32013L0040[1]

Az Európai Parlament és a Tanács 2013/40/EU irányelve ( 2013. augusztus 12. ) az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról

AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2013/40/EU IRÁNYELVE

(2013. augusztus 12.)

az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról

1. cikk

Tárgy

Ez az irányelv megállapítja az információs rendszerek elleni támadások terén elkövetett bűncselekmények és szankciók meghatározására vonatkozó minimumszabályokat. Célja továbbá az ilyen bűncselekmények megelőzésének elősegítése, valamint az igazságügyi és egyéb illetékes hatóságok közötti együttműködés javítása.

2. cikk

Fogalommeghatározások

Ezen irányelv alkalmazásában:

a) "információs rendszer" : minden olyan eszköz, illetve összekapcsolt vagy kapcsolódó eszközökből álló eszközcsoport, amelyek közül egy vagy több valamely program alapján automatikus adatfeldolgozást hajt végre számítógépes adatokon, valamint a működése, használata, védelme és karbantartása céljából az ezen eszköz vagy eszközcsoport által tárolt, feldolgozott, helyreállított vagy továbbított számítógépes adatokon;

b) "számítógépes adatok" : tények, információk vagy fogalmak megjelenítése olyan formában, amely alkalmassá teszi azokat egy információs rendszer általi feldolgozásra, beleértve azon programokat is, amelyek alkalmasak valamely funkciónak egy információs rendszer általi elvégeztetésére;

c) "jogi személy" : bármely jogalany, amely az alkalmazandó nemzeti jog szerint jogi személynek minősül; ide nem értve a tagállamokat, harmadik országokat, az állami hatáskört gyakorló közjogi szerveket, valamint a nemzetközi közjogi szervezeteket;

d) "jogosulatlanul" : ezen irányelvben említett olyan magatartás, ideértve a belépést, beavatkozást vagy adatszerzést, amelyet a rendszernek vagy a rendszer részének tulajdonosa vagy egyéb jogosultja nem engedélyezett, vagy amelyet a nemzeti jog nem tesz lehetővé.

3. cikk

Információs rendszerekhez való jogellenes hozzáférés

A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a valamely információs rendszerhez vagy annak egy részéhez való, szándékosan és jogosulatlanul történőhozzáférés legalább a súlyosabbnak minősülő esetekben bűncselekményként büntetendő legyen, amennyiben a bűncselekményt valamely biztonsági intézkedés megsértésével követték el.

4. cikk

Rendszert érintő jogellenes beavatkozás

A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a valamely információs rendszer működésének számítógépes adatok szándékos és jogosulatlan bevitele, továbbítása, megrongálása, törlése, minőségi rontása, megváltoztatása vagy elrejtése, vagy ilyen adatok szándékos és jogosulatlan hozzáférhetetlenné tétele révén történő súlyos akadályozása vagy megszakítása, legalább a súlyosabbnak minősülő esetekben bűncselekményként büntetendő legyen.

5. cikk

Adatot érintő jogellenes beavatkozás

A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a valamely információs rendszer számítógépes adatainak szándékos és jogosulatlan törlése, megrongálása, minőségi rontása, megváltoztatása vagy elrejtése, vagy az ilyen adatok szándékos és jogosulatlan hozzáférhetetlenné tétele legalább a súlyosabbnak minősülő esetekben bűncselekményként büntetendő legyen.

6. cikk

Jogellenes adatszerzés

A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy az információs rendszeren belülre, kívülre vagy azon belül nem nyilvános módon továbbított számítógépes adatok - többek között az információs rendszerekből érkező, ilyen adatokat hordozó elektromágneses sugárzás - technikai eszközökkel történő, szándékos és jogosulatlan megszerzése, legalább a súlyosabbnak minősülő esetekben bűncselekményként büntetendő legyen.

7. cikk

A bűncselekmények elkövetéséhez használt eszközök

A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a következő eszközök jogosulatlan és bármely, a 3-6. cikkben említett bűncselekmény elkövetéséhez való felhasználásának szándékával való előállítása, árusítása, használatra történő beszerzése, behozatala, forgalomba hozatala vagy egyéb módon történő hozzáférhetővé tétele legalább a súlyosabbnak minősülő esetekben bűncselekményként büntetendő legyen:

a) olyan számítógépes programok, amelyek elsősorban a 3-6. cikkben említett bármely bűncselekmény elkövetésére készültek vagy lettek átalakítva;

b) olyan számítógépes jelszavak, belépési kódok vagy hasonló adatok, amelyekkel egy információs rendszerhez vagy annak egy részéhez hozzá lehet férni.

8. cikk

Felbujtás, bűnsegély és kísérlet

(1) A tagállamok biztosítják, hogy a 3-7. cikkben említett bűncselekményekre való felbujtás, vagy az azok elkövetéséhez nyújtott bűnsegély bűncselekményként büntetendő legyen.

