52005DC0576

[pic] | AZ EURÓPAI KÖZÖSSÉGEK BIZOTTSÁGA |

Brüsszel, 17.11.2005

COM(2005) 576 végleges

ZÖLD KÖNYV

A LÉTFONTOSSÁGÚ INFRASTRUKTÚRÁK VÉDELMÉRE VONATKOZÓ EURÓPAI PROGRAMRÓL

(előterjesztő: a Bizottság)

ZÖLD KÖNYV

A LÉTFONTOSSÁGÚ INFRASTRUKTÚRÁK VÉDELMÉRE VONATKOZÓ EURÓPAI PROGRAMRÓL

1. HÁTTÉR

A létfontosságú infrastruktúrákat kár érheti, működésükben zavar keletkezhet vagy azok meg is semmisülhetnek terrorcselekmény, természeti katasztrófa, hanyagság, baleset, számítógépes hackertevékenység, bűncselekmény vagy rosszhiszemű magatartás következtében. Az EU lakossága életének és vagyonának terrorcselekményekkel, természeti katasztrófákkal és balesetekkel szembeni védelme érdekében fontos, hogy a létfontosságú infrastruktúrák működésének megzavarása és manipulálása a lehetséges mértékben rövid, kivételes, kezelhető és földrajzilag lehatárolt legyen, valamint a lehető legkevésbé veszélyeztesse a tagállamok, azok polgárai és az Európai Unió jólétét. A közelmúltban történt madridi és londoni terrortámadások rávilágítottak arra, milyen veszélyt jelentenek a terrortámadások az európai infrastruktúrákra. Az EU-nak gyorsan, összehangoltan és hatékonyan kell reagálnia.

A 2004. júniusi Európai Tanács felkérte a Bizottságot, hogy készítsen átfogó stratégiát a létfontosságú infrastruktúrák védelmére. Ezt követően a Bizottság 2004. október 20-án elfogadta „a létfontosságú infrastruktúrák védelme a terrorizmus elleni küzdelemben” című közleményt, mely egyértelmű javaslatokat tesz arra vonatkozóan, hogyan lehetne az európai megelőzést, felkészültséget és válaszadást javítani a létfontosságú infrastruktúrákat érintő terrortámadások tekintetében.

A Tanács által 2004 decemberében elfogadott, „a terrortámadások megelőzése, felkészültség és válaszadás” című következtetések, valamint „a terrorfenyegetések és -támadások következményeivel kapcsolatos EU szolidaritási program” támogatta a Bizottság szándékát, hogy javaslatot tegyen a létfontosságú infrastruktúrák védelmére vonatkozó európai programra (European Programme for Critical Infrastructure Protection – EPCIP), és jóváhagyta a létfontosságú infrastruktúrák figyelmeztető információs hálózatának (Critical Infrastructure Warning Information Network – CIWIN) Bizottság általi felállítását.

A Bizottság két szemináriumot szervezett, és felkérte a tagállamokat javaslatok és észrevételek benyújtására. A létfontosságú infrastruktúrák védelmével kapcsolatos első uniós szemináriumot 2005. június 6–7-én tartották meg a tagállamok részvételével. E szemináriumot követően a tagállamok megküldték a Bizottságnak a CIP-pel (Critical Infrastructure Protection – létfontosságú infrastruktúrák védelme) kapcsolatos saját megközelítésüket, valamint a szemináriumon tárgyalt javaslatokra vonatkozó észrevételeiket. E hozzájárulások június és július folyamán érkeztek meg, és a CIP-pel kapcsolatos stratégia alapját képezik. A CIP-pel kapcsolatos második uniós szemináriumot szeptember 12–13-án tartották meg e kérdések további megvitatása érdekében. E szemináriumon a tagállamok mellett a gazdaság képviselői is részt vettek. Ezt követően a Bizottság e zöld könyv kiadása mellett döntött, mely körvonalazza az EPCIP-pel kapcsolatos lehetőségeket.

2. A ZÖLD KÖNYV CÉLKITŰZÉSE

A zöld könyv elsődleges célkitűzése, hogy nagyszámú résztvevő bevonásával visszajelzéseket kapjon az EPCIP lehetséges megközelítési irányairól. A létfontosságú infrastruktúrák hatékony védelme megköveteli a valamennyi érintett fél – az infrastruktúrák tulajdonosai és üzemeltetői, a hatóságok, szakmai szervek és ágazati szövetségek – közötti kommunikációt, összehangolásukat és együttműködésüket nemzeti és uniós szinten egyaránt, úgy, hogy közben együttműködnek valamennyi kormányzati szinttel és a nyilvánossággal.

A zöld könyv megfogalmazza, hogy a Bizottság hogyan kíván választ adni a Tanácsnak az EPCIP és a CIWIN felállítására vonatkozó felkérésére, és a létfontosságú infrastruktúrák védelmére vonatkozó európai program kidolgozását célzó konzultációs eljárás második szakaszát képezi. A Bizottság e zöld könyv kiadásával reméli, hogy konkrét visszajelzéseket fog kapni az e dokumentumban körvonalazott megközelítési lehetőségeket illetően. A konzultációs eljárás eredményétől függően 2006 folyamán sor kerülhet az EPCIP-re vonatkozó javaslatcsomag előterjesztésére.

3. AZ EPCIP CÉLJA ÉS ALKALMAZÁSI KÖRE

3.1. Az EPCIP általános célja

Az EPCIP célja, hogy a létfontosságú infrastruktúrák számára az egész Unióban megfelelő és egyforma védelmi szintet biztosítson, minimálisra csökkentse azok gyenge pontjait, valamint gyors és bevált helyreállítási eljárásokat vezessen be. A védelmi szint az egyes létfontosságú infrastruktúrák esetén eltérő lehet, és függhet attól, milyen hatást fejt ki a létfontosságú infrastruktúrában bekövetkező működési zavar. Az EPCIP állandó változásban lévő eszköz lesz, és rendszeresen felül kell vizsgálni az új problémáknak és igényeknek való folyamatos megfelelés érdekében.

Az EPCIP-nek – amennyire csak lehetséges – a minimálisra kell csökkentenie minden olyan negatív hatást, amelyet a megnövekedett biztonsági befektetések egy adott gazdasági ágazat versenyképességére gyakorolhatnak. A költségek arányosságának kiszámítása során nem szabad figyelmen kívül hagyni a hosszú távú befektetések szempontjából létfontosságú piaci stabilitás megőrzésének szükségességét, sem pedig azt, hogy a biztonság nagy befolyással van a részvénypiacok alakulására és a makrogazdasági környezetre.

Kérdés

Ez megfelelő cél az EPCIP számára? Amennyiben nem, mi legyen a cél?

3.2. Mivel szemben védjen az EPCIP?

Noha a következménykezelési intézkedések a legtöbb zavar esetén azonosak vagy hasonlóak, a védekezési intézkedések a veszély jellegétől függően eltérőek lehetnek. Azon veszélyek, melyek jelentősen csökkentenék a lakosság lényegi szükségleteinek és biztonságának biztosítására, a rend fenntartására, a minimális lényegi közszolgáltatások nyújtására, valamint a gazdaság megfelelő működésének biztosítására rendelkezésre álló kapacitásokat, szándékos támadásokat és természeti katasztrófákat is magukban foglalhatnak. A választási lehetőségek a következők:

a) mindenfajta veszéllyel szembeni védelem – Ez olyan átfogó megközelítés lenne, mely egyaránt figyelembe veszi a szándékos támadásokból és a természeti katasztrófákból eredő veszélyt. Ez biztosítaná a védekezési intézkedések közötti szinergiák maximális kihasználását, azonban nem fordítana kiemelt figyelmet a terrorizmusra;

b) mindenfajta veszéllyel szembeni védelem, különös tekintettel a terrorizmusra – Ez olyan rugalmas megközelítés lenne, mely figyelembe vesz másfajta – úgymint a szándékos támadásokból és a természeti katasztrófákból eredő – veszélyeket is, azonban középpontjában a terrorizmus áll. Amennyiben egy meghatározott gazdasági ágazatban a védekezési intézkedések megfelelő szintűek, a résztvevők azon veszélyekre összpontosítanak, melyek tekintetében még fennáll a sebezhetőség;

c) a terrorveszélyekkel szembeni védelem – Ez a terrorizmusra összpontosító olyan megközelítés lenne, mely nem szentel különösebb figyelmet az általánosabb veszélyeknek.

