EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52005DC0576
Green Paper on a European programme for critical infrastructure protection
Vihreä kirja euroopan elintärkeiden infrastruktuureiden suojaamisohjelma
Vihreä kirja euroopan elintärkeiden infrastruktuureiden suojaamisohjelma
/* KOM/2005/0576 lopull. */
52005DC0576
[pic] | EUROOPAN YHTEISÖJEN KOMISSIO | Bryssel 17.11.2005 KOM(2005) 576 lopullinen VIHREÄ KIRJA EUROOPAN ELINTÄRKEIDEN INFRASTRUKTUUREIDEN SUOJAAMISOHJELMA (komission esittämä) VIHREÄ KIRJA EUROOPAN ELINTÄRKEIDEN INFRASTRUKTUUREIDEN SUOJAAMISOHJELMA 1. TAUSTAA Elintärkeät infrastruktuurit voivat vaurioitua tai tuhoutua tai niiden toiminta voi keskeytyä tahallisten terroritekojen, luonnonmullistusten, laiminlyöntien, onnettomuuksien, tietokonejärjestelmiin murtautumisen, rikollisten toimien tai häiriökäyttäytymisen seurauksena. Jotta EU:ssa voitaisiin varjella vaaralle alttiina olevien ihmisten henkeä ja omaisuutta terrorismilta, luonnonmullistuksilta ja onnettomuuksilta, kaikki elintärkeiden infrastruktuureiden toimintahäiriöt tai infrastruktuureihin kohdistuvat toimenpiteet pitäisi mahdollisimman pitkälle pystyä säilyttämään hetkellisinä, harvinaisina, hallittuina ja maantieteellisesti rajoitettuina niin, että ne haittaavat mahdollisimman vähän jäsenvaltioiden, kansalaisten ja Euroopan unionin hyvinvointia. Hiljattain Madridissa ja Lontoossa tehdyt terrori-iskut ovat korostuneesti tuoneet esille sen, kuinka suuressa vaarassa infrastruktuuri on joutua terrori-iskun kohteeksi Euroopassa. EU:n on vastattava tähän uhkaan nopeasti, koordinoidusti ja tehokkaasti. Kesäkuussa 2004 kokoontunut Eurooppa-neuvosto pyysi komissiota laatimaan yleisstrategian elintärkeiden infrastruktuureiden suojaamiseksi. Komissio vastasi neuvoston pyyntöön hyväksymällä 20. lokakuuta 2004 tiedonannon ”Kriittisen infrastruktuurin suojelu terrorismin torjunnassa”. Siinä esitetään selkeitä ehdotuksia siitä, miten Euroopassa voidaan parantaa elintärkeisiin infrastruktuureihin kohdistuvien terrori-iskujen ehkäisemistä, niihin varautumista ja niihin reagoimista. Neuvosto hyväksyi joulukuussa 2004 terrori-iskujen ehkäisemistä, niihin varautumista ja niihin reagoimista koskevat päätelmät sekä terroriuhkien ja -iskujen seurauksia koskevan EU:n yhteisvastuuohjelman. Samalla se antoi hyväksyntänsä komission aikomukselle esittää Euroopan elintärkeiden infrastruktuureiden suojaamisohjelma (EPCIP) ja perustaa elintärkeiden infrastruktuureiden varoitusjärjestelmä (CIWIN). Komissio on järjestänyt kaksi seminaaria ja pyytänyt jäsenvaltioita esittämään ajatuksia ja kommentteja. Ensimmäinen elintärkeiden infrastruktuureiden suojaamista käsitellyt seminaari järjestettiin 6.–7. kesäkuuta 2005. Jäsenvaltiot olivat seminaarissa mukana ja toimittivat seminaarin jälkeen komissiolle tausta-asiakirjoja, joissa ne esittelevät ajatuksiaan elintärkeiden infrastruktuureiden suojaamisesta ja kommentoivat seminaarissa käsiteltyjä aiheita. Kommentit saatiin kesä- ja heinäkuussa ja elintärkeiden infrastruktuureiden suojaamisen hahmottelua jatkettiin niiden pohjalta. Toinen elintärkeiden infrastruktuureiden suojaamista käsitellyt seminaari pidettiin 12.–13. syyskuuta 2005. Tavoitteena oli edistää aiheesta käytävää keskustelua. Seminaariin osallistui jäsenvaltioiden ja toimialajärjestöjen edustajia. Keskustelujen tuloksena komissio on päättänyt esittää tämän vihreän kirjan Euroopan elintärkeiden infrastruktuureiden suojaamisohjelman (jäljempänä ’EU:n suojaamisohjelman’) eri vaihtoehdoista. 2. MIHIN TÄLLÄ VIHREÄLLÄ KIRJALLA PYRITÄÄN? Vihreällä kirjalla pyritään ennen kaikkea saamaan palautetta EU:n suojaamisohjelman eri toteuttamisvaihtoehdoista tuomalla keskusteluun mukaan mahdollisimman paljon sidosryhmiä. Elintärkeiden infrastruktuureiden tehokas suojaaminen edellyttää kaikkien asianomaisten eli infrastruktuurin omistajien ja ylläpitäjien, sääntelyviranomaisten sekä ammatillisten ja toimialajärjestöjen keskinäistä viestintää, koordinointia ja yhteistyötä sekä kansallisella että EU:n tasolla yhteistyössä kaikkien valtionhallinnon eri tasojen kanssa. Myös suuren yleisön panosta tarvitaan. Vihreässä kirjassa esitellään vaihtoehtoja, joita komissiolla on käytettävissään, kun se pyrkii vastaamaan neuvoston pyyntöön perustaa Euroopan elintärkeiden infrastruktuureiden suojaamisohjelma sekä varoitusjärjestelmä. Vihreä kirja on toinen vaihe kuulemismenettelyssä, jonka tavoitteena on tällaisen suojaamisohjelman perustaminen. Komissio toivoo saavansa vihreän kirjan avulla konkreettista palautetta hahmotelluista vaihtoehdoista. Euroopan elintärkeiden infrastruktuureiden suojaamisohjelmaa varten pyritään laatimaan toimenpidekokonaisuus vuonna 2006, mutta aikataulu riippuu kuulemismenettelyn lopputuloksesta. 3. EU:N SUOJAAMISOHJELMAN TAVOITTEET JA LAAJUUS 3.1. EU:n suojaamisohjelman yleiset tavoitteet Euroopan elintärkeiden infrastruktuureiden suojaamisohjelman tavoitteena on varmistaa, että elintärkeiden infrastruktuureiden suojaaminen ja turvaaminen on riittävällä ja yhtenäisellä tasolla koko unionissa, että haavoittuvia kohtia on mahdollisimman vähän ja ne ovat mahdollisimman pieniä ja että on olemassa nopeat ja testatut järjestelyt tilanteen palauttamiseksi entiselleen. Kaikkia elintärkeitä infrastruktuureita ei ehkä tarvitse suojata samantasoisesti ja suojaamisen taso saattaa riippua siitä, millainen vaikutus tietyn elintärkeän infrastruktuurin toimintahäiriöllä on. EU:n suojaamisohjelmaa olisi kehitettävä jatkuvasti, ja ohjelmaa on tarkistettava säännöllisesti sitä mukaan kuin yhteisössä ilmenee uusia ongelmia ja huolenaiheita. EU:n suojaamisohjelmassa olisi huolehdittava siitä, että turvallisuusinvestointien lisääminen heikentää mahdollisimman vähän jonkin tietyn toimialan kilpailukykyä. Kun lasketaan kustannusten suhteellisuutta, ei pidä unohtaa, että markkinoiden vakauden säilyttäminen on pitkäaikaisten investointien kannalta elintärkeää. Samoin on muistettava turvallisuuden vaikutus arvopaperimarkkinoihin ja kansantalouteen. Kysymys Onko tämä EU:n suojaamisohjelmalle sopiva tavoite? Jos ei, millaisiin tavoitteisiin pitäisi pyrkiä? 3.2. Mitä vastaan EU:n suojaamisohjelmalla pitäisi suojautua? Seurausten hallintaan tarkoitetut toimenpiteet ovat useimmissa häiriötilanteissa samanlaisia tai ainakin samankaltaisia, mutta suojaamistoimenpiteet voivat poiketa toisistaan uhan luonteesta riippuen. Tahalliset hyökkäykset ja luonnonmullistukset voidaan mainita esimerkkeinä uhista, jotka huomattavasti alentavat valmiuksia varmistaa väestön olennaiset tarpeet ja turvallisuus, ylläpitää järjestystä ja tuottaa keskeisimmät julkiset palvelut. Samoin ne uhkaavat talouden järjestäytynyttä toimintaa. Suojautumiselle voitaisiin hahmotella seuraavat vaihtoehdot: a) suojautuminen kaikilta uhilta kaikissa tilanteissa – Tässä kaiken kattavassa lähestymistavassa varauduttaisiin sekä tahallisten hyökkäysten että luonnonmullistusten aiheuttamaan uhkaan. Siinä varmistettaisiin, että suojaamistoimenpiteiden yhteisvaikutuksesta saataisiin kaikki hyöty irti, mutta ei korostettaisi erityisesti terrorismia; b) suojautuminen kaikilta uhilta pitäen terroritoimia ensisijaisena kohteena – Tämä olisi joustava lähestymistapa, jossa pidettäisiin terrorismia ensisijaisena kohteena mutta varmistettaisiin varautuminen myös muihin uhkiin, kuten tahallisiin hyökkäyksiin ja luonnonmullistuksiin. Jos suojaamistoimenpiteiden havaittaisiin olevan riittävällä tasolla jollakin tietyllä toimialalla, sidosryhmät keskittyisivät niihin uhkiin, joille ne ovat edelleen alttiina; c) suojautuminen terrorismilta – Tässä lähestymistavassa keskityttäisiin terrorismiin eikä kiinnitettäisi erityistä huomiota yleisempiin uhkakuviin. Kysymys Mikä lähestymistapa EU:n suojaamisohjelmassa pitäisi valita? Miksi? 