23.12.2008

Den Europæiske Unions Tidende

L 345/75

RÅDETS DIREKTIV 2008/114/EF

af 8. december 2008

om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre

(EØS-relevant tekst)

RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 308,

under henvisning til forslag fra Kommissionen,

under henvisning til udtalelse fra Europa-Parlamentet (1),

under henvisning til udtalelse fra Den Europæiske Centralbank (2), og

ud fra følgende betragtninger:

(1)

I juni 2004 anmodede Det Europæiske Råd om, at der udarbejdes en overordnet strategi for beskyttelse af kritisk infrastruktur. Som reaktion herpå vedtog Kommissionen den 20. oktober 2004 en meddelelse vedrørende beskyttelse af kritisk infrastruktur i forbindelse med bekæmpelse af terrorisme, der indeholder forslag til, hvordan EU kan forbedre forebyggelsen af, beredskabet i forbindelse med og reaktionen på terrorangreb, der påvirker kritisk infrastruktur.

(2)

Den 17. november 2005 vedtog Kommissionen en grønbog om et europæisk program for beskyttelse af kritisk infrastruktur, hvori der redegøres for de politiske muligheder for at fastlægge programmet og oprette et informations- og varslingsnetværk vedrørende kritisk infrastruktur. I reaktionerne på grønbogen understregedes merværdien ved en fællesskabsramme for beskyttelse af kritisk infrastruktur. Det bekræftedes, at der er behov for at øge mulighederne for at beskytte kritisk infrastruktur i EU og mindske den kritiske infrastrukturs sårbarhed. Betydningen af de grundlæggende principper om subsidiaritet, proportionalitet og komplementaritet samt dialog med de berørte blev fremhævet.

(3)

I december 2005 opfordrede Rådet (retlige og indre anliggender) Kommissionen til at fremsætte forslag til et europæisk program for beskyttelse af kritisk infrastruktur (EPCIP-programmet (European Programme for Critical Infrastructure Protection)) og besluttede, at det skulle omfatte alle former for farer, idet der dog skulle lægges særlig vægt på terrortrusler. Der skulle tages hensyn til menneskeskabte teknologiske trusler og naturkatastrofer i forbindelse med beskyttelsen af kritisk infrastruktur, men terrortruslen skulle have førsteprioritet.

(4)

I april 2007 vedtog Rådet konklusioner om EPCIP, hvori det gentog, at medlemsstaterne har det endelige ansvar for forvaltningen af ordninger til beskyttelse af kritiske infrastrukturer inden for deres nationale grænser, samtidig med at det hilste Kommissionens bestræbelser på at udvikle en europæisk procedure til indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den velkommen.

(5)

Dette direktiv er det første trin i en trinvis metode til at indkredse og udpege europæisk kritisk infrastruktur og vurdere behovet for at beskytte den bedre. Direktivet er som sådan koncentreret om transport- og energisektoren og vil blive taget op til revision for at vurdere konsekvenserne af det og behovet for at udvide dets anvendelsesområde til også at omfatte andre sektorer, bl.a. informations- og kommunikationsteknologisektoren (ikt).

(6)	Hovedansvaret og det endelige ansvar for at beskytte europæisk kritisk infrastruktur påhviler medlemsstaterne og ejerne/operatørerne af den pågældende infrastruktur.

(7)

Der findes et vist antal kritiske infrastrukturer i Fællesskabet, hvis afbrydelse eller ødelæggelse ville få betydelige konsekvenser på tværs af grænserne. Det kan f.eks. være konsekvenser på tværs af grænser og sektorer som følge af den gensidige afhængighed af indbyrdes forbundne infrastrukturer. Disse europæiske kritiske infrastrukturer bør indkredses og udpeges ved hjælp af en fælles procedure. Evalueringen af sikkerhedskravene til en sådan infrastruktur bør ske i henhold til en fælles minimumsstrategi. Bilaterale samarbejdsordninger mellem medlemsstaterne på området beskyttelse af kritisk infrastruktur udgør et veletableret og effektivt middel til at tage fat på problemer med kritisk infrastruktur, der går på tværs af grænserne. EPCIP-programmet bør bygge på et sådant samarbejde. Oplysninger i forbindelse med udpegning af en bestemt infrastruktur som europæisk kritisk infrastruktur bør sikkerhedsklassificeres på et passende niveau i overensstemmelse med den eksisterende lovgivning i Fællesskabet og i medlemsstaterne.

