(1)

Sisämarkkinoiden toiminnan turvaamiseksi on kaikkien jäsenvaltioiden ja koko unionin edun mukaista selkeästi tunnistaa ja suojella asiaankuuluvaa kriittistä infrastruktuuria, joka tarjoaa keskeisiä palveluita sisämarkkinoilla, etenkin keskeisillä aloilla, kuten energia, digitaalinen infrastruktuuri, liikenne ja avaruus, sekä kriittistä infrastruktuuria, jolla on huomattavaa rajatylittävää merkitystä (1) ja johon kohdistuvat häiriöt voisivat merkittävästi vaikuttaa muihin jäsenvaltioihin.

(2)

Tämä suositus, joka on ei-sitova toimi, osoittaa jäsenvaltioiden poliittista tahtoa tehdä yhteistyötä ja sitoutua suositettuihin toimenpiteisiin, joita korostetaan Euroopan komission puheenjohtajan esittämässä viisikohtaisessa suunnitelmassa, ottaen jäsenvaltioiden toimivallan täysin huomioon. Tämä suositus ei vaikuta jäsenvaltioiden keskeisten kansalliseen turvallisuuteen, julkiseen turvallisuuteen tai puolustukseen liittyvien etujen suojaamiseen, eikä minkään jäsenvaltion olisi oletettava jakavan näitä etuja haittaavaa tietoa.

(3)

Vaikka ensisijainen vastuu kriittisen infrastruktuurin tarjoamien keskeisten palveluiden turvaamisen ja tarjoamisen varmistamisesta on jäsenvaltioilla ja niiden kriittisen infrastruktuurin ylläpitäjillä, koordinoinnin lisääminen unionin tasolla on aiheellista erityisesti, kun otetaan huomioon kehittymässä olevat uhat, jotka voivat vaikuttaa useisiin jäsenvaltioihin yhtä aikaa, kuten Venäjän hyökkäyssota Ukrainaa vastaan ja hybridikampanjat jäsenvaltioita vastaan, tai jotka voivat vaikuttaa unionin talouden, sisämarkkinoiden ja koko yhteiskunnan häiriönsietokykyyn ja moitteettomaan toimintaan. Erityistä huomiota pitäisi kiinnittää kriittiseen infrastruktuuriin, joka on jäsenvaltioiden alueen ulkopuolella, kuten merenalaiseen kriittiseen infrastruktuuriin tai merellä tuotettavan energian infrastruktuuriin.

(4)

Eurooppa-neuvosto tuomitsi 20 päivänä ja 21 päivänä lokakuuta 2022 hyväksymissään päätelmissä jyrkästi kriittiseen infrastruktuuriin, kuten Nord Stream -kaasuputkiin, kohdistuvan sabotaasin ja ilmoitti unionin aikovan vastata yhtenäisesti ja määrätietoisesti kaikkiin kriittiseen infrastruktuuriin tahallisesti aiheutettuihin häiriöihin ja muihin hybriditoimiin.

(5)

Kun otetaan huomioon nopeasti kehittyvä uhkaympäristö, häiriönsietokykyä vahvistavia toimenpiteitä olisi toteutettava ensisijaisena asiana keskeisillä aloilla, kuten energian, digitaalisen infrastruktuurin, liikenteen ja avaruuden alalla, sekä muilla jäsenvaltioiden määrittämillä asiaankuuluvilla aloilla. Tällaisissa toimenpiteissä olisi keskityttävä vahvistamaan kriittisen infrastruktuurin häiriönsietokykyä siten, että otetaan huomioon asiaankuuluvat riskit, etenkin ketjureaktiovaikutukset, toimitusketjun häiriöt, riippuvuus, ilmastonmuutoksen vaikutukset, epäluotettavat myyjät ja kumppanit sekä hybridiuhat ja -kampanjat, myös ulkomainen tiedonmanipulointi ja häirintä. Kun on kyse kansallisesta kriittisestä infrastruktuurista ja kun otetaan huomioon mahdolliset seuraukset, etusijalle olisi asetettava kriittinen infrastruktuuri, jolla on huomattavaa rajatylittävää merkitystä. Jäsenvaltioita kannustetaan tarvittaessa toteuttamaan tällaisia häiriönsietokykyä vahvistavia toimenpiteitä kiireellisesti säilyttäen samalla muuttuvassa oikeudellisessa kehyksessä määritellyn lähestymistavan.