4. EHDOTETUT KESKEISET PERIAATTEET EU:n suojaamisohjelmalle esitetään seuraavia keskeisiä periaatteita: - Toissijaisuus – Keskeistä EU:n suojaamisohjelmalle olisi toissijaisuus, sillä elintärkeiden infrastruktuureiden suojaaminen kuuluisi ennen kaikkea kansallisen vastuun piiriin. Pääasiallinen vastuu elintärkeiden infrastruktuureiden suojaamisesta olisi jäsenvaltioilla ja infrastruktuurin omistajilla/ylläpitäjillä, jotka noudattaisivat yhteistä kehystä. Komissio puolestaan keskittyisi seikkoihin, jotka liittyvät elintärkeiden infrastruktuureiden suojaamiseen silloin kun vaikutukset EU:ssa ulottuvat yli rajojen. Omistajien ja ylläpitäjien vastuu tehdä itse omaisuutensa suojaamista koskevat päätökset ja suunnitelmat tulisi säilyttää ennallaan. - Täydentävyys – EU:n suojaamisohjelman yleinen kehys täydentäisi nykyisiä toimenpiteitä. Jos käytössä on jo yhteisön mekanismeja, niiden käyttöä jatkettaisiin ja ne edistäisivät osaltaan suojaamisohjelman yleistä täytäntöönpanoa. - Luottamuksellisuus – Tietojen vaihtaminen elintärkeistä infrastruktuureista edellyttää luottamuksellista ilmapiiriä. Tämä on välttämätöntä, sillä yksityiskohtaisia tietoja jostakin tietystä elintärkeän infrastruktuurin omaisuuserästä voidaan käyttää tällaisten infrastruktuurilaitosten toiminnan häiritsemiseksi tai haitallisten seurausten aiheuttamiseksi. Elintärkeiden infrastruktuureiden suojaamiseen liittyvät tiedot luokiteltaisiin salaisiksi, ja tietoihin voisivat tutustua ainoastaan ne tahot, jotka tietoja todella tarvitsevat sekä EU:n että jäsenvaltioiden tasolla. - Sidosryhmien yhteistyö – Kaikkien sidosryhmien on osallistuttava elintärkeiden infrastruktuureiden suojaamiseen. Sidosryhmiä ovat muun muassa jäsenvaltiot, komissio, toimialajärjestöt ja liike-elämän järjestöt, standardointilaitokset ja elintärkeiden infrastruktuureiden omistajat, ylläpitäjät ja käyttäjät (’käyttäjät’ määritellään organisaatioiksi, jotka hyödyntävät ja käyttävät infrastruktuuria liike-elämässä ja palveluiden tarjoamiseksi). Kaikkien sidosryhmien olisi tehtävä yhteistyötä ja osallistuttava EU:n suojaamisohjelman kehittämiseen ja täytäntöönpanoon oman asemansa ja vastuualueidensa mukaisesti. Jäsenvaltioiden viranomaiset johtaisivat ja koordinoisivat toimintaa niin, että niiden lainkäyttöalueella voitaisiin kehittää ja panna täytäntöön kansallisesti johdonmukainen lähestymistapa elintärkeiden infrastruktuureiden suojaamiseen. Omistajat, ylläpitäjät ja käyttäjät olisivat aktiivisesti mukana kansallisella ja EU:n tasolla. Jos alakohtaisia standardeja ei ole tai kun kansainvälisiä normeja ei vielä ole vahvistettu, standardointilaitokset hyväksyisivät tarpeen mukaan yhteisiä standardeja. - Suhteellisuus – Suojaamisstrategiat ja -toimenpiteet olisivat suhteessa riskitasoon, sillä kaikkia infrastruktuureita ei voida suojata kaikilta uhilta (esimerkiksi sähkönsiirtoverkot ovat niin laajoja, ettei niitä voida aidata tai vartioida). Soveltamalla tarkoituksenmukaisia riskinhallintekniikoita keskityttäisiin niihin alueisiin, joilla riskit ovat suurimmat, ja otettaisiin huomioon uhat, suhteellinen kriittisyys, kustannushyötysuhde, turvatoimien taso ja käytettävissä olevien lieventämisstrategioiden tehokkuus. Kysymys Ovatko nämä keskeiset periaatteet hyväksyttävissä? Ovatko jotkin niistä tarpeettomia? Mitä muita periaatteita olisi otettava huomioon? Oletteko samaa mieltä siitä, että suojaamistoimenpiteet olisi suhteutettava riskitasoon, koska kaikkia infrastruktuureita ei voida suojata kaikilta uhilta? 5. EU:N SUOJAAMISOHJELMAN YHTEINEN KEHYS Jos jokin infrastruktuurin osa vaurioituu tai menetetään jossakin jäsenvaltiossa, tämä voi vaikuttaa kielteisesti moniin muihin jäsenvaltioihin tai koko Euroopan talouteen. Tällaisen mahdollisuuden todennäköisyys kasvaa koko ajan, sillä uusien teknologioiden (esim. Internet) ja markkinoiden vapautumisen (esim. sähkön- ja kaasuntoimitukset) myötä huomattava osa infrastruktuurista muuttuu osaksi laajempaa verkkoa. Tällaisessa tilanteessa suojaamistoimenpiteet ovat yhtä vahvat kuin niiden heikoin lenkki. Tämän vuoksi yhtäläinen suojaamisen taso saattaa olla tarpeen. Tehokas suojaaminen edellyttää kaikkien sidosryhmien keskinäistä viestintää, koordinaatiota ja yhteistyötä kansallisella ja (tarvittaessa) EU:n tasolla sekä kansainvälisesti. Käyttöön voitaisiin ottaa yhteinen EU:n tason kehys elintärkeiden infrastruktuureiden suojaamiseksi Euroopassa, jotta voitaisiin varmistaa, että kaikki jäsenvaltiot suojaavat elintärkeitä infrastruktuureitaan riittävällä ja yhdenmukaisella tavalla ja että kilpailusäännöt eivät vääristy sisämarkkinoilla. Tukeakseen jäsenvaltioiden toteuttamia toimia komissio helpottaisi elintärkeiden infrastruktuureiden suojaamiseen liittyvien parhaiden käytänteiden määrittämistä, vaihtoa ja levitystä vahvistamalla yhteisen kehyksen elintärkeiden infrastruktuureiden suojaamiseksi. Tällaisen yleisen kehyksen laajuutta on pohdittava. EU:n suojaamisohjelman yhteinen kehys sisältäisi horisontaalisia toimenpiteitä, joilla määriteltäisiin kaikkien elintärkeiden infrastruktuureiden suojaamiseen osallistuvien sidosryhmien toimivalta ja vastuualueet sekä luotaisiin perusta alakohtaisille toimille. Yhteisen kehyksen tarkoituksena on täydentää nykyisiä alakohtaisia toimenpiteitä yhteisön ja jäsenvaltioiden tasolla, jotta Euroopan unionin elintärkeitä infrastruktuureita voitaisiin suojata mahdollisimman hyvin. Ennen kaikkea olisi päästävä yhteisymmärrykseen yhteisistä määritelmistä ja elintärkeistä infrastruktuurialoista. Koska elintärkeitä infrastruktuureita on hyvin monilla eri aloilla, horisontaalisessa kehyksessä olisi vaikeaa kuvata täsmällisesti perusteet, joita olisi käytettävä kaikkien elintärkeiden infrastruktuureiden määrittämiseksi ja suojaamiseksi. Nämä perusteet olisikin määriteltävä alakohtaisesti. Tietyistä eri aloja yhdistävistä aiheista olisi kuitenkin päästävä yhteisymmärrykseen. Näin ollen ehdotetaankin, että elintärkeitä infrastruktuureita vahvistettaisiin EU:ssa määrittelemällä suojaamisohjelmalle yhteinen kehys (yhteiset tavoitteet, menetelmät muun muassa vertailujen tekemiseksi, riippuvuussuhteet), vaihtamalla parhaita käytänteitä ja seuraamalla, että vaatimuksia noudatetaan. Yhteiseen kehykseen voisi sisältyä seuraavia tekijöitä: - elintärkeiden infrastruktuureiden suojaamisen yhteiset periaatteet; - yhteisesti hyväksytyt säännöt/standardit - yhteiset määritelmät, joiden perusteella voidaan sopia alakohtaisista määritelmistä (liitteessä 1 on ohjeellinen luettelo määritelmistä); - yhteinen luettelo elintärkeistä infrastruktuurialoista (liitteessä 2 on ohjeellinen luettelo); - elintärkeiden infrastruktuureiden suojaamisen painopisteet; - asianomaisten sidosryhmien vastuualueiden kuvaus; - sovitut vertailuarvot; - menetelmät infrastruktuureiden vertailemiseksi ja priorisoimiseksi eri aloilla. Tällaisen yhteisen kehyksen ansiosta sisämarkkinoihin mahdollisesti kohdistuvat vääristävät vaikutukset jäisivät mahdollisimman vähäisiksi. EU:n suojaamisohjelman yhteinen kehys voisi olla vapaavalintainen tai pakollinen tai näiden yhdistelmä asiasta riippuen. Molemmantyyppiset kehykset täydentäisivät nykyisiä alakohtaisia ja horisontaalisia toimenpiteitä yhteisön ja jäsenvaltioiden tasolla. Ainoastaan vahvistamalla oikeudellinen kehys voidaan kuitenkin luoda vahva ja valvottavissa oleva oikeusperusta, jonka turvin EU:n elintärkeiden infrastruktuureiden suojaamiseksi toteutettavat toimenpiteet voidaan panna täytäntöön yhtenäisesti ja yhdenmukaisesti sekä määritellä selkeästi jäsenvaltioiden ja komission vastuualueet. Vapaaehtoiset toimenpiteet, jotka eivät ole luonteeltaan sitovia, ovat kylläkin joustavia mutta niiden perusteella jää epäselväksi, kenen vastuulla on minkäkin tehtävän suorittaminen. Asiaa huolellisesti tarkasteltuaan ja ehdotettujen toimenpiteiden suhteellisuuden asianmukaisesti huomioon ottaen komissio voi turvautua EU:n suojaamisohjelmaa koskevassa ehdotuksessaan erilaisiin välineisiin, myös lainsäädäntöön. Toimenpiteitä koskeviin ehdotuksiin liitetään tarpeen mukaan vaikutustenarvio. Kysymykset Voitaisiinko elintärkeiden infrastruktuureiden suojaamista tehostaa yhteisellä kehyksellä? Jos lainsäädäntökehys on tarpeen, millaisia osatekijöitä siinä tulisi olla? Oletteko samaa mieltä siitä, että erityyppisten EU:n elintärkeiden infrastruktuureiden määrittämiseksi ja suojaamistoimenpiteiden toteuttamiseksi olisi oltava alakohtaiset perusteet? Auttaisiko yhteinen kehys selkeyttämään eri sidosryhmien vastuualueita? Missä määrin tällaisen yhteisen kehyksen soveltamisen olisi oltava pakollista ja missä määrin vapaaehtoista? Kuinka laaja yhteisen kehyksen tulisi olla? Ovatko liitteessä 1 olevat ohjeelliset ilmaisut ja määritelmät mielestänne asianmukaisia? Näiden ilmaisujen ja määritelmien perusteella voitaisiin luoda (tarvittaessa) alakohtaiset määritelmät. Onko liitteessä 2 oleva ohjeellinen luettelo elintärkeistä infrastruktuurialoista mielestänne asianmukainen? 