EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52020PC0829

Forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om kritiske enheders modstandsdygtighed

COM/2020/829 final

Bruxelles, den 16.12.2020

COM(2020) 829 final

2020/0365(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om kritiske enheders modstandsdygtighed

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}


BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

·Forslagets begrundelse og formål

For at yde europæerne effektiv beskyttelse er Den Europæiske Union nødt til fortsat at mindske sårbarhederne, herunder for de kritiske infrastrukturer, der er afgørende for, at vores samfund og økonomi kan fungere. De europæiske borgeres levebrød og et velfungerende indre marked afhænger af forskellige infrastrukturer til pålidelig levering af de tjenester, der er nødvendige for at opretholde kritiske samfundsmæssige og økonomiske aktiviteter. Disse tjenester, som er af afgørende betydning under normale omstændigheder, er så meget desto vigtigere nu, hvor Europa håndterer virkningerne af og ser frem til at komme sig efter covid-19-pandemien. Det følger heraf, at enheder, der leverer væsentlige tjenester, skal være modstandsdygtige, dvs. være i stand til at modstå, absorbere, tilpasse sig og komme sig over hændelser, der kan føre til alvorlige, potentielt tværsektorielle og grænseoverskridende forstyrrelser.

Dette forslag har til formål at forbedre leveringen på det indre marked for tjenesteydelser, der er afgørende for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter, ved at øge modstandsdygtigheden hos kritiske enheder, der leverer sådanne tjenester. Det afspejler de seneste opfordringer til handling fra Rådet 1 og Europa-Parlamentet 2 , som begge har opfordret Kommissionen til at revidere den nuværende tilgang for bedre at afspejle de øgede udfordringer for kritiske enheder og sikre en tættere tilpasning til direktivet om net- og informationssystemer (NIS) 3 . Dette forslag er konsekvent i forhold til og skaber tæt synergi med direktivet om foranstaltninger, der skal sikre et højt fælles cybersikkerhedsniveau i hele Unionen ("NIS 2-direktivet"), som skal erstatte NIS-direktivet med henblik på at håndtere den øgede indbyrdes forbundethed mellem den fysiske og den digitale verden gennem en lovgivningsmæssig ramme med robuste foranstaltninger til sikring af modstandsdygtighed, både for cyberrelaterede og fysiske aspekter som fastsat i strategien for sikkerhedsunionen 4 . 

Forslaget afspejler desuden nationale tilgange i et stigende antal medlemsstater, som har tendens til at lægge vægt på tværsektoriel og grænseoverskridende indbyrdes afhængighed og er mere og mere inspireret af en tankegang om modstandsdygtighed, hvor beskyttelse kun er ét element sammen med risikoforebyggelse og -begrænsning, forretningskontinuitet og genopretning. Eftersom kritiske infrastrukturer også risikerer at blive potentielle terrormål, bidrager de foranstaltninger, der har til formål at sikre modstandsdygtigheden hos kritiske enheder i dette forslag, til målene i den nyligt vedtagne EU-dagsorden om terrorbekæmpelse 5 .

Den Europæiske Union (EU) har længe anerkendt den paneuropæiske betydning af kritisk infrastruktur. EU oprettede f.eks. det europæiske program for beskyttelse af kritisk infrastruktur (EPCIP) i 2006 6 og vedtog direktivet om europæisk kritisk infrastruktur i 2008 7 . I direktivet om europæisk kritisk infrastruktur, som kun finder anvendelse på energi- og transportsektoren, fastsættes en procedure for identifikation og udpegelse af europæisk kritisk infrastruktur, hvis forstyrrelse eller ødelæggelse ville have betydelige grænseoverskridende virkninger i mindst to medlemsstater. Der fastsættes også specifikke beskyttelseskrav til operatører af europæisk kritisk infrastruktur og kompetente myndigheder i medlemsstaterne. Indtil videre er der udpeget 94 europæiske kritiske infrastrukturer, hvoraf to tredjedele er beliggende i tre medlemsstater i Central- og Østeuropa. Anvendelsesområdet for EU's indsats vedrørende kritisk infrastrukturs modstandsdygtighed rækker imidlertid ud over disse foranstaltninger og omfatter sektorspecifikke og tværsektorielle foranstaltninger vedrørende bl.a. klimasikring, civilbeskyttelse, udenlandske direkte investeringer og cybersikkerhed 8 . I mellemtiden har medlemsstaterne selv truffet foranstaltninger på dette område på forskellig vis.

Det er derfor klart, at den nuværende ramme for beskyttelse af kritisk infrastruktur ikke er tilstrækkelig til at tackle de aktuelle udfordringer for kritisk infrastruktur og de enheder, der driver den. I betragtning af den stigende sammenkobling mellem infrastrukturer, net og operatører, der leverer væsentlige tjenester i hele det indre marked, er det nødvendigt grundlæggende at ændre den nuværende tilgang fra at beskytte specifikke aktiver til at styrke modstandsdygtigheden hos de kritiske enheder, der driver dem.

Det operationelle miljø, som kritiske enheder opererer i, har ændret sig betydeligt i de seneste år. For det første er risikolandskabet mere komplekst end i 2008, og det omfatter i dag naturkatastrofer 9 (i mange tilfælde forværret af klimaændringer), statsstøttede hybride aktioner, terror, insidertrusler, pandemier og ulykker (f.eks. industriulykker). For det andet står operatørerne over for udfordringer med hensyn til at integrere nye teknologier såsom 5G og førerløse køretøjer i deres drift, samtidig med at de tager fat på de sårbarheder, som sådanne teknologier potentielt kan medføre. For det tredje gør disse teknologier og andre tendenser i stigende grad operatørerne afhængige af hinanden. Konsekvenserne af dette er tydelige — en forstyrrelse, der påvirker en operatørs levering af tjenester i én sektor, har potentiale til at skabe kaskadevirkninger for leveringen af tjenesteydelser i andre sektorer og potentielt også i andre medlemsstater eller i hele Unionen.

Som det fremgår af evalueringen af direktivet om europæisk kritisk infrastruktur 10 i 2019, har de eksisterende europæiske og nationale foranstaltninger deres begrænsninger med hensyn til at hjælpe operatørerne med at tackle de operationelle udfordringer, de står over for i dag, og de sårbarheder, som deres indbyrdes afhængige karakter medfører.

Der er flere grunde hertil, som anført i konsekvensanalysen, der støttede udarbejdelsen af forslaget. For det første er operatørerne ikke fuldt ud klar over eller forstår ikke fuldt ud konsekvenserne af det dynamiske risikolandskab, de opererer inden for. For det andet varierer indsatsen for modstandsdygtighed betydeligt mellem medlemsstater og sektorer. For det tredje anerkendes typer af enheder, der ligner hinanden, som kritiske af nogle medlemsstater, men ikke af andre, hvilket betyder, at sammenlignelige enheder modtager forskellige niveauer af offentlig kapacitetsopbygningsstøtte (f.eks. i form af vejledning, uddannelse og tilrettelæggelse af øvelser), afhængigt af hvor i Unionen de opererer, og de er underlagt forskellige krav. Det forhold, at kravene og den offentlige støtte til operatører varierer fra medlemsstat til medlemsstat, skaber hindringer for operatørerne, når de handler på tværs af grænserne, navnlig for de kritiske enheder, der opererer i medlemsstater med strengere rammer. I betragtning af at levering af tjenesteydelser og sektorer i medlemsstaterne og i hele EU bliver stadig mere indbyrdes forbundet, udgør en utilstrækkelig grad af modstandsdygtighed hos én operatør en alvorlig risiko for enheder andre steder i det indre marked.

Ud over at bringe det indre markeds funktion i fare kan forstyrrelser, navnlig afbrydelser med grænseoverskridende og potentielt paneuropæiske konsekvenser, muligvis have alvorlige negative konsekvenser for borgere, virksomheder, regeringer og miljøet. På det individuelle plan kan afbrydelser påvirke europæernes mulighed for at rejse frit, arbejde og udnytte vigtige offentlige tjenester såsom sundhedspleje. I mange tilfælde leveres disse og andre centrale tjenester, der understøtter dagligdagen, af tæt sammenkoblede net af europæiske virksomheder, og en forstyrrelse af én virksomhed i én sektor kan få kaskadevirkninger på tværs af mange andre økonomiske sektorer. Endelig kan afbrydelser som f.eks. storstilede strømafbrydelser og alvorlige trafikulykker bidrage til at undergrave sikkerheden og den offentlige sikkerhed, skabe usikkerhed og undergrave tilliden til kritiske enheder samt til de myndigheder, der er ansvarlige for tilsynet med dem og for at gøre befolkningen sikker og tryg.

·Sammenhæng med de gældende regler på samme område

Dette forslag afspejler prioriteterne i Kommissionens strategi for EU's sikkerhedsunion 11 , hvor man opfordrer til en revideret tilgang til kritisk infrastrukturs modstandsdygtighed, som i højere grad afspejler det nuværende og forventede fremtidige risikolandskab, den stadig tættere indbyrdes afhængighed mellem forskellige sektorer og også de stadig mere indbyrdes afhængige relationer mellem fysiske og digitale infrastrukturer.

Det foreslåede direktiv erstatter direktivet om europæisk kritisk infrastruktur samt redegør for og bygger på andre eksisterende og planlagte instrumenter. Forslaget til direktiv udgør en betydelig ændring i forhold til direktivet om europæisk kritisk infrastruktur, som kun gælder for energi- og transportsektoren, udelukkende fokuserer på beskyttelsesforanstaltninger og fastsætter en procedure for identifikation og udpegelse af europæisk kritisk infrastruktur gennem grænseoverskridende dialog. For det første vil det foreslåede direktiv have et langt bredere anvendelsesområde, der dækker ti sektorer, nemlig energi, transport, bankvæsen, finansmarkedsinfrastruktur, sundhed, drikkevand, spildevand, digital infrastruktur, offentlig forvaltning og rummet. For det andet fastsættes i direktivet en procedure, hvorefter medlemsstaterne kan identificere kritiske enheder ved hjælp af fælles kriterier på grundlag af en national risikovurdering. For det tredje fastsættes med forslaget forpligtelser for medlemsstaterne og de kritiske enheder, som de udpeger, herunder enheder med særlig europæisk betydning, dvs. kritiske enheder, der leverer væsentlige tjenester til eller i mere end en tredjedel af medlemsstaterne, og som vil være underlagt specifikt tilsyn.

Hvor det er relevant, vil Kommissionen yde de kompetente myndigheder og kritiske enheder bistand med at opfylde deres forpligtelser i henhold til direktivet. Desuden vil gruppen for kritiske enheders modstandsdygtighed, som er en ekspertgruppe i Kommissionen, der er underlagt de horisontale rammer, som gælder for sådanne grupper, rådgive Kommissionen og fremme strategisk samarbejde og udveksling af oplysninger. Endelig er det også nødvendigt at samarbejde med partnerlande, da den indbyrdes afhængighed ikke stopper ved EU's ydre grænser. Det foreslåede direktiv giver mulighed for et sådant samarbejde, f.eks. i forbindelse med risikovurderinger.

Sammenhæng med Unionens politik på andre områder

Det foreslåede direktiv har tydelige forbindelser og er i overensstemmelse med andre sektorspecifikke og tværsektorielle EU-initiativer om bl.a. klimasikring, civilbeskyttelse, udenlandske direkte investeringer, cybersikkerhed og gældende EU-ret om finansielle tjenesteydelser. Navnlig er forslaget nøje afstemt med og skaber tæt synergi med det foreslåede NIS 2-direktiv, der har til formål at øge informations- og kommunikationsteknologiens (IKT) modstandsdygtighed over for alle farer for så vidt angår "væsentlige enheder" og "vigtige enheder", der opfylder specifikke tærskler i en lang række sektorer. Dette forslag til direktiv om kritiske enheders modstandsdygtighed har til formål at sikre, at kompetente myndigheder, der er udpeget i henhold til dette direktiv, og de myndigheder, der er udpeget i henhold til det foreslåede NIS 2-direktiv, træffer supplerende foranstaltninger og udveksler oplysninger efter behov vedrørende cyberrelateret og ikkecyberrelateret modstandsdygtighed, og at særligt kritiske enheder i de sektorer, der anses for at være "væsentlige" i henhold til det foreslåede NIS 2-direktiv, også er underlagt mere generelle forpligtelser til at håndtere risici, som ikke er cyberrelaterede. Den fysiske sikkerhed i net- og informationssystemer for enheder i den digitale infrastruktursektor behandles indgående i forslaget til NIS 2-direktiv som en del af disse enheders forpligtelser med hensyn til risikostyring og rapportering vedrørende cybersikkerhed. Desuden bygger forslaget på gældende EU-ret om finansielle tjenesteydelser, som fastsætter omfattende krav til finansielle enheder med hensyn til styring af operationelle risici og sikring af forretningskontinuitet. Enheder, der vedrører sektorerne for digital infrastruktur, bankvirksomhed og finansiel infrastruktur, bør derfor behandles som enheder svarende til kritiske enheder i henhold til dette direktiv med hensyn til medlemsstaternes forpligtelser og aktiviteter, mens dette direktiv ikke vil medføre yderligere forpligtelser for disse enheder.

Forslaget tager også højde for andre sektorspecifikke og tværsektorielle initiativer vedrørende f.eks. civilbeskyttelse, katastroferisikobegrænsning og tilpasning til klimaændringer. Desuden anerkendes det i forslaget, at eksisterende EU-lovgivning i visse tilfælde pålægger enheder forpligtelser til at imødegå visse risici ved hjælp af beskyttelsesforanstaltninger. I sådanne tilfælde, f.eks. vedrørende luftfartssikkerhed eller sikkerhed til søs, bør de kritiske enheder beskrive disse foranstaltninger i deres planer for modstandsdygtighed. Det foreslåede direktiv gælder desuden med forbehold af anvendelsen af konkurrencereglerne som fastsat i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

·Retsgrundlag

I modsætning til direktiv 2008/114/EF, der var baseret på artikel 308 i traktaten om oprettelse af Det Europæiske Fællesskab (svarende til den nuværende artikel 352 i traktaten om Den Europæiske Unions funktionsmåde), er dette forslag til direktiv baseret på artikel 114 i TEUF, som indebærer en tilnærmelse af lovgivningerne med henblik på forbedring af det indre marked. Dette er begrundet i ændringen af direktivets formål, anvendelsesområde og indhold, den øgede indbyrdes afhængighed og behovet for at skabe mere lige vilkår for kritiske enheder. I stedet for at beskytte et begrænset antal fysiske infrastrukturer, hvis forstyrrelse eller ødelæggelse ville have betydelige virkninger på tværs af grænserne, er målet at øge modstandsdygtigheden hos enheder i medlemsstaterne, som er afgørende for leveringen af tjenester, der har afgørende betydning for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter i det indre marked inden for en række sektorer, der understøtter funktionen af mange andre sektorer i Unionens økonomi. På grund af den øgede indbyrdes afhængighed på tværs af grænserne mellem de tjenester, der leveres ved hjælp af kritisk infrastruktur i disse sektorer, kan en afbrydelse i én medlemsstat få konsekvenser for andre medlemsstater eller Unionen som helhed.

Den nuværende retlige ramme, der er fastlagt på medlemsstatsniveau, og som regulerer de pågældende tjenester, medfører betydelige forskelle i forpligtelserne, som sandsynligvis vil blive større. De forskelligartede nationale regler, som kritiske enheder er underlagt, kompromitterer ikke blot en pålidelig levering af tjenesteydelser i hele det indre marked, men risikerer også at påvirke konkurrencen negativt. Dette skyldes hovedsagelig, at typer af enheder, der minder om hinanden, og som leverer typer af tjenesteydelser, der minder om hinanden, betragtes som kritiske i nogle medlemsstater, men ikke i andre. Det betyder, at enheder, der er eller ønsker at være aktive i mere end én medlemsstat, er underlagt forskellige forpligtelser, når de handler på tværs af det indre marked, og at enheder, der er aktive i medlemsstater med strengere krav, kan støde på hindringer i forhold til enheder i medlemsstater med mere lempelige rammer. Disse forskelle er af en sådan beskaffenhed, at de har en direkte negativ indvirkning på det indre markeds funktion.

·Nærhedsprincippet

En fælles lovgivningsmæssig ramme på europæisk plan på dette område er berettiget i betragtning af den indbyrdes afhængighed og grænseoverskridende karakter af forbindelserne mellem kritiske infrastrukturoperationer og deres output, dvs. væsentlige tjenester. En operatør, der er etableret i én medlemsstat, kan faktisk levere tjenester i flere andre medlemsstater eller i hele EU gennem tæt forbundne net. Det følger heraf, at en afbrydelse, der påvirker denne operatør, kan få vidtrækkende konsekvenser for andre sektorer og på tværs af nationale grænser. De potentielle paneuropæiske konsekvenser af afbrydelser kræver handling på EU-plan. Desuden har forskellige nationale regler en direkte negativ indvirkning på det indre markeds funktion. Som konsekvensanalysen har vist, mener mange medlemsstater og interessenter fra erhvervslivet, at der er behov for en mere fælles og koordineret europæisk tilgang med henblik på at sikre, at enheder er tilstrækkeligt modstandsdygtige over for forskellige risici, som, selv om de er noget forskellige fra den ene medlemsstat til den anden, skaber mange fælles udfordringer, der ikke kan løses gennem nationale foranstaltninger eller af individuelle operatører alene.

·Proportionalitetsprincippet

Forslaget står i et rimeligt forhold til initiativets erklærede overordnede mål. Selv om medlemsstaternes og kritiske enheders forpligtelser i visse tilfælde kan medføre en yderligere administrativ byrde, f.eks. når medlemsstaterne har behov for at udvikle en national strategi, eller når kritiske enheder skal gennemføre visse tekniske og organisatoriske foranstaltninger, forventes disse generelt at være begrænsede. I den forbindelse skal det bemærkes, at mange enheder allerede har truffet visse sikkerhedsforanstaltninger for at beskytte deres infrastrukturer og sikre forretningskontinuitet.

I nogle tilfælde kan det imidlertid kræve større investeringer at opnå overensstemmelse med direktivet. Selv i sådanne tilfælde er disse investeringer berettigede, for så vidt som de vil bidrage til øget modstandsdygtighed på operatørniveau og systemisk modstandsdygtighed samt en mere sammenhængende tilgang og øget evne til at levere pålidelige tjenester i hele Unionen. Desuden forventes enhver yderligere byrde som følge af direktivet langt at blive overgået af de omkostninger, der er forbundet med håndtering af og genopretning efter større afbrydelser, der bringer den uafbrudte levering af tjenester i forbindelse med vitale samfundsmæssige funktioner og operatørernes, de enkelte medlemsstaters, Unionens og dens borgeres økonomiske velfærd i fare.

·Valg af retsakt

Forslaget har form af et direktiv, der har til formål at sikre en mere fælles tilgang til modstandsdygtigheden hos kritiske enheder i en række sektorer i hele Unionen. I forslaget fastsættes der specifikke forpligtelser for de kompetente myndigheder til at identificere kritiske enheder på grundlag af fælles kriterier og resultaterne af risikovurderingen. Ved hjælp af et direktiv er det muligt at sikre, at medlemsstaterne anvender en ensartet tilgang til identificering af kritiske enheder, samtidig med at der tages hensyn til særlige forhold på nationalt plan, herunder forskellige niveauer af risikoeksponering og indbyrdes afhængighed mellem sektorer og grænser.

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

·Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning

Direktivet om europæisk kritisk infrastruktur var i 2019 genstand for en evaluering med henblik på at vurdere gennemførelsen af direktivet med hensyn til dets relevans, sammenhæng, virkningsfuldhed, effektivitet, EU-merværdi og bæredygtighed 12 .

Evalueringen viste, at konteksten har ændret sig betydeligt, siden direktivet trådte i kraft. På baggrund af disse ændringer blev det konstateret, at direktivet kun havde delvis relevans. Evalueringen viste, at direktivet generelt var i overensstemmelse med relevant europæisk sektorlovgivning og -politik på internationalt plan, men det blev kun anset for at være delvis effektivt, idet nogle af dets bestemmelser havde generel karakter. Det blev konstateret, at direktivet havde skabt EU-merværdi, for så vidt som det skabte resultater (dvs. en fælles ramme for beskyttelse af europæisk kritisk infrastruktur), som hverken nationale eller andre europæiske initiativer ellers kunne have opnået uden at iværksætte meget længerevarende, dyrere og mindre veldefinerede processer. Når det er sagt, blev det konstateret, at visse bestemmelser har haft begrænset merværdi for mange medlemsstater.

Med hensyn til bæredygtighed forventedes visse virkninger af direktivet (f.eks. grænseoverskridende drøftelser, rapporteringskrav) at ophøre, hvis direktivet blev ophævet og ikke erstattet. Evalueringen viste, at der fortsat er støtte fra medlemsstaternes side til, at EU engagerer sig i bestræbelserne på at styrke kritisk infrastrukturs modstandsdygtighed, og at der hersker en vis bekymring for, at en decideret ophævelse af direktivet kan have negative virkninger på dette område, navnlig på beskyttelsen af udpegede europæiske kritiske infrastrukturer. Medlemsstaterne var ivrige efter at sikre, at Unionens engagement på området fortsat overholder nærhedsprincippet, støtter foranstaltninger på nationalt plan og fremmer grænseoverskridende samarbejde, herunder med tredjelande.

