23.12.2008   

BG

Официален вестник на Европейския съюз

L 345/75


ДИРЕКТИВА 2008/114/ЕО НА СЪВЕТА

от 8 декември 2008 година

относно установяването и означаването на европейски критични инфраструктури и оценката на необходимостта от подобряване на тяхната защита

(текст от значение за ЕИП)

СЪВЕТЪТ НА ЕВРОПЕЙСКИЯ СЪЮЗ,

като взе предвид Договора за създаване на Европейската общност, и по-специално член 308 от него,

като взе предвид предложението на Комисията,

като взе предвид становището на Европейския парламент (1),

като взе предвид становището на Европейската централна банка (2),

като има предвид, че:

(1)

През юни 2004 г. Европейският съвет поиска да се изготви цялостна стратегия за защита на критичните инфраструктури. В отговор на това на 20 октомври 2004 г. Комисията прие съобщение относно защитата на критичните инфраструктури в борбата с тероризма, в което се дават предложения за засилване на способността на Европа да предотвратява терористични нападения, засягащи критични инфраструктури, както и готовността ѝ да реагира и реакцията ѝ на тях.

(2)

На 17 ноември 2005 г. Комисията прие Зелена книга относно Европейска програма за защита на критичните инфраструктури, в която се предлагат различни възможности за създаване на програмата и на предупредителната информационна мрежа за критични инфраструктури. В получените отзиви за Зелената книга се изтъква ползата от общностна рамка за защитата на критичните инфраструктури. Призната бе необходимостта да се увеличи способността на Европа за защита на критичните инфраструктури и да се спомогне за намаляване на тяхната уязвимост. Изтъкнато бе значението на ключовите принципи на субсидиарност, пропорционалност и взаимно допълване, както и на диалога със заинтересованите страни.

(3)

През декември 2005 г. Съветът по правосъдие и вътрешни работи призова Комисията да изготви предложение за Европейска програма за защита на критичните инфраструктури и реши, че програмата следва да бъде изградена върху подход, обхващащ всички опасности, като противодействието на терористични заплахи се счита за приоритет. Съгласно този подход при осигуряване на защитата на критичните инфраструктури следва да се вземат предвид заплахите, които са резултат от човешка дейност, технологичните заплахи и природните бедствия, като се отдава обаче приоритет на терористичните заплахи.

(4)

През април 2007 г. Съветът прие заключения относно Европейската програма за защита на критичните инфраструктури, в които отново изтъкна, че държавите-членки носят крайната отговорност за управлението на механизмите за защита на критичните инфраструктури в рамките на техните национални граници, като същевременно приветства усилията на Комисията за разработване на европейска процедура за установяване и означаване на европейски критични инфраструктури („ЕКИ“) и за оценка на необходимостта от подобряване на тяхната защита.

(5)

Настоящата директива представлява първата стъпка от един поетапен подход за установяване и означаване на ЕКИ и за оценка на необходимостта от подобряване на тяхната защита. Ето защо настоящата директива обхваща основно секторите на енергетиката и транспорта и следва да бъде преразгледана, за да се направи оценка на нейното въздействие и на необходимостта в нейния обхват да бъдат включени и други сектори, inter alia, сектора на информационните и комуникационните технологии.

(6)

Държавите-членки и собствениците/операторите на ЕКИ носят първична и крайна отговорност за тяхната защита.

(7)

В Общността съществуват определен брой критични инфраструктури, чието нарушаване или унищожаване би довело до значителни трансгранични последици. Това включва трансгранични последици за повече от един сектор като резултат от взаимозависимостта между свързани помежду си инфраструктури. Подобни ЕКИ следва да бъдат установени и означени по обща процедура. Оценяването на изискванията за сигурност за подобни инфраструктури следва да се извърши съгласно минимален общ подход. Двустранните механизми на сътрудничество между държавите-членки в областта на защитата на критичните инфраструктури представляват едно добре установено и ефикасно средство за защита на трансграничните критични инфраструктури. Европейската програма за защита на критичните инфраструктури следва да се основава на този вид сътрудничество. Информацията, свързана с означаването на определена инфраструктура като ЕКИ, следва да се класифицира на съответното ниво в съответствие със съществуващото законодателство на Общността и на държавите-членки.

