Toelichting bij COM(2002)173 - Aanvallen op informatiesystemen - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
dossier | COM(2002)173 - Aanvallen op informatiesystemen. |
---|---|
bron | COM(2002)173 |
datum | 19-04-2002 |
Elektronische communicatienetwerken en informatiesystemen zijn een wezenlijk onderdeel van het dagelijks leven van de EU-burgers geworden en vormen de hoeksteen van het succes van de EU-economie. Netwerken en informatiesystemen sluiten steeds beter op elkaar aan en worden ook steeds meer onderling gekoppeld. Ondanks de vele duidelijke voordelen, brengt deze ontwikkeling ook de zorgwekkende bedreiging van opzettelijke aanvallen op informatiesystemen met zich. Deze aanvallen kunnen vele vormen aannemen, waaronder onrechtmatige toegang, de verspreiding van kwaadaardige codes en denial of service aanvallen. Vanaf elke plaats ter wereld kan een aanval worden ondernomen tegen elke andere plaats ter wereld, op elk willekeurig tijdstip. En in de toekomst kunnen zich aanvallen in nieuwe, onverwachte vormen voordoen.
Aanvallen op informatiesystemen vormen een bedreiging voor de totstandbrenging van een veiligere informatiemaatschappij en van een ruimte van vrijheid, veiligheid en rechtvaardigheid, en vragen daarom om een reactie op het niveau van de Europese Unie. Dit voorstel voor een kaderbesluit over de onderlinge afstemming van het strafrecht op het gebied van aanvallen op informatiesystemen vormt een onderdeel van de bijdrage van de Commissie aan deze reactie.
Het begrip 'informatiesysteem' wordt hier met opzet in brede zin gebruikt, vanwege de convergentie tussen elektronische communicatienetwerken en de verschillende systemen die door deze netwerken worden verbonden. In de zin van dit voorstel vallen daarom onder informatiesystemen ook 'stand alone'-pc's, persoonlijke digitale organizers, mobiele telefoons, intranetten, extranetten en, uiteraard, de netwerken, servers en andere infrastructuur van internet.
In haar mededeling 'Netwerk- en informatieveiligheid: voorstel voor een Europese beleidsaanpak' geeft de Commissie de volgende beschrijving van veiligheidsrisico's: i
(a) Ongeoorloofde toegang tot informatiesystemen. Daaronder valt ook het begrip 'hacking'. Hacking is het zich ongeoorloofd toegang verschaffen tot een computer of computernetwerken. Dat kan op verschillende manieren gebeuren, van het eenvoudigweg gebruik maken van interne informatie tot het gebruiken van brute kracht en het onderscheppen van wachtwoorden. Meestal - hoewel niet altijd - gebeurt dit met de kwaadaardige opzet om gegevens te kopiëren, te wijzigen of te vernietigen. Het zich ongeoorloofd toegang verschaffen gebeurt bijvoorbeeld om websites opzettelijk te beschadigen of om zonder betaling toegang te krijgen tot abonneediensten.
(b) Ontwrichting van informatiesystemen. Er zijn verschillende manieren om informatiesystemen door middel van kwaadaardige aanvallen te ontwrichten. Een van de bekendste manieren om de diensten die via internet worden aangeboden, te blokkeren of te hinderen, is via een 'denial of service'-aanval. Zo'n aanval is vergelijkbaar met het blokkeren van een faxapparaat door er herhaaldelijk lange berichten naartoe te sturen. Met een denial of service aanval wordt geprobeerd webservers of internet service providers (ISP's) te overspoelen met automatisch verstuurde berichten. Andere vormen van aanvallen zijn bijvoorbeeld de ontwrichting van DNS-servers, waarop het domeinnamensysteem (DNS) draait, en aanvallen op routers. Systeemontwrichtende aanvallen hebben bij bepaalde veel gebruikte websites, zoals portaalsites, grote schade aangericht. Uit sommige studies is gebleken dat een recente aanval voor honderden miljoenen euro schade heeft veroorzaakt, nog afgezien van de immateriële schade aan de reputatie. Voor veel ondernemingen is de beschikbaarheid van hun website voor hun zakelijke activiteiten steeds belangrijker, en vooral de ondernemingen die van de website afhankelijk zijn voor 'just in time'-leveringen, zijn kwetsbaar.
(c) Kwaadaardige software waarmee gegevens worden gewijzigd of vernietigd. De bekendste variant van kwaadaardige software is het virus. Beruchte voorbeelden zijn bijvoorbeeld het 'I love you'-, het 'Melissa'- en het 'Kournikova'-virus. Ongeveer 11% van de Europese gebruikers heeft thuis wel eens een virus op de pc gehad. Er zijn ook andere soorten kwaadaardige software. Sommige varianten beschadigen de pc zelf, terwijl andere de pc gebruiken als uitvalsbasis voor aanvallen op andere onderdelen van het netwerk. Er zijn bijvoorbeeld programma's ("logische bommen") die inactief blijven totdat zij door een of andere gebeurtenis, bijvoorbeeld door een bepaalde datum, worden geactiveerd en dan grote schade aanrichten door gegevens te wijzigen of te wissen. Andere programma's (zogenaamde 'paarden van Troje') zien er onschuldig uit, maar ontketenen een kwaadaardige aanval zodra zij worden geopend. Weer andere programma's ("wormen") besmetten geen andere programma's, zoals een virus doet, maar maken kopieën van zichzelf die ook weer kopieën van zichzelf maken en zo uiteindelijk het systeem overspoelen.
(d) Aftappen van telecommunicatie. Het met kwade bedoelingen aftappen van telecommunicatie ondermijnt de vertrouwelijkheid en de integriteit die de gebruikers verlangen. Het wordt vaak aangeduid met de term 'sniffing'.
e) Identiteitsvervalsing. Informatiesystemen bieden nieuwe mogelijkheden voor identiteitsvervalsing en fraude. Op internet andermans identiteit aannemen en deze gebruiken voor kwade bedoelingen wordt vaak 'spoofing' genoemd.
Er is duidelijk behoefte aan betrouwbare informatie over de omvang en de aard van aanvallen op informatiesystemen.
Een aantal van de ernstigste aanvallen op informatiesystemen is gericht tegen exploitanten van elektronische communicatienetwerken en dienstverleners of tegen ondernemingen die zich bezighouden met elektronische handel. Ook meer traditionele sectoren kunnen ernstig worden benadeeld, omdat in onze moderne communicatiemaatschappij alles steeds meer met elkaar verbonden is: productiebedrijven, dienstverleners, ziekenhuizen, andere organisaties uit de overheidssector en regeringen zelf. Maar niet alleen organisaties zijn het slachtoffer van aanvallen: ook individuele personen kunnen rechtstreeks ernstige schade ondervinden. Sommige van deze aanvallen betekenen zowel voor overheidslichamen en ondernemingen als voor individuele personen een zware economische belasting, waardoor de kosten van informatiesystemen voor de gebruikers oplopen en niet gemakkelijk meer op te brengen zijn.
