Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (Voor de EER relevante tekst)
Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (Voor de EER relevante tekst)
DE RAAD VAN DE EUROPESE UNIE,
Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 308,
Gezien het voorstel van de Commissie,
Gezien het advies van het Europees Parlement(1),
Gezien het advies van de Europese Centrale Bank(2),
Overwegende hetgeen volgt:
In juni 2004 heeft de Europese Raad om de opstelling van een algemene strategie voor de bescherming van kritieke infrastructuur verzocht. Naar aanleiding van dit verzoek heeft de Commissie op 20 oktober 2004 een mededeling over „Terrorismebestrijding: bescherming van kritieke infrastructuur” aangenomen, waarin voorstellen worden gedaan over de wijze waarop de preventie van, de paraatheid bij en de reactie op terreuraanslagen op kritieke infrastructuur in Europa kunnen worden verbeterd.
Op 17 november 2005 heeft de Commissie haar goedkeuring gehecht aan een Groenboek betreffende een Europees programma voor de bescherming van kritieke infrastructuur, waarin beleidsopties voor het opzetten van het programma en van het netwerk voor waarschuwing en informatie inzake kritieke infrastructuur zijn opgenomen. De op het groenboek ontvangen reacties onderstrepen de meerwaarde van een gemeenschappelijk kader voor de bescherming van kritieke infrastructuur. Er werd erkend dat het nodig is de capaciteit voor de bescherming van kritieke infrastructuur in Europa op te voeren en deze infrastructuur minder kwetsbaar te maken. De nadruk werd gelegd op het belang van de essentiële beginselen van subsidiariteit, evenredigheid en complementariteit, alsook van overleg met de belanghebbende partijen.
In december 2005 heeft de Raad Justitie en Binnenlandse Zaken de Commissie verzocht een voorstel voor een Europees programma voor de bescherming van kritieke infrastructuur (European Programme for Critical Infrastructure Protection — „EPCIP”) in te dienen en besloten dat dit gebaseerd moet zijn op een alle risico’s omvattende aanpak, waarbij de bestrijding van terroristische dreigingen als prioriteit zou gelden. Bij een dergelijke aanpak dient in het proces ter bescherming van kritieke infrastructuur rekening te worden gehouden met door mensen veroorzaakte dreigingen, technologische dreigingen en natuurrampen, maar dient voorrang te worden gegeven aan terroristische dreigingen.
In april 2007 heeft de Raad conclusies over EPCIP aangenomen waarin hij herhaalt dat de uiteindelijke verantwoordelijkheid voor het beheer van de regelingen ter bescherming van kritieke infrastructuren binnen de nationale grenzen bij de lidstaten berust en hij zich ingenomen toont met de inspanningen van de Commissie om een Europese procedure te ontwikkelen voor de identificatie van Europese kritieke infrastructuren (European Critical Infrastructures — „ECI’s”), de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak om de bescherming van dergelijke infrastructuren te verbeteren.
Deze richtlijn vormt de eerste stap in een stapsgewijze aanpak waarbij ECI’s worden geïdentificeerd, infrastructuren als Europese kritieke infrastructuren worden aangemerkt en wordt beoordeeld of het nodig is de bescherming van dergelijke infrastructuren te verbeteren. Als zodanig is deze richtlijn toegespitst op de sectoren energie en vervoer; bij de evaluatie ervan moet een effectbeoordeling plaatsvinden en zal worden bezien of ook andere sectoren, zoals de sector informatie- en communicatietechnologie (hierna „ICT”), onder de richtlijn moeten vallen.
De primaire en eindverantwoordelijkheid voor de bescherming van ECI’s ligt uiteindelijk bij de lidstaten en de eigenaren/exploitanten van dergelijke infrastructuren.
