2 Rådsdirektiv 2008/114/EF av 8. desember 2008 om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre
RÅDET DET FOR DEN EUROPEISKE UNION HAR —
under henvisning til traktaten om opprettelse av Det europeiske fellesskap, særlig artikkel 308,
under henvisning til forslag fra Kommisjonen,
under henvisning til uttalelse fra Europaparlamentet1,
under henvisning til uttalelse fra Den europeiske sentralbank2 og
ut fra følgende betraktninger:
1) I juni 2004 anmodet Det europeiske råd om at det skulle utarbeides en overordnet strategi for å beskytte kritisk infrastruktur. Som reaksjon på dette vedtok Kommisjonen 20. oktober 2004 en melding om beskyttelse av kritisk infrastruktur i kampen mot terrorisme, med forslag til hvordan EU kan forbedre forebyggingen av, beredskapen i forbindelse med og reaksjonen på terrorangrep som påvirker kritisk infrastruktur.
2) 17. november 2005 vedtok Kommisjonen en grønnbok om et europeisk program for beskyttelse av kritisk infrastruktur der det redegjøres for de politiske mulighetene for å opprette programmet og et informasjons- og varslingsnettverk i forbindelse med til kritisk infrastruktur. I reaksjonene på grønnboken ble merverdien av en fellesskapsramme for beskyttelse av kritisk infrastruktur framhevet. Det ble bekreftet at det er behov for å øke kapasiteten for å beskytte kritisk infrastruktur i Europa og for å bidra til å gjøre kritisk infrastruktur mindre sårbar. Betydningen av de viktige prinsippene om nærhet, forholdsmessighet og komplementaritet samt av dialog med berørte parter ble framhevet.
3) I desember 2005 oppfordret Rådet for justis- og innenrikssaker Kommisjonen til å framlegge et forslag til et europeisk program for beskyttelse av kritisk infrastruktur («EPCIP») og besluttet at det skulle omfatte alle former for farer, men terrortrusler skulle prioriteres. Det bør tas hensyn til menneskeskapte og teknologiske trusler, samt naturkatastrofer i forbindelse med beskyttelsen av kritisk infrastruktur, men terrortrusselen bør prioriteres.
4) I april 2007 vedtok Rådet konklusjoner om EPCIP der det gjentok at medlemsstatene har det endelige ansvaret for forvaltningen av ordninger for å beskytte kritisk infrastruktur innenfor de nasjonale grensene, samtidig som det var positivt innstilt til Kommisjonens anstrengelser for å utarbeide en europeisk framgangsmåte for identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre.
5) Dette direktiv utgjør et første steg i en trinnvis tilnærming for å identifisere og utpeke europeisk kritisk infrastruktur og vurdere behovet for å beskytte den bedre. Dette direktiv er derfor rettet mot energi- og transportsektoren og bør gjennomgås for å vurdere dets virkning samt behovet for å innlemme andre sektorer i dets virkeområde, blant annet sektoren for informasjons- og kommunikasjonsteknologi («IKT»).
6) Hovedansvaret og det endelige ansvaret for å beskytte europeisk kritisk infrastruktur hviler på medlemsstatene og eierne/operatørene av infrastrukturen.
7) Det finnes et visst antall kritiske infrastrukturer i Fellesskapet som ved driftsforstyrrelse eller ødeleggelse ville få betydelige følger over landegrensene. Dette kan omfatte følger på tvers av landegrenser og sektorer på grunn av gjensidig avhengighet mellom sammenkoblede infrastrukturer. Europeisk kritisk infrastruktur av denne typen bør identifiseres og utpekes gjennom en felles framgangsmåte. Vurderingen av sikkerhetskrav for denne typen infrastruktur bør skje i tråd med en tilnærming med felles minstestandard. Bilaterale samarbeidsordninger mellom medlemsstatene på området beskyttelse av kritisk infrastruktur utgjør et veletablert og effektivt middel til å håndtere kritisk infrastruktur som går på tvers av landegrensene. EPCIP bør bygge på slikt samarbeid. Opplysninger i forbindelse med utpekingen av en bestemt infrastruktur som europeisk kritisk infrastruktur bør graderes på egnet nivå i samsvar med gjeldende fellesskapsregelverk og lovgivning i medlemsstatene.
