Ceci est une version HTML d'une pièce jointe de la demande d'accès à l'information 'Implementation status of Resolution 2001/2098(INI) on surveillance'.
16.3.2005
EN
Official Journal of the European Union
L 69/67
(Acts adopted under Title VI of the Treaty on European Union)
COUNCIL FRAMEWORK DECISION 2005/222/JHA
of 24 February 2005
on attacks against information systems
THE COUNCIL OF THE EUROPEAN UNION,
(5)
Significant gaps and differences in Member States’ laws in
this area may hamper the fight against organised crime
and terrorism, and may complicate effective police and
Having regard to the Treaty on European Union, and in
judicial cooperation in the area of attacks against infor-
particular Articles 29, 30(1)(a), 31(1)(e) and 34(2)(b) thereof,
mation systems. The transnational and borderless
character of modern information systems means that
attacks against such systems are often trans-border in
nature, thus underlining the urgent need for further
Having regard to the proposal from the Commission,
action to approximate criminal laws in this area.
Having regard to the opinion of the European Parliament (1),
Whereas:
(6)
The Action Plan of the Council and the Commission on
how to best implement the provisions of the Treaty of
Amsterdam on an area of freedom, security and
justice (3), the Tampere European Council on 15 to 16
(1)
The objective of this Framework Decision is to improve
October 1999, the Santa Maria da Feira European
cooperation between judicial and other competent autho-
Council on 19 to 20 June 2000, the Commission in
rities, including the police and other specialised law
the ‘Scoreboard’ and the European Parliament in its Reso-
enforcement services of the Member States, through
lution of 19 May 2000 indicate or call for legislative
approximating rules on criminal law in the Member
action
against
high
technology
crime,
including
States in the area of attacks against information systems.
common definitions, incriminations and sanctions.
(2)
There is evidence of attacks against information systems,
in particular as a result of the threat from organised
crime, and increasing concern at the potential of
terrorist attacks against information systems which
(7)
It is necessary to complement the work performed by
form part of the critical infrastructure of the Member
international organisations, in particular the Council of
States. This constitutes a threat to the achievement of a
Europe’s work on approximating criminal law and the
safer information society and an area of freedom, security
G8’s work on transnational cooperation in the area of
and justice, and therefore requires a response at the level
high tech crime, by providing a common approach in the
of the European Union.
European Union in this area. This call was further
elaborated by the Communication from the Commission
to the Council, the European Parliament, the Economic
(3)
An effective response to those threats requires a compre-
and Social Committee and the Committee of the Regions
hensive approach to network and information security,
on ‘Creating a Safer Information Society by Improving
as underlined in the eEurope Action Plan, in the Commu-
the
Security
of
Information
Infrastructures
and
nication by the Commission ‘Network and Information
Combating Computer-related Crime’.
Security: Proposal for a European Policy Approach’ and
in the Council Resolution of 28 January 2002 on a
common approach and specific actions in the area of
network and information security (2).
(8)
Criminal law in the area of attacks against information
(4)
The need to further increase awareness of the problems
systems should be approximated in order to ensure the
related to information security and provide practical
greatest possible police and judicial cooperation in the
assistance has also been stressed in the European
area of criminal offences related to attacks against infor-
Parliament Resolution of 5 September 2001.
mation systems, and to contribute to the fight against
organised crime and terrorism.
(1) OJ C 300 E, 11.12.2003, p. 26.
(2) OJ C 43, 16.2.2002, p. 2.
(3) OJ C 19, 23.1.1999, p. 1.

L 69/68
EN
Official Journal of the European Union
16.3.2005
(9)
All Member States have ratified the Council of Europe
mation systems. Member States should therefore make
Convention of 28 January 1981 for the protection of
use of the existing network of operational contact
individuals with regard to automatic processing of
points referred to in the Council Recommendation of
personal data. The personal data processed in the
25 June 2001 on contact points maintaining a 24-hour
context of the implementation of this Framework
service for combating high-tech crime (2), for the
Decision should be protected in accordance with the
exchange of information.
principles of the said Convention.
(17)
Since the objectives of this Framework Decision, ensuring
that attacks against information systems be sanctioned in
(10)
Common definitions in this area, particularly of infor-
all Member States by effective, proportionate and
mation systems and computer data, are important to
dissuasive
criminal
penalties
and
improving
and
ensure a consistent approach in Member States in the
encouraging judicial cooperation by removing potential
application of this Framework Decision.
complications, cannot be sufficiently achieved by the
Member States, as rules have to be common and
compatible, and can therefore be better achieved at the
level of the Union, the Union may adopt measures, in
accordance with the principle of subsidiarity as set out in
(11)
There is a need to achieve a common approach to the
Article 5 of the EC Treaty. In accordance with the
constituent elements of criminal offences by providing
principle of proportionality, as set out in that Article,
for common offences of illegal access to an information
this Framework Decision does not go beyond what is
system, illegal system interference and illegal data inter-
necessary in order to achieve those objectives.
ference.
