EUROOPAN KOMISSIO

Bryssel 6.9.2023

COM(2023) 526 final

2023/0318(NLE)

Ehdotus

NEUVOSTON SUOSITUS

suunnitelmaksi koordinoidusta unionin tason reagoinnista kriittisen infrastruktuurin häiriöihin, joilla on huomattavaa rajatylittävää merkitystä

(ETA:n kannalta merkityksellinen teksti)

PERUSTELUT

1.EHDOTUKSEN TAUSTA

•Ehdotuksen perustelut ja tavoitteet

Unionin on pysyttävä valppaana ja mukauduttava jatkuvasti nykyiseen yhä epävarmempaan geopoliittiseen tilanteeseen, joka johtuu erityisesti Venäjän hyökkäyssodasta Ukrainaa vastaan sekä turvallisuusuhkien monimutkaistumisesta ja ilmastonmuutoksen vaikutuksista, kuten epätavallisten ilmastoilmiöiden lisääntymisestä ja veden niukkuudesta. Unionin kansalaiset, yritykset ja viranomaiset ovat riippuvaisia kriittisestä infrastruktuurista 1 , koska tällaista infrastruktuuria ylläpitävät toimijat tarjoavat keskeisiä palveluja. Nämä palvelut ovat olennaisia välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämiseksi, ja niitä on tarjottava häiriöttömästi sisämarkkinoilla. Koska nämä keskeiset palvelut ovat niin tärkeitä sisämarkkinoiden kannalta, kriittisestä infrastruktuurista on tehtävä häiriönsietokykyisempi ja näitä palveluja tarjoavien kriittisten toimijoiden häiriönsietokyky on varmistettava laajemmassa mittakaavassa, minkä vuoksi unionin on toteutettava toimenpiteitä tällaisen häiriönsietokyvyn vahvistamiseksi ja keskeisten palvelujen tarjonnassa mahdollisesti ilmenevien häiriöiden lieventämiseksi. Tällaisilla häiriöillä voi muuten olla vakavia seurauksia unionin kansalaisille, talouksille ja luottamukselle demokraattisiin järjestelmiimme, ja ne voivat vaikuttaa sisämarkkinoiden sujuvaan toimintaan erityisesti tilanteessa, jossa toimialojen väliset ja rajatylittävät riippuvuussuhteet lisääntyvät.

Unioni on jo toteuttanut useita toimenpiteitä kriittisen infrastruktuurin suojan vahvistamiseksi erityisesti rajatylittävän infrastruktuurin ja kriittisten toimijoiden häiriönsietokyvyn osalta välttääkseen tai lieventääkseen häiriöiden vaikutuksia keskeisiin palveluihin, joita ne tarjoavat sisämarkkinoilla.

Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä annettu direktiivi 2008/114/EY 2 , jäljempänä ’ECI-direktiivi’, oli ensimmäinen oikeudellinen väline, jolla otettiin käyttöön EU:n laajuinen menettely Euroopan kriittisten infrastruktuurien määrittämiseksi ja nimeämiseksi ja yhteinen unionin lähestymistapa, jolla arvioidaan tarvetta parantaa tällaisen infrastruktuurin suojaamista ihmisen aiheuttamilta uhkilta – sekä tahallisilta että tahattomilta – ja luonnononnettomuuksilta. Siinä keskityttiin kuitenkin ainoastaan energian ja liikenteen toimialoihin ja kriittisen infrastruktuurin suojaamiseen, eikä siinä määrätty laajemmista toimenpiteistä tällaista infrastruktuuria ylläpitävien toimijoiden häiriönsietokyvyn vahvistamiseksi.

Koska sisämarkkinoilla toteutettavat toimet ovat luonteeltaan yhä enenevässä määrin toisistaan riippuvaisia ja rajatylittäviä, oli tarpeen kattaa useampia kuin kaksi toimialaa ja toteuttaa laajempia toimia kuin yksittäisten infrastruktuurihyödykkeiden suojatoimenpiteitä. Sen vuoksi vuonna 2022 hyväksyttiin kriittisten toimijoiden häiriönsietokykyä koskeva direktiivi (EU) 2022/2557 3 , jäljempänä ’CER-direktiivi’, sekä toimenpiteitä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa koskeva direktiivi (EU) 2022/2555 4 , jäljempänä ’NIS 2 -direktiivi’. Tavoitteena on varmistaa kriittisten toimijoiden kattava fyysinen ja digitaalinen häiriönsietokyky. CER-direktiivi tuli voimaan 16. tammikuuta 2023, ja sen tarkoituksena on auttaa jäsenvaltioita vahvistamaan kriittisten toimijoiden yleistä häiriönsietokykyä ja tehostaa koordinointia unionin tasolla. Sillä korvataan ECI-direktiivi 18. lokakuuta 2024 alkaen, johon mennessä jäsenvaltioiden on toteutettava tarvittavat toimenpiteet CER-direktiivin noudattamiseksi. CER-direktiiviä sovelletaan 11 toimialalla 5 . Siinä painopiste siirretään kriittisen infrastruktuurin suojaamisesta tällaista kriittistä infrastruktuuria ylläpitävien kriittisten toimijoiden häiriönsietokyvyn laajempaan käsitteeseen, joka kattaa tilanteen ennen poikkeamaa, sen aikana ja sen jälkeen. Myös NIS 2 -direktiivi tuli voimaan 16. tammikuuta 2023, ja sillä nykyaikaistetaan nykyistä oikeudellista kehystä digitalisaation lisääntymiseen ja alati muuttuvaan kyberuhkaympäristöön sopeutumiseksi. Lisäksi NIS 2 -direktiivillä laajennetaan kyberturvallisuussääntöjen soveltamisalaa kattamaan uusia toimialoja ja toimijoita ja parannetaan julkisten ja yksityisten toimijoiden, toimivaltaisten viranomaisten ja koko unionin häiriönsietokykyä ja valmiuksia reagoida poikkeamiin.

CER-direktiivi sisältää säännökset, jotka koskevat poikkeamista ilmoittamista: kriittinen toimija ilmoittaa kansalliselle toimivaltaiselle viranomaiselle, kansallinen toimivaltainen viranomainen ilmoittaa muille (mahdollisesti) asiaan liittyville jäsenvaltioille, ja komissiolle ilmoitetaan, jos poikkeama vaikuttaa vähintään kuuteen jäsenvaltioon. CER-direktiivissä säädetään tietyistä poikkeamista ilmoittamista koskevista velvoitteista, jos poikkeamalla on tai sillä voisi olla merkittävä vaikutus kriittisiin toimijoihin ja keskeisten palvelujen tarjonnan jatkuvuuteen yhdelle tai useammalle muulle jäsenvaltiolle tai yhdessä tai useammassa muussa jäsenvaltiossa. 6

Kuten Nord Stream -kaasuputkiin syyskuussa 2022 kohdistunut sabotaasi osoittaa, turvallisuustilanne, jossa kriittinen infrastruktuuri toimii, on muuttunut merkittävästi. Unionin tasolla tarvitaan siksi kiireellisesti lisätoimia kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseksi varautumisen lisäksi myös koordinoidun reagoinnin suhteen.

Tähän liittyen annettiin komission ehdotuksen pohjalta 8. joulukuuta 2022 neuvoston suositus unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen 7 , jäljempänä ’kriittisen infrastruktuurin häiriönsietokykyä koskeva suositus’. Kyseisessä suosituksessa korostetaan muun muassa tarvetta varmistaa unionin tasolla koordinoitu ja toimiva reagointi keskeisten palvelujen tarjontaan kohdistuviin tämänhetkisiin ja tuleviin riskeihin. Neuvosto myös kehotti komissiota laatimaan ”suunnitelman, joka koskee koordinoitua reagointia kriittisen infrastruktuurin merkittäviin häiriöihin, joilla on kriittistä rajatylittävää merkitystä”. Suosituksessa mainitaan, että suunnitelman olisi oltava yhdenmukainen hybridiuhkien torjumista koskevan unionin protokollan 8 kanssa, siinä olisi otettava huomioon koordinoidusta tavasta reagoida laajamittaisiin rajatylittäviin kyberturvallisuuspoikkeamiin ja -kriiseihin annettu komission suositus 2017/1584 9 , jäljempänä ’kybersuunnitelma’, ja noudatettava poliittisen kriisitoiminnan integroituja järjestelyjä, jäljempänä ’IPCR-järjestelyt’ 10 .

Tältä pohjalta tämä ehdotus neuvoston lisäsuositukseksi sisältää tällaisen suunnitelman. Ehdotuksella pyritään täydentämään nykyistä oikeudellista kehystä kuvaamalla koordinoituja toimia unionin tasolla sellaisten kriittisen infrastruktuurin häiriöiden osalta, joilla on huomattavaa rajatylittävää merkitystä, ja hyödyntämään samalla olemassa olevia unionin tason järjestelyjä. Ehdotuksessa kuvataan konkreettisesti suunnitelman soveltamisala ja tavoitteet sekä toimijat, prosessit ja olemassa olevat välineet, joita voitaisiin käyttää koordinoituun reagointiin unionin tasolla, kun on kyse kriittisen infrastruktuurin poikkeamatilanteesta, jolla on huomattavia rajat ylittäviä vaikutuksia, ja jäsenvaltioiden, unionin toimielinten, elinten, laitosten ja virastojen yhteistyötavat tällaisissa tilanteissa.

•Yhdenmukaisuus muiden alaa koskevien politiikkojen säännösten kanssa

Tämä ehdotus neuvoston suositukseksi on yhdenmukainen kriittisen infrastruktuurin suojaamista ja kriittisten toimijoiden häiriönsietokykyä koskevan nykyisen oikeudellisen kehyksen – ECI-direktiivin ja CER-direktiivin sekä kriittisen infrastruktuurin häiriönsietokykyä koskevan suosituksen – kanssa ja täydentää sitä, sillä sen tarkoituksena on varmistaa täydentävästi jäsenvaltioiden välinen sekä niiden ja unionin toimielinten, elinten, toimistojen ja virastojen välinen koordinointi reagoitaessa poikkeamatilanteisiin, jotka aiheuttavat rajatylittävältä merkitykseltään huomattavia häiriöitä kriittiseen infrastruktuuriin ja keskeisten palvelujen tarjoamiseen. Ehdotuksessa hyödynnetään unionin tasolla olemassa olevia rakenteita ja mekanismeja, myös CER-direktiivillä perustettuja rakenteita ja mekanismeja, kuten toimivaltaisten viranomaisten ja CER-direktiivillä perustetun kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän välistä yhteistyötä, jolla tuetaan komissiota ja helpotetaan jäsenvaltioiden välistä yhteistyötä ja tiedonvaihtoa CER-direktiiviin liittyvistä kysymyksistä.

Tämä ehdotus neuvoston suositukseksi on myös NIS 2 -direktiivissä vahvistetun kyberturvallisuutta koskevan unionin kehyksen mukainen ja täydentää sitä.

Tämän ehdotuksen tavoitteena on esittää kybersuunnitelman kaltainen kriittistä infrastruktuuria koskeva suunnitelma, jonka kohteena on kriittisten toimijoiden häiriönsietokyky ja kriittisen infrastruktuurin suojaaminen.

Liitteessä olevan I osan 4 kohdan b alakohdassa selitetään myös yhteyksiä kybersuunnitelmaan, jota sovelletaan laajamittaisiin kyberturvallisuuspoikkeamiin, joiden aiheuttamat häiriöt ovat liian laajoja, jotta asianomainen jäsenvaltio voisi käsitellä niitä yksin, tai jotka koskevat kahta tai useampaa jäsenvaltiota tai EU:n toimielintä ja joilla on teknisesti tai poliittisesti niin laaja ja merkittävä vaikutus, että ne edellyttävät pikaista poliittista koordinointia ja reagointia unionin poliittisella tasolla. NIS 2 -direktiivissä ’poikkeama’ määritellään tapahtumaksi, ”joka vaarantaa verkko- ja tietojärjestelmissä tarjottavien tai niiden välityksellä saatavilla olevien tallennettujen, siirrettyjen tai käsiteltyjen tietojen taikka palvelujen saatavuuden, aitouden, eheyden tai luottamuksellisuuden”, jäljempänä ’kyberturvallisuuspoikkeama’.

CER-direktiivin ja NIS 2 -direktiivin mukaan toimivaltaisilla viranomaisilla on velvollisuus tehdä yhteistyötä ja vaihtaa tietoja kyberturvallisuuspoikkeamista ja kriittisiin toimijoihin vaikuttavista poikkeamista, myös toteutettujen asiaankuuluvien toimenpiteiden osalta. Tilanteessa, jossa merkittävä kriittisen infrastruktuurin poikkeama ja laajamittainen kyberturvallisuuspoikkeama vaikuttavat samaan toimijaan, asiaankuuluvien toimijoiden olisi koordinoitava mahdollisia toimia.

