EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32008L0114

Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (Voor de EER relevante tekst)

OJ L 345, 23.12.2008, p. 75–82 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 18 Volume 003 P. 172 - 179

Legal status of the document In force

ELI: http://data.europa.eu/eli/dir/2008/114/oj

23.12.2008   

NL

Publicatieblad van de Europese Unie

L 345/75


RICHTLIJN 2008/114/EG VAN DE RAAD

van 8 december 2008

inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren

(Voor de EER relevante tekst)

DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 308,

Gezien het voorstel van de Commissie,

Gezien het advies van het Europees Parlement (1),

Gezien het advies van de Europese Centrale Bank (2),

Overwegende hetgeen volgt:

(1)

In juni 2004 heeft de Europese Raad om de opstelling van een algemene strategie voor de bescherming van kritieke infrastructuur verzocht. Naar aanleiding van dit verzoek heeft de Commissie op 20 oktober 2004 een mededeling over „Terrorismebestrijding: bescherming van kritieke infrastructuur” aangenomen, waarin voorstellen worden gedaan over de wijze waarop de preventie van, de paraatheid bij en de reactie op terreuraanslagen op kritieke infrastructuur in Europa kunnen worden verbeterd.

(2)

Op 17 november 2005 heeft de Commissie haar goedkeuring gehecht aan een Groenboek betreffende een Europees programma voor de bescherming van kritieke infrastructuur, waarin beleidsopties voor het opzetten van het programma en van het netwerk voor waarschuwing en informatie inzake kritieke infrastructuur zijn opgenomen. De op het groenboek ontvangen reacties onderstrepen de meerwaarde van een gemeenschappelijk kader voor de bescherming van kritieke infrastructuur. Er werd erkend dat het nodig is de capaciteit voor de bescherming van kritieke infrastructuur in Europa op te voeren en deze infrastructuur minder kwetsbaar te maken. De nadruk werd gelegd op het belang van de essentiële beginselen van subsidiariteit, evenredigheid en complementariteit, alsook van overleg met de belanghebbende partijen.

(3)

In december 2005 heeft de Raad Justitie en Binnenlandse Zaken de Commissie verzocht een voorstel voor een Europees programma voor de bescherming van kritieke infrastructuur (European Programme for Critical Infrastructure Protection — „EPCIP”) in te dienen en besloten dat dit gebaseerd moet zijn op een alle risico’s omvattende aanpak, waarbij de bestrijding van terroristische dreigingen als prioriteit zou gelden. Bij een dergelijke aanpak dient in het proces ter bescherming van kritieke infrastructuur rekening te worden gehouden met door mensen veroorzaakte dreigingen, technologische dreigingen en natuurrampen, maar dient voorrang te worden gegeven aan terroristische dreigingen.

(4)

In april 2007 heeft de Raad conclusies over EPCIP aangenomen waarin hij herhaalt dat de uiteindelijke verantwoordelijkheid voor het beheer van de regelingen ter bescherming van kritieke infrastructuren binnen de nationale grenzen bij de lidstaten berust en hij zich ingenomen toont met de inspanningen van de Commissie om een Europese procedure te ontwikkelen voor de identificatie van Europese kritieke infrastructuren (European Critical Infrastructures — „ECI’s”), de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak om de bescherming van dergelijke infrastructuren te verbeteren.

(5)

Deze richtlijn vormt de eerste stap in een stapsgewijze aanpak waarbij ECI’s worden geïdentificeerd, infrastructuren als Europese kritieke infrastructuren worden aangemerkt en wordt beoordeeld of het nodig is de bescherming van dergelijke infrastructuren te verbeteren. Als zodanig is deze richtlijn toegespitst op de sectoren energie en vervoer; bij de evaluatie ervan moet een effectbeoordeling plaatsvinden en zal worden bezien of ook andere sectoren, zoals de sector informatie- en communicatietechnologie (hierna „ICT”), onder de richtlijn moeten vallen.

(6)

De primaire en eindverantwoordelijkheid voor de bescherming van ECI’s ligt uiteindelijk bij de lidstaten en de eigenaren/exploitanten van dergelijke infrastructuren.

