(1)

Má-li být zabezpečeno fungování vnitřního trhu, je v zájmu všech členských států a Unie jako celku jasně určit a chránit relevantní kritickou infrastrukturu, která v rámci uvedeného trhu poskytuje základní služby, zejména v klíčových odvětvích, jako je energetika, digitální infrastruktura, doprava a vesmír, jakož i kritickou infrastrukturu se značným přeshraničním významem (1), jejíž narušení by mohlo mít významný dopad na ostatní členské státy.

(2)

Toto doporučení, které je nezávazným aktem, je důkazem politické vůle členských států vzájemně spolupracovat, jakož i jejich odhodlání provádět doporučená opatření, která jsou zdůrazněna v pětibodovém plánu vydaném předsedkyní Evropské komise, a to při plném respektování pravomocí členských států. Zároveň tímto doporučením není dotčena ochrana základních zájmů národní bezpečnosti, veřejné bezpečnosti nebo obrany členských států a od žádného členského státu by se nemělo očekávat, že bude sdílet informace, které uvedené zájmy poškozují.

(3)

Přestože primární odpovědnost za zajištění bezpečnosti a poskytování základních služeb ze strany kritické infrastruktury nesou členské státy a provozovatelé jejich kritické infrastruktury, je vhodná zvýšená koordinace na úrovni Unie, zejména s ohledem na vyvíjející se hrozby, které mohou mít dopad na několik členských států současně, jako je útočná válka Ruska proti Ukrajině a hybridní kampaně namířené proti členským státům, nebo které mohou mít dopad na odolnost a řádné fungování unijní ekonomiky, vnitřního trhu a společnosti jako takové. Zvláštní pozornost by měla být věnována kritické infrastruktuře mimo území členských států, jako je podmořská kritická infrastruktura nebo energetická infrastruktura na moři.

(4)

Evropská rada ve svých závěrech ze dne 20. a 21. října 2022 ostře odsoudila sabotáže páchané na kritické infrastruktuře, jako například poškození plynovodů Nord Stream, a uvedla, že Unie bude na jakékoli úmyslné poškození kritické infrastruktury nebo na jiné hybridní akce jednotně a důrazně reagovat.

(5)

S ohledem na rychle se vyvíjející formy hrozeb by měla být přednostně přijata opatření ke zvýšení odolnosti v klíčových odvětvích, jako je energetika, digitální infrastruktura, doprava a vesmír, a v dalších relevantních odvětvích určených členskými státy. Tato opatření by se měla zaměřit na posílení odolnosti kritické infrastruktury s přihlédnutím k relevantním rizikům, zejména kaskádovým účinkům, narušení dodavatelských řetězců, závislosti, dopadům změny klimatu, nespolehlivým prodejcům a partnerům a hybridním hrozbám a kampaním, včetně zahraniční manipulace s informacemi a vměšování. Co se týče vnitrostátní kritické infrastruktury, měla by být vzhledem k možným důsledkům upřednostněna kritická infrastruktura, která má značný přeshraniční význam. Členské státy se vyzývají, aby ve vhodných případech tato opatření ke zvýšení odolnosti neprodleně zavedly a zároveň zachovaly přístup stanovený ve vyvíjejícím se právním rámci.

(6)

Ochrana evropské kritické infrastruktury v odvětví energetiky a dopravy je v současné době upravena směrnicí Rady 2008/114/ES (2) a bezpečnost sítí a informačních systémů v celé Unii se zaměřením na kybernetické hrozby je zajištěna směrnicí Evropského parlamentu a Rady (EU) 2016/1148 (3). S cílem zajistit vyšší společnou úroveň odolnosti a ochrany kritické infrastruktury, kybernetické bezpečnosti a finančního trhu se stávající právní rámec mění a doplňuje prostřednictvím přijetí nových pravidel vztahujících se na kritické subjekty („směrnice CER“), posílených pravidel k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii („směrnice NIS2“) a nových pravidel pro digitální provozní odolnost finančního sektoru („nařízení DORA“).