(8)

Тъй като в някои сектори има конкретен опит, експертни знания и изисквания по отношение на защитата на критичните инфраструктури, следва да се разработи и въведе общностен подход за защита на критичните инфраструктури, като се вземат предвид спецификата на съответните сектори и съществуващите секторни мерки, включително тези, които вече са налице на общностно, национално или регионално равнище, както и, когато е необходимо, сключените споразумения за трансгранична взаимопомощ между собствениците/операторите на критични инфраструктури. Предвид високата степен на участие на частния сектор в надзора и управлението на риска, както и в планирането на непрекъснатостта на работните процеси и възстановяването им след бедствия и аварии, е необходимо общностният подход да насърчава пълноценното участие на частния сектор.

(9)

По отношение на сектора на енергетиката, и по-специално на методите за производство и пренос на електроенергия (във връзка с доставките на електроенергия), се приема, че когато е целесъобразно, производството на електроенергия може да включва елементите на атомни електроцентрали за пренос на електроенергия, но без специфично ядрените елементи, обхванати от съответното законодателство в ядрената област, включително договори и право на Общността.

(10)

Настоящата директива допълва действащите секторни мерки на общностно равнище и в отделните държави-членки. Там, където вече са въведени общностни механизми, тяхното използване следва да продължи, като по този начин те ще допринесат за цялостното прилагане на настоящата директива. Следва да се избягва дублирането на различни актове или разпоредби или противоречието между тях.

(11)

Във всички означени ЕКИ следва да се въведат операторски планове за сигурност или еквивалентни мерки, които да включват установяване на важните инфраструктурни елементи, оценка на риска, както и установяване, подбор и подреждане по приоритети на мерките и процедурите за противодействие. С оглед да се избегнат ненужната работа и дублирането, всяка държава-членка следва първо да прецени дали собствениците/операторите на означени ЕКИ разполагат със съответните операторски планове за сигурност или сходни мерки. Когато не съществуват подобни планове, всяка държава-членка следва да предприеме необходимите стъпки, за да гарантира въвеждането на подходящи мерки. Всяка държава-членка самостоятелно решава коя е най-подходящата форма на действие за въвеждането на операторски планове за сигурност.

(12)

Мерките, принципите, насоките, включително общностните мерки, както и двустранните и/или многостранните схеми за сътрудничество, които предвиждат план, който е сходен или еквивалентен на операторски план за сигурност, или предвиждат служител за връзка по сигурността или сходна длъжност, следва да се разглеждат като отговарящи съответно на изискванията на настоящата директива по отношение на операторския план за сигурност или по отношение на служителя за връзка по сигурността.

(13)

Във всички означени ЕКИ следва да бъдат определени служители за връзка по сигурността, с цел да се улеснят сътрудничеството и комуникацията с компетентните национални органи за защита на критичните инфраструктури. С оглед да се избегнат ненужната работа и дублирането, всяка държава-членка следва първо да прецени дали собствениците/операторите на означени ЕКИ вече не разполагат със служител за връзка по сигурността или сходна длъжност. Когато няма служител за връзка по сигурността, всяка държава-членка следва да предприеме необходимите стъпки, за да гарантира въвеждането на подходящи мерки. Всяка държава-членка самостоятелно решава коя е най-подходящата форма на действие за определянето на служители за връзка по сигурността.

(14)

За ефикасното установяване на рисковете, заплахите и уязвимите места в съответните сектори се изисква комуникация както между собствениците/операторите на ЕКИ и държавите-членки, така и между държавите-членки и Комисията. Всяка държава-членка следва да събира информация относно ЕКИ, които се намират на нейна територия. Комисията следва да получава от държавите-членки обща информация относно уязвимите места, заплахите и рисковете в секторите, в които са били установени ЕКИ, включително, когато е необходимо, информация за възможни подобрения в ЕКИ и междусекторни зависимости, въз основа на което, при необходимост, Комисията да може да изготвя конкретни предложения за подобряване на защитата на ЕКИ.

(15)

С цел да се улесни подобряването на защитата на ЕКИ, може да бъдат разработени общи методологии за определяне и класифициране на уязвими места, заплахи и рискове по отношение на инфраструктурните елементи.

