EUROPSKA KOMISIJA

Strasbourg, 18.10.2022.

COM(2022) 551 final

2022/0338(NLE)

Prijedlog

PREPORUKE VIJEĆA

o koordiniranom pristupu Unije jačanju otpornosti kritične infrastrukture

(Tekst značajan za EGP)

OBRAZLOŽENJE

1.KONTEKST PRIJEDLOGA

•Razlozi i ciljevi prijedloga

Sigurnost je osnovni cilj Europske unije. Iako primarnu odgovornost za zaštitu građana imaju države članice, zajedničko djelovanje na razini Unije uvelike pridonosi sigurnosti EU-a u cjelini. Koordinacija nam pomaže u jačanju otpornosti, poboljšanju pripravnosti i pripremi zajedničkog odgovora. U kontekstu sigurnosne unije EU-a poduzeti su važni koraci za izgradnju sposobnosti i kapaciteta za sprečavanje, otkrivanje i brzi odgovor na mnoge sigurnosne prijetnje te za udruživanje snaga aktera u javnom i privatnom sektoru.

Priprema EU-a za suočavanje s prijetnjama koje se stalno mijenjaju zahtijeva stalan oprez i prilagodbu. Ruski agresivni rat protiv Ukrajine sa sobom je donio nove rizike, koji se često javljaju u kombinaciji kao hibridne prijetnje. Jedan je od njih rizik od poremećaja u pružanju osnovnih usluga subjekata koji upravljaju kritičnom infrastrukturom u Europi. To je postalo još jasnije zbog očite sabotaže plinovoda Sjeverni tok i drugih nedavnih incidenata. Društvo se u velikoj mjeri oslanja na fizičku i digitalnu infrastrukturu, a prekidi u pružanju osnovnih usluga uzrokovani konvencionalnim fizičkim napadima ili kibernapadima, ili njihovom kombinacijom, mogu imati teške posljedice za dobrobit građana, naša gospodarstva i povjerenje u naše demokratske sustave.

Još je jedan važan cilj EU-a neometano funkcioniranje unutarnjeg tržišta, među ostalim kad je riječ o osnovnim uslugama koje pružaju subjekti koji upravljaju kritičnom infrastrukturom. EU je zato već poduzeo niz mjera za saniranje slabih točaka i povećanje otpornosti kritičnih subjekata na kibersigurnosne i druge rizike.

Potrebno je hitno povećati sposobnost EU-a da se suprotstavi mogućim napadima na kritičnu infrastrukturu, prvenstveno unutar EU-a, ali i u najbližem susjedstvu.

Predloženom preporukom Vijeća nastoji se pojačati potpora EU-a povećanju otpornosti kritične infrastrukture i koordinaciji na razini EU-a u pogledu pripravnosti i odgovora. Njezin je cilj maksimalno intenzivirati i ubrzati rad na zaštiti imovine, objekata i sustava koji su potrebni za funkcioniranje gospodarstva i pružanje osnovnih usluga na unutarnjem tržištu na koje se građani oslanjaju te ublažiti učinak svakog napada osiguravanjem što bržeg oporavka. Trebalo bi zaštititi svu takvu infrastrukturu, no prioritet su trenutačno energetski sektor, sektor digitalne infrastrukture te prometni i svemirski sektor zbog njihova posebno horizontalnog karaktera za društvo i gospodarstvo te zbog trenutačnih procjena rizika.

EU ima posebnu ulogu u osiguravanju otpornosti infrastrukture koja prelazi kopnene ili morske granice i utječe na interese više država članica ili koja se koristi za pružanje osnovnih prekograničnih usluga. Međutim, kritična infrastruktura važna za više država članica može se nalaziti u samo jednoj državi članici ili čak izvan njihova državnog područja, na primjer u slučaju podmorskih kabela ili cjevovoda. Jasno utvrđivanje kritične infrastrukture i subjekata koji njome upravljaju te opasnosti koje im prijete i zajednički rad na njihovoj zaštiti u interesu je svih država članica i EU-a u cjelini.

Europski parlament i Vijeće već su postigli politički dogovor o produbljivanju zakonodavnog okvira EU-a radi jačanja otpornosti subjekata koji upravljaju kritičnom infrastrukturom. U ljeto 2022. postignuti su dogovori o Direktivi o otpornosti kritične infrastrukture („Direktiva CER”) 1 i revidiranoj Direktivi o sigurnosti mrežnih i informacijskih sustava („Direktiva NIS 2”) 2 . One će uvelike ojačati sposobnosti u usporedbi s postojećim zakonodavnim okvirom, Direktivom 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite („Direktiva o EKI-ju”) 3 i Direktivom (EU) 2016/1148 Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije („Direktiva NIS”). 4 Očekuje se da će stupiti na snagu krajem 2022. ili početkom 2023., a države članice trebale bi ih što prije prenijeti i primijeniti, u skladu s pravom Unije.

S obzirom na to i na potencijalnu hitnost reakcije na prijetnje koje proizlaze iz ruskog agresivnog rata protiv Ukrajine, korake navedene u novom zakonodavstvu trebalo bi, gdje je to moguće i primjereno, uvoditi već sada. Intenziviranje uzajamne suradnje već sada također bi pomoglo da se stvori osnova za učinkovitu provedbu kad novo zakonodavstvo u potpunosti stupi na snagu.

To bi rezultiralo nadilaženjem postojećih okvira, i u pogledu intenziteta mjera i u pogledu širine obuhvaćenih sektora. Novom Direktivom CER uvodi se novi okvir za suradnju i obveze za države članice i kritične subjekte radi jačanja fizičke otpornosti izvan kiberprostora na prirodne prijetnje i prijetnje uzrokovane ljudskim djelovanjem subjekata koji pružaju osnovne usluge na unutarnjem tržištu, i to u jedanaest sektora 5 . Direktivom NIS 2 uvest će se široko sektorsko područje primjene kibersigurnosnih obveza. To će obuhvaćati novi zahtjev za države članice da u svoje strategije za kibersigurnost prema potrebi uključe podmorske kabele.

Tim se zakonodavstvom od Komisije zahtijeva da preuzme značajnu koordinacijsku ulogu. U skladu s Direktivom CER uloga Komisije je da pruža potporu i olakšava suradnju, uz potporu i sudjelovanje Skupine za otpornost kritičnih subjekata (CERG) osnovane tom direktivom te bi trebala dopunjavati aktivnosti država članica izdvajanjem najboljih primjera iz prakse, izradom smjernica i pripremom metodologije. Kad je riječ o kibersigurnosti, Vijeće je već u svojim Zaključcima o položaju EU-a u pogledu kiberprostora iz ljeta 2022. pozvalo Komisiju, Visokog predstavnika i Skupinu za suradnju u području sigurnosti mrežnih i informacijskih sustava (NIS) da rade na procjenama rizika i scenarijima iz perspektive kibersigurnosti. Takva koordinacija može poslužiti kao inspiracija za pristup za drugu važnu kritičnu infrastrukturu.

Predsjednica von der Leyen je 5. listopada 2022. predstavila plan u pet točaka u kojem se utvrđuje koordinirani pristup nužnom radu koji predstoji. Njegovi su glavni elementi bili: jačanje pripravnosti; suradnja s državama članicama s ciljem testiranja otpornosti na stres njihove kritične infrastrukture, počevši s energetskim sektorom, a zatim i u drugim visokorizičnim sektorima; povećanje kapaciteta za odgovor, osobito putem Mehanizma Unije za civilnu zaštitu; iskorištavanje satelitskih kapaciteta za otkrivanje potencijalnih prijetnji i jačanje suradnje s NATO-om i ključnim partnerima kad je riječ o otpornosti kritične infrastrukture. U planu u pet točaka naglašena je važnost anticipiranja zakonodavstva o kojem je već postignut politički dogovor.

U predloženoj preporuci Vijeća pozdravlja se taj pristup – da se strukturira potpora državama članicama i koordinira njihov rad na informiranju o rizicima, pripravnosti i odgovoru na trenutačne prijetnje. U tom se kontekstu sazivaju sastanci stručnjaka kako bi se raspravljalo o otpornosti subjekata koji upravljaju kritičnom infrastrukturom u očekivanju stupanja na snagu Direktive CER i time osnovanog CERG-a.

Od ključne će važnosti biti pojačana suradnja s ključnim partnerima te susjednim i drugim relevantnim trećim zemljama na otpornosti subjekata koji upravljaju kritičnom infrastrukturom, posebno u okviru strukturiranog dijaloga EU-a i NATO-a o otpornosti.