(6)

Euroopan energia- ja liikennealojen kriittisen infrastruktuurin suojaamista säännellään tällä hetkellä neuvoston direktiivillä 2008/114/EY (2), ja Euroopan parlamentin ja neuvoston direktiivillä 2016/1148 (3) taataan verkko- ja tietojärjestelmien turvallisuuden varmistaminen koko unionissa etenkin kyberuhkien osalta. Kriittisen infrastruktuurin, kyberturvallisuuden ja finanssimarkkinoiden yhteisen korkeatasoisemman häiriönsietokyvyn ja turvaamisen varmistamiseksi olemassa olevaa oikeudellista kehystä muutetaan ja täydennetään hyväksymällä kriittisiin toimijoihin sovellettavia uusia sääntöjä (CER-direktiivi), tiukennettuja sääntöjä yhteisestä korkeasta kyberturvatasosta koko unionissa (NIS 2 -direktiivi) ja uusia sääntöjä finanssialan digitaalisesta häiriönsietokyvystä (DORA).

(7)

Jäsenvaltioiden olisi unionin ja kansallisen lainsäädännön mukaisesti käytettävä kaikkia saatavilla olevia välineitä fyysisen häiriönsietokyvyn ja kyberuhkien sietokyvyn edistämiseksi ja vahvistamiseksi. Tässä yhteydessä kriittinen infrastruktuuri olisi ymmärrettävä siten, että se sisältää asiaankuuluvan kriittisen infrastruktuurin, jonka joko jäsenvaltio on määritellyt kansallisella tasolla tai joka direktiivin 2008/114/EY mukaan on nimetty eurooppalaiseksi kriittiseksi infrastruktuuriksi, sekä CER-direktiivin mukaan määriteltävät kriittiset toimijat tai tarvittaessa NIS 2 -direktiivin mukaiset toimijat. Häiriönsietokyvyn käsite olisi ymmärrettävä siten, että sillä tarkoitetaan kriittisen infrastruktuurin kykyä ehkäistä, torjua tai lieventää tapahtumia, jotka merkittävästi häiritsevät tai voivat merkittävästi häiritä keskeisten palveluiden tarjoamista sisämarkkinoilla, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida tai sopeutua niihin tai palautua niistä. Keskeisillä palveluilla tarkoitetaan elintärkeiden yhteiskunnallisten ja taloudellisten toimintojen ylläpidon, yleisen järjestyksen ja turvallisuuden, väestön terveyden tai ympäristön kannalta välttämättömiä palveluja.

(8)

Kansalliset asiantuntijat olisi kutsuttava koolle toimien koordinoimiseksi, jotta saavutetaan yhteinen korkeampitasoinen kriittisen infrastruktuurin häiriönsietokyky ja turvaaminen, joka otetaan käyttöön kriittisiin toimijoihin sovellettavien uusien sääntöjen mukaisesti. Koordinoidut toimet mahdollistaisivat jäsenvaltioiden välisen yhteistyön ja sellaista toimintaa kuin kriittisen infrastruktuurin tarjoamien keskeisten palveluiden tunnistamismenetelmien laatimista koskevan tietojenvaihdon. Komissio on jo käynnistänyt asiantuntijoiden kokoonkutsumisen ja ryhtynyt edistämään heidän työtään ja aikoo jatkaa näitä toimiaan. Kun CER-direktiivi on tullut voimaan ja direktiivin mukainen kriittisten toimijoiden häiriönsietokykyä käsittelevä ryhmä on perustettu, ryhmän olisi jatkettava tällaista ennakoivaa työtä tehtäviensä mukaisesti.

(9)

Koska uhkaympäristö on muuttunut, kansallisella tasolla toteutettavien kriittisen infrastruktuurin stressitestien suoritusmahdollisuuksia olisi kehitettävä edelleen, sillä tällaiset testit voisivat hyödyttää kriittisen infrastruktuurin häiriönsietokyvyn vahvistamista. Kun otetaan huomioon energia-alan erityinen merkitys ja siihen kohdistuvasta mahdollisesta häiriöstä aiheutuvat unionin laajuiset seuraukset, kyseinen ala voisi eniten hyötyä yhteisesti sovittuihin periaatteisiin perustuvien stressitestien suorittamisesta. Tällaiset stressitestit kuuluvat jäsenvaltioiden toimivaltaan, ja jäsenvaltioiden olisi kannustettava kriittisen infrastruktuurin ylläpitäjiä testien suorittamiseen ja tuettava niitä siinä, silloin kun niistä katsotaan olevan hyötyä ja kansallisten oikeudellisten kehysten mukaisesti.

