23.12.2008   

DE

Amtsblatt der Europäischen Union

L 345/75


RICHTLINIE 2008/114/EG DES RATES

vom 8. Dezember 2008

über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern

(Text von Bedeutung für den EWR)

DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 308,

auf Vorschlag der Kommission,

nach Stellungnahme des Europäischen Parlaments (1),

nach Stellungnahme der Europäischen Zentralbank (2),

in Erwägung nachstehender Gründe:

(1)

Auf seiner Tagung vom Juni 2004 ersuchte der Europäische Rat um die Ausarbeitung einer umfassenden Strategie für den Schutz kritischer Infrastrukturen. Daraufhin nahm die Kommission am 20. Oktober 2004 eine Mitteilung mit dem Titel „Schutz kritischer Infrastrukturen im Rahmen der Terrorismusbekämpfung“ an, in der konkrete Vorschläge zur Stärkung der Prävention, Abwehrbereitschaft und Reaktionsfähigkeit in Europa in Bezug auf terroristische Anschläge gegen kritische Infrastrukturen vorgebracht wurden.

(2)

Am 17. November 2005 nahm die Kommission ein Grünbuch über ein Europäisches Programm für den Schutz kritischer Infrastrukturen an, in dem mögliche politische Strategien zur Verwirklichung des Programms sowie des Warn- und Informationsnetzes für kritische Infrastrukturen aufgezeigt wurden. In den Reaktionen auf das Grünbuch kam der zusätzliche Nutzen eines Gemeinschaftsrahmens für den Schutz kritischer Infrastrukturen deutlich zum Ausdruck. Es wurde eingeräumt, dass die Fähigkeit zum Schutz kritischer Infrastrukturen in ganz Europa verbessert und bestehende Schwachstellen derartiger Infrastrukturen beseitigt werden müssen. Die Bedeutung der Grundprinzipien der Subsidiarität, Verhältnismäßigkeit und Komplementarität sowie des Dialogs mit allen Beteiligten wurde hervorgehoben.

(3)

Im Dezember 2005 ersuchte der Rat „Justiz und Inneres“ die Kommission, einen Vorschlag für ein Europäisches Programm für den Schutz kritischer Infrastrukturen („EPSKI“) vorzulegen, der auf einem alle Risiken abdeckenden Ansatz beruhen und vorrangig auf die Bekämpfung der Bedrohung durch den Terrorismus abstellen sollte. Ein derartiger Ansatz zum Schutz kritischer Infrastrukturen sollte sowohl von Menschen ausgehende technologische Bedrohungen als auch Naturkatastrophen berücksichtigen, vor allem jedoch sollte er sich mit der Gefahr möglicher Terroranschläge befassen.

(4)

Im April 2007 verabschiedete der Rat Schlussfolgerungen zum EPSKI, in denen er erneut darauf hinwies, dass letztlich die Mitgliedstaaten die Verantwortung für die Vorkehrungen zum Schutz kritischer Infrastrukturen innerhalb ihrer nationalen Grenzen tragen; zugleich begrüßte er aber auch die Bemühungen der Kommission, ein europäisches Verfahren zur Ermittlung und Ausweisung europäischer kritischer Infrastrukturen („EKI“) sowie der Beurteilung der Notwendigkeit, ihren Schutz zu verbessern, zu entwickeln.

(5)

Diese Richtlinie ist ein erster Schritt in einem abgestuften Ansatz zur Ermittlung und Ausweisung von EKI und der Bewertung der Notwendigkeit, ihren Schutz zu verbessern. Somit konzentriert sich diese Richtlinie auf die Sektoren Energie und Verkehr; zudem sollte die Richtlinie einer Überprüfung unterzogen werden, um ihre Auswirkungen und die Notwendigkeit der Einbeziehung anderer Sektoren, u. a. der Informations- und Kommunikationstechnologien („IKT“), in ihren Anwendungsbereich zu untersuchen.

(6)

Für den Schutz von EKI sind in erster Linie und in letzter Instanz die Mitgliedstaaten und die Eigentümer/Betreiber derartiger Infrastrukturen verantwortlich.

(7)

Es gibt in der Gemeinschaft eine Reihe wichtiger Infrastrukturen, deren Störung oder Zerstörung erhebliche grenzüberschreitende Auswirkungen hätte. Dies kann grenzüberschreitende sektorübergreifende Auswirkungen aufgrund miteinander verbundener und voneinander abhängiger Infrastrukturen umfassen. Derartige EKI sollten nach einem gemeinsamen Verfahren ermittelt und als solche ausgewiesen werden. Für die Auswertung von Sicherheitsanforderungen dieser Infrastrukturen sollte ein Mindestansatz befolgt werden. Bilaterale Regelungen für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet des Schutzes kritischer Infrastrukturen sind ein fest etabliertes und wirksames Mittel zum Schutz grenzüberschreitender kritischer Infrastrukturen. Das EPSKI sollte auf dieser Zusammenarbeit aufbauen. Informationen über die Ausweisung einer bestimmten Infrastruktur als EKI sollten in Einklang mit dem Gemeinschaftsrecht und dem innerstaatlichen Recht der Mitgliedstaaten mit dem geeigneten Geheimhaltungsgrad als Verschlusssache eingestuft werden.