Težište je ove Preporuke jačanje kapaciteta Unije za predviđanje, sprečavanje i odgovor na nove prijetnje koje proizlaze iz ruskog agresivnog rata protiv Ukrajine. Predloženim preporukama stoga se nastoje ukloniti sigurnosni rizici i prijetnje za kritičnu infrastrukturu. Međutim, zbog nedavnih događaja postalo je još jasnije da je hitno potrebno posvetiti više pozornosti učincima klimatskih promjena na kritičnu infrastrukturu i usluge s obzirom na, primjerice, sezonski ugroženu i nepredvidivu opskrbu vodom za hlađenje nuklearnih elektrana, za hidroelektrane i unutarnju plovidbu, ili rizika od materijalne štete na prometnoj infrastrukturi, što može uzrokovati velike poremećaje u osnovnim uslugama. Ta će se pitanja i dalje rješavati relevantnim zakonodavstvom i koordinacijom.

•Dosljednost s postojećim odredbama politike u tom području

Ovaj Prijedlog preporuke Vijeća u potpunosti je u skladu s postojećim i budućim pravnim okvirom o otpornosti subjekata koji upravljaju kritičnom infrastrukturom, Direktivom o EKI-ju i Direktivom CER jer mu je svrha, među ostalim, olakšati suradnju država članica u tom području i poduprijeti konkretne mjere za jačanje otpornosti na trenutačne neposredne prijetnje subjektima koji upravljaju kritičnom infrastrukturom u EU-u.

On osim toga dopunjava i anticipira Direktivu CER jer su države članice već pozvane da pravodobno prenošenje Direktive postave kao prioritet, surađuju u formatu sastanaka stručnjaka sazvanih u okviru plana u pet točaka koji je najavila Komisija i nastoje koordinirati zajednički pristup provedbi testiranja otpornosti na stres kritične infrastrukture u EU-u.

Prijedlog je u skladu i s Direktivom NIS i budućom Direktivom NIS 2, kojom će se Direktiva NIS staviti izvan snage, jer poziva na rani početak rada na provedbi i prenošenju. U njemu su uzeti u obzir i Zajednički poziv iz Neversa iz ožujka 2022. i Zaključci Vijeća o položaju EU-a u kiberprostoru iz svibnja 2022. kad je riječ o zahtjevu država članica upućenog Komisiji da izradi procjene rizika i scenarije rizika.

Prijedlog je u skladu i s politikom EU-a o civilnoj zaštiti, prema kojoj u slučaju golemog poremećaja u radu kritične infrastrukture / kritičnih subjekata države članice i treće zemlje mogu zatražiti pomoć preko Koordinacijskog centra za odgovor na hitne situacije (ERCC) u okviru Mehanizma Unije za civilnu zaštitu (UCPM). U slučaju aktivacije UCPM-a ERCC može koordinirati i sufinancirati raspoređivanje ključne opreme, materijala i stručnog znanja dostupnih u državama članicama (djelomično u kontekstu Europskih udruženih sredstava za civilnu zaštitu) i u okviru sustava rescEU u pogođenoj zemlji. Pomoć koja se na zahtjev može staviti na raspolaganje obuhvaća, na primjer, gorivo, generatore, infrastrukturu za električnu energiju, skloništa, kapacitete za pročišćavanje vode i kapacitete za hitnu medicinsku pomoć.

Prijedlog je u skladu i s pravnom stečevinom EU-a koja se odnosi na sigurnost opskrbe energijom.

Sektor nuklearne energije nije posebno uključen u Prijedlog preporuke Vijeća, osim npr. s njim povezana infrastruktura (kao što su prijenosni vodovi do nuklearnih elektrana) koja bi mogla utjecati na sigurnost opskrbe. Određeni nuklearni elementi obuhvaćeni su relevantnim zakonodavstvom u području nuklearne energije u skladu s Ugovorom o Euratomu i/ili nacionalnim zakonodavstvom 6 . Na temelju pouka izvučenih iz nesreće u Fukushimi postroženo je europsko zakonodavstvo o nuklearnoj sigurnosti pa nacionalna tijela moraju provoditi redovite sigurnosne preglede za svako postrojenje kako bi se osigurala kontinuirana sukladnost s najvišim sigurnosnim zahtjevima i utvrdila daljnja sigurnosna poboljšanja te šest godišnjih tematskih stručnih pregleda na razini EU-a.

U strategiji pomorske sigurnosti EU-a 7 i njezinom akcijskom planu 8 naglašava se promjenjiva priroda prijetnji u pomorskom sektoru te se poziva na ponovno obvezivanje na zaštitu kritične pomorske infrastrukture, uključujući podvodnu infrastrukturu, a posebno infrastrukturu za pomorski promet te energetsku i komunikacijsku infrastrukturu, među ostalim boljom informiranošću o stanju u pomorstvu putem poboljšane interoperabilnosti i pojednostavnjene razmjene informacija. 

Prijedlog je u skladu i s drugim relevantnim sektorskim zakonodavstvom. Stoga bi provedba ove preporuke trebala biti usklađena s posebnim mjerama kojima se regulira ili će se regulirati određeni aspekti otpornosti subjekata koji djeluju u relevantnim sektorima, kao što je prometni sektor. To uključuje i druge relevantne inicijative, kao što je plan za krizne situacije za prometni sektor 9 ili plan za nepredvidive situacije za opskrbu hranom i sigurnost opskrbe hranom 10 i s njim povezani Europski mehanizam za pripravnost i odgovor na krize u području sigurnosti opskrbe hranom. Općenito, Preporuka bi se trebala provoditi uz potpuno poštovanje svih primjenjivih pravila prava EU-a, uključujući ona utvrđena u Direktivi o EKI-ju i Direktivi NIS.

Prijedlog je u skladu i sa Strateškim kompasom za sigurnost i obranu, u kojem se naglašava potreba za znatnim jačanjem otpornosti i sposobnosti za suzbijanje hibridnih prijetnji i kibernapada te potreba za jačanjem otpornosti partnerskih zemalja i za suradnjom s NATO-om. U skladu je i s Okvirom za koordinirani odgovor EU-a na hibridne prijetnje i kampanje koje utječu na EU, države članice i partnere 11 .

2.PRAVNA OSNOVA, SUPSIDIJARNOST I PROPORCIONALNOST

•Pravna osnova

•Supsidijarnost (za neisključivu nadležnost)

•Proporcionalnost

Ovaj je prijedlog u skladu s načelom supsidijarnosti iz članka 5. stavka 4. Ugovora o funkcioniranju Europske unije (UFEU).

Ni sadržaj ni oblik ovog Prijedloga preporuke Vijeća ne izlaze iz okvira onoga što je potrebno za ostvarenje njegovih ciljeva. Predložene mjere proporcionalne su ciljevima koji se žele postići jer poštuju ovlasti i obveze država članica u skladu s nacionalnim pravom.

Naposljetku, u Prijedlogu se razmatra mogući diferencirani pristup koji odražava različite unutarnje okolnosti država članica kad je riječ o pripravnosti i odgovoru na fizičke prijetnje kritičnoj infrastrukturi.

•Odabir instrumenta

3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENA UČINKA

•Savjetovanja s dionicima

Pri izradi ovog Prijedloga uzeta su u obzir stajališta stručnjaka iz država članica iznesena na sastanku 12. listopada 2022. Postignut je opći konsenzus o korisnosti veće koordinacije na razini Unije u pogledu pripravnosti i odgovora u trenutačnom kontekstu prijetnji te o anticipiranju određenih elemenata Direktive CER prije njezina službenog donošenja. Države članice pokazale su se spremnima na razmjenu iskustava i najboljih mjera i metodologija za jačanje otpornosti subjekata koji upravljaju kritičnom infrastrukturom. Države članice pokazale su se spremnima i na koordinirani pristup testiranju otpornosti na stres subjekata koji upravljaju kritičnom infrastrukturom na dobrovoljnoj osnovi i na temelju zajedničkih načela. Države članice navele su da bi se subjekti koji upravljaju kritičnom infrastrukturom u energetskom sektoru, sektoru digitalne infrastrukture i prometnom sektoru trebali smatrati prioritetom za potrebe ove Preporuke, posebno oni koji su relevantni za više država članica. Države članice pozdravile su i namjeru Komisije da u narednim tjednima sazove dodatne sastanke stručnjaka iz država članica.

•Detaljno obrazloženje posebnih odredaba prijedloga

Prijedlog preporuke Vijeća sadržava sljedeće:

–U poglavlju I. utvrđuju se cilj i opseg prijedloga te se određuje prioritet preporučenih mjera.

