52006DC0786

[pic] | COMMISSION DES COMMUNAUTÉS EUROPÉENNES |

Bruxelles, le 12.12.2006

COM(2006) 786 final

COMMUNICATION DE LA COMMISSION

sur un programme européen de protection des infrastructures critiques

COMMUNICATION DE LA COMMISSION

sur un programme européen de protection des infrastructures critiques (Texte présentant de l'intérêt pour l'EEE)

1. HISTORIQUE

Le Conseil européen de juin 2004 a demandé l'élaboration d'une stratégie globale visant à renforcer la protection des infrastructures critiques (PIC). La Commission a adopté, le 20 octobre 2004, une communication intitulée «Protection des infrastructures critiques dans le cadre de la lutte contre le terrorisme», dans laquelle elle a proposé des mesures en vue de renforcer la prévention, la préparation et la réponse de l'Union européenne face aux attaques terroristes contre des infrastructures critiques (IC).

Dans ses conclusions relatives à la prévention, la préparation et la réaction en cas d'attentats terroristes et dans son «Programme de solidarité de l'UE face aux conséquences des menaces et des attentats terroristes», qu'il a adopté en décembre 2004, le Conseil s'est félicité de l'intention de la Commission de proposer un programme européen de protection des infrastructures critiques (EPCIP) et a approuvé la création par celle-ci d'un réseau d'alerte concernant les infrastructures critiques (CIWIN).

En novembre 2005, la Commission a adopté un Livre vert sur un programme européen de protection des infrastructures critiques (EPCIP), présentant différents scénarios pour la mise en place de ce programme et du CIWIN.

En décembre 2005, le Conseil «Justice et affaires intérieures» a, dans ses conclusions relatives à la protection des infrastructures critiques, demandé à la Commission de présenter une proposition de programme européen de protection des infrastructures critiques.

La présente communication expose les principes, les procédures et les instruments proposés pour mettre en œuvre l'EPCIP. La mise en œuvre de l'EPCIP sera complétée, le cas échéant, par des communications sectorielles précisant l'approche de la Commission dans des secteurs d'infrastructures critiques déterminés[1].

2. OBJECTIF, PRINCIPES ET CONTENU DU PROGRAMME EPCIP

2.1. L'objectif de l'EPCIP

L'objectif principal de l'EPCIP est d'améliorer la protection des infrastructures critiques dans l'UE. Ce but sera atteint grâce à la création d'un cadre communautaire pour la protection des infrastructures critiques, qui est décrit dans la présente communication.

2.2. Types de menaces auxquelles l'EPCIP doit répondre

Alors que la menace terroriste est considérée comme une priorité, la protection des infrastructures critiques se fondera sur une approche tous risques. Si le niveau des mesures de protection s'avère suffisant dans un secteur d'infrastructures critiques donné, les acteurs concernés doivent se concentrer sur les menaces face auxquelles ils sont vulnérables.

2.3. Principes

Les principes clés exposés ci-après guideront la mise en œuvre de l'EPCIP:

- Subsidiarité – La Commission concentrera les efforts qu'elle déploie en matière de PIC sur les infrastructures revêtant un caractère critique sur le plan européen, plutôt que national ou régional. Même si elle axera son action sur les infrastructures critiques européennes, la Commission pourrait, sur demande et compte tenu des compétences communautaires existantes et des ressources disponibles, apporter un soutien aux États membres en faveur de leurs infrastructures critiques nationales.

- Complémentarité – La Commission évitera de dupliquer les efforts déjà consentis au niveau de l'UE, des États et des régions, lorsque ceux-ci concourent manifestement à une protection efficace des infrastructures critiques. L'EPCIP s'appuiera donc sur les mesures sectorielles existantes, en les complétant.

- Confidentialité – Tant au niveau de l'UE qu'à celui des États membres, les informations sur la PIC seront dûment classifiées et communiquées selon le principe du «besoin d'en connaître». Le partage des informations sur les infrastructures critiques doit s'effectuer dans un climat de confiance mutuelle et de sécurité.

- Coopération des acteurs concernés – Tous les acteurs concernés seront associés autant que possible à la conception et à la mise en œuvre de l'EPCIP. Il s'agira notamment des propriétaires/exploitants d'infrastructures critiques classées comme infrastructures critiques européennes, ainsi que des pouvoirs publics et autres instances compétentes.