(16)

На собствениците/операторите на ЕКИ следва да се осигури достъп, основно чрез компетентните органи на държавите-членки, до най-добрите практики и методологии за защита на критичните инфраструктури.

(17)

За ефективната защита на ЕКИ е необходимо да има комуникация, координация и сътрудничество на национално и общностно равнище. Това може да се постигне най-добре, като във всяка държава-членка се определят точки за контакт по защитата на европейските критични инфраструктури, които следва да координират въпросите, свързани със защитата на европейските критични инфраструктури както в рамките на страната, така и с останалите държави-членки и с Комисията.

(18)

За разработването на дейности за защита на европейските критични инфраструктури в области, в които се изисква определена степен на поверителност, е целесъобразно да се осигури съгласуван и сигурен обмен на информация в рамките на настоящата директива. Важно е правилата за поверителност съгласно приложимото национално законодателство или Регламент (ЕО) № 1049/2001 на Европейския парламент и на Съвета от 30 май 2001 г. относно публичния достъп до документи на Европейския парламент, на Съвета и на Комисията (3) да се спазват по отношение на конкретните факти, свързани с елементи на критичните инфраструктури, които биха могли да се използват за планиране и извършване на действия с цел причиняване на нежелани последици за инсталации на критичните инфраструктури. Класифицираната информация следва да бъде защитена съгласно съответното законодателство на Общността и на държавите-членки. Държавите-членки и Комисията следва да спазват съответната класификация за сигурност, определена от автора на документа.

(19)

Обменът на информация, свързана с ЕКИ, следва да се извършва при условия на доверие и сигурност. Обменът на информация изисква отношения на доверие, при които дружествата и организациите да знаят, че техните данни с чувствително и поверително съдържание ще бъдат достатъчно защитени.

(20)

Тъй като целите на настоящата директива, а именно създаването на процедура за установяване и означаване на ЕКИ, както и на общ подход за оценка на необходимостта от подобряване на защитата на тези инфраструктури, не могат да бъдат постигнати в достатъчна степен от държавите-членки и следователно, поради обхвата на действието, могат да бъдат по-добре постигнати на общностно равнище, Общността може да приеме мерки в съответствие с принципа на субсидиарност, определен в член 5 от Договора. В съответствие с принципа на пропорционалност, определен в същия член, настоящата директива не надхвърля необходимото за постигане на тези цели.

(21)

Настоящата директива зачита основните права и съблюдава принципите, признати по-специално в Хартата на основните права на Европейския съюз,

ПРИЕ НАСТОЯЩАТА ДИРЕКТИВА:

Член 1

Предмет

С настоящата директива се създава процедура за установяване и означаване на европейски критични инфраструктури („ЕКИ“), както и общ подход за оценка на необходимостта от подобряване на защитата на тези инфраструктури, с цел да се допринесе за защитата на населението.

Член 2

Определения

За целите на настоящата директива:

а)

„критична инфраструктура“ означава елемент, система или части от нея, намиращи се в държавите-членки, които са от основно значение за поддържането на жизненоважни обществени функции, здравето, безопасността, сигурността, икономическото или социалното благосъстояние на населението, и чието нарушаване или унищожаване би имало значителни последици в дадената държава-членка в резултат на невъзможността да се запазят тези функции;

б)

„европейски критични инфраструктури“ или „ЕКИ“ означава критични инфраструктури, намиращи се в държавите-членки, чието нарушаване или унищожаване би имало значителни последици за две или повече държави-членки. Значимостта на последиците се оценява в зависимост от междусекторни критерии. Те включват и последиците от междусекторните зависимости върху други видове инфраструктури;

в)

„анализ на риска“ означава отчитане на съответните сценарии за действие при различни заплахи, с цел да се направи оценка на уязвимостта и на потенциалните последици от нарушаването или унищожаването на критична инфраструктура;

г)

„чувствителна информация, свързана със защитата на критичните инфраструктури“ означава факти относно дадена критична инфраструктура, които, ако бъдат оповестени, могат да бъдат използвани за планиране и извършване на действия с цел нарушаване или унищожаване на инсталации на критичната инфраструктура;

д)

„защита“ означава всички дейности, целящи гарантиране на функционирането, непрекъснатостта и целостта на критичните инфраструктури, за да възпрат, смекчат и неутрализират заплаха, риск или уязвимо място;

е)

„собственици/оператори на европейски критични инфраструктури“ означава образувания, които отговарят за инвестирането във и/или ежедневното функциониране на определен елемент, система или част от тях, означени като ЕКИ съгласно настоящата директива.