–Poglavlje II. obuhvaća mjere koje bi trebalo poduzeti da se pojača pripravnost, i na razini Unije i na razini država članica.

–Poglavlje III. obuhvaća pojačani odgovor na razini EU-a i država članica.

–Poglavlje IV. odnosi se na međunarodnu suradnju i mjere koje bi trebalo poduzeti za jačanje otpornosti subjekata koji upravljaju kritičnom infrastrukturom.

2022/0338 (NLE)

Prijedlog

PREPORUKE VIJEĆA

o koordiniranom pristupu Unije jačanju otpornosti kritične infrastrukture

(Tekst značajan za EGP)

VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegove članke 114. i 292.,

uzimajući u obzir prijedlog Europske komisije,

budući da:

(1)Unija ima posebnu ulogu kad je riječ o prekograničnoj infrastrukturi koja utječe na interese više država članica ili koju subjekti koriste za pružanje osnovnih prekograničnih usluga. Međutim, takvo pružanje usluga i kritična infrastruktura važna za više država članica može se nalaziti u samo jednoj državi članici ili izvan njihova državnog područja, na primjer u slučaju podmorskih kabela ili cjevovoda. Jasno utvrđivanje takve infrastrukture i subjekata te prijetnji s kojima se suočavaju, kao i zajednički rad na njihovoj zaštiti, u interesu je svih država članica i Unije u cjelini.

(2)Zaštita kritične infrastrukture zasad je uređena u dva sektora, Direktivom Vijeća 2008/114/EZ 12 . Tom direktivom uspostavljen je postupak za utvrđivanje i označivanje europske kritične infrastrukture i zajednički pristup procjeni potrebe za poboljšanjem zaštite takve infrastrukture kako bi se bolje zaštitili ljudi. Obuhvaća energetski i prometni sektor. Kako bi se poboljšala otpornost kritičnih subjekata i osnovnih usluga koje oni pružaju te infrastrukture na koju se oslanjaju, zakonodavac Unije trenutačno donosi novu Direktivu o otpornosti kritičnih subjekata 13 („Direktiva CER”) koja će zamijeniti Direktivu 2008/114/EZ i obuhvatiti više sektora, uključujući digitalnu infrastrukturu.

(3)Osim toga, Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije 14 bavi se prijetnjama kibersigurnosti. Ta će direktiva biti zamijenjena novom direktivom o mjerama za visoku zajedničku razinu kibersigurnosti širom Unije 15 („Direktiva NIS 2”), koja je također u postupku donošenja zakonodavca Unije.

(4)S obzirom na prijetnje koje se brzo mijenjaju, posebno u kontekstu očite sabotaže plinske infrastrukture Sjeverni tok 1 i 2, subjekti koji upravljaju kritičnom infrastrukturom suočavaju se s posebnim izazovima u pogledu otpornosti na neprijateljske radnje i druge prijetnje uzrokovane ljudskim djelovanjem, dok opasnosti koje proizlaze iz prirodnih čimbenika i klimatskih promjena rastu i mogu biti u interakciji s neprijateljskim radnjama. Stoga uz potporu država članica moraju poduzeti odgovarajuće mjere za jačanje otpornosti. Te bi mjere trebalo poduzeti i tu bi potporu trebalo pružiti povrh mjera na temelju Direktive 2008/114/EZ i Direktive (EU) 2016/1148, čak i prije donošenja, stupanja na snagu i prenošenja novih direktiva CER i NIS 2.

(5)Do donošenja, stupanja na snagu i prenošenja tih novih direktiva Uniju i države članice potiče se da, u skladu s pravom Unije, koriste sve dostupne alate za napredak i pomoć u jačanju fizičke i kiberotpornosti tih subjekata i kritične infrastrukture kojom upravljaju radi pružanja osnovnih usluga na unutarnjem tržištu, odnosno usluga koje su ključne za održavanje važnih društvenih funkcija, gospodarskih djelatnosti, javnog zdravlja i sigurnosti ili okoliša. U tom pogledu pojam otpornosti označava sposobnost subjekta da spriječi događaje koji bi mogli znatno poremetiti ili remete pružanje tih osnovnih usluga, da se zaštiti od njih, odgovori na njih, odupre im se, ublaži ih, apsorbira, prilagodi im se ili se od njih oporavi.

(6)Kako bi se osigurao učinkovit pristup, što dosljedniji s novom Direktivom CER, mjere iz ove Preporuke trebale bi se odnositi na infrastrukturu koju je država članica označila kao kritičnu te obuhvaćati i nacionalnu i europsku kritičnu infrastrukturu, neovisno o tome je li subjekt koji upravlja kritičnom infrastrukturom već određen kao kritični subjekt na temelju te nove direktive. Za potrebe ove Preporuke pojam „kritična infrastruktura” trebalo bi tumačiti u skladu s tim.

(7)S obzirom na postojeće prijetnje mjere za jačanje otpornosti trebalo bi poduzeti kao prioritetne u ključnim sektorima energetike, digitalne infrastrukture, prometa i svemira, a trebale bi biti usmjerene na jačanje otpornosti subjekata koji upravljaju kritičnom infrastrukturom s obzirom na rizike uzrokovane ljudskim djelovanjem. Kad je riječ o nacionalnoj kritičnoj infrastrukturi, s obzirom na moguće posljedice ako se rizici ostvare, prioritet bi trebala biti infrastruktura koja je od prekogranične važnosti.

(8)U skladu s tim se mjerama iz ove Preporuke prvenstveno nastoje dopuniti nove direktive CER i NIS2, koje se temelje na članku 114. Ugovora o funkcioniranju Europske unije (UFEU), jer anticipiraju i dopunjavaju mjere koje će sadržavati te nove direktive. Stoga je, s obzirom na prekograničnu prirodu i važnost tih osnovnih usluga i kritične infrastrukture te na postojeće i nove razlike u nacionalnim propisima koje narušavaju unutarnje tržište, primjereno da se i ova Preporuka temelji na članku 114. UFEU-a, zajedno s člankom 292. UFEU-a.

(9)Provedba ove Preporuke ne utječe na postojeće ni buduće zahtjeve prava Unije u pogledu određenih aspekata otpornosti predmetnih subjekata te bi s njima trebala biti usklađena. Ti su zahtjevi utvrđeni u općim instrumentima, kao što su Direktiva 2008/114/EZ i Direktiva (EU) 2016/1148 te nove direktive CER i NIS 2 koje ih zamjenjuju, ali i u određenim sektorskim instrumentima, primjerice u području prometa, u kojem je, među ostalim, Komisija pokrenula inicijativu u pogledu kriznog plana za promet 16 . U skladu s načelom lojalne suradnje ova bi se Preporuka trebala provoditi uz potpuno uzajamno poštovanje i podršku.

(10)Komisija je 5. listopada 2022. najavila plan u pet točaka u kojem se utvrđuje koordinirani pristup za suočavanje s predstojećim izazovima i koji uključuje rad na pripravnosti polazeći od nove Direktive CER i anticipirajući njezino donošenje i stupanje na snagu, a uključuje i suradnju s državama članicama na temelju zajedničkih načela radi testiranja otpornosti subjekata koji upravljaju kritičnom infrastrukturom, počevši od energetskog sektora. U ovoj se Preporuci, koja će doprinijeti tom planu, pozdravlja predloženi pristup i utvrđuje kako ga se može provesti u djelo.

(11)U kontekstu prijetnji koje se brzo mijenjaju i trenutačnog rizičnog okruženja koje karakteriziraju rizici izazvani ljudskim djelovanjem, posebno u pogledu kritične infrastrukture od prekogranične važnosti, ključno je imati točnu, aktualnu i potpunu sliku najvećih rizika s kojima se suočavaju subjekti koji upravljaju kritičnom infrastrukturom. Stoga bi države članice trebale poduzeti potrebne mjere kako bi provele ili ažurirale svoje procjene tih rizika. Iako je težište ove preporuke na sigurnosnim rizicima, trebalo bi nastaviti raditi na rješavanju pitanja klimatskih promjena i rizika za okoliš, pogotovo kad se uzme u obzir da prirodni događaji mogu dodatno pogoršati rizike uzrokovane ljudskim djelovanjem.

(12)S obzirom na takve prijetnje države članice trebalo bi pozvati da što prije poduzmu odgovarajuće mjere za jačanje otpornosti kritične infrastrukture i povrh navedenih procjena rizika, koje će se naknadno zahtijevati u skladu s novom Direktivom CER.

