Международная организация
Решение от 24 февраля 2005 года № 2005/222/ПВД

Об атаках на информационные системы

Принято
Европейским парламентом и Совет Европейского Союза
24 февраля 2005 года
    РАМОЧНОЕ РЕШЕНИЕ N 2005/222/ПВД <**>
    СОВЕТА ОБ АТАКАХ НА ИНФОРМАЦИОННЫЕ СИСТЕМЫ <***>
    (Брюссель, 24 февраля 2005 года)

    --------------------------------
    <*> Перевод и предисловие Четверикова А.О.
    <**> ПВД - правосудие и внутренние дела (франц.: JAI, англ.: JHA, нем.: JI).
    <***> Journal officiel de l'Union europeenne L 69 du 16.3.2005, p. 67.


    Совет Европейского Союза,
    руководствуясь Договором о Европейском Союзе и, в частности, его статьей 29, пунктом "a" параграфа 1 его статьи 30, пунктом "e" параграфа 1 его статьи 31 и пунктом "b" параграфа 2 его статьи 34,
    на основании предложения Комиссии,
    с учетом Заключения Европейского парламента <*>,

    --------------------------------
    <*> JO C 300 E du 11.12.2003, p. 26. - Прим. оригинала.


    принимая во внимание нижеследующее:
    1) Настоящее Рамочное решение ставит целью усилить сотрудничество между судебными и другими компетентными органами, в том числе между полицейскими и иными специализированными службами, уполномоченными осуществлять применение законов в государствах-членах, посредством сближения их уголовно-правовых норм, которыми устанавливается ответственность за совершение атак на информационные системы.
    2) Было констатировано, что информационные системы подвергаются атакам, в частности, со стороны организованной преступности, и что растет беспокойство перед лицом возможности террористических атак на информационные системы, выступающие составной частью критической инфраструктуры государств-членов <*>. Подобная ситуация угрожает сорвать процесс создания более безопасного информационного общества и формирования пространства свободы, безопасности и правосудия, и, таким образом, требует реакции на уровне Европейского Союза.

    --------------------------------
    <*> "Критическая инфраструктура" - оборудование и иные технические средства, которые имеют принципиальное значение для государства и сбой в функционировании которых может повлечь крайне негативные последствия: инфраструктура вооруженных сил, энергетическая инфраструктура, включая управление АЭС и иными ядерными объектами, и др. - Прим. перев.


    3) Действенный ответ на эти угрозы предполагает наличие всестороннего подхода к вопросам безопасности сетей и информации, как это было подчеркнуто в Европейском плане действий <*>, в Сообщении Комиссии под названием "Безопасность сетей и информации: предложение европейского политического подхода" и в Резолюции Совета от 28 января 2002 г. "Об общем подходе и специальных мероприятиях в сфере безопасности сетей и информации" <**>.

    --------------------------------
    <*> План действий по внедрению информационных технологий в общественную жизнь на территории Европейского Союза - созданию "электронной Европы" (eEurope). - Прим. перев.
    <**> JO C 43 du 16.2.2002, p. 2. - Прим. оригинала.


    4) Необходимость в усилении внимания к проблемам, связанным с информационной безопасностью, и в оказании практической помощи также была подчеркнута в Резолюции Европейского парламента от 5 сентября 2001 г.
    5) Значительные пробелы и различия в законодательствах государств-членов в этой сфере способны затормозить борьбу с организованной преступностью и терроризмом и могут осложнить эффективное судебное и полицейское сотрудничество в случае атак на информационные системы. Поскольку современные информационные системы являются транснациональными и не знают границ, данные атаки часто имеют трансграничное измерение и, тем самым, выдвигают на передний план неотложную потребность в осуществлении сближения уголовного права в этой сфере.
    6) "План действий Совета и Комиссии, посвященный оптимальным способам реализации положений Амстердамского договора о формировании пространства свободы, безопасности и правосудия" <*>, а также Европейский совет на своих заседаниях в г. Тампере 15 и 16 октября 1999 г. и в г. Санта Мария да Фейра 19 и 20 июня 2000 г., а также Комиссия в своей Сводной таблице <**> и Европейский парламент в своей Резолюции от 19 мая 2000 г. призывают принять законодательные меры против преступности, использующей передовые технологии, включая установление общих определений, общих оснований уголовной ответственности и общих санкций.

