Godkännande av rambeslut om angrepp mot informationssystem

Sammanfattning
I detta betänkande behandlar utskottet regeringens proposition 2003/04:164
Sveriges antagande av rambeslut om angrepp mot informationssystem jämte
två följdmotioner.
I propositionen föreslår regeringen att riksdagen skall godkänna det
inom Europeiska unionen upprättade utkastet till rambeslut om angrepp
mot informationssystem. Med angrepp mot informationssystem avses t.ex.
spridande av datavirus. Rambeslutet innehåller bestämmelser bl.a. om
vilka handlingar som skall vara straffbelagda som angrepp mot
informationssystem och om att dessa skall vara belagda med effektiva,
proportionella och avskräckande påföljder.
Utskottet föreslår att riksdagen bifaller regeringens förslag och avslår
motionerna.
I ärendet finns två reservationer (v, mp respektive m, c).

Utskottets förslag till riksdagsbeslut

1.      Godkännande av rambeslut om angrepp mot informationssystem
Riksdagen godkänner det inom Europeiska unionen upprättade utkastet
till rambeslut om angrepp mot informationssystem. Därmed bifaller
riksdagen proposition 2003/04:164 och avslår motion 2003/04:Ju31.
Reservation 1 (v, mp)

2.      Följdlagstiftning i propositioner om godkännande av rambeslut
Riksdagen avslår motion 2003/04:Ju32.
Reservation 2 (m, c)

Stockholm den 30 september 2004
På justitieutskottets vägnar

Johan Pehrson
Följande ledamöter har deltagit i beslutet:      Johan Pehrson (fp),
Susanne Eberstein (s), Rolf Olsson (v), Margareta Sandgren (s), Beatrice
Ask (m)1Deltar ej under punkt 1, Lennart Nilsson (s), Helena Frisk (s),
Peter Althin (kd), Elisebeht Markström (s), Jeppe Johnsson (m)2Deltar
ej under punkt 1, Yilmaz Kerimo (s), Torkild Strandberg (fp), Johan
Linander (c), Göran Norlander (s), Cecilia Magnusson (m)3Deltar ej under
punkt 1, Joe Frans (s) och Leif Björnlod (mp).

Redogörelse för ärendet
Ärendet och dess beredning
Den 19 april 2002 presenterade Europeiska kommissionen ett förslag till
rambeslut om angrepp mot informationssystem (EGT C 203 E, 27.8.2002, s.
109). En faktapromemoria om förslaget upprättades inom Regeringskansliet
och överlämnades till riksdagen (2001/02:FPM110).
Europaparlamentet yttrade sig över förslaget den 22 oktober 2002
(A5-0328/2002, EUT C 300 E, 11.12.2003, s. 16).
Vid ministerrådet för rättsliga och inrikes frågor den 27 och 28 februari
2003 träffades en politisk överenskommelse om innehållet i rambeslutet.

Vid Europeiska rådets möte den 25 och 26 mars 2004 antogs, mot bakgrund
av terroristattackerna i Madrid den 11 samma månad, en deklaration om
bekämpande av terrorism. I deklarationen slogs fast att ett antal
rambeslut beträffande vilka det förelåg politiska överenskommelser,
däribland rambeslutet om angrepp mot informationssystem, skulle antas i
juni 2004. För att rådet skall kunna anta rambeslutet måste det först
godtas av de nationella parlamenten i de medlemsstater där det krävs
parlamentsgodkännande och sedan måste parlamentsreservationerna hävas.
Antagandet kräver enhällighet.
Under förhandlingsarbetet har företrädare för Justitiedepartementet
lämnat information i justitieutskottet och i EU-nämnden.
Ett remissförfarande av traditionellt slag har inte tillämpats vid
beredningen av ärendet. I stället har Svea hovrätt, Justitiekanslern
(JK), Riksåklagaren, Rikspolisstyrelsen, Säkerhetspolisen, Post- och
telestyrelsen, Krisberedskapsmyndigheten, Försvarsmakten, Försvarets
radioanstalt, Uppsala universitet och Sveriges advokatsamfund under
hand beretts tillfälle att lämna synpunkter på ett utkast till propositionen
(Ju2004/4752/L5).
Enligt uppgift från Justitiedepartementet har företrädare för bl.a.
Rikskriminalpolisen och Riksåklagaren också under förhandlingsarbetet
informerats och fått tillfälle att lämna synpunkter (Ju2003/1606/L5).
Utkastet
till rambeslut i senaste svensk version är fogat till detta betänkande
som bilaga 2. I bilaga 3 finns ett utkast till uttalande av kommissionen
som skall tas till rådets protokoll i samband med att rambeslutet antas.

