ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

Transkript

1 EVROPSKÁ KOMISE V Bruselu dne COM(2017) 474 final ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ o tom, do jaké míry členské státy přijaly opatření nezbytná k dosažení souladu se směrnicí 2013/40/EU o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV CS CS

2 Obsah 1. Úvod Cíle a oblast působnosti směrnice Účel a metodika zprávy Prováděcí opatření Právní definice (článek 2 směrnice)... 6 a) Informační systém... 6 b) Počítačové údaje... 6 c) Právnická osoba... 6 d) Neoprávněný Konkrétní trestné činy (články 3 až 7 směrnice)... 7 a) Neoprávněný přístup k informačním systémům... 7 b) Neoprávněné zasahování do informačního systému... 7 c) Neoprávněné zasahování do údajů... 7 d) Neoprávněné sledování údajů... 7 e) Nástroje použité k páchání trestných činů Obecná pravidla týkající se daných trestných činů (články 8 až 12 směrnice)... 8 a) Návod, pomoc nebo jiná forma účastenství... 8 b) Pokus... 8 c) Sankce... 8 d) Odpovědnost právnických osob e) Sankce vůči právnickým osobám f) Soudní příslušnost Provozní otázky (články 13 až 14 směrnice) a) Ustanovení o funkčních národních kontaktních místech b) Informace o zřízených funkčních národních kontaktních místech c) Informační kanály d) Sběr statistických údajů e) Předávání statistických údajů Komisi Závěr a další postup

3 1. Úvod Podle zprávy Europolu o posouzení hrozeb organizované trestné činnosti na internetu (IOCTA) za rok 2016 je kyberkriminalita čím dál agresivnější a konfrontačnější. Projevuje se to u různých forem kyberkriminality, včetně útoků na informační systémy 1. Mezi závažné formy útoků zmiňované Europolem patří využití škodlivého softwaru a sociálního inženýrství k infiltraci do informačního systému a získání kontroly nad ním nebo k odposlechu komunikací a provádění rozsáhlých síťových útoků, včetně útoků na kritickou infrastrukturu. Tyto útoky jsou považovány za hlavní hrozby pro naši společnost. S ohledem na narůstající objem informací ukládaných do cloudů a na značnou mobilitu informací i zločinců se pro vyšetřování většiny případů kyberkriminality stala klíčovou přeshraniční spolupráce mezi donucovacími orgány. Aby bylo možné s tímto zločinem účinně bojovat, musí členské státy společně definovat jednání, které má být považováno za útok na informační systémy. Musí rovněž zajistit sblížení úrovně sankcí a funkčních prostředků pro nahlašování trestných činů a výměnu informací mezi orgány. Proto dne 12. srpna 2013 přijaly Evropský parlament a Rada směrnici 2013/40/EU (dále jen směrnice ) o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV Cíle a oblast působnosti směrnice Cílem směrnice je sblížit trestní právo členských států 3 v oblasti útoků na informační systémy a zlepšit spolupráci mezi příslušnými orgány. Dosahuje se toho zavedením minimálních pravidel týkajících se definice trestných činů a sankcí v oblasti útoků na informační systémy a stanovením požadavku na funkční kontaktní místa s nepřetržitým provozem. Pokud jde o definice příslušných termínů, používá směrnice následující pojmy: informační systém v čl. 2 písm. a) 4. Definice se velmi podobá definici počítačového systému stanovené v čl. 1 písm. a) Úmluvy Rady Evropy o kyberkriminalitě ze dne 23. listopadu 2001 (tzv. Budapešťské úmluvy), s tím rozdílem, že směrnice se výslovně vztahuje i na samotné počítačové údaje; počítačové údaje v čl. 2 písm. b). Definice vychází z definice uvedené v čl. 1 písm. b) Budapešťské úmluvy, která namísto počítačového systému odkazuje na informační systém; právnická osoba v čl. 2 písm. c). Cílem definice je zajistit odpovědnost fyzických i právnických osob a zároveň vyloučit státy, veřejné orgány a veřejné mezinárodní organizace; 1 Europol, posouzení hrozeb organizované trestné činnosti na internetu (IOCTA) za rok 2016, dostupné na adrese: Není-li výslovně uvedeno jinak, odkazují dále pojmy členské státy a všechny členské státy na členské státy vázané směrnicí, tj. všechny členské státy EU s výjimkou Dánska, které se na přijímání směrnice nepodílelo v souladu s články 1 a 2 Protokolu o postavení Dánska, který je připojen ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie (SFEU). V souladu s článkem 3 Protokolu (č. 21) o postavení Spojeného království a Irska se oba tyto státy na přijímání směrnice podílely a jsou jí vázány. 4 Není-li uvedeno jinak, odkazují všechny zmíněné články na příslušné články směrnice. 3

