KOMISJA EUROPEJSKA
Strasburg, dnia 18.10.2022
COM(2022) 551 final
2022/0338(NLE)
Wniosek
ZALECENIE RADY
w sprawie skoordynowanego podejścia Unii do kwestii wzmocnienia odporności infrastruktury krytycznej
(Tekst mający znaczenie dla EOG)
KOMISJA EUROPEJSKA
Strasburg, dnia 18.10.2022
COM(2022) 551 final
2022/0338(NLE)
Wniosek
ZALECENIE RADY
w sprawie skoordynowanego podejścia Unii do kwestii wzmocnienia odporności infrastruktury krytycznej
(Tekst mający znaczenie dla EOG)
UZASADNIENIE
1.KONTEKST WNIOSKU
•Przyczyny i cele wniosku
Bezpieczeństwo jest jednym z nadrzędnych celów Unii Europejskiej. Główna odpowiedzialność za ochronę obywateli spoczywa na państwach członkowskich, jednak wspólne działanie na szczeblu Unii w znacznym stopniu przyczynia się do bezpieczeństwa UE jako całości. Koordynacja pomaga wzmocnić odporność, zwiększyć czujność i zintensyfikować naszą zbiorową reakcję. W kontekście strategii UE w zakresie unii bezpieczeństwa podjęto istotne kroki w celu tworzenia potencjału i zdolności umożliwiających zapobieganie licznym zagrożeniom dla bezpieczeństwa, wykrywania ich i szybkiego reagowania na nie, a także w celu połączenia wysiłków podejmowanych przez podmioty sektora publicznego i prywatnego.
Wyposażenie UE w narzędzia pozwalające reagować na nieustannie zmieniający się krajobraz zagrożeń wymaga stałej czujności i dostosowania się. Rosyjska wojna napastnicza przeciwko Ukrainie przyniosła ze sobą nowe zagrożenia, występujące nierzadko w formie hybrydowej. Jednym z tych zagrożeń jest ryzyko zakłóceń w świadczeniu usług kluczowych przez podmioty obsługujące infrastrukturę krytyczną w Europie. Stało się to jeszcze bardziej oczywiste w następstwie dokonanego sabotażu gazociągów Nord Stream i innych niedawnych zdarzeń. Społeczeństwo jest w dużej mierze uzależnione od infrastruktury fizycznej i cyfrowej, a przerwanie świadczenia usług kluczowych, czy to w wyniku konwencjonalnych ataków fizycznych, cyberataków, czy też połączenia tych dwóch form, może mieć poważne konsekwencje dla dobrostanu obywateli, naszych gospodarek i zaufania do naszych demokratycznych systemów.
Kolejnym nadrzędnym celem UE jest zapewnienie sprawnego funkcjonowania rynku wewnętrznego, w tym usług kluczowych świadczonych przez podmioty obsługujące infrastrukturę krytyczną. UE podjęła w związku z tym szereg działań, aby zmniejszyć podatność na zagrożenia i zwiększyć odporność podmiotów krytycznych, zarówno na zagrożenia w cyberprzestrzeni, jak i pozostałe ryzyka.
Potrzebne są pilne działania w celu zwiększenia zdolności UE do przeciwdziałania potencjalnym atakom na infrastrukturę krytyczną, przede wszystkim na terytorium UE, ale w razie potrzeby również w jej bezpośrednim sąsiedztwie.
Zalecenie Rady, którego dotyczy niniejszy wniosek, zmierza do zintensyfikowania wsparcia UE na rzecz zwiększenia odporności infrastruktury krytycznej oraz zapewnienia koordynacji na szczeblu UE pod względem gotowości i reagowania. Celem zalecenia jest zmaksymalizowanie i przyspieszenie prac na rzecz ochrony tych aktywów, obiektów i systemów, które są niezbędne do funkcjonowania gospodarki, na rzecz świadczenia usług kluczowych na rynku wewnętrznym, na których polegają obywatele, a także na rzecz łagodzenia skutków wszelkich ataków poprzez zagwarantowanie jak najszybszego przywrócenia stanu wyjściowego. Ochroną powinna być objęta cała infrastruktura, jednak najważniejszym priorytetem – ze względu na szczególnie przekrojowy charakter, a tym samym znaczenie dla społeczeństwa i gospodarki, a także zgodnie z aktualnymi ocenami ryzyka – są obecnie sektory: energetyczny, cyfrowy, transportowy i kosmiczny.