(10)

Jotta voidaan varmistaa koordinoitu ja toimiva reagointi tämänhetkisiin ja ennakoituihin uhkiin, komissiota kannustetaan kohdentamaan jäsenvaltioille lisätukea erityisesti antamalla asiaankuuluvaa tietoa katsausten, ei-sitovien käsikirjojen ja suuntaviivojen muodossa. Euroopan ulkosuhdehallinnon (EUH) olisi laadittava uhka-arvioita erityisesti EU:n tiedusteluanalyysikeskuksen ja sen hybridianalyysikeskuksen välityksellä ja Euroopan unionin sotilasesikunnan (EUMS) tiedusteluosaston tuella yhtenäisen tiedustelun analysointikyvyn (SIAC) puitteissa. Komissiota kehotetaan myös yhteistyössä jäsenvaltioiden kanssa edistämään unionin rahoittamien tutkimus- ja innovointihankkeiden käyttöönottoa.

(11)

Fyysisen ja digitaalisen infrastruktuurin keskinäisen riippuvuuden lisääntyessä on mahdollista, että kriittisille aloille suunnatut haitalliset kybertoimet aiheuttavat häiriöitä tai vahinkoa fyysiselle infrastruktuurille, tai että fyysisen infrastruktuurin sabotointi katkaisee digitaalisten palvelujen saatavuuden. Jäsenvaltioita kehotetaan nopeuttamaan valmistelutyötä, joka koskee kriittisiin toimijoihin sovellettavan uuden oikeudellisen kehyksen ja kyberturvallisuutta koskevan tiukennetun oikeudellisen kehyksen saattamista osaksi kansallista lainsäädäntöä ja niiden soveltamista, ja hyödyntämään suunnittelutyössä direktiivillä (EU) 2016/1148 perustetusta yhteistyöryhmästä (verkko- ja tietoturva-alan yhteistyöryhmä) saatuja kokemuksia, toimimaan mahdollisimman pian ja pitämään samalla mielessä kansalliseksi lainsäädännöksi saattamisen määräajat ja sen, että tällaisen valmistelutyön tulisi edistyä samanaikaisesti ja yhtenäisesti.

(12)

Varautumisen parantamisen lisäksi on tärkeää vahvistaa valmiuksia reagoida nopeasti ja vaikuttavasti häiriöön, joka vaikuttaa kriittisen infrastruktuurin tarjoamien keskeisten palvelujen tarjontaan. Sen vuoksi tämä suositus sisältää sekä unionin että jäsenvaltioiden tasolla toteutettavia toimenpiteitä ja myös korostaa tukevaa roolia ja lisäarvoa, joka voidaan saavuttaa tehostamalla Euroopan parlamentin ja neuvoston päätöksellä N:o 1313/2013/EU (4) perustetun unionin pelastuspalvelumekanismin puitteissa tehtävää yhteistyötä ja tietojenvaihtoa ja käyttämällä Euroopan parlamentin ja neuvoston asetuksella 2021/696 (5) perustetun unionin avaruusohjelman asiaankuuluvia resursseja.

(13)

Komissio, unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja, jäljempänä ’korkea edustaja’, ja verkko- ja tietoturva-alan yhteistyöryhmä yhteistyössä asiaankuuluvien siviili- ja sotilasalan elinten ja virastojen ja vakiintuneiden verkostojen, kuten Euroopan kyberkriisien yhteysorganisaatioiden verkoston (EU-CyCLONe), kanssa suorittavat riskinarvioinnin ja laativat riskiskenaarioita. Lisäksi Neversissä esitetyn yhteisen ministeritahon kehotuksen johdosta verkko- ja tietoturva-alan yhteistyöryhmä laatii riskinarviointia parhaillaan komission ja Euroopan unionin kyberturvallisuusviraston (ENISA) tuella ja yhteistyössä Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelimen (BEREC) kanssa. Kyseiset kaksi hanketta toteutetaan yhdenmukaisesti ja koordinoiden työtä unionin pelastuspalvelumekanismin alaisten skenaarioiden laatimisen kanssa, mukaan lukien kyberturvallisuustapahtumat ja niiden käytännön vaikutukset, jota komissio ja jäsenvaltiot parhaillaan kehittävät. Tehokkuuden, toimivuuden ja yhdenmukaisuuden sekä tämän suosituksen moitteettoman soveltamisen vuoksi näiden hankkeiden tulosten tulisi näkyä kansallisella tasolla.