6. EU:N ELINTÄRKEÄT INFRASTRUKTUURIT 6.1. EU:n elintärkeiden infrastruktuureiden määritelmä Siihen, mikä määritellään EU:n elintärkeäksi infrastruktuuriksi, vaikuttaa se, miten vakavia rajat ylittäviä vaikutuksia kyseisellä tapahtumalla olisi laitoksen sijaintijäsenvaltion rajojen ulkopuolella. On myös otettava huomioon, että jäsenvaltiot ovat jo pitkään laatineet kahdenvälisiä elintärkeiden infrastruktuureiden suojaamista koskevia yhteistyöohjelmia, jotka ovat tehokas keino suojata kahteen jäsenvaltioon vaikuttavia elintärkeitä infrastruktuureita. Tällainen yhteistyö täydentäisi EU:n suojaamisohjelmaa. EU:n elintärkeät infrastruktuurit muodostuvat niistä fyysisistä voimavaroista, palveluista, tietoteknisistä laitteista, verkoista ja infrastruktuurin omaisuuseristä, joiden vahingoittuminen tai tuhoutuminen vaikuttaisi vakavasti terveyteen, turvallisuuteen ja taloudelliseen tai sosiaaliseen hyvinvointiin seuraavissa kohdissa määritellyissä kohteissa: (a) vähintään kaksi jäsenvaltiota – tähän sisältyisi tietynlainen kahdenvälinen elintärkeä infrastruktuuri (tarpeen mukaan); (b) vähintään kolme jäsenvaltiota – tähän ei kuuluisi lainkaan kahdenvälistä elintärkeää infrastruktuuria. Näihin vaihtoehtoihin sisältyviä etuja pohdittaessa on pidettävä mielessä seuraavat seikat: - se, että jokin infrastruktuurin osa nimetään EU:n elintärkeäksi infrastruktuuriksi, ei välttämättä merkitse, että tarvitaan uusia suojaamistoimenpiteitä. Nykyiset suojaamistoimenpiteet, joihin voi sisältyä jäsenvaltioiden kahdenvälisiä sopimuksia, saattavat olla täysin riittäviä, joten infrastruktuurin nimeäminen EU:n elintärkeäksi infrastruktuuriksi ei vaikuttaisi niihin, - vaihtoehto a) saattaa merkitä, että huomattava määrä infrastruktuuria on nimettävä EU:n elintärkeäksi infrastruktuuriksi, - vaihtoehto b) saattaa merkitä, että jos infrastruktuurilla on merkitystä ainoastaan kahdelle jäsenvaltiolle, yhteisö ei voi vaikuttaa asiaan, vaikka toinen jäsenvaltioista pitäisi suojaamisen tasoa riittämättömänä mutta toinen jäsenvaltio kieltäytyisi ryhtymästä toimiin. Vaihtoehto b) saattaisi johtaa useisiin kahdenvälisiin sopimuksiin tai kiistoihin jäsenvaltioiden välillä. Koska yritykset toimivat usein koko Euroopan tasolla, ne saattavat päätyä varsinaiseen sopimusviidakkoon, mikä saattaa aiheuttaa lisäkustannuksia. Huomioon olisi lisäksi otettava EU:n ulkopuolelta peräisin oleva tai EU:n ulkopuolella toimiva elintärkeä infrastruktuuri, jos se on yhteydessä tai mahdollisesti vaikuttaa suoraan EU:hun tai jäsenvaltioihin. Kysymys Olisiko EU:n elintärkeäksi infrastruktuuriksi katsottava infrastruktuuri, jolla saattaa olla vakavia rajojen ylitse ulottuvia vaikutuksia vähintään kahdessa jäsenvaltiossa, vaiko infrastruktuuri, jolla saattaa olla tällaisia vaikutuksia vähintään kolmessa jäsenvaltiossa? Miksi? 6.2. Riippuvuussuhteet Pyrittäessä vähitellen määrittämään EU:n elintärkeä infrastruktuuri huomioon olisi otettava riippuvuussuhteet. Riippuvuussuhteita koskevista tutkimuksista olisi apua arvioitaessa, millaisia vaikutuksia tiettyyn elintärkeään infrastruktuuriin kohdistuvista uhista saattaisi aiheutua, ja erityisesti sen selvittämiseksi, mihin jäsenvaltioon vaikutukset kohdistuisivat, jos elintärkeä infrastruktuuri häiriintyisi huomattavalla tavalla. Erityisesti otettaisiin huomioon yritysten, toimialojen, maantieteellisten lainkäyttöalueiden ja jäsenvaltioiden viranomaisten sisäiset ja keskinäiset riippuvuussuhteet, varsinkin silloin kun nämä suhteet ovat riippuvaisia tieto- ja viestintäteknologiasta. Komissio, jäsenvaltiot ja elintärkeiden infrastruktuureiden omistajat ja ylläpitäjät tekisivät yhteistyötä näiden riippuvuussuhteiden toteamiseksi ja riskien vähentämiseksi mahdollisuuksien mukaan. Kysymys Kuinka riippuvuussuhteet voidaan ottaa huomioon? Onko tiedossanne sopivia menetelmiä riippuvuussuhteiden analysoimiseksi? Olisiko riippuvuussuhteet pyrittävä määrittämään EU:n vai jäsenvaltioiden tasolla? 6.3. Millaisia eri vaiheita EU:n elintärkeiden infrastruktuureiden suojaaminen edellyttää? Komissio ehdottaa EU:n elintärkeiden infrastruktuureiden suojaamiselle seuraavia vaiheita: 1. Komissio laatii yhdessä jäsenvaltioiden kanssa erityiset perusteet, joiden avulla voidaan määrittää EU:n elintärkeät infrastruktuurit alakohtaisesti. 2. Jäsenvaltiot ja komissio määrittävät ja varmentavat vähitellen EU:n elintärkeät infrastruktuurit alakohtaisesti. Päätös nimetä jokin tietty infrastruktuuri EU:n kannalta elintärkeäksi on tehtävä unionin tasolla[1], sillä nämä infrastruktuurit ovat luonteeltaan rajatylittäviä. 3. Jäsenvaltiot ja komissio arvioivat alakohtaisesti, millaisia turvallisuusvajeita EU:n elintärkeissä infrastruktuureissa nykyisellään on. 4. Jäsenvaltiot ja komissio sopivat painopistealoista/toimia kaipaavista infrastruktuureista ottaen samalla huomioon riippuvuussuhteet. 5. Tarpeen mukaan komissio ja jäsenvaltioiden merkittävimmät sidosryhmät ehdottavat kutakin alaa varten vähimmäissuojan takaavia toimenpiteitä, joihin voidaan sisällyttää standardeja. 6. Kun neuvosto on hyväksynyt ehdotukset, toimenpiteiden toteutus voi alkaa. 7. Jäsenvaltiot ja komissio huolehtivat säännöllisestä seurannasta. Tarkistuksia tehdään tarpeen mukaan (toimenpiteet ja elintärkeän infrastruktuurin määrittäminen). Kysymykset Pidättekö näitä EU:n elintärkeän infrastruktuurin määrittämiseen liittyviä vaiheita hyväksyttävinä? Kuinka mielestänne komission ja jäsenvaltioiden olisi yhdessä nimettävä EU:n elintärkeät infrastruktuurit – jäsenvaltioilla on asiantuntemus, mutta toisaalta komissio valvoo yleiseurooppalaista etua? Pitäisikö asiasta tehdä oikeudellinen päätös? Olisiko käyttöön otettava sovittelumenettely, jos jokin jäsenvaltio ei hyväksy lainkäyttöalueeseensa kuuluvan infrastruktuurin nimeämistä EU:n elintärkeäksi infrastruktuuriksi? Olisiko tällaiset infrastruktuurin nimeämiset varmennettava? Minkä tahon tämä pitäisi tehdä? Pitäisikö jäsenvaltioiden pystyä nimeämään jossakin toisessa jäsenvaltiossa tai yhteisön ulkopuolisessa maassa oleva infrastruktuuri niille elintärkeäksi? Miten pitäisi menetellä, jos jokin jäsenvaltio, toimiala tai yhteisön ulkopuolinen maa pitää jossakin jäsenvaltiossa olevaa infrastruktuuria omalta kannaltaan elintärkeänä? Miten pitäisi menetellä, jos jäsenvaltio, jossa infrastruktuuri sijaitsee, ei katso sitä elintärkeäksi? Tarvitaanko jonkinlaista muutoksenhakumenettelyä? Jos tarvitaan, millainen sen pitäisi olla? Pitäisikö toimijoilla olla mahdollisuus hakea muutosta, jos ne eivät hyväksy nimeämistään tai nimeämättä jättämistään? Jos pitäisi, kenelle muutoksenhaku pitäisi osoittaa? Millaisia menetelmiä pitäisi kehittää määriteltäessä painopistealoja taikka toimia kaipaavia infrastruktuureita? Onko jo olemassa sopivia menetelmiä, jotka voitaisiin mukauttaa Euroopan tasolle? Kuinka komissio voisi osallistua EU:n elintärkeissä infrastruktuureissa olevien turvallisuusvajeiden arviointiin? 7. KANSALLISET ELINTÄRKEÄT INFRASTRUKTUURIT 7.1. Kansallisten elintärkeiden infrastruktuureiden asema EU:n suojaamisohjelmassa Monet eurooppalaiset yritykset toimivat yli rajojen, ja sen vuoksi niihin kohdistuu kansallisia elintärkeitä infrastruktuureita koskevia erilaisia velvoitteita. Tämän vuoksi ehdotetaan jäsenvaltioiden ja koko EU:n edun mukaisesti, että kukin jäsenvaltio noudattaa yhteistä kehystä, kun se suojelee kansallisia elintärkeitä infrastruktuureitaan. Näin infrastruktuureiden omistajat ja ylläpitäjät kautta koko Euroopan hyötyisivät siitä, että niihin ei kohdistu erilaisia vaatimuksia, jotka puolestaan johtavat moninaisiin menetelmiin ja lisäkustannuksiin. Komissio ehdottaa, että vaikka EU:n suojaamisohjelmassa keskityttäisiin ennen kaikkea EU:n elintärkeisiin infrastruktuureihin, siinä ei kokonaan jätettäisi huomiotta kansallisia elintärkeitä infrastruktuureita. Voidaan hahmotella kolme erilaista vaihtoehtoa: a) kansalliset elintärkeät infrastruktuurit sisällytetään täydellisesti EU:n suojaamisohjelmaan b) kansalliset elintärkeät infrastruktuurit jätetään EU:n suojaamisohjelman ulkopuolelle c) jäsenvaltiot voivat harkintansa mukaan soveltaa kansallisiin elintärkeisiin infrastruktuureihinsa EU:n suojaamisohjelman osia, mutta niitä ei velvoiteta tähän. Kysymys Elintärkeiden infrastruktuureiden tehokas suojaaminen Euroopan unionissa näyttäisi edellyttävän sekä EU:n että kansallisten elintärkeiden infrastruktuureiden määrittämistä. Oletteko samaa mieltä siitä, että vaikka EU:n suojaamisohjelmassa olisi keskityttävä EU:n elintärkeisiin infrastruktuureihin, kansallisia elintärkeitä infrastruktuureita ei voida jättää kokonaan pois? Mitä edellä olevista vaihtoehdoista pidätte parhaana EU:n suojaamisohjelman kannalta? 