EUROOPAN KOMISSIO
Strasbourg 18.10.2022
COM(2022) 551 final
2022/0338(NLE)
Ehdotus
NEUVOSTON SUOSITUS
unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN KOMISSIO
Strasbourg 18.10.2022
COM(2022) 551 final
2022/0338(NLE)
Ehdotus
NEUVOSTON SUOSITUS
unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen
(ETA:n kannalta merkityksellinen teksti)
PERUSTELUT
1.EHDOTUKSEN TAUSTA
•Ehdotuksen perustelut ja tavoitteet
Turvallisuus kuuluu Euroopan unionin keskeisiin tavoitteisiin. Vaikka ensisijainen vastuu kansalaisten suojaamisesta on jäsenvaltioilla, unionin tason yhteisillä toimilla edistetään merkittävästi koko EU:n turvallisuutta. Koordinoinnin avulla voidaan lujittaa selviytymis- ja palautumiskykyä, lisätä valppautta ja vahvistaa yhteistä reagointia. EU:n turvallisuusunionin puitteissa on toteutettu merkittäviä toimia, joilla on pyritty kehittämään valmiuksia ja voimavaroja monien turvallisuusuhkien ennaltaehkäisyä ja havaitsemista sekä niitä koskevaa nopeaa reagointia varten sekä liittämään julkisen ja yksityisen sektorin toimijat mukaan yhteisiin pyrkimyksiin.
EU:n varustaminen selviytymään jatkuvasti muuttuvassa uhkaympäristössä edellyttää jatkuvaa valppautta ja sopeutumista. Venäjän hyökkäyssota Ukrainaa vastaan on tuonut mukanaan uusia riskejä, jotka yhdistyvät usein hybridiuhkiksi. Yksi näistä on riski häiriöistä, jotka kohdistuvat Euroopan kriittistä infrastruktuuria ylläpitävien toimijoiden suorittamaan keskeisten palvelujen tarjontaan. Tämä on käynyt vielä ilmeisemmäksi muun muassa Nord Stream -kaasuputkiin kohdistuneen ilmeisen sabotaasin ja muiden viimeaikaisten tapahtumien myötä. Yhteiskunta on vahvasti riippuvainen sekä fyysisestä että digitaalisesta infrastruktuurista. Keskeisten palvelujen tarjonnan keskeytyminen joko tavanomaisten fyysisten hyökkäysten tai kyberhyökkäysten taikka näiden yhdistelmän johdosta voi aiheuttaa vakavia seurauksia kansalaisten hyvinvoinnille, maidemme talouksille ja demokraattisia järjestelmiä kohtaan tunnetulle luottamukselle.
EU:n keskeisiin tavoitteisiin kuuluu myös sisämarkkinoiden moitteettoman toiminnan varmistaminen, myös kriittistä infrastruktuuria ylläpitävien toimijoiden tarjoamien keskeisten palvelujen osalta. Sen vuoksi EU onkin jo toteuttanut useita toimenpiteitä vähentääkseen haavoittuvuuksia ja parantaakseen kriittisten toimijoiden häiriönsietokykyä sekä kyberriskien että muiden riskien osalta.
On tarpeen ryhtyä kiireellisiin toimiin, joilla parannetaan EU:n valmiuksia selviytyä mahdollisista kriittiseen infrastruktuuriin kohdistuvista hyökkäyksistä pääasiassa itse EU:ssa mutta tarvittaessa myös sen välittömässä läheisyydessä.
Ehdotetulla neuvoston suosituksella pyritään tehostamaan EU:n tukea kriittisen infrastruktuurin häiriönsietokyvyn parantamiselle ja varmistamaan varautumisen ja reagoinnin koordinointi EU-tasolla. Suosituksen tavoitteena on maksimoida toimet talouden toiminnan kannalta välttämättömien resurssien, tilojen ja järjestelmien suojaamiseksi ja sellaisten keskeisten palvelujen tarjoamiseksi sisämarkkinoilla, joista kansalaiset ovat riippuvaisia, ja vauhdittaa näitä toimia sekä lieventää mahdollisten hyökkäysten vaikutuksia varmistamalla mahdollisimman nopea palautuminen. Kaikkea tällaista infrastruktuuria olisi suojattava, mutta ensi sijalle asetetaan tällä hetkellä energia-, liikenne- ja avaruusala sekä digitaalinen infrastruktuuri, koska ne ovat luonteeltaan yhteiskunnan ja talouden kannalta erityisen horisontaalisia ja tuoreimmat riskinarvioinnit viittaavat tähän tarpeeseen.
EU:lla on erityinen rooli maa- tai merirajojen yli ulottuvan infrastruktuurin häiriönsietokyvyn varmistamisessa, sillä tällainen infrastruktuuri vaikuttaa useiden jäsenvaltioiden etuihin tai sitä käytetään rajatylittävien keskeisten palvelujen tarjoamiseen. Useiden jäsenvaltioiden kannalta merkityksellinen kriittinen infrastruktuuri saattaa kuitenkin sijaita vain yhdessä jäsenvaltiossa tai jopa jäsenvaltion alueen ulkopuolella, esimerkiksi merenalaisten kaapeleiden tai putkistojen tapauksessa. On kaikkien jäsenvaltioiden ja koko EU:n etujen mukaista määrittää selkeästi kriittinen infrastruktuuri ja niitä ylläpitävät toimijat sekä niitä uhkaavat riskit ja sitoutua yhdessä niiden suojaamiseen.
Euroopan parlamentti ja neuvosto ovat jo päässeet poliittiseen yhteisymmärrykseen EU:n lainsäädäntökehyksen syventämisestä kriittisen infrastruktuurin ylläpitäjien häiriönsietokyvyn vahvistamiseksi. Kesällä 2022 saavutettu yhteisymmärrys koskee kriittisten toimijoiden häiriönsietokyvystä annettavaa direktiiviä 1 ja tarkistettua verkko- ja tietojärjestelmien turvallisuudesta annettavaa direktiiviä (tarkistettu verkko- ja tietoturvadirektiivi) 2 . Ne tehostavat merkittävästi valmiuksia verrattuna nykyiseen lainsäädäntökehykseen, jonka muodostavat Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä sekä arvioinnista, joka koskee tarvetta parantaa sen suojaamista, 8 päivänä joulukuuta 2008 annettu direktiivi 2008/114/EY 3 , jäljempänä ’ECI-direktiivi’, ja toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148 4 , jäljempänä ’verkko- ja tietoturvadirektiivi’. Uuden lainsäädännön odotetaan tulevan voimaan vuoden 2022 lopussa tai vuoden 2023 alussa, ja jäsenvaltioiden on asetettava etusijalle sen saattaminen osaksi kansallista lainsäädäntöä ja unionin oikeuden mukainen soveltaminen.
Koska myös Venäjän Ukrainaa vastaan käymästä hyökkäyssodasta johtuvia uhkia on mahdollisesti torjuttava kiireellisesti, uudessa lainsäädännössä esitettyjä toimia olisi mahdollisuuksien mukaan ja tarvittaessa ryhdyttävä toteuttamaan etupainotteisesti tästä hetkestä alkaen. Keskinäisen yhteistyön tiivistäminen jo nyt auttaisi myös vauhdittamaan tehokasta täytäntöönpanoa sitten, kun uusi lainsäädäntö on täysin voimassa.
Näin voitaisiin edetä jo tässä vaiheessa nykyisiä puitteita pidemmälle sekä toiminnan perusteellisuuden että sen kattamien alojen laajuuden osalta. Uudessa kriittisten toimijoiden häiriönsietokykyä koskevassa direktiivissä esitetään uusi yhteistyökehys sekä jäsenvaltioille ja kriittisille toimijoille asetettavat velvoitteet, joiden tarkoituksena on vahvistaa keskeisiä palveluja sisämarkkinoilla tarjoavien toimijoiden muita kuin kyberuhkia koskevaa fyysistä häiriönsietokykyä luonnonuhkia ja ihmisen aiheuttamia uhkia vastaan 11 määritellyllä alalla 5 . Tarkistetussa verkko- ja tietoturvadirektiivissä kyberturvallisuusvelvoitteille määritetään laaja alakohtainen kattavuus. Tähän sisältyy uusi vaatimus, jonka mukaan jäsenvaltioiden on tarvittaessa sisällytettävä kyberturvallisuusstrategioihinsa merikaapelit.
Uudessa lainsäädännössä edellytetään, että komissio ottaa hoitaakseen merkittävän koordinointitehtävän. Komissiolla on kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin nojalla tuki- ja edistämistehtävä, jota se toteuttaa direktiivillä perustettavan kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän tuella ja myötävaikutuksella. Komission olisi täydennettävä jäsenvaltioiden toimia kehittämällä parhaita käytäntöjä, ohjemateriaalia ja menetelmiä. Kyberturvallisuuden osalta neuvosto on jo kesällä 2022 antamissaan päätelmissä Euroopan unionin kybertoimien kehittämisestä pyytänyt komissiota, korkeaa edustajaa ja verkko- ja tietoturva-alan yhteistyöryhmää laatimaan riskinarviointeja ja skenaarioita kyberturvallisuuden näkökulmasta. Tällainen koordinointi voi toimia muuta keskeistä kriittistä infrastruktuuria koskevan lähestymistavan innoittajana.
Puheenjohtaja von der Leyen esitteli 5. lokakuuta 2022 viisikohtaisen suunnitelman, jossa esitetään koordinoitu lähestymistapa jatkossa tarvittavaan työhön. Sen keskeiset osatekijät ovat varautumisen parantaminen; yhteistyö jäsenvaltioiden kanssa, jotta niiden kriittiselle infrastruktuurille voidaan suorittaa stressitestaus, alkaen energia-alasta ja edeten sen jälkeen muille korkean riskin aloille; reagointivalmiuksien lisääminen erityisesti unionin pelastuspalvelumekanismin avulla; satelliittikapasiteetin hyödyntäminen mahdollisten uhkien havaitsemiseksi; sekä yhteistyön vahvistaminen Naton ja keskeisten kumppanien kanssa kriittisen infrastruktuurin häiriönsietokyvyn osalta. Viisikohtaisessa suunnitelmassa korostettiin, että on tärkeää varautua ennakolta lainsäädäntöön, josta on jo päästy poliittiseen yhteisymmärrykseen.
Ehdotuksessa neuvoston suositukseksi suhtaudutaan myönteisesti tähän tapaan jäsentää jäsenvaltioille annettavaa tukea ja koordinoida niiden pyrkimyksiä lisätä riskitietoisuutta, varautumista ja reagointia tämänhetkisiin uhkiin. Tältä osin kutsutaan koolle asiantuntijakokouksia, joissa keskustellaan kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyvystä odotettaessa kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin voimaantuloa ja sillä perustetun kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän toiminnan käynnistymistä.