·Høringer af interesserede parter

I forbindelse med udarbejdelsen af dette forslag har Kommissionen hørt en lang række interesserede parter, herunder: Den Europæiske Unions institutioner og agenturer, internationale organisationer, medlemsstaternes myndigheder, private enheder, herunder individuelle operatører og nationale og europæiske branchesammenslutninger, der repræsenterer operatører i mange forskellige sektorer, eksperter og ekspertnetværk, herunder det europæiske netværk af referencecentre for beskyttelse af kritisk infrastruktur (ERNCIP), repræsentanter for den akademiske verden, ikkestatslige organisationer og medlemmer af offentligheden.

Interessenterne er blevet hørt på en række forskellige måder, herunder: en offentlig mulighed for at give feedback vedrørende den indledende konsekvensanalyse af dette forslag, rådgivende seminarer, målrettede spørgeskemaer, bilaterale drøftelser og en offentlig høring (til støtte for evalueringen af direktivet om europæisk kritisk infrastruktur i 2019). Desuden gennemførte den eksterne kontrahent, der var ansvarlig for feasibilityundersøgelsen, som understøttede udarbejdelsen af konsekvensanalysen, høringer af mange interessenter, f.eks. en onlineundersøgelse, et skriftligt spørgeskema, en-til-en-interviews og virtuelle "besøg i marken" i 10 medlemsstater.

Disse høringer gjorde det muligt for Kommissionen at undersøge effektiviteten, virkningsfuldheden, relevansen, sammenhængen og EU-merværdien af den eksisterende ramme for kritisk infrastrukturs modstandsdygtighed (dvs. udgangssituationen), hvilke problemer den har skabt, forskellige politiske løsningsmodeller, der kan overvejes i forbindelse med håndteringen af disse problemer, og de specifikke virkninger, som disse muligheder kan forventes at få. Generelt pegede høringerne på en række områder, hvor der herskede generel enighed blandt interessenterne, ikke mindst om, at den eksisterende EU-ramme for kritisk infrastrukturs modstandsdygtighed bør moderniseres i lyset af den voksende indbyrdes afhængighed på tværs af sektorer og et skiftende trusselsbillede.

Interessenterne var generelt enige om, at enhver ny tilgang bør bestå af en kombination af bindende og ikkebindende foranstaltninger, fokusere på modstandsdygtighed snarere end på beskyttelse, der er centreret omkring aktiverne, og skabe en tydeligere forbindelse mellem foranstaltninger, der har til formål at styrke cyberrelateret og ikkecyberrelateret modstandsdygtighed. Desuden støttede de en tilgang, der tager højde for bestemmelser i eksisterende sektorlovgivning, der som minimum dækker de sektorer, der er omfattet af det nuværende NIS-direktiv, og mere ensartede forpligtelser for kritiske enheder på nationalt plan, som igen bør kunne foretage tilstrækkelig sikkerhedskontrol af personale med adgang til følsomme faciliteter/oplysninger. Desuden foreslog interessenterne, at enhver ny tilgang bør skabe muligheder for, at medlemsstaterne kan føre øget tilsyn med kritiske enheders aktiviteter, men også sikre, at kritiske enheder af paneuropæisk betydning identificeres og er tilstrækkeligt modstandsdygtige. Endelig argumenterede de for mere EU-finansiering og støtte til f.eks. indførelse af nye instrumenter, kapacitetsopbygning på nationalt plan og offentlig-privat koordinering/samarbejde samt udveksling af god praksis, viden og ekspertise på forskellige niveauer. Det foreliggende forslag indeholder bestemmelser, der generelt afspejler de synspunkter og præferencer, som interessenterne har givet udtryk for.

·Indhentning og brug af ekspertbistand

Som nævnt i det foregående afsnit har Kommissionen trukket på ekstern ekspertise i forbindelse med høringer af f.eks. uafhængige eksperter, ekspertnetværk og repræsentanter for den akademiske verden i forbindelse med udarbejdelsen af det foreliggende forslag.

·Konsekvensanalyse

I den konsekvensanalyse, der understøttede udviklingen af dette initiativ, undersøgte man forskellige politiske løsningsmodeller for de generelle og specifikke problemer, der er beskrevet tidligere. Ud over udgangssituationen, som ikke ville medføre nogen ændringer i forhold til den nuværende situation, omfattede disse muligheder:

Løsningsmodel 1: Bibeholdelse af det eksisterende direktiv om europæisk kritisk infrastruktur ledsaget af frivillige foranstaltninger inden for rammerne af det eksisterende EPCIP-program

Løsningsmodel 2: Revision af det eksisterende direktiv om europæisk kritisk infrastruktur, så det dækker de samme sektorer som det eksisterende NIS-direktiv og fokuserer mere på modstandsdygtighed. Det nye direktiv om europæisk kritisk infrastruktur vil medføre ændringer i den eksisterende proces for udpegning af europæisk kritisk infrastruktur på tværs af grænserne, herunder nye udpegelseskriterier, og nye krav til medlemsstater og operatører

Løsningsmodel 3: Erstatning af det eksisterende direktiv om europæisk kritisk infrastruktur med et nyt instrument, der har til formål at øge modstandsdygtigheden hos kritiske enheder i de sektorer, der betragtes som væsentlige i det foreslåede NIS 2-direktiv. Under denne løsningsmodel vil man fastsætte minimumskrav for medlemsstater og kritiske enheder, der er identificeret i henhold til den nye ramme. Der vil blive indført en procedure for identifikation af kritiske enheder, der tilbyder tjenester til eller i flere EU-medlemsstater om ikke alle. Gennemførelsen af lovgivningen vil blive støttet af et særligt videncenter i Kommissionen.

Løsningsmodel 4: Erstatning af det eksisterende direktiv om europæisk kritisk infrastruktur med et nyt instrument, der har til formål at øge modstandsdygtigheden hos kritiske enheder i de sektorer, der betragtes som væsentlige i det foreslåede NIS 2-direktiv, samt en mere væsentlig rolle for Kommissionen med hensyn til at identificere kritiske enheder og oprettelse af et særligt EU-agentur med ansvar for kritisk infrastrukturs modstandsdygtighed (som vil påtage sig rollerne og ansvarsområderne for videncentret, der er foreslået i den foregående løsningsmodel).

I lyset af de forskellige økonomiske, sociale og miljømæssige virkninger, der er forbundet med hver af løsningsmodellerne, men også deres værdi med hensyn til effektivitet, virkningsfuldhed og proportionalitet viste konsekvensanalysen, at den foretrukne løsningsmodel var løsningsmodel 3. Mens løsningsmodel 1 og 2 ikke vil medføre de ændringer, der er nødvendige for at løse problemet, vil løsningsmodel 3 resultere i en harmoniseret og mere omfattende ramme for modstandsdygtighed, som også vil være tilpasset og tage højde for eksisterende EU-lovgivning på beslægtede områder. Løsningsmodel 3 blev også anset for at være forholdsmæssig og synes at være politisk gennemførlig, da den er i overensstemmelse med Rådets og Parlamentets erklæringer om behovet for en EU-indsats på dette område. Man konstaterede desuden, at denne løsningsmodel sandsynligvis ville sikre fleksibilitet og tilbyde en fremtidssikret ramme, der ville gøre det muligt for kritiske enheder at reagere på forskellige risici over tid. Endelig viste konsekvensanalysen, at denne løsningsmodel vil supplere eksisterende sektorspecifikke og tværsektorielle rammer og instrumenter. I denne løsningsmodel tages der f.eks. højde for, at når udpegede enheder opfylder visse forpligtelser i dette nye instrument gennem forpligtelser i eksisterende, vil de ikke være forpligtet til at træffe yderligere foranstaltninger. På den anden side forventes de at træffe visse foranstaltninger, når de eksisterende instrumenter ikke dækker området eller er begrænset til kun at omfatte visse typer af risici eller foranstaltninger.

Konsekvensanalysen blev gennemgået af Udvalget for Forskriftskontrol, som afgav en positiv udtalelse med forbehold den 20. november 2020. Udvalget pegede på en række elementer i konsekvensanalysen, som bør tages op. Specifikt anmodede Udvalget om yderligere præcisering af de risici, der er forbundet med kritisk infrastruktur og den grænseoverskridende dimension, forbindelsen mellem initiativet og den igangværende revision af NIS-direktivet og forholdet mellem den foretrukne løsningsmodel og anden sektorspecifik lovgivning. Endvidere fandt Udvalget, at der var behov for yderligere begrundelser for at udvide instrumentets sektormæssige anvendelsesområde, og anmodede om yderligere oplysninger om kriterierne for udvælgelse af kritiske enheder. Endelig ønskede Udvalget med hensyn til proportionalitet en yderligere afklaring af, hvordan den foretrukne løsningsmodel vil føre til bedre nationale reaktioner på grænseoverskridende risici. Disse og andre mere detaljerede bemærkninger fra Udvalget er blevet behandlet i den endelige udgave af konsekvensanalysen, som f.eks. indeholder en mere detaljeret beskrivelse af de grænseoverskridende risici for kritisk infrastruktur og forholdet mellem dette forslag og forslaget til NIS 2-direktivet. Der er også taget hensyn til Udvalgets bemærkninger i det følgende forslag til direktiv.

·Målrettet regulering og forenkling

I overensstemmelse med Kommissionens program for målrettet og effektiv regulering (REFIT) bør alle initiativer, der har til formål at ændre den eksisterende EU-lovgivning, søge at forenkle og opfylde erklærede politiske mål mere effektivt. Resultaterne af konsekvensanalysen tyder på, at forslaget vil mindske den samlede byrde for medlemsstaterne. En nærmere tilpasning til den tjenesteorienterede tilgang i det nuværende NIS-direktiv vil sandsynligvis føre til lavere overholdelsesomkostninger over tid. F.eks. vil den besværlige grænseoverskridende identifikations- og udpegningsproces, der findes i det eksisterende direktiv om europæisk kritisk infrastruktur, blive erstattet af en risikobaseret procedure på nationalt plan, der udelukkende tager sigte på at identificere kritiske enheder, som er underlagt forskellige forpligtelser. På grundlag af risikovurderingen vil medlemsstaterne identificere kritiske enheder, hvoraf de fleste allerede er udpeget som operatører af væsentlige tjenester i henhold til det nuværende NIS-direktiv.

Ved at træffe foranstaltninger til at øge deres modstandsdygtighed vil kritiske enheder desuden være mindre tilbøjelige til at opleve afbrydelser. Sandsynligheden for hændelser i form af afbrydelser, der påvirker leveringen af væsentlige tjenester negativt i de enkelte medlemsstater og i hele Europa, vil således blive mindsket. Dette vil sammen med de positive virkninger af harmonisering af divergerende nationale regler på EU-plan have en positiv indvirkning på virksomheder, herunder mikrovirksomheder samt små og mellemstore virksomheder, Unionens økonomis overordnede sundhed og et velfungerende indre marked.

·Grundlæggende rettigheder

Formålet med den foreslåede lovgivning er at øge modstandsdygtigheden hos kritiske enheder, der leverer forskellige former for væsentlige tjenester, samtidig med at lovgivningsmæssige hindringer for deres evne til at levere deres tjenester i hele Unionen fjernes. Derved vil den samlede risiko for forstyrrelser på både samfundsmæssigt og individuelt plan blive reduceret, og byrderne vil blive reduceret. Dette vil bidrage til at sikre et højere niveau af offentlig sikkerhed og samtidig også have en positiv indvirkning på virksomhedernes frihed til at drive virksomhed samt på mange andre økonomiske aktører, der er afhængige af leveringen af væsentlige tjenester, hvilket i sidste ende vil være til gavn for forbrugerne. Forslagets bestemmelser, der har til formål at sikre en effektiv forvaltning af medarbejdernes sikkerhed, vil normalt omfatte behandling af personoplysninger. Dette er begrundet i behovet for at foretage baggrundskontrol af specifikke personalekategorier. Desuden vil enhver sådan behandling af personoplysninger altid være underlagt Unionens regler om beskyttelse af personoplysninger, herunder den generelle forordning om databeskyttelse 13 .

4.VIRKNINGER FOR BUDGETTET

Det foreslåede direktiv har virkninger for Unionens budget. De samlede finansielle ressourcer, der er nødvendige for at støtte gennemførelsen af dette forslag, anslås til 42,9 mio. EUR for perioden 2021-2027, hvoraf 5,1 mio. EUR er administrationsudgifter. Omkostningerne fordeler sig på følgende måde:

Kommissionens støtteaktiviteter, herunder personale, projekter, undersøgelser og støtteaktiviteter

Rådgivende missioner tilrettelagt af Kommissionen

Regelmæssige møder i gruppen for kritiske enheders modstandsdygtighed, komitologiudvalget og andre møder.

Mere detaljerede oplysninger findes i finansieringsoversigten, der ledsager dette forslag.

5.ANDRE FORHOLD

·Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

Gennemførelsen af det foreslåede direktiv vil blive evalueret senest fire et halvt år efter dets ikrafttræden, hvorefter Kommissionen vil forelægge en rapport for Europa-Parlamentet og Rådet. I denne rapport vil det blive vurderet, i hvilket omfang medlemsstaterne har truffet de nødvendige foranstaltninger for at efterkomme direktivet. Kommissionen vil senest seks år efter direktivets ikrafttræden forelægge Europa-Parlamentet og Rådet en rapport med en vurdering af direktivets virkning og merværdi.

·Nærmere redegørelse for de enkelte bestemmelser i forslaget

Genstand, anvendelsesområde og definitioner (artikel 1-2)

I artikel 1 fastsættes direktivets genstand og anvendelsesområde, hvor medlemsstaterne forpligtes til at træffe visse foranstaltninger med henblik på at sikre levering i det indre marked af tjenester, der er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter, navnlig med henblik på at identificere kritiske enheder og sætte dem i stand til at opfylde specifikke forpligtelser, der har til formål at øge deres modstandsdygtighed og forbedre deres evne til at levere disse tjenester i det indre marked. I direktivet fastsættes også regler for tilsyn med og håndhævelse over for kritiske enheder samt specifikt tilsyn med kritiske enheder, der anses for at være af særlig europæisk betydning. I artikel 1 forklares også forholdet mellem direktivet og andre relevante EU-retsakter og betingelserne for udveksling af oplysninger, der er fortrolige i henhold til EU-bestemmelser og nationale bestemmelser, med Kommissionen og andre relevante myndigheder. Artikel 2 indeholder en liste over definitioner, der finder anvendelse.

Nationale rammer for kritiske enheders modstandsdygtighed (artikel 3-9)

Artikel 3 indeholder en bestemmelse om, at medlemsstaterne skal vedtage en strategi for styrkelse af kritiske enheders modstandsdygtighed, en beskrivelse af de elementer, den bør indeholde, en forklaring af, at den bør ajourføres regelmæssigt og om nødvendigt, og en bestemmelse om, at medlemsstaterne skal meddele Kommissionen deres strategier og eventuelle ajourføringer af deres strategier. I artikel 4 fastsættes, at de kompetente myndigheder skal udarbejde en liste over væsentlige tjenester og regelmæssigt foretage en vurdering af alle relevante risici, der kan påvirke leveringen af disse væsentlige tjenester, med henblik på at identificere kritiske enheder. Denne vurdering skal tage højde for de risikovurderinger, der er foretaget i overensstemmelse med andre relevante EU-retsakter, de risici, der opstår som følge af afhængigheden mellem specifikke sektorer, og tilgængelige oplysninger om hændelser. Medlemsstaterne sikrer, at relevante elementer af risikovurderingen stilles til rådighed for kritiske enheder, og at data om de identificerede risikotyper og resultaterne af deres risikovurderinger regelmæssigt stilles til rådighed for Kommissionen.

I henhold til artikel 5 skal medlemsstaterne identificere kritiske enheder i specifikke sektorer og delsektorer. Identifikationsprocessen bør tage højde for resultaterne af risikovurderingen og anvende specifikke kriterier. Medlemsstaterne skal opstille en liste over kritiske enheder, som om nødvendigt ajourføres regelmæssigt. Kritiske enheder skal underrettes behørigt om deres identifikation og de forpligtelser, som dette medfører. De kompetente myndigheder, der er ansvarlige for gennemførelsen af direktivet, skal underrette de kompetente myndigheder, som er ansvarlige for gennemførelsen af NIS 2-direktivet, om identifikationen af kritiske enheder. Hvis en enhed er blevet identificeret som kritisk af to eller flere medlemsstater, indgår medlemsstaterne i samråd med hinanden med henblik på at mindske byrden på den kritiske enhed. Hvis kritiske enheder leverer tjenester til eller i mere end en tredjedel af medlemsstaterne, skal den pågældende medlemsstat underrette Kommissionen om identiteten af disse kritiske enheder.

I artikel 6 defineres begrebet "væsentlig forstyrrende virkning", jf. artikel 5, stk. 2, og det kræves, at medlemsstaterne forelægger Kommissionen visse former for oplysninger vedrørende de kritiske enheder, som de identificerer, og hvordan de blev identificeret. I artikel 6 gives Kommissionen også beføjelse til efter høring af gruppen for kritiske enheders modstandsdygtighed at vedtage relevante retningslinjer.

I artikel 7 fastsættes det, at medlemsstaterne bør identificere enheder i sektorerne for bankvæsen, finansiel markedsinfrastruktur og digital infrastruktur, der kun skal behandles som svarende til kritiske enheder med henblik på kapitel II. Disse enheder bør underrettes om, at de er blevet identificeret.

I artikel 8 fastsættes det, at hver medlemsstat udpeger og sikrer, at der stilles tilstrækkelige ressourcer til rådighed for en eller flere kompetente myndigheder, der er ansvarlige for den korrekte anvendelse af direktivet på nationalt plan, samt et centralt kontaktpunkt, som har til opgave at sikre grænseoverskridende samarbejde. Det centrale kontaktpunkt forelægger regelmæssigt Kommissionen en sammenfattende rapport om anmeldelser af hændelser. Ifølge artikel 8 skal de kompetente myndigheder, der er ansvarlige for anvendelsen af direktivet, samarbejde med andre relevante nationale myndigheder, herunder de kompetente myndigheder, der er udpeget i henhold til NIS 2-direktivet. I artikel 9 fastsættes det, at medlemsstaterne skal yde støtte til kritiske enheder for at sikre deres modstandsdygtighed og fremme samarbejdet og den frivillige udveksling af oplysninger og god praksis mellem kompetente myndigheder og kritiske enheder.

Kritiske enheders modstandsdygtighed (artikel 10-13)

I henhold til artikel 10 skal kritiske enheder regelmæssigt vurdere alle relevante risici på grundlag af nationale risikovurderinger og andre relevante informationskilder. I artikel 11 fastsættes det, at kritiske enheder skal træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed, og sikre, at disse foranstaltninger er beskrevet i en plan for modstandsdygtighed eller i et eller flere tilsvarende dokumenter. Medlemsstaterne kan anmode Kommissionen om at tilrettelægge rådgivende missioner for at yde rådgivning til kritiske enheder i forbindelse med opfyldelsen af deres forpligtelser. I artikel 11 gives Kommissionen også beføjelse til om nødvendigt at vedtage delegerede retsakter og gennemførelsesretsakter.

I henhold til artikel 12 skal medlemsstaterne sikre, at kritiske enheder kan indgive anmodninger om baggrundskontrol af personer, der henhører eller kan komme til at henhøre under visse specifikke kategorier af personale, og at disse anmodninger skal vurderes hurtigt af de myndigheder, der er ansvarlige for at foretage en sådan baggrundskontrol. I artiklen beskrives formålet med, omfanget og indholdet af baggrundskontrollen, som alle skal være i overensstemmelse med den generelle forordning om databeskyttelse.

I henhold til artikel 13 skal medlemsstaterne sikre, at kritiske enheder underretter den kompetente myndighed om hændelser, der i væsentlig grad forstyrrer eller har potentiale til i væsentlig grad at forstyrre deres aktiviteter. De kompetente myndigheder giver derefter den meddelende kritiske enhed relevante opfølgende oplysninger. Via det centrale kontaktpunkt underretter de kompetente myndigheder også de centrale kontaktpunkter i andre berørte medlemsstater, hvis hændelsen har eller kan have grænseoverskridende virkninger i en eller flere andre medlemsstater.