UE ma do odegrania szczególną rolę, jeżeli chodzi o zapewnienie odporności infrastruktury, która przekracza granice lądowe lub morskie i która ma wpływ na interesy kilku państw członkowskich jednocześnie, lub która jest wykorzystywana do transgranicznego świadczenia usług kluczowych. Infrastruktura krytyczna o znaczeniu dla kilku państw członkowskich może znajdować się jednak na terytorium tylko jednego państwa członkowskiego lub wręcz poza terytorium państwa członkowskiego, co ma na przykład miejsce w przypadku kabli podmorskich lub rurociągów. W interesie wszystkich państw członkowskich oraz całej UE leży jednoznaczna identyfikacja infrastruktury krytycznej, obsługujących ją podmiotów i zagrażającego jej ryzyka, jak również wspólne zobowiązanie na rzecz jej ochrony.
Parlament Europejski i Rada osiągnęły już porozumienie polityczne w sprawie pogłębienia ram prawnych UE, co pozwoli wzmocnić odporność podmiotów obsługujących infrastrukturę krytyczną. Latem 2022 r. osiągnięto porozumienia odnośnie do dyrektywy w sprawie odporności podmiotów krytycznych („dyrektywa CER”) 1 oraz zmienionej dyrektywy w sprawie bezpieczeństwa sieci i systemów informatycznych („dyrektywa NIS 2”) 2 . W porównaniu z istniejącymi ramami prawnymi, dyrektywą 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony („dyrektywa w sprawie infrastruktury krytycznej”) 3 oraz dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii („dyrektywa NIS”) 4 będą one prowadzić do znaczącej intensyfikacji zdolności. Oczekuje się, że nowe przepisy wejdą w życie pod koniec 2022 r. lub na początku 2023 r. Państwa członkowskie powinny priorytetowo potraktować ich transpozycję i zastosowanie, zgodnie z prawem Unii.
W związku z tym, a także biorąc pod uwagę ewentualną pilną potrzebę zareagowania na zagrożenia wynikające z rosyjskiej wojny napastniczej przeciwko Ukrainie, działania określone w nowych przepisach należy, w miarę możliwości i w stosownych przypadkach, zacząć wprowadzać już dzisiaj. Pogłębienie wzajemnej współpracy już teraz pomogłoby nadać tempa skutecznemu wdrażaniu przepisów w chwili, gdy będą one już w pełni obowiązujące.
Dzięki temu możliwe byłoby wyjście poza obecne ramy, zarówno pod względem intensywności działań, jak i zakresu objętych nimi sektorów. W nowej dyrektywie CER przedstawiono nowe ramy współpracy oraz obowiązki państw członkowskich i podmiotów krytycznych. Celem jest przy tym wzmocnienie fizycznej, niezwiązanej z cyberbezpieczeństwem odporności tych podmiotów, które świadczą usługi kluczowe na rynku wewnętrznym w obrębie 11 wymienionych sektorów 5 , na zagrożenia naturalne i spowodowane przez człowieka. Dyrektywą NIS 2 wprowadzony zostanie szeroki zakres obowiązków w zakresie cyberbezpieczeństwa. Wśród tych obowiązków znajdzie się nowy wymóg, aby państwa członkowskie uwzględniały w razie potrzeby w swoich strategiach cyberbezpieczeństwa kable podmorskie.
Prawodawstwo nakłada na Komisję obowiązek odegrania istotnej roli koordynacyjnej. Na mocy dyrektywy CER Komisja pełni rolę wspierającą i ułatwiającą, która będzie realizowana przy wsparciu i zaangażowaniu ustanowionej na podstawie tej dyrektywy Grupy ds. Odporności Podmiotów Krytycznych (CERG); Komisja powinna także uzupełniać działania państw członkowskich poprzez opracowywanie najlepszych praktyk, materiałów zawierających wytyczne i metod. Jeżeli chodzi o cyberbezpieczeństwo, już w swoich konkluzjach w sprawie stanu cyberbezpieczeństwa Unii opublikowanych latem 2022 r. Rada zwróciła się do Komisji, wysokiego przedstawiciela i grupy współpracy NIS o podjęcie pracy nad ocenami ryzyka i scenariuszami z perspektywy cyberbezpieczeństwa. Taka koordynacja może posłużyć za punkt wyjścia dla wypracowania podejścia w odniesieniu do innej kluczowej infrastruktury krytycznej.