(7)

Členské státy by měly v souladu s unijním a vnitrostátním právem využívat všechny dostupné nástroje, aby dosáhly pokroku a pomohly posílit fyzickou a kybernetickou odolnost. V tomto ohledu by měla být kritická infrastruktura chápána tak, že zahrnuje relevantní kritickou infrastrukturu, která byla určena členským státem na vnitrostátní úrovni nebo která byla označena za evropskou kritickou infrastrukturu podle směrnice 2008/114/ES, i kritické subjekty, které mají být určeny podle směrnice CER, nebo případně subjekty podle směrnice NIS2. Pojmem „odolnost“ by se měla rozumět schopnost kritické infrastruktury předcházet událostem, které významně narušují nebo mohou výrazně narušit poskytování základních služeb na vnitřním trhu, tj. služeb, které mají zásadní význam pro zachování životně důležitých společenských a ekonomických funkcí, veřejné bezpečnosti a bezpečnosti obecně, zdraví obyvatelstva nebo životního prostředí, chránit před těmito událostmi, reagovat na ně, odolávat jim, zmírňovat je, absorbovat je, přizpůsobovat se jim nebo se z nich zotavovat.

(8)

Je třeba svolat vnitrostátní odborníky s cílem koordinovat činnost zaměřenou na dosažení vyšší společné úrovně odolnosti a ochrany kritické infrastruktury, která má být zavedena novými pravidly platnými pro kritické subjekty. Tato koordinovaná činnost by umožnila spolupráci mezi členskými státy a sdílení informací o činnostech, jako je vypracování metodik pro určení základních služeb poskytovaných kritickou infrastrukturou. Komise již uvedené odborníky začala svolávat a usnadňovat jejich činnost a má v úmyslu v této práci pokračovat. Jakmile vstoupí směrnice CER v platnost a bude zřízena skupina pro odolnost kritických subjektů podle této směrnice, měla by dotyčná skupina v této anticipační činnosti pokračovat v souladu se svými úkoly.

(9)

S ohledem na změnu forem hrozeb by měl být dále rozvíjen potenciál provádění zátěžových testů kritické infrastruktury na vnitrostátní úrovni, neboť tyto testy by mohly být užitečné pro posílení odolnosti kritické infrastruktury. Vzhledem ke zvláštnímu významu odvětví energetiky a důsledkům, které z jeho možného narušení pro celou Unii vyplývají, by právě toto odvětví mohlo by mít z provádění zátěžových testů na základě společně dohodnutých zásad největší užitek. Uvedené testy spadají do pravomoci členských států, které by měly provozovatele kritické infrastruktury k provádění těchto testů podněcovat a podporovat je v něm, pokud je to vyhodnoceno jako přínosné a v souladu s jejich vnitrostátními právními rámci.

(10)

V zájmu zajištění koordinované a účinné reakce na současné a předpokládané hrozby se Komise vyzývá, aby členským státům poskytla dodatečnou podporu, zejména poskytováním relevantních informací ve formě brífinků, nezávazných příruček a pokynů. Posouzení hrozeb by měla zajišťovat Evropská služba pro vnější činnost (ESVČ), zejména prostřednictvím Zpravodajského a informačního centra EU a jeho střediska pro hybridní hrozby, za podpory zpravodajského ředitelství Vojenského štábu EU (EUMS) v rámci společné zpravodajsko-analytické složky (SIAC). Komise se rovněž vyzývá, aby ve spolupráci s členskými státy podporovala využívání výzkumných a inovačních projektů financovaných Unií.

(11)

Vzhledem k rostoucí vzájemné závislosti fyzické a digitální infrastruktury mohou nepřátelské činnosti v kyberprostoru zaměřené na kritické oblasti vést k narušení nebo poškození fyzické infrastruktury a sabotáž fyzické infrastruktury může znemožnit přístup k digitálním službám. Členské státy se vyzývají, aby co nejdříve urychlily přípravné práce zaměřené na provedení a uplatňování nového právního rámce vztahujícího se na kritické subjekty a posíleného právního rámce pro kybernetickou bezpečnost a vycházely přitom ze zkušeností získaných v rámci skupiny pro spolupráci, zřízené směrnicí (EU) 2016/1148 (dále jen „skupina pro spolupráci v oblasti bezpečnosti sítí a informací“), přičemž je třeba mít na paměti lhůty pro provedení ve vnitrostátním právu a skutečnost, že by tyto přípravné práce měly postupovat souběžným a soudržným způsobem.

