и связанной с ними уязвимости информационных систем является важным элементом эффективного предотвращения кибератак и реагирования на них, а также повышения безопасности информационных систем. Этому эффекту могло бы способствовать предоставление стимулов сообщать о пробелах в безопасности. Государства-члены должны стремиться предоставить возможности для юридического выявления и сообщения о пробелах в безопасности.

(13)

Целесообразно предусмотреть более суровые наказания, если нападение на информационную систему совершается преступной организацией, как это определено в Рамочном решении Совета 2008/841/JHA от 24 октября 2008 года о борьбе с организованной преступностью (3), когда Кибератака осуществляется в больших масштабах, затрагивая при этом значительное количество информационных систем, в том числе там, где предполагается создание ботнета, или там, где кибератака наносит серьезный ущерб, в том числе там, где она осуществляется через ботнет. Также целесообразно предусмотреть более суровые наказания в случае, если атака осуществляется против критической инфраструктуры государств-членов или Союза.

(14)

Разработка эффективных мер против кражи личных данных и других преступлений, связанных с личными данными, представляет собой еще один важный элемент комплексного подхода к борьбе с киберпреступностью. Любая необходимость действий Союза против этого типа преступного поведения также может быть рассмотрена в контексте оценки необходимости всеобъемлющего горизонтального инструмента Союза.

(15)

В Заключениях Совета от 27–28 ноября 2008 г. указано, что новая стратегия должна быть разработана совместно с государствами-членами и Комиссией с учетом содержания Конвенции Совета Европы 2001 г. о киберпреступности. Эта Конвенция представляет собой правовую основу для борьбы с киберпреступностью, включая атаки на информационные системы. Настоящая Директива основана на этой Конвенции. Завершение процесса ратификации этой Конвенции всеми государствами-членами как можно скорее должно считаться приоритетом.

(16)

Учитывая различные способы проведения атак, а также быстрое развитие аппаратного и программного обеспечения, настоящая Директива относится к инструментам, которые могут использоваться для совершения преступлений, изложенных в настоящей Директиве. К таким инструментам могут относиться вредоносные программы, в том числе способные создавать ботнеты, используемые для совершения кибератак. Даже если такой инструмент подходит или особенно подходит для совершения одного из преступлений, предусмотренных настоящей Директивой, вполне возможно, что он был изготовлен для законной цели, мотивированной необходимостью избежать криминализации в тех случаях, когда такие инструменты производятся и размещаются на рынка для законных целей, таких как проверка надежности продуктов информационных технологий или безопасности информационных систем, за исключением требования об общем умысле, требования о прямом умысле, согласно которому эти инструменты должны использоваться для совершения одного или нескольких преступлений, изложенных в настоящем документе. Директива также должна быть выполнена.

(17)

Настоящая Директива не предусматривает уголовную ответственность, если объективные критерии преступлений, изложенных в настоящей Директиве, соблюдаются, но действия совершаются без преступного умысла, например, когда лицо не знает, что доступ был несанкционированным, или в случае обязательного тестирования или защита информационных систем, например, когда компания или поставщик поручают человеку проверить надежность его системы безопасности. В контексте настоящей Директивы договорные обязательства или соглашения по ограничению доступа к информационным системам посредством пользовательской политики или условий обслуживания, а также трудовые споры в отношении доступа к информационным системам работодателя и их использования в личных целях, не должен нести уголовную ответственность, если доступ при таких обстоятельствах будет считаться несанкционированным и, таким образом, станет единственным основанием для уголовного разбирательства. Настоящая Директива не наносит ущерба праву на доступ к информации, закрепленному в национальном законодательстве и законодательстве Союза, но в то же время не может служить оправданием незаконного или произвольного доступа к информации.

(18)

Кибератакам могут способствовать различные обстоятельства, например, когда правонарушитель имеет доступ к системам безопасности, присущим затронутым информационным системам, в рамках своей служебной деятельности. В контексте национального законодательства такие обстоятельства должны приниматься во внимание в ходе уголовного судопроизводства по мере необходимости.