On olennaisen tärkeää vahvistaa kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyä koskevaa yhteistyötä keskeisten kumppanien sekä naapurimaiden ja muiden asian kannalta merkityksellisten kolmansien maiden kanssa, erityisesti selviytymiskykyä koskevan EU:n ja Naton jäsennellyn vuoropuhelun kautta.
Tämän suosituksen painopisteenä on lujittaa unionin valmiuksia ennakoida ja ehkäistä uusia uhkia, joita Venäjän hyökkäyssota Ukrainaa vastaan aiheuttaa, ja reagoida niihin. Sen vuoksi ehdotetuissa suosituksissa keskitytään turvallisuuteen liittyvien riskien ja kriittiseen infrastruktuuriin kohdistuvien uhkien torjumiseen. On kuitenkin huomattava, että viimeaikaiset tapahtumat ovat nostaneet esiin myös kiireellisen tarpeen kiinnittää nykyistä enemmän huomiota vaikutuksiin, joita ilmastonmuutos aiheuttaa kriittisiin infrastruktuureihin ja palveluihin. Esimerkkeinä voidaan mainita vedensaannin kausiluonteinen vaarantuminen ja ennakoimattomuus mm. ydinvoimalaitosten jäähdytyksen, vesivoiman tuotannon ja sisävesiliikenteen kannalta tai riski liikenneinfrastruktuurille aiheutuvista vaurioista, jotka voivat aiheuttaa keskeisiin palveluihin merkittäviä häiriöitä. Näihin huolenaiheisiin puututaan edelleen asiaa koskevalla lainsäädännöllä ja koordinoinnilla.
•Yhdenmukaisuus muiden alaa koskevien politiikkojen säännösten kanssa
Tämä ehdotus neuvoston suositukseksi vastaa täysin kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyä koskevaa nykyistä ja tulevaa lainsäädäntökehystä eli nykyistä ECI-direktiiviä ja tulevaa kriittisten toimijoiden häiriönsietokykyä koskevaa direktiiviä, koska sen tavoitteena on muun muassa helpottaa jäsenvaltioiden välistä yhteistyötä tällä alalla ja tukea konkreettisia toimenpiteitä, joilla EU:ssa parannetaan kriittisiä infrastruktuureja ylläpitävien toimijoiden kykyä selviytyä tämänhetkisistä välittömistä uhkista.
Suositusehdotuksella myös täydennetään ja ennakoidaan kriittisten toimijoiden häiriönsietokykyä koskevaa direktiiviä kehottamalla jäsenvaltioita jo nyt asettamaan etusijalle direktiivin saattaminen ripeästi osaksi kansallista lainsäädäntöä, siten, että ne tekevät yhteistyötä asiantuntijakokouksissa, jotka kutsutaan koolle osana komission ilmoittamaa viisikohtaista suunnitelmaa, ja pyrkivät koordinoimaan etenemistä kohti yhteistä lähestymistapaa kriittisen infrastruktuurin stressitestien tekemiseen EU:ssa.
Ehdotus on linjassa myös verkko- ja tietoturvadirektiivin ja tulevan, nykyisen direktiivin kumoavan tarkistetun verkko- ja tietoturvadirektiivin kanssa, sillä ehdotuksessa kehotetaan aloittamaan täytäntöönpano ja saattaminen osaksi kansallista lainsäädäntöä varhaisessa vaiheessa. Siinä otetaan huomioon myös Neversissä maaliskuussa 2022 esitetty yhteinen kehotus sekä toukokuussa 2022 annetut neuvoston päätelmät Euroopan unionin kybertoimien kehittämisestä siltä osin kuin on kyse jäsenvaltioiden komissiolle esittämästä pyynnöstä laatia riskinarviointeja ja riskiskenaarioita.
Ehdotus on myös EU:n pelastuspalvelupolitiikan mukainen, sillä jos kriittisen infrastruktuurin ja/tai sitä ylläpitävien toimijoiden toiminta häiriintyy merkittävällä tavalla, jäsenvaltiot ja kolmannet maat voivat pyytää apua unionin pelastuspalvelumekanismiin kuuluvan EU:n hätäavun koordinointikeskuksen (ERCC) kautta. Jos unionin pelastuspalvelumekanismi aktivoidaan, hätäavun koordinointikeskus pystyy koordinoimaan ja osarahoittamaan jäsenvaltioissa (osittain Euroopan pelastuspalvelureservin yhteydessä) ja rescEU:n puitteissa saatavilla olevien olennaisten laitteiden, materiaalien ja asiantuntemuksen toimittamista kyseiseen maahan. Pyynnöstä apua voidaan antaa esimerkiksi polttoaineen, generaattoreiden, sähköinfrastruktuurin, hätämajoitusvalmiuksien, vedenpuhdistuskapasiteetin ja hätälääkintävalmiuksien muodossa.
Ehdotus on myös energian toimitusvarmuuteen liittyvän EU:n säännöstön mukainen.
Ehdotettuun neuvoston suositukseen ei ole erikseen otettu mukaan ydinenergia-alaa lukuun ottamatta esimerkiksi siihen liittyvää infrastruktuuria (kuten ydinvoimaloiden siirtojohdot), joka voi vaikuttaa toimitusvarmuuteen. Ydinalan tarkat näkökohdat kuuluvat Euratomin perustamissopimuksen mukaisen ydinalan lainsäädännön ja/tai kansallisen lainsäädännön piiriin. 6 EU:n ydinturvallisuuslainsäädäntöä on lujitettu Fukushiman onnettomuudesta saatujen kokemusten perusteella. Sen nojalla kansallisten viranomaisten on tehtävä säännöllisesti kustakin laitoksesta turvallisuusarviointi, jotta voidaan varmistaa, että tiukimpia turvallisuusvaatimuksia noudatetaan jatkuvasti, ja kartoittaa turvallisuuteen liittyviä lisäparannuksia. Lisäksi on tehtävä kuusi vuosittaista aihekohtaista vertaisarviointia EU:n tasolla.
Meriin liittyvien uhkien muuttuva luonne on nostettu esiin EU:n merellisessä turvallisuusstrategiassa 7 ja siihen liittyvässä toimintasuunnitelmassa 8 . Niissä kehotetaan uudistamaan sitoumus kriittisten meri-infrastruktuurien suojeluun, joihin lukeutuu vedenalainen infrastruktuuri ja erityisesti merten liikenne-, energia- ja viestintäinfrastruktuuri, muun muassa lisäämällä meritilannetietoisuutta yhteentoimivuuden parantamisen ja tiedonvaihdon virtaviivaistamisen avulla.
Ehdotus on yhdenmukainen myös muun asiaa koskevan alakohtaisen lainsäädännön kanssa. Sen vuoksi tätä suositusta täytäntöön pantaessa olisi toimittava yhdenmukaisesti sellaisten toimenpiteiden kanssa, joilla säännellään tai voidaan tulevaisuudessa säännellä tiettyjä asianomaisten alojen, kuten liikennealan, toimijoiden häiriönsietokykyä koskevia näkökohtia. Näitä ovat muut asiaan liittyvät aloitteet, kuten liikennealaa koskeva varautumissuunnitelma 9 , valmiussuunnitelma elintarvikehuollon ja elintarviketurvan varmistamiseksi kriisiaikoina 10 sekä Euroopan elintarviketurvan kriisivalmius- ja kriisinhallintamekanismi. Yleisemmällä tasolla suositus olisi luonnollisesti pantava täytäntöön noudattaen tinkimättä kaikkia sovellettavia EU:n lainsäädännön sääntöjä, mukaan lukien ECI-direktiivissä ja verkko- ja tietoturvadirektiiveissä vahvistetut säännöt.
Ehdotus on sopusoinnussa myös turvallisuus- ja puolustusalan strategisen kompassin kanssa. Siinä korostetaan tarvetta parantaa merkittävästi häiriönsietokykyä ja kykyä torjua hybridiuhkia ja kyberhyökkäyksiä sekä lujittaa kumppanimaiden häiriönsietokykyä ja tehdä yhteistyötä Naton kanssa. Se on yhdenmukainen myös EU:n koordinoitua reagointia EU:hun, jäsenvaltioihin ja kumppaneihin vaikuttaviin hybridiuhkiin ja -kampanjoihin koskevien puitteiden 11 kanssa.
2.OIKEUSPERUSTA, TOISSIJAISUUSPERIAATE JA SUHTEELLISUUSPERIAATE
•Oikeusperusta
Ehdotus perustuu Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT-sopimus) 114 artiklaan, joka koskee lainsäädännön lähentämistä sisämarkkinoiden parantamiseksi, yhdessä SEUT-sopimuksen 292 artiklan kanssa. Tämä on perusteltua sen vuoksi, että ehdotetulla neuvoston suosituksella pyritään ensisijaisesti ennakoimaan toimenpiteitä, joista säädetään uusissa kriittisten toimijoiden häiriönsietokykyä koskevassa direktiivissä ja tarkistetussa verkko- ja tietoturvadirektiivissä. Nekin perustuvat SEUT-sopimuksen 114 artiklaan. Sen logiikan mukaisesti, joka on perusteena mainitun artiklan käytölle kyseisten direktiivien oikeusperustana, EU:n toimet ovat tarpeen sisämarkkinoiden moitteettoman toiminnan varmistamiseksi, erityisesti kun otetaan huomioon kyseisten palvelujen rajatylittävä luonne ja laajuus ja niihin kohdistuvien häiriöiden mahdolliset seuraukset sekä nykyiset ja tulossa olevat kansalliset toimenpiteet, joilla pyritään parantamaan keskeisten palvelujen tarjoamiseen sisämarkkinoilla käytettävää kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyä.
•Toissijaisuusperiaate (jaetun toimivallan osalta)
Euroopan tason etenemistapa kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyvyn alalla on perusteltu, kun otetaan huomioon kriittisen infrastruktuurin toimintojen ja tarjottujen keskeisten palvelujen väliset keskinäisriippuvaiset ja rajatylittävät suhteet sekä tarve soveltaa yhteisempää ja koordinoidumpaa eurooppalaista lähestymistapaa sen varmistamiseksi, että kyseiset toimijat ovat nykyisessä geopoliittisessa tilanteessa riittävän häiriönsietokykyisiä. Vaikka monet yhteisistä haasteista, kuten Nord Stream ‑kaasuputkien ilmeinen sabotaasi, ratkaistaan ensisijaisesti kansallisilla toimenpiteillä tai niiden ratkaisemisesta vastaavat kriittistä infrastruktuuria ylläpitävät toimijat, EU:n ja tarvittaessa myös asiaankuuluvien virastojen tuki on tarpeen häiriönsietokyvyn vahvistamiseksi, valppauden lisäämiseksi ja EU:n yhteisen reagoinnin vahvistamiseksi.
•Suhteellisuusperiaate
Tämä ehdotus on Euroopan unionista tehdyn sopimuksen 5 artiklan 4 kohdassa vahvistetun suhteellisuusperiaatteen mukainen.