(7)

Ontwrichting of vernietiging van bepaalde kritieke infrastructuren in de Gemeenschap zou aanzienlijke grensoverschrijdende gevolgen hebben. Het kan daarbij met name gaan om grensoverschrijdende, sectoroverstijgende effecten die het gevolg zijn van interdependenties tussen onderling gekoppelde infrastructuren. Om dergelijke ECI’s te identificeren en als zodanig aan te merken, dient gebruik te worden gemaakt van een gemeenschappelijke procedure. De evaluatie van de beveiligingseisen die aan dergelijke infrastructuren worden gesteld, moet op een gemeenschappelijke minimumaanpak gestoeld zijn. Bilaterale programma’s voor samenwerking tussen de lidstaten op het gebied van de bescherming van kritieke infrastructuur zijn een probaat en efficiënt middel tot bescherming van grensoverschrijdende kritieke infrastructuren gebleken. EPCIP moet op een dergelijke samenwerking worden gebaseerd. Informatie omtrent het aanmerken van een bepaalde infrastructuur als een ECI moet overeenkomstig de toepasselijke communautaire en nationale wetgeving op een passend niveau worden gerubriceerd.

(8)

Aangezien verschillende sectoren beschikken over specifieke ervaring en deskundigheid op het gebied van de bescherming van kritieke infrastructuur en specifieke behoeften op dat gebied hebben, moet een communautaire aanpak van de bescherming van kritieke infrastructuur worden ontwikkeld en ten uitvoer gelegd met inachtneming van de specifieke kenmerken van elke sector en van de in elke sector bestaande maatregelen, waaronder die welke reeds op Gemeenschapsniveau en op nationaal en regionaal niveau bestaan, en in voorkomend geval met inachtneming van reeds bestaande grensoverschrijdende overeenkomsten inzake wederzijdse bijstandsverlening tussen eigenaren/exploitanten van kritieke infrastructuren. Aangezien de particuliere sector een zeer belangrijke rol speelt bij het risicotoezicht, het risicobeheer, de bedrijfscontinuïteitsplanning en het herstel na rampen moet een communautaire aanpak tot volledige inschakeling van de particuliere sector aanmoedigen.

(9)

Wat de energiesector betreft, en meer bepaald de wijze van elektriciteitsproductie en -transmissie (met het oog op de elektriciteitsvoorziening), kan, waar zulks passend geacht wordt, elektriciteitsproductie ook de transmissieonderdelen van kerncentrales omvatten, maar niet de specifiek nucleaire elementen die vallen onder de vigerende nucleaire wetgeving, met inbegrip van verdragen en de communautaire wetgeving.

(10)

Deze richtlijn vult op het niveau van de Gemeenschap en in de lidstaten bestaande sectorspecifieke maatregelen aan. Waar op het niveau van de Gemeenschap reeds mechanismen bestaan, moeten deze verder worden gebruikt en zullen deze tot de volledige uitvoering van deze richtlijn bijdragen. Er moet worden voorkomen dat er doublures zijn tussen de verschillende besluiten of bepalingen, of dat deze tegenstrijdigheden bevatten.

(11)

Alle als ECI’s aangemerkte infrastructuren moeten beschikken over beveiligingsplannen van de exploitant (Operator Security Plans — „OSP’s”) of over vergelijkbare maatregelen, bestaande uit een inventaris van belangrijke voorzieningen, een risicobeoordeling en de inventarisatie, selectie en prioritering van tegenmaatregelen en procedures. Om onnodig werk en dubbel werk te vermijden, moet elke lidstaat eerst nagaan of de eigenaars/exploitanten van als ECI’s aangemerkte infrastructuren over relevante OSP’s of vergelijkbare maatregelen beschikken. Bestaan dergelijke plannen niet, dan moeten de lidstaten het nodige doen om ervoor te zorgen dat passende maatregelen worden genomen. Het is aan elke lidstaat zelf om te besluiten over de meest geschikte wijze van handelen voor het opstellen van OSP’s.

(12)

Maatregelen, beginselen of richtsnoeren, inclusief communautaire maatregelen evenals bilaterale en/of multilaterale samenwerkingsprogramma’s die het beschikken over een plan dat gelijksoortig of gelijkwaardig is aan het OSP of over een veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris voorschrijven, moeten worden geacht te voldoen aan de eisen van deze richtlijn in verband met het OSP, respectievelijk in verband met de veiligheidsverbindingsfunctionaris.

