23.12.2008   

CS

Úřední věstník Evropské unie

L 345/75


SMĚRNICE RADY 2008/114/ES

ze dne 8. prosince 2008

o určování a označování evropských kritických infrastruktur a o posouzení potřeby zvýšit jejich ochranu

(Text s významem pro EHP)

RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o založení Evropského společenství, a zejména na článek 308 této smlouvy,

s ohledem na návrh Komise,

s ohledem na stanovisko Evropského parlamentu (1),

s ohledem na stanovisko Evropské centrální banky (2),

vzhledem k těmto důvodům:

(1)

Evropská rada na zasedání v červnu roku 2004 požádala o přípravu souhrnné strategie pro posílení ochrany kritických infrastruktur. Komise na základě toho přijala dne 20. října 2004 sdělení o ochraně kritické infrastruktury při boji proti terorismu, které představuje návrhy, jak by se v Evropě měla zlepšit prevence, připravenost a schopnost reakce na teroristické útoky zasahující kritickou infrastrukturu.

(2)

Dne 17. listopadu 2005 přijala Komise zelenou knihu o Evropském programu na ochranu kritické infrastruktury (dále jen „Evropský program OKI“), která stanovila politické možnosti pro vytvoření tohoto programu a Výstražné informační sítě kritické infrastruktury. Odpovědi obdržené k zelené knize zdůraznily přidanou hodnotu rámce Společenství týkajícího se ochrany kritické infrastruktury. Byla uznána potřeba zvýšit schopnost ochrany kritické infrastruktury v Evropě a pomoci snížit zranitelnost kritických infrastruktur. Byla zdůrazněna důležitost klíčových zásad subsidiarity, proporcionality a komplementarity, jakož i dialogu se zúčastněnými subjekty.

(3)

Rada ve složení pro spravedlnost a vnitřní věci vyzvala v prosinci roku 2005 Komisi, aby vypracovala návrh Evropského programu OKI, a rozhodla, že by měl být založen na řešení všech rizik, přičemž boj proti hrozbě terorismu je prioritou. V rámci tohoto přístupu by měly být v procesu ochrany kritické infrastruktury zohledněny hrozby způsobené člověkem, technologické hrozby a přírodní katastrofy, přednostně však hrozba terorismu.

(4)

Rada v dubnu roku 2007 přijala závěry o Evropském programu OKI, v nichž zopakovala, že konečnou odpovědnost za řízení opatření na ochranu kritické infrastruktury v rámci svých státních hranic nesou členské státy, přičemž uvítala úsilí Komise vytvořit evropský postup pro určování a označování evropské kritické infrastruktury (dále jen „EKI“) a posouzení potřeby zvýšit její ochranu.

(5)

Tato směrnice představuje první etapu přístupu krok za krokem, jehož cílem je určit a označit EKI a posoudit potřebu zvýšit jejich ochranu. Směrnice se proto soustředí na odvětví energetiky a dopravy a měla by být přezkoumána s ohledem na posouzení jejího dopadu a nutnost zahrnout do její oblasti působnosti další odvětví, mimo jiné odvětví informačních a komunikačních technologií.

(6)

Primární a konečnou odpovědnost za ochranu EKI nesou členské státy a vlastníci/provozovatelé těchto infrastruktur.

(7)

Ve Společenství existuje určitý počet kritických infrastruktur, jejichž narušení nebo zničení by mělo závažné přeshraniční dopady. To se může týkat přeshraničních účinků na více odvětví způsobených vzájemnou závislostí propojených infrastruktur. Takové EKI by měly být určeny a označeny společným postupem. Vyhodnocení bezpečnostních požadavků týkajících se těchto infrastruktur by mělo proběhnout v rámci společného minimálního přístupu. Dvoustranné systémy spolupráce mezi členskými státy v oblasti ochrany kritické infrastruktury tvoří dobře zavedený a účinný prostředek zacházení s přeshraničními kritickými infrastrukturami. Evropský program OKI by měl být založen na takové spolupráci. Informace týkající se označení určité infrastruktury za EKI by měly podléhat odpovídajícímu stupni utajení podle stávajících právních předpisů Společenství a členských států.