(19)

Государства-члены ЕС должны предусмотреть отягчающие обстоятельства в своем национальном законодательстве в соответствии с применимыми правилами, установленными их правовыми системами в отношении отягчающих обстоятельств. Они должны обеспечить, чтобы судьи могли учитывать эти отягчающие обстоятельства при вынесении приговора правонарушителям. Судья остается на усмотрение оценивать эти обстоятельства вместе с другими фактами конкретного дела.

(20)

Настоящая Директива не регулирует условия осуществления юрисдикции в отношении любого из преступлений, упомянутых в ней, таких как сообщение потерпевшего в месте, где преступление было совершено, донос от государства места, где преступление было совершено, или непривлечение к ответственности правонарушителя в месте совершения правонарушения.

(21)

В контексте этой Директивы государства и государственные органы по-прежнему обязаны гарантировать уважение прав человека и основных свобод в соответствии с существующими международными обязательствами.

(22)

Эта Директива усиливает важность сетей, таких как «Большая восьмерка» или сеть контактных лиц Совета Европы, доступных круглосуточно, семь дней в неделю. Эти контактные лица должны быть в состоянии оказывать эффективную помощь, например, облегчая обмен имеющейся соответствующей информацией и предоставление технических консультаций или юридической информации для целей расследований или разбирательств, касающихся уголовных преступлений, связанных с информационными системами и связанными с ними данными, включающими запрашивающее государство-член. Чтобы обеспечить бесперебойную работу сетей, каждый контактный пункт должен иметь возможность оперативно связываться с контактным пунктом другого государства-члена при поддержке, среди прочего, обученного и оснащенного персонала. Учитывая скорость, с которой могут осуществляться крупномасштабные кибератаки, государства-члены должны иметь возможность оперативно реагировать на срочные запросы этой сети контактных пунктов. В таких случаях может оказаться целесообразным, чтобы запрос информации сопровождался телефонным контактом, чтобы гарантировать быструю обработку запроса запрашиваемым государством-членом и предоставление обратной связи в течение восьми часов.

(23)

Сотрудничество между органами государственной власти, с одной стороны, и частным сектором и гражданским обществом, с другой, имеет большое значение в предотвращении и борьбе с атаками на информационные системы. Необходимо развивать и совершенствовать сотрудничество между поставщиками услуг, производителями, правоохранительными и судебными органами, при полном соблюдении верховенства закона. Такое сотрудничество могло бы включать поддержку со стороны поставщиков услуг в сохранении потенциальных доказательств, в предоставлении элементов, помогающих идентифицировать правонарушителей, и, в крайнем случае, в полном или частичном отключении, в соответствии с национальным законодательством и практикой, информационных систем или функций, которые были скомпрометированы или использованы в незаконных целях. Государствам-членам ЕС следует также рассмотреть возможность создания сетей сотрудничества и партнерства с поставщиками услуг и производителями для обмена информацией о преступлениях, подпадающих под действие настоящей Директивы.

(24)

Существует необходимость сбора сопоставимых данных о правонарушениях, предусмотренных настоящей Директивой. Соответствующие данные должны быть доступны компетентным специализированным агентствам и органам Союза, таким как Европол и ENISA, в соответствии с их задачами и информационными потребностями, чтобы получить более полную картину проблемы киберпреступности, а также сетевой и информационной безопасности в Союзе. уровне и тем самым внести свой вклад в разработку более эффективных мер реагирования. Государства-члены должны предоставлять информацию о методах действий правонарушителей Европолу и его Европейскому центру по борьбе с киберпреступностью с целью проведения оценки угроз и стратегического анализа киберпреступности в соответствии с Решением Совета 2009/371/JHA от 6 апреля 2009 г. о создании Европейского полицейского управления. (Европол) (4). Предоставление информации может способствовать лучшему пониманию нынешних и будущих угроз и, таким образом, способствовать более целенаправленному принятию решений по борьбе и предотвращению атак на информационные системы.