(18)
This Framework Decision respects the fundamental rights
and observes the principles recognised by Article 6 of the
(12)
In the interest of combating computer-related crime, each
Treaty on European Union and reflected in the Charter of
Member State should ensure effective judicial cooperation
Fundamental Rights of the European Union, and notably
in respect of offences based on the types of conduct
Chapters II and VI thereof,
referred to in Articles 2, 3, 4 and 5.
HAS ADOPTED THIS FRAMEWORK DECISION:
(13)
There is a need to avoid over-criminalisation, particularly
of minor cases, as well as a need to avoid criminalising
right-holders and authorised persons.
Article 1
Definitions
For the purposes of this Framework Decision, the following
(14)
There is a need for Member States to provide for
definitions shall apply:
penalties for attacks against information systems. The
penalties thus provided for shall be effective, propor-
tionate and dissuasive.
(a) ‘information system’ means any device or group of inter-
connected or related devices, one or more of which,
pursuant to a program, performs automatic processing of
computer data, as well as computer data stored, processed,
(15)
It is appropriate to provide for more severe penalties
retrieved or transmitted by them for the purposes of their
when an attack against an information system is
operation, use, protection and maintenance;
committed within the framework of a criminal organi-
sation, as defined in the Joint Action 98/733 JHA of 21
December 1998 on making it a criminal offence to parti-
cipate in a criminal organisation in the Member State of
(b) ‘computer data’ means any representation of facts, infor-
the European Union (1). It is also appropriate to provide
mation or concepts in a form suitable for processing in
for more severe penalties where such an attack has
an information system, including a program suitable for
caused serious damages or has affected essential interests.
causing an information system to perform a function;
(c) ‘legal person’ means any entity having such status under the
(16)
Measures should also be foreseen for the purposes of
applicable law, except for States or other public bodies in
cooperation between Member States with a view to
the exercise of State authority and for public international
ensuring effective action against attacks against infor-
organisations;
(1) OJ L 351, 29.12.1998, p. 1.
(2) OJ C 187, 3.7.2001, p. 5.

16.3.2005
EN
Official Journal of the European Union
L 69/69
(d) ‘without right’ means access or interference not authorised
Article 6
by the owner, other right holder of the system or part of it,
or not permitted under the national legislation.
Penalties
1.
Each Member State shall take the necessary measures to
ensure that the offences referred to in Articles 2, 3, 4 and 5 are
punishable by effective, proportional and dissuasive criminal
Article 2
penalties.
Illegal access to information systems
1.
Each Member State shall take the necessary measures to
2.
Each Member State shall take the necessary measures to
ensure that the intentional access without right to the whole or
ensure that the offences referred to in Articles 3 and 4 are
any part of an information system is punishable as a criminal
punishable by criminal penalties of a maximum of at least
offence, at least for cases which are not minor.
between one and three years of imprisonment.
2.
Each Member State may decide that the conduct referred
Article 7
to in paragraph 1 is incriminated only where the offence is
committed by infringing a security measure.
Aggravating circumstances
1.
Each Member State shall take the necessary measures to
ensure that the offence referred to in Article 2(2) and the
offence referred to in Articles 3 and 4 are punishable by
Article 3
criminal penalties of a maximum of at least between two and
five years of imprisonment when committed within the
Illegal system interference
framework of a criminal organisation as defined in Joint
Each Member State shall take the necessary measures to ensure
Action 98/733/JHA apart from the penalty level referred to
that the intentional serious hindering or interruption of the
therein.
functioning of an information system by inputting, transmitting,
damaging, deleting, deteriorating, altering, suppressing or
rendering inaccessible computer data is punishable as a
2.
A Member State may also take the measures referred to in
criminal offence when committed without right, at least for
paragraph 1 when the offence has caused serious damages or
cases which are not minor.
has affected essential interests.
Article 4
Article 8
Illegal data interference
Liability of legal persons
Each Member State shall take the necessary measures to ensure
1.
Each Member State shall take the necessary measures to
that the intentional deletion, damaging, deterioration, alteration,
ensure that legal persons can be held liable for offences referred
suppression or rendering inaccessible of computer data on an
to in Articles 2, 3, 4 and 5, committed for their benefit by any
information system is punishable as a criminal offence when
person, acting either individually or as part of an organ of the
committed without right, at least for cases which are not minor.
legal person, who has a leading position within the legal person,
based on:
Article 5
(a) a power of representation of the legal person, or
Instigation, aiding and abetting and attempt
1.
Each Member State shall ensure that the instigation of
(b) an authority to take decisions on behalf of the legal person,
aiding and abetting an offence referred to in Articles 2, 3 and
or
4 is punishable as a criminal offence.
