EUROPESE COMMISSIE

Brussel, 6.9.2023

COM(2023) 526 final

2023/0318(NLE)

Voorstel voor een

AANBEVELING VAN DE RAAD

betreffende een blauwdruk om de respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang op Unieniveau te coördineren

(Voor de EER relevante tekst)

TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

•Motivering en doel van het voorstel

In de huidige geopolitieke context, die wordt gekenmerkt door toenemende instabiliteit, met name als gevolg van de Russische aanvalsoorlog tegen Oekraïne en de steeds complexere veiligheidsbedreigingen, en door de effecten van klimaatverandering, zoals een toename van buitengewone klimaatgebeurtenissen of waterschaarste, moet de Unie waakzaam blijven en zich voortdurend aanpassen. Burgers, ondernemingen en autoriteiten in de Unie zijn aangewezen op kritieke infrastructuur 1 vanwege de essentiële diensten die worden geleverd door de entiteiten die deze infrastructuur exploiteren. Die diensten zijn van cruciaal belang voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu, en moeten ongehinderd op de interne markt worden verleend. Gezien het belang van deze essentiële diensten voor de interne markt en bijgevolg de noodzaak om de kritieke infrastructuur weerbaarder te maken en, meer in het algemeen, om de weerbaarheid van kritieke entiteiten die deze diensten verlenen te garanderen, moet de Unie maatregelen nemen om deze weerbaarheid te vergroten en verstoringen bij de levering van dergelijke essentiële diensten te beperken. Dergelijke verstoringen kunnen anders ernstige gevolgen hebben voor de burgers in de Unie, onze economieën en het vertrouwen in onze democratische stelsels en kunnen invloed hebben op de soepele werking van de interne markt, met name gezien de toenemende onderlinge afhankelijkheid tussen sectoren en over de grenzen heen.

De Unie heeft al verscheidene maatregelen genomen om de bescherming van kritieke infrastructuur te verbeteren, met name wat grensoverschrijdende infrastructuur betreft, en om de weerbaarheid van kritieke entiteiten te vergroten, teneinde de gevolgen van verstoringen van de essentiële diensten die zij op de interne markt verlenen, te voorkomen of te beperken.

Richtlijn 2008/114/EG inzake de identificatie van Europese kritieke infrastructuren en de aanmerking van infrastructuren als Europese kritieke infrastructuren 2 (“ECI-richtlijn”) was het eerste rechtsinstrument waarbij een EU-brede procedure voor het identificeren en aanmerken van Europese kritieke infrastructuren werd vastgesteld, alsook een gemeenschappelijke EU-aanpak voor het beoordelen van de noodzaak de bescherming van dergelijke infrastructuren tegen – zowel opzettelijk als onopzettelijk – door de mens veroorzaakte dreigingen en tegen natuurrampen te verbeteren. De richtlijn was echter alleen gericht op de energie- en de transportsector en de bescherming van kritieke infrastructuur en voorzag niet in bredere maatregelen om de weerbaarheid van de entiteiten die deze infrastructuur exploiteren te vergroten.

Omdat de activiteiten op de interne markt in toenemende mate onderling verbonden en grensoverschrijdend van aard zijn, was het nodig om meer dan twee sectoren te bestrijken en verder te gaan dan beschermingsmaatregelen voor individuele voorzieningen. Daarom is in 2022 Richtlijn (EU) 2022/2557 betreffende de weerbaarheid van kritieke entiteiten 3 (“CER-richtlijn”) aangenomen, samen met Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie 4 (“NIS 2-richtlijn”). Het doel is om te zorgen voor een omvattende aanpak wat het niveau van fysieke en digitale weerbaarheid van kritieke entiteiten betreft. De CER-richtlijn is op 16 januari 2023 in werking getreden en is bedoeld om de lidstaten te helpen de weerbaarheid van kritieke entiteiten over de hele linie te vergroten en tegelijkertijd de coördinatie op Unieniveau te versterken. Vanaf 18 oktober 2024 zal deze richtlijn de ECI-richtlijn vervangen en op die datum moeten de lidstaten de nodige maatregelen nemen om aan de CER-richtlijn te voldoen. De CER-richtlijn is van toepassing op elf sectoren 5 . De richtlijn verbreedt de focus: van de bescherming van kritieke infrastructuur naar de weerbaarheid – voor, tijdens en na een incident – van kritieke entiteiten die de kritieke infrastructuur exploiteren. De NIS 2-richtlijn is ook op 16 januari 2023 in werking getreden en zorgt voor een modernisering van het bestaande rechtskader met het oog op aanpassing aan de toenemende digitalisering en de veranderende dreigingen op het gebied van cyberbeveiliging. De NIS 2-richtlijn zorgt er daarnaast voor dat het toepassingsgebied van de voorschriften voor cyberbeveiliging wordt uitgebreid naar nieuwe sectoren en entiteiten en dat publieke en private entiteiten, bevoegde autoriteiten en de Unie weerbaarder worden en dat hun responscapaciteit bij incidenten verbetert.

De CER-richtlijn bevat bepalingen over de melding van incidenten door de kritieke entiteit aan de nationale bevoegde autoriteit, de melding door de nationale bevoegde autoriteit aan andere (mogelijk) getroffen lidstaten en de melding aan de Commissie als het incident gevolgen heeft voor zes of meer lidstaten. De CER-richtlijn bevat bepaalde verplichtingen met betrekking tot de melding van incidenten die aanzienlijke gevolgen hebben of kunnen hebben voor kritieke entiteiten en de continuïteit van de verlening van essentiële diensten aan of in een of meer andere lidstaten 6 .

Zoals aangetoond door de sabotage van de Nord Stream-gaspijpleidingen in september 2022, is de veiligheidscontext waarin kritieke infrastructuur functioneert, sterk veranderd en zijn er dringend aanvullende maatregelen op Unieniveau nodig om de weerbaarheid van kritieke infrastructuur te vergroten, niet alleen wat paraatheid betreft, maar ook met het oog op een gecoördineerde respons.

In deze context is op 8 december 2022 op voorstel van de Commissie een aanbeveling van de Raad aangenomen betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken 7 (“aanbeveling betreffende de weerbaarheid van kritieke infrastructuur”). In die aanbeveling wordt onder andere gewezen op de noodzaak om op Unieniveau te zorgen voor een gecoördineerde en doeltreffende respons op huidige en toekomstige risico’s voor de verlening van essentiële diensten. Meer in het bijzonder verzocht de Raad de Commissie een blauwdruk op te stellen “voor een gecoördineerde respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang”. In de aanbeveling wordt vermeld dat de blauwdruk coherent moet zijn met het EU-protocol voor de bestrijding van hybride bedreigingen 8 , rekening moet houden met Aanbeveling (EU) 2017/1584 van de Commissie inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises 9 (“cyberblauwdruk”) en de geïntegreerde EU-regeling politieke crisisrespons 10 (“IPCR-regeling”) moet eerbiedigen.

Dit voorstel bevat een aanvullende aanbeveling van de Raad met een dergelijke blauwdruk. Het voorstel heeft tot doel het huidige rechtskader aan te vullen door een beschrijving te geven van hoe, aan de hand van bestaande regelingen op Unieniveau, op het niveau van de Unie gecoördineerd zou moeten worden gereageerd bij verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang. In concreto wordt in het voorstel een beschrijving gegeven van het toepassingsgebied en de doelstellingen van de blauwdruk, en van de actoren, de processen en de bestaande instrumenten die kunnen worden gebruikt om op Unieniveau gecoördineerd te reageren op een verstorend incident in kritieke infrastructuur met aanzienlijke grensoverschrijdende gevolgen. Voorts bevat het voorstel een beschrijving van de manieren waarop de lidstaten en de instellingen, organen, instanties en agentschappen van de Unie in dergelijke situaties kunnen samenwerken.

•Samenhang met bestaande bepalingen op het beleidsterrein

Dit voorstel voor een aanbeveling van de Raad is in overeenstemming met en vormt een aanvulling op het huidige rechtskader inzake de bescherming van kritieke infrastructuur en de weerbaarheid van kritieke entiteiten – respectievelijk de ECI-richtlijn en de CER-richtlijn, alsook de aanbeveling betreffende de weerbaarheid van kritieke infrastructuur – aangezien het tot doel heeft op een complementaire manier te zorgen voor coördinatie tussen de lidstaten onderling en tussen de lidstaten en de instellingen, organen, instanties en agentschappen van de Unie in het kader van een respons op incidenten die leiden tot de verstoring van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang en de verlening van essentiële diensten. Het voorstel gaat uit van bestaande structuren en mechanismen op Unieniveau, waaronder die welke bij de CER-richtlijn zijn ingesteld, namelijk de samenwerking tussen bevoegde autoriteiten en de Groep voor de weerbaarheid van kritieke entiteiten, een groep die bij de CER-richtlijn is ingesteld om de Commissie te ondersteunen en de samenwerking tussen de lidstaten en de informatie-uitwisseling over aangelegenheden in verband met de CER-richtlijn te faciliteren.

Dit voorstel voor een aanbeveling van de Raad is in overeenstemming met en vormt een aanvulling op het EU-kader voor cyberbeveiliging zoals vastgelegd in de NIS 2-richtlijn.

Het huidige voorstel heeft tot doel om op het gebied van de weerbaarheid van kritieke entiteiten en de bescherming van kritieke infrastructuur een blauwdruk voor kritieke infrastructuur voor te stellen die vergelijkbaar is met de cyberblauwdruk.

In deel I, punt 4 b), van de bijlage wordt toegelicht wat de verbanden zijn met de cyberblauwdruk, die van toepassing is op grootschalige cyberbeveiligingsincidenten die verstoringen veroorzaken die te groot zijn om door een getroffen lidstaat alleen te worden verholpen of die zodanig verstrekkende en significante technische of politieke gevolgen hebben voor twee of meer lidstaten of EU-instellingen dat tijdige coördinatie en respons op het politieke niveau van de Unie vereist zijn. In de NIS 2-richtlijn wordt een incident gedefinieerd als “een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt” (“cyberincident”).

Bevoegde autoriteiten in het kader van de CER-richtlijn en in het kader van de NIS 2-richtlijn zijn verplicht om samen te werken en informatie uit te wisselen over cyberbeveiligingsincidenten en incidenten die kritieke entiteiten treffen, ook met betrekking tot maatregelen die in dat verband zijn genomen. In situaties waarin dezelfde entiteit wordt getroffen door een significant incident in kritieke infrastructuur en een grootschalig cyberbeveiligingsincident, moeten de relevante actoren hun respons op elkaar afstemmen.