(13)

Voor alle als ECI aangemerkte infrastructuur moet een veiligheidsverbindingsfunctionaris worden aangewezen teneinde de samenwerking en de communicatie met de relevante nationale autoriteiten voor de bescherming van kritieke infrastructuur te vergemakkelijken. Om onnodig en dubbel werk te vermijden, moeten de lidstaten eerst nagaan of de eigenaars/exploitanten van als ECI’s aangemerkte infrastructuren reeds over een veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris beschikken. Is er geen veiligheidsverbindingsfunctionaris, dan moet elke lidstaat het nodige doen om ervoor te zorgen dat passende maatregelen worden genomen. Het is aan elke lidstaat zelf om te besluiten over de meest geschikte wijze voor het aanwijzen van veiligheidsverbindingsfunctionarissen.

(14)

Een efficiënte identificatie van risico’s, dreigingen en kwetsbaarheden in specifieke sectoren vergt communicatie zowel tussen de eigenaren/exploitanten van ECI’s en de lidstaten als tussen de lidstaten en de Commissie. Elke lidstaat dient informatie te verzamelen over ECI’s die zich op zijn grondgebied bevinden. De Commissie dient van de lidstaten algemene informatie te ontvangen over risico’s, dreigingen en kwetsbaarheden in sectoren waarin ECI’s zijn geïdentificeerd, inclusief, in voorkomend geval, informatie over mogelijke verbeteringen in de ECI’s en sectoroverstijgende afhankelijkheden. Waar nodig kan deze informatie de basis vormen voor het uitwerken van specifieke voorstellen door de Commissie over de verbetering van de bescherming van ECI’s.

(15)

Om verbeteringen in de bescherming van ECI’s gemakkelijker te maken, kunnen gemeenschappelijke methoden worden ontwikkeld voor de identificatie en classificatie van met betrekking tot infrastructuurvoorzieningen bestaande risico’s, dreigingen en kwetsbaarheden.

(16)

Eigenaren/exploitanten van ECI’s dienen voornamelijk via de relevante instanties van de lidstaten toegang te krijgen tot beproefde praktijken en methoden ter bescherming van kritieke infrastructuur.

(17)

Voor een doeltreffende bescherming van ECI’s is communicatie, coördinatie en samenwerking op nationaal niveau en op Gemeenschapsniveau vereist. Dit wordt het best verwezenlijkt door de aanwijzing in elke lidstaat van contactpunten voor de bescherming van ECI („ECIP-contactpunten”), die aangelegenheden in verband met de bescherming van kritieke infrastructuur zowel intern als met andere lidstaten en de Commissie moeten coördineren.

(18)

Teneinde activiteiten inzake de bescherming van Europese kritieke infrastructuur te ontwikkelen op gebieden die een geheimhoudingsgraad vergen, moet in het kader van deze richtlijn voor een coherente en veilige uitwisseling van informatie worden gezorgd. Het is belangrijk dat de geheimhoudingsvoorschriften volgens het nationaal recht of Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (3) in acht worden genomen met betrekking tot bepaalde gegevens over kritieke-infrastructuurvoorzieningen die gebruikt kunnen worden om plannen te maken en feiten te plegen welke onaanvaardbare gevolgen voor kritieke-infrastructuurinstallaties zouden hebben. Gerubriceerde informatie moet beschermd worden volgens de toepasselijke communautaire en nationale wetgeving. Elke lidstaat en de Commissie moeten de rubriceringsgraad in acht nemen die de opsteller van het document daaraan gegeven heeft.

(19)

Informatie over de bescherming van ECI’s moet worden uitgewisseld op basis van vertrouwen en beveiliging. De uitwisseling van informatie vereist een zodanige vertrouwensrelatie dat ondernemingen en organisaties weten dat hun gevoelige en vertrouwelijke gegevens voldoende beschermd zijn.

(20)

Daar de doelstellingen van deze richtlijn, namelijk de instelling van een procedure voor de identificatie van ECI’s en voor de aanmerking van infrastructuren als ECI’s, alsmede de uitwerking van een gemeenschappelijke aanpak om te beoordelen of het nodig is de bescherming van dergelijke infrastructuren te verbeteren, niet voldoende door de lidstaten kunnen worden verwezenlijkt en derhalve wegens de omvang van het optreden beter door de Gemeenschap kunnen worden verwezenlijkt, kan de Gemeenschap, overeenkomstig het in artikel 5 van het Verdrag neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan hetgeen nodig is om deze doelstellingen te verwezenlijken.