Specifikt tilsyn med kritiske enheder af særlig europæisk betydning (artikel 14-15)

I artikel 14 defineres kritiske enheder af særlig europæisk betydning som enheder, der er blevet identificeret som kritiske enheder, og som leverer væsentlige tjenester til eller i mere end en tredjedel af medlemsstaterne. Når Kommissionen har modtaget en meddelelse i henhold til artikel 5, stk. 6, underretter den den pågældende enhed om, at den anses for at være en kritisk enhed af særlig europæisk betydning, de forpligtelser, dette medfører, og datoen, fra hvilken disse forpligtelser begynder at finde anvendelse. I artikel 15 beskrives de specifikke tilsynsordninger, der gælder for kritiske enheder af særlig europæisk betydning, som efter anmodning indebærer, at værtsmedlemsstater giver Kommissionen og gruppen for kritiske enheders modstandsdygtighed oplysninger om risikovurderingen i henhold til artikel 10 og de foranstaltninger, der er truffet i overensstemmelse med artikel 11, samt eventuelle tilsyns- eller håndhævelsesforanstaltninger. I artikel 15 fastsættes også, at Kommissionen kan tilrettelægge rådgivende missioner for at vurdere de foranstaltninger, der er iværksat af specifikke kritiske enheder af særlig europæisk betydning. På grundlag af en analyse af resultaterne af den rådgivende mission foretaget af gruppen for kritiske enheders modstandsdygtighed meddeler Kommissionen den medlemsstat, hvor enhedens infrastruktur er beliggende, sine synspunkter om, hvorvidt enheden opfylder sine forpligtelser, og, hvis det er relevant, hvilke foranstaltninger der kan træffes for at forbedre enhedens modstandsdygtighed. I artiklen beskrives sammensætningen, tilrettelæggelsen og finansieringen af de rådgivende missioner. Det fastsættes også, at Kommissionen skal vedtage en gennemførelsesretsakt med regler for de proceduremæssige ordninger for gennemførelse af og udarbejdelse af rapporter om rådgivende missioner.

Samarbejde og rapportering (artikel 16-17)

I artikel 16 beskrives den rolle og de opgaver, som gruppen for kritiske enheders modstandsdygtighed, der består af repræsentanter for medlemsstaterne og Kommissionen, skal varetage. Den støtter Kommissionen og letter det strategiske samarbejde og muligheden for information. Det forklares i artiklen, at Kommissionen vedtager gennemførelsesretsakter, hvori der fastlægges proceduremæssige ordninger, som er nødvendige for gruppen for kritiske enheders modstandsdygtigheds funktion. I henhold til artikel 17 skal Kommissionen, hvor det er relevant, bistå medlemsstater og kritiske enheder med at opfylde deres forpligtelser i henhold til direktivet og supplere medlemsstaternes aktiviteter som omhandlet i artikel 9.

Tilsyn og håndhævelse (artikel 18-19)

I henhold til artikel 18 har medlemsstaterne visse beføjelser, midler og ansvarsområder til at sikre gennemførelsen og håndhævelsen af direktivet. Medlemsstaterne sikrer, at en kompetent myndighed, når den vurderer en kritisk enheds overholdelse af reglerne, underretter de kompetente myndigheder i den berørte medlemsstat, der er udpeget i henhold til NIS 2-direktivet, og kan anmode disse myndigheder om at vurdere en sådan enheds cybersikkerhed og bør samarbejde og udveksle oplysninger med henblik herpå. I henhold til artikel 19 skal medlemsstaterne i overensstemmelse med mangeårig praksis fastsætte bestemmelser om sanktioner for overtrædelser og træffe alle nødvendige foranstaltninger for at sikre, at de iværksættes.

Afsluttende bestemmelser (artikel 20-26)

I henhold til artikel 20 bistås Kommissionen af et udvalg som omhandlet i forordning (EU) nr. 182/2011. Dette er en standardartikel. Artikel 21 tillægger Kommissionen beføjelse til at vedtage delegerede retsakter på de betingelser, der er fastsat i artiklen. Dette er også en standardartikel. I artikel 22 fastsættes det, at Kommissionen forelægger en rapport for Europa-Parlamentet og Rådet med en vurdering af, i hvilket omfang medlemsstaterne har truffet de foranstaltninger, der er nødvendige for at efterleve dette direktiv. Europa-Parlamentet og Rådet skal regelmæssigt forelægges en rapport med en vurdering af direktivets virkninger og merværdi, og af, hvorvidt direktivets anvendelsesområde bør udvides til andre sektorer eller delsektorer, herunder fødevareproduktions-, forarbejdnings- og distributionssektoren.

I artikel 23 fastsættes det, at Direktiv 2008/114/EU ophæves med virkning fra datoen for direktivets ikrafttræden. I henhold til artikel 24 skal medlemsstaterne inden for den fastsatte frist vedtage og offentliggøre de love og administrative bestemmelser, der er nødvendige for at efterkomme direktivet, og underrette Kommissionen herom. Teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv, meddeles Kommissionen. I artikel 25 fastsættes, at direktivet træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende. I artikel 26 bestemmes det, at direktivet er rettet til medlemsstaterne.



2020/0365 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om kritiske enheders modstandsdygtighed

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR ––

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 14 ,

under henvisning til udtalelse fra Regionsudvalget 15 ,

efter den almindelige lovgivningsprocedure 16 , og

ud fra følgende betragtninger:

(1)Rådets direktiv 2008/114/EF 17 indeholder bestemmelser om en procedure for udpegning af europæisk kritisk infrastruktur i energi- og transportsektoren, hvis afbrydelse eller ødelæggelse ville få betydelige grænseoverskridende konsekvenser for mindst to medlemsstater. Direktivet fokuserede udelukkende på beskyttelsen af sådanne infrastrukturer. Evalueringen af direktiv 2008/114/EF, der blev foretaget i 2019 18 , viste imidlertid, at på grund af den stadig mere indbyrdes forbundne og grænseoverskridende karakter af operationer, der anvender kritisk infrastruktur, er beskyttelsesforanstaltninger vedrørende individuelle aktiver i sig selv utilstrækkelige til at forhindre alle afbrydelser. Det er derfor nødvendigt at ændre tilgangen til sikring af kritiske enheders modstandsdygtighed, dvs. deres evne til at afbøde, absorbere, tilpasse sig til og komme på fode igen efter hændelser, der potentielt kan afbryde den kritiske enheds aktiviteter.

(2)På trods af eksisterende foranstaltninger på EU-plan 19 og nationalt plan, der har til formål at støtte beskyttelsen af kritisk infrastruktur i Unionen, er de enheder, der driver disse infrastrukturer, ikke tilstrækkeligt udstyret til at håndtere nuværende og forventede fremtidige risici for deres drift, som kan føre til afbrydelser i leveringen af tjenester, der er afgørende for udførelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter. Dette skyldes et dynamisk trusselsbillede med en voksende terrortrussel og voksende indbyrdes afhængighed mellem infrastrukturer og sektorer samt en øget fysisk risiko som følge af naturkatastrofer og klimaændringer, der øger hyppigheden og omfanget af ekstreme vejrforhold og medfører langsigtede ændringer i det gennemsnitlige klima, som kan reducere kapaciteten og effektiviteten af visse infrastrukturtyper, hvis der ikke er truffet foranstaltninger til at sikre modstandsdygtighed eller klimatilpasning. Desuden anerkendes relevante sektorer og typer af enheder ikke konsekvent som kritiske i alle medlemsstater.

(3)Denne voksende indbyrdes afhængighed er resultatet af et stadig mere grænseoverskridende og indbyrdes afhængigt net af tjenester, der anvender centrale infrastrukturer i hele Unionen inden for sektorerne energi, transport, bankvæsen, finansmarkedsinfrastruktur, digital infrastruktur, drikkevand og spildevand, sundhed, visse aspekter af den offentlige forvaltning samt rummet, for så vidt angår levering af visse tjenester afhængigt af jordbaserede infrastrukturer, der ejes, forvaltes og drives enten af medlemsstaterne eller af private parter, og som derfor ikke dækker infrastrukturer, der ejes, forvaltes eller drives af eller på vegne af Unionen som led i Unionens rumprogrammer. Disse indbyrdes afhængighedsforhold betyder, at enhver afbrydelse, selv en, der oprindeligt var begrænset til én enhed eller én sektor, kan have kaskadevirkninger mere generelt, hvilket potentielt kan føre til vidtrækkende og langvarige negative virkninger for leveringen af tjenester i hele det indre marked. Covid-19-pandemien har vist, at vores stadig mere indbyrdes afhængige samfund er sårbare over for risici med lav sandsynlighed.

(4)De enheder, der er involveret i leveringen af væsentlige tjenester, er i stigende grad underlagt forskellige krav i henhold til medlemsstaternes lovgivning. Det forhold, at nogle medlemsstater har mindre strenge sikkerhedskrav til disse enheder, risikerer ikke kun at have en negativ indvirkning på opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter i hele Unionen, men fører også til hindringer for et velfungerende indre marked. Enheder af samme type betragtes som kritiske i nogle medlemsstater, men ikke i andre, og de enheder, der er identificeret som kritiske, er underlagt forskellige krav i de forskellige medlemsstater. Dette medfører yderligere og unødvendige administrative byrder for virksomheder, der opererer på tværs af grænserne, navnlig for virksomheder, der er aktive i medlemsstater med strengere krav.

(5)Det er derfor nødvendigt at fastsætte harmoniserede minimumsregler for at sikre leveringen af væsentlige tjenester i det indre marked og styrke kritiske enheders modstandsdygtighed.

(6)For at nå dette mål bør medlemsstaterne identificere kritiske enheder, der bør være underlagt specifikke krav og tilsyn, men også yde særlig støtte og vejledning med henblik på at opnå en høj grad af modstandsdygtighed over for alle relevante risici.

(7)Visse økonomiske sektorer såsom energi og transport er allerede reguleret eller kan reguleres i fremtiden gennem sektorspecifikke EU-retsakter, der indeholder regler vedrørende visse aspekter af modstandsdygtigheden hos enheder, som opererer inden for disse sektorer. For at håndtere modstandsdygtigheden hos de enheder, der er afgørende for et velfungerende indre marked, på en omfattende måde bør disse sektorspecifikke foranstaltninger suppleres af de foranstaltninger, der er fastsat i dette direktiv, og som skaber en overordnet ramme, der tager højde for kritiske enheders modstandsdygtighed over for alle farer, dvs. naturlige og menneskeskabte, utilsigtede og forsætlige.

(8)I betragtning af cybersikkerhedens betydning for kritiske enheders modstandsdygtighed og af hensyn til konsekvensen er der behov for en sammenhængende tilgang mellem dette direktiv og Europa-Parlamentets og Rådets direktiv (EU) XX/YY 20 [forslag til direktiv om foranstaltninger, der skal sikre et højt fælles cybersikkerhedsniveau i hele Unionen (i det følgende benævnt "NIS 2-direktivet")], hvor det er muligt. I betragtning af cyberrisicienes øgede hyppighed og særlige karakteristika pålægger NIS 2-direktivet en lang række enheder omfattende krav for at sikre deres cybersikkerhed. Da cybersikkerhed behandles tilstrækkeligt i NIS 2-direktivet, bør de spørgsmål, der er omfattet af det, udelukkes fra dette direktivs anvendelsesområde, uden at dette berører den særlige ordning for enheder i sektoren for digital infrastruktur.

(9)Hvis bestemmelser i andre EU-retsakter kræver, at kritiske enheder vurderer relevante risici, træffer foranstaltninger for at sikre deres modstandsdygtighed eller anmelder hændelser, og disse krav som minimum svarer til de tilsvarende forpligtelser i dette direktiv, bør de relevante bestemmelser i dette direktiv ikke finde anvendelse for at undgå dobbeltarbejde og unødvendige byrder. I så fald bør de relevante bestemmelser i sådanne andre retsakter finde anvendelse. Hvis de relevante bestemmelser i dette direktiv ikke finder anvendelse, bør dets bestemmelser om tilsyn og håndhævelse heller ikke finde anvendelse. Medlemsstaterne bør ikke desto mindre medtage alle de sektorer, der er opført i bilaget, i deres strategi for styrkelse af kritiske enheders modstandsdygtighed, risikovurderingen og støtteforanstaltningerne i henhold til kapitel II og være i stand til at identificere kritiske enheder i de sektorer, hvor de gældende betingelser er opfyldt, under hensyntagen til den særlige ordning for enheder i banksektoren, den finansielle markedsinfrastruktur og den digitale infrastruktursektor.

(10)Med henblik på at sikre en samlet tilgang til kritiske enheders modstandsdygtighed bør hver medlemsstat have en strategi, der fastsætter de mål og politiske foranstaltninger, der skal gennemføres. For at opnå dette bør medlemsstaterne sikre, at deres cybersikkerhedsstrategier skaber en politisk ramme for øget koordinering mellem den kompetente myndighed i henhold til dette direktiv og NIS 2-direktivet i forbindelse med udveksling af oplysninger om hændelser og cybertrusler og udøvelse af tilsynsopgaver.

(11)Medlemsstaternes foranstaltninger til at identificere og bidrage til at sikre kritiske enheders modstandsdygtighed bør følge en risikobaseret tilgang, hvor indsatsen målrettes mod de enheder, der er mest relevante for udførelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter. For at sikre en sådan målrettet tilgang bør hver medlemsstat inden for en harmoniseret ramme foretage en vurdering af alle relevante naturlige og menneskeskabte risici, der kan påvirke leveringen af væsentlige tjenester, herunder ulykker, naturkatastrofer, folkesundhedskriser såsom pandemier og antagonistiske trusler, herunder terrorhandlinger. Når medlemsstaterne foretager disse risikovurderinger, bør de tage hensyn til andre generelle eller sektorspecifikke risikovurderinger, der er foretaget i henhold til andre EU-retsakter, og tage hensyn til afhængigheden mellem sektorer, herunder fra andre medlemsstater og tredjelande. Resultaterne af risikovurderingen bør anvendes i processen med at identificere kritiske enheder og hjælpe disse enheder med at opfylde kravene til modstandsdygtighed i dette direktiv.

(12)For at sikre, at alle relevante enheder er omfattet af disse krav, og for at mindske forskellene i denne henseende er det vigtigt at fastsætte harmoniserede regler, der muliggør en konsekvent identifikation af kritiske enheder i hele Unionen, samtidig med at medlemsstaterne får mulighed for at afspejle særlige nationale forhold. Der bør derfor fastsættes kriterier for identifikation af kritiske enheder. Af hensyn til effektivitet, virkningsfuldhed, konsekvens og retssikkerhed bør der også fastsættes passende regler for underretning og samarbejde vedrørende en sådan identifikation samt de retlige konsekvenser af den. For at gøre det muligt for Kommissionen at vurdere, om dette direktiv anvendes korrekt, bør medlemsstaterne på en måde, der er så detaljeret og specifik som muligt, forelægge Kommissionen relevante oplysninger og under alle omstændigheder en liste over væsentlige tjenester, antallet af kritiske enheder, som er identificeret for hver sektor og delsektor, der er omhandlet i bilaget, og de væsentlige tjenester, som hver enhed leverer, samt eventuelle anvendte tærskler.

(13)Der bør også fastsættes kriterier til bestemmelse af betydningen af en forstyrrende virkning som følge af sådanne hændelser. Disse kriterier bør være baseret på kriterierne i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 21 for at udnytte medlemsstaternes indsats for at identificere disse operatører og de erfaringer, der er gjort i den forbindelse.

(14)Enheder, der vedrører sektoren for digital infrastruktur, er i det væsentlige baseret på net- og informationssystemer og falder ind under anvendelsesområdet for NIS 2-direktivet, som omhandler den fysiske sikkerhed for sådanne systemer som en del af deres forpligtelser med hensyn til risikostyring og rapportering vedrørende cybersikkerhed. Da disse spørgsmål er omfattet af NIS 2-direktivet, finder forpligtelserne i dette direktiv ikke anvendelse på sådanne enheder. I betragtning af den betydning, som tjenester, der leveres af enheder i den digitale infrastruktursektor, har for leveringen af andre væsentlige tjenester, bør medlemsstaterne på grundlag af kriterierne og ved anvendelse af proceduren i dette direktiv med de fornødne ændringer identificere enheder vedrørende sektoren for digital infrastruktur, der kun bør behandles som svarende til kritiske enheder med henblik på kapitel II, herunder bestemmelsen om medlemsstaternes støtte til at styrke disse enheders modstandsdygtighed. Sådanne enheder bør derfor ikke være underlagt de forpligtelser, der er fastsat i kapitel III-VI. Eftersom de i kapitel II fastsatte forpligtelser for kritiske enheder til at give visse oplysninger til de kompetente myndigheder vedrører anvendelsen af kapitel III og IV, bør disse enheder heller ikke være omfattet af disse forpligtelser.

(15)I gældende EU-ret om finansielle tjenesteydelser fastsættes der omfattende krav til finansielle enheder om at håndtere alle risici, de står over for, herunder operationelle risici, og sikre forretningskontinuitet. Dette omfatter Europa-Parlamentets og Rådets forordning (EF) nr. 648/2012 22 , Europa-Parlamentets og Rådets forordning (EF) 2014/65/EU 23 og Europa-Parlamentets og Rådets forordning (EF) nr. 600/2014 24 samt Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 25 og Europa-Parlamentets og Rådets Direktiv 2013/36/EU 26 . Kommissionen har for nylig foreslået at supplere denne ramme med Europa-Parlamentets og Rådets forordning XX/YYYY [forslag til forordning om digital operationel modstandsdygtighed i den finansielle sektor (i det følgende benævnt "DORA-forordningen") 27 ], som fastsætter krav til finansielle virksomheder om at styre IKT-risici, herunder beskyttelse af fysiske IKT-infrastrukturer. Eftersom modstandsdygtigheden hos de enheder, der er opført i punkt 3 og 4 i bilaget, er fuldt ud omfattet af gældende EU-ret om finansielle tjenesteydelser, bør disse enheder også behandles som svarende til kritiske enheder med henblik på kapitel II i dette direktiv. For at sikre en konsekvent anvendelse af reglerne om operationel risiko og digital modstandsdygtighed i den finansielle sektor bør medlemsstaternes støtte til forbedring af den samlede modstandsdygtighed hos finansielle enheder svarende til kritiske enheder sikres af de myndigheder, der er udpeget i henhold til artikel 41 i [DORA-forordningen], og med forbehold af de procedurer, der er fastsat i denne lovgivning, på en fuldt ud harmoniseret måde.

(16)Medlemsstaterne bør udpege myndigheder, der har kompetence til at føre tilsyn med anvendelsen af og om nødvendigt håndhæve reglerne i dette direktiv, og sikre, at disse myndigheder har tilstrækkelige beføjelser og ressourcer. I betragtning af forskellene i de nationale forvaltningsstrukturer og for at beskytte allerede eksisterende sektorspecifikke ordninger eller tilsyns- og reguleringsorganer på EU-plan og for at undgå overlapning bør medlemsstaterne kunne udpege mere end én kompetent myndighed. I så fald bør de dog klart afgrænse de berørte myndigheders respektive opgaver og sikre, at de samarbejder gnidningsløst og effektivt. Alle kompetente myndigheder bør også samarbejde mere generelt med andre relevante myndigheder, både på nationalt plan og EU-plan.

(17)For at lette grænseoverskridende samarbejde og kommunikation og muliggøre en effektiv gennemførelse af dette direktiv bør hver medlemsstat, uden at dette berører sektorspecifikke EU-retlige krav, inden for en af de myndigheder, den har udpeget som kompetent myndighed i henhold til dette direktiv, udpege et centralt kontaktpunkt med ansvar for at koordinere spørgsmål vedrørende kritiske enheders modstandsdygtighed og grænseoverskridende samarbejde på EU-plan i denne henseende.

(18)Eftersom enheder, der er identificeret som kritiske enheder, og identificerede enheder i sektoren for digital infrastruktur, der skal behandles som ækvivalente i henhold til dette direktiv, er underlagt cybersikkerhedskravene i NIS 2-direktivet, bør de kompetente myndigheder, der er udpeget i henhold til de to direktiver, samarbejde, navnlig i forbindelse med cybersikkerhedsrisici og -hændelser, der påvirker disse enheder.

(19)Medlemsstaterne bør støtte kritiske enheder i at styrke deres modstandsdygtighed i overensstemmelse med deres forpligtelser i henhold til dette direktiv, uden at dette berører enhedernes eget retlige ansvar for at sikre en sådan overholdelse. Medlemsstaterne kan navnlig udvikle vejledningsmaterialer og -metoder, støtte tilrettelæggelsen af øvelser for at teste deres modstandsdygtighed og tilbyde uddannelse til personale i kritiske enheder. I betragtning af den indbyrdes afhængighed mellem enheder og sektorer bør medlemsstaterne desuden indføre redskaber til udveksling af oplysninger til støtte for frivillig udveksling af oplysninger mellem kritiske enheder, uden at dette berører anvendelsen af konkurrencereglerne i traktaten om Den Europæiske Unions funktionsmåde.

(20)For at kunne sikre deres modstandsdygtighed bør kritiske enheder have en omfattende forståelse af alle relevante risici, som de er eksponeret for, og analysere disse risici. Med henblik herpå bør de foretage risikovurderinger, når det er nødvendigt i lyset af deres særlige omstændigheder og udviklingen i disse risici, dog under alle omstændigheder hvert fjerde år. Kritiske enheders risikovurderinger bør baseres på den risikovurdering, som medlemsstaterne har foretaget.

(21)Kritiske enheder bør træffe organisatoriske og tekniske foranstaltninger, der er passende og står i et rimeligt forhold til de risici, de står over for, for at forebygge, modstå, afbøde, absorbere, tilpasse sig og komme på fode igen efter en hændelse. Selv om kritiske enheder bør træffe foranstaltninger på alle de punkter, der er anført i dette direktiv, bør detaljerne og omfanget af foranstaltningerne afspejle de forskellige risici, som hver enhed har identificeret som led i sin risikovurdering, og de særlige forhold, der gør sig gældende for en sådan enhed, på en hensigtsmæssig og forholdsmæssig måde.