5 października 2022 r. przewodnicząca Ursula von der Leyen przedstawiła pięciopunktowy plan określający skoordynowane podejście do niezbędnych prac, jakie należy podjąć. Jego najważniejsze elementy to: wzmocnienie gotowości; współpraca z państwami członkowskimi w celu poddania ich infrastruktury krytycznej testom warunków skrajnych, najpierw w sektorze energetycznym, a następnie w innych sektorach wysokiego ryzyka; zwiększenie zdolności reagowania, w szczególności za pośrednictwem Unijnego Mechanizmu Ochrony Ludności; efektywne wykorzystanie potencjału satelitarnego do wykrywania potencjalnych zagrożeń oraz zacieśnienie współpracy z NATO i kluczowymi partnerami w zakresie odporności infrastruktury krytycznej. W pięciopunktowym planie podkreślono znaczenie wcześniejszego wdrożenia przepisów, odnośnie do których już osiągnięto porozumienie polityczne.
W proponowanym zaleceniu Rady z zadowoleniem przyjęto to podejście, które pozwoli nadać strukturę wsparciu udzielanemu państwom członkowskim oraz skoordynować ich wysiłki prowadzące do zwiększania świadomości ryzyka, gotowości i reagowania na obecne zagrożenia. W związku z tym jeszcze przed wejściem w życie dyrektywy CER i powołanej na mocy tej dyrektywy CERG zwoływane są spotkania ekspertów celem omawiania odporności podmiotów obsługujących infrastrukturę krytyczną.
Zasadnicze znaczenie będzie miało pogłębienie współpracy z kluczowymi partnerami oraz sąsiadującymi lub innymi istotnymi państwami trzecimi w zakresie odporności podmiotów obsługujących infrastrukturę krytyczną, przede wszystkim w ramach ustrukturyzowanego dialogu UE–NATO na temat odporności.
Niniejsze zalecenie koncentruje się na wzmocnieniu zdolności Unii do przewidywania nowych zagrożeń wynikających z rosyjskiej wojny napastniczej przeciwko Ukrainie, zapobiegania im i reagowania na nie. W związku z tym proponowane zalecenia koncentrują się na przeciwdziałaniu zagrożeniom dla bezpieczeństwa i zagrożeniom dla infrastruktury krytycznej. Należy jednak zauważyć, że najnowsze wydarzenia uwypukliły również pilną potrzebę zwrócenia większej uwagi na oddziaływanie zmian klimatu na infrastrukturę i usługi kluczowe. Chodzi tu na przykład o zagrożone w pewnych okresach i niemożliwe do przewidzenia dostawy wody na potrzeby chłodzenia elektrowni jądrowych, energię wodną i żeglugę śródlądową lub ryzyko szkód materialnych w infrastrukturze transportowej, które mogą powodować poważne zakłócenia w świadczeniu usług kluczowych. Wymienione problemy nadal będą rozwiązywane za pomocą odpowiednich przepisów i stosownej koordynacji.
•Spójność z przepisami obowiązującymi w tej dziedzinie polityki
Niniejszy wniosek dotyczący zalecenia Rady jest w pełni zgodny z obecnymi i przyszłymi ramami prawnymi dotyczącymi odporności podmiotów obsługujących infrastrukturę krytyczną, tj. odpowiednio z dyrektywą w sprawie infrastruktury krytycznej (dyrektywa ECI) oraz z dyrektywą w sprawie odporności podmiotów krytycznych (dyrektywa CER), ponieważ jego celem jest między innymi ułatwienie współpracy między państwami członkowskimi w tej dziedzinie oraz wspieranie konkretnych środków mających na celu zwiększenie odporności na występujące obecnie bezpośrednie zagrożenia dla podmiotów obsługujących infrastrukturę krytyczną w UE.
Wniosek uzupełnia ponadto dyrektywę CER i wychodzi jej naprzeciw, wzywając państwa członkowskie do priorytetowego potraktowania terminowej transpozycji dyrektywy i do współpracy w ramach spotkań ekspertów zwoływanych w ramach pięciopunktowego planu zapowiedzianego przez Komisję, a także zabiegając o skoordynowane wypracowanie wspólnego podejścia do poddawania infrastruktury krytycznej w UE testom warunków skrajnych.
