EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: NEUVOSTON PUITEPÄÄTÖS. tietojärjestelmiin kohdistuvista hyökkäyksistä. (komission esittämä)

Transkriptio

1 EUROOPAN YHTEISÖJEN KOMISSIO Bryssel KOM(2002)173 lopullinen 2002/0086 (CNS) Ehdotus: NEUVOSTON PUITEPÄÄTÖS tietojärjestelmiin kohdistuvista hyökkäyksistä (komission esittämä)

2 PERUSTELUT 1. JOHDANTO Sähköiset tiedonsiirtoverkot ja tietojärjestelmät kuuluvat nykyään erottamattomasti EU:n kansalaisten elämään, ja ne ovatkin EU:n taloudellisen menestyksen elinehto. Verkot ja tietojärjestelmät lähentyvät toisiaan jatkuvasti ja niiden väliset yhteydet lisääntyvät. Vaikka tämä kehitys tarjoaa monia ilmeisiä etuja, siihen liittyy huolestuttavana uhkakuvana tietojärjestelmiä vastaan suunnatun kansainvälisen hyökkäyksen mahdollisuus. Hyökkäyksissä voidaan käyttää erilaisia keinoja, kuten tietojärjestelmien luvaton käyttö, vahingollisen ohjelmakoodin levittäminen tai tietojärjestelmien ruuhkauttaminen. Hyökkäys voidaan käynnistää mistä ja milloin tahansa, ja se voidaan suunnata minne tahansa. Tulevaisuudessa voi tapahtua uudenlaisia ja odottamattomia hyökkäyksiä. Tietojärjestelmiin kohdistuvat hyökkäykset uhkaavat tietoyhteiskunnan turvallisuuden ja vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen kehittämistä. Siksi niihin on varauduttava Euroopan unionin tasolla. Komissio pyrkii edistämään varautumista hyökkäyksiin muun muassa tällä ehdotuksella puitepäätökseksi tietojärjestelmiin kohdistuvien hyökkäysten torjumista koskevan rikoslainsäädännön lähentämisestä Tietojärjestelmiin kohdistuvien hyökkäysten luokittelu Ilmaisua tietojärjestelmä käytetään tässä ehdotuksessa harkitusti laajimmassa merkityksessään, koska sähköiset tiedonsiirtoverkot ja niiden yhdistämät järjestelmät lähentyvät toisiaan jatkuvasti. Tietojärjestelmiin katsotaan kuuluviksi muun muassa erillismikrot, kämmentietokoneet, matkapuhelimet, intranet- ja extranet-verkot ja tietenkin Internet-verkot, -palvelimet ja muu infrastruktuuri. Komission tiedonannossa Verkko- ja tietoturva: ehdotus eurooppalaiseksi lähestymistavaksi 1 ehdotetaan seuraavaa atk-järjestelmiin kohdistuvien turvallisuusuhkien luokitusta: (a) Tietojärjestelmien luvaton käyttö. Tähän sisältyy tietojärjestelmään murtautuminen (eli hakkerointi) tarkoituksena käyttää tietokonetta tai tietokoneverkkoa luvatta. Keinot vaihtelevat sisäpiirin tiedon hyväksikäyttämisestä väsytysmenetelmän käyttämiseen ja salasanan sieppaamiseen. Tarkoituksena on usein (ei kuitenkaan aina) tietojen ilkivaltainen kopioiminen, muuttaminen tai tuhoaminen. Joskus pyritään turmelemaan www-sivustoja tai käyttämään ehdollisen pääsyn palveluja maksutta. (b) Tietojärjestelmän häirintä. Ilkivaltaisissa hyökkäyksissä käytetään erilaisia keinoja aiheuttamaan tietojärjestelmien häiriöitä. Tunnetuimpia keinoja Internet-palveluiden estämiseksi tai heikentämiseksi on palvelunestohyökkäys (denial of service attack eli DoS). Tämä muistuttaa tilannetta, jossa faksilaitteet tukitaan pitkillä ja toistuvilla viesteillä. Palvelunestohyökkäysten tavoitteena on ylikuormittaa www-palvelimet tai Internet-palveluntarjoajien toimintakapasiteetti automaattisesti syntyvillä viesteillä. Hyökkäys voi kohdistua myös verkkotunnusjärjestelmän toiminnasta huolehtiviin 1 Komission tiedonanto neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle ja alueiden komitealle Verkko- ja tietoturva: ehdotus eurooppalaiseksi lähestymistavaksi KOM(2001) 298 lopullinen. 2

3 DNS-palvelimiin tai ns. reitittimiin. Häirintähyökkäyksillä on aiheutettu vahinkoa joillekin hyvin näkyville sivustoille, kuten portaaleille. Eräs äskettäinen hyökkäys on aiheuttanut tutkimusten mukaan satojen miljoonien eurojen aineelliset vahingot, mihin ei ole laskettu uhrin maineelle aiheutunutta vahinkoa. Yritykset ovat liiketoiminnassaan yhä riippuvaisempia Internet-palvelujensa saatavuudesta. Erityisen suojattomia ovat yritykset, joiden toimitusten oikea-aikaisuus riippuu niiden www-sivustojen käytettävyydestä. (c) Tietoja ilkivaltaisesti muuttavat tai tuhoavat ohjelmat. Pahamaineisin ilkivaltainen ohjelmatyyppi on virus. Kuuluisimpia esimerkkejä ovat I Love You, Melissa - ja Kournikova -virukset. Noin 11 prosenttia eurooppalaisista Internetin käyttäjistä on saanut kotitietokoneeseensa viruksen. Ilkivaltaisia ohjelmia on muitakin. Osa niistä vahingoittaa itse tietokonetta, osa käyttää sitä hyökätäkseen muita verkossa olevia komponentteja vastaan. Eräs ohjelmatyyppi (ns. ehdollinen pommi, logic bomb) voi uinua piilevänä, kunnes jokin tapahtuma, kuten tietty päivämäärä, laukaisee sen. Tällaiset ohjelmat voivat muuttaa tai poistaa tietoja ja aiheuttaa siten suurta vahinkoa. Toiset ohjelmat vaikuttavat harmittomilta, mutta käynnistävät avaamisensa jälkeen tuhoisan hyökkäyksen (minkä vuoksi niitä kutsutaan "Troijan hevosiksi"). Toiset ohjelmat (joita kutsutaan "madoiksi") eivät saastuta muita ohjelmia, kuten virukset, vaan tekevät itsestään kopioita, jotka kopioivat taas itsensä ja lopulta lamauttavat koko järjestelmän. (d) Telekuuntelu. Viestien luvaton sieppaaminen eli telekuuntelu rikkoo käyttäjien tietoturvaa ja eheysvaatimuksia. Telekuuntelua kutsutaan myös nuuskimiseksi. (e) Naamioituminen. Tietojärjestelmät tarjoavat uusia mahdollisuuksia väärän identiteetin omaksumiseen eli naamioitumiseen ja tähän perustuviin petoksiin Uhkakuvat Tietokonerikollisuuden laajuudesta ja luonteesta on pyrittävä keräämään luotettavaa tietoa. Monet vakavimmista tietojärjestelmiin kohdistuvista hyökkäyksistä on suunnattu sähköisen viestinnän verkko-operaattoreita tai sähköistä kauppaa harjoittavia yrityksiä vastaan. Myös perinteisemmille toimintamuodoille, kuten tehdasteollisuudelle, palveluille, sairaaloille, muille julkisoikeudellisille yhteisöille ja itse julkishallinnolle voidaan aiheuttaa suurta vahinkoa nykyisessä viestintäympäristössä, kun eri alojen keskinäiset kytkökset lisääntyvät jatkuvasti. Organisaatiot eivät kuitenkaan ole ainoita uhreja, vaan hyökkäyksillä voi olla suoria ja vakavaa vahinkoa aiheuttavia vaikutuksia myös yksityisiin kansalaisiin. Osa hyökkäyksistä aiheuttaa huomattavaa taloudellista vahinkoa niin julkisyhteisöille, yrityksille kuin kansalaisillekin. Tämä saattaa nostaa tietojärjestelmien hintaa, jolloin harvemmilla käyttäjillä on niihin varaa. Edellä kuvatun kaltaisten hyökkäysten tekijät toimivat usein yksin. Joskus he ovat ala-ikäisiä eivätkä täysin ymmärrä toimintansa vakavuutta. Hyökkäysmenetelmiä voidaan kuitenkin kehittää edelleen, ja hyökkäysten tavoitteet voivat käydä kunnianhimoisemmiksi. Kasvavaa huolta aiheuttaa pelko siitä, että järjestäytynyt rikollisuus alkaa käyttää viestintäverkkoja omiin tarkoituksiinsa hyökätäkseen tietojärjestelmiä vastaan. Tietojärjestelmin murtautumiseen ja sivustojen turmelemiseen erikoistuneet järjestäytyneet hakkeriryhmät toimivat yhä useammin maailmanlaajuisesti. Esimerkkejä tällaisista ovat brasilialainen Silver Lords -ryhmä sekä Pakistan Gforce -ryhmä, jotka yrittävät kiristää rahaa tarjoamalla uhreilleen apua sen jälkeen, kun ovat murtautuneet näiden tietojärjestelmiin. Suurten 3