8) Ettersom de ulike sektorene har særlig erfaring og ekspertise og særlige krav i forbindelse med beskyttelse av kritisk infrastruktur, bør det utarbeides og gjennomføres en fellesskapstilnærming til beskyttelse av kritisk infrastruktur som tar hensyn til sektorenes særtrekk og eksisterende sektorbaserte tiltak, herunder slike som allerede foreligger på fellesskapsplan, på nasjonalt eller regionalt plan og, der det er relevant, allerede inngåtte avtaler mellom eiere/operatører av kritisk infrastruktur om gjensidig bistand på tvers av landegrensene. Ettersom privat sektor spiller en svært viktig rolle i forbindelse med overvåking og håndtering av risiko, planer for fortsettelse av driften og gjenoppretting etter katastrofer, må Fellesskapets strategi oppmuntre til fullt engasjement fra privat sektor.
9) Når det gjelder energisektoren og særlig metodene for produksjon og transport av elektrisk kraft (med sikte på forsyning av elektrisk kraft), kan produksjon av elektrisk kraft når det anses hensiktsmessig, omfatte kjernekraftverks deler for transport av elektrisk kraft, men ikke de særskilte aspektene som omfattes av relevant regelverk om kjernekraft, herunder traktater og fellesskapsretten.
10) Dette direktiv utfyller eksisterende sektortiltak på fellesskapsplan og i medlemsstatene. Der det allerede foreligger fellesskapsordninger, bør disse fortsatt anvendes, og de vil bidra til å sikre en allmenn gjennomføring av dette direktiv. Overlapping eller motstrid mellom ulike rettsakter eller bestemmelser bør unngås.
11) Sikkerhetsplaner for operatører eller tilsvarende tiltak som omfatter en identifisering av viktige anlegg, en risikovurdering og identifisering, utvelgelse og prioritering av mottiltak og framgangsmåter, bør foreligge for all utpekt europeisk kritisk infrastruktur. For å unngå unødvendig arbeid og dobbeltarbeid bør hver medlemsstat først vurdere om eierne/operatørene av utpekt europeisk kritisk infrastruktur har relevante sikkerhetsplaner for operatører eller lignende tiltak. Dersom slike planer ikke foreligger, bør hver medlemsstat ta de nødvendige skritt for å sikre at egnede tiltak iverksettes. Det er opp til hver enkelt medlemsstat å avgjøre hva som er den best egnede formen for tiltak med sikte på å utforme sikkerhetsplaner for operatører.
12) Tiltak, prinsipper, retningslinjer, herunder fellesskapstiltak, samt bilaterale og/eller multilaterale samarbeidsordninger som innebærer en plan som ligner eller tilsvarer en sikkerhetsplan for operatører, eller bestemmelser om en sambandsansvarlig eller tilsvarende, bør anses å oppfylle kravene i dette direktiv i forbindelse med henholdsvis sikkerhetsplanen for operatører eller den sambandsansvarlige.
13) Sambandsansvarlige bør identifiseres for all utpekt europeisk kritisk infrastruktur for å lette samarbeid og kommunikasjon med relevante nasjonale myndigheter med ansvar for beskyttelse av kritisk infrastruktur. For å unngå unødvendig arbeid og dobbeltarbeid bør hver medlemsstat først vurdere om eierne/operatørene av utpekt europeisk kritisk infrastruktur allerede har en sambandsansvarlig eller tilsvarende. Dersom en slik sambandsansvarlig ikke foreligger, bør hver medlemsstat ta de nødvendige skritt for å sikre at egnede tiltak iverksettes. Det er opp til hver enkelt medlemsstat å avgjøre hva som er den best egnede formen for tiltak med sikte på å utnevne sambandsansvarlige.
14) Effektiv identifisering av risikoer, trusler og sårbarhet i de enkelte sektorer krever kommunikasjon både mellom eiere/operatører av europeisk kritisk infrastruktur og medlemsstatene, og mellom medlemsstatene og Kommisjonen. Hver medlemsstat bør samle inn opplysninger om europeisk kritisk infrastruktur på sitt eget territorium. Kommisjonen bør motta fra medlemsstatene allmenne opplysninger om risikoer, trusler og sårbarhet i sektorer der europeisk kritisk infrastruktur er identifisert, herunder der det er relevant, opplysninger om mulige forbedringer i europeisk kritisk infrastruktur og om avhengighet mellom sektorer, som kunne danne grunnlag for å utarbeide særskilte forslag fra Kommisjonen om ved behov å forbedre beskyttelsen av europeisk kritisk infrastruktur.
