Comunicación de la Comisión sobre un Programa Europeo para la Protección de Infraestructuras Críticas /* COM/2006/0786 final */
[pic] | COMISIÓN DE LAS COMUNIDADES EUROPEAS | Bruselas, 12.12.2006 COM(2006) 786 final COMUNICACIÓN DE LA COMISIÓN sobre un Programa Europeo para la Protección de Infraestructuras Críticas COMUNICACIÓN DE LA COMISIÓN sobre un Programa Europeo para la Protección de Infraestructuras Críticas (Texto pertinente a efectos del EEE) 1. ANTECEDENTES El Consejo Europeo de junio de 2004 pidió que se elaborase una estrategia global para la protección de infraestructuras críticas. La Comisión adoptó el 20 de octubre de 2004 una Comunicación sobre la Protección de las infraestructuras críticas en la lucha contra el terrorismo que contiene sugerencias sobre el modo de mejorar la prevención, preparación y respuesta de Europa a los ataques terroristas que afectan a infraestructuras críticas (IC). En las conclusiones del Consejo sobre prevención, preparación y respuesta a los ataques terroristas y en el Programa de solidaridad de la UE sobre las consecuencias de las amenazas y ataques terroristas, adoptado por el Consejo en diciembre de 2004, se respalda el propósito de la Comisión de lanzar un Programa europeo de protección de infraestructuras críticas (PEPIC) y se aprueba la creación por la Comisión de una Red de información sobre alertas en infraestructuras críticas (CIWIN). En noviembre de 2005, la Comisión adoptó un Libro Verde sobre un Programa europeo de protección de infraestructuras críticas (PEPIC) que presentaba las opciones de la Comisión para establecer el PEPIC y la CIWIN. Las conclusiones del Consejo de Justicia e Interior de diciembre de 2005 (JAI) sobre protección de infraestructuras críticas pedían a la Comisión que elaborase una propuesta de Programa europeo de protección de infraestructuras críticas. La presente Comunicación establece los principios, los procesos y los instrumentos propuestos para llevar a la práctica el PEPIC. La puesta en práctica del PEPIC se complementará cuando proceda mediante Comunicaciones sectoriales específicas en las que se establezca el enfoque de la Comisión por lo que respecta a sectores específicos de infraestructuras críticas[1]. 2. PROPÓSITO, PRINCIPIOS Y CONENIDO DEL PEPIC 2.1. Objetivo del PEPIC El objetivo general de l PEPIC es mejorar la protección de las infraestructuras críticas de la UE. Este objetivo se logrará mediante la creación de un marco de la UE relativo a la protección de infraestructuras críticas que se establece en esta Comunicación. 2.2. Tipos de amenazas que debe afrontar el PEPIC La protección de la infraestructura crítica se basará en un enfoque de global que tenga en cuenta todos los peligros sin que ello suponga dejar de reconocer que la amenaza del terrorismo es una prioridad. Si resulta que el nivel de medidas protectoras en un determinado sector de IC es el adecuado, los agentes interesados deberán concentrarse en aquellas amenazas a las que son vulnerables. 2.3. Principios Los siguientes principios fundamentales regirán la aplicación del PEPIC: - Subsidiariedad - los esfuerzos de la Comisión en el campo de la PIC se centrarán en las infraestructuras críticas desde un punto de vista europeo, en vez de nacional o regional. Aunque se centre en las infraestructuras críticas europeas, la Comisión, cuando se le pida y teniendo debidamente en cuenta las competencias comunitarias existentes y los recursos disponibles, prestará apoyo a los Estados miembros en lo que respecta a las infraestructuras críticas nacionales. - Complementariedad - la Comisión evitará la duplicación de esfuerzos existentes, ya sea a nivel de la UE, nacional o regional, cuando éstos hayan resultado eficaces de cara a proteger las infraestructuras críticas. Por lo tanto el PEPIC complementará las medidas sectoriales existentes y se basará en ellas. - Confidencialidad - tanto a nivel de la UE como de los Estados miembros, se clasificará debidamente la información sobre protección de infraestructuras críticas (IPIC) y sólo se concederá acceso a la misma en caso necesario. El intercambio de información sobre IC tendrá lugar en un entorno de confianza y seguridad. - Cooperación de los agentes interesados - en la medida de lo posible, todos