(8)

Jelikož různá odvětví mají v souvislosti s ochranou kritické infrastruktury specifické zkušenosti, odborné znalosti a požadavky, měl by být vyvinut a zaveden přístup Společenství k ochraně kritické infrastruktury, který by zohledňoval zvláštnosti jednotlivých odvětví a stávající odvětvová opatření, včetně stávajících opatření na úrovni Společenství, států nebo regionů a případně stávajících dohod o vzájemné přeshraniční pomoci mezi vlastníky/provozovateli kritických infrastruktur. Vzhledem k velmi významnému zapojení soukromého sektoru do dohledu a do zvládání rizik, plánů pro zachování kontinuity činností a obnovy po katastrofách je třeba, aby přístup Společenství podporoval plné zapojení soukromého sektoru.

(9)

Pokud jde o odvětví energetiky, a zejména způsoby výroby a přenosu elektřiny (ve vztahu k jejím dodávkám), rozumí se, že tam, kde je to považováno za vhodné, může výroba elektřiny zahrnovat přenosové součásti jaderných elektráren, avšak s vyloučením specificky jaderných prvků, na něž se vztahují příslušné právní předpisy v oblasti jaderné energie, včetně mezinárodních smluv a práva Společenství.

(10)

Tato směrnice doplňuje stávající odvětvová opatření na úrovni Společenství a členských států. Již zavedené mechanismy Společenství by měly být nadále využívány a budou přispívat k celkovému provádění této směrnice. Mělo by se zabránit duplicitě různých předpisů či ustanovení nebo rozporům mezi nimi.

(11)

U všech označených EKI by měly být zavedeny plány bezpečnosti provozovatele nebo rovnocenná opatření zahrnující určení důležitých prostředků, posouzení rizik a určení, výběr a stanovení priorit protiopatření a postupů. S cílem zabránit zbytečné práci a duplicitě by měl každý členský stát nejprve stanovit, zda vlastníci/provozovatelé označených EKI disponují příslušnými plány bezpečnosti provozovatele nebo rovnocennými opatřeními. Pokud tyto plány neexistují, měl by každý členský stát učinit nezbytné kroky a zajistit zavedení vhodných opatření. Záleží na každém členském státě, aby rozhodl o nejvhodnější podobě kroků týkajících se vypracování plánů bezpečnosti provozovatele.

(12)

Opatření, zásady a pokyny, včetně opatření Společenství, a systémy dvoustranné či vícestranné spolupráce, jež zajišťují plán podobný nebo rovnocenný plánu bezpečnosti provozovatele nebo zajišťují pozici styčného bezpečnostního úředníka či rovnocenné osoby, by měly být považovány za splňující požadavky této směrnice vztahující se na plán bezpečnosti provozovatele nebo styčného bezpečnostního úředníka.

(13)

Pro každou označenou EKI by měl být jmenován styčný bezpečnostní úředník s cílem usnadnit spolupráci a komunikaci s vnitrostátními orgány příslušnými pro ochranu kritické infrastruktury. S cílem zabránit zbytečné práci a duplicitě by měl každý členský stát nejprve stanovit, zda vlastníci/provozovatelé označených EKI již mají styčného bezpečnostního úředníka nebo rovnocennou osobu. Pokud styčného bezpečnostního úředníka nemají, měl by každý členský stát učinit nezbytné kroky a zajistit zavedení vhodných opatření. Záleží na každém členském státu, aby rozhodl o nejvhodnější podobě kroků týkajících se jmenování styčných bezpečnostních úředníků.

(14)

Účinné určení rizik, hrozeb a zranitelnosti v jednotlivých odvětvích vyžaduje komunikaci jak mezi vlastníky/provozovateli EKI a členskými státy, tak mezi členskými státy a Komisí. Každý členský stát by měl shromažďovat informace o EKI nacházejících se na jeho území. Komise by měla od členských států obdržet všeobecné informace týkající se zranitelnosti, hrozeb a rizik v odvětvích, ve kterých byly určeny EKI, včetně případů, kdy by příslušné informace o možném zdokonalení EKI a závislostech mezi odvětvími mohly být pro Komisi základem pro vytvoření konkrétních návrhů na zlepšení ochrany EKI tam, kde je to nutné.

(15)

S cílem umožnit zlepšení ochrany EKI mohou být vyvinuty společné postupy pro určování a klasifikaci zranitelnosti, hrozeb a rizik ohrožujících prostředky infrastruktury.