15) For å gjøre det lettere å forbedre beskyttelsen av europeisk kritisk infrastruktur kan det utarbeides felles metoder for å identifisere og klassifisere risikoer, trusler og sårbarhet i forbindelse med infrastrukturanlegg.
16) Eiere/operatører av europeisk kritisk infrastruktur bør ha adgang først og fremst gjennom relevante myndigheter i medlemsstatene til beste praksis og de beste metoder med hensyn til beskyttelse av kritisk infrastruktur.
17) Effektiv beskyttelse av europeisk kritisk infrastruktur krever kommunikasjon, samordning og samarbeid på nasjonalt plan og fellesskapsplan. Dette oppnås best ved at det utpekes kontaktpunkter for beskyttelse av europeisk kritisk infrastruktur («ECIP-kontaktpunkter») i hver medlemsstat, som bør samordne saker knyttet til europeisk kritisk infrastruktur internt, samt med andre medlemsstater og Kommisjonen.
18) For å utvikle virksomhet i forbindelse med beskyttelse av europeisk kritisk infrastruktur på områder som krever en viss grad av fortrolighet, er det hensiktsmessig å sikre en sammenhengende og sikker utveksling av opplysninger innenfor rammen av dette direktiv. Det er viktig at reglene for fortrolighet i henhold til gjeldende nasjonal lovgivning eller europaparlaments og rådsforordning (EF) nr. 1049/2001 av 30. mai 2001 om offentlig tilgang til Europaparlamentets, Rådets og Kommisjonens dokumenter3 overholdes med hensyn til særlige opplysninger om kritiske infrastrukturanlegg, som kan brukes til å planlegge og handle med sikte på å forårsake uakseptable følger for kritisk infrastruktur. Graderte opplysninger bør beskyttes i samsvar med relevant fellesskapsregelverk og medlemsstatenes lovgivning. Hver medlemsstat og Kommisjonen bør respektere den relevante sikkerhetsklassifiseringen som er gitt av dokumentets opphavsmann.
19) Utveksling av opplysninger om europeisk kritisk infrastruktur bør finne sted i en atmosfære preget av tillit og sikkerhet. Utvekslingen av opplysninger krever et forhold preget av tillit slik at selskaper og organisasjoner vet at deres følsomme og fortrolige opplysninger vil bli tilstrekkelig beskyttet.
20) Ettersom målene for dette direktiv, som er å utarbeide en framgangsmåte for å identifisere og utpeke europeisk kritisk infrastruktur samt en felles tilnærming til vurderingen av behovet for å forbedre beskyttelsen av slik infrastruktur, ikke kan nås i tilstrekkelig grad av medlemsstatene og derfor på grunn av tiltakets omfang bedre kan nås på fellesskapsplan, kan Fellesskapet treffe tiltak i samsvar med nærhetsprinsippet som fastsatt i traktatens artikkel 5. I samsvar med forholdsmessighetsprinsippet fastsatt i nevnte artikkel går dette direktiv ikke lenger enn det som er nødvendig for å nå disse målene.
21) I dette direktiv respekteres de grunnleggende rettigheter og overholdes de prinsipper som er nedfelt blant annet i Den europeiske unions pakt om grunnleggende rettigheter,
— VEDTATT DETTE DIREKTIV:
Artikkel 1
Formål
I dette direktiv fastsettes en framgangsmåte for å identifisere og utpeke europeisk kritisk infrastruktur, samt en felles tilnærming til vurderingen av behovet for å forbedre beskyttelsen av slik infrastruktur for å bidra til å beskytte mennesker.