- Proportionnalité – Des mesures ne seront proposées que lorsqu'un besoin aura été recensé par suite d'une analyse des failles en matière de sûreté et elles seront proportionnées au niveau de risque et au type de menace concerné.

- Approche sectorielle – Puisque divers secteurs possèdent une expérience, une expertise et des exigences particulières en ce qui concerne la protection de leurs infrastructures critiques, l'EPCIP sera conçu secteur par secteur et il sera mis en œuvre en fonction d'une liste de secteurs d'infrastructures critiques ayant fait l'objet d'un accord.

2.4. Le cadre de l'EPCIP

Le cadre du programme comprendra:

- Une procédure de recensement et de classement des infrastructures critiques européennes (ICE) ainsi qu'une approche commune pour évaluer la nécessité d'améliorer leur protection. Celles-ci seront mises en œuvre par voie de directive.

- Des mesures destinées à faciliter la mise en œuvre de l'EPCIP, à savoir notamment un plan d'action pour l'EPCIP, le réseau d'alerte concernant les infrastructures critiques (CIWIN), le recours à des groupes d'experts en la matière au niveau de l'UE, des procédures de partage des informations relatives à la PIC et le recensement ainsi que l'analyse des liens de dépendance.

- Un soutien aux États membres, à leur demande, en ce qui concerne de leurs infrastructures critiques nationales. Une approche générale de la protection des ICN est décrite dans la présente communication.

- Des plans d'intervention.

- Une dimension extérieure.

- Des mesures d'accompagnement financières et notamment le programme communautaire proposé intitulé «Prévention, préparation et gestion des conséquences en matière de terrorisme et d'autres risques liés à la sécurité», couvrant la période 2007-2013, qui offrira des possibilités de financement pour les mesures liées à la PIC potentiellement transposables au niveau de l'UE.

Ces mesures seront examinées tour à tour ci-après.

2.5. Le groupe de contact PIC

Un mécanisme est nécessaire au niveau de l'UE, qui servira de plate-forme de coordination et de coopération stratégiques permettant de faire avancer les travaux relatifs aux aspects généraux de l'EPCIP et à d'autres actions sectorielles. Un groupe de contact PIC sera donc créé.

Celui-ci rassemblera les points de contact PIC de tous les États membres et sera présidé par la Commission. Chaque État membre doit désigner un point de contact PIC chargé de coordonner les questions liées à la protection des infrastructures critiques au niveau national, ainsi qu'avec les autres États membres, le Conseil et la Commission. La désignation de ce point de contact n'empêchera pas que d'autres autorités de l'État membre puissent être associées à l'examen des questions relevant de la PIC.

3. INFRASTRUCTURES CRITIQUES EUROPÉENNES (ICE)

Les infrastructures critiques européennes sont les infrastructures critiques classées comme telles, qui revêtent une très grande importance pour l'Union et dont l'arrêt ou la destruction affecterait plusieurs États membres ou un seul, s'il s'agit d'un État membre autre que celui dans lequel l'infrastructure critique est située. Sont notamment concernés les effets intersectoriels transfrontaliers résultant de liens de dépendance entre des infrastructures interconnectées. La procédure de recensement et de classement des infrastructures critiques européennes (ICE) et une approche commune pour évaluer la nécessité d'améliorer leur protection seront établies par voie de directive.

4. MESURES DESTINÉES À FACILITER LA CONCEPTION ET LA MISE EN œUVRE DE L'EPCIP

La Commission prendra un certain nombre de mesures pour faciliter la mise en œuvre de l'EPCIP et pour approfondir les travaux menés à l'échelle de l'UE en matière de protection des infrastructures critiques.

4.1. Le plan d'action pour l'EPCIP

Le programme sera évolutif et sera réexaminé régulièrement dans le cadre du plan d'action pour l'EPCIP (annexe). Ce dernier exposera les actions à mener et fiera un calendrier. Il fera l'objet de mises à jour régulières, en fonction des progrès accomplis.

Le plan d'action pour l'EPCIP organise les activités liées à la PIC autour de trois volets:

- le volet n° 1 portera sur les aspects stratégiques de l'EPCIP et l'élaboration de mesures applicables horizontalement à tous les travaux en matière de PIC;

- le volet n° 2 concernera les infrastructures critiques européennes et sera mis en œuvre au niveau sectoriel;

- le volet n° 3 consistera à soutenir les activités menées par les États membres concernant leurs infrastructures critiques nationales.