Член 3

Установяване на ЕКИ

1.   Съгласно предвидената в приложение III процедура всяка държава-членка установява потенциални ЕКИ, които изпълняват както междусекторните, така и секторните критерии и отговарят на определенията, установени в член 2, букви а) и б).

Комисията може да оказва съдействие на държавите-членки по тяхно искане при установяването на потенциални ЕКИ.

Комисията може да привлече вниманието на съответните държави-членки към наличието на потенциални критични инфраструктури, за които може да се счита, че отговарят на изискванията за означаване като ЕКИ.

Всяка държава-членка и Комисията продължават без прекъсване процеса на установяване на потенциални ЕКИ.

2.   Междусекторните критерии, посочени в параграф 1, обхващат следното:

а)

критерий на пострадалите (оценява се потенциалният брой на загиналите или ранените);

б)

критерий на икономическите последици (оценява се значимостта на икономическите загуби и/или влошеното качество на продукти или услуги; включително възможните последици за околната среда);

в)

критерий на обществените последици (оценяват се последиците за общественото доверие, физическото страдание и нарушаването на ежедневния живот; включително загубата на основни услуги).

Праговете на междусекторните критерии се основават на сериозността на последиците от нарушаването или унищожаването на дадената инфраструктура. Точните прагове, приложими към междусекторните критерии, се определят за всеки конкретен случай от държавите-членки, заинтересовани от дадена критична инфраструктура. Всяка държава-членка ежегодно информира Комисията за броя на инфраструктурите по сектори, за които са проведени обсъждания относно праговете на междусекторните критерии.

Секторните критерии отчитат характеристиките на отделните сектори с ЕКИ.

Комисията, заедно с държавите-членки, разработва насоки за прилагането на междусекторните и секторните критерии, както и приблизителни прагове, които да се използват при установяването на ЕКИ. Съдържанието на критериите е класифицирано. Използването на тези насоки е въпрос на избор от страна на държавите-членки.

3.   За целите на прилагането на настоящата директива се използват секторите на енергетиката и на транспорта. Подсекторите са определени в приложение I.

Ако се счита за целесъобразно и във връзка с предвидения в член 11 преглед на настоящата директива, могат да се определят следващите сектори, които да се използват за целите на прилагането на настоящата директива. Дава се приоритет на сектора на информационните и комуникационните технологии.

Член 4

Означаване на ЕКИ

1.   Всяка държава-членка информира останалите държави-членки, които могат да бъдат значително засегнати от потенциална ЕКИ, за нейната идентичност и за основанията за нейното означаване като потенциална ЕКИ.

2.   Всяка държава-членка, на чиято територия се намира потенциална ЕКИ, участва в двустранни и/или многостранни обсъждания с останалите държави-членки, които могат да бъдат значително засегнати от тази потенциална ЕКИ. Комисията може да участва в тези обсъждания, без да има достъп до подробна информация, която би позволила категоричното установяване на дадена инфраструктура.

Държава-членка, която има основания да смята, че може да бъде значително засегната от дадена потенциална ЕКИ, която не е установена като такава от държавата-членка, на чиято територия се намира тази потенциална ЕКИ, може да уведоми Комисията за желанието си да участва в двустранни и/или многостранни обсъждания по този въпрос. Комисията незабавно уведомява за това желание държавата-членка, на чиято територия се намира потенциалната ЕКИ, и оказва съдействие за постигането на споразумение между заинтересованите страни.

3.   Държавата-членка, на чиято територия се намира дадена потенциална ЕКИ, я означава като ЕКИ след постигане на споразумение между тази държава-членка и онези държави-членки, които могат да бъдат значително засегнати.

Изисква се съгласието на държавата-членка, на чиято територия се намира инфраструктурата, която ще бъде означена като ЕКИ.