4 neoprávněný v čl. 2 písm. d). Tato definice se týká obecné zásady trestního práva a má za cíl vyloučit trestní odpovědnost osob jednajících v souladu s vnitrostátním právem nebo na základě povolení od vlastníka informačního systému či jiného držitele práv k informačnímu systému nebo k jeho části. Jsou definovány určité trestné činy, konkrétně: neoprávněný přístup k informačním systémům jako takový (článek 3); neoprávněné zasahování do informačních systémů (článek 4), což zahrnuje jakýkoli neoprávněný přístup k informačnímu systému, který má za následek závažné narušení nebo přerušení jeho fungování; neoprávněné zasahování do údajů (článek 5), což odkazuje na jakýkoli protiprávní čin provedený s počítačovými údaji, který narušuje jejich nedotknutelnost či dostupnost; neoprávněné sledování (článek 6) neveřejných přenosů počítačových údajů a elektromagnetického záření z informačního systému nesoucího takové počítačové údaje; neoprávněné poskytování nástrojů používaných k páchání zmíněných trestných činů (článek 7). V tomto kontextu mohou takové nástroje představovat počítačové programy, počítačová hesla či jakékoli jiné údaje umožňující přístup k informačnímu systému. Kromě toho směrnice rozšiřuje trestní odpovědnost na návod, pomoc a jinou formu účastenství fyzických či právnických osob na spáchání výše uvedených trestných činů a na jejich pokusy o takové činy (článek 8). Návod, pomoc a jiná forma účastenství se týkají veškerých trestných činů uvedených v článcích 3 až 7, zatímco pokus se týká pouze článků 4 a 5. Dolní hranice maximálních sankcí za trestné činy uvedené ve směrnici jsou stanoveny v článku 9: Jako výchozí sankce se stanoví maximální trest odnětí svobody na dobu nejméně 2 let za všechny trestné činy s výjimkou trestných činů uvedených v článku 8 (čl. 9 odst. 2). Maximální trest odnětí svobody na dobu nejméně 3 let se stanoví za trestné činy uvedené článcích 4 a 5, které měly dopad na velký počet informačních systémů (obecně označovaných botnety ; čl. 9 odst. 3). Maximální trest odnětí svobody na dobu nejméně 5 let se vyžaduje u trestných činů podle článků 4 a 5 spáchaných v rámci zločinného spolčení (čl. 9 odst. 4 písm. a)), jejichž spácháním byla způsobena závažná škoda (čl. 9 odst. 4 písm. b)) nebo byly spáchány proti informačnímu systému kritické infrastruktury (čl. 9 odst. 4 písm. c)). Pokud byl trestný čin podle článků 4 a 5 spáchán v souvislosti se zneužitím osobních údajů jiné osoby, by měly členské státy zajistit, aby tato skutečnost mohla být považována za přitěžující okolnost, není-li takováto okolnost již zahrnuta ve skutkové podstatě jiného činu (čl. 9 odst. 5). Další články stanoví minimální podmínky odpovědnosti právnických osob (článek 10) a obsahují ukázkový seznam možných sankcí proti nim (článek 11). Vzhledem k tomu, že výše uvedené trestné činy mohou být páchány (ve smyslu vykonávány ) na místě, kde pachatel fyzicky působí, zatímco jejich dopady na zacílený informační systém se mohou odehrávat jinde, stanovuje článek 12 povinnost stanovit soudní příslušnost, která rozlišuje mezi: 4

5 místem, kde je pachatel při páchání trestného činu fyzicky přítomen, umístěním zacíleného informačního systému, státní příslušností pachatele, jeho obvyklým bydlištěm a místem, kde je usazena právnická osoba, v jejíž prospěch je trestný čin páchán. Pokud jde o výměnu informací, vyžaduje čl. 13 odst. 1, aby měly členské státy k dispozici funkční národní kontaktní místa dostupná 24 hodin denně a 7 dní v týdnu, která jim umožní odpovědět na naléhavou žádost ze zahraničí nejpozději za 8 hodin. Dále musí členské státy přijmout opatření nutná k usnadnění oznamování výše uvedených trestných činů příslušným vnitrostátním orgánům (čl. 13 odst. 3) a ke shromažďování a sdílení minimálního množství statistických údajů o těchto trestných činech (článek 14). 