Brüsszel, 2023.9.6.

COM(2023) 526 final

2023/0318(NLE)

Javaslat

A TANÁCS AJÁNLÁSA

a számottevő határokon átnyúló jelentőséggel bíró kritikus infrastruktúrák zavaraira való koordinált, uniós szintű reagálásról szóló tervről

(EGT-vonatkozású szöveg)


INDOKOLÁS

1.A JAVASLAT HÁTTERE

A javaslat indokai és céljai

A jelenlegi geopolitikai környezetben, amelyet egyre nagyobb instabilitás jellemez, különösen Oroszország Ukrajna elleni agressziós háborúja és a biztonsági fenyegetések egyre összetettebbé válása, valamint az olyan éghajlatváltozási hatások miatt, mint a szokatlan éghajlati események növekedése vagy a vízhiány, az Uniónak továbbra is ébernek kell maradnia és folyamatosan alkalmazkodnia kell. Az uniós polgárok, vállalkozások és hatóságok függenek a kritikus infrastruktúráktól 1 , mivel az ilyen infrastruktúrát üzemeltető szervezetek alapvető szolgáltatásokat nyújtanak. E szolgáltatások kulcsfontosságúak az alapvetően fontos társadalmi funkciók, a gazdasági tevékenységek, a népegészségügy és a közbiztonság fenntartása, illetve a környezet szempontjából, így azok nyújtását semmi nem akadályozhatja a belső piacon. Tehát tekintettel arra, hogy ezek az alapvető szolgáltatások fontosak a belső piac szempontjából, és ebből következően a kritikus infrastruktúrát ellenállóbbá kell tenni, általánosabb szinten pedig biztosítani kell az ilyen szolgáltatásokat nyújtó kritikus szervezetek rezilienciáját – az Uniónak intézkedéseket kell hoznia e reziliencia fokozása és az ilyen alapvető szolgáltatások nyújtása során bekövetkező esetleges zavarok enyhítése érdekében. Ellenkező esetben az ilyen zavarok súlyos következményekkel járhatnak az uniós polgárokra, gazdaságainkra és a demokratikus rendszereinkbe vetett bizalomra nézve, és befolyásolhatják a belső piac zavartalan működését, különösen az ágazatok közötti és a határokon átnyúló, egyre növekvő kölcsönös függőség összefüggésében.

Az Unió már több intézkedést hozott a kritikus infrastruktúrák – különösen a határokon átnyúló infrastruktúrák – védelmének és a kritikus fontosságú szervezetek rezilienciájának fokozására annak érdekében, hogy elkerülje az általuk a belső piacon nyújtott alapvető szolgáltatások zavarait, vagy enyhítse e zavarok hatásait.

Az európai kritikus infrastruktúrák azonosításáról és kijelöléséről szóló 2008/114/EK irányelv 2 (a továbbiakban: ECI-irányelv) volt az első olyan jogi eszköz, amely létrehozott egy, az európai kritikus infrastruktúrák azonosítására és kijelölésére szolgáló uniós szintű eljárást, valamint egy közös uniós megközelítést annak értékelésére, hogy szükséges-e javítani az ilyen infrastruktúráknak az ember okozta – akár szándékos, akár véletlen – fenyegetésekkel, valamint a természeti katasztrófákkal szembeni védelmét. Az ECI-irányelv azonban csak az energia- és a közlekedési ágazatra, valamint a kritikus infrastruktúrák védelmére összpontosított, és nem írt elő szélesebb körű intézkedéseket az ilyen infrastruktúrát üzemeltető szervezetek rezilienciájának fokozására.

A belső piaci műveletek egyre inkább összekapcsolódó és határokon átnyúló jellege miatt szükségessé vált, hogy az uniós fellépés több mint két ágazatra terjedjen ki, és túlmutasson az egyes eszközökre irányuló védőintézkedéseken. Ezért került elfogadásra 2022-ben a kritikus szervezetek rezilienciájáról szóló (EU) 2022/2557 irányelv 3 (a továbbiakban: CER-irányelv), valamint az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről szóló (EU) 2022/2555 irányelv 4 (a továbbiakban: NIS 2 irányelv). A cél a kritikus szervezetek fizikai és digitális rezilienciájának átfogó biztosítása. A CER-irányelv 2023. január 16-án lépett hatályba, és célja, hogy segítse a tagállamokat a kritikus szervezetek általános rezilienciájának fokozásában, miközben megerősíti az uniós szintű koordinációt. 2024. október 18-tól az ECI-irányelv helyébe lép, amely időpontig a tagállamoknak meg kell hozniuk a CER-irányelvnek való megfeleléshez szükséges intézkedéseket. A CER-irányelvet 11 ágazatra 5 kell alkalmazni. Az irányelv a kritikus infrastruktúra védelméről az ilyen kritikus infrastruktúrát üzemeltető kritikus szervezetek rezilienciájának tágabb fogalmára helyezi át a hangsúlyt, és az incidensek előtti, alatti és utáni helyzettel is foglalkozik. A NIS 2 irányelv szintén 2023. január 16-án lépett hatályba, és korszerűsíti a meglévő jogi keretet a megnövekedett digitalizációhoz és a kiberbiztonsági fenyegetések változó környezetéhez való alkalmazkodás érdekében. A NIS 2 irányelv a kiberbiztonsági szabályok hatályát új ágazatokra és szervezetekre is kiterjeszti, valamint javítja a köz- és magánszervezetek, az illetékes hatóságok és az Unió egészének rezilienciáját és az eseményekre való reagálási képességét.

A CER-irányelv rendelkezéseket tartalmaz az eseményeknek a kritikus szervezet által az illetékes nemzeti hatóságnak történő bejelentésére, a (potenciálisan) érintett más tagállamok illetékes nemzeti hatóság általi értesítésére, valamint a Bizottság abban az esetben történő értesítésére vonatkozóan, ha az esemény hat vagy több tagállamot érint. A CER-irányelv bizonyos eseménybejelentési kötelezettségeket ír elő, amennyiben az esemény jelentős hatást gyakorol vagy gyakorolhat a kritikus szervezetekre és az alapvető szolgáltatások egy vagy több más tagállam számára vagy tagállamban történő nyújtásának folytonosságára 6 .

Amint azt az Északi Áramlat gázvezetékei ellen 2022 szeptemberében elkövetett szabotázsakció is mutatja, a kritikus infrastruktúrák működésének biztonsági környezete jelentősen megváltozott, és uniós szinten további sürgős fellépésre van szükség a kritikus infrastruktúrák rezilienciájának fokozása érdekében, nemcsak a felkészültség, hanem a koordinált reagálás tekintetében is.

Ezzel összefüggésben fogadták el 2022. december 8-án – a Bizottság javaslata alapján – a kritikus infrastruktúrák rezilienciájának megerősítését célzó összehangolt uniós megközelítésről szóló tanácsi ajánlást 7 (a továbbiakban: a kritikus infrastruktúrák rezilienciájáról szóló ajánlás). Az említett ajánlás többek között kiemeli, hogy uniós szinten összehangoltan és hatékonyan kell reagálni az alapvető szolgáltatások nyújtását fenyegető jelenlegi és jövőbeli kockázatokra. Konkrétabban, a Tanács felkérte a Bizottságot, hogy dolgozzon ki egy tervet „a számottevő határokon átnyúló jelentőséggel bíró kritikus infrastruktúrák zavaraira való koordinált reagálásról”. Az ajánlás megemlíti, hogy a tervnek összhangban kell lennie a hibrid fenyegetésekkel szembeni fellépésre vonatkozó uniós protokollal 8 , figyelembe kell vennie a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról szóló (EU) 2017/1584 bizottsági ajánlást 9 (a továbbiakban: kiberbiztonsági terv), és tiszteletben kell tartania az uniós politikai szintű integrált válságelhárítási mechanizmust (a továbbiakban: IPCR) 10 .

Ennek fényében az újabb tanácsi ajánlásra irányuló jelenlegi javaslatnak részét képezi egy ilyen terv. A javaslat célja, hogy kiegészítse a jelenlegi jogi keretet azáltal, hogy ismerteti a kritikus infrastruktúrák számottevő határokon átnyúló jelentőséggel bíró zavaraira való uniós szintű koordinált reagálást, melynek során fel kell használni a meglévő uniós szintű mechanizmusokat. A javaslat ismerteti konkrétan a terv hatókörét és célkitűzéseit, valamint azt, hogy milyen szereplők, folyamatok és meglévő eszközök állnak rendelkezésre az uniós szinten összehangolt reagáláshoz a kritikus infrastruktúrák számottevő határokon átnyúló jelentőséggel bíró zavarai esetén, valamint ismerteti azt is, hogy ilyen helyzetekben milyen módon tudnak együttműködni a tagállamok és az Unió intézményei, szervei, hivatalai és ügynökségei.

Összhang a szabályozási terület jelenlegi rendelkezéseivel

Ez a tanácsi ajánlásra irányuló javaslat összhangban van a kritikus infrastruktúrák védelmére és a kritikus szervezetek rezilienciájára vonatkozó jelenlegi jogi kerettel – az ECI-irányelvvel, illetve a CER-irányelvvel, valamint a kritikus infrastruktúrák rezilienciájáról szóló ajánlással –, és kiegészíti azokat, mivel célja, hogy kiegészítő jelleggel biztosítsa a tagállamok közötti, valamint a tagállamok és az uniós intézmények, szervek, hivatalok és ügynökségek közötti koordinációt a számottevő határokon átnyúló jelentőséggel bíró kritikus infrastruktúrák működését és az alapvető szolgáltatások nyújtását megzavaró események kezelése tekintetében. A javaslat felhasználja az uniós szinten meglévő struktúrákat és mechanizmusokat, többek között a CER-irányelv által létrehozott struktúrákat és mechanizmusokat, nevezetesen az illetékes hatóságok és a kritikus szervezetek rezilienciájával foglalkozó csoport közötti együttműködést, amely csoportot a CER-irányelv hozta létre azért, hogy az támogassa a Bizottságot és megkönnyítse a tagállamok közötti együttműködést, valamint a CER-irányelvvel kapcsolatos kérdésekkel kapcsolatos információcserét.

Ez a tanácsi ajánlásra irányuló javaslat összhangban van a NIS 2 irányelvben meghatározott uniós kiberbiztonsági kerettel is, és kiegészíti azt.

E javaslat célja, hogy a kritikus szervezetek rezilienciája és a kritikus infrastruktúrák védelme területén a kiberbiztonsági tervhez hasonló, kritikus infrastruktúrákra vonatkozó tervet terjesszen elő.

A melléklet I. része 4. pontjának b) alpontja ismerteti a kiberbiztonsági tervvel való kapcsolódási pontokat; ez utóbbi terv azokkal a nagyszabású kiberbiztonsági eseményekkel foglalkozik, amelyek következtében olyan kiterjedt zavar keletkezik, amellyel az érintett tagállam saját maga nem képes megbirkózni, illetve amelyek két vagy több tagállamot vagy uniós intézményt érintenek, és technikai vagy politikai szempontból olyan szerteágazó és jelentős hatásuk van, hogy kellő időben történő szakpolitikai koordinációt és uniós szintű politikai reagálást tesznek szükségessé. A NIS 2 irányelv fogalommeghatározása szerint az „esemény” olyan esemény, amely veszélyezteti a hálózati és információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, hitelességét, sértetlenségét vagy bizalmasságát („kiberbiztonsági esemény”).

A CER-irányelv és a NIS 2 irányelv szerinti illetékes hatóságok kötelesek együttműködni és információt cserélni a kiberbiztonsági eseményekkel és a kritikus szervezeteket érintő eseményekkel kapcsolatban, többek között a meghozott releváns intézkedéseket illetően. Abban az esetben, ha egy kritikus infrastruktúrát érintő jelentős esemény és egy nagyszabású kiberbiztonsági esemény ugyanazt a szervezetet érinti, a lehetséges reagálást össze kell hangolni az érintett szereplők között.