Het voorstel is in overeenstemming met het EU-protocol voor de bestrijding van hybride bedreigingen, dat van toepassing is in geval van hybride incidenten. In deel I, punt 4 b), van de bijlage worden de verbanden met dat EU-protocol toegelicht, onder meer waar het erom gaat te bepalen welk instrument van toepassing is als zich in kritieke infrastructuur een significant incident met een hybride dimensie voordoet. 

Het voorstel is in overeenstemming met andere bestaande crisisbeheersingsmechanismen op Unieniveau, zoals de IPCR-regelingen van de Raad, het interne crisiscoördinatieproces van de Commissie, ARGUS 11 en het Uniemechanisme voor civiele bescherming 12 (“UCPM”), ondersteund door het Coördinatiecentrum voor respons in noodsituaties (“ERCC”) en het crisisresponsmechanisme van de Europese Dienst voor extern optreden.

Het voorstel is in overeenstemming met andere desbetreffende sectorale wetgeving, meer bepaald met daarin opgenomen specifieke maatregelen die bepaalde aspecten van de respons op verstoringen door in de betrokken sectoren actieve entiteiten regelen.

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

•Rechtsgrondslag

•Subsidiariteit (bij niet-exclusieve bevoegdheid)

•Evenredigheid

Dit voorstel is in overeenstemming met het evenredigheidsbeginsel van artikel 5, lid 4, van het Verdrag betreffende de Europese Unie.

Noch de inhoud noch de vorm van dit voorstel voor een aanbeveling van de Raad gaat verder dan wat nodig is om de doelstellingen ervan te verwezenlijken. De voorgestelde maatregelen zijn evenredig aan de nagestreefde doelstellingen, die erop gericht zijn een gecoördineerde respons op Unieniveau te garanderen in geval van verstoringen van kritieke infrastructuur of van de diensten die worden verleend door de kritieke entiteiten die deze kritieke infrastructuur exploiteren, en die van aanzienlijk grensoverschrijdend belang zijn. Deze voorgestelde gecoördineerde respons is evenredig aan de prerogatieven en verplichtingen van de lidstaten uit hoofde van het nationale recht. Incidenten die kritieke infrastructuur of de verlening van essentiële diensten door kritieke entiteiten verstoren, blijven vaak onder de drempel voor significante incidenten in kritieke infrastructuur en kunnen doeltreffend op nationaal niveau worden aangepakt. Daarom is het gebruik van het mechanisme waarin dit voorstel voorziet, beperkt tot ernstige verstoringen van aanzienlijk grensoverschrijdend belang die meerdere lidstaten treffen.

•Keuze van het instrument

3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

•Raadpleging van belanghebbenden

Bij de opstelling van dit voorstel zijn de lidstaten en de instellingen en agentschappen van de Unie geraadpleegd. Ook is rekening gehouden met de standpunten van de deskundigen van de lidstaten die tijdens de workshop van 24 april 2023 naar voren zijn gebracht en die na de workshop schriftelijk zijn ingediend.

Er bestond een algemene consensus over het nut van meer coördinatie bij de respons op Unieniveau op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang in de huidige dreigingscontext, met dien verstande dat de bevoegdheid van de lidstaten op dit gebied en de vertrouwelijkheid van gevoelige informatie in acht worden genomen. Er bestond ook consensus over de noodzaak om overlapping van instrumenten te voorkomen en goed gebruik te maken van op Unieniveau bestaande mechanismen op het gebied van coördinatie, informatie-uitwisseling en respons.

Sommige lidstaten stonden weliswaar positief tegenover een uitbreiding van het toepassingsgebied van de blauwdruk voor kritieke infrastructuur, maar andere vonden dat de in de CER-richtlijn vastgestelde drempel van zes of meer lidstaten voor de identificatie van kritieke entiteiten van bijzonder Europees belang volstond en dat het niet nodig was een tweede soort incident in het toepassingsgebied op te nemen. Enkele lidstaten merkten op dat het belangrijk is om, in voorkomend geval, exploitanten van kritieke infrastructuur die essentiële diensten verlenen, bij een en ander te betrekken vanwege hun deskundigheid en het belang om rekening te houden met de cyberdimensie.

•Artikelsgewijze toelichting

Het voorstel voor een aanbeveling van de Raad bestaat uit een hoofdgedeelte en een bijlage.

Het hoofdgedeelte bestaat uit de volgende elf punten:

In punt 1 wordt uiteengezet dat er behoefte bestaat aan nauwere samenwerking bij de respons op significante incidenten in kritieke infrastructuur overeenkomstig de blauwdruk voor kritieke infrastructuur die in dit voorstel voor een aanbeveling en de desbetreffende delen van de bijlage is opgenomen.

In punt 2 wordt het toepassingsgebied van de blauwdruk voor kritieke infrastructuur toegelicht, met verwijzing naar twee soorten verstorende incidenten die de toepassing van de blauwdruk voor kritieke infrastructuur in werking zouden stellen: het incident heeft ofwel een aanzienlijk verstorend effect op de verlening van essentiële diensten aan of in zes of meer lidstaten; of het heeft een aanzienlijk verstorend effect in twee of meer lidstaten en de daarin vermelde relevante actoren zijn het eens over de noodzaak van coördinatie op Unieniveau vanwege de significante impact van het incident.

Punt 3 gaat over de relevante actoren die bij de blauwdruk voor kritieke infrastructuur moeten worden betrokken en het niveau waarop de blauwdruk voor kritieke infrastructuur zal worden uitgevoerd (operationeel, strategisch/politiek). Dit wordt nader toegelicht in de bijlage bij de aanbeveling.

In punt 4 wordt aanbevolen de blauwdruk voor kritieke infrastructuur toe te passen in samenhang met andere relevante instrumenten, zoals beschreven in de bijlage.

In punt 5 wordt de lidstaten aanbevolen om op nationaal niveau doeltreffend te reageren op aanzienlijke verstoringen van kritieke infrastructuur.

In punt 6 wordt aanbevolen dat de relevante actoren contactpunten oprichten of aanwijzen die ondersteuning moeten bieden bij het gebruik van de blauwdruk voor kritieke infrastructuur. Waar mogelijk moeten dit dezelfde contactpunten zijn als die in het kader van de CER-richtlijn.

Punt 7 betreft de informatiestroom in geval van een significant incident in kritieke infrastructuur.

In punt 8 wordt uiteengezet hoe de uitwisseling van informatie moet plaatsvinden.

In punt 9 wordt aanbevolen om de werking van de blauwdruk voor kritieke infrastructuur door middel van oefeningen te testen.

In punt 10 wordt aanbevolen om de opgedane ervaringen te bespreken in de Groep voor de weerbaarheid van kritieke entiteiten, die een verslag met aanbevelingen moet opstellen. Dit verslag moet worden goedgekeurd door de Commissie.

In punt 11 wordt de lidstaten aanbevolen het verslag in de Raad te bespreken.

De bijlage geeft een beschrijving van de doelstellingen, de beginselen, de belangrijkste actoren, de wisselwerking met bestaande crisisresponsmechanismen en de werking van de blauwdruk voor kritieke infrastructuur met de twee methoden voor samenwerking – informatie-uitwisseling en respons.

2023/0318 (NLE)

Voorstel voor een

AANBEVELING VAN DE RAAD

betreffende een blauwdruk om de respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang op Unieniveau te coördineren

(Voor de EER relevante tekst)

DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name de artikelen 114 en 292,

Gezien het voorstel van de Europese Commissie,

Overwegende hetgeen volgt:

(1)Voor een soepele werking is het van fundamenteel belang dat de interne markt en de samenleving in het algemeen een beroep kunnen doen op weerbare kritieke infrastructuur en weerbare kritieke entiteiten die diensten verlenen die essentieel zijn voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid, de openbare veiligheid of het milieu.

(2)Gezien de veranderende risico’s en de toenemende onderlinge afhankelijkheid tussen infrastructuur en sectoren en, in ruimere zin, de interconnecties over sectoren en grenzen heen, is het nodig om de bescherming van kritieke infrastructuur en de weerbaarheid van kritieke entiteiten die deze infrastructuur exploiteren, omvattend en gecoördineerd aan te pakken en te verbeteren.

(3)Een incident dat kritieke infrastructuur verstoort en daardoor de verlening van essentiële diensten onmogelijk maakt of ernstig belemmert, kan aanzienlijke grensoverschrijdende gevolgen hebben en de interne markt negatief beïnvloeden. Teneinde een gerichte, evenredige en doeltreffende aanpak te garanderen, zouden maatregelen moeten worden genomen om met name significante incidenten in kritieke infrastructuur in de zin van deze aanbeveling aan te pakken, zoals situaties waarin de door het incident veroorzaakte verstoring van lange duur is of aanzienlijke cascade-effecten in een of meer sectoren of lidstaten kan hebben.

(4)Een gecoördineerde respons op significante incidenten in kritieke infrastructuur is van essentieel belang om grote verstoringen van de interne markt te voorkomen en ervoor te zorgen dat de verlening van de essentiële diensten zo snel mogelijk wordt hervat, aangezien dergelijke incidenten ernstige gevolgen kunnen hebben voor de economie en de burgers in de Unie. Een tijdige en doeltreffende respons op dergelijke incidenten op Unieniveau vereist snelle en doeltreffende samenwerking tussen alle relevante actoren en op Unieniveau ondersteunde gecoördineerde maatregelen. Een dergelijke respons staat of valt met het bestaan van vooraf vastgestelde en, voor zover mogelijk, goed ingeoefende samenwerkingsprocedures en -mechanismen met duidelijk vastgestelde rollen en verantwoordelijkheden voor de belangrijkste actoren op nationaal en Unieniveau.

(5)Hoewel de verantwoordelijkheid voor de respons op significante incidenten in kritieke infrastructuur in de eerste plaats berust bij de lidstaten en bij de entiteiten die kritieke infrastructuur exploiteren en essentiële diensten verlenen, is meer coördinatie op Unieniveau passend waar het gaat om verstoringen van aanzienlijk grensoverschrijdend belang. Een tijdige en doeltreffende respons hangt niet alleen af van de inzet van nationale mechanismen door de lidstaten, maar ook van op Unieniveau ondersteunde gecoördineerde maatregelen, onder meer in de vorm van snelle en doeltreffende samenwerking op dit gebied.

(6)De bescherming van Europese kritieke infrastructuur is momenteel geregeld in Richtlijn 2008/114/EG van de Raad 13 , die echter slechts betrekking heeft op twee sectoren, namelijk vervoer en energie. In die richtlijn wordt een procedure vastgesteld voor de identificatie van Europese kritieke infrastructuur en de aanmerking van infrastructuur als Europese kritieke infrastructuur, en wordt een gemeenschappelijke aanpak vastgesteld voor de beoordeling van de noodzaak de bescherming van dergelijke infrastructuur te verbeteren. Zij vormt de centrale pijler van het Europees programma voor de bescherming van kritieke infrastructuur 14 (“EPCIP”), dat in 2006 door de Commissie is aangenomen en waarin een Europees kader voor de bescherming van kritieke infrastructuur tegen alle risico’s is vastgesteld.