Het soort aanvallen dat hierboven is beschreven, wordt vaak uitgevoerd door individueel handelende personen, soms minderjarigen, die de ernst van hun daden niet goed inschatten. Deze aanvallen kunnen echter ingewikkelder en kwaadaardiger worden. Er bestaat toenemende ongerustheid met betrekking tot georganiseerde criminelen die gebruik maken van communicatienetwerken om voor hun eigen doeleinden aanvallen op informatiesystemen uit te voeren. Wereldwijd zijn steeds meer georganiseerde hackersgroepen actief, die zijn gespecialiseerd in hacking en in het beschadigen van websites. Voorbeelden daarvan zijn de Braziliaanse Silver Lords en de Pakistaanse Gforce, die proberen hun slachtoffers geld afhandig te maken door hun gespecialiseerde hulp aanbieden nadat ze in het informatiesysteem zijn ingebroken. De arrestatie van grote groepen hackers wijst erop dat hacking in toenemende mate in georganiseerd crimineel verband gebeurt. De laatste tijd zijn er geavanceerde, georganiseerde inbreuken gepleegd op intellectuele eigendomsrechten, en pogingen gedaan om aanzienlijke hoeveelheden geld van bankdiensten te stelen i.
Inbraken in databanken van e-handelaren, waarbij toegang wordt verkregen tot klanteninformatie zoals creditcardnummers, zijn ook een zorgwekkend verschijnsel. Dit soort aanvallen leidt in toenemende mate tot betalingsfraude en noopt de banken duizenden kaarten te annuleren en te vervangen door nieuwe. Een ander gevolg is de immateriële schade in de vorm van de aantasting van de reputatie van de handelaar en de ondermijning van het vertrouwen van de consument in e-handel. In het kader van het actieplan voor de preventie van fraude en vervalsing van girale betaalmiddelen i worden preventieve maatregelen besproken, zoals minimumveiligheidsvereisten voor onlinehandelaren die creditcards aanvaarden.
Dit voorstel maakt tevens deel uit van de bijdrage van de Commissie aan het antwoord op de dreiging van een terroristische aanslag op vitale informatiesystemen in de Europese Unie. Het is een aanvulling op het voorstel van de Commissie om uitlevering binnen de Europese Unie te vervangen door een Europees arrestatiebevel i en op het voorstel om de wetgeving inzake terrorisme onderling af te stemmen i, waarover een politiek akkoord werd bereikt op de Europese Raad van Laken van 14/15 december 2001. Samen zorgen deze instrumenten ervoor dat de lidstaten van de Europese Unie beschikken over doeltreffende strafwetgeving om op te treden tegen cyber-terrorisme, en dat de internationale samenwerking tegen terrorisme wordt opgevoerd.
Dit voorstel heeft niet alleen betrekking op tegen de lidstaten gerichte daden. Het heeft ook betrekking op gedragingen op het grondgebied van de Europese Unie die zijn gericht tegen informatiesystemen op het grondgebied van derde landen. Hieruit blijkt dat de Commissie aanvallen op informatiesystemen zowel op wereldschaal als op het niveau van de Europese Unie wil bestrijden.
Het is al verschillende keren voorgekomen dat spanningen in internationale betrekkingen hebben geleid tot een stroom van aanvallen op informatiesystemen, waarbij websites een geliefd doelwit waren. Ernstigere aanvallen kunnen niet alleen tot ernstige financiële schade leiden, maar in sommige gevallen ook tot een verlies van mensenlevens (b.v. doordat ziekenhuissystemen of luchtverkeerscontrolesystemen e.d. ontregeld raken). Dat de lidstaten hier alert op zijn, blijkt ook uit het belang dat zij hechten aan de verschillende initiatieven op het gebied van de beveiliging van de kritische infrastructuur. In het kader van het IST-programma i voor technologieën van de informatiemaatschappij is, in samenwerking met het Amerikaanse ministerie van Buitenlandse Zaken, een gemeenschappelijke EU/VS taskforce voor de beveiliging van de kritische infrastructuur opgericht i.
Er zijn niet veel betrouwbare gegevens beschikbaar over de omvang van het verschijnsel computercriminaliteit. Het aantal tot nu toe ontdekte en gemelde gevallen van computervredebreuk geeft waarschijnlijk geen goed beeld van de werkelijke ernst van het probleem. Volgens een onderzoek uit de VS i heeft in 1999 slechts 32% van de respondenten die last hebben gehad van computervredebreuk, dat gemeld bij de rechtshandhavingsinstanties. Dat was een verbetering ten opzichte van eerdere jaren, toen slechts 17% aangifte had gedaan. Er worden vele redenen aangevoerd voor het niet melden van deze gevallen. Vanwege de beperkte kennis en ervaring van systeembeheerders en gebruikers op dit gebied, worden veel inbreuken niet ontdekt. Bovendien zijn veel ondernemingen huiverig om gevallen van computermisbruik te melden, omdat ze bang zijn voor negatieve publiciteit en nieuwe aanvallen. Bij veel politiediensten worden nog geen statistieken bijgehouden over het gebruik van computers en communicatiesystemen bij deze en andere strafbare feiten. i Bij rechtshandhavingsinstanties ontbreekt het aan opleiding om computercriminaliteit op te sporen, te herkennen en te onderzoeken. De Europese Unie is echter begonnen met het verzamelen van gegevens over aanvallen op informatiesystemen om deze problematiek aan te pakken. In één lidstaat vonden in 1999 naar schatting tussen de 30 000 en 40 000 aanvallen op informatiesystemen plaats, terwijl er slechts 105 officiële klachten werden ingediend. En in datzelfde jaar bedroeg het totale aantal officiële aangiften van strafbare feiten gericht tegen informatiesystemen en computergegevens voor zeven lidstaten samen slechts 1844. Dat is altijd nog twee keer zoveel als in 1998, toen in die zeven lidstaten slechts 972 officiële aangiften werden gemeld. i
Daarnaast is uit een recent onderzoek i gebleken dat 13 procent van de ondernemingen die het slachtoffer waren geworden van economische delicten, verklaarde dat cybercriminaliteit één van de delicten was. Uit dit onderzoek kwam ook een groeiende bezorgdheid over cybercriminaliteit naar voren, waarbij 43% van de respondenten van mening was dat cybercriminaliteit een toekomstige risicofactor is. In een ander onderzoek werd geconcludeerd dat hackers en virussen nu de belangrijkste cybercriminaliteitsrisico's vormen, waarbij hackers (45%), voormalige werknemers (13%), de georganiseerde criminaliteit (13%) en huidige werknemers (11%) de belangrijkste indringers zijn i. Deze cijfers zullen waarschijnlijk blijven oplopen naarmate het gebruik van informatiesystemen en de onderlinge koppeling daarvan toeneemt en de bereidheid om computervredebreuk te melden, groeit. Niettemin is het duidelijk dat dringend maatregelen moeten worden getroffen om een statistisch instrument te ontwikkelen dat alle lidstaten kunnen gebruiken, zodat de computercriminaliteit in de Europese Unie zowel kwantitatief als kwalitatief kan worden gemeten. Het uitgangspunt voor zo'n analyse is een gemeenschappelijke definitie op het niveau van de Europese Unie van de strafbare feiten waarvan sprake is bij aanvallen op informatiesystemen.