Ehdotus on yhdenmukainen hybridipoikkeamiin sovellettavan hybridiuhkien torjumista koskevan EU:n protokollan kanssa. Liitteessä olevan I osan 4 kohdan a alakohdassa selitetään yhteydet EU:n protokollaan, mukaan lukien se, mitä välinettä sovelletaan, jos kyseessä on kriittisen infrastruktuurin merkittävä poikkeama, jolla on hybridiulottuvuus. 

Ehdotus on yhdenmukainen myös muiden unionin tasolla käytössä olevien kriisinhallintamekanismien, kuten neuvoston IPCR-järjestelyjen, komission sisäisen yleishälytysjärjestelmän ARGUSin 11 ja unionin pelastuspalvelumekanismin 12 , jota tukee sen hätäavun koordinointikeskus (ERCC), sekä Euroopan ulkosuhdehallinnon kriisinhallintamekanismin kanssa.

Ehdotus on yhdenmukainen myös muun asiaankuuluvan alakohtaisen lainsäädännön ja erityisesti sellaisten sen sisältämien erityistoimenpiteiden kanssa, joilla säännellään tiettyjä näkökohtia, jotka liittyvät siihen, kuinka asianomaisten toimialojen toimijat reagoivat häiriöihin.

2.OIKEUSPERUSTA, TOISSIJAISUUSPERIAATE JA SUHTEELLISUUSPERIAATE

•Oikeusperusta

•Toissijaisuusperiaate (jaetun toimivallan osalta)

•Suhteellisuusperiaate

Tämä ehdotus on Euroopan unionista tehdyn sopimuksen, jäljempänä ’SEU-sopimus’, 5 artiklan 4 kohdassa vahvistetun suhteellisuusperiaatteen mukainen.

Ehdotetun neuvoston suosituksen sisältö tai muoto ei ylitä sitä, mikä on tarpeen sen tavoitteiden saavuttamiseksi. Ehdotetut toimet ovat oikeasuhteisia tavoiteltuihin tavoitteisiin nähden. Tavoitteissa keskitytään varmistamaan unionin tasolla koordinoitu reagointi kriittisen infrastruktuurin tai tätä kriittistä infrastruktuuria ylläpitävien kriittisten toimijoiden tarjoamien palvelujen häiriötilanteisiin, joilla on huomattavaa rajatylittävää merkitystä. Ehdotettu koordinoitu reagointi on oikeassa suhteessa jäsenvaltioiden kansallisen lainsäädännön mukaisiin toimivaltuuksiin ja velvoitteisiin. Kriittiseen infrastruktuuriin tai kriittisten toimijoiden tarjoamiin keskeisiin palveluihin kohdistuvat häiriötä aiheuttavat poikkeamat jäävät usein alle kriittisen infrastruktuurin merkittävän poikkeamatilanteen kynnysarvon, ja niihin voidaan puuttua tehokkaasti kansallisella tasolla. Siksi tässä ehdotuksessa säädetyn mekanismin käyttö rajoittuu merkittäviin häiriöihin, joilla on huomattavaa rajatylittävää merkitystä useissa jäsenvaltioissa.

•Toimintatavan valinta

3.JÄLKIARVIOINTIEN, SIDOSRYHMIEN KUULEMISTEN JA VAIKUTUSTENARVIOINTIEN TULOKSET

•Sidosryhmien kuuleminen

Tätä ehdotusta laadittaessa kuultiin jäsenvaltioita, unionin toimielimiä ja virastoja. Lisäksi otettiin huomioon jäsenvaltioiden asiantuntijoiden näkemykset, jotka esitettiin 24. huhtikuuta 2023 pidetyssä työpajassa ja joita lähetettiin sen jälkeen kirjallisesti.

Yleisesti oltiin yksimielisiä unionin tason koordinoinnin lisäämisen hyödyllisyydestä reagoitaessa kriittisen infrastruktuurin häiriöihin, joilla on huomattavaa rajatylittävää merkitystä nykyisessä uhkatilanteessa, samalla kun on otettava huomioon jäsenvaltioiden toimivalta tällä alalla ja arkaluonteisten tietojen luottamuksellisuus. Yksimielisyys vallitsi myös tarpeesta välttää välineiden päällekkäisyyttä ja hyödyntää olemassa olevia unionin tason koordinointi-, tiedonvaihto- ja reagointimekanismeja.

Tietyillä jäsenvaltioilla oli myönteinen näkemys kriittistä infrastruktuuria koskevan suunnitelman laajemmasta soveltamisalasta, kun taas toiset katsoivat, että CER-direktiivissä säädetty vähintään kuuden jäsenvaltion kynnysarvo Euroopan kannalta erityisen merkittävien kriittisten toimijoiden määrittämisessä oli riittävä eikä soveltamisalaan ollut tarpeen sisällyttää toista poikkeamatyyppiä. Muutama jäsenvaltio huomautti, että keskeisiä palveluja tarjoavan kriittisen infrastruktuurin ylläpitäjien osallistaminen tarvittaessa on tärkeää, jotta voidaan hyödyntää niiden asiantuntemusta ja ottaa huomioon kyberulottuvuus.

•Ehdotukseen sisältyvien säännösten yksityiskohtaiset selitykset

Ehdotus neuvoston suositukseksi koostuu päätekstistä ja liitteestä.

Pääteksti koostuu 11 kohdasta seuraavasti:

Sen 1 kohdassa esitetään, että tarvitaan tiiviimpää yhteistyötä reagoitaessa kriittisen infrastruktuurin merkittäviin poikkeamiin tähän ehdotettuun suositukseen sisältyvän kriittistä infrastruktuuria koskevan suunnitelman ja suosituksen liitteen asiaankuuluvien osien mukaisesti.

Päätekstin 2 kohdassa määritetään kriittistä infrastruktuuria koskevan suunnitelman soveltamisala, joka kattaa kahdentyyppiset kriittistä infrastruktuuria koskevan suunnitelman soveltamisen käynnistävät häiriöitä aiheuttavat poikkeamatilanteet eli tilanteet, joissa poikkeamalla on merkittävä haitallinen vaikutus keskeisten palvelujen tarjoamiseen vähintään kuudessa jäsenvaltiossa, ja tilanteet, joissa poikkeamalla on merkittävä haitallinen vaikutus vähintään kahdessa jäsenvaltiossa ja suunnitelmassa mainitut asiaankuuluvat toimijat ovat sopineet unionin tason koordinoinnin tarpeesta poikkeaman merkittävän vaikutuksen vuoksi.

Päätekstin 3 kohdassa viitataan kriittistä infrastruktuuria koskevaan suunnitelmaan osallistuvien asiaankuuluvien toimijoiden yksilöintiin ja tasoihin, joilla kriittistä infrastruktuuria koskeva suunnitelma toimii (operatiivinen ja strateginen/poliittinen). Tätä selitetään tarkemmin suosituksen liitteessä.

Päätekstin 4 kohdassa suositellaan, että kriittistä infrastruktuuria koskevaa suunnitelmaa sovelletaan yhdenmukaisesti liitteessä kuvattujen muiden asiaankuuluvien välineiden kanssa.

Päätekstin 5 kohdassa suositellaan, että jäsenvaltiot reagoivat kansallisella tasolla tehokkaasti kriittisen infrastruktuurin merkittäviin häiriöihin.

Päätekstin 6 kohdassa suositellaan, että asiaankuuluvat toimijat perustavat tai nimeävät yhteyspisteitä, jotka tukevat kriittistä infrastruktuuria koskevan suunnitelman käyttöä. Näiden yhteyspisteiden olisi mahdollisuuksien mukaan oltava samoja kuin CER-direktiivin mukaiset keskitetyt yhteyspisteet.

Päätekstin 7 kohdassa viitataan tiedonkulkuun kriittisen infrastruktuurin merkittävässä poikkeamatilanteessa.

Päätekstin 8 kohdassa kuvataan tarkemmin, miten tiedonvaihto olisi toteutettava.

Päätekstin 9 kohdassa suositellaan kriittistä infrastruktuuria koskevan suunnitelman toimivuuden testaamista harjoitusten avulla.

Päätekstin 10 kohdassa suositellaan, että saaduista kokemuksista keskustellaan kriittisten toimijoiden häiriönsietokykyä käsittelevässä ryhmässä, joka laatii muun muassa suosituksia sisältävän kertomuksen. Komission olisi hyväksyttävä kertomus.

Päätekstin 11 kohdassa suositellaan, että jäsenvaltiot keskustelevat kertomuksesta neuvostossa.

Liitteessä kuvataan tavoitteet, periaatteet, keskeiset toimijat, vuorovaikutus olemassa olevien kriisinhallintamekanismien kanssa ja kriittistä infrastruktuuria koskevan suunnitelman toiminta sen kahden yhteistyömuodon, tiedonvaihdon ja reagoinnin kanssa .

2023/0318 (NLE)

Ehdotus

NEUVOSTON SUOSITUS

suunnitelmaksi koordinoidusta unionin tason reagoinnista kriittisen infrastruktuurin häiriöihin, joilla on huomattavaa rajatylittävää merkitystä

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN UNIONIN NEUVOSTO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 114 ja 292 artiklan,

ottaa huomioon Euroopan komission ehdotuksen,

sekä katsoo seuraavaa:

(1)Sisämarkkinoiden ja koko yhteiskunnan moitteettoman toiminnan kannalta on olennaisen tärkeää, että voidaan luottaa häiriönsietokykyiseen kriittiseen infrastruktuuriin ja häiriönsietokykyisiin kriittisiin toimijoihin, jotka tarjoavat välttämättömien yhteiskunnan toimintojen, talouden toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämisen kannalta olennaisia palveluja.

(2)Nykyisessä muuttuvassa riskiympäristössä ja infrastruktuurien ja toimialojen keskinäisten riippuvuuksien sekä laajemmin toimialojen ja maiden rajat ylittävien yhteyksien lisääntyessä on käsiteltävä kattavasti ja koordinoidusti kriittisen infrastruktuurin suojaamista ja tällaista infrastruktuuria ylläpitävien kriittisten toimijoiden häiriönsietokykyä sekä vahvistettava niitä.

(3)Poikkeamalla, joka aiheuttaa häiriötä kriittiselle infrastruktuurille ja siten estää keskeisten palvelujen tarjoamisen tai vaikeuttaa sitä vakavasti, voi olla huomattavia rajatylittäviä seurauksia ja kielteisiä vaikutuksia sisämarkkinoihin. Kohdennetun, oikeasuhteisen ja tehokkaan lähestymistavan varmistamiseksi olisi toteutettava toimenpiteitä, joilla puututaan erityisesti tässä suosituksessa määriteltyihin kriittisen infrastruktuurin merkittäviin poikkeamiin, jotka kattavat esimerkiksi tilanteet, joissa poikkeaman aiheuttama häiriö on pitkäaikainen tai sillä voi olla huomattavia kerrannaisvaikutuksia samalla toimialalla tai muilla toimialoilla tai samassa jäsenvaltiossa tai muissa jäsenvaltioissa.

(4)Koordinoitu reagointi kriittisen infrastruktuurin merkittäviin poikkeamiin on olennaista, jotta vältetään merkittävät häiriöt sisämarkkinoilla ja varmistetaan kyseisten keskeisten palvelujen tarjonnan palauttaminen mahdollisimman pian, koska tällaisilla poikkeamilla voi olla vakavia seurauksia unionin taloudelle ja kansalaisille. Unionin tason ripeä ja tehokas reagointi tällaisiin poikkeamiin edellyttää kaikkien asiaankuuluvien toimijoiden nopeaa ja tehokasta yhteistyötä ja koordinoituja toimia, joita tuetaan unionin tasolla. Tällainen reagointi edellyttää siis etukäteen luotuja ja siinä määrin kuin mahdollista hyvin harjoiteltuja yhteistyömenettelyjä ja ‑mekanismeja, joissa on määritelty kansallisen ja unionin tason keskeisten toimijoiden roolit ja vastuut.

(5)Vaikka ensisijainen vastuu kriittisen infrastruktuurin merkittäviin poikkeamiin reagoinnista on jäsenvaltioilla ja kriittistä infrastruktuuria ylläpitävillä ja keskeisiä palveluja tarjoavilla toimijoilla, unionin tason koordinoinnin lisääminen on aiheellista tapauksissa, joissa häiriöillä on huomattavaa rajatylittävää merkitystä. Reagoinnin ripeys ja tehokkuus riippuu paitsi kansallisten mekanismien käyttöönotosta jäsenvaltioissa myös unionin tasolla tuetuista koordinoiduista toimista sekä asianmukaisesta, nopeasta ja tehokkaasta yhteistyöstä.