Kérdés

Mely megközelítést kövesse az EPCIP? Miért?

4. JAVASOLT ALAPELVEK

A következő alapelvek képeznék az EPCIP alapját:

- Szubszidiaritás – Az EPCIP középpontjában a szubszidiaritás állna, és a létfontosságú infrastruktúrák védelme elsősorban nemzeti hatáskörbe tartozna. A létfontosságú infrastruktúrák védelméért való elsődleges felelősség a tagállamokat és a tulajdonosokat/üzemeltetőket terhelné, akik közös keret alapján lépnének fel. A Bizottság pedig a létfontosságú infrastruktúrák védelmével kapcsolatos olyan szempontokra összpontosítana, melyek az EU-n belüli, határokon átnyúló hatással bírnak. Nem változna a tulajdonosok és üzemeltetők arra vonatkozó felelőssége, hogy saját létesítményeik védelmét megtervezzék és arra vonatkozóan döntéseket hozzanak.

- Kiegészítő jelleg – A közös EPCIP keret kiegészítené a fennálló intézkedéseket. Amennyiben már bevezettek közösségi mechanizmusokat, azokat továbbra is alkalmazni kell, és e mechanizmusok segítenek majd az EPCIP átfogó végrehajtásában.

- Titkosság – A létfontosságú infrastruktúrák védelmére vonatkozó információk cseréjének alapja a bizalom és a titkosság. Ez azért szükséges, mert a létfontosságú infrastrukturális létesítményekre vonatkozó bizonyos információk felhasználhatók e létesítmények működésének megzavarására vagy más negatív következmények okozására. A CIP-re vonatkozó információkat uniós és tagállami szinten egyaránt titkosítanák, és azokhoz csak illetékes személyek férhetnének hozzá.

- Szereplők közötti együttműködés – Valamennyi szereplő, úgymint a tagállamok, a Bizottság, ágazati/üzleti szövetségek, szabványügyi szervek, tulajdonosok, üzemeltetők és használók (a „használó” olyan szervezet, mely az infrastruktúrát üzleti és szolgáltatásnyújtási célból üzemelteti és használja) részt kell vegyenek a létfontosságú infrastruktúrák védelmében. Meghatározott feladataival és felelősségével összhangban valamennyi szereplőnek együtt kell működnie, és hozzá kell járulnia az EPCIP kidolgozásához és végrehajtásához. Hatáskörükön belül a tagállamok hatóságai irányítanák és koordinálnák a létfontosságú infrastruktúrák védelmére vonatkozó következetes nemzeti megközelítés kialakítását és végrehajtását. A tulajdonosok, üzemeltetők és használók nemzeti és uniós szinten egyaránt aktívan együttműködnének. Azokon a területeken, ahol nincsenek ágazati szabványok, vagy ahol még nem fogadtak el nemzetközi szabványokat, a szabványügyi szervezetek szükség esetén közös szabványokat fogadhatnának el.

- Arányosság – A védekezési stratégiák és intézkedések arányosak lennének a mindenkori veszéllyel, mivel nem lehet valamennyi infrastruktúrát valamennyi veszéllyel szemben megvédeni (például az elektromos hálózatok túlságosan kiterjedtek ahhoz, hogy kerítéssel vegyék körbe, vagy őrizzék őket). Megfelelő kockázatkezelési technikák alkalmazásával a figyelmet a veszélynek leginkább kitett területekre irányítanák, figyelembe véve a veszélyt, a relatív létfontosságot, a költség-haszon arányt, a védelmi szintet és a rendelkezésre álló kockázatcsökkentő stratégiák hatékonyságát.

Kérdés

Elfogadhatók ezen alapelvek? Van közöttük felesleges? Vannak olyan további alapelvek, amelyeket szintén figyelembe kellene venni?

Egyetért Ön azzal, hogy a védekezési intézkedéseknek arányban kell állniuk a mindenkori veszéllyel, mivel nem lehet valamennyi infrastruktúrát valamennyi veszéllyel szemben megvédeni?

5. A KÖZÖS EPCIP KERET

Az, hogy egy tagállamban valamely infrastruktúra károsodik vagy megsemmisül, negatív hatásokkal járhat több másik tagállamra, valamint az európai gazdaság egészére. Ez egyre valószínűbb, mivel az új technológiák (pl. az internet) és a piacliberalizáció (pl. a villamosenergia- és gázellátásé) azt eredményezi, hogy sok infrastruktúra egy szélesebb hálózat részévé válik. Ebben az esetben a védekezési intézkedések csak annyira hatásosak, amennyire a lánc leggyengébb tagjának védekezési intézkedései azok. Szükséges tehát egy egységes védelmi szint.

A hatékony védelem megkívánja a valamennyi szereplő közötti kommunikációt, összehangolásukat és együttműködésüket nemzeti, (adott esetben) uniós, valamint nemzetközi szinten egyaránt. A létfontosságú infrastruktúrák védelmére közös EU-szintű keretet lehetne kidolgozni annak érdekében, hogy valamennyi tagállam megfelelő és egységes védelmi szintet biztosítson létfontosságú infrastruktúrái tekintetében, és hogy a belső piacon ne torzuljon a verseny. A tagállamok tevékenységeinek támogatása érdekében a Bizottság megkönnyítené a CIP-pel kapcsolatos kérdésekre vonatkozó legjobb gyakorlatok azonosítását, cseréjét és terjesztését azáltal, hogy a létfontosságú infrastruktúrák védelméhez közös keretet nyújt. Fontolóra kell venni ezen általános keret alkalmazási körét.

A közös EPCIP keret olyan horizontális intézkedéseket tartalmazna, melyek meghatározzák a CIP-pel foglalkozó valamennyi szereplő hatáskörét és felelősségét, valamint lefektetik az ágazatspecifikus megközelítések alapját. A közös keret célja, hogy kiegészítse a közösségi szinten és a tagállamokban hozott ágazati intézkedéseket, és így biztosítsa az Európai Unióban működő létfontosságú infrastruktúrák lehető legnagyobb biztonságát. Prioritást kellene adni egy olyan megállapodás kidolgozásának, mely tartalmazza a fogalmak és a létfontosságú infrastruktúrák ágazatainak közös listáját.

Mivel a létfontosságú infrastruktúrákat magukban foglaló különböző ágazatok nagyon eltérőek, nehéz lenne meghatározni, hogy egy horizontális keretben pontosan milyen kritériumok alapján kell azonosítani és megvédeni valamennyit; így ezt ágazatonként kell megtenni. Mindazonáltal szükség van közös megegyezésre bizonyos több ágazatra kiterjedő kérdésekben.

Ezért tehát a Bizottság azt javasolja, hogy az EU-ban a létfontosságú infrastruktúrákat a közös EPCIP keret (közös célkitűzések, összehasonlító és egyéb módszerek, pl. az interdependenciák értékelésére) felállításával, a legjobb gyakorlatok cseréjével, valamint az ellenőrző mechanizmusok betartásával erősítsék. A közös keretet képező elemek többek között a következőket foglalnák magukban:

- a CIP közös alapelvei;

- közösen megállapított szabályzatok/szabványok;

- közös fogalommeghatározások, melyek alapján megállapíthatók lennének az ágazatspecifikus definíciók (a fogalommeghatározások tájékoztató jellegű felsorolását az 1. melléklet tartalmazza);

- a létfontosságú infrastruktúrák ágazatainak közös listája (az ágazatok tájékoztató jellegű felsorolását a 2. melléklet tartalmazza);

- a CIP prioritási területei;

- az érintett szereplők feladatainak leírása;

- közösen megállapított irányadó szintek;

- a különböző ágazatok infrastruktúráinak összehasonlítására és prioritások meghatározására szolgáló módszerek.

Egy ilyen közös keret továbbá minimálisra csökkentené a belső piacot torzító hatások veszélyét.

A közös EPCIP keret lehetne fakultatív vagy kötelező – vagy az adott kérdésektől függően mindkettő. Mindkét típusú keret ki tudná egészíteni a közösségi és tagállami szintű, már létező ágazati és horizontális intézkedéseket; azonban csak a jogi keret nyújtana szilárd és kikényszeríthető jogalapot a létfontosságú EU-infrastruktúrákkal kapcsolatos védekezési intézkedések következetes és egységes végrehajtásához, egyértelműen meghatározva a tagállamok és a Bizottság hatáskörét. A nem kötelező fakultatív intézkedések rugalmasak ugyan, de nem határozzák meg világosan, melyik feladatot ki végzi el.