    --------------------------------
    <*> JO C 19 du 23.1.1999, p. 1. - Прим. оригинала.
    <**> "Сводная таблица" - регулярно обновляемый документ, в котором указываются принятые, обсуждаемые и планируемые меры Союза в сфере "пространства свободы, безопасности и правосудия". - Прим. перев.


    7) Необходимо дополнить работу, проведенную международными организациями, в частности, работу Совета Европы по сближению уголовного права и работу "Большой восьмерки" по трансграничному сотрудничеству в сфере преступности, использующей передовые технологии, путем выдвижения общего подхода в этой сфере на уровне Европейского Союза. Данный призыв получил более обстоятельное выражение в адресованном Совету, Европейскому парламенту, Европейскому экономическому и социальному комитету и Комитету регионов Сообщении Комиссии под названием "Создать более безопасное информационное общество путем усиления безопасности информационных инфраструктур и борьбы с киберпреступностью".
    8) Следует провести сближение уголовно-правовых норм, относящихся к атакам на информационные системы, с целью гарантировать как можно более эффективное полицейское и судебное сотрудничество применительно к преступлениям, связанным с этим видом атак, и внести вклад в борьбу с организованной преступностью и терроризмом.
    9) Все государства-члены ратифицировали Конвенцию Совета Европы от 28 января 1981 г. "О защите частных лиц в отношении автоматизированной обработки данных личного характера". Данные личного характера, обрабатываемые в контексте реализации настоящего Рамочного решения, должны защищаться в соответствии с принципами, установленными названной Конвенцией.
    10) Чтобы обеспечить последовательное применение настоящего Рамочного решения в государствах-членах, требуются общие определения в этой сфере, особенно, в отношении информационных систем и компьютеризированных данных.
    11) Необходимо выработать общий подход к составным элементам уголовных правонарушений путем введения следующих общих составов преступлений <*>: незаконный доступ к информационной системе, нарушение неприкосновенности системы и нарушение неприкосновенности данных.

    --------------------------------
    <*> Составов преступлений, общих для всех государств-членов (т.е. предусмотренных уголовным законодательством каждой из 25 стран Европейского Союза). - Прим. перев.


    12) Для борьбы с преступностью в сфере вычислительной техники государствам-членам надлежит обеспечивать эффективное судебное сотрудничество применительно к преступлениям, в основе которых лежат категории деяний, предусмотренные статьями 2, 3, 4 и 5.
    13) Важно не допускать сверхкриминализации деяний <*>, особенно, в отношении малозначительных дел, а равно привлечения к уголовной ответственности обладателей прав и уполномоченных лиц <**>.

    --------------------------------
    <*> "Сверхкриминализация деяния" - установление неоправданно широких оснований уголовной ответственности, признание в качестве преступных тех категорий деяний, которые на деле не представляют реальной общественной опасности. - Прим. перев.
    <**> Обладателей прав на информационную систему и иных лиц, которым доступ к информационным системам разрешен действующим законодательством. См. ниже, пункт "d" параграфа 1 статьи 1. - Прим. перев.


    14) Необходимо, чтобы государства-члены предусмотрели санкции в целях наказания за совершение атак на информационные системы. Эти санкции должны быть эффективными, соразмерными и обладать предупредительным эффектом.
    15) Уместно предусмотреть более суровые наказания в тех случаях, когда атака на информационную систему предпринимается в рамках преступной организации, в соответствии с определением этого понятия в Общей акции 98/733/ПВД Совета от 21 декабря 1998 г. "О признании уголовно-наказуемым деянием участия в преступной организации на территории государств-членов Европейского Союза" <*>. Аналогичным образом, следует предусмотреть более суровые наказания в случаях, когда подобная атака причинила серьезный ущерб или явилась посягательством на существенные интересы.

    --------------------------------
    <*> JO L 351 du 29.12.1998, p. 1. - Прим. оригинала.


    16) Следует также предусмотреть меры сотрудничества государств-членов с целью обеспечить эффективное противодействие атакам на информационные системы. Соответственно, государства-члены в целях обмена информацией должны использовать существующую сеть оперативных контактных пунктов, предусмотренных Рекомендацией Совета от 25 июня 2001 г. "О контактных пунктах, обеспечивающих круглосуточную службу в целях борьбы с преступностью, связанной с высокими технологиями" <*>.