(13)U okviru provedbe plana u pet točaka koji je najavila Komisija potrebno je koordinirati rad sazivanjem nacionalnih stručnjaka koji bi se okupili prije osnivanja Skupine za otpornost kritičnih subjekata na temelju nove Direktive CER kako bi se omogućila suradnja država članica i razmjena informacija o otpornosti subjekata koji upravljaju kritičnom infrastrukturom. To bi trebalo uključivati suradnju i razmjenu informacija o aktivnostima kao što su utvrđivanje kritičnih subjekata i infrastrukture, priprema razvoja i promicanje zajedničkog skupa načela za provedbu testiranja otpornosti na stres i zajedničke zaključke iz testiranja otpornosti na stres, u kojima bi se utvrdile slabe točke i mogući kapaciteti. Ti bi procesi trebali biti korisni i za otpornost subjekata koji upravljaju kritičnom infrastrukturom na rizike povezane s klimom i okolišem. Taj bi rad omogućio i zajedničko određivanje prioriteta u radu na testovima otpornosti na stres, prije svega u energetskom sektoru, sektoru digitalne infrastrukture, prometnom i svemirskom sektoru. Komisija je već počela sazivati stručnjake i olakšavati njihov rad te planira s time i nastaviti. Kad nova Direktiva CER stupi na snagu i osnuje se Skupina za otpornost kritičnih subjekata, ta bi skupina trebala nastaviti s takvim anticipativnim radom u skladu sa svojim zadaćama na temelju Direktive CER.

(14)Testiranje otpornosti na stres trebalo bi dopuniti izradom plana za incidente i krize povezane s kritičnom infrastrukturom u kojem se opisuju i utvrđuju ciljevi i načini suradnje između država članica i institucija, tijela, ureda i agencija EU-a u odgovoru na incidente povezane s kritičnom infrastrukturom, posebno ako oni uzrokuju znatne poremećaje u pružanju osnovnih usluga za unutarnje tržište. U tom bi planu trebalo razmotriti postojeće aranžmane za integrirani politički odgovor na krizu (IPCR) za koordinaciju odgovora, a on bi trebao funkcionirati usklađeno i komplementarno s planom za kiberincidente velikih razmjera i omogućiti dogovor o ključnim porukama za javnost jer komunikacija u kriznim situacijama ima važnu ulogu u ublažavanju negativnih učinaka incidenata i kriza povezanih s kritičnom infrastrukturom.

(15)Kako bi se osigurao koordiniran i učinkovit odgovor na trenutačne i očekivane prijetnje, Komisija će pružiti dodatnu potporu državama članicama s ciljem jačanja njihove otpornosti na te prijetnje, posebno pružanjem relevantnih informacija u obliku informativnih dokumenata, priručnika i smjernica, promicanjem prihvaćanja rezultata istraživačkih i inovacijskih projekata koje financira Unija, poduzimanjem potrebnih anticipatornih mjera i optimizacijom upotrebe sredstava Unije za nadzor. ESVD bi trebao izraditi procjene prijetnji, posebno preko Obavještajnog i situacijskog centra EU-a.

(16)Agencije Unije relevantne za te sektore i druga relevantna tijela Unije također bi trebali pružati potporu u pitanjima povezanima s otpornošću, i to u mjeri u kojoj to dopuštaju njihovi mandati kako su utvrđeni u relevantnim instrumentima prava Unije. Konkretno bi Europska agencija za kibersigurnost (ENISA) mogla pomagati u pitanjima kibersigurnosti, Europska agencija za pomorsku sigurnost (EMSA) mogla bi svojim stručnim znanjem pomoći u pružanju potpore državama članicama preko svoje usluge pomorskog nadzora u pitanjima pomorske sigurnosti i zaštite, Agencija Europske unije za suradnju tijela za izvršavanje zakonodavstva (EUROPOL) mogla bi pružati potporu u prikupljanju informacija i istragama u prekograničnim aktivnostima kaznenog progona, a Agencija Europske unije za svemirski program (EUSPA) i Satelitski centar EU-a (SatCen) mogli bi pomagati putem operacija u okviru Svemirskog programa Unije.

(17)Iako su za sigurnost kritične infrastrukture i predmetnih subjekata i dalje primarno odgovorne države članice, primjerena je pojačana koordinacija na razini Unije, posebno s obzirom na prijetnje koje mogu utjecati na više država članica odjednom, kao što je ruski agresivni rat protiv Ukrajine, ili na otpornost i dobro funkcioniranje gospodarstva, jedinstvenog tržišta i društava Unije.

(18)Ova Preporuka ne podrazumijeva dostavljanje informacija čije je otkrivanje protivno ključnim interesima država članica u području nacionalne sigurnosti, javne sigurnosti ili obrane.

(19)Zbog sve veće međuovisnosti fizičke i digitalne infrastrukture zlonamjerne kiberaktivnosti usmjerene na kritična područja mogu dovesti do poremećaja ili oštećenja fizičke infrastrukture, dok zbog sabotaže fizičke infrastrukture digitalne usluge mogu postati nedostupne. S obzirom na povećanu prijetnju koju predstavljaju sofisticirani hibridni napadi, države članice trebale bi uključiti i ta razmatranja u svoj rad na provedbi ove Preporuke. S obzirom na međusobnu povezanost kibersigurnosti i fizičke sigurnosti operatora važno je da rad na pripremi za prenošenje i primjenu nove Direktive NIS 2 što prije započne i da se istodobno nastavi s takvim radom na temelju nove Direktive CER.

(20)Osim pripravnosti važno je povećati i kapacitete za brz i učinkovit odgovor u slučaju da se ostvare rizici koji utječu na osnovne usluge koje pružaju subjekti koji upravljaju kritičnom infrastrukturom. Stoga bi ova Preporuka trebala sadržavati mjere koje bi trebalo poduzeti i na razini država članica i na razini Unije, uključujući pojačanu suradnju i razmjenu informacija u kontekstu Mehanizma Unije za civilnu zaštitu te upotrebu relevantnih sredstava Svemirskog programa Unije.

(21)Na poziv Vijeća u Zaključcima o položaju EU-a u kiberprostoru 17 Komisija, Visoki predstavnik Unije za vanjske poslove i sigurnosnu politiku („Visoki predstavnik”) i Skupina za suradnju osnovana Direktivom (EU) 2016/1148 („Skupina za suradnju NIS”) u koordinaciji s relevantnim civilnim i vojnim tijelima i agencijama te uspostavljenim mrežama, uključujući EU CyCLONe, provode procjenu rizika i pripremaju scenarije rizika iz perspektive kibersigurnosti u situaciji prijetnje ili mogućeg napada na države članice ili partnerske zemlje. Ta je vježba usmjerena na kritične sektore, uključujući energetiku, digitalnu infrastrukturu, promet i svemir.

(22)U Zajedničkom ministarskom pozivu iz Neversa 18 i Zaključcima Vijeća o položaju EU-a u kiberprostoru poziva se i na jačanje otpornosti komunikacijske infrastrukture i mreža u Uniji davanjem preporuka državama članicama i Komisiji na temelju procjene rizika. Tu procjenu rizika trenutačno provodi Skupina za suradnju NIS uz potporu Komisije i ENISA-e te u suradnji s Tijelom europskih regulatora za elektroničke komunikacije (BEREC). U procjeni rizika i analizi nedostataka razmatraju se rizici od kibernapada za različite podsektore komunikacijske infrastrukture, uključujući fiksnu i mobilnu infrastrukturu, satelitsku infrastrukturu, podmorske kabele, internetske usluge preusmjeravanja itd., čime se osigurava osnova za rad u skladu s ovom Preporukom. Rezultati te procjene rizika iskoristit će se za aktualnu međusektorsku evaluaciju kiberrizika i scenarije koje je zatražilo Vijeće u svojim zaključcima od 23. svibnja 2022.

(23)Ta će dva procesa biti dosljedna i koordinirana s radom na scenarijima za civilnu zaštitu u kontekstu širokog spektra prirodnih katastrofa i katastrofa izazvanih ljudskim djelovanjem, uključujući događaje povezane s kibersigurnošću i njihov stvarni učinak, koje trenutačno razvijaju Komisija i države članice u skladu s Odlukom br. 1313/2013/EU Europskog parlamenta i Vijeća 19 . U interesu učinkovitosti, djelotvornosti i dosljednosti ova bi se Preporuka trebala provoditi uzimajući u obzir rezultate tog rada.