4 hakkeriryhmien pidätysten perusteella voidaan arvioida, että tietojärjestelmiin murtautuminen on yhä useammin järjestäytyneen rikollisuuden piiriin kuuluva ilmiö. Viime aikoina järjestäytyneet rikollisryhmät ovat tehneet useita monimutkaisia teollis- ja tekijänoikeuksiin kohdistuneita hyökkäyksiä, ja erilaisten pankkipalveluiden välityksellä on yritetty varastaa huomattavia rahasummia. 2 Huolestuttavia ovat myös murrot sähköistä kaupankäyntiä harjoittavien yritysten tietokantoihin, joihin on tallennettu asiakkaiden luottokortti- ja muut tiedot. Tällaiset hyökkäykset lisäävät maksupetosten todennäköisyyttä ja pakottavat pankit peruuttamaan tuhansia kortteja ja antamaan tilalle uusia. Lisäksi ne aiheuttavat aineetonta vahinkoa yrityksen maineelle ja horjuttavat kuluttajan luottamusta sähköiseen kaupankäyntiin. Komission tiedonanto muihin maksuvälineisiin kuin käteisrahaan liittyvien petosten ja väärennysrikosten torjunnasta 3 on käynnistänyt keskustelun ennaltaehkäisevistä toimista, kuten vähimmäisturvavaatimuksista sähköistä kaupankäyntiä harjoittaville yrityksille. Tämä ehdotus on osa komission panosta Euroopan unionin keskeisiin tietojärjestelmiin kohdistuvan terrorihyökkäyksen vaaran torjumiseksi. Se täydentää komission ehdotuksia rikoksen johdosta EU:n sisällä tapahtuvan luovuttamisen korvaamisesta eurooppalaisella luovuttamismääräyksellä 4 ja terrorismilakien lähentämisestä 5. Eurooppa-neuvosto pääsi näistä tavoitteista poliittiseen yhteisymmärrykseen kokouksessaan Laekenissa 14. ja 15. joulukuuta Yhdessä näiden välineiden avulla voidaan varmistaa, että EU:lla on käytössään tehokas rikoslainsäädäntö verkkorikollisuuden torjumiseksi, ja tehostaa kansainvälistä yhteistyötä terrorismia vastaan. Tämä ehdotus ei koske pelkästään jäsenvaltioihin kohdistuvia tekoja. Sen kohteena on myös sellainen toiminta Euroopan unionin alueella, joka kohdistuu unionin ulkopuolisten maiden alueella sijaitseviin tietojärjestelmiin. Tämä osoittaa komission sitoutuneen tietojärjestelmien kohdistuvien hyökkäysten torjumiseen sekä EU:ssa että maailmanlaajuisesti. Kansainvälisten suhteiden kiristyminen on johtanut viime aikoina useisiin hyökkäyksiin tietojärjestelmiä monissa tapauksissa Internet-sivustoja vastaan. Vakavammat hyökkäykset (esim. sairaaloita, lennonjohtojärjestelmiä ym. vastaan) voivat johtaa vakavan taloudellisen vahingon lisäksi joissakin tapauksissa jopa ihmishenkien menetykseen. Jäsenvaltiot ajavat tarmokkaasti erilaisia kriittisten järjestelmien suojaa koskevia aloitteita, mikä osoittaa, kuinka vakavana ne pitävät tätä ongelmaa. Esimerkiksi EU:n Tietoyhteiskunnan tekniikat -ohjelma (IST-ohjelma) 6 on perustanut yhdessä Yhdysvaltojen ulkoasiainministeriön kanssa kriittisten järjestelmien suojelua käsittelevän EU:n ja USA:n yhteisen työryhmän Yhdysvaltalainen Communications Management Association (CMA) on julkaissut tutkimuksen, jonka mukaan joka kolmas Yhdistyneen kuningaskunnan suuryritys ja julkishallinnon elin on joutunut hakkerihyökkäyksen kohteeksi. Vahingon laatu vaihtelee yritysten pankkitileille tunkeutumisesta tietovarkauksiin. Ks. yhdistyksen verkkosivut osoitteessa Komission tiedonanto muihin maksuvälineisiin kuin käteisrahaan liittyvien petosten ja väärennysrikosten torjunnasta, KOM(2001) 11 lopullinen. Komissio hyväksynyt Ehdotus neuvoston puitepäätökseksi eurooppalaisesta pidätysmääräyksestä ja jäsenvaltioiden välisistä luovuttamismenettelyistä. KOM(2001) 522 lopullinen. Komissio hyväksynyt Ehdotus neuvoston puitepäätökseksi terrorismin torjumisesta. KOM(2001) 521 lopullinen. Komissio hyväksynyt IST-ohjelmaa hallinnoi Euroopan komissio. Ohjelma on osa tutkimuksen ja teknologisen kehittämisen viidettä puiteohjelmaa ( ). Lisätietoja saa verkko-osoitteesta Työryhmä toimii EY:n ja USA:n tiede- ja teknologiayhteistyösopimukseen perustuvan yhteisen neuvoaantavan ryhmän alaisena. 4

5 1.3. Luotettavien tietojen ja tilastojen tarve Tietokonerikollisuuden laajuudesta on saatavana vain harvoja luotettavia tilastotietoja. Todettujen ja ilmoitettujen tunkeutumistapausten lukumäärä on todennäköisesti toistaiseksi pienempi kuin ongelman todellinen laajuus edellyttäisi. Yhdysvalloissa tehdyn kyselytutkimuksen 8 mukaan vuonna 1999 vain 32 prosenttia vastaajista, joiden tietokoneeseen oli tunkeuduttu edellisen vuoden aikana, oli ilmoittanut asiasta viranomaisille. Tämä merkitsi kuitenkin parannusta edelliseen vuoteen, jolloin vain 17 prosenttia vastaajista oli tehnyt ilmoituksen. Ilmiölle on esitetty useita syitä. Monet tapaukset jäävät järjestelmävastaavien ja käyttäjien tietämyksen ja kokemuksen rajallisuuden vuoksi huomaamatta. Lisäksi yritykset eivät ole useinkaan halukkaita kertomaan tietotekniikan väärinkäytöksistä, koska ne eivät halua saada kielteistä julkisuutta eivätkä altistua uusille hyökkäyksille. Toistaiseksi vain harvat poliisiviranomaiset tilastoivat tietokoneiden ja viestintäjärjestelmien käyttöä näissä ja muissa rikoksissa 9. Lainvalvontaviranomaisilla ei ole tietokonerikosten havaitsemiseksi, tunnistamiseksi ja tutkimiseksi tarvittavaa koulutusta. Euroopan unioni on kuitenkin alkanut kiinnittää huomiota ongelmaan ja kerätä tilastotietoja tietojärjestelmiin kohdistuvista hyökkäyksistä. Eräässä jäsenvaltiossa arvioitiin vuoden 1999 aikana tehdyn hyökkäystä tietojärjestelmiin, vaikka vain 105 tapauksesta tehtiin virallinen ilmoitus. Vuoden 1999 aikana seitsemässä jäsenvaltiossa tehtiin yhteensä vain 1844 tietojärjestelmiin tai atktietoihin liittyvää rikosilmoitusta. Rikosilmoitusten määrä oli kuitenkin kaksinkertaistunut vuodesta 1998, jolloin kyseisissä jäsenvaltioissa kirjattiin vain 972 tapausta. 10 Lisäksi äskettäisessä kyselytutkimuksessa prosenttia talousrikosten kohteina olleista yrityksistä ilmoitti joutuneensa verkkorikollisuuden uhriksi. Kyselyyn vastanneet olivat yhä huolestuneempia verkkorikollisuudesta, jota 43 prosenttia vastaajista piti tulevaisuuden uhkana. Eräässä toisessa tutkimuksessa tultiin siihen tulokseen, että tietojärjestelmiin murtautuminen ja virukset ovat organisaatioita pahimmin uhkaavat verkkorikollisuuden muodot. Tekijäryhmistä suurimpia ovat hakkerit (45 prosenttia), entiset työntekijät (13 prosenttia), järjestäytynyt rikollisuus (13 prosenttia) ja nykyiset työntekijät (11 prosenttia). 12 Näiden lukujen voidaan olettaa kasvavan sitä mukaa kuin tietojärjestelmien käyttö lisääntyy, yhteenkytkettävyys yleistyy ja valmius ilmoittaa hyökkäyksistä paranee. Joka tapauksessa on selvää, että jäsenvaltioiden on kiireellisesti saatava käyttöönsä tilastointiväline, jolla voidaan mitata EU:ssa tehtyjen tietokonerikosten määrää ja laatua. Tilastoinnin lähtökohdaksi tarvitaan yhteinen EU:n laajuinen määritelmä tietojärjestelmiin kohdistuvista hyökkäyksistä EU:n politiikan taustaa Maaliskuussa 2000 Lissabonissa kokoontunut Eurooppa-neuvosto ilmaisi pitävänsä tärkeänä siirtymistä kilpailukykyiseen, dynaamiseen ja osaamiselle rakentuvaan talouteen ja pyysi neuvostoa ja komissiota laatimaan eeurope-toimintasuunnitelman, jonka avulla nämä Computer Security Institute (CSI) ja liittovaltion poliisi FBI julkaisevat vuosittain alkuvuodesta tietokonerikollisuutta ja tietoverkkoturvallisuutta koskevan kyselytutkimuksen tulokset. Tarkempia tietoja tutkimuksesta on CSI:n verkkosivuilla osoitteessa Italian sisäministeriö on julkaissut hiljattain tilastoja tietokonerikollisuuden torjuntatoiminnastaan vuosina 1999 ja 2000 (ks. Tietojärjestelmämurroista laadittiin vuonna 2000 yhteensä 98 virallista raporttia, mikä oli yli neljä kertaa enemmän kuin vuonna 1999 (21 raporttia). Neuvoston asiakirja nro 8123/01 ENFOPOL 38. Saatavana neuvoston Internet-sivuilta osoitteesta European Economic Crime Survey 2001, PricewaterhouseCoopers 2001 ( ). The Cybercrime Survey 2001, Confederation of British Industry (ks. ). 5