(8)

Da de forskellige sektorer har særlig erfaring og ekspertise og særlige krav for så vidt angår beskyttelse af kritisk infrastruktur, bør der udvikles en fællesskabsstrategi for beskyttelse af kritisk infrastruktur, som skal gennemføres under hensyntagen til sektorernes karakteristika og eksisterende sektorbaserede foranstaltninger, herunder foranstaltninger, der allerede findes på fællesskabsplan, på nationalt eller regionalt plan, samt, hvor dette er relevant, allerede indgåede aftaler mellem ejere/operatører af kritisk infrastruktur om gensidig bistand på tværs af grænserne. Da den private sektor spiller en meget betydelig rolle i forbindelse med tilsyn og risikostyring, planer for fortsættelse af driften og genetablering efter en katastrofe, skal Fællesskabets strategi fremme fuld inddragelse af den private sektor.

(9)

Hvad angår energisektoren og navnlig metoderne til fremstilling og transmission af elektricitet (med henblik på elforsyning) ligger det fast, at elfremstilling, for så vidt det skønnes hensigtsmæssigt, kan inkludere eltransmissionsdele af kernekraftværker uden at inkludere de specifikt nukleare elementer, der er omfattet af den relevante nukleare lovgivning, herunder nukleare traktater og fællesskabsretten.

(10)

Dette direktiv supplerer de eksisterende sektorbaserede foranstaltninger på fællesskabsplan og i medlemsstaterne. De steder, hvor der allerede findes fællesskabsmekanismer, bør disse fortsat anvendes, og de vil hjælpe med til at sikre en generel gennemførelse af dette direktiv. Overlapning eller modstrid mellem forskellige retsakter eller bestemmelser bør undgås.

(11)

Sikkerhedsplaner for operatører eller tilsvarende foranstaltninger, der omfatter identifikation af vigtige aktiver, risikovurdering samt indkredsning, udvælgelse og prioritering af modforholdsregler og procedurer bør foreligge for alle udpegede europæiske kritiske infrastrukturer. For at undgå unødigt arbejde og dobbeltarbejde bør den enkelte medlemsstat først vurdere, hvorvidt ejerne/operatørerne af en udpeget europæisk kritisk infrastruktur råder over relevante sikkerhedsplaner for operatører eller lignende foranstaltninger. Hvis der ikke findes sådanne planer, bør den enkelte medlemsstat sørge for, at der iværksættes passende foranstaltninger. Den enkelte medlemsstat kan selv afgøre, hvad der vil være den mest hensigtsmæssige fremgangsmåde med hensyn til udformning af sikkerhedsplaner for operatører.

(12)

Foranstaltninger, principper og retningslinjer, herunder fællesskabsforanstaltninger samt bilaterale og/eller multilaterale samarbejdsordninger, som indeholder bestemmelser om en plan, der ligner eller svarer til en sikkerhedsplan for operatører, eller bestemmelser om en sikkerhedsforbindelsesofficer eller tilsvarende, bør anses for at opfylde dette direktivs krav til henholdsvis en sikkerhedsplan for operatører og en sikkerhedsforbindelsesofficer.

(13)

Der bør udpeges sikkerhedsforbindelsesofficerer for alle udpegede europæiske kritiske infrastrukturer for derved at lette samarbejdet og kommunikationen med de relevante nationale myndigheder for beskyttelse af kritisk infrastruktur. For at undgå unødigt arbejde og dobbeltarbejde bør den enkelte medlemsstat først vurdere, hvorvidt ejerne/operatørerne af en udpeget europæisk kritisk infrastruktur allerede har en sikkerhedsforbindelsesofficer eller tilsvarende. Hvis der ikke findes en sådan sikkerhedsforbindelsesofficer, bør den enkelte medlemsstat sørge for, at der iværksættes passende foranstaltninger. Den enkelte medlemsstat kan selv afgøre, hvad der vil være den mest hensigtsmæssige fremgangsmåde med hensyn til udpegning af sikkerhedsforbindelsesofficerer.