Propositionens huvudsakliga innehåll
I propositionen föreslås att riksdagen godkänner det inom Europeiska
unionen upprättade utkastet till rambeslut om angrepp mot informationssystem.
Rambeslutet innehåller bestämmelser om vilka handlingar som skall vara
straffbelagda som angrepp mot informationssystem och vilka straffrättsliga
påföljder dessa brott skall kunna leda till. Bestämmelserna avser att
träffa t.ex. spridande av datavirus. Dessutom finns bestämmelser om bl.
a. ansvar och påföljder för juridiska personer, domsrätt och utbyte av
uppgifter. I propositionen redovisar regeringen en bedömning av de
lagändringar som rambeslutet föranleder i svensk rätt. Några förslag
till ändrad lagstiftning lämnas dock inte. Regeringen avser att återkomma
till riksdagen med sådana förslag i ett senare sammanhang.

Utskottets överväganden
Godkännande av rambeslut om angrepp mot informationssystem
Utskottets förslag i korthet
Utskottet föreslår att riksdagen godkänner utkastet till rambeslut om
angrepp mot informationssystem och avstyrker ett motionsyrkande om avslag
på propositionen. Vidare avstyrker utskottet ett yrkande om att
propositioner om godkännande av rambeslut i allmänhet också bör innehålla
förslag till svensk följdlagstiftning.
Jämför reservation 1 (v, mp) och 2 (m, c).