(8)

Da es verschiedene Sektoren mit besonderem Erfahrungsschatz, Fachwissen und Anforderungsprofil in Bezug auf den Schutz kritischer Infrastrukturen gibt, sollte ein gemeinschaftsweiter Ansatz für einen derartigen Schutz entwickelt und umgesetzt werden, der den Eigenheiten der einzelnen Sektoren und den bestehenden sektorspezifischen Maßnahmen (einschließlich der bereits auf Gemeinschaftsebene, auf nationaler Ebene oder auf regionaler Ebene bestehenden Maßnahmen) sowie etwaiger bestehender und hierfür relevanter grenzüberschreitender Abkommen über gegenseitige Hilfe zwischen Eigentümern bzw. Betreibern kritischer Infrastrukturen) Rechnung trägt. Da der Privatsektor eine sehr wichtige Rolle bei der Risikobeherrschung und -bewältigung, der Notfallplanung und den Wiederherstellungsmaßnahmen nach Katastrophen spielt, müsste ein solcher Ansatz der Gemeinschaft auf die vollständige Einbindung des Privatsektors in die geplanten Maßnahmen abstellen.

(9)

Für den Energiesektor und insbesondere die Methoden der Elektrizitätserzeugung und -übertragung (in Bezug auf die Stromversorgung) gilt, dass — sofern dies als zweckmäßig betrachtet wird — der Begriff Elektrizitätserzeugung auch die zur Übertragung von Elektrizität verwendeten Komponenten von Kernanlagen abdecken kann, nicht jedoch die spezifisch kerntechnischen Komponenten, die von den einschlägigen Rechtsvorschriften im Nuklearbereich einschließlich von Verträgen und Gemeinschaftsrecht erfasst werden.

(10)

Diese Richtlinie soll die auf Gemeinschaftsebene und in den Mitgliedstaaten bestehenden sektorspezifischen Maßnahmen ergänzen. Sofern auf Gemeinschaftsebene bereits derartige Mechanismen vorhanden sind, sollten diese weiter genutzt werden und zur generellen Umsetzung dieser Richtlinie beitragen. Überschneidungen oder Widersprüche zwischen verschiedenen Gesetzen oder Bestimmungen sollten vermieden werden.

(11)

Sicherheitspläne („SP“) oder gleichwertige Maßnahmen, in denen auf wichtige Anlagen hingewiesen und eine Gefahrenabschätzung vorgenommen wird sowie Gegenmaßnahmen und Verfahren ermittelt, ausgewählt und in eine Rangfolge gebracht werden, sollten in allen ausgewiesenen EKI vorhanden sein. Um unnötige Arbeit und Überschneidungen zu vermeiden, sollte jeder Mitgliedstaat zunächst beurteilen, ob die Eigentümer/Betreiber ausgewiesener EKI bereits über entsprechende SP oder ähnliche Maßnahmen verfügen. Sind solche Pläne nicht vorhanden, so sollte jeder Mitgliedstaat dafür sorgen, dass die erforderlichen Maßnahmen getroffen werden. Jeder Mitgliedstaat kann selbst darüber entscheiden, wie im Hinblick auf die Festlegung der SP am besten vorzugehen ist.

(12)

Maßnahmen, Grundsätze und Leitlinien einschließlich Gemeinschaftsmaßnahmen sowie bilaterale und/oder multilaterale Kooperationsregelungen, die einen mit dem SP vergleichbaren oder gleichwertigen Plan oder einen Sicherheitsbeauftragten bzw. eine Person mit vergleichbarer Aufgabenstellung vorschreiben, sollten als Erfüllung der Anforderungen dieser Richtlinie zum SP oder zu Sicherheitsbeauftragten gewertet werden.

(13)

In allen ausgewiesenen EKI sollten Sicherheitsbeauftragte ernannt werden, um die Zusammenarbeit und die Kommunikation mit den für den Schutz kritischer Infrastrukturen zuständigen nationalen Behörden zu erleichtern. Um unnötige Arbeit und Überschneidungen zu vermeiden, sollte jeder Mitgliedstaat zunächst beurteilen, ob die Eigentümer/Betreiber ausgewiesener EKI bereits über einen Sicherheitsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung verfügen. Ist kein Sicherheitsbeauftragter vorhanden, sollte jeder Mitgliedstaat die notwendigen Schritte unternehmen, um sicherzustellen, dass die erforderlichen Maßnahmen getroffen werden. Jeder Mitgliedstaat kann selbst darüber entscheiden, wie im Hinblick auf die Ernennung von Sicherheitsbeauftragten am besten vorzugehen ist.