7.2. Kansalliset elintärkeiden infrastruktuureiden suojaamisohjelmat Jäsenvaltiot voisivat EU:n suojaamisohjelman yleisen kehyksen perusteella laatia kansallisia elintärkeiden infrastruktuureiden suojaamisohjelmia. Jäsenvaltiot voisivat soveltaa EU:n suojaamisohjelmaa tiukempia toimenpiteitä. Kysymys Pitäisikö kaikkien jäsenvaltioiden laatia EU:n suojaamisohjelman perusteella kansallinen elintärkeiden infrastruktuureiden suojaamisohjelma? 7.3. Valvonnan keskittäminen yhdelle taholle Tehokkuuden ja johdonmukaisuuden varmistamiseksi kunkin jäsenvaltion olisi nimettävä taho, joka hoitaisi EU:n suojaamisohjelman yleiseen täytäntöönpanoon liittyviä asioita. Vaihtoehtoja voisi olla kaksi: (a) Nimettäisiin yksi elintärkeän infrastruktuurin suojaamisen valvonnasta vastaava taho. (b) Nimettäisiin kansallinen yhteyspiste, jolla ei olisi toimivaltaa. Jäsenvaltiot saisivat itse päättää valvonnan järjestämisestä. Tällainen valvontaelin koordinoisi, seuraisi ja valvoisi EU:n suojaamisohjelman täytäntöönpanoa lainkäyttöalueellaan, ja se voisi toimia kansallisena yhteyspisteenä, kun kyseessä ovat elintärkeiden infrastruktuureiden suojaamiseen liittyvät asiat, jotka edellyttävät yhteydenpitoa komission, muiden jäsenvaltioiden ja elintärkeiden infrastruktuureiden omistajien ja ylläpitäjien kanssa. Kyseinen elin voisi edustaa jäsenvaltiota asiantuntijaryhmissä, joissa käsitellään elintärkeiden infrastruktuureiden suojaamiseen liittyviä asioita, ja se voisi myös toimia elintärkeiden infrastruktuureiden varoitusjärjestelmässä (CIWIN). Elintärkeiden infrastruktuureiden suojaamisen kansallinen koordinaatioelin (jäljempänä ’kansallinen koordinaatioelin’) voisi koordinoida elintärkeiden infrastruktuureiden suojaamiseen liittyviä kansallisia kysymyksiä siitä riippumatta, onko jäsenvaltiossa jo muita laitoksia tai yksiköitä, jotka ovat mukana elintärkeiden infrastruktuureiden suojaamisessa. Kansalliset elintärkeät infrastruktuurit voitaisiin määrittää vähitellen velvoittamalla infrastruktuurin omistajat ja ylläpitäjät ilmoittamaan kansalliselle koordinaatioelimelle mahdollisista elintärkeiden infrastruktuureiden suojaamiseen liittyvistä liiketoimista. Kansallisen koordinaatioelimen vastuulla olisi tehdä oikeudellinen päätös lainkäyttöalueeseensa kuuluvan infrastruktuurin nimeämisestä kansalliseksi elintärkeäksi infrastruktuuriksi. Nämä tiedot olisivat ainoastaan kyseisen jäsenvaltion saatavilla. Erityisiä toimivalta-alueita voisivat olla seuraavat: a) EU:n suojaamisohjelman yleisen täytäntöönpanon koordinoiminen, seuranta ja valvonta jäsenvaltiossa. b) Toimiminen kansallisena yhteyspisteenä elintärkeiden infrastruktuureiden suojaamiseen liittyvissä asioissa, jotka edellyttävät yhteydenpitoa seuraavien tahojen kanssa: i. komissio ii. muut jäsenvaltiot iii. elintärkeiden infrastruktuureiden omistajat ja ylläpitäjät c) Avustaminen EU:n elintärkeiden infrastruktuureiden nimeämisessä. d) Oikeudellisen päätöksen tekeminen asianomaiseen lainkäyttöalueeseen kuuluvan infrastruktuurin nimeämisestä kansalliseksi elintärkeäksi infrastruktuuriksi. e) Toimiminen viranomaistahona, jonka puoleen omistajat ja ylläpitäjät voivat kääntyä, jos ne eivät hyväksy päätöstä nimetä niiden infrastruktuuri elintärkeäksi infrastruktuuriksi. f) Avustaminen kansallisten elintärkeiden infrastruktuureiden suojaamisohjelman ja alakohtaisten erityisohjelmien laatimisessa. g) Erityisten elintärkeiden infrastruktuurialojen välisten riippuvuussuhteiden toteaminen. h) Alakohtaisten lähestymistapojen edistäminen elintärkeiden infrastruktuureiden suojaamisen alalla osallistumalla asiantuntijaryhmien työskentelyyn. Omistajien ja ylläpitäjien edustajia voitaisiin kutsua mukaan tuomaan oma panoksensa keskusteluihin. Kokouksia voitaisiin järjestää säännöllisesti. i) Elintärkeisiin infrastruktuureihin liittyvien varosuunnitelmien laatimisprosessin valvominen. Kysymykset Oletteko samaa mieltä siitä, että jäsenvaltioilla olisi yksinomainen vastuu kansallisten elintärkeiden infrastruktuureiden nimeämisestä ja hoitamisesta samalla kun ne noudattavat EU:n suojaamisohjelman yhteistä kehystä? Onko suotavaa nimetä kuhunkin jäsenvaltioon koordinaatioelin, jolla on yleinen vastuu elintärkeiden infrastruktuureiden suojaamiseen liittyvien toimenpiteiden koordinoimisesta, vaikka nykyiset alakohtaiset vastuualueet eivät muutu miksikään (siviili-ilmailuviranomaiset, Seveso-direktiivi jne.)? Ovatko koordinaatioelimelle ehdotetut toimivalta-alueet mielestänne tarkoituksenmukaisia? Pitäisikö koordinaatioelimelle mielestänne asettaa myös muita tehtäviä? 7.4. Millaisia eri vaiheita kansallisten elintärkeiden infrastruktuureiden suojaaminen edellyttää? Komissio ehdottaa kansallisten elintärkeiden infrastruktuureiden suojaamiselle seuraavia vaiheita: 8. Jäsenvaltiot laativat EU:n suojaamisohjelman perusteella erityiset perusteet, joiden avulla voidaan määrittää kansalliset elintärkeät infrastruktuurit. 9. Jäsenvaltiot määrittävät ja varmentavat vähitellen kansalliset elintärkeät infrastruktuurit alakohtaisesti. 10. Jäsenvaltiot arvioivat alakohtaisesti, millaisia turvallisuusvajeita kansallisissa elintärkeissä infrastruktuureissa nykyisellään on. 11. Jäsenvaltiot vahvistavat painopistealueet ottaen samalla tarvittaessa huomioon riippuvuussuhteet ja EU:n tasolla sovitut painopisteet. 12. Tarvittaessa jäsenvaltiot vahvistavat vähimmäissuojan takaavat alakohtaiset toimenpiteet. 13. Jäsenvaltioiden vastuulla on varmistaa, että niiden lainkäyttöalueella olevat omistajat/ylläpitäjät toteuttavat tarvittavat täytäntöönpanotoimenpiteet. 14. Jäsenvaltiot huolehtivat säännöllistä seurannasta. Tarkistuksia tehdään tarpeen mukaan (toimenpiteet ja elintärkeän infrastruktuurin määrittäminen). Kysymys Pidättekö näitä kansallisten elintärkeiden infrastruktuureiden määrittämiseen liittyviä vaiheita hyväksyttävinä? Ovatko jotkin niistä tarpeettomia? Millaiset muut vaihteet olisivat tarpeen? 8. ELINTÄRKEIDEN INFRASTRUKTUUREIDEN OMISTAJIEN, YLLÄPITÄJIEN JA KÄYTTÄJIEN ASEMA 8.1. Elintärkeiden infrastruktuureiden omistajien, ylläpitäjien ja käyttäjien vastuualueet Infrastruktuurin nimeäminen elintärkeäksi tuo omistajille ja ylläpitäjille tietynlaista vastuuta. Jos infrastruktuuri nimetään kansallisesti tai EU:n kannalta elintärkeäksi, omistajalla tai ylläpitäjällä voidaan ajatella olevan neljä erilaista vastuualuetta: 15. Elintärkeiden infrastruktuureiden suojaamisesta jäsenvaltiossa vastaavalle elimelle on ilmoitettava infrastruktuurista, joka saattaa olla luonteeltaan elintärkeää. 16. Johtavan tason edustajista on nimettävä yksi tai useampi turvallisuusyhteyshenkilö hoitamaan omistajan/ylläpitäjän yhteyksiä elintärkeiden infrastruktuureiden suojaamisesta jäsenvaltiossa vastaavaan elimeen . Turvallisuusyhteyshenkilö osallistuisi turvallisuus- ja varosuunnitelmien laatimiseen. Turvallisuusyhteyshenkilön tehtävänä olisi hoitaa yhteyksiä elintärkeiden infrastruktuureiden suojaamisesta jäsenvaltiossa vastaavan elimeen ja tarvittaessa muihin lainvalvontaviranomaisiin. 17. Turvallisuussuunnitelman laatiminen, täytäntöönpano ja päivittäminen. Liitteessä 3 on ehdotus turvallisuussuunnitelman malliksi. 