1.2 Účel a metodika zprávy Článek 16 směrnice vyžaduje, aby členské státy uvedly v účinnost právní a správní předpisy nutné k zajištění souladu se směrnicí do 4. září 2015 a informovaly o nich Komisi. Tato zpráva je odpovědí na požadavek uvedený v článku 17 směrnice, aby Komise podala Evropskému parlamentu a Radě zprávu, ve které zhodnotí, do jaké míry jednotlivé členské státy přijaly opatření nezbytná k dosažení souladu se směrnicí. Cílem zprávy je proto poskytnout stručný, ale informativní přehled o hlavních prováděcích opatřeních, která členské státy přijaly. Provádění v právu členských států zahrnovalo sběr informací o příslušných právních a správních předpisech, jejich analýzu, navrhování nových právních předpisů, resp. ve většině případů změnu stávajících aktů, dosažení jejich přijetí a nakonec jejich oznámení Komisi. Do dne provedení informovalo Komisi o plném provedení směrnice 22 členských států. V listopadu 2015 zahájila Komise řízení o nesplnění povinnosti z důvodu neoznámení vnitrostátních prováděcích opatření s pěti zbývajícími členskými státy: BE, BG, EL, IE a SI 5. K 31. květnu 2017 stále probíhala řízení o nesplnění povinnosti z důvodu neoznámení vnitrostátních prováděcích opatření s BE, BG a IE. 6 Popis a analýza v této zprávě vycházejí z informací poskytnutých členskými státy k 31. květnu K oznámením obdrženým po tomto datu nebylo přihlédnuto. Byla zohledněna všechna oznámená opatření uvádějící vnitrostátní právní předpisy, rozhodnutí soudů a v relevantních případech též běžná právní teorie. Bylo-li to nezbytné a vhodné, kontaktovala navíc Komise v průběhu analýzy přímo členské státy s žádostí o poskytnutí dalších informací či objasnění. Při analýze byly zohledněny všechny shromážděné informace. 5 Názvy členských států jsou v tomto dokumentu uváděny zkratkami dostupnými na adrese: 6 Informace o rozhodnutích Komise zahájit řízení o nesplnění povinnosti jsou dostupné na adrese: 7 IE oznámilo úplné provedení směrnice dne 31. května

6 Nad rámec problémů zjištěných v této zprávě se mohou vyskytovat další problémy s prováděním ve vnitrostátním právu či s jinými ustanoveními neoznámenými Komisi nebo s budoucím legislativním i nelegislativním vývojem. Proto tato zpráva nebrání Komisi, aby u některých ustanovení provedla další hodnocení a aby nadále podporovala členské státy v provádění a uplatňování směrnice. 2. Prováděcí opatření 2.1 Právní definice (článek 2 směrnice) V článku 2 směrnice je uvedena právní definice pojmů informační systém (a)), počítačové údaje (b)), právnická osoba (c)), a neoprávněný (d)). Právní předpisy upravující všechny aspekty výše uvedených definic zavedly jen CY a UK (Gibraltar). Konkrétně je stav následující: a) Informační systém Definice směrnice vychází z definice počítačového systému uvedené v čl. 1 písm. a) Budapešťské úmluvy a přidává jako součást informačního systému samotné počítačové údaje. CY, EL, IE, FI, HR, MT, PT a UK (Gibraltar) zavedly právní ustanovení s definicí informačního systému. Informace poskytnuté DE, ES, FR, LU, LV, PL, SE a SK nejsou průkazné. Příslušné právní definice zbylých členských států, tj. AT, BE, BG, CZ, EE, HU, IT, LT, NL, RO, SI a UK (s výjimkou Gibraltaru), počítačové údaje výslovně nezmiňují. Z toho vyplývá, že odkazují na čl. 1 písm. a) Budapešťské úmluvy se stejným rozsahem definice počítačového systému. b) Počítačové údaje Termín počítačové údaje zahrnují právní předpisy AT, BG, CY, CZ, DE, EE, EL IE, FI, HR, LT, MT, NL, PT, RO a UK (Gibraltaru). Informace poskytnuté ES, FR, IT, LU, LV, PL, SE, SK a UK (s výjimkou Gibraltaru) nebyly průkazné. V případě SE však specifická podoba odkazujících článků činí tuto definici nadbytečnou. Ze zbývajících členských států vztahuje HU definici počítačových údajů jen na trestné činy popsané v článcích 4 a 5 směrnice a BE i SI postrádají v definici počítačových údajů program vhodný k zajištění provedení některé funkce informačním systémem. c) Právnická osoba S výjimkou LU, které neposkytlo průkazné informace o provedení čl. 2 písm. c), nečinilo provedení definice právnické osoby žádné problémy. Důvodem je, že tato definice již v právních předpisech členských států bývá obsažena, a to většinou v ustanoveních občanského nebo obchodního práva. Pouze CY zavedl v rámci opatření přijatých k provedení směrnice zvláštní ustanovení. d) Neoprávněný Pokud jde o pojem neoprávněný uvedený v čl. 2 písm. d), oznámily provedení pouze CY, IE, RO a UK (Gibraltar), což znamená, že zbylých 23 členských států nepřijalo pro tuto definici žádná prováděcí opatření. Je však nutné přihlédnout k tomu, že ve všech členských státech existuje obecná zásada vyloučení trestní odpovědnosti za jakékoli jednání vykonané s příslušnými právy. 6