(25)

Комиссия должна представить отчет о применении настоящей Директивы и внести необходимые законодательные предложения, которые могут привести к расширению ее сферы действия с учетом развития событий в сфере киберпреступности. Такие разработки могут включать технологические разработки, например, обеспечивающие более эффективное правоприменение в области атак на информационные системы или способствующие предотвращению или минимизации последствий таких атак. С этой целью Комиссия должна принять во внимание имеющиеся анализы и отчеты, подготовленные соответствующими сторонами, в частности Европолом и ENISA.

(26)

Для эффективной борьбы с киберпреступностью необходимо повысить устойчивость информационных систем, приняв соответствующие меры для более эффективной их защиты от кибератак. Государства-члены должны принять необходимые меры для защиты своей критически важной инфраструктуры от кибератак, в рамках которых им следует рассмотреть возможность защиты своих информационных систем и связанных с ними данных. Обеспечение надлежащего уровня защиты и безопасности информационных систем юридическими лицами, например, в связи с предоставлением общедоступных услуг электронных коммуникаций в соответствии с действующим законодательством Союза о конфиденциальности, электронных коммуникациях и защите данных, является важной частью комплексного подхода. подход к эффективному противодействию киберпреступности. Должны быть предусмотрены соответствующие уровни защиты от разумно идентифицируемых угроз и уязвимостей в соответствии с современным уровнем развития конкретных секторов и конкретными ситуациями обработки данных. Стоимость и бремя такой защиты должны быть пропорциональны вероятному ущербу, который кибератака может нанести пострадавшим. Государствам-членам рекомендуется предусмотреть соответствующие меры, влекущие за собой ответственность в контексте их национального законодательства в случаях, когда юридическое лицо явно не обеспечило соответствующий уровень защиты от кибератак.

(27)

Значительные пробелы и различия в законах и уголовных процедурах государств-членов ЕС в области атак на информационные системы могут затруднить борьбу с организованной преступностью и терроризмом, а также затруднить эффективное сотрудничество полиции и судебных органов в этой области. Транснациональный и безграничный характер современных информационных систем означает, что атаки на такие системы имеют трансграничное измерение, что подчеркивает настоятельную необходимость дальнейших действий по сближению уголовного законодательства в этой области. Кроме того, координации судебного преследования по делам об атаках на информационные системы должно способствовать адекватное внедрение и применение Рамочного решения Совета 2009/948/JHA от 30 ноября 2009 г. о предотвращении и разрешении конфликта юрисдикций в уголовном судопроизводстве (5) . Государства-члены в сотрудничестве с Союзом также должны стремиться улучшить международное сотрудничество, связанное с безопасностью информационных систем, компьютерных сетей и компьютерных данных. Надлежащее рассмотрение безопасности передачи и хранения данных должно быть уделено любому международному соглашению, касающемуся обмена данными.

(28)

Улучшение сотрудничества между компетентными правоохранительными органами и судебными органами по всему Союзу имеет важное значение для эффективной борьбы с киберпреступностью. В этом контексте активизируя усилия по обеспечению адекватного обучения соответствующих органов с целью повышения понимания киберпреступности и ее последствий, а также для содействия сотрудничеству и обмену передовым опытом, например, через компетентные специализированные агентства и органы Союза, следует поощрять. Такое обучение должно, среди прочего, быть направлено на повышение осведомленности о различных национальных правовых системах, возможных правовых и технических проблемах уголовных расследований, а также на распределение полномочий между соответствующими национальными органами.