Ontwrichting of vernietiging van bepaalde kritieke infrastructuren in de Gemeenschap zou aanzienlijke grensoverschrijdende gevolgen hebben. Het kan daarbij met name gaan om grensoverschrijdende, sectoroverstijgende effecten die het gevolg zijn van interdependenties tussen onderling gekoppelde infrastructuren. Om dergelijke ECI’s te identificeren en als zodanig aan te merken, dient gebruik te worden gemaakt van een gemeenschappelijke procedure. De evaluatie van de beveiligingseisen die aan dergelijke infrastructuren worden gesteld, moet op een gemeenschappelijke minimumaanpak gestoeld zijn. Bilaterale programma’s voor samenwerking tussen de lidstaten op het gebied van de bescherming van kritieke infrastructuur zijn een probaat en efficiënt middel tot bescherming van grensoverschrijdende kritieke infrastructuren gebleken. EPCIP moet op een dergelijke samenwerking worden gebaseerd. Informatie omtrent het aanmerken van een bepaalde infrastructuur als een ECI moet overeenkomstig de toepasselijke communautaire en nationale wetgeving op een passend niveau worden gerubriceerd.
Aangezien verschillende sectoren beschikken over specifieke ervaring en deskundigheid op het gebied van de bescherming van kritieke infrastructuur en specifieke behoeften op dat gebied hebben, moet een communautaire aanpak van de bescherming van kritieke infrastructuur worden ontwikkeld en ten uitvoer gelegd met inachtneming van de specifieke kenmerken van elke sector en van de in elke sector bestaande maatregelen, waaronder die welke reeds op Gemeenschapsniveau en op nationaal en regionaal niveau bestaan, en in voorkomend geval met inachtneming van reeds bestaande grensoverschrijdende overeenkomsten inzake wederzijdse bijstandsverlening tussen eigenaren/exploitanten van kritieke infrastructuren. Aangezien de particuliere sector een zeer belangrijke rol speelt bij het risicotoezicht, het risicobeheer, de bedrijfscontinuïteitsplanning en het herstel na rampen moet een communautaire aanpak tot volledige inschakeling van de particuliere sector aanmoedigen.
Wat de energiesector betreft, en meer bepaald de wijze van elektriciteitsproductie en -transmissie (met het oog op de elektriciteitsvoorziening), kan, waar zulks passend geacht wordt, elektriciteitsproductie ook de transmissieonderdelen van kerncentrales omvatten, maar niet de specifiek nucleaire elementen die vallen onder de vigerende nucleaire wetgeving, met inbegrip van verdragen en de communautaire wetgeving.
Deze richtlijn vult op het niveau van de Gemeenschap en in de lidstaten bestaande sectorspecifieke maatregelen aan. Waar op het niveau van de Gemeenschap reeds mechanismen bestaan, moeten deze verder worden gebruikt en zullen deze tot de volledige uitvoering van deze richtlijn bijdragen. Er moet worden voorkomen dat er doublures zijn tussen de verschillende besluiten of bepalingen, of dat deze tegenstrijdigheden bevatten.
Alle als ECI’s aangemerkte infrastructuren moeten beschikken over beveiligingsplannen van de exploitant (Operator Security Plans — „OSP’s”) of over vergelijkbare maatregelen, bestaande uit een inventaris van belangrijke voorzieningen, een risicobeoordeling en de inventarisatie, selectie en prioritering van tegenmaatregelen en procedures. Om onnodig werk en dubbel werk te vermijden, moet elke lidstaat eerst nagaan of de eigenaars/exploitanten van als ECI’s aangemerkte infrastructuren over relevante OSP’s of vergelijkbare maatregelen beschikken. Bestaan dergelijke plannen niet, dan moeten de lidstaten het nodige doen om ervoor te zorgen dat passende maatregelen worden genomen. Het is aan elke lidstaat zelf om te besluiten over de meest geschikte wijze van handelen voor het opstellen van OSP’s.
Maatregelen, beginselen of richtsnoeren, inclusief communautaire maatregelen evenals bilaterale en/of multilaterale samenwerkingsprogramma’s die het beschikken over een plan dat gelijksoortig of gelijkwaardig is aan het OSP of over een veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris voorschrijven, moeten worden geacht te voldoen aan de eisen van deze richtlijn in verband met het OSP, respectievelijk in verband met de veiligheidsverbindingsfunctionaris.