Ehdotetun neuvoston suosituksen sisältö tai muoto ei ylitä sitä, mikä on tarpeen sen tavoitteiden saavuttamiseksi. Ehdotetut toimet ovat oikeassa suhteessa asetettuihin tavoitteisiin, koska niiden yhteydessä kunnioitetaan jäsenvaltioiden kansallisen lainsäädännön mukaisia toimivaltuuksia ja velvoitteita.
Ehdotuksessa otetaan huomioon mahdollinen eriytetty lähestymistapa, joka kuvastaa jäsenvaltioiden erilaisia sisäisiä realiteetteja kriittiseen infrastruktuuriin kohdistuviin fyysisiin uhkiin varautumisessa ja niihin reagoimisessa.
•Toimintatavan valinta
Edellä mainittujen tavoitteiden saavuttamisen osalta SEUT-sopimuksessa ja erityisesti sen 292 artiklassa määrätään, että neuvosto antaa suosituksia komission ehdotuksen pohjalta. Tässä tapauksessa neuvoston suositus on asianmukainen väline, kun otetaan huomioon myös nykyinen lainsäädäntöympäristö, kuten edellä on selostettu. Neuvoston suositus on säädös, vaikka se ei olekaan luonteeltaan sitova. Se kuvastaa jäsenvaltioiden sitoutumista siihen sisältyviin toimenpiteisiin ja tarjoaa vahvan poliittisen perustan kyseessä olevien alojen yhteistyölle kunnioittaen samalla täysin jäsenvaltioiden toimivaltaa.
3.JÄLKIARVIOINTIEN, SIDOSRYHMIEN KUULEMISTEN JA VAIKUTUSTENARVIOINTIEN TULOKSET
•Sidosryhmien kuuleminen
Ehdotusta laadittaessa otettiin huomioon jäsenvaltioiden asiantuntijoiden 12. lokakuuta 2022 pidetyssä kokouksessa esittämät näkemykset. Laaja yksimielisyys vallitsi siitä, että olisi hyödyllistä lisätä koordinointia unionin tasolla, kun on kyse varautumisesta ja reagoinnista tämänhetkisessä uhkatilanteessa, ja valmistautua ennakolta kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin tiettyjen osien täytäntöönpanoon ennen sen virallista hyväksymistä. Jäsenvaltiot ilmaisivat olevansa valmiita jakamaan kokemuksia ja parhaita käytäntöjä toimenpiteistä ja menetelmistä, joilla parannetaan kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyä. Lisäksi jäsenvaltiot ilmaisivat suhtautuvansa avoimesti ajatukseen koordinoidusta lähestymistavasta, joka koskisi kriittistä infrastruktuuria ylläpitävien toimijoiden stressitestien toteuttamista vapaaehtoisuuden ja yhteisten periaatteiden pohjalta. Jäsenvaltiot totesivat, että etusijalle olisi tässä suosituksessa asetettava energia-, digitaali- ja liikennealan kriittistä infrastruktuuria ylläpitävät toimijat, erityisesti ne, joilla on merkitystä useille jäsenvaltioille. Jäsenvaltiot suhtautuivat myönteisesti myös komission aikomukseen kutsua lähiviikkoina koolle lisää jäsenvaltioiden asiantuntijoiden kokouksia.
•Ehdotukseen sisältyvien säännösten yksityiskohtaiset selitykset
Ehdotus neuvoston suositukseksi on sisällöltään seuraava:
–Ehdotuksen I luvussa esitetään ehdotuksen tavoite, sen soveltamisala ja suositeltujen toimenpiteiden priorisointi.
–Sen II luvussa keskitytään toimenpiteisiin, joita olisi toteutettava varautumisen parantamiseksi sekä unionin että jäsenvaltioiden tasolla.
–Ehdotuksen III luvussa käsitellään reagoinnin tehostamista sekä EU:n että jäsenvaltioiden tasolla.
–Sen IV luvussa käsitellään kansainvälistä yhteistyötä ja toimia, jotka olisi toteutettava kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyvyn parantamiseksi.
2022/0338 (NLE)
Ehdotus
NEUVOSTON SUOSITUS
unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen
(ETA:n kannalta merkityksellinen teksti)
EUROOPAN UNIONIN NEUVOSTO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 114 ja 292 artiklan,
ottaa huomioon Euroopan komission ehdotuksen,
sekä katsoo seuraavaa:
(1)Unionilla on erityinen rooli suhteessa valtioiden rajojen yli ulottuvaan infrastruktuuriin, joka vaikuttaa useiden jäsenvaltioiden etuihin tai jota toimijat muutoin käyttävät keskeisten palvelujen tarjoamiseen yli rajojen. Tällainen palvelujen tarjonta saattaa tapahtua ja useiden jäsenvaltioiden kannalta merkityksellinen kriittinen infrastruktuuri voi sijaita kuitenkin myös vain yhdessä jäsenvaltiossa tai jopa jäsenvaltioiden alueen ulkopuolella, kuten merenalaisten kaapeleiden tai putkistojen tapauksessa. On kaikkien jäsenvaltioiden ja koko unionin etujen mukaista määrittää selkeästi tällainen infrastruktuuri ja toimijat sekä niihin kohdistuvat uhkat ja sitoutua yhdessä niiden suojaamiseen.
(2)Kriittisen infrastruktuurin suojaamista säännellään tällä hetkellä kahden alan osalta neuvoston direktiivillä 2008/114/EY 12 . Sillä on otettu käyttöön menettely Euroopan kriittisen infrastruktuurin määrittämiseksi ja nimeämiseksi sekä yhteinen lähestymistapa arviointiin, joka koskee tarvetta parantaa tällaisen infrastruktuurin suojaamista väestön suojelemisen edistämiseksi. Direktiivi kattaa energia- ja liikennealan. Jotta voidaan parantaa kriittisten toimijoiden ja niiden tarjoamien keskeisten palvelujen ja toiminnan perustana olevan kriittisen infrastruktuurin häiriönsietokykyä, unionin lainsäätäjä on parhaillaan hyväksymässä uutta direktiiviä kriittisten toimijoiden häiriönsietokyvystä 13 . Sillä on tarkoitus korvata direktiivi 2008/114/EY, ja se kattaa useampia aloja, myös digitaalisen infrastruktuurin.
(3)Lisäksi toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148 14 keskittyy kybertoimintaympäristöön liittyviin uhkiin. Kyseinen direktiivi on määrä korvata uudella direktiivillä toimenpiteistä yhteisen korkean kyberturvatason varmistamiseksi koko unionissa 15 , jäljempänä ’tarkistettu verkko- ja tietoturvadirektiivi’, joka sekin on unionin lainsäätäjän hyväksyttävänä.
(4)Kun otetaan huomioon nopeasti muuttuva uhkaympäristö ja erityisesti Nord Stream 1 ja 2 -kaasuinfrastruktuuriin kohdistunut ilmeinen sabotaasi, kriittistä infrastruktuuria ylläpitävillä toimijoilla on erityisiä haasteita, jotka liittyvät niiden kykyyn selviytyä vihamielisistä toimista ja muista ihmisen aiheuttamista uhkista, samalla kun luontoon liittyvien tekijöiden ja ilmastonmuutoksen aiheuttamat haasteet lisääntyvät ja voivat olla vuorovaikutuksessa vihamielisten toimien kanssa. Sen vuoksi näiden toimijoiden on tarpeen toteuttaa jäsenvaltioiden tuella asianmukaisia häiriönsietokykyä parantavia toimenpiteitä. Nämä toimenpiteet olisi toteutettava ja kyseistä tukea olisi annettava direktiivien 2008/114/EY ja (EU) 2016/1148 mukaisia toimenpiteitä laajemmin ja jo ennen uusien direktiivien eli kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin ja tarkistetun verkko- ja tietoturvadirektiivin hyväksymistä, voimaantuloa ja saattamista osaksi kansallista lainsäädäntöä.
(5)Odotettaessa näiden uusien direktiivien hyväksymistä, voimaantuloa ja saattamista osaksi kansallista lainsäädäntöä unionia ja jäsenvaltioita kannustetaan hyödyntämään unionin lainsäädännön mukaisesti kaikkia käytettävissä olevia välineitä, joilla voidaan edistää ja auttaa fyysisen häiriönsietokyvyn ja kyberuhkien sietokyvyn vahvistamista kyseisten toimijoiden osalta ja sellaisen kriittisen infrastruktuurin osalta, jota ne ylläpitävät tarjotakseen keskeisiä palveluja sisämarkkinoilla eli palveluja, jotka ovat olennaisia välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden ja turvallisuuden tai ympäristön ylläpitämiseksi. Tässä yhteydessä häiriönsietokyvyn käsite olisi ymmärrettävä siten, että sillä tarkoitetaan toimijan kykyä ehkäistä, torjua ja lieventää tapahtumia, jotka voivat merkittävästi häiritä tai häiritsevät kyseisten keskeisten palvelujen tarjoamista, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida ja sopeutua niihin sekä palautua niistä.
(6)Jotta voidaan varmistaa, että lähestymistapa on sekä vaikuttava että mahdollisimman yhdenmukainen uuden kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin kanssa, tähän suositukseen sisältyvien toimenpiteiden olisi liityttävä infrastruktuuriin, jonka jäsenvaltio on nimennyt kriittiseksi infrastruktuuriksi ja joka kattaa sekä kansallisen että Euroopan kriittisen infrastruktuurin, riippumatta siitä, onko kriittistä infrastruktuuria ylläpitävä toimija jo nimetty kriittiseksi toimijaksi uuden direktiivin nojalla. Tässä suosituksessa ilmaus ’kriittinen infrastruktuuri’ olisi ymmärrettävä vastaavasti.
(7)Tämänhetkisten uhkien vuoksi häiriönsietokykyä parantavia toimenpiteitä olisi toteutettava ensisijaisesti energian, digitaalisen infrastruktuurin, liikenteen ja avaruuden avainaloilla, ja tällaisten toimenpiteiden yhteydessä olisi keskityttävä parantamaan kriittistä infrastruktuuria ylläpitävien toimijoiden kykyä selvitä ihmisen aiheuttamista riskeistä. Kun on kyse kansallisesta kriittisestä infrastruktuurista, etusijalle olisi asetettava infrastruktuuri, jolla on rajatylittävää merkitystä, kun otetaan huomioon riskien toteutumisesta mahdollisesti aiheutuvat seuraukset.