(29)

Настоящая Директива уважает права человека и основные свободы и соблюдает принципы, признанные, в частности, Хартией основных прав Европейского Союза и Европейской конвенцией о защите прав человека и основных свобод, включая защиту персональных данных, право на неприкосновенность частной жизни. , свобода выражения мнений и информации, право на справедливое судебное разбирательство, презумпция невиновности и права на защиту, а также принципы законности и соразмерности уголовных преступлений и наказаний. В частности, настоящая Директива направлена ​​на обеспечение полного уважения этих прав и принципов и должна реализовываться соответствующим образом.

(30)

Защита персональных данных является фундаментальным правом в соответствии со статьей 16(1) ДФЕС и статьей 8 Хартии основных прав Европейского Союза. Таким образом, любая обработка персональных данных в контексте реализации настоящей Директивы должна полностью соответствовать соответствующему законодательству Союза о защите данных.

(31)

В соответствии со статьей 3 Протокола о позиции Соединенного Королевства и Ирландии в отношении зоны свободы, безопасности и правосудия, приложенного к Договору о Европейском Союзе и Договору о функционировании Европейского Союза, эти члены Государства уведомили о своем желании принять участие в принятии и применении настоящей Директивы.

(32)

В соответствии со статьями 1 и 2 Протокола о позиции Дании, приложенного к Договору о Европейском Союзе и Договору о функционировании Европейского Союза, Дания не участвует в принятии настоящей Директивы и не связана это или при условии его применения.

(33)

Поскольку цели настоящей Директивы, а именно подвергнуть атаки на информационные системы во всех государствах-членах ЕС эффективным, соразмерным и сдерживающим уголовным наказаниям, а также улучшить и поощрять сотрудничество между судебными и другими компетентными органами, не могут быть в достаточной степени достигнуты государствами-членами и могут поэтому, ввиду их масштаба или воздействия, их лучше достичь на уровне Союза, Союз может принять меры в соответствии с принципом субсидиарности, изложенным в статье 5 Договора о Европейском Союзе. В соответствии с принципом пропорциональности, изложенным в этой статье, настоящая Директива не выходит за рамки того, что необходимо для достижения этих целей.

(34)

Целью настоящей Директивы является внесение поправок и расширение положений Рамочного решения Совета 2005/222/JHA от 24 февраля 2005 г. об атаках на информационные системы (6). Поскольку поправки, которые необходимо внести, являются значительными по количеству и характеру, Рамочное решение 2005/222/JHA следует в целях ясности заменить полностью в отношении государств-членов, участвующих в принятии настоящей Директивы,

ПРИНЯЛИ НАСТОЯЩУЮ ДИРЕКТИВУ:

Статья 1

Тема сообщения

Эта Директива устанавливает минимальные правила, касающиеся определения уголовных преступлений и санкций в области атак на информационные системы. Он также направлен на содействие предотвращению таких правонарушений и улучшение сотрудничества между судебными и другими компетентными органами.

Статья 2

Определения

Для целей настоящей Директивы применяются следующие определения:

(а)

«информационная система» означает устройство или группу взаимосвязанных или связанных устройств, одно или несколько из которых в соответствии с программой автоматически обрабатывают компьютерные данные, а также компьютерные данные, хранящиеся, обрабатываемые, извлекаемые или передаваемые этим устройством или группой. устройств для целей их эксплуатации, использования, защиты и обслуживания;

(б)

«компьютерные данные» означают представление фактов, информации или концепций в форме, подходящей для обработки в информационной системе, включая программу, подходящую для того, чтобы заставить информационную систему выполнять функцию;

(с)

«юридическое лицо» означает юридическое лицо, имеющее статус юридического лица в соответствии с применимым законодательством, но не включает государства или государственные органы, действующие при осуществлении государственной власти, или публичные международные организации;

(г)

«Без права» означает поведение, указанное в настоящей Директиве, включая доступ, вмешательство или перехват, которое не разрешено владельцем или другим правообладателем системы или ее части или не разрешено национальным законодательством.