Voor alle als ECI aangemerkte infrastructuur moet een veiligheidsverbindingsfunctionaris worden aangewezen teneinde de samenwerking en de communicatie met de relevante nationale autoriteiten voor de bescherming van kritieke infrastructuur te vergemakkelijken. Om onnodig en dubbel werk te vermijden, moeten de lidstaten eerst nagaan of de eigenaars/exploitanten van als ECI’s aangemerkte infrastructuren reeds over een veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris beschikken. Is er geen veiligheidsverbindingsfunctionaris, dan moet elke lidstaat het nodige doen om ervoor te zorgen dat passende maatregelen worden genomen. Het is aan elke lidstaat zelf om te besluiten over de meest geschikte wijze voor het aanwijzen van veiligheidsverbindingsfunctionarissen.
Een efficiënte identificatie van risico’s, dreigingen en kwetsbaarheden in specifieke sectoren vergt communicatie zowel tussen de eigenaren/exploitanten van ECI’s en de lidstaten als tussen de lidstaten en de Commissie. Elke lidstaat dient informatie te verzamelen over ECI’s die zich op zijn grondgebied bevinden. De Commissie dient van de lidstaten algemene informatie te ontvangen over risico’s, dreigingen en kwetsbaarheden in sectoren waarin ECI’s zijn geïdentificeerd, inclusief, in voorkomend geval, informatie over mogelijke verbeteringen in de ECI’s en sectoroverstijgende afhankelijkheden. Waar nodig kan deze informatie de basis vormen voor het uitwerken van specifieke voorstellen door de Commissie over de verbetering van de bescherming van ECI’s.
Om verbeteringen in de bescherming van ECI’s gemakkelijker te maken, kunnen gemeenschappelijke methoden worden ontwikkeld voor de identificatie en classificatie van met betrekking tot infrastructuurvoorzieningen bestaande risico’s, dreigingen en kwetsbaarheden.
Eigenaren/exploitanten van ECI’s dienen voornamelijk via de relevante instanties van de lidstaten toegang te krijgen tot beproefde praktijken en methoden ter bescherming van kritieke infrastructuur.
Voor een doeltreffende bescherming van ECI’s is communicatie, coördinatie en samenwerking op nationaal niveau en op Gemeenschapsniveau vereist. Dit wordt het best verwezenlijkt door de aanwijzing in elke lidstaat van contactpunten voor de bescherming van ECI („ECIP-contactpunten”), die aangelegenheden in verband met de bescherming van kritieke infrastructuur zowel intern als met andere lidstaten en de Commissie moeten coördineren.
Teneinde activiteiten inzake de bescherming van Europese kritieke infrastructuur te ontwikkelen op gebieden die een geheimhoudingsgraad vergen, moet in het kader van deze richtlijn voor een coherente en veilige uitwisseling van informatie worden gezorgd. Het is belangrijk dat de geheimhoudingsvoorschriften volgens het nationaal recht of Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie(3) in acht worden genomen met betrekking tot bepaalde gegevens over kritieke-infrastructuurvoorzieningen die gebruikt kunnen worden om plannen te maken en feiten te plegen welke onaanvaardbare gevolgen voor kritieke-infrastructuurinstallaties zouden hebben. Gerubriceerde informatie moet beschermd worden volgens de toepasselijke communautaire en nationale wetgeving. Elke lidstaat en de Commissie moeten de rubriceringsgraad in acht nemen die de opsteller van het document daaraan gegeven heeft.
Informatie over de bescherming van ECI’s moet worden uitgewisseld op basis van vertrouwen en beveiliging. De uitwisseling van informatie vereist een zodanige vertrouwensrelatie dat ondernemingen en organisaties weten dat hun gevoelige en vertrouwelijke gegevens voldoende beschermd zijn.
Daar de doelstellingen van deze richtlijn, namelijk de instelling van een procedure voor de identificatie van ECI’s en voor de aanmerking van infrastructuren als ECI’s, alsmede de uitwerking van een gemeenschappelijke aanpak om te beoordelen of het nodig is de bescherming van dergelijke infrastructuren te verbeteren, niet voldoende door de lidstaten kunnen worden verwezenlijkt en derhalve wegens de omvang van het optreden beter door de Gemeenschap kunnen worden verwezenlijkt, kan de Gemeenschap, overeenkomstig het in artikel 5 van het Verdrag neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan hetgeen nodig is om deze doelstellingen te verwezenlijken.
Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die met name zijn erkend in het Handvest van de grondrechten van de Europese Unie,
HEEFT DE VOLGENDE RICHTLIJN VASTGESTELD:
Artikel 1 Onderwerp
Bij deze richtlijn wordt een procedure ingesteld voor de identificatie van Europese kritieke infrastructuren („ECI’s”) en voor de aanmerking van infrastructuur als Europese kritieke infrastructuur, alsmede een gemeenschappelijke aanpak om te beoordelen of het nodig is de bescherming van dergelijke infrastructuur te verbeteren als bijdrage aan de bescherming van de mensen.
Artikel 2 Definities
Voor de toepassing van deze richtlijn wordt verstaan onder:
„kritieke infrastructuur”: een voorziening, systeem of een deel daarvan op het grondgebied van de lidstaten dat van essentieel belang is voor het behoud van vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn, waarvan de verstoring of vernietiging in een lidstaat aanzienlijke gevolgen zou hebben doordat die functies ontregeld zouden raken;
„Europese kritieke infrastructuur” of „ECI”: kritieke infrastructuur op het grondgebied van de lidstaten waarvan de verstoring of vernietiging aanzienlijke gevolgen in ten minste twee lidstaten zou hebben. Hoe aanzienlijk de gevolgen zijn, wordt beoordeeld naar sectoroverstijgende criteria. Dit omvat mede de effecten die het resultaat zijn van sectoroverstijgende afhankelijkheden van andere soorten infrastructuur;
„risicoanalyse”: bestudering van relevante dreigingsscenario’s om de kwetsbaarheid en de mogelijke gevolgen van de verstoring of vernietiging van kritieke infrastructuur te beoordelen;
„gevoelige informatie in verband met de bescherming van kritieke infrastructuur”: gegevens over kritieke infrastructuur die, wanneer zij openbaar worden gemaakt, zouden kunnen worden gebruikt om plannen te maken en feiten te plegen om kritieke-infrastructuurinstallaties te verstoren of te vernietigen;
„bescherming”: alle activiteiten die tot doel hebben het functioneren, de continuïteit en de integriteit van kritieke infrastructuur te verzekeren ten einde een dreiging, risico of kwetsbaarheid af te wenden, te beperken of te neutraliseren;
„eigenaar/exploitant van ECI’s”: entiteit die verantwoordelijk is voor investeringen in en/of voor de dagelijkse werking van een bepaalde voorziening, een bepaald systeem of een onderdeel daarvan die op grond van deze richtlijn als ECI is aangemerkt.
Artikel 3 Identificatie van ECI’s
Elke lidstaat stelt, volgens de procedure van bijlage III, een inventaris op van mogelijke ECI’s die zowel aan de sectoroverstijgende als aan de sectorspecifieke criteria beantwoordt en voldoet aan de definities van artikel 2, onder a) en b).
De Commissie kan de lidstaten op hun verzoek bijstaan bij het inventariseren van mogelijke ECI’s.
De Commissie kan de aandacht van de desbetreffende lidstaten vestigen op het bestaan van mogelijke kritieke infrastructuren die kunnen worden geacht te voldoen aan de eisen voor aanmerking als een ECI.
De lidstaten en de Commissie zetten de inventarisatie van mogelijke ECI’s permanent voort.
De in lid 1 bedoelde sectoroverstijgende criteria omvatten:
het criterium van de slachtoffers (gemeten naar het mogelijke aantal doden en gewonden);
het criterium van de economische gevolgen (gemeten naar de omvang van het economisch verlies en/of de kwaliteitsvermindering van producten of diensten, met inbegrip van de mogelijke gevolgen voor het milieu);
het criterium van de gevolgen voor het publiek (gemeten naar de impact op het vertrouwen van de burgers, het fysieke lijden en de verstoring van het dagelijkse leven, met inbegrip van het uitvallen van essentiële diensten).