La mise en œuvre du plan d'action pour l'EPCIP tiendra compte des spécificités sectorielles et, le cas échéant, d'autres acteurs y seront associés.

4.2. Le réseau d'alerte concernant les infrastructures critiques (CIWIN)

Le réseau d'alerte concernant les infrastructures critiques (CIWIN) sera institué par une proposition distincte de la Commission, qui veillera soigneusement à éviter les doubles emplois. Il servira de plate-forme pour un échange sécurisé des meilleures pratiques. Il sera complémentaire des réseaux existants et pourrait également servir de plate-forme pour l'échange de messages d'alerte rapide, en liaison avec le système ARGUS de la Commission. La nécessaire homologation de la sécurité du système sera effectuée conformément aux procédures applicables.

4.3. Groupes d’experts

Le dialogue avec les acteurs concernés est primordial pour améliorer la protection des infrastructures critiques dans l'Union. Lorsqu'une expertise dans un domaine donné est requise, la Commission pourra donc instituer au niveau de l'UE un groupe d'experts de ce domaine, chargé d'examiner des questions clairement définies et de favoriser le dialogue entre les secteurs public et privé en matière de protection des infrastructures critiques. Des groupes d'experts soutiendront également l'EPCIP en facilitant les échanges de vues à caractère consultatif sur les questions liées à la protection des infrastructures critiques. Ils constituent un dispositif facultatif rassemblant des ressources publiques et privées, et visant à atteindre un ou plusieurs objectifs considérés comme revêtant un intérêt tant pour les citoyens que pour le secteur privé.

Les groupes d'experts de la protection des infrastructures critiques ne remplaceront pas d'autres groupes existants déjà établis ou susceptibles d'être adaptés pour satisfaire aux exigences de l'EPCIP, et ils n'interviendront pas non plus dans les échanges directs d'informations entre les entreprises, les autorités des États membres et la Commission.

Tout groupe d'experts constitué dans le domaine de la PIC au niveau de l'UE aura un objectif explicite, un calendrier pour la réalisation de celui-ci et une composition clairement identifiée. Dès réalisation de son objectif, il sera dissout.

Les fonctions particulières de ces groupes d'experts pourront varier selon les secteurs d'infrastructures critiques, eu égard aux caractéristiques propres à chacun de ceux-ci. Ces fonctions pourront comprendre les tâches suivantes:

- contribuer au recensement des points vulnérables, des liens de dépendance et des meilleures pratiques sectorielles;

- contribuer à l'élaboration de mesures destinées à réduire et/ou à éliminer d'importants points vulnérables et à la conception d'indicateurs de performance;

- promouvoir le partage d'informations relatives à la protection des infrastructures critiques, la formation et l'instauration d'un climat de confiance dans ce domaine;

- effectuer et promouvoir des études de cas, afin de convaincre les homologues des secteurs considérés de l'intérêt de participer à des plans et initiatives en matière de protection des infrastructures;

- apporter une expertise et des conseils à caractère sectoriel dans des domaines tels que la recherche et le développement.

4.4. La procédure de partage des informations concernant la PIC

La procédure de partage des informations relatives à la PIC entre les acteurs concernés requiert un rapport de confiance mutuelle, de sorte que les renseignements exclusifs, sensibles ou à caractère personnel qui ont été délibérément partagés ne soient pas divulgués et que ces données sensibles bénéficient d'une protection adéquate. Il convient de veiller au respect des droits liés à la protection de la vie privée.

Les acteurs concernés prendront les mesures adéquates pour protéger les informations relatives à des questions telles que la sûreté des infrastructures critiques et des systèmes protégés, les études sur les liens de dépendance, la vulnérabilité liée à la PIC, ainsi que l'évaluation des menaces et des risques. Ces informations ne seront pas utilisées à d'autres fins que la protection des infrastructures critiques. Toute personne traitant des informations confidentielles sera soumise à une procédure d'habilitation adéquate par l'État membre dont elle possède la nationalité.

En outre, l'échange d'informations relatives à la protection d'infrastructures critiques tiendra compte du fait que, si elles ne sont pas classifiées, certaines informations concernant la PIC n'en demeurent pas moins sensibles et doivent donc être traitées avec la plus grande vigilance.