(2) A tagállamok biztosítják, hogy a 4. és 5. cikkben említett bűncselekmények elkövetésének kísérlete bűncselekményként büntetendő legyen.

9. cikk

Szankciók

(1) A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a 3-8. cikkben említett bűncselekményeket hatékony, arányos és visszatartó erejű büntetőjogi szankciókkal sújtsák.

(2) A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a 3-7. cikkben említett bűncselekmények szabadságvesztéssel legyenek büntetendők, amelynek felső határa - legalább a súlyosabbnak minősülő esetekben - legalább két év.

(3) A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a 4. és 5. cikkben említett bűncselekmények - amennyiben azokat szándékosan követték el, és azok egy, a 7. cikkben említett eszköz használata révén jelentős számú információs rendszert érintettek - szabadságvesztéssel legyenek büntetendők, amelynek felső határa legalább három év.

(4) A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a 4. és 5. cikkben említett bűncselekmények szabadságvesztéssel legyenek büntetendők, amelynek felső határa legalább öt év, amennyiben:

a) azokat a 2008/841/IB kerethatározat értelmében vett bűnszervezet keretében követték el, függetlenül az e kerethatározatban meghatározott szankciótól;

b) azok súlyos kárt okoztak; vagy

c) azokat valamely, a kritikus infrastruktúra részét képező információs rendszer ellen követték el.

(5) A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy ha a 4. és 5. cikkben említett bűncselekményeket egy másik személy személyes adataival visszaélve követték el egy harmadik fél bizalmának elnyerése céljából, és ezáltal kárt okoztak a személyazonosság jogos tulajdonosának, akkor ezt a nemzeti joggal összhangban súlyosító körülménynek lehessen tekinteni, kivéve, ha e körülmény a nemzeti jog értelmében már egy másik bűncselekményt valósít meg.

10. cikk

A jogi személyek felelőssége

(1) A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a jogi személyek felelősségre vonhatók legyenek a 3-8. cikkben említett azon bűncselekményekért, amelyeket akár saját nevében, akár a jogi személy valamely szervének tagjaként eljárva olyan személy követett el a jogi személy javára, aki a jogi személyen belül vezető tisztséget tölt be, amely a következők egyikén alapul:

a) a jogi személy képviseletének joga;

b) a jogi személy nevében történő döntéshozatal joga;

c) a jogi személyen belüli ellenőrzés joga.

(2) A tagállamok megteszik a szükséges intézkedéseket annak érdekében, hogy a jogi személyek felelősségre vonhatók legyenek, amennyiben az (1) bekezdésben említett személy általi felügyelet vagy ellenőrzés hiánya tette lehetővé, hogy az adott jogi személy javára egy neki alárendelt személy a 3-8. cikkben említett valamely bűncselekményt elkövesse.

(3) A jogi személyeknek az e cikk (1) és (2) bekezdése alapján fennálló felelőssége nem zárja ki a büntetőeljárást azon természetes személyek ellen, akik a 3-8. cikkben említett bármely bűncselekményben tettesként, felbujtóként vagy bűnsegédként működtek közre.

11. cikk

A jogi személyekkel szemben alkalmazandó szankciók

(1) A tagállamok megteszik a szükséges intézkedéseket annak érdekében, hogy a 10. cikk (1) bekezdése alapján felelősségre vont jogi személy olyan hatékony, arányos és visszatartó erejű szankciókkal legyen büntetendő, amelyek magukban foglalnak büntetőjogi és nem büntetőjogi pénzbüntetéseket vagy bírságokat, és amelyek magukban foglalhatnak egyéb szankciókat is, mint például:

a) az állami kedvezményekből és támogatásokból való kizárás;

b) a kereskedelmi tevékenység folytatásától való átmeneti vagy végleges eltiltás;

c) a bírósági felügyelet alá helyezés;

d) a bíróság által elrendelt felszámolás;

e) a bűncselekmény elkövetésére használt létesítmények ideiglenes vagy végleges bezárása.

(2) A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy a 10. cikk (2) bekezdése alapján felelősségre vont jogi személy hatékony, arányos és visszatartó erejű szankciókkal vagy egyéb intézkedésekkel büntetendő legyen.

12. cikk

Joghatóság

(1) A tagállamok megállapítják joghatóságukat a 3-8. cikkben említett bűncselekmények tekintetében, amennyiben a bűncselekményt:

a) egészben vagy részben a területükön követték el; vagy

b) egy állampolgáruk követte el, legalább azokban az esetekben, ha a cselekmény az elkövetés helyén bűncselekménynek minősül.

