Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.

För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja sådant brott döms till ansvar enligt vad som sägs i 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt eller till dataintrång som om det fullbordats inte skulle ha varit att

För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja ett sådant brott döms det till ansvar enligt 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller grovt

Prop. 2013/14:92

10

I artiklarna 3–7 anges de gärningar som ska vara straffbelagda när de begås uppsåtligen och orättmätigt. Ringa fall behöver dock inte straffbeläggas. Artikel 3, Olagligt intrång i informationssystem, reglerar intrång i informationssystem när det begås genom intrång i en säkerhetsåtgärd. Enligt artikel 4, Olaglig systemstörning, ska det vara straffbart att allvarligt hindra eller avbryta driften av ett informationssystem genom att mata in, överföra, skada, radera, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbehandlingsbara uppgifter. Av artikel 5, Olaglig datastörning, följer att det ska vara straffbart att radera, skada, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbehandlingsbara uppgifter i ett informationssystem. Enligt artikel 6, Olaglig avlyssning, ska avlyssning med tekniska hjälpmedel av icke-offentliga överföringar av datorbehandlingsbara uppgifter, till, från eller inom ett informationssystem, inklusive elektromagnetisk strålning från informationssystem som innehåller sådana uppgifter vara straffbelagda. Enligt artikel 7, Verktyg som används för att begå brott, ska det vara straffbart att tillverka, sälja, anskaffa i syfte att använda, importera, distribuera eller på annat sätt tillgängliggöra vissa uppräknade verktyg, om det sker orättmätigt och med uppsåt att begå något av de brott som avses i artiklarna 3–6. De verktyg som avses är datorprogram som utformats eller anpassats i första hand för att begå något av de brott som avses i artiklarna 3–6. Vidare avses ett lösenord, en åtkomstkod eller liknande uppgifter som gör det möjligt att få tillgång till ett informationssystem eller delar av ett sådant system.

I artikel 8 anges att anstiftan av och medhjälp till sådana gärningar som ska utgöra brott enligt direktivet ska straffbeläggas. Där anges även de gärningar för vilka försök ska vara straffbart, nämligen de i artiklarna 4 och 5.

Artikel 9 reglerar vilka påföljder som ska kunna dömas ut. Enligt punkt 1 ska påföljderna vara effektiva, proportionella och avskräckande. Enligt punkt 2 ska brott som avses i artiklarna 3–7 ha ett maximistraff på minst två års fängelse, åtminstone i fall som inte är ringa. Av punkt 3 följer att olaga systemstörning och olaglig datastörning ska ha ett maximistraff på minst tre års fängelse när ett betydande antal informationssystem har påverkats genom användningen av ett verktyg som avses i artikel 7 och som har utformats eller anpassats i första hand för detta syfte. För dessa brott ställs vidare i punkt 4 ett krav på lägsta maximistraff på fängelse i minst fem år om brottet:

a)begåtts inom ramen för en kriminell organisation,

b)förorsakat allvarlig skada, eller

c)begåtts mot ett informationssystem som utgör kritisk infrastruktur.

Av punkt 5 följer att det ska ses som en försvårande omständighet när olaglig systemstörning och olaglig datastörning begåtts genom missbruk av personuppgifter.

I artiklarna 10 och 11 regleras juridiska personers ansvar samt påföljder för dessa. Frågor om domsrätt regleras i artikel 12. Därefter följer i artikel 13 bestämmelser om informationsutbyte och i artikel 14 bestämmelser om övervakning och statistik. Avslutningsvis ges i artiklarna 15–19 bestämmelser om bl.a. införlivande, rapportering och

Prop. 2013/14:92

12

Enligt utredningen krävs lagstiftningsåtgärder för att uppfylla direktivets bestämmelse i artikel 9 om påföljder. Utredningen har konstaterat att punkten 2 ställer krav på att vissa straffbara befattningar med verktyg som avses i artikel 7 ska vara belagda med ett maximistraff på minst två års fängelse. Enligt utredningen uppfyller svensk rätt kriminaliseringsåtagandet genom främst bestämmelserna om förberedelse till brott, bl.a. förberedelse till dataintrång. Eftersom straffskalan för dataintrång inte medger att ett fängelsestraff som uppgår till två år döms ut för förberedelse till brottet, har utredningen ansett att det krävs en skärpning av straffskalan.

Vidare har utredningen konstaterat att punkterna 3 och 4 kräver att sådana gärningar som beskrivs i artiklarna om olaglig systemstörning och olaglig datastörning i vissa fall ska vara belagda med ett maximistraff på minst tre respektive fem års fängelse. Utredningen har gjort bedömningen att svensk rätt uppfyller direktivets kriminaliseringskrav främst genom dataintrångsbestämmelsen. Eftersom det högsta straffet för dataintrång är fängelse i högst två år, har utredningen gjort bedömningen att direktivet även i denna del kräver en skärpning av straffskalan. När det gäller övriga artiklar i direktivet har utredningen gjort bedömningen att svensk rätt uppfyller de krav som ställs.

Sverige uppfyller genom befintlig lagstiftning i huvudsak kraven enligt direktivet

Regeringen delar utredningens bedömning av vilka lagstiftningsåtgärder som krävs för att Sverige ska uppfylla direktivets förpliktelser. I likhet med utredningen anser alltså regeringen att direktivet kräver en skärpning av straffet för dataintrång.

När det gäller de synpunkter som remissinstanserna har framfört gör regeringen följande överväganden.

Regeringen instämmer inledningsvis i utredningens bedömning att det som direktivet betecknar som olovlig avlyssning kan utgöra brytande av telehemlighet, om det är fråga om överföring av meddelanden via ett allmänt kommunikationsnät. Likaså ansluter sig regeringen till utredningens bedömning att förfarandet annars kan utgöra dataintrång bestående i att någon bereder sig tillgång till uppgifter avsedda för automatiserad behandling.

För straffansvar för brytande av telehemlighet och dataintrång krävs dock också att intrånget varit olovligt. Som regel faller då avlyssning av uppgifter som befordras via radio utanför det straffbara området. Det följer av principen om att etern är fri och att olovlighetskravet därmed inte är uppfyllt. Om intrånget däremot sker i radiobefordrade uppgifter som är t.ex. krypterade kan dock ansvar för dataintrång komma ifråga (prop. 2006/07:66 s. 49).

Utredningen har uttalat att det är osäkert hur långt principen om eterns frihet sträcker sig när det gäller information som inte kan avlyssnas med t.ex. en vanlig radiomottagare, utan vars avlyssning kräver användning av speciella tekniska hjälpmedel. Enligt regeringens mening saknas det bärande skäl för att inom ramen för detta lagstiftningsärende göra uttalanden om eller närmare beröra hur principen om eterns frihet ska avgränsas med beaktande av t.ex. den tekniska utvecklingen. En

Prop. 2013/14:92

14

remissinstans har yttrat sig över förslaget att särskilt reglera försöks- och förberedelseansvaret för grovt dataintrång eller dataintrångsbestämmelsens subsidiaritet. Åklagarmyndigheten, Rikspolisstyrelsen och

Säkerhetspolisen har särskilt framhållit behovet av en särskild straffskala för grova dataintrång, eftersom utvecklingen synes gå mot allt farligare och mer storskaliga angrepp. Stockholms universitet, som i och för sig har godtagit förslaget, har dock ansett att det bör övervägas ytterligare i vilken utsträckning de gärningar som bestämmelsen tar sikte på redan utgör brott enligt andra kvalificerade bestämmelser och hur stort behovet är av den förhöjda straffskalan. Uppsala universitet har påpekat att införandet av det nya särskilda brottet skapar konkurrensproblem i förhållande till brotten grov skadegörelse, sabotage och i speciella fall även terroristbrott och att lagstiftaren därför bör ange en prioritetsordning mellan brotten. Lunds universitets internetinstitut har ansett att det tydligt bör framgå att omständigheten ”allvarlig skada” ska täckas av gärningsmannens avsikt och uppsåt. Dessutom har internetinstitutet framhållit att antalet uppgifter inte bör vara vägledande för om ett brott är grovt eftersom det av den omständigheten inte går att dra någon slutsats om skadeverkningarna. Juliagruppen har framfört att det grova brottet bör formuleras så att det mer betonar fall där någon försöker få fram synnerligen känsliga uppgifter eller använder sig av raffinerade och avancerade metoder. Juliagruppen har vidare framfört att lagen måste formuleras tydligare när det gäller bruk och innehav av olika verktyg för datorintrång samt att lagstiftningen bör göra skillnad på intrång och systemstörning. Sveriges Advokatsamfund har ansett att brottet dataintrång bör kompletteras med en bestämmelse om datastörning. Dessutom har samfundet pekat på behovet av ökade kunskaper inom itområdet bland rättsväsendets företrädare och angett att möjligheterna för offentliga förvarare att få ersättning för allmänna medel för anlitandet av tekniskt sakkunnig måste ses över. Enligt Försvarsmakten finns det mot bakgrund av vad som avses med begreppet orättmätigt i Europarådets konvention om it-relaterad brottslighet anledning att i svensk rätt förtydliga vad som faller utanför det straffbara området när det gäller dataintrång.