(14)

Eine effiziente Ermittlung sektorspezifischer Risiken, Bedrohungen und Schwachstellen setzt voraus, dass die Eigentümer bzw. Betreiber von EKI mit den Mitgliedstaaten und die Mitgliedstaaten mit der Kommission in Verbindung stehen. Daher sollte jeder Mitgliedstaat Informationen über EKI in seinem Hoheitsgebiet sammeln. Die Mitgliedstaaten sollten der Kommission allgemeine Informationen über bestehende Risiken, Bedrohungen und Schwachstellen in Sektoren, in denen EKI ermittelt wurden, sowie gegebenenfalls über mögliche Verbesserungen der EKI und sektorübergreifende Abhängigkeiten übermitteln. Anhand dieser Informationen könnten sodann, soweit erforderlich, einschlägige Vorschläge der Kommission zur Verbesserung des Schutzes von EKI ausgearbeitet werden.

(15)

Um die Verbesserung des Schutzes von EKI zu erleichtern, könnten gemeinsame Methoden für die Ermittlung und Klassifizierung von Risiken, Bedrohungen und Schwachstellen, die in Bezug auf Infrastrukturanlagen bestehen, entwickelt werden.

(16)

Eigentümer/Betreiber von EKI sollten in erster Linie durch die zuständigen Behörden der Mitgliedstaaten Zugang zu Informationen über bewährte Verfahren und Methoden für den Schutz kritischer Infrastrukturen erhalten.

(17)

Ein wirksamer Schutz von EKI setzt Kommunikation, Koordination und Kooperation sowohl auf nationaler als auch auf Gemeinschaftsebene voraus. Dies lässt sich am besten dadurch erreichen, dass in jedem Mitgliedstaat Kontaktstellen für Fragen des Schutzes von EKI („European Critical Infrastructure Protection Contact Points“, abgekürzt „ECIP Contact Points“) ausgewiesen werden, die Fragen des Schutzes von EKI untereinander sowie mit den Mitgliedstaaten und der Kommission koordinieren.

(18)

Um auch in Bereichen, in denen die Vertraulichkeit gewahrt bleiben muss, Maßnahmen zum Schutz von EKI entwickeln zu können, sollte im Rahmen dieser Richtlinie ein kohärenter und sicherer Informationsaustausch vorgesehen werden. Es ist wichtig, dass Bestimmungen über die Geheimhaltung nach nationalem Recht oder nach der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (3) im Hinblick auf bestimmte Informationen über kritische Infrastrukturanlagen, die zur Planung und Durchführung von Handlungen mit unannehmbaren Folgen für kritische Infrastrukturen missbraucht werden könnten, eingehalten werden. Verschlusssachen sollten gemäß den einschlägigen Rechtsvorschriften der Gemeinschaft und der Mitgliedstaaten geschützt werden. Jeder Mitgliedstaat und die Kommission sollten den jeweiligen vom Verfasser festgelegten Geheimhaltungsgrad eines Dokuments respektieren.

(19)

Der Austausch von Informationen über EKI sollte in einem Klima des Vertrauens und der Sicherheit erfolgen. Die betreffenden Unternehmen und Organisationen müssen darauf vertrauen können, dass die von ihnen mitgeteilten sensiblen und vertraulichen Daten ausreichend geschützt werden.

(20)

Da die Ziele dieser Richtlinie, nämlich die Einführung eines Verfahrens zur Ermittlung und Ausweisung von EKI und eines gemeinsamen Ansatzes für die Bewertung der Notwendigkeit, den Schutz derartiger Infrastrukturen zu verbessern, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können und daher wegen ihres Umfangs besser auf Gemeinschaftsebene zu verwirklichen sind, kann die Gemeinschaft im Einklang mit dem in Artikel 5 des Vertrags niedergelegten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.

(21)

Diese Richtlinie steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden —

HAT FOLGENDE RICHTLINIE ERLASSEN:

Artikel 1

Gegenstand

Durch diese Richtlinie wird ein Verfahren zur Ermittlung und Ausweisung europäischer kritischer Infrastrukturen („EKI“) sowie ein gemeinsamer Ansatz für die Bewertung der Notwendigkeit eines besseren Schutzes derartiger Infrastrukturen eingeführt, um zum Schutz der Menschen beizutragen.