(6)Euroopan kriittisen infrastruktuurin suojaamista säännellään tällä hetkellä neuvoston direktiivillä 2008/114/EY 13 , joka kattaa vain kaksi toimialaa, liikenteen ja energian. Direktiivillä otetaan käyttöön menettely Euroopan kriittisen infrastruktuurin määrittämistä ja nimeämistä varten sekä yhteinen lähestymistapa sen suojaamisen parantamiseen liittyvien tarpeiden arvioimista varten. Se on komission vuonna 2006 hyväksymän Euroopan elintärkeiden infrastruktuurien suojaamisohjelman 14 (EPCIP) keskeinen pilari, ja siinä on määritelty kriittisen infrastruktuurin suojaamiseen tähtäävä Euroopan laajuinen kehys kaikkia vaaratekijöitä vastaan.

(7)Jotta voidaan toimia kriittisen infrastruktuurin suojaamista laajemmin ja varmistaa kattavammin keskeisiä palveluja sisämarkkinoilla tarjoavien kriittisten toimijoiden häiriönsietokyky, Euroopan parlamentin ja neuvoston direktiivillä (EU) 2022/2557 15 korvataan direktiivi 2008/114/EY 18 päivästä lokakuuta 2024 alkaen. Direktiivi (EU) 2022/2557 kattaa 11 toimialaa, ja siinä säädetään jäsenvaltioiden ja kriittisten toimijoiden häiriönsietokyvyn vahvistamista koskevista velvoitteista, jäsenvaltioiden välisestä ja komission kanssa tehtävästä yhteistyöstä, komission tuesta kansallisille viranomaisille ja kriittisille toimijoille sekä jäsenvaltioiden tuesta kriittisille toimijoille.

(8)Nord Stream -kaasuputkien sabotointi osoitti, että unionin tasolla tarvitaan lisää kriittisen infrastruktuurin häiriönsietokykyä vahvistavia toimenpiteitä. Sen vuoksi neuvosto antoi komission ehdotuksen perusteella suosituksen unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen 16 , jäljempänä ’suositus 2023/C 20/01’. Suosituksen tavoitteena on parantaa varautumista, reagointia ja kansainvälistä yhteistyötä tällä osa-alueella. Kyseisessä suosituksessa korostettiin erityisesti tarvetta varmistaa unionin tasolla koordinoitu ja toimiva reagointi keskeisten palvelujen tarjontaan kohdistuviin riskeihin.

(9)Sen vuoksi on tarpeen täydentää nykyistä oikeudellista kehystä neuvoston lisäsuosituksella, jossa vahvistetaan suunnitelma koordinoidusta reagoinnista kriittisen infrastruktuurin häiriöihin, joilla on huomattavaa rajatylittävää merkitystä, jäljempänä ’kriittistä infrastruktuuria koskeva suunnitelma’, hyödyntäen samalla olemassa olevia unionin tason järjestelyjä.

(10)Tämä suositus olisi yhdenmukaistettava suosituksen 2023/C 20/01 kanssa johdonmukaisuuden varmistamiseksi ja päällekkäisyyksien välttämiseksi. Sen vuoksi tämän suosituksen ei sellaisenaan tulisi kattaa muita kriisinhallinnan elinkaaren osatekijöitä eli ennaltaehkäisyä, varautumista ja palautumista.

(11)Tällä suosituksella olisi täydennettävä direktiiviä (EU) 2022/2557 erityisesti koordinoidun reagoinnin osalta, ja se olisi pantava täytäntöön varmistaen samalla yhdenmukaisuus kyseisen direktiivin ja muiden unionin lainsäädännön sovellettavien sääntöjen kanssa. Sen vuoksi tässä suosituksessa olisi käytettävä mahdollisuuksien mukaan myös kyseisen direktiivin käsitteitä, välineitä ja prosesseja, kuten kriittisten toimijoiden häiriönsietokykyä käsittelevää ryhmää, joka toimii kyseisessä direktiivissä säädettyjen tehtäviensä rajoissa, ja yhteyspisteitä. Lisäksi tässä suosituksessa käytetty ’kriittisen infrastruktuurin’ käsite olisi ymmärrettävä samalla tavoin kuin suosituksen 2023/C 20/01 johdanto-osan 7 kappaleessa esitetään eli siten, että se sisältää asiaankuuluvan kriittisen infrastruktuurin, jonka joko jäsenvaltio on määritellyt kansallisella tasolla tai joka direktiivin 2008/114/EY mukaan on nimetty eurooppalaiseksi kriittiseksi infrastruktuuriksi, sekä direktiivin (EU) 2022/2557 mukaan määriteltävät kriittiset toimijat. Jotta voidaan varmistaa yhdenmukaisuus direktiivin (EU) 2022/2557 kanssa, tässä suosituksessa käytettyjen käsitteiden olisi tulkittava tarkoittavan samaa kuin kyseisessä direktiivissä. Esimerkiksi kyseisen direktiivin 2 artiklan 2 alakohdassa määritelty häiriönsietokyvyn käsite olisi ymmärrettävä siten, että sillä tarkoitetaan kriittisen infrastruktuurin kykyä ehkäistä, torjua tai lieventää tapahtumia, jotka merkittävästi häiritsevät tai voivat merkittävästi häiritä keskeisten palveluiden tarjoamista sisämarkkinoilla, suojautua niiltä, vaimentaa niiden vaikutuksia, reagoida tai sopeutua niihin tai palautua niistä. Keskeisillä palveluilla tarkoitetaan palveluja, jotka ovat olennaisia välttämättömien yhteiskunnan toimintojen, taloudellisen toiminnan, kansanterveyden, yleisen turvallisuuden tai ympäristön ylläpitämiseksi.

(12)Lisäksi ’merkittävän haitallisen vaikutuksen’ käsite olisi ymmärrettävä ottaen huomioon direktiivin (EU) 2022/2557 7 artiklan 1 kohdassa säädetyt perusteet, joissa viitataan i) asianomaisen toimijan tarjoamasta keskeisestä palvelusta riippuvaisten käyttäjien lukumäärään, ii) siihen, missä määrin muut direktiivin liitteessä tarkoitetut toimialat ja alasektorit ovat riippuvaisia kyseisestä keskeisestä palvelusta, iii) vaikutuksiin, joita poikkeamilla voisi vakavuutensa ja kestonsa perusteella olla talouden ja yhteiskunnan toimintoihin, ympäristöön, yleiseen järjestykseen ja turvallisuuteen tai väestön terveyteen, iv) toimijan markkinaosuuteen kyseisen keskeisen palvelun tai asianomaisten keskeisten palvelujen markkinoilla, v) maantieteelliseen alueeseen, johon poikkeama voisi vaikuttaa, mukaan lukien rajat ylittävät vaikutukset, ottaen huomioon haavoittuvuus, joka on yhteydessä saarialueiden, kaukaisten alueiden tai vuoristoalueiden kaltaisten tietyntyyppisten maantieteellisten alueiden eristyneisyyden asteeseen, ja vi) toimijan merkitykseen keskeisen palvelun riittävän tason ylläpitämisessä ottaen huomioon kyseisen keskeisen palvelun tarjoamista koskevien vaihtoehtoisten keinojen saatavuus.

(13)Tehokkuuden ja vaikuttavuuden vuoksi kriittistä infrastruktuuria koskevan suunnitelman olisi oltava täysin yhdenmukainen ja yhteentoimiva hybridiuhkien torjumista koskevan unionin operatiivisen protokollan 17 kanssa, siinä olisi huomioitava komission suosituksessa (EU) 2017/1584 18 vahvistettu suunnitelma koordinoiduksi tavaksi reagoida laajamittaisiin rajatylittäviin kyberturvallisuuspoikkeamiin ja -kriiseihin, jäljempänä ’kybersuunnitelma’, ja Euroopan parlamentin ja neuvoston direktiivissä (EU) 2022/2555 vahvistettu Euroopan kyberkriisien yhteysorganisaatioiden verkoston, jäljempänä ’EU-CyCLONe’, toimeksianto 19 , ja siinä olisi pyrittävä välttämään rakenteiden ja toiminnan päällekkäisyys. Suunnitelmassa olisi reagointitoimien koordinoinnin osalta noudatettava kaikilta osin myös neuvoston poliittisen kriisitoiminnan integroituja järjestelyjä 20 , jäljempänä ’IPCR-järjestelyt’.

(14)Tämä suositus perustuu unionin vakiintuneisiin kriisinhallintamekanismeihin, erityisesti neuvoston IPCR-järjestelyihin, komission sisäiseen yleishälytysjärjestelmään ARGUSiin 21 ja unionin pelastuspalvelumekanismiin 22 , jota tukee EU:n hätäavun koordinointikeskus (ERCC) 23 , Euroopan ulkosuhdehallinnon, jäljempänä ’EUH’, kriisinhallintamekanismiin sekä sisämarkkinoiden hätäapuvälineeseen 24 , joilla kaikilla voi olla merkitystä kriittisen infrastruktuurin toimintaan kohdistuviin merkittäviin häiriöihin reagoinnissa. Tämä suositus on laajemmin tarkasteltuna niiden kanssa yhdenmukainen ja niitä täydentävä.

(15)Reagoinnissa kriittisen infrastruktuurin merkittävään poikkeamatilanteeseen voidaan käyttää edellä mainittuja unionin tason välineitä tai mekanismeja niihin sovellettavien sääntöjen ja menettelyjen mukaisesti. Tämän suosituksen on määrä täydentää niitä, mutta se ei saa vaikuttaa niihin. Esimerkiksi neuvoston IPCR-järjestelyt ovat edelleen tärkein väline koordinoitaessa toimia unionin poliittisella tasolla jäsenvaltioiden kesken. Komission sisäinen koordinointi tapahtuu ARGUS-järjestelmän monialaisen kriisinkoordinointiprosessin mukaisesti. Jos kriisillä on ulkopoliittinen tai yhteiseen turvallisuus- ja puolustuspolitiikkaan liittyvä ulottuvuus, voidaan käyttää Euroopan ulkosuhdehallinnon kriisinhallintamekanismia. Unionin pelastuspalvelumekanismista annetun päätöksen N:o 1313/2013/EU mukaisesti unionin pelastuspalvelumekanismin puitteissa suoritettavat operatiiviset toimet luonnon ja ihmisen aiheuttaman katastrofin tai välittömästi uhkaavan (myös kriittiseen infrastruktuuriin vaikuttavan) katastrofin yhteydessä unionissa ja unionin ulkopuolella järjestää EU:n hätäavun koordinointikeskus eli komission ympärivuorokautisen operatiivisen kriisitoiminnan keskus. Tällaisissa tapauksissa EU:n hätäavun koordinointikeskus voi antaa ennakkovaroituksia ja tiedotuksia, tarjota analyysejä, tukea tiedonvaihtoa ja – mikäli jokin jäsenvaltio aktivoi unionin pelastuspalvelumekanismin – toimittaa katastrofialueille operatiivista apua ja asiantuntijoita. Lisäksi hätäavun koordinointikeskus voi helpottaa alakohtaista ja monialaista koordinointia sekä EU:n tasolla että EU:n ja asiaankuuluvien kansallisten viranomaisten välillä, mukaan lukien pelastuspalvelutoiminnasta ja kriittisen infrastruktuurin häiriönsietokyvystä vastaavat tahot.

(16)Tässä suosituksessa vahvistetut prosessit olisi otettava tarvittaessa huomioon näiden muiden välineiden tai mekanismien mahdollisen käytön yhteydessä, ja siltä varalta, että niitä ei käytetä, tässä suosituksessa olisi myös kuvattava toimet, jotka voitaisiin toteuttaa unionin tasolla yhteisen tilannetietoisuuden, koordinoidun julkisen viestinnän ja unionin kriisinkoordinointimekanismien ulkopuolisen tehokkaan reagoinnin osalta.

(17)Jotta voidaan koordinoida paremmin reagointia kriittisen infrastruktuurin merkittäviin poikkeamatilanteisiin, jäsenvaltioiden ja unionin toimielinten, asiaankuuluvien virastojen, elinten ja toimistojen välistä yhteistyötä olisi vahvistettava käyttäen nykyisiä järjestelyjä ja kriittistä infrastruktuuria koskevan suunnitelman mukaisesti. Kriittistä infrastruktuuria koskevaa suunnitelmaa olisi sen vuoksi sovellettava silloin, kun saavutetaan direktiivissä (EU) 2022/2557 säädetty Euroopan kannalta erityisen merkittävien kriittisten toimijoiden määrittämiseen sovellettava vähintään kuuden jäsenvaltion kynnysarvo, sekä myös silloin, kun ilmenee pienempään määrään jäsenvaltioita vaikuttavia poikkeamatilanteita, koska tällaisilla poikkeamatilanteilla voi olla laaja-alainen vaikutus rajatylittävien kerrannaisvaikutusten vuoksi ja sen vuoksi unionin tason reagoinnin koordinointi olisi hyödyllistä.