(12)

Kromě zlepšování připravenosti je rovněž důležité posílit schopnosti rychlé a účinné reakce v případě narušení základních služeb poskytovaných kritickou infrastrukturou. Toto doporučení proto obsahuje opatření na unijní i vnitrostátní úrovni, přičemž mimo jiné zdůrazňuje podpůrnou úlohu a přidanou hodnotu, jíž lze dosáhnout zavedením posílené spolupráce a výměny informací v rámci mechanismu civilní ochrany Unie, zřízeného rozhodnutím Evropského parlamentu a Rady č. 1313/2013/EU (4), a využíváním relevantních prostředků Kosmického programu Unie, zřízeného nařízením Evropského parlamentu a Rady (EU) 2021/696 (5).

(13)

Komise, vysoký představitel Unie pro zahraniční věci a bezpečnostní politiku (dále jen „vysoký představitel“) a skupina pro spolupráci v oblasti bezpečnosti sítí a informací ve spolupráci s příslušnými civilními a vojenskými orgány a agenturami a zavedenými sítěmi, včetně Evropské sítě styčných organizací pro řešení kybernetických krizí (EU-CyCLONe), mají provádět hodnocení rizik a vypracovávat rizikové scénáře. V návaznosti na společnou ministerskou výzvu z Nevers kromě toho skupina pro spolupráci v oblasti bezpečnosti sítí a informací za podpory Komise a Agentury Evropské unie pro kybernetickou bezpečnost (ENISA) a ve spolupráci se Sdružením evropských regulačních orgánů v oblasti elektronických komunikací (BEREC) v současné době provádí posouzení rizik. Obě činnosti budou probíhat soudržně a v koordinaci s vypracováváním scénářů v rámci mechanismu civilní ochrany Unie, včetně událostí v oblasti kybernetické bezpečnosti a jejich reálného dopadu, na nichž v současné době pracují Komise a členské státy. Předpokládá se, že v zájmu účinnosti, účelnosti a soudržnosti a za účelem řádného uplatňování tohoto doporučení budou výsledky těchto činností zohledněny na vnitrostátní úrovni.

(14)

Za účelem okamžitého posílení připravenosti a schopnosti reakce na rozsáhlé kybernetické bezpečnostní incidenty zřídila Komise prostřednictvím dalšího financování přiděleného agentuře ENISA krátkodobý program, který má členským státům poskytnout podporu. Navrhované služby mimo jiné zahrnují opatření v oblasti připravenosti, jako je penetrační testování subjektů s cílem určit zranitelná místa. Uvedený program rovněž může posílit možnosti pomoci členským státům v případě rozsáhlého kybernetického bezpečnostního incidentu s dopadem na kritické subjekty. Jedná se o první krok v souladu se závěry Rady ze dne 23. května 2022 o rozvoji kybernetické pozice Evropské unie („závěry Rady o kybernetické pozici EU“), v nichž se požaduje, aby Komise předložila návrh fondu pro reakci na mimořádné události v oblasti kybernetické bezpečnosti. Členské státy by měly tyto příležitosti plně využívat v souladu s platnými požadavky a vyzývají se, aby pokračovaly v práci v oblasti řešení kybernetických krizí na úrovni Unie, zejména pravidelným sledováním a vyhodnocováním pokroku dosaženého při provádění plánu pro řešení kybernetických krizí, který v nedávné době vypracovala Rada. Tento plán je „živým dokumentem“ a v případě potřeby by měl být přezkoumán a aktualizován.

(15)

Zásadní význam pro celosvětovou konektivitu i konektivitu uvnitř EU mají globální podmořské komunikační kabely. Vzhledem ke značné délce těchto kabelů a jejich instalaci na mořském dně je podmořské vizuální monitorování většiny kabelových úseků mimořádně náročné. Sdílená jurisdikce a další jurisdikční otázky týkající se těchto kabelů představují specifický případ pro evropskou a mezinárodní spolupráci v oblasti ochrany a obnovy infrastruktury. Je proto nezbytné doplnit probíhající a plánovaná posouzení rizik týkající se digitální a fyzické infrastruktury, na nichž jsou digitální služby založeny, o specifická posouzení rizik a o možnosti zmírňujících opatření týkajících se podmořských komunikačních kabelů. Členské státy vyzývají Komisi, aby za tímto účelem provedla studie a svá zjištění s nimi sdílela.