(21)

Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die met name zijn erkend in het Handvest van de grondrechten van de Europese Unie,

HEEFT DE VOLGENDE RICHTLIJN VASTGESTELD:

Artikel 1

Onderwerp

Bij deze richtlijn wordt een procedure ingesteld voor de identificatie van Europese kritieke infrastructuren („ECI’s”) en voor de aanmerking van infrastructuur als Europese kritieke infrastructuur, alsmede een gemeenschappelijke aanpak om te beoordelen of het nodig is de bescherming van dergelijke infrastructuur te verbeteren als bijdrage aan de bescherming van de mensen.

Artikel 2

Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

a)

„kritieke infrastructuur”: een voorziening, systeem of een deel daarvan op het grondgebied van de lidstaten dat van essentieel belang is voor het behoud van vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn, waarvan de verstoring of vernietiging in een lidstaat aanzienlijke gevolgen zou hebben doordat die functies ontregeld zouden raken;

b)

„Europese kritieke infrastructuur” of „ECI”: kritieke infrastructuur op het grondgebied van de lidstaten waarvan de verstoring of vernietiging aanzienlijke gevolgen in ten minste twee lidstaten zou hebben. Hoe aanzienlijk de gevolgen zijn, wordt beoordeeld naar sectoroverstijgende criteria. Dit omvat mede de effecten die het resultaat zijn van sectoroverstijgende afhankelijkheden van andere soorten infrastructuur;

c)

„risicoanalyse”: bestudering van relevante dreigingsscenario’s om de kwetsbaarheid en de mogelijke gevolgen van de verstoring of vernietiging van kritieke infrastructuur te beoordelen;

d)

„gevoelige informatie in verband met de bescherming van kritieke infrastructuur”: gegevens over kritieke infrastructuur die, wanneer zij openbaar worden gemaakt, zouden kunnen worden gebruikt om plannen te maken en feiten te plegen om kritieke-infrastructuurinstallaties te verstoren of te vernietigen;

e)

„bescherming”: alle activiteiten die tot doel hebben het functioneren, de continuïteit en de integriteit van kritieke infrastructuur te verzekeren ten einde een dreiging, risico of kwetsbaarheid af te wenden, te beperken of te neutraliseren;

f)

„eigenaar/exploitant van ECI’s”: entiteit die verantwoordelijk is voor investeringen in en/of voor de dagelijkse werking van een bepaalde voorziening, een bepaald systeem of een onderdeel daarvan die op grond van deze richtlijn als ECI is aangemerkt.

Artikel 3

Identificatie van ECI’s

1.   Elke lidstaat stelt, volgens de procedure van bijlage III, een inventaris op van mogelijke ECI’s die zowel aan de sectoroverstijgende als aan de sectorspecifieke criteria beantwoordt en voldoet aan de definities van artikel 2, onder a) en b).

De Commissie kan de lidstaten op hun verzoek bijstaan bij het inventariseren van mogelijke ECI’s.

De Commissie kan de aandacht van de desbetreffende lidstaten vestigen op het bestaan van mogelijke kritieke infrastructuren die kunnen worden geacht te voldoen aan de eisen voor aanmerking als een ECI.

De lidstaten en de Commissie zetten de inventarisatie van mogelijke ECI’s permanent voort.

2.   De in lid 1 bedoelde sectoroverstijgende criteria omvatten:

a)

het criterium van de slachtoffers (gemeten naar het mogelijke aantal doden en gewonden);

b)

het criterium van de economische gevolgen (gemeten naar de omvang van het economisch verlies en/of de kwaliteitsvermindering van producten of diensten, met inbegrip van de mogelijke gevolgen voor het milieu);

c)

het criterium van de gevolgen voor het publiek (gemeten naar de impact op het vertrouwen van de burgers, het fysieke lijden en de verstoring van het dagelijkse leven, met inbegrip van het uitvallen van essentiële diensten).

De voor de sectoroverstijgende criteria geldende drempels worden gebaseerd op de ernst van de gevolgen van de ontwrichting of vernietiging van een bepaalde infrastructuur. De precieze voor de sectoroverstijgende criteria geldende drempels worden per geval bepaald door de bij een welbepaalde kritieke infrastructuur betrokken lidstaten. Elke lidstaat stelt de Commissie jaarlijks in kennis van het aantal infrastructuurvoorzieningen per sector waarvoor overleg over de voor de sectoroverstijgende criteria geldende drempels heeft plaatsgevonden.