Tegen deze achtergrond onderstreepte de Europese Raad van Lissabon in maart 2000 het belang van de overgang naar een concurrerende, dynamische kenniseconomie, waarbij hij de Raad en de Commissie verzocht een eEurope-actieplan op te stellen om deze kansen ten volle te benutten. i Dit actieplan, dat door de Commissie en de Raad werd opgesteld en door de Europese Raad van Feira in juni 2000 werd goedgekeurd, bevat onder andere maatregelen om netwerken beter te beveiligen en tegen eind 2002 tot een gecoördineerde en samenhangende aanpak van cybercriminaliteit te komen.
Een van de bijdragen van de Commissie aan de bestrijding van cybercriminaliteit is de mededeling 'De informatiemaatschappij veiliger maken door de informatie-infrastructuur beter te beveiligen en computercriminaliteit te bestrijden' i. Daarin wordt een evenwichtige benadering voorgesteld voor de bestrijding van cybercriminaliteit, waarin rekening wordt gehouden met de standpunten van alle betrokken partijen, zoals rechtshandhavingsinstanties, dienstverleners, netwerkexploitanten, andere sectorale organisaties, consumentenorganisaties, gegevensbeschermingsautoriteiten en privacyorganisaties. De Commissie heeft een aantal wetgevende en niet-wetgevende initiatieven voorgesteld.
Een goed voorbeeld van een lopende actie is het IDA-programma, waarin de lidstaten en de Commissie werken aan een gemeenschappelijk veiligheidsbeleid en een beveiligd netwerk voor de uitwisseling van administratieve informatie ontwikkelen.
Een van de belangrijkste kwesties die in de mededeling wordt behandeld, is de noodzaak om op te treden tegen bedreigingen van de authenticiteit, de integriteit, de vertrouwelijkheid en de beschikbaarheid van informatiesystemen en netwerken. Op het gebied van het Gemeenschapsrecht is al veel bereikt. Er zijn al verschillende wettelijke maatregelen getroffen op Gemeenschapsniveau die van belang zijn voor netwerk- en informatiebeveiliging.
Dit kaderbesluit vormt een aanvulling op de reeds ontwikkelde Gemeenschapswetgeving inzake de beveiliging van informatiesystemen, zoals Richtlijn 95/46/EG, Richtlijn 97/66/EG en Richtlijn 98/84//EG betreffende de rechtsbescherming van diensten gebaseerd op of bestaande uit voorwaardelijke toegang. Met name het Europese kader voor telecommunicatie- en gegevensbescherming (richtlijnen 95/46/EG en 97/66/EG i) bevatten bepalingen die ervoor moeten zorgen dat aanbieders van algemeen beschikbare telecommunicatiediensten passende technische en organisatorische maatregelen treffen om de veiligheid en de vertrouwelijkheid van de door hen verstrekte diensten te garanderen, en dat deze maatregelen een beveiligingsniveau waarborgen dat in verhouding staat tot het betrokken risico.
Een van de beste manieren om deze problemen aan te pakken is via preventie en scholing. In de mededeling wijst de Commissie op het belang van de beschikbaarheid, de ontwikkeling, de inzet en het daadwerkelijk gebruik van preventietechnologie. Zij beklemtoont dat het publiek moet worden gewezen op de gevaren van computercriminaliteit, dat de toepassing van beproefde methoden voor IT-beveiliging moet worden bevorderd, dat er instrumenten en procedures moeten worden ontwikkeld voor de bestrijding van computercriminaliteit en dat de verdere ontwikkeling van vroegtijdige waarschuwingssystemen en crisisbeheersinstrumenten moet worden gestimuleerd. Het IST-programma van de EU i voor technologieën van de informatiemaatschappij biedt een kader voor de ontwikkeling van het vermogen en de technieken om inzicht te krijgen in en op te treden tegen nieuwe problemen op het gebied van computercriminaliteit.
Recentelijker heeft ook de Europese Raad van Stockholm van 23-24 maart onderkend dat meer maatregelen moeten worden getroffen op het gebied van netwerk- en informatiebeveiliging, waarbij werd geconcludeerd dat "de Raad samen met de Commissie een alomvattende strategie voor de beveiliging van elektronische netwerken [zal] uitwerken, die tevens praktische uitvoeringsmaatregelen zal omvatten. Deze strategie dient tijdig voor de Europese Raad van Göteborg te worden voorgelegd." De Commissie heeft op deze oproep gereageerd met de mededeling over 'Netwerk- en informatieveiligheid: Voorstel voor een Europese beleidsaanpak' i. Daarin worden de bestaande problemen op het gebied van netwerkbeveiliging geanalyseerd en wordt een strategie geschetst voor het optreden op dit terrein. Zij werd gevolgd door een resolutie van de Raad van 6 december 2001 betreffende een gemeeschappelijke aanpak en specifieke acties inzake netwerk- en informatiebeveiliging.
Deze initiatieven bieden op zichzelf geen afdoende antwoord op ernstige aanvallen op informatiesystemen. In beide mededelingen verklaart de Commissie ook dat onderlinge afstemming van het materiële strafrecht in de Europese Unie op het gebied van aanvallen op informatiesystemen dringend noodzakelijk is. Dit sluit aan bij de conclusies van de Europese Raad van Tampere van oktober 1999 i, waarin hightech-criminaliteit wordt genoemd als een van de sectoren waarin moet worden gestreefd naar gemeenschappelijke definities, strafbaarstellingen en straffen, wat werd overgenomen in Aanbeveling 7 van de strategie van de Europese Unie voor het begin van het nieuwe millennium inzake de voorkoming en bestrijding van de georganiseerde criminaliteit, die door de JBZ-Raad in maart 2000 werd goedgekeurd i. Dit voorstel voor een kaderbesluit maakt ook deel uit van het werkprogramma van de Commissie voor 2001 i en van het scorebord van de vorderingen op het gebied van de totstandbrenging van een ruimte van vrijheid, veiligheid en rechtvaardigheid dat de Commissie op 30 oktober 2001 heeft opgesteld i.