(16)

Hrozby související s digitální infrastrukturou, například v souvislosti s energetickými technologiemi zahrnujícími digitální součásti, mohou mít dopad rovněž na odvětví energetiky a dopravy. Bezpečnost souvisejících dodavatelských řetězců je důležitá pro kontinuitu poskytování základních služeb a pro strategickou kontrolu nad kritickou infrastrukturou v odvětví energetiky. Uvedené okolnosti by měly být zohledněny při přijímání opatření ke zvýšení odolnosti kritické infrastruktury v souladu s tímto doporučením.

(17)

Vzhledem k rostoucímu významu kosmické infrastruktury, pozemních prostředků souvisejících s oblastí kosmu, včetně výrobních zařízení, a služeb využívajících kosmického prostoru pro činnosti související s bezpečností je nezbytné zajistit odolnost a ochranu unijních kosmických prostředků a služeb a jejich pozemního segmentu v rámci Unie. Ze stejných důvodů je rovněž nezbytné v rámci tohoto doporučení také strukturovaněji využívat kosmická data a služby poskytované kosmickými systémy a programy pro účely dohledu a sledování a v zájmu ochrany kritické infrastruktury v jiných odvětvích. V připravované kosmické strategii EU pro bezpečnost a obranu budou v tomto ohledu navržena vhodná opatření, která by měla být při provádění tohoto doporučení zohledněna.

(18)

Spolupráce na mezinárodní úrovni je rovněž nezbytná pro účinné řešení rizik pro kritickou infrastrukturu, mimo jiné v mezinárodních vodách. Členské státy se tudíž vyzývají, aby spolupracovaly s Komisí a vysokým představitelem a aby v zájmu dosažení uvedené spolupráce podnikly určité kroky, přičemž by měly mít na paměti, že veškeré takové kroky smí být učiněny pouze v souladu s jejich příslušnými úkoly a povinnostmi podle práva Unie, zejména podle ustanovení Smluv týkajících se vnějších vztahů.

(19)

Jak je stanoveno ve sdělení ze dne 15. února 2022 nazvaném „Příspěvek Komise k evropské obraně“, v zájmu podpory „Strategického kompasu pro bezpečnost a obranu – Za Evropskou unii, která chrání své občany, hodnoty a zájmy a přispívá k mezinárodnímu míru a bezpečnosti“ Komise do roku 2023 posoudí ve spolupráci s vysokým představitelem a členskými státy základní hodnoty odvětvové hybridní odolnosti s cílem určit nedostatky a potřeby, jakož i kroky k jejich řešení. Uvedená iniciativa by měla být podkladem pro činnost v rámci tohoto doporučení a měla by pomoci posílit sdílení informací a koordinaci opatření pro další zvýšení odolnosti, včetně odolnosti kritické infrastruktury.

(20)

Strategie EU pro námořní bezpečnost z roku 2014 a její revidovaný akční plán obsahovaly výzvu ke zvýšené ochraně kritické námořní infrastruktury, včetně podmořské, a zejména infrastruktury námořní dopravy a energetické a komunikační infrastruktury, mimo jiné zvýšením povědomí o situaci na moři prostřednictvím lepší interoperability a zjednodušené výměny informací (povinné i dobrovolné). Zmíněná strategie a akční plán se v současné době aktualizují a budou zahrnovat posílená opatření, jejichž cílem je ochrana kritické námořní infrastruktury. Uvedená opatření by měla doplňovat toto doporučení.

(21)

Posílení odolnosti kritické infrastruktury přispívá k širšímu úsilí o boj proti hybridním hrozbám a kampaním namířeným proti Unii a jejím členským státům. Toto doporučení vychází ze společného sdělení Evropskému parlamentu a Radě nazvaného „Společný rámec pro boj proti hybridním hrozbám – reakce Evropské unie“. Opatření č. 1 společného rámce, tedy průzkum týkající se hybridních rizik, hraje klíčovou úlohu při určování zranitelných míst, která mohou potenciálně ovlivnit vnitrostátní a celoevropské struktury a sítě. Kromě toho provádění závěrů Rady ze dne 21. června 2022 o rámci pro koordinovanou reakci EU na hybridní kampaně zajistí důraznější koordinovanou činnost prostřednictvím uplatňování souboru hybridních nástrojů EU ve všech dotčených oblastech.

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

Práce uvedených jmenovaných odborníků by měla být zaměřena obzvláště na meziodvětvové závislosti a kritickou infrastrukturu se značným přeshraničním významem a měla by na ni ve vhodných případech navazovat činnost v rámci Rady a Komise.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.

30.

31.

32.

33.

34.

35.

36.

37.

38.