A javaslat összhangban van a hibrid fenyegetésekkel szembeni fellépésre vonatkozó uniós protokollal, amely hibrid események esetén alkalmazandó. A melléklet I. része 4. pontjának a) alpontja bemutatja az uniós protokollhoz való kapcsolódási pontokat, beleértve azt is, hogy melyik eszköz alkalmazandó a kritikus infrastruktúrát érintő, hibrid dimenzióval rendelkező jelentős esemény esetén.

A javaslat összhangban van más, már meglévő uniós szintű válságkezelési mechanizmusokkal is, például a Tanács uniós politikai szintű integrált válságelhárítási mechanizmusával, a Bizottság belső válságkezelési koordinációs folyamatával, az ARGUS-szal 11 és az uniós polgári védelmi mechanizmussal 12 (a továbbiakban: UCPM) – amelyet annak Veszélyhelyzet-reagálási Koordinációs Központja (a továbbiakban: ERCC) támogat –, valamint az Európai Külügyi Szolgálat válságelhárítási mechanizmusával.

A javaslat összhangban van más vonatkozó ágazati jogszabályokkal is, és különösen azon konkrét intézkedéseikkel, amelyek az érintett ágazatokban működő szervezetek által zavarok esetén teendő válaszlépések bizonyos vonatkozásait szabályozzák.

2.JOGALAP, SZUBSZIDIARITÁS ÉS ARÁNYOSSÁG

Jogalap

A javaslat az Európai Unió működéséről szóló szerződés (a továbbiakban: EUMSZ) 114. cikkén alapul, amely a jogszabályoknak a belső piac javítása érdekében történő közelítését foglalja magában, valamint az EUMSZ 292. cikkén, amely meghatározza az ajánlások elfogadására vonatkozó releváns szabályokat.

Az EUMSZ 114. cikkének anyagi jogalapként való választását az indokolja, hogy a javasolt tanácsi ajánlás célja összehangolt reagálást biztosítani a kritikus infrastruktúrák számottevő határokon átnyúló jelentőséggel bíró zavarai esetén. Az ilyen zavarok több tagállamot érintenek, és a belső piac működését is érinthetik, mivel az Unió gazdaságában az infrastruktúra és az ágazatok között egyre növekednek a kölcsönös függőségek. A zavarokra való jobb reagálás viszont elkerülhetővé teszi a belső piac működésének zavarait, mivel ezek a kritikus infrastruktúrák és az általuk nyújtott alapvető szolgáltatások alapvető fontosságúak az alapvetően fontos társadalmi funkciók, a gazdasági tevékenységek, a népegészségügy és a közbiztonság, illetve a környezet fenntartása szempontjából.

A javaslat kiegészítené az ECI-irányelvet és a CER-irányelvet, amelyek szintén az EUMSZ 114. cikkén alapulnak. A kritikus infrastruktúrák rezilienciájáról szóló ajánlás – a most javasolt ajánláshoz hasonlóan – szintén az EUMSZ 114. és 292. cikkén alapul.

Szubszidiaritás (nem kizárólagos hatáskör esetén)

Míg a kritikus infrastruktúrák vagy az adott kritikus infrastruktúrát üzemeltető kritikus szervezetek által nyújtott szolgáltatások zavaraira való reagálás elsősorban a tagállamok felelőssége, az Unió fontos szerepet játszik a kritikus infrastruktúrák számottevő határokon átnyúló jelentőséggel bíró zavara esetén, mivel az ilyen zavar az egységes piacon belül a gazdasági tevékenység több vagy akár valamennyi területére, valamint az Unió biztonságára és nemzetközi kapcsolataira is hatással lehet. A belső piac működésének biztosítása érdekében a kritikus infrastruktúrák számottevő határokon átnyúló jelentőséggel bíró zavarai esetén az uniós szintű koordináció nemcsak helyénvaló, hanem szükséges is, mivel az ilyen uniós szintű összehangolt reagálás a közösen kialakított helyzetismeret, az összehangolt nyilvános tájékoztatás és a zavar belső piaci következményeinek enyhítése révén elő fogja segíteni a zavarra adott tagállami reagálást.

Arányosság

Ez a javaslat összhangban van az Európai Unióról szóló szerződés 5. cikkének (4) bekezdésében meghatározott arányosság elvével.

A javasolt tanácsi ajánlás sem tartalmilag, sem formailag nem lépi túl a benne foglalt célkitűzések eléréséhez szükséges mértéket. A javasolt intézkedések arányosak a kitűzött célokkal, amelyek az uniós szintű összehangolt reagálás biztosítására összpontosítanak a kritikus infrastruktúra vagy az adott kritikus infrastruktúrát üzemeltető kritikus szervezetek által nyújtott szolgáltatások számottevő határokon átnyúló jelentőséggel bíró zavara esetén. Ez a javasolt összehangolt reagálás arányos a tagállamok nemzeti jog szerinti előjogaival és kötelezettségeivel. A kritikus infrastruktúrát vagy az alapvető szolgáltatások kritikus szervezetek általi nyújtását megzavaró események gyakran nem érik el a kritikus infrastruktúrát érintő jelentős esemény küszöbértékét, és nemzeti szinten hatékonyan kezelhetők. Ezért az e javaslatban előírt mechanizmus alkalmazása a több tagállamot érintő nagyobb zavarokra korlátozódik, amelyek számottevő határokon átnyúló jelentőséggel bírnak.

A jogi aktus típusának megválasztása

A fent említett célkitűzések elérése érdekében az EUMSZ előírja – konkrétan a 292. cikkben –, hogy a Tanácsnak a Bizottság javaslata alapján ajánlásokat kell elfogadnia. Az EUMSZ 288. cikkének megfelelően az ajánlások nem bírnak kötelező erővel. A tanácsi ajánlás ebben az esetben megfelelő eszköz, mivel jelzi a tagállamok elkötelezettségét az abban foglalt intézkedések iránt, és szilárd alapot biztosít a kritikus infrastruktúrák jelentős zavarai esetén az összehangolt reagálás terén folytatott együttműködéshez. Ily módon a javasolt ajánlás kiegészítené a kötelező jogi keretet (különösen a CER-irányelvet), valamint a kritikus infrastruktúrák rezilienciájára vonatkozó, korábban elfogadott ajánlást – amely felszólít ilyen kiegészítő intézkedések elfogadására –, ugyanakkor teljes mértékben tiszteletben tartja a tagállamok hatáskörét a szóban forgó területen.

3.AZ UTÓLAGOS ÉRTÉKELÉSEK, AZ ÉRDEKELT FELEKKEL FOLYTATOTT KONZULTÁCIÓK ÉS A HATÁSVIZSGÁLATOK EREDMÉNYEI

Az érdekelt felekkel folytatott konzultációk

A javaslat kidolgozása során konzultációra került sor a tagállamokkal, valamint az uniós intézményekkel és ügynökségekkel. Figyelembe vették továbbá a tagállami szakértőknek mind a 2023. április 24-i munkaértekezleten kifejtett, mind a munkaértekezletet követően írásban elküldött véleményét.

Általános egyetértés alakult ki a tekintetben, hogy a jelenlegi fenyegetettségi helyzetben hasznos a kritikus infrastruktúrák számottevő határokon átnyúló jelentőséggel bíró zavaraira való uniós szintű reagálás fokozottabb összehangolása, tiszteletben tartva ugyanakkor a tagállamok e területre vonatkozó hatáskörét és az érzékeny információk bizalmas jellegét. Egyetértés alakult ki abban is, hogy el kell kerülni az eszközök megkettőzését, és megfelelően ki kell használni a koordinációra, az információmegosztásra és a reagálásra szolgáló meglévő uniós szintű mechanizmusokat.

Míg egyes tagállamok pozitívan vélekedtek a kritikus infrastruktúrákra vonatkozó terv szélesebb hatályáról, mások úgy vélték, hogy a CER-irányelvben a különös európai jelentőségű kritikus szervezetek meghatározásához előírt, hat vagy több tagállamra vonatkozó küszöbérték elegendő, és nem szükséges, hogy a hatály kiterjedjen egy másik eseménytípusra is. Néhány tagállam szerint fontos lenne, hogy adott esetben bevonják az alapvető szolgáltatásokat nyújtó kritikus infrastruktúrák üzemeltetőit, tekintettel szakértelmükre és a kiberdimenzió figyelembevételének fontosságára.

A javaslat egyes rendelkezéseinek részletes magyarázata

A tanácsi ajánlásra irányuló javaslat egy fő részből és egy mellékletből áll.

A fő rész 11 pontból áll, melyek a következők:

Az 1. pont megállapítja, hogy megerősített együttműködésre van szükség a kritikus infrastruktúrákat érintő jelentős eseményekre való reagálás tekintetében, összhangban az ezen előterjesztett javaslatban szereplő, kritikus infrastruktúrákra vonatkozó tervvel, ideértve az ahhoz tartozó melléklet releváns részeit is.

A 2. pont meghatározza a kritikus infrastruktúrákra vonatkozó terv hatályát, amely a zavart okozó események két olyan típusát határozza meg, melyek esetében a kritikus infrastruktúrákra vonatkozó tervet kell alkalmazni: az esemény jelentős zavart keltő hatással jár alapvető szolgáltatások hat vagy több tagállam számára vagy hat vagy több tagállamban történő nyújtására nézve; vagy jelentős zavart keltő hatással jár két vagy több tagállamban, és az ajánlásban említett érintett szereplők egyetértenek abban, hogy az esemény jelentős hatása miatt uniós szintű koordinációra van szükség.

A 3. pont meghatározza azokat a releváns szereplőket, amelyeknek részt kell venniük a kritikus infrastruktúrákra vonatkozó terv végrehajtásában, valamint meghatározza a kritikus infrastruktúrákra vonatkozó terv működési szintjeit (operatív, stratégiai/politikai). Az ajánlás melléklete ezeket részletesebben ismerteti.

A 4. pont azt ajánlja, hogy a kritikus infrastruktúrákra vonatkozó tervet a mellékletben ismertetett egyéb vonatkozó eszközökkel összhangban alkalmazzák.

Az 5. pont azt ajánlja a tagállamoknak, hogy hatékonyan reagáljanak nemzeti szinten a kritikus infrastruktúrák jelentős zavaraira.

A 6. pont azt ajánlja, hogy az érintett szereplők hozzanak létre vagy jelöljenek ki kapcsolattartó pontokat, amelyek támogatják a kritikus infrastruktúrákra vonatkozó terv használatát. Amennyiben lehetséges, ezeknek a kapcsolattartó pontoknak meg kell egyezniük a CER-irányelv szerinti egyedüli kapcsolattartó pontokkal.

A 7. pont a kritikus infrastruktúrát érintő jelentős esemény esetén történő információáramlásra vonatkozik.

A 8. pont ismerteti az információcsere módját.

A 9. pont azt ajánlja, hogy a kritikus infrastruktúrákra vonatkozó terv működését gyakorlatok révén teszteljék.

A 10. pont azt ajánlja, hogy a tanulságokat vitassák meg a kritikus szervezetek rezilienciájával foglalkozó csoportban, amelynek ajánlásokat is tartalmazó jelentést kell készítenie. Jelentést a Bizottságnak kell elfogadnia.

A 11. pont azt ajánlja a tagállamoknak, hogy a Tanácsban vitassák meg a jelentést.

A melléklet ismerteti a célkitűzéseket, az elveket, a fő szereplőket, a meglévő válságelhárítási mechanizmusokkal való kölcsönhatást és a kritikus infrastruktúrákra vonatkozó terv működését és annak két együttműködési módját: az információcserét és a reagálást.

2023/0318 (NLE)

Javaslat

A TANÁCS AJÁNLÁSA

a számottevő határokon átnyúló jelentőséggel bíró kritikus infrastruktúrák zavaraira való koordinált, uniós szintű reagálásról szóló tervről

(EGT-vonatkozású szöveg)

AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. és 292. cikkére,

tekintettel az Európai Bizottság javaslatára,

mivel:

(1)A belső piac és a társadalom egészének zavartalan működése szempontjából alapvetően fontosak a reziliens kritikus infrastruktúrák és az alapvető társadalmi funkciók, a gazdasági tevékenységek, a népegészségügy és a közbiztonság, illetve a környezet fenntartása szempontjából alapvető fontosságú szolgáltatásokat nyújtó reziliens kritikus szervezetek.