Статья 3

Незаконный доступ к информационным системам

Государства-члены ЕС должны принять необходимые меры для обеспечения того, чтобы умышленный доступ без права ко всей или к любой части информационной системы наказывался как уголовное преступление, если он совершен с нарушением мер безопасности, по крайней мере, в случаях, когда которые не являются незначительными.

Статья 4

Незаконное вмешательство в систему

Государства-члены должны принять необходимые меры для обеспечения того, чтобы серьезное препятствование или прерывание функционирования информационной системы путем ввода компьютерных данных, путем передачи, повреждения, удаления, порчи, изменения или подавления таких данных или путем предоставления таких данных недоступных, намеренно и без право, наказуемо как уголовное преступление, по крайней мере, в случаях, которые не являются незначительными.

Статья 5

Незаконное вмешательство в данные

Государства-члены ЕС должны принять необходимые меры для обеспечения того, чтобы удаление, повреждение, порча, изменение или подавление компьютерных данных в информационной системе, а также умышленное и неправомерное предоставление доступа к таким данным наказывалось как уголовное преступление, по крайней мере, в случаях, когда не незначительный.

Статья 6

Незаконный перехват

Государства-члены ЕС должны принять необходимые меры для обеспечения того, чтобы перехват с помощью технических средств закрытых передач компьютерных данных в информационную систему, из нее или внутри нее, включая электромагнитное излучение из информационной системы, несущей такие компьютерные данные, умышленно и без права, являлся наказуемо как уголовное преступление, по крайней мере, в случаях, которые не являются незначительными.

Статья 7

Инструменты, используемые для совершения преступлений

Государства-члены ЕС должны принять необходимые меры для обеспечения того, чтобы преднамеренное производство, продажа, закупка для использования, импорт, распространение или иное предоставление доступа к одному из следующих инструментов без права и с намерением, чтобы он был использован для совершения любого из преступления, указанные в статьях 3–6, наказываются как уголовное преступление, по крайней мере, в случаях, которые не являются незначительными:

(а)

компьютерная программа, разработанная или адаптированная главным образом для целей совершения любого из преступлений, указанных в статьях 3–6;

(б)

пароль компьютера, код доступа или аналогичные данные, с помощью которых можно получить доступ ко всей или любой части информационной системы.

Статья 8

Подстрекательство, пособничество, подстрекательство и покушение

1.   Государства-члены должны обеспечить, чтобы подстрекательство или пособничество совершению преступления, указанного в статьях 3–7, наказывалось как уголовное преступление.

2.   Государства-члены должны обеспечить, чтобы попытка совершения преступления, указанного в Статьях 4 и 5, наказывалась как уголовное преступление.

Статья 9

Штрафы

1.   Государства-члены принимают необходимые меры для обеспечения того, чтобы преступления, указанные в статьях 3–8, наказывались эффективными, соразмерными и оказывающими сдерживающее воздействие уголовными наказаниями.

2.   Государства-члены должны принять необходимые меры для обеспечения того, чтобы преступления, указанные в статьях 3–7, наказывались максимальным сроком тюремного заключения не менее двух лет, по крайней мере, за случаи, которые не являются незначительными.

3.   Государства-члены должны принять необходимые меры для обеспечения того, чтобы преступления, указанные в Статьях 4 и 5, совершенные умышленно, наказывались максимальным сроком тюремного заключения на срок не менее трех лет, если значительное количество информационных систем было затронуто посредством использование инструмента, упомянутого в Статье 7, разработанного или адаптированного главным образом для этой цели.

4.   Государства-члены ЕС должны принять необходимые меры для обеспечения того, чтобы преступления, указанные в Статьях 4 и 5, наказывались максимальным сроком тюремного заключения не менее пяти лет, если:

(а)

они совершены в рамках преступной организации, как это определено в Рамочном решении 2008/841/JHA, независимо от предусмотренного в нем наказания;

(б)

они наносят серьезный ущерб; или

(с)

они направлены против информационной системы критической инфраструктуры.