(8)Näin ollen tässä suosituksessa esitetyillä toimenpiteillä pyritään pääasiassa täydentämään Euroopan unionin toiminnasta tehdyn sopimuksen, jäljempänä ’SEUT-sopimus’, 114 artiklaan perustuvia uusia direktiivejä eli kriittisten toimijoiden häiriönsietokykyä koskevaa direktiiviä ja tarkistettua verkko- ja tietoturvadirektiiviä ennakoimalla ja täydentämällä näissä uusissa direktiiveissä säädettyjä toimenpiteitä. Sen vuoksi ja kun otetaan huomioon kyseisten keskeisten palvelujen ja kriittisen infrastruktuurin rajatylittävä luonne ja merkityksellisyys sekä sisämarkkinoita vääristävät nykyiset ja vastaisuudessa syntyvät kansallisten lainsäädäntöjen erot, on aiheellista käyttää myös tämän suosituksen oikeusperustana SEUT-sopimuksen 114 artiklaa yhdessä sen 292 artiklan kanssa.
(9)Tämän suosituksen täytäntöönpanon ei pitäisi katsoa vaikuttavan unionin lainsäädännön nykyisiin ja tuleviin vaatimuksiin, jotka koskevat tiettyjä asianomaisten toimijoiden häiriönsietokykyyn liittyviä näkökohtia, ja sen olisi oltava yhdenmukaista tällaisten vaatimusten kanssa. Tällaisista vaatimuksista säädetään yleisissä säädöksissä, kuten direktiivissä 2008/114/EY ja direktiivissä (EU) 2016/1148 sekä ne korvaavissa uusissa direktiiveissä eli kriittisten toimijoiden häiriönsietokykyä koskevassa direktiivissä ja tarkistetussa verkko- ja tietoturvadirektiivissä, mutta myös tietyissä alakohtaisissa säädöksissä esimerkiksi liikennealalla, jolla komissio on muun muassa tehnyt aloitteen liikennealaa koskevasta varautumissuunnitelmasta 16 . Tämä suositus olisi pantava täytäntöön vilpittömän yhteistyön periaatteen mukaisesti täyden keskinäisen kunnioituksen ja avunannon pohjalta.
(10)Komissio julkisti 5 päivänä lokakuuta 2022 viisikohtaisen suunnitelman, jossa esitetään koordinoitu lähestymistapa tuleviin haasteisiin vastaamiseksi. Suunnitelmaan kuuluu toimia, joilla edistetään varautumista uuden kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin pohjalta ja ennakoiden sen hyväksymistä ja voimaantuloa. Suunnitelmaan sisältyy myös yhteistyö jäsenvaltioiden kanssa stressitestien tekemiseksi kriittisiä infrastruktuureja ylläpitäville toimijoille yhteisten periaatteiden mukaisesti alkaen energia-alasta. Tässä suosituksessa edistetään kyseisen suunnitelman toteuttamista, suhtaudutaan myönteisesti ehdotettuun lähestymistapaan ja esitetään, miten se voidaan toteuttaa käytännössä.
(11)Kun otetaan huomioon nopeasti muuttuva uhkaympäristö ja tämänhetkinen riskiympäristö, jolle ovat ominaisia ihmisen aiheuttamat riskit, erityisesti kun on kyse merkitykseltään rajatylittävästä kriittisestä infrastruktuurista, on olennaisen tärkeää saada tarkka, ajantasainen ja kattava kuva kriittistä infrastruktuuria ylläpitäviin toimijoihin kohdistuvista suurimmista riskeistä. Sen vuoksi jäsenvaltioiden olisi toteutettava tarvittavat toimenpiteet kyseisiä riskejä koskevien arviointiensa tekemiseksi tai päivittämiseksi. Vaikka tässä suosituksessa keskitytään turvallisuuteen liittyviin riskeihin, toimia ilmastonmuutoksen ja ympäristöriskien torjumiseksi olisi jatkettava erityisesti siltä osin kuin luonnonilmiöt voivat pahentaa ihmisen aiheuttamia riskejä.
(12)Tämä uhkaympäristö huomioon ottaen jäsenvaltioita olisi kehotettava toteuttamaan mahdollisimman pian asianmukaisia toimenpiteitä kriittisen infrastruktuurin häiriönsietokyvyn parantamiseksi, myös laajemmin kuin mainitut riskinarvioinnit, joita jatkossa edellytetään uuden kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin nojalla.
(13)Osana komission ilmoittaman viisikohtaisen suunnitelman täytäntöönpanoa on tarpeen koordinoida toimia kutsumalla kokoon kansallisia asiantuntijoita ennakoiden kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän perustamista uuden kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin nojalla. Tarkoituksena on mahdollistaa jäsenvaltioiden välinen yhteistyö ja kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyä koskeva tietojenvaihto. Tähän olisi sisällyttävä yhteistyö ja tietojenvaihto muun muassa kriittisten toimijoiden ja kriittisen infrastruktuurin määrittämiseksi, stressitestien suorittamista koskevien yhteisten periaatteiden laatimisen ja edistämisen valmistelemiseksi ja stressitesteistä saatujen yhteisten kokemusten hyödyntämiseksi sekä haavoittuvuuksien ja mahdollisten valmiuksien yksilöimiseksi. Näiden prosessien olisi tarkoitus hyödyttää myös kriittistä infrastruktuuria ylläpitävien toimijoiden kykyä sietää ilmasto- ja ympäristöriskejä. Nämä toimet mahdollistaisivat myös stressitestejä koskevan työn yhteisen priorisoinnin painottaen energia-, liikenne- ja avaruusalaa sekä digitaalisen infrastruktuurin alaa. Komissio on jo käynnistänyt asiantuntijoiden kokoonkutsumisen ja ryhtynyt edistämään heidän työtään ja aikoo jatkaa näitä toimiaan. Kun uusi kriittisten toimijoiden häiriönsietokykyä koskeva direktiivi on tullut voimaan ja kriittisten toimijoiden häiriönsietokykyä käsittelevä ryhmä on perustettu, ryhmän olisi jatkettava tällaista ennakoivaa työtä mainitussa direktiivissä määritettyjen tehtäviensä mukaisesti.
(14)Stressitestausta olisi täydennettävä laatimalla kriittiseen infrastruktuuriin liittyviä poikkeamia ja kriisejä koskeva suunnitelma, jossa kuvataan ja esitetään jäsenvaltioiden ja EU:n toimielinten, elinten ja laitosten välisen yhteistyön tavoitteet ja muodot kriittiseen infrastruktuuriin kohdistuviin poikkeamiin reagoimisessa erityisesti silloin, kun ne aiheuttavat merkittäviä häiriöitä sisämarkkinoiden kannalta keskeisten palvelujen tarjoamiseen. Tämän suunnitelman yhteydessä olisi reagoinnin koordinoimiseksi hyödynnettävä olemassa olevia EU:n poliittisen kriisitoiminnan integroituja järjestelyjä (IPCR), suunnitelman olisi sovittava yhteen laajamittaisia kyberturvallisuuspoikkeamia koskevan suunnitelman kanssa ja täydennettävä sitä, ja sen yhteydessä olisi sovittava myös keskeisistä yleisölle suunnattavista viesteistä, koska kriisiviestinnällä on tärkeä rooli kriittiseen infrastruktuuriin kohdistuvien poikkeamien ja kriisien kielteisten vaikutusten lieventämisessä.
(15)Jotta voidaan varmistaa koordinoitu ja toimiva reagointi tämänhetkisiin ja ennakoituihin uhkiin, komissio kohdentaa jäsenvaltioille lisätukea, jonka tarkoituksena on parantaa näihin uhkiin liittyvää selviytymiskykyä, erityisesti antamalla merkityksellisiä tietoja katsausten, käsikirjojen ja suuntaviivojen muodossa, edistämällä unionin rahoittamien tutkimus- ja innovointihankkeiden hyödyntämistä, toteuttamalla tarvittavia ennakoivia toimia ja optimoimalla unionin valvontaresurssien käyttö. EUH:n olisi laadittava uhka-arvioita erityisesti EU:n tiedusteluanalyysikeskuksen kautta.
(16)Myös alakohtaisten unionin virastojen ja muiden asiaankuuluvien elinten olisi annettava häiriönsietokykyyn liittyvää tukea siltä osin kuin niiden toimivaltuudet, jotka on vahvistettu asiaankuuluvissa unionin oikeuden välineissä, sen sallivat. Euroopan unionin kyberturvallisuusvirasto (ENISA) voisi avustaa kyberturvallisuuskysymyksissä, Euroopan meriturvallisuusvirasto (EMSA) voisi asiantuntemuksellaan tukea jäsenvaltioita meriturvallisuuteen liittyvissä asioissa merivalvontapalvelunsa kautta, Euroopan unionin lainvalvontayhteistyövirasto (Europol) voisi antaa tukea tietojen keräämisessä ja tutkinnassa rajat ylittävien lainvalvontatoimien yhteydessä, ja Euroopan unionin avaruusohjelmavirasto (EUSPA) ja EU:n satelliittikeskus (SatCen) voivat mahdollisesti antaa apua unionin avaruusohjelman operaatioiden kautta.
(17)Vaikka ensisijainen vastuu kriittisen infrastruktuurin ja asianomaisten toimijoiden turvallisuuden varmistamisesta on jäsenvaltioilla, koordinoinnin lisääminen unionin tasolla on aiheellista erityisesti, kun otetaan huomioon uhkat, jotka voivat vaikuttaa useisiin jäsenvaltioihin yhtä aikaa, kuten Venäjän hyökkäyssota Ukrainaa vastaan, tai jotka voivat vaikuttaa unionin talouden, sisämarkkinoiden ja yhteiskuntien häiriönsietokykyyn ja moitteettomaan toimintaan.
(18)Tämän suosituksen piiriin ei kuulu sellaisten tietojen toimittaminen, joiden ilmaiseminen olisi vastoin jäsenvaltioiden keskeisiä kansalliseen tai yleiseen turvallisuuteen taikka puolustukseen liittyviä etuja.
(19)Fyysisen ja digitaalisen infrastruktuurin keskinäisen riippuvuuden lisääntyessä kriittisille aloille suunnatut haitalliset kybertoimet voivat aiheuttaa häiriöitä tai vahinkoa fyysiselle infrastruktuurille, kun taas fyysisen infrastruktuurin sabotointi voi katkaista digitaalisten palvelujen saatavuuden. Koska pitkälle kehitettyjen hybridihyökkäysten aiheuttama uhka on koholla, jäsenvaltioiden olisi otettava tämän suosituksen täytäntöönpanon yhteydessä huomioon myös tällaiset näkökohdat. Kun otetaan huomioon infrastruktuurin ylläpitäjien kyberturvallisuuden ja fyysisen turvallisuuden väliset kytkökset, on tärkeää, että valmistautuminen tarkistetun verkko- ja tietoturvadirektiivin saattamiseen osaksi kansallista lainsäädäntöä ja soveltamiseen aloitetaan mahdollisimman pian ja että myös vastaava kriittisten toimijoiden häiriönsietokykyä koskevan uuden direktiivin mukainen työ etenee samanaikaisesti.