(16)

Vlastníkům/provozovatelům EKI by měl být zejména prostřednictvím příslušných orgánů členských států umožněn přístup k osvědčeným postupům a metodikám týkajícím se ochrany kritické infrastruktury.

(17)

Účinná ochrana EKI vyžaduje komunikaci, koordinaci a spolupráci na vnitrostátní úrovni i na úrovni Společenství. Toho lze nejlépe dosáhnout stanovením kontaktních míst pro záležitosti ochrany EKI v každém členském státě, přičemž tato kontaktní místa by měla koordinovat záležitosti ochrany EKI uvnitř členského státu i s ostatními členskými státy a s Komisí.

(18)

Aby bylo možné vyvíjet činnost v oblastech ochrany EKI, které vyžadují určitý stupeň utajení, je vhodné v rámci této směrnice zajistit soudržnou a bezpečnou výměnu informací. Je důležité, aby byly dodržovány předpisy pro utajení v souladu s platným vnitrostátním právem nebo s nařízením Evropského parlamentu a Rady (ES) č. 1049/2001 ze dne 30. května 2001 o přístupu veřejnosti k dokumentům Evropského parlamentu, Rady a Komise (3), pokud jde o konkrétní skutečnosti o prostředcích kritické infrastruktury, které by mohly být zneužity k plánování a provádění činnosti s cílem způsobit zařízením kritické infrastruktury nepřijatelné následky. Utajované informace by měly být chráněny v souladu s příslušnými právními předpisy Společenství a daného členského státu. Každý členský stát a Komise by měly respektovat příslušný stupeň utajení stanovený původcem dokumentu.

(19)

Sdílení informací týkajících se EKI by se mělo odehrávat v ovzduší důvěry a bezpečnosti. Ke sdílení informací je zapotřebí takového vztahu založeného na důvěře, aby společnosti a organizace věděly, že jejich citlivé a důvěrné údaje budou dostatečně chráněny.

(20)

Jelikož cílů této směrnice, totiž vytvoření postupu pro určování a označování EKI a společného přístupu k posouzení potřeby zvýšit ochranu těchto infrastruktur, nemůže být uspokojivě dosaženo na úrovni členských států, a proto jich může být z důvodu rozsahu opatření lépe dosaženo na úrovni Společenství, může Společenství přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje tato směrnice rámec toho, co je nezbytné pro dosažení těchto cílů.

(21)

Tato směrnice dodržuje základní práva a ctí zásady uznávané zejména Listinou základních práv Evropské unie,

PŘIJALA TUTO SMĚRNICI:

Článek 1

Předmět

Touto směrnicí se zavádí postup pro určování a označování evropských kritických infrastruktur (dále též jen „EKI“) a společný přístup k posouzení potřeby zvýšit ochranu těchto infrastruktur s cílem přispět k ochraně obyvatel.

Článek 2

Definice

Pro účely této směrnice se rozumí:

a)

„kritickou infrastrukturou“ prostředky, systémy a jejich části nacházející se v členském státě, které jsou zásadní pro zachování nejdůležitějších společenských funkcí, zdraví, bezpečnosti, zabezpečení nebo dobrých hospodářských či sociálních podmínek obyvatel a jejichž narušení nebo zničení by mělo pro členský stát závažný dopad v důsledku selhání těchto funkcí;

b)

„evropskou kritickou infrastrukturou“ nebo „EKI“ kritická infrastruktura nacházející se v členských státech, jejíž narušení nebo zničení by mělo závažný dopad pro nejméně dva členské státy. Závažnost dopadu se posuzuje podle průřezových kritérií. To se vztahuje i na účinky způsobené meziodvětvovými závislostmi na jiných typech infrastruktury;

c)

„analýzou rizik“ zvážení relevantních scénářů hrozeb s cílem posoudit zranitelnost a možný dopad narušení nebo zničení kritické infrastruktury;

d)

„citlivými informacemi týkajícími se ochrany kritické infrastruktury“ konkrétní skutečnosti o kritické infrastruktuře, které by po zveřejnění mohly být zneužity k plánování a provádění činnosti s cílem narušit nebo zničit zařízení kritické infrastruktury;

e)

„ochranou“ všechny činnosti zaměřené na zajištění funkčnosti, nepřetržitosti a celistvosti kritické infrastruktury s cílem zabránit hrozbě, riziku nebo zranitelnosti, zmírnit je a neutralizovat;

f)

„vlastníky/provozovateli EKI“ subjekty odpovídající za investice do konkrétního prostředku, systému nebo jeho části, které jsou podle této směrnice označeny za EKI, nebo za jejich každodenní provoz.