(22)Af hensyn til effektiviteten og ansvarligheden bør kritiske enheder beskrive disse foranstaltninger med en detaljeringsgrad for i tilstrækkelig grad at nå disse mål, under hensyntagen til de identificerede risici, i en plan for modstandsdygtighed eller i et eller flere dokumenter, der svarer til en plan for modstandsdygtighed, og anvende denne plan i praksis. Et sådant tilsvarende dokument eller sådanne tilsvarende dokumenter kan udarbejdes i overensstemmelse med krav og standarder, der er udviklet i forbindelse med internationale aftaler om fysisk beskyttelse, som medlemsstaterne er parter i, herunder konventionen om fysisk beskyttelse af nukleare materialer og nukleare anlæg, alt efter hvad der er relevant.

(23)I Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 28 , Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 29 og Europa-Parlamentets og Rådets direktiv 2005/65/EF 30 fastsættes krav til enheder i luftfarts- og søtransportsektoren med henblik på at forebygge hændelser forårsaget af ulovlige handlinger og modstå og afbøde følgerne af sådanne hændelser. Selv om de foranstaltninger, der kræves i dette direktiv, er bredere med hensyn til de risici, der skal håndteres, og de typer af foranstaltninger, der skal træffes, bør kritiske enheder i disse sektorer i deres plan for modstandsdygtighed eller tilsvarende dokumenter afspejle de foranstaltninger, der er truffet i henhold til disse andre EU-retsakter. Desuden kan kritiske enheder, når de gennemfører modstandsdygtighedsforanstaltninger i henhold til dette direktiv, overveje at henvise til ikkebindende retningslinjer og dokumenter om god praksis, der er udarbejdet under sektorspecifikke arbejdsgange, såsom EU's sikkerhedsplatform for jernbanepassagerer 31 .

(24)Risikoen for, at ansatte i kritiske enheder misbruger f.eks. deres adgangsret inden for enhedens organisation til at skade og forvolde skade, giver anledning til stigende bekymring. Denne risiko forværres af det voksende fænomen med radikalisering, der fører til voldelig ekstremisme og terrorisme. Det er derfor nødvendigt at give kritiske enheder mulighed for at anmode om baggrundskontrol af personer, der tilhører specifikke kategorier af dens personale, og sikre, at disse anmodninger vurderes hurtigt af de relevante myndigheder i overensstemmelse med de gældende EU-regler og national ret, herunder om beskyttelse af personoplysninger.

(25)Kritiske enheder bør, så snart det med rimelighed er muligt under de givne omstændigheder, underrette medlemsstaternes kompetente myndigheder om hændelser, der i væsentlig grad forstyrrer eller har potentiale til i væsentlig grad at forstyrre deres aktiviteter. Underretningen bør gøre det muligt for de kompetente myndigheder at reagere hurtigt og hensigtsmæssigt på hændelser og danne sig et samlet overblik over de samlede risici, som kritiske enheder står over for. Med henblik herpå bør der fastlægges en procedure for anmeldelse af visse hændelser, og der bør fastsættes parametre for at fastslå, hvornår den faktiske eller potentielle forstyrrelse er væsentlig, og hændelserne derfor skal anmeldes. I betragtning af de potentielle grænseoverskridende virkninger af sådanne forstyrrelser bør der indføres en procedure for, at medlemsstaterne kan underrette andre berørte medlemsstater via centrale kontaktpunkter.

(26)Selv om kritiske enheder generelt opererer som en del af et stadig mere sammenkoblet net af tjenester og infrastrukturer og ofte leverer væsentlige tjenester i mere end én medlemsstat, er nogle af disse enheder af særlig betydning for Unionen, fordi de leverer væsentlige tjenester til et stort antal medlemsstater og derfor kræver specifikt tilsyn på EU-plan. Der bør derfor fastsættes regler for det specifikke tilsyn med sådanne kritiske enheder af særlig europæisk betydning. Disse regler berører ikke reglerne om tilsyn og håndhævelse i dette direktiv.

(27)Hvis en medlemsstat mener, at der er behov for yderligere oplysninger for at kunne rådgive en kritisk enhed om opfyldelse af dens forpligtelser i henhold til kapitel III eller vurdere, om en kritisk enhed af særlig europæisk betydning opfylder disse forpligtelser, bør Kommissionen efter aftale med den medlemsstat, hvor den pågældende enheds infrastruktur er beliggende, tilrettelægge en rådgivende mission for at vurdere de foranstaltninger, som den pågældende enhed har iværksat. For at sikre, at sådanne rådgivende missioner gennemføres korrekt, bør der fastsættes supplerende regler, navnlig for deres tilrettelæggelse og gennemførelse, den opfølgning, der skal foretages, og forpligtelserne for de berørte kritiske enheder af særlig europæisk betydning. De rådgivende missioner bør, uden at det berører behovet for, at den medlemsstat, hvor den rådgivende mission gennemføres, og den berørte enhed overholder reglerne i dette direktiv, gennemføres i henhold til de detaljerede regler i den pågældende medlemsstats lovgivning, f.eks. om de præcise betingelser, der skal opfyldes for at få adgang til relevante lokaler eller dokumenter, og om domstolsprøvelse. Der kan, hvor det er relevant, anmodes om specifik ekspertbistand til sådanne missioner via katastrofeberedskabskoordinationscentret.

(28)For at støtte Kommissionen og lette strategisk samarbejde og udveksling af oplysninger, herunder bedste praksis, om spørgsmål vedrørende dette direktiv bør der nedsættes en gruppe for kritiske enheders modstandsdygtighed, som er en ekspertgruppe under Kommissionen. Medlemsstaterne bør bestræbe sig på at sikre et effektivt samarbejde mellem de udpegede repræsentanter for deres kompetente myndigheder i gruppen for kritiske enheders modstandsdygtighed. Gruppen bør begynde at udføre sine opgaver seks måneder efter dette direktivs ikrafttræden for at tilvejebringe yderligere midler til passende samarbejde i løbet af gennemførelsesperioden for dette direktiv.

(29)For at nå målene i dette direktiv, og uden at dette berører medlemsstaternes og kritiske enheders retlige ansvar for at sikre, at de respektive forpligtelser, der er fastsat heri, overholdes, bør Kommissionen, når den finder det hensigtsmæssigt, gennemføre visse støtteaktiviteter med henblik på at lette overholdelsen af disse forpligtelser. Når Kommissionen yder støtte til medlemsstaterne og kritiske enheder i forbindelse med gennemførelsen af forpligtelserne i henhold til dette direktiv, bør den tage udgangspunkt i eksisterende strukturer og værktøjer såsom dem under EU-civilbeskyttelsesmekanismen og det europæiske netværk af referencecentre for beskyttelse af kritisk infrastruktur.

(30)Medlemsstaterne bør sikre, at deres kompetente myndigheder har visse specifikke beføjelser til at sikre en korrekt anvendelse og håndhævelse af dette direktiv i forbindelse med kritiske enheder, når disse enheder hører under deres jurisdiktion som fastsat i dette direktiv. Disse beføjelser bør navnlig omfatte beføjelse til at gennemføre inspektioner, tilsyn og revision, kræve, at kritiske enheder fremlægger oplysninger og dokumentation vedrørende de foranstaltninger, de har truffet for at opfylde deres forpligtelser, og om nødvendigt udstede påbud for at afhjælpe konstaterede overtrædelser. Når medlemsstaterne udsteder sådanne påbud, bør de ikke kræve foranstaltninger, der går ud over, hvad der er nødvendigt og rimeligt for at sikre, at den pågældende kritiske enhed overholder kravene, navnlig under hensyntagen til overtrædelsens alvor og den kritiske enheds økonomiske formåen. Mere generelt bør disse beføjelser ledsages af passende og effektive garantier, der fastsættes i national ret i overensstemmelse med kravene i Den Europæiske Unions charter om grundlæggende rettigheder. Ved vurderingen af, om en kritisk enhed overholder sine forpligtelser i henhold til dette direktiv, bør de kompetente myndigheder, der er udpeget i henhold til dette direktiv, kunne anmode de kompetente myndigheder, som er udpeget i henhold til NIS 2-direktivet, om at vurdere disse enheders cybersikkerhed. Disse kompetente myndigheder bør samarbejde og udveksle oplysninger med henblik herpå.

(31)For at tage hensyn til nye risici, teknologiske udviklinger eller særlige forhold i en eller flere af sektorerne bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om Den Europæiske Unions funktionsmåde for at supplere de modstandsdygtighedsforanstaltninger, som kritiske enheder skal træffe, ved yderligere at specificere nogle af eller alle disse foranstaltninger. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning 32 . For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelsen af delegerede retsakter.

(32)For at sikre ensartede betingelser for gennemførelsen af dette direktiv tillægges Kommissionen gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 33 .

(33)Målene for dette direktiv, nemlig at sikre levering på det indre marked af tjenester, der er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter, og at øge modstandsdygtigheden hos kritiske enheder, som leverer sådanne tjenester, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af foranstaltningens virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå disse mål.

(34)Direktiv 2008/114/EF bør derfor ophæves —

VEDTAGET DETTE DIREKTIV:

KAPITEL I
Genstand, anvendelsesområde og definitioner

Artikel 1
Genstand og anvendelsesområde

1.Ved nærværende direktiv

(a)fastsættes forpligtelser for medlemsstaterne til at træffe visse foranstaltninger med henblik på at sikre levering på det indre marked af tjenester, der er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter, navnlig med henblik på at identificere kritiske enheder og enheder, der skal behandles som ligestillede i visse henseender, og sætte dem i stand til at opfylde deres forpligtelser

(b)fastsættes forpligtelser for kritiske enheder med henblik på at øge deres modstandsdygtighed og forbedre deres evne til at levere disse tjenester på det indre marked

(c)fastsættes regler for tilsyn med og håndhævelse over for kritiske enheder samt specifikt tilsyn med kritiske enheder, der anses for at være af særlig europæisk betydning.

2.Dette direktiv finder ikke anvendelse på spørgsmål, der er omfattet af direktiv (EU) XX/YY [forslag til direktiv om foranstaltninger, der skal sikre et højt fælles cybersikkerhedsniveau i hele Unionen ("NIS 2-direktivet")], jf. dog artikel 7.

3.Hvis bestemmelser i sektorspecifikke EU-retsakter kræver, at kritiske enheder træffer foranstaltninger som fastsat i kapitel III, og hvis disse krav som minimum svarer til de forpligtelser, der er fastsat i dette direktiv, finder de relevante bestemmelser i dette direktiv, herunder bestemmelsen om tilsyn og håndhævelse i kapitel VI, ikke anvendelse.

4.Oplysninger, der er fortrolige i henhold til EU-regler og nationale regler, som f.eks. regler om forretningshemmeligheder, udveksles med forbehold af artikel 346 i TEUF kun med Kommissionen og andre relevante myndigheder, hvis en sådan udveksling er nødvendig for anvendelsen af dette direktiv. De udvekslede oplysninger begrænses til, hvad der er relevant og forholdsmæssigt under hensyn til formålet med udvekslingen. Udvekslingen af oplysninger sikrer de nævnte oplysningers fortrolighed og beskytter sikkerheden og de kommercielle interesser hos kritiske enheder.

Artikel 2
Definitioner

I dette direktiv forstås ved:

(1)"kritisk enhed": en offentlig eller privat enhed af den type, der er omhandlet i bilaget, og som er blevet identificeret som sådan af en medlemsstat i overensstemmelse med artikel 5

(2)"modstandsdygtighed": evnen til at forebygge, modstå, afbøde, absorbere, tilpasse sig til og komme på fode igen efter en hændelse, der afbryder eller har potentiale til at afbryde en kritisk enheds drift

(3)"hændelse": enhver begivenhed, der har potentiale til at afbryde eller afbryder den kritiske enheds drift

(4) "infrastruktur": et aktiv, et system eller en del heraf, som er nødvendigt for levering af en væsentlig tjeneste

(5) "væsentlig tjeneste": en tjeneste, der er væsentlig for opretholdelsen af vitale samfundsmæssige funktioner eller økonomiske aktiviteter

(6)"risiko": enhver omstændighed eller begivenhed, der har en potentiel negativ indvirkning på kritiske enheders modstandsdygtighed

(7)"risikovurdering": en metode til at bestemme arten og omfanget af en risiko ved at analysere potentielle trusler og farer samt evaluere eksisterende sårbarhedsforhold, der kan afbryde den kritiske enheds drift.

KAPITEL II
Nationale rammer for kritiske enheders modstandsdygtighed

Artikel 3
Strategi for kritiske enheders modstandsdygtighed

1.Hver medlemsstat vedtager senest den [tre år efter dette direktivs ikrafttræden] en strategi til styrkelse af kritiske enheders modstandsdygtighed. Denne strategi skal indeholde strategiske mål og politiske foranstaltninger med henblik på at opnå og opretholde en høj grad af modstandsdygtighed hos disse kritiske enheder og som minimum omfatte de sektorer, der er omhandlet i bilaget.

2.Strategien skal som minimum indeholde følgende elementer:

(a)strategiske mål og prioriteter med henblik på at styrke kritiske enheders overordnede modstandsdygtighed under hensyntagen til den indbyrdes afhængighed på tværs af grænser og sektorer

(b)en forvaltningsramme for at nå de strategiske mål og prioriteter, herunder en beskrivelse af roller og ansvarsområder for de forskellige myndigheder, kritiske enheder og andre parter, der er involveret i gennemførelsen af strategien

(c)en beskrivelse af de foranstaltninger, der er nødvendige for at øge kritiske enheders samlede modstandsdygtighed, herunder en national risikovurdering, identifikation af kritiske enheder og enheder svarende til kritiske enheder, og de foranstaltninger til støtte for kritiske enheder, der træffes i overensstemmelse med dette kapitel

(d)en politisk ramme for øget koordinering mellem de kompetente myndigheder i henhold til artikel 8 i dette direktiv og i henhold til [NIS 2-direktivet] med henblik på udveksling af oplysninger om hændelser og cybertrusler samt udøvelse af tilsynsopgaver.

Strategien ajourføres, når det er nødvendigt, og mindst hvert fjerde år.

3.Medlemsstaterne meddeler deres strategier og eventuelle ajourføringer af deres strategier til Kommissionen senest tre måneder efter vedtagelsen heraf.

Artikel 4
Medlemsstaternes risikovurdering

1.De kompetente myndigheder, der er udpeget i henhold til artikel 8, udarbejder en liste over væsentlige tjenester i de sektorer, der er omhandlet i bilaget. De foretager senest den [tre år efter dette direktivs ikrafttræden] og efterfølgende, når det er nødvendigt, og mindst hvert fjerde år en vurdering af alle relevante risici, der kan påvirke leveringen af disse væsentlige tjenester, med henblik på at identificere kritiske enheder i overensstemmelse med artikel 5, stk. 1, og på at bistå disse kritiske enheder med at træffe foranstaltninger i henhold til artikel 11.

Ved risikovurderingen tages der højde for alle relevante naturlige og menneskeskabte risici, herunder ulykker, naturkatastrofer, folkesundhedskriser, antagonistiske trusler, herunder terrorhandlinger i henhold til Europa-Parlamentets og Rådets direktiv (EU) 2017/541 34 .

2.Ved udførelsen af risikovurderingen tager medlemsstaterne som minimum hensyn til:

(a)den generelle risikovurdering, som udføres i henhold til artikel 6, stk. 1, i Europa-Parlamentets og Rådets af afgørelse nr. 1313/2013 35  

(b)andre relevante risikovurderinger, der udføres i overensstemmelse med kravene i de relevante sektorspecifikke EU-retsakter, herunder Europa-Parlamentets og Rådets forordning (EU) 2019/941 36 og Europa-Parlamentets og Rådets forordning (EU) 2017/1938 37

(c)eventuelle risici som følge af afhængigheden mellem de sektorer, der er omhandlet i bilaget, herunder fra andre medlemsstater og tredjelande, og den indvirkning, som en afbrydelse i en sektor kan have på andre sektorer

(d)eventuelle oplysninger om hændelser, der er anmeldt i overensstemmelse med artikel 13.

Med henblik på første afsnit, litra c), samarbejder medlemsstaterne med de kompetente myndigheder i andre medlemsstater og tredjelande, alt efter hvad der er relevant.

3.Medlemsstaterne stiller de relevante elementer af den i stk. 1 omhandlede risikovurdering til rådighed for de kritiske enheder, som de identificerede i overensstemmelse med artikel 5, med henblik på at bistå disse kritiske enheder med at udføre deres risikovurdering i henhold til artikel 10 og træffe foranstaltninger til at sikre deres modstandsdygtighed i henhold til artikel 11.

4.Hver medlemsstat forsyner Kommissionen med data om de identificerede risikotyper og resultaterne af risikovurderingerne pr. sektor og delsektor, jf. bilaget, senest den [tre år efter dette direktivs ikrafttræden] og derefter, når det er nødvendigt, og mindst hvert fjerde år.

5.Kommissionen kan i samarbejde med medlemsstaterne udvikle en frivillig fælles indberetningsmodel med henblik på at overholde stk. 4.

Artikel 5
Identifikation af kritiske enheder

1.Senest den [tre år og tre måneder efter dette direktivs ikrafttræden ] identificerer medlemsstaterne for hver sektor og delsektor, der er omhandlet i bilaget, bortset fra punkt 3, 4 og 8 heri, de kritiske enheder.

2.Når medlemsstaterne identificerer kritiske enheder i henhold til stk. 1, tager de hensyn til resultaterne af risikovurderingen, jf. artikel 4, og anvender følgende kriterier:

(a)enheden leverer en eller flere væsentlige tjenester

(b)(leveringen af den pågældende tjeneste afhænger af den infrastruktur, der er beliggende i medlemsstaten) og

(c)en hændelse vil have betydelige forstyrrende virkninger for leveringen af tjenesten eller andre væsentlige tjenester i de sektorer, der er omhandlet i bilaget, og som er afhængige af tjenesten.

3.Hver medlemsstat opstiller en liste over de identificerede kritiske enheder og sikrer, at disse kritiske enheder underrettes om deres identifikation som kritiske enheder inden for en måned efter denne identifikation, og underretter dem om deres forpligtelser, jf. kapitel II og III, og om den dato, fra hvilken bestemmelserne i disse kapitler finder anvendelse på dem.

For de berørte kritiske enheder finder bestemmelserne i dette kapitel anvendelse fra datoen for meddelelsen, og bestemmelserne i kapitel III finder anvendelse fra seks måneder efter denne dato.

4.Medlemsstaterne sikrer, at deres kompetente myndigheder, som er udpeget i henhold til artikel 8 i dette direktiv, underretter de kompetente myndigheder, som medlemsstaterne har udpeget i henhold til artikel 8 i [NIS 2-direktivet], om identiteten af de kritiske enheder, som de har identificeret i henhold til denne artikel, senest en måned efter denne identifikation.

5.Efter den i stk. 3 omhandlede underretning sikrer medlemsstaterne, at kritiske enheder giver de kompetente myndigheder, der er udpeget i henhold til artikel 8 i dette direktiv, oplysninger om, hvorvidt de er blevet identificeret som en kritisk enhed i en eller flere andre medlemsstater. Hvis en enhed er blevet identificeret som kritisk af to eller flere medlemsstater, indgår disse medlemsstater i samråd med hinanden med henblik på at mindske byrden for den kritiske enhed for så vidt angår forpligtelserne i henhold til kapitel III.

6.Med henblik på kapitel IV sikrer medlemsstaterne, at kritiske enheder efter den i stk. 3 omhandlede underretning giver de kompetente myndigheder, der er udpeget i henhold til artikel 8 i dette direktiv, oplysninger om, hvorvidt de leverer væsentlige tjenester til eller i mere end en tredjedel af medlemsstaterne. Hvis dette er tilfældet, underretter den pågældende medlemsstat uden unødig forsinkelse Kommissionen om identiteten af disse kritiske enheder.

7.Medlemsstaterne reviderer og ajourfører om nødvendigt og under alle omstændigheder mindst hvert fjerde år listen over identificerede kritiske enheder.

Hvis disse ajourføringer fører til identifikation af yderligere kritiske enheder, finder stk. 3, 4, 5 og 6 anvendelse. Medlemsstaterne sikrer desuden, at enheder, der ikke længere identificeres som kritiske enheder i henhold til en sådan ajourføring, får meddelelse herom og underrettes om, at de ikke længere er omfattet af forpligtelserne i henhold til kapitel III fra modtagelsen af disse oplysninger.