Rambeslutet om angrepp mot informationssystem
Rambeslutet syftar till att tillnärma medlemsstaternas straffrättsliga
lagstiftning när det gäller angrepp mot informationssystem och därigenom
förbättra samarbetet mellan rättsliga och andra myndigheter. Med angrepp
mot informationssystem åsyftas bl.a. spridande av datavirus och s.k.
tillgänglighetsattacker, i vilka t.ex. stora mängder e-post skickas i
syfte att störa eller blockera driften av ett informationssystem.
Enligt rambeslutet skall varje medlemsstat vidta de åtgärder som är
nödvändiga för att straffbelägga handlande som utgör olagligt intrång
i informationssystem (artikel 2), olaglig systemstörning (artikel 3)
eller olaglig datastörning (artikel 4). Även anstiftan, medhjälp och
försök till dessa brott skall i princip vara straffbart (artikel 5).
Vidare föreskrivs att brotten i artiklarna 2-5 skall vara belagda med
effektiva, proportionella och avskräckande straffrättsliga påföljder
(artikel 6). Rambeslutet innehåller också bestämmelser bl.a. om försvårande
omständigheter, juridiska personers ansvar, domsrätt och utbyte av
uppgifter mellan medlemsstaterna.
Rambeslutet är bindande för medlemsstaterna när det gäller de resultat
som skall uppnås men överlåter åt de nationella myndigheterna att
bestämma form och tillvägagångssätt.
Regeringen anför i propositionen att svensk lagstiftning till övervägande
del torde motsvara de åtaganden som följer av rambeslutet. När det gäller
att avbryta eller allvarligt hindra ett informationssystems drift och
att hindra flödet av datorbehandlingsbara uppgifter eller göra sådana
uppgifter oåtkomliga torde emellertid krävas lagändringar. Några förslag
till lagändringar lämnas dock inte, utan regeringen avser att återkomma
till riksdagen i ett senare sammanhang.
Motionerna
I motion Ju31 (v) yrkas avslag på propositionen. Motionärerna anför bl.
a. att propositioner om antagande av rambeslut dels skall innehålla
förslag till svensk följdlagstiftning, dels skall föregås av ett
remissförfarande av traditionellt slag. I motion Ju32 (m) begärs ett
tillkännagivande om att propositioner om antagande av rambeslut bör
innehålla förslag till svensk följdlagstiftning.
Följdlagstiftning i propositioner om godkännande av rambeslut
Möjligheterna att använda sig av rambeslut infördes genom Amsterdamfördraget,
som trädde i kraft den 1 maj 1999. Införandet av rambeslut var ett led
i strävandena att göra bl.a. det straffrättsliga samarbetet inom EU
snabbare och mer effektivt. Det fanns en utbredd uppfattning bland
medlemsstaterna att samarbetet på detta område inte fungerade tillräckligt
bra. En orsak ansågs vara den mellanstatliga karaktären av samarbetet
som bl.a. innebar att överenskommelser inom EU på det straffrättsliga
området, i likhet med andra internationella överenskommelser, krävde
efterföljande ratifikation av medlemsstaterna (se prop. 1997/98:58 s.
107 f.).
Formellt förändrades inte samarbetets karaktär genom möjligheterna till
rambeslut. Det straffrättsliga samarbetet skulle även fortsättningsvis
vara mellanstatligt. Till skillnad från tidigare folkrättsligt bindande
konventioner på området blir emellertid ett rambeslut bindande för
medlemsstaterna så snart det har antagits av regeringarnas företrädare
i ministerrådet. Ett rambeslut kräver således ingen efterföljande
ratifikation. Medlemsstaterna är skyldiga att se till att beslutet genomförs
i enlighet med sina respektive konstitutionella bestämmelser. Det
överlåts åt de nationella myndigheterna att bestämma form och tillvägagångssätt
för hur rambeslutet skall genomföras (a. prop. s. 118).
Enligt 10 kap. 2 § regeringsformen måste regeringen inför ett rambeslut
inhämta riksdagens godkännande i de fall då beslutet förutsätter att
lag ändras eller upphävs eller att ny lag stiftas eller om beslutet i
övrigt gäller ett ämne i vilket riksdagen skall besluta. Vidare skall
regeringen även i annat fall inhämta riksdagens godkännande om beslutet
är av större vikt. En lämplig tidpunkt för riksdagens godkännande är då
förhandlingsläget inom EU-samarbetet är sådant att den aktuella
