Detekce a prevence kybernetických hrozeb

Na prvním místě je třeba zmínit Úmluvu o kyberkriminalitě a dodatkový protokol k ní, neboť se jedná o dva nejvýznamnější právní dokumenty, které přispívají k ochraně společnosti před kyberkriminalitou tím, že stanoví základní rámec trestných kybernetických činů a zároveň stanoví prostředky pro odhalování a vyšetřování této kriminality. Dále budou uvedeny právní dokumenty EU a ES, které souvisí s problematikou kyberkriminality.

 

3.1.1    Úmluva Rady Evropy č. 185 o kyberkriminalitě

Úmluva o kyberkriminalitě představuje nejvýznamnější právní dokument týkající se kyberkriminality a jejím hlavním účelem je sjednotit národní právní úpravu v oblasti kyberkriminality. Výše uvedené se realizuje tím, že Úmluva o kyberkriminalitě stanoví smluvním stranám povinnost implementovat do národních právních řádů takové nástroje, které umožní postih definovaných kybernetických trestných činů. Právě důkladná definice skutkové podstaty trestného činu je podmínkou k tomu, aby bylo možné užít norem trestního práva v kyberprostoru. Dále Úmluva o kyberkriminalitě vytváří právní rámec pro jednotný a společný postup proti pachatelům těchto trestných činů bez ohledu na místo spáchání trestného činu.

Úmluvu o kyberkriminalitě schválil Výbor ministrů Rady Evropy na svém 109. zasedání dne 8. listopadu 2001. Úmluva o kyberkriminalitě byla otevřena k podpisu 23. listopadu 2001 v Budapešti.[1] V platnost vstoupila tato úmluva dne 1. července 2004. 

Česká republika podepsala Úmluvu o kyberkriminalitě dne 9. února 2005 a ratifikovala ji 22. srpna 2013 s tím, že tato úmluva vstoupila v platnost 1. prosince 2013. Členské státy EU se zavázaly ratifikovat Úmluvu o kyberkriminalitě a včlenit do svých právních řádů taková ustanovení, která by umožňovala objasňovat a vyšetřovat uvedenou trestnou činnost.[2] Úmluva o kyberkriminalitě byla rovněž podepsána a ratifikována například Spojenými státy americkými, Japonskem aj.

 Úmluva o kyberkriminalitě[3] se skládá z preambule a 48 článků, které jsou rozděleny do 4 kapitol:

1.     Používané pojmy (Use of terms)

2.       Opatření, která mají být přijata na vnitrostátní úrovni (Measures to be taken at the national level)

3.     Mezinárodní spolupráce (International Co-operation)

4.     Závěrečná ustanovení (Final provisions)

Významným krokem ke sjednocení práva je definování čtyř základních skupin trestných činů (viz kap. II; čl. 2 – 13) a zakotvení dalších obecných institutů z trestního práva hmotného. Právě jednotné definování (pojmenování) kybernetických útoků umožní jejich efektivnější stíhání v zemích, které Úmluvu o kyberkriminalitě ratifikovaly. Konkrétně se jedná o:

Z hlediska obecných hmotněprávních principů je dále definována trestněprávní odpovědnost za pokus a účastenství (Attempt and aiding or abetting. Čl. 11)[4] a trestněprávní odpovědnost právnické osoby (Corporate liability)[5] za trestný čin podle Úmluvy o kyberkriminalitě.

3.1.2    Dodatkový protokol Rady Evropy č. 189 k Úmluvě o kyberkriminalitě

Dodatkový protokol Rady Evropy č. 189 k Úmluvě o kyberkriminalitě[6], který byl přijat 28. ledna 2003[7], definuje okruh trestných činů, jimž se Úmluva o kyberkriminalitě nevěnuje. V Úmluvě o kyberkriminalitě chybí trestné činy, které spočívají v šíření určitého „závadného materiálu“.[8] Dodatkový protokol vymezuje trestné činy, jež spočívají především v šíření materiálů s obsahem rasistickým, xenofobním, či jinak projevujícím rasovou nesnášenlivost. Důvodem nezařazení předmětných trestných činů do Úmluvy o kyberkriminalitě bylo zejména podepsání a následné přijetí Úmluvy o kyberkriminalitě ze strany USA.[9]