6 mahdollisuudet voidaan hyödyntää mahdollisimman hyvin. 13 Komission ja neuvoston laatimaan toimintasuunnitelmaan, jonka Feirassa kokoontunut Eurooppa-neuvosto hyväksyi kesäkuussa 2000, sisältyy toimenpiteitä verkkoturvallisuuden parantamiseksi sekä tietoverkkorikollisuutta koskevan koordinoidun ja johdonmukaisen toimintamallin luomiseksi vuoden 2002 loppuun mennessä. Komissio on osallistunut toimintamallin kehittämiseen julkaisemalla tiedonannon Turvallisempaan tietoyhteiskuntaan tietojärjestelmien turvallisuutta parantamalla ja tietokonerikollisuutta ehkäisemällä 14. Tiedonannossa ehdotetaan verkkorikollisuuden ongelmien tasapuolista käsittelyä, jossa otetaan huomioon lainvalvontaviranomaisten, palveluntarjoajien, verkko-operaattorien, muiden elinkeinoelämän edustajien, kuluttajajärjestöjen, tietosuoja-alan edustajien ja muiden asianomaisten ryhmien näkemykset. Tiedonannossa esitetään useita lainsäädäntö- ja muita aloitteita. Hyvä esimerkki jo meneillään olevasta toiminnasta on IDA-ohjelma, jonka puitteissa jäsenvaltiot ja komissio valmistelevat yhteistä turvallisuuspolitiikkaa ja turvallisen verkon luomista hallinnollista tietojenvaihtoa varten. Yksi tärkeimmistä tiedonannossa esiin tuoduista asioista on tarve tehokkaaseen toimintaan tietojärjestelmien ja -verkkojen aitouteen, eheyteen, luottamuksellisuuteen ja käytettävyyteen kohdistuvien uhkien torjumiseksi. Yhteisön lainsäädäntöä onkin jo kehitetty säätämällä useista verkko- ja tietoturvaa parantavista toimenpiteistä. Yhteisön tasolla on jo toteutettu useita lainsäädännöllisiä toimenpiteitä, jotka parantavat erityisesti verkko- ja tietoturvaa. Puitepäätöksellä täydennetään tietojärjestelmien suojaamista koskevaa aikaisempaa yhteisön lainsäädäntöä, johon kuuluvat direktiivit 95/46/EY ja 97/66/EY sekä ehdolliseen pääsyyn perustuvien tai ehdollisen pääsyn sisältävien palvelujen oikeussuojasta annettu direktiivi 98/84/EY. Operaattoreita ja palveluntarjoajia koskevia säännöksiä on muun muassa Euroopan televiestintä- ja tietosuoja-alan sääntelykehyksessä (direktiivit 95/46/EY ja 97/66/EY 15 ), jonka mukaan yleisesti saatavilla olevien telepalvelujen tarjoajien on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet tarjoamiensa palvelujen turvallisuuden varmistamiseksi, ja näiden toimenpiteiden on tarjottava riskiin suhteutettu turvallisuustaso. Tehokkaimpia keinoja turvallisuusongelmien ratkaisemiseksi ovat ennaltaehkäisy ja koulutus. Tiedonannossa painotetaan turvatekniikan saatavuuden, kehittämisen ja tehokkaan käytön merkitystä. Lisäksi siinä todetaan, että suurelle yleisölle on tiedotettava tietokonerikollisuuden aiheuttamista riskeistä, edistettävä tietotekniikan turvallisuuden kannalta parhaita käytäntöjä, kehitettävä tehokkaita välineitä ja keinoja tietokonerikollisuuden torjumiseksi sekä edistettävä ennakkovaroitus- ja kriisinhallintajärjestelmien jatkokehittelyä. EU:n Tietoyhteiskunnan tekniikat -ohjelman (IST-ohjelma) 16 avulla lisätään tietoisuutta tietokonerikollisuuteen liittyvistä haasteista ja kehitetään niihin vastaamiseksi tarvittavia valmiuksia ja tekniikkaa. Tukholmassa 23. ja 24. maaliskuuta 2001 kokoontunut Eurooppa-neuvosto totesi, että verkkoturvallisuuden parantamiseksi tarvitaan lisätoimia, ja kehotti neuvostoa ja komissiota Lissabonissa 23. ja 24. maaliskuuta 2000 pidetyn Eurooppa-neuvoston kokouksen puheenjohtajan päätelmät ovat luettavissa Internet-sivulla KOM(2000) 890 lopullinen. EYVL L 281, , s , EYVL L 24, , s IST-ohjelmaa hallinnoi Euroopan komissio. Ohjelma on osa tutkimuksen ja teknologisen kehittämisen viidettä puiteohjelmaa ( ). Lisätietoja saa verkko-osoitteesta 6

7 laatimaan sähköisten verkkojen turvallisuutta koskevan kattavan strategian, johon sisältyy myös käytännön täytäntöönpanotoimia. Strategia oli esitettävä hyvissä ajoin ennen Göteborgin Eurooppa-neuvostoa. Komissio vastasi kehotukseen laatimalla tiedonannon Verkko- ja tietoturva: ehdotus eurooppalaiseksi lähestymistavaksi 17. Tiedonannossa tarkasteltiin verkkoturvallisuuteen liittyviä ongelmia ja esitettiin strategiset suuntaviivat alan toimille. Tämän jälkeen neuvosto hyväksyi 6. joulukuuta 2001 päätöslauselman yhteisestä lähestymistavasta ja erityisistä toimista verkko- ja tietoturvallisuuden alalla. Nämä aloitteet eivät kuitenkaan yksin riitä suojaamaan tietojärjestelmiä vakavilta hyökkäyksiltä. Molemmissa edellä mainituissa komission tiedonannoissa todetaan, että olisi pikaisesti lähennettävä aineellisen rikosoikeuden säännöksiä, joita EU:ssa sovelletaan tietojärjestelmiin kohdistuviin hyökkäyksiin. Tämä vastaa Eurooppa-neuvoston Tampereella lokakuussa 1999 pidetyn kokouksen päätelmiä 18, joissa huipputekniikka on otettu mukaan lyhyeen luetteloon aloista, joiden osalta olisi pyrittävä sopimaan yhteisistä määritelmistä, syytteeseen asettamisesta ja seuraamuksista. Huipputekniikkaan liittyvä rikollisuus mainitaan myös järjestäytyneen rikollisuuden ehkäisemistä ja valvontaa koskevan EU:n strategiaasiakirjan 19 suosituksessa 7. Asiaa koskeva puitepäätösehdotus sisältyy komission työohjelmaan vuodeksi ja komission 30. lokakuuta 2001 julkistamaan vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen perustamista koskevaan tulostauluun Rikosoikeuden säännösten lähentämistarve Jäsenvaltioiden rikoslaeissa on merkittäviä aukkoja ja eroja, jotka saattavat vaikeuttaa järjestäytyneen rikollisuuden ja terrorismin torjuntaa ja yksityishenkilöiden tietojärjestelmiin kohdistamien vakavien hyökkäysten ehkäisemistä. Lähentämällä huipputekniikkaan liittyvään rikollisuuteen sovellettavia aineellisen oikeuden säännöksiä voidaan varmistaa, että kansalliset säännökset ovat riittävän kattavat, jotta erilaiset tietojärjestelmiin kohdistuvat vakavat hyökkäykset voidaan tutkia rikoslain mukaisilla tekniikoilla ja menetelmillä. Syylliset on voitava tunnistaa ja saattaa oikeuden eteen, ja tuomioistuinten on voitava määrätä rikoksista asianmukaisia ja oikeasuhteisia rangaistuksia. Tällä olisi voimakas pelotevaikutus niihin, jotka suunnittelevat tietojärjestelmiin kohdistuvia rikoksia. Kansallisen lainsäädännön aukot ja eri maiden säännösten väliset erot voivat myös vaikeuttaa poliisin ja tuomioistuinten tehokasta yhteistyötä tietojärjestelmiin kohdistuvia hyökkäyksiä vastaan. Hyökkäykset ylittävät monissa tapauksissa valtioiden rajat, ja tällöin niihin vastaamiseksi tarvitaan kansainvälistä oikeudellista ja poliisiyhteistyötä. Lakeja lähentämällä voidaan tehostaa tätä yhteistyötä varmistamalla, että kaksoisrangaistavuuden vaatimus täyttyy (yleensä teon on oltava rangaistava molemmissa maissa, jotta rikostutkimuksiin voidaan antaa keskinäistä oikeusapua). Tämä parantaa sekä EU:n jäsenvaltioiden keskinäistä yhteistyötä että jäsenvaltioiden ja EU:n ulkopuolisten maiden yhteistyötä (jos näiden maiden kanssa on tehty sopimus keskinäisestä oikeusavusta). Lisäksi on täydennettävä EU:n nykyisiä säännöksiä ja määräyksiä. Neuvoston puitepäätös eurooppalaisesta pidätysmääräyksestä 22, Europol-yleissopimuksen liite 23 ja Eurojustin KOM(2001) 298 lopullinen, Järjestäytyneen rikollisuuden ehkäiseminen ja valvonta: Euroopan unionin strategia uuden vuosituhannen alkaessa, EYVL C 124, KOM(2001) 628 lopullinen, EYVL C, s. 7