18. Pyydettäessä osallistuminen elintärkeitä infrastruktuureita koskevan varosuunnitelman kehittämiseen jäsenvaltion pelastuspalvelu- ja lainvalvontaviranomaisten kanssa. Turvallisuussuunnitelmalta voitaisiin edellyttää alan elintärkeiden infrastruktuureiden suojaamisesta vastaavan viranomaisen hyväksyntää kansallisen koordinaatioelimen yleisessä valvonnassa riippumatta siitä, onko kyseinen infrastruktuuri elintärkeää kansallisesti vai EU:n kannalta. Tämä varmistaisi yksittäisten omistajien ja ylläpitäjien toteuttamien turvatoimien ja asianomaisten alojen yleisen johdonmukaisuuden. Vastineeksi kansallinen koordinaatioelin ja tarpeen mukaan komissio antaisivat omistajille ja ylläpitäjille palautetta ja tukea sen suhteen, millaisia ovat merkitykselliset uhkakuvat, miten parhaat käytänteet ovat kehittyneet ja tapauksen mukaan miten riippuvuussuhteita ja heikkouksia voidaan arvioida. Jäsenvaltiot voisivat asettaa määräajan, jonka kuluessa kansallisten ja EU:n elintärkeiden infrastruktuureiden omistajien ja ylläpitäjien olisi laadittava turvallisuussuunnitelma (jos kyseessä olisi EU:n elintärkeä infrastruktuuri, myös komissio olisi mukana). Ne voisivat määrätä sakkoja, jos määräaikoja ei noudatettaisi. Turvallisuussuunnitelmassa määritettäisiin omistajan/ylläpitäjän elintärkeän infrastruktuurin omaisuuserät ja esitettäisiin turvallisuusratkaisut niiden suojaamiseksi. Turvallisuussuunnitelmassa kuvattaisiin menetelmät ja menettelyt, joilla varmistetaan Euroopan elintärkeiden infrastruktuureiden suojaamisohjelman, kansallisten suojaamisohjelmien ja asianomaisten alakohtaisten suojaamisohjelmien noudattaminen. Turvallisuussuunnitelma mahdollistaisi alhaalta ylöspäin suuntautuvan lähestymistavan elintärkeiden infrastruktuureiden suojaamisen säätelyyn ja antaisi yksityissektorille enemmän liikkumavaraa (ja myös enemmän vastuuta). Jos kyseessä on esimerkiksi sähkö- tai tietoverkko, olisi (käytännölliseltä ja rahoitukselliselta kannalta) epärealistista odottaa omistajien ja ylläpitäjien turvaavan kaikki omaisuuseränsä samantasoisesti. Tällaisissa tapauksissa ehdotetaan, että omistajat ja ylläpitäjät määrittäisivät yhdessä asianomaisten viranomaisten kanssa fyysisen verkon tai tietoverkon kriittiset pisteet (solmukohdat), joihin suojaavat turvatoimet olisi keskitettävä. Turvallisuussuunnitelmaan voisi sisältyä seuraavanlaisia turvatoimia: - Pysyvät turvatoimet eli välttämättömät turvallisuusinvestoinnit ja turvakeinot, joita omistaja/ylläpitäjä ei pysty toteuttamaan tai ottamaan käyttöön lyhyellä varoitusajalla. Omistaja/ylläpitäjä ylläpitäisi mahdollisia uhkia vastaan pysyvää valmiustilaa, joka ei häiritsisi sen tavanomaista taloudellista, hallinnollista tai sosiaalista toimintaa. - Porrastetut turvatoimet , jotka otettaisiin käyttöön uhkatasosta riippuen. Turvallisuussuunnitelmien turvajärjestelyt voisivat sen vuoksi vaihdella, sillä ne mukautettaisiin infrastruktuurin sijaintijäsenvaltiossa esiintyviin mahdollisiin uhkatasoihin. Jos elintärkeän infrastruktuurin omistaja tai ylläpitäjä ei täytä velvollisuuttaan ottaa käyttöön turvallisuussuunnitelma eikä osallistu varosuunnitelmien kehittämiseen tai nimeä turvallisuusyhteyshenkilöä, komission mielestä olisi harkittava sakkomaksun määräämistä. Kysymykset Ovatko nämä elintärkeiden infrastruktuureiden omistajien/ylläpitäjien mahdolliset vastuualueet omiaan lisäämään elintärkeiden infrastruktuureiden turvallisuutta? Mitkä olisivat niiden todennäköiset kustannukset? Pitäisikö infrastruktuurin omistajat ja ylläpitäjät velvoittaa tekemään ilmoitus, jos kyseinen infrastruktuuri saattaa olla luonteeltaan elintärkeää? Olisiko turvallisuussuunnitelmasta hyötyä? Miksi? Ovatko ehdotetut velvollisuudet oikeassa suhteessa niistä aiheutuviin kustannuksiin? Millaisia oikeuksia jäsenvaltioiden viranomaiset ja komissio voisivat antaa elintärkeiden infrastruktuureiden omistajille ja ylläpitäjille? 8.2. Elintärkeiden infrastruktuureiden omistajien, ylläpitäjien ja käyttäjien kanssa käytävä vuoropuhelu EU:n suojaamisohjelma voisi tukea infrastruktuureiden omistajien ja ylläpitäjien kumppanuutta. Suojaamisohjelman onnistuminen riippuu aina omistajien ja ylläpitäjien yhteistyön ja osallistumisen tasosta. Elintärkeiden infrastruktuureiden omistajat ja ylläpitäjät voisivat jäsenvaltioissa tiiviisti seurata tällaisten infrastruktuureiden suojaamisen alalla tapahtuvaa kehitystä pitämällä säännöllisesti yhteyttä kansalliseen koordinaatioelimeen. EU:n tasolla voitaisiin perustaa foorumeita, joilla vaihdettaisiin mielipiteitä elintärkeiden infrastruktuureiden suojaamiseen liittyvistä yleisistä ja alakohtaisista kysymyksistä. Jos kehitettäisiin yhteinen lähestymistapa siihen, miten yksityissektori saataisiin mukaan elintärkeiden infrastruktuureiden suojaamiseen, ja pystyttäisiin näin kokoamaan yhteen kaikki julkiset ja yksityiset sidosryhmät, jäsenvaltioiden, komission ja eri toimialojen käyttöön tarjottaisiin merkittävä viestintäareena, jolla voitaisiin keskustella elintärkeiden infrastruktuureiden tiimoilta esille nousevista uusista kysymyksistä. Elintärkeiden infrastruktuureiden omistajat, ylläpitäjät ja käyttäjät voisivat olla mukana yhteisten suuntaviivojen ja parhaiden käytänteiden kehittämisessä sekä tarpeen mukaan tiedonvaihdossa. Tällainen vuoropuhelu auttaisi muokkaamaan EU:n suojaamisohjelmaa tulevaisuudessa. Komissio voisi tarvittaessa kannustaa luomaan EU:n elintärkeisiin infrastruktuureihin liittyviä toimialajärjestöjä tai liike-elämän järjestöjä. Kahtena perimmäisenä tavoitteena olisi varmistaa teollisuuden kilpailukyky Euroopan unionissa ja lisätä EU:n kansalaisten turvallisuutta. Kysymys Kuinka elintärkeiden infrastruktuureiden omistajien, ylläpitäjien ja käyttäjien keskinäinen vuoropuhelu olisi järjestettävä? Minkä tahon olisi edustettava omistajia, ylläpitäjiä ja käyttäjiä yksityisen ja julkisen sektorin välisessä vuoropuhelussa? 9. MITEN EU:N SUOJAAMISOHJELMAA VOIDAAN TUKEA? 9.1. Elintärkeiden infrastruktuureiden varoitusjärjestelmä (CIWIN) Komissio on kehittänyt useita nopeita hälytysjärjestelmiä, joiden avulla voidaan reagoida konkreettisesti, koordinoidusti ja tehokkaasti muun muassa terrorismin aiheuttamiin hätätilanteisiin. Komissio ilmoitti 20. lokakuuta 2004 perustavansa keskusverkoston, jonka avulla varmistetaan nopea tiedonkulku kaikkien komission nopeiden hälytysjärjestelmien ja asianomaisten komission yksiköiden välillä (ARGUS-järjestelmä). Komissio katsoo, että olisi perustettava elintärkeiden infrastruktuureiden varoitusjärjestelmä (CIWIN), joka edistäisi tarkoituksenmukaisten suojaamistoimenpiteiden kehittämistä helpottamalla parhaiden käytänteiden vaihtoa suojatussa ympäristössä ja välittäisi samalla tietoa välittömästi uhkaavista vaaroista ja hälytyksistä. Järjestelmän avulla oikeat ihmiset saisivat oikeat tiedot oikeaan aikaan. Elintärkeiden infrastruktuureiden varoitusjärjestelmän (CIWIN) kehittämisessä voidaan edetä kolmea eri tietä: 19. Varoitusjärjestelmä toimisi foorumina, jolla ainoastaan vaihdetaan elintärkeiden infrastruktuureiden suojaamiseen liittyviä ajatuksia ja parhaita käytänteitä näiden infrastruktuureiden omistajien ja ylläpitäjien tukena. Tällainen foorumi voisi muodostua asiantuntijaverkostosta ja sähköisestä järjestelmästä, jossa tietoja vaihdettaisiin suojatussa ympäristössä. Komissiolla olisi tärkeä tehtävä tällaisten tietojen keräämisessä ja levittämisessä. Tällainen järjestelmä ei tuottaisi tarvittavia nopeita hälytyksiä välittömästi uhkaavista vaaroista. Varoitusjärjestelmää olisi kuitenkin mahdollista laajentaa tulevaisuudessa. 20. Varoitusjärjestelmä olisi nopea hälytysjärjestelmä (RAS), joka tarjoaisi jäsenvaltioille yhteyden komissioon. Tällainen järjestelmä lisäisi elintärkeiden infrastruktuureiden turvallisuutta varoittamalla välittömästi uhkaavista vaaroista ja hälytyksistä. Tavoitteena olisi helpottaa nopeaa tietojenvaihtoa elintärkeiden infrastruktuureiden omistajia ja ylläpitäjiä mahdollisesti uhkaavista tilanteista. Nopeassa hälytysjärjestelmässä ei vaihdettaisi tiedustelutietoja, jotka on kerätty pitkällä aikavälillä. Järjestelmää käytettäisiin tietojen vaihtamiseksi nopeasti jotakin tiettyä infrastruktuuria välittömästi uhkaavasta vaarasta. 21. Varoitusjärjestelmä olisi monitasoinen viestintä- ja hälytysjärjestelmä, jossa olisi kaksi erillistä osaa: a) nopea hälytysjärjestelmä, joka tarjoaisi jäsenvaltioille yhteyden komissioon, ja b) foorumi, jolla vaihdetaan elintärkeiden infrastruktuureiden suojaamiseen liittyviä ajatuksia ja parhaita käytänteitä näiden infrastruktuureiden omistajien ja ylläpitäjien tukena ja joka muodostuu asiantuntijaverkostosta ja sähköisestä tiedonvaihtojärjestelmästä. Riippumatta siitä, millainen vaihtoehto valitaan, varoitusjärjestelmä täydentäisi nykyisiä verkostoja ja kaksinkertaista työtä vältettäisiin huolellisesti. Kaikille merkityksellisille elintärkeiden infrastruktuureiden omistajille ja ylläpitäjille avautuisi kaikissa jäsenvaltioissa ennen pitkää yhteys varoitusjärjestelmään. Se voitaisiin muodostaa esimerkiksi kansallisen koordinaatioelimen välityksellä. Tiedot hälytyksistä ja parhaista käytänteistä voitaisiin kanavoida kyseisen elimen kautta, sillä se olisi ainoa suoraan komissioon ja sitä myöten kaikkiin muihin jäsenvaltioihin yhteydessä oleva yksikkö. Jäsenvaltiot voisivat hyödyntää nykyisiä tietojärjestelmiään luodakseen varoitusjärjestelmään liittyvät kansalliset valmiudet ja tarjotakseen yhteyden viranomaisten ja infrastruktuureiden omistajien ja ylläpitäjien välillä. Elintärkeiden infrastruktuureiden suojelusta jäsenvaltioissa vastaavat elimet ja infrastruktuureiden omistajat ja ylläpitäjät voisivat ennen kaikkea käyttää näitä kansallisia verkostoja kaksisuuntaiseen viestintään. Komissio toteuttaa tutkimuksen määritelläkseen varoitusjärjestelmän käyttöalueen ja tekniset eritelmät, joihin järjestelmän ja jäsenvaltioiden väliset yhteydet tulevaisuudessa perustuvat. Kysymykset Millainen elintärkeiden infrastruktuureiden varoitusjärjestelmän olisi oltava, jotta se tukisi EU:n suojaamisohjelman tavoitteita? Pitäisikö elintärkeiden infrastruktuureiden omistajilla ja ylläpitäjillä olla yhteys elintärkeiden infrastruktuureiden varoitusjärjestelmään? 