7 2.2 Konkrétní trestné činy (články 3 až 7 směrnice) a) Neoprávněný přístup k informačním systémům Neoprávněný přístup k informačnímu systému (článek 3 směrnice) je zahrnut ve vnitrostátních právních předpisech AT, CY, CZ, EL, ES, IE, FI, FR, LT, LU, NL, PL, PT, SE a SK. U zbývajících členských států, tj. BE, BG, DE, EE, HR, HU, IT, LV, MT, RO, SI a UK, nerozlišuje příslušný vnitrostátní popis trestného činu mezi získáním přístupu k celému informačnímu systému a jen k jeho části, přestože ve směrnici je to výslovně stanoveno. V případě DE se též provedení nevztahuje výlučně na přístup k počítačovému hardwaru. AT a LU pak stanoví další požadavky ohledně zvláštního úmyslu (úmysl získat informace či způsobit znevýhodnění nebo podvodný úmysl) a LV stanoví požadavky ohledně příčiny značné škody. V případě BE, BG, FR, HR, LU, MT, PT, RO, SI a UK je oblast působnosti vnitrostátních ustanovení širší než oblast působnosti směrnice, protože tato ustanovení nestanoví obcházení jakéhokoli bezpečnostního opatření jako podmínku určení trestní odpovědnosti. Zbývající členské státy buď výslovně odkazují na trestný čin spáchaný porušením bezpečnostního opatření (CY, EL a SK), nebo k popisu tohoto aspektu používají podobnou terminologii (AT, CZ, DE, EE, ES, FI, HU, IT, LT, LV, NL, PL a SE). b) Neoprávněné zasahování do informačního systému Článek 4 směrnice se týká neoprávněného zasahování do informačního systému. Směrnice uvádí seznam 8 možných činů (vložení počítačových údajů, jejich přenos, poškození, vymazání, znehodnocení, pozměnění, potlačení, znepřístupnění) a 2 možné výsledky daného činu (závažné narušení nebo přerušení fungování informačního systému). BE, CY, CZ, EL, IE, FR, HR, LU, MT, PT, SE a UK (s výjimkou Gibraltaru) zavedly odpovídající legislativní opatření. BG uvádí jen vložení viru, zbylé členské státy (AT, DE, EE, ES, HU, IT, LV, NL, PL, RO, SI, SK a UK) výslovně neuvádějí jeden až čtyři z možných činů. V této souvislosti je patrné, že nejvíce problémů vzniklo u pojmu znehodnocení (chybí v 8 případech) a znepřístupnění (chybí v 9 případech). c) Neoprávněné zasahování do údajů Článek 5 směrnice se týká neoprávněného zasahování do údajů a uvádí výčet následujících 6 činů: vymazání, poškození, znehodnocení, pozměnění, potlačení nebo znepřístupnění údajů. CY, EL, IE a MT toto ustanovení provedly doslovně; BE, CZ, LT, PT a SE upravují všechny tyto možné činy obecnějšími termíny. Prováděcí opatření ostatních členských států nezahrnují všech šest možností, ale jen pět alternativ (FI a SK) nebo méně (AT, BG, DE, EE, FR, HR, HU, IT, LU, NL, PL, RO, SI a UK). Nejvíce problémů se vzniklo u pojmu poškození (chybí v 8 případech), znehodnocení (ve 13 případech), potlačení údajů (v 11 případech) a znepřístupnění údajů (ve 13 případech). Nad rámec znění směrnice podmiňuje FI trestní odpovědnost úmyslem způsobit škodu nebo finanční ztrátu a LT a LV pak jednáním za účelem způsobit značnou škodu nebo podstatnou újmu. d) Neoprávněné sledování údajů Článek 6 se týká neoprávněného sledování údajů a upravuje případy neveřejného přenosu počítačových údajů a elektromagnetického záření z informačního systému nesoucího takové údaje. CY, CZ, DE, ES, IE, FI, HR, LV, MT, RO, SE, SK a UK (Gibraltar) zavedly právní předpisy, které článek 6 provádějí v plném rozsahu. Některé státy obecnou působnost směrnice u sledování počítačových údajů omezují, a to na zprávy (AT a BG), sledování osoby (EE) nebo korespondenci (FR a HU). U následujících členských států se navíc provedení ve vnitrostátním právu nevztahuje na sledování elektromagnetického záření: BE, BG, EE, FR, 7

8 HU, IT, LT, LU, NL, PL, PT, SI a UK (s výjimkou Gibraltaru). Některé členské státy také vyžadují zvláštní úmysl (například získat informace či hospodářskou výhodu nebo způsobit znevýhodnění viz AT, EL, HU) nebo zvláštní doplňující jednání (například zaznamenávání sledovaného obsahu nebo seznamování se s ním viz BG a HU). e) Nástroje použité k páchání trestných činů Článek 7 kriminalizuje řadu případů, kdy jsou ke spáchání trestných činů uvedených v článcích 3 až 6 používány nástroje, jako jsou počítačové programy nebo přístupové kódy: výrobu takových nástrojů, jejich prodej, opatření si k užití, dovoz, distribuci nebo jiné formy zpřístupnění. AT, BE, CY, DE, EL, IE a SK zavedly odpovídající vnitrostátní právní předpisy. Některé členské státy neupravují všechny uvedené trestné činy (EE, IT, MT, PL a SI). Některé státy neuvádějí pachatele, na nějž se vztahuje článek 7, jako osobu odlišnou od pachatele trestných činů