8 perustamista koskeva neuvoston päätös 24 sisältävät tietoverkkorikollisuutta koskevia viittauksia, jotka on vielä määriteltävä tarkemmin. Asianomaisissa asiakirjoissa esiintyvää tietoverkkorikollisuuden käsitettä on tulkittava niin, että se sisältää muun muassa tässä puitepäätöksessä määritellyt tietoverkkoihin kohdistuvat hyökkäykset. Määritelmän ansiosta kyseisten tekojen rikostunnusmerkistöjä voidaan lähentää huomattavasti. Tämä puitepäätös täydentää myös terrorismin torjumisesta tehtyä puitepäätöstä 25, joka koskee julkisia palveluja (kuten tietojärjestelmiä) ylläpitävälle laitokselle laajaa tuhoa aiheuttavia terroritekoja, joista aiheutuu tai todennäköisesti aiheutuu vaaraa ihmishengille tai suuria taloudellisia tappioita Puitepäätösehdotuksen tarkoitus ja laajuus Tämä ehdotus neuvoston puitepäätökseksi on tarkoitettu lähentämään tietojärjestelmiin kohdistuviin hyökkäyksiin sovellettavia rikosoikeuden säännöksiä ja tehostamaan oikeudellista ja poliisiyhteistyötä tällaisiin hyökkäyksiin liittyvien rikosten tutkimisessa. Näin ehdotus edistää osaltaan Euroopan unionin toimintaa järjestäytyneen rikollisuuden ja terrorismin torjumiseksi. Tarkoituksena ei ole velvoittaa jäsenvaltioita kriminalisoimaan vähäisiä rikkomuksia. Euroopan unionista tehdyn sopimuksen 47 artiklan nojalla on selvää, että tämä puitepäätös ei vaikuta yhteisön oikeuden soveltamiseen. Se ei vaikuta yhteisön lainsäädännössä (mm. direktiiveissä 95/46/ETY ja 97/66/ETY) säädettyihin yksityisyyden suojaa tai tietosuojaa koskeviin säännöksiin. Tarkoitus ei ole myöskään velvoittaa jäsenvaltioita säätämään henkilötietoihin tutustumista ja niiden luovuttamista, viestintäsalaisuutta, tietosuojaa henkilötietojen käsittelyn yhteydessä ja sähköistä allekirjoitusta 26 koskevien sääntöjen tai teollis- ja tekijänoikeuksien rikkomista rangaistavaksi teoksi, eikä se rajoita ehdolliseen pääsyyn perustuvien tai ehdollisen pääsyn sisältävien palvelujen oikeussuojasta annetun direktiivin 98/84/EY 27 soveltamista. Näistä tärkeistä asioista säädetään jo voimassaolevassa yhteisön lainsäädännössä. Rikoslainsäädännön lähentämistä näillä aloilla on tarkasteltava pikemminkin yhteisön oikeuden kuin EU:sta tehdyn sopimuksen VI osaston kannalta, kun pyritään saavuttamaan yhteisön lainsäädännön tavoitteet. Näihin kuuluvat muun muassa henkilötietojen ja tekijänoikeuden suoja sekä palveluntarjoajien ehdollisen pääsyn järjestelmien käyttöön liittyvät korvauskysymykset. Siksi tässä puitepäätöksessä rajoitutaan käsittelemään tekoja, jotka on mainittu edellä kohdassa 1.1 (alakohdat a c). Euroopan unionin tasolla sovellettavissa säännöksissä on otettava huomioon myös kehitys muilla kansainvälisillä foorumeilla. Euroopan neuvosto on edistynyt pisimmälle aineellisen rikosoikeuden säännösten lähentämisessä tietojärjestelmiin kohdistuvien hyökkäysten osalta. Euroopan neuvosto ryhtyi valmistelemaan tietoverkkorikollisuutta koskevaa kansainvälistä yleissopimusta helmikuussa Yleissopimus hyväksyttiin ja avattiin allekirjoituksia varten marraskuussa Sen tavoitteena on lähentää lainsäädäntöä, jota sovelletaan muun muassa atk-järjestelmien ja -tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen Neuvoston säädös, annettu 26 päivänä heinäkuuta 1995, yleissopimuksen tekemisestä Euroopan unionista tehdyn sopimuksen K.3 artiklan perusteella Euroopan poliisiviraston perustamisesta (Europolyleissopimus), EYVL C 316, , s. 1. EYVL C, s. EYVL C, s. Sähköisiä allekirjoituksia koskevista yhteisön puitteista 13 päivänä joulukuuta 1999 annettu Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY, EYVL L 13, , s. 20. EYVL L 320, , s Sopimusluonnos on saatavana Internetistä kahtena kieliversiona, englanniksi ( ja ranskaksi ( 8

9 kohdistuviin rikoksiin. Tässä puitepäätöksessä pyritään noudattamaan Euroopan neuvoston yleissopimuksessa näihin rikoksiin omaksuttua linjaa. Huipputekniikkaan liittyvää rikollisuutta käsittelevissä G8-ryhmän keskusteluissa on korostettu kahta keskeistä uhkaa. Toinen liittyy tietojärjestelmien infrastruktuuriin ja perustuu toimiin, joiden tavoitteena on tietokoneisiin tai tietokoneverkkoihin tallennettujen tietojen (tai itse tietokoneiden tai verkkojen) häiritseminen, estäminen, heikentäminen tai tuhoaminen. Toinen liittyy tietokoneen avulla tahallisesti toteutettuun vahingolliseen toimintaan, kuten petoksiin, rahanpesuun, lapsipornografiaan, teollis- ja tekijänoikeuksien rikkomiseen ja huumekauppaan. Tässä ehdotuksessa käsitellään ensin mainittua uhkakuvaa. Lähennettäessä EU:n jäsenvaltioiden lainsäädäntöä on otettava huomioon alan kansainvälinen kehitys ja noudatettava yhteisön nykyistä politiikkaa. Niinpä ehdotuksessa pyritään viemään lainsäädännön lähentäminen pitemmälle kuin on ollut mahdollista muissa kansainvälisissä yhteyksissä. 2. OIKEUSPERUSTA Vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen kehittämiseksi on tehostettava järjestäytyneen ja muun rikollisuuden sekä terrorismin torjuntaa tiivistämällä jäsenvaltioiden lainvalvonta- ja oikeusviranomaisten yhteistyötä ja lähentämällä jäsenvaltioiden rikosoikeudellisia säännöksiä. Tämän puitepäätösehdotuksen tavoitteena on nimenomaan lähentää rikosasioissa tehtävää oikeudellista ja poliisiyhteistyötä sääntelevää jäsenvaltioiden lainsäädäntöä. Tätä varten ehdotuksessa pyritään antamaan erityisesti järjestäytyneen rikollisuuden ja terrorismin rikostunnusmerkistöjä koskevat vähimmäissäännöt. Lisäksi pyritään helpottamaan ja jouduttamaan oikeusviranomaisten yhteistyötä huolehtimalla siitä, että jäsenvaltioissa sovellettavat säännöt ovat yhteensopivat. Ehdotuksen johdanto-osan mukaisesti oikeusperustan muodostavat Euroopan unionista tehdyn sopimuksen 29 artikla, 30 artiklan 1 kohdan a alakohta, 31 artikla ja 34 artiklan 2 kohdan b alakohta. Ehdotuksella ei ole Euroopan yhteisöjen talousarvioon kohdistuvia taloudellisia vaikutuksia. 3. PUITEPÄÄTÖS: ARTIKLAKOHTAISET PERUSTELUT 1 artikla Puitepäätöksen tarkoitus ja laajuus Tässä artiklassa todetaan, että puitepäätös on tarkoitettu lähentämään tietojärjestelmiin kohdistuviin vakaviin hyökkäyksiin sovellettavia rikosoikeuden säännöksiä erityisesti järjestäytyneen rikollisuuden ja terrorismin osalta ja tehostamaan oikeudellista ja poliisiyhteistyötä tällaisiin hyökkäyksiin liittyvien rikosten tutkimisessa. Euroopan unionista tehdyn sopimuksen 47 artiklan nojalla puitepäätös ei vaikuta yhteisön oikeuden soveltamiseen. Tämä koskee muun muassa direktiiveissä 95/46/ETY ja 97/66/ETY säädettyjä yksityisyyden suojaan ja tietosuojaan liittyviä oikeuksia ja velvollisuuksia. Tarkoitus ei ole myöskään velvoittaa jäsenvaltioita säätämään henkilötietoihin tutustumista ja niiden luovuttamista, viestintäsalaisuutta, tietosuojaa henkilötietojen käsittelyn yhteydessä ja sähköistä allekirjoitusta 29 koskevien sääntöjen tai teollis- ja tekijänoikeuksien rikkomista 29 Sähköisiä allekirjoituksia koskevista yhteisön puitteista 13 päivänä joulukuuta 1999 annettu Euroopan parlamentin ja neuvoston direktiivi 1999/93/EY, EYVL L 13, , s