Artikel 2

Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

a)

„kritische Infrastruktur“ die in einem Mitgliedstaat gelegene Anlage, ein System oder ein Teil davon, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen auf einen Mitgliedstaat hätte, da diese Funktionen nicht aufrechterhalten werden könnten;

b)

„europäische kritische Infrastruktur“ oder „EKI“ eine in einem Mitgliedstaat gelegene kritische Infrastruktur, deren Störung oder Zerstörung erhebliche Auswirkungen in mindestens zwei Mitgliedstaaten hätte. Die Tragweite dieser Auswirkungen wird anhand sektorübergreifender Kriterien bewertet. Dies schließt die Auswirkungen sektorübergreifender Abhängigkeiten auf andere Arten von Infrastrukturen ein;

c)

„Risikoanalyse“ die Prüfung relevanter Bedrohungsszenarien, um die Schwachstellen und mögliche Auswirkungen einer Störung oder Zerstörung kritischer Infrastrukturen zu bewerten;

d)

„vertrauliche Informationen über den Schutz kritischer Infrastrukturen“ die Informationen über kritische Infrastrukturen, die im Fall ihrer Offenlegung zur Planung und Durchführung von Handlungen missbraucht werden könnten, welche eine Störung oder Zerstörung kritischer Infrastrukturanlagen zur Folge hätten;

e)

„Schutz“ alle Tätigkeiten zur Gewährleistung der Funktionsfähigkeit, der Kontinuität und der Unversehrtheit kritischer Infrastrukturen und zur Abwendung, Minderung oder Neutralisierung einer Bedrohung, eines Risikos oder einer Schwachstelle;

f)

„Eigentümer/Betreiber einer EKI“ diejenigen Stellen, die für Investitionen in und/oder für den laufenden Betrieb von und Investitionen in eine bestimmte Anlage, ein System oder einen Teil davon, die nach dieser Richtlinie als EKI ausgewiesen wurden, verantwortlich sind.

Artikel 3

Ermittlung von EKI

(1)   Gemäß dem Verfahren nach Anhang III ermittelt jeder Mitgliedstaat die potenziellen EKI, die sowohl die sektorübergreifenden als auch die sektorspezifischen Kriterien erfüllen und den Begriffsbestimmungen in Artikel 2 Buchstaben a und b entsprechen.

Die Kommission kann die Mitgliedstaaten auf deren Antrag bei der Ermittlung der potenziellen EKI unterstützen.

Die Kommission kann die betreffenden Mitgliedstaaten auf potenziell kritische Infrastrukturen aufmerksam machen, bei denen anzunehmen ist, dass sie die Voraussetzungen für die Ausweisung als EKI erfüllen.

Jeder Mitgliedstaat und die Kommission setzen den Prozess der Ermittlung potenzieller EKI kontinuierlich fort.

(2)   Die sektorübergreifenden Kriterien nach Absatz 1 umfassen:

a)

Opfer (bewertet anhand der möglichen Anzahl von Toten oder Verletzten);

b)

wirtschaftliche Folgen (bewertet anhand des wirtschaftlichen Verlusts und/oder der Minderung der Qualität von Erzeugnissen oder Dienstleistungen; einschließlich möglicher Auswirkungen auf die Umwelt);

c)

Auswirkungen auf die Öffentlichkeit (bewertet anhand der Auswirkungen auf das Vertrauen der Öffentlichkeit, des physischen Leids und der Störung des täglichen Lebens; einschließlich des Ausfalls wesentlicher Dienstleistungen).

Die Grenzwerte für die sektorübergreifenden Kriterien leiten sich ab aus der Schwere der Auswirkungen einer Störung oder Zerstörung einer bestimmten Infrastruktur. Die genauen Grenzwerte für die sektorübergreifenden Kriterien werden im Einzelfall von den im Hinblick auf eine bestimmte Infrastruktur jeweils betroffenen Mitgliedstaaten festgelegt. Jeder Mitgliedstaat unterrichtet die Kommission jährlich über die Anzahl Infrastrukturen pro Sektor, zu denen Beratungen über die Grenzwerte für die sektorübergreifenden Kriterien geführt wurden.

Die sektorspezifischen Kriterien berücksichtigen die Besonderheiten einzelner Sektoren mit EKI.

Die Kommission entwickelt gemeinsam mit den Mitgliedstaaten Leitlinien für die Anwendung der sektorübergreifenden und sektorspezifischen Kriterien und ungefähre Grenzwerte zur Ermittlung der EKI. Die Kriterien werden als Verschlusssachen eingestuft. Die Verwendung solcher Leitlinien ist den Mitgliedstaaten freigestellt.