(14)

En effektiv indkredsning af risici, trusler og sårbarhed i de særlige sektorer forudsætter kommunikation både mellem ejere/operatører af europæisk kritisk infrastruktur og medlemsstaterne og mellem medlemsstaterne og Kommissionen. Hver medlemsstat bør indsamle oplysninger vedrørende europæisk kritisk infrastruktur, der er beliggende på dens område. Kommissionen bør modtage generelle oplysninger fra medlemsstaterne om risici, trusler og sårbarhed i de sektorer, hvor den europæiske kritiske infrastruktur blev indkredset, herunder relevante oplysninger om mulige forbedringer i den europæiske kritiske infrastruktur og afhængighed på tværs af sektorer, som kan udgøre grundlaget for Kommissionens udformning af specifikke forslag til forbedring af beskyttelsen af europæisk kritisk infrastruktur, når det er nødvendigt.

(15)	For at gøre det lettere at forbedre beskyttelsen af europæisk kritisk infrastruktur kan der udvikles fælles metoder til indkredsning og klassificering af risici, trusler og sårbarhed i forbindelse med infrastrukturen.

(16)	Ejere/operatører af europæisk kritisk infrastruktur bør have adgang primært gennem relevante myndigheder i medlemsstaterne til bedste praksis og de bedste metoder for så vidt angår beskyttelse af kritisk infrastruktur.

(17)

En effektiv beskyttelse af europæisk kritisk infrastruktur forudsætter kommunikation, koordinering og samarbejde på nationalt plan og fællesskabsplan. Det opnås bedst ved at udpege kontaktpunkter for beskyttelse af europæisk kritisk infrastruktur (CIP (Critical Infrastructure Protection)) i hver medlemsstat, som bør koordinere spørgsmål i forbindelse med beskyttelse af europæisk kritisk infrastruktur internt, samt med andre medlemsstater og Kommissionen.

(18)

For at udvikle aktiviteter i forbindelse med beskyttelse af europæisk kritisk infrastruktur på områder, der kræver en vis grad af fortrolighed, er det hensigtsmæssigt at sikre en sammenhængende og sikker udveksling af oplysninger inden for rammerne af dette direktiv. Det er vigtigt, at reglerne om fortrolighed i henhold til gældende national lovgivning eller Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter (3) overholdes med hensyn til særlige data om kritisk infrastruktur, som kan anvendes til at planlægge og handle med henblik på at forårsage uacceptable følger for infrastrukturen. Klassificerede oplysninger bør beskyttes i overensstemmelse med den relevante fællesskabslovgivning og lovgivningen i medlemsstaterne. Hver enkelt medlemsstat og Kommissionen bør respektere den sikkerhedsklassificering, som ophavsmanden til et dokument har givet det.

(19)	Informationsdeling for så vidt angår europæisk kritisk infrastruktur bør ske i en atmosfære af tillid og sikkerhed. Informationsdeling kræver relationer, der bygger på tillid, således at virksomheder og organisationer ved, at deres følsomme og fortrolige oplysninger beskyttes i tilstrækkelig grad.

(20)

Målene for dette direktiv, nemlig indførelsen af en procedure for indkredsning og udpegning af europæisk kritisk infrastruktur og en fælles fremgangsmåde til vurdering af behovene for at forbedre beskyttelsen af denne infrastruktur, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan derfor på grund af foranstaltningernes omfang bedre nås på fællesskabsplan; Fællesskabet kan derfor træffe foranstaltninger i overensstemmelse med subsidiaritetsprincippet, jf. traktatens artikel 5. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke ud over, hvad der er nødvendigt for at nå disse mål.

(21)	Dette direktiv respekterer de grundlæggende rettigheder og de principper, som anerkendes i bl.a. Den Europæiske Unions charter om grundlæggende rettigheder —

UDSTEDT FØLGENDE DIREKTIV:

Artikel 1

Anvendelsesområde

I dette direktiv fastsættes en procedure for indkredsning og udpegning af europæisk kritisk infrastruktur og en fælles fremgangsmåde til vurdering af behovet for at beskytte denne type infrastruktur med henblik på at bidrage til beskyttelsen af mennesker.