Skälen för regeringens förslag

Behovet av skärpt straff

Straffskalan för dataintrång, som sträcker sig från böter till fängelse i högst två år, har inte ändrats sedan bestämmelsen först infördes i datalagen (1973:289).

Samhällsutvecklingen har inneburit att informationssystem har en ojämförligt större betydelse i samhället idag än de hade när bestämmelsen infördes. Samtidigt innebär en ökad användning av informationsteknik en förhöjd risk för att datorer och deras nätverk används som verktyg eller mål för att begå brott. Utvecklingen innebär således att samhället har blivit allt mer sårbart för it-angrepp. Under de senaste åren har också flera allvarliga och omfattande angrepp mot informationssystem mot myndigheter och organisationer uppmärksammats i såväl Sverige som utomlands. Det finns alltså tecken på att utvecklingen går mot allt farligare och återkommande storskaliga

angrepp mot viktiga informationssystem. Tendensen är förenad med utvecklingen av allt mer sofistikerade metoder, såsom skapande och användning av s.k. botnät, som innebär övertagande och fjärrstyrning av ett stort antal datorer genom att vid riktade it-angrepp infektera dem via sabotageprogram.

Storskaliga angrepp kan orsaka betydande ekonomiska skador på grund av avbrott i informationssystemens drift och kommunikation. De kan också leda till förlust eller förvanskning av hemlig eller i övrigt integritetskänslig information. Många gånger kan dessa typer av angrepp träffas av straffansvaret för sabotage i 13 kap. 4 § brottsbalken. Även bestämmelserna om grov skadegörelse i 12 kap. 3 § brottsbalken och terroristbrott i lagen (2003:148) om straff för terroristbrott kan i vissa fall vara tillämpliga. Beroende på omständigheterna, t.ex. att skadan i och för sig är omfattande men av tillfällig karaktär eller att den infrastruktur som skadas inte har avsevärd betydelse för samhället, kan emellertid mycket straffvärda beteenden falla utanför de nämnda bestämmelsernas tillämpningsområden. Ett sådant exempel kan vara olika typer av tillgänglighetsattacker riktade mot företag och organisationer. Det kan således bli aktuellt att tillämpa dataintrångsbestämmelsen på gärningar som fått allvarliga konsekvenser för informationssystem som kan ha stor betydelse för såväl företag som enskilda.

Straffskalan för ett brott ska spegla dess allvar. Det är en grundläggande princip att allvarligare brott ska bedömas strängare än mindre allvarliga brott och att lika allvarliga brott ska bedömas lika strängt. Straffskalan måste vara utformad så att ett straff som motsvarar brottets svårhet kan dömas ut.

Mot bakgrund av vad som anförts om konsekvenserna av allvarliga och storskaliga angrepp mot informationssystem, kan det enligt regeringens mening finnas fall som har ett betydligt högre straffvärde än vad som ryms inom dagens straffskala. Härtill kommer, såsom konstaterats i avsnitt 6, att direktivet kräver skärpta lägsta maximistraff i vissa avseenden. Regeringen delar därför utredningens och flertalet remissinstansers bedömning att det finns ett behov av att vid straffvärdebedömningen kunna beakta allvaret i storskaliga och andra betydande angrepp mot informationssystem och att straffskalan för dataintrång därför bör skärpas.

En särskild straffskala och rubricering för grovt dataintrång

Regeringen anser, i likhet med utredningen, att straffskärpningen bör ske genom att bestämmelsen om dataintrång kompletteras med en särskild straffskala för grovt brott. Det grova brottet bör föras in i ett nytt andra stycke i bestämmelsen och ges en egen brottsrubricering, grovt dataintrång.

När det gäller straffskalans utformning har utredningen föreslagit fängelse i lägst sex månader och högst sex år. Som skäl för sin bedömning har utredningen inledningsvis lyft fram att direktivet kräver ett minsta maximistraff om fem år men ansett att ett sådant maximistraff skulle passa mindre väl in i den svenska systematiken när det gäller utformning av straffskalor. Utredningen har också bedömt att den föreslagna straffskalan är tillräckligt vid för att medge en nyanserad

Prop. 2013/14:92

15

Prop. 2013/14:92

16

bedömning av olika former av dataintrång. Slutligen har lyfts fram att utformningen av straffskalan passar väl in i brottsbalkens systematik när det gäller gradindelade brott.

Regeringen ansluter sig till utredningens bedömning och anser att den föreslagna straffskalan framstår som väl avvägd. Regeringen kan också konstatera att den föreslagna straffskalan medför att det blir möjligt att döma till fängelse i två år för förberedelse till dataintrång, vilket är nödvändigt för att uppfylla förpliktelserna i direktivet.

I likhet med vad utredningen har föreslagit bör de omständigheter som särskilt ska beaktas vid bedömningen av om brottet är grovt anges i lagtexten. En sådan utformning främjar förutsebarheten och ger en bättre ledning och en större enhetlighet i rättstillämpningen. Samtidigt bör framhållas att domstolen alltid måste göra en helhetsbedömning av samtliga omständigheter i det enskilda fallet.

När det gäller vilka omständigheter som särskilt bör nämnas delar regeringen i allt väsentligt utredningens bedömning. Som en första särskild omständighet bör således anges att gärningen har orsakat allvarlig skada. De skador som uppkommer till följd av ett dataintrång är som regel av ekonomisk karaktär men även andra typer av skador kan förekomma och bör kunna beaktas. Som utredningen har pekat på finns ett starkt intresse av att skydda säkerheten i systemen och allmänhetens tillit till dem. Därför bör till exempel allvarliga skadeverkningar som ett rubbat förtroende har fört med sig kunna beaktas. Även annan allvarlig skada än ekonomisk som drabbar enskilda till följd av dataintrånget bör kunna beaktas. Det kan handla om skada till följd av ett intrång som innebär åtkomst till synnerligen känsliga personuppgifter som kan komma att missbrukas med allvarliga konsekvenser för den enskilde. Som exempel kan nämnas uppgifter som kan röja identiteten avseende en person som har fingerade personuppgifter eller adressuppgifter för personer som medgetts kvarskrivning.

En annan omständighet som särskilt bör beaktas är gärningens omfattning. Typiskt sett är det försvårande att ett dataintrång avsett ett stort antal uppgifter. Detta bör därför utgöra en särskild omständighet som ska beaktas vid bedömande av om brottet är grovt. Under denna omständighet hör att en betydande mängd uppgifter har manipulerats på något av de sätt som nämns i bestämmelsens första stycke eller att någon har berett sig tillgång till en stor mängd uppgifter. Ett annat exempel är omfattande tillgänglighetsattacker eller andra storskaliga attacker som inneburit betydande ingrepp i viktiga kommunikationer genom att gärningsmannen har allvarligt stört eller hindrat att ett stort antal uppgifter kan användas på avsett sätt. Som Lunds universitets internetinstitut har framhållit bör enbart det förhållandet att gärningen avsett ett stort antal uppgifter dock inte alltid medföra att gärningen bedöms som grovt dataintrång. Omständigheterna vid t.ex. en tillgänglighetsattack kan vara sådana att den endast fått begränsade konsekvenser.

Slutligen bör även den omständigheten att en gärning varit av särskilt farlig art särskilt anges i lagtexten. Den sista omständigheten är avsedd att träffa bl.a. sådana fall där själva förfarandet i sig eller det mål som gärningen riktat sig mot är att se som en försvårande omständighet. Så kan vara fallet om tillvägagångsättet varit förslaget och gjort

brottsligheten svårupptäckt. Den omständighet som Juliagruppen har pekat på, dvs. att en gärning begås med raffinerade och särskilt avancerade metoder, kan alltså falla in under särskilt farlig art. Det bör även beaktas om brottet begåtts mot ett kritiskt infrastruktursystem som upprätthåller viktiga samhällsfunktioner, t.ex. inom hälso- och sjukvård eller allmänna kommunikationsmedel. Även bankers informations- och betalningssystem tillhör särskilt skyddsvärda mål.