Az alapos vizsgálat eredményétől függően, valamint megfelelően tekintetbe véve a javasolt intézkedések arányosságát, az EPCIP-re irányuló javaslatába a Bizottság számos eszközt felvehet, beleértve a jogalkotási eszközöket is. Adott esetben a meghatározott intézkedésekre irányuló javaslatokat hatásvizsgálatok kísérik majd.

Kérdések

A közös keret hatékony lenne a CIP erősítésében?

Amennyiben szükséges egy jogi keret, milyen elemeket foglaljon magába?

Egyetért Ön azzal, hogy a létfontosságú EU-infrastruktúrák különböző típusainak azonosítására szolgáló kritériumokat, valamint a szükségesnek vélt védekezési intézkedéseket ágazati alapon kell meghatározni?

Segítene egy közös keret az érintett szereplők feladatainak meghatározásában? Milyen mértékben legyen egy ilyen közös keret kötelező, és milyen mértékben legyen fakultatív?

Mire terjedjen ki a közös keret alkalmazási köre? Egyetért Ön a fogalommeghatározások 1. mellékletben foglalt tájékoztató jellegű listájával, melyek alapján (adott esetben) kidolgozhatók az ágazatspecifikus definíciók? Egyetért Ön a létfontosságú infrastruktúrák ágazatainak 2. mellékletben foglalt tájékoztató jellegű listájával?

6. LÉTFONTOSSÁGÚ EU-INFRASTRUKTÚRÁK (EU CRITICAL INFRASTRUCTURES – ECI)

6.1. A létfontosságú EU-infrastruktúra fogalma

A létfontosságú EU-infrastruktúra fogalmát a határon átnyúló hatás határozná meg, vagyis az, hogy egy baleset súlyos hatással járhat-e azon tagállam területén kívül is, melyben a létesítmény található. Továbbá figyelembe kell venni azt a tényt is, hogy a tagállamok közötti, a CIP-pel kapcsolatos kétoldalú együttműködési megállapodások jól bevált és hatékony eszközt jelentenek valamely két tagállam határán lévő létfontosságú infrastruktúrák védelmében. Az ilyen együttműködések kiegészítenék az EPCIP-et.

Az ECI-k magukban foglalhatnák azon fizikai forrásokat, szolgáltatásokat, információtechnológiai berendezéseket, hálózatokat és infrastrukturális eszközöket, melyek működésének megzavarása vagy megsemmisítése súlyos hatással járna a következők egészségére, biztonságára, illetve gazdasági vagy szociális jólétére:

a) két vagy több tagállam – ide tartoznának (adott esetben) bizonyos kétoldalú létfontosságú infrastruktúrák;

b) három vagy több tagállam – nem tartoznának ide a kétoldalú létfontosságú infrastruktúrák.

E választási lehetőségek előnyeinek mérlegelésekor figyelemmel kell lenni a következőkre:

- az a tény, hogy valamely infrastruktúrát ECI-nek nyilvánítottak, nem jelenti azt, hogy emiatt szükségszerűen kiegészítő védekezési intézkedésekre lenne szükség. A fennálló védekezési intézkedések, mint például a tagállamok közötti kétoldalú megállapodások, teljesen megfelelőek lehetnek; ez esetben nem érinti őket az adott infrastruktúra ECI-vé nyilvánítása;

- az a) lehetőség választása több infrastruktúra ECI-vé nyilvánítását eredményezné;

- a b) választási lehetőség azt jelenti, hogy csak két tagállamot érintő infrastruktúra esetén a Közösség nem lépne fel még akkor sem, ha e két tagállam közül valamelyik nem tartja megfelelőnek a védelmi szintet, és a másik tagállam elutasítja a szükséges lépések megtételét. a b) lehetőség választása továbbá a tagállamok közötti nagyszámú kétoldalú megállapodáshoz vagy véleménykülönbségekhez vezethetne. Így előfordulhat, hogy a gyakran páneurópai szinten működő ágazatoknak különböző megállapodások eltérő hálózatával kell szembenéznie, ami járulékos költségeket okozhat.

Továbbá elfogadott, hogy figyelembe kell venni az EU-n kívüli vagy kívülről eredő olyan létfontosságú infrastruktúrákat is, melyek kapcsolatban vannak az EU tagállamival vagy azokra adott esetben közvetlenül kihatnak.

Kérdés

Azon infrastruktúrák minősüljenek ECI-nek, amelyek adott esetben komoly határokon átnyúló hatással bírnak két vagy több tagállam, illetve három vagy több tagállam tekintetében? Miért?

6.2. Interdependenciák

A Bizottság javasolja, hogy az ECI-k fokozatos azonosítása során különösen vegyék figyelembe az interdependenciákat. Az interdependenciákat vizsgáló tanulmányok segítenék a meghatározott létfontosságú infrastruktúrákkal szembeni fenyegetések potenciális hatásának értékelését, és különösen annak meghatározását, hogy valamely létfontosságú infrastruktúrát ért nagyobb beleset mely tagállamokat érintené.

Teljes mértékben figyelembe kell venni a vállalatok, gazdasági ágazatok, területi illetékességek és tagállami hatóságok közötti és azokon belüli interdependenciákat, különösen az információs és kommunikációs technológiákon (IKT) alapulókat. A Bizottság, a tagállamok és a létfontosságú infrastruktúrák tulajdonosai/üzemeltetői együttműködnének ezen interdependenciák azonosításában és megfelelő stratégiák alkalmazásában annak érdekében, hogy ahol lehetséges, csökkentsék a kockázatot.

Kérdés

Hogyan lehet figyelembe venni az interdependenciákat?

Ismer Ön az interdependenciák vizsgálatára szolgáló bármilyen megfelelő módszert?

Uniós és/vagy tagállami szinten kellene azonosítani az interdependenciákat?

6.3. Az ECI végrehajtásának lépései

A Bizottság az ECI végrehajtására a következő lépéseket javasolja:

1. A Bizottság a tagállamokkal együtt meghatározza azokat a különleges kritériumokat, melyek az ECI-k ágazatonkénti azonosítására szolgálnak;

2. A tagállamok és a Bizottság ágazatonként fokozatosan azonosítják és ellenőrzik az ECI-ket. Valamely létfontosságú infrastruktúra ECI-nek való nyilvánítására vonatkozó döntést európai szinten[1] hozzák meg az érintett infrastruktúra határokon átnyúló jellege miatt;

3. A tagállamok és a Bizottság ágazatonként megvizsgálják az ECI-k biztonsági hiányosságait;

4. A tagállamok és a Bizottság megállapodnak a fellépés során prioritást élvező ágazatokról/infrastruktúrákról, figyelembe véve az interdependenciákat is;

5. Adott esetben a Bizottság és a tagállamok kulcsszereplői ágazatonként megállapodnak a minimális védekezési intézkedésekre – ideértve a szabványokat is – irányuló javaslatokban;

6. A javaslatok Tanács általi elfogadását követően ezen intézkedéseket végrehajtják;

7. A tagállamok és a Bizottság biztosítja a rendszeres ellenőrzést. Szükség esetén felülvizsgálják az intézkedéseket és a létfontosságú infrastruktúrák azonosításának kritériumait.

Kérdések

Elfogadhatók az ECI végrehajtásának fentebb felsorolt lépései?

Tekintettel arra, hogy a tagállamok tapasztalatokkal rendelkeznek, míg a Bizottság rálátással bír az európai érdekekre, Ön szerint hogyan kellene a Bizottságnak és a tagállamoknak eljárnia az ECI-k együttes kijelölése során? Jogilag kötelező döntésnek kell lennie?

Szükség van választottbírósági eljárásra, amennyiben valamely tagállam nem ért egyet azzal, hogy a területén lévő valamely infrastruktúrát ECI-nek nyilvánítsák?

Szükség van a kijelölések ellenőrzésére? Ki legyen a felelős ezért?

Létfontosságúnak minősíthessenek-e a tagállamok más tagállamban vagy harmadik országban lévő infrastruktúrákat? Mi történjen, ha valamely tagállam, harmadik ország vagy egy ágazat úgy ítéli meg, hogy egy valamely tagállamban lévő infrastruktúra számára létfontosságú?

Mi történjen, ha ezután e tagállam az infrastruktúrát nem minősíti ECI-vé? Szükség van jogorvoslati eljárásra? Ha igen, miért?