Artikel 6
Væsentlig forstyrrende virkning

1.Ved fastlæggelsen af betydningen af en forstyrrende virkning, jf. artikel 5, stk. 2, litra c), tager medlemsstaterne som minimum hensyn til følgende kriterier:

(a)antal brugere, der er afhængige af de tjenester, som udbydes af enheden

(b)andre sektorers, jf. bilaget, afhængighed af den pågældende tjeneste

(c)de konsekvenser, som hændelser kan have med hensyn til omfang og varighed på økonomiske og samfundsmæssige aktiviteter, miljøet og den offentlige sikkerhed

(d)virksomhedens markedsandel på markedet for sådanne tjenester

(e)det geografiske område, der kan blive berørt af en hændelse, herunder eventuelle grænseoverskridende virkninger

(f)enhedens betydning med henblik på at opretholde et tilstrækkeligt tjenesteniveau under hensyntagen til tilgængelige alternative måder til levering af denne tjeneste.

2.Medlemsstaterne sender senest den [tre år og tre måneder efter dette direktivs ikrafttræden] Kommissionen følgende oplysninger:

(a)den i artikel 4, stk. 1, nævnte liste over tjenester

(b)antallet af identificerede kritiske enheder for hver sektor og delsektor, der er omhandlet i bilaget, og den eller de tjenesteydelser, der er omhandlet i artikel 4, stk. 1, som hver enhed leverer

(c)eventuelle tærskler, der anvendes til at specificere et eller flere af kriterierne i stk. 1.

De forelægger efterfølgende disse oplysninger, når det er nødvendigt, og mindst hvert fjerde år.

3.Kommissionen kan efter høring af gruppen for kritiske enheders modstandsdygtighed vedtage retningslinjer for at lette anvendelsen af kriterierne i stk. 1 under hensyntagen til de i stk. 2 omhandlede oplysninger.

Artikel 7
Enheder svarende til kritiske enheder i henhold til dette kapitel

1. For så vidt angår de sektorer, der er omhandlet i punkt 3, 4 og 8 i bilaget, identificerer medlemsstaterne senest den [tre år og tre måneder efter dette direktivs ikrafttræden] de enheder, der skal behandles som svarende til kritiske enheder med henblik på dette kapitel. De anvender bestemmelserne i artikel 3, artikel 4, artikel 5, stk. 1-4 og stk. 7, og artikel 9 på disse enheder.

2. For så vidt angår enheder i de sektorer, der er omhandlet i punkt 3 og 4 i bilaget, som er identificeret i henhold til stk. 1, sikrer medlemsstaterne med henblik på anvendelsen af artikel 8, stk. 1, at de myndigheder, der er udpeget som kompetente myndigheder, er de kompetente myndigheder, som er udpeget i henhold til artikel 41 i [DORA-forordningen].

3. Medlemsstaterne sikrer, at de i stk. 1 omhandlede enheder uden unødig forsinkelse underrettes om deres identifikation som enheder som omhandlet i denne artikel.

Artikel 8
Kompetente myndigheder og centralt kontaktpunkt

1.Hver medlemsstat udpeger en eller flere kompetente myndigheder, der er ansvarlige for korrekt anvendelse og om nødvendigt håndhævelse af reglerne i dette direktiv på nationalt plan ("kompetent myndighed"). Medlemsstaterne kan udpege en eller flere eksisterende myndigheder.

Hvis de udpeger mere end én myndighed, skal de klart angive de berørte myndigheders respektive opgaver og sikre, at de samarbejder effektivt for at udføre deres opgaver i henhold til dette direktiv, herunder med hensyn til udpegelsen af det centrale kontaktpunkt og dets aktiviteter, jf. stk. 2.

2.Hver medlemsstat udpeger inden for rammerne af den kompetente myndighed et centralt kontaktpunkt til at varetage en forbindelsesfunktion for at sikre grænseoverskridende samarbejde med kompetente myndigheder i andre medlemsstater og med gruppen for kritiske enheders modstandsdygtighed, jf. artikel 16 ("centralt kontaktpunkt").

3.Senest den [tre år og seks måneder efter dette direktivs ikrafttræden] og derefter hvert år forelægger de centrale kontaktpunkter en sammenfattende rapport for Kommissionen og for gruppen for kritiske enheders modstandsdygtighed om de modtagne underretninger, herunder antallet af underretninger, arten af anmeldte hændelser og de foranstaltninger, der er truffet i overensstemmelse med artikel 13, stk. 3.

4.Hver medlemsstat sikrer, at den kompetente myndighed, herunder det centrale kontaktpunkt, der er udpeget inden for denne, har beføjelser og tilstrækkelige finansielle, menneskelige og tekniske ressourcer til på en virkningsfuld og effektiv måde at udføre de opgaver, den har fået pålagt.

5.Medlemsstaterne sikrer, at deres kompetente myndigheder, når det er hensigtsmæssigt og i overensstemmelse med EU-retten og national ret, hører og samarbejder med andre relevante nationale myndigheder, navnlig dem, der er ansvarlige for civilbeskyttelse, retshåndhævelse og beskyttelse af personoplysninger, samt med relevante interesserede parter, herunder kritiske enheder.

6.Medlemsstaterne sikrer, at deres kompetente myndigheder, der er udpeget i henhold til denne artikel, samarbejder med kompetente myndigheder, der er udpeget i henhold til [NIS 2-direktivet], om cybersikkerhedsrisici og cyberhændelser, som påvirker kritiske enheder, samt de foranstaltninger, der træffes af kompetente myndigheder, der er udpeget i henhold til [NIS 2-direktivet], og som er relevante for kritiske enheder.

7.Hver medlemsstat underretter Kommissionen om udpegelsen af den kompetente myndighed og det centrale kontaktpunkt senest tre måneder efter udpegelsen, herunder deres præcise opgaver og ansvarsområder i henhold til dette direktiv, deres kontaktoplysninger og eventuelle efterfølgende ændringer heraf. Hver medlemsstat offentliggør sin udpegelse af den kompetente myndighed og det centrale kontaktpunkt.

8.Kommissionen offentliggør listen over medlemsstaternes centrale kontaktpunkter.

Artikel 9
Medlemsstaternes støtte til kritiske enheder

1.Medlemsstaterne støtter kritiske enheder i deres bestræbelser på at øge deres modstandsdygtighed. Denne støtte kan omfatte udvikling af vejledningsmaterialer og -metoder, støtte til tilrettelæggelse af øvelser med henblik på at teste deres modstandsdygtighed og uddannelse af personale i kritiske enheder.

2.Medlemsstaterne sikrer, at de kompetente myndigheder samarbejder og udveksler oplysninger og god praksis med kritiske enheder i de sektorer, der er omhandlet i bilaget.

3.Medlemsstaterne indfører værktøjer til udveksling af oplysninger til støtte for frivillig udveksling af oplysninger mellem kritiske enheder i forbindelse med spørgsmål, der er omfattet af dette direktiv, i overensstemmelse med EU-retten og national ret om navnlig konkurrence og beskyttelse af personoplysninger.

Kapitel III
Kritiske enheders modstandsdygtighed

Artikel 10
Kritiske enheders risikovurdering

Medlemsstaterne sikrer, at kritiske enheder senest seks måneder efter modtagelsen af den i artikel 5, stk. 3, omhandlede underretning og efterfølgende, når det er nødvendigt, og mindst hvert fjerde år på grundlag af medlemsstaternes risikovurderinger og andre relevante informationskilder vurderer alle relevante risici, der kan forstyrre deres drift.

Risikovurderingen tager højde for alle relevante risici, der er omhandlet i artikel 4, stk. 1, og som kan føre til afbrydelse af leveringen af væsentlige tjenester. Den tager hensyn til andre sektorers eventuelle afhængighed af den væsentlige tjeneste, der leveres af den kritiske enhed, herunder i nabomedlemsstater og tredjelande, hvor det er relevant, og den indvirkning, som en afbrydelse af leveringen af væsentlige tjenester i en eller flere af disse sektorer kan have på den væsentlige tjeneste, der leveres af den kritiske enhed.

Artikel 11
Foranstaltninger til sikring af kritiske enheders modstandsdygtighed

1.Medlemsstaterne sikrer, at kritiske enheder træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed, herunder foranstaltninger, der er nødvendige for at:

(a)forebygge hændelser, herunder gennem foranstaltninger til nedbringelse af katastroferisici og klimatilpasning

(b)sikre tilstrækkelig fysisk beskyttelse af følsomme områder, faciliteter og anden infrastruktur, herunder hegn, barrierer, værktøjer og rutiner til overvågning af perimetre samt detektionsudstyr og adgangskontrol

(c)modstå og afbøde følgerne af hændelser, herunder gennemførelsen af risiko- og krisestyringsprocedurer samt protokoller og varslingsrutiner

(d)sikre genopretning efter hændelser, herunder foranstaltninger vedrørende forretningskontinuitet og identifikation af alternative forsyningskæder

(e)sikre passende sikkerhedsstyring for medarbejderne, herunder ved at fastsætte kategorier af personale, der udøver kritiske funktioner, fastlægge adgangsrettigheder til følsomme områder, faciliteter og anden infrastruktur og til følsomme oplysninger samt identificere specifikke personalekategorier med henblik på artikel 12

(f)øge bevidstheden blandt det relevante personale om de foranstaltninger, der er omhandlet i litra a)-e).

2.Medlemsstaterne sikrer, at kritiske enheder har indført og anvender en plan for modstandsdygtighed eller et eller flere tilsvarende dokumenter med en detaljeret beskrivelse af foranstaltningerne i henhold til stk. 1. Hvis kritiske enheder har truffet foranstaltninger i henhold til forpligtelser i andre EU-retsakter, som også er relevante for de foranstaltninger, der er omhandlet i stk. 1, beskriver de også disse foranstaltninger i planen for modstandsdygtighed eller et eller flere tilsvarende dokumenter.

3.Efter anmodning fra den medlemsstat, der identificerede den kritiske enhed, og med samtykke fra den berørte kritiske enhed tilrettelægger Kommissionen rådgivende missioner i overensstemmelse med de ordninger, som er fastsat i artikel 15, stk. 4, 5, 7 og 8, for at rådgive den pågældende kritiske enhed om opfyldelsen af dens forpligtelser i henhold til kapitel III. Den rådgivende mission aflægger rapport til Kommissionen, den pågældende medlemsstat og den berørte kritiske enhed om sine resultater.

4.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 21 med henblik på at supplere stk. 1 ved at fastsætte detaljerede regler, der præciserer nogle af eller alle de foranstaltninger, der skal træffes i henhold til nævnte stykke. Den vedtager disse delegerede retsakter i det omfang, det er nødvendigt for en effektiv og konsekvent anvendelse af nævnte stykke i overensstemmelse med målene for dette direktiv, under hensyntagen til enhver relevant udvikling inden for risici, teknologi eller levering af de pågældende tjenester samt til eventuelle særlige forhold vedrørende bestemte sektorer og typer af enheder.

5.Kommissionen vedtager gennemførelsesretsakter med henblik på at fastsætte de nødvendige tekniske og metodiske specifikationer vedrørende anvendelsen af de i stk. 1 omhandlede foranstaltninger. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 20, stk. 2.

Artikel 12
Baggrundskontrol

1.Medlemsstaterne sikrer, at kritiske enheder kan indgive anmodninger om baggrundskontrol af personer, der tilhører visse specifikke kategorier af deres personale, herunder personer, de overvejer at ansætte i stillinger inden for disse kategorier, og at disse anmodninger hurtigt vurderes af de myndigheder, der er kompetente til at foretage en sådan baggrundskontrol.

2.I overensstemmelse med gældende EU-ret og national ret, herunder Europa-Parlamentets og Rådets forordning (EU) 2016/679 38 skal en baggrundskontrol som omhandlet i stk. 1:

(a)fastslå en persons identitet på grundlag af dokumentation

(b)omfatte alle strafferegistre i mindst de foregående fem år og i højst ti år om lovovertrædelser, der er relevante for ansættelse i en bestemt stilling, i den eller de medlemsstater, hvor den pågældende person er statsborger, og i en af de medlemsstater eller tredjelande, hvor vedkommende har bopæl i den pågældende periode

(c)omfatte tidligere beskæftigelse, uddannelse og eventuelle huller i uddannelse eller beskæftigelse i den pågældendes CV i mindst de foregående fem år og i højst ti år.

For så vidt angår første afsnit, litra b), sikrer medlemsstaterne, at deres myndigheder, der har kompetence til at foretage baggrundskontrol, indhenter oplysninger om strafferegistre fra andre medlemsstater gennem ECRIS i overensstemmelse med procedurerne i Rådets rammeafgørelse 2009/315/RIA og, hvor det er relevant, Europa-Parlamentets og Rådets forordning (EU) 2019/816 39 . De centrale myndigheder, jf. artikel 3 i nævnte rammeafgørelse og artikel 3, stk. 5, i nævnte forordning, besvarer anmodninger om sådanne oplysninger senest 10 arbejdsdage efter modtagelsen af anmodningen.

3.I overensstemmelse med gældende EU-ret og national ret, herunder forordning (EU) 2016/679, sikrer hver medlemsstat, at en baggrundskontrol som omhandlet i stk. 1 også kan udvides på grundlag af en behørigt begrundet anmodning fra den kritiske enhed for at trække på efterretninger og alle andre tilgængelige objektive oplysninger, som måtte være nødvendige for at fastslå, om den pågældende person er egnet til at beklæde den stilling, for hvilken den kritiske enhed har anmodet om en udvidet baggrundskontrol.

Artikel 13
Underretning om hændelser

1.Medlemsstaterne sikrer, at kritiske enheder uden unødig forsinkelse underretter den kompetente myndighed om hændelser, der i væsentlig grad forstyrrer eller har potentiale til i væsentlig grad at forstyrre deres drift. Underretninger skal indeholde alle tilgængelige oplysninger, der er nødvendige for, at den kompetente myndighed kan forstå hændelsens art, årsag og mulige konsekvenser, herunder med henblik på at fastslå hændelsens eventuelle grænseoverskridende virkninger. Underretningen medfører ikke et øget ansvar for den kritiske enhed.

2.Med henblik på at fastlægge omfanget af en hændelses konsekvenser tages navnlig følgende kriterier i betragtning:

(a)antallet af brugere, der berøres af forstyrrelsen eller den potentielle forstyrrelse af den væsentlige tjeneste

(b)varigheden af forstyrrelsen eller den forventede varighed af en potentiel forstyrrelse

(c)det geografiske område, der er berørt af forstyrrelsen eller den potentielle forstyrrelse.

3.På grundlag af oplysningerne i underretningen fra den kritiske enhed underretter den kompetente myndighed via sit centrale kontaktpunkt det centrale kontaktpunkt i andre berørte medlemsstater, hvis hændelsen har eller kan have en væsentlig indvirkning på kritiske enheder og kontinuiteten i leveringen af væsentlige tjenester i en eller flere andre medlemsstater.

I den forbindelse behandler de centrale kontaktpunkter i overensstemmelse med EU-retten eller national lovgivning, der er i overensstemmelse med EU-retten, oplysningerne på en måde, der respekterer oplysningernes fortrolighed og beskytter den pågældende kritiske enheds sikkerhed og kommercielle interesser.  

4.Så snart den kompetente myndighed er blevet underrettet i overensstemmelse med stk. 1, giver den den kritiske enhed, der har underrettet den, relevante oplysninger om opfølgningen af underretningen, herunder oplysninger, som kan understøtte den kritiske enheds effektive reaktion på hændelsen.

Kapitel IV
Specifikt tilsyn med kritiske enheder af særlig europæisk betydning

Artikel 14
Kritiske enheder af særlig europæisk betydning

1.Kritiske enheder af særlig europæisk betydning er underlagt specifikt tilsyn i overensstemmelse med dette kapitel.

2.En enhed betragtes som en kritisk enhed af særlig europæisk betydning, når den er blevet identificeret som en kritisk enhed og leverer væsentlige tjenester til eller i mere end en tredjedel af medlemsstaterne og som sådan er blevet anmeldt til Kommissionen i henhold til henholdsvis artikel 5, stk. 1 og 6.

3.Kommissionen underretter hurtigst muligt efter modtagelsen af underretningen i henhold til artikel 5, stk. 6, den berørte enhed om, at den anses for at være en kritisk enhed af særlig europæisk betydning, og underretter enheden om dens forpligtelser i henhold til dette kapitel og om, fra hvilken dato disse forpligtelser finder anvendelse på enheden.

Bestemmelserne i dette kapitel finder anvendelse på den kritiske enhed af særlig europæisk betydning fra datoen for modtagelsen af denne meddelelse.

Artikel 15
Specifikt tilsyn

1.Efter anmodning fra en eller flere medlemsstater eller fra Kommissionen underretter den medlemsstat, hvor infrastrukturen i den kritiske enhed af særlig europæisk betydning befinder sig, sammen med den pågældende enhed Kommissionen og gruppen for kritiske enheders modstandsdygtighed om resultatet af den risikovurdering, der er foretaget i henhold til artikel 10, og de foranstaltninger, der er truffet i henhold til artikel 11.

Den pågældende medlemsstat underretter også uden unødig forsinkelse Kommissionen og gruppen for kritiske enheders modstandsdygtighed om eventuelle tilsyns- eller håndhævelsesforanstaltninger, herunder vurderinger af overholdelse eller udstedte påbud, som dens kompetente myndighed har truffet i henhold til artikel 18 og 19 over for den pågældende enhed.

2.Efter anmodning fra en eller flere medlemsstater eller på eget initiativ og efter aftale med den medlemsstat, hvor infrastrukturen i den kritiske enhed af særlig europæisk betydning befinder sig, tilrettelægger Kommissionen en rådgivende mission for at vurdere, hvilke foranstaltninger den pågældende enhed har truffet for at opfylde sine forpligtelser i henhold til kapitel III. Om nødvendigt kan de rådgivende missioner anmode om særlig ekspertise inden for katastroferisikostyring gennem katastrofeberedskabskoordinationscentret.

3.Den rådgivende mission rapporterer sine resultater til Kommissionen, gruppen for kritiske enheders modstandsdygtighed og den kritiske enhed af særlig europæisk betydning senest tre måneder efter afslutningen af den rådgivende mission.

Gruppen for kritiske enheders modstandsdygtighed analyserer rapporten og rådgiver om nødvendigt Kommissionen om, hvorvidt den kritiske enhed af særlig europæisk betydning opfylder sine forpligtelser i henhold til kapitel III, og, hvis det er relevant, hvilke foranstaltninger der kan træffes for at forbedre enhedens modstandsdygtighed.

Kommissionen underretter på grundlag af denne rådgivning den medlemsstat, hvor enhedens infrastruktur er beliggende, gruppen for kritiske enheders modstandsdygtighed og enheden om sin holdning til, hvorvidt enheden opfylder sine forpligtelser i henhold til kapitel III, og, hvis det er relevant, hvilke foranstaltninger der kan træffes for at forbedre enhedens modstandsdygtighed.

Den pågældende medlemsstat tager behørigt hensyn til disse synspunkter og forelægger Kommissionen og gruppen for kritiske enheders modstandsdygtighed oplysninger om de foranstaltninger, den har truffet i henhold til meddelelsen.

4.Hver rådgivende mission består af eksperter fra medlemsstaterne og repræsentanter for Kommissionen. Medlemsstaterne kan foreslå kandidater til at deltage i en rådgivende mission. Kommissionen udvælger og udnævner medlemmerne af hver rådgivende mission i overensstemmelse med deres faglige kapacitet og sikrer en geografisk afbalanceret repræsentation blandt medlemsstaterne. Kommissionen afholder omkostningerne i forbindelse med deltagelsen i den rådgivende mission.

Kommissionen tilrettelægger programmet for en rådgivende mission i samråd med medlemmerne af den specifikke rådgivende mission og efter aftale med den medlemsstat, hvor infrastrukturen i den kritiske enhed eller den kritiske enhed af europæisk betydning befinder sig.

5.Kommissionen vedtager en gennemførelsesretsakt, der fastsætter regler om de proceduremæssige ordninger for gennemførelse af og rapporter om rådgivende missioner. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 20, stk. 2.

6.Medlemsstaterne sikrer, at den kritiske enhed af særlig europæisk betydning giver den rådgivende mission adgang til alle de oplysninger, systemer og faciliteter, der vedrører leveringen af dens væsentlige tjenester, og som er nødvendige for udførelsen af dens opgaver.

7.Den rådgivende mission gennemføres i overensstemmelse med gældende national ret i den medlemsstat, hvor infrastrukturen er beliggende.

8.Ved tilrettelæggelsen af de rådgivende missioner tager Kommissionen hensyn til rapporterne om eventuelle inspektioner udført af Kommissionen i henhold til forordning (EF) nr. 300/2008 og forordning (EF) nr. 725/2004 og til rapporterne om enhver overvågning, som Kommissionen har foretaget i henhold til direktiv 2005/65/EF vedrørende den kritiske enhed eller den kritiske enhed af særlig europæisk betydning, alt efter hvad der er relevant.

Kapitel V
Samarbejde og rapportering

Artikel 16
Gruppen for kritiske enheders modstandsdygtighed

1.Der oprettes en gruppe for kritiske enheders modstandsdygtighed med virkning fra den [seks måneder efter dette direktivs ikrafttræden]. Den støtter Kommissionen og letter det strategiske samarbejde og udvekslingen af oplysninger om spørgsmål vedrørende dette direktiv.