(18)Vaikka koordinoitua reagointia kriittisen infrastruktuurin merkittäviin poikkeamiin koskevaa unionin tason yhteistyökehystä pidetään välttämättömänä, sen ei pitäisi ohjata kriittisten toimijoiden ja toimivaltaisten viranomaisten resursseja pois poikkeamien käsittelystä, vaan sen olisi oltava etusijalla.

(19)Kriittistä infrastruktuuria koskevan suunnitelman täytäntöönpanoon osallistuvat asiaankuuluvat toimijat olisi yksilöitävä selvästi, jotta saadaan selkeä ja kattava yleiskuva toimielimistä, elimistä, toimistoista, virastoista ja viranomaisista, jotka voisivat reagoida kriittisen infrastruktuurin merkittävään poikkeamaan.

(20)Kriittisen infrastruktuurin merkittäviin poikkeamiin reagointi on ensisijaisesti jäsenvaltioiden toimivaltaisten viranomaisten vastuulla. Unionin lainsäädännön mukaisesti tämän suosituksen ei tulisi vaikuttaa jäsenvaltioiden vastuuseen kansallisen turvallisuuden ja puolustuksen turvaamisesta eikä niiden toimivaltaan valtion muiden keskeisten tehtävien turvaamisessa, erityisesti yleisen turvallisuuden, alueellisen koskemattomuuden sekä lain ja järjestyksen ylläpitämisen osalta. Tämän suosituksen ei myöskään tulisi vaikuttaa kansallisiin prosesseihin, kuten kriittisen infrastruktuurin ylläpitäjien viestintään ja yhteydenpitoon toimivaltaisten kansallisten viranomaisten kanssa. Tätä suositusta olisi sovellettava niin, että ei vaikuteta jäsenvaltioiden välisiin asiaankuuluviin kahden- tai monenvälisiin järjestelyihin.

(21)Jotta kriittistä infrastruktuuria koskevan suunnitelman yhteydessä voidaan tehdä tehokasta ja ripeää yhteistyötä, asianomaisten toimijoiden on olennaisen tärkeää nimetä tai perustaa yhteyspisteet. Yhdenmukaisuuden varmistamiseksi jäsenvaltioiden olisi harkittava sitä mahdollisuutta, että tässä yhteydessä nimettävät tai perustettavat yhteyspisteet olisivat direktiivin (EU) 2022/2557 yhteydessä nimettävät tai perustettavat yhteyspisteet.

(22)Tehokkuuden vuoksi kriittistä infrastruktuuria koskevan suunnitelman testaamisen ja sen käytön harjoittelun sekä saaduista kokemuksista raportoimisen ja keskustelemisen suunnitelman soveltamisen jälkeen olisi oltava olennainen osa korkean valmiustason ylläpitämistä kriittisen infrastruktuurin merkittävien poikkeamatilanteiden varalta sekä sen varmistamista, että kyetään reagoimaan nopeasti ja hyvin koordinoidusti ja että toimiin osallistuvat asiaankuuluvat toimijat.

(23)Ottaen huomioon neuvoston IPCR-kriisinkoordinointimekanismin rakenne ja laajemmin unionin tasolla jo käytössä olevien kriisin koordinointimekanismien mahdollinen aktivointi kriittistä infrastruktuuria koskevaan suunnitelmaan olisi sisällyttävä kaksi yhteistyömuotoa kriittisen infrastruktuurin merkittävään poikkeamatilanteeseen reagoinnissa. Ensimmäiseen olisi kuuluttava tiedonvaihto, johon osallistuvat kaikki asiaankuuluvat toimijat, julkisen viestinnän koordinointi ja toiminnan koordinointi olemassa olevien mekanismien kautta, jos niitä käytetään. Näitä mekanismeja ovat esimerkiksi neuvoston IPCR-järjestelyt, komission sisäinen ARGUS-koordinointi, jota tukee EU:n hätäavun koordinointikeskus ympärivuorokautisena operatiivisena yhteyspisteenä, sekä EUH:n kriisinhallintamekanismi. Toiseen olisi sisällyttävä lisätoimia poikkeamatilanteen laajuuden mukaan. Tähän yhteistyöhön olisi osallistuttava operatiivisella sekä strategisella/poliittisella tasolla, jotka vastaavat suosituksessa 2017/1584 ja hybridiuhkien torjumista koskevassa unionin protokollassa esitettyjä tasoja, jotta voidaan koordinoida toimia ja reagoida kriittisen infrastruktuurin merkittävään poikkeamatilanteeseen tuloksekkaasti ja tehokkaasti. Suhteellisuutta, toissijaisuutta, tietojen luottamuksellisuutta ja täydentävyyttä koskevien periaatteiden perusteella ja tehokkaan yhteistyön varmistamiseksi kriittistä infrastruktuuria koskevassa suunnitelmassa olisi kuvattava sitä, miten asiaankuuluvat toimijat muodostavat yhteisen tilannekuvan, sekä koordinoitua julkista viestintää ja tehokasta reagointia.

(24)Tämän suosituksen mukainen tiedonvaihto olisi toteutettava vaarantamatta kansallista turvallisuutta tai kriittistä infrastruktuuria ylläpitävien toimijoiden turvallisuutta ja kaupallisia etuja. Sen vuoksi arkaluonteisiin tietoihin pääsyssä sekä niiden vaihdossa ja käsittelyssä olisi toimittava huolellisesti, noudatettava sovellettavia sääntöjä ja kiinnitettävä erityistä huomiota käytettäviin tiedonsiirtokanaviin ja säilytysvalmiuksiin,

ON ANTANUT TÄMÄN SUOSITUKSEN:

(1)Jäsenvaltioiden, neuvoston, komission ja tarvittaessa Euroopan ulkosuhdehallinnon, jäljempänä ’EUH’, sekä asiaankuuluvien unionin elinten, toimistojen ja virastojen olisi tehtävä keskenään yhteistyötä tämän suosituksen sisältämän kriittistä infrastruktuuria koskevan suunnitelman puitteissa liitteessä olevan I osan 1 jaksossa esitettyjen tavoitteiden saavuttamiseksi ja liitteessä olevan I osan 2 jaksossa vahvistetut periaatteet huomioon ottaen reagoitava koordinoidusti merkittäviin kriittisen infrastruktuurin poikkeamatilanteisiin.

(2)Jäsenvaltioiden, neuvoston, komission ja tarvittaessa EUH:n sekä asiaankuuluvien unionin elinten, toimistojen ja virastojen olisi sovellettava kriittistä infrastruktuuria koskevaa suunnitelmaa ilman aiheetonta viivytystä aina, kun ilmenee kriittisen infrastruktuurin merkittävä poikkeamatilanne eli kriittiseen infrastruktuuriin kohdistuu poikkeama, jolla on jompikumpi seuraavista vaikutuksista:

(a)merkittävä haitallinen vaikutus keskeisten palvelujen tarjontaan vähintään kuudelle jäsenvaltiolle tai kuudessa jäsenvaltiossa, myös silloin, kun se vaikuttaa kriittisten toimijoiden häiriönsietokyvystä annetun direktiivin (EU) 2022/2557 25 17 artiklassa tarkoitettuun Euroopan kannalta erityisen merkittävään kriittiseen toimijaan; tai

(b)merkittävä haitallinen vaikutus keskeisten palvelujen tarjontaan vähintään kahdessa jäsenvaltiossa, jos neuvoston kiertävää puheenjohtajuutta hoitava jäsenvaltio katsoo yhteisymmärryksessä näiden muiden jäsenvaltioiden kanssa ja komissiota kuullen, että unionin tason reagoinnin nopea koordinointi on tarpeen, koska poikkeamalla on laaja-alainen ja merkittävä tekninen tai poliittinen vaikutus.

(3)Kriittistä infrastruktuuria koskevan suunnitelman asiaankuuluvien toimijoiden, jotka on yksilöity operatiivisella ja strategisella/poliittisella tasolla liitteessä olevan I osan 3 jakson mukaisesti, olisi pyrittävä keskinäiseen täydentävään vuorovaikutukseen ja yhteistyöhön. Niiden olisi varmistettava asianmukainen ja ripeä tiedonvaihto, mukaan lukien julkisen viestinnän koordinointi, ja koordinoitu reagointi liitteessä olevan II osan mukaisesti.

(4)Kriittistä infrastruktuuria koskevaa suunnitelmaa olisi sovellettava ottaen huomioon muut asiaankuuluvat välineet ja yhdenmukaisesti niiden kanssa liitteessä olevan I osan 4 kohdan mukaisesti. Jos poikkeama vaikuttaa sekä kriittisen infrastruktuurin fyysisiin näkökohtiin että sen kyberturvallisuuteen, olisi huolehdittava synergiasta kybersuunnitelmassa käyttöön otettujen asiaankuuluvien prosessien kanssa.

(5)Jäsenvaltioiden olisi varmistettava, että ne reagoivat tehokkaasti kansallisella tasolla ja unionin lainsäädännön mukaisesti kriittisen infrastruktuurin merkittävien poikkeamien aiheuttamiin kriittisen infrastruktuurin häiriöihin.

(6)Jäsenvaltioiden, neuvoston, EUH:n, Euroopan unionin lainvalvontayhteistyöviraston Europolin ja muiden asiaankuuluvien unionin virastojen sekä komission olisi nimettävä tai perustettava yhteyspiste kriittistä infrastruktuuria koskevaan suunnitelmaan liittyviä asioita varten. Yhteyspisteiden olisi tuettava kriittistä infrastruktuuria koskevan suunnitelman soveltamista toimittamalla tarvittavat tiedot ja autettava toteuttamaan koordinointitoimenpiteitä, joilla reagoidaan kriittisen infrastruktuurin merkittävään poikkeamaan. Jäsenvaltioiden olisi mahdollisuuksien mukaan käytettävä samoja yhteyspisteitä kuin direktiivin (EU) 2022/2557 9 artiklan 2 kohdan mukaisesti nimettävät tai perustettavat keskitetyt yhteyspisteet. Komission osalta EU:n hätäavun koordinointikeskus huolehtii ympärivuorokautisista operatiivisista yhteyksistä ja valmiuksista sekä koordinoi, seuraa ja tukee reaaliaikaisesti unionin tason reagointia hätätilanteisiin. Samalla se toimii kriisitoiminnan operatiivisena keskuksena, joka palvelee jäsenvaltioita ja komissiota ja edistää monialaista lähestymistapaa katastrofihallintaan.

(7)Neuvoston kiertävää puheenjohtajuutta hoitavan jäsenvaltion olisi yhteisymmärryksessä asianomaisten jäsenvaltioiden kanssa ilmoitettava kaikille asiaankuuluville toimijoille 6 kohdassa tarkoitettujen yhteyspisteiden välityksellä kriittisen infrastruktuurin merkittävästä poikkeamatilanteesta ja kriittistä infrastruktuuria koskevan suunnitelman soveltamisesta. Kriittisen infrastruktuurin merkittävää poikkeamatilannetta koskevassa tiedonvaihdossa olisi käytettävä asianmukaisia viestintäkanavia, kuten soveltuvin osin poliittisen kriisitoiminnan integroitujen järjestelyjen eli IPCR-järjestelyjen verkkofoorumia 26 ja hätäavun koordinointikeskusta yhteisen hätäviestintä- ja tietojärjestelmän CECISin kautta. CECIS on verkkopohjainen hälytys- ja ilmoitussovellus, joka mahdollistaa reaaliaikaisen tietojenvaihdon.

(8)Tiedonsiirtokanaviin olisi tarvittaessa sisällyttävä suojattuja kanavia, jotta ei vaaranneta kansallista turvallisuutta eikä asianomaisten toimijoiden turvallisuutta ja kaupallisia etuja. Myös tämän suosituksen liitteessä olevan II osan 1 jaksossa kuvattu tiedonvaihto olisi toteutettava vaarantamatta kansallista turvallisuutta tai kriittisten toimijoiden turvallisuutta ja kaupallisia etuja ja unionin lainsäädännön, erityisesti Euroopan parlamentin ja neuvoston asetuksen (EU) .../... 27 mukaisesti. Erityisesti arkaluonteisiin tietoihin pääsyssä sekä niiden vaihdossa ja käsittelyssä olisi noudatettava huolellisuutta. Turvallisuusluokiteltujen tietojen käsittelyssä ja vaihdossa olisi käytettävä saatavilla olevia akkreditoituja välineitä ja riittäviä turvatoimia.