(7)Om verder te gaan dan de bescherming van kritieke infrastructuur en, in ruimere zin, te zorgen voor de weerbaarheid van kritieke entiteiten die deze infrastructuur exploiteren en essentiële diensten op de interne markt verlenen, zal Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad 15 met ingang van 18 oktober 2024 Richtlijn 2008/114/EG vervangen. Richtlijn (EU) 2022/2557 heeft betrekking op elf sectoren en voorziet in weerbaarheidsbevorderende verplichtingen voor de lidstaten en de kritieke entiteiten, in samenwerking tussen de lidstaten en met de Commissie, in steun van de Commissie aan de nationale autoriteiten en de kritieke entiteiten en in steun van de lidstaten aan de kritieke entiteiten.

(8)Naar aanleiding van de sabotage van de Nord Stream-gaspijpleidingen is er behoefte aan meer maatregelen op Unieniveau om de weerbaarheid van kritieke infrastructuur te vergroten. Daarom heeft de Raad op voorstel van de Commissie een aanbeveling aangenomen betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken (“Aanbeveling 2023/C 20/01”) 16 , die erop is gericht de paraatheid, de respons en de internationale samenwerking op dit gebied te verbeteren. In die aanbeveling wordt met name gewezen op de noodzaak om op Unieniveau te zorgen voor een gecoördineerde en doeltreffende respons op risico’s voor de verlening van essentiële diensten.

(9)Daarom moet het bestaande rechtskader worden aangevuld met een aanbeveling van de Raad waarin een blauwdruk wordt vastgesteld voor een gecoördineerde respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang (“de blauwdruk voor kritieke infrastructuur”), waarbij gebruik wordt gemaakt van bestaande regelingen op Unieniveau.

(10)Deze aanbeveling zou moeten worden afgestemd op Aanbeveling 2023/C 20/01 om consistentie te waarborgen en overlapping te voorkomen. Daarom zou deze aanbeveling geen betrekking mogen hebben op de andere elementen van de levenscyclus van crisisbeheersing, namelijk preventie, paraatheid en herstel.

(11)Deze aanbeveling zou een aanvulling moeten vormen op Richtlijn (EU) 2022/2557, met name op het gebied van gecoördineerde respons, en zou moeten worden uitgevoerd in samenhang met die richtlijn en alle andere toepasselijke regels van het Unierecht. Daarom zou deze aanbeveling ook moeten steunen op en, voor zover mogelijk, gebruik moeten maken van de begrippen, instrumenten en processen van die richtlijn, zoals de Groep voor de weerbaarheid van kritieke entiteiten, die optreedt binnen de grenzen van haar in die richtlijn vastgestelde taken, en contactpunten. Bovendien zou het begrip “kritieke infrastructuur” in deze aanbeveling op dezelfde manier moeten worden opgevat als in overweging 7 van Aanbeveling 2023/C 20/01, namelijk als relevante kritieke infrastructuur die door een lidstaat op nationaal niveau is geïdentificeerd of die overeenkomstig Richtlijn 2008/114/EG als Europese kritieke infrastructuur is aangemerkt, alsmede als kritieke entiteiten die overeenkomstig Richtlijn (EU) 2022/2557 moeten worden geïdentificeerd. Om te zorgen voor consistentie met Richtlijn (EU) 2022/2557, zouden de begrippen die in deze aanbeveling worden gebruikt, daarom in de zin van die richtlijn moeten worden geïnterpreteerd. Onder het begrip weerbaarheid, zoals gedefinieerd in artikel 2, punt 2, van die richtlijn, moet bijvoorbeeld ook worden verstaan het vermogen van een kritieke infrastructuur om gebeurtenissen die de verlening van essentiële diensten (d.w.z. diensten die van cruciaal belang zijn om vitale maatschappelijke en economische functies, de openbare veiligheid en beveiliging, de volksgezondheid of het milieu in stand te houden) op de interne markt aanzienlijk verstoren of kunnen verstoren, te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op, of zich aan te passen aan en te herstellen van die gebeurtenissen.

(12)Bovendien moet het begrip “aanzienlijk verstorend effect” worden begrepen in het licht van de criteria van artikel 7, lid 1, van Richtlijn (EU) 2022/2557, die verwijzen naar: i) het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende essentiële dienst; ii) de mate waarin andere in de bijlage bij de richtlijn beschreven sectoren en deelsectoren afhankelijk zijn van de betrokken essentiële dienst; iii) de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid; iv) het marktaandeel van de entiteit op de markt voor de betrokken essentiële diensten; v) het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden; vi) het belang van de entiteit voor de instandhouding van de essentiële dienst op een voldoende niveau, rekening houdend met de beschikbare alternatieven voor het verlenen van die essentiële dienst.

(13)In het belang van de efficiëntie en doeltreffendheid zou de blauwdruk voor kritieke infrastructuur volledig coherent en interoperabel moeten zijn met het herziene operationele EU-protocol voor de bestrijding van hybride bedreigingen 17 , rekening moeten houden met de bestaande blauwdruk voor een gecoördineerde respons op grootschalige grensoverschrijdende cyberincidenten en -crises, die is vastgesteld bij Aanbeveling (EU) 2017/1584 van de Commissie 18 (“cyberblauwdruk”), en met het mandaat van het Europees netwerk van verbindingsorganisaties voor cybercrises (“EU-CyCLONe”), dat is vastgesteld bij Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad 19 , en overlapping van structuren en activiteiten moeten voorkomen. Voorts zou de blauwdruk volledig in overeenstemming moeten zijn met de regelingen van de Raad inzake de geïntegreerde EU-regeling politieke crisisrespons 20 (“IPCR”) voor de coördinatie van de respons.

(14)In bredere zin is deze aanbeveling consistent met en complementair aan de reeds bestaande crisisbeheersingsmechanismen van de Unie, met name de IPCR-regelingen van de Raad, het interne crisiscoördinatieproces ARGUS 21 van de Commissie en het Uniemechanisme voor civiele bescherming (“UCPM”) 22 , ondersteund door het Coördinatiecentrum voor respons in noodsituaties (“ERCC”), 23   het crisisresponsmechanisme van de Europese Dienst voor extern optreden (“EDEO”) en het noodinstrument voor de eengemaakte markt 24 , die alle een rol kunnen spelen bij de respons op een ernstige verstoring van de werking van kritieke infrastructuur.

(15)Bij de respons op een significant incident in kritieke infrastructuur kan gebruik worden gemaakt van de bovengenoemde instrumenten of mechanismen op Unieniveau, overeenkomstig de toepasselijke voorschriften en procedures, die deze aanbeveling zou moeten aanvullen zonder er afbreuk aan te doen. De IPCR-regelingen van de Raad blijven, bijvoorbeeld, het belangrijkste instrument voor de coördinatie van de respons tussen de lidstaten op het politieke Unieniveau. De interne coördinatie binnen de Commissie vindt plaats in het kader van het sectoroverschrijdende crisiscoördinatieproces ARGUS. Als de crisis een externe dimensie heeft of raakt aan het gemeenschappelijk veiligheids- en defensiebeleid (“GVDB”), dan kan het Crisisresponsmechanisme van de Europese Dienst voor extern optreden (EDEO) worden geactiveerd. Overeenkomstig Besluit nr. 1313/2013/EU betreffende een Uniemechanisme voor civiele bescherming (“UCPM”) wordt de operationele respons in het kader van het UCPM bij door de natuur of door de mens veroorzaakte rampen of dreigende rampen binnen en buiten de Unie (met inbegrip van rampen met gevolgen voor kritieke infrastructuur) georganiseerd door het ERCC, het 24/7 operationele centrum van de Commissie voor het beheer van crisisrespons. In dergelijke gevallen kan het ERCC zorgen voor vroegtijdige waarschuwing, melding en analyse, en ondersteunt het de uitwisseling van informatie en, in geval van activering van het UCPM door een lidstaat, de inzet van operationele bijstand en deskundigen in getroffen gebieden. Bovendien kan het ERCC de sectorale en sectoroverschrijdende coördinatie vergemakkelijken, zowel op EU-niveau als tussen de EU en de betrokken nationale autoriteiten, met inbegrip van de autoriteiten die verantwoordelijk zijn voor civiele bescherming en de weerbaarheid van kritieke infrastructuur.

(16)De in deze aanbeveling vastgelegde processen zouden, in voorkomend geval, in aanmerking moeten worden genomen ingeval die andere instrumenten of mechanismen worden gebruikt, en deze aanbeveling zou ook de maatregelen moeten beschrijven die op Unieniveau kunnen worden genomen met betrekking tot gedeeld situationeel bewustzijn, gecoördineerde publieke communicatie en doeltreffende respons buiten het kader van die crisiscoördinatiemechanismen van de Unie, ingeval ze niet worden gebruikt.

(17)Teneinde de respons op significante incidenten in kritieke infrastructuur beter te coördineren, zou de samenwerking tussen de lidstaten en de instellingen, agentschappen, organen en instanties van de Unie moeten worden versterkt door middel van bestaande regelingen, overeenkomstig het kader van de blauwdruk voor kritieke infrastructuur. De blauwdruk voor kritieke infrastructuur zou daarom van toepassing moeten zijn wanneer de drempel van zes of meer lidstaten die in Richtlijn (EU) 2022/2557 is vastgesteld voor de identificatie van kritieke entiteiten van bijzonder Europees belang, is bereikt, alsook wanneer incidenten plaatsvinden die een kleiner aantal lidstaten treffen, aangezien dergelijke incidenten vanwege grensoverschrijdende cascade-effecten verstrekkende gevolgen kunnen hebben en coördinatie van de respons op Unieniveau daarom nuttig zou zijn.

(18)Hoewel een samenwerkingskader op Unieniveau voor een gecoördineerde respons op significante incidenten in kritieke infrastructuur noodzakelijk wordt geacht, zou daarvoor niet geput mogen worden uit de middelen waarmee de kritieke entiteiten en bevoegde autoriteiten de incidenten aanpakken – wat de prioriteit moet blijven.

(19)De relevante actoren die bij de uitvoering van de blauwdruk voor kritieke infrastructuur betrokken zijn, zouden duidelijk moeten worden geïdentificeerd, zodat er een duidelijk en volledig overzicht is van de instellingen, organen, instanties, agentschappen en autoriteiten die een respons zouden kunnen bieden op een significant incident in kritieke infrastructuur.