Rendelkezzen az érintett szereplő jogorvoslati lehetőséggel, amennyiben nem ért egyet kijelölésével vagy azzal, hogy nem jelölték ki? Ha igen, hová fordulhasson?

Milyen módszereket kellene kidolgozni a fellépés során prioritást élvező ágazatok/infrastruktúrák meghatározására? Léteznek már olyan megfelelő módszerek, melyek európai szinten is felhasználhatók lennének?

Hogyan lehetne a Bizottságot bevonni az ECI-k biztonsági hiányosságainak vizsgálatába?

7. LÉTFONTOSSÁGÚ NEMZETI INFRASTRUKTÚRÁK (NATIONAL CRITICAL INFRASTRUCTURES – NCI)

7.1. Az NCI szerepe az EPCIP-ben

Sok európai vállalat határokon átnyúló tevékenységet folytat, és így az NCI-kkel kapcsolatban különböző kötelezettségek vonatkoznak rájuk. A Bizottság ezért a tagállamok és az Unió egészének érdekében azt javasolja, hogy valamennyi tagállam egy közös keret alapján védje NCI-jeit annak érdekében, hogy a tulajdonosok és az üzemeltetők egész Európában élvezhessék annak előnyeit, hogy nem különböző – a módszerek megsokszorozódását és járulékos költségeket eredményező – keretek vonatkoznak rájuk. Éppen ezért a Bizottság szerint az EPCIP – miközben elsősorban a létfontosságú EU-infrastruktúrákra összpontosít – nem hagyhatja teljesen figyelmen kívül a létfontosságú nemzeti infrastruktúrákat. Mindazonáltal három lehetőség közül lehetne választani:

a) az NCI-ket teljes mértékben integrálják az EPCIP-be,

b) az NCI-k nem tartoznak az EPCIP alkalmazási körébe,

c) a tagállamok az NCI-kel kapcsolatban saját elhatározásuk alapján felhasználhatják az EPCIP részeit, azonban erre nem kötelesek.

Kérdés

A létfontosságú infrastruktúrák hatékony védelme az Európai Unióban megkövetelheti az ECI-k és az NCI-k azonosítását egyaránt. Egyetért Ön azzal, hogy noha az EPCIP-nek az ECI-kre kell összpontosítania, nem hagyhatók teljesen figyelmen kívül az NCI-k?

Ön szerint e választási lehetőségek közül melyik a legmegfelelőbb az EPCIP számára?

7.2. Nemzeti CIP-programok

A közös EPCIP keret alapján NCI-jeik vonatkozásában a tagállamok kialakíthatnák nemzeti CIP-programjaikat. A tagállamok az EPCIP keretében előirányzottaknál szigorúbb intézkedéseket is hozhatnának.

Kérdés

Kívánatos lenne, hogy az EPCIP alapján valamennyi tagállam fogadjon el nemzeti CIP-programot?

7.3. Felügyeleti szerv

A hatékonyság és koherencia megköveteli, hogy valamennyi tagállam egyetlen felügyeleti szervet jelöljön ki, mely az EPCIP általános végrehajtásával foglalkozik. Két lehetőség közül lehetne választani:

a) egyetlen CIP felügyeleti szerv;

b) egy hatáskörrel nem rendelkező nemzeti kapcsolattartó pont, a szervezés a tagállamokra van bízva.

E szerv koordinálhatná, ellenőrizhetné és felügyelhetné az EPCIP végrehajtását az illetékességi területén belül, és a fő intézményi kapcsolattartó pontot jelenthetné a CIP-pel kapcsolatos kérdésekben a Bizottság, más tagállamok, valamint a létfontosságú infrastruktúrák tulajdonosai és üzemeltetői felé. Ez a szerv biztosíthatná a nemzeti képviseletet a CIP-pel kapcsolatos kérdésekkel foglalkozó szakértői csoportokban, valamint a kapcsolatot a létfontosságú infrastruktúrák figyelmeztető információs hálózatával (Critical Infrastructure Warning Information Network – CIWIN). A nemzeti CIP koordinációs szerv (National CIP Coordination Body – NCCB) összehangolhatná a CIP-pel kapcsolatos nemzeti kérdéseket, akkor is, ha az adott tagállamon belüli más szerveket vagy intézményeket esetleg már bevontak a CIP-pel kapcsolatos ügyekbe.

Az NCI-k fokozatos azonosítása érdekében kötelezni lehetne az infrastruktúrák tulajdonosait és üzemeltetőit, hogy az NCCB-nek jelentsenek be minden, a CIP-pel kapcsolatban releváns üzleti tevékenységet.

Az NCCB hozná meg a jogilag kötelező döntést az illetékességi területe alá tartozó valamely infrastruktúra NCI-nek nyilvánításával kapcsolatban. Ezen információval csak az érintett tagállam rendelkezne.

A szerv a következő feladatokat látná el:

a) Az EPCIP általános végrehajtásának koordinálása, ellenőrzése és felügyelete az adott tagállamban;

b) A fő intézményi kapcsolattartó pont a CIP-pel kapcsolatos kérdésekben:

i. a Bizottság,

ii. más tagállamok,

iii. a létfontosságú infrastruktúrák tulajdonosai és üzemeltetői felé.

c) A létfontosságú EU-infrastruktúrák (ECI) kijelölésében való részvétel;

d) Az illetékességi területe alá tartozó valamely infrastruktúra létfontosságú nemzeti infrastruktúrává nyilvánítására vonatkozó jogilag kötelező döntés meghozatala;

e) Jogorvoslati szerv, melyhez a tulajdonos/üzemeltető fordulhat, amennyiben nem ért egyet azzal, hogy infrastruktúráját „létfontosságú infrastruktúrának” nyilvánították;

f) A létfontosságú infrastruktúrák védelmére vonatkozó nemzeti program, valamint az ágazatspecifikus CIP-programok kidolgozásában való részvétel;

g) A létfontosságú infrastruktúrák meghatározott ágazatai közötti interdependenciák azonosítása;

h) Hozzájárulás a CIP ágazatspecifikus megközelítéseihez a szakértői csoportokban való részvételen keresztül. A tárgyalásokra meg lehetne hívni a tulajdonosok és üzemeltetők képviselőit is. Rendszeres üléseket lehetne tartani;

i) A létfontosságú infrastruktúrákkal kapcsolatos vészhelyzeti intézkedési tervek kidolgozásának felügyelete.

Kérdések

Egyetért Ön azzal, hogy egyedül a tagállamok legyenek felelősek az NCI-k kijelöléséért és igazgatásáért a közös EPCIP keret alapján?

Kívánatosnak tartja valamennyi tagállamon belül egy CIP koordináló szerv kijelölését, mely a CIP-pel kapcsolatos valamennyi intézkedést összehangolná, miközben tiszteletben tartja a fennálló ágazati hatásköröket (polgári légiközlekedési hatóságok, Seveso-irányelv stb.)?

Megfelelőnek tartja e koordináló szerv fentebb javasolt feladatait? Esetleg más feladatokat is szükségesnek tart?

7.4. Az NCI végrehajtásának lépései

A Bizottság az NCI végrehajtására a következő lépéseket javasolja:

8. A tagállamok az EPCIP alapján meghatározzák az NCI-k azonosítására szolgáló kritériumokat;

9. A tagállamok ágazatonként fokozatosan azonosítják és ellenőrzik az NCI-ket;

10. A tagállamok ágazatonként megvizsgálják az NCI-k biztonsági hiányosságait;

11. A tagállamok meghatározzák a fellépés során prioritást élvező ágazatokat, figyelembe véve az interdependenciákat és adott esetben az EU-szinten megállapított prioritásokat;

12. A tagállamok adott esetben minden egyes ágazatra megállapítják a minimális védekezési intézkedéseket;

13. A tagállamok biztosítják, hogy a területükön lévő tulajdonosok/üzemeltetők megteszik a szükséges végrehajtási intézkedéseket;

14. A rendszeres ellenőrzést a tagállamok biztosítják. Szükség esetén felülvizsgálják az intézkedéseket és a létfontosságú infrastruktúrák azonosításának kritériumait.

Kérdés

Megfelelőek az NCI végrehajtásának fentebb felsorolt lépései? Valamelyik lépés esetleg felesleges? Szükség van egyéb lépésekre?