(9)Asiaankuuluvien toimijoiden olisi säännöllisesti harjoiteltava ja testattava kriittistä infrastruktuuria koskevan suunnitelman käyttöä ja koordinoitua reagointia kriittisen infrastruktuurin merkittävään poikkeamatilanteeseen kansallisella, alueellisella ja unionin tasolla esimerkiksi järjestämällä harjoituksia. Tällaisiin harjoituksiin ja testeihin voi tarvittaessa osallistua yksityisen sektorin toimijoita. Unionin tasolla olisi toteutettava fyysisiä näkökohtia ja kybernäkökohtia koskeva harjoitus [tämän suosituksen hyväksymispäivä + 12 kuukautta] mennessä.

(10)Sen jälkeen, kun kriittistä infrastruktuuria koskevaa suunnitelmaa on sovellettu kriittisen infrastruktuurin merkittävään poikkeamatilanteeseen, direktiivin (EU) 2022/2557 19 artiklassa tarkoitetun kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän olisi ripeästi keskusteltava asiaankuuluvien toimijoiden kanssa siitä, mitä on opittu, mitä puutteita on mahdollisesti havaittu ja millä osa-alueilla tarvitaan parannuksia, sekä laadittava tämän jälkeen kertomus, joka sisältää suosituksia tällaisten parannusten toteuttamiseksi. Kyseisen kertomuksen laatimiseen olisi saatava tukea kriittistä infrastruktuuria koskevan suunnitelman soveltamiseen osallistuvilta asiaankuuluvilta toimijoilta. Komission olisi hyväksyttävä kertomus.

(11)Jäsenvaltioiden olisi keskusteltava 10 kohdassa tarkoitetusta kertomuksesta asiaankuuluvissa neuvoston valmisteluelimissä tai neuvostossa.

Tehty Brysselissä

(1)    Kriittisellä infrastruktuurilla tarkoitetaan hyödykettä, tilaa, laitteistoa, verkostoa tai järjestelmää tai osaa hyödykkeestä, tilasta, laitteistosta, verkostosta tai järjestelmästä, joka on välttämätön keskeisen palvelun tarjoamiseksi (kriittisten toimijoiden häiriönsietokyvystä annetun direktiivin (EU) 2022/2557 2 artiklan 4 alakohta).

(2)    Neuvoston direktiivi 2008/114/EY, annettu 8 päivänä joulukuuta 2008, Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä sekä arvioinnista, joka koskee tarvetta parantaa sen suojaamista (EUVL L 345, 23.12.2008, s. 75).

(3)    Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557 kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (EUVL L 333, 27.12.2022, s. 164).

(4)    Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (EUVL L 333, 27.12.2022, s. 80).

(5)    Energia, liikenne, pankkitoiminta, rahoitusmarkkinoiden infrastruktuuri, digitaalinen infrastruktuuri, julkinen hallinto, avaruus, terveydenhuolto, juomavesi, jätevesi ja elintarvikkeiden tuotanto, jalostus ja jakelu.

(6)    CER-direktiivin 15 artiklan 1 ja 3 kohdan mukaisesti.

(7)    Neuvoston suositus, annettu 8 päivänä joulukuuta 2022, unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen, 2023/C 20/01 (EUVL C 20, 20.1.2023, s. 1).

(8)    Joint Staff Working Document – EU Protocol for countering hybrid threats SWD(2023) 116 final.

(9)    Komission suositus (EU) 2017/1584, annettu 13 päivänä syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36).

(10)    Neuvoston täytäntöönpanopäätös (EU) 2018/1993, annettu 11 päivänä joulukuuta 2018, EU:n poliittisen kriisitoiminnan integroiduista järjestelyistä (EUVL L 320, 17.12.2018, s. 28).

(11)    Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Nopeaa yleishälytysjärjestelmää ARGUSIA koskevat komission säännökset (COM(2005) 662 final).

(12)    Euroopan parlamentin ja neuvoston asetus (EU) 2021/836, annettu 20 päivänä toukokuuta 2021, unionin pelastuspalvelumekanismista annetun päätöksen N:o 1313/2013/EU muuttamisesta (EUVL L 185, 26.5.2021, s. 1).

(13)    Neuvoston direktiivi 2008/114/EY, annettu 8 päivänä joulukuuta 2008, Euroopan elintärkeän infrastruktuurin määrittämisestä ja nimeämisestä sekä arvioinnista, joka koskee tarvetta parantaa sen suojaamista (EUVL L 345, 23.12.2008, s. 75).

(14)    COM(2006) 786 final, 12. joulukuuta 2006 – Komission tiedonanto elintärkeiden infrastruktuurien suojaamista koskevasta EU:n ohjelmasta.

(15)    Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, annettu 14 päivänä joulukuuta 2022, kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (EUVL L 333, 27.12.2022, s. 164).

(16)    Neuvoston suositus, annettu 8 päivänä joulukuuta 2022, unionin koordinoidusta lähestymistavasta kriittisen infrastruktuurin häiriönsietokyvyn vahvistamiseen, 2023/C 20/01 (EUVL C 20, 20.1.2023, s. 1).

(17)    Joint Staff Working Document – EU Protocol for countering hybrid threats SWD(2023) 116 final.

(18)    Komission suositus (EU) 2017/1584, annettu 13 päivänä syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36).

(19)    Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (EUVL L 333, 27.12.2022, s. 80).

(20)    Neuvoston täytäntöönpanopäätös (EU) 2018/1993, annettu 11 päivänä joulukuuta 2018, EU:n poliittisen kriisitoiminnan integroiduista järjestelyistä (EUVL L 320, 17.12.2018, s. 28).

(21)    Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle – Nopeaa yleishälytysjärjestelmää ARGUSIA koskevat komission säännökset (COM(2005) 662 final).

(22)    Euroopan parlamentin ja neuvoston päätös N:o 1313/2013/EU, annettu 17 päivänä joulukuuta 2013, unionin pelastuspalvelumekanismista (EUVL L 347, 20.12.2013, s. 924).

(23)    Unionin pelastuspalvelumekanismista annetulla päätöksellä N:o 1313/2013/EU luodaan kaikki vaaratekijät kattava kehys, jossa vahvistetaan unionin tason ennaltaehkäisy-, varautumis- ja avustusjärjestelyt kaikenlaisten luonnon ja ihmisen aiheuttamien katastrofien tai välittömästi uhkaavien katastrofien hallinnoimiseksi EU:ssa ja sen ulkopuolella.

(24)    Euroopan parlamentin ja neuvoston asetus .../... sisämarkkinoiden hätätilavälineen perustamisesta ja neuvoston asetuksen (EY) N:o 2679/98 kumoamisesta (COM(2022) 459 final).

(25)    Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, annettu 14 päivänä joulukuuta 2022, kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (EUVL L 333, 27.12.2022, s. 164).

(26)    Neuvoston täytäntöönpanopäätös (EU) 2018/1993, annettu 11 päivänä joulukuuta 2018, EU:n poliittisen kriisitoiminnan integroiduista järjestelyistä, ST/13422/2018/INIT (EUVL L 320, 17.12.2018, s. 28).

(27)    Asetus (EU) …/… tietoturvallisuudesta unionin toimielimissä, elimissä ja laitoksissa (COM(2022) 119 final).

EUROOPAN KOMISSIO

Bryssel 6.9.2023

COM(2023) 526 final

LIITE

asiakirjaan

Ehdotus NEUVOSTON SUOSITUKSEKSI

suunnitelmaksi koordinoidusta unionin tason reagoinnista kriittisen infrastruktuurin häiriöihin, joilla on huomattavaa rajatylittävää merkitystä

LIITE

Tässä liitteessä kuvataan koordinoidusta reagoinnista merkittäviin kriittisen infrastruktuurin poikkeamiin tehdyn suunnitelman (”kriittistä infrastruktuuria koskeva suunnitelma”) periaatteet, tavoitteet, keskeiset toimijat, toimivuus ja vuorovaikutus olemassa olevien kriisinhallintamekanismien kanssa. Suunnitelmalla pyritään parantamaan jäsenvaltioiden ja unionin toimielinten, elinten, toimistojen ja virastojen välistä yhteistyötä tällaisissa poikkeamatilanteissa sovellettavien sääntöjen ja menettelyjen mukaisesti. Tämä suunnitelma ei millään tavoin vaikuta muiden järjestelyjen tehtävään tai toimintaan.

Osa I: Tavoitteet, periaatteet, toimijat ja muut välineet

1. Tavoitteet

Kriittistä infrastruktuuria koskevalla suunnitelmalla on kolme päätavoitetta, joiden avulla pyritään reagoimaan kriittisen infrastruktuurin merkittävään poikkeamaan:

(a)yhteinen tilannekuva, koska hyvä ymmärrys jäsenvaltioissa tapahtuvan kriittisen infrastruktuurin merkittävän poikkeaman luonteesta, syistä ja mahdollisista seurauksista keskeisille operatiivisille ja strategisille/poliittisille sidosryhmille on olennaisen tärkeää, jotta siihen voidaan reagoida koordinoidusti ja asianmukaisesti;

(b)koordinoitu julkinen viestintä, koska sen avulla voidaan lieventää kriittisen infrastruktuurin merkittävän poikkeaman kielteisiä vaikutuksia ja vähentää ristiriitaisuuksia suurelle yleisölle suunnatussa viestinnässä jäsenvaltioissa ja niiden välillä. Julkisen viestinnän selkeys on tärkeää myös disinformaation seurausten lieventämiseksi;

(c)tehokas reagointi, koska jäsenvaltioiden toimien sekä jäsenvaltioiden ja unionin toimielinten, elinten, laitosten ja virastojen välisen yhteistyön vahvistaminen voi lieventää kriittisen infrastruktuurin merkittävän poikkeaman vaikutuksia ja mahdollistaa keskeisten palvelujen ripeän palauttamisen toimintakykyiseksi tavalla, joka minimoi haavoittuvuuden uusille merkittäville poikkeamille.

2. Periaatteet

Suhteellisuusperiaate

Häiriöitä aiheuttavat kriittisen infrastruktuurin ja/tai keskeisten palvelujen tarjonnan poikkeamat eivät usein täytä tämän suosituksen 2 kohdassa määriteltyä kriittisen infrastruktuurin merkittävän poikkeaman määritelmää. Niihin voidaan periaatteessa puuttua tehokkaasti kansallisella tasolla. Sen vuoksi kriittistä infrastruktuuria koskevaa suunnitelmaa sovelletaan ainoastaan kriittisen infrastruktuurin merkittäviin poikkeamiin.

Toissijaisuusperiaate

EU:n lainsäädännön mukaan kriittisen infrastruktuurin häiriöihin ja kriittisten toimijoiden tarjoamien keskeisten palvelujen häiriöihin reagointi on ensisijaisesti jäsenvaltioiden vastuulla. Asianomaisilla unionin toimielimillä, elimillä, toimistoilla ja virastoilla sekä Euroopan ulkosuhdehallinnolla (EUH) on kuitenkin tärkeä täydentävä rooli silloin, kun kyseessä on kriittisen infrastruktuurin merkittävä poikkeama, jolla on kriittistä rajat ylittävää merkitystä, koska tällainen poikkeama voi vaikuttaa useisiin tai jopa kaikkiin sisämarkkinoiden taloudellisen toiminnan osa-alueisiin, unionin alueella asuviin kansalaisiin ja unionin kansainvälisiin suhteisiin.

Täydentävyys

Kriittistä infrastruktuuria koskevassa suunnitelmassa otetaan huomioon unionin tasolla olemassa olevat kriisinhallintamekanismit eli neuvoston poliittisen kriisitoiminnan integroidut järjestelyt (IPCR), komission sisäinen nopea yleishälytysjärjestelmä ARGUS, Euroopan unionin pelastuspalvelumekanismi, jota tukee EU:n hätäavun koordinointikeskus (ERCC), ja EUH:n kriisinhallintamekanismi. Lisäksi siinä hyödynnetään alakohtaisia järjestelyjä, kuten Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2555 1 laajamittaisen kyberturvallisuuspoikkeaman koordinoitua hallintaa koskevia säännöksiä sekä suunnitelmassa koordinoidusta reagoinnista laajamittaisiin rajat ylittäviin kyberturvallisuuspoikkeamiin ja -kriiseihin 2 (”kybersuunnitelma”) vahvistettua kehystä, liikennealan yhteyspisteiden verkostoa 3 ja Euroopan ilmaliikenteen kriisien koordinointiyksikköä 4 .