2.Gruppen for kritiske enheders modstandsdygtighed består af repræsentanter for medlemsstaterne og Kommissionen. Hvis det er relevant for udførelsen af dens opgaver, kan gruppen for kritiske enheders modstandsdygtighed indbyde repræsentanter for interesserede parter til at deltage i dens arbejde.

Kommissionens repræsentant er formand for gruppen for kritiske enheders modstandsdygtighed.

3.Gruppen for kritiske enheders modstandsdygtighed har følgende opgaver:

(a)at bistå Kommissionen med at hjælpe medlemsstaterne med at styrke deres kapacitet til at bidrage til at sikre kritiske enheders modstandsdygtighed i overensstemmelse med dette direktiv

(b)at evaluere strategierne for modstandsdygtigheden i de i artikel 3 omhandlede kritiske enheder og identificere bedste praksis med hensyn til disse strategier

(c)at lette udvekslingen af bedste praksis med hensyn til medlemsstaternes identifikation af kritiske enheder i overensstemmelse med artikel 5, herunder i forbindelse med grænseoverskridende afhængighed og med hensyn til risici og hændelser

(d)efter anmodning at bidrage til udarbejdelsen af de i artikel 6, stk. 3, omhandlede retningslinjer og eventuelle delegerede retsakter og gennemførelsesretsakter i henhold til dette direktiv

(e)årligt at gennemgå de i artikel 8, stk. 3, omhandlede sammenfattende rapporter

(f)at udveksle bedste praksis om udveksling af oplysninger vedrørende anmeldelse af hændelser, jf. artikel 13

(g)at analysere og rådgive om rapporter fra rådgivende missioner i overensstemmelse med artikel 15, stk. 3

(h)at udveksle oplysninger og bedste praksis om forskning og udvikling i forbindelse med kritiske enheders modstandsdygtighed i henhold til dette direktiv

(i)hvis det er relevant, at udveksle oplysninger om forhold vedrørende kritiske enheders modstandsdygtighed med Unionens relevante institutioner, organer, kontorer og agenturer.

4.Senest den [24 måneder efter dette direktivs ikrafttræden] og derefter hvert andet år udarbejder gruppen for kritiske enheders modstandsdygtighed et arbejdsprogram vedrørende tiltag, der skal iværksættes for at gennemføre dens mål og opgaver, og som skal være i overensstemmelse med målene i dette direktiv.

5.Gruppen for kritiske enheders modstandsdygtighed mødes regelmæssigt og mindst en gang om året med samarbejdsgruppen, der er nedsat i henhold til [NIS 2-direktivet] for at fremme strategisk samarbejde og udveksling af oplysninger.  

6.Kommissionen vedtager gennemførelsesretsakter, hvori der fastlægges proceduremæssige ordninger, som er nødvendige for gruppen for kritiske enheders modstandsdygtigheds funktion. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 20, stk. 2.

7.Kommissionen forelægger gruppen for kritiske enheders modstandsdygtighed en sammenfattende rapport om de oplysninger, som medlemsstaterne har indgivet i henhold til artikel 3, stk. 3, og artikel 4, stk. 4, senest den [tre år og seks måneder efter dette direktivs ikrafttræden] og derefter, når det er nødvendigt, og mindst hvert fjerde år.

Artikel 17
Kommissionens støtte til kompetente myndigheder og kritiske enheder

1.Kommissionen støtter, hvor det er relevant, medlemsstaterne og kritiske enheder i opfyldelsen af deres forpligtelser i henhold til dette direktiv, navnlig ved at udarbejde en oversigt på EU-plan over grænseoverskridende og tværsektorielle risici i forbindelse med leveringen af væsentlige tjenester, tilrettelægge de i artikel 11, stk. 3, og artikel 15, stk. 3, omhandlede rådgivende missioner og lette udvekslingen af oplysninger mellem eksperter i hele Unionen.

2.Kommissionen supplerer medlemsstaternes aktiviteter som omhandlet i artikel 9 ved at udvikle bedste praksis og metoder og ved at udvikle grænseoverskridende uddannelsesaktiviteter og øvelser for at afprøve kritiske enheders modstandsdygtighed.

Kapitel VI
TILSYN OG HÅNDHÆVELSE

Artikel 18
Gennemførelse og håndhævelse

1.Med henblik på at vurdere, om de enheder, som medlemsstaterne har udpeget som kritiske enheder i henhold til artikel 5, overholder forpligtelserne i henhold til dette direktiv, sikrer de, at de kompetente myndigheder har beføjelser og midler til at:

(a)foretage inspektioner på stedet af de lokaler, som den kritiske enhed anvender til at levere sine væsentlige tjenester, og eksternt tilsyn med kritiske enheders foranstaltninger i henhold til artikel 11

(b)gennemføre eller kræve revision af disse enheder.

2.Medlemsstaterne sikrer, at de kompetente myndigheder har beføjelser og midler til, hvor det er nødvendigt for udførelsen af deres opgaver i henhold til dette direktiv, at kræve, at de enheder, som de har udpeget som kritiske enheder i henhold til stk. 5, inden for en rimelig tidsfrist, der fastsættes af disse myndigheder, fremlægger:

(a)de oplysninger, der er nødvendige for at vurdere, om de foranstaltninger, der træffes af dem for at sikre deres modstandsdygtighed, opfylder kravene i artikel 11

(b)dokumentation for den faktiske gennemførelse af disse foranstaltninger, herunder resultaterne af en revision udført af en uafhængig og kvalificeret uafhængig revisor udvalgt af denne enhed og udført for dennes regning.

Når der anmodes om disse oplysninger, angiver de kompetente myndigheder formålet med kravet og anfører, hvilke oplysninger der kræves.

3.Uden at det berører muligheden for at pålægge sanktioner i overensstemmelse med artikel 19, kan de kompetente myndigheder efter de i stk. 1 omhandlede tilsynsforanstaltninger eller vurderingen af de i stk. 2 omhandlede oplysninger pålægge de berørte kritiske enheder at træffe de nødvendige og forholdsmæssige foranstaltninger for at afhjælpe enhver konstateret overtrædelse af dette direktiv inden for en rimelig frist, der fastsættes af disse myndigheder, og give disse myndigheder oplysninger om de trufne foranstaltninger. Disse påbud skal navnlig tage hensyn til overtrædelsens grovhed.

4.Medlemsstaterne sikrer, at de i stk. 1, 2 og 3 omhandlede beføjelser kun kan udøves med forbehold af de fornødne garantier. Disse garantier skal navnlig sikre, at en sådan udøvelse finder sted på en objektiv, gennemsigtig og forholdsmæssig måde, og at de berørte kritiske enheders rettigheder og legitime interesser beskyttes behørigt, herunder deres ret til at blive hørt, til et forsvar og til effektive retsmidler ved en uafhængig domstol.

5.Medlemsstaterne sikrer, at en kompetent myndighed, når den vurderer en kritisk enheds regeloverholdelse i henhold til denne artikel, underretter de kompetente myndigheder i den berørte medlemsstat, der er udpeget i henhold til [NIS 2-direktivet], og kan anmode disse myndigheder om at vurdere en sådan enheds cybersikkerhed samt samarbejde og udveksle oplysninger med henblik herpå.

Artikel 19
Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale regler, som er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre, at de gennemføres. Sanktionerne skal være effektive, forholdsmæssige og have afskrækkende virkning. Medlemsstaterne giver senest den [to år efter dette direktiv ikrafttræden] Kommissionen meddelelse om disse bestemmelser og meddeler omgående senere ændringer af betydning for bestemmelserne.

Kapitel VII
AFSLUTTENDE BESTEMMELSER

Artikel 20
Udvalgsprocedure

1.Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

Artikel 21
Udøvelse af de delegerede beføjelser

1.Kommissionen tillægges beføjelse til at vedtage delegerede retsakter på de i denne artikel anførte betingelser.

2.Beføjelsen til at vedtage delegerede retsakter, jf. artikel 11, stk. 4, tillægges Kommissionen for en periode på fem år fra datoen for dette direktivs ikrafttræden eller enhver anden dato fastsat af medlovgiverne.

3.Den i artikel 11, stk. 4, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af de delegerede retsakter, der allerede er i kraft.

4.Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5.Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.

6.En delegeret retsakt vedtaget i henhold til artikel 11, stk. 4, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.

Artikel 22
Rapporter og revision

Kommissionen forelægger senest den [54 måneder år efter dette direktivs ikrafttræden] Europa-Parlamentet og Rådet en rapport, hvori det vurderes, hvorvidt medlemsstaterne har truffet de nødvendige foranstaltninger med henblik på at efterleve dette direktiv.

Kommissionen tager regelmæssigt dette direktivs funktion op til revision og forelægger en rapport for Europa-Parlamentet og Rådet. Rapporten vurderer navnlig dette direktivs virkning og merværdi med hensyn til at sikre kritiske enheders modstandsdygtighed, og hvorvidt direktivets anvendelsesområde bør udvides til at omfatte andre sektorer eller delsektorer. Den første rapport forelægges senest den [seks år efter dette direktivs ikrafttræden] og vurderer navnlig, om direktivets anvendelsesområde bør udvides til at omfatte sektoren for produktion, forarbejdning og distribution af fødevarer.

Artikel 23
Ophævelse af direktiv 2008/114/EF

Direktiv 2008/114/EU ophæves med virkning fra den [datoen for dette direktivs ikrafttræden].

Artikel 24
Gennemførelse

1.Medlemsstaterne vedtager og offentliggør senest den [18 måneder efter dette direktivs ikrafttræden] de love og administrative bestemmelser, der er nødvendige for at efterkomme dette direktiv. De meddeler straks Kommissionen disse love og bestemmelser.

De anvender disse love og bestemmelser fra den [to år efter direktivets ikrafttræden + en dag].

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

2.Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 25
Ikrafttræden

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 26
Adressater

Dette direktiv er rettet til medlemsstaterne.

Udfærdiget i Bruxelles, den […].

På Europa-Parlamentets vegne    På Rådets vegne

Formand    Formand

FINANSIERINGSOVERSIGT

1.FORSLAGETS/INITIATIVETS RAMME 

1.1.Forslagets/initiativets betegnelse

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om kritiske enheders modstandsdygtighed

1.2.Berørt(e) politikområde(r) 

Sikkerhed

1.3.Forslaget/initiativet vedrører: 

 en ny foranstaltning 

 en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende foranstaltning 40  

 en forlængelse af en eksisterende foranstaltning 

 en sammenlægning eller omlægning af en eller flere foranstaltninger til en ny/anden foranstaltning 

1.4.Mål

1.4.1.Generelle mål

Operatører af kritisk infrastruktur leverer tjenester inden for en række sektorer (f.eks. transport, energi, sundhed, vand osv.), som er nødvendige for vitale samfundsmæssige funktioner og økonomiske aktiviteter. Operatørerne skal derfor være modstandsdygtige, dvs. velbeskyttede, men også hurtigt kunne genoptage driften i tilfælde af afbrydelser.

Det overordnede formål med forslaget er at øge disse operatørers (her benævnt "kritiske enheder") modstandsdygtighed over for en række naturlige og menneskeskabte, forsætlige eller utilsigtede risici.

1.4.2.Specifikke mål

Sigtet med initiativet er at nå fire specifikke mål:

— at sikre en højere grad af forståelse af de risici og den indbyrdes afhængighed, som kritiske enheder står over for, samt midlerne til at håndtere dem

— at sikre, at alle relevante enheder udpeges som "kritiske enheder" af medlemsstaternes myndigheder

— at sikre, at hele spektret af aktiviteter til sikring af modstandsdygtighed indgår i offentlige politikker og operationel praksis

— at styrke kapaciteten og forbedre samarbejdet og kommunikationen mellem interessenterne.

Disse mål vil bidrage til at nå det overordnede mål med initiativet.

1.4.3.Forventede resultater og virkninger

Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgruppen.

Initiativet forventes at have en positiv indvirkning på sikkerheden i kritiske enheder, som vil være mere modstandsdygtige over for risici og afbrydelser. De vil være i stand til bedre at afbøde risici, håndtere potentielle afbrydelser og minimere negative virkninger i tilfælde af hændelser.

Større modstandsdygtighed hos kritiske enheder betyder også, at deres aktiviteter vil blive mere pålidelige, og at deres tjenester på tværs af mange vitale sektorer vil blive leveret på en kontinuerlig måde, hvilket vil bidrage til et velfungerende indre marked. Dette vil igen have en positiv indvirkning på den brede offentlighed og virksomhederne, da de er afhængige af disse tjenester i deres daglige aktiviteter.

De offentlige myndigheder vil også drage fordel af den stabilitet, der opnås ved, at vigtige økonomiske aktiviteter fungerer gnidningsløst, og at der konstant leveres væsentlige tjenester til deres borgere.

1.4.4.Resultatindikatorer

Angiv indikatorerne til overvågning af fremskridt og resultater.

Indikatorer for overvågning af fremskridt og resultater vil blive kædet sammen med de specifikke mål for det oprindelige forslag:

— antallet og omfanget af myndighedernes og kritiske enheders risikovurderinger vil være en indikator for de vigtigste aktørers større forståelse af risici

— antallet af "kritiske enheder", som medlemsstaterne udpeger, vil afspejle omfanget af dækningen af politikker for kritisk infrastruktur

— integrering af modstandsdygtighed i offentlige politikker og operationel praksis vil blive afspejlet i de nationale strategier og de kritiske enheders foranstaltninger til sikring af modstandsdygtighed

— forbedringer med hensyn til kapacitet og samarbejde vil blive vurderet på grundlag af kapacitetsopbyggende aktiviteter og iværksatte samarbejdsinitiativer.

1.5.Forslagets/initiativets begrundelse 

1.5.1.Krav, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for gennemførelse af initiativet

For at opfylde kravene i forbindelse med initiativet skal medlemsstaterne på kort til mellemlang sigt udvikle en strategi for kritiske enheders modstandsdygtighed, foretage nationale risikovurderinger og identificere, hvilke operatører der er "kritiske enheder" på grundlag af resultaterne af risikovurderingen og specifikke kriterier. Disse aktiviteter vil blive gennemført regelmæssigt efter behov og mindst en gang hvert fjerde år. Medlemsstaterne vil også skulle etablere mekanismer for samarbejde mellem relevante interessenter.

De operatører, der udpeges som "kritiske enheder", skal på kort til mellemlang sigt selv foretage en risikovurdering, træffe passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at sikre deres modstandsdygtighed og underrette de kompetente myndigheder om hændelser.

1.5.2.Merværdi ved en indsats fra EU's side (f.eks. koordineringsfordele, retssikkerhed, større effektivitet eller komplementaritet). Ved "merværdien ved en indsats fra EU's side" forstås her merværdien af EU's intervention i forhold til den værdi, som medlemsstaterne ville have skabt enkeltvis.

Begrundelse for en indsats på EU-plan (forudgående):

Formålet med dette initiativ er at øge kritiske enheders modstandsdygtighed over for en række risici. Dette mål kan ikke i tilstrækkelig grad nås af medlemsstaterne hver for sig: EU's indsats er berettiget på grund af den fælles karakter af de risici, som kritiske enheder står over for, den tværnationale karakter af de tjenesteydelser, de leverer, og den indbyrdes afhængighed og forbindelser mellem dem (på tværs af sektorer og grænser). Det betyder, at en sårbarhed eller en afbrydelse af en enkelt facilitet potentielt kan skabe forstyrrelser på tværs af sektorer og grænser.

Forventet merværdi på EU-plan (efterfølgende):

Sammenlignet med den nuværende situation vil det foreslåede initiativ tilføre merværdi ved navnlig at:

— etablere en generel ramme, der kan fremme en bedre tilpasning af medlemsstaternes politikker (konsekvent sektorspecifikt anvendelsesområde, kriterier for udpegning af kritiske enheder, fælles krav til risikovurderinger)

— sikre, at kritiske enheder træffer passende foranstaltninger med henblik på modstandsdygtighed

— samle viden og ekspertise fra hele EU med henblik på at optimere kritiske enheders og myndigheders reaktion

mindske forskellene mellem medlemsstaterne og øge modstandsdygtigheden hos kritiske enheder i hele EU.

1.5.3.Erfaringer fra lignende foranstaltninger

Forslaget bygger på erfaringerne fra gennemførelsen af direktivet om europæisk kritisk infrastruktur (direktiv 2008/114/EF) og evalueringen heraf (SWD(2019) 308).

1.5.4.Sammenhæng med den flerårige finansielle ramme og eventuelle synergivirkninger med andre relevante instrumenter

Dette forslag er en af byggestenene i den nye EU-strategi for sikkerhedsunionen, der har til formål at opnå et fremtidssikret sikkerhedsmiljø.

Der kan udvikles synergier med EU-civilbeskyttelsesmekanismen i forbindelse med katastrofeforebyggelse, -afhjælpning og -styring.

1.6.Forslagets/initiativets varighed og finansielle virkninger

 begrænset varighed

   gældende fra [DD/MM]YYYY til [DD/MM]YYYY

   Finansielle virkninger fra YYYY til YYYY for forpligtelsesbevillinger og fra YYYY til YYYY for betalingsbevillinger.

 ubegrænset varighed

·Iværksættelse med en indkøringsperiode fra 2021 til 2027,

·derefter gennemførelse i fuldt omfang.

1.7.Påtænkt(e) forvaltningsmetode(r) 41  

 Direkte forvaltning ved Kommissionen

☑ i dens tjenestegrene, herunder ved dens personale i EU's delegationer

   i gennemførelsesorganer

 Delt forvaltning i samarbejde med medlemsstaterne

 Indirekte forvaltning ved at overlade budgetgennemførelsesopgaver til:

◻ tredjelande eller organer, som tredjelande har udpeget

◻ internationale organisationer og deres organer (angives nærmere)

◻ Den Europæiske Investeringsbank og Den Europæiske Investeringsfond

◻ de organer, der er omhandlet i finansforordningens artikel 70 og 71

◻ offentligretlige organer

◻ privatretlige organer, der har fået overdraget samfundsopgaver, forudsat at de stiller tilstrækkelige finansielle garantier

◻ privatretlige organer, undergivet lovgivningen i en medlemsstat, som har fået overdraget gennemførelsen af et offentlig-privat partnerskab, og som stiller tilstrækkelige finansielle garantier

◻ personer, der har fået overdraget gennemførelsen af specifikke aktioner i den fælles udenrigs- og sikkerhedspolitik i henhold til afsnit V i traktaten om Den Europæiske Union, og som er udpeget i den relevante basisretsakt.

Hvis der angives flere forvaltningsmetoder, gives der en nærmere forklaring i afsnittet "Bemærkninger".

Bemærkninger

Direkte forvaltning vil primært omfatte: administrationsudgifter for GD HOME, administrativ ordning med FFC, tilskud forvaltet af Kommissionen.

Delt forvaltning vil omfatte: Projekter under delt forvaltning: Medlemsstaterne skal udvikle en strategi og risikovurdering og kan anvende deres nationale rammebeløb til disse formål.

2.FORVALTNINGSFORANSTALTNINGER 

2.1.Bestemmelser om kontrol og rapportering 

Angiv hyppighed og betingelser.

I henhold til forslaget til Europa-Parlamentets og Rådets forordning om oprettelse af et EU-instrument på området sikkerhed som en del af Fonden for Intern Sikkerhed (COM(2018) 472 final):

Delt forvaltning:

Hver medlemsstat opretter et forvaltnings- og kontrolsystem for sit program og sikrer kvaliteten og pålideligheden af overvågningssystemet og oplysningerne om indikatorer, jf. forordningen om fælles bestemmelser. For at gøre det lettere hurtigt at indlede gennemførelsen heraf er det muligt at videreføre eksisterende velfungerende forvaltnings- og kontrolsystemer til den næste programmeringsperiode.

Medlemsstaterne vil i den forbindelse blive anmodet om at nedsætte et overvågningsudvalg, som Kommissionen vil deltage i med en rådgivende funktion. Overvågningsudvalget træder sammen mindst en gang om året. Der vil blive set nærmere på alle spørgsmål, der har indflydelse på, hvorvidt der gøres fremskridt med programmet med henblik på at nå dets mål.

Medlemsstaterne vil indsende en årlig performancerapport, som skal indeholde oplysninger om status med hensyn til programgennemførelsen og med hensyn til at nå milepæle og mål. Der skal også ses nærmere på eventuelle problemer, der påvirker programmets performance, og de foranstaltninger, der er truffet for at løse dem.

Ved periodens udgang fremlægger hver medlemsstat en endelig performancerapport. I den endelige rapport skal der fokuseres på de fremskridt, der er blevet gjort med henblik på at nå programmets mål, og den bør indeholde en oversigt over de vigtigste problemer, som har påvirket programmets performance, de foranstaltninger, der er truffet for at løse dem, og en vurdering af, hvor effektive disse foranstaltninger har været. Herudover skal der i rapporten redegøres for programmets bidrag til at klare de udfordringer, der blev påpeget i de relevante EU-henstillinger til medlemsstaten, de fremskridt, som er blevet gjort med hensyn til at nå de mål, der er fastsat i performancerammen, resultaterne af de relevante evalueringer og opfølgningen herpå samt resultaterne af kommunikationsforanstaltningerne.