8. A LÉTFONTOSSÁGÚ INFRASTRUKTÚRÁK TULAJDONOSAINAK, ÜZEMELTETŐINAK ÉS HASZNÁLÓINAK SZEREPE

8.1. A létfontosságú infrastruktúrák tulajdonosainak, üzemeltetőinek és használóinak feladatai

A létfontosságú infrastruktúrává nyilvánítás bizonyos feladatokkal jár a tulajdonosokra és az üzemeltetőkre nézve. Az NCI-vé vagy ECI-vé nyilvánított infrastruktúrák tulajdonosai és üzemeltetői számára négy feladatot lehetne meghatározni:

15. Az adott tagállam CIP-szervének értesítése arról, hogy valamely infrastruktúra létfontosságú lehet;

16. Egy vagy több magas rangú képviselő kinevezése, akik biztonsági összekötő tisztviselőként a tulajdonos/üzemeltető és az adott tagállam CIP-hatósága közötti kapcsolatokban járnak el. A biztonsági összekötő tisztviselő részt venne a biztonsági és vészhelyzeti intézkedési tervek kidolgozásában. Továbbá ő lenne a fő összekötő tisztviselő a tagállam érintett ágazati CIP-szervével és adott esetben a bűnüldöző hatóságokkal;

17. Üzemeltetői biztonsági terv kidolgozása, végrehajtása és aktualizálása . A javasolt üzemeltetői biztonsági terv sablonját a 3. melléklet tartalmazza.

18. A létfontosságú infrastruktúrával kapcsolatos vészhelyzeti intézkedési terv kidolgozásában való részvétel, szükség esetén az adott tagállam polgári védelmi és bűnüldöző hatóságaival együttműködve.

Az üzemeltetői biztonsági tervet be kellene nyújtani jóváhagyásra az adott tagállamnak az NCCB általános felügyelete alá tartozó ágazati CIP-hatóságához, függetlenül attól, hogy NCI-ről vagy ECI-ről van szó, ami biztosítaná az adott tulajdonosok és üzemeltetők, valamint általában az adott ágazat által hozott biztonsági intézkedések összhangját. A tulajdonosok és üzemeltetők pedig az NCCB-től vagy adott esetben a Bizottságtól visszajelzést és támogatást kaphatnának az esetleges veszélyekkel és a legjobb gyakorlatok fejlődésével kapcsolatban, továbbá ezen intézmények segítenék őket az interdependenciák és sebezhető pontok értékelésében.

Valamennyi tagállam határidőt állapíthatna meg az NCI-k és ECI-k tulajdonosai és üzemeltetői számára az üzemeltetői biztonsági terv kidolgozásához (ECI esetén ebben a Bizottság is részt venne), és bírságot szabhatna ki olyan esetekben, amikor e határidőket nem tartották be.

A Bizottság szerint az üzemeltetői biztonsági terv azonosítaná a tulajdonos/üzemeltető létfontosságú infrastrukturális eszközeit, és azok védelmére megfelelő biztonsági megoldásokat alakítana ki. Az üzemeltetői biztonsági terv meghatározná az EPCIP-nek, a nemzeti CIP-programoknak és a vonatkozó ágazatspecifikus CIP-programoknak való megfelelés érdekében követendő módszereket és eljárást. Az üzemeltetői biztonsági terv a CIP szabályozásában olyan lentről felfelé haladó megközelítést jelenthetne, mely nagyobb cselekvési szabadságot biztosít (de nagyobb felelősséget is jelent) a magánszektor számára.

Egyes infrastruktúrák, úgymint a villamosenergia- és információs hálózatok esetében (gyakorlati és pénzügyi szempontból) irreális lenne elvárni a tulajdonosoktól és üzemeltetőktől, hogy valamennyi eszközüknek azonos védelmi szintet biztosítsanak. Ilyen esetekben a Bizottság azt javasolja, hogy a tulajdonosok és üzemeltetők az érintett hatóságokkal együtt azonosítsák a fizikai vagy információs hálózat azon létfontosságú pontjait (csomópontjait), melyekre a biztonsági védekezési intézkedéseket összpontosítani lehetne.

Az üzemeltetői biztonsági terv két csoportba sorolható biztonsági intézkedéseket tartalmazhatna:

- állandó biztonsági intézkedések , amelyek olyan nélkülözhetetlen biztonsági befektetéseket és eszközöket jelentenének, melyeket a tulajdonos/üzemeltető rövid határidőn belül nem tud megvalósítani. A tulajdonos/üzemeltető az esetleges veszélyekkel szemben állandó készültséget tartana fenn, ez azonban nem zavarná rendes gazdasági, igazgatási és szociális tevékenységeit.

- különböző fokozatú biztonsági intézkedések , melyeket a különböző veszélyszinteknek megfelelően lehetne foganatosítani. Így az üzemeltetői biztonsági terv olyan különböző biztonsági rendszereket irányozna elő, melyeket azon tagállam lehetséges veszélyszintjeihez igazítanának, amelyben az adott infrastruktúra található.

A Bizottság javasolja, hogy bírságot lehessen kiszabni a létfontosságú infrastruktúra tulajdonosával és üzemeltetőjével szemben, amennyiben nem teljesíti az üzemeltetői biztonsági terv kialakítására vonatkozó kötelezettségét, nem vesz részt a vészhelyzeti intézkedési tervek kidolgozásában vagy nem nevez ki biztonsági összekötő tisztviselőt.

Kérdések

Elfogadhatóak-e a létfontosságú infrastruktúrák tulajdonosainak/üzemeltetőinek előírt lehetséges kötelezettségek a létfontosságú infrastruktúrák biztonságának növelésére tekintettel? Milyen költségekkel járnának valószínűleg?

Elő kellene írni a tulajdonosok és üzemeltetők számára, hogy jelentsék be, amennyiben infrastruktúrájuk esetleg létfontosságú lehet? Ön szerint hasznos az üzemeltetői biztonsági terv koncepciója? Miért?

A javasolt kötelezettségek arányban állnak azok költségeivel?

Milyen jogokat biztosíthatnának a tagállami hatóságok és a Bizottság a létfontosságú infrastruktúrák tulajdonosai és üzemeltetői számára?

8.2. A létfontosságú infrastruktúrák tulajdonosaival, üzemeltetőivel és használóival folytatott párbeszéd

Az EPCIP keretében a tulajdonosok és üzemeltetők partnerségeket alakíthatnának ki. Bármely védelmi program sikere a tulajdonosokkal és üzemeltetőkkel való együttműködéstől, valamint részvételük mértékétől függ. A tagállamokon belül a létfontosságú infrastruktúrák tulajdonosait és üzemeltetőit az NCCB-vel való rendszeres kapcsolattartással lehetne szorosan bevonni a CIP kidolgozásába.

EU-szinten fórumokat lehetne létrehozni az általános, illetve az ágazatspecifikus CIP-kérdésekkel kapcsolatos vélemények cseréjének megkönnyítésére. A magánszektornak a CIP kérdéskörébe való bevonására irányuló egységes megközelítés, mely a köz- és magánszféra valamennyi szereplőjét összehozná, fontos platformot nyújtana a tagállamok, a Bizottság és a gazdaság számára a CIP-pel kapcsolatosan felmerülő bármely kérdés megvitatásához. A létfontosságú infrastruktúrák tulajdonosait, üzemeltetőit és használóit be lehetne vonni a közös iránymutatások és a legjobb gyakorlatok kidolgozásába, valamint adott esetben az információcserébe. E dialógus segítséget nyújthatna az EPCIP jövőbeli felülvizsgálataihoz.

Adott esetben a Bizottság ösztönözhetné a CIP-pel kapcsolatos ipari/gazdasági társulások létrehozását. A két végső célkitűzés az európai gazdaság versenyképességének megőrzése, valamint az EU-polgárok biztonságának növelése lenne.

Kérdés

Milyen formában valósuljon meg a létfontosságú infrastruktúrák tulajdonosaival, üzemeltetőivel és használóival folytatott párbeszéd?

Ki képviselje a köz- és a magánszféra közötti párbeszédben a tulajdonosokat, üzemeltetőket és használókat?

9. AZ EPCIP-ET TÁMOGATÓ INTÉZKEDÉSEK

9.1. A létfontosságú infrastruktúrák figyelmeztető információs hálózata (CIWIN)

A Bizottság számos olyan sürgősségi riasztórendszert dolgozott ki, melyek veszélyhelyzet esetén – ideértve a terrorfenyegetéseket is – lehetővé teszik a konkrét, összehangolt és hatékony válaszadást. 2004. október 20-án a Bizottság bejelentette egy olyan központi hálózat (ARGUS) Bizottságon belüli kialakítását, mely biztosítja a gyors információáramlást a Bizottság valamennyi sürgősségi riasztórendszere, valamint a Bizottság érintett szolgálatai között.