(14)

Jotta voidaan välittömästi vahvistaa varautumista ja valmiuksia reagoida laajamittaisiin kyberturvallisuuspoikkeamiin, komissio on perustanut lyhyen aikavälin ohjelman, jolla jäsenvaltioita tuetaan ENISAlle osoitetun lisärahoituksen välityksellä. Ehdotettuihin palveluihin kuuluu muun muassa varautumistoimia, kuten toimijoiden tietoturvallisuuden tason testausta haavoittuvuuksien tunnistamiseksi. Lisäksi ohjelmalla voidaan lisätä mahdollisuuksia avustaa jäsenvaltioita kriittisiin toimijoihin vaikuttavien laajamittaisten kyberturvallisuuspoikkeamien yhteydessä. Tämä on ensimmäinen toimi, joka toteutetaan Euroopan unionin kybertoimien kehittämisestä 23 päivänä toukokuuta 2022 annettujen neuvoston päätelmien johdosta. Niissä komissiota pyydetään myös esittämään ehdotus kyberturvallisuuden hätärahastosta. Jäsenvaltioiden olisi hyödynnettävä näitä mahdollisuuksia täysipainoisesti ja sovellettavien vaatimusten mukaisesti, ja niitä kannustetaan jatkamaan toimia unionin kyberturvallisuuskriisien hallinnan alalla, erityisesti seuraamalla säännöllisesti ja arvioimalla neuvoston vastikään kehittämän kyberkriisien hallintaa koskevan etenemissuunnitelman täytäntöönpanossa saavutettua edistymistä. Tämä etenemissuunnitelma kehittyy jatkuvasti, ja sitä pitäisi tarvittaessa tarkistaa ja päivittää.

(15)

Maailmanlaajuiset merenalaiset tietoliikennekaapelit ovat olennaisen tärkeitä maailmanlaajuisten ja EU:n sisäisten yhteyksien kannalta. Koska tällaiset kaapelit ovat huomattavan pitkiä ja ne on laskettu merenpohjaan, useimpien kaapeliosuuksien visuaalinen seuranta veden alla on äärimmäisen haastavaa. Tällaisiin kaapeleihin liittyvä jaettu toimivalta ja muut toimivaltakysymykset muodostavat erityistapauksen infrastruktuurin suojaamiseen ja kunnostamiseen liittyvän eurooppalaisen ja kansainvälisen yhteistyön saralla. Sen vuoksi on tarpeen täydentää digitaalisten palvelujen perustana olevaa digitaalista ja fyysistä infrastruktuuria koskevia meneillään olevia ja suunniteltuja riskinarviointeja erityisillä riskinarvioinneilla ja vaihtoehdoilla merenalaisia tietoliikennekaapeleita koskeviksi riskinvähentämistoimenpiteiksi. Jäsenvaltiot kehottavat komissiota tekemään kyseistä tarkoitusta varten selvityksiä ja tiedottamaan havainnoistaan jäsenvaltioille.

(16)

Digitaaliseen infrastruktuuriin liittyvät uhat voivat vaikuttaa myös energia- ja liikennealoihin, esimerkiksi digitaalisia komponentteja sisältäviin energiateknologioihin. Asiaan liittyvien toimitusketjujen turvallisuus on tärkeässä asemassa keskeisten palvelujen tarjonnan jatkuvuuden ja energia-alan kriittisen infrastruktuurin strategisen valvonnan kannalta. Nämä näkökohdat olisi otettava huomioon toteutettaessa toimenpiteitä, joilla parannetaan kriittisen infrastruktuurin häiriönsietokykyä tämän suosituksen mukaisesti.

(17)

Koska avaruusinfrastruktuurilla, avaruuteen liittyvillä maaresursseilla, kuten tuotantolaitoksilla, ja avaruusteknologiaan perustuvilla palveluilla on yhä suurempi merkitys turvallisuuteen liittyvien toimien kannalta, on olennaisen tärkeää varmistaa unionin avaruus- ja maaresurssien ja -palvelujen häiriönsietokyky ja suojaaminen unionin sisällä. Samasta syystä on myös olennaista tämän suosituksen perusteella hyödyntää avaruusjärjestelmistä ja -ohjelmista saatavia avaruusteknologiaan perustuvia dataa ja palveluja jäsennellymmin muiden alojen kriittisen infrastruktuurin valvontaan, seurantaan ja suojaamiseen. Tulevassa turvallisuutta ja puolustusta tukevassa EU:n avaruusstrategiassa on määrä ehdottaa tältä osin asianmukaisia toimia, jotka olisi otettava huomioon tämän suosituksen täytäntöönpanossa.