överenskommelsen i princip är färdig (se bet. 2001/02:KU18 s. 28).
Det har visat sig att de tidsramar som gäller för antagandet av ett
rambeslut i regel innebär att följdlagstiftning inte hinner tas fram
samt att ett traditionellt remissförfarande i vissa fall inte hinner
genomföras, innan regeringen för riksdagens godkännande lägger fram ett
utkast till rambeslut.
Riksdagen har under senare år vid ett flertal tillfällen godkänt utkast
till rambeslut utan att följdlagstiftningen samtidigt har presenterats.
När detta skedde första gången under riksmötet 1999/2000 gjorde
justitieutskottet ett principiellt uttalande som gick ut på att utskottet
inte kunde se något avgörande skäl mot att godta ett rambeslut vid ett
tillfälle och fatta beslut om lagstiftningen vid ett senare tillfälle
(bet. 1999/2000:JuU20 s. 5 f.). Att avvakta med lagstiftningen borde
enligt utskottet emellertid inte ske annat än när det var påkallat av
de tidsramar som gällde för EU:s antagande av rambeslutet.
Den i praxis godtagna ordningen att riksdagen kan godkänna ett rambeslut
som ännu inte föreligger i slutligt skick har kommit till klart uttryck
genom en ändring i 10 kap. 2 § regeringsformen, som trädde i kraft den
1 januari 2003. Inte heller i detta sammanhang uttalades något krav på
att ett godkännande av ett utkast till rambeslut förutsätter att förslag
på följdlagstiftning samtidigt läggs fram (bet. 2001/02:KU18 s. 26 f.).
Konstitutionsutskottet aviserade att det - inom ramen för sin allmänna
granskning av regeringsärendenas handläggning enligt 12 kap. 1 §
regeringsformen - skulle granska regeringens hantering när det gäller
inhämtande av riksdagens godkännande enligt 10 kap. 2 § regeringsformen
inför regeringens deltagande i rambeslut på andra och tredje pelarens
område inom EU (a. bet. s. 29). En sådan granskning genomfördes under
riksmötet 2002/03. Konstitutionsutskottet uttalade då att traditionellt
remissförfarande skall tillämpas vid beredningen av en proposition om
godkännande av rambeslut i samma utsträckning som vid lagstiftningsärenden
(bet. 2002/03:KU10 s. 64). Konstitutionsutskottet insåg att de tidsramar
som gäller för antagandet av en överenskommelse i ministerrådet kan
medföra svårigheter för regeringen att tillämpa ett traditionellt
remissförfarande. Emellertid ville konstitutionsutskottet understryka att
underhandskontakter med myndigheter kan ersätta remissbehandling av
traditionellt slag endast då detta är oundgängligen påkallat av de
tidsramar som gäller för EU:s antagande av en överenskommelse eller andra
undantagssituationer.
I sammanhanget bör tilläggas att justitieutskottet redan före
konstitutionsutskottets granskning, inom ramen för sitt uppföljningsarbete,
hade gjort en motsvarande granskning på utskottets område. Granskningen
omfattade alla rambeslut och beslut om tillträde till olika internationella
konventioner under perioden 1995/96-2001/02. Utskottet kunde efter en
jämförelse med senare lagstiftningsärenden konstatera att regeringen i
propositioner om godkännande av rambeslut i allt väsentligt gjort en
korrekt bedömning av lagstiftningsbehovet.
När det gäller remissförfarandet kan nämnas att i propositionen Demokrati
för det nya seklet (prop. 2001/02:80 s. 114) aviserades en kartläggning
av hur det svenska remissförfarandet i dag används avseende frågor med
EU-anknytning. En sådan kartläggning kommer enligt uppgift från
Justitiedepartementet att inledas under år 2004.
Vidare kan nämnas att konstitutionsutskottet planerar att studera
tillämpningen av det svenska remissförfarandet under beslutsprocessen på
EU-nivå när beslut om EG-direktiv fattas samt vid implementeringen av
dessa genom svensk följdlagstiftning.
Utskottets ställningstagande
Utskottet tar först upp frågor som rör beredningen av propositioner om
godkännande av rambeslut i allmänhet. Därefter behandlar utskottet frågan
om godkännande av rambeslutet om angrepp mot informationssystem.
Utskottet delar motionärernas uppfattning att riksdagen skulle få ett