Artikel 2

Definitioner

I dette direktiv forstås ved:

»kritisk infrastruktur«: aktiver, systemer eller dele deraf, der befinder sig i medlemsstaterne, og som er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner og menneskers sundhed, sikkerhed og økonomiske eller sociale velfærd, og hvis afbrydelse eller ødelæggelse i væsentlig grad ville påvirke en medlemsstat som følge af, at disse funktioner ikke kan opretholdes

»europæisk kritisk infrastruktur«: kritisk infrastruktur, der befinder sig i medlemsstaterne, og hvis afbrydelse eller ødelæggelse ville få betydelige konsekvenser for to eller flere medlemsstater. Betydningen af konsekvenserne vurderes ud fra de tværgående kriterier. Dette omfatter også konsekvenser som følge af afhængighed på tværs af sektorerne af andre typer infrastruktur

c)	»risikoanalyse«: overvejelse af relevante trusselscenarier for at vurdere sårbarheden og de potentielle konsekvenser af, at kritisk infrastruktur afbrydes eller ødelægges

d)	»følsomme oplysninger vedrørende beskyttelse af kritisk infrastruktur«: data om kritisk infrastruktur, som, hvis de blev offentliggjort, kunne anvendes til at planlægge og handle med henblik på at forårsage afbrydelse eller ødelæggelse af kritiske infrastrukturanlæg

e)	»beskyttelse«: alle aktiviteter, der tager sigte på at sikre kritisk infrastrukturs funktionalitet, kontinuitet og integritet med henblik på at afværge, afbøde og neutralisere en trussel, en risiko eller sårbarhed

f)	»ejere/operatører af europæisk kritisk infrastruktur«: enheder, der har ansvaret for investeringerne eller den daglige drift af og investeringen i et bestemt aktiv, system eller en del deraf, der er udpeget som europæisk kritisk infrastruktur i henhold til dette direktiv.

Artikel 3

Indkredsning af europæisk kritisk infrastruktur

1. Hver medlemsstat indkredser efter proceduren i bilag III den potentielle europæiske kritiske infrastruktur, som både opfylder de tværgående og sektorbaserede kriterier og er i overensstemmelse med definitionerne i artikel 2, litra a) og b).

Kommissionen kan på medlemsstaternes anmodning bistå disse med at indkredse potentiel europæisk kritisk infrastruktur.

Kommissionen kan henlede de relevante medlemsstaters opmærksomhed på eksistensen af potentiel kritisk infrastruktur, der kan anses for at opfylde kravene for udpegning som europæisk kritisk infrastruktur.

Hver enkelt medlemsstat og Kommissionen fortsætter løbende processen med at indkredse potentiel europæisk kritisk infrastruktur.

2. De tværgående kriterier omfatter følgende:

a)	Kriteriet vedrørende ofre (en vurdering af det potentielle antal dræbte eller kvæstede)

b)	Kriteriet vedrørende de økonomiske konsekvenser (en vurdering af størrelsen af det økonomiske tab og/eller forringelsen af varer eller tjenester; herunder potentielle miljømæssige konsekvenser)

c)	Kriteriet vedrørende almene konsekvenser (en vurdering af konsekvenserne med hensyn til befolkningens tillid, fysiske lidelser og forstyrrelse af dagligdagen; herunder udfald af væsentlige tjenester).

Tærskelværdierne for de tværgående kriterier skal baseres på, hvor alvorlige følgerne er af afbrydelsen eller ødelæggelsen af en bestemt infrastruktur. De præcise tærskelværdier, der skal gælde for de tværgående kriterier, fastlægges i hvert enkelt tilfælde af de medlemsstater, der er berørt af en bestemt kritisk infrastruktur. Hver medlemsstat underretter hvert år Kommissionen om antallet af infrastrukturer pr. sektor, som har været genstand for drøftelser med hensyn til tærskelværdier for de tværgående kriterier.

De sektorbaserede kriterier tager hensyn til de særlige kendetegn for de enkelte sektorer med europæisk kritisk infrastruktur.

Kommissionen udarbejder sammen med medlemsstaterne retningslinjer for anvendelsen af de tværgående og sektorbaserede kriterier og de omtrentlige grænseværdier, der skal bruges til indkredsning af europæisk kritisk infrastruktur. Kriterierne klassificeres. Medlemsstaterne kan frit vælge, om de vil anvende sådanne retningslinjer.

3. De sektorer, hvor gennemførelsen af dette direktiv skal iværksættes, er energi- og transportsektoren. Undersektorerne er angivet i bilag I.