Ifølge forslaget til forordningen om fælles bestemmelser skal medlemsstaterne hvert år indsende en sikkerhedspakke, som skal indeholde årsregnskabet, en forvaltningserklæring og revisionsmyndighedens udtalelse om regnskabet, den årlige forvaltningsrapport som krævet i artikel 92, stk. 1, litra d), i forordningen om fælles bestemmelser, forvaltnings- og kontrolsystemet samt lovligheden og den formelle rigtighed af udgifterne i årsregnskaberne. Kommissionen vil anvende denne sikkerhedspakke til at fastsætte det beløb, der har udgiftsvirkning for fonden for regnskabsåret.

Hvert andet år afholdes der et statusmøde mellem Kommissionen og hver medlemsstat for at se nærmere på hvert programs performance.

Seks gange om året indsender medlemsstaterne oplysninger om hvert program fordelt på de specifikke målsætninger. Disse oplysninger skal vedrøre udgifter til operationer og værdierne for de fælles output- og resultatindikatorer.

Generelt:

Kommissionen foretager en midtvejsevaluering og en retrospektiv evaluering af de foranstaltninger, der er blevet gennemført inden for rammerne af fonden, jf. forordningen om fælles bestemmelser. Midtvejsevalueringen bør især baseres på den midtvejsevaluering, som medlemsstaterne skal forelægge Kommissionen inden den 31. december 2024.

2.2.Forvaltnings- og kontrolsystem(er) 

2.2.1.Begrundelse for den/de påtænkte forvaltningsmetode(r), finansieringsmekanisme(r), betalingsvilkår og kontrolstrategi

I henhold til forslaget til Europa-Parlamentets og Rådets forordning om oprettelse af et EU-instrument på området sikkerhed som en del af Fonden for Intern Sikkerhed (COM(2018) 472 final):

Både de efterfølgende evalueringer af GD HOME's fonde for perioden 2007-2013 og de foreløbige evalueringer af GD HOME's nuværende fonde viser, at forskellige gennemførelsesmetoder på området migration og indre anliggender har gjort det muligt at nå målsætningerne for fondene. Den helhedsorienterede udformning af gennemførelsesmekanismerne er blevet bevaret og omfatter delt, direkte og indirekte forvaltning.

Ved delt forvaltning gennemfører medlemsstaterne programmer, som bidrager til Unionens politiske mål, og som er skræddersyede til den nationale sammenhæng. Delt forvaltning sikrer, at der er finansiel støtte til rådighed i alle deltagende stater. Derudover muliggør delt forvaltning forudsigelighed med hensyn til finansiering og gør det muligt for medlemsstaterne, som har det bedste kendskab til de udfordringer, de står over for, at planlægge deres langsigtede midler i overensstemmelse hermed. Som noget nyt kan fonden også yde krisebistand ved delt forvaltning ud over direkte og indirekte forvaltning.

Ved direkte forvaltning støtter Kommissionen andre foranstaltninger, der bidrager til Unionens fælles politiske mål. Foranstaltningerne gør det muligt at yde skræddersyet støtte til akutte og specifikke behov i medlemsstaterne ("krisebistand"), at yde støtte til tværnationale net og aktiviteter, at afprøve innovative aktiviteter, der kan opskaleres inden for rammerne af nationale programmer, og at medtage undersøgelser af interesse for EU som helhed ("EU-foranstaltninger").

Ved indirekte forvaltning bevarer fonden muligheden for at uddelegere gennemførelsesopgaver til bl.a. internationale organisationer og myndigheder på området indre anliggender med henblik på særlige formål.

I lyset af de forskellige målsætninger og behov foreslås det at indføre en tematisk facilitet under fonden som en metode til at skabe balance mellem forudsigeligheden af den flerårige tildeling af midler til nationale programmer og fleksibilitet til periodisk at finansiere foranstaltninger med stor merværdi på EU-plan. Den tematiske facilitet vil blive anvendt til særlige foranstaltninger i og mellem medlemsstaterne, EU-foranstaltninger og krisebistand. Den vil sikre, at der kan tildeles og overføres midler mellem ovennævnte forskellige forvaltningsmetoder på grundlag af en toårig programmering.

Betalingsvilkårene i forbindelse med delt forvaltning er beskrevet i udkastet til forslag til forordning om fælles bestemmelser, som indeholder bestemmelser om årlig forfinansiering fulgt af højst fire mellemliggende betalinger pr. program og år baseret på betalingsanmodninger indsendt af medlemsstaterne i løbet af regnskabsåret. Ifølge udkastet til forslag til forordning om fælles bestemmelser modregnes forfinansieringen inden for programmernes sidste regnskabsår.

Kontrolstrategien vil være baseret på den nye finansforordning og forordningen om fælles bestemmelser. Den nye finansforordning og udkastet til forslag til forordning om fælles bestemmelser skal udvide anvendelsen af forenklede former for tilskud som faste beløb, faste satser og enhedsomkostninger. Der indføres også nye betalingsformer baseret på de opnåede resultater i stedet for omkostningerne. Støttemodtagerne vil kunne modtage et fastsat beløb, hvis de kan dokumentere, at visse foranstaltninger såsom uddannelseskurser eller levering af humanitær bistand er blevet gennemført. Dette forventes at forenkle kontrolbyrden for både støttemodtageren og medlemsstaten (f.eks. kontrol af regninger og kvitteringer for udgifter).

I forbindelse med delt forvaltning bygger udkastet til forslag til forordning om fælles bestemmelser på forvaltnings- og kontrolstrategien for programmeringsperioden 2014-2020, men der indføres foranstaltninger med henblik på at forenkle gennemførelsen og mindske kontrolbyrden for både støttemodtagerne og medlemsstaterne. Følgende er nyt:

–– fjernelse af udpegelsesproceduren (hvilket bør gøre det muligt at fremskynde gennemførelsen af programmerne)

–– forvaltningsverificeringer (administrative kontroller og kontroller på stedet), der skal udføres af forvaltningsmyndigheden på grundlag af en risikovurdering (sammenlignet med de 100 % administrative kontroller, der krævedes i programmeringsperioden 2014-2020). Under visse omstændigheder kan forvaltningsmyndighederne desuden anvende forholdsmæssige kontrolordninger i overensstemmelse med de nationale procedurer

–– betingelserne for at undgå mange revisioner af de samme operationer/udgifter.

Programmyndighederne vil forelægge Kommissionen anmodninger om mellemliggende betalinger på grundlag af de udgifter, der er afholdt af støttemodtagere. Udkastet til forslag til forordning om fælles bestemmelser indeholder også bestemmelser, som gør det muligt for forvaltningsmyndighederne at foretage forvaltningskontrol på grundlag af en risikoanalyse, og bestemmelser om særlig kontrol (f.eks. kontrol på stedet foretaget af forvaltningsmyndigheden og revisioner af operationer og udgifter foretaget af revisionsmyndigheden), efter at de dermed forbundne udgifter er blevet anmeldt til Kommissionen i anmodningerne om mellemliggende betalinger. For at mindske risikoen for, at ikkestøtteberettigede udgifter refunderes, sættes der i udkastet til forslag til forordning om fælles bestemmelser et loft over Kommissionens mellemliggende betalinger på 90 %, da kun en del af den nationale kontrol er blevet gennemført på dette tidspunkt. Kommissionen vil betale saldoen efter den årlige regnskabsafslutning ved modtagelsen af sikkerhedspakken fra programmyndighederne. Uregelmæssigheder, der konstateres af Kommissionen eller Revisionsretten efter fremsendelsen af den årlige sikkerhedspakke, kan medføre en nettokorrektion.

Hvad angår den del, der gennemføres ved direkte forvaltning under den tematiske facilitet, vil forvaltnings- og kontrolsystemet tage udgangspunkt i erfaringerne fra perioden 2014-2020 med EU-foranstaltninger og krisebistand. Der vil blive indført en forenklet ordning, der giver mulighed for hurtigt at behandle ansøgninger om finansiering og samtidig mindsker risikoen for fejl: Kun medlemsstaterne og internationale organisationer kan komme i betragtning til finansiering, finansieringen vil være baseret på forenklede omkostningsordninger, der vil blive udarbejdet standardmodeller for finansieringsansøgninger, tilskuds-/bidragsaftaler og rapportering, og et stående evalueringsudvalg vil behandle ansøgningerne, så snart de modtages.

2.2.2.Oplysninger om de udpegede risici og det/de interne kontrolsystem(er), der etableres for at afbøde dem

GD HOME har ikke oplevet større risici for fejl i forbindelse med dets udgiftsprogrammer. Det bekræftes af, at Revisionsretten efter gentagne revisioner ikke har fundet alvorlige fejl i årsrapporterne.

Ved delt forvaltning vedrører den generelle risiko i forbindelse med gennemførelsen af de nuværende programmer medlemsstaternes underudnyttelse af fondene og mulige fejl som følge af de komplekse regler og svagheder i forvaltnings- og kontrolsystemerne. Forslaget til forordning om fælles bestemmelser forenkler de lovgivningsmæssige rammer ved at harmonisere reglerne og forvaltnings- og kontrolsystemerne på tværs af de forskellige fonde, der gennemføres ved delt forvaltning. Den forenkler også kontrolkravene (f.eks. risikobaseret forvaltningskontrol, mulighed for forholdsmæssige kontrolordninger baseret på nationale procedurer, begrænsninger i revisionsarbejdet med hensyn til timing og/eller specifikke aktiviteter).

2.2.3.Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet (forholdet mellem kontrolomkostningerne og værdien af de forvaltede midler) samt vurdering af den forventede risiko for fejl (ved betaling og ved afslutning) 

Forholdet mellem "kontrolomkostningerne og værdien af de forvaltede midler" indberettes af Kommissionen. I den årlige aktivitetsrapport for 2019 fra GD HOME rapporteres der om 0,72 % for dette forhold vedrørende delt forvaltning, 1,31 % for tilskud til direkte forvaltning og 6,05 % for indkøb under direkte forvaltning. Hvad angår delt forvaltning forventes denne procentdel at falde i takt med effektivitetsgevinsterne ved gennemførelsen af programmerne og stige i forbindelse med betalingerne til medlemsstaterne.

Med indførelsen af en risikobaseret tilgang til forvaltning og kontrol i forslaget til forordning om fælles bestemmelser kombineret med det øgede incitament til at vælge forenklede omkostningsordninger forventes medlemsstaternes omkostninger til kontrol at falde yderligere.

I den årlige aktivitetsrapport for 2019 blev der rapporteret om en kumulativ restfejlfrekvens på 1,57 % for de nationale programmer under AMIF/ISF og en kumulativ restfejlfrekvens på 4,11 % for ikke forskningsrelaterede tilskud til direkte forvaltning.

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder 

Angiv eksisterende eller påtænkte forebyggelses- og beskyttelsesforanstaltninger, f.eks. fra strategien til bekæmpelse af svig.

GD HOME vil fortsat anvende sin strategi til bekæmpelse af svig i overensstemmelse med Kommissionens svigbekæmpelsesstrategi (CAFS) med henblik på bl.a. at sikre, at dens interne kontrol i forbindelse med bekæmpelse af svig fuldt ud er i overensstemmelse med CAFS, og at dens strategi for styring af risikoen for svig er gearet til at finde frem til de områder, hvor der er risiko for svig, og til passende modforanstaltninger.

Hvad angår delt forvaltning, skal medlemsstaterne sikre lovligheden og den formelle rigtighed af udgifterne i de regnskaber, de forelægger Kommissionen. I den forbindelse vil medlemsstaterne skulle træffe alle nødvendige skridt til at forebygge, opdage og korrigere uregelmæssigheder. Som i den nuværende programmeringscyklus 2014-2020 er medlemsstaterne forpligtet til at indføre procedurer for at opdage uregelmæssigheder og svig i forbindelse med Kommissionens delegerede forordning om indberetning af uregelmæssigheder. Foranstaltninger til bekæmpelse af svig vil fortsat være et gennemgående princip og en forpligtelse for medlemsstaterne.

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER 

3.1.Berørt(e) udgiftspost(er) på budgettet og udgiftsområde(r) i den flerårige finansielle ramme 

(1) Nye budgetposter

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

Udgiftsområde i den flerårige finansielle ramme

Budgetpost

Type of
udgift

Bidrag

Udgiftsområde 5: Modstandsdygtighed, sikkerhed og forsvar

OB/IOB 42

fra EFTA-lande 43

fra kandidatlande 44

fra tredjelande

iht. finansforordningens artikel 21, stk. 2, litra b)

5.

12.02.01 –– "Fonden for Intern Sikkerhed"

IOB

NEJ

NEJ

JA

NEJ

5.

12 01 01 –– Støtteudgifter til "Fonden for Intern Sikkerhed"

IOB

NEJ

NEJ

JA

NEJ

Bemærkning:

Det bør bemærkes, at de bevillinger, der anmodes om i forbindelse med forslaget, er omfattet af de bevillinger, der allerede er afsat i den finansieringsoversigt, som ligger til grund for forordningen for Fonden for Intern Sikkerhed.

Der anmodes om yderligere menneskelige ressourcer i forbindelse med dette lovgivningsforslag.

   

3.2.Forslagets anslåede finansielle virkninger for bevillingerne 

3.2.1.Sammenfatning af de anslåede virkninger for aktionsbevillingerne 

   Forslaget/initiativet medfører ikke anvendelse af aktionsbevillinger

   Forslaget/initiativet medfører anvendelse af aktionsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

Udgiftsområde i den flerårige finansielle
ramme

5.

Modstandsdygtighed, sikkerhed og forsvar

GD: HOME

2021

2022

2023

2024

2025

2026

2027

Efter 2027

I ALT

•Aktionsbevillinger

Budgetpost 12 02 01 Fonden for Intern Sikkerhed

Forpligtelser

(1a)

0,124

4,348

5,570

6,720

7,020

7,020

7,020

 

37,822

Betalinger

(2a)

0,540

4,323

5,357

5,403

5,403

5,403

5,403

5,989

37,822

Administrationsbevillinger finansieret    
over bevillingsrammen for særprogrammer
45  

Budgetpost

(3)

Bevillinger I ALT
til GD HOME

Forpligtelser

=1a+1b +3

0,124

4,348

5,570

6,720

7,020

7,020

7,020

 

37,822

Betalinger

=2a+2b

+3

0,540

4,323

5,357

5,403

5,403

5,403

5,403

5,989

37,822





Aktionsbevillinger I ALT

Forpligtelser

(4)

Betalinger

(5)

• Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer I ALT

(6)

Bevillinger I ALT
under UDGIFTSOMRÅDE 5
i den flerårige finansielle ramme

Forpligtelser

=4+ 6

0,124

4,348

5,570

6,720

7,020

7,020

7,020

 

37,822

Betalinger

=5+ 6

0,540

4,323

5,357

5,403

5,403

5,403

5,403

5,989

37,822

Hvis flere driftsmæssige udgiftsområder påvirkes af forslaget/initiativet, indsættes der et tilsvarende afsnit for hvert udgiftsområde

•Aktionsbevillinger I ALT (alle driftsmæssige udgiftsområder)

Forpligtelser

(4)

Betalinger

(5)

Administrationsbevillinger finansieret over bevillingsrammen for særprogrammer I ALT (alle driftsmæssige udgiftsområder)

(6)

Bevillinger I ALT
under UDGIFTSOMRÅDE 1-6
i den flerårige finansielle ramme

(referencebeløb)

Forpligtelser

=4+ 6

0,124

4,348

5,570

6,720

7,020

7,020

7,020

 

37,822

Betalinger

=5+ 6

0,540

4,323

5,357

5,403

5,403

5,403

5,403

5,989

37,822





Udgiftsområde i den flerårige finansielle
ramme

7

"Administrationsudgifter"

Dette afsnit skal udfyldes ved hjælp af de "administrative budgetoplysninger", der først skal indføres i bilaget til finansieringsoversigten (bilag V til de interne regler), som uploades til DECIDE med henblik på høring af andre tjenestegrene.

i mio. EUR (tre decimaler)

2021

2022

2023

2024

2025

2026

2027

I ALT

GD: HOME

• Menneskelige ressourcer

0,152

0,228

0,499

0,813

0,932

0,932

0,932

4,488

• Andre administrationsudgifter

0,033

0,085

0,109

0,109

0,109

0,109

0,109

0,663

I ALT GD HOME

Bevillinger

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,151

Bevillinger I ALT
under UDGIFTSOMRÅDE 7
i den flerårige finansielle ramme
 

(Forpligtelser i alt = Betalinger i alt)

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,151

i mio. EUR (tre decimaler)

2021

2022

2023

2024

2025

2026

2027

Efter 2027

I ALT

Bevillinger I ALT
under UDGIFTSOMRÅDE 1-7
i den flerårige finansielle ramme
 

Forpligtelser

0,309

4,661

6,178

7,642

8,061

8,061

8,061

-

42,973

Betalinger

0,725

4,636

5,965

6,325

6,444

6,444

6,444

5,989

42,973

3.2.2.Anslåede resultater finansieret med aktionsbevillinger Forpligtelsesbevillinger i mio. (tre decimaler)

3.2.3.Sammenfatning af de anslåede virkninger for administrationsbevillingerne 

   Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger

   Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

2021

2022

2023

2024

2025

2026

2027

I ALT

HEADING 7i den flerårige finansielle ramme

Menneskelige ressourcer

0,152

0,228

0,499

0,813

0,932

0,932

0,932

4,488

Andre administrationsudgifter

0,033

0,085

0,109

0,109

0,109

0,109

0,109

0,663

Subtotal HEADING 7i den flerårige finansielle ramme

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,188

Uden for UDGIFTSOMRÅDE 7 46  i den flerårige finansielle ramme

Menneskelige ressourcer

Other expenditure
af administrativ art

Subtotal
uden for UDGIFTSOMRÅDE 7
of the multiannual financial framework

I ALT

0,185

0,313

0,608

0,922

1,041

1,041

1,041

5,188

Bevillingerne til menneskelige ressourcer og andre administrationsudgifter vil blive dækket ved hjælp af de bevillinger, der i forvejen er afsat til generaldirektoratets forvaltning af aktionen, og/eller ved intern omfordeling i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

3.2.3.1.Anslået behov for menneskelige ressourcer

   Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer

   Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som anført herunder:

Overslag angives i årsværk

Year
2021

Year
2022

År 2023

År 2024

2025    2026    2027

    Stillinger i stillingsfortegnelsen (tjenestemænd og midlertidigt ansatte)

20 01 02 01 (i hovedsædet og i Kommissionens repræsentationskontorer)

1

2

4

5

5

5

5

XX 01 01 02 (i delegationer)

XX 01 05 01/11/21 (indirekte forskning)

10 01 05 01/11 (direkte forskning)

Eksternt personale (i årsværk)  47  

20 02 01 03 (KA, UNE, V under den samlede bevillingsramme)

1

2

2

2

2

XX 01 02 02 (KA, LA, UNE, V og JED i delegationerne)

XX 01 04 yy  48

–– i hovedsædet

–– i delegationer

XX 01 05 02/12/22 (KA, UNE, V –– indirekte forskning)

10 01 05 02/12 (KA, UNE, V –– direkte forskning)

Andre budgetposter (skal angives)

I ALT

1

2

5

7

7

7

7

XX angiver det berørte politikområde eller budgetafsnit.

Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet allerede har afsat til aktionen, og/eller interne rokader i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

Opgavebeskrivelse:

Tjenestemænd og midlertidigt ansatte

I forslaget antages det, at 4 AD og 1 AST er afsat til gennemførelse af direktivet fra Kommissionens side, hvoraf 1 AD allerede er intern, og de resterende årsværk udgør yderligere menneskelige ressourcer, der skal ansættes.

Rekrutteringsplanen omfatter:

2022: +1 AD: politisk medarbejder med ansvar for etablering af videnskapacitet og støtteaktiviteter

2023: +1 AD (politisk koordinator med ansvar for rådgivningsholdene), 1 AST (assistent for rådgivende team for modstandsdygtighed)

2024: +1 AD (politisk koordinator, der bidrager til støtteaktiviteter for myndigheder og operatører)

Eksternt personale

I forslaget antages det, at 2 udstationerede nationale eksperter skal beskæftige sig med gennemførelsen af direktivet fra Kommissionens side.

 

Rekrutteringsplanen omfatter:

2023: +1 UNE (ekspert i kritisk infrastrukturs modstandsdygtighed/bidrag til støtteaktiviteter for myndigheder og operatører)

2024: +1 UNE (ekspert i kritisk infrastrukturs modstandsdygtighed/bidrag til støtteaktiviteter for myndigheder og operatører)

3.2.4.Forenelighed med indeværende flerårige finansielle ramme 

Forslaget/initiativet:

   kan finansieres fuldt ud gennem omfordeling inden for det relevante udgiftsområde i den flerårige finansielle ramme (FFR).

Aktionsudgifter, der er dækket af Fonden for Intern Sikkerhed under FFR 2021-2027

   kræver anvendelse af den uudnyttede margen under det relevante udgiftsområde i FFR og/eller anvendelse af særlige instrumenter som fastlagt i FFR-forordningen.

Der redegøres for behovet med angivelse af de berørte udgiftsområder og budgetposter, de tilsvarende beløb og de instrumenter, der foreslås anvendt.

   kræver, at der foretages en revision af FFR.