(24)U paketu instrumenata EU-a za kibersigurnost 5G mreža 20 utvrđuju se relevantne mjere i planovi ublažavanja rizika za jačanje sigurnosti 5G mreža. S obzirom na ovisnost mnogih osnovnih usluga o 5G mrežama i međusobnu povezanost digitalnih ekosustava ključno je da sve države članice hitno provedu mjere preporučene u tom paketu instrumenata, a posebno da primijene relevantna ograničenja na visokorizične dobavljače ključnih sredstava koja su u usklađenoj procjeni rizika na razini EU-a definirana kao kritična i osjetljiva.

(25)Kako bi odmah ojačala pripravnost i kapacitete za odgovor na velike kiberincidente, Komisija je uspostavila kratkoročni program za potporu državama članicama i dodijelila dodatna sredstva ENISA-i. Obuhvaćene usluge uključivat će mjere pripravnosti, kao što su testovi mogućnosti prodora u kritične subjekte kako bi se identificirale slabe točke. Povećat će se i mogućnosti za pomoć državama članicama u slučaju velikog incidenta koji utječe na kritične subjekte. To je prvi korak u skladu sa Zaključcima Vijeća o položaju u kiberprostoru, u kojima se od Komisije traži da iznese prijedlog za Fond za odgovor na hitne situacije u području kibersigurnosti. Države članice trebale bi u potpunosti iskoristiti te mogućnosti, u skladu s primjenjivim zahtjevima.

(26)Globalna mreža podmorskih kabela za podatkovne i elektroničke komunikacije ključna je za globalnu povezivost i povezivost unutar EU-a. Zbog duljine tih kabela i njihove ugradnje na morsko dno podvodni vizualni nadzor većine dijelova kabela iznimno je zahtjevan. Podijeljena nadležnost i druga pitanja nadležnosti koja se odnose na te kabele poseban su razlog za europsku i međunarodnu suradnju u području zaštite i obnove infrastrukture. Stoga je potrebno dopuniti tekuće i planirane procjene rizika za digitalnu i fizičku infrastrukturu na kojoj se temelje digitalne usluge posebnim procjenama rizika i mogućnostima za mjere ublažavanja rizika za podmorske kabele. Komisija će u tu svrhu provesti studije i obavijestiti države članice o njihovim rezultatima.

(27)Energetika i promet, sektori koji su u ovoj Preporuci izdvojeni kao prioritetni, također mogu biti izloženi rizicima povezanima s digitalnom infrastrukturom. Takvih rizika može biti, na primjer, u vezi s energetskom tehnologijom koja sadržava digitalne komponente. Sigurnost povezanih lanaca opskrbe važna je za kontinuitet pružanja osnovnih usluga i za stratešku kontrolu kritične infrastrukture kojom upravljaju subjekti u energetskom sektoru. Te bi okolnosti trebalo uzeti u obzir kad se poduzimaju mjere za jačanje otpornosti subjekata koji upravljaju kritičnom infrastrukturom u skladu s ovom Preporukom.

(28)Zbog sve veće važnosti svemirske infrastrukture i svemirskih usluga za aktivnosti povezane sa sigurnošću ključno je osigurati otpornost i zaštitu svemirske imovine i svemirskih usluga Unije, i to i u okviru ove Preporuke, kako bi se podaci i usluge iz svemira koje pružaju svemirski sustavi i programi za nadzor i zaštitu kritične infrastrukture u drugim sektorima strukturiranije upotrebljavali. U predstojećoj svemirskoj strategiji EU-a za sigurnost i obranu predložit će se odgovarajuće mjere u tom pogledu, koje bi trebalo uzeti u obzir pri provedbi ove Preporuke.

(29)Potrebna je i suradnja na međunarodnoj razini kako bi se djelotvorno uklonili rizici za otpornost subjekata koji upravljaju kritičnom infrastrukturom u Uniji ili u relevantnim trećim zemljama ili u međunarodnim vodama. Stoga bi države članice trebalo pozvati da surađuju s Komisijom i Visokim predstavnikom, da poduzmu određene korake s tim ciljem, pri čemu se podrazumijeva da se svi takvi koraci poduzimaju samo u skladu s njihovim zadaćama i odgovornostima na temelju prava Unije, posebno s odredbama Ugovorâ EU-a o vanjskim odnosima.

(30)Kako je utvrđeno u Komunikaciji „Doprinos Komisije europskoj obrani”, 21 Komisija će u suradnji s Visokim predstavnikom i državama članicama kao potporu Strateškom kompasu za sigurnost i obranu – za Europsku uniju koja štiti svoje građane, vrijednosti i interese te doprinosi međunarodnom miru i sigurnosti, 22 do 2023. procijeniti polazne vrijednosti sektorske otpornosti na hibridne prijetnje utvrđivanjem nedostataka i potreba te koraka za njihovo rješavanje. Ta bi inicijativa, pomažući da se intenzivira razmjena informacija i koordinacija mjera, trebala poslužiti kao temelj za rad u okviru ove Preporuke na daljnjem jačanju otpornosti, uključujući otpornost kritične infrastrukture.

(31)U Strategiji pomorske sigurnosti EU-a iz 2014. i njezinom akcijskom planu poziva se na veću zaštitu kritične pomorske infrastrukture, uključujući podvodnu infrastrukturu, a posebno infrastrukturu za pomorski promet te energetsku i komunikacijsku infrastrukturu, među ostalim boljom informiranošću o stanju u pomorstvu putem poboljšane interoperabilnosti i pojednostavnjene (obvezne i dobrovoljne) razmjene informacija. Strategija i akcijski plan trenutačno se ažuriraju i uključivat će pojačane mjere na zaštitu kritične pomorske infrastrukture. Te bi mjere trebale poslužiti kao temelj za ovu Preporuku i dopuniti je.

(32)Države članice trebale bi uzeti u obzir puni potencijal istraživačkog programa Unije u području sigurnosti, prije svega iskorištavanjem njegova posebnog prioriteta u pogledu kritične infrastrukture, posebno u okviru programa koji se financiraju iz Fonda za unutarnju sigurnost i drugih potencijalnih mogućnosti financiranja na razini Unije, prvenstveno Europskog fonda za regionalni razvoj, u mjeri u kojoj posebne mjere ispunjavaju njegove uvjete prihvatljivosti. I plan REPowerEU može ponuditi mogućnosti za financiranje u području otpornosti. Svako takvo korištenje mogućnosti koje se financiraju sredstvima Unije treba se odvijati u skladu s primjenjivim pravnim zahtjevima.

DONIJELO JE OVU PREPORUKU:

POGLAVLJE I. CILJ, PODRUČJE PRIMJENE I ODREĐIVANJE PRIORITETA

(1)Ovom se Preporukom države članice pozivaju da poduzmu hitne i djelotvorne mjere te da lojalno, učinkovito, solidarno i koordinirano surađuju međusobno, s Komisijom, drugim relevantnim javnim tijelima i predmetnim subjektima kako bi se povećala otpornost kritične infrastrukture u Uniji koja se koristi za pružanje osnovnih usluga na unutarnjem tržištu.

(2)Mjere utvrđene u ovoj Preporuci odnose se na infrastrukturu koju je država članica označila kao kritičnu, uključujući europsku kritičnu infrastrukturu.

(3)Pri provedbi ove Preporuke prednost bi trebalo dati jačanju otpornosti subjekata koji djeluju u sektorima energetike, digitalne infrastrukture, prometa i svemira te otpornosti kritične infrastrukture kojom ti subjekti upravljaju, a koja je od prekogranične važnosti s obzirom na rizike uzrokovane ljudskim djelovanjem.

POGLAVLJE II.: VEĆA PRIPRAVNOST

Mjere na razini država članica

(4)Države članice pozivaju se da provedu ili ažuriraju procjene rizika u pogledu otpornosti subjekata koji upravljaju europskom kritičnom infrastrukturom označenom u prometnom i energetskom sektoru u skladu s Direktivom 2008/114/EZ te da surađuju na takvim procjenama rizika i mjerama za jačanje otpornosti koje iz njih proizlaze, prema potrebi, i u skladu s tom direktivom.