(2)A jelenlegi folyamatosan változó kockázati környezetben, valamint tekintettel az infrastruktúra és az ágazatok közötti egyre növekvő kölcsönös függőségekre, és tágabban nézve az ágazatokon és határokon átnyúló összeköttetésekre, átfogó és összehangolt módon kell kezelni és erősíteni a kritikus infrastruktúrák védelmét és az ilyen infrastruktúrát üzemeltető kritikus szervezetek rezilienciáját.

(3)Egy olyan esemény, amely megzavarja a kritikus infrastruktúra működését, és ezáltal lehetetlenné teszi vagy súlyosan akadályozza az alapvető szolgáltatások nyújtását, jelentős határokon átnyúló hatásokkal járhat, és negatív hatást gyakorolhat a belső piacra. A célzott, arányos és hatékony megközelítés biztosítása érdekében intézkedéseket kell hozni különösen a kritikus infrastruktúrát érintő, ezen ajánlásban meghatározott jelentős események kezelésére, ideértve például azokat a helyzeteket, amikor az esemény által okozott zavar hosszú ideig tart, vagy jelentős kaszkádhatással járhat ugyanazon vagy más ágazatokban vagy tagállamokban.

(4)A kritikus infrastruktúrát érintő jelentős eseményekre való összehangolt reagálás elengedhetetlen a belső piac jelentős zavarainak elkerülése és ezen alapvető szolgáltatások nyújtásának mielőbbi helyreállítása érdekében, mivel az ilyen események súlyos következményekkel járhatnak az Unió gazdaságára és polgáraira nézve. Az ilyen eseményekre való időben történő és eredményes uniós szintű reagáláshoz az összes érintett szereplő közötti gyors és eredményes együttműködésre, valamint uniós szinten támogatott összehangolt fellépésre van szükség. Az ilyen reagálás feltétele ezért a korábban létrehozott és – a lehetséges mértékig – jól kipróbált együttműködési eljárások és mechanizmusok megléte, amelyek egyértelműen meghatározzák a kulcsszereplők felelősségi körét és feladatait nemzeti és uniós szinten.

(5)Míg a kritikus infrastruktúrát érintő jelentős biztonsági eseményekre való reagálás elsődlegesen a tagállamok és a kritikus infrastruktúrát üzemeltető és alapvető szolgáltatásokat nyújtó szervezetek felelőssége, a számottevő határokon átnyúló jelentőséggel bíró zavarok esetén helyénvaló az uniós szintű fokozott koordináció. Az időben történő és hatékony reagálás nemcsak a nemzeti mechanizmusok tagállamok általi alkalmazásától függ, hanem az uniós szinten támogatott összehangolt fellépéstől is, beleértve a megfelelő, gyors és eredményes együttműködést is.

(6)Az európai kritikus infrastruktúrák védelmét jelenleg a 2008/114/EK tanácsi irányelv 13 szabályozza, amely csak két ágazatra terjed ki, nevezetesen a közlekedésre és az energiára. Ez az irányelv eljárást hoz létre az európai kritikus infrastruktúrák azonosítására és kijelölésére, valamint közös megközelítést alakít ki annak értékelésére vonatkozóan, hogy szükséges-e ezen infrastruktúrák védelmét javítani. Az irányelv jelenti a központi pillérét a kritikus infrastruktúrák védelmére vonatkozó, a Bizottság által 2006-ban elfogadott európai programnak 14 (a továbbiakban: EPCIP), amely európai szintű, minden veszélyre kiterjedő keretet hozott létre a kritikus infrastruktúrák védelmére.

(7)Annak érdekében, hogy a kritikus infrastruktúra védelmén túlmutatva általánosabban véve biztosítva legyen az ilyen infrastruktúrát üzemeltető, a belső piacon alapvető szolgáltatásokat nyújtó kritikus szervezetek rezilienciája, az (EU) 2022/2557 európai parlamenti és tanácsi irányelv 15 2024. október 18-tól a 2008/114/EK irányelv helyébe lép. Az (EU) 2022/2557 irányelv 11 ágazatra terjed ki, és a tagállamok és a kritikus szervezetek számára a reziliencia növelését célzó kötelezettségeket ír elő, továbbá előírja a tagállamok közötti és a Bizottsággal való együttműködést, valamint azt, hogy a Bizottság támogassa a nemzeti hatóságokat és a kritikus szervezeteket, a tagállamok pedig támogassák a kritikus szervezeteket.

(8)Az Északi Áramlat gázvezetékei elleni szabotázsakciót követően uniós szinten több reziliencianövelő intézkedésre van szükség a kritikus infrastruktúrák tekintetében. Ezért a Bizottság javaslata alapján a Tanács elfogadta a kritikus infrastruktúrák rezilienciájának megerősítését célzó összehangolt uniós megközelítésről szóló ajánlást (a továbbiakban: 2023/C 20/01 ajánlás) 16 , amelynek célja a felkészültség, a reagálás és a nemzetközi együttműködés fokozása ezen a területen. Az említett ajánlás kiemelte többek között azt, hogy uniós szinten összehangoltan és hatékonyan kell reagálni az alapvető szolgáltatások nyújtását fenyegető kockázatokra.

(9)Ezért a meglévő jogi keretet ki kell egészíteni egy újabb tanácsi ajánlással, amely meghatározza a számottevő határokon átnyúló jelentőséggel bíró kritikus infrastruktúrák zavaraira való koordinált reagálásról szóló tervet (a továbbiakban: a kritikus infrastruktúrákra vonatkozó terv), a meglévő uniós szintű intézkedések felhasználásával.

(10)Ezt az ajánlást a következetesség biztosítása és az átfedések elkerülése érdekében össze kell hangolni a 2023/C 20/01 ajánlással. Ezért ez az ajánlás nem terjedhet ki a teljes válságkezelési ciklus egyéb elemeire, nevezetesen a megelőzésre, a felkészültségre és a helyreállításra.

(11)Ennek az ajánlásnak ki kell egészítenie az (EU) 2022/2557 irányelvet, különösen a koordinált reagálás tekintetében, és azt az említett irányelvvel és az uniós jog egyéb alkalmazandó szabályaival való összhang biztosítása mellett kell végrehajtani. Ezért ennek az ajánlásnak támaszkodnia kell az említett irányelvben foglalt fogalmakra, eszközökre és folyamatokra, például a kritikus szervezetek rezilienciájával foglalkozó csoportra, amely az említett irányelvben meghatározott feladatainak keretein belül jár el, valamint a kapcsolattartó pontokra is, és amennyire lehetséges, fel kell ezeket használnia. Ezen túlmenően az ezen ajánlásban használt „kritikus infrastruktúra” fogalmát a 2023/C 20/01 ajánlás (7) preambulumbekezdésében meghatározottakkal megegyező módon kell értelmezni, azaz magában foglalja a valamely tagállam által nemzeti szinten azonosított vagy a 2008/114/EK irányelv alapján európai kritikus infrastruktúraként kijelölt releváns kritikus infrastruktúrát, valamint az (EU) 2022/2557 irányelv alapján azonosítandó kritikus szervezeteket. Az (EU) 2022/2557 irányelvvel való összhang biztosítása érdekében az ezen ajánlásban használt fogalmakat ezért úgy kell értelmezni, hogy azok az említett irányelvben foglaltakkal azonos jelentéssel bírnak. Például a reziliencia fogalmát az említett irányelv 2. cikkének 2. pontjában meghatározottak szerint úgy kell érteni, mint kritikus szervezet azon képességét, hogy megelőzzön egy olyan eseményt – illetve azzal szemben védekezzen, arra reagáljon, annak ellenálljon, azt enyhítse, tompítsa, ahhoz alkalmazkodjon, és abból helyreálljon –, amely jelentősen megzavarja vagy megzavarhatja az alapvető szolgáltatások – azaz az alapvető társadalmi és gazdasági funkciók, a közbiztonság és közvédelem, a népegészségügy vagy a környezet fenntartása szempontjából kulcsfontosságú szolgáltatások – nyújtását a belső piacon.

(12)Emellett a „jelentős zavart keltő hatás” fogalmát az (EU) 2022/2557 irányelv 7. cikkének (1) bekezdésében foglalt kritériumok fényében kell értelmezni, amelyek a következők: i. az érintett szervezet által nyújtott alapvető szolgáltatásra támaszkodó felhasználók száma; ii. az irányelv mellékletében meghatározott egyéb ágazatok és alágazatok függésének mértéke a szóban forgó alapvető szolgáltatástól; iii. azon hatás, amelyet az események – mértéküket és időtartamukat tekintve – gyakorolhatnak a gazdasági és társadalmi tevékenységekre, a környezetre, a közvédelemre és -biztonságra, vagy a lakosság egészségére; iv. a szervezet piaci részesedése az érintett alapvető szolgáltatás vagy alapvető szolgáltatások piacán; v. azon földrajzi terület, amelyet egy esemény érinthet, ideértve a határokon átnyúló hatásokat is, figyelembe véve bizonyos típusú, olyan földrajzi területeknek az elszigeteltség mértékével összefüggő sebezhetőségét, mint például a szigeti régiók, a távoli régiók és a hegyvidéki területek; vi. a szervezet jelentősége az alapvető szolgáltatás elégséges szintjének fenntartásában, figyelembe véve az adott alapvető szolgáltatás nyújtásához rendelkezésre álló egyéb lehetőségeket is.

(13)A hatékonyság és az eredményesség érdekében a kritikus infrastruktúrákra vonatkozó tervnek teljes mértékben koherensnek és interoperábilisnak kell lennie a hibrid fenyegetésekkel szembeni fellépés felülvizsgált uniós operatív protokolljával 17 , és figyelembe kell vennie a nagyszabású, határokon átnyúló kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról szóló, az (EU) 2017/1584 bizottsági ajánlásban 18 meghatározott meglévő tervet (a továbbiakban: kiberbiztonsági terv), valamint az Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózatának (EU-CyCLONe) az (EU) 2022/2555 európai parlamenti és tanácsi irányelvben 19 meghatározott megbízatását, és el kell kerülnie a struktúrák és tevékenységek megkettőzését. A tervnek teljes mértékben tiszteletben kell tartania továbbá a reagálás koordinálása tekintetében a Tanács uniós politikai szintű integrált válságelhárítási mechanizmusát 20 (a továbbiakban: IPCR).

(14)Ez az ajánlás a már meglévő uniós válságkezelési mechanizmusokra, nevezetesen a Tanács IPCR-mechanizmusára, a Bizottság ARGUS belső válságkezelési koordinációs folyamatára 21 és a Veszélyhelyzet-reagálási Koordinációs Központ (a továbbiakban: ERCC) 22  által támogatott uniós polgári védelmi mechanizmusra (a továbbiakban: UCPM) 23 , az Európai Külügyi Szolgálat (a továbbiakban: EKSZ) válságreagálási mechanizmusára, valamint az egységes piaci szükséghelyzeti eszközre 24 épül, tágabb értelemben összhangban áll azokkal, és kiegészíti azokat – ugyanis ezek mindegyike szerepet játszhat a kritikus infrastruktúrák jelentős zavaraira való reagálásban.

(15)A kritikus infrastruktúrát érintő jelentős eseményre való reagálás során a fenti uniós szintű eszközök vagy mechanizmusok az azokra alkalmazandó szabályokkal és eljárásokkal összhangban alkalmazhatók, amelyeket ennek az ajánlásnak ki kell egészítenie, de nem érintheti azokat. Például továbbra is a Tanács IPCR-mechanizmusa jelenti a tagállamok közötti uniós szintű politikai koordináció fő eszközét. A Bizottságon belüli belső koordinációra az ARGUS ágazatközi válságkezelési koordinációs folyamat keretében kerül sor. Ha a válság külpolitikai vagy közös biztonság- és védelempolitikai (KBVP) dimenzióval is bír, az EKSZ válságelhárítási mechanizmusát lehet alkalmazni. Az uniós polgári védelmi mechanizmusról szóló 1313/2013/EU határozattal összhangban az uniós polgári védelmi mechanizmus keretében az Unión belül és kívül bekövetkező természeti és ember okozta katasztrófákra vagy katasztrófaveszélyekre (köztük a kritikus infrastruktúrát érintő katasztrófákra) történő operatív reagálást az ERCC szervezi, amely a Bizottság egyetlen, a hét minden napján, napi 24 órában működő, válságreagálást kezelő operatív központja. Ilyen esetekben az ERCC korai előrejelzést, értesítést, elemzést nyújthat, és támogatja az információmegosztást, valamint az uniós polgári védelmi mechanizmus valamely tagállam általi aktiválása esetén segíti az operatív segítségnyújtást, és szakértőket küld az érintett területekre. Emellett az ERCC előmozdíthatja az ágazati és ágazatközi koordinációt mind uniós szinten, mind az EU és az érintett nemzeti hatóságok között, beleértve a polgári védelemért és a kritikus infrastruktúrák rezilienciájáért felelős hatóságokat is.