4.   Държавата-членка, на чиято територия се намира означената ЕКИ, ежегодно информира Комисията за броя на означените ЕКИ по сектори и за броя на държавите-членки, зависими от всяка означена ЕКИ. Единствено държавите-членки, които могат да бъдат значително засегнатите от дадена ЕКИ, знаят нейната идентичност.

5.   Държавите-членки, на чиято територия се намира съответната ЕКИ, уведомяват собственика/оператора на инфраструктурата за нейното означаване като ЕКИ. Информацията относно означаването на дадена инфраструктура като ЕКИ е със съответно ниво на класификация.

6.   Процесът на установяване и означаване на ЕКИ съгласно член 3 и настоящия член приключва до 12 януари 2011 г. и се преразглежда редовно.

Член 5

Операторски планове за сигурност

1.   Процедурата за изготвяне на операторски план за сигурност установява елементите на ЕКИ и мерките за сигурност, които съществуват или се прилагат за тяхната защита. Минималното съдържание на въпросите, които следва да се разгледат в рамките на процедурата за изготвяне на операторски план за сигурност на ЕКИ, е изложено в приложение II.

2.   Всяка държава-членка преценява дали всяка означена ЕКИ, намираща се на нейна територия, разполага с операторски план за сигурност или дали са въведени еквивалентни мерки за разглеждане на въпросите, определени в приложение II. Не са необходими допълнителни действия за прилагане, ако държавата-членка установи, че подобен операторски план за сигурност или негов еквивалент съществува и се актуализира редовно.

3.   Ако държавата-членка установи, че не е изготвен подобен операторски план за сигурност или негов еквивалент, тя гарантира с всички мерки, които счита за подходящи, изготвянето на такъв операторски план за сигурност или на негов еквивалент, който да разглежда въпросите, определени в приложение II.

Всяка държава-членка гарантира въвеждането на операторски планове за сигурност или на техен еквивалент и тяхното редовно преразглеждане в срок от една година след означаването на критичната инфраструктура като ЕКИ. Този срок може да бъде удължен при извънредни обстоятелства по споразумение с компетентния орган на държавата-членка и с нотификация до Комисията.

4.   В случаите, когато вече съществуват механизми за контрол или надзор във връзка с дадена ЕКИ, тяхното действие не се засяга от настоящия член, а посоченият в настоящия член компетентен орган на държавата-членка представлява надзорният орган съгласно тези съществуващи механизми.

5.   Спазването на мерките, включително общностните мерки, които изискват или се отнасят до необходимостта в даден сектор да има план, сходен или еквивалентен на операторския план за сигурност, както и да се извършва надзор над този план от компетентния орган, се счита за спазване на всички изисквания на държавите-членки, изложени в настоящия член или приети съгласно него. Насоките за прилагане, на които се прави позоваване в член 3, параграф 2, съдържат приблизителен списък на такива мерки.

Член 6

Служители за връзка по сигурността

1.   Служителят за връзка по сигурността изпълнява функцията на точка за контакт по въпросите, свързани със сигурността, между собственика/оператора на ЕКИ и компетентния орган на държавата-членка.

2.   Всяка държава-членка преценява дали всяка означена ЕКИ, намираща се на нейна територия, разполага със служител за връзка по сигурността или сходна длъжност. Не са необходими допълнителни действия за прилагане, ако държавата-членка установи, че е налице подобен служител за връзка по сигурността или съществува сходна длъжност.

3.   Ако държавата-членка установи, че по отношение на означената ЕКИ не е налице подобен служител за връзка по сигурността или сходна длъжност, тя гарантира с всички мерки, които счита за подходящи, определянето на служител за връзка по сигурността или служител на сходна длъжност.

4.   Всяка държава-членка прилага подходящ механизъм за комуникация между компетентния орган на държавата-членка и служителя за връзка по сигурността или служителя на сходна длъжност с оглед обмен на необходимата информация относно установените рискове и заплахи във връзка със съответната ЕКИ. Този механизъм за комуникация не засяга националните изисквания за достъп до чувствителна и класифицирана информация.

5.   Спазването на мерките, включително общностните мерки, които изискват или се отнасят до необходимостта в даден сектор да има служител за връзка по сигурността или служител на сходна длъжност, се счита за спазване на всички изисквания на държавите-членки, изложени в настоящия член или приети съгласно него. Насоките за прилагане, на които се прави позоваване в член 3, параграф 2, съдържат приблизителен списък на такива мерки.