(20)De verantwoordelijkheid voor de respons op incidenten in kritieke infrastructuur, met inbegrip van significante incidenten, ligt in de eerste plaats bij de bevoegde autoriteiten van de lidstaten. Deze aanbeveling mag geen afbreuk doen aan de verantwoordelijkheid van de lidstaten om de nationale veiligheid en defensie te waarborgen of aan hun bevoegdheid om andere essentiële overheidstaken te waarborgen, met name met betrekking tot de openbare veiligheid, territoriale integriteit en handhaving van de openbare orde, overeenkomstig het Unierecht. Voorts mag deze aanbeveling geen afbreuk doen aan nationale processen, zoals de communicatie en het contact tussen exploitanten van kritieke infrastructuur en de bevoegde nationale autoriteiten. Deze aanbeveling zou van toepassing moeten zijn zonder afbreuk te doen aan relevante bilaterale of multilaterale regelingen die tussen lidstaten zijn gesloten.

(21)Het aanwijzen of oprichten van contactpunten door de relevante actoren is essentieel voor een tijdige en doeltreffende samenwerking in het kader van de blauwdruk voor kritieke infrastructuur. Om de samenhang te waarborgen, zouden de lidstaten de mogelijkheid moeten overwegen om de centrale contactpunten die in het kader van Richtlijn (EU) 2022/2557 aangewezen of opgericht moeten worden, ook als contactpunten voor het onderhavige kader te laten fungeren.

(22)Met het oog op de doeltreffendheid zouden het testen en inoefenen van de blauwdruk voor kritieke infrastructuur, alsmede het rapporteren en bespreken van de lessen die uit de toepassing ervan kunnen worden getrokken, een essentieel onderdeel moeten vormen van de inspanningen om de paraatheid voor significante incidenten in kritieke infrastructuur op een hoog niveau te houden en om een snelle en goed gecoördineerde respons te bieden waarbij de relevante actoren worden betrokken.

(23)Gezien de structuur van het crisiscoördinatiemechanisme IPCR van de Raad en meer in het algemeen rekening houdend met de mogelijke activering van de reeds op Unieniveau bestaande crisiscoördinatiemechanismen, zou de blauwdruk voor kritieke infrastructuur twee vormen van samenwerking moeten omvatten om een respons te bieden op een significant incident in kritieke infrastructuur. De eerste moet bestaan uit de uitwisseling van informatie met alle relevante actoren, coördinatie van publieke communicatie en coördinatie via reeds bestaande mechanismen zoals de IPCR-regelingen in de Raad, de ARGUS-coördinatie binnen de Commissie, ondersteund door het ERCC als 24/7 operationeel contactpunt, of het crisisresponsmechanisme van de EDEO, ingeval van die mechanismen gebruik wordt gemaakt. De tweede moet verdere responsmaatregelen omvatten afhankelijk van de omvang van het incident. Deze samenwerking zou betrokkenheid op operationeel en strategisch/politiek niveau moeten behelzen, overeenkomstig de niveaus in Aanbeveling (EU) 2017/1584 en het EU-protocol voor de bestrijding van hybride bedreigingen, met het oog op een doeltreffende en efficiënte coördinatie van de acties en een doeltreffende en efficiënte respons op het significante incident in kritieke infrastructuur. Om een doeltreffende samenwerking te waarborgen, zou in de blauwdruk voor kritieke infrastructuur moeten worden beschreven hoe wordt gezorgd voor een gedeeld situationeel bewustzijn van de relevante actoren, voor gecoördineerde publieke communicatie en voor een doeltreffende respons, op basis van de beginselen van evenredigheid, subsidiariteit, vertrouwelijkheid van informatie en complementariteit.

(24)De uitwisseling van informatie op grond van deze aanbeveling zou moeten plaatsvinden zonder afbreuk te doen aan de nationale veiligheid of de veiligheids- en commerciële belangen van entiteiten die kritieke infrastructuur exploiteren. Daarom zou bij de toegang tot en de uitwisseling en behandeling van gevoelige informatie voorzichtigheid moeten worden betracht en zou er bijzonder moeten worden gelet op de transmissiekanalen en de opslagcapaciteit die worden gebruikt,

HEEFT DE VOLGENDE AANBEVELING VASTGESTELD:

(1)De lidstaten, de Raad, de Commissie en, in voorkomend geval, de Europese Dienst voor extern optreden (“EDEO”) en de betrokken organen, instanties en agentschappen van de Unie zouden in het kader van de in deze aanbeveling opgenomen blauwdruk voor kritieke infrastructuur moeten samenwerken om de in deel I, afdeling 1, van de bijlage opgenomen doelstellingen te verwezenlijken en, rekening houdend met de in deel I, afdeling 2, van de bijlage opgenomen beginselen, een gecoördineerde respons te bieden op significante incidenten in kritieke infrastructuur.

(2)De lidstaten, de Raad, de Commissie en, in voorkomend geval, de EDEO en de betrokken organen, instanties en agentschappen van de Unie zouden de blauwdruk voor kritieke infrastructuur zonder onnodige vertraging moeten toepassen telkens wanneer zich een significant incident in kritieke infrastructuur voordoet, d.w.z. een incident waarbij kritieke infrastructuur betrokken is en dat een van de volgende gevolgen heeft:

(a)een aanzienlijk verstorend effect op de verlening van essentiële diensten aan of in zes of meer lidstaten, met inbegrip van een effect op een kritieke entiteit van bijzonder Europees belang in de zin van artikel 17 van Richtlijn (EU) 2022/2557 betreffende de weerbaarheid van kritieke entiteiten 25 ; of

(b)een aanzienlijk verstorend effect op de verlening van essentiële diensten in twee of meer lidstaten, waarbij de lidstaat die het roterende voorzitterschap van de Raad bekleedt, in overeenstemming met die andere lidstaten en in overleg met de Commissie, oordeelt dat tijdige coördinatie bij de respons op Unieniveau vereist is vanwege de verstrekkende en aanzienlijke technisch of politiek relevante gevolgen van het incident.

(3)De actoren die overeenkomstig deel I, afdeling 3, van de bijlage op operationeel en strategisch/politiek niveau geïdentificeerd zijn en relevant zijn in het kader van de blauwdruk voor kritieke infrastructuur, zouden moeten streven naar complementaire interactie en samenwerking. Zij zouden moeten zorgen voor adequate en tijdige uitwisseling van informatie, coördinatie van publieke communicatie en gecoördineerde respons zoals beschreven in deel II van de bijlage.

(4)De blauwdruk voor kritieke infrastructuur zou moeten worden toegepast met inachtneming van en in samenhang met andere relevante instrumenten, overeenkomstig deel I, afdeling 4, van de bijlage. Indien een incident gevolgen heeft voor zowel de fysieke aspecten als de cyberbeveiliging van kritieke infrastructuur, zou moet worden gezorgd voor synergieën met relevante processen die in het kader van de cyberblauwdruk zijn opgezet.

(5)De lidstaten zouden ervoor moeten zorgen dat zij op nationaal niveau en in overeenstemming met het Unierecht een doeltreffende respons bieden op verstoringen van kritieke infrastructuur als gevolg van significante incidenten in kritieke infrastructuur.

(6)De lidstaten, de Raad, de EDEO, het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (“Europol”) en andere relevante agentschappen van de Unie zouden, evenals de Commissie, een contactpunt moeten aanwijzen of oprichten voor aangelegenheden die verband houden met de blauwdruk voor kritieke infrastructuur. De contactpunten zouden ondersteuning moeten bieden bij de toepassing van de blauwdruk voor kritieke infrastructuur door de nodige informatie te verstrekken en coördinatiemaatregelen te vergemakkelijken in geval van een significant incident in kritieke infrastructuur. Indien mogelijk zouden deze contactpunten bij de lidstaten dezelfde moeten zijn als de op grond van artikel 9, lid 2, van Richtlijn (EU) 2022/2557 aan te wijzen of op te richten centrale contactpunten. Wat de Commissie betreft, zorgt het ERCC 24/7 voor operationeel contact en operationele capaciteit en voor realtime coördinatie, monitoring en ondersteuning bij de respons op noodsituaties op Unieniveau en staat het ten dienste van de lidstaten en de Commissie als het operationele centrum voor crisisrespons ter bevordering van een sectoroverschrijdende aanpak van rampenbeheersing.

(7)De lidstaat die het roterende voorzitterschap van de Raad bekleedt, zou in overleg met de getroffen lidstaten alle relevante actoren via de in punt 6 bedoelde contactpunten in kennis moeten stellen van het significante incident in kritieke infrastructuur en de toepassing van de blauwdruk voor kritieke infrastructuur. De uitwisseling van informatie over een significant incident in kritieke infrastructuur zou moeten plaatsvinden via passende communicatiekanalen, waaronder, voor zover van toepassing en passend, het platform voor de geïntegreerde EU-regeling politieke crisisrespons 26 (“IPCR”) en het ERCC via het gemeenschappelijk noodcommunicatie- en informatiesysteem (“Cecis”), een online waarschuwings- en meldingsapplicatie voor real-time informatie-uitwisseling.

(8)Indien nodig zou een aantal transmissiekanalen beveiligd moeten zijn, teneinde de nationale veiligheid of de veiligheids- en commerciële belangen van de betrokken entiteiten niet in gevaar te brengen. De in deel II, afdeling 1, van de bijlage bij deze aanbeveling beschreven informatie-uitwisseling zou moeten plaatsvinden zonder de nationale veiligheid of de veiligheids- en commerciële belangen van kritieke entiteiten in gevaar te brengen en overeenkomstig het Unierecht, met name Verordening (EU) .../... van het Europees Parlement en de Raad 27 . Met name bij de toegang tot en de uitwisseling en behandeling van gevoelige informatie zou voorzichtigheid moeten worden betracht. Voor de behandeling en de uitwisseling van gerubriceerde informatie zouden de beschikbare officieel erkende instrumenten moeten worden gebruikt en zouden adequate beveiligingsmaatregelen in acht moeten worden genomen.

(9)De relevante actoren zouden regelmatig de werking van de blauwdruk voor kritieke infrastructuur en hun gecoördineerde respons op een significant incident in kritieke infrastructuur op nationaal, regionaal en Unieniveau moeten inoefenen en testen, bijvoorbeeld in het kader van oefeningen. Bij dergelijke oefeningen en tests kunnen, in voorkomend geval, ook entiteiten uit de particuliere sector worden betrokken. Een oefening op Unieniveau waarbij fysieke en cyberaspecten aan bod komen, zou uiterlijk op [de datum van goedkeuring van deze aanbeveling + twaalf maanden] moeten plaatsvinden.

(10)Wanneer bij een significant incident in kritieke infrastructuur gebruik is gemaakt van de blauwdruk voor kritieke infrastructuur, zou de in artikel 19 van Richtlijn (EU) 2022/2557 bedoelde Groep voor de weerbaarheid van kritieke entiteiten tijdig met de relevante actoren moeten bespreken welke lacunes en verbeterpunten aan het licht zijn gekomen, en vervolgens een verslag moeten opstellen met aanbevelingen ter verbetering. De relevante actoren die bij de toepassing van de blauwdruk voor kritieke infrastructuur betrokken zijn, zouden ondersteuning moeten verlenen bij het opstellen van dat verslag. Dit verslag moet worden goedgekeurd door de Commissie.