(16)Bár az ezen ajánlásban meghatározott folyamatokat adott esetben figyelembe kell venni az említett egyéb eszközök vagy mechanizmusok alkalmazása során, ennek az ajánlásnak ismertetnie kell azokat az uniós szinten megtehető intézkedéseket is, amelyek a közös helyzetismerettel, a koordinált nyilvános kommunikációval, valamint – amennyiben nem alkalmazzák az említett uniós válságkoordinációs mechanizmusokat – a mechanizmusok keretén kívüli hatékony reagálással kapcsolatosak.

(17)A kritikus infrastruktúrát érintő jelentős eseményekre való reagálás jobb összehangolása érdekében meg kell erősíteni az együttműködést a tagállamok és az uniós intézmények, valamint az érintett uniós ügynökségek, szervek és hivatalok között, a meglévő mechanizmusok révén, a kritikus infrastruktúrákra vonatkozó terv keretével összhangban. A kritikus infrastruktúrákra vonatkozó terv ezért az (EU) 2022/2557 irányelvben a különös európai jelentőségű kritikus szervezetek azonosítása tekintetében meghatározott küszöbérték elérése – azaz hat vagy több tagállam érintettsége – esetén válik alkalmazandóvá, valamint akkor, ha kevesebb tagállamot érintő események is széles körű hatással járhatnak a határokon átnyúló kaszkádhatások miatt, és ezért előnyös lenne a reagálás uniós szintű koordinációja.

(18)Bár szükségesnek tűnik a kritikus infrastruktúrát érintő jelentős eseményekre való koordinált reagálás uniós szintű együttműködési keretének működtetése, az nem vonhatja el a kritikus szervezetek és az illetékes hatóságok erőforrásait az események kezelésétől, amelynek elsőbbséget kell élveznie.

(19)A kritikus infrastruktúrákra vonatkozó terv végrehajtásában részt vevő érintett szereplőket egyértelműen meg kell határozni annak érdekében, hogy egyértelmű és átfogó áttekintés álljon rendelkezésre azokról az intézményekről, szervekről, hivatalokról, ügynökségekről és hatóságokról, amelyek reagálhatnak a kritikus infrastruktúrákat érintő jelentős eseményekre.

(20)A kritikus infrastruktúrákat érintő eseményekre – köztük a jelentős eseményekre – való reagálás a tagállamok illetékes hatóságainak elsődleges felelőssége. Ez az ajánlás nem érintheti a tagállamoknak a nemzetbiztonság és védelem fenntartására vonatkozó felelősségét, vagy az egyéb alapvető állami funkciók védelmére vonatkozó hatáskörüket, különösen a közbiztonságra, a területi integritásra és a közrend fenntartására vonatkozóan, az uniós joggal összhangban. Az ajánlás továbbá nem érintheti a nemzeti folyamatokat, például a kritikus infrastruktúrák üzemeltetőinek az illetékes nemzeti hatóságokkal való kommunikációját és kapcsolattartását. Ezt az ajánlást a tagállamok között létrejött vonatkozó két- vagy többoldalú megállapodások sérelme nélkül kell alkalmazni.

(21)A kritikus infrastruktúrákra vonatkozó terv keretében folytatott eredményes és kellő időben történő együttműködéshez elengedhetetlen, hogy az érintett szereplők kapcsolattartó pontokat jelöljenek ki vagy hozzanak létre. A koherencia biztosítása érdekében a tagállamoknak mérlegelniük kell annak lehetőségét, hogy e kereten belül kapcsolattartó pontként az (EU) 2022/2557 irányelv keretében kijelölendő vagy létrehozandó egyedüli kapcsolattartó pontokat jelöljék ki.

(22)Az eredményesség érdekében a kritikus infrastruktúrákra vonatkozó terv tesztelése és alkalmazásának gyakorlása, valamint az alkalmazása után levont tanulságokról való beszámolás és e tanulságok megvitatása alapvető elemét kell, hogy képezze a kritikus infrastruktúrákat érintő jelentős eseményekre való magas szintű felkészültség fenntartásának és azon képesség biztosításának, hogy az érintett szereplők bevonásával gyorsan és kellőképp összehangoltan tudjunk reagálni.

(23)Tekintettel a Tanács IPCR válságelhárítási mechanizmusának szerkezetére, valamint tágabb értelemben az uniós szinten már meglévő válságelhárítási mechanizmusok lehetséges aktiválására, a kritikus infrastruktúrákra vonatkozó tervnek két együttműködési módot kell magában foglalnia a kritikus infrastruktúrákat érintő jelentős eseményekre való reagálás céljából. Az elsőnek az összes érintett szereplő részvételével zajló információcseréből, a nyilvános tájékoztatás összehangolásából és – amennyiben használják – a már meglévő mechanizmusok, például a Tanács IPCR-mechanizmusa vagy a Bizottságon belüli ARGUS-koordináció révén történő koordinációból kell állnia, amelyet az ERCC mint a hét minden napján 24 órában működő kapcsolattartó pont és az EKSZ válságelhárítási mechanizmusa támogat. A másodiknak az esemény nagyságrendje miatt indokolt további válaszintézkedéseket kell tartalmaznia. Ennek az együttműködésnek operatív, stratégiai/politikai szintű szerepvállalást kell magában foglalnia, amely tükrözi az (EU) 2017/1584 ajánlásban és a hibrid fenyegetésekkel szembeni fellépés uniós protokolljában foglalt szinteket annak érdekében, hogy hatékonyan és eredményesen lehessen koordinálni az intézkedéseket és reagálni a kritikus infrastruktúrát érintő jelentős eseményre. Az arányosság, a szubszidiaritás, az információk bizalmas kezelése és a kiegészítő jelleg elve alapján, valamint a hatékony együttműködés biztosítása érdekében a kritikus infrastruktúrákra vonatkozó tervnek le kell írnia, hogy az érintett szereplők hogyan alakítják ki a közös helyzetismeretet, valamint ismertetnie kell az összehangolt nyilvános tájékoztatás és a hatékony reagálás menetét.

(24)Az ezen ajánlás szerinti információcserét úgy kell végrehajtani, hogy az ne veszélyeztesse a nemzetbiztonságot vagy a kritikus infrastruktúrát üzemeltető szervezetek biztonságát és üzleti érdekeit. Ezért az érzékeny információkhoz való hozzáférés, valamint azok cseréje és kezelése során körültekintően kell eljárni, az alkalmazandó szabályokkal összhangban, különös tekintettel a felhasznált továbbítási csatornákra és tárolókapacitásokra,

ELFOGADTA EZT AZ AJÁNLÁST:

(1)A tagállamoknak, a Tanácsnak, a Bizottságnak és adott esetben az Európai Külügyi Szolgálatnak (a továbbiakban: EKSZ) és az érintett uniós szerveknek, hivataloknak és ügynökségeknek az ezen ajánlásban foglalt kritikus infrastruktúrákra vonatkozó terv keretében együtt kell működniük egymással a melléklet I. részének 1. szakaszában meghatározott célkitűzések elérése érdekében, és azért, hogy – figyelembe véve a melléklet I. részének 2. szakaszában meghatározott elveket – összehangoltan reagáljanak a kritikus infrastruktúrákat érintő jelentős eseményekre.

(2)A tagállamoknak, a Tanácsnak, a Bizottságnak és adott esetben az EKSZ-nek és az érintett uniós szerveknek, hivataloknak és ügynökségeknek a kritikus infrastruktúrákra vonatkozó tervet indokolatlan késedelem nélkül alkalmazniuk kell kritikus infrastruktúrát érintő jelentős – az alábbi hatások valamelyikével járó – esemény bekövetkeztekor:

(a)jelentős zavart keltő hatás alapvető szolgáltatások hat vagy több tagállam számára vagy hat vagy több tagállamban történő nyújtására beleértve azt az esetet is, amikor ez a hatás a kritikus szervezetek rezilienciájáról szóló (EU) 2022/2557 irányelv 17. cikke értelmében vett különös európai jelentőségű kritikus szervezetet érint 25 ; vagy

(b)jelentős zavart keltő hatás az alapvető szolgáltatások két vagy több tagállamban történő nyújtására nézve, amennyiben a Tanács soros elnökségét betöltő tagállam az említett többi tagállammal egyetértésben és a Bizottsággal konzultálva úgy ítéli meg, hogy az uniós szintű reagálás során kellő időben történő koordinációra van szükség az esemény széles körű és számottevő technikai vagy politikai jelentőségű hatása miatt.

(3)A kritikus infrastruktúrákra vonatkozó terv végrehajtásában résztvevő – a melléklet I. részének 3. szakaszával összhangban operatív, stratégiai, illetve politikai szinten a meghatározott – érintett szereplőknek törekedniük kell arra, hogy interakciójuk és együttműködésük során egymást kiegészítsék. Biztosítaniuk kell a kellő időben történő és megfelelő információcserét, beleértve a nyilvános tájékoztatás összehangolását, valamint a melléklet II. részében meghatározott koordinált reagálást.

(4)A kritikus infrastruktúrákra vonatkozó tervet az egyéb releváns eszközökre tekintettel és azokkal összhangban kell alkalmazni, a melléklet I. része 4. szakaszának megfelelően. Amennyiben egy biztonsági esemény a kritikus infrastruktúra fizikai vonatkozásait és kiberbiztonságát egyaránt érinti, biztosítani kell a szinergiákat a kiberbiztonsági tervben meghatározott vonatkozó folyamatokkal.

(5)A tagállamoknak biztosítaniuk kell, hogy nemzeti szinten és az uniós joggal összhangban eredményesen reagáljanak a kritikus infrastruktúrát érintő jelentős eseményeket követő, kritikus infrastruktúrát érintő zavarokra.

(6)A tagállamoknak, a Tanácsnak, az EKSZ-nek, a Bűnüldözési Együttműködés Európai Uniós Ügynökségének (a továbbiakban: Europol) és más érintett uniós ügynökségeknek, valamint a Bizottságnak a kritikus infrastruktúrákra vonatkozó tervvel kapcsolatos kérdésekkel foglalkozó kapcsolattartó pontot kell kijelölniük vagy létrehozniuk. A kapcsolattartó pontoknak támogatniuk kell a kritikus infrastruktúrákra vonatkozó terv alkalmazását azáltal, hogy biztosítják a szükséges információkat, és megkönnyítik a kritikus infrastruktúrát érintő jelentős eseményekre reagáló koordinációs intézkedéseket. A tagállamok esetében lehetőség szerint ezeknek a kapcsolattartó pontoknak meg kell egyezniük az (EU) 2022/2557 irányelv 9. cikkének (2) bekezdése alapján kijelölendő vagy létrehozandó egyedüli kapcsolattartó pontokkal. A Bizottság esetében az ERCC a hét minden napján, napi 24 órában biztosítja az operatív kapcsolattartást és kapacitást, valamint valós időben koordinálja, nyomon követi és támogatja a vészhelyzetekre való uniós szintű reagálást, emellett a válságreagálás operatív központjaként szolgál a tagállamok és a Bizottság számára, előmozdítva az ágazatközi megközelítést a katasztrófavédelem területén.

