2 Nærmere om direktivet
På bakgrunn av terrorhendelsene i Madrid i 2004 og i London i 2005 igangsatte EU et arbeid for å sikre europeisk kritisk infrastruktur (European Programme for Critical Infrastructure Protection, EPCIP). EPCIP-rammeverket omfatter beskyttelse mot både tilsiktede og utilsiktede uønskede hendelser – menneskeskapte og teknologiske trusler, samt naturkatastrofer (all-hazards approach), men trusselen fra terrorangrep har likevel en uttrykt prioritet. Ett av de viktigste elementene i EPCIP er direktiv 2008/114/EF av 8. desember 2008 om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre (EPCIP-direktivet). EPCIP-direktivet berører i første omgang transport- og energisektoren, men antas å kunne utvides til flere områder, blant annet til informasjons- og kommunikasjonsteknologi (IKT).
Etter EPCIP-direktivets artikkel 3 og 4 skal medlemsstatene identifisere og utpeke europeisk kritisk infrastruktur, dvs. kritisk infrastruktur som befinner seg i medlemsstatene, og hvor driftsforstyrrelse eller ødeleggelse vil få betydelige konsekvenser for to eller flere medlemsstater. Artikkel 3 oppstiller også nærmere kriterier for å identifisere europeisk kritisk infrastruktur (EKI). Disse deles inn i sektorovergripende og sektorspesifikke. Kriteriene som skal vurderes ved identifisering av sektorovergripende kritiske infrastrukturer, er følgene av driftsforstyrrelse eller ødeleggelse i form av
1) mulige ofre, dvs. det potensielle antallet døde eller skadde,
2) økonomiske virkninger og/eller forringelse av varer eller tjenester, herunder mulige miljøvirkninger, og
3) innvirkning på allmennheten, dvs. en vurdering av virkningen på allmennhetens tillit, fysiske plager og forstyrrelse av dagliglivet, herunder bortfall av viktige tjenester.
Sektorene med EKI innenfor transport og energi er nærmere definert i direktivets vedlegg I.
I henhold til direktivets artikkel 5 og 6 skal det for utpekt europeisk kritisk infrastruktur opprettes en operatørsikkerhetsplan og en sikkerhetskontakt i virksomheten. Det presiseres i direktivet (fortalen pkt. 11) at det er den enkelte medlemsstat som selv avgjør hva som vil være den mest hensiktsmessige formen for tiltak med hensyn til utforming av sikkerhetsplaner for operatørene. Utgangspunktet er at hovedansvaret og det endelige ansvaret for å beskytte europeisk kritisk infrastruktur hviler på medlemsstatene og eierne/operatørene av infrastrukturen (fortalen pkt. 6). Nærmere fremgangsmåte for å utarbeide sikkerhetsplaner er nedfelt i eget vedlegg til direktivet (nr. II). Hvis den aktuelle eier eller operatør allerede har sikkerhetsplaner eller tilsvarende og de jevnlig revideres, er det ikke nødvendig å foreta seg ytterligere i henhold til dette kravet. Skulle så ikke være tilfelle, har medlemsstaten på hvis territorium infrastrukturen ligger, ansvar for å sikre at operatørsikkerhetsplan utarbeides og ajourføres jevnlig.
I henhold til artikkel 7 skal myndigheten hvert annet år rapportere til Kommisjonen generelle opplysninger om de former for risiko, trusler og sårbarhet som er funnet i den enkelte sektor. Bestemmelsen vil kunne nødvendiggjøre kartlegging og informasjon fra virksomhetenes side. Dette vil avhenge av om det blir utarbeidet retningslinjer for analysen for europeisk kritisk infrastruktur og om Norge vil anvende slike retningslinjer, jf. artikkel 7 nr. 4.
Direktivet omfatter også bestemmelser vedrørende håndtering av følsomme opplysninger om beskyttelse av kritisk infrastruktur, som at de som skal håndtere gradert informasjon, må være sikkerhetsklarert.