(11)De lidstaten zouden het in punt 10 bedoelde verslag moeten bespreken in de desbetreffende voorbereidende instanties van de Raad of in de Raad.

Gedaan te Brussel,

(1)    Kritieke infrastructuur: een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, of een onderdeel van een voorziening, een faciliteit, apparatuur, een netwerk of een systeem, hetgeen noodzakelijk is voor de verlening van een essentiële dienst (artikel 2, lid 4, van Richtlijn (EU) 2022/2557 betreffende de weerbaarheid van kritieke entiteiten).

(2)    Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (PB L 345 van 23.12.2008, blz. 75).

(3)    Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PB L 333 van 27.12.2022, blz. 164).

(4)    Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PB L 333 van 27.12.2022, blz. 80).

(5)    Energie, vervoer, bankwezen, financiëlemarktinfrastructuur, digitale infrastructuur, openbaar bestuur, ruimtevaart, gezondheidszorg, drinkwater, afvalwater, voedselproductie, -verwerking en-distributie.

(6)    Overeenkomstig artikel 15, leden 1 en 3, van de CER-richtlijn.

(7)    Aanbeveling van de Raad van 8 december 2022 betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken (2023/C 20/01) (PB C 20 van 20.1.2023, blz. 1).

(8)    Joint Staff Working Document - EU Protocol for countering hybrid threats (SWD(2023) 116 final).

(9)    Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36).

(10)    Uitvoeringsbesluit (EU) 2018/1993 van de Raad van 11 december 2018 inzake de geïntegreerde EU-regeling politieke crisisrespons (PB L 320 van 17.12.2018, blz. 28).

(11)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s – Bepalingen van de Commissie betreffende het algemeen systeem voor snelle waarschuwing “ARGUS” (COM(2005) 662 definitief).

(12)    Verordening (EU) 2021/836 van het Europees Parlement en de Raad van 20 mei 2021 tot wijziging van Besluit nr. 1313/2013/EU betreffende een Uniemechanisme voor civiele bescherming (PB L 185 van 26.5.2021, blz. 1).

(13)    Richtlijn 2008/114/EG van de Raad van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (PB L 345 van 23.12.2008, blz. 75).

(14)    COM(2006) 786 definitief van 12 december 2006 – Mededeling van de Commissie betreffende een Europees programma voor de bescherming van kritieke infrastructuur.

(15)    Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PB L 333 van 27.12.2022, blz. 164).

(16)    Aanbeveling van de Raad van 8 december 2022 betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken (2023/C 20/01) (PB C 20 van 20.1.2023, blz. 1).

(17)    Joint Staff Working Document - EU Protocol for countering hybrid threats (SWD(2023) 116 final).

(18)    Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36).

(19)    Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PB L 333 van 27.12.2022, blz. 80).

(20)    Uitvoeringsbesluit (EU) 2018/1993 van de Raad van 11 december 2018 inzake de geïntegreerde EU-regeling politieke crisisrespons (PB L 320 van 17.12.2018, blz. 28).

(21)    Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s – Bepalingen van de Commissie betreffende het algemeen systeem voor snelle waarschuwing “ARGUS” (COM(2005) 662 definitief).

(22)    Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van 17 december 2013 betreffende een Uniemechanisme voor civiele bescherming (PB L 347 van 20.12.2013, blz. 924).

(23)    Bij Besluit nr. 1313/2013/EU betreffende een Uniemechanisme voor civiele bescherming (“UCPM”) wordt een alle risico’s omvattend kader met regelingen op Unieniveau voor preventie, paraatheid en respons ingesteld dat tot doel heeft alle soorten door de natuur of door de mens veroorzaakte rampen of dreigende rampen binnen en buiten de EU te beheersen.

(24)    Verordening .../... van het Europees Parlement en de Raad tot vaststelling van een noodinstrument voor de eengemaakte markt en tot intrekking van Verordening (EG) nr. 2679/98 van de Raad (COM(2022) 459 final).

(25)    Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PB L 333 van 27.12.2022, blz. 164).

(26)    Uitvoeringsbesluit (EU) 2018/1993 van de Raad van 11 december 2018 inzake de geïntegreerde EU-regeling politieke crisisrespons (ST/13422/2018/INIT) (PB L 320 van 17.12.2018, blz. 28).

(27)    Verordening (EU) .../... betreffende informatiebeveiliging in de instellingen, organen en instanties van de Unie (COM(2022) 119 final).

EUROPESE COMMISSIE

Brussel, 6.9.2023

COM(2023) 526 final

BIJLAGE

bij

Voorstel voor een AANBEVELING VAN DE RAAD

betreffende een blauwdruk om de respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang op Unieniveau te coördineren

BIJLAGE

In deze bijlage wordt ingegaan op de beginselen, de doelstellingen, de belangrijkste actoren en de werking van een blauwdruk voor de coördinatie van de respons op significante incidenten in kritieke infrastructuur (“blauwdruk voor kritieke infrastructuur”), en op de wisselwerking met bestaande crisisresponsmechanismen. Beoogd wordt de samenwerking tussen de lidstaten en de betrokken instellingen, organen, instanties en agentschappen van de Unie bij dergelijke incidenten overeenkomstig de toepasselijke voorschriften en procedures te verbeteren. Deze blauwdruk heeft geen enkele invloed op de rol en het functioneren van andere regelingen.

Deel I: Doelstellingen, beginselen, actoren en andere instrumenten

1. Doelstellingen

De blauwdruk voor kritieke infrastructuur is gericht op het bereiken van de volgende drie hoofddoelstellingen bij een respons op een significant incident in kritieke infrastructuur:

(a)Gedeeld situationeel bewustzijn: een goed inzicht in het significante incident in kritieke infrastructuur, en in de oorsprong en de mogelijke gevolgen van het incident voor alle betrokken belanghebbenden op operationeel en strategisch/politiek niveau is essentieel voor een passende gecoördineerde respons.

(b)Gecoördineerde publieke communicatie: dit helpt om de negatieve gevolgen van een significant incident in kritieke infrastructuur te reduceren en om discrepanties in de berichten die in en tussen de lidstaten aan het publiek worden overgebracht, tot een minimum te beperken. Duidelijke publieke communicatie is ook belangrijk om de gevolgen van desinformatie te beperken.

(c)Doeltreffende respons: door de respons van de lidstaten en de samenwerking tussen de lidstaten en met de betrokken instellingen, organen, instanties en agentschappen van de Unie te versterken, kunnen de gevolgen van een significant incident in kritieke infrastructuur beter worden gereduceerd en essentiële diensten sneller worden hersteld op een manier die de kwetsbaarheid voor verdere significante incidenten tot een minimum beperkt.

2. Beginselen

Evenredigheid

Incidenten die kritieke infrastructuur en/of de verlening van essentiële diensten verstoren, blijven vaak onder de drempel voor significante incidenten in kritieke infrastructuur als gespecificeerd in punt 2 van deze aanbeveling. Dergelijke incidenten kunnen in beginsel dan ook doeltreffend op nationaal niveau worden aangepakt. Daarom is de toepassing van de blauwdruk voor kritieke infrastructuur beperkt tot significante incidenten in kritieke infrastructuur.

Subsidiariteit

De verantwoordelijkheid voor de respons op verstoringen van een kritieke infrastructuur of van de essentiële diensten die door kritieke entiteiten worden verleend, ligt overeenkomstig het Unierecht in de eerste plaats bij de lidstaten. In geval van een significant incident in kritieke infrastructuur van aanzienlijk grensoverschrijdend belang is er echter een belangrijke aanvullende rol weggelegd voor de betrokken instellingen, organen, instanties en agentschappen van de Unie en de Europese Dienst voor extern optreden (“EDEO”), aangezien een dergelijk incident gevolgen kan hebben voor meerdere of zelfs alle economische sectoren op de interne markt, voor het leven van de burgers die in de Unie wonen, voor de veiligheid en voor de internationale betrekkingen van de Unie.

Complementariteit

De blauwdruk voor kritieke infrastructuur houdt rekening met en is in overeenstemming met de werking van bestaande crisisbeheersingsmechanismen op Unieniveau, namelijk de regelingen van de Raad voor de geïntegreerde EU-regeling politieke crisisrespons (“IPCR”), het interne crisiscoördinatieproces van de Commissie ARGUS, het Uniemechanisme voor civiele bescherming (“UCPM”), ondersteund door het Coördinatiecentrum voor respons in noodsituaties (“ERCC”), en het crisisresponsmechanisme van de EDEO. De blauwdruk is ook gebaseerd op sectorale regelingen, waaronder de bepalingen voor gecoördineerd beheer van grootschalige cyberbeveiligingsincidenten waarin Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad 1 voorziet, en het kader dat is vastgesteld in de blauwdruk voor een gecoördineerde respons op grootschalige grensoverschrijdende cyberincidenten en -crises (“cyberblauwdruk”) 2 , het netwerk van vervoerscontactpunten 3 en het Europees crisiscoördinatiecentrum voor de luchtvaart 4 .

Bovendien bouwt de blauwdruk voor kritieke infrastructuur voort op en moet hij worden toegepast in overeenstemming met de structuren en mechanismen die zijn ingesteld bij Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad 5 , met name wat betreft de samenwerking tussen bevoegde autoriteiten en met de Commissie en in de Groep voor de weerbaarheid van kritieke entiteiten. Verder wordt in de blauwdruk rekening gehouden met de verantwoordelijkheden van de betrokken instellingen, organen, instanties en agentschappen van de Unie uit hoofde van het voor hen geldende rechtskader. De crisisresponsactiviteiten voor kritieke infrastructuur vormen een aanvulling op andere crisisbeheersingsmechanismen op Unie-, nationaal en sectoraal niveau die de multisectorale coördinatie ondersteunen.

Vertrouwelijkheid van informatie

In de blauwdruk voor kritieke infrastructuur wordt rekening gehouden met het belang van het waarborgen van de vertrouwelijkheid van gerubriceerde en gevoelige niet-gerubriceerde informatie met betrekking tot kritieke infrastructuur en kritieke entiteiten.