(7)A Tanács soros elnökségét betöltő tagállamnak – az érintett tagállamokkal egyetértésben – a 6. pontban említett kapcsolattartó pontokon keresztül valamennyi érintett szereplőt tájékoztatnia kell a kritikus infrastruktúrát érintő jelentős eseményről és a kritikus infrastruktúrákra vonatkozó terv alkalmazásáról. A kritikus infrastruktúrát érintő jelentős biztonsági eseményekkel kapcsolatos információcserének megfelelő kommunikációs csatornákon keresztül kell megvalósulnia, amelyek közé tartozik adott esetben a politikai szintű integrált válságelhárítási platform 26 (a továbbiakban: IPCR), valamint a veszélyhelyzetek kezelésére szolgáló közös kommunikációs és információs rendszeren (CECIS) – a valós idejű információcserét lehetővé tevő, webalapú figyelmeztető és értesítési alkalmazáson – keresztül az ERCC.

(8)Szükség esetén a továbbítási csatornáknak biztonságos csatornákat is magukban kell foglalniuk a nemzetbiztonság vagy az érintett szervezetek biztonsága és üzleti érdekei veszélyeztetésének elkerülése érdekében. Az ezen ajánlás melléklete II. részének 1. szakaszában ismertetett információcserét szintén a nemzetbiztonság vagy a kritikus szervezetek biztonságának és üzleti érdekeinek veszélyeztetése nélkül, az uniós joggal – különösen (EU) …/… európai parlamenti és tanácsi rendelettel 27 – összhangban kell folytatni. Különösen azt kell biztosítani, hogy az érzékeny információkhoz való hozzáférést, azok cseréjét és kezelését körültekintően végezzék. A minősített adatok kezelésére és cseréjére a rendelkezésre álló akkreditált eszközöket és megfelelő biztonsági intézkedéseket kell alkalmazni.

(9)Az érintett szereplőknek rendszeresen gyakorolniuk és tesztelniük kell a kritikus infrastruktúrákra vonatkozó terv működését és a kritikus infrastruktúrát érintő jelentős eseményekre való koordinált reagálást nemzeti, regionális és uniós szinten, például gyakorlatok keretében. Az ilyen gyakorlatokba és tesztekbe adott esetben magánszektorbeli szervezeteket is be lehet vonni. [Ezen ajánlás elfogadásának időpontja + 12 hónap]-ig sor kell, hogy kerüljön egy fizikai és kiberszempontokra is kiterjedő uniós szintű gyakorlatra.

(10)A kritikus infrastruktúrákra vonatkozó tervnek egy kritikus infrastruktúrát érintő jelentős esemény tekintetében történő alkalmazását követően az (EU) 2022/2557 irányelv 19. cikkében említett, a kritikus szervezetek rezilienciájával foglalkozó csoportnak kellő időben meg kell vitatnia az érintett szereplőkkel azokat a tanulságokat, amelyek hiányosságokat, illetve olyan területeket jelezhetnek, ahol fejlesztésre van szükség, és ezt követően jelentést kell készítenie, amely ajánlásokat tartalmaz az ilyen fejlesztések megvalósítására vonatkozóan. E jelentés elkészítését a kritikus infrastruktúrákra vonatkozó terv alkalmazásában részt vevő érintett szereplőknek támogatniuk kell. A jelentést a Bizottságnak kell elfogadnia.

(11)A tagállamoknak a 10. pontban említett jelentést a Tanács megfelelő előkészítő szerveiben vagy a Tanácsban meg kell vitatniuk.

Kelt Brüsszelben, -án/-én.

   a Tanács részéről

   az elnök

   

(1)    „Kritikus infrastruktúra”: olyan eszköz, létesítmény, berendezés, hálózat vagy rendszer, vagy valamely eszköz, létesítmény, berendezés, hálózat vagy rendszer része, amely szükséges az alapvető szolgáltatás nyújtásához (a kritikus szervezetek rezilienciájáról szóló (EU) 2022/2557 irányelv 2. cikkének (4) bekezdése).
(2)    A Tanács 2008/114/EK irányelve (2008. december 8.) az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről (HL L 345., 2008.12.23., 75. o.).
(3)    Az Európai Parlament és a Tanács (EU) 2022/2557 irányelve a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 164. o.).
(4)    Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 80. o.).
(5)    Energia, közlekedés, banki szolgáltatások, pénzügyi piaci infrastruktúra, digitális infrastruktúra, közigazgatás, világűr, egészségügy, ivóvíz, szennyvíz, valamint élelmiszer-előállítás, -feldolgozás és -forgalmazás.
(6)    A CER-irányelv 15. cikke (1) és (3) bekezdésével összhangban.
(7)    A Tanács ajánlása (2022. december 8.) a kritikus infrastruktúrák rezilienciájának megerősítését célzó összehangolt uniós megközelítésről, 2023/C 20/01 (HL C 20., 2023.1.20., 1. o.).
(8)    Közös szolgálati munkadokumentum a hibrid fenyegetésekkel szembeni fellépés uniós operatív protokolljáról, SWD(2023) 116 final.
(9)    A Bizottság (EU) 2017/1584 ajánlása (2017. szeptember 13.) a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról (HL L 239., 2017.9.19., 36. o.).
(10)    A Tanács (EU) 2018/1993 végrehajtási határozata (2018. december 11.) az uniós politikai szintű integrált válságelhárítási mechanizmusról (HL L 320., 2018.12.17., 28. o.).
(11)    A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának – Bizottsági rendelkezések az „ARGUS” általános sürgősségi riasztórendszerről, COM(2005) 662 végleges.
(12)    Az Európai Parlament és a Tanács (EU) 2021/836 rendelete (2021. május 20.) az uniós polgári védelmi mechanizmusról szóló 1313/2013/EU határozat módosításáról (HL L 185., 2021.5.26., 1. o.).
(13)    A Tanács 2008/114/EK irányelve (2008. december 8.) az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről (HL L 345., 2008.12.23., 75. o.).
(14)    A Bizottság közleménye a létfontosságú infrastruktúrák védelmére vonatkozó európai programról, COM(2006) 786 végleges, 2006. december 12.
(15)    Az Európai Parlament és a Tanács (EU) 2022/2557 irányelve (2022. december 14.) a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 164. o.).
(16)    A Tanács ajánlása (2022. december 8.) a kritikus infrastruktúrák rezilienciájának megerősítését célzó összehangolt uniós megközelítésről, 2023/C 20/01 (HL C 20., 2023.1.20., 1. o.).
(17)    Közös szolgálati munkadokumentum a hibrid fenyegetésekkel szembeni fellépés uniós operatív protokolljáról, SWD(2023) 116 final.
(18)    A Bizottság (EU) 2017/1584 ajánlása (2017. szeptember 13.) a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról (HL L 239., 2017.9.19., 36. o.).
(19)    Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 80. o.).
(20)    A Tanács (EU) 2018/1993 végrehajtási határozata (2018. december 11.) az uniós politikai szintű integrált válságelhárítási mechanizmusról (HL L 320., 2018.12.17., 28. o.).
(21)    A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának – Bizottsági rendelkezések az „ARGUS” általános sürgősségi riasztórendszerről, COM(2005) 662 végleges.
(22)    Az uniós polgári védelmi mechanizmusról (UCPM) szóló 1313/2013/EU határozat olyan, minden veszélyre kiterjedő keretet hoz létre, amely uniós szintű megelőzési, felkészültségi és reagálási intézkedéseket határoz meg az EU-n belüli és kívüli természeti és ember okozta katasztrófák, illetve katasztrófaveszély kezelése érdekében.
(23)    Az Európai Parlament és a Tanács 1313/2013/EU határozata (2013. december 17.) az uniós polgári védelmi mechanizmusról (HL L 347., 2013.12.20., 924. o.).
(24)    Az Európai Parlament és a Tanács …/… rendelete az egységes piaci szükséghelyzeti eszköz létrehozásáról és a 2679/98/EK tanácsi rendelet hatályon kívül helyezéséről, COM(2022) 459 final.
(25)    Az Európai Parlament és a Tanács (EU) 2022/2557 irányelve (2022. december 14.) a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 164. o.).
(26)    A Tanács (EU) 2018/1993 végrehajtási határozata (2018. december 11.) az uniós politikai szintű integrált válságelhárítási mechanizmusról, ST/13422/2018/INIT (HL L 320., 2018.12.17., 28. o.).
(27)    (EU) …/… rendelet az uniós intézmények, szervek, hivatalok és ügynökségek információbiztonságáról, COM(2022) 119 final.

Brüsszel, 2023.9.6.

COM(2023) 526 final

MELLÉKLET

a következőhöz:

Javaslat

A TANÁCS AJÁNLÁSA

a számottevő határokon átnyúló jelentőséggel bíró kritikus infrastruktúrák zavaraira való koordinált, uniós szintű reagálásról szóló tervről





MELLÉKLET

Ez a melléklet ismerteti annak a tervnek az elveit, célkitűzéseit, főbb szereplőit, a meglévő válságelhárítási mechanizmusokkal való kölcsönhatását, valamint működését, amelynek célja a kritikus infrastruktúrát érintő jelentős eseményekre való reagálás koordinálása, továbbá a tagállamok és az érintett uniós intézmények, szervek, hivatalok és ügynökségek között ezen események kapcsán folytatott együttműködés javítása, az alkalmazandó szabályokkal és eljárásokkal összhangban (a továbbiakban: kritikus infrastruktúrákra vonatkozó terv). Ez a terv semmilyen módon nem érinti az egyéb intézkedések szerepét és működését.

I. rész: Célkitűzések, elvek, szereplők és egyéb eszközök

1. Célkitűzések

A kritikus infrastruktúrákra vonatkozó terv célja a következő három fő célkitűzés elérése egy kritikus infrastruktúrát érintő jelentős eseményre való reagálás során:

a)Közösen kialakított helyzetismeret, mivel a megfelelő összehangolt reagáláshoz elengedhetetlen a tagállamokban előforduló, kritikus infrastruktúrát érintő jelentős eseményeknek, azok eredetének és az összes operatív és stratégiai/politikai szinten érdekelt felet érintő lehetséges következményeinek alapos ismerete.

b)Összehangolt nyilvános tájékoztatás, mivel segít enyhíteni a kritikus infrastruktúrát érintő jelentős esemény negatív hatásait, és minimálisra csökkenteni az egyes tagállamokon belül és a tagállamok között a nyilvánossághoz eljuttatott üzenetek eltéréseit. Az egyértelmű nyilvános tájékoztatás a dezinformáció következményeinek enyhítésében is fontos szerepet játszik.

c)Hatékony reagálás, mivel a tagállamok reagálásának, valamint a tagállamok közötti és az érintett uniós intézményekkel, szervekkel, hivatalokkal és ügynökségekkel folytatott együttműködésnek a megerősítése hozzájárul a kritikus infrastruktúrát érintő jelentős események hatásainak enyhítéséhez és az alapvető szolgáltatások gyors helyreállításának oly módon történő lehetővé tételéhez, hogy a lehető legkisebbre csökkenjen a további jelentős eseményekkel szembeni sebezhetőség.

2. Alapelvek

Arányosság

A kritikus infrastruktúrát és/vagy az alapvető szolgáltatások kritikus szervezetek általi nyújtását megzavaró események gyakran nem érik el a kritikus infrastruktúrát érintő jelentős esemény küszöbértékét, amelyet ezen ajánlás 2. pontja határoz meg. Ebben az esetben az ilyen események elvileg hatékonyan kezelhetők nemzeti szinten. Ezért a kritikus infrastruktúrákra vonatkozó terv alkalmazása a kritikus infrastruktúrát érintő jelentős eseményekre korlátozódik.

Szubszidiaritás

Az uniós joggal összhangban a kritikus infrastruktúrák vagy a kritikus szervezetek által nyújtott alapvető szolgáltatások zavarainak kezelése elsődlegesen a tagállamok felelőssége. Az érintett uniós intézmények, szervek, hivatalok és ügynökségek, valamint az Európai Külügyi Szolgálat (a továbbiakban: EKSZ) azonban fontos kiegészítő szerepet töltenek be az olyan, kritikus infrastruktúrát érintő jelentős események esetén, amelyek számottevő határokon átnyúló jelentőséggel bírnak, mivel az ilyen események hatással lehetnek a belső piacon a gazdasági tevékenység több vagy akár valamennyi szakaszára, az Unióban élő polgárok életére, valamint az Unió biztonságára és nemzetközi kapcsolataira.