Artikkel 2
Definisjoner
I dette direktiv menes med:
a) «kritisk infrastruktur» anlegg, systemer eller deler av slike som befinner seg i medlemsstatene og er avgjørende for å opprettholde viktige samfunnsfunksjoner og menneskers helse, sikkerhet og økonomiske eller sosiale velferd, og som ved driftsforstyrrelse eller ødeleggelse ville få betydelige følger for en medlemsstat som følge av at disse funksjonene ikke opprettholdes,
b) «europeisk kritisk infrastruktur» kritisk infrastruktur som befinner seg i medlemsstatene og som ved driftsforstyrrelse eller ødeleggelse ville få betydelige følger for minst to medlemsstater. Betydningen av følgene skal vurderes ut fra sektorovergripende kriterier. Dette omfatter virkninger av avhengighet på tvers av sektorene av andre typer infrastruktur,
c) «risikoanalyse» vurdering av relevante trusselbilder for å vurdere sårbarhet og mulig virkning av driftsforstyrrelser i eller ødeleggelse av kritisk infrastruktur,
d) «følsomme opplysninger om beskyttelse av kritisk infrastruktur» opplysninger om kritisk infrastruktur som dersom de avsløres, kan anvendes til å planlegge og handle med sikte på å skape driftsforstyrrelse eller ødelegge kritisk infrastruktur,
e) «beskyttelse» all virksomhet rettet mot å sikre kritisk infrastrukturs funksjonalitet, kontinuitet og integritet for å avskrekke, bøte på og nøytralisere en trussel, risiko eller sårbarhet,
f) «eiere/operatører av europeisk kritisk infrastruktur» enheter som har ansvar for investeringer i og/eller daglig drift av et bestemt anlegg eller et bestemt system, eller deler av det, som er utpekt som en europeisk kritisk infrastruktur i henhold til dette direktiv.
Artikkel 3
Identifisering av europeisk kritisk infrastruktur
1. I henhold til framgangsmåten i vedlegg III skal hver medlemsstat identifisere mulig europeisk kritisk infrastruktur som både oppfyller sektorovergripende og sektorspesifikke kriterier og tilsvarer definisjonen i artikkel 2 bokstav a) og b).
Kommisjonen kan på anmodning fra medlemsstatene bistå dem i å identifisere mulig europeisk kritisk infrastruktur.
Kommisjonen kan gjøre relevante medlemsstater oppmerksomme på at det foreligger mulig kritisk infrastruktur som kan anses å oppfylle kravene for å bli utpekt som europeisk kritisk infrastruktur.
Hver medlemsstat og Kommisjonen skal fortløpende fortsette identifiseringen av mulig europeisk kritisk infrastruktur.
2. De sektorovergripende kriteriene nevnt i nr. 1 skal omfatte følgende:
a) Kriteriet som gjelder ofre (en vurdering av det potensielle antall døde eller skadde).
b) Kriteriet som gjelder økonomiske virkninger (en vurdering av størrelsen av økonomisk tap og/eller forringelse av varer eller tjenester, herunder mulige miljøvirkninger).
c) Kriteriet som gjelder innvirkning på allmennheten (en vurdering av virkningen på allmennhetens tillit, fysiske plager og forstyrrelse av det daglige liv, herunder bortfall av viktige tjenester).
Terskelverdiene for de sektorovergripende kriteriene skal bygge på hvor alvorlige følgene er av driftsavbruddet eller ødeleggelsen av en bestemt infrastruktur. De nøyaktige terskelverdiene som skal gjelde for de sektorovergripende kriteriene, skal fastsettes i den enkelte sak av de medlemsstater som berøres av en bestemt kritisk infrastruktur. Hver medlemsstat skal årlig underrette Kommisjonen om antall infrastrukturer per sektor som har vært gjenstand for drøfting med hensyn til terskelverdier for sektorovergripende kriterier.
De sektorspesifikke kriteriene skal ta hensyn til de enkelte sektorer med europeisk kritisk infrastruktur.
Kommisjonen skal sammen med medlemsstatene utarbeide retningslinjer for anvendelsen av sektorovergripende og sektorspesifikke kriterier og omtrentlige terskelverdier som skal anvendes for å identifisere europeisk kritisk infrastruktur. Kriteriene skal klassifiseres. Medlemsstatene kan fritt velge om de vil anvende slike retningslinjer.
3. De sektorene hvor dette direktiv skal gjennomføres, skal være energi- og transportsektorene. Undersektorene er angitt i vedlegg I.
Dersom det anses hensiktsmessig, kan det i forbindelse med gjennomgåelsen av dette direktiv som fastsatt i artikkel 11 identifiseres ytterligere sektorer der gjennomføringen av dette direktiv skal iverksettes. IKT-sektoren skal prioriteres.