5.   Государства-члены должны принять необходимые меры для обеспечения того, чтобы преступления, указанные в статьях 4 и 5, совершались путем неправомерного использования персональных данных другого лица с целью завоевания доверия третьей стороны, нанося тем самым ущерб законного владельца личности, это может, в соответствии с национальным законодательством, рассматриваться как отягчающее обстоятельство, если только эти обстоятельства уже не подпадают под действие другого преступления, наказуемого в соответствии с национальным законодательством.

Статья 10

Ответственность юридических лиц

1.   Государства-члены принимают необходимые меры для обеспечения того, чтобы юридические лица могли быть привлечены к ответственности за преступления, указанные в статьях 3–8, совершенные в их пользу любым лицом, действующим индивидуально или в составе юридического лица, и наличие руководящего положения в юридическом лице на основании одного из следующих оснований:

(а)

полномочия представительства юридического лица;

(б)

полномочия принимать решения от имени юридического лица;

(с)

полномочия осуществлять контроль внутри юридического лица.

2.   Государства-члены должны принять необходимые меры для обеспечения того, чтобы юридические лица могли быть привлечены к ответственности, если отсутствие надзора или контроля со стороны лица, упомянутого в параграфе 1, привело к совершению лицом, находящимся под его руководством, любого из преступлений. упомянутые в статьях 3–8, в пользу этого юридического лица.

3.   Ответственность юридических лиц в соответствии с пунктами 1 и 2 не исключает уголовного преследования физических лиц, которые являются исполнителями, подстрекателями или соучастниками любого из преступлений, упомянутых в статьях 3–8.

Статья 11

Санкции против юридических лиц

1.   Государства-члены должны принять необходимые меры для обеспечения того, чтобы юридическое лицо, привлеченное к ответственности в соответствии со статьей 10(1), наказывалось эффективными, пропорциональными и оказывающими сдерживающее воздействие санкциями, которые должны включать уголовные или неуголовные штрафы и которые могут включать другие санкции, такой как:

(а)

лишение права на получение государственных пособий или помощи;

(б)

временное или постоянное лишение права заниматься коммерческой деятельностью;

(с)

помещение под судебный надзор;

(г)

судебная ликвидация;

(е)

временное или постоянное закрытие учреждений, которые использовались для совершения преступления.

2.   Государства-члены ЕС должны принять необходимые меры для обеспечения того, чтобы юридическое лицо, привлеченное к ответственности в соответствии со статьей 10(2), наказывалось эффективными, соразмерными и сдерживающими санкциями или другими мерами.

Статья 12

Юрисдикция

1.   Государства-члены ЕС устанавливают свою юрисдикцию в отношении преступлений, указанных в статьях 3–8, если преступление было совершено:

(а)

полностью или частично на своей территории; или

(б)

одним из своих граждан, по крайней мере в тех случаях, когда деяние является преступлением там, где оно было совершено.

2.   При установлении юрисдикции в соответствии с пунктом (a) параграфа 1 государство-член должно гарантировать, что оно обладает юрисдикцией, если:

(а)

правонарушитель совершает преступление при физическом присутствии на его территории, независимо от того, совершено ли преступление против информационной системы на его территории; или

(б)

преступление совершено против информационной системы на его территории, независимо от того, совершает ли правонарушитель преступление при физическом присутствии на его территории.

3.   Государство-член должно информировать Комиссию, если оно решает установить юрисдикцию в отношении преступления, указанного в статьях 3–8, совершенного за пределами его территории, в том числе в случаях, когда:

(а)

правонарушитель имеет место постоянного проживания на ее территории; или

(б)

преступление совершено в интересах юридического лица, учрежденного на его территории.