Kiegészítő jelleg

A kritikus infrastruktúrákra vonatkozó terv figyelembe veszi és tükrözi a meglévő uniós szintű válságkezelési mechanizmusok működését, nevezetesen a Tanács uniós politikai szintű integrált válságelhárítási mechanizmusát, a Bizottság ARGUS belső válságkezelési koordinációs folyamatát, a Veszélyhelyzet-reagálási Koordinációs Központ (ERCC) által támogatott uniós polgári védelmi mechanizmust (UCPM) és az EKSZ válságelhárítási mechanizmusát. Emellett ágazati megállapodásokra is támaszkodik, beleértve a nagyszabású kiberbiztonsági események összehangolt kezelésére vonatkozóan az (EU) 2022/2555 európai parlamenti és tanácsi irányelvben 1 előírt rendelkezéseket, valamint a nagyszabású, határokon átnyúló kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálás tervében (a továbbiakban: kiberbiztonsági terv) 2 , a közlekedési kapcsolattartó pontok hálózatában 3 és az Európai Légiközlekedési Válságkoordinációs Egységben 4 meghatározott keretet.

A kritikus infrastruktúrákra vonatkozó terv épít továbbá az (EU) 2022/2557 európai parlamenti és tanácsi irányelvvel 5 létrehozott struktúrákra és mechanizmusokra, és azokkal összhangban kell alkalmazni, különösen az illetékes hatóságok közötti, a Bizottsággal való és a kritikus szervezetek rezilienciájával foglalkozó csoporton belüli együttműködés tekintetében. Figyelembe veszi emellett az érintett uniós intézményeknek, szerveknek, hivataloknak és ügynökségeknek a rájuk alkalmazandó jogi keret szerinti feladatait. A kritikus infrastruktúrákkal kapcsolatos válságreagálási tevékenységek kiegészítik az egyéb uniós, nemzeti és ágazati szintű válságkezelési mechanizmusokat, amelyek támogatják a több ágazatra kiterjedő koordinációt.

Bizalmas adatkezelés

A kritikus infrastruktúrákra vonatkozó terv figyelembe veszi a kritikus infrastruktúrákhoz és a kritikus szervezetekhez kapcsolódó minősített és nem minősített érzékeny adatok bizalmas kezelésének fontosságát.

3. Érintett szereplők

Az egyes tagállamok, valamint az a)–e) pontban említett érintett uniós intézmények, szervek, hivatalok és ügynökségek a rájuk vonatkozó szabályokkal és eljárással összhangban az érintett ágazat(ok)tól és az esemény típusától függően döntenek arról, hogy az egyes, kritikus infrastruktúrát érintő jelentős események mely(ek) az érintett szereplő(k).

a) Tagállamok

– Illetékes hatóságok (pl. a kritikus infrastruktúráért felelős hatóságok, az érintett ágazati hatóságok, az (EU) 2022/2557 irányelv 9. cikkének (2) bekezdése alapján kijelölt vagy létrehozott egyedüli kapcsolattartó pontok, az (EU) 2022/2557 irányelv 9. cikkének (1) bekezdése alapján kijelölt vagy létrehozott hatóságok),

– adott esetben az (EU) 2022/2555 irányelv 16. cikkében említett Európai Kiberválságügyi Kapcsolattartó Szervezetek Hálózata (a továbbiakban: EU-CyCLONe),

– az (EU) 2022/2555 irányelv 14. cikkében említett együttműködési csoport,

– adott esetben más érdekelt felek, beleértve a magánszektorbeli szervezeteket vagy személyeket, például a kritikus infrastruktúrák üzemeltetőit, beleértve a kritikus szervezetként azonosított szereplőket is,

– a kritikus infrastruktúrák rezilienciájáért felelős miniszterek és/vagy a szóban forgó, kritikus infrastruktúrát érintő jelentős esemény által leginkább érintett ágazatért vagy ágazatokért felelős miniszter(ek).

b) A Tanács

– A soros elnökség,

– az érintett munkacsoportok, például a polgári védelmi munkacsoport, beleértve a kritikus szervezetek rezilienciájával foglalkozó PROCIV-CER alcsoportot és az érintett munkacsoport(ok) elnöke(i) az érintett ágazat(ok)tól és az esemény jellegétől függően, mint például a kiberkérdésekkel foglalkozó horizontális munkacsoport és a reziliencia megerősítésével és a hibrid fenyegetésekkel szembeni fellépéssel foglalkozó horizontális munkacsoport,

– a Tanács Főtitkársága támogatásával a Coreper, a Politikai és Biztonsági Bizottság és az IPCR.

c) A Bizottság, beleértve a Bizottság szakértői csoportjait is

– Kijelölt illetékes szolgálat (az érintett ágazattól függően) az ERCC mint a válságreagálást irányító, a hét minden napján napi 24 órában működő operatív központ, a Migrációügyi és Uniós Belügyi Főigazgatóság mint a területért felelős szolgálat, több ágazatot érintő esemény esetén pedig a Migrációügyi és Uniós Belügyi Főigazgatóság és más érintett bizottsági szolgálatok támogatásával,

– a Kommunikációs Főigazgatóság és a szóvivői szolgálatok,

– a HERA főigazgatóság, azaz az Egészségügyi Szükséghelyzet-felkészültségi és -reagálási Hatóság,

– a kritikus szervezetek rezilienciájával foglalkozó csoport – amelynek elnöke a Bizottság képviselője (Migrációügyi és Uniós Belügyi Főigazgatóság), és amelyet az (EU) 2022/2557 irányelv hozott létre –, valamint adott esetben más releváns szakértői csoportok és bizottságok,

– az 1313/2013/EU európai parlamenti és tanácsi határozattal 6 az UCPM keretében létrehozott ERCC (az Európai Polgári Védelem és Humanitárius Segítségnyújtási Műveletek Főigazgatóságán a hét minden napján 24 órában működő operatív veszélyhelyzet-kezelési központ),

– az (EU) 2022/2555 irányelv 14. cikkében említett együttműködési csoport,

– a kiberbiztonsági helyzetismereti és -elemzési központ,

– az (EU) 2022/2371 rendelet 4. cikkében említett Egészségügyi Biztonsági Bizottság 7 ,

– a Bizottság Főtitkársága (ARGUS titkárság) és a főtitkár(helyettes) (ARGUS-folyamat), Humánerőforrásügyi Főigazgatóság (Biztonsági Igazgatóság),

– egyéb érintett bizottsági szakértői csoportok, amelyek segítik a Bizottságot a veszélyhelyzetben vagy válsághelyzetben hozott intézkedések koordinálásában,

– egyéb válságkezelési hálózatok, beleértve az ágazati hálózatokat is (pl. a Mobilitáspolitikai és Közlekedési Főigazgatóság által irányított közlekedési kapcsolattartó pontok hálózata, a kiberválsággal foglalkozó intézményközi munkacsoport 8 , az Európai Légiközlekedési Válságkoordinációs Egység),

– az elnök és/vagy az illetékes alelnök/biztos.

d) EKSZ

– Egységes információelemzési kapacitás (SIAC), amely a Helyzetelemző Központból (a továbbiakban: IntCen) és az Európai Unió Katonai Törzsének Hírszerzési Igazgatóságából (a továbbiakban: EUMS Int) áll,

– Válságelhárítási Központ (CRC),

– az Unió külügyi és biztonságpolitikai főképviselője/a Bizottság alelnöke.

e) Az érintett uniós szervek és hivatalok, valamint az érintett uniós ügynökségek, például az Europol, az érintett ágazat(ok)tól függően 9 .

4. Kölcsönhatás más releváns válságkezelési mechanizmusokkal és eszközökkel

A kritikus infrastruktúrákra vonatkozó terv olyan rugalmas eszköz, amely feltérképezi azokat a különböző intézkedéseket, amelyeket részben vagy teljes egészében meg lehet hozni a meglévő mechanizmusok felhasználásával, a kritikus infrastruktúrát érintő jelentős esemény jellegétől és súlyosságától, valamint az operatív, stratégiai/politikai koordináció szükségességétől függően.

10 a) A hibrid fenyegetésekkel szembeni fellépésre vonatkozó uniós protokoll (a továbbiakban: az uniós protokoll)

Hibrid fenyegetések 11 esetén az uniós protokoll alkalmazandó azáltal, hogy felvázolja az ilyen fenyegetések vagy kampányok esetén alkalmazandó eljárásokat és eszközöket.

Hibrid dimenzióval rendelkező, kritikus infrastruktúrát érintő jelentős esemény esetén az uniós protokoll adott esetben a kritikus infrastruktúrákra vonatkozó terv kiegészítéseként alkalmazandó, például a kritikus infrastruktúrát érintő jelentős esemény hibrid vonatkozásaira irányuló specifikus tájékoztatás, elemzés vagy kommunikáció és a külső partnerekkel való együttműködés tekintetében.

b) A nagyszabású, határokon átnyúló kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásra vonatkozó terv

Ez a kiberbiztonsági terv azokkal a nagyszabású, határokon átnyúló kiberbiztonsági eseményekkel foglalkozik, amelyek következtében olyan kiterjedt zavar keletkezik, amellyel az érintett tagállam saját maga nem képes megbirkózni, illetve amelyek két vagy több tagállamot vagy uniós intézményt érintenek, és technikai vagy politikai szempontból olyan szerteágazó és jelentős hatásuk van, hogy kellő időben történő szakpolitikai koordinációt és uniós szintű politikai reagálást tesznek szükségessé.

Olyan, kritikus infrastruktúrát érintő jelentős esemény esetén, amely egybeesik egy nagyszabású kiberbiztonsági eseménnyel, vagy úgy tűnik, hogy ahhoz kapcsolódik, az érintett tanácsi munkacsoportoknak operatív szinten meg kell határozniuk a megfelelő koordinációt, például az EU-CyCLONe-val vagy a kritikus szervezetek rezilienciájával foglalkozó csoport és az együttműködési csoport együttes ülése révén. A koordináció célja annak meghatározása, hogy mely szereplő, eszköz(ök) vagy mechanizmus(ok) járulhat(nak) hozzá a leghatékonyabban a kritikus infrastruktúrát érintő jelentős eseményre való reagáláshoz, elkerülve ugyanakkor az átfedéseket és a párhuzamos tevékenységi ágakat.

c) az uniós polgári védelmi mechanizmus és a Vészhelyzet-reagálási Koordinációs Központ

Az uniós polgári védelmi mechanizmusról szóló 1313/2013/EU határozattal összhangban az uniós polgári védelmi mechanizmus keretében az Unión belül és kívül bekövetkező természeti és ember okozta katasztrófákra vagy katasztrófaveszélyekre (köztük a kritikus infrastruktúrákat megzavaró katasztrófákra) való operatív reagálást az ERCC vezeti, amely a Bizottság egyetlen, a hét minden napján, napi 24 órában működő, válságreagálást irányító operatív központja. Ilyen esetekben az ERCC korai előrejelzést, értesítést, elemzést nyújthat és támogatja az információmegosztást, valamint az uniós polgári védelmi mechanizmus valamely tagállam általi aktiválása esetén segíti az operatív segítségnyújtást és szakértők küldését az érintett területekre. Emellett az ERCC előmozdíthatja az ágazati és ágazatközi koordinációt mind uniós szinten, mind az Unió és az érintett nemzeti hatóságok között, beleértve a polgári védelemért és a kritikus infrastruktúrák rezilienciájáért felelős hatóságokat is.

d) Egyéb ágazati vagy ágazatközi mechanizmusok és eszközök

A kritikus infrastruktúrákra vonatkozó terv nincs átfedésben más ágazati vagy ágazatközi válságkezelési eszközökkel vagy koordinációs mechanizmusokkal. Amennyiben az érintett ágazatban már léteznek ilyen eszközök vagy mechanizmusok, a kritikus infrastruktúrákra vonatkozó terv – alkalmazási körén belül – az ágazati vagy ágazatközi eszközök vagy mechanizmusok kiegészítő eszközeként használható, de nem lép azok helyébe. Az ilyen átfedések elkerülése érdekében biztosítani kell a különböző szereplők között szükséges koordinációt. Ez megvalósítható például a Bizottság belső válságkezelési koordinációs eljárása (ARGUS) keretében, amelyet az ERCC támogat, és/vagy az IPCR koordinációs ülésein.