9.2. Yhteiset menetelmät Hälytystasot ovat erilaisia eri jäsenvaltioissa, koska jäsenvaltioiden tilanteetkin vaihtelevat. Tätä nykyä ei ole mahdollista tietää, tarkoittaako esimerkiksi korkea hälytystaso jossakin jäsenvaltiossa samaa jossakin toisessa jäsenvaltiossa. Tämän vuoksi kansainvälisten yritysten saattaa olla vaikeaa määrittää, mihin suojaamistoimenpiteisiin varoja pitäisi ensisijaisesti kohdentaa. Tämän vuoksi saattaa olla hyödyllistä pyrkiä yhdenmukaistamaan tai kalibroimaan eri hälytystasot. Kullekin uhkatasolle voitaisiin määritellä valmiustaso, joka laukaisisi yleiset turvatoimet ja tarvittaessa porrastetut turvatoimet. Jos jäsenvaltiot eivät halua turvautua tiettyyn toimenpiteeseen, ne voivat soveltaa uhkaan vaihtoehtoisia toimia. Käyttöön voitaisiin ottaa yhteiset menetelmät, joiden avulla määritetään ja luokitellaan uhat, valmiudet, riskit ja heikkoudet ja tehdään päätelmät jonkin infrastruktuurilaitoksen toimintaa häiritsevän uhan mahdollisuudesta, todennäköisyydestä ja vakavuudesta. Tähän voisi sisältyä riskien luokittelu ja priorisointi, jolloin riskitapahtumat määriteltäisiin sen mukaan, mikä on niiden esiintymistodennäköisyys, vaikutus ja suhde muihin riskialueisiin tai prosesseihin. Kysymykset Missä määrin on toivottavaa tai mahdollista yhdenmukaistaa tai kalibroida erilaiset hälytystasot? Pitäisikö vahvistaa yhteiset menetelmät, joiden avulla määritetään ja luokitellaan uhat, valmiudet, riskit ja heikkoudet ja tehdään päätelmät uhan mahdollisuudesta, todennäköisyydestä ja vakavuudesta? 9.3. Rahoitus Euroopan parlamentin aloitteesta (vuoden 2005 talousarvioon otettu uusi budjettikohta eli terrorismintorjuntaa koskeva pilottihanke) komissio päätti 15. syyskuuta 2005 myöntää 7 miljoonaa euroa toimiin, joilla parannetaan terrori-iskujen ehkäisemistä, niihin varautumista ja niihin reagoimista Euroopassa. Näihin toimiin sisältyy seurausten hallinta, elintärkeiden infrastruktuureiden suojaaminen sekä terrorismin rahoituksen, räjähteiden käytön ja väkivaltaisen radikalisoitumisen ehkäiseminen. Varoista yli kaksi kolmasosaa on suunnattu tulevan Euroopan elintärkeiden infrastruktuureiden suojaamisohjelman valmisteluun, sellaisten valmiuksien yhdentämiseen ja kehittämiseen, joita tarvitaan mahdollisista terrori-iskuista aiheutuvien kansainvälisten kriisien hallitsemiseksi, sekä hätätoimenpiteisiin, joita saatetaan tarvita torjumaan tällaisen iskun huomattava uhka tai toteutuminen. Varoja odotetaan olevan saatavilla myös vuonna 2006. Vuosina 2007–2013 rahoitus saadaan turvallisuutta ja vapauksien suojelua koskevasta puiteohjelmasta. Tähän sisältyy terrorismin ehkäisemistä, torjuntavalmiutta ja seurausten hallintaa koskeva erityisohjelma. Komission ehdotuksessa osoitettiin 137,4 miljoonaa euroa epäkohtien määrittämiseen ja elintärkeiden infrastruktuureiden suojaamiseen tarkoitettujen yhteisten teknisten standardien kehittämiseen. Ohjelmasta myönnetään yhteisön rahoitusta kansallisten sekä alue- ja paikallisviranomaisten esittämiin hankkeisiin, joilla on tarkoitus suojata elintärkeitä infrastruktuureita. Ohjelmassa keskitytään suojaamistarpeiden määrittämiseen ja tietojen tarjoamiseen yhteisten standardien kehittämiseksi ja uhkakuvien ja riskien arvioimiseksi. Tavoitteena on suojata elintärkeitä infrastruktuureita ja kehittää erityisiä varosuunnitelmia. Komissio tarjoaa asiantuntemustaan ja auttaa rahoittamaan tutkimuksia eri alojen keskinäisistä riippuvuussuhteista. Tämän jälkeen on pääosin jäsenvaltioiden ja infrastruktuureiden omistajien ja ylläpitäjien vastuulla parantaa turvatoimia havaittujen epäkohtien korjaamiseksi. Itse ohjelmasta ei rahoiteta elintärkeiden infrastruktuureiden suojaamiseen tehtäviä parannuksia. Rahoituslaitosten luotonannon turvin jäsenvaltioissa voitaisiin pyrkiä parantamaan infrastruktuureiden turvallisuutta ohjelman avulla havaittujen epäkohtien korjaamiseksi ja yhteisten standardien ottamiseksi käyttöön. Komissio on halukas tukemaan alakohtaisia tutkimuksia, joiden avulla arvioidaan, millaisia rahoitusvaikutuksia infrastruktuurin turvallisuuden parantamisella on kyseessä olevaan toimialaan. Komissio rahoittaa elintärkeiden infrastruktuureiden suojaamista koskevia tutkimushankkeita turvallisuustutkimusta koskevan valmistelutoimen avulla[2] (2004–2006), ja se on esittänyt myös muita merkittäviä turvallisuustutkimusta koskevia toimia päätösehdotuksessa, jonka se on esittänyt neuvostolle ja Euroopan parlamentille tutkimuksen seitsemännestä puiteohjelmasta (KOM(2005)119 lopullinen)[3], sekä ehdotuksessaan neuvoston päätökseksi Euroopan yhteisön seitsemännen puiteohjelman täytäntöön panemiseksi toteutettavasta erityisohjelmasta ”Yhteistyö” (KOM(2005)440 lopullinen). Kun pyritään turvaamaan EY:n elintärkeät infrastruktuurit keskipitkällä ja pitkällä aikavälillä, on ensiarvoisen tärkeää tehdä kohdennettua tutkimusta, jonka tavoitteena on tuottaa riskinhallintaa varten käytännön strategioita tai välineitä. Kaikkea turvallisuustutkimusta, myös tällä alalla tehtävää tutkimusta, tarkastellaan eettiseltä näkökannalta Euroopan unionin perusoikeuskirjan noudattamisen varmistamiseksi. Tulevaisuudessa tarvitaan lisää tutkimustoimintaa, sillä infrastruktuureiden keskinäiset riippuvuussuhteet lisääntyvät. Kysymykset Millaisiksi arvioisitte tässä vihreässä kirjassa esitettyjen toimenpiteiden kustannukset ja vaikutukset hallintoon ja eri toimialoihin? Ovatko ne mielestänne oikeasuhtaisia? 9.4. Arviointi ja seuranta EU:n suojaamisohjelman arviointi ja seuranta on monitasoinen prosessi, joka edellyttää kaikkien sidosryhmien osallistumista: - EU:n tasolla voitaisiin ottaa käyttöön vertaisarviointimenettely , jossa jäsenvaltiot ja komissio yhteistyössä arvioisivat EU:n suojaamisohjelman täytäntöönpanon yleistä tasoa kussakin jäsenvaltiossa. Komissio voisi laatia vuotuiset selvitykset siitä, kuinka EU:n suojaamisohjelman täytäntöönpanossa on edistytty. - Komissio raportoisi EU:n suojaamisohjelman edistymisestä jäsenvaltioille ja muille toimielimille kalenterivuosittain komission yksiköiden valmisteluasiakirjassa. - Jäsenvaltioiden tasolla kansalliset koordinaatioelimet seuraisivat EU:n suojaamisohjelman yleistä täytäntöönpanoa omalla lainkäyttöalueellaan ja varmistaisivat, että kansalliset ja alakohtaiset suojaamisohjelmat noudattavat EU:n ohjelmaa. Tehokas täytäntöönpano varmistettaisiin neuvostolle ja komissiolle vuosittain esitettävien raporttien avulla. EU:n suojaamisohjelman täytäntöönpano olisi dynaaminen prosessi, jota arvioitaisiin sekä maailmalla tapahtuvien muutosten että saatujen kokemusten perusteella. Suojaamisohjelman arvioinnissa voitaisiin hyödyntää myös vertaisarviointimenettelyjä ja jäsenvaltioiden antamia seurantaraportteja, joiden perusteella voitaisiin ehdottaa uusia toimenpiteitä elintärkeiden infrastruktuureiden suojaamisen tehostamiseksi. Jäsenvaltiot voisivat toimittaa komissiolle EU:n elintärkeitä infrastruktuureita koskevia tietoja, joiden perusteella voitaisiin yleisesti arvioida heikkouksia, laatia suunnitelmia seurausten hallintaa varten, vahvistaa yleisiä standardeja elintärkeiden infrastruktuureiden suojaamiseksi, asettaa tutkimustoimia tärkeysjärjestykseen ja tarvittaessa toteuttaa sääntely- ja yhdenmukaistamistoimia. Tällaiset tiedot luokiteltaisiin salaisiksi ja pidettäisiin ehdottoman luottamuksellisina. Komissio seuraisi jäsenvaltioiden tekemiä erilaisia aloitteita. Tämä koskee myös aloitteita, joissa määrätään taloudellisia seuraamuksia, jos infrastruktuurin omistajat ja