10 rangaistavaksi teoksi, eikä se rajoita ehdolliseen pääsyyn perustuvien tai ehdollisen pääsyn sisältävien palvelujen oikeussuojasta annetun direktiivin 98/84/EY 30 soveltamista. Puitepäätöksen tarkoituksena ei ole velvoittaa jäsenvaltioita kriminalisoimaan vähäisiä tai merkityksettömiä tekoja. Teko on saatettava rangaistavaksi, jos se täyttää 3 ja 4 artiklassa määritellyt edellytykset. Nämä edellytykset ovat tietoverkkorikollisuutta koskevaan Euroopan neuvoston yleissopimusluonnokseen sisältyvien poikkeuksia ja varaumia koskevien lausekkeiden mukaiset. Jotta puitepäätöksessä tarkoitettu teko määriteltäisiin rikolliseksi, sen on oltava tahallinen. Sanaa tahallinen onkin käytetty 3, 4 ja 5 artiklassa. Viittaus on tulkittava jäsenvaltioissa tahallisuuteen tavanomaisesti sovellettavien rikosoikeudellisten periaatteiden mukaisesti. Siksi puitepäätöksessä ei edellytetä sellaisten tekojen kriminalisoimista, joissa on kyse törkeästä tuottamuksesta tai piittaamattomuudesta, mutta jotka eivät ole tahallisia. Myös tahallinen yritys ylipäätään käyttää tietojärjestelmiä laittomasti tai häiritä niiden toimintaa olisi katsottava rangaistavaksi ilman, että olisi todistettava vahingoittamistarkoituksen kohdistuneen johonkin tiettyyn tietojärjestelmään. 2artikla Määritelmät Ehdotuksessa neuvoston puitepäätökseksi esitetään seuraavat määritelmät: (a) Sähköisen viestinnän verkko. Määritelmä on sama kuin sähköisen viestinnän verkkojen ja palvelujen yhteisestä sääntelyjärjestelmästä 14 päivänä helmikuuta 2002 annetussa neuvoston ja Euroopan parlamentin direktiivissä 31. (b) Tietokone. Määritelmä perustuu tietoverkkorikollisuutta koskevan Euroopan neuvoston yleissopimusluonnoksen 1 artiklaan. Se sisältää muun muassa erillismikrot, kämmentietokoneet, tv:n digitaalisovittimet eli set-top-boxit, kotivideonauhurit ja tietojenkäsittelyominaisuuksilla varustetut matkapuhelimet (esim. WAP- ja kolmannen sukupolven matkapuhelimet), joita sähköisen viestinnän verkkojen määritelmä ei muuten kattaisi. (c) (d) Sähköiset tiedot. Määritelmä perustuu käsitteen tiedot ISO-määritelmään 32. Siihen eivät sisälly kirjojen kaltaiset aineelliset esineet. Sen sijaan se kattaa kirjat, jotka on tallennettu tekstinkäsittelytiedostona tai skannaamalla. Määritelmän mukaan sähköiset tiedot on siis luotu tai saatettu tietojärjestelmän käsiteltävissä olevaan muotoon tai muotoon, jossa ne voivat käynnistää tietojärjestelmän toiminnon. Tietojärjestelmä. Tietojärjestelmän määritelmä perustuu toisaalta OECD:n vuonna 1992 julkaisemissa tietojärjestelmien turvallisuutta koskevissa ohjeissa esitettyyn määritelmään ja toisaalta edellä mainittuihin sähköisen viestinnän verkon, tietokoneen ja sähköisten tietojen määritelmiin. Ilmausta on käytetty jo aiemmissa yhteisön säädöksissä, kuten tietojärjestelmien turvallisuudesta 31 päivänä maaliskuuta 1992 tehdyssä neuvoston päätöksessä ja yleisistä tietotekniikan turvallisuuden arviointiperusteista 7 päivänä maaliskuuta 1995 annetussa neuvoston EYVL L 320, , s Direktiivin lopullinen teksti on luettavissa verkkosivulla Kansainvälinen standardointijärjestö ISO on maailmanlaajuinen kattojärjestö, jonka jäseninä on noin 100:n maan standardointiliitot. 10

11 suosituksessa. Olematta sidoksissa mihinkään tiettyyn tekniseen ratkaisuun tietojärjestelmän ilmaus kuvaa hyvin yhteenliitettyjen verkostojen ja sähköisiä tietoja sisältävien järjestelmien ajatusta. Se kattaa sekä laitteistot että ohjelmistot, mutta ei tiedon sisältöä. Sen piiriin kuuluvat myös erillisjärjestelmät. Komission mielestä rikoslainsäädännön tarjoamaa suojaa ei pidä rajoittaa yhteenliitettyihin järjestelmiin, vaan se on syytä ulottaa myös erillistietokoneisiin. (e) Oikeushenkilö. Oikeushenkilön määritelmä on aiemmissakin neuvoston puitepäätöksissä käytetty vakiomääritelmä. (f) Valtuutettu henkilö. Valtuutetulla henkilöllä tarkoitetaan ketä tahansa, jolla on sopimukseen tai lakiin perustuva oikeus tai lainmukainen lupa käyttää, johtaa, valvoa, testata tai suorittaa tieteellistä tutkimusta tai muuten käyttää tietojärjestelmää ja joka harjoittaa tämän oikeuden tai luvan mukaista toimintaa. Määritelmä kattaa myös henkilön, joka toimii edellä tarkoitetun valtuutetun henkilön lainmukaisella suostumuksella. On erityisen tärkeää varmistaa, että seuraavia eri henkilöryhmien luvallisia toimintoja ei kriminalisoida (toimijan pysyessä oikeuksiensa, valtuuksiensa ja velvollisuuksiensa asettamissa rajoissa), kun puitepäätös saatetaan osaksi kansallista lainsäädäntöä: tavallisten käyttäjien (yksityishenkilöiden tai yritysten) toiminta, mm. salauksen käyttö omien viestien ja tietojen suojaamiseen käänteissuunnittelun käyttö tietokoneohjelmien oikeudellisesta suojasta 14 päivänä toukokuuta 1991 annetussa direktiivissä 91/250/ETY 33 säädetyissä rajoissa verkko- tai järjestelmävastaavien, -valvojien tai -operaattorien toiminta valtuutetun järjestelmätestaajan toiminta riippumatta siitä, onko kyseessä yrityksen henkilöstön jäsen vai ulkopuolinen henkilö, jolle on annettu tehtäväksi testata järjestelmän turvallisuutta luvallinen tieteellinen tutkimus. (g) Luvaton. Tämä on melko väljä ilmaus, joka jättää jäsenvaltioille jonkin verran joustovaraa rikoksen määrittelyssä. Jotta puitepäätöksen saattaminen osaksi kansallista lainsäädäntöä helpottuisi, komissio katsoo kuitenkin tarpeelliseksi mainita erikseen joitakin toiminnan muotoja, joiden ei tulisi kuulua määritelmän piiriin. Tyhjentävän luettelon laatiminen koko Euroopan unionissa sovellettavista poikkeuksista ei ole mahdollista, tuskin edes toivottavaa. Ilmaus luvaton perustuu joka tapauksessa edellisiin määritelmiin siten, että se ei koske valtuutetun henkilön toimintaa. Se ei koske myöskään muuta kansallisen lainsäädännön mukaisesti lailliseksi katsottua toimintaa, jollaiseen luetaan muun muassa tavanomaiset laissa tunnustetut oikeuttamisperusteet. 33 EYVL L 122, , s

12 3 artikla Tietojärjestelmän luvattomaan käyttöön perustuva hyökkäys Tietojärjestelmän luvaton käyttö on rikos, joka kattaa myös tietojärjestelmään murtautumisen ( hakkeroinnin ). Jäsenvaltiot voivat jättää vähämerkityksiset rikkomukset rikoksen määritelmän ulkopuolelle saattaessaan puitepäätöstä osaksi kansallista lainsäädäntöään. Ainoastaan seuraavanlaiset teot on määriteltävä jäsenvaltioiden lainsäädännössä rikoksiksi: (i) teko kohdistuu erityisten suojatoimenpiteiden kohteena olevaan tietojärjestelmään tai sen osaan, tai (ii) teon tarkoituksena on aiheuttaa vahinkoa luonnolliselle henkilölle tai oikeushenkilölle, tai (iii) teon tarkoituksena on tuottaa taloudellista hyötyä. Komissio ei millään muotoa halua vähätellä tehokkaiden teknisten suojakeinojen merkitystä tietojärjestelmien suojaamisessa. Valitettavasti kuitenkin suuri osa käyttäjistä altistaa itsensä hyökkäyksille laiminlyömällä riittävän teknisen suojauksen hankkimisen. Näihin käyttäjiin kohdistuvien hyökkäysten ehkäisemiseksi rikoslainsäädännössä on säädettävä tietojärjestelmien luvattoman käytön rangaistavuudesta silloinkin, kun järjestelmiä ei ole riittävästi suojattu. Tästä syystä puitepäätöksessä ei rajoiteta rikoksen määritelmää siten, että suojauksen murtaminen olisi edellytys sille, että teko katsotaan rikolliseksi, vaan tähän riittää, että teon tarkoituksena on ollut joko aiheuttaa vahinkoa tai tuottaa taloudellista hyötyä. 4 artikla Tietojärjestelmän häirintä Tämä rikos kattaa seuraavat tahalliset ja luvattomat teot: (a) tietojärjestelmän toiminnan luvaton ja vakava estäminen tai keskeyttäminen syöttämällä, välittämällä, vahingoittamalla, poistamalla, huonontamalla, muuttamalla tai tuhoamalla sähköisiä tietoja. Tietojen syöttämisellä ja välittämisellä tarkoitetaan erityisesti niin sanottuja ruuhkauttamishyökkäyksiä eli palvelunestohyökkäyksiä, joiden tekijät pyrkivät tahallisesti lamauttamaan tietojärjestelmän hukuttamalla sen tietotulvaan. Tietojärjestelmän toiminnan keskeyttäminen mainitaan tässä selvyyden vuoksi erikseen, vaikka sen voidaankin katsoa sisältyvän estämiseen. Muilla tietojärjestelmän häirinnäksi luokiteltavilla teoilla (sähköisten tietojen vahingoittaminen, poistaminen, huonontaminen, muuttaminen tai tuhoaminen) tarkoitetaan lähinnä virus- ja muita hyökkäyksiä, joiden tarkoituksena on estää tai keskeyttää itse tietojärjestelmän toiminta. (b) tietojärjestelmässä olevien sähköisten tietojen poistaminen, huonontaminen, muuttaminen, tuhoaminen tai saattaminen käyttökelvottomiksi, jos teon tarkoituksena on aiheuttaa vahinkoa luonnolliselle henkilölle tai oikeushenkilölle. Tässä tarkoitetaan virushyökkäyksiä, joiden kohteena on tietojärjestelmän sisältö (sähköiset tiedot) tai joilla pyritään turmelemaan Internet-sivustoja. Artiklan a alakohdassa mainitaan vakava estäminen tai keskeyttäminen rikoksen tunnusmerkkeinä kuvattaessa hyökkäyksen vaikutuksia. Ilmaisua vakava estäminen ei määritellä tarkemmin, koska estämistä voi esiintyä eri muodoissa ja eri tasoisena hyökkäyksen toteutustavan ja sen kohteena olevan tietojärjestelmän teknisten ominaisuuksien mukaan. Kunkin jäsenvaltion on itse päätettävä, millä edellytyksin on katsottava, että tietojärjestelmän toimintaa on vakavasti estetty. Palvelujen toimivuudelle aiheutettujen 12