Lisäksi kriittistä infrastruktuuria koskevan suunnitelman pohjana toimivat ja sovellettavaksi tulevat Euroopan parlamentin ja neuvoston direktiivillä (EU) 2022/2557 5 perustetut rakenteet ja mekanismit, erityisesti toimivaltaisten viranomaisten välisen ja komission ja kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän kanssa tehtävän yhteistyön osalta. Siinä huomioidaan lisäksi asiaankuuluvien unionin toimielinten, elinten, toimistojen ja virastojen velvollisuudet niihin sovellettavan oikeudellisen kehyksen mukaisesti. Kriittistä infrastruktuuria koskevat kriisitoimet täydentävät muita unionin tason, kansallisia ja alakohtaisia kriisinhallintamekanismeja, jotka tukevat monialaista koordinointia.

Tietojen luottamuksellisuus

Kriittistä infrastruktuuria koskevassa suunnitelmassa otetaan huomioon kriittistä infrastruktuuria ja kriittisiä toimijoita koskevien turvallisuusluokiteltujen ja arkaluonteisten turvallisuusluokittelemattomien tietojen suojaamisen tärkeys.

3. Asiaan liittyvät toimijat

Kukin jäsenvaltio ja jäljempänä a–e alakohdassa tarkoitetut asiaan liittyvät unionin toimielimet, elimet, toimistot ja virastot määrittävät niihin sovellettavien sääntöjen ja menettelyjen mukaisesti kullekin kriittisen infrastruktuurin merkittävälle poikkeamalle asiaankuuluvan toimijan tai asiaankuuluvat toimijat sen perusteella, mistä alasta tai aloista ja millaisesta poikkeamasta on kyse.

a) Jäsenvaltiot

- toimivaltaiset viranomaiset (esim. kriittisestä infrastruktuurista vastaavat viranomaiset, kunkin alan viranomaiset, direktiivin (EU) 2022/2557 9 artiklan 2 kohdan nojalla nimetyt tai perustetut keskitetyt yhteyspisteet, direktiivin (EU) 2022/2557 9 artiklan 1 kohdan nojalla nimetyt tai perustetut viranomaiset);

- tarvittaessa direktiivin (EU) 2022/2555 16 artiklassa tarkoitettu Euroopan kyberkriisien yhteysorganisaatioiden verkosto (EU-CyCLONe);

- direktiivin (EU) 2022/2555 14 artiklassa tarkoitettu yhteistyöryhmä;

- tarvittaessa myös muut sidosryhmät, mukaan lukien yksityisen sektorin toimijat tai henkilöt, kuten kriittisen infrastruktuurin ylläpitäjät, mukaan lukien kriittisiksi toimijoiksi määritellyt;

- ministerit, joiden vastuulla on kriittisen infrastruktuurin häiriönsietokyky ja/tai ministerit, jotka vastaavat niistä aloista, joihin kriittisen infrastruktuurin merkittävä poikkeama eniten vaikuttaa.

b) Neuvosto

- vuorossa oleva puheenjohtajavaltio;

- asiaan liittyvät työryhmät, kuten pelastuspalvelutyöryhmä, mukaan lukien kriittisten toimijoiden häiriönsietokykyä käsittelevä alaryhmä PROCIV-CER, sekä kyseisen työryhmän puheenjohtaja sen mukaan, mihin alaan tai aloihin poikkeama vaikuttaa ja millainen poikkeama on kyseessä, kuten esimerkiksi kyberkysymysten horisontaalinen työryhmä ja resilienssin parantamisen ja hybridiuhkien torjunnan horisontaalinen työryhmä;

- jäsenvaltioiden hallitusten pysyvien edustajien komitea (Coreper), poliittisten ja turvallisuusasioiden komitea ja IPCR, joita kaikkia neuvoston pääsihteeristö tukee.

c) Komissio, mukaan lukien komission asiantuntijaryhmät

- nimetty johtava yksikkö (riippuen alasta), jota tukevat EU:n hätäavun koordinointikeskus ympärivuorokautisen operatiivisen kriisitoiminnan keskuksena sekä aihepiiristä yleisesti vastaava muuttoliike- ja sisäasioiden pääosasto; lisäksi rajat ylittävien poikkeamien sattuessa tukena ovat muuttoliike- ja sisäasioiden pääosasto ja muut asiaan liittyvät komission yksiköt;

- viestinnän pääosasto ja tiedotuspalvelu;

- terveyshätätilanteiden valmiusviranomainen (HERA);

- direktiivillä (EU) 2022/2557 perustettu kriittisten toimijoiden häiriönsietokykyä käsittelevä ryhmä, jonka puheenjohtajana toimii komission edustaja (muuttoliike- ja sisäasioiden pääosasto) sekä tarvittaessa muut asiaan liittyvät asiantuntijaryhmät ja komiteat;

- hätäavun koordinointikeskus, joka on perustettu Euroopan unionin pelastuspalvelumekanismin puitteissa Euroopan parlamentin ja neuvoston päätöksellä N:o 1313/2013/EU 6 (Euroopan unionin pelastuspalvelumekanismin alainen ympärivuorokautinen hätäavun koordinointikeskus, joka on sijoitettu EU:n pelastuspalveluasioiden ja humanitaarisen avun operaatioiden pääosaston yhteyteen);

- direktiivin (EU) 2022/2555 14 artiklassa tarkoitettu yhteistyöryhmä;

EU:n kyberturvallisuuden tilannetietoisuus- ja analyysikeskus (Cyber Situational Awareness and Analysis Centre);

- asetuksen (EU) 2022/2371 4 artiklassa tarkoitettu terveysturvakomitea 7 ;

- komission pääsihteeristö (ARGUS-sihteeristö) ja (apulais)pääsihteeri (ARGUS-järjestelmä), henkilöstöhallinnon ja turvallisuustoiminnan pääosasto (turvallisuudesta vastaava linja);

- muut asiaan liittyvät komission asiantuntijaryhmät, jotka avustavat komissiota hätä- tai kriisitilanteessa toteutettavien toimien koordinoinnissa;

- muut kriisinhallintaverkostot, mukaan lukien alakohtaiset verkostot (esim. liikenteen ja liikkumisen pääosaston hallinnoima liikennealan yhteyspisteiden verkosto, toimielinten välinen kyberkriisityöryhmä 8 ja Euroopan ilmaliikenteen kriisien koordinointiyksikkö);

- Euroopan komission puheenjohtaja ja/tai asiasta vastaava varapuheenjohtaja tai komission jäsen.

d) EUH

- yhtenäinen tiedustelun analysointikyky (SIAC), joka koostuu EU:n tiedusteluanalyysikeskuksesta (EU INTCEN) ja EU:n tiedustelusta vastaavasta osastosta (EUMS INT);

- kriisinhallintakeskus;

- unionin ulkoasioiden ja turvallisuuspolitiikan korkea edustaja/Euroopan komission varapuheenjohtaja.

e) Asiaan liittyvät unionin elimet ja toimistot sekä virastot, kuten Europol, sen mukaan, mitä aloja poikkeama koskee 9 .

4. Vuorovaikutus muiden asiaan liittyvien kriisinhallintamekanismien ja -välineiden kanssa

Kriittistä infrastruktuuria koskeva suunnitelma on joustava väline sellaisten eri toimien kartoittamiseen, joita voidaan toteuttaa osittain tai kokonaan hyödyntämällä jo olemassa olevia järjestelyjä riippuen kriittisen infrastruktuurin poikkeaman luonteesta ja vakavuudesta sekä operatiivisen ja strategisen/poliittisen koordinoinnin tarpeesta.

10 a) EU:n protokolla hybridiuhkien torjumiseksi 

Hybridiuhkatilanteissa 11 sovellettavassa EU:n protokollassa esitetään prosessit ja välineet, joita sovelletaan, kun on kyse hybridiuhasta tai -kampanjasta.

Mikäli kriittisen infrastruktuurin merkittävällä poikkeamalla on hybridiulottuvuus, EU:n protokollaa sovelletaan tarpeen mukaan kriittistä infrastruktuuria koskevaa suunnitelmaa täydentävästi, esimerkiksi kyseisen poikkeaman hybridiulottuvuuksia koskevan tiedon hankintaa ja analysointia ja niistä tiedottamista sekä ulkoisten kumppanien kanssa tehtävää yhteistyötä varten.

b) Suunnitelma koordinoidusta reagoinnista laajamittaisiin rajat ylittäviin kyberturvallisuuspoikkeamiin ja ‑kriiseihin

Tätä kybersuunnitelmaa sovelletaan laajamittaisiin rajat ylittäviin poikkeamiin, joista aiheutuvat häiriöt ovat liian laajoja, jotta asianomainen jäsenvaltio voisi käsitellä niitä yksin, tai jotka koskevat kahta tai useampaa jäsenvaltiota tai EU:n toimielintä ja joilla on teknisesti tai poliittisesti niin laaja ja merkittävä vaikutus, että ne edellyttävät pikaista poliittista koordinointia ja reagointia unionin poliittisella tasolla.

Mikäli kriittisen infrastruktuurin merkittävä poikkeama tapahtuu yhtä aikaa kuin jokin laajamittainen kyberturvallisuuspoikkeama tai vaikuttaa liittyvän sellaiseen, asiaankuuluvat neuvoston työryhmät määrittävät asianmukaisen operatiivisen tason koordinoinnin esimerkiksi EU-CyCLONen kanssa tai kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän ja yhteistyöryhmän yhteisessä kokouksessa. Koordinoinnin tarkoituksena on määrittää, mikä toimija voi tehokkaimmin vastata kriittisen infrastruktuurin merkittävään poikkeamaan ja millä välineillä tai mekanismeilla siten, ettei synny päällekkäisyyksiä tai rinnakkaisia toimintalinjoja.

c) Euroopan unionin pelastuspalvelumekanismi ja EU:n hätäavun koordinointikeskus

Unionin pelastuspalvelumekanismista annetun päätöksen N:o 1313/2013/EU mukaisesti unionin pelastuspalvelumekanismin puitteissa suoritettavat operatiiviset toimet luonnon ja ihmisen aiheuttaman katastrofin tai välittömästi uhkaavan katastrofin (mukaan lukien katastrofit, joihin liittyy kriittisen infrastruktuurin häiriöitä) yhteydessä unionissa ja unionin ulkopuolella toteutetaan EU:n hätäavun koordinointikeskuksen eli komission ympärivuorokautisen operatiivisen kriisitoiminnan keskuksen johdolla. Tällaisissa tapauksissa EU:n hätäavun koordinointikeskus voi antaa ennakkovaroituksia ja tiedotuksia, tarjota analyysejä, tukea tiedonvaihtoa ja – mikäli jokin jäsenvaltio aktivoi unionin pelastuspalvelumekanismin – toimittaa katastrofialueille operatiivista apua ja asiantuntijoita. Lisäksi hätäavun koordinointikeskus voi helpottaa alakohtaista ja monialaista koordinointia sekä unionin tasolla että unionin ja asiaankuuluvien kansallisten viranomaisten välillä, mukaan lukien pelastuspalvelutoiminnasta ja kriittisen infrastruktuurin häiriönsietokyvystä vastaavat tahot.

d) Muut alakohtaiset tai monialaiset mekanismit ja välineet

Kriittistä infrastruktuuria koskeva suunnitelma ei ole päällekkäinen muiden alakohtaisten tai monialaisten kriisinhallintavälineiden tai koordinointimekanismien kanssa. Jos alalla, johon poikkeama vaikuttaa, on jo käytössä tällaisia välineitä tai mekanismeja, kriittistä infrastruktuuria koskevaa suunnitelmaa voidaan käyttää sen soveltamisalalla näitä alakohtaisia tai monialaisia välineitä tai mekanismeja täydentävästi, mutta se ei korvaa niitä. Toimijoiden välisen koordinoinnin onnistuminen on taattava, jotta päällekkäisyyksiä ei synny. Tämä voisi toteutua esimerkiksi komission sisäisen yleishälytysjärjestelmän ARGUSin avulla EU:n hätäavun koordinointikeskuksen tuella ja/tai IPCR:n koordinointikokouksissa.