Artikkel 4
Utpeking av europeisk kritisk infrastruktur
1. Hver medlemsstat skal underrette de øvrige medlemsstater som kan bli betydelig påvirket av en mulig europeisk kritisk infrastruktur, om dens identitet og om grunnene til at den utpekes som en mulig europeisk kritisk infrastruktur.
2. Hver medlemsstat som på sitt territorium har en mulig europeisk kritisk infrastruktur, skal delta i bilaterale og/eller multilaterale drøftinger med de øvrige medlemsstater som kan bli betydelig påvirket av denne infrastrukturen. Kommisjonen kan delta i disse drøftingene, men skal ikke ha tilgang til nærmere opplysninger som vil muliggjøre en utvetydig identifisering av en bestemt infrastruktur.
En medlemsstat som har grunn til å tro at den kan bli betydelig påvirket av en mulig europeisk kritisk infrastruktur, men som ikke er identifisert som sådan av den medlemsstat på hvis territorium denne infrastrukturen befinner seg, kan underrette Kommisjonen om at den ønsker å delta i bilaterale og/eller multilaterale drøftinger om saken. Kommisjonen skal uten opphold formidle dette ønsket til den medlemsstat på hvis territorium den mulige europeiske kritiske infrastrukturen befinner seg, og bestrebe seg på å fremme en avtale mellom partene.
3. Medlemsstaten på hvis territorium en mulig europeisk kritisk infrastruktur befinner seg, skal utpeke den som en europeisk kritisk infrastruktur etter at en avtale er inngått mellom denne medlemsstaten og de medlemsstater som kan bli betydelig berørt.
Det kreves godkjenning fra den medlemsstat på hvis territorium infrastrukturen som skal utpekes som europeisk kritisk infrastruktur, befinner seg.
4. Den medlemsstat på hvis territorium en utpekt europeisk kritisk infrastruktur befinner seg, skal årlig underrette Kommisjonen om antall utpekte europeiske kritiske infrastrukturer per sektor og antall medlemsstater som er avhengig av hver utpekt europeisk kritisk infrastruktur. Bare de medlemsstater som kan bli betydelig påvirket av en europeisk kritisk infrastruktur, skal kjenne til dens identitet.
5. De medlemsstater på hvis territorium en europeisk kritisk infrastruktur befinner seg, skal underrette eieren/operatøren av infrastrukturen om at den er utpekt som europeisk kritisk infrastruktur. Opplysninger om utpekingen av en infrastruktur som europeisk kritisk infrastruktur skal graderes på egnet nivå.
6. Identifiseringen og utpekingen av europeisk kritisk infrastruktur i henhold til artikkel 3 og denne artikkel skal fullføres innen 12. januar 2011 og regelmessig gjennomgås.
Artikkel 5
Sikkerhetsplaner for operatører
1. Ved hjelp av framgangsmåten for utarbeiding av sikkerhetsplaner for operatører skal det identifiseres kritiske infrastrukturanlegg i den europeiske kritiske infrastrukturen og hvilke sikkerhetsløsninger som foreligger eller gjennomføres for å beskytte dem. Minstekrav til innholdet i sikkerhetsplaner for operatører av europeisk kritisk infrastruktur angis i vedlegg II.
2. Hver medlemsstat skal vurdere om hver utpekt europeisk kritisk infrastruktur som befinner seg på dens territorium, har en sikkerhetsplan for operatører eller har satt i verk tilsvarende tiltak for å behandle spørsmålene som angis i vedlegg II. Dersom en medlemsstat fastslår at en sikkerhetsplan for operatører eller en tilsvarende plan foreligger og ajourføres regelmessig, kreves ingen ytterligere gjennomføringstiltak.
3. Dersom en medlemsstat fastslår at en sikkerhetsplan for operatører eller en tilsvarende plan ikke er utarbeidet, skal den med alle midler den anser som egnet, sikre at sikkerhetsplanen for operatører eller en tilsvarende plan utarbeides for å behandle spørsmålene som angis i vedlegg II.