13 vähäpätöisten häiriöiden ei kuitenkaan voida katsoa täyttävän vakavan hyökkäyksen tunnusmerkkejä. Kuten edellä todetaan, jäsenvaltiot voivat jättää vähämerkityksiset rikkomukset rikoksen määritelmän ulkopuolelle saattaessaan puitepäätöstä osaksi kansallista lainsäädäntöään. 5artikla Yllytys,avunantojayritys Puitepäätösehdotuksen 5 artiklan 1 kohdassa velvoitetaan jäsenvaltiot varmistamaan, että tahallinen yllyttäminen 3 tai 4 artiklassa tarkoitettuun tietojärjestelmiin kohdistuvaan rikokseen tai avunanto rikoksessa on rangaistavaa. Rikoksen yritystä käsitellään erikseen 5 artiklan 2 kohdassa. Siinä velvoitetaan jäsenvaltiot varmistamaan, että minkä tahansa 3 tai 4 artiklassa tarkoitetun tietojärjestelmiin kohdistuvan rikoksen yritys on rangaistava. 6artikla Seuraamukset Artiklan 1 kohdassa velvoitetaan jäsenvaltiot toteuttamaan tarvittavat toimenpiteet sen varmistamiseksi, että 3 5 artiklassa määritellyt rikokset ovat rangaistavissa tehokkain, oikeasuhteisin ja varoittavin seuraamuksin 34. Tämän kohdan mukaan jäsenvaltioiden on säädettävä seuraamuksista, jotka ovat oikeassa suhteessa rikoksen vakavuuteen. Näihin kuuluu muun muassa vapausrangaistus, jonka kesto on vakavissa tapauksissa vähintään yksi vuosi. Vakaviksi tapauksiksi ei katsota tekoja, joista ei ole aiheutunut vahinkoa ja joista ei ole saatu taloudellista hyötyä. Yhden vuoden vankeusrangaistus enimmäisrangaistuksena vakavista teoista merkitsee, että tällaisiin rikoksiin sovelletaan eurooppalaista pidätysmääräystä koskevia säännöksiä sekä muihin oikeusvälineisiin, kuten rahanpesusta, rikoksentekovälineiden ja rikoksen tuottaman hyödyn tunnistamisesta, jäljittämisestä, jäädyttämisestä tai takavarikoimisesta ja menetetyksi tuomitsemisesta 26 päivänä kesäkuuta 2001 tehtyyn neuvoston puitepäätökseen 35 sisältyviä säännöksiä seuraamuksista. Koska puitepäätös velvoittaa jäsenvaltioita saavutettavaan tulokseen nähden, mutta jättää muodon ja keinot niiden valittavaksi, jäsenvaltioille jää puitepäätöksessä asetetuissa rajoissa (etenkin 7 artiklassa tarkoitettujen rangaistuksen koventamisperusteiden osalta) jonkin verran harkinnanvaraa mukauttaa lainsäädäntöään ja päättää sovellettavien seuraamusten ankaruudesta. Komissio korostaa, että on kunkin jäsenvaltion asia päättää rikoksen vakavuuden arvioimisperusteista oman oikeusjärjestelmänsä mukaisesti. Seuraamuksen ei kaikissa tapauksissa tarvitse olla vankeusrangaistus. Artiklan 2 kohdassa annetaan jäsenvaltioille mahdollisuus säätää oikeusperinteensä ja -järjestelmänsä mukaisista sakkorangaistuksista vaihtoehtona vapausrangaistukselle. 7 artikla Rangaistuksen koventamisperusteet Tässä artiklassa säädetään, että jäsenvaltiot voivat tietyin edellytyksin koventaa 6 artiklassa määriteltyjä rangaistuksia. Komissio painottaa, että artiklassa säädetty luettelo koventamisperusteista ei rajoita jäsenvaltioiden lainsäädännössä säädettyjä muita Ilmaisu on peräisin Euroopan yhteisön tuomioistuimen asiassa 68/ antamasta tuomiosta, Kok. 1989, s EYVL L 182, , s

14 koventamisperusteita. Luettelossa otetaan huomioon jäsenvaltioiden lainsäädännössä komission aiemmissa puitepäätösehdotuksissa säädetyt koventamisperusteet. ja Enimmäisrangaistuksen on oltava vähintään neljä vuotta vankeutta, jos jokin seuraavista 1 kohdassa luetelluista edellytyksistä täyttyy: (a) (b) (c) rikos on tehty yhteisessä toiminnassa 98/733/YOS tarkoitetun rikollisjärjestön puitteissa riippumatta siitä, mikä on yhteisessä toiminnassa säädetty rangaistus; rikos on aiheuttanut huomattavaa välitöntä tai välillistä taloudellista vahinkoa, ruumiillista vahinkoa luonnolliselle henkilölle tai huomattavaa vahinkoa jäsenvaltion kriittisten järjestelmien osalle; tai rikos on tuottanut huomattavaa taloudellista hyötyä. Jäsenvaltioiden on myös varmistettava, että 3, 4 ja 5 artiklassa tarkoitetuista rikoksista voidaan määrätä 6 artiklassa säädettyjä ankarammat vapausrangaistukset, jos rikoksentekijä on tuomittu aiemmin samankaltaisesta rikoksesta jäsenvaltiossa annetulla lainvoimaisella tuomiolla. 8artikla Erityisolosuhteet Tässä artiklassa säädetään olosuhteista, joissa jäsenvaltio voi päättää lieventää 6 ja 7 artiklan mukaisia rangaistuksia, kun rikoksesta aiheutunut vahinko on oikeusviranomaisen näkemyksen mukaan vain vähäinen. 9artikla Oikeushenkilönvastuu Monissa rikollisuuden eri muotojen torjumista koskevissa EU:n säädöksissä omaksutun linjan mukaisesti puitepäätöstä on voitava soveltaa myös tilanteisiin, joissa tietojärjestelmiin kohdistuviin hyökkäyksiin on osallistunut oikeushenkilöitä. Siksi 9 artiklassa säädetään, että oikeushenkilö voidaan saattaa vastuuseen 3, 4 ja 5 artiklassa tarkoitetuista rikoksista, jotka on tehnyt sen hyväksi joko yksin tai oikeushenkilön elimen edustajana toimiva henkilö, jolla on oikeushenkilön sisällä johtava asema. Vastuulla tarkoitetaan tässä sekä rikos- että siviilioikeudellista vastuuta. Tämän lisäksi yleisen käytännön mukaisesti 2 kohdassa säädetään, että oikeushenkilö voidaan saattaa vastuuseen, jos sen hyväksi tehdyt rikokset on mahdollistanut se, että valvova henkilö on laiminlyönyt ohjaus- tai valvontatehtävänsä. Artiklan 3 kohdassa säädetään, ettei oikeushenkilöön kohdistuva oikeustutkinta sulje pois rinnakkaista oikeustutkintaa, joka kohdistuu luonnolliseen henkilöön. 10 artikla - Oikeushenkilöihin kohdistuvat seuraamukset Puitepäätöksen 10 artiklassa esitetään 3, 4 ja 5 artiklassa tarkoitettuihin rikoksiin vastuullisiksi todettuihin oikeushenkilöihin kohdistuvia seuraamuksia koskevat vaatimukset. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia, ja vähimmäisrangaistukseksi on säädettävä rikosoikeudellinen tai muu sakko. Artiklassa säädetään myös muista tyypillisistä oikeushenkilöihin sovellettavista seuraamuksista. 14