3. Relevante actoren

De lidstaten en de betrokken instellingen, organen, instanties en agentschappen van de Unie als bedoeld in de punten a) tot en met e), bepalen overeenkomstig de voor hen geldende voorschriften en procedures de relevante actor(en) voor elk significant incident in kritieke infrastructuur, afhankelijk van de getroffen sector(en) en het soort incident.

a) Lidstaten

- bevoegde autoriteiten (bv. autoriteiten die verantwoordelijk zijn voor kritieke infrastructuur, betrokken sectorale autoriteiten, overeenkomstig artikel 9, lid 2, van Richtlijn (EU) 2022/2557 aangewezen of opgerichte centrale contactpunten, overeenkomstig artikel 9, lid 1, van Richtlijn (EU) 2022/2557 aangewezen of opgerichte autoriteiten);

- in voorkomend geval, het Europees netwerk van verbindingsorganisaties voor cybercrises (“EU-CyCLONe”) als bedoeld in artikel 16 van Richtlijn (EU) 2022/2555;

- de samenwerkingsgroep als bedoeld in artikel 14 van Richtlijn (EU) 2022/2555;

- in voorkomend geval, andere belanghebbenden, waaronder entiteiten of personen uit de particuliere sector, zoals exploitanten van kritieke infrastructuur, waaronder die welke als kritieke entiteiten zijn geïdentificeerd;

- ministers bevoegd voor de weerbaarheid van kritieke infrastructuur en/of minister(s) bevoegd voor de zwaarst door het betrokken significante incident in kritieke infrastructuur getroffen sector(en).

b) De Raad

- het roterende voorzitterschap;

- de relevante werkgroepen, zoals de werkgroep civiele bescherming, waaronder de subgroep weerbaarheid van kritieke entiteiten PROCIV-CER en de voorzitter(s) van de relevante werkgroep(en), afhankelijk van de getroffen sector(en) en de aard van het incident, zoals de Horizontale Groep cybervraagstukken en de Horizontale Groep versterking van weerbaarheid en bestrijding van hybride bedreigingen;

- Coreper, het Politiek en Veiligheidscomité en IPCR, alle ondersteund door het secretariaat-generaal van de Raad.

c) de Commissie, waaronder deskundigengroepen van de Commissie

- de aangewezen leidende dienst (afhankelijk van de getroffen sector), ondersteund door het ERCC als het 24/7 operationele centrum voor het beheer van crisisrespons en het directoraat-generaal Migratie en Binnenlandse Zaken als de ter zake bevoegde dienst alsook, in geval van een sectoroverschrijdend incident, het directoraat-generaal Migratie en Binnenlandse Zaken en andere relevante diensten van de Commissie;

- het directoraat-generaal Communicatie en de dienst van de woordvoerder;

- het directoraat-generaal HERA  de Europese Autoriteit voor paraatheid en respons inzake noodsituaties op gezondheidsgebied;

- de Groep voor de weerbaarheid van kritieke entiteiten, voorgezeten door een vertegenwoordiger van de Commissie (directoraat-generaal Migratie en Binnenlandse Zaken), opgericht bij Richtlijn (EU) 2022/2557, en, in voorkomend geval, andere relevante deskundigengroepen en comités;

- het ERCC, dat in het kader van het UCPM is opgericht bij Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad 6 (het 24/7 operationele centrum voor noodsituaties in het kader van het UCPM, ondergebracht bij het directoraat-generaal Europese Civiele Bescherming en Humanitaire Hulp);

- de samenwerkingsgroep als bedoeld in artikel 14 van Richtlijn (EU) 2022/2555;

- het centrum voor situationeel bewustzijn en analyse op het gebied van cyberveiligheid (Cyber Situational Awareness and Analysis Centre);

- het Gezondheidsbeveiligingscomité, als bedoeld in artikel 4 van Verordening (EU) 2022/2371 7 ;

- het secretariaat-generaal van de Commissie (ARGUS-secretariaat) en de (adjunct-) secretaris-generaal (ARGUS-proces), directoraat-generaal Personele Middelen (directoraat Veiligheid);

- andere relevante deskundigengroepen van de Commissie die de Commissie bijstaan bij de coördinatie van maatregelen in een nood- of crisissituatie;

- andere netwerken voor crisisbeheersing, ook sectoraal (bv. het netwerk van contactpunten voor vervoer dat wordt beheerd door het directoraat-generaal Mobiliteit en Vervoer, de interinstitutionele Cyber Crisis Task Force 8 , de Europese crisiscoördinatiecel voor de luchtvaart);

- de voorzitter en/of de bevoegde vicevoorzitter/commissaris.

d) EDEO

- gezamenlijke capaciteit op het gebied van inlichtingenanalyse (“SIAC”), bestaande uit het Inlichtingen- en situatiecentrum van de EU (“EU-Intcen”) en het directoraat Inlichtingen van de Militaire Staf van de EU (“EUMS INT”);

- Centrum voor Crisisrespons (‘‘CRC’’);

- de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid/vicevoorzitter van de Commissie.

e) Relevante organen en instanties van de Unie en relevante agentschappen van de Unie, afhankelijk van de getroffen sector(en) 9 .

4. Wisselwerking met andere relevante crisisbeheersingsmechanismen en -instrumenten

De blauwdruk voor kritieke infrastructuur is een flexibel instrument waarmee verschillende maatregelen in kaart worden gebracht die gedeeltelijk of volledig kunnen worden genomen met behulp van verschillende bestaande regelingen, afhankelijk van de aard en de ernst van het significante incident in kritieke infrastructuur en de behoefte aan operationele en strategische/politieke coördinatie.

10 a) Het EU-protocol voor de bestrijding van hybride bedreigingen (‘‘EU-protocol’’)

Het EU-protocol geeft een overzicht van processen en instrumenten voor gebruik bij hybride bedreigingen 11 of campagnes.

In geval van een significant incident in kritieke infrastructuur met een hybride dimensie is het EU-protocol in voorkomend geval van toepassing in aanvulling op de blauwdruk voor kritieke infrastructuur, bijvoorbeeld wat betreft specifieke informatie, analyse of communicatie over hybride aspecten van het significante incident in kritieke infrastructuur en wat betreft samenwerking met externe partners.

b) De blauwdruk voor een gecoördineerde respons op grootschalige grensoverschrijdende cyberbeveiligingsincidenten en -crises

Deze cyberblauwdruk is van toepassing op grootschalige grensoverschrijdende incidenten die verstoringen veroorzaken die te groot zijn om door een getroffen lidstaat alleen te worden verholpen of die zodanig verstrekkende en significante technisch of politiek relevante gevolgen hebben voor twee of meer lidstaten of EU-instellingen dat tijdige beleidscoördinatie en respons op het politieke niveau van de Unie vereist zijn.

In geval van een significant incident in kritieke infrastructuur dat samenvalt met of verband lijkt te houden met een grootschalig cyberbeveiligingsincident, voorzien de desbetreffende werkgroepen van de Raad in passende coördinatie op operationeel niveau, bijvoorbeeld met EU-CyCLONe of door middel van een gezamenlijke vergadering van de Groep voor de weerbaarheid van kritieke entiteiten en de samenwerkingsgroep. De coördinatie heeft tot doel te bepalen welke actor(en), instrument(en) of mechanisme(n) op de meest doeltreffende wijze kunnen bijdragen aan de respons op het significante incident in kritieke infrastructuur, waarbij overlapping en parallelle werkzaamheden worden voorkomen.

c) Uniemechanisme voor civiele bescherming en het Coördinatiecentrum voor respons in noodsituaties

Overeenkomstig Besluit nr. 1313/2013/EU betreffende een Uniemechanisme voor civiele bescherming heeft het ERCC, het 24/7 operationele centrum van de Commissie voor het beheer van crisisrespons, de leiding over operationele responsmaatregelen in het kader van het UCPM bij door de natuur of door de mens veroorzaakte rampen of dreigende rampen (waaronder die waarbij kritieke infrastructuur wordt verstoord). In dergelijke gevallen kan het ERCC zorgen voor vroegtijdige waarschuwing, melding en analyse, voor ondersteuning van de informatie-uitwisseling en, in geval van activering van het UCPM door een lidstaat, voor de inzet van operationele bijstand en deskundigen in de getroffen gebieden. Bovendien kan het ERCC de sectorale en sectoroverschrijdende coördinatie vergemakkelijken, zowel op Unieniveau als tussen de Unie en de betrokken nationale autoriteiten, waaronder de autoriteiten die verantwoordelijk zijn voor civiele bescherming en de weerbaarheid van kritieke infrastructuur.

d) Andere sectorale of sectoroverschrijdende mechanismen en instrumenten

De blauwdruk voor kritieke infrastructuur vormt geen overlapping met andere sectorale of sectoroverschrijdende crisisbeheersingsinstrumenten of coördinatiemechanismen. Indien er in de getroffen sector reeds dergelijke instrumenten of mechanismen bestaan, kan de blauwdruk voor kritieke infrastructuur, binnen het toepassingsgebied ervan, worden gebruikt als een aanvulling op de sectorale of sectoroverschrijdende instrumenten of mechanismen, zonder deze evenwel te vervangen. Om overlapping te voorkomen, zou de nodige coördinatie tussen de verschillende actoren moeten plaatsvinden. Dit kan bijvoorbeeld gebeuren in het kader van het interne crisiscoördinatieproces ARGUS van de Commissie, met ondersteuning van het ERCC, en/of in het kader van de coördinatievergaderingen van het IPCR.

Deel II: Informatie-uitwisseling en gecoördineerde respons

De hieronder beschreven maatregelen bestaan uit vormen van samenwerking, met name informatie-uitwisseling, gecoördineerde communicatie en respons. Deze structuur stemt overeen met de modaliteiten van het crisiscoördinatiemechanisme IPCR van de Raad en in de structuur is rekening gehouden met de mogelijkheid dat gebruik wordt gemaakt van de reeds op EU-niveau bestaande crisiscoördinatiemechanismen. De structuur toont hoe deze vormen van samenwerking, als ze worden gebruikt, zouden worden geïntegreerd. De meeste van deze maatregelen kunnen echter ook zelfstandig worden uitgevoerd: ze hangen niet af van het gebruik van dat mechanisme, maar vullen het eerder aan. De maatregelen worden in chronologische volgorde gepresenteerd, rekening houdend met de mogelijkheid dat in geval van een grootschalige crisis waarbij sprake is van een significant incident in kritieke infrastructuur, verschillende maatregelen tegelijkertijd en doorlopend worden uitgevoerd.

1.Informatie-uitwisseling

(a)Op operationeel niveau

De lidstaten die door het significante incident in kritieke infrastructuur worden getroffen, passen hun eigen noodmaatregelen toe, zorgen voor coördinatie met de betrokken nationale crisisbeheersingsmechanismen en voor de inschakeling van alle betrokken nationale, regionale en lokale actoren, in voorkomend geval.

Waar dit relevant is voor bijstand op het gebied van civiele bescherming, wordt de coördinatie tussen de lidstaten en met de Commissie verzorgd door het ERCC in het kader van het UCPM.