los interesados participarán en el desarrollo y aplicación del PEPIC. Esto incluirá a los dueños/operadores de las infraestructuras críticas consideradas ICE y a las autoridades públicas y otros órganos pertinentes. - Proporcionalidad – las medidas sólo se propondrán cuando se haya identificado una necesidad tras un análisis de los fallos de seguridad existentes y serán proporcionales al nivel de riesgo y al tipo de amenaza de cada caso. - Planteamiento por sectores - puesto que son varios los sectores que disponen de experiencia concreta, de práctica y de las necesidades en materia de PIC, el PEPIC se desarrollará sector por sector y se pondrá en marcha según una lista acordada de sectores de PIC. 2.4. Marco del PEPIC El marco cons tará de: - Un procedimiento para la identificación y designación de infraestructuras críticas europeas (ICE) y un planteamiento común para la evaluación de las necesidades de mejorar la protección de estas infraestructuras. Esto se llevará a la práctica mediante una Directiva. - Medidas diseñadas para facilitar la aplicación del PEPIC, lo que incluye un plan de acción del PEPIC, la Red de información sobre alertas en infraestructuras críticas (CIWIN), el uso de grupos de expertos en PIC a nivel de la UE, los procedimientos para compartir la información sobre PIC y la identificación y análisis de interdependencias. - Apoyo a los Estados miembros en lo que respecta a las infraestructuras críticas nacionales (ICN) que opcionalmente pueden ser utilizadas por un determinado Estado miembro. La presente Comunicación establece un enfoque básico para la protección de INC. - Planes de intervención, - Una dimensión exterior - Medidas financieras complementarias y en especial el programa propuesto de la UE sobre la "prevención, preparación y gestión de las consecuencias del terrorismo y de otros riesgos relacionados con la seguridad" para el período 2007-2013, que ofrecerá posibilidades de financiación para las medidas relacionadas con la PIC susceptibles de ser transferidas al nivel de la UE. Todas estas medidas se desarrollan más adelante. 2.5. Grupo de contacto de PIC Es necesario un mecanismo a escala de la UE que sirva de plataforma estratégica de coordinación y cooperación y que pueda encargarse de todo lo que se refiere a los aspectos generales del PEPIC y a las acciones sectoriales concretas. Por lo tanto, se creará un grupo de contacto de PIC. El grupo de contacto de PIC aglutinará los puntos de contacto de PIC de cada Estado miembro y estará presidido por la Comisión. Cada Estado miembro deberá designar un punto de contacto de PIC que coordinara los temas de PIC en el Estado miembro y con otros Estados miembros, con el Consejo y con la Comisión. La designación del punto del contacto de PIC no impedirá que otras autoridades del Estado miembro intervengan en cuestiones de PIC. 3. INFRAESTRUCTURAS CRÍTICAS EUROPEAS (ICE) Las infraestructuras críticas europeas son aquellas infraestructuras críticas designadas que son de mayor importancia para la Comunidad y cuya interrupción o destrucción afecte a dos o más Estados miembros, o a un solo Estado miembro si la infraestructura crítica está situada en otro Estado miembro. Esto incluye los efectos transfronterizos resultantes de interdependencias entre infraestructuras interconectadas en varios sectores. El procedimiento para identificar y designar las infraestructuras críticas europeas (ICE) y el enfoque común para la evaluación de las necesidades de mejorar la protección de tales infraestructuras se establecerán mediante una Directiva. 4. MEDIDAS PARA FACILITAR EL DESARROLLO Y APLICACIÓN DEL PEPIC La Comisión empleará varias medidas para facilitar la aplicación del PEPIC y fomentar los trabajos sobre PIC en la UE. 4.1. Plan de acción del PEPIC El PEPIC será un proceso continuo y será objeto de revisiones periódicas a través del plan de acción del PEPIC. El plan de acción determinará las actividades que deben realizarse junto con los plazos correspondientes. El plan de acción (anexo) se actualizará periódicamente en función de los avances realizados. El plan de acción del PEPIC organiza las actividades relacionadas con la PIC en torno a tres líneas de actividad: - Línea de actividad 1: se ocupará de los aspectos estratégicos del PEPIC y del desarrollo de medidas aplicables horizontalmente a todas las acciones de PIC; - Línea de actividad 2: se ocupará de las infraestructuras críticas europeas y se ejecutará a nivel sectorial - Línea de actividad 3: se ocupará de apoyar a los Estados miembros en sus actividades relacionadas con infraestructuras críticas nacionales El plan de acción del PEPIC se aplicará teniendo en cuenta las peculiaridades sectoriales y con la participación, según proceda, de otros interesados. 