A Bizottság javasolja a CIWIN létrehozását, mely elősegítené a megfelelő védekezési intézkedések kialakítását azáltal, hogy megkönnyítené a legjobb gyakorlatok biztonságos cseréjét, valamint továbbítaná a közvetlen veszélyekre vonatkozó információkat és riasztásokat. A rendszer biztosítaná, hogy az érintett személyek időben megkapják a megfelelő információkat.

A következő három lehetőség közül lehetne választani a CIWIN kialakításához:

19. A CIWIN a CIP-pel kapcsolatos vélemények és legjobb gyakorlatok cseréjének fóruma lenne a létfontosságú infrastruktúrák tulajdonosai és üzemeltetői támogatása érdekében. E fórum egy szakértői hálózatot, valamint a vonatkozó információk biztonságos cseréjére szolgáló elektronikus platformot foglalhatna magában. A Bizottság fontos szerepet játszana ezen információk összegyűjtésében és terjesztésében. E választási lehetőség nem biztosítana sürgősségi riasztást közvetlen veszélyek esetén. Mindazonáltal lehetőség lenne a CIWIN alkalmazásának jövőbeli kiterjesztésére.

20. A CIWIN a tagállamokat a Bizottsággal összekötő sürgősségi riasztórendszer lenne . E választási lehetőség növelné a létfontosságú infrastruktúrák biztonságát azáltal, hogy közvetlen veszélyek és riasztások esetén továbbítaná a figyelmeztetést. Ez esetben a cél a létfontosságú infrastruktúrák tulajdonosait és üzemeltetőit fenyegető esetleges veszélyekre vonatkozó információk gyors cseréjének megkönnyítése lenne. A sürgősségi riasztórendszer nem foglalná magában a hosszabb időszakon keresztül gyűjtött hírszerzési információk cseréjét. Meghatározott infrastruktúrákat fenyegető közvetlen veszélyek esetén szolgálná a gyors információcserét.

21. A CIWIN egy többszintű kommunikációs/riasztórendszer lenne két elkülönült feladattal: a) a tagállamokat a Bizottsággal összekötő sürgősségi riasztórendszer, valamint b) a CIP-pel kapcsolatos vélemények és legjobb gyakorlatok cseréje által a létfontosságú infrastruktúrák tulajdonosait és üzemeltetőit segítő fórum, mely egy szakértői hálózatból és egy elektronikus adatcserét szolgáló platformból áll.

A választott lehetőségtől függetlenül a CIWIN kiegészítené a meglévő hálózatokat, figyelemmel azonban a párhuzamosságok elkerülésére. Hosszú távon a CIWIN-hez valamennyi tagállamban hozzá lehetne kapcsolni a létfontosságú infrastruktúrák tulajdonosait és üzemeltetőit például az NCCB-n keresztül. A riasztásokat és a legjobb gyakorlatokat e szerven keresztül lehetne továbbítani, és ez lenne az egyetlen olyan szerv, mely a Bizottsággal és így valamennyi más tagállammal közvetlen összeköttetésben van. A tagállamok felhasználhatnák fennálló információs rendszereiket saját nemzeti CIWIN-kapacitásuk kialakításához, mely összekötné a hatóságokat az egyes tulajdonosokkal és üzemeltetőkkel. Ami pedig még fontosabb, e nemzeti hálózatokat kétirányú kommunikációs rendszerként is használhatnák az érintett tagállami CIP-szervek, valamint a tulajdonosok és üzemeltetők.

Tanulmány készül majd a CIWIN alkalmazási köréről, valamint a tagállamokhoz kapcsolódó jövőbeli interfészhez szükséges műszaki előírásokról.

Kérdések

Milyen formában hozzák létre a CIWIN hálózatot, hogy elősegítse az EPCIP célkitűzéseit?

Hozzá legyenek kapcsolva a CIWIN-hez a létfontosságú infrastruktúrák tulajdonosai és üzemeltetői?

9.2. Közös módszerek

Az egyes tagállamok a különböző helyzetekre eltérő riasztási fokozatokkal rendelkeznek. Jelenleg nem lehet tudni, hogy például a „magas” fokozat az egyik tagállamban ugyanazt jelenti-e, mint egy másikban. Ez a transznacionális vállalatok számára megnehezítheti a fontossági sorrend kialakítását a védekezési intézkedésekkel összefüggő kiadásaikkal kapcsolatban. Előnyös lehetne tehát a különböző szintek összehangolása vagy kalibrálása.

Minden veszélyfokozathoz hozzá lehetne rendelni egy készültségi szintet, melynek megfelelően általános közös biztonsági intézkedéseket, valamint – amennyiben szükséges – adott esetben különböző fokozatú biztonsági intézkedéseket lehetne hozni. Azon tagállamok, melyek valamely veszély esetén nem kívánnak megtenni bizonyos intézkedést, azt alternatív biztonsági intézkedésekkel kezelhetnék.

Közös módszert lehetne kidolgozni a fenyegetések, a képességek, a veszélyek és a sebezhető pontok azonosítására és osztályozására, valamint következtetések levonására egy adott infrastrukturális berendezést fenyegető veszély lehetőségével, valószínűségével és súlyosságának mértékével kapcsolatban. Ez magában foglalná a veszélyek osztályozását és rangsorolását, mely során meg lehetne állapítani a veszélyek bekövetkezésének valószínűségét, hatását, valamint a más veszélyeztetett területekkel vagy eljárásokkal való összefüggésüket.

Kérdések

Milyen mértékben kívánatos és valósítható meg a különböző riasztási fokozatok harmonizálása vagy kalibrálása?

Ki kell-e dolgozni egy közös módszert a fenyegetések, a képességek, a veszélyek és a sebezhető pontok azonosítására és osztályozására, valamint következtetések levonására valamely veszély lehetőségével, valószínűségével és súlyosságának mértékével kapcsolatban?

9.3. Finanszírozás

Az Európai Parlament kezdeményezését követően (a 2005. évi költségvetésben új költségvetési tétel létrehozása – „A terrorizmus elleni küzdelem” kísérleti projekt) a Bizottság szeptember 15-én határozatot hozott arról, hogy 7 millió eurót biztosít egy olyan intézkedéscsomag finanszírozására, mely javítani fogja az európai megelőzést, felkészültséget és válaszadást a terrortámadások tekintetében, ideértve a következménykezelést, a létfontosságú infrastruktúrák védelmét, a terrorizmus finanszírozását, a robbanóanyagokat és az erőszakos radikalizálódást is. E költségvetés több mint kétharmadát a létfontosságú infrastruktúrák védelmére vonatkozó jövőbeli európai program kidolgozására, az esetleges terrortámadásokból eredő transznacionális kiterjedésű válságok kezeléséhez szükséges kapacitások integrálására és fejlesztésére, valamint olyan szükséghelyzeti intézkedésekre szánják, melyek szükségesek lehetnek jelentős veszély vagy támadás kezeléséhez. E finanszírozás 2006-ban várhatóan folytatódni fog.

2007-től 2013-ig a finanszírozás a „Biztonság és a szabadságjogok védelme” keretprogramon keresztül valósul meg. Ez tartalmazza majd a „Terrorizmus megelőzése, felkészültség és következménykezelés” egyedi programot; a Bizottság javaslata szerint a létfontosságú infrastruktúrák védelme érdekében 137,4 millió eurót kellene fordítani a vonatkozó szükségletek azonosítására, valamint közös műszaki szabványok kidolgozására.

A program közösségi finanszírozást nyújt majd a nemzeti, regionális és helyi szervek által a létfontosságú infrastruktúrák védelme érdekében benyújtott projektekhez. A létfontosságú infrastruktúrák védelme vagy meghatározott vészhelyzeti intézkedési tervek kidolgozása érdekében a program egyrészt a védelmi szükségletek azonosítására, másrészt pedig a közös szabványok kidolgozásával, valamint a veszély- és kockázatértékeléssel kapcsolatos információk nyújtására összpontosít. A Bizottság felhasználhatná szakmai tapasztalatait, vagy hozzájárulhatna az egyes ágazatok interdependenciáira vonatkozó tanulmányok finanszírozásához. Elsősorban a tagállamok vagy a tulajdonosok és üzemeltetők feladata, hogy az azonosított szükségleteknek megfelelően infrastruktúráik biztonságát növeljék. Maga a program nem finanszírozza a létfontosságú infrastruktúra védelmének javítását. A pénzügyi intézmények kölcsönöket nyújthatnának a tagállamokban lévő infrastruktúrák biztonságának – a program keretében azonosított szükségleteknek megfelelő – növeléséhez, valamint a közös szabványok végrehajtásához. A Bizottság támogatná azon ágazatspecifikus tanulmányokat, melyek az adott infrastruktúrák biztonsága növelésének az ágazatra gyakorolt esetleges pénzügyi hatásait vizsgálják.