Osa II: Tiedonvaihto ja koordinoitu reagointi

Jäljempänä kuvatut toimet koostuvat yhteistyömuodoista, joita ovat tiedonvaihto, koordinoitu viestintä ja reagointi. Rakenne vastaa neuvoston IPCR-kriisinkoordinointimekanismin toimintatiloja, ja siinä otetaan laajemmin huomioon mahdollisuudet hyödyntää EU:n tasolla jo olemassa olevia kriisinkoordinointimekanismeja. Tämä rakenne osoittaa, kuinka nämä yhteistyömuodot sijoittuisivat rakenteeseen niitä käytettäessä. Useimmat näistä toimista voidaan kuitenkin toteuttaa itsenäisesti, eivätkä ne riipu mekanismin käytöstä vaan pikemminkin täydentävät sitä. Toimet on esitetty aikajärjestyksessä ottaen kuitenkin huomioon, että laajamittaisen, kriittisen infrastruktuurin merkittäväksi poikkeamaksi katsottavan kriisin sattuessa useita toimia voidaan toteuttaa samanaikaisesti ja jatkuvasti.

1.Tietojenvaihto

(a)Operatiivisella tasolla

Jäsenvaltiot, joihin kriittisen infrastruktuurin merkittävä poikkeama vaikuttaa, toteuttavat omat varautumistoimensa sekä huolehtivat siitä, että toimet koordinoidaan asiaankuuluvien kansallisten kriisinhallintamekanismien kanssa ja että niihin osallistuvat kaikki tarvittavat kansalliset, alueelliset ja paikalliset tahot.

Pelastuspalveluavun koordinointi jäsenvaltioiden ja komission välillä varmistetaan hätäavun koordinointikeskuksen kautta unionin pelastuspalvelumekanismin puitteissa, mikäli se on tarpeen.

I)Tiedonvaihto ja kansallisten toimivaltaisten viranomaisten ilmoitukset

Direktiivin (EU) 2022/2557 15 artiklan mukaisen ilmoitusvelvollisuuden lisäksi niiden jäsenvaltioiden toimivaltaisilla kansallisilla viranomaisilla, joihin kriittisen infrastruktuurin merkittävä poikkeama vaikuttaa, on velvollisuus ilmoittaa ja tiedottaa viipymättä vuorossa olevalle neuvoston puheenjohtajavaltiolle ja komissiolle niiden keskitettyjen yhteyspisteiden kautta kaikista kriittisen infrastruktuurin ylläpitäjiltä, kriittisiltä toimijoilta tai muista lähteistä saamistaan asiaan vaikuttavista tiedoista sekä aktivoituja kriisinhallintamekanismeja koskevista tiedoista. Komission osalta EU:n hätäavun koordinointikeskus huolehtii ympärivuorokautisista operatiivisista yhteyksistä ja valmiuksista sekä koordinoi, seuraa ja tukee reaaliaikaisesti unionin tason reagointia hätätilanteisiin. Samalla se toimii operatiivisena keskuksena, joka palvelee jäsenvaltioita ja komissiota ja edistää monialaista lähestymistapaa katastrofihallintaan.

Tällainen tiedonvaihto koskee kriittisen infrastruktuurin merkittävän poikkeaman luonnetta ja syytä, siitä aiheutuvan häiriön havaittua tai arvioitua vaikutusta kriittiseen infrastruktuuriin ja keskeisten palvelujen tarjontaan, poikkeaman seurauksia eri aloilla ja maiden rajojen yli sekä kansallisia tai asiaan liittyvien muiden jäsenvaltioiden ja komission kanssa yhteistyössä tehtyjä tai suunniteltuja lieventäviä toimia olemassa olevien järjestelyjen pohjalta, kuten direktiivin (EU) 2022/2557 9 ja 15 artiklan mukaiset tiedonvaihtojärjestelyt. Tämän ilmoittaminen ei vie resursseja, joita kriittinen infrastruktuuri tai joissakin tapauksissa kriittinen toimija tai jäsenvaltio tarvitsevat poikkeaman käsittelyyn, jonka on oltava ensisijaista.

Jatkotoimien varmistamiseksi hätäavun koordinointikeskus tai ilmoituksen saaneet kriittisen infrastruktuurin merkittävästä poikkeamasta kärsineistä aloista vastaavat komission yksiköt ilmoittavat poikkeamasta muuttoliike- ja sisäasioiden pääosaston yhteyspisteelle ja komission pääsihteeristölle. Sillä välin hätäavun koordinointikeskus käynnistää tapahtumien seurannan, mikäli se ei ole jo niin tehnyt, etenkin jos yksi tai useampi poikkeaman kokeneista jäsenvaltioista on aktivoinut unionin pelastuspalvelumekanismin.

Jos tiedoilla saattaa olla merkitystä kyberturvallisuusulottuvuuden kannalta tai ne saattavat liittyä kyberturvallisuuspoikkeamaan, komissio jakaa asiaa koskevat tiedot Euroopan kyberkriisien yhteysorganisaatioiden verkostolle (EU-CyCLONe).

Direktiivin (EU) 2022/2557 mukaisten toimivaltaisten kansallisten viranomaisten on viipymättä toimittava yhteistyössä ja vaihdettava tietoja muiden toimivaltaisten viranomaisten kanssa direktiivin (EU) 2022/2555 mukaisesti kyberturvallisuuspoikkeamien ja kriittisiin toimijoihin vaikuttavien poikkeamien sattuessa, myös kriittisten toimijoiden toteuttamissa kyberturvallisuustoimissa ja fyysisissä toimissa.

Meriasioissa toimivaltaiset kansalliset viranomaiset harkitsevat mahdollisuutta käyttää yhteistä merialueiden valvonnan tietojenvaihtoympäristöä (CISE), jonka kautta tietoa voi jakaa ilman viivytystä.

II)Asiantuntijakokousten järjestäminen

Komissio kutsuu mahdollisimman pian koolle kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän helpottamaan tiedonvaihtoa poikkeamasta (luonne, syy, vaikutus, seuraukset eri aloilla ja maiden rajojen yli) ja toimenpiteistä, kuten riskienvähentämistoimista ja poikkeaman kohteeksi joutuneille jäsenvaltioille tarjottavasta teknisestä tuesta asiaankuuluvien kriittisestä infrastruktuurista vastaavien toimivaltaisten kansallisten viranomaisten ja asiaankuuluvien unionin toimielinten, elinten, toimistojen ja virastojen välillä. Kunkin poikkeaman kannalta keskeiset komission yksiköt osallistuvat tiiviisti ryhmän kokoukseen, jotta ne voivat tarvittaessa jakaa olemassa olevien alakohtaisten välineiden avulla hankittua tietoa. Sellaisissa poikkeamatilanteissa, jotka liittyvät sekä kyberturvallisuuteen että fyysiseen turvallisuuteen, asiaankuuluvat komission yksiköt, CERT-EU ja tarpeen mukaan EUH ilmoittavat asiasta välittömästi toimielinten väliselle kyberkriisityöryhmälle ja asiaankuuluvien yhteistyöryhmien puheenjohtajille direktiivin (EU) 2022/2555 14 artiklan mukaisesti sekä tarpeen mukaan myös EU-CyCLONelle, ja kuulevat niitä koordinointitoimien tarpeesta. Yhteisymmärryksessä asiaankuuluvien puheenjohtajien kanssa komissio (muuttoliike- ja sisäasioiden pääosasto ja viestintäverkkojen, sisältöjen ja teknologian pääosasto) voi ehdottaa häiriönsietokykyä käsittelevän ryhmän ja yhteistyöryhmän yhteistä kokousta, jonka tarkoituksena on tilannekuvan yhdenmukaistaminen ja reagoinnin koordinointi.

Jos kyseessä on monialainen kriittisen infrastruktuurin merkittävä poikkeama, joka edellyttää tai todennäköisesti edellyttää unionin tason seurausten hallintaa, komissio voi kutsua koolle kaikki asiaan liittyvät sidosryhmät monialaisiin koordinointikokouksiin.

Mikäli kriittisen infrastruktuurin merkittävä poikkeama vaikuttaa myös EU:n ulkopuoliseen maahan, komissio kuulee asianomaisen maan toimivaltaista viranomaista ja voi kutsua sen kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän kokoukseen.

III)Komission ja unionin virastojen tarjoama tuki

Europol esittää tarvittaessa ja tehtävänsä mukaisesti unionin tason tilanneraportin. Muut unionin virastot ilmoittavat merkitykselliset tilannekuvaan vaikuttavat tai kriittisen infrastruktuurin merkittävää poikkeamaa koskevaan koordinoituun reagointiin liittyvät tiedot tarvittaessa ja tehtävänsä mukaisesti vastuupääosastolleen, joka ilmoittaa niistä edelleen komissiolle (muuttoliike- ja sisäasioiden pääosastolle, joka toimii kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän puheenjohtajana).

Komissio voi edistää tilannetietoisuutta hyödyntämällä unionin avaruusohjelman 12 resursseja, kuten Copernicusta, Galileoa ja EGNOS-järjestelmää, tarpeen mukaan ja sovellettavan oikeudellisen kehyksen mukaisesti.

(b)Strategisella tasolla

I)Tilannekuvaraporttien laatiminen

Komissio laatii kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän kokouksessa tai asiaan liittyvien yksiköiden, asiantuntijaryhmien tai verkostojen kanssa pidetyissä yhteisissä kokouksissa jaettujen toimivaltaisten kansallisten viranomaisten antamien tietojen pohjalta tilannekuvaraportin, jossa hyödynnetään myös muita saatavilla olevia tietoja.

Raportissa otetaan tarvittaessa huomioon asiaan liittyvien EU:n tason kyberturvallisuuden näkökulmasta laadittujen riskinarviointien ja riskiskenaarioiden päätelmät, mukaan lukien komission, unionin ulkoasioiden ja turvallisuuspolitiikan korkean edustajan ja yhteistyöryhmän laatimat arvioinnit ja skenaariot.

Mikäli IPRC-kriisinhallintamekanismi aktivoidaan, kyseistä raporttia voidaan hyödyntää komission yksiköiden ja EUH:n laatimassa yhteisen tilannetietoisuuden ja -analyysin (ISAA) raportissa.

SIAC esittää poikkeamatilanteesta tarvittaessa ajantasaisen tiedustelutietoihin perustuvan arvion.

II)Unionin kriisinkoordinointimekanismien aktivointi ja unionin välineiden käyttö

Hätäavun koordinointikeskus käynnistää poikkeamaan liittyvän tilannekuvatuen tarvittaessa etenkin, jos kyseinen tapahtuma johtaa unionin pelastuspalvelumekanismin aktivointiin. 13 Lisäksi jäsenvaltiot, joihin poikkeama vaikuttaa, voivat pyytää Copernicuksen hätätilanteiden hallintapalveluilta satelliittikuvia omista alueistaan.

Mikäli komission laajuisesti jaetun tiedon jakaminen EUH:lle ja asiaan liittyville unionin virastoille katsotaan aiheelliseksi, asian käsittelyä johtava pääosasto tai muuttoliike- ja sisäasioiden pääosasto aktivoi komission sisäisen kriisikoordinointiprosessin nopean yleishälytysjärjestelmän ARGUSin ensimmäisen vaiheen yhdessä pääsihteeristön kanssa kirjaamalla tapahtuman yleishälytysjärjestelmän IT-työkaluun.

Vuorossa oleva Euroopan unionin neuvoston puheenjohtajavaltio voi aktivoida IPCR-järjestelyt tiedonvaihdon yhteistyömuodossa, jolloin komissio ja EUH laativat ISAA-raportteja toimivaltaisilta kansallisilta viranomaisilta ja tarpeen mukaan myös muista lähteistä saatujen tietojen pohjalta. Tietyin edellytyksin vuorossa oleva neuvoston puheenjohtajavaltio tai komissio voi perustaa IPCR-verkkoalustalle seurantasivun myös ilman, että IPCR-järjestelyt aktivoidaan.

Myös muita (alakohtaisia) unionin kriisinhallintamekanismeja ja työkaluja voidaan tarvittaessa aktivoida niitä koskevien menettelyjen mukaisesti. Komissio varmistaa näiden mekanismien ja välineiden koordinoinnin.

Jos fyysinen poikkeama tapahtuu samanaikaisesti direktiivin (EU) 2022/2555 6 artiklan 7 kohdassa määritellyn laajamittaisen kyberturvallisuuspoikkeaman kanssa tai vaikuttaa liittyvän sellaiseen, vuorossa oleva neuvoston puheenjohtajavaltio voi arvioida kybersuunnitelman perusteella, minkä laajuinen operatiivisen tason koordinointi, erityisesti EU CyCLONen ja kriittisten toimijoiden häiriönsietokykyä käsittelevä ryhmän tuella, on aiheellista.

III)Julkisen viestinnän koordinointi

Jäsenvaltiot, joihin kriittisen infrastruktuurin merkittävä poikkeama vaikuttaa, koordinoivat kansallisten toimivallan mukaisesti omaa kriisiviestintäänsä mahdollisuuksien mukaan. IPCR-kriisiviestintäverkosto voi tarvittaessa osallistua koordinointiin.