4.2. Red de información sobre alertas en infraestructuras críticas (CIWIN) La Red de información sobre alertas en infraestructuras críticas (CIWIN) se creará a partir de una propuesta separada de la Comisión y se prestará especial atención a evitar la duplicación. Servirá de plataforma para el intercambio de buenas prácticas de forma segura. La CIWIN será complementaria de las redes existentes y también podrá servir como plataforma opcional para el intercambio de alertas rápidas vinculada al sistema ARGUS de la Comisión. La necesaria acreditación de seguridad del sistema se realizará conforme a los procedimientos pertinentes. 4.3. Grupos de expertos El diálogo con los interesados es crucial para mejorar la protección de las infraestructuras críticas de la UE. Por lo tanto, cuando se necesite una experiencia específica, la Comisión podrá crear grupos de expertos en PIC a nivel de la UE para abordar aspectos claramente definidos y facilitar el diálogo público-privado referente a la protección de infraestructuras críticas. Los grupos de expertos apoyarán al PEPIC facilitando los intercambios de impresiones sobre temas relacionados con la PIC con carácter consultivo. Estos grupos de expertos constituyen un mecanismo voluntario en el que se mezclan los recursos públicos y privados para lograr un objetivo o un grupo de objetivos considerados de interés recíproco tanto para los ciudadanos como para el sector privado. Los grupos de expertos en PIC no sustituirán a otros grupos existentes ya establecidos o que puedan adaptarse para cumplir las necesidades del PEPIC, ni interferirán con los intercambios directos de información entre la industria, las autoridades de los Estados miembros y la Comisión. Los grupos de expertos en PIC a nivel de la UE tendrán un objetivo claramente establecido, un calendario para alcanzar su objetivo y unos miembros claramente identificados. Los grupos de expertos en PIC se disolverán cuando alcancen sus objetivos. Las funciones concretas de los grupos de expertos en PIC pueden variar según los sectores de las IC dependiendo de las peculiaridades de cada sector. Estas funciones pueden incluir las siguientes tareas: - Ayudar a identificar vulnerabilidades, interdependencias y buenas prácticas sectoriales; - Colaborar en el desarrollo de medidas para reducir y/o eliminar vulnerabilidades significativas y en el desarrollo de métricas de resultados; - Facilitar el intercambio de información y la formación sobre PIC y contribuir a generar confianza; - Desarrollar y promover "casos prácticos de empresas" para demostrar a los miembros del sector el valor de la participación en los planes e iniciativas de protección de infraestructuras; - Aportar experiencia y asesoramiento sectorial sobre temas tales como la investigación y desarrollo. 4.4. Procedimiento para compartir información sobre PIC El procedimiento para compartir información sobre PIC entre los interesados pertinentes requiere una relación de confianza, de manera que no se revele públicamente la información confidencial, sensible o personal que se ha compartido voluntariamente y que esos datos sensibles estén adecuadamente protegidos. Debe prestarse atención al respeto del derecho a la intimidad. Los interesados tomarán medidas apropiadas para proteger la información referente a aspectos tales como la seguridad de las infraestructuras críticas y los sistemas protegidos, los estudios de interdependencia y las evaluaciones de riesgos, de vulnerabilidad y de amenazas relacionadas con la PIC. Esta información sólo se utilizará con objeto de proteger las infraestructuras críticas. Todo el personal que maneje información clasificada será sometido al oportuno procedimiento de habilitación por parte del Estado miembro