Hver medlemsstat skal sikre at sikkerhetsplanen for operatører eller en tilsvarende plan foreligger og gjennomgås regelmessig, innen ett år etter at den kritiske infrastrukturen er utpekt som europeisk kritisk infrastruktur. Dette tidsrommet kan forlenges i unntakstilfeller, gjennom avtale med medlemsstatens myndighet og med en underretning til Kommisjonen.
4. Dersom det allerede foreligger ordninger for overvåking eller tilsyn i forbindelse med en europeisk kritisk infrastruktur, berøres disse ordningene ikke av denne artikkel, og medlemsstatens relevante myndighet nevnt i denne artikkel skal fungere som tilsynsmyndighet med hensyn til de eksisterende ordningene.
5. Ved overholdelse av tiltak, herunder fellesskapstiltak, som i en bestemt sektor krever eller viser til et behov for å ha en plan som ligner eller tilsvarer en sikkerhetsplan for operatører, og overvåking av en slik plan foretatt av den relevante myndighet, anses alle krav til medlemsstater som finnes i eller er vedtatt i henhold til denne artikkel, som oppfylt. Retningslinjene for anvendelse nevnt i artikkel 3 nr. 2 skal inneholde en veiledende liste over slike tiltak.
Artikkel 6
Sambandsansvarlige
1. Den sambandsansvarlige skal fungere som kontaktpunktet for spørsmål om sikkerhet mellom eieren/operatøren av europeisk kritisk infrastruktur og medlemsstatens relevante myndighet.
2. Hver medlemsstat skal vurdere om hver utpekt europeisk kritisk infrastruktur som befinner seg på dens territorium, har en sambandsansvarlig eller tilsvarende. Dersom en medlemsstat fastslår at en sambandsansvarlig eller tilsvarende finnes, kreves ingen ytterligere gjennomføringstiltak.
3. Dersom en medlemsstat fastslår at en sambandsansvarlig eller tilsvarende ikke finnes i forbindelse med en utpekt europeisk kritisk infrastruktur, skal den med ethvert middel den anser som egnet, sikre at det blir utpekt en sambandsansvarlig eller tilsvarende.
4. Hver medlemsstat skal innføre en egnet kommunikasjonsordning mellom medlemsstatens relevante myndighet og den sambandsansvarlige eller tilsvarende, med sikte på å utveksle relevante opplysninger om påviste risikoer og trusler i forbindelse med den berørte europeiske kritiske infrastrukturen. Denne kommunikasjonsordningen skal ikke berøre nasjonale krav om tilgang til følsomme og graderte opplysninger.
5. Ved overholdelse av tiltak, herunder fellesskapstiltak, som i en bestemt sektor krever eller viser til et behov for å ha en sambandsansvarlig eller tilsvarende, anses alle krav til medlemsstater som finnes i eller er vedtatt i henhold til denne artikkel, som oppfylt. Retningslinjene for anvendelse nevnt i artikkel 3 nr. 2 skal inneholde en veiledende liste over slike tiltak.
Artikkel 7
Rapportering
1. Hver medlemsstat skal foreta en vurdering av trusselbildet i forbindelse med undersektorer med europeisk kritisk infrastruktur innen ett år etter at en kritisk infrastruktur på dens territorium er utpekt som europeisk kritisk infrastruktur i disse undersektorene.
2. Hver medlemsstat skal hvert annet år kortfattet rapportere til Kommisjonen allmenne opplysninger, oppdelt etter sektor med europeisk kritisk infrastruktur, om de typer av risikoer, trusler og sårbarhet som er påvist i de sektorer der det i henhold til artikkel 4 er utpekt en europeisk kritisk infrastruktur på dens territorium.
En felles mal for disse rapportene kan utarbeides av Kommisjonen i samarbeid med medlemsstatene.
Hver rapport skal graderes på et egnet nivå ut fra det opprinnelsesmedlemsstaten anser som nødvendig.
3. På grunnlag av rapportene nevnt i nr. 2 skal Kommisjonen og medlemsstatene foreta en sektorvis vurdering av om det bør overveies å innføre ytterligere beskyttelsestiltak på fellesskapsplan for europeisk kritisk infrastruktur. Dette skal skje i forbindelse med gjennomgåelsen av dette direktiv som fastsatt i artikkel 11.
4. Kommisjonen kan i samarbeid med medlemsstatene utarbeide felles metodologiske retningslinjer for gjennomføring av risikoanalyser av europeisk kritisk infrastruktur. Medlemsstatene kan fritt velge om de vil anvende slike retningslinjer.