Kriittisten toimijoiden häiriönsietokykyä käsittelevä ryhmä sekä jäsenvaltiot, joihin poikkeama vaikuttaa, tukevat julkisen viestinnän linjan määrittämistä tarpeen mukaan yhteisen tilannekuvan pohjalta.

Europol ja muut asiaankuuluvat unionin virastot koordinoivat julkista viestintäänsä yhdessä komission tiedotuspalvelun kanssa yhteisen tilannekuvan pohjalta.

Jos kriittisen infrastruktuurin merkittävällä poikkeamalla on ulkoinen, hybridi- tai yhteiseen turvallisuus- ja puolustuspolitiikkaan liittyvä ulottuvuus, julkinen viestintä koordinoidaan EUH:n ja komission tiedotuspalvelun kanssa hybridiuhkien torjuntaa koskevan EU:n protokollan 14 mukaisesti.

2.Reagointi (eli tiedonvaihto-kohdassa luetellut jatkuvat toimet ja strategisen/poliittisen tason lisätoimet)

(a)Strategisella tasolla

I) Tilanneraporttien jatkuva tuottaminen

Neuvoston pelastuspalvelutyöryhmän kriittisten toimijoiden häiriönsietokykyä käsittelevälle alaryhmälle (PROCIV-CER) ilmoitetaan poliittisten/strategisten tilanneraportin laatimisesta (esim. ISAA-raportti IPCR-kriisinhallintamekanismin aktivoinnin tapauksessa tai komission laatima yhteinen tilannekuvaraportti). Se valmistelee tarpeen mukaan Coreperin kokouksen, mikäli sitä ei ole vielä kutsuttu koolle, tai poliittisten ja turvallisuusasioiden komitean kokouksen.

SIAC tiivistää yhteydenpitoaan jäsenvaltioiden tiedustelupalvelujen kanssa, kokoaa yhteen kaiken lähdetiedon ja laatii poikkeamasta analyysin ja arvion ja päivittää niitä tarpeen mukaan.

II)Unionin kriisinkoordinointimekanismien täysimittainen aktivointi ja unionin välineiden käyttö

Jos komission puheenjohtaja käynnistää komission sisäisen ARGUS-yleishälytysjärjestelmän toisen vaiheen, kriisinkoordinointikomitea kutsutaan nopeasti koolle yhteen tai useampaan kokoukseen, johon osallistuvat asianomaiset komission yksiköt ja EU:n virastot sekä tarvittaessa EUH, koordinoimaan kaikkia kriittisen infrastruktuurin merkittävään poikkeamaan liittyviä näkökohtia.

Mikäli neuvoston puheenjohtajavaltio aktivoi IPCR-kriisinhallintamekanismin täysimittaisesti:

- Puheenjohtajavaltio kehottaa järjestämään hyvissä ajoin epävirallisen pyöreän pöydän kokouksen, johon osallistuvat asiaan liittyvät kansalliset, eurooppalaiset ja kansainväliset toimijat. Kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän puheenjohtajana toimiva komission edustaja (muuttoliike- ja sisäasioiden pääosasto) voi kertoa siellä aiemmista ryhmän kokouksista tarvittaessa komission muiden yksiköiden ja EUH:n täydennyksellä.

- SIACia ja asiaankuuluvia unionin virastoja voidaan pyytää esittämään tässä kokouksessa tilannekatsaus kriittisen infrastruktuurin merkittävästä poikkeamasta.

ISAA:n johtava yksikkö (komissiossa tai EUH:ssa) valmistelee ISAA-raportin asiaan liittyvien komission yksiköiden, unionin toimistojen, elinten ja virastojen sekä toimivaltaisten kansallisten viranomaisten toimittamien tietojen pohjalta. Jäsenvaltioita pyydetään osallistumaan IPCR-verkkofoorumin kautta ISAA-raporttien laatimiseen.

Mikäli kriittisen infrastruktuurin merkittävällä poikkeamalla on merkitystä kansainvälisen turvallisuuden kannalta, komission yksiköt ja EUH voivat järjestää häiriönsietokykyä koskevan EU:n ja Naton jäsennellyn vuoropuhelun kokouksen edistääkseen yhteistä tilannekuvaa sekä tiedonvaihtoa unionin ja Naton toteuttamista toimista.

III)Julkinen viestintä

Neuvosto on vastuussa yhteisen julkisen viestinnän valmistelusta. IPCR-kriisinhallintamekanismilla perustettu kriisiviestintää koskeva epävirallinen tukiverkosto voi avustaa sitä tässä työssä. Myös komission tiedotuspalvelu valmistelee tarvittaessa julkista viestintää.

Jos kriittisen infrastruktuurin merkittävällä poikkeamalla on ulkoinen, hybridi- tai yhteiseen turvallisuus- ja puolustuspolitiikkaan liittyvä ulottuvuus, julkinen viestintä koordinoidaan EUH:n ja komission tiedotuspalvelun kanssa.

IV)Jäsenvaltioiden tukeminen ja tehokas reagointi

Neuvoston puheenjohtajavaltio voi kutsua koolle kriittisten toimijoiden häiriönsietokykyä käsittelevän alaryhmän PROCIV-CER:n tukemaan IPCR-kriisinhallintamekanismin puitteissa tehtäviä toimia, jos mekanismi aktivoidaan.

Jäsenvaltiot, joihin kriittisen infrastruktuurin merkittävä poikkeama vaikuttaa, voivat pyytää kriittisten toimijoiden häiriönsietokykyä käsittelevän ryhmän kautta muilta jäsenvaltioilta tai asiaankuuluvilta unionin toimielimiltä, elimiltä tai virastoilta teknistä tukea, kuten tiettyä asiantuntemusta kyseisen poikkeaman haittavaikutusten lieventämiseen.

Jäsenvaltiot, joihin poikkeama vaikuttaa, voivat myös pyytää komissiolta tai asianomaisilta unionin virastoilta teknistä ja/tai taloudellista tukea. Komissio arvioi yhteistyössä asiaankuuluvien unionin virastojen kanssa mahdollisuudet tuen antamiseen ja ryhtyy tarvittaessa unionin tasolla teknisiin lievittämistoimiin niihin sovellettavien menettelyjen mukaisesti ja koordinoi kyseisen poikkeaman vaikutusten vähentämiseen tai estämiseen tarvittavia teknisiä valmiuksia.

Erityisesti unionin pelastuspalvelumekanismin yhteydessä valtiot, joihin poikkeama on vaikuttanut, voivat pyytää apua yhteisen hätäviestintä- ja tietojärjestelmän (CECIS) kautta, minkä jälkeen hätäavun koordinointikeskus pyrkii koordinoimaan jäsenvaltioiden ja unionin pelastuspalvelumekanismiin osallistuvien maiden tarjoamaa sekä rescEU:n kautta tarjottavaa apua.

Toimivaltuuksiensa puitteissa ja pyynnöstä Europol ja muut asiaan liittyvät unionin virastot tukevat kriittisen infrastruktuurin merkittävän poikkeaman tutkinnassa jäsenvaltioita, joihin poikkeama vaikuttaa.

(b)Poliittisella tasolla

Neuvoston puheenjohtajavaltio voi harkita tarvetta järjestää pyöreän pöydän IPCR-kokouksia, neuvoston työryhmien kokouksia, Coreperin kokouksia, ministerineuvoston kokouksia ja/tai huippukokouksia keskustelemaan kriittisen infrastruktuurin merkittävän poikkeaman mahdollisista syistä ja odotettavissa olevista seurauksista jäsenvaltioille ja unionille, sopimaan yhteisistä suuntaviivoista sekä tukemaan jäsenvaltioita, joihin poikkeama vaikuttaa, sen seurausten lieventämisessä.

Kaavio 1: Kaaviokuva kriittistä infrastruktuuria koskevasta suunnitelmasta

Kaavio 2: Kriittistä infrastruktuuria koskevan suunnitelman mukainen päätös

(1)    Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2555, annettu 14 päivänä joulukuuta 2022, toimenpiteistä kyberturvallisuuden yhteisen korkean tason varmistamiseksi kaikkialla unionissa, asetuksen (EU) N:o 910/2014 ja direktiivin (EU) 2018/1972 muuttamisesta sekä direktiivin (EU) 2016/1148 kumoamisesta (EUVL L 333, 27.12.2022, s. 80).

(2)    Komission suositus (EU) 2017/1584, annettu 13 päivänä syyskuuta 2017, koordinoidusta reagoinnista laajamittaisiin kyberturvallisuuspoikkeamiin ja -kriiseihin (EUVL L 239, 19.9.2017, s. 36).

(3)    Komission tiedonanto ”Liikennealaa koskeva varautumissuunnitelma” (COM/2022/211 final).

(4)    Perustettu ilmaliikenteen hallintaverkon toimintojen toteuttamista koskevista yksityiskohtaisista säännöistä 24 tammikuuta 2019 annetun komission täytäntöönpanoasetuksen (EU) 2019/123 19 artiklan nojalla.

(5)    Euroopan parlamentin ja neuvoston direktiivi (EU) 2022/2557, annettu 14 päivänä joulukuuta 2022, kriittisten toimijoiden häiriönsietokyvystä ja direktiivin 2008/114/EY kumoamisesta (EUVL L 333, 27.12.2022, s. 164).

(6)    Euroopan parlamentin ja neuvoston päätös N:o 1313/2013/EU, annettu 17 päivänä joulukuuta 2013, unionin pelastuspalvelumekanismista (EUVL L 347, 20.12.2013, s. 924).

(7)    Euroopan parlamentin ja neuvoston asetus (EU) 2022/2371, annettu 23 päivänä marraskuuta 2022, rajatylittävistä vakavista terveysuhkista ja päätöksen N:o 1082/2013/EU kumoamisesta (EUVL L 314, 6.12.2022, s. 26).

(8)    Epävirallinen ryhmä, jossa ovat edustettuina asiaan liittyvät komission yksiköt, EUH, Euroopan unionin kyberturvallisuusvirasto (ENISA), Unionin toimielinten, elinten ja virastojen tietotekniikan kriisiryhmä (CERT-EU) ja Europol, ja jonka puheenjohtajina toimivat viestintäverkkojen, sisältöjen ja teknologian pääosasto ja EUH.

(9)    Kuten Europol liikenteen alalla: Euroopan unionin lentoturvallisuusvirasto (EASA), Euroopan meriturvallisuusvirasto (EMSA) ja Euroopan rautatievirasto (ERA); terveysalalla: Euroopan tautienehkäisy- ja -valvontakeskus (ECDC) ja Euroopan lääkevirasto (EMA); energia-alalla: energia-alan sääntelyviranomaisten yhteistyövirasto (ACER); avaruusalalla: Euroopan unionin avaruusohjelmavirasto (EUSPA); elintarvikealalla: Euroopan elintarviketurvallisuusviranomainen (EFSA); merenkulkualalla: Euroopan kalastuksenvalvontavirasto (EFCA); kyberturvallisuuden alalla: Euroopan unionin kyberturvallisuusvirasto (ENISA), tietoturvaloukkauksiin reagoivat ja niitä tutkivat yksiköt (CSIRT-yksiköt) ja EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmä (CERT EU).

(10)    Joint Staff Working Document - EU Protocol for countering hybrid threats SWD(2023)116 final.

(11)    Hybridiuhkilla tarkoitetaan erilaisia pakottavia ja turvallisuutta vaarantavia toimia ja perinteisiä ja uusia menetelmiä, joita valtiolliset tai valtiosta riippumattomat toimijat voivat käyttää koordinoidusti tiettyjen tavoitteiden saavuttamiseksi ylittämättä sotatilan virallisen julistamisen kynnystä, ks. hybridiuhkien torjuntaa koskeva EU:n protokolla.

(12)    Euroopan parlamentin ja neuvoston asetus (EU) 2021/696, annettu 28 päivänä huhtikuuta 2021, unionin avaruusohjelman ja Euroopan unionin avaruusohjelmaviraston perustamisesta sekä asetusten (EU) N:o 912/2010, (EU) N:o 1285/2013 ja (EU) N:o 377/2014 ja päätöksen N:o 541/2014/EU kumoamisesta (EUVL L 170, 12.5.2021, s. 69).

(13)    Esimerkiksi mediaseurannan tuotteiden, pelastuspalveluviestien, analyyttisten katsausten, humanitaarisen avun ja pelastuspalveluasioiden pääosaston (ECHO) päivittäisten karttojen ja tiedotteiden sekä muiden räätälöityjen tuotteiden julkaiseminen.

(14)    Joint Staff Working Document - EU Protocol for countering hybrid threats SWD(2023)116 final.