A Bizottság a „biztonsági kutatásokat előkészítő intézkedés”[2] (2004–2006) keretében a létfontosságú infrastruktúrák védelmét elősegítő kutatási projekteket finanszíroz, továbbá az EK 7. kutatási keretprogramjáról szóló tanácsi és európai parlamenti határozatra irányuló javaslatában (COM(2005)119 végleges)[3], valamint a hetedik keretprogram végrehajtására irányuló „Együttműködés” egyedi programról szóló tanácsi határozatra irányuló javaslatában (COM(2005)440 végleges) a Bizottság a biztonsági kutatás terén előremutatóbb fellépéseket irányzott elő. Az EU létfontosságú infrastruktúráinak közép- és hosszútávú védelme érdekében a legfontosabbak azon célzott kutatások, melyek a kockázatcsökkentéshez gyakorlati stratégiákat és eszközöket nyújtanak. E területen valamennyi biztonsági kutatást etikai felülvizsgálatnak vetik majd alá az Alapjogi Chartával való összeegyeztethetőség biztosítása érdekében. Az infrastruktúrák közötti interdependenciák számának emelkedésével növekedni fog a kutatás iránti szükséglet is.

Kérdések

Milyen költségekkel és hatásokkal jár Ön szerint az e zöld könyvben megfogalmazott intézkedések végrehajtása a hatóságok és a gazdaság számára? Arányosnak találja a költségeket?

9.4. Értékelés és ellenőrzés

Az EPCIP végrehajtásának értékeléséhez és ellenőrzéséhez olyan többszintű eljárásra lenne szükség, melyben valamennyi szereplő részt vesz:

- EU-szinten egy olyan szakértői értékelési mechanizmust lehetne bevezetni , melyben a tagállamok és a Bizottság együttműködnének az EPCIP egyes tagállamokban való általános végrehajtásának értékelésében. A Bizottság évente jelentést készíthetne az EPCIP végrehajtása során elért haladásról.

- a Bizottság a szolgálatai által készített munkadokumentumban évente tájékoztatná a tagállamokat és más intézményeket az elért haladásról.

- tagállami szinten az egyes tagállamok NCCB-je ellenőrizhetné az EPCIP általános végrehajtását az illetékességi területén, a Tanácshoz és a Bizottsághoz évente benyújtott jelentés segítségével biztosítva a nemzeti CIP-programok és az ágazatspecifikus CIP-programok EPCIP-pel való összhangját azok hatékony végrehajtása érdekében.

Az EPCIP végrehajtása dinamikus, folyamatosan fejlődő és értékelt folyamat lenne a változó világgal való lépéstartás és a tapasztalatok felhasználása érdekében. A szakértői felülvizsgálati értékelések és a tagállami ellenőrző jelentések segíthetnék az EPCIP felülvizsgálatát, valamint a létfontosságú infrastruktúrák védelmét szolgáló új intézkedések megfogalmazását.

A tagállamok a Bizottság rendelkezésére bocsáthatnák az EU-infrastruktúrákra vonatkozó releváns információkat a közös sebezhetőségi értékelések, következménykezelési tervek és a létfontosságú infrastruktúrák védelmével kapcsolatos közös szabványok kidolgozása, a kutatási tevékenységek közötti prioritások megállapítása, valamint adott esetben a szabályozás és harmonizáció érdekében. Ezen információkat titkosítanák, és szigorúan bizalmasan kezelnék.

A Bizottság ellenőrizhetné a különböző tagállami kezdeményezéseket, ideértve azokat is, melyek pénzügyi következményeket irányoznak elő azon tulajdonosok és üzemeltetők vonatkozásában, akik meghatározott időn belül nem képesek újra biztosítani a polgárok számára a lényeges szolgáltatásokat.

Kérdés

Milyen értékelési mechanizmusra lenne szükség az EPCIP vonatkozásában? Elegendő lenne a fent leírt mechanizmus?

A válaszokat 2006. január 15-ig kell megküldeni e-mailben a következő címre: JLS-EPCIP@cec.eu.int . A válaszokat bizalmasan kezelik, kivéve ha a válasz küldője kifejezetten kéri annak közzétételét; ez esetben a választ felteszik a Bizottság internetes oldalára.

ANNEXES

ANNEX 1

CIP terms and definitions

This indicative list of definitions could be further built upon depending on the individual sectors for the purpose of identification and protection of Critical Infrastructure (CI).

Alert

Notification that a potential disaster situation will occur, exists or has occurred. Direction for recipient to stand by for possible escalation or activation of appropriate measures.

Critical infrastructure protection (CIP)

The ability to prepare for, protect against, mitigate, respond to, and recover from critical infrastructure disruptions or destruction.

Critical Information Infrastructure (CII):

ICT systems that are critical infrastructures for themselves or that are essential for the operation of critical infrastructures (telecommunications, computers/software, Internet, satellites, etc.).

Critical Information Infrastructure Protection (CIIP)

The programs and activities of infrastructure owners, operators, manufacturers, users, and regulatory authorities which aim at keeping the performance of critical information infrastructures in case of failures, attacks or accidents above a defined minimum level of services and aim at minimising the recovery time and damage.

CIIP should therefore be viewed as a cross-sector phenomenon rather than being limited to specific sectors. CIIP should be closely coordinated with Critical Infrastructure Protection from a holistic perspective.

Contingency plan

A plan used by a MS and critical infrastructure owner/operator on how to respond to a specific systems failure or disruption of essential service.

Contingency plans would typically include the development, coordination, and execution of service- and site-restoration plans; the reconstitution of government operations and services; individual, private-sector, nongovernmental and public-assistance programs to promote restoration; long-term care and treatment of affected persons; additional measures for social, political, environmental, and economic restoration as well as development of initiatives to mitigate the effects of future incidents.

Critical Information

Specific facts about a critical infrastructure asset, vitally needed to plan and act effectively so as to guarantee failure or cause unacceptable consequences for critical infrastructure installations.

Critical Infrastructure (CI)

Critical infrastructure include those physical resources, services, and information technology facilities, networks and infrastructure assets which, if disrupted or destroyed, would have a serious impact on the health, safety, security or economic well-being of Citizens or the effective functioning of governments.

There are three types of infrastructure assets:

- Public, private and governmental infrastructure assets and interdependent cyber & physical networks.

- Procedures and where relevant individuals that exert control over critical infrastructure functions.

- Objects having cultural or political significance as well as “soft targets” which include mass events (i.e. sports, leisure and cultural).

Essential service

Often applied to utilities (water, gas, electricity, etc.) it may also include standby power systems, environmental control systems or communication networks that if interrupted puts at risk public safety and confidence, threatens economic security, or impedes the continuity of a MS government and its services.

European critical infrastructure (ECI)

European critical infrastructure include those physical resources, services, and information technology facilities, networks and infrastructure assets, which, if disrupted or destroyed would have a serious impact on the health, safety, security, economic or social well-being of two or more MS.

The definition of what constitutes an EU critical infrastructure is determined by its cross border effect which ascertains whether an incident could have a serious impact beyond two or more MS national territories. This is defined as the loss of a critical infrastructure element and is rated by the:

- extent of the geographic area which could be affected by the loss or unavailability of a critical infrastructure element beyond three or more Member State’s national territories;

- effect of time (i.e. the fact that a for example a radiological cloud might, with time, cross a border);

- level of interdependency (i.e. electricity network failure in one MS effecting another);

Impact

Impacts are the total sum of the different effects of an incident. This needs to take into account at least the following qualitative and quantitative effects:

- Scope - The loss of a critical infrastructure element is rated by the extent of the geographic area which could be affected by its loss or unavailability - international, national, regional or local.

- Severity - The degree of the loss can be assessed as None, Minimal, Moderate or Major. Among the criteria which can be used to assess impact are:

- Public (number of population affected, loss of life, medical illness, serious injury, evacuation);

- Economic (GDP effect, significance of economic loss and/or degradation of products or services, interruption of transport or energy services, water or food shortages);

- Environment (effect on the public and surrounding location);

- Interdependency (between other critical infrastructure elements).