Utredningen har som ytterligare en särskild omständighet föreslagit att gärningen kunnat orsaka allvarlig skada. Enligt regeringens mening kan ett handlande som kunnat orsaka allvarlig skada i vissa fall vara att anse som av särskilt farlig art, t.ex. på grund av det tillvägagångssätt som gärningsmannen använt sig av eller det mål som gärningen riktat sig mot. Att gärningsmannens syfte sträckt sig längre än till den effekt som gärningen fått är dessutom en omständighet som ska beaktas i skärpande riktning vid straffvärdesbedömningen enligt 29 kap. 2 § 1 brottsbalken.

Under vissa omständigheter kan gärningar som träffas av dataintrångsbrottet även omfattas av straffansvaret i bestämmelserna om t.ex. sabotage eller skadegörelse. Regeringen anser dock inte att det finns tillräckliga skäl för att, såsom Uppsala universitet efterfrågat, ange en prioritetsordning mellan brotten. Utgångspunkten är att sedvanliga konkurrensregler ska tillämpas. Det innebär normalt att när det är fråga om konkurrens mellan dataintrångsbrottet och ett annat brott med samma skyddsintresse ska domstolen döma enbart för det brott med den strängare straffskalan. För övriga konkurrenssituationer som kan förekomma får domstolen göra en prövning i varje enskilt fall enligt gällande konkurrensprinciper.

Eftersom de objektiva rekvisiten för dataintrång i bestämmelsens första stycke inte är föremål för överväganden i detta lagstiftningsarbete finns inte anledning att här göra några uttalanden om hur t.ex. rekvisitet ”olovligen” ska förstås såsom Försvarsmakten har förespråkat.

När det gäller Sveriges Advokatsamfunds och Juliagruppens förslag att komplettera dataintrångsbestämmelsen med en bestämmelse om datastörning konstaterar regeringen att en sådan ändring kräver överväganden och en omarbetning av dataintrångsbestämmelsen som inte låter sig göras inom ramen för detta lagstiftningsarbete. Inte heller frågorna om bruk av verktyg för datorintrång och möjligheterna till ersättning av allmänna medel för anlitandet av tekniskt sakkunnig kan behandlas i detta sammanhang.

Konsekvenser av förslaget

Den föreslagna straffskalan för grovt dataintrång får vissa konsekvenser bl.a. för möjligheten att använda straffprocessuella tvångsmedel. Bland annat medför den möjlighet att besluta om hemlig avlyssning av elektronisk kommunikation och hemlig kameraövervakning under förutsättning att domstolen gör bedömningen att brottets straffvärde är högre än två år.

Förslaget påverkar också preskriptionstidens längd. För grovt dataintrång kommer preskriptionstiden att bli tio år.

Regeringen bedömer liksom utredningen att dessa konsekvenser är rimliga.

Prop. 2013/14:92

17

Prop. 2013/14:92

18

Försök och förberedelse till grovt dataintrång

Försök och förberedelse till dataintrång som om det fullbordats inte skulle ha ansetts som ringa är straffbart enligt 4 kap. 10 § brottsbalken. Eftersom en särskild straffskala med en egen brottsrubricering införs för grovt brott bör 10 § kompletteras så att det uttryckligen framgår att straffansvaret för försök och förberedelse gäller även grovt dataintrång.

Dataintrångsbestämmelsens förhållande till brytande av post- eller telehemlighet och intrång i förvar

Bestämmelsen om dataintrång är uttryckligen subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar.

När bestämmelsen om dataintrång fanns i datalagen var den subsidiär i förhållande till brottsbalken och straffbestämmelserna i lagen (1990:409) om skydd för företagshemligheter. När dataintrångsbestämmelsen överfördes till brottsbalken slopades subsidiaritetsklausulen i förhållande till lagen om skydd mot företagshemligheter. Samtidigt klargjordes förhållandet till bestämmelserna om straff för brytande av post- eller telehemlighet och intrång i förvar uttryckligen i bestämmelsen.

Den ändring som regeringen nu föreslår innebär att dataintrångsbestämmelsen kompletteras med en särskild straffskala och brottsrubricering för grovt brott. Motsvarande straffskala och gradindelning finns inte för brytande av post- eller telehemlighet eller intrång i förvar. Mot den bakgrunden är det inte lämpligt att behålla subsidiariteten i förhållande till de straffbestämmelserna. Inte heller i övrigt finns det skäl för att behålla den nuvarande ordningen.

Regeringen delar därför utredningens bedömning att dataintrångsbestämmelsen inte längre bör vara subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar. Förhållandet mellan bestämmelsen om dataintrång och bestämmelserna om brytande av post- eller telehemlighet och om intrång i förvar får i fortsättningen i stället avgöras enligt sedvanliga principer för bedömningen av konkurrens mellan överlappande straffstadganden i brottsbalken.

Slutsatser

Sammanfattningsvis föreslår regeringen följande. Straffbestämmelsen om dataintrång kompletteras med en särskild straffskala och egen rubricering för grovt brott, grovt dataintrång. Straffet ska vara fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Det ska vidare särskilt anges att försök och förberedelse till grovt dataintrång är straffbart. Bestämmelsen om dataintrång ska inte längre vara subsidiär i förhållande till brytande av post- eller telehemlighet och intrång i förvar.

11 Författningskommentar

Förslaget till lag om ändring i brottsbalken

4 kap.

9 c § Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.

Är brottet grovt, döms för grovt dataintrång till fängelse i lägst sex månader och högst sex år. Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art.

Ändringen av paragrafen, som föreskriver straffansvar för dataintrång, har behandlats i avsnitt 7.

Ändringen i första stycket innebär att bestämmelsen inte längre är subsidiär i förhållande till straffbestämmelserna i 4 kap. 8 och 9 §§ brottsbalken om brytande av post- eller telehemlighet och intrång i förvar.

I andra stycket, som är nytt, införs en särskild straffskala och rubricering för grovt dataintrång. Straffskalan är fängelse i lägst sex månader och högst sex år. Ändringen syftar till att det vid allvarliga fall av dataintrång ska vara möjligt att döma ut ett straff som står i proportion till brottets allvar.

Vid bedömande av om brottet är grovt ska det särskilt beaktas om gärningen har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit av särskilt farlig art. Omständigheten ska vara täckt av den tilltalades uppsåt.

Med allvarlig skada avses främst betydande ekonomiska skador. Vid sidan av de rent ekonomiska effekterna kan det emellertid även finnas andra skador som särskilt bör beaktas. Allvarliga skadeverkningar som ett rubbat förtroende har fört med sig för en verksamhet kan beaktas som en allvarlig skada i bestämmelsens mening. Även annan allvarlig skada än ekonomisk som drabbar enskilda till följd av dataintrånget bör kunna beaktas. Det kan handla om skada till följd av ett intrång som innebär åtkomst till synnerligen känsliga personuppgifter som kan komma att missbrukas med allvarliga konsekvenser för den enskilde. Som exempel kan nämnas uppgifter som kan röja identiteten avseende en person som har fingerade personuppgifter eller adressuppgifter för personer som medgetts kvarskrivning.

Med att gärningen avsett ett stort antal uppgifter avses bl.a. omfattande spridning av datavirus eller andra sabotageprogram. Även fall där ett stort antal uppgifter har raderats eller ändrats eller om någon har berett sig tillgång till en stor mängd uppgifter kan medföra att brottet bedöms som grovt. Ett annat exempel är omfattande tillgänglighetsattacker eller andra storskaliga attacker som inneburit betydande ingrepp i viktiga kommunikationer genom att gärningsmannen allvarligt har stört eller hindrat att ett stort antal uppgifter kan användas på avsett sätt. Enbart det

Prop. 2013/14:92

21

Prop. 2013/14:92

22

förhållande att gärningen avsett ett stort antal uppgifter bör dock inte alltid medföra att gärningen bedöms som grovt dataintrång. Omständigheterna vid t.ex. en tillgänglighetsattack kan vara sådana att den endast fått begränsade konsekvenser.