Dodatkový protokol se skládá z preambule a 16 článků, které jsou rozděleny do 4 kapitol:

1.     Obecná ustanovení (Common provisions)

2.     Opatření, která mají být přijata na vnitrostátní úrovni (Measures to be taken at the national level)

3.     Vztah mezi Úmluvou o kyberkriminalitě a Dodatkovým protokolem (Relations between the Convention and this Protocol)

4.     Závěrečná ustanovení (Final provisions)

V kapitole první je upraven účel Dodatkového protokolu a je zde vymezen pojem – rasistický a xenofobní materiál. Dle čl. 1 odst. 1 Dodatkového protokolu se rasistickým a xenofobním materiálem rozumí „jakýkoli písemný materiál, obraz nebo jiné vyjádření myšlenek nebo teorií, který obhajuje, podporuje nebo podněcuje nenávist, diskriminaci nebo násilí, proti jakémukoli jednotlivci nebo skupině jednotlivců, na základě rasy, barvy pleti, rodového nebo národního nebo etnického původu, jakož i náboženství, pokud je použito jako záminka namísto nějakého z těchto atributů.“

3.1.3    Dokumenty EU/ES sloužící k harmonizaci právních úprav při potírání kybernetické trestné činnosti

Zejména díky specifičnosti spočívající v neohraničenosti kyberkriminality a potřebě efektivní mezinárodní spolupráce se EU snaží sblížit právní úpravu jednotlivých členských států tak, aby bylo možné tento negativní jev účinněji postihovat. Prostředkem pro sbližování práva jednotlivých zemí EU jsou především rámcová rozhodnutí, směrnice, a další dokumenty EU/ES. Z pohledu boje s kyberkriminalitou jsou nejvýznamnějšími následující dokumenty:

• Směrnice Rady 91/250/EHS o právní ochraně počítačových programů
• Rozhodnutí Rady 92/242/EHS o bezpečnosti informačních systémů
• Směrnice Evropského parlamentu a Rady č. 98/34/ES o postupu při poskytování informací v oblasti norem a technických předpisů ve znění směrnice č. 98/48/ES
• Směrnice č. 2000/31/ES o některých právních aspektech služeb informační společnosti, zejména elektronického obchodu, na vnitřním trhu („směrnice o elektronickém obchodu“)
• Rámcové rozhodnutí Rady 2000/375/JHA o boji proti dětské pornografii na internetu
• Rámcové rozhodnutí Rady 2001/413/SVV o potírání podvodů a padělání bezhotovostních platebních prostředků
• Směrnice Evropského parlamentu a Rady č. 2002/21/EC o společném regulačním rámci pro sítě a služby elektronických komunikací (rámcová směrnice)
• Směrnice Evropského parlamentu a Rady č. 2002/19/EC o přístupu k sítím elektronických komunikací a přidruženým zařízením a o jejich propojení (přístupová směrnice)
• Směrnice Evropského parlamentu a Rady č. 2002/20/EC o oprávnění pro sítě a služby elektronických komunikací (autorizační směrnice)
• Směrnice Evropského parlamentu a Rady č. 2002/22/EC o universální službě a uživatelských právech týkajících se sítí a služeb elektronických komunikací (směrnice o universální službě)
• Směrnice Evropského parlamentu a Rady 2002/58/EC  týkající se zpracovávání osobních údajů a ochrany soukromí v oblasti elektronických komunikací (směrnice o ochraně údajů v elektronických komunikacích)
• Směrnice Komise č. 2002/77/ES o hospodářské soutěži na trzích s elektronickými komunikačními sítěmi a službami (soutěžní směrnice)
• Rámcové rozhodnutí Rady EU č. 2002/584/JHA o evropském zatýkacím rozkazu a postupech předávání mezi členskými státy
• Rámcové rozhodnutí Rady 2004/68/SVV o boji proti pohlavnímu vykořisťování dětí a dětské pornografii
• Rámcové rozhodnutí Rady 2005/222/SVV o útocích proti informačním systémům
• Sdělení Komise Evropskému parlamentu, Radě, Hospodářskému a sociálnímu výboru a Výboru regionů - Boj proti spamu a špionážnímu („spyware“) a škodlivému softwaru („malicious software“) ze dne 15. 11. 2006
• Sdělení Komise Evropskému Parlamentu, Radě a Evropskému výboru regionů k obecné politice v boji proti počítačové kriminalitě ze dne 22. 5. 2007
• Závěry Rady o společné pracovní strategii a konkrétních opatřeních v oblasti boje proti počítačové trestné činnosti ze dne 27. 11. 2008
• Sdělení Komise Evropskému Parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a výboru regionů o ochraně kritické informační infrastruktury „Ochrana Evropy před rozsáhlými počítačovými útoky a narušením: zvyšujeme připravenost, bezpečnost a odolnost“ ze dne 30. 3. 2009
• Sdělení komise Radě a Evropskému parlamentu, Řešení trestné činnosti v digitálním věku: zřízení Evropského centra pro boj proti kyberkriminalitě. 2012
• Nařízení Evropského parlamentu a Rady (EU) č. 526/2013, o Agentuře Evropské unie pro bezpečnost sítí a informací (ENISA) a o zrušení nařízení (ES) č. 460/2004, ze dne 21. května 2013
• Směrnice Evropského parlamentu a Rady 2013/40/EU, o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV, ze dne 12. srpna 2013
• Nařízení Evropského parlamentu a Rady (EU) č. 513/2014, kterým se jako součást Fondu pro vnitřní bezpečnost zřizuje nástroj pro finanční podporu policejní spolupráce, předcházení trestné činnosti, boje proti trestné činnosti a řešení krizí a zrušuje rozhodnutí Rady 2007/125/SVV, ze dne 16. dubna 2014
• Nařízení Evropského parlamentu a Rady (EU) č. 910/2014, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES, ze dne 23. července 2014 (eIDAS, resp. Nařízení eIDAS)
• Nařízení Evropského parlamentu a Rady (EU) 2016/794, o Agentuře Evropské unie pro spolupráci v oblasti prosazování práva (Europol) a o zrušení a nahrazení rozhodnutí 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV, ze dne 11. května 2016
• Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
• Směrnice Evropského parlamentu a Rady (EU) 2016/1148, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, ze dne 6. července 2016 (NIS Directive)[10]
• Závěry Rady o společné pracovní strategii a konkrétních opatřeních v oblasti boje proti počítačové trestné činnosti ze dne 27. listopadu 2008
• Sdělení Komise Evropskému Parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a výboru regionů o ochraně kritické informační infrastruktury „Ochrana Evropy před rozsáhlými počítačovými útoky a narušením: zvyšujeme připravenost, bezpečnost a odolnost“ ze dne 30. 3. 2009[11]

3.1.4    Právní normy České republiky

V souvislosti s kybernetickou trestnou činností a kybernetickou bezpečností je třeba uvést i právní normy ČR, které mají bezprostřední vztah k této problematice:

• Zákon č. 40/2009 Sb., trestní zákoník
• Zákon č. 141/1961 Sb., o trestním řízení soudním
• Zákon č. 218/2003 Sb., zákon o soudnictví ve věcech mládeže
• Zákon č. 121/2000 Sb., autorský zákon
• Zákon č. 127/2005 Sb., o elektronických komunikacích
• Zákon č. 480/2004 Sb., o některých službách informační společnosti
• Zákon č. 273/2008 Sb., o Policii České republiky
• Zákon č. 89/2012 Sb., občanský zákoník
• Zákon č. 110/2019 Sb., o zpracování osobních údajů
• Zákon č. 14/1993 Sb., o opatřeních na ochranu průmyslového vlastnictví
• Zákon č. 441/2003 Sb., o ochranných známkách
• Zákon č. 527/1990 Sb., o vynálezech, průmyslových vzorech a zlepšovacích návrzích
• Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů
• Zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce
• Zákon č. 160/1999 Sb., o svobodném přístupu k informacím
• Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)

3.1.5    Právní normy Polska

-       FIX ME

3.1.6    Právní normy Portugalska

-       FIX ME