uvedených v článcích 3 až 6 (CZ a SI). Některé státy vyžadují zvláštní úmysl (způsobit škodu nebo jednat podvodně viz FI, IT a LU), konkrétní výsledek, jako je porušení tajemství (BG) nebo přinejmenším stadium přípravy uvedených trestných činů (SE). Zjištěny byly také nesrovnalosti mezi článkem 7 a vnitrostátními opatřeními v podobě neprovedení všech možných činů uvedených ve výčtu. To je případ BG, CZ, EE, ES, FR, HR, HU, IT, LT, LU, LV, PL, PT, RO, SI a UK. Z nich LU výslovně zmiňuje pět ze šesti možných činů uvedených ve směrnici, ostatní státy jich výslovně zmiňují jen čtyři nebo ještě méně. Možnost opatření si k užití provedlo pouze ES. 2.3 Obecná pravidla týkající se daných trestných činů (články 8 až 12 směrnice) a) Návod, pomoc nebo jiná forma účastenství Ustanovení čl. 8 odst. 1 vyžaduje, aby členské státy zajistily trestnost návodu, pomoci či jiné formy účastenství na spáchání trestných činů uvedených v článcích 3 až 7. Toto ustanovení provedly všechny členské státy. b) Pokus Podle ustanovení čl. 8 odst. 2 musí být zajištěna trestnost pokusu trestných činů uvedených v článcích 4 až 5. Zatímco PT neupravuje všechny typy pokusů o spáchání trestných činů uvedených v článku 4 a SE nestanoví trestní odpovědnost za pokus o spáchání trestného činu porušení komunikačního tajemství, všechny ostatní členské státy mají zavedeny předpisy, které toto ustanovení provádějí. c) Sankce aa) Obecné ustanovení Ustanovení čl. 9 odst. 1 vyžaduje, aby členské státy na trestné činy uvedené ve směrnici obecně uplatňovaly účinné, přiměřené a odrazující trestní sankce. Ačkoli se to předpokládá u téměř všech členských států, AT, BE, BG, IT, PT, SE a SI nesplňují dolní hranice maximálních trestů stanovené pro všechny případy v čl. 9 odst. 2 (viz oddíl 1.1 výše). To má dopad na provádění čl. 9 odst. 1, protože lze usuzovat, že minimální požadavky čl. 9 odst. 2 představují minimum nutné k zajištění účinných, přiměřených a odrazujících trestních sankcí. bb) Obecná dolní hranice maximálního trestu Podle čl. 9 odst. 2 je dolní hranicí maximálního trestu u standardních trestných činů uvedených v článcích 3 až 7 odnětí svobody nejméně na 2 roky. Toto ustanovení splňuje většina členských států. Jen 6 členských států vykazuje určité odchylky: AT (maximálně 6 měsíců odnětí svobody), BG (maximálně 1 rok odnětí svobody za všechny trestné činy kromě neoprávněného sledování), IT (maximálně 1 rok odnětí svobody za trestný čin podle čl. 7 8

9 písm. b)), PT (maximálně 1 rok odnětí svobody za trestný čin podle článku 3), SE (maximálně 1 rok odnětí svobody za trestný čin poškození ) a SI (maximálně 1 rok odnětí svobody za trestné činy podle článků 3, 6 a 7). V případě BE je dolní hranice maximálního trestu u článků 3, 6 a 7 splněna jen tehdy, jsou-li trestné činy spáchány s podvodným úmyslem. cc) Značný počet zasažených informačních systémů Ustanovení čl. 9 odst. 3 zvyšuje dolní hranici maximálního trestu na 3 roky odnětí svobody v případě, kdy trestný čin uvedený v článcích 4 a 5 zasahuje značný počet informačních systémů. Členské státy obecně zavedly odpovídající právní předpisy, DE uvádí pouze informační systémy, které mají značný význam pro jiný, FI vyžaduje pro udělení vyššího trestu posouzení trestného činu jako celku a LV nezmiňuje velký počet informačních systémů (ani podobný termín), ale pouze případy způsobení značné škody. Informace poskytnuté BG a SI nejsou průkazné. dd) Zločinná spolčení Podle ustanovení čl. 9 odst. 4 písm. a) se na trestné činy uvedené v článcích 4 a 5, jež byly spáchány v rámci zločinného spolčení, jak je definováno v rámcovém rozhodnutí 2008/841/SVV, vztahuje maximální trest odnětí svobody na dobu nejméně pět let. I v tomto případě většina členských států ustanovení čl. 9 odst. 4 písm. a) splňuje. Podle trestního práva LU a SI se ustanovení o trestných činech spáchaných v rámci zločinného spolčení na kyberkriminalitu nevztahují. Právní předpisy BE stanoví za trestné činy uvedené v článku 5 horní sazbu odnětí svobody pouze na 3 roky, právní předpisy DE se nevztahují na případy, kdy je obětí trestného činu fyzická osoba, právní přepisy FI vyžadují doplňující posouzení trestného činu jako celku a právní předpisy SE stanoví maximální trestní sazbu odnětí svobody ve výši 4 roky za hrubé poškození. ee) Způsobení závažné škody Ustanovení čl. 9 odst. 4 písm. b) stanoví pro trestné činy uvedené v článcích 