    --------------------------------
    <*> JO C 187 du 3.7.2001, p. 5. - Прим. оригинала.


    17) Поскольку цели настоящего Рамочного решения, а именно, гарантии того, чтобы атаки на информационные системы карались во всех государствах-членах эффективными, соразмерными и обладающими предупредительным эффектом уголовно-правовыми санкциями, и обеспечение улучшения и поощрения судебного сотрудничества путем устранения потенциальных затруднений, не могут быть достигнуты в достаточной степени государствами-членами ввиду того, что нормы должными быть общими и взаимно совместимыми, и поскольку указанные цели, следовательно, могут быть лучше достигнуты на уровне Европейского Союза, последний может принять меры в соответствии с принципом субсидиарности, предусмотренным в статье 5 Договора о ЕС <*>. В соответствии с принципом пропорциональности, как он сформулирован в упомянутой статье, настоящее Рамочное решение не выходит за рамки того, что необходимо для достижения указанных целей.

    --------------------------------
    <*> Договора об учреждении Европейского сообщества 1957 г. - Прим. перев.


    18) Настоящее Рамочное решение соблюдает основные права и принципы, признанные в статье 6 Договора о Европейском Союзе и отраженные в Хартии Европейского Союза об основных правах, в частности, в ее главах II и VI,
    принял настоящее Рамочное решение:
    В целях настоящего Рамочного решения:
    a) под "информационной системой" понимаются любое изолированное приспособление либо группа взаимосвязанных или объединенных приспособлений, которое (либо один или несколько элементов которой) обеспечивает в соответствии с программой автоматизированную обработку компьютеризированных данных, а также компьютеризированные данные, хранимые, обрабатываемые, извлекаемые или передаваемые этими приспособлениями в целях своего функционирования, своего использования, своей защиты и своего технического обслуживания;
    b) под "компьютеризированными данными" понимается любое представление фактов, информации или понятий в форме, пригодной для обработки посредством информационной системы, в том числе программа, позволяющая этой системе исполнять какую-либо функцию;
    c) под "юридическим лицом" понимается любое образование, за которым такой статус признает действующее право, за исключением государств или других публично-правовых образований при осуществлении ими прерогатив публичной власти, и за исключением публично-правовых международных организаций;
    d) под "неправомерным" понимаются доступ или нарушение неприкосновенности, не санкционированные собственником или другим обладателем прав на систему или на часть системы либо не предусмотренные национальным законодательством.
    1.Государства-члены принимают необходимые меры с целью обеспечить, чтобы умышленный неправомерный доступ ко всей информационной системе или к любой ее части подлежали наказанию в качестве уголовного преступления, - по крайней мере, в тех случаях, когда деяния не имеют малозначительного характера.
    2.Государства-члены могут принять решение о том, что предусмотренные в параграфе 1 деяния подлежат наказанию в качестве уголовного преступления только в случае нарушения мер безопасности <*>.

    --------------------------------
    <*> Имеются в виду меры защиты информационной системы от несанкционированного доступа и использования (коды, пароли и др.). - Прим. перев.