bättre underlag för sitt ställningstagande om ärenden om godkännande av
rambeslut kunde beredas på samma sätt som andra internationella
överenskommelser, dvs. med ett traditionellt utredningsförfarande och med
framtagande av förslag till svensk följdlagstiftning. Det har emellertid
visat sig att det sällan finns tid till ett sådant förfarande inom de
tidsramar som gäller för EU:s antagande av rambeslut. Att avvakta med
godkännande av rambeslutet till dess att ett tillfredsställande
beredningsunderlag hämtats in såvitt avser följdlagstiftning skulle ofta
innebära betydande förseningar av antagande av rambeslutet. Då antagandet
kräver enhällighet skulle förseningen drabba samtliga övriga medlemsstater.
Ett sådant förfarande skulle motverka syftet med institutet rambeslut,
och i viss mån innebära en återgång till den ordning som gällde tidigare,
före Amsterdamfördraget. En anledning till att möjligheterna till
rambeslut infördes var just ett missnöje med denna ordning.
Sammanfattningsvis konstaterar utskottet således att en avvägning i
regel måste göras mellan intresset av att anta rambeslutet inom de
tidsramar som ställts upp av EU och intresset av att en proposition om
godkännande av rambeslut innehåller förslag till följdlagstiftning.
Utskottet anser därvid att Sverige, mot bakgrund av vad som anförts
ovan, inte bör fördröja antagandet av rambeslut annat än om det finns
mycket starka skäl.
Även om det inte är möjligt att ta fram förslag till följdlagstiftning
är det emellertid viktigt att regeringen ser till att beredningsunderlaget
i ärenden om godkännande av rambeslut med hänsyn till omständigheterna
är så bra som möjligt. Det kan därvid finnas anledning att se över om
beredningen av ärenden om rambeslut, inom tidsramen för EU:s antagande
av rambeslut, kan förbättras, t.ex. genom ökade möjligheter och bättre
rutiner för att inhämta synpunkter redan i samband med förhandlingarna
om ett rambeslut. Utskottet välkomnar därför den aviserade granskningen
av hur det svenska remissförfarandet i dag används avseende frågor med
EU-anknytning. Även inom riksdagen pågår arbete med liknande frågor.
Utskottet övergår därefter till den nu aktuella propositionen om
godkännande av rambeslut om angrepp mot informationssystem. Utskottet
konstaterar att dagens samhälle, där informationsteknik genomsyrar i
stort sett alla sektorer, är sårbart för olika former av angrepp som
riktar sig mot informationssystem. Dessa angrepp kan bl.a. orsaka
betydande kostnader och få allvarliga konsekvenser för förtroendet för ny
teknik och elektroniska tjänster. Det rör sig om en brottstyp som är
oberoende av nationsgränser. För att bättre kunna bekämpa denna typ av
brottslighet är det därför viktigt med internationellt samarbete. Genom
att på EU-nivå utforma gemensamma beskrivningar av vilka handlingar som
skall utgöra straffbara angrepp mot informationssystem och vilka påföljder
dessa brott skall leda till skapas ett gemensamt rättsområde som
underlättar det rättsliga och polisiära samarbetet för att förebygga och
bekämpa sådan brottslighet. Dessutom anser utskottet att de förändringar
av svensk lag som rambeslutet bedöms föranleda avser förfaranden som
även från svensk utgångspunkt måste anses straffvärda.
Regeringen anför i propositionen (s. 29) att utvidgningen av det
kriminaliserade området kräver ytterligare analys, bl.a. vad gäller
utformningen av det straffbara området i förhållande till handlingar som
utgör opinionsyttringar eller liknande. Att avvakta med godkännande
till dess att ett tillfredsställande beredningsunderlag har hämtats in
såvitt avser de lagändringar som krävs skulle innebära en betydande
försening av antagandet av rambeslutet. Med tanke på den betydelse som
rambeslutet kan förväntas få som verktyg mot den s.k. IT-brottsligheten
och inte minst i kampen mot terrorism vore detta mycket olyckligt.
Sverige bör sålunda inte fördröja antagandet av rambeslutet.
Utskottet anser att riksdagen bör godkänna det utkast till rambeslut
som utarbetats inom EU. Motionerna Ju31 och Ju32 bör avslås av riksdagen.