De voor de sectoroverstijgende criteria geldende drempels worden gebaseerd op de ernst van de gevolgen van de ontwrichting of vernietiging van een bepaalde infrastructuur. De precieze voor de sectoroverstijgende criteria geldende drempels worden per geval bepaald door de bij een welbepaalde kritieke infrastructuur betrokken lidstaten. Elke lidstaat stelt de Commissie jaarlijks in kennis van het aantal infrastructuurvoorzieningen per sector waarvoor overleg over de voor de sectoroverstijgende criteria geldende drempels heeft plaatsgevonden.
Bij de sectorspecifieke criteria wordt rekening gehouden met de kenmerken van de afzonderlijke sectoren met Europese kritieke infrastructuur.
De Commissie stelt, samen met de lidstaten, richtsnoeren op voor het toepassen van de sectoroverstijgende en de sectorspecifieke criteria en van de approximatieve drempels die bij het inventariseren van ECI’s moeten worden gehanteerd. De criteria worden gerubriceerd. Het gebruik van zulke richtsnoeren is facultatief voor de lidstaten.
Voor de toepassing van deze richtlijn worden de sectoren energie en vervoer gekozen. De betreffende deelsectoren worden opgesomd in bijlage I.
Indien dit nodig wordt geacht kunnen, in samenhang met de evaluatie van deze richtlijn als bedoeld in artikel 11, nog andere sectoren worden geïdentificeerd voor de toepassing van deze richtlijn. Daarbij moet voorrang worden verleend aan de ICT-sector.
Artikel 4 Aanmerking als ECI’s
Elke lidstaat stelt de overige lidstaten waarvoor een mogelijke ECI aanzienlijke gevolgen kan hebben, in kennis van het bestaan ervan en van de redenen waarom die infrastructuur als een mogelijke ECI is aangemerkt.
Elke lidstaat op het grondgebied waarvan een mogelijke ECI gelegen is, treedt in bilateraal en/of multilateraal overleg met andere lidstaten waarvoor de mogelijke ECI aanzienlijke gevolgen kan hebben. De Commissie kan aan dat overleg deelnemen, maar heeft geen toegang tot informatie waarmee een bepaalde infrastructuur onmiskenbaar geïdentificeerd kan worden.
Een lidstaat die redenen heeft om aan te nemen dat de mogelijke ECI aanzienlijke gevolgen voor hem kan hebben, maar die niet als zodanig is aangeduid door de lidstaat op het grondgebied waarvan de mogelijke ECI is gelegen, kan bij de Commissie zijn wens kenbaar maken om bij het bilaterale en/of multilaterale overleg over deze kwestie te worden betrokken. De Commissie brengt de lidstaat op het grondgebied waarvan de mogelijke ECI is gelegen, onverwijld van die wens op de hoogte en tracht een akkoord tussen de partijen te vergemakkelijken.
De lidstaat op het grondgebied waarvan een mogelijke ECI is gelegen, merkt die, na een akkoord tussen die lidstaat en de lidstaten waarvoor die infrastructuur aanzienlijke gevolgen kan hebben, aan als ECI.
Het is noodzakelijk dat de lidstaat op het grondgebied waarvan de infrastructuur gelegen is die moet worden aangemerkt als ECI, zijn instemming verleent.
De lidstaat op het grondgebied waarvan een als ECI aangemerkte infrastructuur gelegen is, stelt de Commissie elk jaar in kennis van het aantal als ECI’s aangemerkte infrastructuurvoorzieningen per sector en het aantal lidstaten dat afhankelijk is van elke als ECI aangemerkte infrastructuur. Alleen de lidstaten waarvoor een ECI aanzienlijke gevolgen kan hebben, worden van het bestaan ervan in kennis gesteld.
De lidstaten op het grondgebied waarvan een ECI is gelegen, stellen de eigenaar/exploitant van de infrastructuur in kennis van het feit dat deze infrastructuur als een ECI is aangemerkt. De informatie over het aanmerken van een infrastructuur als een ECI wordt op een passend niveau gerubriceerd.
Het identificeren en aanmerken van ECI’s uit hoofde van artikel 3 en onderhavig artikel krijgt zijn beslag uiterlijk op 12 januari 2011, en wordt regelmatig geëvalueerd.