de su nacionalidad. Además, el intercambio de información sobre PIC reconocerá que cierta información sobre PIC, aunque no esté clasificada, puede ser sensible y por lo tanto debe tratarse con cuidado. El intercambio de información sobre PIC contribuirá a: - Una información y comprensión mejor y exacta de las interdependencias, las amenazas, las vulnerabilidades, los incidentes de seguridad, las contramedidas y las buenas prácticas para la protección de IC; - Una concienciación cada vez mayor sobre los temas relacionados con IC; - El diálogo entre las partes interesadas - Una formación, investigación y desarrollo mejor orientados; 4.5. Identificación de interdependencias La identificación y el análisis de interdependencias, de carácter tanto geográfico como sectorial, serán un elemento importante para mejorar la protección de las infraestructuras críticas de la UE. Este proceso continuo se nutrirá de la evaluación de vulnerabilidades, amenazas y riesgos referentes a infraestructuras críticas en la UE. 5. INFRAESTRUCTURAS CRÍTICAS NACIONALES (ICN) Con el debido respeto a las competencias comunitarias existentes, la responsabilidad de la protección de las infraestructuras críticas nacionales recae en los dueños/operadores de ICN y en los Estados miembros. La Comisión apoyará los esfuerzos Estados miembros en este ámbito cuando así se le solicite. Con objeto de mejorar la protección de infraestructuras críticas nacionales se anima a cada Estado miembro a establecer un programa nacional de PIC. El objetivo de tales programas es establecer el planteamiento de cada Estado miembro para la protección de infraestructuras críticas nacionales situadas en su territorio. Dichos programas abordarán como mínimo los siguientes temas: - La identificación y designación por el Estado miembro de las infraestructuras críticas nacionales según criterios nacionales predefinidos. Estos criterios serán desarrollados por cada Estado miembro teniendo en cuenta como mínimo los siguientes efectos cualitativos y cuantitativos de la interrupción o destrucción de una infraestructura particular: - Alcance - la interrupción o destrucción de una determinada infraestructura crítica será valorada según el alcance del área geográfica que podría resultar afectada por su pérdida o su indisponibilidad. - Gravedad - las consecuencias de la interrupción o destrucción de una infraestructura particular se evaluarán en función de su: - Efecto público (cantidad de población afectada); - Efecto económico (importancia de las pérdidas económicas y/o degradación de los productos o servicios); - Efecto medioambiental; - Efectos políticos; - Efectos psicológicos - Consecuencias para la salud pública Cuando no existan tales criterios, la Comisión ayudará a los Estados miembros, a petición de éstos, a desarrollarlos proporcionándoles las metodologías adecuadas. - Establecimiento de un diálogo con los dueños/operadores de PIC. - Identificación de interdependencias geográficas y sectoriales. - Elaboración de planes de intervención relacionados con las ICN cuando se considere pertinente. - Se exhorta a los Estados miembros a que basen su programa nacional de PIC en la lista común de sectores de IC elaborada para las ICE. La utilización de planteamientos similares para la protección de ICN en los Estados miembros contribuirá a garantizar que los interesados en IC en Europa no están sujetos a marcos distintos que generen costes adicionales y que no se falsea el mercado interior. 6. PLANES DE INTERVENCIÓN Los planes de intervención son un elemento clave del proceso de PIC a fin de minimizar los posibles efectos de una interrupción o una destrucción de una infraestructura crítica. El desarrollo de un planteamiento coherente para la elaboración de planes de intervención que afronten problemas tales como la participación de los dueños/operadores de infraestructuras críticas, la cooperación con las autoridades nacionales y la información compartida entre países vecinos debería cosntituir un elemento importante de la ejecución del Programa europeo de protección de infraestructuras críticas. 