Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo

Fecha de Entrada en Vigor: 3 de Septiembre de 2013
Sección:Directiva
Emisor:Parlamento Europeo y Consejo de la Unión Europea
 
ÍNDICE
EXTRACTO GRATUITO

L 218/8 Diario Oficial de la Unión Europea 14.8.2013

ES

DIRECTIVA 2013/40/UE DEL PARLAMENTO EUROPEO Y DEL CONSEJO

de 12 de agosto de 2013

relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea (TFUE) y, en particular, su artículo 83, apartado 1,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo

( 1 ),

De conformidad con el procedimiento legislativo ordinario

( 2 ),

Considerando lo siguiente:

(1) Los objetivos de la presente Directiva son aproximar las normas de Derecho penal de los Estados miembros en materia de ataques contra los sistemas de información, mediante el establecimiento de normas mínimas relativas a la definición de las infracciones penales y las sanciones aplicables, y mejorar la cooperación entre las autoridades competentes, incluida la policía y los demás servicios especializados encargados de la aplicación de la ley en los Estados miembros, así como los organismos especializados de la Unión, como Eurojust, Europol y su Centro Europeo contra la Ciberdelincuencia y la Agencia Europea de Seguridad de las Redes y de la Información (ENISA).

(2) Los sistemas de información son un elemento esencial para la interacción política, social y económica en la Unión. La dependencia de este tipo de sistemas por parte de la sociedad es muy grande y sigue aumentando. El buen funcionamiento y la seguridad de estos sistemas en la Unión es clave para el desarrollo del mercado interior y de una economía competitiva e innovadora. Garantizar un adecuado nivel de protección de los sistemas de información debe formar parte de un marco general efectivo de medidas de prevención que acompañen a las respuestas del Derecho penal a la ciberdelincuencia.

(3) Los ataques contra los sistemas de información y, en particular, los ataques vinculados a la delincuencia organizada, son una amenaza creciente en la Unión y en el resto del mundo, y cada vez preocupa más la posibilidad de ataques terroristas o de naturaleza política contra los sistemas de información que forman parte de las infraestructuras críticas de los Estados miembros y de la Unión. Esta situación pone en peligro la realización de una sociedad de la información segura y de un espacio de libertad, seguridad y justicia y exige, por tanto, una respuesta por parte de la Unión, así como una cooperación y coordinación reforzadas a escala internacional.

(4) Existe en la Unión una serie de infraestructuras críticas cuya perturbación o destrucción tendría repercusiones transfronterizas importantes. De la necesidad de incrementar en la Unión la capacidad de protección de estas infraestructuras se desprende que las medidas contra los ataques informáticos deben complementarse con penas estrictas que reflejen la gravedad de tales ataques. Por «infraestructura crítica» se entiende un elemento, sistema o parte de este situado en los Estados miembros que es esencial para el mantenimiento de funciones vitales de la sociedad, la salud, la seguridad, la protección y el bienestar económico y social de la población, como las centrales eléctricas, las redes de transporte y las redes de los órganos de gobierno, y cuya perturbación o destrucción tendría un impacto significativo en un Estado miembro al no poder mantener esas funciones.

(5) Se comprueba una tendencia hacia ataques de gran escala cada vez más graves y recurrentes contra sistemas de información, que a menudo pueden ser críticos para los Estados miembros o para determinadas funciones del sector público o privado. Esta tendencia coincide con el desarrollo de métodos cada vez más sofisticados, como la creación y utilización de redes infectadas (bot­nets), que conllevan fases múltiples del acto delictivo, cada una de las cuales puede por sí sola constituir un grave peligro para el interés público. La presente Directiva tiene por objeto, entre otros, establecer sanciones para la fase en que se crea la red infectada, es decir, cuando se establece un control remoto sobre un número significativo de ordenadores infectándolos mediante programas nocivos a través de ataques informáticos dirigidos. Una vez establecida la red, los ordenadores infectados, que constituyen la red infectada, pueden activarse sin el conocimiento de los usuarios para realizar un ataque informático a gran escala, que en circunstancias normales puede causar daños graves, como menciona la presente Directiva. Los Estados miembros deben poder establecer qué constituyen daños graves de conformidad con su ordenamiento jurídico y práctica nacionales, tales como interrumpir los servicios del sistema de una importancia pública relevante, o causar importantes costes económicos o pérdidas de datos de carácter personal o de información sensible.