(3)   Der Energiesektor und der Verkehrssektor sind die zur Umsetzung dieser Richtlinie gewählten Sektoren. Die Teilsektoren sind in Anhang I bestimmt.

Erforderlichenfalls können in Verbindung mit der Überprüfung dieser Richtlinie nach Artikel 11 weitere Sektoren zum Zwecke der Umsetzung dieser Richtlinie festgelegt werden. Der IKT-Sektor hat Vorrang.

Artikel 4

Ausweisung von EKI

(1)   Jeder Mitgliedstaat unterrichtet die anderen Mitgliedstaaten, die von einer potenziellen EKI erheblich betroffen sein könnten, über deren Identität sowie die Gründe für deren Ausweisung als potenzielle EKI.

(2)   Jeder Mitgliedstaat, in dessen Hoheitsgebiet sich eine potenzielle EKI befindet, nimmt bilaterale und/oder multilaterale Gespräche mit den anderen Mitgliedstaaten auf, die von der potenziellen EKI erheblich betroffen sein könnten. Die Kommission kann an diesen Gesprächen teilnehmen, hat aber keinen Zugang zu detaillierten Informationen, die die eindeutige Identifizierung bestimmter Infrastrukturen zulassen würden.

Ein Mitgliedstaat, der Grund zu der Annahme hat, dass er von einer potenziellen EKI erheblich betroffen sein könnte, aber von dem Mitgliedstaat, in dessen Hoheitsgebiet sie sich befindet, nicht als solcher eingestuft worden ist, kann der Kommission sein Anliegen mitteilen, diesbezüglich an bilateralen und/oder multilateralen Gesprächen beteiligt zu werden. Die Kommission teilt dieses Anliegen unverzüglich dem Mitgliedstaat mit, in dessen Hoheitsgebiet sich die potenzielle EKI befindet, und bemüht sich, eine Vereinbarung zwischen den Parteien herbeizuführen.

(3)   Der Mitgliedstaat, in dessen Hoheitsgebiet sich eine potenzielle EKI befindet, weist sie als EKI aus, nachdem er mit den möglicherweise in erheblichem Maße betroffenen Mitgliedstaaten eine entsprechende Vereinbarung getroffen hat.

Hierzu bedarf es der Zustimmung des Mitgliedstaats, in dessen Hoheitsgebiet sich die als EKI auszuweisende Infrastruktur befindet.

(4)   Der Mitgliedstaat, in dessen Hoheitsgebiet sich eine ausgewiesene EKI befindet, unterrichtet die Kommission jährlich über die Anzahl der ausgewiesenen EKI in den verschiedenen Sektoren und über die Anzahl der Mitgliedstaaten, die von der jeweiligen ausgewiesenen EKI abhängen. Nur die Mitgliedstaaten, die von einer EKI erheblich betroffen sein könnten, erfahren deren Identität.

(5)   Die Mitgliedstaaten, in deren Hoheitsgebiet sich die EKI befindet, unterrichten den Eigentümer/Betreiber der Infrastruktur über deren Ausweisung als EKI. Informationen über die Ausweisung einer Infrastruktur als EKI werden als Verschlusssache mit dem geeigneten Geheimhaltungsgrad eingestuft.

(6)   Der Prozess der Ermittlung und Ausweisung von EKI nach Artikel 3 und diesem Artikel wird bis zum 12. Januar 2011 abgeschlossen und regelmäßig überprüft.

Artikel 5

Sicherheitspläne

(1)   Das Verfahren zur Erstellung von Sicherheitsplänen („SP“) führt die kritischen Infrastrukturanlagen der EKI sowie die Sicherheitslösungen auf, die zum Schutz dieser Anlagen bestehen oder noch umgesetzt werden. Anhang II enthält die inhaltlichen Mindestanforderungen, die im Rahmen eines Verfahrens zur Erstellung eines EKI SP zu beachten sind.

(2)   Jeder Mitgliedstaat prüft, ob für jede ausgewiesene EKI, die sich in seinem Hoheitsgebiet befindet, ein SP erstellt worden ist oder gleichwertige Vorkehrungen getroffen worden sind, die den Vorgaben des Anhangs II entsprechen. Stellt ein Mitgliedstaat fest, dass ein solcher SP oder gleichwertige Maßnahmen vorhanden sind und diese regelmäßig aktualisiert werden, so sind keine weiteren Umsetzungsmaßnahmen erforderlich.

(3)   Stellt ein Mitgliedstaat fest, dass ein solcher SP oder gleichwertige Maßnahmen nicht vorhanden sind, so gewährleistet er durch geeignete Maßnahmen, dass der SP oder die gleichwertigen Maßnahmen nach den Vorgaben des Anhangs II ausgearbeitet werden.