7. DIMENSIÓN EXTERIOR El terrorismo, otras actividades delictivas, las catástrofes naturales y otras causas de accidente no conocen fronteras. Las amenazas no pueden verse en un contexto meramente nacional. Por ello, la dimensión exterior de la protección de infraestructuras críticas debe tenerse plenamente en cuenta al aplicar el PEPIC. La naturaleza interconectada e interdependiente de la economía y la sociedad actuales significa que incluso una interrupción en el exterior de las fronteras de la UE puede tener un impacto importante en la Comunidad y en sus Estados miembros. Dei mismo modo, la interrupción o destrucción de una infraestructura crítica en la UE puede producir un efecto perjudicial en los socios de la UE. Por último, los avances en pos del incremento de la protección de las infraestructuras críticas en la UE reducirán el riesgo de que la economía de la UE se vea perturbada contribuyendo de este modo a la competitividad económica general de la UE. Por lo tanto, reforzar la cooperación en PIC más allá de la UE mediante medidas tales como memorandos de acuerdo específicos sectoriales (p. ej. sobre el desarrollo de estándares comunes, realización de estudios conjuntos relativos a la PIC, identificación de tipos de amenazas comunes y mejora de las buenas prácticas en materia de medidas de protección) y fomentar el aumento de los niveles de PIC fuera de la UE deberían constituir elementos importantes del PEPIC. La cooperación exterior en materia de PIC se centrará fundamentalmente en los países vecinos de la UE. Sin embargo, teniendo en cuenta que de ciertos sectores , incluidos las TIC y los mercados financieros, están conectados entre sí a escala global, se velaría por un planteamiento más global. No obstante, todos los socios pertinentes de la UE y las organizaciones internacionales deberían participar en el diálogo y el intercambio de buenas prácticas. La Comisión también seguirá fomentando las mejoras en la protección de infraestructuras críticas de países no pertenecientes a la UE trabajando con el G8, Euromed y con los socios en la Política Europea de Vecindad a través de las estructuras y políticas existentes, incluido el "Instrumento para la estabilidad". 8. MEDIDAS FINANCIERAS COMPLEMENTARIAS El programa comunitario de "prevención, preparación y gestión de las consecuencias del terrorismo y de otros riesgos relacionados con la seguridad" para el período 2007-2013 contribuirá a la aplicación del PEPIC. Entre los objetivos generales, y a menos que estén cubiertos por otros instrumentos financieros, el programa estimulará, promoverá y desarrollará medidas de prevención, preparación y gestión de las consecuencias, dirigidas a prevenir o reducir todos los riesgos de seguridad, en especial los ligados al terrorismo, basándose, cuando proceda, en evaluaciones exhaustivas de los riesgos y amenazas. La financiación al amparo del programa, mediante subvenciones y acciones emprendidas por la Comisión, se utilizará en especial para el desarrollo de instrumentos, estrategias, metodologías, estudios, evaluaciones y actividades/medidas en el campo de la protección efectiva de infraestructuras críticas (tanto a nivel de la UE como de los Estados miembros). ANEXO Plan de acción del PEPIC Línea de actividad 1. Estrategias consecutivas del PEPIC La línea de actividad 1 servirá de plataforma estratégica para la coordinación y la cooperación general en materia del PEPIC a través del Grupo de contacto de PIC de la UE. Fase 1 Acción | Ejecutor | Calendario | Identificación de sectores de actividad prioritarios (Los sectores del transporte y la energía figurarán entre las primeras prioridades) | Comisión | Cuanto antes y luego anualmente | Desarrollo de definiciones y terminología de trabajo comunes de IC basadas en sectores | Comisión, EM y otros interesados cuando proceda | Por lo menos un año a partir de la entrada en vigor de la Directiva ICE | Elaboración de criterios generales que deben utilizarse en la identificación de ICE | Comisión, EM y otros interesados cuando proceda | Por lo menos un año a partir de la entrada en vigor de la Directiva ICE | Creación de un inventario de los programas de protección de infraestructuras críticas existentes a escala nacional, bilateral y de la UE | Comisión, EM | En curso | Creación y acuerdo sobre directrices para la recopilación y uso de datos sensibles entre los interesados | Comisión, EM y otros