    Государства-члены принимают необходимые меры с целью обеспечить, чтобы умышленное серьезное расстройство или умышленная приостановка функционирования информационной системы путем введения, передачи, повреждения, стирания, ухудшения, изменения, устранения компьютеризированных данных или путем лишения доступа к ним подлежали наказанию в качестве уголовного преступления, если действие совершено неправомерно, - по крайней мере, в тех случаях, когда деяния не имеют малозначительного характера.
    Государства-члены принимают необходимые меры с целью обеспечить, чтобы умышленное стирание, повреждение, ухудшение, изменение, устранение компьютеризированных данных в информационной системе или лишение доступа к ним подлежали наказанию в качестве уголовного преступления, если действие совершено неправомерно, - по крайней мере, в тех случаях, когда деяния не имеют малозначительного характера.
    1.Государства-члены принимают необходимые меры к тому, чтобы сделать наказуемым подстрекательство к совершению или оказание помощи совершению любого из преступлений, предусмотренных статьями 2, 3 и 4, и пособничество этим преступлениям.
    2.Государства-члены обеспечивают наказуемость покушения на совершение преступлений, предусмотренных статьями 2, 3 и 4.
    3.Государства-члены могут решить не применять параграф 2 к преступлениям, предусмотренным статьей 2.
    Статьи 6. Санкции
    1.Государства-члены принимают необходимые меры с целью обеспечить, чтобы к предусмотренным статьями 2, 3, 4 и 5 преступлениям применялись уголовно-правовые санкции, которые являются эффективными, соразмерными и обладают предупредительным эффектом.
    2.Государства-члены принимают необходимые меры с целью обеспечить, чтобы к предусмотренным статьями 3 и 4 преступлениям в качестве максимального наказания применялось лишение свободы сроком, по меньшей мере, от одного до трех лет.
    Статьи 7. Отягчающие обстоятельства
    1.Государства-члены принимают необходимые меры с целью обеспечить, чтобы к преступлениям, предусмотренным параграфом 2 статьи 2, статьями 3 и 4, в качестве максимального наказания применялось лишение свободы сроком, по меньшей мере, от двух до пяти лет, когда они совершены в рамках преступной организации в значении Общей акции 98/733/ПВД <*>, независимо от указанного в ней наказания <**>.

    --------------------------------
    <*> См. пункт 15 преамбулы. - Прим. перев.
    <**> Согласно упомянутому нормативному акту одним из условий признания организации в качестве преступной является тот факт, что она создана для совершения преступлений, караемых в соответствующем государстве лишением свободы сроком до 4 лет или более суровым наказанием. - Прим. перев.


    2.Государства-члены могут применять указанные в параграфе 1 меры и в тех случаях, когда соответствующее преступление причинило серьезный ущерб или явилось посягательством на существенные интересы.
    1.Государства-члены принимают необходимые меры с целью обеспечить, чтобы юридические лица могли привлекаться к ответственности за преступления, предусмотренные статьями 2, 3, 4 и 5, совершенные их пользу всяким лицом, которое действует индивидуально или в качестве члена органа соответствующего юридического лица и занимает внутри этого юридического лица руководящее положение в силу одного из следующих оснований:
    a) способность выступать представителем юридического лица, или
    b) наличие полномочий принимать решения от имени юридического лица, или
    c) наличие полномочий осуществлять контроль внутри юридического лица.
    2.Помимо случаев, предусмотренных в параграфе 1, государства-члены обеспечивают, чтобы юридическое лицо могло привлекаться к ответственности, если отсутствие наблюдения или контроля со стороны указанного в параграфе 1 лица сделало возможным совершение лицом, находящимся у него в подчинении, любого из предусмотренных в статьях 2, 3, 4 и 5 преступлений в пользу данного юридического лица.
    3.Ответственность юридического лица согласно параграфам 1 и 2 не исключает уголовного преследования физических лиц, выступающих исполнителями, подстрекателями или пособниками в совершении преступлений, предусмотренных статьями 2, 3, 4 и 5.
    1.Государства-члены принимают необходимые меры с целью обеспечить, чтобы к юридическому лицу, признанному ответственным согласно параграфу 1 статьи 8, применялись эффективные, соразмерные и обладающие предупредительным эффектом наказания, которые включают уголовно-правовые или иные штрафы и, возможно, другие санкции, такие как:
    a) меры, влекущие за собой лишение права получать льготы или помощь со стороны публичной власти;
    b) меры, влекущие за собой временный или постоянный запрет осуществлять коммерческую деятельность;
    c) помещение под судебный надзор;
    d) роспуск в судебном порядке.
    2.Государства-члены принимают необходимые меры с целью обеспечить, чтобы к юридическому лицу, привлекаемому к ответственности согласно параграфу 2 статьи 8, применялись эффективные, соразмерные и обладающие предупредительным эффектом наказания.
    1.Государства-члены устанавливают свою юрисдикцию в отношении преступлений, предусмотренных статьями 2, 3, 4 и 5, когда преступление было совершено:
    a) полностью или частично на их территории, или
    b) кем-либо из их граждан, или
    c) в пользу юридического лица, чье местонахождение расположено на их территории.
    2.При установлении своей юрисдикции в соответствии с пунктом "a" параграфа 1 государства-члены обеспечивают, чтобы юрисдикция охватывала случаи, когда:
    - субъект преступления при его совершении физически находился на территории государства-члена, даже если преступление не направлено против информационной системы, расположенной на территории последнего, или
    - преступление направлено против информационной системы, расположенной на территории государства-члена, даже если субъект преступления физически не находился на этой территории.
    3.Если государство-член на основании своего законодательства еще не производит экстрадиции или передачи собственных граждан <*>, то оно принимает необходимые меры по установлению своей юрисдикции в отношении преступлений, предусмотренных статьями 2, 3, 4 и 5, и, при необходимости, по проведению уголовного преследования в отношении субъектов данных преступлений, когда последние совершены кем-либо из граждан этого государства-члена за пределами его территории.