15 11 artikla - Lainkäyttövalta Tietojärjestelmiin kohdistuvien hyökkäysten kansainvälisen luonteen vuoksi Euroopan unionin tasolla on annettava selkeitä ja pitkälle meneviä lainkäyttövaltaa ja rikoksen johdosta tapahtuvaa luovuttamista koskevia menettelysäännöksiä. Näin taataan lainkäytön tehokkuus ja varmistetaan, että rikoksentekijät eivät pysty välttämään syytteeseenpanoa. Artiklan 1 kohdassa esitetään edellytykset, joiden nojalla lainkäyttövalta tässä puitepäätöksessä tarkoitettujen rikosten tutkinnassa ja syytteen nostamisessa on jäsenvaltioiden oikeusviranomaisilla. Jäsenvaltion on ulotettava lainkäyttövaltansa kyseessä olevaan rikokseen seuraavissa tapauksissa: (a) (b) (c) rikos on tehty kokonaan tai osittain sen alueella, riippumatta rikoksessa osallisena olevan oikeushenkilön asemasta tai kansalaisuudesta (alueperiaate), rikoksentekijä on kyseisen jäsenvaltion kansalainen (aktiivinen henkilöllisyysperiaate) ja teko vaikuttaa kyseisen valtion kansalaisiin tai ihmisryhmiin. Jos jäsenvaltiossa ei ole säädetty rikoksen johdosta tapahtuvasta luovuttamisesta, sen on huolehdittava ulkomailla rikoksia tehneiden kansalaistensa syytteeseenpanosta, rikos on tehty kyseisen jäsenvaltion alueelle sijoittautuneen oikeushenkilön hyväksi. Artiklan 2 kohdan tavoitteena on varmistaa, että ulottaessaan lainkäyttövaltansa rikoksiin 1 kohdan a alakohdassa tarkoitetun alueperiaatteen perusteella jäsenvaltion on varmistettava, että sen lainkäyttövaltaan kuuluvat seuraavat tapaukset: (a) (b) Rikoksentekijä tekee rikoksen ollessaan fyysisesti jäsenvaltion alueella riippumatta siitä, kohdistuuko rikos kyseisen jäsenvaltion alueella sijaitsevaan tietojärjestelmään. Esimerkkitapaus: henkilö käyttää jäsenvaltiosta käsin luvattomasti kolmannessa maassa sijaitsevaa tietojärjestelmää (murtautuu siihen). Rikos on kohdistunut kyseisen jäsenvaltion alueella sijaitsevaan tietojärjestelmään riippumatta siitä, oliko rikoksentekijä rikosta tehdessään fyysisesti jäsenvaltion alueella. Esimerkkitapaus: henkilö käyttää kolmannen maan alueelta käsin luvattomasti jäsenvaltiossa sijaitsevaa tietojärjestelmää (murtautuu siihen). Koska kaikkien jäsenvaltioiden oikeusperinne ei tunne ekstraterritoriaalisuutta kaikkien rikoslajien osalta, 3 kohdan nojalla ne voivat olla soveltamatta 1 kohdassa säädettyä lainkäyttövaltasääntöä 1 kohdan b ja c alakohdassa tarkoitetuissa tilanteissa. Artiklan 4 kohdan mukaan kunkin jäsenvaltion on toteutettava tarvittavat toimenpiteet ulottaakseen lainkäyttövaltansa 3 5 artiklassa tarkoitettuihin rikoksiin, jos se kieltäytyy luovuttamasta tällaisesta rikoksesta epäiltyä tai tuomittua henkilöä toiseen jäsenvaltioon tai kolmanteen maahan. Artiklan 5 kohdassa säädetään tapauksista, joissa lainkäyttöalueita on useampia kuin yksi. Tavoitteena on varmistaa, että jäsenvaltiot pyrkivät yhteisesti keskittämään oikeudelliset menettelyt mahdollisuuksien mukaan yhteen jäsenvaltioon. Siksi kohdassa todetaan, että jäsenvaltiot voivat turvautua oikeusviranomaisten yhteistyön edistämiseksi ja niiden toiminnan koordinoimiseksi mihin tahansa Euroopan unionissa toimivaan elimeen tai mekanismiin, kuten Eurojustiin tai Euroopan oikeudelliseen verkostoon. 15

16 Artiklan 6 kohdassa säädetään, että jäsenvaltion, joka päättää soveltaa 3 kohtaa, on ilmoitettava asiasta neuvoston pääsihteeristölle ja komissiolle. 12 artikla - Tietojenvaihto Puitepäätösehdotuksen 12 artiklan tarkoituksena on helpottaa tietojenvaihtoa varmistamalla, että jokaisessa jäsenvaltiossa on toimiva yhteyspiste. Tämä on välttämätöntä poliisiyhteistyön tehokkuuden varmistamiseksi. Oikeus- ja sisäasioiden neuvosto korosti kokouksessaan 19. maaliskuuta 1998 ja uudelleen hyväksyessään neuvoston suosituksen ympärivuorokautisista yhteyspisteistä huipputekniikkaan liittyvän rikollisuuden torjumiseksi 36, että kaikkien jäsenvaltioiden olisi liityttävä G8-maiden yhteyspisteverkostoon. 13 artikla - Täytäntöönpano Ehdotuksen 13 artiklassa käsitellään puitepäätöksen täytäntöönpanoa ja seurantaa. Jäsenvaltioiden on toteutettava puitepäätöksen noudattamisen edellyttämät toimenpiteet 31 päivään joulukuuta 2003 mennessä. Jäsenvaltioiden on ilmoitettava kyseiseen päivään mennessä neuvoston pääsihteeristölle ja komissiolle kirjallisina säännökset, jotka ne ovat antaneet puitepäätöksen mukaisten velvoitteidensa saattamiseksi osaksi kansallista lainsäädäntöä. Neuvosto arvioi näiden tietojen ja komission kirjallisen raportin perusteella vuoden kuluessa, kuinka hyvin jäsenvaltiot ovat noudattaneet puitepäätöksen mukaisia velvoitteitaan. 14 artikla - Voimaantulo Ehdotuksen 14 artiklan mukaan puitepäätös tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan yhteisöjen virallisessa lehdessä. 36 EYVL C 187, , s

17 2002/0086 (CNS) Ehdotus: NEUVOSTON PUITEPÄÄTÖS tietojärjestelmiin kohdistuvista hyökkäyksistä EUROOPAN UNIONIN NEUVOSTO, joka ottaa huomioon Euroopan unionista tehdyn sopimuksen ja erityisesti sen 29 artiklan, 30 artiklan 1 kohdan a alakohdan, 31 artiklan ja 34 artiklan 2 kohdan b alakohdan, ottaa huomioon komission ehdotuksen 1, ottaa huomioon Euroopan parlamentin lausunnon 2, sekä katsoo seuraavaa: (1) Tietojärjestelmiä vastaan on todistetusti tehty hyökkäyksiä muun muassa järjestäytyneen rikollisuuden toimeksiannosta; samalla kannetaan kasvavaa huolta terrorihyökkäysten mahdollisuudesta jäsenvaltioiden kriittisten järjestelmien osana olevia tietojärjestelmiä vastaan. Koska hyökkäykset uhkaavat tietoyhteiskunnan turvallisuuden ja vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen kehittämistä, niihin on varauduttava Euroopan unionin tasolla. (2) Tehokas varautuminen näihin uhkiin edellyttää verkko- ja tietoturvallisuuden kokonaisvaltaista turvaamista, kuten todetaan eeurope-toimintasuunnitelmassa ja komission tiedonannossa Verkko- ja tietoturva: ehdotus eurooppalaiseksi lähestymistavaksi 3 ja 6 päivänä joulukuuta 2001 annetussa neuvoston päätöslauselmassa yhteisestä lähestymistavasta ja erityisistä toimista verkko- ja tietoturvallisuuden alalla. (3) Myös 5 päivänä syyskuuta 2001 annetussa Euroopan parlamentin päätöslauselmassa 4 korostetaan tarvetta tiedottaa tietoturvaan liittyvistä ongelmista ja antaa käytännön apua niiden ratkaisemiseksi. (4) Jäsenvaltioiden lakien puutteet ja lakien väliset erot vaikeuttavat järjestäytyneen rikollisuuden ja terrorismin torjuntaa ja estävät poliisia ja tuomioistuimia tekemästä tehokasta yhteistyötä tietojärjestelmiin kohdistuvia hyökkäyksiä vastaan. Koska nykyaikaisen sähköisen viestinnän verkot eivät tunne maantieteellisiä rajoja, tietojärjestelmiin kohdistuvat hyökkäykset ovat usein luonteeltaan kansainvälisiä; tämä korostaa pikaista tarvetta edelleen lähentää jäsenvaltioiden rikoslainsäädäntöä tällä alalla EYVL C, s. EYVL C, s. KOM(2001) 298. [2001/2098(INI)]. 17