(6) Los ciberataques a gran escala pueden causar graves perjuicios económicos, tanto por la paralización de los sistemas de información y de las comunicaciones como por la pérdida o alteración de información confidencial de importancia comercial o de otros datos. Debe prestarse especial atención a sensibilizar más a las pequeñas y medianas empresas innovadoras sobre las amenazas vinculadas con tales ataques y su vulnerabilidad ante los mismos, que les afectan debido a su mayor dependencia del correcto funcionamiento y de la disponibilidad de los sistemas de información y al hecho de que sus recursos para la seguridad de la información son, con frecuencia, limitados.

( 1 ) DO C 218 de 23.7.2011, p. 130.

( 2 ) Posición del Parlamento Europeo de 4 de julio de 2013 (no publicada aún en el Diario Oficial) y Decisión del Consejo de 22 de julio de 2013.

14.8.2013 Diario Oficial de la Unión Europea L 218/9

ES

(7) Es importante en esta materia disponer de definiciones comunes a fin de garantizar la aplicación coherente de la presente Directiva en los Estados miembros.

(8) Es necesario llegar a un enfoque común respecto de los elementos constitutivos de las infracciones penales introduciendo las infracciones comunes de acceso ilegal a un sistema de información, de intromisión ilegal en el sistema, de intromisión ilegal en los datos y de interceptación ilegal.

(9) La interceptación abarca, sin limitarse necesariamente a ello, la escucha, el seguimiento y el análisis del contenido de comunicaciones, así como la obtención del contenido de los datos bien directamente, mediante el acceso y recurso a ese sistema de información, o indirectamente, mediante el recurso a sistemas de escucha y grabación electrónicos por medios técnicos.

(10) Los Estados miembros deben establecer sanciones para los ataques contra los sistemas de información. Estas sanciones deben ser efectivas, proporcionadas y disuasorias y deben contemplar penas privativas de libertad o multas.

(11) La presente Directiva establece penas al menos para los casos que no son de menor gravedad. Los Estados miembros deben poder determinar cuáles son los casos de menor gravedad de conformidad con su ordenamiento jurídico y práctica nacionales. Un caso puede considerarse de menor gravedad, por ejemplo, cuando el daño causado por la infracción o el riesgo que acarree para intereses públicos o privados, como la integridad de un sistema o datos informáticos, la integridad, derechos u otros intereses de una persona, resulte insignificante o sea de una índole tal que no resulte necesario imponer una pena dentro del umbral jurídico ni exigir responsabilidad penal.

(12) La identificación y comunicación de las amenazas y los riesgos que plantean los ciberataques, así como las vulnerabilidades de los sistemas de información que les afectan, constituye un elemento pertinente para una prevención y respuesta eficaces frente a dichos ataques y para la mejora de la seguridad de los sistemas de información. Ofrecer incentivos a la comunicación de las insuficiencias en materia de seguridad podría contribuir a producir ese efecto. Los Estados miembros deben comprometerse a brindar oportunidades que permitan la detección y comunicación legales de las deficiencias en materia de seguridad.

(13) Es conveniente establecer sanciones más severas cuando un ataque contra un sistema de información se comete en el contexto de una organización delictiva, tal como se define en la Decisión marco 2008/841/JAI del Consejo, de 24 de octubre de 2008, relativa a la lucha contra la delincuencia organizada

( 1

), o cuando el ciberataque se realiza a gran escala y afecta a un número importante de sistemas de información, en particular cuando el ataque tiene por objeto crear una red infectada o si el ciberataque causa un daño grave, incluido cuando se lleva a cabo a través de una red infectada. Conviene también establecer sanciones más severas cuando el ataque se lleva a cabo contra una infraestructura crítica de los Estados miembros o de la Unión.

(14) Otro elemento importante de un enfoque integrado contra la ciberdelincuencia es el establecimiento de medidas eficaces contra la usurpación de identidad y otras infracciones relacionadas con la identidad. Las necesidades inherentes a la actuación de la Unión relativa a este tipo de conducta delictiva podrían también ser tomadas en consideración en el contexto de la evaluación de la necesidad de un instrumento horizontal global de la Unión.

(15) Las Conclusiones del Consejo de 27 y 28 de noviembre de 2008 indicaron que debía desarrollarse una nueva estrategia con los Estados...

Para continuar leyendo

SOLICITA TU PRUEBA