UE: nowa dyrektywa ograniczy cyberprzestępczość?

Przeczytaj także: Cyberprzestępczość - aresztowania VI 2013

Wśród zalet projektowanej dyrektywy eksperci Deloitte wymieniają przede wszystkim:

• duży nacisk na poszerzenie oraz zintensyfikowanie międzynarodowej współpracy oraz wymiany informacji pomiędzy organami ścigania w sprawach związanych ze ściganiem sprawców ataków na systemy informatyczne,
• odniesienie się do kwestii ochrony infrastruktury krytycznej, czyli tych systemów, których niedostępność w istotny sposób wpływa na bezpieczeństwo publiczne oraz życie obywateli w kluczowych dla funkcjonowania państwa sektorach, takich jak: transport, energetyka, telekomunikacja, finanse czy ochrona zdrowia,
• próbę nakłonienia państw członkowskich do nałożenia większej odpowiedzialności na dostawców usług i innych przedsiębiorców za bezpieczeństwo ich systemów i przetwarzanych w nich danych a także do szerszej współpracy z sektorem publicznym,
• zwrócenie uwagi na potrzebę stałego doskonalenia umiejętności i poszerzania wiedzy organów ścigania i wymiaru sprawiedliwości w zakresie zagrożeń i bezpieczeństwa systemów teleinformatycznych.

Niektóre z proponowanych przepisów nowej dyrektywy budzą wątpliwości, a przede wszystkim:

• brak propozycji konkretnych rozwiązań zwłaszcza w obszarze zapobiegania zagrożeniom
  i wykrywania ich, przeniesienie odpowiedzialności za opracowanie tych regulacji na kraje członkowskie, co może skutkować brakiem kompatybilnych i skutecznych rozwiązań,
• zbytnie skupienie uwagi na kwestii penalizacji określonych w propozycji dyrektywy przestępstw, co miałoby stanowić czynnik odstraszający potencjalnych ich sprawców.

- Nie jest także jasne, czy urzędnicy europejscy proponując, by kraje członkowskie zachęcały do zgłaszania podatności systemów informatycznych na cyberzagrożenia, chcą aby tzw. niezależni eksperci w świetle prawa wykonywali niezamówione testy penetracyjne czy też chodzi o upowszechnienie inicjatyw typu „bug bounty” promujących informowanie w odpowiedzialny sposób o błędach bezpieczeństwa systemów i usług – mówi Piotr Szeptyński, Menedżer w Deloitte.

Jedynym krajem Unii, którego nie obejmie obowiązek wdrożenia przepisów jest Dania. Z uwagi na transgraniczny charakter sieci i wielu usług może to w efekcie oznaczać skupienie się na jej terytorium działalności, która w pozostałych krajach - w myśl nowych przepisów - jest z nimi niezgodna.

Kolejną niejasną propozycją jest ta, by nie karać osób nieświadomych charakteru popełnianych czynów "na przykład w sytuacji, gdy osoba [popełniająca czyn] nie wiedziała, że dostęp jest nieautoryzowany". Może to doprowadzić do stworzenia furtki do uniknięcia przez cyberprzestępców odpowiedzialności w wyniku zasłonięcia się niewiedzą.

W uzasadnieniu do jednej z postulowanych zmian, członkowie Komisji ds. Przemysłu, Badań Naukowych i Energii napisali, że "wprowadzenie sankcji jest krokiem w dobrym kierunku, jednak kompleksowe podejście Unii do walki z cyberprzestępczością nie powinno skupiać się jedynie na wzmocnieniu efektywności w egzekwowania prawa, lecz powinno stworzyć strategię i instrumenty pozwalające zapobiegać aktom przestępstw".

- Komentarz ten bardzo dobrze podsumowuje cały projekt wyrażając jednocześnie obawy, co do skuteczności podejmowanych działań w dłuższej perspektywie. Trzeba jeszcze dużo pracy by mieć pewność, że przepisy krajowe uwzględnią specyfikę Internetu i cyberzagrożeń, dając organom ścigania i przedsiębiorcom realne narzędzie do walki z nadużyciami - podkreśla Piotr Szeptyński.

Kraje członkowie będą miały 2 lata na dostosowanie wewnętrznych przepisów do nowej dyrektywy.