Bij de sectorspecifieke criteria wordt rekening gehouden met de kenmerken van de afzonderlijke sectoren met Europese kritieke infrastructuur.

De Commissie stelt, samen met de lidstaten, richtsnoeren op voor het toepassen van de sectoroverstijgende en de sectorspecifieke criteria en van de approximatieve drempels die bij het inventariseren van ECI’s moeten worden gehanteerd. De criteria worden gerubriceerd. Het gebruik van zulke richtsnoeren is facultatief voor de lidstaten.

3.   Voor de toepassing van deze richtlijn worden de sectoren energie en vervoer gekozen. De betreffende deelsectoren worden opgesomd in bijlage I.

Indien dit nodig wordt geacht kunnen, in samenhang met de evaluatie van deze richtlijn als bedoeld in artikel 11, nog andere sectoren worden geïdentificeerd voor de toepassing van deze richtlijn. Daarbij moet voorrang worden verleend aan de ICT-sector.

Artikel 4

Aanmerking als ECI’s

1.   Elke lidstaat stelt de overige lidstaten waarvoor een mogelijke ECI aanzienlijke gevolgen kan hebben, in kennis van het bestaan ervan en van de redenen waarom die infrastructuur als een mogelijke ECI is aangemerkt.

2.   Elke lidstaat op het grondgebied waarvan een mogelijke ECI gelegen is, treedt in bilateraal en/of multilateraal overleg met andere lidstaten waarvoor de mogelijke ECI aanzienlijke gevolgen kan hebben. De Commissie kan aan dat overleg deelnemen, maar heeft geen toegang tot informatie waarmee een bepaalde infrastructuur onmiskenbaar geïdentificeerd kan worden.

Een lidstaat die redenen heeft om aan te nemen dat de mogelijke ECI aanzienlijke gevolgen voor hem kan hebben, maar die niet als zodanig is aangeduid door de lidstaat op het grondgebied waarvan de mogelijke ECI is gelegen, kan bij de Commissie zijn wens kenbaar maken om bij het bilaterale en/of multilaterale overleg over deze kwestie te worden betrokken. De Commissie brengt de lidstaat op het grondgebied waarvan de mogelijke ECI is gelegen, onverwijld van die wens op de hoogte en tracht een akkoord tussen de partijen te vergemakkelijken.

3.   De lidstaat op het grondgebied waarvan een mogelijke ECI is gelegen, merkt die, na een akkoord tussen die lidstaat en de lidstaten waarvoor die infrastructuur aanzienlijke gevolgen kan hebben, aan als ECI.

Het is noodzakelijk dat de lidstaat op het grondgebied waarvan de infrastructuur gelegen is die moet worden aangemerkt als ECI, zijn instemming verleent.

4.   De lidstaat op het grondgebied waarvan een als ECI aangemerkte infrastructuur gelegen is, stelt de Commissie elk jaar in kennis van het aantal als ECI’s aangemerkte infrastructuurvoorzieningen per sector en het aantal lidstaten dat afhankelijk is van elke als ECI aangemerkte infrastructuur. Alleen de lidstaten waarvoor een ECI aanzienlijke gevolgen kan hebben, worden van het bestaan ervan in kennis gesteld.

5.   De lidstaten op het grondgebied waarvan een ECI is gelegen, stellen de eigenaar/exploitant van de infrastructuur in kennis van het feit dat deze infrastructuur als een ECI is aangemerkt. De informatie over het aanmerken van een infrastructuur als een ECI wordt op een passend niveau gerubriceerd.

6.   Het identificeren en aanmerken van ECI’s uit hoofde van artikel 3 en onderhavig artikel krijgt zijn beslag uiterlijk op 12 januari 2011, en wordt regelmatig geëvalueerd.

Artikel 5

Beveiligingsplannen van de exploitant

1.   In het beveiligingsplan van de exploitant („OSP”) wordt een overzicht gegeven van de kritieke-infrastructuurvoorzieningen van de ECI en van de beveiligingsoplossingen die bestaan of worden geïmplementeerd met het oog op de bescherming ervan. De minimale inhoud van een ECI-OSP wordt beschreven in bijlage II.