(5)Osim toga, kako bi se postigla visoka razina otpornosti subjekata koji upravljaju kritičnom infrastrukturom, države članice trebale bi ubrzati pripremne radnje za što brže prenošenje i primjenu nove Direktive CER na sljedeće načine:

(a)ubrzavanjem donošenja ili ažuriranjem nacionalnih strategija za jačanje otpornosti subjekata koji upravljaju kritičnom infrastrukturom kako bi se odgovorilo na trenutačnu prijetnju. Relevantne dijelove te strategije trebalo bi priopćiti Komisiji;

(b)provođenjem ili ažuriranjem procjena rizika u skladu s promjenjivom prirodom trenutačnih prijetnji, u pogledu otpornosti subjekata koji upravljaju kritičnom infrastrukturom u relevantnim sektorima izvan područja energetike, digitalne infrastrukture, prometa i svemira te, ako je moguće, u sektorima obuhvaćenima područjem primjene nove Direktive CER, odnosno u sektoru bankarstva, infrastrukture financijskog tržišta, digitalne infrastrukture, zdravstva, vode za piće, otpadnih voda, javne uprave, svemira, proizvodnje, obrade i distribucije hrane, uzimajući u obzir potencijalnu hibridnu prirodu relevantnih prijetnji, uključujući kaskadne efekte i učinke klimatskih promjena;

(c)obavješćivanjem Komisije o vrstama rizika utvrđenih po sektorima i podsektorima te o rezultatima procjena rizika, što se može učiniti pomoću zajedničkog predloška za izvješćivanje koji je izradila Komisija u suradnji s državama članicama;

(d)ubrzavanjem postupka utvrđivanja i označivanja kritičnih subjekata, pri čemu prednosti imaju kritični subjekti koji:

(a)koriste kritičnu infrastrukturu koja je fizički povezana između dviju ili više država članica;

(b)dio su korporativnih struktura koje su povezane s kritičnim subjektima u drugim državama članicama ili su im priključene;

(c)identificirani su kao takvi u jednoj državi članici i pružaju osnovne usluge u šest ili više država članica i stoga su od posebnog europskog značaja te o tome obavješćuju Komisiju;

(d)međusobno surađuju, posebno kad je riječ o kritičnim subjektima, osnovnim uslugama i kritičnoj infrastrukturi od prekogranične važnosti, posebno međusobnim savjetovanjem za potrebe točke 5. podtočke (d) i međusobnim obavješćivanjem u slučaju incidenta sa znatnim ili potencijalno znatnim prekograničnim disruptivnim učinkom, o čemu prema potrebi obavješćuju Komisiju;

(e)jačanjem potpore označenim kritičnim subjektima kako bi se poboljšala njihova otpornost, što može uključivati pružanje smjernica i metodologija, organiziranje testiranja njihove otpornosti, savjetovanje i osposobljavanje njihova osoblja te omogućavanje provjera podobnosti osoba s osjetljivim ulogama, u skladu sa zakonodavstvom Unije i nacionalnim zakonodavstvom, kao dio mjera upravljanja sigurnošću zaposlenika koje provode kritični subjekti;

(f)ubrzavanjem određivanja ili uspostave jedinstvene kontaktne točke u nadležnom tijelu za izvršavanje funkcije povezivanja u svrhu osiguravanja prekogranične suradnje s jedinstvenim kontaktnim točkama drugih država članica u vezi s otpornošću subjekata koji upravljaju kritičnom infrastrukturom.

(6)Države članice potiču se da provode testiranja otpornosti na stres subjekata koji upravljaju kritičnom infrastrukturom. Konkretno, države članice pozivaju se da povećaju svoju pripravnost i pripravnost predmetnih subjekata u energetskom sektoru te da provedu testiranja otpornosti na stres u tom sektoru, ako je moguće u skladu s načelima koja su zajednički dogovorena na razini Unije, i pritom osiguraju učinkovitu komunikaciju s predmetnim subjektima. Testiranje otpornosti na stres u drugim prioritetnim sektorima (digitalna infrastruktura, promet i svemir) prema potrebi se može razmotriti naknadno, uzimajući u obzir inspekcije u podsektorima zračnog i pomorskog prometa u skladu s pravom Unije te uzimajući u obzir odgovarajuće odredbe u okviru sektorskog zakonodavstva.

(7)Države članice pozivaju se da surađuju, prema potrebi, i u skladu s pravom Unije, s relevantnim trećim zemljama u pogledu otpornosti subjekata koji upravljaju kritičnom infrastrukturom s prekograničnim učinkom.

(8)Države članice pozivaju se da, u skladu s primjenjivim zahtjevima, iskoriste potencijalne mogućnosti financiranja na razini Unije i na nacionalnoj razini kako bi se povećala otpornost subjekata koji upravljaju kritičnom infrastrukturom u Uniji, među ostalim duž transeuropskih mreža, na cijeli spektar ozbiljnih prijetnji, posebno u okviru programa koji se financiraju iz Fonda za unutarnju sigurnost i Europskog fonda za regionalni razvoj, pod uvjetom da se ispune odgovarajući kriteriji prihvatljivosti, i Instrumenta za povezivanje Europe, uključujući odredbe o pripremi za klimatske promjene. Sredstva Mehanizma Unije za civilnu zaštitu mogu se koristiti i u tu svrhu, u skladu s primjenjivim zahtjevima, posebno za projekte povezane s procjenama rizika, planovima ulaganja ili studijama, izgradnjom kapaciteta ili poboljšanjem baze znanja. I plan REPowerEU može ponuditi mogućnosti za financiranje u području otpornosti.

(9)Kad je riječ o komunikacijskoj i mrežnoj infrastrukturi u Uniji, Skupina za suradnju NIS trebala bi, djelujući u skladu s člankom 11. Direktive (EU) 2016/1148 i zatim člankom 14. Direktive NIS 2, ubrzati tekući rad na ciljanoj procjeni rizika i predstaviti prve preporuke početkom 2023. Time bi se trebala osigurati usklađenost i komplementarnost s radom Skupine za suradnju NIS u području sigurnosti informacijskih i komunikacijskih tehnologija, kao i s drugim relevantnim skupinama, kao što su Skupina za otpornost kritičnih subjekata koja će se osnovati na temelju nove Direktive CER i nadzorni forum koji će se uspostaviti u okviru novog Akta o digitalnoj operativnoj otpornosti (DORA) 23 .

(10)Skupina za suradnju NIS, koja treba izvršavati svoje zadaće u skladu s člankom 11. Direktive (EU) 2016/1148, a zatim i člankom 14. Direktive NIS 2, poziva se da uz potporu Komisije i ENISA-e da prednost svojem radu na sigurnosti digitalne infrastrukture i svemirskog sektora, među ostalim izradom smjernica politike, metoda i mjera za upravljanje rizikom u području kibersigurnosti na temelju pristupa kojim se uzimaju u obzir sve opasnosti u pogledu podmorskih komunikacijskih kabela, u očekivanju stupanja na snagu Direktive NIS 2, te radu na izradi smjernica za mjere upravljanja kiberrizicima za operatore u svemirskom sektoru s ciljem povećanja otpornosti zemaljske infrastrukture kojom se podupire pružanje svemirskih usluga.

(11)Države članice trebale bi u potpunosti iskoristiti usluge pripravnosti u području kibersigurnosti koje se nude u okviru Komisijina kratkoročnog programa potpore koji provodi s ENISA-om, posebno testove mogućnosti prodora za utvrđivanje slabih točaka, te se u tom kontekstu pozivaju da daju prednost subjektima koji upravljaju kritičnom infrastrukturom u energetskom, digitalnom i prometnom sektoru.

(12)Države članice trebale bi hitno provesti mjere preporučene u paketu instrumenata EU-a za kibersigurnost 5G mreža 24 . Države članice koje još nisu uvele ograničenja za visokorizične dobavljače trebale bi to učiniti bez daljnje odgode jer gubitak vremena može povećati ranjivost mreža u Uniji. Trebale bi ojačati i fizičku i nefizičku zaštitu kritičnih i osjetljivih dijelova 5G mreža, među ostalim strogim kontrolama pristupa. Osim toga, države članice trebale bi u suradnji s Komisijom procijeniti potrebu za komplementarnim mjerama, uključujući pravno obvezujuće zahtjeve na razini Unije, kako bi se osigurala dosljedna razina sigurnosti i otpornosti 5G mreža.

(13)Države članice trebale bi što prije provesti predstojeći mrežni kodeks za kibersigurnosne aspekte prekograničnih tokova električne energije, oslanjajući se na iskustvo stečeno provedbom Direktive NIS i relevantnih smjernica koje je izradila Skupina za suradnju NIS, a posebno njezina referentnog dokumenta o sigurnosnim mjerama za operatore osnovnih usluga.