    --------------------------------
    <*> "Передача" - упрощенный порядок принудительного возврата физических лиц для привлечения их к уголовной ответственности на территории заинтересованного государства. Предусмотрена Рамочным решением 2002/584/ПВД Совета от 13 июня 2002 г. "О европейском ордере на арест и процедурах передачи лиц между государствами-членами". - Прим. перев.


    4.Если преступление относится к юрисдикции нескольких государств-членов, и каждое из них на законных основаниях может возбудить уголовное преследование по одним и тем же фактам, то заинтересованные государства-члены сотрудничают друг с другом в решении вопроса о том, какое из них будет преследовать субъектов преступления, с целью, если возможно, обеспечить централизацию процедуры в одном из данных государств-членов. С этой целью государства-члены вправе использовать любой орган или механизм, учрежденный в рамках Европейского Союза для содействия сотрудничеству судебных органов и развития координации их мероприятий <*>. Последовательно могут приниматься во внимание следующие элементы привязки <**>:

    --------------------------------
    <*> Имеется в виду, в частности, Евроюст. - Прим. перев.
    <**> "Элементы привязки" - факторы, исходя из которых должен разрешаться конфликт юрисдикций между разными государствами-членами. - Прим. перев.


    - государством-членом <*> является то, на чьей территории были совершены преступления, в соответствии с пунктом "a" параграфа 1 и параграфом 2;

    --------------------------------
    <*> Имеется в виду государство-член, уполномоченное сконцентрировать в своих руках уголовное преследование. - Прим. перев.


    - государством-членом является то, чьим гражданином является субъект преступления;
    - государством-членом является то, где был обнаружен субъект преступления.
    5.Государство-член может решить не применять сформулированное в пунктах "b" и "c" параграфа 1 правило юрисдикции либо применять его только в отношении особых ситуаций или обстоятельств.
    6.Если государства-члены решают использовать параграф 5, то они информируют об этом Генеральный секретариат Совета и Комиссию, указывая в необходимых случаях особые ситуации или обстоятельства, в которых применяется их решение.
    1.В целях обмена информацией о преступлениях, предусмотренных статьями 2, 3, 4 и 5, и в соответствии с правилами, регулирующими защиту данных, государства-члены используют существующую сеть оперативных контактных пунктов, доступ к которым открыт ежедневно и круглосуточно.
    2.Каждое государство-член сообщает Генеральному секретариату Совета и Комиссии наименование контактных пунктов, назначенных в целях обмена информацией об атаках на информационные системы. Генеральный секретариат передает эту информацию остальным государствам-членам.
    1.Государства-члены принимают необходимые меры с целью обеспечить соответствие своего национального законодательства положениям настоящего Рамочного решения не позднее 16 марта 2007 г.
    2.К 16 марта 2007 г. государства-члены сообщают Генеральному секретариату Совета и Комиссии текст положений, трансформирующих в свое национальное право обязанности, которые возлагаются на них согласно настоящему Рамочному решению. На основе доклада, подготовленного исходя из собранной информации, и доклада Комиссии, Совет к 16 сентября 2007 г. проверяет, в какой степени государства-члены приняли необходимые меры с целью обеспечения соответствия своего национального законодательства настоящему Рамочному решению.
    Настоящее Рамочное решение вступает в силу со дня его опубликования в Официальном журнале Европейского Союза.
    Совершено в Брюсселе 24 февраля 2005 г.
    От имени Совета
    Председатель
    N.SCHMIT

  1. COUNCIL FRAMEWORK DECISION NO. 2005/222/JHA ON ATTACKS AGAINST INFORMATION SYSTEMS

    2. (Brussels, 24.II.2005)
    The Council of the European Union,
    Having regard to the Treaty on European Union, and in particular Articles 29, 30(1)(a), 31(1)(e) and 34(2)(b) thereof,
    Having regard to the proposal from the Commission,
    Having regard to the opinion of the European Parliament <*>,

    --------------------------------
    <*> OJ C 300 E, 11.12.2003, p. 26.