Med att gärningen annars varit av särskilt farlig art avses bl.a. fall där själva förfarandet i sig eller det mål som gärningen riktat sig mot är att se som en försvårande omständighet. Så kan vara fallet om tillvägagångsättet varit förslaget och gjort brottsligheten svårupptäckt. Också när gärningar begås med raffinerade metoder såsom t.ex. användningen av botnät, det vill säga övertagande och fjärrstyrning av ett stort antal datorer genom att infektera dem via sabotageprogram genom riktade angrepp, kan det vara fråga om särskilt farlig art. Det bör även beaktas om brottet begåtts mot ett kritiskt infrastruktursystem som upprätthåller viktiga samhällsfunktioner, t.ex. inom hälso- och sjukvård eller allmänna kommunikationsmedel. Även bankers informations- och betalningssystem tillhör särskilt skyddsvärda mål.

Uppräkningen är inte uttömmande utan även andra försvårande omständigheter ska beaktas. Domstolen ska göra en helhetsbedömning av samtliga omständigheter i det enskilda fallet.

Förhållandet mellan dataintrång och övriga brott får avgöras enligt sedvanliga konkurrensregler. Det innebär normalt att när det är fråga om konkurrens mellan dataintrångsbrottet och ett annat brott med samma skyddsintresse, så ska domstolen enbart döma för det brott som har den strängare straffskalan. För övriga konkurrenssituationer som kan förekomma får domstolen göra en prövning i varje enskilt fall enligt gällande konkurrensprinciper.

10 § För försök, förberedelse eller stämpling till människorov, människohandel eller olaga frihetsberövande och för underlåtenhet att avslöja ett sådant brott döms det till ansvar enligt 23 kap. Detsamma gäller för försök eller förberedelse till olaga tvång som är grovt, dataintrång som om det fullbordats inte skulle ha varit att anse som ringa, eller grovt dataintrång.

Paragrafen har ändrats på så sätt att grovt dataintrång har lagts till i sista meningen. Ändringen innebär att det uttryckligen framgår att försök och förberedelse till grovt dataintrång är straffbart. Ändringen har behandlats i avsnitt 7. Paragrafen har också ändrats språkligt.

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktions­ sätt, särskilt artikel 83.1,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de natio­ nella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommit­ téns yttrande (1),

i enlighet med det ordinarie lagstiftningsförfarandet (2), och

av följande skäl:

(1)Målen för detta direktiv är att tillnärma medlemsstaternas straffrättsliga lagstiftning vad gäller angrepp mot infor­ mationssystem, genom att fastställa minimiregler om fastställande av brottsrekvisit och påföljder, och att för­ bättra samarbetet mellan behöriga myndigheter, inbegri­ pet polismyndigheter och andra specialiserade brotts­ bekämpande organ i medlemsstaterna samt behöriga spe­ cialiserade unionsbyråer och -organ såsom Eurojust, Eu­ ropol och dess europeiska it-brottscentrum samt Europe­ iska byrån för nät- och informationssäkerhet (Enisa).

(2)Informationssystem är av central betydelse för det poli­ tiska, sociala och ekonomiska samspelet i unionen. Sam­ hället är i högsta grad och i växande utsträckning bero­ ende av sådana system. Att dessa system fungerar smidigt och säkert i unionen är en förutsättning för utvecklingen av den inre marknaden och för en konkurrenskraftig och innovativ ekonomi. Säkerställande av en lämplig skydds­ nivå för informationssystem bör ingå i ett effektivt över­ gripande ramverk med förebyggande åtgärder, tillsam­ mans med straffrättsliga åtgärder mot it-relaterad brotts­ lighet.

(3)Angrepp mot informationssystem, särskilt angrepp som är kopplade till organiserad brottslighet, är ett växande problem både inom unionen och på global nivå, och oron ökar för terroristattacker eller politiskt motiverade angrepp mot de informationssystem som ingår i med­ lemsstaternas och unionens kritiska infrastruktur. Detta

(1) EUT C 218, 23.7.2011, s. 130.

(2) Europaparlamentets ståndpunkt av den 4 juli 2013 (ännu ej offent­ liggjord i EUT) och rådets beslut av den 22 juli 2013.

utgör ett hot mot arbetet för att skapa ett säkrare infor­ mationssamhälle och ett område med frihet, säkerhet och rättvisa och kräver därför åtgärder på unionsnivå och bättre samarbete och samordning på internationell nivå.

(4)Inom unionen finns det en rad kritiska infrastrukturer för vilka driftstörningar, eller vars förstörelse, skulle kunna få betydande gränsöverskridande konsekvenser. Det har vi­ sat sig att behovet av att förbättra förmågan att skydda kritisk infrastruktur i unionen innebär att åtgärderna mot angrepp mot informationssystem bör kompletteras med stränga straffrättsliga påföljder som återspeglar angrep­ pens svårhetsgrad. Med kritisk infrastruktur kan avses anläggningar, system eller delar av dessa belägna i med­ lemsstaterna som är nödvändiga för att upprätthålla cen­ trala samhällsfunktioner, hälsa, säkerhet, trygghet och människors ekonomiska eller sociala välfärd, såsom kraft­ verk, transportnät eller myndighetsnätverk, och där stör­ ningar i driften eller förstörelse av dessa skulle få bety­ dande konsekvenser i en medlemsstat till följd av att man inte lyckas upprätthålla dessa funktioner.

(5)Det finns tecken på en utveckling mot allt farligare och återkommande storskaliga angrepp mot informations­ system som ofta är av vital betydelse för medlemsstater eller särskilda funktioner i den offentliga eller privata

sektorn. Denna tendens är förenad med utvecklingen av alltmer sofistikerade metoder, såsom skapande och an­ vändning av s.k. botnät, som omfattar flera skeden i en brottslig gärning, där varje skede i sig kan utgöra ett allvarligt hot mot allmänna intressen. Detta direktiv syftar bland annat till att införa straffrättsliga påföljder för ska­ pandet av botnät, det vill säga övertagande och fjärrs­ tyrning av ett stort antal datorer genom att infektera dem via sabotageprogram genom riktade it-angrepp. När de väl har skapats kan de infekterade datorerna, som utgör botnätet, utan användarnas vetskap aktiveras för storskaliga it-angrepp, som i allmänhet kan orsaka allvarlig skada, på det sätt som avses i detta direktiv. Medlemsstaterna får fastställa vad som utgör allvarlig skada enligt deras nationella rätt och praxis, exempelvis störning av systemtjänster av stort allmänintresse, orsa­ kande av stora ekonomiska kostnader eller förlust av personuppgifter eller känslig information.

(6)Storskaliga it-angrepp kan orsaka betydande ekonomiska skador på grund av avbrott i informationssystemens drift och i kommunikationen och förlust eller förvanskning av hemlig information som är viktig ur kommersiell syn­

punkt eller andra uppgifter. Särskild uppmärksamhet bör ägnas åt att öka medvetenheten hos innovativa små och medelstora företag om vilka hot sådana angrepp utgör och deras sårbarhet för angrepp av detta slag, med tanke på att de i allt större utsträckning är beroende av att informationssystem fungerar korrekt och är tillgäng­ liga, och de ofta begränsade resurser de har för infor­ mationssäkerhet.

(7)Gemensamma definitioner på detta område är viktiga för att säkerställa att detta direktiv tillämpas enhetligt i med­ lemsstaterna.

(8)Det finns ett behov av att fastställa en gemensam inställ­ ning i fråga om brottsrekvisit, genom att gemensamt kriminalisera olagligt intrång i informationssystem, olag­ lig systemstörning, olaglig datastörning och olaglig av­ lyssning.

(9)Avlyssning omfattar, men är inte nödvändigtvis begrän­ sad till, avlyssning, kontroll eller övervakning av kom­ munikationsinnehåll och anskaffande av uppgifter, an­ tingen direkt genom åtkomst till och användning av in­ formationssystem eller indirekt med tekniska hjälpmedel, genom användning av olika typer av elektroniska avlyss­ ningsanordningar eller avlyssning med tekniska hjälpme­ del.

(10)Medlemsstaterna bör fastställa påföljder för angrepp mot informationssystem. De påföljder som fastställs bör vara effektiva, proportionella och avskräckande och bör in­ begripa fängelsestraff och/eller böter.