(14)Države članice trebale bi proširiti upotrebu Galilea i/ili Copernicusa za nadzor i razmjenu relevantnih informacija među stručnjacima sazvanima u skladu s točkom 15. Sposobnosti koje nude državne satelitske komunikacije Unije (GOVSATCOM) u okviru Svemirskog programa Unije za nadzor kritične infrastrukture i potporu odgovoru na krizu trebale bi se koristiti na smislen način. 

Mjere na razini Unije

(15)Komisija namjerava ojačati suradnju među stručnjacima iz država članica kako bi se povećala fizička otpornost subjekata izvan kiberprostora koji upravljaju kritičnom infrastrukturom, posebno:

(a)pripremom razvoja i promicanjem zajedničkih alata za potporu državama članicama u jačanju takve otpornosti, uključujući metode i scenarije rizika;

(b)podupiranjem razvoja zajedničkih načela država članica za provedbu testiranja otpornosti na stres iz točke 6., počevši s takvim testiranjima usmjerenima na rizike uzrokovane ljudskim djelovanjem u energetskom sektoru, a zatim i u drugim ključnim sektorima, kao što su digitalna infrastruktura, promet i svemir; suočavanjem s drugim važnim rizicima i opasnostima, a prema potrebi i podupiranjem i savjetovanjem pri provedbi takvih testiranja otpornosti na stres; 

(c)uspostavom sigurne platforme za prikupljanje, razmatranje i razmjenu najbolje prakse, saznanja stečenih na temelju nacionalnih iskustava i drugih informacija povezanih s takvom otpornošću, uključujući provedbu tih testiranja otpornosti na stres i prenošenje rezultata u protokole i krizne planove.

U radu tih stručnjaka posebnu bi pozornost trebalo posvetiti međusektorskim ovisnostima i subjektima koji upravljaju kritičnom infrastrukturom od prekogranične važnosti te bi ga nakon osnivanja trebala nastaviti Skupina za otpornost kritičnih subjekata.

(16)Države članice trebale bi u potpunosti sudjelovati u pojačanoj suradnji spomenutoj u točki 15., među ostalim određivanjem kontaktnih točaka s relevantnim stručnim znanjem i razmjenom iskustava s metodama testiranja otpornosti na stres te protokolima i kriznim planovima izrađenih na temelju njih. Pri razmjeni informacija trebala bi se čuvati njihova povjerljivost te sigurnost i komercijalni interesi kritičnih subjekata, uz uvažavanje sigurnosti država članica. To ne podrazumijeva dostavljanje informacija čije je otkrivanje protivno ključnim interesima država članica u pogledu nacionalne sigurnosti, javne sigurnosti ili obrane.

(17)Komisija će podupirati države članice pripremom priručnika i smjernica, kao što je priručnik o zaštiti kritične infrastrukture i javnih prostora od sustava bespilotnih zrakoplova, te alata za procjenu rizika. ESVD se poziva da provede informativne sastanke o prijetnjama kritičnoj infrastrukturi u EU-u, posebno preko Obavještajnog i situacijskog centra EU-a i njegove jedinice za otkrivanje hibridnih prijetnji, kako bi se poboljšala informiranost o stanju.

(18)Komisija će podupirati prihvaćanje rezultata projekata financiranih u okviru istraživačkih i inovacijskih programa Unije o otpornosti subjekata koji upravljaju kritičnom infrastrukturom. Komisija namjerava povećati sredstva za takvu otpornost u okviru proračuna dodijeljenog programu Obzor Europa unutar višegodišnjeg financijskog okvira za razdoblje 2021. – 2027. To bi trebalo omogućiti suočavanje s trenutačnim i budućim izazovima u tom području, kao što je osiguravanje otpornosti kritične infrastrukture na klimatske promjene, bez smanjivanja sredstava za financiranje drugih potpora za istraživanje i inovacije u području civilne sigurnosti u okviru programa Obzor Europa. Komisija će se također intenzivnije posvetiti diseminaciji rezultata relevantnih istraživačkih projekata koje financira Unija.

(19)Skupina za suradnju NIS poziva se da u suradnji s Komisijom i Visokim predstavnikom u skladu s njihovim zadaćama i odgovornostima na temelju prava Unije pojača rad s relevantnim mrežama te civilnim i vojnim tijelima na provedbi procjena rizika i izradi scenarija kiberrizika, pri čemu bi težište najprije trebalo biti na energetskoj, komunikacijskoj, prometnoj i svemirskoj infrastrukturi te međuovisnosti među sektorima i državama članicama. Pritom bi se trebali uzeti u obzir s tim povezani rizici za fizičku infrastrukturu o kojoj ovise ti sektori. Procjene i scenariji rizika trebali bi se redovito provoditi te nadopunjavati i nadograđivati postojeće ili planirane procjene rizika u tim sektorima i izbjegavati preklapanja; trebali bi poslužiti i kao temelj za rasprave o tome kako ojačati opću otpornost subjekata koji upravljaju kritičnom infrastrukturom i ukloniti slabosti.

(20)Komisija će ubrzati svoje aktivnosti za potporu pripravnosti država članica i odgovoru na kiberincidente velikih razmjera, a posebno:

(a)provesti, kao dopunu relevantnim procjenama rizika u kontekstu mrežne i informacijske sigurnosti, sveobuhvatnu studiju u kojoj se analizira stanje infrastrukture podmorskih kabela koja povezuje države članice i Europu na globalnoj razini, uključujući mapiranje, njezine kapacitete i viškove, slabe točke, rizike za dostupnost usluga i ublažavanje rizika. O rezultatima bi trebalo obavijestiti države članice;

(b)podupirati pripravnost država članica i institucija, tijela i agencija EU-a (EUIBA) na kiberincidente velikih razmjera.

(21)Komisija će intenzivnije raditi na anticipatornim mjerama okrenutima budućnosti, među ostalim u okviru Mehanizma Unije za civilnu zaštitu, u suradnji s državama članicama u skladu s člancima 6. i 10. Odluke 1313/2013/EU, te u obliku planiranja djelovanja u nepredvidivim situacijama za potporu operativnoj pripravnosti Koordinacijskog centra za odgovor na hitne situacije.

Konkretno, Komisija će:

(a)nastaviti rad u Koordinacijskom centru za odgovor na hitne situacije na anticipiranju i međusektorskom planiranju prevencije, pripravnosti i odgovora kako bi se predvidjeli poremećaji u pružanju osnovnih usluga subjekata koji upravljaju kritičnom infrastrukturom i kako bi se za njih pripremilo;

(b)povećati ulaganja u preventivne pristupe i pripravnost stanovništva u slučaju takvih poremećaja, posebno kad je riječ o kemijskim, biološkim, radiološkim i nuklearnim eksplozivnim tvarima ili drugim novonastalim prijetnjama uzrokovanima ljudskim djelovanjem;

(c)pojačati razmjenu relevantnog znanja i najbolje prakse te poboljšati osmišljavanje i provedbu aktivnosti za razvoj kapaciteta, kao što su osposobljavanja i vježbe sa subjektima koji upravljaju kritičnom infrastrukturom, i to putem postojećih struktura i stručnog znanja, kao što je Mreža znanja Unije u području civilne zaštite.

(22)Komisija će poticati upotrebu sredstava EU-a za nadzor (Copernicus i Galileo) za potporu državama članicama u praćenju kritične infrastrukture i, prema potrebi, njihova neposrednog okruženja te za potporu drugim mogućnostima nadzora predviđenima u okviru Svemirskog programa Unije.

(23)Prema potrebi se agencije Unije i drugi relevantni subjekti pozivaju da u skladu sa svojim mandatima pruže potporu u pitanjima povezanima s otpornošću subjekata koji upravljaju kritičnom infrastrukturom, a to se posebno odnosi na:

(a)EUROPOL za prikupljanje informacija, kriminalističku obradu i potporu u istragama u prekograničnim aktivnostima kaznenog progona;

(b)EMSA za pitanja sigurnosti i zaštite pomorskog sektora u Uniji, uključujući usluge pomorskog nadzora za pitanja u vezi s pomorskom sigurnošću i zaštitom;

(c)EUSPA za aktivnosti u okviru Svemirskog programa Unije;

(d)ENISA za aktivnosti povezane s kibersigurnošću.