    Whereas:
    (1) The objective of this Framework Decision is to improve cooperation between judicial and other competent authorities, including the police and other specialised law enforcement services of the Member States, through approximating rules on criminal law in the Member States in the area of attacks against information systems.
    (2) There is evidence of attacks against information systems, in particular as a result of the threat from organised crime, and increasing concern at the potential of terrorist attacks against information systems which form part of the critical infrastructure of the Member States. This constitutes a threat to the achievement of a safer information society and an area of freedom, security and justice, and therefore requires a response at the level of the European Union.
    (3) An effective response to those threats requires a comprehensive approach to network and information security, as underlined in the Europe Action Plan, in the Communication by the Commission "Network and Information Security: Proposal for a European Policy Approach" and in the Council Resolution of 28 January 2002 on a common approach and specific actions in the area of network and information security <*>.

    --------------------------------
    <*> OJ C 43, 16.2.2002, p. 2.


    (4) The need to further increase awareness of the problems related to information security and provide practical assistance has also been stressed in the European Parliament Resolution of 5 September 2001.
    (5) Significant gaps and differences in Member States' laws in this area may hamper the fight against organised crime and terrorism, and may complicate effective police and judicial cooperation in the area of attacks against information systems. The transnational and borderless character of modern information systems means that attacks against such systems are often trans-border in nature, thus underlining the urgent need for further action to approximate criminal laws in this area.
    (6) The Action Plan of the Council and the Commission on how to best implement the provisions of the Treaty of Amsterdam on an area of freedom, security and justice <*>, the Tampere European Council on 15 to 16 October 1999, the Santa Maria da Feira European Council on 19 to 20 June 2000, the Commission in the "Scoreboard" and the European Parliament in its Resolution of 19 May 2000 indicate or call for legislative action against high technology crime, including common definitions, incriminations and sanctions.

    --------------------------------
    <*> OJ C 19, 23.1.1999, p. 1.


    (7) It is necessary to complement the work performed by international organisations, in particular the Council of Europe's work on approximating criminal law and the G8's work on transnational cooperation in the area of high tech crime, by providing a common approach in the European Union in this area. This call was further elaborated by the Communication from the Commission to the Council, the European Parliament, the Economic and Social Committee and the Committee of the Regions on "Creating a Safer Information Society by Improving the Security of Information Infrastructures and Combating Computer-related Crime".
    (8) Criminal law in the area of attacks against information systems should be approximated in order to ensure the greatest possible police and judicial cooperation in the area of criminal offences related to attacks against information systems, and to contribute to the fight against organised crime and terrorism.
    (9) All Member States have ratified the Council of Europe Convention of 28 January 1981 for the protection of individuals with regard to automatic processing of personal data. The personal data processed in the context of the implementation of this Framework Decision should be protected in accordance with the principles of the said Convention.
    (10) Common definitions in this area, particularly of information systems and computer data, are important to ensure a consistent approach in Member States in the application of this Framework Decision.
    (11) There is a need to achieve a common approach to the constituent elements of criminal offences by providing for common offences of illegal access to an information system, illegal system interference and illegal data interference.
    (12) In the interest of combating computer-related crime, each Member State should ensure effective judicial cooperation in respect of offences based on the types of conduct referred to in Articles 2, 3, 4 and 5.
    (13) There is a need to avoid over-criminalisation, particularly of minor cases, as well as a need to avoid criminalising right-holders and authorised persons.
    (14) There is a need for Member States to provide for penalties for attacks against information systems. The penalties thus provided for shall be effective, proportionate and dissuasive.
    (15) It is appropriate to provide for more severe penalties when an attack against an information system is committed within the framework of a criminal organisation, as defined in the Joint Action 98/733 JHA of 21 December 1998 on making it a criminal offence to participate in a criminal organisation in the Member State of the European Union <*>. It is also appropriate to provide for more severe penalties where such an attack has caused serious damages or has affected essential interests.