18 (5) Parhaista tavoista panna täytäntöön Amsterdamin sopimuksen määräykset vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen toteuttamisesta annetussa neuvoston ja komission toimintasuunnitelmassa 5, Tampereella 15 ja 16 päivänä lokakuuta 1999 ja Santa Maria da Feirassa 19 ja 20 päivänä kesäkuuta 2000 pidettyjen Eurooppaneuvoston kokousten päätelmissä, komission tulostaulussa 6 ja Euroopan parlamentin 20 päivänä syyskuuta 2000 antamassa päätöslauselmassa 7 edellytetään huipputekniikkaan liittyvän rikollisuuden torjumiseksi lainsäädäntötoimia ja näiden osana yhteisten rikostunnusmerkistöjen, syytteeseen asettamisen edellytysten ja seuraamusten määrittelemistä. (6) Kansainvälisten järjestöjen tekemää työtä, erityisesti Euroopan neuvoston työtä rikoslainsäädännön lähentämiseksi ja G8-ryhmän työtä huipputekniikkaan liittyvää rikollisuutta koskevan valtioiden rajat ylittävän yhteistyön edistämiseksi, on täydennettävä määrittelemällä Euroopan unionin yhteinen toimintalinja tällä alalla. Tätä ajatusta on kehitelty komission neuvostolle, Euroopan parlamentille, talous- ja sosiaalikomitealle sekä alueiden komitealle antamassa tiedonannossa Turvallisempaan tietoyhteiskuntaan tietojärjestelmien turvallisuutta parantamalla ja tietokonerikollisuutta ehkäisemällä 8. (7) Tietojärjestelmiin kohdistuviin hyökkäyksiin sovellettavia rikosoikeuden säännöksiä olisi lähennettävä, jotta voidaan taata mahdollisimman tiivis oikeudellinen ja poliisiyhteistyö tällaisiin hyökkäyksiin liittyvien rikosten tutkimisessa sekä edistää järjestäytyneen rikollisuuden ja terrorismin torjuntaa. (8) Neuvoston puitepäätös eurooppalaisesta pidätysmääräyksestä 9, Europolyleissopimuksen liite ja Eurojustin perustamista koskeva neuvoston päätös sisältävät tietokonerikollisuutta koskevia viittauksia, jotka on vielä määriteltävä tarkemmin. Asianomaisissa asiakirjoissa esiintyvää tietoverkkorikollisuuden käsitettä on tulkittava niin, että se sisältää muun muassa tässä puitepäätöksessä määritellyt tietoverkkoihin kohdistuvat hyökkäykset. Määritelmän ansiosta kyseisten tekojen rikostunnusmerkistöjä voidaan lähentää huomattavasti. Lisäksi tämä puitepäätös täydentää terrorismin torjumisesta tehtyä puitepäätöstä 10, joka kattaa julkisia palveluja (kuten tietojärjestelmiä) ylläpitävälle laitokselle laajaa tuhoa aiheuttavat terroriteot, joista aiheutuu tai todennäköisesti aiheutuu vaaraa ihmishengille tai suuri taloudellinen menetys. (9) Kaikki jäsenvaltiot ovat ratifioineet yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä 28 päivänä tammikuuta 1981 tehdyn Euroopan neuvoston yleissopimuksen. Tämän puitepäätöksen täytäntöönpanon yhteydessä käsiteltäviä henkilötietoja suojellaan mainitun yleissopimuksen periaatteiden mukaisesti. (10) Alaan liittyvät yhteiset määritelmät, erityisesti tietojärjestelmistä ja sähköisistä tiedoista, ovat tärkeitä sen varmistamiseksi, että jäsenvaltiot soveltavat tätä puitepäätöstä johdonmukaisesti EYVL C 19, KOM(2001) 278 lopullinen. A5-0127/2000. KOM(2000) 890. EYVL C, s. EYVL C, s. 18

19 (11) Rikostunnusmerkistöihin on omaksuttava yhteinen linja antamalla yhteinen määritelmä tietojärjestelmän laittomasta käytöstä ja tietojärjestelmän laittomasta häirinnästä. (12) On vältettävä säätämästä esimerkiksi vähämerkityksisiä tekoja rangaistaviksi tai kriminalisoimasta toimintaa, jota harjoittavat oikeudenhaltijat tai valtuutetut henkilöt, kuten valtuutetut yksityiset käyttäjät tai yritykset, verkko- tai järjestelmävastaavat, -valvojat tai -operaattorit, luvallisen tieteellisen tutkimuksen tekijät ja järjestelmätestaajat, riippumatta siitä, onko kyseessä yrityksen henkilöstön jäsen vai tehtävään nimetty ulkopuolinen henkilö, joka on saanut luvan testata järjestelmän turvallisuutta. (13) Jäsenvaltioiden on säädettävä tietojärjestelmiin kohdistuviin hyökkäyksiin syyllistyneille määrättävistä tehokkaista, oikeasuhteisista ja varoittavista seuraamuksista, vakavissa tapauksissa vapausrangaistuksista. (14) On säädettävä ankarammista rangaistuksista, joita sovelletaan, kun tietojärjestelmään kohdistuvaan hyökkäykseen liittyvien asianhaarojen vuoksi hyökkäys muodostaa erityisen vakavan uhan yhteiskunnalle. Tällaisessa tapauksessa rikoksentekijöille määrättävien seuraamusten olisi oltava riittävän ankarat, jotta tietojärjestelmiin kohdistuvat hyökkäykset voidaan sisällyttää sellaisten järjestäytyneen rikollisuuden torjumiseksi jo aiemmin hyväksyttyjen oikeusvälineiden piiriin kuin rikollisjärjestöön osallistumisen kriminalisoinnista Euroopan unionin jäsenvaltioissa 21 päivänä joulukuuta 1998 hyväksytty yhteinen toiminta 98/733/YOS 11. (15) Olisi toteutettava toimenpiteitä, jotta oikeushenkilöt voitaisiin saattaa vastuuseen tässä puitepäätöksessä tarkoitetuista rikoksista, jotka on tehty niiden hyväksi, ja sen varmistamiseksi, että jäsenvaltioilla on lainkäyttövalta tietojärjestelmään kohdistuvaan rikokseen, kun rikoksentekijä on rikosta tehdessään fyysisesti jäsenvaltion alueella tai kun tietojärjestelmä sijaitsee jäsenvaltion alueella. (16) Lisäksi on säädettävä toimenpiteistä jäsenvaltioiden välisen yhteistyön tiivistämiseksi, jotta tietojärjestelmiin kohdistuvia hyökkäyksiä voidaan torjua tehokkaasti, ja perustettava yhteyspisteitä tietojenvaihtoa varten. (17) Koska asetettuja tavoitteita eli sitä, että tietojärjestelmiin kohdistuvista hyökkäyksistä määrätään kaikissa jäsenvaltioissa tehokkaita, oikeasuhteisia ja varoittavia rikosoikeudellisia seuraamuksia ja että oikeudellista yhteistyötä tehostetaan ja siihen kannustetaan poistamalla mahdolliset esteet, ei voida riittävällä tavalla saavuttaa yksittäisten jäsenvaltioiden toimin, sillä sääntöjen on oltava yhteiset ja yhteensopivat, vaan ne voidaan tästä syystä saavuttaa paremmin unionin tasolla, unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 2 artiklassa tarkoitetun ja Euroopan yhteisön perustamissopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Viimeksi mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä puitepäätöksessä ei ylitetä sitä, mikä on näiden tavoitteiden saavuttamiseksi tarpeen. (18) Tällä puitepäätöksellä ei rajoiteta Euroopan yhteisön toimivaltaa. 11 EYVL L 351, , s

20 (19) Tässä puitepäätöksessä kunnioitetaan perusoikeuksia ja noudatetaan Euroopan unionin perusoikeuskirjan ja erityisesti sen II ja VI luvun periaatteita. ON TEHNYT TÄMÄN PUITEPÄÄTÖKSEN: 1 artikla Puitepäätöksen tavoite ja laajuus Tämän puitepäätöksen tavoitteena on parantaa oikeus- ja muiden viranomaisten, poliisi- ja muut lainvalvontaviranomaiset mukaan luettuina, yhteistyötä lähentämällä jäsenvaltioiden rikosoikeudellisia säännöksiä, jotka koskevat tietojärjestelmiin kohdistuvia hyökkäyksiä. 2 artikla Määritelmät Tässä puitepäätöksessä käytetään seuraavia määritelmiä: (a) (b) (c) (d) (e) 'Sähköisen viestinnän verkolla' tarkoitetaan siirtojärjestelmiä ja soveltuvin osin myös kytkentä- ja reitityslaitteita sekä muita välineitä, joilla voidaan siirtää signaaleja johtojen välityksellä, radioteitse, optisesti tai muulla sähkömagneettisella tavalla, mukaan luettuina satelliittiverkot, kiinteät (piiri- ja pakettikytkentäiset, myös Internet) ja matkaviestinnän maanpäälliset verkot, sähköverkkojärjestelmät niiltä osin kuin niitä käytetään signaalinsiirtoon, radio- ja televisiolähetyksiin käytetyt verkot sekä kaapelitelevisioverkot riippumatta siitä, minkä muotoista informaatiota niissä siirretään. Tietokoneella tarkoitetaan yhtä tai useampaa laitetta tai yhteen kytkettyjen tai toisiinsa yhteydessä olevien laitteiden ryhmää, joka suorittaa automaattista tietojenkäsittelyä ohjelman perusteella. Sähköisillä tiedoilla tarkoitetaan tosiseikkojen, tietojen tai käsitteiden esitystä, joka on laadittu tai muunnettu tietojärjestelmän käsiteltäväksi soveltuvaan muotoon, esimerkiksi sellaisen ohjelman muotoon, jonka avulla tietojärjestelmä saadaan toteuttamaan jokin tehtävä. Tietojärjestelmällä tarkoitetaan tietokoneita ja sähköisen viestinnän verkkoja sekä tietoja, joita niissä varastoidaan, käsitellään, haetaan tai välitetään verkkojen toimintaa, käyttöä, suojausta tai huoltoa varten. Oikeushenkilöllä tarkoitetaan mitä tahansa muodostumaa, jolla on sovellettavan lain mukaan oikeushenkilön asema, lukuun ottamatta valtioita tai muita julkisia elimiä niiden käyttäessä julkista valtaa, tai julkisoikeudellisia kansainvälisiä järjestöjä. (f) Valtuutetulla henkilöllä tarkoitetaan sellaista luonnollista henkilöä tai oikeushenkilöä, jolla on sopimukseen tai lakiin perustuva oikeus tai lainmukainen lupa käyttää, johtaa, valvoa, testata tai suorittaa tieteellistä tutkimusta tai muuten käyttää tietojärjestelmää ja joka toimii tämän oikeuden tai luvan mukaisella tavalla. 20