(20)Varautumisen parantamisen lisäksi on tärkeää nostaa valmiuksia reagoida nopeasti ja vaikuttavasti tilanteessa, jossa kriittistä infrastruktuuria ylläpitävien toimijoiden tarjoamien keskeisten palvelujen tarjontaan vaikuttavat riskit toteutuvat. Sen vuoksi tämän suosituksen olisi sisällettävä toimenpiteet, jotka olisi toteutettava sekä jäsenvaltioiden että unionin tasolla, mukaan lukien unionin pelastuspalvelumekanismin puitteissa tehtävän yhteistyön ja tietojenvaihdon tehostaminen ja unionin avaruusohjelman asiaankuuluvien resurssien käyttö.
(21)Euroopan unionin kybertoimien kehittämisestä annetuissa neuvoston päätelmissä 17 esitetyn kehotuksen johdosta komissio, unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja, jäljempänä ’korkea edustaja’, ja direktiivillä (EU) 2016/1148 perustettu yhteistyöryhmä, jäljempänä ’verkko- ja tietoturva-alan yhteistyöryhmä’, ovat parhaillaan laatimassa yhteistyössä asiaankuuluvien siviili- ja sotilaselinten ja virastojen sekä vakiintuneiden verkostojen, mukaan lukien EU CyCLONe, kanssa riskinarviointia ja kehittämässä riskiskenaarioita kyberturvallisuuden näkökulmasta jäsenvaltioihin tai kumppanimaihin kohdistuvan uhkatilanteen tai mahdollisen hyökkäyksen varalta. Tässä toimessa keskitytään kriittisiin aloihin, kuten energia-, liikenne- ja avaruusalaan sekä digitaaliseen infrastruktuuriin.
(22)Neversissä esitetyssä yhteisessä ministeritason kehotuksessa 18 ja Euroopan unionin kybertoimien kehittämisestä annetuissa neuvoston päätelmissä kehotettiin vahvistamaan myös unionin viestintäinfrastruktuurin ja -verkkojen häiriönsietokykyä antamalla jäsenvaltioille ja komissiolle suosituksia riskinarvioinnin perusteella. Verkko- ja tietoturva-alan yhteistyöryhmä laatii tätä riskinarviointia parhaillaan komission ja ENISAn tuella ja yhteistyössä Euroopan sähköisen viestinnän sääntelyviranomaisten yhteistyöelimen (BEREC) kanssa. Riskinarvioinnissa ja puuteanalyysissä tarkastellaan kyberhyökkäysten riskejä viestintäinfrastruktuurien alasektoreilla, mukaan lukien kiinteät ja mobiili-infrastruktuurit, satelliitit, merenalaiset kaapelit, internet-reititys jne., ja ne muodostavat näin perustan tämän suosituksen pohjalta tehtävälle työlle. Tästä riskinarvioinnista saadaan tietoa meneillään olevaan monialaiseen kyberriskien arviointiin ja skenaarioihin, joita neuvosto pyysi 23 päivänä toukokuuta 2022 antamissaan päätelmissä.
(23)Kyseiset kaksi hanketta toteutetaan yhdenmukaisesti ja koordinoiden työtä sellaisten skenaarioiden laatimisen kanssa, joissa painopisteenä on pelastuspalvelu monenlaisten luonnonkatastrofien ja ihmisen aiheuttamien katastrofien yhteydessä, mukaan lukien kyberturvallisuustapahtumat ja niiden käytännön vaikutukset, ja joita komissio ja jäsenvaltiot luonnostelevat parhaillaan Euroopan parlamentin ja neuvoston päätöksen N:o 1313/2013/EU 19 mukaisesti. Tämä suositus olisi tehokkuus-, vaikuttavuus ja yhdenmukaisuussyistä pantava täytäntöön ottaen huomioon näiden toimien tulokset.
(24)5G-kyberturvallisuutta koskevassa EU:n välineistössä 20 esitetään asiaankuuluvat toimenpiteet ja riskinhallintasuunnitelmat 5G-verkkojen turvallisuuden parantamiseksi. Kun otetaan huomioon monien keskeisten palvelujen riippuvuus 5G-verkoista ja digitaalisten ekosysteemien yhteenliitetty luonne, on olennaisen tärkeää, että kaikki jäsenvaltiot toteuttavat kiireellisesti välineistössä suositellut toimenpiteet ja etenkin soveltavat asiaankuuluvia rajoituksia EU:n koordinoidussa riskinarvioinnissa kriittisiksi ja arkaluonteisiksi määriteltyjen keskeisten kohteiden suuririskisiksi katsottuihin toimittajiin.
(25)Jotta voidaan välittömästi vahvistaa varautumista ja valmiuksia reagoida merkittäviin kyberturvallisuuspoikkeamiin, komissio on perustanut lyhyen aikavälin ohjelman, jolla jäsenvaltioita tuetaan ENISAlle osoitetun lisärahoituksen välityksellä. Sen soveltamisalaan kuuluviin palveluihin sisältyy varautumistoimia, kuten kriittisten toimijoiden tietoturvallisuuden tason testausta haavoittuvuuksien tunnistamiseksi. Lisäksi ohjelmalla lisätään mahdollisuuksia avustaa jäsenvaltioita kriittisiin toimijoihin vaikuttavien merkittävien poikkeamien yhteydessä. Tämä on ensimmäinen toimi, joka toteutetaan Euroopan unionin kybertoimien kehittämisestä annettujen neuvoston päätelmien johdosta. Niissä komissiota pyydetään myös esittämään ehdotus kyberturvallisuuden hätärahastosta. Jäsenvaltioiden olisi hyödynnettävä näitä mahdollisuuksia täysipainoisesti ja sovellettavien vaatimusten mukaisesti.
(26)Datansiirtoon ja sähköiseen viestintään käytettävä maailmanlaajuinen merenalainen kaapeliverkko on olennaisen tärkeä maailmanlaajuisten ja EU:n sisäisten yhteyksien kannalta. Koska nämä kaapelit ovat huomattavan pitkiä ja ne on laskettu merenpohjaan, useimpien kaapeliosuuksien visuaalinen seuranta veden alla on äärimmäisen haastavaa. Näihin kaapeleihin liittyvä jaettu toimivalta ja muut toimivaltakysymykset muodostavat erityistapauksen infrastruktuurin suojaamiseen ja kunnostamiseen liittyvän eurooppalaisen ja kansainvälisen yhteistyön saralla. Sen vuoksi on tarpeen täydentää digitaalisten palvelujen perustana olevia digitaalisia ja fyysisiä infrastruktuureja koskevia meneillään olevia ja suunniteltuja riskinarviointeja erityisillä riskinarvioinneilla ja vaihtoehdoilla merenalaisia kaapeleita koskeviksi riskinvähentämistoimenpiteiksi. Komissio aikoo tämän johdosta tehdä tätä tarkoitusta varten selvityksiä ja tiedottaa havainnoistaan jäsenvaltioille.
(27)Digitaaliseen infrastruktuuriin liittyvillä riskeillä voi olla vaikutusta myös tässä suosituksessa ensisijaisiksi määritettyihin energian ja liikenteen aloihin. Tällainen vaikutus voi liittyä esimerkiksi digitaalisia komponentteja sisältäviin energiateknologioihin. Asiaan liittyvien toimitusketjujen turvallisuus on tärkeässä asemassa keskeisten palvelujen tarjonnan jatkuvuuden ja energia-alan toimijoiden ylläpitämän kriittisen infrastruktuurin strategisen valvonnan kannalta. Nämä näkökohdat olisi otettava huomioon toteutettaessa toimenpiteitä, joilla parannetaan kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyä tämän suosituksen mukaisesti.
(28)Koska avaruusinfrastruktuurilla ja avaruusteknologiaan perustuvilla palveluilla on yhä suurempi merkitys turvallisuuteen liittyvien toimien kannalta, on olennaisen tärkeää varmistaa unionin avaruusresurssien ja -palvelujen häiriönsietokyky ja suojaaminen EU:n sisällä, mutta myös tämän suosituksen perusteella hyödyntää avaruusjärjestelmistä ja -ohjelmista saatavia avaruusteknologiaan perustuvia dataa ja palveluja jäsennellymmin muiden alojen kriittisen infrastruktuurin seurantaan ja suojaamiseen. Tulevassa turvallisuutta ja puolustusta tukevassa EU:n avaruusstrategiassa on määrä ehdottaa tältä osin asianmukaisia toimia, jotka olisi otettava huomioon tämän suosituksen täytäntöönpanossa.
(29)Lisäksi tarvitaan kansainvälistä yhteistyötä, jotta voidaan torjua tehokkaasti kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyyn liittyviä riskejä sekä unionissa että asiaankuuluvissa kolmansissa maissa tai kansainvälisillä vesillä. Sen vuoksi jäsenvaltioita olisi kehotettava tekemään yhteistyötä komission ja korkean edustajan kanssa, jotta voidaan toteuttaa tiettyjä toimia tämän tavoitteen saavuttamiseksi, ottaen kuitenkin huomioon, että tällaiset toimet on toteutettava ainoastaan kullekin osapuolelle unionin lainsäädännön ja erityisesti EU:n perussopimuksiin sisältyvien ulkosuhteita koskevien määräysten nojalla kuuluvien tehtävien ja vastuualueiden mukaisesti.
(30)Kuten asiakirjan ”Turvallisuus- ja puolustusalan strateginen kompassi – Euroopan unioni, joka suojaa kansalaisiaan, arvojaan ja etujaan sekä edistää kansainvälistä rauhaa ja turvallisuutta” 21 tueksi annetussa tiedonannossa Komission panos Euroopan puolustukseen 22 todetaan, komissio arvioi vuoteen 2023 mennessä yhteistyössä korkean edustajan ja jäsenvaltioiden kanssa alakohtaisia hybridiresilienssin perustasoja puutteiden ja tarpeiden tunnistamiseksi sekä pohtii keinoja niiden käsittelemiseksi. Kyseinen aloite olisi otettava huomioon tämän suosituksen nojalla tehtävässä työssä, jolla lujitetaan tiedonvaihtoa ja toimien koordinointia ja vahvistetaan edelleen häiriönsietokykyä, myös kriittisen infrastruktuurin häiriönsietokykyä.
(31)EU:n merellisessä turvallisuusstrategiassa vuodelta 2014 ja siihen liittyvässä toimintasuunnitelmassa kehotettiin parantamaan kriittisen meri-infrastruktuurin suojelua, mukaan luettuina vedenalainen infrastruktuuri ja erityisesti merten liikenne-, energia- ja viestintäinfrastruktuuri, muun muassa lisäämällä meritilannetietoisuutta yhteentoimivuuden parantamisen ja tiedonvaihdon virtaviivaistamisen avulla (pakolliset ja vapaaehtoiset toimet). Strategiaa ja toimintasuunnitelmaa ollaan parhaillaan päivittämässä, ja niihin sisällytetään tehostettuja toimia kriittisen meri-infrastruktuurin suojelemiseksi. Kyseisten toimien olisi perustuttava tähän suositukseen ja täydennettävä sitä.