(2) Az (1) bekezdés a) pontja szerinti joghatóság megállapításakor a tagállamok biztosítják, hogy joghatósággal rendelkezzenek abban az esetben, ha:

a) az elkövető a bűncselekmény elkövetésekor fizikailag jelen van a területükön, függetlenül attól, hogy a bűncselekmény a területükön található információs rendszer ellen irányul-e; vagy

b) a bűncselekmény a területükön található információs rendszer ellen irányul, függetlenül attól, hogy az elkövető a bűncselekmény elkövetésekor fizikailag jelen van-e a területükön.

(3) A tagállamok tájékoztatják a Bizottságot, ha úgy döntenek, hogy a 3-8. cikkben említett, a területükön kívül elkövetett bűncselekményekre vonatkozóan további joghatóságot állapítanak meg, többek között amennyiben:

a) az elkövető szokásos tartózkodási helye a területükön van; vagy

b) a bűncselekményt a területükön letelepedett jogi személy javára követték el.

13. cikk

Információcsere

(1) A tagállamok a 3-8. cikkben említett bűncselekményekre vonatkozó információk cseréjének céljából gondoskodnak saját operatív nemzeti kapcsolattartó pontjuk létrehozásáról, és arról, hogy igénybe veszik a meglévő, a hét minden napján 24 órában rendelkezésre álló operatív kapcsolattartó hálózatot. A tagállamok olyan eljárások működését is biztosítják, amelyek révén sürgős segítségkérés esetén az illetékes hatóság a kézhezvételtől számított 8 órán belül jelezheti legalább azt, hogy teljesíti-e a segítségkérést, valamint hogy ezt milyen formában és várhatóan mikor teszi.

(2) A tagállamok tájékoztatják a Bizottságot az (1) bekezdésben említett kijelölt kapcsolattartó pontjukról. A Bizottság továbbítja ezeket az információkat a többi tagállamnak, valamint az illetékes szakosított uniós ügynökségeknek és szerveknek.

(3) A tagállamok meghozzák a szükséges intézkedéseket annak érdekében, hogy megfelelő jelentéstételi csatornák álljanak rendelkezésre annak elősegítéséhez, hogy az illetékes nemzeti hatóságok felé indokolatlan késedelem nélkül be lehessen jelenteni a 3-6. cikkben említett bűncselekményeket.

14. cikk

Nyomon követés és statisztika

(1) A tagállamok biztosítják egy olyan rendszer meglétét, amely rögzíti, előállítja és rendelkezésre bocsátja a 3-7. cikkben említett bűncselekményekre vonatkozó statisztikai adatokat.

(2) Az (1) bekezdésben említett statisztikai adatoknak legalább a tagállamok által nyilvántartásba vett, a 3-7. cikkben említett bűncselekmények számára és a 3-7. cikkben említett bűncselekmények miatt büntetőeljárás alá vont és elítélt személyek számára vonatkozó, meglévő adatokat kell tartalmaznia.

(3) A tagállamok továbbítják a Bizottsághoz az e cikknek megfelelően gyűjtött adatokat. A Bizottság gondoskodik a statisztikai jelentések egységes áttekintésének közzétételéről, és annak az illetékes szakosított uniós ügynökségeknek és szerveknek történő megküldéséről.

15. cikk

A 2005/222/IB kerethatározat felváltása

Ez az irányelv az elfogadásában részt vevő tagállamok vonatkozásában a 2005/222/IB kerethatározat helyébe lép, a kerethatározat nemzeti jogba történő átültetésére vonatkozó határidővel kapcsolatos tagállami kötelezettségek érintése nélkül.

Az ezen irányelv elfogadásában részt vevő tagállamok vonatkozásában a felváltott 2005/222/IB kerethatározatra való hivatkozásokat az ezen irányelvre való hivatkozásként kell értelmezni.

16. cikk

Átültetés a nemzeti jogba

(1) A tagállamok hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek 2015. szeptember 4-ig megfeleljenek.

(2) A tagállamok továbbítják a Bizottságnak azon intézkedések szövegét, amelyek az ezen irányelvből eredő kötelezettségeket nemzeti jogukba átültetik.

(3) Amikor a tagállamok elfogadják ezeket az intézkedéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.

17. cikk

Jelentés

A Bizottság 2017. szeptember 4-ig jelentést nyújt be - szükség esetén jogalkotási javaslatok kíséretében - az Európai Parlamentnek és a Tanácsnak, amelyben értékeli, hogy a tagállamok milyen mértékben tették meg a szükséges intézkedéseket annak érdekében, hogy ezen irányelvnek megfeleljenek. A Bizottság figyelembe veszi a számítástechnikai bűnözés területére vonatkozó technikai és jogi fejleményeket is, különösen ezen irányelv hatályára való tekintettel.

18. cikk

Hatálybalépés

Ez az irányelv az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

19. cikk

Címzettek

Ennek az irányelvnek a Szerződéseknek megfelelően a tagállamok a címzettjei.