I)Informatie-uitwisseling en melding door de nationale bevoegde autoriteiten

De voor kritieke infrastructuur bevoegde nationale autoriteiten van de door het significante incident in kritieke infrastructuur getroffen lidstaten nemen de verplichtingen op het gebied van melding en informatieverstrekking overeenkomstig artikel 15 van Richtlijn (EU) 2022/2557 in acht en stellen bovendien het roterende voorzitterschap van de Raad en de Commissie via hun centrale contactpunten onverwijld in kennis van de relevante informatie die zij van de exploitant(en) van de kritieke infrastructuur, van kritieke entiteiten of uit andere bronnen hebben ontvangen, alsook van informatie over de crisisbeheersingsmechanismen die in werking zijn gesteld. Wat de Commissie betreft, zorgt het ERCC 24/7 voor operationeel contact en operationele capaciteit en voor realtime coördinatie, monitoring en ondersteuning bij de respons op noodsituaties op Unieniveau en staat het ten dienste van de lidstaten en de Commissie als het operationele centrum voor crisisrespons ter bevordering van een sectoroverschrijdende aanpak van rampenbeheersing.

Deze informatie-uitwisseling heeft betrekking op de aard van het significante incident in kritieke infrastructuur, de oorzaak ervan, de geconstateerde of geschatte gevolgen van de verstoring voor de kritieke infrastructuur en voor de verlening van essentiële diensten, de sector- en grensoverschrijdende gevolgen van het incident en de beperkingsmaatregelen die op nationaal niveau of met andere betrokken lidstaten en de Commissie reeds zijn genomen of gepland zijn in het kader van bestaande regelingen, bijvoorbeeld de regelingen voor informatie-uitwisseling op grond van de artikelen 9 en 15 van Richtlijn (EU) 2022/2557. Deze melding wordt gedaan zonder dat daarvoor wordt geput uit de middelen waarover de kritieke infrastructuur of, in sommige gevallen, de kritieke entiteit of de lidstaat beschikt voor het uitvoeren van activiteiten die verband houden met het aanpakken van incidenten – wat de prioriteit moet blijven.

Met het oog op de follow-up brengen het ERCC of de in kennis gestelde diensten van de Commissie die bevoegd zijn voor de sector(en) waarin het significante incident in kritieke infrastructuur zich heeft voorgedaan, het contactpunt bij het directoraat-generaal Migratie en Binnenlandse Zaken en het secretariaat-generaal van de Commissie op de hoogte. Ondertussen begint het ERCC, als dat nog niet begonnen is, met het monitoren van de gebeurtenissen, in het bijzonder in gevallen waarin het UCPM door een of meer van de getroffen lidstaten is geactiveerd.

Als de informatie relevant kan zijn met het oog op cyberbeveiliging of verband kan houden met een cyberbeveiligingsincident, deelt de Commissie de relevante informatie met EU-CyCLONe.

In geval van cyberincidenten en incidenten die negatieve gevolgen hebben voor kritieke entiteiten, dienen de in Richtlijn (EU) 2022/2557 bedoelde nationale bevoegde autoriteiten onverwijld samen te werken en informatie uit te wisselen met de in Richtlijn (EU) 2022/2555 bedoelde bevoegde autoriteiten, onder meer met betrekking tot de door kritieke entiteiten genomen cyberbeveiligingsmaatregelen en fysieke maatregelen.

Wat maritieme aangelegenheden betreft, overwegen de nationale bevoegde autoriteiten de mogelijkheid om gebruik te maken van de gemeenschappelijke gegevensuitwisselingsstructuur (Common Information Sharing Environment, “CISE”), zodat zonder onnodige vertraging informatie kan worden uitgewisseld.

II)Organisatie van deskundigenbijeenkomsten

De Commissie roept zo snel mogelijk de Groep voor de weerbaarheid van kritieke entiteiten bijeen met het oog op het vergemakkelijken van de uitwisseling van relevante informatie over het incident (aard, oorzaak, gevolgen en sector- en grensoverschrijdende gevolgen) en over de responsmaatregelen (zoals beperkingsmaatregelen en technische ondersteuning voor de getroffen lidstaten) tussen de voor kritieke infrastructuur bevoegde nationale autoriteiten en de betrokken instellingen, organen, instanties en agentschappen van de Unie. Afhankelijk van het zwaartepunt van het incident worden de betrokken diensten van de Commissie nauw betrokken bij vergaderingen van de Groep voor de weerbaarheid van kritieke entiteiten, zodat informatie die via bestaande sectorale instrumenten is verzameld, kan worden uitgewisseld. In geval van incidenten waarbij zowel cyberbeveiligingsaspecten als fysieke niet-cybergebonden aspecten een rol spelen, zorgen de relevante diensten van de Commissie, CERT-EU en de EDEO, waar relevant, voor kennisgeving aan en raadpleging van de Cyber Crisis Task Force en de voorzitters van de in artikel 14 van Richtlijn (EU) 2022/2555 bedoelde samenwerkingsgroep en, in voorkomend geval, van EU-CyCLONe met betrekking tot de behoefte aan coördinatieactiviteiten. In overleg met de respectievelijke voorzitters kan de Commissie (het directoraat-generaal Migratie en Binnenlandse Zaken en het directoraat-generaal Communicatienetwerken, Inhoud en Technologie) een gezamenlijke vergadering van de Groep voor de weerbaarheid van kritieke entiteiten en de samenwerkingsgroep voorstellen om tot een gedeeld situationeel bewustzijn te komen en de respectievelijke responsmaatregelen te coördineren.

In geval van een significant sectoroverschrijdend incident in kritieke infrastructuur waarvoor gevolgenbeheersing op Unieniveau vereist is of kan zijn, kan de Commissie sectoroverschrijdende coördinatievergaderingen met alle relevante belanghebbenden beleggen.

Indien een significant incident in kritieke infrastructuur ook gevolgen heeft voor een derde land, pleegt de Commissie overleg met de bevoegde autoriteit van het getroffen derde land en kan zij deze autoriteit uitnodigen voor een vergadering van de Groep voor de weerbaarheid van kritieke entiteiten.

III)Ondersteuning door de Commissie en agentschappen van de Unie

Waar relevant en in overeenstemming met zijn mandaat presenteert Europol een verslag over de stand van zaken in de Unie op het gebied van incidenten. Andere agentschappen van de Unie stellen hun “toezichthoudende” directoraten-generaal, waar relevant en in overeenstemming met hun mandaat, in kennis van relevante informatie die bijdraagt aan het situationeel bewustzijn of de gecoördineerde respons op het significante incident in kritieke infrastructuur, en die directoraten-generaal brengen op hun beurt verslag uit aan de Commissie (directoraat-generaal Migratie en Binnenlandse Zaken, in zijn hoedanigheid van voorzitter van de Groep voor de weerbaarheid van kritieke entiteiten).

De Commissie kan een bijdrage aan het situationeel bewustzijn leveren door gebruik te maken van de middelen van het ruimtevaartprogramma van de Unie 12 , zoals Copernicus, Galileo en Egnos, waar relevant en in overeenstemming met het toepasselijke rechtskader.

(b)Op strategisch niveau

I)Opstellen van verslagen inzake situationeel bewustzijn

De Commissie stelt een verslag inzake situationeel bewustzijn op basis van de informatie die de nationale bevoegde autoriteiten in een vergadering van de Groep voor de weerbaarheid van kritieke entiteiten of in gezamenlijke vergaderingen met betrokken diensten, deskundigengroepen of netwerken meedelen, en op basis van andere beschikbare informatie.

In dit verslag wordt, waar relevant, rekening gehouden met de resultaten van de desbetreffende risicobeoordelingen, evaluaties en scenario’s die vanuit het oogpunt van cyberbeveiliging worden opgesteld op EU-niveau, onder meer door de Commissie, de hoge vertegenwoordiger van de Unie voor buitenlandse zaken en veiligheidsbeleid en de samenwerkingsgroep.

In geval van activering van het IPCR kan dit verslag bijdragen aan de geïntegreerde situatiekennis- en -analyse (“ISAA”) van de diensten van de Commissie en de EDEO.

SIAC presenteert, waar relevant, een actuele, op inlichtingen gebaseerde beoordeling van het incident.

II)Activering van de crisiscoördinatiemechanismen van de Unie en gebruik van de instrumenten van de Unie

Het ERCC begint met het bieden van ondersteuning met het oog op het situationeel bewustzijn rond het incident, waar dat relevant is, met name als de gebeurtenis aanleiding geeft tot activering van het UCPM 13 . Daarnaast kunnen getroffen lidstaten satellietbeelden van hun grondgebied opvragen via de dienst van Copernicus voor het beheer van noodsituaties.

Wanneer het passend wordt geacht om in de hele Commissie informatie te delen met de EDEO en de betrokken agentschappen van de Unie, activeert het leidende directoraat-generaal of directoraat-generaal Migratie en Binnenlandse Zaken, in coördinatie met het secretariaat-generaal, het interne crisiscoördinatieproces ARGUS fase I van de Commissie door een event te openen op de IT-tool ARGUS.

Het roterende voorzitterschap van de Raad van de Unie kan de IPCR-regelingen activeren in de informatie-uitwisselingsmodus, wat inhoudt dat de Commissie en de EDEO in voorkomend geval ISAA-verslagen kunnen opstellen met bijdragen van nationale bevoegde autoriteiten en andere bronnen. Zelfs zonder activering van het IPCR kan onder bepaalde voorwaarden een monitoringpagina op het IPCR-webplatform worden geïnitieerd door het roterende voorzitterschap van de Raad of door de Commissie.

In voorkomend geval kunnen nog andere (sectorale) crisisbeheersingsmechanismen en -instrumenten van de Unie worden geactiveerd volgens de respectievelijke procedures. De Commissie zorgt voor coördinatie tussen deze mechanismen en instrumenten.

Indien het fysieke incident samenvalt met of verband lijkt te houden met een grootschalig cyberbeveiligingsincident, zoals gedefinieerd in artikel 6, punt 7, van Richtlijn (EU) 2022/2555, kan het roterende voorzitterschap van de Raad aan de hand van de cyberblauwdruk voorzien in passende coördinatie op operationeel niveau, waarbij onder andere EU-CyCLONe en de Groep voor de weerbaarheid van kritieke entiteiten worden betrokken.

III)Coördinatie van publieke communicatie

De lidstaten die getroffen zijn door het significante incident in kritieke infrastructuur, coördineren hun publieke communicatie over de crisis zoveel mogelijk, met inachtneming van de nationale bevoegdheid op dit gebied. Het crisiscommunicatienetwerk van het IPCR kan hierbij in voorkomend geval worden betrokken.

Op basis van het gedeeld situationeel bewustzijn verlenen de Groep voor de weerbaarheid van kritieke entiteiten en de getroffen lidstaten in voorkomend geval ondersteuning bij de formulering van onderling afgesproken materiaal voor publieke communicatie.