Článek 3

Určení EKI

1.   Postupem podle přílohy III určí každý členský stát potenciální EKI, které splňují průřezová a odvětvová kritéria a zároveň odpovídají definicím podle čl. 2 písm. a) a b).

Komise může členským státům na jejich žádost pomoci při určování potenciálních EKI.

Komise může daný členský stát upozornit na existenci potenciální kritické infrastruktury, o které lze usoudit, že splňuje požadavky pro označení za EKI.

Všechny členské státy a Komise pokračují v průběžném určování potenciálních EKI.

2.   Průřezová kritéria uvedená v odstavci 1 zahrnují

a)

kritérium obětí (posuzováno podle možného počtu mrtvých či zraněných);

b)

kritérium ekonomického dopadu (posuzováno podle závažnosti hospodářské ztráty nebo zhoršení kvality výrobků či služeb, včetně případných dopadů na životní prostředí);

c)

kritérium dopadu na veřejnost (posuzováno podle dopadu na důvěru veřejnosti, fyzické strádání a narušení každodenního života, včetně ztráty nezbytných služeb).

Prahové hodnoty průřezových kritérií se vymezí na základě závažnosti dopadů narušení nebo zničení konkrétní infrastruktury. Přesné vymezení prahových hodnot použitelných pro průřezová kritéria stanoví v každém jednotlivém případě členské státy, jichž se konkrétní kritická infrastruktura týká. Každý členský stát každoročně informuje Komisi o počtu infrastruktur podle odvětví, u kterých byla vedena jednání o vymezení prahových hodnot průřezových kritérií.

Odvětvová kritéria zohledňují vlastnosti jednotlivých odvětví s EKI.

Komise vypracuje ve spolupráci s členskými státy pokyny pro uplatňování průřezových a odvětvových kritérií a přibližné prahové hodnoty pro účely určování EKI. Kritéria podléhají utajení. Použití těchto pokynů není pro členské státy povinné.

3.   Provádění této směrnice se vztahuje na odvětví energetiky a dopravy. Pododvětví jsou určena v příloze I.

Bude-li to považováno za vhodné, lze ve spojení s přezkumem této směrnice podle článku 11 určit další odvětví pro účely provádění této směrnice. Prioritou bude odvětví informačních a komunikačních technologií.

Článek 4

Označení EKI

1.   Každý členský stát informuje ostatní členské státy, pro které může mít potenciální EKI závažný dopad, o jejím určení a důvodech pro její označení za potenciální EKI.

2.   Každý členský stát, na jehož území se potenciální EKI nachází, se zapojí do dvoustranných nebo vícestranných jednání s ostatními členskými státy, pro které může mít potenciální EKI závažný dopad. Komise se těchto jednání může účastnit, avšak nemá přístup k podrobným informacím, které by umožnily jednoznačné určení konkrétní infrastruktury.

Pokud má některý členský stát důvod se domnívat, že pro něj může mít závažný dopad potenciální EKI, a nebyl jako takový určen členským státem, na jehož území se potenciální EKI nachází, může informovat Komisi o svém přání zapojit se do dvoustranných nebo vícestranných jednání o této otázce. Komise bezodkladně sdělí toto přání členskému státu, na jehož území se potenciální EKI nachází, a vyvine úsilí k usnadnění dohody mezi oběma stranami.

3.   Členský stát, na jehož území se potenciální EKI nachází, ji označí za EKI po dohodě s členskými státy, pro něž může mít tato infrastruktura závažný dopad.

Vyžaduje se souhlas členského státu, na jehož území se infrastruktura, jež má být označena za EKI, nachází.

4.   Členský stát, na jehož území se označená EKI nachází, každoročně informuje Komisi o počtu označených EKI podle odvětví a o počtu členských států, které jsou závislé na jednotlivých označených EKI. Konkrétní určení EKI budou znát pouze členské státy, pro něž může mít závažný dopad.