De wetgeving van de lidstaten vertoont op dit gebied een aantal grote lacunes en verschillen die een belemmering kunnen vormen voor de bestrijding van georganiseerde criminaliteit en terrorisme en van ernstige aanvallen op informatiesystemen door individuele personen. De harmonisatie van het materiële recht op het gebied van hightech-criminaliteit zal ertoe leiden dat de nationale wetgeving voldoende ruimte biedt om alle vormen van ernstige aanvallen op informatiesystemen te onderzoeken met behulp van de technieken en methoden die uit hoofde van het strafrecht beschikbaar zijn. De daders van deze strafbare feiten moeten worden opgespoord en berecht, en de rechters moeten passende en evenredige straffen kunnen opleggen. Hiervan kan een sterk afschrikkende boodschap uitgaan voor degenen die aanvallen op informatiesystemen overwegen.
Bovendien kunnen deze lacunes en verschillen een doeltreffende politiële en justitiële samenwerking op het gebied van aanvallen op informatiesystemen in de weg staan. Aanvallen op informatiesystemen zullen waarschijnlijk vaak een grensoverschrijdend karakter hebben, waardoor internationale samenwerking van politie en justitie noodzakelijk is. Onderlinge afstemming van de wetgeving zal deze samenwerking ten goede komen, omdat dan aan de dubbele strafbaarheidsvereiste wordt voldaan (wat betekent dat normaal gesproken bij een strafrechtelijk onderzoek alleen wederzijdse rechtshulp kan worden verleend als een gedraging in beide landen strafbaar is). Dat bevordert niet alleen de samenwerking tussen de lidstaten onderling, maar ook tussen de EU-lidstaten en derde landen (mits er een overeenkomst inzake wederzijdse rechtshulp bestaat).
Het is tevens nodig dat de bestaande instrumenten op het niveau van de Europese Unie worden aangevuld. Het kaderbesluit over het Europees arrestatiebevel i, de bijlage bij de Europol-Overeenkomst i en het besluit van de Raad betreffende de oprichting van Eurojust i bevatten verwijzingen naar computercriminaliteit die nader moet worden omschreven. Met het oog op dergelijke instrumenten moet computercriminaliteit worden verstaan in die zin dat deze ook aanvallen op informatiesystemen omvat zoals deze zijn gedefinieerd in dit kaderbesluit, dat zal zorgen voor een veel verdergaande onderlinge afstemming van de bestanddelen van dergelijke strafbare feiten. Dit kaderbesluit vult ook het kaderbesluit inzake de bestrijding van terrorisme i aan, dat betrekking heeft op terroristische handelingen waardoor grootschalige vernielingen aan een infrastructurele voorziening, inclusief een informatiesysteem, worden aangebracht, het leven van mensen in gevaar kan worden gebracht of belangrijke economische schade kan worden veroorzaakt.
Dit kaderbesluit van de Raad heeft daarom ten doel het strafrecht van de lidstaten op het gebied van aanvallen op informatiesystemen te harmoniseren en te zorgen voor een optimale politiële en justitiële samenwerking op het gebied van strafbare feiten die verband houden met aanvallen op informatiesystemen. Dit voorstel draagt voorts bij aan de inspanningen van de Europese Unie ter bestrijding van georganiseerde criminaliteit en terrorisme. Het is niet bedoeld om de lidstaten te verplichten onbeduidende gedragingen strafbaar te stellen.
Het spreekt vanzelf dat dit kaderbesluit op grond van artikel 47 van het Verdrag betreffende de Europese Unie geen afbreuk doet aan het Gemeenschapsrecht. Het laat met name de rechten en plichten op het gebied van gegevensbescherming en bescherming van de persoonlijke levenssfeer, zoals beschreven in de richtlijnen 95/46 en 97/66, onverlet. Het kaderbesluit is evenmin bedoeld om de lidstaten te verplichten inbreuken op regels inzake de toegang tot en de bekendmaking van persoonsgegevens, de vertrouwelijke aard van berichten, de beveiliging bij de verwerking van persoonsgegevens, elektronische handtekeningen i of schendingen van de intellectuele eigendom strafbaar te stellen, en het laat Richtlijn 98/84/EG betreffende de rechtsbescherming van diensten gebaseerd op of bestaande uit voorwaardelijke toegang i, onverlet. Dit zijn belangrijke kwesties, die echter al worden geregeld bij reeds bestaande Gemeenschapswetgeving. Bij elke vorm van harmonisatie op deze gebieden die erop is gericht de doelstellingen van het Gemeenschapsrecht, zoals de bescherming van persoonsgegevens, de vergoeding van dienstverleners die gebruik maken van voorwaardelijke toegang of intellectuele eigendom, te verwezenlijken, moet er daarom van worden uitgegaan dat deze binnen het kader van het Gemeenschapsrecht gebeurt, en niet op grond van Titel VI van het VEU. Daarom heeft dit kaderbesluit alleen betrekking op de gedragingen die worden beschreven onder (a), (b), en (c) van punt 1.1.
Bij wetgeving op het niveau van de Europese Unie moet ook rekening worden gehouden met de ontwikkelingen in andere internationale organisaties. Op het gebied van de harmonisatie van het materiële strafrecht inzake aanvallen op informatiesystemen is de Raad van Europa momenteel het verst gevorderd. De Raad van Europa is in februari 1997 begonnen met het opstellen van een internationaal verdrag inzake cybercriminaliteit, dat in november 2001 formeel werd goedgekeurd en opengesteld voor ondertekening. i Het verdrag is bedoeld ter harmonisatie van een reeks strafbare feiten, waaronder strafbare feiten op het gebied van de vertrouwelijkheid, de integriteit en de beschikbaarheid van computersystemen en -gegevens. Dit kaderbesluit sluit aan bij de benadering die in het verdrag van de Raad van Europa wordt gevolgd voor deze strafbare feiten.
In de discussies binnen de G8 over hightech-criminaliteit zijn twee soorten bedreigingen als belangrijkste naar voren gekomen. Ten eerste de ondermijning van de infrastructuur, waarbij het gaat om het verstoren, beschadigen of vernietigen van informatie die in computers en computernetwerken ligt opgeslagen, of van de computers en de netwerken zelf, of om het ontzeggen van de toegang tot deze informatie of deze computers en netwerken. Ten tweede computergesteunde gedragingen, zoals fraude, het witwassen van geld, kinderpornografie, inbreuk op intellectuele eigendomsrechten en drugshandel. Dankzij de computer zijn deze handelingen eenvoudiger geworden. Dit voorstel heeft betrekking op de eerste soort bedreigingen.