(11)I detta direktiv föreskrivs straffrättsliga påföljder åtmin­ stone i fall som inte är ringa. Medlemsstaterna får fast­ ställa vad som utgör ett ringa fall enligt deras nationella rätt och praxis. Ett fall kan anses vara ringa till exempel när den skada och/eller risk som gärningen medför för offentliga eller privata intressen, såsom ett datasystems eller datorbehandlingsbara uppgifters integritet eller en persons integritet, rättigheter och andra intressen, är obe­ tydlig eller av sådan art att åläggande av straffrättsliga påföljder inom den lagstadgade gränsen eller åläggande av straffrättsligt ansvar inte är nödvändigt.

(12)Identifiering och rapportering av hot och risker från itangrepp och svagheter i informationssystem bör ingå i ett effektivt förebyggande av och effektiva åtgärder mot it-angrepp och för att förbättra säkerheten i infor­ mationssystem. Effekten kan förstärkas genom incitament att rapportera säkerhetsbrister. Medlemsstaterna bör sträva efter att ge i lag föreskrivna möjligheter att upp­ täcka och rapportera säkerhetsbrister.

(13)Det är lämpligt att föreskriva strängare påföljder när ett angrepp mot ett informationssystem görs inom ramen för en sådan kriminell organisation som avses i rådets rambeslut 2008/841/RIF av den 24 oktober 2008 om kampen mot organiserad brottslighet (1), när it-angreppet är storskaligt och därmed påverkar ett betydande antal informationssystem, inklusive när angreppet syftar till att skapa ett botnät, eller när it-angreppet orsakar allvarlig skada, inklusive när det genomförs via ett botnät. Det är

(1) EUT L 300, 11.11.2008, s. 42.

också lämpligt att föreskriva strängare påföljder när ett sådant angrepp riktas mot kritisk infrastruktur i med­ lemsstaterna eller unionen.

(14)Införandet av effektiva åtgärder mot identitetsstöld och andra identitetsrelaterade brott utgör en annan viktig del i en samlad ansats mot it-relaterad brottslighet. Behovet av unionsåtgärder mot denna typ av brottsligt beteende kan också övervägas vid utvärderingen av behovet av ett övergripande horisontellt unionsinstrument.

(15)Enligt rådets slutsatser av den 27–28 november 2008 bör det utarbetas en ny strategi i samarbete med med­ lemsstaterna och kommissionen, med hänsyn till Europa­ rådets konvention från 2001 om it-relaterad brottslighet. Konventionen är den viktigaste rättsliga referensramen när det gäller att bekämpa it-relaterad brottslighet, inklu­ sive angrepp mot informationssystem. Detta direktiv byg­ ger på den konventionen. Det bör därför ses som en prioritet att alla medlemsstater slutför ratificeringen av konventionen så snart som möjligt.

(16)Med hänsyn till de olika metoder som kan användas för att angripa informationssystem och till den snabba ut­ vecklingen av hård- och programvara, hänvisar detta di­ rektiv till verktyg som kan användas för att begå brott som anges i detta direktiv. Verktyg i denna mening är exempelvis sabotageprogram, inklusive sådana som kan skapa botnät, som används för it-angrepp. Även om ett verktyg är lämpat eller särskilt lämpat för att utföra ett av de brott som anges i detta direktiv kan verktyget vara tillverkat för lagliga ändamål. Eftersom det finns ett be­ hov av att undvika kriminalisering av fall där sådana verktyg tillverkas och saluförs för lagliga ändamål, t.ex. för test av it-produkters funktionssäkerhet eller infor­ mationssystems säkerhet, måste, utöver det allmänna kra­ vet på uppsåt, också ett krav på direkt uppsåt uppfyllas, att dessa verktyg är avsedda att användas för att begå ett eller flera av de brott som anges i detta direktiv.

(17)Detta direktiv ålägger inte straffrättsligt ansvar när de

objektiva kriterier för brott som anges i detta direktiv är uppfyllda men då gärningarna begås utan brottsligt uppsåt, till exempel när en person inte visste att det rörde sig om obehörig åtkomst eller vid föreskrivna test eller skydd av informationssystem, till exempel när en person har fått i uppdrag av ett företag eller en leverantör att testa styrkan hos dess säkerhetssystem. Avtalsenliga skyl­ digheter eller överenskommelser om att begränsa åt­ komst till informationssystem genom en användarpolicy eller användarvillkor samt arbetsmarknadstvister om åt­ komst till och användning av arbetsgivarens infor­ mationssystem för privata ändamål, bör inte föranleda straffrättsligt ansvar enligt detta direktiv, om åtkomsten under dessa omständigheter skulle bedömas vara otillåten och således utgöra den enda grunden för lagföring. Detta direktiv påverkar inte den rätt till åtkomst till infor­ mation som följer av nationell rätt och unionsrätt, men får samtidigt inte fungera som undantag för att motivera olaglig och godtycklig åtkomst till information.

(18)It-angrepp kan underlättas av olika omständigheter, till exempel när förövaren har åtkomst till de säkerhets­ system som är inbyggda i de drabbade informationssyste­ men i tjänsten. Inom ramen för nationell rätt bör sådana omständigheter på lämpligt sätt beaktas vid lagföring.

(19)Medlemsstaternas nationella rätt bör innehålla regler om försvårande omständigheter i enlighet med de tillämpliga regler om försvårande omständigheter som fastställts ge­ nom deras rättsystem. De bör se till att rätten vid på­ följdsbestämningen har möjlighet ta hänsyn till dessa försvårande omständigheter. Det är upp till rätten att bedöma dessa omständigheter, tillsammans med övriga faktiska sakomständigheter i det enskilda fallet.

(20)Detta direktiv reglerar inte villkoren för utövandet av behörighet när det gäller de brott som avses i direktivet, exempelvis att det ska föreligga en anmälan från offret på den plats där brottet begicks, en formell underrättelse från den stat där brottet begicks, eller att åtal inte väckts mot gärningsmannen på den plats där gärningen har begåtts.

(21)Stater och offentliga organ är, inom ramen för detta direktiv, skyldiga att till fullo garantera respekten för de mänskliga rättigheterna och grundläggande friheterna, i enlighet med gällande internationella förpliktelser.

(22)Genom detta direktiv stärks betydelsen av nätverk, såsom G8 eller Europarådets nätverk av kontaktpunkter, som är tillgängliga dygnet runt alla dagar i veckan. Sådana kon­ taktpunkter bör kunna ge konkret stöd och till exempel underlätta utbyte av tillgänglig relevant information och tillhandahålla teknisk rådgivning eller rättslig information i utredningar eller rättegångar rörande brott med anknyt­ ning till informationssystem och data som rör den begä­ rande medlemsstaten. För att säkerställa att nätverken fungerar smidigt bör varje kontaktpunkt kunna kom­ municera med kontaktpunkter i andra medlemsstater omgående, bland annat med hjälp av utbildad och utrus­ tad personal. Med hänsyn till hur snabbt storskaliga itangrepp kan genomföras, bör medlemsstaterna ha kapa­ citet att snabbt besvara brådskande förfrågningar från detta nät av kontaktpunkter. I sådana fall kan det vara lämpligt att förfrågan om information åtföljs av en tele­ fonkontakt, för att se till att den anmodade medlems­ staten behandlar förfrågan snabbt och ger återkoppling inom åtta timmar.

(23)Samarbete mellan, å ena sidan, de offentliga myndighe­ terna och, å andra sidan, den privata sektorn och det civila samhället är mycket viktigt för att förebygga och motverka angrepp mot informationssystem. Det är nöd­ vändigt att främja och förbättra samarbetet mellan tjäns­ televerantörer, producenter, brottsbekämpande organ och rättsliga myndigheter samtidigt som rättsstatsprincipen

beaktas fullt ut. Samarbetet kan inbegripa t.ex. stöd från tjänsteleverantörernas sida när det gäller att säkra poten­ tiella bevis, bidra till fastställandet av gärningsmännens identitet och, som en sista utväg, i enlighet med nationell rätt och praxis, helt eller delvis stänga ned informations­ system eller funktioner som har angripits eller använts för olagliga ändamål. Medlemsstaterna bör också över­ väga att inrätta nätverk för samarbete och partnerskap med tjänsteleverantörer och producenter för utbyte av uppgifter om de brott som omfattas av detta direktiv.