II. rész: Információcsere és összehangolt reagálás

Az alábbiakban ismertetett intézkedések együttműködési módokból állnak, nevezetesen az információcseréből, valamint az összehangolt kommunikációból és reagálásból. Ez a struktúra megfelel a Tanács IPCR válságkezelési koordinációs mechanizmusa módozatainak, és tágabb értelemben figyelembe veszi az uniós szinten már meglévő válságkezelési koordinációs mechanizmusok lehetséges alkalmazását. Ez a struktúra megmutatja, hogyan integrálódnának ezek az együttműködési módok, ha alkalmazzák őket. Ezen intézkedések többségét azonban önállóan is meg lehet hozni: nem e mechanizmus használatától függnek, hanem kiegészítik azt. Az intézkedéseket időrendi sorrendben mutatjuk be, figyelembe véve ugyanakkor, hogy a kritikus infrastruktúrát érintő jelentős eseménynek minősülő nagyszabású válság esetén egyidejűleg és folyamatosan több intézkedés is végrehajtható.

1.Információcsere

a)Operatív szinten

A kritikus infrastruktúrát érintő jelentős esemény által érintett tagállamok saját vészhelyzeti intézkedéseket alkalmaznak, biztosítják a koordinációt az érintett nemzeti válságkezelési mechanizmusokkal, és adott esetben az összes érintett nemzeti, regionális és helyi szereplő bevonását.

Amennyiben a polgári védelmi segítségnyújtás tekintetében ez jelentőséggel bír, a tagállamok közötti és a Bizottsággal való koordinációt az UCPM keretében működő ERCC biztosítja.

I.Az illetékes nemzeti hatóságok általi információmegosztás és értesítés

Az (EU) 2022/2557 irányelv 15. cikke szerinti bejelentési és tájékoztatási kötelezettségeken túlmenően a kritikus infrastruktúrát érintő jelentős esemény által érintett tagállamok kritikus infrastruktúráért felelős illetékes nemzeti hatóságai az egyedüli kapcsolattartó pontjukon keresztül és indokolatlan késedelem nélkül megosztják a Tanács soros elnökségével és a Bizottsággal a kritikus infrastruktúrák üzemeltetőitől, a kritikus szervezetektől vagy más forrásokból kapott releváns információkat, valamint az aktivált válságkezelési mechanizmusokra vonatkozó információkat. A Bizottság esetében az ERCC a hét minden napján, napi 24 órában biztosítja az operatív kapcsolattartást és kapacitást, valamint valós időben koordinálja, nyomon követi és támogatja a vészhelyzetekre való uniós szintű reagálást, emellett a válságreagálás operatív központjaként szolgál a tagállamok és a Bizottság számára, előmozdítva az ágazatközi megközelítést a katasztrófavédelem területén.

Az ilyen információmegosztás a következőkre terjed ki: a kritikus infrastruktúrákat érintő jelentős esemény jellege, oka, a zavarnak a kritikus infrastruktúrára és az alapvető szolgáltatások nyújtására gyakorolt megfigyelt vagy becsült hatása, az esemény ágazatokon és határokon átnyúló következményei, valamint a – nemzeti szinten vagy az érintett más tagállamokkal és a Bizottsággal együtt a már meglévő mechanizmusok, például az (EU) 2022/2557 irányelv 9. és 15. cikke szerinti információmegosztási mechanizmus révén – meghozott vagy tervezett enyhítő intézkedések. Erre az értesítésre úgy kerül sor, hogy nem tereli el a kritikus infrastruktúra, illetve egyes esetekben a kritikus szervezet vagy a tagállam erőforrásait az események kezelésével kapcsolatos tevékenységektől, amelyeket prioritásként kell kezelni.

Az értesítést követő intézkedés biztosítása érdekében az ERCC vagy azok az értesített bizottsági szolgálatok, amelyek azon ágazat(ok)ért felelősek, amelyben a kritikus infrastruktúrát érintő jelentős esemény történt, tájékoztatják a Migrációügyi és Uniós Belügyi Főigazgatóság kapcsolattartó pontját és a Bizottság Főtitkárságát. Eközben, ha még nem került rá sor, az ERCC nyomonkövetési eseményeket indít, különösen abban az esetben, ha egy vagy több érintett tagállam aktiválja az uniós polgári védelmi mechanizmust.

Ha az információ releváns lehet a kiberbiztonsági dimenzió kezelése szempontjából, vagy kiberbiztonsági eseményhez kapcsolódik, a Bizottság megosztja a releváns információkat az EU-CyCLONe-nal.

Az (EU) 2022/2557 irányelv szerinti illetékes nemzeti hatóságoknak indokolatlan késedelem nélkül együtt kell működniük és információt kell cserélniük az (EU) 2022/2555 irányelv szerinti illetékes hatóságokkal a kritikus szervezeteket érintő kiberbiztonsági és egyéb eseményekkel kapcsolatban, beleértve a kritikus szervezetek által hozott kiberbiztonsági és fizikai intézkedéseket is.

A tengeri területek esetében az illetékes nemzeti hatóságoknak mérlegelik a közös információmegosztási környezet (a továbbiakban: CISE) használatának lehetőségét az információk indokolatlan késedelem nélküli megosztása céljából.

II.Szakértői találkozók szervezése

A Bizottság a lehető leghamarabb összehívja a kritikus szervezetek rezilienciájával foglalkozó csoportot annak érdekében, hogy megkönnyítse a kritikus infrastruktúráért felelős illetékes nemzeti hatóságok és az érintett uniós intézmények, szervek, hivatalok és ügynökségek közötti releváns információk cseréjét az eseményről (jelleg, ok, hatás és következmények ágazatokon és határokon átnyúlóan), valamint a reagálási intézkedésekről, ideértve a kockázatcsökkentő intézkedéseket és az érintett tagállamoknak nyújtott technikai támogatást is. Az esemény epicentrumától függően az érintett bizottsági szolgálatokat szorosan bevonják a kritikus szervezetek rezilienciájával foglalkozó csoport ülésén zajló munkába annak érdekében, hogy megosszák a meglévő ágazati eszközök révén gyűjtött információkat. A kiberbiztonsági és nem kiberjellegű, fizikai aspektusok kombinációjával járó események esetében az érintett bizottsági szolgálatok, a CERT-EU és adott esetben az EKSZ a lehető leghamarabb értesítik a kiberválsággal foglalkozó munkacsoportot, valamint az (EU) 2022/2555 irányelv 14. cikkében említett együttműködési csoport és adott esetben az EU-CyCLONe elnökét, és konzultálnak velük a koordinációs tevékenységek szükségességéről. Az elnökökkel egyetértésben a Bizottság (a Migrációügyi és Uniós Belügyi Főigazgatóság és a Tartalmak, Technológiák és Kommunikációs Hálózatok Főigazgatósága) javaslatot tehet a kritikus szervezetek rezilienciájával foglalkozó csoport és az együttműködési csoport együttes ülésére a közös helyzetismeret kialakítása és a reagálás koordinálása céljából.

Olyan, kritikus infrastruktúrát érintő, ágazatokon átívelő jelentős esemény esetén, amely uniós szintű következménykezelést igényel vagy valószínűleg igényelni fog, a Bizottság ágazatközi koordinációs üléseket hívhat össze valamennyi érdekelt fél részvételével.

Ha egy a kritikus infrastruktúrát érintő jelentős esemény harmadik országot is érint, a Bizottság konzultál az érintett harmadik ország illetékes hatóságával, és meghívhatja őket a kritikus fontosságú szervezetek rezilienciájával foglalkozó csoport ülésére.

III.A Bizottság és az uniós ügynökségek által nyújtott támogatás

Adott esetben és megbízatásával összhangban eljárva az Europol uniós szintű helyzetjelentést nyújt be az eseményekről. Más uniós ügynökségek – adott esetben és megbízatásuknak megfelelően eljárva – bejelentik a szakterületüknek megfelelő főigazgatóságnak azokat a releváns információkat, amelyek hozzájárulnak a kritikus infrastruktúrát érintő jelentős eseményre vonatkozó helyzetismerethez vagy az arra való koordinált reagáláshoz, a megfelelő főigazgatóság pedig jelentést tesz a Bizottságnak (a kritikus szervezetek rezilienciájával foglalkozó csoport elnökeként eljáró Migrációügyi és Uniós Belügyi Főigazgatóságnak).

A Bizottság adott esetben és az alkalmazandó jogi kerettel összhangban hozzájárulhat a helyzetismerethez az uniós űrprogram 12 – például a Kopernikusz, a Galileo és az EGNOS – eszközeinek felhasználásával.

b)Stratégiai szinten

I.Helyzetismereti jelentések készítése

Az illetékes nemzeti hatóságok által a kritikus szervezetek rezilienciájával foglalkozó csoport ülésén vagy az érintett szolgálatokkal, szakértői csoportokkal vagy hálózatokkal tartott együttes üléseken megosztott információkra építve a Bizottság helyzetismereti jelentést készít az illetékes nemzeti hatóságok hozzájárulásai és más rendelkezésre álló információk alapján.

E jelentés adott esetben figyelembe veszi a kiberbiztonsági szempontból releváns uniós szintű kockázatértékelések, egyéb értékelések és forgatókönyvek eredményeit, beleértve a Bizottság, az Unió külügyi és biztonságpolitikai főképviselője és az együttműködési csoport által végzett értékeléseket is.

Az IPCR aktiválása esetén ez a jelentés hozzájárulhat a Bizottság szolgálatai és az EKSZ által készített integrált helyzetismerethez és -elemzéshez (ISAA).

A SIAC adott esetben naprakész, hírszerzésen alapuló értékelést nyújt be az eseményről.

II.Az uniós válságkezelési koordinációs mechanizmusok aktiválása és az uniós eszközök használata

Az ERCC adott esetben megkezdi az eseménnyel kapcsolatos helyzetismereti támogatás nyújtását, különösen akkor, ha az esemény az uniós polgári védelmi mechanizmus aktiválását vonja maga után 13 . Emellett az érintett tagállamok a Kopernikusz veszélyhelyzet-kezelési szolgáltatásán keresztül műholdas felvételeket kérhetnek területükről.

Amennyiben helyénvalónak ítéli az információk Bizottságon belüli megosztását az EKSZ-szel és az érintett uniós ügynökségekkel, az illetékes főigazgatóság vagy a Migrációügyi és Uniós Belügyi Főigazgatóság a Főtitkársággal együttműködve aktiválja a Bizottság belső válságkezelési koordinációs folyamatát (ARGUS I. szakasz) azáltal, hogy eseményt indít az Argus informatikai eszközön.

Az Unió Tanácsának soros elnöksége aktiválhatja az IPCR-t információmegosztási módban, ami magában foglalja az integrált helyzetismereti és -elemzési jelentéseknek a Bizottság és az EKSZ általi kidolgozását, az illetékes nemzeti hatóságok és adott esetben más források hozzájárulásaira támaszkodva. Még az IPCR aktiválása nélkül is, bizonyos feltételek mellett a Tanács soros elnöksége vagy a Bizottság kezdeményezhet egy nyomonkövetési weboldalt az IPCR internetes platformján.

Adott esetben a vonatkozó eljárásokat követően egyéb (ágazati) uniós válságkezelési mechanizmusok és eszközök is aktiválhatók. A Bizottság biztosítani fogja e mechanizmusok és eszközök összehangolását.

Amennyiben a fizikai esemény egybeesik az (EU) 2022/2555 irányelv 6. cikkének (7) bekezdésében meghatározott nagyszabású kiberbiztonsági eseménnyel, vagy úgy tűnik, hogy ahhoz kapcsolódik, a Tanács soros elnöksége felhasználhatja a kiberbiztonsági tervet a megfelelő operatív szintű koordináció meghatározására, többek között az EU CyCLONe és a kritikus szervezetek rezilienciájával foglalkozó csoport bevonásával.