Bij de harmonisatie op EU-niveau moet rekening worden gehouden met de ontwikkelingen in andere internationale fora en met het feit dat de harmonisatie moet aansluiten bij het bestaande Gemeenschapsbeleid. Dit voorstel beoogt binnen de EU een verdergaande harmonisatie tot stand te brengen dan in andere internationale fora is verwezenlijkt.
Inhoudsopgave
- Rechtsgrondslag
- 1.1. Soorten aanvallen op informatiesystemen
- 1.2. De aard van de bedreiging
- 1.3. De behoefte aan nauwkeurige gegevens en statistieken
- 1.4. Achtergrond van het beleid van de Europese Unie
- 1.5. Onderlinge afstemming van het strafrecht
- 1.6. Werkingssfeer en doelstelling van het voorgestelde kaderbesluit
- 3. HET KADERBESLUIT: TOELICHTING PER ARTIKEL
- Artikel 2 - Definities
- Artikel 3 - Aanvallen in de vorm van onrechtmatige toegang tot informatiesystemen
- Artikel 4 - Onrechtmatige verstoring van informatiesystemen
- Artikel 5 - Instigatie, hulp, aanstoking en poging
- Artikel 6 - Straffen
- Artikel 7 - Verzwarende omstandigheden
- Artikel 8 - Bijzondere omstandigheden
- Artikel 9 - Aansprakelijkheid van rechtspersonen
- Artikel 10 - Straffen tegen rechtspersonen
- Artikel 11 - Rechtsmacht
- Artikel 12 - Uitwisseling van informatie
- Artikel 13 - Tenuitvoerlegging
- Artikel 14 - Inwerkingtreding
De doelstelling om een ruimte van vrijheid, veiligheid en rechtvaardigheid tot stand te brengen, moet worden verwezenlijkt door al dan niet georganiseerde criminaliteit, waaronder terrorisme, te voorkomen en te bestrijden door middel van een nauwere samenwerking tussen de rechtshandhavings- en de justitiële autoriteiten van de lidstaten en door middel van de onderlinge afstemming van de nationale bepalingen betreffende strafzaken. Dit voorstel voor een kaderbesluit heeft daarom ten doel de wettelijke en bestuursrechtelijke bepalingen van de lidstaten op het gebied van de politiële en justitiële samenwerking in strafzaken onderling af te stemmen. Het voorstel heeft betrekking op 'minimumvoorschriften met betrekking tot de bestanddelen van strafbare feiten', in het bijzonder op het gebied van georganiseerde criminaliteit en terrorisme. Het heeft tevens betrekking op 'het waarborgen van de verenigbaarheid van de in de lidstaten geldende voorschriften', om de samenwerking tussen de justitiële autoriteiten te vergemakkelijken en te bespoedigen. De in de preambule van het voorstel genoemde rechtsgrond bestaat dus uit artikel 29, artikel 30, onder a), artikel 31 en artikel 34, lid 2, onder b, van het Verdrag betreffende de Europese Unie. Dit voorstel heeft geen financiële gevolgen voor de begroting van de Europese Gemeenschappen.
Artikel 1 - Werkingssfeer en doelstelling van het kaderbesluit
Dit artikel bepaalt uitdrukkelijk dat dit kaderbesluit ten doel heeft het strafrecht van de lidstaten op het gebied van ernstige aanvallen op informatiesystemen te harmoniseren, met name om bij te dragen aan de bestrijding van georganiseerde criminaliteit en terrorisme, en daarmee te zorgen voor een optimale politiële en justitiële samenwerking op het gebied van strafbare feiten die verband houden met aanvallen op informatiesystemen. Overeenkomstig artikel 47 van het Verdrag betreffende de Europese Unie doet dit kaderbesluit geen afbreuk aan het Gemeenschapsrecht. Daarbij wordt in het bijzonder gedoeld op de rechten en plichten op het gebied van gegevensbescherming en de bescherming van de persoonlijke levenssfeer, die zijn vastgelegd in de richtlijnen 95/46 en 97/66. Het kaderbesluit is niet bedoeld om de lidstaten te verplichten inbreuken op regels inzake de toegang tot en de bekendmaking van persoonsgegevens, de vertrouwelijke aard van berichten, de beveiliging bij de verwerking van persoonsgegevens, elektronische handtekeningen i of schendingen van de intellectuele eigendom strafbaar te stellen, en het laat Richtlijn 98/84/EG betreffende de rechtsbescherming van diensten gebaseerd op of bestaande uit voorwaardelijke toegang i, onverlet.
Dit kaderbesluit is niet bedoeld is om de lidstaten te verplichten onbeduidende gedragingen strafbaar te stellen. In de artikelen 3 en 4 worden de criteria omschreven waaraan moet zijn voldaan om een handeling strafbaar te stellen. Deze criteria zijn coherent met de mogelijkheden voor afwijkingen en voorbehoud die in het ontwerp-verdrag van de Raad van Europa inzake cybercriminaliteit worden geboden.
Alle strafbare feiten waarop het kaderbesluit betrekking heeft, moeten opzettelijk zijn gepleegd. In de artikelen 3, 4 en 5 wordt uitdrukkelijk de term 'opzettelijk' gebruikt. Deze term moet worden uitgelegd overeenkomstig de normale strafrechtbeginselen die in de lidstaten met betrekking tot opzet worden gehanteerd. Dit kaderbesluit vereist dus niet de strafbaarstelling van gedragingen waarbij sprake is van grove nalatigheid of andere vormen van onvoorzichtigheid, maar niet van opzet als zodanig. Het oogmerk om onrechtmatig toegang te krijgen tot informatiesystemen in het algemeen of deze te verstoren moet voldoende zijn, zonder dat bewezen moet worden dat deze opzet gericht was tegen een bepaald informatiesysteem in het bijzonder.
In het voorgestelde kaderbesluit van de Raad gelden de volgende definities:
(a) 'Elektronisch communicatienetwerk': Deze definitie is dezelfde als die welke door de Raad en het Europees Parlement op 14 februari 2002 werd goedgekeurd in de richtlijn inzake een gemeenschappelijk regelgevingskader voor elektronische communicatienetwerken en -diensten i.
(b) 'Computer': Deze definitie is gebaseerd op artikel 1 van het ontwerp-verdrag van de Raad van Europa inzake cybercriminaliteit. Onder deze definitie vallen bijvoorbeeld ook 'stand-alone'-pc's, persoonlijke digitale organizers, digitale decoders, persoonlijke videorecorders en mobiele telefoons (vooropgesteld dat deze over bepaalde gegevensverwerkingsfuncties beschikken, zoals WAP en derde generatie), die niet onder de gewone definitie van elektronische communicatienetwerken zouden vallen.