- Political effects (confidence in the ability of government);

- Psychological effects (may escalate otherwise minor events).both during and after the incident and at different spatial levels (e.g. local, regional, national and international)

- Effects of time - This criteria ascertains at what point the loss of an element could have a serious impact (i.e. immediate, 24-48 hours, one week, other).

Interdependency

Identified connections or lack thereof between and within infrastructure sectors with essential systems and assets.

Occurrence

The term “occurrence” in the CIP context is defined as an event (either human caused or by natural phenomena) that requires a serious emergency response to protect life or property or puts at risk public safety and confidence, seriously disrupts the economy, or impedes the continuity of a MS government and its services. Occurrences include negligence, accidents, deliberate acts of terrorism, computer hacking, criminal activity and malicious damage, major disasters, urban fires, floods, hazardous materials spills, nuclear accidents, aircraft accidents, earthquakes, storms, public health and medical emergencies and other occurrences requiring a major emergency response.

Operator Security Plan

The Operator Security Plan (OSP) identifies all of the operator’s critical infrastructure assets and establishes relevant security solutions for their protection. The OSP describes the methods and procedures which are to be followed by the owner/operator.

Prevention

The range of deliberate, critical tasks and activities necessary to build, sustain, and improve the operational capability to prevent, protect against, respond to, and recover from an incident. Prevention involves efforts to identify threats, determine vulnerabilities and identify required resources.

Prevention involves actions to protect lives and property. It involves applying intelligence and other information to a range of activities that may include such countermeasures as deterrence operations; heightened inspections; improved surveillance and security operations; investigations to determine the full nature and source of the threat; public health and agricultural surveillance and testing processes; immunizations, isolation, or quarantine; and as appropriate specific law enforcement operations aimed at deterring, pre-empting, interdicting, or disrupting illegal activity, and apprehending potential perpetrators and bringing them to justice. Prevention involves the stopping of an incident before it happens with effective processes, guidelines, standards and certification. Seamless interactive systems, and comprehensive threat- and vulnerability analysis.

Prevention is a continuous process of ongoing actions to reduce exposure to, probability of, or potential loss from hazards.

Response

Activities that address the short-term direct effects of an incident. Response includes immediate actions to save lives, protect property, and meet basic human needs. As indicated by the situation, response activities include applying intelligence and other information to lessen the effects or consequences of an incident; increased security operations; continuing investigations into nature and source of the threat; ongoing public health and agricultural surveillance and testing processes; immunizations, isolation, or quarantine; and specific law enforcement operations aimed at pre-empting, interdicting, or disrupting illegal activity, and apprehending actual perpetrators and bringing them to justice.

Risk

The possibility of loss, damage or injury. The level of risk is a condition of two factors: (1) the value placed on the asset by its owner/operator and the impact of loss or change to the asset, and (2) the likelihood that a specific vulnerability will be exploited by a particular threat.

Threat

Any indication, circumstance, or event with the potential to disrupt or destroy critical infrastructure, or any element thereof. An all-hazards approach to threat includes accidents, natural hazards as well as deliberate attacks. It can also be defined as the intention and capability of an adversary to undertake actions that would be detrimental to critical assets.

Vulnerability

A characteristic of an element of the critical infrastructure's design, implementation, or operation that renders it susceptible to destruction or incapacitation by a threat.

ANNEX 2

Indicative list of Critical infrastructure sectors

Sector | Product or service |

I Energy | 1 Oil and gas production, refining, treatment and storage, including pipelines 2 Electricity generation 3 Transmission of electricity, gas and oil 4 Distribution of electricity, gas and oil |

II Information, Communication Technologies, ICT | 5 Information system and network protection 6 Instrumentation automation and control systems (SCADA etc.) 7 Internet 8 Provision of fixed telecommunications 9 Provision of mobile telecommunications 10 Radio communication and navigation 11 Satellite communication 12 Broadcasting |

III Water | 13 Provision of drinking water 14 Control of water quality 15 Stemming and control of water quantity |

IV Food | 16 Provision of food and safeguarding food safety and security |

V Health | 17 Medical and hospital care 18 Medicines, serums, vaccines and pharmaceuticals 19 Bio-laboratories and bio-agents |

VI Financial | 20 Payment services/payment structures (private) 21 Government financial assignment |

VII Public & Legal Order and Safety | 22 Maintaining public & legal order, safety and security 23 Administration of justice and detention |

VIII Civil administration | 24 Government functions 25 Armed forces 26 Civil administration services 27 Emergency services 28 Postal and courier services |

IX Transport | 29 Road transport 30 Rail transport 31 Air traffic 32 Inland waterways transport 33 Ocean and short-sea shipping |

X Chemical and nuclear industry | 34 Production and storage/processing of chemical and nuclear substances 35 Pipelines of dangerous goods (chemical substances) |

XI Space and Research | 36 Space 37 Research |

ANNEX 3

OPERATOR SECURITY PLAN

The possible contents of the OSP should include an introduction and a classified detail part (not accessible outside the relevant MS authorities). The classified part would begin with a presentation of the operator and describe the legal context of its CI activities. The OSP would then go on to presenting the details on the criticality of the infrastructure concerned, taking into consideration the operator’s objectives and the Member State’s interests. The critical points of the infrastructure would be identified and their security requirements presented. A risk analysis based on major threat scenarios, vulnerability of each critical point, and potential impact would be conducted. Based on this risk analysis, relevant protection measures should be foreseen.

Introduction )

Contains information concerning the pursued objectives and the main organisational and protection principles.

Detailed part (classified)

- Presentation of the operator

Contains a description of the operator’s activities, organization and connections with the public authorities. The details of the operator’s Security Liaison Office (SLO) are given.

- Legal context

The operator addresses the requirements of the National CIP Programme and the sector specific CIP programme where relevant.

- Description of the criticality of the infrastructure

The operator describes in detail the critical services/products he provides and how particular elements of the infrastructure come together to create an end-product. Details should be provided concerning:

- material elements;

- non-material elements (sensors, command, information systems);

- human elements (decision-maker, expert);

- access to information (databases, reference systems);

- dependence on other systems (energy, telecoms);

- specific procedures (organisation, management of malfunctions, etc.).

- Formalisation of security requirements

The operator identifies the critical points in the infrastructure, which could not be easily replaced and whose destruction or malfunctioning could significantly disrupt the operation of the activity or seriously endanger the safety of users, customers or employees or result in essential public needs not being satisfied. The security of these critical points is then addressed.

The owners, operators and users (‘users’ being defined as organizations that exploit and use the infrastructure for business and service provision purposes) of critical infrastructure would have to identify the critical points of their infrastructure, which would be deemed restricted areas. Access to restricted areas should be monitored in order to ensure than no unauthorised persons and vehicles enter such areas. Access would only be granted to security cleared personnel. The relevant background security checks (if deemed necessary by a MS CIP sector authority) should be carried out by the Member State in which the critical infrastructure is located.

- Risk analysis and management

The operator conducts and risk analysis concerning each critical point.

- Security measure s

The operator presents the security measures arranged around two headings:

- Permanent security measures, which will identify indispensable security investment and means, which cannot be installed by the owner/operator in a hurry. The owner/operator will maintain a standing alertness against potential threats, which will not disturb its regular economic, administrative and social activities. This heading will include information concerning general measures; technical measures (including installation of detection, access control, protection and prevention means); organizational measures (including procedures for alerts and crisis management); control and verification measures; communication; awareness raising and training; and security of information systems.

- Graduated security measures, which may be activated according to varying threat levels. The OSP will therefore foresee various security regimes adapted to possible threat levels existing in the Member State.

- Presentation and application

The operator will prepare detailed information sheets and instructions on how to react to various situations.

- Monitoring and updating

The operator sets out the relevant monitoring and updating mechanisms which will be used.

[1] A védelemmel kapcsolatos infrastruktúrák kivételével.

[2] A 2004-es és 2005-ös költségvetésben foglalt előirányzatok teljes összege 30 millió euro volt. 2006-ra a Bizottság 24 millió eurót javasolt; a költségvetési hatóság jelenleg vizsgálja a javaslatot.

[3] A Bizottság költségvetési javaslatában 570 millió eurót irányzott elő a biztonsági és űrkutatási tevékenységekre a KTF 7. keretprogramja keretében (COM(2005)119 végleges).