(32)Jäsenvaltioiden olisi otettava huomioon unionin turvallisuustutkimusohjelman koko potentiaali ja etenkin hyödynnettävä sen kriittistä infrastruktuuria koskevaa erityistä toimintalinjaa, varsinkin sisäisen turvallisuuden rahastosta rahoitettavien ohjelmien kautta, sekä muita potentiaalisia unionin tason rahoitusmahdollisuuksia, erityisesti Euroopan aluekehitysrahastoa, siltä osin kuin toimenpiteet täyttävät sen tukikelpoisuusvaatimukset. Myös REPowerEU-suunnitelma voi tarjota mahdollisuuksia häiriönsietokyvyn rahoittamiseen. Tällainen unionin rahoituksen tarjoamien mahdollisuuksien käyttö on toteutettava sovellettavien oikeudellisten vaatimusten mukaisesti,
ON ANTANUT TÄMÄN SUOSITUKSEN:
I LUKU: TAVOITE, SOVELTAMISALA JA PRIORISOINTI
(1)Tässä suosituksessa jäsenvaltioita kehotetaan toteuttamaan kiireellisiä ja vaikuttavia toimenpiteitä ja tekemään vilpitöntä, tehokasta, solidaarista ja koordinoitua yhteistyötä toistensa, komission ja muiden asiaankuuluvien viranomaisten sekä asianomaisten toimijoiden kanssa keskeisten palvelujen tarjoamiseen sisämarkkinoilla käytettävän kriittisen infrastruktuurin häiriönsietokyvyn parantamiseksi.
(2)Tässä suosituksessa esitetyt toimenpiteet liittyvät infrastruktuuriin, jonka jäsenvaltio on nimennyt kriittiseksi infrastruktuuriksi, mukaan lukien Euroopan kriittinen infrastruktuuri.
(3)Tätä suositusta täytäntöön pantaessa etusijalle olisi asetettava energia-, liikenne- ja avaruusalan ja digitaalisen infrastruktuurin toimijoiden sekä niiden ylläpitämän merkitykseltään rajatylittävän kriittisen infrastruktuurin häiriönsietokyvyn parantaminen ihmisen aiheuttamien riskien suhteen.
II LUKU: VARAUTUMISEN PARANTAMINEN
Jäsenvaltiotason toimet
(4)Jäsenvaltioita kehotetaan suorittamaan tai päivittämään riskinarviointeja, jotka koskevat direktiivin 2008/114/EY mukaisesti liikenne- ja energia-alalla nimettyä Euroopan kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyä, ja tekemään tarvittaessa ja mainitun direktiivin mukaisesti keskenään yhteistyötä tällaisten riskinarviointien ja niiden johdosta toteutettavien häiriönsietokykyä parantavien toimenpiteiden osalta.
(5)Jotta kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyky saataisiin korkealle tasolle, jäsenvaltioiden olisi lisäksi vauhditettava valmistelutyötä, jotta uusi kriittisten toimijoiden häiriönsietokykyä koskeva direktiivi voidaan saattaa osaksi kansallista lainsäädäntöä ja sitä voidaan alkaa soveltaa mahdollisimman pian; tähän olisi pyrittävä seuraavin toimin:
(a)nopeutetaan kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyvyn parantamista koskevien kansallisten strategioiden hyväksymistä tai päivittämistä tämänhetkiseen uhkaan vastaamiseksi. Strategian asiaankuuluvat osat olisi ilmoitettava komissiolle;
(b)tehdään tai päivitetään riskinarviointeja tämänhetkisten uhkien muuttuvan luonteen mukaisesti siltä osin kuin on kyse kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyvystä energian, digitaalisen infrastruktuurin, liikenteen ja avaruuden ulkopuolisilla asiaankuuluvilla aloilla ja mahdollisuuksien mukaan uuden kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin soveltamisalaan kuuluvilla aloilla, joita ovat pankkitoiminta, finanssimarkkinoiden infrastruktuuri, digitaalinen infrastruktuuri, terveydenhuolto, juomavesi, jätevesi, julkishallinto, avaruus sekä elintarvikkeiden tuotanto, jalostus ja jakelu, ottaen huomioon asiaankuuluvien uhkien mahdollinen hybridiluonne, mukaan lukien kerrannaisvaikutukset ja ilmastonmuutoksen vaikutukset;
(c)tiedotetaan komissiolle kullakin toimialalla ja alasektorilla määritetyistä riskityypeistä ja riskinarviointien tuloksista, mikä voidaan tehdä käyttäen komission yhteistyössä jäsenvaltioiden kanssa laatimaa yhteistä raportointimallia;
(d)vauhditetaan kriittisten toimijoiden määrittämis- ja nimeämisprosessia siten, että etusijalla ovat kriittiset toimijat, jotka
(e)käyttävät kriittistä infrastruktuuria, jolla on fyysinen yhteys kahden tai useamman jäsenvaltion välillä;
(f)ovat osa yhtiörakenteita, jotka liittyvät tai ovat yhteydessä muiden jäsenvaltioiden kriittisiin toimijoihin;
(g)on määritetty kriittisiksi toimijoiksi yhdessä jäsenvaltiossa ja tarjoavat keskeisiä palveluja vähintään kuudessa jäsenvaltiossa tai kuudelle jäsenvaltiolle ja joiden merkitys on sen vuoksi Euroopan kannalta erityisen suuri, ja ilmoittavat asiasta komissiolle;
(h)tehdään keskinäistä yhteistyötä, erityisesti kun on kyse kriittisistä toimijoista ja keskeisistä palveluista sekä merkitykseltään rajatylittävästä kriittisestä infrastruktuurista, etenkin käymällä keskinäisiä neuvotteluja 5 kohdan d alakohdan soveltamiseksi ja ilmoittamalla toinen toiselleen poikkeamista, joilla on merkittävä tai mahdollisesti merkittävä rajatylittävä haitallinen vaikutus, ja pitämällä samalla tarvittaessa komissio ajan tasalla;
(i)lisätään tukea nimetyille kriittisille toimijoille niiden häiriönsietokyvyn parantamiseksi, mihin voi sisältyä ohjemateriaalin ja menetelmien tarjoamista käyttöön, harjoitusten järjestämistä niiden häiriönsietokyvyn testaamiseksi, neuvontaa ja henkilöstön kouluttamista sekä arkaluonteisissa tehtävissä toimivien henkilöiden taustan tarkistusten mahdollistamista unionin ja kansallisen lainsäädännön mukaisesti osana kriittisten toimijoiden toteuttamia henkilöstöturvallisuuden hallinnan toimenpiteitä;
(j)vauhditetaan sellaisen keskitetyn yhteyspisteen nimeämistä tai perustamista toimivaltaiseen viranomaiseen, joka hoitaa yhteydenpitoa, jotta voidaan varmistaa kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyyn liittyvä rajatylittävä yhteistyö muiden jäsenvaltioiden keskitettyjen yhteyspisteiden kanssa.
(6)Jäsenvaltioita kannustetaan tekemään stressitestejä kriittistä infrastruktuuria ylläpitäville toimijoille. Jäsenvaltioita kehotetaan erityisesti kehittämään energia-alaan liittyvää varautumistaan ja asianomaisten toimijoiden varautumista ja tekemään tätä alaa koskevia stressitestejä mahdollisuuksien mukaan unionin tasolla yhteisesti sovittujen periaatteiden mukaisesti varmistaen samalla tehokkaan viestinnän asianomaisten toimijoiden kanssa. Muiden ensisijaisten alojen, kuten digitaalisen infrastruktuurin ja liikenne- ja avaruusalan, stressitestejä voitaisiin tarvittaessa harkita myöhemmin ottaen asianmukaisesti huomioon unionin lainsäädännön mukaiset ilmailu- ja merenkulkualalla tehtävät tarkastukset ja alakohtaisen lainsäädännön asiaa koskevat säännökset.
(7)Jäsenvaltioita kehotetaan tekemään tarvittaessa ja unionin lainsäädännön mukaisesti yhteistyötä asiaankuuluvien kolmansien maiden kanssa, kun kyseessä on merkitykseltään rajatylittävää kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyky.
(8)Jäsenvaltioiden pyrkiessä parantamaan kriittistä infrastruktuuria unionissa ylläpitävien toimijoiden häiriönsietokykyä kaikkien merkittävien uhkien varalta, esimerkiksi Euroopan laajuisten verkkojen varrella, niitä kehotetaan hyödyntämään sovellettavien vaatimusten mukaisesti mahdollisia unionin ja kansallisen tason rahoitusmahdollisuuksia, joita on tarjolla erityisesti sisäisen turvallisuuden rahastosta ja Euroopan aluekehitysrahastosta rahoitettavien ohjelmien yhteydessä edellyttäen, että asianomaiset tukikelpoisuuskriteerit täyttyvät, ja Verkkojen Eurooppa -välineen yhteydessä, mukaan lukien ilmastokestävyyden varmistamista koskevat säännökset. Tähän tarkoitukseen voidaan käyttää sovellettavien vaatimusten mukaisesti myös unionin pelastuspalvelumekanismin rahoitusta, erityisesti hankkeisiin, jotka liittyvät riskinarviointeihin, investointisuunnitelmiin tai -selvityksiin, valmiuksien kehittämiseen tai tietopohjan parantamiseen. Myös REPowerEU-suunnitelma voi tarjota mahdollisuuksia häiriönsietokyvyn rahoittamiseen.
(9)Unionin viestintä- ja verkkoinfrastruktuurin osalta verkko- ja tietoturva-alan yhteistyöryhmän olisi, direktiivin (EU) 2016/1148 11 artiklaa ja tulevan tarkistetun verkko- ja tietoturvadirektiivin 14 artiklaa noudattaen, vauhditettava kohdennettua riskinarviointia koskevaa työtään ja esitettävä ensimmäiset suositukset vuoden 2023 alussa. Tämän työn yhteydessä olisi varmistettava yhdenmukaisuus ja täydentävyys verkko- ja tietoturva-alan yhteistyöryhmän tieto- ja viestintäteknologian toimitusketjun turvallisuutta koskevan työn kanssa sekä muiden asiaankuuluvien ryhmien, kuten uuden kriittisten toimijoiden häiriönsietokykyä koskevan direktiivin nojalla perustettavan kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän ja uuden digitaalista häiriönsietokykyä koskevan säädöksen (DORA) 23 nojalla perustettavan valvontafoorumin, työn kanssa.