(c) 'Computergegevens': Deze definitie is gebaseerd op de ISO i-definitie van gegevens. Stoffelijke zaken zoals boeken worden daar niet onder begrepen. Een boek dat in de vorm van computergegevens is opgeslagen (dat bijvoorbeeld in elektronische vorm is opgeslagen als een tekstverwerkingsfile) of dat door middel van een scan is omgezet in computergegevens, valt er echter wel onder. Daarom bepaalt de definitie dat computergegevens moeten zijn 'gemaakt of omgezet in een vorm' die geschikt is voor verwerking in een informatiesysteem of om een informatiesysteem een bepaalde functie te laten uitvoeren.
(d) 'Informatiesysteem': De definitie van informatiesystemen grijpt terug op de definitie in de richtsnoeren van de OESO voor de beveiliging van informatiesystemen van 1992 en op de vorige definities, in die zin dat in de definitie wordt verwezen naar elektronische communicatienetwerken, computers en computergegevens. Deze term is ook in eerdere communautaire rechtsinstrumenten gebruikt, zoals het Besluit van de Raad betreffende de beveiliging van informatiesystemen van 31 maart 1992 en de Aanbeveling van de Raad van 7 april 1995 inzake gemeenschappelijke veiligheidsbeoordelingscriteria voor informatietechnologie. De definitie beoogt technologisch neutraal te zijn en een correcte weergave te geven van de idee van onderling gekoppelde netwerken en systemen die gegevens bevatten. De definitie heeft zowel betrekking op hardware als op software, maar niet op de inhoud van de gegevens zelf. Ook stand-alonesystemen vallen onder de definitie. De Commissie is van mening dat het wenselijk is ook stand-alonecomputers onder de strafrechtelijke bescherming te laten vallen, in plaats van deze te beperken tot onderling gekoppelde systemen.
e) 'Rechtspersoon': Dit is een standaarddefinitie die ook in andere kaderbesluiten van de Raad wordt gebruikt.
f) 'Bevoegde persoon': Hieronder wordt iedereen verstaan die contractueel of wettelijk het recht heeft, of de rechtmatige toestemming, om een informatiesysteem te gebruiken, te beheren, te controleren, te testen, er rechtmatig wetenschappelijk onderzoek mee te doen of op een andere manier te exploiteren, en die in overeenstemming met dat recht of die rechtmatige toestemming handelt. Daaronder vallen ook personen die handelen overeenkomstig de rechtmatige instemming van iemand aan wie deze bevoegdheid expliciet is verleend. Het is bijzonder belangrijk dat de volgende categorieën personen en legale activiteiten (binnen de grenzen van de rechten, machtigingen en verantwoordelijkheden van de betrokken persoon en in overeenstemming met de Gemeenschapswetgeving inzake gegevensbescherming en de vertrouwelijke aard van berichten) niet als strafbaar worden beschouwd wanneer dit kaderbesluit wordt omgezet in nationale wetgeving:
- handelingen van gewone, zowel particuliere als zakelijke gebruikers, met inbegrip van het gebruik van encryptie om hun eigen berichten en gegevens te beveiligen;
- reverse engineering, binnen de grenzen die worden gesteld in Richtlijn 91/250 van 14 mei 1991 betreffende de rechtsbescherming van computerprogramma's i;
- handelingen van beheerders, controleurs en exploitanten van netwerken en systemen;
- handelingen van bevoegde personen die een systeem testen, ongeacht of dat binnen de onderneming gebeurt of dat daartoe een externe persoon wordt aangewezen die wordt gemachtigd de beveiliging van een systeem te testen;
- rechtmatig wetenschappelijk onderzoek.
g) 'Onrechtmatig': Dit is een ruim begrip, dat de lidstaten een zekere speelruimte biedt bij het afbakenen van het strafbare feit. Om te helpen bij de tenuitvoerlegging van het kaderbesluit in de nationale wetgeving, acht de Commissie het niettemin noodzakelijk aan te geven dat bepaalde activiteiten niet tot het strafbare feit moeten worden gerekend. Het is niet mogelijk, en waarschijnlijk ook niet wenselijk, een volledige, uitsluitende lijst van uitzonderingen op het niveau van de Europese Unie op te stellen. Maar de formulering 'onrechtmatig' grijpt terug op de vorige definities, zodat gedragingen van bevoegde personen buiten de definitie vallen. Ook elke andere gedraging die volgens het nationale recht als rechtmatig wordt beschouwd valt erbuiten, met inbegrip van de standaard wettige verweermiddelen en andere machtigingen die bij nationaal recht zijn erkend.
Dit feit omvat de onrechtmatige toegang tot informatiesystemen. Daaronder valt ook het begrip 'hacking'. Het staat de lidstaten vrij om bij de omzetting van het kaderbesluit in nationale wetgeving, onbeduidende gevallen buiten de werkingssfeer van het strafbare feit te laten vallen.
Het feit moet in de wetgeving van de lidstaten slechts strafbaar worden gesteld voor zover het is gepleegd:
(i) tegen een deel van een informatiesysteem waarvoor specifieke beveiligingsmaatregelen gelden; of
(ii) met het oogmerk om een natuurlijke of een rechtspersoon schade te berokkenen; of
(iii) met het oogmerk economisch voordeel tot gevolg te hebben.
De Commissie wenst op geen enkele manier afbreuk te doen aan het belang van het gebruik van doeltreffende technische maatregelen om informatiesystemen te beveiligen. Maar het is helaas een feit dat veel gebruikers zichzelf blootstellen aan aanvallen omdat zij onvoldoende (of helemaal geen) technische beveiligingsmaatregelen treffen. Om aanvallen die gericht zijn tegen deze gebruikers te ontmoedigen, moet de ongeoorloofde toegang tot hun systemen onder het strafrecht vallen, ook als deze systemen onvoldoende technisch beveiligd zijn. Daarom is er, mits het de bedoeling is schade te berokkenen of economisch voordeel te behalen, ook sprake van een strafbaar feit zonder dat er beveiligingsvoorzieningen zijn uitgeschakeld.
Tot de strafbare feiten moeten de volgende opzettelijke, onrechtmatig handelingen worden gerekend:
(a) het onrechtmatig ernstig hinderen of onderbreken van de werking van een informatiesysteem door de invoer, de transmissie, het beschadigen, wissen, verminken, wijzigen of onderdrukken van computergegevens. De componenten van de invoer of de transmissie van computergegevens hebben specifiek betrekking op het probleem van de zogenoemde 'denial of service'-aanvallen, waarbij opzettelijk wordt gepoogd een informatiesysteem te overbelasten. Ook het 'onderbreken' van de werking van een informatiesysteem moet tot de strafbare feiten worden gerekend, en hoewel dit uit het begrip 'hinderen' kan worden afgeleid, wordt het hier duidelijkheidshalve expliciet vermeld. De andere componenten van het strafbare feit (het beschadigen, wissen, verminken, wijzigen of onderdrukken van computergegevens) betreffen specifiek het probleem van de virus- en andere soorten aanvallen, die ten doel hebben de functies van het informatiesysteem zelf te hinderen of te onderbreken.