(24)Det finns behov av att samla in jämförbara uppgifter om de brott som avses i detta direktiv. Relevanta uppgifter bör göras tillgängliga för behöriga specialiserade unions­ byråer och -organ, t.ex. Europol och Enisa i enlighet med deras uppdrag och informationsbehov, för att få en mer heltäckande bild av problemet med it-relaterad brottslig­ het och nätverks- och informationssäkerhet på unions­ nivå och därigenom medverka till utformningen av mer effektiva åtgärder. Medlemsstaterna bör översända upp­ gifter om gärningsmännens tillvägagångssätt till Europol och dess europeiska it-brottscentrum för utarbetande av hotbedömningar och strategiska analyser i samband med it-relaterad brottslighet i enlighet med rådets beslut 2009/371/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol) (1). Tillhandahållandet av information kan bidra till bättre insikt om nuvarande och framtida hot och därmed bidra till att bättre och mer målinriktade beslut fattas om bekämpande och förebyg­ gande av angrepp mot informationssystem.

(25)Kommissionen bör överlämna en rapport om tillämp­ ningen av detta direktiv och lägga fram nödvändiga för­ slag till lagstiftning som skulle kunna leda till att dess tillämpningsområde utvidgas med hänsyn till utveck­ lingen på området för it-relaterad brottslighet. Exempel på sådan utveckling är tekniska lösningar som till ex­ empel möjliggör en effektivare bekämpning av angrepp mot informationssystem, eller som gör det lättare att förebygga eller minimera konsekvenserna av sådana an­ grepp. Kommissionen bör för detta ändamål beakta till­ gängliga analyser och rapporter som utarbetats av rele­ vanta aktörer, särskilt Europol och Enisa.

(26)För att man effektivt ska kunna bekämpa it-relaterad brottslighet är det nödvändigt att öka informationssyste­ mens motståndskraft genom lämpliga åtgärder för att bättre skydda dem mot it-angrepp. Medlemsstaterna bör vidta nödvändiga åtgärder för att skydda de informations­ system som utgör del av deras kritiska infrastruktur från it-angrepp, och skyddet av deras informationssystem med tillhörande data bör ingå i det. En viktig del i en heltäc­ kande strategi för att effektivt motverka it-relaterad brottslighet är att se till att juridiska personer har en tillräckligt hög skydds- och säkerhetsnivå på infor­ mationssystem, t.ex. i samband med tillhandahållande av offentligt tillgängliga elektroniska kommunikations­ tjänster i enlighet med gällande unionslagstiftning om integritet och elektronisk kommunikation samt om

(1) EUT L 121, 15.5.2009, s. 37.

dataskydd. Lämpliga skyddsnivåer bör tillhandahållas mot hot och svagheter som på ett rimligt sätt kan identifieras i enlighet med den senaste utvecklingen inom den speci­ fika sektorn och de konkreta situationerna för databe­ handlingen. De kostnader och bördor som ett sådant skydd medför bör stå i proportion till den sannolika skadan av ett it-angrepp för de drabbade. Medlemssta­ terna uppmanas att fastställa relevanta åtgärder i fråga om ansvar inom ramen för nationell rätt när det är uppenbart att en juridisk person inte har haft en lämplig skyddsnivå mot it-angrepp.

(27)Stora luckor och skillnader i medlemsstaternas lagstift­ ning och straffrättsliga förfaranden när det gäller angrepp mot informationssystem kan försvåra kampen mot orga­ niserad brottslighet och terrorism, och kan komplicera ett effektivt polisiärt och rättsligt samarbete på detta om­ råde. De moderna informationssystemens nationsöver­ skridande och gränslösa natur innebär att angrepp mot sådana system ofta har en gränsöverskridande dimension, vilket understryker det akuta behovet av ytterligare insat­ ser för att tillnärma den straffrättsliga lagstiftningen på detta område. För övrigt bör adekvata åtgärder för ge­ nomförande och tillämpning av rådets rambeslut 2009/948/RIF av den 30 november 2009 om förebyg­ gande och lösning av tvister om utövande av jurisdiktion i straffrättsliga förfaranden (1) göra det lättare att sam­ ordna åtal i fall av angrepp mot informationssystem. Medlemsstaterna bör också i samarbete med unionen verka för bättre internationellt samarbete i fråga om sä­ kerheten i informationssystem, datornätverk och datorbe­ handlingsbara uppgifter. Vederbörlig hänsyn till säkerhe­ ten vid dataöverföring och lagring av uppgifter bör tas med i alla internationella avtal som rör uppgiftsutbyte.

(28)Bättre samarbete mellan behöriga brottsbekämpande or­ gan och rättsliga myndigheter i hela unionen är nödvän­ digt för att man ska kunna bekämpa it-relaterad brotts­ lighet på ett effektivt sätt. I detta sammanhang bör ökade insatser för att ge adekvat utbildning till de berörda myn­ digheterna för ökad förståelse av it-relaterad brottslighet och dess konsekvenser, och för att främja samarbete och utbyte av bästa metoder, exempelvis genom de behöriga specialiserade unionsbyråerna och -organen, uppmuntras. Sådan utbildning bör bland annat syfta till att öka med­ vetenheten om de olika nationella rättssystemen, de even­ tuella rättsliga och tekniska svårigheter som kan uppstå vid brottsutredningar eller fördelningen av befogenheter mellan de relevanta nationella myndigheterna.

(29)Detta direktiv respekterar de mänskliga rättigheterna och de grundläggande friheterna och står i överensstämmelse med de principer som erkänns särskilt i Europeiska unio­ nens stadga om de grundläggande rättigheterna och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, inklusive

(1) EUT L 328, 15.12.2009, s. 42.

skyddet av personuppgifter, rätten till privatliv, yttrande- och informationsfrihet, rätten till en rättvis rättegång, oskuldspresumtion och rätten till försvar, samt med le­ galitetsprincipen och principen om proportionalitet mel­ lan brottet och påföljden. Detta direktiv syftar särskilt till att säkerställa att dessa rättigheter och principer respek­ teras fullt ut och måste genomföras i enlighet med detta.

(30)Skyddet av personuppgifter är en grundläggande rättighet i enlighet med artikel 16.1 i EUF-fördraget och artikel 8 i Europeiska unionens stadga om de grundläggande rättig­ heterna. Därför bör all behandling av personuppgifter i samband med genomförandet av detta direktiv vara helt och hållet förenlig med den unionsrätt som gäller beträf­ fande uppgiftsskydd.

(31)I enlighet med artikel 3 i protokollet om Förenade kung­ arikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unio­ nens funktionssätt, har dessa medlemsstater meddelat att de önskar delta i antagandet och tillämpningen av detta direktiv.

(32)I enlighet med artiklarna 1 och 2 i protokollet om Dan­ marks ställning, fogat till fördraget om Europeiska unio­ nen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.

(33)Eftersom målen för detta direktiv, nämligen att under­ ställa angrepp mot informationssystem i alla medlems­ stater effektiva, proportionella och avskräckande straff­ rättsliga påföljder och att förbättra och uppmuntra sam­ arbete mellan rättsliga och andra behöriga myndigheter, inte i tillräcklig utsträckning kan uppnås av medlemssta­ terna, och de därför bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritets­ principen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(34)Syftet med detta direktiv är att ändra och utöka bestäm­

melserna i rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informations­ system (2). Med avseende på de medlemsstater som deltar i antagandet av detta direktiv bör rambeslut 2005/222/RIF för tydlighetens skull ersättas i sin helhet, eftersom de ändringar som görs är många och väsentliga.

(2) EUT L 69, 16.3.2005, s. 67.

Syfte

Detta direktiv fastställer minimiregler om fastställande av brotts­ rekvisit och påföljder inom området angrepp mot informations­ system. Det syftar också till att främja förebyggande av sådana brott och förbättra samarbetet mellan rättsliga och andra behö­ riga myndigheter.

Artikel 2

Definitioner

I detta direktiv avses med

a)informationssystem: en apparat eller en grupp av samman­ kopplade apparater eller apparater som hör samman med varandra, av vilka en eller flera genom ett program auto­ matiskt behandlar datorbehandlingsbara uppgifter, samt da­ torbehandlingsbara uppgifter som lagras, behandlas, hämtas eller överförs med hjälp av en apparat eller en grupp av apparater för att de ska kunna drivas, användas, skyddas och underhållas,

b)datorbehandlingsbara uppgifter: framställning av fakta, infor­ mation eller begrepp i en form som lämpar sig för behand­ ling i ett informationssystem, inklusive program som lämpar sig för att få ett informationssystem att utföra en viss upp­ gift,

c)juridisk person: enhet som har status av juridisk person enligt tillämplig rätt, med undantag av stater, eller offentliga organ vid utövandet av de befogenheter som de har i egenskap av statsmakter samt internationella offentliga organisationer,

d)orättmätigt: handlande som avses i detta direktiv, inklusive intrång, störning eller avlyssning, utan tillstånd från ägaren eller annan rättighetshavare till systemet eller del av detta, eller som inte är tillåtet enligt nationell rätt.