4 a 5, pokud způsobí závažné škody, dolní hranici maximálního trestu odnětí svobody ve výši 5 let. Přestože neexistuje definice toho, co by se mělo považovat za závažnou škodu, zavedly právní předpisy odpovídající směrnici všechny členské státy s výjimkou BG, DE, FI, HU, LU a SE. Informace poskytnuté HU nejsou průkazné. BG nedosahuje dolní hranice maximálního trestu odnětí svobody ve výši 5 let a LU odkazuje na obecné ustanovení o sankcích za způsobení závažné škody, které se nevztahuje na kyberkriminalitu. Drobné nedostatky vykazuje DE (jako oběti trestných činů nejsou uvedeny fyzické osoby), FI (udělení vyššího trestu je podmíněno doplňujícím posouzením případu jako celku ) a SE (trest odnětí svobody ve výši maximálně 4 roky za hrubé poškození ). ff) Informační systémy kritické infrastruktury Ustanovení čl. 9 odst. 4 písm. c) uvádí, že dolní hranice maximálního trestu odnětí svobody činí 5 let také v případech, kdy se trestné činy uvedené v článcích 4 a 5 týkají informačních systémů kritické infrastruktury. Většina členských států toto ustanovení splňuje, BG však neposkytlo ohledně provádění žádné konkrétní informace. BE za trestné činy podle článku 5 stanovila maximální trest ve výši 3 roky. DE neuvádí jako možné oběti fyzické osoby. FI vyžaduje doplňující posouzení trestného činu jako celku, IT vyžaduje faktické způsobení zničení, PT vyžaduje závažný a dlouhodobý charakter útoku a neodkazuje na článek 5 a SE splňuje požadavky směrnice jen u trestného činu hrubé sabotáže. gg) Krádež totožnosti a jiné trestné činy týkající se totožnosti 9

10 Ustanovení čl. 9 odst. 5 vyžaduje, aby členské státy zajistily, aby u všech trestných činů uvedených v článcích 4 a 5, které byly spáchány prostřednictvím zneužití osobních údajů jiné osoby s cílem získat důvěru třetí strany, čímž vznikla újma skutečnému nositeli totožnosti, mohla být tato skutečnost v souladu s vnitrostátním právem považována za přitěžující okolnost, není-li takováto okolnost již zahrnuta ve skutkové podstatě jiného činu, který je podle vnitrostátního práva trestný. Široký prostor pro uvážení vedl k široké škále prováděcích opatření ve členských státech. BE a EL neoznámily žádné provedení a trestní právo CZ neobsahuje žádné konkrétní ustanovení. Přístup přitěžující okolnosti zvolily AT, CY, ES, IE, MT, PT a SE (posledně jmenovaná země odkazuje na okolnost zvláštního plánování ), všechny ostatní členské státy pak uvádějí zvláštní ustanovení týkající se konkrétního trestného činu. U států uvádějících konkrétní ustanovení lze pozorovat následující problémy s prováděním: BG a NL vyžadují zvláštní úmysl ( přinést prospěch a cíl zatajit či zneužít totožnost ), DE zmiňuje jen všeobecně nepřístupné osobní údaje, FR uvádí jen jméno osoby a jiné osobní údaje neuvádí, LV vyžaduje způsobení značné škody, RO upravuje jen použití dokumentu a vyžaduje spáchání podvodu. d) Odpovědnost právnických osob aa) Obecně Ustanovení čl. 10 odst. 1 vyžaduje stanovení odpovědnosti právnických osob za trestné činy uvedené v článcích 3 až 8, pokud je pachatel oprávněn jednat jménem této právnické osoby (písmeno a)) nebo přijímat rozhodnutí jménem této právnické osoby (písmeno b)) nebo vykonávat kontrolu v rámci této právnické osoby (písmeno c)). Právní ustanovení odpovídající tomuto článku zavedly všechny členské státy. Byly zjištěny jen následující drobné problémy: BG neupravuje trestný čin podle článku 6 a HR neuvádí pachatele, který je oprávněn vykonávat kontrolu v rámci dané právnické osoby (čl. 10 odst. 1 písm. c)). bb) Za nedostatek dohledu nebo kontroly Ustanovení čl. 10 odst. 2 vyžaduje, aby členské státy stanovily odpovědnost právnických osob v případech, kdy bylo spáchání kteréhokoli z trestných činů uvedených v článcích 3 až 8 umožněno nedostatkem dohledu nebo kontroly ze strany osoby uvedené v čl. 10 odst. 1. Většina členských států toto ustanovení splňuje. Informace poskytnuté LU nejsou průkazné a BG neuvádí spáchání trestného činu, který spadá pod článek 6. e) Sankce vůči právnickým osobám aa) Povinné sankce Ustanovení čl. 11 odst. 1 směrnice vyžaduje, aby členské státy stanovily právnickým osobám pokuty trestní nebo jiné povahy, které jsou účinné, přiměřené a odrazující. Vyhovující vnitrostátní opatření oznámily všechny členské státy s výjimkou IE a UK. V těchto dvou zemích zůstává maximální možná výše pokut neurčená z důvodu neexistence konkrétních