(b) het wissen, verminken, wijzigen, onderdrukken of ontoegankelijk maken van computergegevens in een informatiesysteem met het oogmerk een natuurlijke of een rechtspersoon schade te berokkenen. Hieronder vallen zowel virusaanvallen op de inhoud van (of de computergegevens in) het informatiesysteem als de beschadiging van websites.
In punt (a) wordt het begrip 'ernstig hinderen of onderbreken' gebruikt als een bestanddeel van het strafbare feit om de effecten van een dergelijke aanval te beschrijven. Er is geen definitie gegeven van het begrip 'ernstig hinderen', omdat dit in verschillende vormen kan plaatshebben en de omvang ervan kan verschillen naar gelang van het soort aanval en de technische capaciteiten van het aangevallen informatiesysteem. Elke lidstaat moet zelf bepalen aan welke criteria moet zijn voldaan opdat er sprake zou zijn van het 'ernstig hinderen' van een informatiesysteem. Geringe hinder of storingen van de werking moeten echter niet als ernstig worden beschouwd.
Zoals hiervoor reeds is vermeld, staat het de lidstaten vrij onbeduidende gevallen bij de omzetting van het kaderbesluit in nationaal recht niet tot de strafbare feiten te rekenen.
Door artikel 5, lid 1, wordt de lidstaten de verplichting opgelegd ervoor te zorgen dat de opzettelijke instigatie of aanstoking tot en hulp bij de strafbare feiten ten aanzien van informatiesystemen in de zin van de artikelen 3 en 4 strafbaar worden gesteld.
Artikel 5, lid 2, heeft specifiek betrekking op pogingen. Door dit artikel wordt de lidstaten de verplichting opgelegd ervoor te zorgen dat elke poging tot het plegen van een van de strafbare feiten ten aanzien van informatiesystemen in de zin van de artikelen 3 en 4 strafbaar wordt gesteld.
In lid 1 is bepaald dat de lidstaten de nodige maatregelen moeten nemen om ervoor te zorgen dat de strafbare feiten in de zin van de artikelen 3, 4 en 5 met doeltreffende, evenredige en afschrikkende straffen worden bestraft i.
Door het eerste lid van dit artikel wordt de lidstaten de verplichting opgelegd straffen vast te stellen die evenredig zijn aan de zwaarte van het strafbare feit, waaronder ook maximumgevangenisstraffen die in ernstige gevallen niet minder dan één jaar moeten bedragen. Het begrip 'ernstige gevallen' moet aldus worden opgevat dat gedragingen die geen schade of economisch voordeel ten gevolge hebben gehad, daar niet onder vallen. Door de maximumgevangenisstraf die in ernstige gevallen ten minste één jaar moet bedragen, vallen deze strafbare feiten onder het toepassingsgebied van het Europees arrestatiebevel alsmede van andere instrumenten zoals het Kaderbesluit van de Raad van 26 juni 2001 inzake het witwassen van geld, de identificatie, opsporing, bevriezing, inbeslagneming en confiscatie van hulpmiddelen en van opbrengsten van misdrijven i.
In overeenstemming met de aard van kaderbesluiten, die verbindend zijn voor de lidstaten ten aanzien van het te bereiken resultaat, maar deze de keuze laat wat de vorm en de middelen betreft, beschikken de lidstaten, binnen de door het kaderbesluit opgelegde grenzen en in het bijzonder wat de verzwarende omstandigheden van artikel 7 betreft, over een zekere speelruimte om hun wetgeving aan deze bepalingen aan te passen en de zwaarte van de toe te passen sancties te bepalen. De Commissie wijst erop dat het aan de lidstaten staat op grond van hun eigen rechtsstelsel te beslissen welke criteria bij het bepalen van de zwaarte van een strafbaar feit zullen worden gehanteerd.
Een sanctie hoeft niet altijd een gevangenisstraf te zijn. Door lid 2 krijgen de lidstaten de mogelijkheid overeenkomstig hun traditie en rechtsstelsel naast vrijheidsstraffen bijkomende of alternatieve straffen in de vorm van boetes op te leggen.
In dit artikel is bepaald dat de lidstaten de in artikel 6 gedefinieerde sancties in bepaalde omstandigheden verzwaren. De Commissie wijst erop dat de lijst van verzwarende omstandigheden in dit artikel alle andere omstandigheden die volgens de wetgeving van de lidstaten verzwarend worden geacht, onverlet laat. In deze lijst zijn de in de nationale bepalingen van de lidstaten omschreven en in vroegere voorstellen voor kaderbesluiten van de Commissie vastgelegde verzwarende omstandigheden in aanmerking genomen.
Indien aan een van de volgende in lid 1 vermelde voorwaarden is voldaan, moet de maximumgevangenisstraf ten minste vier jaar bedragen:
(a) indien het strafbare feit is gepleegd in het kader van een criminele organisatie in de zin van Gemeenschappelijk optreden 98/733/JBZ, afgezien van het daarin aangegeven strafniveau;
(b) indien het strafbare feit natuurlijke personen rechtstreeks of onrechtstreeks aanzienlijke economische schade of lichamelijk letsel heeft toegebracht of aanzienlijke schade aan een deel van de kritische infrastructuur van de lidstaat heeft veroorzaakt;
(c) indien het strafbare feit aanzienlijke opbrengsten ten gevolge heeft gehad.
De lidstaten moeten er ook voor zorgen dat de strafbare feiten als bedoeld in de artikelen 3, 4 en 5 kunnen worden bestraft met zwaardere vrijheidsstraffen dan die waarin artikel 6 voorziet, wanneer tegen de dader in een lidstaat van de Unie een eindvonnis voor een dergelijk feit is uitgesproken.
Dit artikel heeft betrekking op omstandigheden op grond waarvan een lidstaat de straffen in de zin van de artikelen 6 en 7 kan verlichten wanneer de dader volgens de bevoegde justitiële autoriteit slechts onbeduidende schade heeft veroorzaakt.
Evenals in andere rechtsinstrumenten op EU-niveau ter bestrijding van de verschillende soorten criminaliteit, moeten regels worden opgesteld voor situaties waarin rechtspersonen bij aanvallen op informatiesystemen zijn betrokken. Om die redenen bevat artikel 9 bepalingen op grond waarvan rechtspersonen aansprakelijk kunnen worden gesteld voor strafbare feiten in de zin van de artikelen 3, 4 en 5, te hunnen voordele gepleegd door personen die bepaalde leidende functies bekleden en die hetzij als individu of als lid van een orgaan van de rechtspersoon handelen. Het begrip aansprakelijkheid dient zodanig te worden opgevat dat daaronder zowel de strafrechtelijke als de wettelijke aansprakelijkheid vallen.