POGLAVLJE III.: BOLJI ODGOVOR

Mjere na razini država članica

(24) Države članice trebale bi:

(a)koordinirati svoj odgovor i imati pregled nad međusektorskim odgovorom na znatne poremećaje u pružanju osnovnih usluga subjekata koji upravljaju kritičnom infrastrukturom, i to u okviru kriznog mehanizma Vijeća (IPCR) kad je riječ o kritičnoj infrastrukturi od prekogranične važnosti, Plana za kiberincidente i kiberkrize velikih razmjera ili u okviru za koordinirani odgovor EU-a na hibridne kampanje u slučaju hibridne kampanje;

(b)pojačati razmjenu informacija u okviru Mehanizma Unije za civilnu zaštitu kako bi se poboljšalo rano upozoravanje i koordinirao njihov odgovor u okviru Mehanizma u slučaju takvih znatnih poremećaja, čime bi se prema potrebi osigurao brži odgovor na razini Unije;

(c)povećati svoju spremnost da putem Mehanizma Unije za civilnu zaštitu odgovore na takve znatne poremećaje, posebno ako je vjerojatno da će imati znatne prekogranične ili čak paneuropske i međusektorske posljedice;

(d)surađivati s Komisijom u daljnjem jačanju relevantnih kapaciteta za odgovor u okviru Europskih udruženih sredstava za civilnu zaštitu (ECPP) i sustava rescEU;

(e)pozvati subjekte koji upravljaju kritičnom infrastrukturom i relevantna nacionalna tijela da povećaju kapacitete tih subjekata za brzu ponovnu uspostavu osnovnih usluga;

(f)osigurati da u slučaju potrebe za ponovnom izgradnjom kritične infrastrukture takva obnovljena infrastruktura bude otporna na cijeli spektar znatnih rizika, među ostalim u nepovoljnim klimatskim scenarijima.

(25)Države članice pozivaju se da ubrzaju pripremni rad za prenošenje i primjenu Direktive NIS 2 tako što će odmah početi povećavati kapacitete nacionalnih timova za odgovor na računalne sigurnosne incidente (CSIRT-ovi) s obzirom na nove zadaće CSIRT-ova i povećani broj subjekata iz novih sektora te da ujedno brzo ažuriraju svoje strategije za kibersigurnost i što prije donesu nacionalne planove za odgovor na kiberincidente i kiberkrize.

Mjere na razini Unije

(26)Odgovor na znatne poremećaje u pružanju osnovnih usluga subjekata koji upravljaju kritičnom infrastrukturom trebali bi koordinirati stručnjaci iz država članica u pogledu otpornosti tih subjekata i odgovora na takve poremećaje, čije stručno znanje može doprinijeti funkcioniranju kriznog mehanizma Vijeća (IPCR).

(27)Komisija će blisko surađivati s državama članicama na daljnjem jačanju kapaciteta za odgovor na hitne situacije, uključujući stručnjake i zalihe sustava rescEU u okviru Mehanizma Unije za civilnu zaštitu, kako bi se poboljšala operativna pripravnost za ublažavanje neposrednih i neizravnih učinaka znatnih poremećaja u pružanju osnovnih usluga subjekata koji upravljaju kritičnom infrastrukturom.

(28)Uzimajući u obzir razvoj rizika i u suradnji s državama članicama Komisija će u kontekstu Mehanizma Unije za civilnu zaštitu:

(a)kontinuirano analizirati i testirati primjerenost i operativnu spremnost postojećih kapaciteta za odgovor;

(b)redovito preispitivati moguću potrebu za razvojem novih kapaciteta za odgovor na razini EU-a u okviru sustava rescEU;

(c)dodatno pojačati međusektorsku suradnju kako bi se osigurao odgovarajući odgovor na razini EU-a i organizirati redovite vježbe za testiranje te suradnje;

(d)dalje razvijati ERCC kao međusektorski krizni centar na razini EU-a radi koordinacije potpore pogođenim državama članicama.

(29)Komisija će u suradnji s Visokim predstavnikom te u bliskoj suradnji s državama članicama i uz potporu relevantnih agencija Unije izraditi plan za incidente i krize u vezi s kritičnom infrastrukturom u kojem se opisuju i utvrđuju ciljevi i načini suradnje između država članica i institucija, tijela, ureda i agencija EU-a u odgovoru na incidente povezane s kritičnom infrastrukturom, posebno ako oni podrazumijevaju znatne poremećaje u pružanju osnovnih usluga za unutarnje tržište. U okviru tog plana trebalo bi iskoristiti postojeće aranžmane za integrirani politički odgovor na krizu (IPCR) za koordinaciju odgovora.

(30)Komisija će surađivati s dionicima i stručnjacima na mogućim mjerama za oporavak od incidenata u vezi s infrastrukturom podmorskih kabela, koje će se predstaviti zajedno sa studijom o pregledu stanja iz točke 20. podtočke (a), razraditi planove za nepredvidive situacije i scenarije rizika te nastaviti rad na otpornosti Unije na katastrofe u okviru Mehanizma Unije za civilnu zaštitu.

POGLAVLJE IV.: MEĐUNARODNA SURADNJA

(31)Komisija i Visoki predstavnik, prema potrebi, i u skladu sa svojim zadaćama i odgovornostima na temelju prava Unije, pružat će potporu partnerskim zemljama u jačanju otpornosti subjekata koji upravljaju kritičnom infrastrukturom na njihovu državnom području.

(32)Komisija i Visoki predstavnik, u skladu sa svojim zadaćama i odgovornostima na temelju prava Unije, ojačat će koordinaciju s NATO-om u pogledu otpornosti kritične infrastrukture putem strukturiranog dijaloga EU-a i NATO-a o otpornosti te će u tu svrhu osnovati radnu skupinu.

(33)Države članice pozivaju se da u suradnji s Komisijom i Visokim predstavnikom doprinesu ubrzanom razvoju i provedbi paketa instrumenata EU-a za obranu od hibridnih prijetnji i provedbenih smjernica navedenih u Zaključcima Vijeća o okviru za koordinirani odgovor EU-a na hibridne kampanje 25 te da ih potom iskoriste kako bi okvir za koordinirani odgovor EU-a na hibridne kampanje imao cjelovit učinak, posebno pri razmatranju i pripremi sveobuhvatnih i koordiniranih odgovora EU-a na hibridne kampanje i hibridne prijetnje, uključujući one protiv subjekata koji upravljaju kritičnom infrastrukturom.

(34)Komisija će razmotriti sudjelovanje predstavnika trećih zemalja, ako je to relevantno i primjereno, u okviru suradnje i razmjene informacija među stručnjacima država članica u području otpornosti subjekata koji upravljaju kritičnom infrastrukturom.

[…]

Sastavljeno u Strasbourgu,

(1)    COM(2020) 829 final.

(2)    COM(2020) 823 final.

(3)    SL L 345, 23.12.2008.

(4)    SL L 194, 19.7.2016.

(5)    Energetika, promet, digitalna infrastruktura, bankarstvo, infrastruktura financijskog tržišta, zdravstvo, pitka voda, otpadne vode, javna uprava, svemir i prehrambeni sektor.

(6)    Uvodna izjava 9. Direktive Vijeća 2008/114/EZ (Direktiva o EKI-ju).

(7)    11205/14.

(8)    10494/18.

(9)    COM(2022) 211.

(10)    COM(2021) 689.

(11)    Vijeće Europske unije 10016/22, 21. lipnja 2022.

(12)    Direktiva Vijeća 2008/114/EZ od 8. prosinca 2008. o utvrđivanju i označivanju europske kritične infrastrukture i procjeni potrebe poboljšanja njezine zaštite (SL L 345, 23.12.2008., str. 75.).

(13)    COM(2020) 829.

(14)    Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016., str. 1.).

(15)    COM(2020) 823.

(16)    COM(2022) 211.

(17)     Položaj u kiberprostoru: Vijeće odobrilo zaključke – Consilium (europa.eu)

(18)    https://www.regeringen.se/494477/contentassets/e5f13bec9b1140038eed9a3d0646f8cf/joint-call-to-reinforce-the-eus-cybersecurity-capabilities.pdf

(19)    Odluka br. 1313/2013/EU Europskog parlamenta i Vijeća od 17. prosinca 2013. o Mehanizmu Unije za civilnu zaštitu (SL L 347, 20.12.2013., str. 924.).

(20)     5g_eu_toolbox_72D70AC7-A9E7-D11D-BE17B0ED8A49D864_64468.pdf

(21)     com_2022_60_1_en_act_contribution_european_defence.pdf (europa.eu)

(22)    Vijeće Europske unije, 7371/22, 21. ožujka 2022.

(23)    COM(2020) 595 final.

(24)     5g_eu_toolbox_72D70AC7-A9E7-D11D-BE17B0ED8A49D864_64468.pdf

(25)     Zaključci Vijeća o okviru za koordinirani odgovor EU-a na hibridne kampanje – Consilium (europa.eu)