L'échange d'informations concernant la protection des infrastructures critiques contribuera à:

- améliorer la compréhension et la diffusion d'informations précises concernant les liens de dépendance, les menaces, les points vulnérables, les incidents liés à la sûreté, les contre-mesures et les meilleures pratiques en matière de protection des infrastructures critiques;

- sensibiliser davantage aux questions relatives aux infrastructures critiques;

- faciliter le dialogue entre les acteurs concernés;

- mieux cibler les activités de formation, de recherche et de développement.

4.5. Recensement des liens de dépendance

Le recensement et l’analyse des liens de dépendance à caractère géographique ou sectoriel seront un élément important de l’amélioration de la protection des infrastructures critiques dans l’Union. Ce processus évolutif concourra à l'évaluation des points vulnérables, des menaces et des risques relatifs aux infrastructures critiques dans l'UE.

5. INFRASTRUCTURES CRITIQUES NATIONALES (ICN)

Compte tenu des compétences communautaires existantes, la responsabilité de la protection des infrastructures critiques nationales incombe à leurs propriétaires/exploitants et aux États membres. La Commission soutiendra les États membres à cet égard, s'ils le lui demandent.

Afin d'améliorer la protection des infrastructures critiques nationales, chaque État membre est encouragé à établir un programme national y relatif. Ce programme aurait pour objet d'exposer l'approche de chaque État membre à l'égard de la protection des infrastructures critiques installées sur son territoire. Il comprendrait au minimum les éléments suivants:

- Le recensement et le classement des infrastructures critiques nationales par l'État membre, selon des critères nationaux prédéfinis. Ces critères seraient élaborés par chaque État membre, compte tenu au minimum des effets qualitatifs et quantitatifs suivants de l'arrêt ou de la destruction d'une infrastructure donnée:

- Ampleur – L'arrêt ou la destruction d'une d'infrastructure critique donnée se mesurera à l'étendue de la zone géographique susceptible d'être touchée par la perte ou par l'indisponibilité de cet élément d'infrastructure.

- Gravité – La gravité des conséquences de l'arrêt ou de la destruction d'une infrastructure donnée sera appréciée en fonction des critères suivants:

- incidence sur la population (nombre de personnes touchées);

- incidence économique (ampleur des pertes économiques et/ou de la dégradation de produits ou de services);

- incidence environnementale;

- incidence politique;

- incidence psychologique;

- incidence sur la santé publique.

Lorsque ces critères n'existent pas dans un État membre, la Commission aidera celui-ci à en élaborer s'il en fait la demande, en lui indiquant les méthodes pertinentes.

- L'instauration d'un dialogue avec les propriétaires/exploitants d'infrastructures critiques.

- Le recensement des liens de dépendance géographiques et sectoriels.

- L'établissement de plans d'intervention concernant les ICN, le cas échéant.

- Chaque État membre est invité à s'inspirer, pour son programme national de protection de ses infrastructures critiques, de la liste commune des secteurs d'infrastructures critiques dressée pour les ICE.

L'adoption d'approches similaires de la protection des ICN dans les États membres garantirait que les acteurs concernés dans toute l'Europe ne soient pas soumis à des cadres divergents qui occasionnent des coûts supplémentaires et éviterait les distorsions dans le marché intérieur.

6. PLANS D'INTERVENTION

Les plans d'intervention sont un élément clé de la protection des infrastructures critiques, car ils tendent à minimiser l'incidence potentielle de l'arrêt ou de la destruction de celles-ci. L'élaboration d'une méthode cohérente pour la mise au point des plans d'intervention, qui couvrirait des aspects tels que la participation des propriétaires/exploitants d'infrastructures critiques, la coopération avec les autorités nationales et le partage d'informations avec les pays voisins, devrait constituer un élément important de la mise en œuvre du programme européen de protection des infrastructures critiques.