Jeder Mitgliedstaat sorgt binnen eines Jahres nach der Ausweisung der kritischen Infrastruktur als EKI dafür, dass SP oder gleichwertige Maßnahmen vorliegen und regelmäßig überprüft werden. In Ausnahmefällen kann dieser Zeitraum durch eine Vereinbarung mit der zuständigen Behörde des Mitgliedstaats und Benachrichtigung der Kommission verlängert werden.

(4)   Bestehen bereits Überwachungs- oder Aufsichtsvereinbarungen für eine EKI, bleiben sie von diesem Artikel unberührt und die in diesem Artikel genannte zuständige Behörde des Mitgliedstaats übernimmt die Überwachung im Rahmen dieser bestehenden Vereinbarungen.

(5)   Bei Einhaltung der Maßnahmen, einschließlich Gemeinschaftsmaßnahmen, die in einem bestimmten Sektor einen dem SP ähnlichen oder gleichwertigen Plan und die Aufsicht der zuständigen Behörde über einen solchen Plan vorschreiben oder sich auf dessen Notwendigkeit beziehen, gelten alle Anforderungen des Mitgliedstaats, die in diesem Artikel genannt oder gemäß diesem Artikel angenommen werden, als erfüllt. In den in Artikel 3 Absatz 2 genannten Leitlinien für die Anwendung sind diese Maßnahmen beispielhaft aufgeführt.

Artikel 6

Sicherheitsbeauftragte

(1)   Der Sicherheitsbeauftragte dient in Sicherheitsfragen als Kontaktstelle zwischen dem Eigentümer/Betreiber einer EKI und der zuständigen Behörde des Mitgliedstaats.

(2)   Jeder Mitgliedstaat prüft, ob jede ausgewiesene EKI in seinem Hoheitsgebiet über einen Sicherheitsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung verfügt. Stellt ein Mitgliedstaat fest, dass ein Sicherheitsbeauftragter oder eine Person mit vergleichbarer Aufgabenstellung vorhanden ist, sind keine weiteren Umsetzungsmaßnahmen erforderlich.

(3)   Stellt ein Mitgliedstaat fest, dass eine ausgewiesene EKI weder über einen Sicherheitsbeauftragten noch über eine Person mit vergleichbarer Aufgabenstellung verfügt, so ergreift er geeignete Maßnahmen, um die Ernennung eines Sicherheitsbeauftragten oder einer Person mit vergleichbarer Aufgabenstellung sicherzustellen.

(4)   Jeder Mitgliedstaat schafft einen geeigneten Kommunikationsmechanismus zwischen der zuständigen Behörde des Mitgliedstaats und dem Sicherheitsbeauftragten oder der Person mit vergleichbarer Aufgabenstellung mit dem Ziel, sachdienliche Informationen über ermittelte Risiken und Bedrohungen in Bezug auf die betreffende EKI auszutauschen. Dieser Kommunikationsmechanismus gilt unbeschadet nationaler Anforderungen an den Zugang zu sicherheitsrelevanten Informationen und Verschlusssachen.

(5)   Bei Einhaltung der Maßnahmen, einschließlich Gemeinschaftsmaßnahmen, die in einem bestimmten Sektor die Beschäftigung eines Sicherheitsbeauftragten oder einer Person mit vergleichbarer Aufgabenstellung vorschreiben oder sich auf deren Notwendigkeit beziehen, gelten alle Anforderungen des Mitgliedstaats, die in diesem Artikel genannt oder gemäß diesem Artikel angenommen werden, als erfüllt. In den in Artikel 3 Absatz 2 genannten Leitlinien für die Anwendung sind diese Maßnahmen beispielhaft aufgeführt.

Artikel 7

Berichterstattung

(1)   Jeder Mitgliedstaat nimmt binnen eines Jahres nach der Ausweisung einer in seinem Hoheitsgebiet befindlichen kritischen Infrastruktur als EKI in Teilsektoren eine Bedrohungsanalyse für die betreffenden Teilsektoren der EKI vor.

(2)   Jeder Mitgliedstaat übermittelt der Kommission alle zwei Jahre allgemeine Daten in einem zusammenfassenden Bericht über die verschiedenen Arten von Risiken, Bedrohungen und Schwachstellen für jeden Sektor mit einer nach Artikel 4 ausgewiesenen EKI, die sich in seinem Hoheitsgebiet befindet.

Die Kommission kann in Zusammenarbeit mit den Mitgliedstaaten ein allgemeines Muster für diese Berichte ausarbeiten.

Jeder Mitgliedstaat stuft seinen Bericht in die von ihm als notwendig erachtete Geheimhaltungsstufe ein.