Член 7

Докладване

1.   Всяка държава-членка извършва оценка на заплахите във връзка с подсекторите с ЕКИ в срок от една година след означаването на съответната критична инфраструктура на нейна територия като ЕКИ в същите подсектори.

2.   На всеки две години всяка държава-членка представя на Комисията обобщени данни относно видовете уязвими места, заплахи и рискове, открити за секторите с ЕКИ, в които съгласно член 4 е означена ЕКИ и която се намира на нейна територия.

Комисията, в сътрудничество с държавите-членки, може да разработи общ модел за тези доклади.

Всеки доклад е със съответното ниво на класификация, което подалата го държава-членка счита за необходимо.

3.   Въз основа на докладите, посочени в параграф 2, Комисията и държавите-членки правят оценка по сектори, дали следва да се обмислят допълнителни мерки на общностно равнище за защита на ЕКИ. Този процес ще се проведе във връзка с прегледа на настоящата директива съгласно посоченото в член 11.

4.   Комисията, в сътрудничество с държавите-членки, може да разработи общи методологични насоки за извършването на анализи на риска по отношение на ЕКИ. Използването на тези насоки е въпрос на избор от страна на държавите-членки.

Член 8

Подкрепа от Комисията за ЕКИ

Чрез компетентния орган на държавата-членка Комисията подкрепя собствениците/операторите на означени ЕКИ, като им осигурява достъп до наличните най-добри практики и методологии, както и чрез подкрепа за обучението и обмена на информация относно новите технологични разработки, свързани със защитата на критичните инфраструктури.

Член 9

Чувствителна информация, свързана със защитата на критичните инфраструктури

1.   Лицата, които от името на държава-членка или на Комисията работят с класифицирана информация по силата на настоящата директива, преминават съответното проучване за надеждност.

Държавите-членки, Комисията и компетентните надзорни органи гарантират, че чувствителната информация, свързана със защитата на критичните инфраструктури, която е представена на държавите-членки или на Комисията, не се използва за други цели освен за защита на критичните инфраструктури.

2.   Настоящият член се прилагат също така за неписмена информация, обменена по време на заседания, на които се обсъждат чувствителни теми.

Член 10

Точки за контакт по защитата на европейските критични инфраструктури

1.   Всяка държава-членка установява точка за контакт по защитата на европейските критични инфраструктури.

2.   Точката за контакт координира въпросите по защитата на европейските критични инфраструктури в рамките на държавата-членка, с останалите държави-членки и с Комисията. Установяването на точка за контакт по защитата на европейските критични инфраструктури не възпрепятства участието на други органи в държавата-членка по въпроси, свързани със защитата на европейските критични инфраструктури.

Член 11

Преразглеждане

Преразглеждане на настоящата директива ще започне на 12 януари 2012 г.

Член 12

Прилагане

Държавите-членки приемат мерките, необходими, за да се съобразят с настоящата директива до 12 януари 2011 г. Те незабавно информират Комисията за това и съобщават текстовете на тези мерки и тяхното съответствие с настоящата директива.

Когато държавите-членки приемат тези мерки, в тях се съдържа позоваване на настоящата директива или то се извършва при официалното им публикуване. Условията и редът на позоваване се определят от държавите-членки.

Член 13

Влизане в сила

Настоящата директива влиза в сила на двадесетия ден след публикуването ѝ в Официален вестник на Европейския съюз.

Член 14

Адресати

Адресати на настоящата директива са държавите-членки.

Съставено в Брюксел на 8 декември 2008 година.

За Съвета

Председател

B. KOUCHNER


(1)  Становище от 10 юли 2007 г. (все още непубликувано в Официален вестник).

(2)  ОВ C 116, 26.5.2007 г., стр. 1.

(3)  ОВ L 145, 31.5.2001 г., стр. 43.


ПРИЛОЖЕНИЕ I

Списък на секторите с ЕКИ

Сектор

Подсектор

I

Енергетика

1.

Електроенергия

Инфраструктури и съоръжения за производство и пренос на електроенергия във връзка с доставките на електроенергия

2.

Нефт

Производство, преработка, обработка, съхраняване и пренос на нефт по тръбопроводи

3.