Daarnaast is in lid 2, overeenkomstig algemeen gebruik, bepaald dat een rechtspersoon eveneens aansprakelijk kan worden gesteld wanneer, bij gebreke van toezicht of controle door een persoon die in de positie is om de controle uit te oefenen, ten voordele van de rechtspersoon strafbare feiten konden worden gepleegd. Lid 3 houdt in dat rechtsprocedures tegen een rechtspersoon gelijktijdige rechtsprocedures tegen een natuurlijke persoon niet uitsluiten.
In artikel 10 is bepaald dat straffen moeten worden vastgesteld tegen rechtspersonen die aansprakelijk zijn voor strafbare feiten in de zin van de artikelen 3, 4 en 5. Deze straffen moeten doeltreffend, evenredig en afschrikkend zijn en ten minste al dan niet strafrechtelijke geldboetes omvatten. Andere mogelijke straffen tegen rechtspersonen worden eveneens aangegeven.
Het internationale karakter van strafbare feiten waarvan sprake is bij aanvallen op informatiesystemen impliceert dat voor een doeltreffende wetgevende reactie op het niveau van de Europese Unie duidelijke en verreikende procedurele regels inzake rechtspraak en uitlevering vereist zijn om te garanderen dat plegers van strafbare feiten niet aan vervolging kunnen ontkomen.
In lid 1 is een reeks criteria geformuleerd voor de toekenning van rechtsmacht aan nationale justitiële autoriteiten om de gevallen te vervolgen en te onderzoeken die strafbare feiten vormen in de zin van dit kaderbesluit. Een lidstaat dient zijn rechtsmacht te vestigen in drie situaties:
(a) wanneer het strafbare feit geheel of gedeeltelijk op zijn grondgebied is gepleegd, ongeacht de status van de betrokken rechtspersoon of de nationaliteit van de betrokken natuurlijke persoon (territorialiteitsbeginsel);
(b) wanneer de dader een onderdaan is van die lidstaat (actief personaliteitsbeginsel) en de handeling is gericht tegen individuen of groepen uit die staat. Lidstaten die geen onderdanen uitleveren, moeten de eigen onderdanen die in het buitenland strafbare feiten hebben gepleegd, zelf vervolgen;
(c) wanneer het strafbare feit is gepleegd ten voordele van een rechtspersoon die op het grondgebied van die lidstaat is gevestigd.
Lid 2 is bedoeld om ervoor te zorgen dat, wanneer een lidstaat zijn rechtsmacht vestigt met betrekking tot de strafbare feiten die zijn gebaseerd op het in lid 1, onder a), bedoelde territorialiteitsbeginsel, hij erop toeziet dat zijn rechtsmacht gevallen omvat waarin:
(a) de dader het strafbare feit pleegt terwijl hij zich fysiek op het grondgebied van die lidstaat bevindt, ongeacht of het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied. Een voorbeeld daarvan is een persoon die zich vanaf het grondgebied van de betrokken lidstaat onrechtmatig toegang verschaft (hacking) tot een informatiesysteem in een derde land; of
(b) het strafbare feit is gericht tegen een informatiesysteem op het eigen grondgebied, ongeacht of de dader zich bij het plegen van het feit fysiek op het grondgebied van die lidstaat bevindt. Een voorbeeld daarvan is iemand die zich vanaf het grondgebied van een derde land onrechtmatig toegang verschaft (hacking) tot een informatiesysteem op het grondgebied van de betrokken lidstaat.
Omdat niet alle lidstaten in hun rechtstraditie extraterritoriale rechtsbevoegdheid voor alle soorten strafbare feiten kennen, biedt lid 3 hun de mogelijkheid om de in lid 1, onder (b) en (c), geformuleerde regels inzake de rechtsmacht niet toe te passen.
In lid 4 is bepaald dat elke lidstaat de nodige maatregelen neemt om zijn rechtsmacht voor de strafbare feiten in de zin van de artikelen 3, 4 en 5 ook te vestigen in gevallen waarin hij weigert een persoon die van een dergelijk strafbaar feit wordt verdacht of daaraan schuldig is bevonden, aan een andere lidstaat of een derde land over te dragen of uit te leveren.
Lid 5 heeft betrekking op onder verschillende jurisdicties vallende gevallen en heeft ten doel te zorgen voor volledige samenwerking tussen de lidstaten teneinde procedures, zo mogelijk, in één enkele lidstaat te centraliseren. Daartoe wordt erop geattendeerd dat de lidstaten een beroep kunnen doen op elk in de Europese Unie ingesteld orgaan of mechanisme teneinde de samenwerking tussen hun rechterlijke instanties en de coördinatie van hun actie te vergemakkelijken. Het kan daarbij ook gaan om Eurojust en het Europees Justitieel Netwerk.
In lid 6 is bepaald dat de lidstaten het Secretariaat-generaal van de Raad en de Commissie op de hoogte brengen wanneer zij besluiten lid 3 toe te passen.
Artikel 12 heeft ten doel de uitwisseling van informatie te vergemakkelijken door ervoor te zorgen dat operationele meldpunten worden ingesteld. Dit is van belang voor een doeltreffende politiële samenwerking. De Raad Justitie en Binnenlandse Zaken heeft met name op 19 maart 1998, en meer recent toen hij een aanbeveling van de Raad goedkeurde betreffende meldpunten die 24 uur per dag operationeel zijn voor de bestrijding van hightech-criminaliteit i, erkend dat het noodzakelijk is dat alle lidstaten bij het netwerk van meldpunten van de G8 aansluiten.
Artikel 13 betreft de tenuitvoerlegging en de follow-up van dit kaderbesluit. De lidstaten moeten de nodige maatregelen nemen om uiterlijk op 31 december 2003 aan dit kaderbesluit te voldoen.
De lidstaten delen het Secretariaat-generaal van de Raad en de Commissie uiterlijk op genoemde datum de tekst mede van de bepalingen waarmee zij hun verplichtingen uit hoofde van dit kaderbesluit in hun nationaal recht omzetten. Op grond van die informatie en een schriftelijk verslag van de Commissie zal de Raad binnen één jaar beoordelen in hoeverre de lidstaten hun verplichtingen uit hoofde van dit kaderbesluit zijn nagekomen.
In artikel 14 is bepaald dat dit kaderbesluit in werking treedt op de twintigste dag na de bekendmaking ervan in het Publicatieblad van de Europese Gemeenschappen.