interesados cuando proceda | En curso | Recopilación de buenas prácticas, herramientas y metodologías de evaluación del riesgo relacionadas con la PIC | Comisión, EM y otros interesados cuando proceda Estado miembro | En curso | Estudios de la Comisión sobre interdependencias | Comisión, EM y otros interesados cuando proceda | En curso | Fase 2 Acción | Ejecutor | Calendario | Identificación de los fallos en los que las iniciativas comunitarias tendrían un valor añadido | Comisión, EM y otros interesados cuando proceda | En curso | Cuando proceda, creación de grupos sectoriales de expertos en PIC a nivel de la UE | Comisión, EM y otros interesados cuando proceda | En curso | Identificación de propuestas de medidas de PIC que podrían financiarse a nivel de la UE | Comisión, EM | En curso | Inicio de la financiación de la UE para actividades de PIC | Comisión | En curso | Fase 3 Acción | Ejecutor | Calendario | Inicio de la cooperación con terceros países y organizaciones internacionales; | Comisión, EM | En curso | Línea de actividad 2. Protección de las infraestructuras críticas europeas (ICE) La línea de actividad 2 se centrará en reducir la vulnerabilidad de las ICE. Fase 1 Acción | Ejecutor | Calendario | Elaboración de criterios sectoriales específicos que deben utilizarse para la identificación de ICE | Comisión, EM y otros interesados cuando proceda | Por lo menos un año a partir de la entrada en vigor de la Directiva ICE | Fase 2 Acción | Ejecutor | Calendario | Identificación y verificación por sectores de la IC que podría considerarse ICE | Comisión, EM | Por lo menos un año a partir de la adopción de los criterios pertinentes y luego de forma permanente | Designación de ICE | Comisión, EM | En curso | Identificación de vulnerabilidades, amenazas y riesgos para ICE concretas incluido el establecimiento de Planes de seguridad para los operadores (PSO). | Comisión, EM, propietarios/operadores de ICE (informe genérico a la Comisión) | Por lo menos un año a partir de la designación como ICE | Evaluación de si son necesarias medidas de protección y de si se necesitan medidas a nivel de la UE | Comisión, EM y otros interesados cuando proceda | Por lo menos 18 meses a partir de la designación como ICE | Evaluación del planteamiento de cada Estado miembro en cuanto a los niveles de alerta referentes a infraestructuras designadas como ICE. Lanzamiento de un estudio de viabilidad de la calibración o armonización de dichas alertas. | Comisión, EM | En curso | Fase 3 Acción | Ejecutor | Calendario | Desarrollo y adopción de propuestas de medidas mínimas de protección referentes a ICE | Comisión, Estados miembros, propietarios/operadores de ICE | Tras evaluar si son necesarias medidas de protección y si se necesitan medidas a nivel de la UE | Aplicación de medidas mínimas de protección | Estados miembros, propietarios/operadores de ICE | En curso | Línea de actividad 3. Apoyo relacionado con las ICN La línea de actividad 3 es una línea de actividad propia para cada Estado miembro para ayudarle a proteger las ICN. Fase 1 Acción | Ejecutor | Calendario | Intercambio de información sobre los criterios utilizados para identificar las ICN | Estados miembros (la Comisión puede asistir cuando se le pida) | En curso | Fase 2 Acción | Ejecutor | Calendario | Identificación y verificación por sectores de la IC que podría considerarse ICN | EM y otros interesados cuando proceda | En curso | Designación de las IC como ICN | Estados miembros | En curso | Análisis de los fallos de seguridad existentes en relación con ICN sobre una base sectorial | EM y otros interesados cuando proceda (la Comisión puede asistir cuando se le pida) | En curso | Fase 3 Acción | Ejecutor | Calendario | Establecimiento y desarrollo de los programas nacionales de PIC | Estados miembros (la Comisión puede asistir cuando se le pida) | En curso | Desarrollo de medidas específicas de protección para cada ICN | Estados miembros, ICN (la Comisión puede asistir cuando se le pida) | En curso | Supervisar que los dueños/operadores llevan a cabo las medidas de aplicación necesarias | Estados miembros | En curso | [1] La Comisión tiene la intención de presentar una Comunicación sobre la protección de las infraestructuras críticas euro