7. DIMENSION EXTÉRIEURE

Le terrorisme et les autres activités criminelles, les catastrophes naturelles et les autres causes d'accidents ne s'arrêtent pas aux frontières des États. Les menaces ne peuvent être abordées dans un contexte purement national. Il convient donc de tenir pleinement compte de la dimension extérieure de la protection des infrastructures critiques lors de la mise en œuvre de l'EPCIP. Étant donné le degré d'interconnexion et d'interdépendance des économies et des sociétés modernes, une perturbation qui toucherait une infrastructure située en dehors de l'UE risquerait d'avoir des effets graves sur la Communauté et sur ses États membres. De même, l'arrêt ou la destruction d'une infrastructure critique à l'intérieur de l'UE pourrait entraîner des conséquences négatives pour les partenaires de l'Union. Enfin, les efforts tendant à améliorer la protection des infrastructures critiques de l'UE contribueront à réduire les risques de perturbation de l'économie européenne et, partant, à améliorer la compétitivité de l'UE au niveau mondial.

Un volet important de l'EPCIP devrait donc consister à renforcer la coopération internationale en matière de protection des infrastructures critiques, par exemple via des protocoles d'accord sectoriels (développement de normes communes, études conjointes concernant la protection des infrastructures critiques, identification des menaces communes et échange de bonnes pratiques en ce qui concerne les mesures de protection…) et un relèvement du niveau des normes de protection en dehors de l'Union. L'effort de coopération extérieure en matière de protection des infrastructures critiques visera surtout les pays voisins de l'UE. Toutefois, étant donné l'interconnexion de certains secteurs, et notamment les technologies de la communication et de l'information et les marchés financiers, une approche plus globale serait justifiée. Tous les partenaires concernés de l'UE, ainsi que les organisations internationales, devraient être associés au dialogue et à l'échange de bonnes pratiques. La Commission continuera également de promouvoir le renforcement de la protection des infrastructures critiques dans les pays tiers en collaborant dans ce sens avec le G8, Euromed et les partenaires de la politique européenne de voisinage, dans le cadre des instruments et politiques existants, notamment l'«initiative pour la stabilité».

8. MESURES D'ACCOMPAGNEMENT FINANCIÈRES

Le programme communautaire «Prévention, préparation et gestion des conséquences en matière de terrorisme et d'autres risques liés à la sécurité», couvrant la période 2007-2013, cofinancera la mise en œuvre de l'EPCIP.

Dans le cadre des objectifs généraux, le programme encouragera, promouvra et concevra, à moins qu'elles ne soient couvertes par d'autres instruments financiers, des mesures de prévention, de préparation et de gestion des conséquences fondées, le cas échéant, sur une évaluation globale des menaces et des risques, visant à prévenir et à réduire les risques liés à la sécurité, notamment ceux liés au terrorisme.

Les crédits alloués au titre du programme, sous forme de subventions et d'actions lancées par la Commission, serviront notamment à concevoir des instruments, des stratégies, des méthodes, des études, des évaluations et des mesures/activités dans le domaine de la protection efficace des infrastructures critiques (tant au niveau de l'Union qu'à celui des États membres).

ANNEXE

Le plan d'action pour l'EPCIP

Volet n° 1 – Stratégies consécutives de l'EPCIP

Le volet n° 1 servira de plate-forme stratégique pour la coordination et la coopération globales dans le cadre de l'EPCIP, qui seront assurées par le groupe de contact PIC de l'UE.

Phase 1

Action | Acteur | Calendrier |

Recensement des secteurs prioritaires pour lesquels une action s'impose (Les secteurs des transports et de l'énergie figureront parmi les premières priorités) | Commission | dès que possible et ensuite sur une base annuelle |

Élaboration de définitions de travail et d'une terminologie pour chaque secteur d'infrastructures critiques | Commission, États membres et autres acteurs concernés le cas échéant | au plus tard un an après l'entrée en vigueur de la directive sur les ICE |

Définition de critères généraux à utiliser pour recenser les ICE | Commission, États membres et autres acteurs concernés le cas échéant | au plus tard un an après l'entrée en vigueur de la directive sur les ICE |

Élaboration d'un inventaire des programmes nationaux, bilatéraux et communautaires de protection des infrastructures critiques | Commission et États membres | en cours |

Élaboration et adoption de lignes directrices pour la collecte et l'utilisation de données sensibles par les acteurs concernés | Commission, États membres et autres acteurs concernés le cas échéant | en cours |

Recensement des meilleures pratiques liées à la PIC, des outils et méthodes d'évaluation des risques | Commission, États membres et autres acteurs concernés le cas échéant | en cours |