Europol en andere relevante agentschappen van de Unie coördineren hun publieke communicatieactiviteiten met de dienst van de woordvoerder van de Commissie, op basis van het gedeeld situationeel bewustzijn.

Als het significante incident in kritieke infrastructuur een externe of hybride dimensie heeft of raakt aan het gemeenschappelijk veiligheids- en defensiebeleid, wordt de publieke communicatie gecoördineerd met de EDEO en de dienst van de woordvoerder van de Commissie, overeenkomstig het EU-protocol voor de bestrijding van hybride bedreigingen 14 .

2.Respons (met doorlopende maatregelen zoals beschreven onder informatie-uitwisseling en aanvullende maatregelen op strategisch/politiek niveau)

(a)Op strategisch niveau

I) Doorlopende opstelling van situatieverslagen

De Werkgroep Civiele Bescherming – Weerbaarheid van kritieke entiteiten (PROCIV-CER) van de Raad wordt op de hoogte gesteld van het opstellen van een politiek/strategisch situatieverslag (bv. het ISAA-verslag in geval van activering van het IPCR of het door de Commissie opgestelde verslag inzake het gedeeld situationeel bewustzijn) en zorgt voor de voorbereiding van het Coreper, indien dit nog niet is bijeengeroepen, of de vergadering van het Politiek en Veiligheidscomité, in voorkomend geval.

SIAC intensiveert het contact met de inlichtingendiensten van de lidstaten, verzamelt de uit alle bronnen afkomstige informatie en bereidt een analyse en beoordeling van het incident voor, evenals, zo nodig, regelmatige updates.

II)Volledige activering van de crisiscoördinatiemechanismen van de Unie en gebruik van de instrumenten van de Unie

Indien de voorzitter van de Commissie het interne crisiscoördinatieproces van de Commissie ARGUS fase II activeert, worden op korte termijn een of meer vergaderingen van het crisiscoördinatiecomité, met deelname van de relevante diensten en agentschappen van de Commissie en, waar relevant, de EDEO, belegd om alle aspecten van het significante incident in kritieke infrastructuur te coördineren.

Als het voorzitterschap van de Raad het IPCR volledig activeert:

- belegt het roterende voorzitterschap van de Raad tijdig een informele rondetafelbijeenkomst met de betrokken nationale, Europese en internationale actoren, waar de vertegenwoordiger van de Commissie in zijn hoedanigheid van voorzitter van de groep voor de weerbaarheid van kritieke entiteiten (directoraat-generaal Migratie en Binnenlandse Zaken) verslag kan uitbrengen over de eerdere vergadering(en) van de groep – in voorkomend geval ook bijgewoond door andere diensten van de Commissie en de EDEO.

- kunnen SIAC en de betrokken agentschappen van de Unie worden uitgenodigd om tijdens deze vergadering een stand van zaken te geven over het significante incident in kritieke infrastructuur.

De dienst die de leiding heeft over de ISAA-rapportage (de leidende dienst van de Commissie of de EDEO) stelt het ISAA-verslag op aan de hand van bijdragen van de betrokken diensten van de Commissie, de betrokken instanties, organen en agentschappen van de Unie en de nationale bevoegde autoriteiten. De lidstaten worden uitgenodigd om via het IPCR-webplatform input voor de ISAA-verslagen te leveren.

In geval van een significant incident in kritieke infrastructuur dat relevant is voor de internationale veiligheid, kunnen de diensten van de Commissie en de EDEO een vergadering in het kader van de gestructureerde EU-NAVO-dialoog over veerkracht bijeenroepen om bij te dragen aan een gedeeld situationeel bewustzijn en de uitwisseling van informatie over de maatregelen die respectievelijk door de Unie en de NAVO zijn genomen.

III)Publieke communicatie

De Raad stelt gemeenschappelijke berichten voor publieke communicatie op. Het informele netwerk van crisisvoorlichters dat in het kader van het IPCR is opgericht, kan daarbij ondersteuning verlenen. In voorkomend geval stelt de dienst van de woordvoerder van de Commissie ook berichten voor publieke communicatie op.

Als het significante incident in kritieke infrastructuur een externe of hybride dimensie heeft of raakt aan het gemeenschappelijk veiligheids- en defensiebeleid, wordt de publieke communicatie gecoördineerd met de EDEO en de dienst van de woordvoerder van de Commissie.

IV)Ondersteuning van lidstaten en doeltreffende respons

Het roterende voorzitterschap kan een vergadering van PROCIV-CER bijeenroepen om de activiteiten in het kader van het IPCR te ondersteunen, indien dit wordt geactiveerd.

De lidstaten die door het significante incident in kritieke infrastructuur worden getroffen, kunnen via de Groep voor de weerbaarheid van kritieke entiteiten verzoeken om technische bijstand van andere lidstaten of betrokken instellingen, organen en agentschappen van de Unie, bijvoorbeeld in de vorm van specifieke deskundigheid om de negatieve gevolgen van het significante incident in kritieke infrastructuur te beperken.

De lidstaten die door het significante incident in kritieke infrastructuur worden getroffen, kunnen ook verzoeken om technische en/of financiële bijstand van de Commissie of de relevante agentschappen van de Unie. In coördinatie met de betrokken agentschappen van de Unie gaat de Commissie na welke steun zij kan verlenen, activeert zij in voorkomend geval technische beperkingsmaatregelen op Unieniveau in overeenstemming met hun respectievelijke procedures en coördineert zij de technische capaciteit die nodig is om de gevolgen van het significante incident in kritieke infrastructuur tegen te houden of te beperken.

Met name in het kader van het UCPM kunnen de getroffen landen om bijstand verzoeken via het gemeenschappelijk noodcommunicatie- en informatiesysteem (“Cecis”), waarna het ERCC de verlening van bijstand door de lidstaten en de aan het UCPM deelnemende landen zou coördineren, alsook via “rescEU”.

In het kader van hun respectievelijke mandaat en op verzoek verlenen Europol en de andere betrokken agentschappen van de Unie de lidstaten die door een significant incident in kritieke infrastructuur worden getroffen, ondersteuning bij het onderzoek naar het incident.

(b)Op politiek niveau

Het voorzitterschap van de Raad zou zich kunnen buigen over de noodzaak IPCR-rondetafelconferenties, vergaderingen van werkgroepen van de Raad, het Coreper, de Raad van Ministers en/of topontmoetingen bijeen te roepen om van gedachten te wisselen over de mogelijke oorsprong en de verwachte gevolgen van het significante incident in kritieke infrastructuur voor de lidstaten en de Unie, overeenstemming te bereiken over gemeenschappelijke richtsnoeren en de nodige maatregelen vast te stellen om de door het significante incident in kritieke infrastructuur getroffen lidstaten te steunen en de gevolgen van het incident te beperken.

Diagram 1: Schematisch overzicht van de blauwdruk voor kritieke infrastructuur

Diagram 2: Besluitvorming in het kader van de blauwdruk voor kritieke infrastructuur

(1)    Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (PB L 333 van 27.12.2022, blz. 80).

(2)    Aanbeveling (EU) 2017/1584 van de Commissie van 13 september 2017 inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises (PB L 239 van 19.9.2017, blz. 36).

(3)    Mededeling van de Commissie – Een noodplan voor vervoer (COM(2022) 211 final).

(4)    Vastgesteld op grond van artikel 19 van Uitvoeringsverordening (EU) 2019/123 van de Commissie van 24 januari 2019 tot vaststelling van nadere regels voor de uitvoering van de netwerkfuncties voor luchtverkeersbeheer.

(5)    Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad van 14 december 2022 betreffende de weerbaarheid van kritieke entiteiten en tot intrekking van Richtlijn 2008/114/EG van de Raad (PB L 333 van 27.12.2022, blz. 164).

(6)    Besluit nr. 1313/2013/EU van het Europees Parlement en de Raad van 17 december 2013 betreffende een Uniemechanisme voor civiele bescherming (PB L 347 van 20.12.2013, blz. 924).

(7)    Verordening (EU) 2022/2371 van het Europees Parlement en de Raad van 23 november 2022 inzake ernstige grensoverschrijdende gezondheidsbedreigingen en tot intrekking van Besluit nr. 1082/2013/EU (PB L 314 van 6.12.2022, blz. 26).

(8)    Een informele groep met relevante diensten van de Commissie, de EDEO, het Agentschap voor cyberbeveiliging van de Europese Unie (Enisa), CERT-EU en Europol, onder gezamenlijk voorzitterschap van het directoraat-generaal Communicatienetwerken, Inhoud en Technologie en de EDEO.

(9)    Zoals Europol; voor vervoer: het Agentschap van de Europese Unie voor de veiligheid van de luchtvaart (EASA), het Europees Agentschap voor maritieme veiligheid (EMSA), het Spoorwegbureau van de Europese Unie (ERA); op gezondheidsgebied: het Europees Centrum voor ziektepreventie en -bestrijding (ECDC) en het Europees Geneesmiddelenbureau (EMA); voor energie: het Agentschap voor de samenwerking tussen energieregulators (ACER); voor ruimte: het Agentschap van de Europese Unie voor het ruimtevaartprogramma (EUSPA); voor de levensmiddelensector: de Europese Autoriteit voor voedselveiligheid (EFSA); op maritiem gebied: het Europees Bureau voor visserijcontrole (EBVC/EFCA); voor cyberincidenten: het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa), Computer Security Incident Response Teams (CSIRT’s), het computercrisisresponsteam voor de instellingen, organen en instanties van de Europese Unie (CERT-EU).

(10)    Joint Staff Working Document - EU Protocol for countering hybrid threats (SWD(2023) 116 final).

(11)    Onder hybride bedreigingen wordt verstaan een combinatie van dwingende en ontregelende activiteit en conventionele en onconventionele methoden, die op een gecoördineerde manier kunnen worden gebruikt door zowel statelijke als niet-statelijke actoren om specifieke doelstellingen te bereiken, maar waarbij nog geen sprake is van formeel verklaarde oorlogsvoering.

(12)    Verordening (EU) 2021/696 van het Europees Parlement en de Raad van 28 april 2021 tot vaststelling van het ruimtevaartprogramma van de Unie, tot oprichting van het Agentschap van de Europese Unie voor het ruimtevaartprogramma en tot intrekking van de Verordeningen (EU) nr. 912/2010, (EU) nr. 1285/2013 en (EU) nr. 377/2014 en Besluit nr. 541/2014/EU (PB L 170 van 12.5.2021, blz. 69).

(13)    Zoals de publicatie van producten voor mediamonitoring, berichten op het gebied van civiele bescherming, analytische briefings, ECHO Daily Maps, ECHO Daily Flashes en andere op maat gemaakte producten.

(14)    Joint Staff Working Document - EU Protocol for countering hybrid threats (SWD(2023) 116 final).