Der redegøres for behovet med angivelse af de berørte udgiftsområder og budgetposter og beløbenes størrelse

3.2.5.Tredjemands bidrag til finansieringen 

Forslaget/initiativet:

   indeholder ikke bestemmelser om samfinansiering med tredjemand

   indeholder bestemmelser om samfinansiering, jf. følgende overslag:

Bevillinger i mio. EUR (tre decimaler)

Year
n 49

Year
n+1

Year
n+2

Year
n+3

Der indsættes flere år, hvis virkningerne varer længere (jf. punkt 1.6)

I alt

Angiv organ, som deltager i samfinansieringen 

Samfinansierede bevillinger I ALT



3.3.Anslåede virkninger for indtægterne 

   Forslaget/initiativet har ingen finansielle virkninger for indtægterne

   Forslaget/initiativet har følgende finansielle virkninger:

   for egne indtægter

   for andre indtægter

Angiv, om indtægterne er formålsbestemte    

i mio. EUR (tre decimaler)

Indtægtspost på budgettet:

Bevillinger til rådighed i indeværende regnskabsår

Forslagets/initiativets virkninger 50

Year
n

Year
n+1

Year
n+2

Year
n+3

Der indsættes flere år, hvis virkningerne varer længere (jf. punkt 1.6)

Artikel ………….

For indtægter, der er formålsbestemte, angives det, hvilke af budgettets udgiftsposter der påvirkes.

[...]

Andre bemærkninger (f.eks. om hvilken metode/formel der er benyttet til at beregne virkningerne for indtægterne).

[...]

(1)    Rådets konklusioner af 10. december 2019 om supplerende tiltag for at styrke modstandsdygtigheden og imødegå hybride trusler (14972/19).
(2)    Beslutning om resultater og henstillinger fra Europa-Parlamentets Særlige Udvalg om Terrorisme (2018/2044 (INI)).
(3)    Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.
(4)    COM(2020) 605.
(5)    COM(2020) 795.
(6)    Meddelelse fra Kommissionen om et europæisk program for beskyttelse af kritisk infrastruktur (COM(2006) 786).
(7)    Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre.
(8)    Meddelelse fra Kommissionen om en EU-strategi for tilpasning til klimaændringer (COM(2013) 216 final). Europa-Parlamentets og Rådets afgørelse nr. 1313/2013/EU af 17. december 2013 om en EU-civilbeskyttelsesmekanisme, forordning 2019/452 om et regelsæt for screening af udenlandske direkte investeringer i Unionen, direktiv 2016/1148 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen.
(9)    Overview of natural and man-made disaster risks the European Union may face (oversigt over de natur- og menneskeskabte katastroferisici, som Den Europæiske Union kan stå over for) (SWD(2020) 330).
(10)    SWD(2019) 308.
(11)    Meddelelse fra Kommissionen om strategien for EU's sikkerhedsunion (COM(2020) 605).
(12)    SWD(2019) 310.
(13)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (EUT L 119 af 4.5.2016, s. 1).
(14)    EUT C , , s. .
(15)    EUT C […], […], s. […].
(16)    Europa-Parlamentets […] og Rådets holdning […].
(17)    Rådets direktiv 2008/114/EF af 8. december 2008 om indkredsning og udpegning af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den bedre (EUT L 345 af 23.12.2008, s. 75).
(18)    SWD(2019) 308.
(19)    Det europæiske program for beskyttelse af kritisk infrastruktur (EPCIP).
(20)    [Henvisning til NIS 2-direktivet, når det er vedtaget.]
(21)    Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).
(22)    Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).
(23)    Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).
(24)    Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af forordning (EU) nr. 648/2012 (EUT L 173 af 12.6.2014, s. 84).
(25)    Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).
(26)    Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, om ændring af direktiv 2002/87/EF og om ophævelse af direktiv 2006/48/EF og 2006/49/EF (EUT L 176 af 27.6.2013, s. 338).
(27)    Forslag til Europa-Parlamentets og Rådets forordning om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014 og (EU) nr. 909/2014 (COM(2020) 595).
(28)    Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97/72 af 9.4.2008, s. 72).
(29)    Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter (EUT L 129 af 29.4.2004, s. 6).
(30)    Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring (EUT L 310 af 25.11.2005, s. 28).
(31)    Kommissionens afgørelse af 29. juni 2018 om oprettelse af EU's sikkerhedsplatform for jernbanepassagerer C/2018/4014.
(32)    EUT L 123 af 12.5 2016, s. 1.
(33)    Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
(34)    Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme og om erstatning af Rådets rammeafgørelse 2002/475/RIA og ændring af Rådets afgørelse 2005/671/RIA (EUT L 88 af 31.3.2017, s. 6).
(35)    Europa-Parlamentets og Rådets afgørelse nr. 1313/2013/EU af 17. december 2013 om en EU-civilbeskyttelsesmekanisme (EUT L 347 af 20.12.2013, s. 924).
(36)    Europa-Parlamentets og Rådets forordning (EU) 2019/941 af 5. juni 2019 om risikoberedskab i elsektoren og om ophævelse af direktiv 2005/89/EF (EUT L 158 af 14.6.2019, s. 1).
(37)    Europa-Parlamentets og Rådets forordning (EU) 2017/1938 af 25. oktober 2017 om foranstaltninger til opretholdelse af gasforsyningssikkerheden og ophævelse af forordning (EU) nr. 994/2010 (EUT L 280 af 28.10.2017, s. 1).
(38)    EUT L 119 af 4.5 2016, s. 1.
(39)    EUT L 135 af 22.5 2019, s. 1.
(40)    Jf. finansforordningens artikel 58, stk. 2, litra a) hhv. b).
(41)    Forklaringer vedrørende forvaltningsmetoder og henvisninger til finansforordningen findes på webstedet BudgWeb: https://myintracomm.ec.europa.eu/budgweb/DA/man/budgmanag/Pages/budgmanag.aspx  
(42)    OB = opdelte bevillinger/IOB = ikke-opdelte bevillinger.
(43)    EFTA: Den Europæiske Frihandelssammenslutning.
(44)    Kandidatlande og, efter omstændighederne, potentielle kandidatlande på Vestbalkan.
(45)    Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.
(46)    Teknisk og/eller administrativ bistand og udgifter til støtte for gennemførelsen af EU's programmer og/eller aktioner (tidligere BA-poster), indirekte forskning, direkte forskning.
(47)    KA = kontraktansatte, LA: lokalt ansatte, UNE: udstationerede nationale eksperter, V: vikarer, JED: junioreksperter ved delegationerne.
(48)    Delloft for eksternt personale under aktionsbevillingerne (tidligere BA-poster).
(49)    År n er det år, hvor gennemførelsen af forslaget/initiativet begynder. I stedet for "n" indsættes det forventede første gennemførelsesår (f.eks.: 2021). Dette gælder også for de følgende år.
(50)    Med hensyn til EU's traditionelle egne indtægter (told og sukkerafgifter) opgives beløbene netto, dvs. bruttobeløb, hvorfra der er trukket opkrævningsomkostninger på 20 %.
Top

Bruxelles, den 16.12.2020

COM(2020) 829 final

BILAG

til forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om kritiske enheders modstandsdygtighed

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}


BILAG

Sektorer, delsektorer og typer af enheder

Sektor

Delsektor

Type af enhed

1. Energi

a) Elektricitet

––    Elektricitetsvirksomheder som omhandlet i artikel 2, nr. 57), i Europa-Parlamentets og Rådets direktiv 2009/944 1 , der varetager "levering" som omhandlet i artikel 2, nr. 12), i nævnte direktiv

––    Distributionssystemoperatører som omhandlet i artikel 2, nr. 29), i direktiv (EU) 2019/944

––    Transmissionssystemoperatører som omhandlet i artikel 2, nr. 35), i direktiv (EU) 2019/944

––    Producenter som omhandlet i artikel 2, nr. 38), i direktiv (EU) 2019/944

— Udpegede elektricitetsmarkedsoperatører som omhandlet i artikel 2, nr. 8), i forordning (EU) 2019/943 2

— Markedsdeltagere på elektricitetsmarkedet som omhandlet i artikel 2, nr. 25), i forordning (EU) 2019/943, der leverer aggregering, fleksibelt elforbrug eller energilagringstjenester som omhandlet i artikel 2, nr. 18), 20) og 59), i direktiv (EU) 2019/944

b) Fjernvarme og fjernkøling

––    Fjernvarme og fjernkøling som omhandlet i artikel 2, nr. 19), i direktiv (EU) 2018/2001 3 om fremme af anvendelsen af energi fra vedvarende energikilder

c) Olie

––    Olierørledningsoperatører

––    Operatører af olieproduktion, raffinaderier og behandlingsanlæg, olielagre og olietransmission

––    Centrale lagerenheder for olie som omhandlet i artikel 2, litra f), i Rådets direktiv 2009/119/EF 4

d) Gas

––    Forsyningsvirksomheder som omhandlet i artikel 2, nr. 8), i direktiv 2009/73/EF 5  

––    Distributionssystemoperatører som omhandlet i artikel 2, nr. 6), i direktiv (EU) 2009/73/EF

––    Transmissionssystemoperatører som omhandlet i artikel 2, nr. 4), i direktiv (EU) 2009/73/EF

––    Lagersystemoperatører som omhandlet i artikel 2, nr. 10), i direktiv (EU) 2009/73/EF

––    LNG-systemoperatører som omhandlet i artikel 2, nr. 12), i direktiv (EU) 2009/73/EF

––    Naturgasvirksomheder som omhandlet i artikel 2, nr. 1), i direktiv (EU) 2009/73/EF

––    Naturgasoperatører, raffinaderier og behandlingsanlæg

e) Brint

— Operatører inden for brintproduktion, -lagring og -transmission

2. Transport

a) Luft

––    Luftfartsselskaber som omhandlet i artikel 3, nr. 4), i forordning (EF) nr. 300/2008 6  

––    Lufthavnsdriftsorganer som omhandlet i artikel 2, nr. 2), i Europa-Parlamentets og Rådets direktiv 2009/12/EF 7 , lufthavne som omhandlet i artikel 2, nr. 1), i nævnte direktiv, herunder de hovedlufthavne, der er anført i bilag II, afsnit 2, til forordning (EU) nr. 1315/2013 8 , og enheder med tilknyttede anlæg i lufthavne

––    Trafikledelses- og kontroloperatører, der udøver flyvekontroltjenester som omhandlet i artikel 2, nr. 1), i Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 9  

b) Jernbane

––    Infrastrukturforvaltere som omhandlet i artikel 3, nr. 2), i direktiv 2012/34/EU 10

––    Jernbanevirksomheder som omhandlet i artikel 3, nr. 1), i direktiv 2012/34/EU, herunder operatører af servicefaciliteter som omhandlet i artikel 3, nr. 12), i direktiv 2012/34/EU

c) Vand

––    Rederier, som udfører passager- og godstransport ad indre vandveje, i højsøfarvand eller kystnært farvand i form af søtransport som omhandlet i bilag I til Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 11 , bortset fra de enkelte fartøjer, som drives af disse rederier

––    Driftsorganer for havne som omhandlet i artikel 3, nr. 1), i Europa-Parlamentets og Rådets direktiv 2005/65/EF 12 , herunder deres havnefaciliteter som omhandlet i artikel 2, nr. 11), i forordning (EF) nr. 725/2004, og enheder, der driver anlæg og udstyr i havne

––    Operatører af skibstrafiktjenester som omhandlet i artikel 3, litra o), i Europa-Parlamentets og Rådets direktiv 2002/59/EF 13

d) Vejtransport

––    Vejmyndigheder som omhandlet i artikel 2, nr. 12), i Kommissionens delegerede forordning (EU) 2015/962 14 , der er ansvarlige for trafikledelse

––    Operatører af intelligente transportsystemer, jf. artikel 4, nr. 1), i direktiv 2010/40/EU 15  

3. Bankvirksomhed

Kreditinstitutter som omhandlet i artikel 4, nr. 1), i forordning (EU) nr. 575/2013 16  

4. Finansielle markedsinfrastrukturer

––    Operatører af markedspladser som omhandlet i artikel 4, nr. 24), i direktiv 2014/65/EU 17  

––    Centrale modparter (CCP) som omhandlet i artikel 2, nr. 1), i forordning (EU) nr. 648/2012 18  

5. Sundhed

––    Sundhedstjenesteydere som omhandlet i artikel 3, litra g), i direktiv 2011/24/EU 19  

––    EU-referencelaboratorier som omhandlet i artikel 15 i forordning [XX] om alvorlige grænseoverskridende sundhedstrusler 20  

––    Enheder, der udfører forsknings- og udviklingsaktiviteter vedrørende lægemidler som omhandlet i artikel 1, nr. 2), i direktiv 2001/83/EF 21

––    Enheder, der fremstiller farmaceutiske råvarer og farmaceutiske præparater som omhandlet i hovedafdeling C, hovedgruppe 21, i NACE rev. 2

––    Enheder, der fremstiller medicinsk udstyr, der betragtes som kritisk under en folkesundhedskrise ("listen over kritisk folkesundhedsudstyr"), jf. artikel 20 i forordning XXXX 22  

6. Drikkevand

Leverandører og distributører af "drikkevand" som omhandlet i artikel 2, nr. 1), litra a), i Rådets direktiv 98/83/EF 23 bortset fra distributører, for hvem distribution af drikkevand kun er en del af deres generelle aktivitet med distribution af andre råvarer og varer, der ikke anses som væsentlige eller vigtige tjenester

7. Spildevand

Virksomheder, der indsamler, bortskaffer eller behandler byspildevand, husspildevand og industrispildevand som omhandlet i artikel 2, nr. 1)-3), i Rådets direktiv 91/271/EØF 24

8. Digital infrastruktur

––    Udbydere af internetudvekslingspunkter [jf. artikel 4, nr. X), i NIS 2-direktivet]

––    DNS-tjenesteudbydere [jf. artikel 4, nr. X), i NIS 2-direktivet]

––    Topdomænenavneregistraturer [jf. artikel 4, nr. X), i NIS 2-direktivet]

––    Udbydere af cloud computing-tjenester [jf. artikel 4, nr. (X), i NIS 2-direktivet]

— Udbydere af datacentertjenester [jf. artikel 4, nr. X), i NIS 2-direktivet]

––    Udbydere af indholdsleveringsnetværk [jf. artikel 4, nr. X), i NIS 2-direktivet]

––    Tillidstjenesteudbydere som omhandlet i artikel 3, nr. 19), i forordning (EU) nr. 910/2014 25

––    Udbydere af offentlige elektroniske kommunikationsnet som omhandlet i artikel 2, nr. 8), i direktiv (EU) 2018/1972 26 eller udbydere af elektroniske kommunikationstjenester i den betydning, der fremgår af artikel 2, nr. 4), i direktiv (EU) 2018/1972, for så vidt deres tjenester er offentligt tilgængelige

9. Offentlig forvaltning

––    Centralregeringers offentlige forvaltningsinstanser, [jf. artikel 4, nr. X), i NIS 2-direktivet] 

––    Offentlige forvaltningsinstanser [jf. artikel 4, litra X), i NIS 2-direktivet] i NUTS 1-regioner, der er opført i bilag I til forordning (EF) nr. 1059/2003 27

––    Offentlige forvaltningsinstanser [jf. artikel 4, litra X), i NIS 2-direktivet] i NUTS 2-regioner, der er opført i bilag I til forordning (EF) nr. 1059/2003

10. Rummet

––    Operatører af jordbaseret infrastruktur, der ejes, forvaltes og drives af medlemsstater eller private parter, og som understøtter levering af rumbaserede tjenester, undtagen udbydere af offentlige elektroniske kommunikationsnet i den betydning, der fremgår af artikel 2, nr. 8), i direktiv 2018/1972/EU

(1)    Europa-Parlamentets og Rådets direktiv (EU) 2019/944 af 5. juni 2019 om fælles regler for det indre marked for elektricitet og om ophævelse af direktiv 2012/27/EU (EUT L 158 af 14.6.2019, s. 125).
(2)    Europa-Parlamentets og Rådets forordning (EU) 2019/943 om det indre marked for elektricitet (EUT L 158 af 14.6.2019, s. 54).
(3)    Europa-Parlamentets og Rådets direktiv (EU) 2018/2001 af 11. december 2018 om fremme af anvendelsen af energi fra vedvarende energikilder (EUT L 328 af 21.12.2018, s. 82).
(4)    Rådets direktiv 2009/119/EF af 14. september 2009 om forpligtelse for medlemsstaterne til at holde minimumslagre af råolie og/eller olieprodukter (EUT L 265 af 9.10.2009, s. 9).
(5)    Europa-Parlamentets og Rådets direktiv 2009/73/EF af 13. juli 2009 om fælles regler for det indre marked for naturgas og om ophævelse af direktiv 2003/55/EF (EUT L 211 af 14.8.2009, s. 94).
(6)    Europa-Parlamentets og Rådets forordning (EF) nr. 300/2008 af 11. marts 2008 om fælles bestemmelser om sikkerhed inden for civil luftfart og om ophævelse af forordning (EF) nr. 2320/2002 (EUT L 97 af 9.4.2008, s. 72).
(7)    Europa-Parlamentets og Rådets direktiv 2009/12/EF af 11. marts 2009 om lufthavnsafgifter (EUT L 70 af 14.3.2009, s. 11).
(8)    Europa-Parlamentets og Rådets forordning (EU) nr. 1315/2013 af 11. december 2013 om Unionens retningslinjer for udvikling af det transeuropæiske transportnet og om ophævelse af afgørelse nr. 661/2010/EU (EUT L 348 af 20.12.2013, s. 1).
(9)    Europa-Parlamentets og Rådets forordning (EF) nr. 549/2004 af 10. marts 2004 om rammerne for oprettelse af et fælles europæisk luftrum ("rammeforordningen") (EUT L 96 af 31.3.2004, s. 1).
(10)    Europa-Parlamentets og Rådets direktiv 2012/34/EU af 21. november 2012 om oprettelse af et fælles europæisk jernbaneområde (EUT L 343 af 14.12.2012, s. 32).
(11)    Europa-Parlamentets og Rådets forordning (EF) nr. 725/2004 af 31. marts 2004 om bedre sikring af skibe og havnefaciliteter (EUT L 129 af 29.4.2004, s. 6).
(12)    Europa-Parlamentets og Rådets direktiv 2005/65/EF af 26. oktober 2005 om bedre havnesikring (EUT L 310 af 25.11.2005, s. 28).
(13)    Europa-Parlamentets og Rådets direktiv 2002/59/EF af 27. juni 2002 om oprettelse af et trafikovervågnings- og trafikinformationssystem for skibsfarten i Fællesskabet og om ophævelse af Rådets direktiv 93/75/EØF (EFT L 208 af 5.8.2002, s. 10).
(14)    Kommissionens delegerede forordning (EU) 2015/962 af 18. december 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2010/40/EU for så vidt angår tilrådighedsstillelse af EU-dækkende tidstro trafikinformationstjenester (EUT L 157 af 23.6.2015, s. 21).
(15)    Europa-Parlamentets og Rådets direktiv 2010/40/EU af 7. juli 2010 om rammerne for indførelse af intelligente transportsystemer på vejtransportområdet og for grænsefladerne til andre transportformer (EUT L 207 af 6.8.2010, s. 1).
(16)    Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 af 26. juni 2013 om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber og om ændring af forordning (EU) nr. 648/2012 (EUT L 176 af 27.6.2013, s. 1).
(17)    Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU (EUT L 173 af 12.6.2014, s. 349).
(18)    Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre (EUT L 201 af 27.7.2012, s. 1).
(19)    Europa-Parlamentets og Rådets direktiv 2011/24/EU af 9. marts 2011 om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT L 88 af 4.4.2011, s. 45).
(20)    [Europa-Parlamentets og Rådets forordning om alvorlige grænseoverskridende sundhedstrusler og om ophævelse af afgørelse nr. 1082/2013/EU, henvisning ajourføres, når forslaget COM(2020) 727 final er vedtaget].
(21)    Europa-Parlamentets og Rådets direktiv 2001/83/EF af 6. november 2001 om oprettelse af en fællesskabskodeks for humanmedicinske lægemidler (EFT L 311 af 28.11.2001, s. 67).
(22)    [Forordning om styrkelse af Det Europæiske Lægemiddelagenturs rolle i forbindelse med kriseberedskab og krisestyring med hensyn til lægemidler og medicinsk udstyr [COM(2020) 725 final] reference, når forslaget er ajourført].
(23)    Rådets direktiv 98/83/EF af 3. november 1998 om kvaliteten af drikkevand (EFT L 330 af 5.12.1998, s. 32).
(24)    Rådets direktiv 91/271/EØF af 21. maj 1991 om rensning af byspildevand (EFT L 135 af 30.5.1991, s. 40).
(25)    Europa-Parlamentets og Rådets forordning (EU) nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF (EUT L 257 af 28.8.2014, s. 73).
(26)    Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation (EUT L 321 af 17.12.2018, s. 36).
(27)    Europa-Parlamentets og Rådets forordning (EF) nr. 1059/2003 af 26. maj 2003 om indførelse af en fælles nomenklatur for regionale enheder (NUTS) (EUT L 154 af 21.6.2003, s. 1).
Top