2.   Elke lidstaat gaat na of alle als ECI aangemerkte infrastructuur op zijn grondgebied beschikt over een OSP of over gelijkwaardige maatregelen die de in bijlage II vermelde punten bestrijken. Indien een lidstaat constateert dat er een dergelijk beveiligingsplan van de exploitant of een gelijkwaardig plan bestaat dat regelmatig wordt bijgewerkt, hoeven er geen verdere implementeringsmaatregelen te worden getroffen.

3.   Indien een lidstaat constateert dat er geen dergelijk OSP of gelijkwaardig plan is opgesteld, zorgt hij ervoor, met alle maatregelen die hij passend acht, dat een OSP of een gelijkwaardig plan wordt opgesteld dat de in bijlage II vermelde punten bestrijkt.

Elke lidstaat zorgt ervoor dat uiterlijk een jaar nadat de infrastructuur als ECI is aangemerkt, een beveiligingsplan van de exploitant of een gelijkwaardig plan is opgesteld en regelmatig wordt getoetst. Die termijn kan in uitzonderlijke omstandigheden met toestemming van de autoriteit van de lidstaat en met kennisgeving aan de Commissie worden verlengd.

4.   Dit artikel laat reeds bestaande regelingen voor toezicht en supervisie inzake ECI onverlet; de in die regelingen aangewezen toezichthouder is de in dit artikel bedoelde autoriteit van de lidstaat.

5.   Indien maatregelen, inclusief communautaire maatregelen, worden nageleefd die in een bepaalde sector een plan voorschrijven of gewag maken van de noodzaak te beschikken over een plan dat gelijksoortig of gelijkwaardig is aan een OSP, en supervisie door de relevante autoriteit ten aanzien van een dergelijk plan voorschrijven, dan worden alle aan de lidstaten gestelde eisen die in dit artikel worden genoemd of krachtens dit artikel worden vastgesteld, geacht te zijn nageleefd. De in artikel 3, lid 2, bedoelde toepassingsrichtsnoeren omvatten een indicatieve lijst van die maatregelen.

Artikel 6

Veiligheidsverbindingsfunctionarissen

1.   De veiligheidsverbindingsfunctionaris is het contactpunt voor veiligheidsaangelegenheden tussen de eigenaar/exploitant van de ECI en de relevante autoriteit van de lidstaat.

2.   Elke lidstaat gaat na of alle als ECI aangemerkte infrastructuur op zijn grondgebied over een veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris beschikt. Indien een lidstaat constateert dat er een dergelijke veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris bestaat, hoeven geen verdere implementeringsmaatregelen te worden getroffen.

3.   Indien een lidstaat constateert dat er voor een als ECI aangemerkte infrastructuur geen veiligheidsverbindingsfunctionaris of gelijkwaardige functionaris bestaat, zorgt hij ervoor, met alle maatregelen die hij passend acht, dat een dergelijke veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris wordt aangewezen.

4.   Elke lidstaat implementeert een passend communicatiemechanisme tussen de relevante autoriteit van de lidstaat en de veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris voor de uitwisseling van informatie over vastgestelde risico’s en dreigingen in verband met de betrokken ECI. Dit communicatiemechanisme laat de nationale voorschriften aangaande de toegang tot gevoelige en gerubriceerde informatie onverlet.

5.   Indien maatregelen, inclusief communautaire maatregelen, worden nageleefd die in een bepaalde sector een veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris voorschrijven, of gewag maken van de noodzaak te beschikken over een dergelijke functionaris, dan worden alle aan de lidstaten gestelde eisen die in dit artikel worden genoemd of uit hoofde van dit artikel worden vastgesteld, geacht te zijn nageleefd. De in artikel 3, lid 2, bedoelde toepassingsrichtsnoeren omvatten een indicatieve lijst van die maatregelen.

Artikel 7

Verslagen

1.   Elke lidstaat verricht binnen één jaar nadat op zijn grondgebied kritieke infrastructuur binnen deelsectoren als ECI is aangemerkt, een dreigingsanalyse met betrekking tot deze deelsectoren van de ECI.

2.   Elke lidstaat zendt de Commissie om de twee jaar algemene informatie toe op basis van een beknopt verslag over de soorten risico’s, dreigingen en kwetsbaarheden die zich hebben voorgedaan voor iedere sector van ECI waarin uit hoofde van artikel 4 een ECI is aangemerkt die op zijn grondgebied gelegen is.