I forbindelse med revisionen af dette direktiv, jf. artikel 11, kan der, hvis det skønnes hensigtsmæssigt, udpeges yderligere sektorer, hvor gennemførelsen af dette direktiv skal iværksættes. Informations- og kommunikationsteknologisektoren (ikt) skal have førsteprioritet.

Artikel 4

Udpegning af europæisk kritisk infrastruktur

1. Hver medlemsstat underretter de øvrige medlemsstater, som kan blive berørt i betydelig grad af en potentiel europæisk kritisk infrastruktur, om dens identitet og om årsagerne til at udpege den som potentiel europæisk kritisk infrastruktur.

2. Hver enkelt medlemsstat, på hvis område der befinder sig en potentiel europæisk kritisk infrastruktur, indleder bilaterale og/eller multilaterale drøftelser med de øvrige medlemsstater, som kan blive berørt i betydelig grad af den potentielle europæiske kritiske infrastruktur. Kommissionen kan deltage i disse drøftelser, men har ikke adgang til detaljerede oplysninger, som vil muliggøre en utvetydig indkredsning af en bestemt infrastruktur.

En medlemsstat, der har grund til at mene, at den kan blive berørt i betydelig grad af en potentiel europæisk kritisk infrastruktur, der imidlertid ikke er blevet indkredset som sådan af den medlemsstat, på hvis område den potentielle europæiske kritiske infrastruktur er beliggende, kan underrette Kommissionen om sit ønske om at indlede bilaterale og/eller multilaterale drøftelser om dette spørgsmål. Kommissionen underretter straks den medlemsstat, på hvis område den potentielle europæiske kritiske infrastruktur er beliggende, om dette ønske og bestræber sig på at fremme en aftale mellem parterne.

3. Den medlemsstat, på hvis område en potentiel europæisk kritisk infrastruktur er beliggende, udpeger den som europæisk kritisk infrastruktur på grundlag af en aftale mellem denne medlemsstat og de medlemsstater, der kan blive berørt i betydelig grad.

Accepten fra den medlemsstat, på hvis område den infrastruktur, der skal udpeges som europæisk kritisk infrastruktur, er beliggende, er nødvendig.

4. Den medlemsstat, på hvis område en udpeget europæisk kritisk infrastruktur er beliggende, underretter hvert år Kommissionen om antallet af udpegede europæiske kritiske infrastrukturer pr. sektor og antallet af medlemsstater, der er afhængige af hver udpeget europæisk kritisk infrastruktur. Kun de medlemsstater, som kan blive berørt i betydelig grad af en europæisk kritisk infrastruktur, får kendskab til dens identitet.

5. De medlemsstater, på hvis område den europæiske kritiske infrastruktur er beliggende, underretter ejeren/operatøren af infrastrukturen om dens udpegning som europæisk kritisk infrastruktur. Oplysninger om udpegning af en infrastruktur som europæisk kritisk infrastruktur sikkerhedsklassificeres på et passende niveau.

6. Processen med indkredsning og udpegning af europæisk kritisk infrastruktur, jf. artikel 3 og nærværende artikel, skal være tilendebragt senest den 12. januar 2011 og skal jævnligt tages op til revision.

Artikel 5

Sikkerhedsplaner for operatører

1. Ved hjælp af proceduren vedrørende sikkerhedsplanen for operatører identificeres de kritiske infrastrukturaktiver i forbindelse med den europæiske kritiske infrastruktur, samt hvilke sikkerhedsløsninger der findes eller gennemføres med henblik på at beskytte dem. Det fremgår af bilag II, hvad en procedure vedrørende en sikkerhedsplan for operatører som minimum skal omfatte.

2. Hver enkelt medlemsstat kontrollerer, at alle udpegede europæiske kritiske infrastrukturer, der er beliggende på dens område, har en sikkerhedsplan for operatører eller har iværksat tilsvarende foranstaltninger, der dækker de punkter, der er opstillet i bilag II. Hvis en medlemsstat konstaterer, at en sådan sikkerhedsplan for operatører eller tilsvarende findes og jævnligt ajourføres, er det ikke nødvendigt at foretage sig yderligere med henblik på gennemførelsen.