5.   Členské státy, na jejichž území se EKI nachází, informují vlastníka/provozovatele infrastruktury o jejím označení za EKI. Informace týkající se označení infrastruktury za EKI podléhají odpovídajícímu stupni utajení.

6.   Postup určování a označování EKI podle článku 3 a tohoto článku se dokončí do 12. ledna 2011 a pravidelně se provádí jeho přezkum.

Článek 5

Plány bezpečnosti provozovatele

1.   V rámci postupu vypracování plánu bezpečnosti provozovatele se určí prostředky kritické infrastruktury dané EKI a bezpečnostní řešení, která existují či jsou zaváděna na jejich ochranu. Minimální obsah postupu vypracování plánu bezpečnosti provozovatele EKI je stanoven v příloze II.

2.   Každý členský stát posoudí, zda je pro každou označenou EKI nacházející se na jeho území vypracován plán bezpečnosti provozovatele nebo zda jsou zavedena rovnocenná opatření týkající se záležitostí uvedených v příloze II. Zjistí-li členský stát, že takový plán nebo rovnocenná opatření existují a jsou pravidelně aktualizovány, nejsou zapotřebí žádná další prováděcí opatření.

3.   Zjistí-li členský stát, že nebyl vypracován plán bezpečnosti provozovatele ani zavedena rovnocenná opatření, zajistí jakýmikoli prostředky, jež uzná za vhodné, aby byl vypracován takový plán nebo rovnocenná opatření týkající se záležitostí uvedených v příloze II.

Každý členský stát zajistí, aby byly vypracovány plány bezpečnosti provozovatele nebo zavedena rovnocenná opatření a aby byl pravidelně do jednoho roku po označení kritické infrastruktury za EKI prováděn jejich přezkum. Toto období může být za výjimečných okolností prodlouženo po dohodě s příslušným orgánem členského státu a po oznámení Komisi.

4.   Existují-li již ve vztahu k dané EKI ujednání o dozoru či dohledu, nejsou tímto článkem dotčena a příslušný orgán členského státu uvedený v tomto článku vykonává dozor v rámci stávajících ujednání.

5.   Soulad s opatřeními, včetně opatření Společenství, podle nichž je v daném odvětví vyžadován plán obdobný nebo rovnocenný plánu bezpečnosti provozovatele a dohled nad takovým plánem ze strany příslušného orgánu nebo která odkazují na potřebu jeho vypracování, se považuje za splnění všech příslušných požadavků členských států uvedených v tomto článku nebo podle tohoto článku přijatých. Pokyny pro používání uvedené v čl. 3 odst. 2 obsahují orientační seznam těchto opatření.

Článek 6

Styční bezpečnostní úředníci

1.   Styčný bezpečnostní úředník je kontaktním místem pro záležitosti související s bezpečností mezi vlastníky/provozovateli EKI a příslušným orgánem členského státu.

2.   Každý členský stát posoudí, zda má každá označená EKI nacházející se na jeho území styčného bezpečnostního úředníka či rovnocennou osobu. Zjistí-li členský stát, že styčný bezpečnostní úředník nebo rovnocenná osoba existuje, nejsou zapotřebí žádná další prováděcí opatření.

3.   Zjistí-li členský stát, že v souvislosti s označenou EKI neexistuje styčný bezpečnostní úředník ani rovnocenná osoba, zajistí jakýmikoli prostředky, jež uzná za vhodné, aby tento styčný bezpečnostní úředník nebo rovnocenná osoba byli jmenováni.

4.   Všechny členské státy zavedou vhodné komunikační mechanismy mezi příslušným orgánem členského státu a styčným bezpečnostním úředníkem nebo rovnocennou osobou za účelem výměny příslušných informací týkajících se rizik a hrozeb zjištěných v souvislosti s určitou EKI. Tímto komunikačním mechanismem nejsou dotčeny požadavky jednotlivých členských států týkající se přístupu k citlivým a utajovaným informacím.