právních předpisů. Nelze tedy posoudit účinnost, přiměřenost ani odrazující účinek příslušných pokut. bb) Volitelné sankce Ustanovení čl. 11 odst. 1 pokračuje výčtem možností doplňkových sankcí ukládaných právnickým osobám. Jsou to: zbavení oprávnění pobírat veřejné výhody nebo podpory (které zvolily CY, CZ, EL, ES, HR, HU, LU, MT, PL, PT a SK), dočasný nebo trvalý zákaz provozování obchodní činnosti (AT, BE, CY, CZ, EL, ES, FR, HR, HU, IT, LT, LV, MT, PL, PT, RO, SE, SI a SK), uložení soudního dohledu (CY, ES, FR, MT, PT a RO), zrušení právnické osoby rozhodnutím soudu (CY, CZ, EL, ES, FR, HR, HU, LT, LU, LV, MT, PT, RO, SI a SK) a dočasné nebo trvalé uzavření provozoven použitých ke spáchání trestného 10

11 činu (BE, CY, WS, FR, LT, MT, PT a RO). BG, DE, EE, IE, FI, NL a UK tedy nezvolily žádnou z možností. cc) Sankce za opomenutí Podle ustanovení čl. 11 odst. 2 musí členské státy zajistit, aby se na právnické osoby odpovědné za opomenutí trestných činů podle čl. 10 odst. 2 vztahovaly účinné, přiměřené a odrazující sankce. Informace poskytnuté LU nejsou průkazné. Všechny ostatní členské státy s výjimkou IE a UK zavedly odpovídající právní předpisy. V případě IE a UK nastávají stejné problémy s ustanovením čl. 11 odst. 1: (viz bod aa) výše). f) Soudní příslušnost aa) Vyžadované odůvodnění soudní příslušnosti Ustanovení čl. 12 odst. 2 a 3 směrnice vyžaduje, aby členské státy stanovily svou soudní příslušnost ve vztahu k trestným činům uvedeným v článcích 3 až 8 v případech, kdy byly spáchány zcela nebo částečně na jejich území bez ohledu na to, zda byl pachatel v době spáchání fyzicky přítomen a zda se zasažený informační systém nacházel na území členského státu nebo byly spáchány v zahraničí příslušníky některého z členských států. Většina členských států zavedla odpovídající vnitrostátní právní předpisy. Právní předpisy IT nestanoví u základních trestných činů soudní příslušnost pro státní příslušníky v zahraničí, LV a SI odkazují v územních otázkách na nejasná ustanovení, MT nemá jednoznačné právní předpisy ohledně částečného spáchání na vlastním území a UK odkazuje namísto informačního systému na počítač. bb) Jiná odůvodnění soudní příslušnosti Ustanovení čl. 12 odst. 3 uvádí, že pokud členské státy stanoví soudní příslušnost u případů, kdy má pachatel obvyklé bydliště na jejich území (což zvolily AT, CY, CZ, IE, FI, HR, LT, LV, NL, SE a SK), nebo kdy je trestný čin spáchán ve prospěch právnické osoby usazené na jejich území (CY, CZ, LV, PT, RO a SK), měly by o tom informovat Komisi. 2.4 Provozní otázky (články 13 až 14 směrnice) a) Ustanovení o funkčních národních kontaktních místech Ustanovení čl. 13 odst. 1 vyzývá členské státy, aby zřídily funkční národní kontaktní místa, která budou sloužit k výměně informací o trestných činech uvedených v článcích 3 až 8. Na základě ustanovení musí členské státy zajistit zavedení postupů, které příslušnému orgánu v případě naléhavých žádostí o pomoc umožní odpovědět nejpozději osm hodin po obdržení žádosti. Podle oznámených informací většina členských států potřebnou infrastrukturu zřídila. IE a RO uvedly, že příslušná kontaktní místa jsou dostupná každý den pouze v omezenou dobu, což by příslušnému orgánu vždy neumožňovalo odpovědět nejpozději osm hodin po obdržení žádosti. Několik členských států uvedlo, že využívají stávajících sítí funkčních kontaktních míst zřízených prostřednictvím sítě G7 či v rámci budapešťské Úmluvy Rady Evropy o kyberkriminalitě. b) Informace o zřízených funkčních národních kontaktních místech Podle čl. 13 odst. 2 se od členských států vyžaduje, aby poskytly kontaktní údaje na svá kontaktní místa Komisi, která je předá ostatním členským státům. Všechny členské státy potřebné informace poskytly. c) Informační kanály Ustanovení čl. 13 odst. 3 vyžaduje, aby členské státy v zájmu usnadnění oznamování trestných činů uvedených v článcích 3 až 6 příslušným vnitrostátním orgánům zajistily dostupnost vhodných informačních kanálů. Informace poskytnuté HR, IT, IE a PT nejsou 11