3. Hvis en medlemsstat konstaterer, at der ikke er udarbejdet en sådan sikkerhedsplan for operatører eller tilsvarende, sikrer den ved hjælp af hensigtsmæssige foranstaltninger, at sikkerhedsplanen for operatører eller tilsvarende udarbejdes og dækker de punkter, der er opstillet i bilag II.

Hver medlemsstat sikrer senest et år efter, at den kritiske infrastruktur er blevet udpeget som europæisk kritisk infrastruktur, at sikkerhedsplanerne for operatører eller tilsvarende er iværksat og jævnligt tages op til revision. Denne periode kan forlænges under særlige omstændigheder efter aftale med medlemsstatens myndighed, og Kommissionen underrettes herom.

4. Hvis der allerede findes tilsyns- eller overvågningsordninger i forbindelse med europæisk kritisk infrastruktur, berøres disse ordninger ikke af denne artikel, og medlemsstatens relevante myndighed, som nævnt i denne artikel, er den tilsynsførende i henhold til disse eksisterende ordninger.

5. Ved overholdelse af foranstaltninger, herunder fællesskabsforanstaltninger, som i en bestemt sektor kræver eller henviser til et behov for at have en plan svarende til en sikkerhedsplan for operatører, og overvågning af en sådan plan foretaget af den relevante myndighed, anses alle medlemsstaternes krav i, eller vedtaget i henhold til, denne artikel for at være opfyldt. De retningslinjer for anvendelsen, der er omhandlet i artikel 3, stk. 2, skal indeholde en vejledende liste over sådanne foranstaltninger.

Artikel 6

Sikkerhedsforbindelsesofficerer

1. Sikkerhedsforbindelsesofficeren fungerer som kontaktpunkt i forbindelse med sikkerhedsmæssige spørgsmål mellem ejeren/operatøren af den europæiske kritiske infrastruktur og medlemsstatens relevante myndighed.

2. Hver enkelt medlemsstat kontrollerer, at alle udpegede europæiske kritiske infrastrukturer, der er beliggende på dens område, har en sikkerhedsforbindelsesofficer eller tilsvarende. Hvis en medlemsstat konstaterer, at der findes en sådan sikkerhedsforbindelsesofficer eller tilsvarende, er det ikke nødvendigt at foretage sig yderligere med henblik på gennemførelsen.

3. Hvis en medlemsstat konstaterer, at der ikke findes en sikkerhedsforbindelsesofficer eller tilsvarende i forbindelse med en udpeget europæisk kritisk infrastruktur, sikrer den ved hjælp af hensigtsmæssige foranstaltninger, at der udpeges en sådan sikkerhedsforbindelsesofficer eller tilsvarende.

4. Hver medlemsstat indfører en passende kommunikationsmekanisme mellem medlemsstatens relevante myndighed og sikkerhedsforbindelsesofficeren eller tilsvarende med henblik på at udveksle relevante oplysninger om de identificerede risici og trusler i forbindelse med den pågældende europæiske kritiske infrastruktur. Denne kommunikationsmekanisme berører ikke de nationale krav vedrørende adgang til følsomme og klassificerede oplysninger.

5. Ved overholdelse af foranstaltninger, herunder fællesskabsforanstaltninger, som i en bestemt sektor kræver eller henviser til et behov for at have en sikkerhedsforbindelsesofficer eller tilsvarende, anses alle medlemsstaternes krav i, eller vedtaget i henhold til, denne artikel for at være opfyldt. De retningslinjer for anvendelsen, der er omhandlet i artikel 3, stk. 2, skal indeholde en vejledende liste over sådanne foranstaltninger.

Artikel 7

Rapportering

1. Hver medlemsstat foretager en trusselsvurdering i forbindelse med undersektorerne af europæisk kritisk infrastruktur senest et år efter, at den kritiske infrastruktur på dens område er blevet udpeget som europæisk kritisk infrastruktur inden for de pågældende undersektorer.

2. Hver medlemsstat rapporterer hvert andet år kortfattet til Kommissionen generelle oplysninger om de former for risici, trusler og sårbarhed, der er fundet pr. sektor for europæisk kritisk infrastruktur, inden for hvilken der er udpeget europæisk kritisk infrastruktur i medfør af artikel 4 på dens område.

Kommissionen kan i samarbejde med medlemsstaterne udforme en fælles model for disse rapporter.