5.   Soulad s opatřeními, včetně opatření Společenství, podle nichž je v daném odvětví vyžadován styčný bezpečnostní úředník nebo rovnocenná osoba nebo která odkazují na potřebu jmenování styčného bezpečnostního úředníka či rovnocenné osoby, se považuje za splnění všech požadavků členských států uvedených v tomto článku nebo podle tohoto článku přijatých. Pokyny pro používání uvedené v čl. 3 odst. 2 obsahují orientační seznam těchto opatření.

Článek 7

Předkládání zpráv

1.   Každý členský stát provede posouzení hrozeb v souvislosti s pododvětvími s EKI do jednoho roku od označení dané kritické infrastruktury na svém území za EKI v rámci těchto pododvětví.

2.   Každý členský stát předloží Komisi jednou za dva roky souhrnnou zprávu se všeobecnými údaji o typech zranitelnosti, hrozeb a rizik zjištěných v jednotlivých odvětvích s EKI, v nichž byla některá EKI označena podle článku 4 a nachází se na jeho území.

Komise může ve spolupráci s členskými státy vypracovat společný vzor pro tyto zprávy.

Každá zpráva je utajena na odpovídající úrovni považované za nezbytnou členským státem, v němž byla vypracována.

3.   Na základě zpráv uvedených v odstavci 2 posoudí Komise a členské státy podle jednotlivých odvětví, zda by pro EKI měla být zvážena další ochranná opatření na úrovni Společenství. Tento proces se provede společně s přezkumem této směrnice podle článku 11.

4.   Komise může ve spolupráci s členskými státy vypracovat společné metodické pokyny pro provádění analýz rizik týkající se EKI. Použití těchto pokynů není pro členské státy povinné.

Článek 8

Podpora EKI ze strany Komise

Komise prostřednictvím příslušného orgánu daného členského státu podporuje vlastníky/provozovatele označených EKI tím, že jim poskytuje přístup k dostupným osvědčeným postupům a metodikám, a tím, že podporuje odbornou přípravu a výměnu informací týkající se nového technického rozvoje souvisejícího s ochranou kritické infrastruktury.

Článek 9

Citlivé informace týkající se ochrany evropské kritické infrastruktury

1.   Každá osoba, která přijde do styku s utajovanými informacemi podle této směrnice při zastupování členského státu nebo Komise, musí mít bezpečnostní prověrku odpovídající úrovně.

Členské státy, Komise a příslušné orgány dozoru zajistí, aby citlivé informace týkající se ochrany EKI předložené členským státům nebo Komisi nebyly využity k jiným účelům než k ochraně kritických infrastruktur.

2.   Tento článek se použije rovněž na jiné než písemné informace vyměněné během zasedání, na nichž jsou projednávány citlivé otázky.

Článek 10

Kontaktní místa ochrany EKI

1.   Každý členský stát stanoví kontaktní místo pro záležitosti ochrany EKI (dále jen „kontaktní místo OEKI“).

2.   Kontaktní místo OEKI koordinuje záležitosti ochrany EKI v rámci členského státu, s ostatními členskými státy a s Komisí. Stanovení kontaktního místa OEKI nevylučuje účast jiných orgánů v členském státě na záležitostech ochrany EKI.

Článek 11

Přezkum

Přezkum této směrnice bude zahájen 12. ledna 2012.

Článek 12

Provedení

Členské státy přijmou nezbytná opatření pro dosažení souladu s touto směrnicí do 12. ledna 2011. Neprodleně o nich uvědomí Komisi a sdělí jí jejich znění a jejich srovnání s touto směrnicí.

Tato opatření přijatá členskými státy musí obsahovat odkaz na tuto směrnici nebo musí být takový odkaz učiněn při jejich úředním zveřejnění. Způsob odkazu si stanoví členské státy.

Článek 13

Vstup v platnost

Tato směrnice vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Článek 14

Určení

Tato směrnice je určena členským státům.

V Bruselu dne 8. prosince 2008.

Za Radu

předseda

B. KOUCHNER


(1)  Stanovisko ze dne 10. července 2007 (dosud nezveřejněné v Úředním věstníku).

(2)  Úř. věst. C 116, 26.5.2007, s. 1.

(3)  Úř. věst. L 145, 31.5.2001, s. 43.


PŘÍLOHA I

Seznam odvětví s EKI

Odvětví

Pododvětví

I

Energetika

1.

Elektřina

Infrastruktury a zařízení pro výrobu a přenos elektřiny, pokud jde o dodávky elektřiny

2.