(18)

Myös kansainvälisen tason yhteistyötä tarvitaan, jotta voidaan tehokkaasti vastata muun muassa kansainvälisillä vesillä olevaan kriittiseen infrastruktuuriin kohdistuviin riskeihin. Sen vuoksi jäsenvaltioita kehotetaan tekemään yhteistyötä komission ja korkean edustajan kanssa, jotta voidaan toteuttaa tiettyjä toimia tämän tavoitteen saavuttamiseksi, ottaen huomioon, että tällaiset toimet on toteutettava ainoastaan kullekin osapuolelle unionin lainsäädännön ja erityisesti perussopimuksiin sisältyvien ulkosuhteita koskevien määräysten nojalla kuuluvien tehtävien ja vastuualueiden mukaisesti.

(19)

Kuten komissio asiakirjan ”Turvallisuus- ja puolustusalan strateginen kompassi – Euroopan unioni, joka suojaa kansalaisiaan, arvojaan ja etujaan sekä edistää kansainvälistä rauhaa ja turvallisuutta” tueksi 15 päivänä helmikuuta 2022 antamassaan tiedonannossa ”Komission panos Euroopan puolustukseen” toteaa, komissio arvioi vuoteen 2023 mennessä yhteistyössä korkean edustajan ja jäsenvaltioiden kanssa alakohtaisia hybridiresilienssin perustasoja puutteiden ja tarpeiden tunnistamiseksi sekä pohtii keinoja niiden käsittelemiseksi. Kyseinen aloite olisi otettava huomioon tämän suosituksen nojalla tehtävässä työssä, jolla lujitetaan tiedonvaihtoa ja toimien koordinointia ja vahvistetaan edelleen häiriönsietokykyä, myös kriittisen infrastruktuurin häiriönsietokykyä.

(20)

EU:n merellisessä turvallisuusstrategiassa vuodelta 2014 ja siihen liittyvässä tarkistetussa toimintasuunnitelmassa kehotettiin parantamaan kriittisen meri-infrastruktuurin suojelua, mukaan luettuina vedenalainen infrastruktuuri ja erityisesti merten liikenne-, energia- ja viestintäinfrastruktuuri, muun muassa lisäämällä meritilannetietoisuutta yhteentoimivuuden parantamisen ja tiedonvaihdon virtaviivaistamisen avulla (pakolliset ja vapaaehtoiset toimet). Kyseisiä strategiaa ja toimintasuunnitelmaa ollaan parhaillaan päivittämässä, ja niihin sisällytetään tehostettuja toimia kriittisen meri-infrastruktuurin suojelemiseksi. Kyseisten toimien olisi täydennettävä tätä suositusta.

(21)

Kriittisen infrastruktuurin häiriönsietokyvyn vahvistaminen on osa laajempia toimia unioniin ja sen jäsenvaltioihin kohdistuvien hybridiuhkien ja -kampanjoiden torjumiseksi. Tämä suositus perustuu Euroopan parlamentin ja neuvoston yhteiseen tiedonantoon ”Yhteinen kehys hybridiuhkien torjumiseksi: Euroopan unionin toimet”. Yhteisen kehyksen toimella 1 eli hybridiriskiselvityksellä on keskeinen rooli, kun määritetään haavoittuvuuksia, jotka saattavat vaikuttaa kansallisiin ja Euroopan laajuisiin rakenteisiin ja verkostoihin. Lisäksi EU:n koordinoidun hybridikampanjoihin reagoinnin puitteista 21 päivänä kesäkuuta 2022 annettujen neuvoston päätelmien täytäntöönpano vahvistaa koordinoituja toimia EU:n hybridivälineistön soveltamisen kautta kaikilla asiaankuuluvilla aloilla,

1)

2)

3)

4)

5)

6)

7)

8)

9)

10)

11)

12)

13)

14)

15)

16)

17)

Näiden nimettyjen asiantuntijoiden työssä olisi kiinnitettävä erityistä huomiota eri alojen keskinäisiin riippuvuussuhteisiin ja rajatylittävältä kannalta erityisen merkittävään kriittiseen infrastruktuuriin, ja neuvoston ja komission olisi tarvittaessa toteutettava jatkotoimia.

18)

19)

20)

21)

22)

23)

24)

25)

26)

27)

28)

29)

30)

31)

32)

33)

34)

35)

36)

37)

38)