De Commissie kan in samenwerking met de lidstaten een gemeenschappelijk model voor deze verslagen uitwerken

Elk verslag wordt gerubriceerd op het niveau dat door de lidstaat die het heeft opgesteld, nodig geacht wordt.

3.   De Commissie en de lidstaten gaan aan de hand van de in lid 2 bedoelde verslagen per sector na of er voor de ECI’s verdere beschermingsmaatregelen op Gemeenschapsniveau overwogen moeten worden. Dit gebeurt in samenhang met de evaluatie van deze richtlijn als bedoeld in artikel 11.

4.   De Commissie kan in samenwerking met de lidstaten gemeenschappelijke methodologische richtsnoeren uitwerken voor risicoanalysen met betrekking tot ECI’s. De toepassing van die richtsnoeren is facultatief voor de lidstaten.

Artikel 8

Door de Commissie verleende ondersteuning voor ECI’s

De Commissie ondersteunt, via de relevante autoriteit van de lidstaat, de eigenaren/exploitanten van als ECI’s aangemerkte infrastructuren door het toegankelijk maken van beste praktijken en beproefde methoden en door het ondersteunen van scholing en de uitwisseling van informatie over nieuwe technologische ontwikkelingen in verband met de bescherming van kritieke infrastructuur.

Artikel 9

Gevoelige informatie in verband met de bescherming van ECI

1.   Personen die namens een lidstaat of de Commissie omgaan met gerubriceerde informatie uit hoofde van deze richtlijn, moeten een passend veiligheidsniveau hebben.

De lidstaten, de Commissie en de betrokken toezichthoudende instanties zien erop toe dat aan de lidstaten of aan de Commissie verstrekte gevoelige informatie in verband met de bescherming van ECI niet voor enig ander doel dan de bescherming van kritieke infrastructuur wordt gebruikt.

2.   Dit artikel is ook van toepassing op niet-schriftelijke informatie die uitgewisseld wordt tijdens vergaderingen waarin gevoelige onderwerpen besproken worden.

Artikel 10

Contactpunten voor de bescherming van ECI

1.   Elke lidstaat wijst een contactpunt voor de bescherming van ECI aan (ECIP-contactpunten).

2.   ECIP-contactpunten coördineren aangelegenheden in verband met de bescherming van ECI binnen de lidstaat, met andere lidstaten en met de Commissie. De aanwijzing van een ECIP-contactpunt sluit niet uit dat andere autoriteiten in een lidstaat bij aangelegenheden in verband met de bescherming van ECI worden betrokken.

Artikel 11

Evaluatie

Vanaf uiterlijk 12 januari 2012 begint een evaluatie van deze richtlijn.

Artikel 12

Uitvoering

De lidstaten treffen de nodige maatregelen om uiterlijk op 12 januari 2011 aan deze richtlijn te voldoen. Zij stellen de Commissie daarvan onverwijld in kennis en delen haar de tekst van die maatregelen mee, alsmede de samenhang daarvan met deze richtlijn.

Wanneer de lidstaten deze bepalingen aannemen, wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor die verwijzing worden vastgesteld door de lidstaten.

Artikel 13

Inwerkingtreding

Deze richtlijn treedt in werking op de twintigste dag volgende op die van haar bekendmaking in het Publicatieblad van de Europese Unie.

Artikel 14

Adressaten

Deze richtlijn is gericht tot de lidstaten.

Gedaan te Brussel, 8 december 2008.

Voor de Raad

De voorzitter

B. KOUCHNER


(1)  Advies uitgebracht op 10 juli 2007 (nog niet bekendgemaakt in het Publicatieblad).

(2)  PB C 116 van 26.5.2007, blz. 1.

(3)  PB L 145 van 31.5.2001, blz. 43.


BIJLAGE I

Lijst van ECI-sectoren

Sector

Deelsector

I

Energie

1.

Elektriciteit

Infrastructuren en voorzieningen voor elektriciteitsproductie en -transmissie, met het oog op elektriciteitsvoorziening

2.

Aardolie

Aardolieproductie, -raffinage, -behandeling, -opslag en -transmissie via pijpleidingen

3.

Gas

Gasproductie, -raffinage, -behandeling, -opslag en -transmissie via pijpleidingen

Terminals voor vloeibaar aardgas (LNG)

II

Vervoer

4.

Wegvervoer

5.

Spoorvervoer

6.

Luchtvervoer

7.

Vervoer over de binnenwateren

8.