ylläpitäjät eivät pysty määräajassa jatkamaan kansalaisille tarjottavia keskeisiä palveluita. Kysymys Kuinka EU:n suojaamisohjelmaa olisi arvioitava? Pidättekö edellä kuvattua järjestelmää riittävänä? Vastaukset pyydetään lähettämään sähköpostitse 15. päivään tammikuuta 2006 mennessä osoitteeseen JLS-EPCIP@cec.eu.int . Vastauksia pidetään luottamuksellisina, jollei vastaaja nimenomaisesti ilmoita toivovansa vastauksensa julkistamista. Tässä tapauksessa vastaus julkaistaan komission verkkosivustolla. LIITTEET ANNEX 1 CIP terms and definitions This indicative list of definitions could be further built upon depending on the individual sectors for the purpose of identification and protection of Critical Infrastructure (CI). Alert Notification that a potential disaster situation will occur, exists or has occurred. Direction for recipient to stand by for possible escalation or activation of appropriate measures. Critical infrastructure protection (CIP) The ability to prepare for, protect against, mitigate, respond to, and recover from critical infrastructure disruptions or destruction. Critical Information Infrastructure (CII): ICT systems that are critical infrastructures for themselves or that are essential for the operation of critical infrastructures (telecommunications, computers/software, Internet, satellites, etc.). Critical Information Infrastructure Protection (CIIP) The programs and activities of infrastructure owners, operators, manufacturers, users, and regulatory authorities which aim at keeping the performance of critical information infrastructures in case of failures, attacks or accidents above a defined minimum level of services and aim at minimising the recovery time and damage. CIIP should therefore be viewed as a cross-sector phenomenon rather than being limited to specific sectors. CIIP should be closely coordinated with Critical Infrastructure Protection from a holistic perspective. Contingency plan A plan used by a MS and critical infrastructure owner/operator on how to respond to a specific systems failure or disruption of essential service. Contingency plans would typically include the development, coordination, and execution of service- and site-restoration plans; the reconstitution of government operations and services; individual, private-sector, nongovernmental and public-assistance programs to promote restoration; long-term care and treatment of affected persons; additional measures for social, political, environmental, and economic restoration as well as development of initiatives to mitigate the effects of future incidents. Critical Information Specific facts about a critical infrastructure asset, vitally needed to plan and act effectively so as to guarantee failure or cause unacceptable consequences for critical infrastructure installations. Critical Infrastructure (CI) Critical infrastructure include those physical resources, services, and information technology facilities, networks and infrastructure assets which, if disrupted or destroyed, would have a serious impact on the health, safety, security or economic well-being of Citizens or the effective functioning of governments. There are three types of infrastructure assets: - Public, private and governmental infrastructure assets and interdependent cyber & physical networks. - Procedures and where relevant individuals that exert control over critical infrastructure functions. - Objects having cultural or political significance as well as “soft targets” which include mass events (i.e. sports, leisure and cultural). Essential service Often applied to utilities (water, gas, electricity, etc.) it may also include standby power systems, environmental control systems or communication networks that if interrupted puts at risk public safety and confidence, threatens economic security, or impedes the continuity of a MS government and its services. European critical infrastructure (ECI) European critical infrastructure include those physical resources, services, and information technology facilities, networks and infrastructure assets, which, if disrupted or destroyed would have a serious impact on the health, safety, security, economic or social well-being of two or more MS. The definition of what constitutes an EU critical infrastructure is determined by its cross border effect which ascertains whether an incident could have a serious impact beyond two or more MS national territories. This is defined as the loss of a critical infrastructure element and is rated by the: - extent of the geographic area which could be affected by the loss or unavailability of a critical infrastructure element beyond three or more Member State’s national territories; - effect of time (i.e. the fact that a for example a radiological cloud might, with time, cross a border); - level of interdependency (i.e. electricity network failure in one MS effecting another); Impact Impacts are the total sum of the different effects of an incident. This needs to take into account at least the following qualitative and quantitative effects: - Scope - The loss of a critical infrastructure element is rated by the extent of the geographic area which could be affected by its loss or unavailability - international, national, regional or local. - Severity - The degree of the loss can be assessed as None, Minimal, Moderate or Major. Among the criteria which can be used to assess impact are: - Public (number of population affected, loss of life, medical illness, serious injury, evacuation); - Economic (GDP effect, significance of economic loss and/or degradation of products or services, interruption of transport or energy services, water or food shortages); - Environment (effect on the public and surrounding location); - Interdependency (between other critical infrastructure elements). - Political effects (confidence in the ability of government); - Psychological effects (may escalate otherwise minor events).both during and after the incident and at different spatial levels (e.g. local, regional, national and international) - Effects of time - This criteria ascertains at what point the loss of an element could have a serious impact (i.e. immediate, 24-48 hours, one week, other). Interdependency Identified connections or lack thereof between and within infrastructure sectors with essential systems and assets. Occurrence The term “occurrence” in the CIP context is defined as an event (either human caused or by natural phenomena) that requires a serious emergency response to protect life or property or puts at risk public safety and confidence, seriously disrupts the economy, or impedes the continuity of a MS government and its services. Occurrences include negligence, accidents, deliberate acts of terrorism, computer hacking, criminal activity and malicious damage, major disasters, urban fires, floods, hazardous materials spills, nuclear accidents, aircraft accidents, earthquakes, storms, public health and medical emergencies and other occurrences requiring a major emergency response. Operator Security Plan The Operator Security Plan (OSP) identifies all of the operator’s critical infrastructure assets and establishes relevant security solutions for their protection. The OSP describes the methods and procedures which are to be followed by the owner/operator. Prevention The range of deliberate, critical tasks and activities necessary to build, sustain, and improve the operational capability to prevent, protect against, respond to, and recover from an incident. Prevention involves efforts to identify threats, determine vulnerabilities and identify required resources. Prevention involves actions to protect lives and property. It involves applying intelligence and other information to a range of activities that may include such countermeasures as deterrence operations; heightened inspections; improved surveillance and security operations; investigations to determine the full nature and source of the threat; public health and agricultural surveillance and testing processes; immunizations, isolation, or quarantine; and as appropriate specific law enforcement operations aimed at deterring, pre-empting, interdicting, or disrupting illegal activity, and apprehending potential perpetrators and bringing them to justice. Prevention involves the stopping of an incident