Commande d'études concernant les liens de dépendance | Commission, États membres et autres acteurs concernés le cas échéant | en cours |

Phase 2

Action | Acteur | Calendrier |

Détermination des failles pour lesquelles une initiative communautaire apporterait une valeur ajoutée | Commission, États membres et autres acteurs concernés le cas échéant | en cours |

Le cas échéant, constitution de groupes d'experts sectoriels en matière de PIC au niveau de l'Union | Commission, États membres et autres acteurs concernés le cas échéant | en cours |

Recensement des propositions d'actions en matière de PIC susceptibles d'être financées au niveau de l'Union | Commission et États membres | en cours |

Premiers financements communautaires d'actions dans le domaine de la PIC | Commission | en cours |

Phase 3

Action | Acteur | Calendrier |

Lancement de la coopération avec des pays tiers et des organisations internationales | Commission et États membres | en cours |

Volet n° 2 – Protection des infrastructures critiques européennes (ICE)

Le volet n° 2 tendra à réduire la vulnérabilité des ICE.

Phase 1

Action | Acteur | Calendrier |

Définition de critères sectoriels à utiliser pour recenser les ICE | Commission, États membres et autres acteurs concernés le cas échéant | au plus tard un an après l'entrée en vigueur de la directive sur les ICE |

Phase 2

Action | Acteur | Calendrier |

Recensement et vérification secteur par secteur des infrastructures critiques susceptibles d'être classées comme ICE | Commission et États membres | au plus tard un an après l'adoption des critères pertinents, et ensuite à intervalles réguliers |

Classement comme ICE | Commission et États membres | en cours |

Recensement des points vulnérables, des menaces et des risques à l'égard de certaines ICE, et établissement de plans de sûreté pour les exploitants (PSE) | Commission, États membres, propriétaires/exploitants d'ICE (rapport général à la Commission) | au plus tard un an après le classement comme ICE |

Évaluation de la nécessité de prendre des mesures de protection et des mesures au niveau de l'UE | Commission, États membres et autres acteurs concernés le cas échéant | au plus tard 18 mois après le classement comme ICE |

Évaluation de l'approche adoptée par chaque État membre en ce qui concerne les niveaux d'alerte applicables aux infrastructures classées comme ICE. Lancement d'une étude de faisabilité relative à l'étalonnage ou à l'harmonisation de ces niveaux d'alerte. | Commission et États membres | en cours |

Phase 3

Action | Acteur | Calendrier |

Élaboration et adoption de propositions relatives à des mesures de protection minimales pour les ICE | Commission, États membres, propriétaires/exploitants d'ICE | après avoir apprécié la nécessité de prendre des mesures de protection et des mesures au niveau de l'UE |

Mise en œuvre des mesures de protection minimales | États membres et propriétaires/exploitants d'ICE | en cours |

Volet n° 3 – Soutien relatif aux ICN

Le volet n° 3 s'inscrit dans un cadre national et vise à aider les États membres à protéger leurs infrastructures critiques nationales.

Phase 1

Action | Acteur | Calendrier |

Échange d'informations concernant les critères utilisés pour recenser les ICN | États membres (avec l'aide de la Commission, sur demande) | en cours |

Phase 2

Action | Acteur | Calendrier |

Recensement et vérification secteur par secteur des infrastructures critiques susceptibles d'être classées comme ICN | États membres et autres acteurs concernés le cas échéant | en cours |

Classement de certaines infrastructures critiques comme ICN | États membres | en cours |

Analyse par secteur des failles existantes en matière de sûreté des ICN | États membres et autres acteurs concernés le cas échéant (avec l'aide de la Commission, sur demande) | en cours |

Phase 3

Action | Acteur | Calendrier |

Conception et établissement de programmes nationaux de protection des infrastructures critiques | États membres (avec l'aide de la Commission, sur demande) | en cours |

Conception de mesures de protection spécifiques pour chaque ICN | États membres, propriétaires/exploitants d'ICN (avec l'aide de la Commission, sur demande) | en cours |

Suivi afin de vérifier que les propriétaires/exploitants mettent en œuvre les mesures d'application nécessaires | États membres | en cours |

[1] La Commission présentera ultérieurement une communication sur la protection des infrastructures critiques de l'Union dans les secteurs de l'énergie et des transports.