Artikkel 8
Støtte fra Kommisjonen til europeisk kritisk infrastruktur
Kommisjonen skal gjennom medlemsstatens relevante myndighet støtte eierne/operatørene av utpekt europeisk kritisk infrastruktur ved å skaffe tilgang til tilgjengelig beste praksis og metoder samt støtte opplæring og utveksling av opplysninger om ny teknisk utvikling i forbindelse med beskyttelse av kritisk infrastruktur.
Artikkel 9
Følsomme opplysninger om beskyttelse av europeisk kritisk infrastruktur
1. Enhver person som håndterer graderte opplysninger i henhold til dette direktiv på vegne av en medlemsstat eller Kommisjonen, skal være sikkerhetsklarert på egnet nivå.
Medlemsstatene, Kommisjonen og relevante tilsynsorganer skal sikre at følsomme opplysninger om beskyttelse av europeisk kritisk infrastruktur som oversendes til medlemsstatene eller til Kommisjonen, ikke anvendes for noe annet formål enn beskyttelse av kritisk infrastruktur.
2. Denne artikkel får også anvendelse for ikke-skriftlige opplysninger som utveksles under møter der følsomme emner drøftes.
Artikkel 10
Kontaktpunkter for beskyttelse av europeisk kritisk infrastruktur
1. Hver medlemsstat skal utpeke et kontaktpunkt for beskyttelse av europeisk kritisk infrastruktur («ECIP-kontaktpunkt»).
2. ECIP-kontaktpunktene skal samordne spørsmål som gjelder beskyttelse av europeisk kritisk infrastruktur i medlemsstaten, med andre medlemsstater og med Kommisjonen. Utpekingen av et ECIP-kontaktpunkt er ikke til hinder for at andre myndigheter i en medlemsstat engasjerer seg i spørsmål som gjelder beskyttelse av europeisk kritisk infrastruktur.
Artikkel 11
Gjennomgåelse
En gjennomgåelse av dette direktiv skal begynne 12. januar 2012.
Artikkel 12
Gjennomføring
Medlemsstatene skal treffe de tiltak som er nødvendige for å etterkomme dette direktiv, innen 12. januar 2011. De skal umiddelbart underrette Kommisjonen om dette og oversende teksten til disse bestemmelsene samt vise sammenhengen mellom dem og dette direktiv.
Disse bestemmelsene skal, når de vedtas av medlemsstatene, inneholde en henvisning til dette direktiv, eller det skal vises til direktivet når de kunngjøres. Nærmere regler for henvisningen fastsettes av medlemsstatene.
Artikkel 13
Ikrafttredelse
Dette direktiv trer i kraft den 20. dag etter at det er kunngjort i Den europeiske unions tidende.
Artikkel 14
Adressater
Dette direktiv er rettet til medlemsstatene.
Utferdiget i Brussel, 12. desember 2007.
For Rådet
Formann
B. KOUCHNER
Vedlegg I
Liste over sektorer med europeisk kritisk infrastruktur
| Sektor | Undersektor | |
|---|---|---|
| I Energi | 1. Elektrisk kraft | Infrastruktur og anlegg for produksjon og transport av elektrisk kraft med sikte på forsyning av elektrisk kraft |
| 2. Olje | Produksjon, raffinering, behandling og lagring av olje samt overføring av olje gjennom rørledninger | |
| 3. Gass | Produksjon, raffinering, behandling og lagring av gass samt overføring av gass gjennom rørledningerLNG-terminaler | |
| II Transport | 4. Veitransport | |
| 5. Jernbanetransport | ||
| 6. Lufttransport | ||
| 7. Transport på innlandsvannveier | ||
| 8. Sjøfart og nærskipsfart og havner | ||
Medlemsstatene skal i henhold til artikkel 3 identifisere kritisk infrastruktur som kan klassifiseres som europeisk kritisk infrastruktur. Listen over sektorer med europeisk kritisk infrastruktur medfører derfor ikke i seg selv en forpliktelse til å utpeke en europeisk kritisk infrastruktur i hver sektor.