Газ

Производство, преработка, обработка, съхраняване и пренос на газ по тръбопроводи

Терминали за втечнен природен газ

II

Транспорт

4.

Автомобилен транспорт

5.

Железопътен транспорт

6.

Въздушен транспорт

7.

Транспорт по вътрешните водни пътища

8.

Презокеански превоз и морски превоз на къси разстояния

Установяването от държавите-членки на критични инфраструктури, които могат да бъдат означени като ЕКИ, се извършва съгласно член 3. Следователно сам по себе си списъкът на секторите с ЕКИ не създава принципно задължение за означаване на ЕКИ във всеки сектор.


ПРИЛОЖЕНИЕ II

ПРОЦЕДУРА ЗА ИЗГОТВЯНЕ НА ОПЕРАТОРСКИ ПЛАН ЗА СИГУРНОСТ

Операторският план за сигурност установява елементите на критичните инфраструктури и мерките за сигурност, които съществуват или се прилагат за тяхната защита. Процедурата за изготвяне на операторски план за сигурност обхваща като минимум:

1.

установяването на важните елементи;

2.

извършването на анализ на риска въз основа на сценариите за действие при сериозни заплахи, уязвимостта на всеки от елементите, както и възможните последици; и

3.

установяването, подбора и подреждането по приоритети на мерките и процедурите за противодействие, като се прави разграничение между:

постоянни мерки за сигурност, в които се определят необходимите инвестиции за сигурност и средствата, които да се използват по всяко време. В тази точка ще се съдържа информация относно общите мерки, като технически мерки (включително инсталиране на детектори, уреди за контрол на достъпа, защитни и предпазни средства); организационни мерки (включително процедури за сигнализиране и управление на кризи); мерки за контрол и проверка; комуникация; повишаване на осведомеността и обучение; както и сигурност на информационните системи,

степенувани мерки за сигурност, които могат да се привеждат в действие в зависимост от степента на различните рискове и заплахи.


ПРИЛОЖЕНИЕ III

Процедура за установяване от държавите-членки на критични инфраструктури, които могат да бъдат означени като ЕКИ съгласно член 3

Съгласно член 3 от всяка държава-членка се изисква да установи критичните инфраструктури, които могат да бъдат означени като ЕКИ. Всяка държава-членка прилага тази процедура, като следва посочените по-долу последователни етапи.

Потенциална ЕКИ, която не отговаря на изискванията по един от тези последователни етапи, не се счита за ЕКИ и се изключва от процедурата. Потенциална ЕКИ, която отговаря на определенията, преминава към следващите етапи от процедурата.

Първи етап

Всяка държава-членка прилага секторните критерии, с цел да направи първоначален подбор на критичните инфраструктури в даден сектор.

Втори етап

Всяка държава-членка прилага определението за критични инфраструктури по член 2, буква а) към потенциалната ЕКИ, установена на първия етап.

Значимостта на последиците ще се определя на подходящо национално равнище или чрез използване на национални методи за установяване на критични инфраструктури, или в зависимост от междусекторните критерии. За инфраструктура, чрез която се предоставя основна услуга, ще се отчита също така наличието на алтернативи и продължителността на нарушаването/времето за възстановяване.

Трети етап

Всяка държава-членка прилага определението за ЕКИ по член 2, буква б) към потенциалната ЕКИ, която е преминала през първите два етапа от тази процедура. Потенциална ЕКИ, която отговаря на определението, преминава към следващия етап от процедурата. За инфраструктура, чрез която се предоставя основна услуга, ще се отчита също така наличието на алтернативи и продължителността на нарушаването/времето за възстановяване.

Четвърти етап

Всяка държава-членка прилага междусекторните критерии към останалите потенциални ЕКИ. В междусекторните критерии се отчита сериозността на последиците, а за инфраструктурата, чрез която се предоставя основна услуга — наличието на алтернативи, както и продължителността на нарушаването/времето за възстановяване. Потенциална ЕКИ, която не отговаря на междусекторните критерии, не се счита за ЕКИ.

За потенциална ЕКИ, която е преминала през тази процедура, се съобщава само на държавите-членки, които могат да бъдат значително засегнати от потенциалната ЕКИ.