Artikel 3

Olagligt intrång i informationssystem

Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att orättmätigt intrång som begås uppsåtligen i ett informationssystem som helhet eller en del av ett sådant system straffbeläggs när det begås genom intrång i en säkerhetsåtgärd och åtminstone i fall som inte är ringa.

Artikel 4

Olaglig systemstörning

Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att det är straffbart att, uppsåtligen och orättmätigt, allvarligt hindra eller avbryta driften av ett informationssystem genom att mata in, överföra, skada, radera, försämra, ändra, hindra flödet av eller göra det omöjligt att komma åt datorbe­ handlingsbara uppgifter, åtminstone i fall som inte är ringa.

Artikel 5

Olaglig datastörning

Artikel 6

Olaglig avlyssning

Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att avlyssning med tekniska hjälpmedel, som sker uppsåtligen och orättmätigt, av icke-offentliga överföringar av datorbehandlingsbara uppgifter till, från eller inom ett infor­ mationssystem, inklusive elektromagnetisk strålning från infor­ mationssystem som innehåller sådana uppgifter, straffbeläggs, åtminstone i fall som inte är ringa.

Artikel 7

Verktyg som används för att begå brott

Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att det är straffbart att uppsåtligen tillverka, sälja, anskaffa i syfte att använda, importera, distribuera eller på annat sätt tillgängliggöra ett av följande verktyg, om det sker orätt­ mätigt och med uppsåt att begå något av de brott som avses i artiklarna 3–6, åtminstone i fall som inte är ringa:

a)Ett datorprogram som utformats eller anpassats i första hand för att begå något av de brott som avses i artiklarna 3–6.

b)Ett datorlösenord, en åtkomstkod eller liknande uppgifter som gör det möjligt att få tillgång till ett informationssystem eller delar av ett sådant system.

Artikel 8

Anstiftan, medhjälp och försök

1.Medlemsstaterna ska se till att anstiftan av och medhjälp till de brott som avses i artiklarna 3–7 straffbeläggs.

2.Medlemsstaterna ska se till att försök att begå de brott som avses i artiklarna 4 och 5 straffbeläggs.

Artikel 9

Påföljder

1.Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att de brott som avses i artiklarna 3–8 är belagda med effektiva, proportionella och avskräckande straffrättsliga påföljder.

2.Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att de brott som avses i artiklarna 3–7 är belagda med ett maximistraff på minst två års fängelse, åtminstone i fall som inte är ringa.

Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att det är straffbart att, uppsåtligen och orättmätigt, radera, skada, försämra, ändra, hindra flödet av eller göra det

3. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att de brott som avses i artiklarna 4 och 5 är belagda med ett maximistraff på minst tre års fängelse när de

begås uppsåtligen och när ett betydande antal informations­ system har påverkats genom användning av ett verktyg som avses i artikel 7 och som har utformats eller anpassats i första hand för detta syfte.

4. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att de brott som avses i artiklarna 4 och 5 är belagda med ett maximistraff på minst fem års fängelse när de

a)begås inom ramen för en kriminell organisation enligt defi­ nitionen i rambeslut 2008/841/RIF, oberoende av den på­ följdsnivå som föreskrivs däri, eller

b)förorsakar allvarlig skada, eller

c)begås mot ett informationssystem som utgör kritisk infra­ struktur.

5. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att det i enlighet med nationell rätt kan anses som en försvårande omständighet, när de brott som avses i artiklarna 4 och 5 begås genom missbruk av personuppgifter som rör en annan person än gärningsmannen i syfte att vinna tredje mans förtroende och därigenom medför skada för den som identite­ ten tillhör, om inte dessa omständigheter redan täcks av ett annat brott som är straffbart enligt nationell rätt.

Artikel 10

Juridiska personers ansvar

1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att juridiska personer kan ställas till ansvar för de brott som avses i artiklarna 3–8 och som begås till deras för­ mån av en person som agerar antingen enskilt eller som en del av den juridiska personens organisation och har en ledande ställning inom den juridiska personen, grundad på något av följande:

a)Behörighet att företräda den juridiska personen.

b)Befogenhet att fatta beslut på den juridiska personens vägnar.

c)Befogenhet att utöva kontroll inom den juridiska personen.

2.Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att juridiska personer kan ställas till ansvar när brister i övervakning eller kontroll som ska utföras av en sådan person som avses i punkt 1 har gjort det möjligt för en person som är underställd den juridiska personen att till förmån för denna juridiska person begå något av de brott som avses i artiklarna 3–8.

3.Juridiska personers ansvar enligt punkterna 1 och 2 ska inte utesluta lagföring av fysiska personer som begår, anstiftar eller medverkar till något av de brott som avses i artiklarna 3–8.

Artikel 11

Påföljder för juridiska personer

1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att en juridisk person som har fällts till ansvar enligt artikel 10.1 kan bli föremål för effektiva, proportionella och avskräckande påföljder, som ska innefatta bötesstraff eller

administrativa avgifter och som får inbegripa andra påföljder, som

a)fråntagande av rätt till offentliga förmåner eller stöd,

b)tillfälligt eller permanent näringsförbud,

c)rättslig övervakning,

d)rättsligt beslut om upplösning av verksamheten,

e)tillfällig eller permanent stängning av inrättningar som har använts för att begå brottet.

2. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att en juridisk person som har fällts till ansvar enligt artikel 10.2 kan bli föremål för effektiva, proportionella och avskräckande påföljder eller andra åtgärder.

Artikel 12

Behörighet

1. Medlemsstaterna ska fastställa sin behörighet beträffande de brott som avses i artiklarna 3–8, när brottet har begåtts

a)helt eller delvis på deras territorium, eller

b)av en medborgare i medlemsstaten, åtminstone i sådana fall där gärningen utgör ett brott på den plats där den begicks.

2. En medlemsstat ska vid fastställandet av sin behörighet enligt punkt 1 a se till att behörigheten innefattar fall där

a)gärningsmannen är fysiskt närvarande på dess territorium när brottet begås, oavsett om brottet riktar sig mot ett infor­ mationssystem på denna medlemsstats territorium eller inte, eller

b)brottet riktar sig mot ett informationssystem på dess territo­ rium, oavsett om gärningsmannen är fysiskt närvarande på territoriet när brottet begås eller inte.

3. En medlemsstat ska underrätta kommissionen om den beslutar att fastställa sin behörighet över ett brott som avses i artiklarna 3–8 vilket har begåtts utanför dess territorium, in­ begripet när

a)gärningsmannen har sin hemvist på denna medlemsstats territorium, eller

b)gärningen har begåtts till förmån för en juridisk person som är etablerad inom denna medlemsstats territorium.

Artikel 13

Informationsutbyte

1. För utbyte av uppgifter om de brott som avses i artiklarna 3–8 ska medlemsstaterna se till att ha en operativ nationell kontaktpunkt och att använda det befintliga nät med operativa kontaktpunkter som kan nås dygnet runt alla dagar i veckan. Medlemsstaterna ska också se till att ha förfaranden som gör att de vid brådskande begäran om bistånd inom högst åtta timmar efter mottagandet kan ange åtminstone huruvida begäran kom­ mer att besvaras samt formen och den beräknade tidpunkten för svaret.

2.Medlemsstaterna ska underrätta kommissionen om sin ut­ sedda kontaktpunkt som avses i punkt 1. Kommissionen ska vidarebefordra denna information till de andra medlemsstaterna och behöriga specialiserade unionsbyråer och -organ.

3.Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att se till att lämpliga rapporteringskanaler är tillgängliga för att underlätta att de brott som avses i artiklarna 3–6 rapporteras till behöriga nationella myndigheter utan onödigt dröjsmål.

Artikel 14

Övervakning och statistik

1.Medlemsstaterna ska se till att det finns ett system för registrering, insamling och tillhandahållande av statistiska upp­ gifter om de brott som avses i artiklarna 3–7.