Ropa

Těžba ropy, rafinace, zpracování, skladování a distribuce potrubím

3.

Zemní plyn

Těžba zemního plynu, rafinace, zpracování, skladování a distribuce potrubím

Terminály LNG

II

Doprava

4.

Silniční doprava

5.

Železniční doprava

6.

Letecká doprava

7.

Vnitrozemská vodní doprava

8.

Zámořská a pobřežní vodní doprava a přístavy

Kritickou infrastrukturu, která může být označena za EKI, určují členské státy podle článku 3. Seznam odvětví s EKI sám o sobě proto nezakládá obecnou povinnost určit EKI v každém odvětví.


PŘÍLOHA II

POSTUP VYPRACOVÁNÍ PLÁNU BEZPEČNOSTI PROVOZOVATELE EKI

Plán bezpečnosti provozovatele určuje prostředky kritické infrastruktury a bezpečnostní řešení, která existují či jsou zaváděna na její ochranu. Postup vypracování plánu bezpečnosti provozovatele EKI zahrnuje alespoň:

1.

určení důležitých prostředků;

2.

analýzu rizik založenou na scénářích závažných hrozeb, typech zranitelnosti jednotlivých prostředků a možných dopadech a

3.

určení, výběr a stanovení priorit protiopatření a postupů, s rozlišením mezi

stálými bezpečnostními opatřeními, která určují nezbytné investice do bezpečnosti a bezpečnostní prostředky, jejichž použití je kdykoli opodstatněné. Tato oblast zahrnuje informace týkající se obecných opatření, jako jsou technická opatření (včetně instalace prostředků pro detekci, kontrolu přístupu, ochranu a prevenci); organizační opatření (včetně postupů pro varování a řešení krizí); kontrolní a ověřovací opatření; komunikace; zvyšování informovanosti a odborná příprava; bezpečnost informačních systémů,

odstupňovanými bezpečnostními opatřeními, která mohou být aktivována podle různého stupně rizika a ohrožení.


PŘÍLOHA III

Postup pro určení kritické infrastruktury, která může být označena za EKI, členskými státy podle článku 3

Článek 3 vyžaduje, aby každý členský stát určil kritickou infrastrukturu, již lze označit za EKI. Členské státy přitom postupují podle níže uvedených postupných kroků.

Potenciální EKI, která nesplňuje požadavky některého z následujících postupných kroků, není považována za EKI a je z postupu vyloučena. Potenciální EKI, která tyto požadavky splňuje, přechází do dalšího kroku tohoto postupu.

Krok 1

Za účelem provedení prvního výběru kritických infrastruktur v rámci odvětví uplatní členský stát odvětvová kritéria.

Krok 2

Členský stát použije definici kritické infrastruktury podle čl. 2 písm. a) na potenciální EKI určenou podle kroku 1.

Závažnost dopadu se stanoví na příslušné vnitrostátní úrovni buď za použití vnitrostátních postupů pro určení kritických infrastruktur, nebo prostřednictvím odkazu na průřezová kritéria. V případě infrastruktury poskytující nezbytnou službu se zohlední dostupnost alternativních řešení a doba trvání narušení této služby nebo čas nutný k jejímu obnovení.

Krok 3

Každý členský stát použije na potenciální EKI, která vyhověla prvním dvěma krokům tohoto postupu, přeshraniční prvek definice EKI podle čl. 2 písm. b). Potenciální EKI, která tuto definici splňuje, přechází do dalšího kroku postupu. V případě infrastruktury zajišťující nezbytnou službu se zohlední dostupnost alternativních řešení a doba trvání narušení této služby nebo čas nutný k jejímu obnovení.

Krok 4

Na zbývající potenciální EKI uplatní každý členský stát průřezová kritéria. Průřezová kritéria zohledňují závažnost dopadu a v případě infrastruktury, která zajišťuje nezbytnou službu, dostupnost alternativních řešení a dobu, po kterou narušení této služby trvá, nebo čas nutný k jejímu obnovení. Potenciální EKI, která nesplňuje průřezová kritéria, není považována za EKI.

Potenciální EKI, která vyhověla tomuto postupu, se oznámí pouze těm členským státům, pro něž může mít závažný dopad.