Wniosek jest zgodny także z dyrektywą NIS oraz przyszłą dyrektywą NIS 2, która uchyli dyrektywę NIS, jako że zawiera wezwanie do szybkiego rozpoczęcia prac nad wdrożeniem i transpozycją. Wniosek odzwierciedla również wspólne wezwanie z Nevers, przyjęte w marcu 2022 r., a także konkluzje Rady w sprawie stanu cyberbezpieczeństwa Unii, opublikowane w maju 2022 r., w odniesieniu do skierowanego do Komisji wniosku państw członkowskich o opracowanie ocen ryzyka i scenariuszy ryzyka.
Wniosek jest ponadto zgodny z polityką UE w zakresie ochrony ludności: w przypadku poważnych zakłóceń w funkcjonowaniu infrastruktury krytycznej/podmiotów krytycznych państwa członkowskie i państwa trzecie mogą zwrócić się o pomoc za pośrednictwem Centrum Koordynacji Reagowania Kryzysowego (ERCC) w ramach Unijnego Mechanizmu Ochrony Ludności (UMOL). W przypadku uruchomienia UMOL Centrum Koordynacji Reagowania Kryzysowego Ochrony Ludności może koordynować i współfinansować przekazywanie dotkniętemu kryzysem państwu niezbędnego sprzętu, materiałów i wiedzy fachowej dostępnych w państwach członkowskich (częściowo w kontekście europejskiej puli ochrony ludności) oraz w ramach rescEU. Pomoc, która może zostać udostępniona na żądanie, obejmuje na przykład paliwo, generatory, infrastrukturę elektroenergetyczną, możliwości pozwalające na zapewnienie schronienia i oczyszczanie wody oraz zasoby w zakresie ratownictwa medycznego.
Wniosek jest również zgodny z dorobkiem prawnym UE dotyczącym bezpieczeństwa dostaw energii.
Sektora energii jądrowej nie uwzględniono jednoznacznie w zaleceniu Rady, którego dotyczy wniosek, z wyjątkiem na przykład w formie powiązanej infrastruktury (takiej jak linie przesyłowe do elektrowni jądrowych), która może mieć wpływ na bezpieczeństwo dostaw. Konkretne aspekty energii jądrowej są objęte odpowiednimi przepisami dotyczącymi energii jądrowej w Traktacie Euratom lub w prawodawstwie krajowym 6 . Wyciągając wnioski z awarii w Fukushimie, wzmocniono europejskie przepisy dotyczące bezpieczeństwa jądrowego. W związku z tym organy krajowe muszą przeprowadzać regularne okresowe przeglądy bezpieczeństwa w odniesieniu do każdej instalacji, aby zapewnić nieprzerwaną zgodność z najwyższymi wymogami bezpieczeństwa oraz określić możliwości dalszych ulepszeń w zakresie bezpieczeństwa; przeprowadzanych jest także sześć corocznych tematycznych ocen wzajemnych na szczeblu UE.
W strategii Unii Europejskiej w zakresie bezpieczeństwa morskiego 7 i w jej planie działania 8 podkreślono zmieniający się charakter zagrożeń na obszarach morskich i wezwano do ponownego zaangażowania na rzecz ochrony krytycznej infrastruktury morskiej, w tym podwodnej, a przede wszystkim transportu morskiego, infrastruktury energii i łączności, między innymi w drodze poprawy orientacji sytuacyjnej w sektorze morskim poprzez usprawnienie interoperacyjności i ułatwienie wymiany informacji.
Wniosek jest również zgodny z innymi istotnymi przepisami sektorowymi. Wdrożenie niniejszego zalecenia powinno być w związku z tym spójne ze szczególnymi środkami, które regulują lub mogą regulować w przyszłości niektóre aspekty odporności podmiotów działających w danych sektorach, takich jak transport. Chodzi tu o inne istotne inicjatywy, takie jak plan awaryjny dla transportu 9 czy plan awaryjny na rzecz zaopatrzenia w żywność i bezpieczeństwa żywnościowego w czasach kryzysu 10 oraz powiązany europejski mechanizm gotowości i reagowania w zakresie bezpieczeństwa żywnościowego. Ogólnie rzecz biorąc, zalecenie powinno być wdrażane z pełnym poszanowaniem wszystkich mających zastosowanie przepisów prawa UE, w tym przepisów określonych w dyrektywie ECI i w dyrektywie NIS.