(10)Verkko- ja tietoturva-alan yhteistyöryhmää, jonka on määrä hoitaa tehtävänsä direktiivin (EU) 2016/1148 11 artiklan ja tulevan tarkistetun verkko- ja tietoturvadirektiivin 14 artiklan mukaisesti, pyydetään asettamaan komission ja ENISAn tuella ensi sijalle työnsä digitaalisen infrastruktuurin ja avaruusalan turvallisuuden alalla, muun muassa valmistelemalla toimintapoliittisia ohjeita ja kyberturvallisuusriskien hallintamenetelmiä ja -toimenpiteitä, jotka perustuvat kaikki vaarat kattavaan lähestymistapaan merenalaisten viestintäkaapeleiden osalta, tarkistetun verkko- ja tietoturvadirektiivin voimaantuloa ennakoiden, sekä työnsä ohjeiden laatimiseksi avaruusalan toimijoille tarkoitetuista kyberturvallisuusriskien hallintatoimenpiteistä, joilla pyritään parantamaan avaruuspohjaisten palvelujen tarjoamista tukevan maassa sijaitsevan infrastruktuurin häiriönsietokykyä.
(11)Jäsenvaltioiden olisi hyödynnettävä täysipainoisesti kyberturvallisuutta koskevaan varautumiseen liittyviä palveluja, joita tarjotaan ENISAn kanssa toteutettavassa komission lyhyen aikavälin tukiohjelmassa, erityisesti tietoturvallisuuden tason testausta haavoittuvuuksien tunnistamiseksi, ja tässä yhteydessä niitä kannustetaan asettamaan etusijalle toimijat, jotka ylläpitävät kriittistä infrastruktuuria energia- ja liikennealoilla sekä digitaalisen infrastruktuurin alalla.
(12)Jäsenvaltioiden olisi pantava kiireellisesti täytäntöön 5G-kyberturvallisuutta koskevassa EU:n välineistössä 24 suositetut toimenpiteet. Jäsenvaltioiden, jotka eivät ole vielä ottaneet käyttöön suuririskisiä toimittajia koskevia rajoituksia, olisi tehtävä se viipymättä, kun otetaan huomioon, että menetetty aika voi lisätä verkkojen haavoittuvuutta unionissa. Niiden olisi vahvistettava myös 5G-verkkojen kriittisten ja herkkien osien fyysistä ja muuta kuin fyysistä suojausta muun muassa tiukan pääsynvalvonnan avulla. Lisäksi jäsenvaltioiden olisi arvioitava yhteistyössä komission kanssa täydentävien toimien, mukaan lukien oikeudellisesti sitovien unionin tason vaatimusten, tarvetta, jotta voidaan varmistaa 5G-verkkojen turvallisuuden ja häiriönsietokyvyn yhdenmukainen taso.
(13)Jäsenvaltioiden olisi pantava mahdollisimman pian täytäntöön rajatylittävien sähkövirtojen kyberturvallisuusnäkökohtia koskeva tuleva verkkosääntö, joka perustuu verkko- ja tietoturvadirektiivin täytäntöönpanosta saatuihin kokemuksiin ja verkko- ja tietoturva-alan yhteistyöryhmän laatimiin asiaa koskeviin ohjeisiin, erityisesti sen viiteasiakirjaan, joka koskee keskeisten palvelujen tarjoajien turvallisuustoimenpiteitä.
(14)Jäsenvaltioiden olisi kehitettävä Galileo-järjestelmän ja/tai Copernicus-ohjelman käyttöä valvontaan ja jaettava asiaa koskevia tietoja 15 kohdan mukaisesti koolle kutsuttujen asiantuntijoiden kanssa. Lisäksi olisi käytettävä tehokkaasti hyödyksi unionin avaruusohjelmaan kuuluvan valtiollisen satelliittiviestinnän (GOVSATCOM) tarjoamia valmiuksia kriittisen infrastruktuurin seurantaan ja kriisitoimien tukemiseen.
Unionin tason toimet
(15)Komissio aikoo lujittaa jäsenvaltioiden asiantuntijoiden välistä yhteistyötä auttaakseen parantamaan kriittistä infrastruktuuria ylläpitävien toimijoiden muita kuin kyberuhkia koskevaa fyysistä häiriönsietokykyä, erityisesti seuraavasti:
(a)valmistellaan yhteisten välineiden kehittämistä ja edistämistä jäsenvaltioiden tukemiseksi tällaisen häiriönsietokyvyn parantamisessa, mukaan lukien menetelmät ja riskiskenaariot;
(b)tuetaan 6 kohdassa tarkoitettujen stressitestien suorittamista jäsenvaltioissa koskevien yhteisten periaatteiden kehittämistä alkaen testeistä, joissa painopisteenä ovat ihmisen aiheuttamat riskit energia-alalla ja sen jälkeen muilla keskeisillä aloilla, kuten digitaalisen infrastruktuurin, liikenteen ja avaruuden aloilla; torjutaan muita merkittäviä riskejä ja vaaroja sekä annetaan tarvittaessa tukea ja neuvoja tällaisten stressitestien tekemiseen;
(c)tarjotaan suojattu alusta parhaiden käytäntöjen, kansallisten kokemusten ja muiden tällaiseen häiriönsietokykyyn liittyvien tietojen keräämiseksi, arvioimiseksi ja jakamiseksi, mukaan lukien stressitestien tekeminen ja niiden tulosten muuntaminen käytännöiksi ja varautumissuunnitelmiksi.
Näiden asiantuntijoiden työssä olisi kiinnitettävä erityistä huomiota eri alojen keskinäisiin riippuvuussuhteisiin ja toimijoihin, jotka ylläpitävät merkitykseltään rajatylittävää kriittistä infrastruktuuria, ja kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän olisi jatkettava tätä työtä perustamisensa jälkeen.
(16)Jäsenvaltioiden olisi osallistuttava täysipainoisesti 15 kohdassa tarkoitettuun lujitettuun yhteistyöhön muun muassa nimeämällä yhteyspisteet, joilla on asiaankuuluva asiantuntemus, ja jakamalla kokemuksia stressitesteissä käytettävistä menetelmistä ja stressitestien perusteella laadituista käytännöistä ja varautumissuunnitelmista. Tiedonvaihdon yhteydessä olisi säilytettävä kyseisten tietojen luottamuksellisuus sekä turvattava kriittisten toimijoiden kaupalliset ja turvallisuusedut sekä otettava huomioon jäsenvaltioiden turvallisuus. Tähän ei kuulu sellaisten tietojen toimittaminen, joiden ilmaiseminen olisi vastoin jäsenvaltioiden keskeisiä kansalliseen tai yleiseen turvallisuuteen taikka puolustukseen liittyviä etuja.
(17)Komissio tukee jäsenvaltioita laatimalla käsikirjoja ja ohjeita, kuten käsikirjan, joka koskee kriittisen infrastruktuurin ja julkisten tilojen suojaamista miehittämättömiltä ilma-alusjärjestelmiltä, sekä riskinarviointivälineitä. EUH:ta pyydetään laatimaan tilannetietoisuuden parantamiseksi erityisesti EU:n tiedusteluanalyysikeskuksen ja sen hybridianalyysikeskuksen välityksellä katsauksia EU:n kriittiseen infrastruktuuriin kohdistuvista uhkista.
(18)Komissio tukee sellaisten unionin tutkimus- ja innovointiohjelmista rahoitettavien hankkeiden tulosten hyödyntämistä, jotka koskevat kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyä. Komissio aikoo lisätä tällaisen häiriönsietokyvyn rahoitusta Horisontti Eurooppa -puiteohjelmalle vuosien 2021–2027 monivuotisessa rahoituskehyksessä osoitettujen määrärahojen kautta. Näin on määrä vastata alan tämänhetkisiin ja tuleviin haasteisiin, joihin kuuluu kriittisen infrastruktuurin ilmastokestävyyden varmistaminen, heikentämättä muun kansalaisturvallisuuteen liittyvän tutkimuksen ja innovoinnin rahoitusta Horisontti Eurooppa ‑puiteohjelmassa. Lisäksi komissio aikoo tehostaa toimiaan unionin rahoittamien asiaan liittyvien tutkimushankkeiden tulosten levittämiseksi.
(19)Verkko- ja tietoturva-alan yhteistyöryhmää pyydetään tehostamaan yhteistyössä komission ja korkean edustajan kanssa ja unionin lainsäädännön mukaisten kunkin osapuolen tehtävien ja vastuualueiden mukaisesti asiaankuuluvien verkostojen ja siviili- ja sotilaselinten kanssa tehtävää työtä riskinarviointien ja kyberturvallisuusriskiskenaarioiden laatimiseksi keskittyen aluksi energia-,
viestintä-, liikenne- ja avaruusinfrastruktuuriin sekä eri alojen ja jäsenvaltioiden keskinäisiin riippuvuussuhteisiin. Tässä yhteydessä olisi otettava huomioon siihen fyysiseen infrastruktuuriin kohdistuvat riskit, joista nämä alat ovat riippuvaisia. Nämä riskinarvioinnit ja skenaariot olisi laadittava säännöllisesti, ja niiden olisi täydennettävä kyseisten alojen olemassa olevia tai suunniteltuja riskinarviointeja, perustuttava niihin ja vältettävä päällekkäisyyttä niiden kanssa sekä tarjottava taustatietoa keskusteluihin, joissa käsitellään mahdollisuuksia vahvistaa kriittistä infrastruktuuria ylläpitävien toimijoiden yleistä häiriönsietokykyä ja vähentää haavoittuvuuksia.
(20)Komissio vauhdittaa toimiaan, joilla tuetaan jäsenvaltioiden varautumista ja reagointia laajamittaisiin kyberturvallisuuspoikkeamiin ja erityisesti
(a)laatii verkko- ja tietoturvaan liittyvien asiaankuuluvien riskinarviointien lisäksi kattavan selvityksen, jossa arvioidaan jäsenvaltioita toisiinsa yhdistävää ja Eurooppaa muuhun maailmaan yhdistävää merenalaista kaapeli-infrastruktuuria, mukaan lukien sen kartoitus, sen kapasiteetti ja redundanssi, haavoittuvuudet, palvelujen saatavuuteen liittyvät riskit ja riskinhallinta. Tulokset olisi toimitettava jäsenvaltioille;
(b)tukee jäsenvaltioiden ja EU:n toimielinten, elinten ja virastojen varautumista laajamittaisiin kyberturvallisuuspoikkeamiin.
(21)Komissio tehostaa tulevaisuuteen suuntautuvia ennakoivia toimia koskevaa työtä, myös unionin pelastuspalvelumekanismin puitteissa, yhteistyössä jäsenvaltioiden kanssa päätöksen N:o 1313/2013/EU 6 ja 10 artiklan mukaisesti ja laatimalla varautumissuunnitelman tukeakseen EU:n hätäavun koordinointikeskuksen operatiivista varautumista.