III.A nyilvános tájékoztatás összehangolása

A kritikus infrastruktúrát érintő jelentős események által érintett tagállamok a lehető legnagyobb mértékben összehangolják a válsághelyzettel kapcsolatos nyilvános tájékoztatásukat, tiszteletben tartva az ezzel kapcsolatos nemzeti hatásköröket. Az IPCR válsághelyzeti kommunikációs hálózata adott esetben bevonható.

A közösen kialakított helyzetismeret alapján a kritikus szervezetek rezilienciájával foglalkozó csoport és az érintett tagállamok adott esetben támogatják a közösen elfogadott nyilvános tájékoztatási irányvonalak kialakítását.

Az Europol és más érintett uniós ügynökségek a közösen kialakított helyzetismeret alapján összehangolják nyilvános tájékoztatási tevékenységeiket a Bizottság szóvivői szolgálatával.

Ha a kritikus infrastruktúrát érintő jelentős esemény külső, hibrid vagy közös biztonság- és védelempolitikai dimenzióval bír, a nyilvános tájékoztatást az EKSZ-szel és a Bizottság szóvivői szolgálatával is összehangolják a hibrid fenyegetésekkel szembeni fellépésre vonatkozó uniós protokollal összhangban 14 .

2.Reagálás (az Információcsere c. részben és a stratégiai/politikai szintű kiegészítő intézkedések között ismertetett folyamatos intézkedések)

a)Stratégiai szinten

I. A helyzetjelentések folyamatos készítése

A Tanács polgári védelmi munkacsoportjának a kritikus szervezetek rezilienciájával foglalkozó alcsoportja (PROCIV-CER) tájékoztatást kap a politikai/stratégiai helyzetjelentés (pl. az IPCR aktiválása esetén az integrált helyzetismereti és -elemzési jelentés vagy a Bizottság által készített közös helyzetismereti jelentés) elkészítéséről, és előkészíti a COREPER (amennyiben ez utóbbit még nem hívták össze), illetve adott esetben a Politikai és Biztonsági Bizottság ülését.

A SIAC intenzívebb kommunikációt folytat a tagállamok hírszerző szolgálataival, összesíti az összes forrásból származó információt, és elemzést és értékelést készít az eseményről, valamint szükség esetén rendszeresen frissíti azokat.

II.Az uniós válságkezelési koordinációs mechanizmusok teljes körű aktiválása és az uniós eszközök használata

Abban az esetben, ha a Bizottság elnöke aktiválja a Bizottság belső válságkezelési koordinációs folyamatát (ARGUS, II. szakasz), rövid időn belül összehívják a Válságkezelési Koordinációs Bizottságot (egy vagy több ülésre) az érintett bizottsági szolgálatok, ügynökségek és adott esetben az EKSZ részvételével, hogy a kritikus infrastruktúrát érintő jelentős esemény valamennyi vonatkozása tekintetében összehangolják a reagálást.

Amennyiben a Tanács elnöksége teljes üzemmódban aktiválja az IPCR-t:

– a Tanács soros elnöksége kellő időben informális kerekasztal-megbeszélést hív össze az érintett nemzeti, európai és nemzetközi szereplők részvételével, ahol a Bizottságnak a kritikus szervezetek rezilienciájával foglalkozó csoport (Migrációügyi és Uniós Belügyi Főigazgatóság) elnökeként eljáró képviselője beszámolhat a csoport korábban összehívott üléséről/üléseiről, adott esetben kiegészítve más bizottsági szolgálatokkal és az EKSZ-szel,

– a SIAC-t és az érintett uniós ügynökségeket fel lehet kérni arra, hogy ezen az ülésen nyújtsanak be helyzetjelentést a kritikus infrastruktúrát érintő jelentős eseményről.

Az integrált helyzetismeretért és -elemzésért felelős szolgálat (a Bizottság felelős szolgálata vagy az EKSZ) az érintett bizottsági szolgálatok, az érintett uniós hivatalok, szervek és ügynökségek, valamint az illetékes nemzeti hatóságok közreműködésével készíti el az integrált helyzetismereti és -elemzési jelentést. A Bizottság felkéri a tagállamokat, hogy az IPCR internetes platformján keresztül járuljanak hozzá az integrált helyzetismereti és -elemzési jelentések elkészítéséhez.

Kritikus infrastruktúrát érintő jelentős, nemzetközi biztonsági szempontból is számottevő esemény esetén a Bizottság szolgálatai és az EKSZ összehívhatják a rezilienciáról szóló EU–NATO strukturált párbeszédet, hogy az hozzájáruljon a közösen kialakított helyzetismerethez és az Unió, illetve a NATO által hozott intézkedésekkel kapcsolatos információcseréhez.

III.Nyilvános tájékoztatás

A Tanács kidolgozza a közös nyilvános tájékoztató közleményeket. Ezt a munkát támogathatja a válsághelyzeti kommunikátoroknak az IPCR révén létrehozott informális hálózata. Adott esetben a Bizottság szóvivői szolgálata is kidolgoz nyilvános tájékoztató közleményeket.

Ha a kritikus infrastruktúrát érintő jelentős esemény külső, hibrid vagy közös biztonság- és védelempolitikai dimenzióval bír, a nyilvános tájékoztatást az EKSZ-szel és a Bizottság szóvivői szolgálatával is össze kell hangolni.

IV.A tagállamoknak nyújtott támogatás és hatékony reagálás

A soros elnökség összehívhatja a PROCIV-CER ülését, hogy az támogassa az IPCR keretében végzett tevékenységeket, amennyiben aktiválják őket.

A kritikus infrastruktúrát érintő jelentős esemény által érintett tagállamok technikai támogatást kérhetnek más tagállamoktól vagy az érintett uniós intézményektől, szervektől és ügynökségektől a kritikus szervezetek rezilienciájával foglalkozó csoporton keresztül, például speciális szakértői támogatást kérhetnek a kritikus infrastruktúrát érintő jelentős biztonsági esemény káros hatásainak enyhítéséhez.

A kritikus infrastruktúrát érintő jelentős esemény által érintett tagállamok technikai és/vagy pénzügyi támogatást is kérhetnek a Bizottságtól vagy az érintett uniós ügynökségektől. A Bizottság az érintett uniós ügynökségekkel együttműködve megvizsgálja az általa nyújtandó lehetséges támogatást, és adott esetben saját eljárásaiknak megfelelően aktiválja az uniós szintű technikai enyhítő intézkedéseket, valamint koordinálja a kritikus infrastruktúrát érintő jelentős esemény megállításához vagy hatásának csökkentéséhez szükséges technikai kapacitásokat.

Az uniós polgári védelmi mechanizmussal összefüggésben az érintett országok segítséget kérhetnek a közös veszélyhelyzeti kommunikációs és tájékoztatási rendszeren (CECIS) keresztül, ezt követően pedig az ERCC azon munkálkodna, hogy koordinálja a tagállamok és az uniós polgári védelmi mechanizmusban részt vevő államok általi, valamint a rescEU keretében történő segítségnyújtást.

Megbízatásuk keretein belül és kérésre az Europol és más releváns uniós ügynökségek támogatják a kritikus infrastruktúrát érintő jelentős esemény által érintett tagállamokat az esemény kivizsgálásában.

b)Politikai szinten

A Tanács elnöksége mérlegelheti, hogy szükség van-e IPCR-kerekasztalok, tanácsi munkacsoportok, a COREPER, a Miniszterek Tanácsa és/vagy csúcstalálkozók összehívására, hogy eszmecserét folytassanak a kritikus infrastruktúrát érintő jelentős esemény lehetséges eredetéről és várható következményeiről a tagállamok és az Unió számára, megállapodjanak a közös iránymutatásokról, valamint elfogadják a szükséges intézkedéseket a kritikus infrastruktúrát érintő jelentős esemény által érintett tagállamok támogatása és hatásainak enyhítése érdekében.



1. ábra: A kritikus infrastruktúrákra vonatkozó terv vázlatos áttekintése



2. ábra: A kritikus infrastruktúrákra vonatkozó terv határozati ábrája

(1)    Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén magas szintű kiberbiztonságot biztosító intézkedésekről, a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról, valamint az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 80. o.).
(2)    A Bizottság (EU) 2017/1584 ajánlása (2017. szeptember 13.) a nagyszabású kiberbiztonsági eseményekre és válsághelyzetekre való összehangolt reagálásról (HL L 239., 2017.9.19., 36. o.).
(3)    A Bizottság közleménye – „A közlekedésre vonatkozó vészhelyzeti terv”, COM(2022) 211 final.
(4)    A légiforgalmi szolgáltatási (ATM) hálózati funkciók végrehajtására vonatkozó részletes szabályok megállapításáról szóló, 2019. január 24-i (EU) 2019/123 bizottsági végrehajtási rendelet 19. cikke alapján jött létre.
(5)    Az Európai Parlament és a Tanács (EU) 2022/2557 irányelve (2022. december 14.) a kritikus szervezetek rezilienciájáról és a 2008/114/EK tanácsi irányelv hatályon kívül helyezéséről (HL L 333., 2022.12.27., 164. o.).
(6)    Az Európai Parlament és a Tanács 1313/2013/EU határozata (2013. december 17.) az uniós polgári védelmi mechanizmusról (HL L 347., 2013.12.20., 924. o.).
(7)    Az Európai Parlament és a Tanács (EU) 2022/2371 rendelete (2022. november 23.) a határokon át terjedő súlyos egészségügyi veszélyekről és az 1082/2013/EU határozat hatályon kívül helyezéséről (HL L 314., 2022.12.6., 26. o.).
(8)    Az érintett bizottsági szolgálatokat, az EKSZ-t, az Európai Uniós Kiberbiztonsági Ügynökséget (ENISA), a CERT-EU-t és az Europolt magában foglaló informális csoport, amelynek társelnöki tisztét a Tartalmak, Technológiák és Kommunikációs Hálózatok Főigazgatósága és az EKSZ tölti be.
(9)    Például az Europol; a közlekedés területén: az Európai Unió Repülésbiztonsági Ügynöksége (EASA), az Európai Tengerészeti Biztonsági Ügynökség (EMSA), az Európai Vasúti Ügynökség (ERA); az egészségügy területén: Az Európai Betegségmegelőzési és Járványvédelmi Központ (ECDC) és az Európai Gyógyszerügynökség (EMA); az energetika területén: az Energiaszabályozók Együttműködési Ügynöksége (ACER); a világűr esetében: az Európai Unió Űrprogramügynöksége (EUSPA); az élelmiszer-ágazat esetében: az Európai Élelmiszerbiztonsági Hatóság (EFSA); a tengeri közlekedés esetében: az Európai Halászati Ellenőrző Hivatal (EFCA); a kiberbiztonsági események esetében: az Európai Uniós Kiberbiztonsági Ügynökség (ENISA), a számítógép-biztonsági eseményekre reagáló csoportok (CSIRT), az uniós intézmények, szervek és hivatalok hálózatbiztonsági vészhelyzeteket elhárító csoportja (CERT UE).
(10)    Közös szolgálati munkadokumentum a hibrid fenyegetésekkel szembeni fellépés uniós operatív protokolljáról, SWD(2023) 116 final.
(11)    A hibrid fenyegetéseket kényszerítő és felforgató tevékenységek, hagyományos és nem hagyományos módszerek kombinációjaként lehet jellemezni, amelyeket állami vagy nem állami szereplők összehangolt módon használhatnak konkrét célkitűzések elérése érdekében úgy, hogy az még ne minősüljön hivatalosan bejelentett hadviselésnek, vö. a hibrid fenyegetésekre vonatkozó uniós protokollal.
(12)    Az Európai Parlament és a Tanács (EU) 2021/696 rendelete (2021. április 28.) az uniós űrprogram és az Európai Unió Űrprogramügynökségének a létrehozásáról, valamint a 912/2010/EU, az 1285/2013/EU és a 377/2014/EU rendelet és az 541/2014/EU határozat hatályon kívül helyezéséről (HL L 170., 2021.5.12., 69. o.).
(13)    Például médiamegfigyelési termékek, polgári védelmi üzenetek, elemző tájékoztatók, ECHO napi térképek, ECHO napi áttekintések és más testre szabott termékek közzététele.
(14)    Közös szolgálati munkadokumentum a hibrid fenyegetésekkel szembeni fellépés uniós operatív protokolljáról, SWD(2023) 116 final.