Zeevervoer (kustvaart en grote vaart) en short sea shipping

De lidstaten identificeren overeenkomstig artikel 3 de kritieke infrastructuren die als ECI’s kunnen worden aangemerkt. De lijst van sectoren van ECI brengt derhalve op zich geen algemene verplichting met zich mee om in elke sector een ECI aan te wijzen.


BIJLAGE II

ECI-OSP-PROCEDURE

In het OSP wordt een overzicht gegeven van de kritieke-infrastructuurvoorzieningen en van de beveiligingsoplossingen die bestaan of die worden geïmplementeerd met het oog op de bescherming ervan. De ECI-OSP-procedure omvat ten minste:

1.

een inventaris van belangrijke voorzieningen;

2.

een risicoanalyse op basis van scenario’s voor de belangrijkste dreigingen, de kwetsbaarheden van elke voorziening en de mogelijke impact; en

3.

een identificatie, selectie en prioritering van tegenmaatregelen en procedures, waarbij een onderscheid moet worden gemaakt tussen:

permanente beveiligingsmaatregelen: hieronder vallen absoluut noodzakelijke investeringen in beveiliging en middelen die essentieel zijn om te allen tijde te worden gebruikt. Dit onderdeel moet informatie bevatten over algemene maatregelen, zoals technische maatregelen (waaronder de installatie van detectie-, toegangscontrole-, beschermings- en preventieapparatuur); organisatorische maatregelen (waaronder alarmerings- en crisisbeheersingsprocedures); controle- en verificatiemaatregelen; communicatie; bewustmaking en opleiding; en beveiliging van informatiesystemen;

graduele beveiligingsmaatregelen: beveiligingsmaatregelen die kunnen worden aangepast aan het risico- en dreigingsniveau.


BIJLAGE III

Procedure voor de identificatie door de lidstaten, overeenkomstig artikel 3, van kritieke infrastructuren die kunnen worden aangemerkt als een ECI

Artikel 3 schrijft voor dat elke lidstaat een inventaris opmaakt van de kritieke infrastructuur die als een ECI kan worden aangemerkt. Elke lidstaat volgt bij deze procedure de onderstaande reeks stappen.

Een mogelijke ECI die niet voldoet aan de eisen van een van de onderstaande opeenvolgende stappen wordt geacht „niet-ECI” te zijn en verdwijnt uit de procedure. Een mogelijke ECI die beantwoordt aan de vereisten wordt onderworpen aan de volgende stappen van deze procedure.

Stap 1

Iedere lidstaat maakt aan de hand van de sectorspecifieke criteria een eerste selectie van kritieke infrastructuur binnen een sector.

Stap 2

Iedere lidstaat past de definitie van kritieke infrastructuur van artikel 2, onder a), toe op de in stap 1 aangetroffen mogelijke ECI.

De ernst van de gevolgen zal op een passend nationaal niveau worden bepaald aan de hand van nationale methoden voor het inventariseren van kritieke infrastructuur of onder verwijzing naar de sectoroverschrijdende criteria. Voor infrastructuur die een essentiële dienst levert, zal rekening worden gehouden met de beschikbaarheid van alternatieven en de duur van de verstoring/het herstel.

Stap 3

Iedere lidstaat past het sectoroverstijgende onderdeel van de definitie van ECI van artikel 2, onder b), toe op de mogelijke ECI die de eerste twee stappen van deze procedure heeft doorlopen. Een mogelijke ECI die beantwoordt aan de definitie gaat door naar de volgende stap van deze procedure. Voor infrastructuur die een essentiële dienst levert, zal rekening worden gehouden met de beschikbaarheid van alternatieven en de duur van de verstoring/het herstel.

Stap 4

Iedere lidstaat past de sectoroverstijgende criteria toe op de resterende mogelijke ECI’s. Bij de toepassing van de sectoroverstijgende criteria wordt rekening gehouden met de ernst van de gevolgen en, voor infrastructuur die een essentiële dienst levert, met de beschikbaarheid van alternatieven en de duur van de verstoring/het herstel. Een mogelijke ECI die niet voldoet aan de sectoroverstijgende criteria wordt niet aangemerkt als een ECI.

Alleen lidstaten waarvoor een mogelijke ECI aanzienlijke gevolgen kan hebben, worden geïnformeerd over deze mogelijke ECI die deze procedure heeft doorlopen.


Top