    --------------------------------
    <*> OJ L 351, 29.12.1998, p. 1.


    (16) Measures should also be foreseen for the purposes of cooperation between Member States with a view to ensuring effective action against attacks against information systems. Member States should therefore make use of the existing network of operational contact points referred to in the Council Recommendation of 25 June 2001 on contact points maintaining a 24-hour service for combating high-tech crime <*>, for the exchange of information.

    --------------------------------
    <*> OJ C 187, 3.7.2001, p. 5.


    (17) Since the objectives of this Framework Decision, ensuring that attacks against information systems be sanctioned in all Member States by effective, proportionate and dissuasive criminal penalties and improving and encouraging judicial cooperation by removing potential complications, cannot be sufficiently achieved by the Member States, as rules have to be common and compatible, and can therefore be better achieved at the level of the Union, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the EC Treaty. In accordance with the principle of proportionality, as set out in that Article, this Framework Decision does not go beyond what is necessary in order to achieve those objectives.
    (18) This Framework Decision respects the fundamental rights and observes the principles recognised by Article 6 of the Treaty on European Union and reflected in the Charter of Fundamental Rights of the European Union, and notably Chapters II and VI thereof,
    Has adopted this framework decision:
    For the purposes of this Framework Decision, the following definitions shall apply:
    (a) "information system" means any device or group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of computer data, as well as computer data stored, processed, retrieved or transmitted by them for the purposes of their operation, use, protection and maintenance;
    (b) "computer data" means any representation of facts, information or concepts in a form suitable for processing in an information system, including a program suitable for causing an information system to perform a function;
    (c) "legal person" means any entity having such status under the applicable law, except for States or other public bodies in the exercise of State authority and for public international organisations;
    (d) "without right" means access or interference not authorised by the owner, other right holder of the system or part of it, or not permitted under the national legislation.
    1.Each Member State shall take the necessary measures to ensure that the intentional access without right to the whole or any part of an information system is punishable as a criminal offence, at least for cases which are not minor.
    2.Each Member State may decide that the conduct referred to in paragraph 1 is incriminated only where the offence is committed by infringing a security measure.
    Each Member State shall take the necessary measures to ensure that the intentional serious hindering or interruption of the functioning of an information system by inputting, transmitting, damaging, deleting, deteriorating, altering, suppressing or rendering inaccessible computer data is punishable as a criminal offence when committed without right, at least for cases which are not minor.
    Each Member State shall take the necessary measures to ensure that the intentional deletion, damaging, deterioration, alteration, suppression or rendering inaccessible of computer data on an information system is punishable as a criminal offence when committed without right, at least for cases which are not minor.
    1.Each Member State shall ensure that the instigation of aiding and abetting an offence referred to in Articles 2, 3 and 4 is punishable as a criminal offence.
    2.Each Member State shall ensure that the attempt to commit the offences referred to in Articles 2, 3 and 4 is punishable as a criminal offence.
    3.Each Member State may decide not to apply paragraph 2 for the offences referred to in Article 2.
    1.Each Member State shall take the necessary measures to ensure that the offences referred to in Articles 2, 3, 4 and 5 are punishable by effective, proportional and dissuasive criminal penalties.
    2.Each Member State shall take the necessary measures to ensure that the offences referred to in Articles 3 and 4 are punishable by criminal penalties of a maximum of at least between one and three years of imprisonment.
    1.Each Member State shall take the necessary measures to ensure that the offence referred to in Article 2(2) and the offence referred to in Articles 3 and 4 are punishable by criminal penalties of a maximum of at least between two and five years of imprisonment when committed within the framework of a criminal organisation as defined in Joint Action 98/733/JHA apart from the penalty level referred to therein.
    2.A Member State may also take the measures referred to in paragraph 1 when the offence has caused serious damages or has affected essential interests.
    1.Each Member State shall take the necessary measures to ensure that legal persons can be held liable for offences referred to in Articles 2, 3, 4 and 5, committed for their benefit by any person, acting either individually or as part of an organ of the legal person, who has a leading position within the legal person, based on:
    (a) a power of representation of the legal person, or
    (b) an authority to take decisions on behalf of the legal person, or
    (c) an authority to exercise control within the legal person.
    2.Apart from the cases provided for in paragraph 1, Member States shall ensure that a legal person can be held liable where the lack of supervision or control by a person referred to in paragraph 1 has made possible the commission of the offences referred to in Articles 2, 3, 4 and 5 for the benefit of that legal person by a person under its authority.
    3.Liability of a legal person under paragraphs 1 and 2 shall not exclude criminal proceedings against natural persons who are involved as perpetrators, instigators or accessories in the commission of the offences referred to in Articles 2, 3, 4 and 5.
    1.Each Member State shall take the necessary measures to ensure that a legal person held liable pursuant to Article 8(1) is punishable by effective, proportionate and dissuasive penalties, which shall include criminal or non-criminal fines and may include other penalties, such as:
    (a) exclusion from entitlement to public benefits or aid;
    (b) temporary or permanent disqualification from the practice of commercial activities;
    (c) placing under judicial supervision; or
    (d) a judicial winding-up order.
    2.Each Member State shall take the necessary measures to ensure that a legal person held liable pursuant to Article 8(2) is punishable by effective, proportionate and dissuasive penalties or measures.
    1.Each Member State shall establish its jurisdiction with regard to the offences referred to in Articles 2, 3, 4 and 5 where the offence has been committed:
    (a) in whole or in part within its territory; or
    (b) by one of its nationals; or
    (c) for the benefit of a legal person that has its head office in the territory of that Member State.
    2.When establishing its jurisdiction in accordance with paragraph (1)(a), each Member State shall ensure that the jurisdiction includes cases where:
    (a) the offender commits the offence when physically present on its territory, whether or not the offence is against an information system on its territory; or
    (b) the offence is against an information system on its territory, whether or not the offender commits the offence when physically present on its territory.
    3.A Member State which, under its law, does not as yet extradite or surrender its own nationals shall take the necessary measures to establish its jurisdiction over and to prosecute, where appropriate, the offences referred to in Articles 2, 3, 4 and 5, when committed by one of its nationals outside its territory.
    4.Where an offence falls within the jurisdiction of more than one Member State and when any of the States concerned can validly prosecute on the basis of the same facts, the Member States concerned shall cooperate in order to decide which of them will prosecute the offenders with the aim, if possible, of centralising proceedings in a single Member State. To this end, the Member States may have recourse to any body or mechanism established within the European Union in order to facilitate cooperation between their judicial authorities and the coordination of their action. Sequential account may be taken of the following factors:
    - the Member State shall be that in the territory of which the offences have been committed according to paragraph 1(a) and paragraph 2,
    - the Member State shall be that of which the perpetrator is a national,
    - the Member State shall be that in which the perpetrator has been found.
    5.A Member State may decide not to apply, or to apply only in specific cases or circumstances, the jurisdiction rules set out in paragraphs 1(b) and 1(c).
    6.Member States shall inform the General Secretariat of the Council and the Commission where they decide to apply paragraph 5, where appropriate with an indication of the specific cases or circumstances in which the decision applies.
    1.For the purpose of exchange of information relating to the offences referred to in Articles 2, 3, 4 and 5, and in accordance with data protection rules, Member States shall ensure that they make use of the existing network of operational points of contact available 24 hours a day and seven days a week.
    2.Each Member State shall inform the General Secretariat of the Council and the Commission of its appointed point of contact for the purpose of exchanging information on offences relating to attacks against information systems. The General Secretariat shall forward that information to the other Member States.
    1.Member States shall take the necessary measures to comply with the provisions of this Framework Decision by 16 March 2007.
    2.By 16 March 2007 Member States shall transmit to the General Secretariat of the Council and to the Commission the text of any provisions transposing into their national law the obligations imposed on them under this Framework Decision.
    By 16 September 2007, on the basis of a report established on the basis of information and a written report by the Commission, the Council shall assess the extent to which Member States have complied with the provisions of this Framework Decision.
    This Framework Decision shall enter into force on the date of its publication in the Official Journal of the European Union.
    Done at Brussels, 24 February 2005.
    For the Council
    The President
    N.SCHMIT