before it happens with effective processes, guidelines, standards and certification. Seamless interactive systems, and comprehensive threat- and vulnerability analysis. Prevention is a continuous process of ongoing actions to reduce exposure to, probability of, or potential loss from hazards. Response Activities that address the short-term direct effects of an incident. Response includes immediate actions to save lives, protect property, and meet basic human needs. As indicated by the situation, response activities include applying intelligence and other information to lessen the effects or consequences of an incident; increased security operations; continuing investigations into nature and source of the threat; ongoing public health and agricultural surveillance and testing processes; immunizations, isolation, or quarantine; and specific law enforcement operations aimed at pre-empting, interdicting, or disrupting illegal activity, and apprehending actual perpetrators and bringing them to justice. Risk The possibility of loss, damage or injury. The level of risk is a condition of two factors: (1) the value placed on the asset by its owner/operator and the impact of loss or change to the asset, and (2) the likelihood that a specific vulnerability will be exploited by a particular threat. Threat Any indication, circumstance, or event with the potential to disrupt or destroy critical infrastructure, or any element thereof. An all-hazards approach to threat includes accidents, natural hazards as well as deliberate attacks. It can also be defined as the intention and capability of an adversary to undertake actions that would be detrimental to critical assets. Vulnerability A characteristic of an element of the critical infrastructure's design, implementation, or operation that renders it susceptible to destruction or incapacitation by a threat. ANNEX 2 Indicative list of Critical infrastructure sectors Sector | Product or service | I Energy | 1 Oil and gas production, refining, treatment and storage, including pipelines 2 Electricity generation 3 Transmission of electricity, gas and oil 4 Distribution of electricity, gas and oil | II Information, Communication Technologies, ICT | 5 Information system and network protection 6 Instrumentation automation and control systems (SCADA etc.) 7 Internet 8 Provision of fixed telecommunications 9 Provision of mobile telecommunications 10 Radio communication and navigation 11 Satellite communication 12 Broadcasting | III Water | 13 Provision of drinking water 14 Control of water quality 15 Stemming and control of water quantity | IV Food | 16 Provision of food and safeguarding food safety and security | V Health | 17 Medical and hospital care 18 Medicines, serums, vaccines and pharmaceuticals 19 Bio-laboratories and bio-agents | VI Financial | 20 Payment services/payment structures (private) 21 Government financial assignment | VII Public & Legal Order and Safety | 22 Maintaining public & legal order, safety and security 23 Administration of justice and detention | VIII Civil administration | 24 Government functions 25 Armed forces 26 Civil administration services 27 Emergency services 28 Postal and courier services | IX Transport | 29 Road transport 30 Rail transport 31 Air traffic 32 Inland waterways transport 33 Ocean and short-sea shipping | X Chemical and nuclear industry | 34 Production and storage/processing of chemical and nuclear substances 35 Pipelines of dangerous goods (chemical substances) | XI Space and Research | 36 Space 37 Research | ANNEX 3 Operator Security Plan The possible contents of the OSP should include an introduction and a classified detail part (not accessible outside the relevant MS authorities). The classified part would begin with a presentation of the operator and describe the legal context of its CI activities. The OSP would then go on to presenting the details on the criticality of the infrastructure concerned, taking into consideration the operator’s objectives and the Member State’s interests. The critical points of the infrastructure would be identified and their security requirements presented. A risk analysis based on major threat scenarios, vulnerability of each critical point, and potential impact would be conducted. Based on this risk analysis, relevant protection measures should be foreseen. Introduction ) Contains information concerning the pursued objectives and the main organisational and protection principles. Detailed part (classified) - Presentation of the operator Contains a description of the operator’s activities, organization and connections with the public authorities. The details of the operator’s Security Liaison Office (SLO) are given. - Legal context The operator addresses the requirements of the National CIP Programme and the sector specific CIP programme where relevant. - Description of the criticality of the infrastructure The operator describes in detail the critical services/products he provides and how particular elements of the infrastructure come together to create an end-product. Details should be provided concerning: - material elements; - non-material elements (sensors, command, information systems); - human elements (decision-maker, expert); - access to information (databases, reference systems); - dependence on other systems (energy, telecoms); - specific procedures (organisation, management of malfunctions, etc.). - Formalisation of security requirements The operator identifies the critical points in the infrastructure, which could not be easily replaced and whose destruction or malfunctioning could significantly disrupt the operation of the activity or seriously endanger the safety of users, customers or employees or result in essential public needs not being satisfied. The security of these critical points is then addressed. The owners, operators and users (‘users’ being defined as organizations that exploit and use the infrastructure for business and service provision purposes) of critical infrastructure would have to identify the critical points of their infrastructure, which would be deemed restricted areas. Access to restricted areas should be monitored in order to ensure than no unauthorised persons and vehicles enter such areas. Access would only be granted to security cleared personnel. The relevant background security checks (if deemed necessary by a MS CIP sector authority) should be carried out by the Member State in which the critical infrastructure is located. - Risk analysis and management The operator conducts and risk analysis concerning each critical point. - Security measur e s The operator presents the security measures arranged around two headings: - Permanent security measures, which will identify indispensable security investment and means, which cannot be installed by the owner/operator in a hurry. The owner/operator will maintain a standing alertness against potential threats, which will not disturb its regular economic, administrative and social activities. This heading will include information concerning general measures; technical measures (including installation of detection, access control, protection and prevention means); organizational measures (including procedures for alerts and crisis management); control and verification measures; communication; awareness raising and training; and security of information systems. - Graduated security measures, which may be activated according to varying threat levels. The OSP will therefore foresee various security regimes adapted to possible threat levels existing in the Member State. - Presentation and application The operator will prepare detailed information sheets and instructions on how to react to various situations. - Monitoring and updating The operator sets out the relevant monitoring and updating mechanisms which will be used. [1] Tämä ei koske puolustukseen liittyviä infrastruktuureita. [2] Varainhoitovuosien 2004 ja 2005 talousarvioissa määrärahoja on yhteensä 30 miljooonaa euroa. Varainhoitovuodeksi 2006 komissio on ehdottanut 24 miljoonaa euroa. Määrä on parhaillaan budjettivallan käyttäjän tarkasteltavana. [3] Komissio on ehdottanut 570 miljoonaa euroa turvallisuuteen ja avaruuteen liittyvään tutkimustoimintaan tutkimuksen ja teknologian seitsemännessä puiteohjelmassa (KOM(2005)119 lopullinen).