2.De statistiska uppgifter som avses i punkt 1 ska åtmin­ stone omfatta befintliga uppgifter om antalet sådana brott som avses i artiklarna 3–7 som registrerats av medlemsstaterna och antalet personer som åtalats och dömts för sådana brott som avses i artiklarna 3–7.

3.Medlemsstaterna ska översända de uppgifter som samlas in enligt denna artikel till kommissionen. Kommissionen ska se till att en samlad översikt över dessa statistiska rapporter offent­ liggörs och översänds till behöriga specialiserade unionsbyråer och -organ

Artikel 15

Ersättande av rambeslut 2005/222/RIF

Rambeslut 2005/222/RIF ersätts härmed med avseende på med­ lemsstater som deltar i antagandet av detta direktiv, utan att detta påverkar medlemsstaternas skyldigheter vad gäller tidsfris­ ten för införlivande av rambeslutet med nationell rätt.

Med avseende på de medlemsstater som deltar i antagandet av detta direktiv ska hänvisningar till rambeslut 2005/222/RIF an­ ses som hänvisningar till detta direktiv.

Artikel 16

Införlivande

1. Medlemsstaterna ska senast den 4 september 2015 sätta i kraft de lagar och andra författningar som är nödvändiga för att följa detta direktiv.

2.Medlemsstaterna ska till kommissionen överlämna texten till de bestämmelser genom vilka skyldigheterna enligt detta direktiv införlivas med deras nationella lagstiftning.

3.När en medlemsstat antar dessa bestämmelser ska de in­ nehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

Artikel 17

Rapportering

Kommissionen ska senast den 4 september 2017 överlämna en rapport till Europaparlamentet och rådet med en utvärdering av i vilken utsträckning medlemsstaterna har vidtagit de åtgärder som är nödvändiga för att följa detta direktiv, vid behov åtföljd av lagstiftningsförslag. Kommissionen ska även beakta den tek­ niska och rättsliga utvecklingen på området för it-relaterad brottslighet, särskilt vad gäller tillämpningsområdet för detta direktiv.

Artikel 18

Ikraftträdande

Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Artikel 19

Adressater

Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.

Utfärdat i Bryssel den 12 augusti 2013.

Prop. 2013/14:92

Bilaga 2

30

Sammanfattning av betänkandet Europarådets konvention om it-relaterad brottslighet

(SOU 2013:39)

Behovet av lagändringar mot bakgrund av direktivet

Inom EU antogs 2005 ett rambeslut om angrepp mot informationssystem. Europaparlamentets och rådets direktiv om angrepp mot informationssystem och om ersättande av rambeslut 2005/222/RIF syftar till att ytterligare närma medlemsstaternas strafflagstiftning till varandra på området för angrepp mot informationssystem och att ändra och utöka bestämmelserna i rambeslutet. Vidare är avsikten att förbättra samarbetet mellan myndigheter och brottsbekämpande organ i medlemsstaterna.

Tyngdpunkten i direktivet utgörs av materiellt straffrättsliga bestämmelser. Bestämmelserna överensstämmer till stor del med de som finns i Europarådets konvention om it-relaterad brottslighet. Till skillnad från konventionen ställer direktivet emellertid precisa krav på vilka påföljder som ska kunna dömas ut för vissa av brotten i direktivet.

Enligt artikel 9.3 och 9.4 ska brotten olaglig systemstörning och olaglig datastörning i vissa fall vara belagda med ett maximistraff på minst tre respektive fem års fängelse. Svensk rätt uppfyller genom främst dataintrångsbestämmelsen direktivets krav på vilka handlingar som ska vara straffbelagda som olaglig systemstörning och olaglig datastörning. Straffskalan för dataintrång är böter eller fängelse i högst två år. Utredningen bedömer därför att straffskalan för dataintrång måste skärpas för att Sverige ska kunna genomföra direktivet. Av artikel 9.2 följer vidare att vissa straffbara befattningar med verktyg ska vara belagda med ett maximistraff på minst två års fängelse. Svensk rätt uppfyller i denna del kravet på straffbarhet genom främst bestämmelserna om förberedelse till brott, bl.a. förberedelse till dataintrång. För förberedelse till dataintrång är det inte möjligt att döma till två års fängelse. Det krävs alltså även av detta skäl en skärpning av straffskalan för dataintrång.

I övrigt anser utredningen att svensk rätt redan uppfyller de krav som ställs i direktivet.

En särskild straffskala för grovt dataintrång

Straffskalan för brytande av post- eller telehemlighet sträcker sig från böter till fängelse två år. Enligt utredningens mening är den nuvarande straffskalan alltjämt väl avvägd. Något skäl att skärpa straffet för brytande av post- eller telehemlighet anser utredningen alltså inte finnas.

Även straffskalan för dataintrång sträcker sig från böter till fängelse två år. Den nuvarande straffskalan för dataintrång ger emellertid enligt utredningens uppfattning inte tillräckligt utrymme för att kunna beakta allvaret i storskaliga angrepp mot informationssystem. Av olika skäl är det inte alltid möjligt att vid sådana angrepp mot informationssystem tillämpa andra straffbestämmelser med högre straffskalor, såsom bestämmelserna om sabotage, grov skadegörelse och terroristbrott. Enligt

utredningens mening finns kriminalpolitiska skäl för att skärpa straffskalan för dataintrång.

Utredningen föreslår därför att det införs en särskild straffskala för grovt dataintrång. Straffskalan ska sträcka sig från fängelse sex månader till fängelse sex år. Vid bedömande av om ett dataintrång är grovt ska särskilt beaktas om gärningen har orsakat eller kunnat orsaka allvarlig skada eller har avsett ett stort antal uppgifter eller om gärningen annars varit av särskilt farlig art.

Bestämmelsen om dataintrång ska inte längre vara subsidiär i förhållande till straffbestämmelserna om brytande av post- eller telehemlighet och om intrång i förvar. Försök och förberedelse till grovt dataintrång ska vara straffbart.

Prop. 2013/14:92

Bilaga 2

31

Prop. 2013/14:92

Bilaga 3

32

Denna lag träder i kraft den 1 januari 2015.

Prop. 2013/14:92

Bilaga 3

33

Prop. 2013/14:92

Bilaga 4

34

Förteckning över remissinstanserna

Efter remiss har yttrande över betänkandet avgetts av Riksdagens ombudsmän, Hovrätten för Västra Sverige, Hovrätten över Skåne och Blekinge, Helsingborgs tingsrätt, Hässleholms tingsrätt, Göteborgs tingsrätt, Gävle tingsrätt, Luleå tingsrätt, Justitiekanslern, Domstolsverket, Åklagarmyndigheten, Ekobrottsmyndigheten, Rikspolisstyrelsen, Säkerhetspolisen, Statens kriminaltekniska laboratorium, Säkerhets- och integritetsskyddsnämnden, Brottsförebyggande rådet, Migrationsverket, Datainspektionen, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Myndigheten för samhällsskydd och beredskap, Kustbevakningen, Totalförsvarets forskningsinstitut, Barnombudsmannen, Länsstyrelsen i Stockholms län, Statskontoret, Tullverket, Skatteverket, Uppsala universitet (Juridiska fakultetsnämnden), Stockholms universitet (Juridiska fakultetsnämnden), Post- och telestyrelsen, Diskrimineringsombudsmannen, Bahnhof AB, ECPAT Sverige, Rättighetsalliansen, IT&Telekomföretagen, Svenska Journalistförbundet, Sveriges advokatsamfund och Juliagruppen.

Yttrande har också inkommit från Lunds universitets internetinstitut och .SE (Stiftelsen för Internetinfrastruktur).

Svenskt Näringsliv har avstått från att yttra sig.

Centrum mot rasism, Stiftelsen Expo, SIG Security, Svenska avdelningen av Internationella juristkommissionen, Civil Rights Defenders, Svenska Tidningsutgivareföreningen, Föreningen Utgivarna, Sveriges Domareförbund, Netnod Internet Exchange i Sverige AB, Tele2 AB och TeliaSonera AB har beretts tillfälle att avge yttrande men har avstått.

Prop. 2013/14:92

Bilaga 5

35

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2014-01-21

Närvarande: F.d. justitierådet Leif Thorsson samt justitieråden Gudmund Toijer och Olle Stenman.

Skärpt straff för dataintrång

Enligt en lagrådsremiss den 16 januari 2014 (Justitiedepartementet) har regeringen beslutat inhämta Lagrådets yttrande över förslag till

lag om ändring i brottsbalken.

Prop. 2013/14:92

Bilaga 6