(3)   Die Kommission und die Mitgliedstaaten prüfen anhand der in Absatz 2 genannten Berichte für jeden einzelnen Sektor, ob in diesem weitere Gemeinschaftsmaßnahmen zum Schutz von EKI zu erwägen sind. Dies erfolgt in Verbindung mit der Überprüfung der Richtlinie nach Artikel 11.

(4)   Die Kommission kann in Zusammenarbeit mit den Mitgliedstaaten gemeinsame methodische Leitlinien für die Durchführung von Risikoanalysen zu EKI entwickeln. Die Verwendung solcher Leitlinien ist den Mitgliedstaaten freigestellt.

Artikel 8

Unterstützung durch die Kommission für EKI

Die Kommission unterstützt die Eigentümer/Betreiber ausgewiesener EKI über die zuständige Behörde des Mitgliedstaats, indem sie ihnen Zugriff auf Informationen über bewährte Verfahren und Methoden gewährt, Aus- und Weiterbildungsangebote unterstützt und den Informationsaustausch über neue technische Entwicklungen in Bezug auf den Schutz kritischer Infrastrukturen fördert.

Artikel 9

Vertrauliche Informationen über den Schutz von EKI

(1)   Alle Personen, die nach Maßgabe dieser Richtlinie im Namen eines Mitgliedstaats oder der Kommission mit Verschlusssachen umgehen, müssen eine angemessene Sicherheitsüberprüfung durchlaufen haben.

Die Mitgliedstaaten, die Kommission und die zuständigen Aufsichtsbehörden stellen sicher, dass den Mitgliedstaaten oder der Kommission übermittelte vertrauliche Informationen in Bezug auf den Schutz von EKI zu keinem anderen Zweck als zum Schutz kritischer Infrastrukturen verwendet werden.

(2)   Dieser Artikel gilt auch für nicht-schriftliche Informationen, die in Sitzungen ausgetauscht werden, in denen vertraulich zu behandelnde Themen erörtert werden.

Artikel 10

Kontaktstellen für Fragen des Schutzes von EKI

(1)   Jeder Mitgliedstaat benennt eine Kontaktstelle für Fragen des Schutzes von EKI („Kontaktstelle für EKI-Schutz“).

(2)   Die Kontaktstelle für EKI-Schutz koordiniert Fragen des Schutzes von EKI innerhalb des betreffenden Mitgliedstaats sowie mit anderen Mitgliedstaaten und mit der Kommission. Die Benennung einer solchen Kontaktstelle für EKI-Schutz schließt nicht aus, dass andere Behörden eines Mitgliedstaats mit Fragen des Schutzes von EKI befasst werden.

Artikel 11

Überprüfung

Die Überprüfung dieser Richtlinie beginnt am 12. Januar 2012.

Artikel 12

Umsetzung

Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um dieser Richtlinie spätestens bis zum 12. Januar 2011 nachzukommen. Sie setzen die Kommission unverzüglich davon in Kenntnis und übermitteln den Text jener Maßnahmen sowie ihre Entsprechung in Bezug auf diese Richtlinie.

Wenn die Mitgliedstaaten diese Maßnahmen verabschieden, nehmen sie in den Maßnahmen selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.

Artikel 13

Inkrafttreten

Diese Richtlinie tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Artikel 14

Adressaten

Diese Richtlinie ist an die Mitgliedstaaten gerichtet.

Geschehen zu Brüssel am 8. Dezember 2008.

Im Namen des Rates

Der Präsident

B. KOUCHNER


(1)  Stellungnahme vom 10. Juli 2007 (noch nicht im Amtsblatt veröffentlicht).

(2)  ABl. C 116 vom 26.5.2007, S. 1.

(3)  ABl. L 145 vom 31.5.2001, S. 43.


ANHANG I

Liste der Sektoren mit EKI

Sektor

Teilsektor

I

Energie

1.

Strom

Infrastrukturen und Anlagen zur Stromerzeugung und übertragung in Bezug auf die Stromversorgung

2.

Öl

Gewinnung, Raffinierung, Behandlung und Lagerung von Öl sowie Öltransport in Rohrfernleitungen

3.

Gas

Gewinnung, Raffinierung, Behandlung und Lagerung von Gas sowie Gastransport in Rohrfernleitungen

LNG-Terminals

II

Verkehr

4.

Straßenverkehr

5.

Schienenverkehr

6.

Luftverkehr

7.

Binnenschifffahrt

8.

Hochsee- und Küstenschifffahrt und Häfen

Die Ermittlung der als EKI ausweisbaren kritischen Infrastrukturen durch die Mitgliedstaaten erfolgt gemäß Artikel 3. Daher ergibt sich aus der Liste der EKI-Sektoren selbst keine allgemeine Verpflichtung, in jedem Sektor eine EKI auszuweisen.