Wniosek jest również zgodny ze Strategicznym kompasem na rzecz bezpieczeństwa i obrony, w którym podkreślono potrzebę znacznego zwiększenia odporności i zdolności do przeciwdziałania zagrożeniom hybrydowym i cyberatakom, a także potrzebę wzmocnienia odporności krajów partnerskich i realizowania współpracy z NATO. Jest on również zgodny z ramami skoordynowanej reakcji UE na zagrożenia i kampanie hybrydowe mające wpływ na UE, jej państwa członkowskie i partnerów 11 .
2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ
•Podstawa prawna
Podstawą wniosku jest art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), który przewiduje zbliżenie przepisów w celu usprawnienia rynku wewnętrznego, wraz z art. 292 TFUE. Jest to uzasadnione faktem, że zalecenie Rady, którego dotyczy wniosek, ma przede wszystkim na celu przyspieszenie realizacji środków określonych w nowych dyrektywach CER i NIS 2, które również oparte są na art. 114 TFUE. Zgodnie z logiką uzasadniającą wykorzystanie tego artykułu jako podstawy prawnej wspomnianych dyrektyw działanie UE jest konieczne dla zapewnienia sprawnego funkcjonowania rynku wewnętrznego, w szczególności w świetle transgranicznego charakteru i zakresu przedmiotowych usług oraz potencjalnych konsekwencji w przypadku zakłóceń, jak również obowiązujących i przyszłych środków krajowych mających na celu zwiększenie odporności podmiotów obsługujących infrastrukturę krytyczną wykorzystywaną do świadczenia usług kluczowych na rynku wewnętrznym.
•Pomocniczość (w przypadku kompetencji niewyłącznych)
Podejmowanie działań na szczeblu europejskim w obszarze podmiotów obsługujących infrastrukturę krytyczną jest uzasadnione ze względu na współzależny i transgraniczny charakter relacji między operacjami infrastruktury krytycznej a świadczonymi usługami kluczowymi oraz ze względu na potrzebę wspólnego i skoordynowanego podejścia europejskiego w celu zapewnienia, aby dane podmioty były wystarczająco odporne w obecnym kontekście geopolitycznym. Podczas gdy działania będące odpowiedzią na liczne wspólne wyzwania, takie jak ewidentny sabotaż gazociągów North Stream, są podejmowane przede wszystkim za pomocą środków krajowych lub przez podmioty obsługujące infrastrukturę krytyczną, wsparcie ze strony UE – w tym w stosownych przypadkach za pośrednictwem odpowiednich agencji – jest niezbędne do zwiększenia odporności, poprawy czujności i wzmocnienia zbiorowej reakcji UE.
•Proporcjonalność
Niniejszy wniosek jest zgodny z zasadą proporcjonalności, o której mowa w art. 5 ust. 4 Traktatu o Unii Europejskiej.
Ani treść, ani forma zalecenia Rady, którego dotyczy niniejszy wniosek, nie wykraczają poza to, co jest konieczne do osiągnięcia jego celów. Proponowane działania są proporcjonalne do zamierzonych celów, ponieważ są zgodne z prerogatywami i obowiązkami państw członkowskich wynikającymi z prawa krajowego.
We wniosku uwzględniono ponadto potencjalnie zróżnicowane podejście, które odzwierciedla różne wewnętrzne realia państw członkowskich, jeśli chodzi o gotowość i reagowanie na fizyczne zagrożenia dla infrastruktury krytycznej.
•Wybór instrumentu
Aby osiągnąć cele, o których mowa powyżej, TFUE przewiduje, zwłaszcza w art. 292, przyjęcie przez Radę zaleceń na podstawie wniosku Komisji. Zalecenie Rady jest właściwym instrumentem w przedmiotowym przypadku, biorąc również pod uwagę obecny kontekst legislacyjny, jak wyjaśniono powyżej. Jako akt prawny – nawet jeśli o charakterze niewiążącym, zalecenie Rady wskazuje na zaangażowanie państw członkowskich na rzecz zawartych w nim środków i zapewnia solidną podstawę polityczną dla współpracy w tych dziedzinach, przy pełnym poszanowaniu uprawnień państw członkowskich.