Komissio sitoutuu erityisesti seuraaviin toimiin:
(a)jatketaan EU:n hätäavun koordinointikeskuksessa tehtävää työtä, joka koskee ennakointia ja monialaista ennaltaehkäisy-, varautumis- ja reagointisuunnittelua kriittistä infrastruktuuria ylläpitävien toimijoiden suorittamaan keskeisten palvelujen tarjontaan kohdistuvien häiriöiden ennakoimiseksi ja niihin valmistautumiseksi;
(b)lisätään investointeja ennaltaehkäiseviin lähestymistapoihin ja väestön varautumiseen tällaisten häiriöiden varalta keskittyen erityisesti kemiallisiin, biologisiin, säteilyyn ja ydinräjähteisiin liittyviin tai muihin uusiin ihmisen aiheuttamiin uhkiin;
(c)lisätään asiaankuuluvan tietämyksen ja parhaiden käytäntöjen vaihtoa ja parannetaan valmiuksien kehittämistoimien, kuten kriittistä infrastruktuuria ylläpitävien toimijoiden kanssa toteutettavien koulutustilaisuuksien ja harjoitusten, suunnittelua ja toteutusta olemassa olevien rakenteiden ja asiantuntemuksen, kuten unionin pelastuspalvelun osaamisverkoston, avulla.
(22)Komissio edistää EU:n valvontaresurssien (Copernicus ja Galileo) käyttöä jäsenvaltioiden tukemiseksi kriittisen infrastruktuurin ja tarvittaessa sen välittömän lähiympäristön seurannassa sekä muiden unionin avaruusohjelmaan sisältyvien valvontavaihtoehtojen edistämiseksi.
(23)Unionin virastoja ja muita asiaankuuluvia elimiä pyydetään tarvittaessa ja toimivaltuuksiaan vastaavasti antamaan tukea kysymyksissä, jotka liittyvät kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokykyyn, esimerkiksi seuraavasti:
(a)Europol: tietojen kerääminen, rikosanalyysien suorittaminen ja tutkintatoimien tuki rajatylittävien lainvalvontatoimien yhteydessä;
(b)EMSA: unionin merenkulkualan turvallisuuteen liittyvät asiat, mukaan lukien merivalvontapalvelut merenkulun turvallisuuteen liittyvissä asioissa;
(c)EUSPA: unionin avaruusohjelmaan kuuluvat toimet;
(d)ENISA: kyberturvallisuuteen liittyvät toimet.
III LUKU: REAGOINNIN TEHOSTAMINEN
Jäsenvaltiotason toimet
(24) Jäsenvaltioiden olisi
(a)koordinoitava reagointitoimiaan ja pidettävä yllä yleiskuvaa monialaisesta reagoinnista merkittäviin häiriöihin, joita ilmenee kriittisiä infrastruktuureja ylläpitävien toimijoiden suorittamassa keskeisten palvelujen tarjoamisessa, ja tehtävä tämä neuvoston poliittisen kriisitoiminnan integroitujen järjestelyjen (IPCR) yhteydessä, kun on kyse merkitykseltään rajatylittävästä kriittisestä infrastruktuurista, ja laajamittaisia kyberturvallisuuspoikkeamia ja -kriisejä koskevan suunnitelman tai EU:n koordinoitua reagointia hybridiuhkiin ja -kampanjoihin koskevien puitteiden yhteydessä, kun on kyse hybridikampanjasta;
(b)lisättävä tiedonvaihtoa unionin pelastuspalvelumekanismin yhteydessä ennakkovaroitusjärjestelmän tehostamiseksi ja mekanismin mukaisen reagoinnin koordinoimiseksi tällaisten merkittävien häiriöiden ilmetessä ja siten varmistettava tarpeen mukaan nopeampi reagointi unionin tuella;
(c)lisättävä valmiuttaan reagoida unionin pelastuspalvelumekanismin kautta tällaisiin merkittäviin häiriöihin, erityisesti jos niillä on todennäköisesti merkittäviä rajatylittäviä tai jopa yleiseurooppalaisia sekä monialaisia vaikutuksia;
(d)tehtävä yhteistyötä komission kanssa asiaankuuluvien reagointivalmiuksien kehittämiseksi edelleen Euroopan pelastuspalvelureservissä (ECPP) ja rescEU:ssa;
(e)kehotettava kriittistä infrastruktuuria ylläpitäviä toimijoita ja asianomaisia kansallisia viranomaisia parantamaan näiden toimijoiden valmiuksia palauttaa nopeasti keskeisten palvelujen tarjonnan perustaso;
(f)varmistettava, että kun elintärkeää infrastruktuuria on rakennettava uudelleen, tällainen uudelleen rakennettu infrastruktuuri kestää kaikki merkittävät riskit, joita siihen saattaa kohdistua, myös epäsuotuisissa ilmastoskenaarioissa.
(25)Jäsenvaltioita kehotetaan vauhdittamaan valmistelutyötä tarkistetun verkko- ja tietoturvadirektiivin saattamiseksi osaksi kansallista lainsäädäntöä ja sen soveltamiseksi aloittamalla välittömästi kansallisten tietoturvaloukkauksiin reagoivien ja niitä tutkivien yksiköiden (CSIRT-toimijoiden) valmiuksien parantaminen, kun otetaan huomioon CSIRT-toimijoiden uudet tehtävät ja uusien alojen toimijoiden määrän kasvu, päivittämällä pikaisesti kyberturvallisuusstrategioitaan ja hyväksymällä mahdollisimman pian kansalliset kyberturvapoikkeama- ja kriisisuunnitelmat.
Unionin tason toimet
(26)Kriittisiä infrastruktuureja ylläpitävien toimijoiden suorittamassa keskeisten palvelujen tarjoamisessa ilmeneviin merkittäviin häiriöihin reagoimista olisi koordinoitava jäsenvaltioiden asiantuntijoiden kesken siltä osin kuin on kyse kyseisten toimijoiden häiriönsietokyvystä ja reagoimisesta tällaisiin häiriöihin ja siltä osin kuin asiantuntijat voivat edistää neuvoston poliittisen kriisitoiminnan integroitujen järjestelyjen (IPCR) toimintaa.
(27)Komissio tekee tiivistä yhteistyötä jäsenvaltioiden kanssa kehittääkseen edelleen toimintavalmiita hätäapuvalmiuksia, mukaan lukien asiantuntijat ja rescEU-varastot unionin pelastuspalvelumekanismin puitteissa, jotta voidaan parantaa operatiivista valmiutta torjua välittömiä ja välillisiä vaikutuksia, joita aiheutuu, kun kriittistä infrastruktuuria ylläpitävien toimijoiden suorittamassa keskeisten palvelujen tarjoamisessa ilmenee merkittäviä häiriöitä.
(28)Komissio ottaa huomioon muuttuvan riskiympäristön ja toimii yhteistyössä jäsenvaltioiden kanssa, kun se aikoo unionin pelastuspalvelumekanismin yhteydessä
(a)analysoida ja testata olemassa olevien reagointivalmiuksien riittävyyttä ja operatiivista valmiutta jatkuvasti;
(b)tarkastella säännöllisesti mahdollisuuksia kehittää uusia reagointivalmiuksia EU:n tasolla rescEU:n kautta;
(c)tehostaa edelleen monialaista yhteistyötä, jotta voidaan varmistaa asianmukainen reagointi EU:n tasolla, ja järjestää säännöllisiä harjoituksia tämän yhteistyön testaamiseksi;
(d)kehittää edelleen EU:n hätäavun koordinointikeskusta EU:n tason monialaisena kriisikeskuksena vaikutusten kohteena oleville jäsenvaltioille suunnattavan tuen koordinoimiseksi.
(29)Komissio aikoo laatia yhteistyössä korkean edustajan kanssa, jäsenvaltioita tiiviisti kuullen ja asianomaisten unionin virastojen tuella kriittiseen infrastruktuuriin liittyviä poikkeamia ja kriisejä koskevan suunnitelman, jossa kuvataan ja esitetään jäsenvaltioiden ja EU:n toimielinten, elinten ja laitosten välisen yhteistyön tavoitteet ja muodot kriittiseen infrastruktuuriin kohdistuviin poikkeamiin reagoimiseksi erityisesti silloin, kun poikkeamat aiheuttavat merkittäviä häiriöitä sisämarkkinoiden kannalta keskeisten palvelujen tarjoamiselle. Tässä suunnitelmassa olisi hyödynnettävä olemassa olevia EU:n poliittisen kriisitoiminnan integroituja järjestelyjä (IPCR) reagointitoimien koordinoimiseksi.
(30)Komissio tekee yhteistyötä sidosryhmien ja asiantuntijoiden kanssa määrittääkseen 20 kohdan a alakohdassa tarkoitetun selvityksen yhteydessä esitettäviä toimenpiteitä, jotka voidaan toteuttaa merenalaiseen kaapeli-infrastruktuuriin liittyvistä poikkeamista selviytymiseksi, sekä kehittää edelleen varautumissuunnittelua, riskiskenaarioita sekä unionin pelastuspalvelumekanismin puitteissa tehtävää, unionin katastrofivalmiutta ja -palautuvuutta koskevaa työtä.
IV LUKU: KANSAINVÄLINEN YHTEISTYÖ
(31)Komissio ja korkea edustaja tukevat unionin lainsäädännön mukaisten tehtäviensä ja vastuualueidensa mukaisesti tarvittaessa kumppanimaita niiden alueella kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyvyn parantamisessa.
(32)Komissio ja korkea edustaja vahvistavat unionin lainsäädännön mukaisten tehtäviensä ja vastuualueidensa mukaisesti kriittisen infrastruktuurin häiriönsietokykyä koskevaa koordinointia Naton kanssa häiriönsietokykyä koskevan EU:n ja Naton jäsennellyn vuoropuhelun välityksellä ja perustavat tätä varten työryhmän.
(33)Jäsenvaltioita pyydetään yhteistyössä komission ja korkean edustajan kanssa osaltaan nopeuttamaan puitteista EU:n koordinoidulle hybridikampanjoihin reagoinnille annetuissa neuvoston päätelmissä 25 mainittujen EU:n hybridivälineistön ja täytäntöönpano-ohjeiden laatimista ja täytäntöönpanoa ja sen jälkeen käyttämään niitä, jotta EU:n koordinoitua hybridikampanjoihin reagointia koskevat puitteet pantaisiin kaikilta osin täytäntöön erityisesti harkittaessa ja valmisteltaessa kattavaa ja koordinoitua EU:n reagointia hybridikampanjoihin ja hybridiuhkiin, myös niiden kohdistuessa kriittisiä infrastruktuureja ylläpitäviin toimijoihin.
(34)Komissio harkitsee tarvittaessa kolmansien maiden edustajien osallistumista jäsenvaltioiden asiantuntijoiden väliseen yhteistyöhön ja tietojenvaihtoon kriittistä infrastruktuuria ylläpitävien toimijoiden häiriönsietokyvyn alalla.
[…]
Tehty Strasbourgissa
Neuvoston puolesta
Puheenjohtaja