ANHANG II

VERFAHREN ZUR ERSTELLUNG EINES EKI SP

Der SP führt die kritischen Infrastrukturanlagen sowie die zu ihrem Schutz bestehenden oder durchgeführten Sicherheitsmaßnahmen auf. Das Verfahren zur Erstellung eines EKI SP enthält folgende Mindestangaben:

1.

Nennung der wichtigen Anlagen;

2.

Durchführung einer sich auf die wichtigsten Bedrohungsszenarios, die Schwachstellen der einzelnen kritischen Infrastrukturen und die möglichen Auswirkungen beziehende Risikoanalyse; und

3.

Ermittlung, Auswahl und Rangfolge von Gegenmaßnahmen und Verfahren; dabei ist zu unterscheiden zwischen

permanenten Sicherheitsvorkehrungen, die unerlässliche Sicherheitsinvestitionen und Vorkehrungen umfassen, welche jederzeit anzuwenden sind. Hierunter fallen Informationen über Maßnahmen allgemeiner Art, wie technische Maßnahmen (u. a. die Einführung von Erkennungssystemen, Zugangskontrollen sowie Schutz- und Präventivmaßnahmen), organisatorische Maßnahmen (u. a. Verfahren für den Alarmfall und die Krisenbewältigung), Überwachungs- und Überprüfungsmaßnahmen, Kommunikation, Sensibilisierung und Ausbildung sowie die Sicherung von Informationssystemen; und

abgestuften Sicherheitsvorkehrungen, die je nach Ausmaß des Risikos und der Bedrohung ergriffen werden können.


ANHANG III

Verfahren für die Ermittlung der durch die Mitgliedstaaten gemäß Artikel 3 als EKI auszuweisenden kritischen Infrastrukturen

Nach Artikel 3 ist jeder Mitgliedstaat zur Ermittlung der kritischen Infrastrukturen verpflichtet, die als EKI ausgewiesen werden können. Das entsprechende Verfahren wird von jedem Mitgliedstaat nach Maßgabe der nachstehenden aufeinander folgenden Schritte durchgeführt.

Eine potenzielle EKI, die den Anforderungen eines der nachstehenden Schritte nicht genügt, gilt als „nicht EKI“ und wird von dem Verfahren ausgeschlossen. Eine potenzielle EKI, die den Anforderungen entspricht, unterliegt den nächsten Schritten dieses Verfahrens.

Schritt 1

Jeder Mitgliedstaat trifft anhand der sektorspezifischen Kriterien eine Vorauswahl unter den kritischen Infrastrukturen eines Sektors.

Schritt 2

Jeder Mitgliedstaat legt für die in Schritt 1 bestimmten potenziellen EKI die Definition des Begriffs „kritische Infrastruktur“ nach Artikel 2 Buchstabe a zugrunde.

Das Ausmaß der Auswirkungen wird entweder unter Anwendung einzelstaatlicher Methoden zur Ermittlung kritischer Infrastrukturen oder unter Bezugnahme auf die sektorübergreifenden Kriterien auf einer geeigneten nationalen Ebene bestimmt. Bei Infrastrukturen, mit denen wesentliche Dienstleistungen erbracht werden, werden die Verfügbarkeit von Alternativen und die Dauer des Ausfalls bzw. der Wiederherstellung berücksichtigt.

Schritt 3

Jeder Mitgliedstaat legt für die potenziellen EKI, die die beiden ersten Stufen des Verfahrens durchlaufen haben, das grenzüberschreitende Element der Definition des Begriffs „EKI“ gemäß Artikel 2 Buchstabe b zugrunde. Eine potenzielle EKI, die der Begriffsbestimmung entspricht, unterliegt dem nächsten Schritt des Verfahrens. Bei Infrastrukturen, mit denen wesentliche Dienstleistungen erbracht werden, werden die Verfügbarkeit von Alternativen und die Dauer des Ausfalls bzw. der Wiederherstellung berücksichtigt.

Schritt 4

Jeder Mitgliedstaat wendet die sektorübergreifenden Kriterien auf die verbleibenden potenziellen EKI an. Die sektorübergreifenden Kriterien berücksichtigen: die Schwere der Auswirkungen; und bei Infrastrukturen, mit denen wesentliche Dienstleistungen erbracht werden — die Verfügbarkeit von Alternativen; sowie die Dauer des Ausfalls bzw. der Wiederherstellung. Eine potenzielle EKI, die den sektorübergreifenden Kriterien nicht genügt, gilt nicht als EKI.

Eine potenzielle EKI, die dieses Verfahren durchlaufen hat, wird nur den Mitgliedstaaten mitgeteilt, die von der jeweiligen potenziellen EKI erheblich betroffen sein könnten.