Hver rapport klassificeres på et passende niveau, som oprindelsesmedlemsstaten skønner nødvendigt.

3. På grundlag af de i stk. 2 nævnte rapporter vurderer Kommissionen og medlemsstaterne på sektorbasis, om der bør overvejes yderligere beskyttelsesforanstaltninger på fællesskabsplan for europæisk kritisk infrastruktur. Denne procedure gennemføres i forbindelse med revisionen af dette direktiv, jf. artikel 11.

4. Kommissionen kan i samarbejde med medlemsstaterne udforme fælles metodiske retningslinjer til gennemførelse af risikoanalyser af europæisk kritisk infrastruktur. Medlemsstaterne vælger frit, om de vil anvende sådanne retningslinjer.

Artikel 8

Støtte fra Kommissionen til europæisk kritisk infrastruktur

Kommissionen støtter gennem medlemsstatens relevante myndighed ejere/operatører af udpeget europæisk kritisk infrastruktur ved at give dem adgang til bedste praksis og metoder samt ved uddannelse og udveksling af oplysninger om ny teknisk udvikling i tilknytning til beskyttelse af kritisk infrastruktur.

Artikel 9

Følsomme oplysninger vedrørende beskyttelse af europæisk kritisk infrastruktur

1. Enhver person, der på en medlemsstats eller Kommissionens vegne behandler klassificerede oplysninger i medfør af dette direktiv, skal være sikkerhedsgodkendt på et passende niveau.

Medlemsstaterne, Kommissionen og de relevante tilsynsmyndigheder sikrer, at følsomme oplysninger vedrørende beskyttelse af europæisk kritisk infrastruktur, der gives til medlemsstaterne eller Kommissionen, ikke anvendes til andre formål end beskyttelse af kritisk infrastruktur.

2. Denne artikel gælder også for ikke-skriftlige oplysninger, der udveksles under møder, hvor der drøftes følsomme emner.

Artikel 10

Kontaktpunkter for beskyttelse af europæisk kritisk infrastruktur

1. Hver medlemsstat udpeger et kontaktpunkt for beskyttelse af europæisk kritisk infrastruktur.

2. Kontaktpunktet koordinerer spørgsmål vedrørende beskyttelse af europæisk kritisk infrastruktur internt i medlemsstaten, med andre medlemsstater og med Kommissionen. Udpegelsen af et kontaktpunkt for beskyttelse af europæisk kritisk infrastruktur udelukker ikke, at andre myndigheder i en medlemsstat inddrages i spørgsmål vedrørende beskyttelse af europæisk kritisk infrastruktur.

Artikel 11

Revision

Dette direktiv tages op til revision senest den 12. januar 2012.

Artikel 12

Gennemførelse

Medlemsstaterne træffer de nødvendige foranstaltninger for at efterkomme dette direktiv senest den 12. januar 2011. De underretter straks Kommissionen herom.

Disse foranstaltninger skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

Artikel 13

Ikrafttræden

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 14

Adressater

Dette direktiv er rettet til alle medlemsstaterne.

Udfærdiget i, den Bruxelles, den 8. december 2008.

På Rådets vegne

B. KOUCHNER

Formand

(1) Udtalelse af 10.7.2007 (endnu ikke offentliggjort i EUT).

(2) EUT C 116 af 26.5.2007, s. 1.

(3) EFT L 145 af 31.5.2001, s. 43.

BILAG I

Liste over europæisk kritisk infrastruktur-sektorer

Sektor

Undersektor

Energi

1.	Elektricitet

Infrastruktur og anlæg til elfremstilling og transmission med henblik på elforsyning

Olie

Produktion, raffinering, behandling og lagring af olie, inklusive transport gennem rørledninger

Gas

Produktion, raffinering, behandling og lagring af gas, inklusive transport gennem rørledninger

LNG-terminaler

Transport

4.	Vejtransport

5.	Jernbanetransport

6.	Lufttransport

7.	Transport ad indre vandveje

8.	Søtransport over lange og korte afstande samt havne

Medlemsstaternes indkredsning af kritisk infrastruktur, der kan udpeges som europæisk kritisk infrastruktur, sker i henhold til artikel 3. Listen over europæiske kritiske infrastruktursektorer medfører derfor ikke i sig selv en generel pligt til at udpege europæisk kritisk infrastruktur i hver enkelt sektor.