12 průkazné. U zbývajících členských států jsou patrné rozdíly v provádění informačních kanálů. Většina členských států (BE, BG, CY, CZ, DE, EE, EL, FI, FR, HR, HU, IT, LT, LV, MT, NL, PL, PT, RO, SE, SI, SK a UK) oznámila opatření zřizující kanály, které usnadní oznamování osobě či organizaci původně ohlašující trestný čin, např. oběti kybernetického útoku (přičemž v případě LV zůstávají informační kanály nejasné). Jiné členské státy (AT, ES a LU) ale poskytly stejné informace k provádění ustanovení čl. 13 odst. 1 a 2, takže se zdá, že jejich opatření usnadní především vzájemnou komunikaci mezi orgány. d) Sběr statistických údajů Podle čl. 14 odst. 1 a 2 musí členské státy zajistit zavedení systému pro záznam, produkci a poskytování statistických údajů, který bude zpracovávat minimálně počet trestných činů uvedených v článcích 3 až 7 zaznamenaných členskými státy a počet osob stíhaných a odsouzených za spáchání těchto trestných činů. Na základě získaných informací se zdá, že většina členských států zavedla právní i správní opatření k zajištění sběru příslušných informací a že tento sběr probíhá obvykle prostřednictvím všeobecného vnitrostátního elektronického systému. Informace některých států však nejsou průkazné (EL, IE, UK (Gibraltar, Severní Irsko a Skotsko)). Jedním z důvodů je, že údaje o konkrétních trestných činech zmiňovaných ve směrnici nemusí být shromažďovány odděleně (BE, DE a SE) a že shromažďované informace nemusejí pokrývat všechny trestné činy zmiňované ve směrnici (RO). e) Předávání statistických údajů Komisi Ustanovení čl. 14 odst. 3 vyzývá členské státy, aby předávaly příslušné statistické údaje Komisi. Všechny členské státy, které oznámily opatření, s výjimkou UK (Gibraltar, Severní Irsko a Skotsko) a HU, potvrdily provedení právních a/nebo správních opatření k zajištění splnění této povinnosti. V případě EL, ES, LU a SI nejsou informace průkazné. 3. Závěr a další postup Směrnice zajistila významný pokrok, pokud jde o srovnatelnou úroveň kriminalizace kybernetických útoků ve členských státech, což usnadní přeshraniční spolupráci donucovacích orgánů vyšetřujících tento typ trestných činů. Členské státy změnily trestní zákoníky a jiné příslušné právní předpisy, optimalizovaly postupy a vypracovaly či vylepšily programy spolupráce. Komise oceňuje značné úsilí, které členské státy k provedení směrnice ve vnitrostátním právu vyvinuly. Stále však existuje značný prostor ke zlepšení. Dosažení plného potenciálu směrnice je podmíněno jejím úplným provedením členskými státy. Dosavadní analýza naznačuje, že mezi hlavní zlepšení, jichž musí členské státy dosáhnout, patří použití definic (článek 2), což má dopad na rozsah trestných činů definovaných na základě směrnice vnitrostátním právem. Vedle toho bylo pro členské státy obtížné zahrnout všechny možnosti definující jednotlivé případy jednání souvisejícího s trestnými činy (články 3 až 7) a zahrnout společné standardy pro sankce za kybernetické útoky (článek 9). Dále byly zjištěny problémy s prováděním správních předpisů týkajících se vhodných informačních kanálů (čl. 13 odst. 3) a sledování a statistiky u trestných činů uvedených ve směrnici (článek 14). Komise bude nadále podporovat členské státy v provádění směrnice. S ohledem na možný přínos pro přeshraniční spolupráci se podpora bude týkat zejména provozních ustanovení směrnice o výměně informací (čl. 13 odst. 1 a 2), informačních kanálů (čl. 13 odst. 3) a sledování a statistiky (článek 14). V této oblasti poskytne Komise členským státům další příležitosti ke zjišťování a výměně osvědčených postupů ve druhé polovině roku

13 Komise v současné době nevidí potřebu navrhovat změny směrnice. V této souvislosti a rovněž na podporu trestních vyšetřování útoků na informační systémy, trestné činnosti související s kyberprostorem a jiné trestné činnosti uvažuje Komise o opatřeních ke zlepšení přeshraničního přístupu k elektronickým důkazům v rámci trestních vyšetřování s tím, že legislativní opatření navrhne na začátku roku Komise rovněž posuzuje roli šifrování v trestním vyšetřování a o svých zjištěních podá zprávu do října roku Komise je odhodlána zajistit, aby v celé EU bylo dokončeno provedení směrnice ve vnitrostátním právu a aby byla její ustanovení správně uplatňována. Proto bude mimo jiné sledovat soulad vnitrostátních opatření s odpovídajícími ustanoveními směrnice. V případě nutnosti využije Komise svých donucovacích pravomocí zakotvených ve Smlouvách a zahájí řízení o nesplnění povinnosti. 8 Počáteční posouzení dopadů týkající se zlepšení přeshraničního přístupu k elektronickým důkazům, 4. srpna 2017, dostupné na ec.europa.eu. 9 Sdělení o osmé zprávě o pokroku na cestě k účinné a skutečné bezpečnostní unii, COM(2017) 354 final. 13