Vedlegg II
Framgangsmåte for utarbeiding av sikkerhetsplaner for operatører av europeisk kritisk infrastruktur
Sikkerhetsplanen for operatører skal identifisere kritiske infrastrukturanlegg og hvilke sikkerhetsløsninger som foreligger eller gjennomføres for å beskytte dem. Framgangsmåten for utarbeiding av sikkerhetsplaner for operatører av europeisk kritisk infrastruktur skal minst omfatte:
1. identifisering av viktige anlegg,
2. gjennomføring av en risikoanalyse på grunnlag av alvorlige trusselbilder, hvert anleggs sårbarhet og mulige følger, og
3. identifisering, utvelgelse og prioritering av mottiltak og framgangsmåter der det skjelnes mellom
– permanente sikkerhetstiltak, som identifiserer hvilke investeringer og midler som er nødvendige for sikkerheten og relevante å bruke til enhver tid. Denne overskrift omfatter opplysninger om allmenne tiltak som tekniske tiltak (herunder installering av detektorer, adgangskontroll samt beskyttelsesmidler og forebyggende midler), organisatoriske tiltak (herunder framgangsmåter for varsling og krisehåndtering), kontroll og verifiseringstiltak, kommunikasjon; bevisstgjøring og opplæring samt informasjonssystemenes sikkerhet,
– graderte sikkerhetstiltak, som kan aktiveres ut fra varierende risiko og trusselnivåer.
Vedlegg III
Framgangsmåte for medlemsstatenes identifisering i henhold til artikkel 3 av kritisk infrastruktur som kan bli utpekt som europeisk kritisk infrastruktur
Artikkel 3 krever at hver medlemsstat identifiserer kritisk infrastruktur som kan utpekes som europeisk kritisk infrastruktur. Denne framgangsmåten skal gjennomføres av hver medlemsstat gjennom følgende fortløpende trinn.
En mulig europeisk kritisk infrastruktur som ikke oppfyller kravene i ett av følgende fortløpende trinn, anses ikke som europeisk kritisk infrastruktur og omfattes ikke av framgangsmåten. En mulig europeisk kritisk infrastruktur som oppfyller kravene, skal gjennomgå de neste trinnene i framgangsmåten.
Trinn 1
Hver medlemsstat skal anvende sektorkriteriene for å foreta en første utvelgelse av kritisk infrastruktur i en sektor.
Trinn 2
Hver medlemsstat skal anvende definisjonen av kritisk infrastruktur i henhold til artikkel 2 bokstav a) på en mulig europeisk kritisk infrastruktur identifisert i trinn 1.
Betydningen av følgene vil bli fastslått enten ved hjelp av nasjonale metoder for å identifisere kritisk infrastruktur, eller ved henvisning til sektorovergripende kriterier, på et egnet nasjonalt plan. Når det gjelder infrastruktur som leverer en viktig tjeneste, vil det bli tatt hensyn til tilgjengelige alternativer og til varigheten av driftsavbruddet/gjenopprettingen.
Trinn 3
Hver medlemsstat skal anvende det grensekryssende elementet i definisjonen av europeisk kritisk infrastruktur i henhold til artikkel 2 bokstav b) på en mulig europeisk kritisk infrastruktur som har oppfylt kravene i de første to trinnene i denne framgangsmåten. En mulig europeisk kritisk infrastruktur som ikke oppfyller definisjonen, skal gjennomgå det neste trinnet i framgangsmåten. Når det gjelder infrastruktur som leverer en viktig tjeneste, vil det bli tatt hensyn til tilgjengelige alternativer og til varigheten av driftsavbruddet/gjenopprettingen.
Trinn 4
Hver medlemsstat skal anvende de sektorovergripende kriteriene på gjenstående mulig europeisk kritisk infrastruktur. De sektorovergripende kriteriene skal ta hensyn til: hvor alvorlige følgene er, og når det gjelder infrastruktur som leverer en viktig tjeneste, tilgjengelige alternativer samt varigheten av driftsavbruddet/gjenopprettingen. En mulig europeisk kritisk infrastruktur som ikke oppfyller de sektorovergripende kriteriene, skal ikke anses som europeisk kritisk infrastruktur.
En mulig europeisk kritisk infrastruktur som har gjennomgått denne framgangsmåten, skal bare meddeles til de medlemsstater som kan bli betydelig berørt av denne infrastrukturen.