Reservationer
Utskottets förslag till riksdagsbeslut och ställningstaganden har
föranlett följande reservationer. I rubriken anges vilken punkt i utskottets
förslag till riksdagsbeslut som behandlas i avsnittet.

1.      Godkännande av rambeslut om angrepp mot informationssystem, punkt 1
(v, mp)
av Rolf Olsson (v) och Leif Björnlod (mp).
Förslag till riksdagsbeslut
Vi anser att förslaget till riksdagsbeslut under punkt 1 borde
ha följande lydelse:
Riksdagen bifaller motion 2003/04:Ju31 och avslår proposition
2003/04:164.

Ställningstagande
Att bekämpa brottsligheten inom informationsteknikområdet är viktigt,
liksom att inse sårbarheten i våra informationssystem, och vi välkomnar
en förbättrad lagstiftning på detta område.
Det är emellertid viktigt, inte minst för att värna rättssäkerheten,
att en ny lagstiftning inte hastas fram. I detta ärende anser vi att
regeringen har gått för snabbt fram. Trots bedömningen att lagändringar
krävs med anledning av rambeslutet har regeringen valt att inte samtidigt
med rambeslutet lägga fram förslag till följdlagstiftning. Sådana kommer
att läggas fram i ett senare sammanhang. Vidare har regeringen vid
beredningen av ärendet valt att inte tillämpa ett traditionellt
remissförfarande utan i stället hört vissa myndigheter och andra under hand.
Enligt vår mening är detta inte en acceptabel lagstiftningsteknik. Vi
är medvetna om att de tidsramar som gäller för EU:s antagande av rambeslut
försvårar ett traditionellt remissförfarande samt att följdlagstiftning
läggs fram i samband med godkännande av rambeslut. För att riksdagen
skall ges möjlighet att på ett tillfredsställande sätt ta ställning
till konsekvenserna av rambeslutet är emellertid ett sådant förfarande
nödvändigt.
Mot bakgrund av det sagda föreslår vi att propositionen avslås.



2.      Följdlagstiftning i propositioner om godkännande av rambeslut, punkt
2 (m, c)
av Beatrice Ask (m), Jeppe Johnsson (m), Johan Linander (c) och Cecilia
Magnusson (m).
Förslag till riksdagsbeslut
Vi anser att förslaget till riksdagsbeslut under punkt 2 borde
ha följande lydelse:
Riksdagen tillkännager för regeringen som sin mening vad som
anförs i reservationen om följdlagstiftning i propositioner om godkännande
av rambeslut. Därmed bifaller riksdagen motion 2003/04:Ju32.

Ställningstagande
Vi välkomnar en likartad europeisk lagstiftning när det gäller angrepp
mot informationssystem. Detta gör vi inte bara ur ett brottsbekämpande
perspektiv utan även ur demokratisk synpunkt.
Regeringen har emellertid återigen valt att inte samtidigt med rambeslutet
lägga fram ett förslag till den lagstiftning som krävs med anledning av
beslutet. Enligt vår mening är detta inte en acceptabel lagstiftningsteknik.
Det bör vara ett krav att den lagstiftning som bedöms bli aktuell
presenteras i sin helhet. Annars blir det inte möjligt att göra en
bedömning av rambeslutet och vilka konsekvenser det kommer att få för den
svenska lagstiftningen. Enligt vår erfarenhet är det först i samband
med att det handgripliga och konkreta förslaget granskas inom ramen för
den parlamentariska processen som eventuella brister eller problemområden
upptäcks. Därför är det mycket viktigt att riksdagen ges möjlighet att
ta ställning till konsekvenserna av rambeslutet på nationell nivå
samtidigt som man antar rambeslutet.
Vi är medvetna om att de tidsramar som gäller för EU:s antagande av
rambeslut försvårar ett traditionellt remissförfarande samt att
följdlagstiftning läggs fram i samband med godkännande av rambeslut. För
att riksdagen skall ges möjlighet att ta ställning till konsekvenserna
av rambeslutet på nationell nivå samtidigt som man godkänner rambeslutet
är emellertid ett sådant förfarande nödvändigt.
Regeringen bör därför åläggas att i fortsättningen presentera förslag
till följdlagstiftning i propositioner om godkännande av rambeslut.

Bilaga 1
Förteckning över behandlade förslag
Propositionen
Proposition 2003/04:164 Sveriges antagande av rambeslut om angrepp mot
informationssystem:
Riksdagen godkänner det inom Europeiska unionen upprättade utkastet
till rambeslut om angrepp mot informationssystem.
Följdmotioner
2003/04:Ju31 av Rolf Olsson m.fl. (v):
Riksdagen avslår proposition 2003/04:164, Sveriges antagande av rambeslut
om angrepp mot informationssystem, i sin helhet.
2003/04:Ju32 av Beatrice Ask m.fl. (m):
Riksdagen tillkännager för regeringen som sin mening vad i motionen
anförs om att propositioner om EU:s rambeslut inom det rättsliga området
även bör innehålla förslag om svensk följdlagstiftning.

Bilaga 2
Rambeslut om angrepp mot informationssystem









Bilaga 3
Uttalande från kommissionen