(c) an authority to exercise control within the legal person.
2.
Each Member State shall ensure that the attempt to
commit the offences referred to in Articles 2, 3 and 4 is
punishable as a criminal offence.
2.
Apart from the cases provided for in paragraph 1,
Member States shall ensure that a legal person can be held
liable where the lack of supervision or control by a person
referred to in paragraph 1 has made possible the commission
3.
Each Member State may decide not to apply paragraph 2
of the offences referred to in Articles 2, 3, 4 and 5 for the
for the offences referred to in Article 2.
benefit of that legal person by a person under its authority.

L 69/70
EN
Official Journal of the European Union
16.3.2005
3.
Liability of a legal person under paragraphs 1 and 2 shall
Articles 2, 3, 4 and 5, when committed by one of its nationals
not exclude criminal proceedings against natural persons who
outside its territory.
are involved as perpetrators, instigators or accessories in the
commission of the offences referred to in Articles 2, 3, 4 and 5.
Article 9
4.
Where an offence falls within the jurisdiction of more
than one Member State and when any of the States
Penalties for legal persons
concerned can validly prosecute on the basis of the same
facts, the Member States concerned shall cooperate in order
1.
Each Member State shall take the necessary measures to
to decide which of them will prosecute the offenders with the
ensure that a legal person held liable pursuant to Article 8(1) is
aim, if possible, of centralising proceedings in a single Member
punishable by effective, proportionate and dissuasive penalties,
State. To this end, the Member States may have recourse to any
which shall include criminal or non-criminal fines and may
body or mechanism established within the European Union in
include other penalties, such as:
order to facilitate cooperation between their judicial authorities
and the coordination of their action. Sequential account may be
taken of the following factors:
(a) exclusion from entitlement to public benefits or aid;
(b) temporary or permanent disqualification from the practice
of commercial activities;
— the Member State shall be that in the territory of which the
offences have been committed according to paragraph 1(a)
and paragraph 2,
(c) placing under judicial supervision; or
(d) a judicial winding-up order.
— the Member State shall be that of which the perpetrator is a
2.
Each Member State shall take the necessary measures to
national,
ensure that a legal person held liable pursuant to Article 8(2) is
punishable by effective, proportionate and dissuasive penalties
or measures.
— the Member State shall be that in which the perpetrator has
been found.
Article 10
Jurisdiction
1.
Each Member State shall establish its jurisdiction with
5.
A Member State may decide not to apply, or to apply only
regard to the offences referred to in Articles 2, 3, 4 and 5
in specific cases or circumstances, the jurisdiction rules set out
where the offence has been committed:
in paragraphs 1(b) and 1(c).
(a) in whole or in part within its territory; or
6.
Member States shall inform the General Secretariat of the
(b) by one of its nationals; or
Council and the Commission where they decide to apply
paragraph 5, where appropriate with an indication of the
specific cases or circumstances in which the decision applies.
(c) for the benefit of a legal person that has its head office in
the territory of that Member State.
2.
When establishing its jurisdiction in accordance with
Article 11
paragraph (1)(a), each Member State shall ensure that the juris-
diction includes cases where:
Exchange of information
1.
For the purpose of exchange of information relating to the
(a) the offender commits the offence when physically present
offences referred to in Articles 2, 3, 4 and 5, and in accordance
on its territory, whether or not the offence is against an
with data protection rules, Member States shall ensure that they
information system on its territory; or
make use of the existing network of operational points of
contact available 24 hours a day and seven days a week.
(b) the offence is against an information system on its territory,
whether or not the offender commits the offence when
physically present on its territory.
2.
Each Member State shall inform the General Secretariat of
the Council and the Commission of its appointed point of
3.
A Member State which, under its law, does not as yet
contact for the purpose of exchanging information on
extradite or surrender its own nationals shall take the
offences relating to attacks against information systems. The
necessary measures to establish its jurisdiction over and to
General Secretariat shall forward that information to the other
prosecute, where appropriate, the offences referred to in
Member States.

16.3.2005
EN
Official Journal of the European Union
L 69/71
Article 12
Article 13
Implementation
Entry into force
1.
Member States shall take the necessary measures to
This Framework Decision shall enter into force on the date of
comply with the provisions of this Framework Decision by
its publication in the Official Journal of the European Union.
16 March 2007.
2.
By 16 March 2007 Member States shall transmit to the
General Secretariat of the Council and to the Commission the
text of any provisions transposing into their national law the
obligations imposed on them under this Framework Decision.
Done at Brussels, 24 February 2005.
By 16 September 2007, on the basis of a report established on
the basis of information and a written report by the
For the Council
Commission, the Council shall assess the extent to which
Member States have complied with the provisions of this
The President
Framework Decision.
N. SCHMIT