BILAG II

PROCEDURE VEDRØRENDE SIKKERHEDSPLAN FOR OPERATØRER

I sikkerhedsplanen for operatører indkredses de kritiske infrastrukturaktiver, og det præciseres, hvilke sikkerhedsløsninger der er iværksat eller er ved at blive gennemført med henblik på at beskytte dem. Proceduren vedrørende sikkerhedsplaner skal mindst dække følgende:

1)	indkredsning af vigtige aktiver

2)	gennemførelse af en risikoanalyse på grundlag af alvorlige trusselsscenarier, hvert aktivs sårbarhed og de potentielle konsekvenser, og

indkredsning, udvælgelse og prioritering af modforholdsregler og procedurer med en sondring mellem:

—

permanente sikkerhedsforanstaltninger med præcisering af, hvilke investeringer og midler der er nødvendige for sikkerheden og relevante at bruge til enhver tid. Denne overskrift omfatter oplysninger om generelle foranstaltninger såsom tekniske foranstaltninger (herunder installering af detektorer, adgangskontrol samt beskyttelses- og forebyggelsesmidler), organisatoriske foranstaltninger (herunder varslingsprocedurer og krisestyring), kontrol- og verificeringsforanstaltninger, kommunikation, bevidstgørelse og uddannelse samt sikring af informationssystemer

—	graduerede sikkerhedsforanstaltninger, der kan aktiveres afhængigt af risiko- og trusselsniveauet.

BILAG III

Procedure for medlemsstaternes indkredsning af kritisk infrastruktur, der kan udpeges som europæisk kritisk infrastruktur, jf. artikel 3

I henhold til artikel 3 skal hver medlemsstat indkredse kritisk infrastruktur, der kan udpeges som europæisk kritisk infrastruktur. Denne procedure gennemføres af hver medlemsstat via følgende fortløbende trin.

Potentiel europæisk kritisk infrastruktur, der ikke opfylder kravene i et af følgende fortløbende trin, betragtes ikke som europæisk infrastruktur og er ikke omfattet af proceduren. Potentiel europæisk kritisk infrastruktur, der opfylder definitionerne, skal gennemgå de næste trin i proceduren.

Trin 1

Hver medlemsstat anvender de sektorbaserede kriterier med henblik på at foretage en foreløbig udvælgelse af kritisk infrastruktur inden for sektoren.

Trin 2

Hver medlemsstat anvender definitionen af kritisk infrastruktur, jf. artikel 2, litra a), på potentiel europæisk kritisk infrastruktur som indkredset i trin 1.

Betydningen af konsekvenserne fastslås enten ved at anvende nationale metoder til at indkredse kritisk infrastruktur eller ved henvisning til de tværgående kriterier på et passende nationalt niveau. For så vidt angår infrastruktur, som leverer vigtige tjenester, vil der blive taget hensyn til, om der findes alternativer, og til varigheden af afbrydelsen/genetableringen.

Trin 3

Hver medlemsstat anvender definitionen af europæisk kritisk infrastruktur, jf. artikel 2, litra b), på potentiel europæisk kritisk infrastruktur, der har gennemgået de første to trin i denne procedure. Potentiel europæisk kritisk infrastruktur, der opfylder definitionen, skal gennemgå det næste trin i proceduren. For så vidt angår infrastruktur, som leverer vigtige tjenester, vil der blive taget hensyn til, om der findes alternativer, og til varigheden af afbrydelsen/genetableringen.

Trin 4

Hver medlemsstat anvender de tværgående kriterier på den resterende potentielle europæiske kritiske infrastruktur. De tværgående kriterier tager hensyn til: hvor alvorlige følgerne er, og for så vidt angår infrastruktur, som leverer vigtige tjenester, om der findes alternativer, og til varigheden af afbrydelsen/genetableringen. Potentiel europæisk kritisk infrastruktur, der ikke opfylder de tværgående kriterier, vil ikke blive betragtet som europæisk kritisk infrastruktur.

Potentiel europæisk kritisk infrastruktur, der har gennemgået denne procedure, vil kun blive meddelt de medlemsstater, som kan blive betydeligt berørt af den potentielle europæiske kritiske infrastruktur.