Статья 13

Обмен информацией

1.   В целях обмена информацией, касающейся преступлений, указанных в статьях 3–8, государства-члены должны обеспечить наличие у них действующего национального контактного пункта и использование существующей сети оперативных контактных пунктов, доступной 24 часа в сутки. в день и семь дней в неделю. Государства-члены также должны обеспечить наличие процедур, позволяющих в случае срочных запросов на помощь компетентный орган может указать, по крайней мере, в течение восьми часов с момента получения, будет ли на запрос дан ответ, а также форму и предполагаемое время такого ответа. .

2.   Государства-члены должны проинформировать Комиссию о назначенном ими контактном лице, указанном в параграфе 1. Комиссия должна направить эту информацию другим Государствам-членам и компетентным специализированным агентствам и органам Союза.

3.   Государства-члены должны принять необходимые меры для обеспечения доступности соответствующих каналов отчетности, чтобы облегчить сообщение о преступлениях, упомянутых в статьях 3-6, компетентным национальным органам без неоправданной задержки.

Статья 14

Мониторинг и статистика

1.   Государства-члены должны обеспечить наличие системы регистрации, производства и предоставления статистических данных о преступлениях, упомянутых в статьях 3–7.

2.   Статистические данные, указанные в параграфе 1, должны, как минимум, охватывать существующие данные о количестве преступлений, указанных в статьях 3–7, зарегистрированных государствами-членами, а также о количестве лиц, привлеченных к ответственности и осужденных за указанные преступления. в статьях 3–7.

3.   Государства-члены должны передать данные, собранные в соответствии с настоящей статьей, в Комиссию. Комиссия должна гарантировать, что консолидированный обзор статистических отчетов публикуется и передается компетентным специализированным агентствам и органам Союза.

Статья 15

Замена рамочного решения 2005/222/JHA

Рамочное решение 2005/222/JHA настоящим заменяется в отношении государств-членов, участвующих в принятии настоящей Директивы, без ущерба для обязательств государств-членов, касающихся срока для транспонирования Рамочного решения в национальное законодательство.

В отношении государств-членов, участвующих в принятии настоящей Директивы, ссылки на Рамочное решение 2005/222/JHA должны толковаться как ссылки на настоящую Директиву.

Статья 16

Транспонирование

1.   Государства-члены должны ввести в действие законы, нормативные акты и административные положения, необходимые для соблюдения настоящей Директивы, к 4 сентября 2015 года.

2.   Государства-члены должны передать Комиссии текст мер, трансформирующих в их национальное законодательство обязательства, налагаемые на них настоящей Директивой.

3.   Когда государства-члены ЕС принимают такие меры, они должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в ​​случае их официальной публикации. Методы такой ссылки устанавливаются государствами-членами.

Статья 17

Составление отчетов

Комиссия должна к 4 сентября 2017 года представить отчет Европейскому парламенту и Совету, оценивая степень, в которой государства-члены приняли необходимые меры для соблюдения настоящей Директивы, сопровождаемый, при необходимости, законодательными предложениями. Комиссия также должна принимать во внимание технические и правовые разработки в области киберпреступности, особенно в отношении сферы действия настоящей Директивы.

Статья 18

Вступление в силу

Настоящая Директива вступает в силу на двадцатый день после ее публикации в Официальном журнале Европейского Союза.

Статья 19

Адресаты

Настоящая Директива адресована государствам-членам в соответствии с Договорами.

Совершено в Брюсселе 12 августа 2013 г.

За Европейский Парламент

Президент

М. ШУЛЬЦ

Для Совета

Президент

Л. ЛИНКЯВИЧЮС

(1) OJ C 218, 23 июля 2011 г., с. 130.

(2)  Позиция Европейского парламента от 4 июля 2013 г. (еще не опубликованная в Официальном журнале) и решение Совета от 22 июля 2013 г.

(3) OJ L 300, 11.11.2008, с. 42.

(4) ОЖ L 121, 15 мая 2009 г., с. 37.

(5) ОЖ L 328, 15.12.2009, с. 42.

(6) ОЖ L 69, 16 марта 2005 г., с. 67.

Вершина