3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW
•Konsultacje z zainteresowanymi stronami
Przy opracowywaniu niniejszego wniosku uwzględniono opinie ekspertów z państw członkowskich wyrażone na posiedzeniu 12 października 2022 r. Istniała powszechna zgoda odnośnie do przydatności zwiększenia koordynacji na szczeblu Unii, jeżeli chodzi o gotowość i reagowanie w obecnym kontekście zagrożeń, a także odnośnie do konieczności przyspieszenia realizacji niektórych elementów dyrektywy CER przed jej formalnym przyjęciem. Państwa członkowskie wyraziły gotowość do wymiany doświadczeń i najlepszych praktyk w zakresie środków i metod mających na celu zwiększenie odporności podmiotów obsługujących infrastrukturę krytyczną. Państwa członkowskie wyraziły również otwartość wobec skoordynowanego podejścia do poddawania podmiotów obsługujących infrastrukturę krytyczną testom warunków skrajnych – na zasadzie dobrowolności i w oparciu o wspólne zasady. Państwa członkowskie wskazały, że do celów niniejszego zalecenia za priorytetowe należy uznać podmioty obsługujące infrastrukturę krytyczną w sektorach energii, infrastruktury cyfrowej i transportu, w szczególności te, które są istotne dla kilku państw członkowskich. Państwa członkowskie z zadowoleniem przyjęły również zamiar Komisji, by w najbliższych tygodniach zwołać dalsze spotkania ekspertów z państw członkowskich.
•Szczegółowe objaśnienia poszczególnych przepisów wniosku
We wniosku dotyczącym zalecenia Rady określono, co następuje:
–W rozdziale I określono cel wniosku, jego zakres oraz ustalono hierarchię ważności.
–W rozdziale II skoncentrowano się na środkach, które należy wprowadzić w celu wzmocnienia gotowości, zarówno na szczeblu Unii, jak i państw członkowskich.
–Rozdział III określa wzmocnioną reakcję, zarówno na szczeblu UE, jak i na szczeblu państw członkowskich.
–W rozdziale IV opisano współpracę międzynarodową i działania, które należy podjąć w celu zwiększenia odporności podmiotów obsługujących infrastrukturę krytyczną.
2022/0338 (NLE)
Wniosek
ZALECENIE RADY
w sprawie skoordynowanego podejścia Unii do kwestii wzmocnienia odporności infrastruktury krytycznej
(Tekst mający znaczenie dla EOG)
RADA UNII EUROPEJSKIEJ,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 114 i 292,
uwzględniając wniosek Komisji Europejskiej,
a także mając na uwadze, co następuje:
(1)Unii przypada szczególna rola w odniesieniu do infrastruktury, która przekracza granice i ma wpływ na interesy kilku państw członkowskich jednocześnie lub która jest w inny sposób wykorzystywana przez podmioty celem świadczenia usług kluczowych w wymiarze transgranicznym. Świadczenie takich usług i infrastruktura krytyczna o znaczeniu dla kilku państw członkowskich mogą też jednak mieć miejsce na terytorium tylko jednego państwa członkowskiego lub poza terytorium państw członkowskich, co ma na przykład miejsce w przypadku kabli podmorskich lub rurociągów. W interesie wszystkich państw członkowskich oraz Unii jako całości leży jednoznaczne rozpoznanie takiej infrastruktury krytycznej i podmiotów oraz zagrażających im ryzyk, jak również wspólne zobowiązanie na rzecz ich ochrony.
(2)Ochronę infrastruktury krytycznej w dwóch sektorach reguluje obecnie dyrektywa Rady 2008/114/WE 12 . Dyrektywa ta ustanawia procedurę rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz wspólne podejście do oceny potrzeb w zakresie poprawy ochrony takiej infrastruktury w celu lepszej ochrony ludności. Obejmuje ona swoim zakresem sektory energii i transportu. Aby zwiększyć odporność podmiotów krytycznych i świadczonych przez nie usług kluczowych, a także infrastruktury krytycznej, na której się opierają, przewidziano nową dyrektywę w sprawie odporności podmiotów krytycznych 13 („dyrektywę CER”), która znajduje się na etapie przyjmowania przez prawodawcę Unii i która zastąpi dyrektywę 2008/114/WE, obejmując swoim zakresem większą liczbę sektorów, w tym infrastrukturę cyfrową.
(3)Ponadto na zagrożeniach dla cyberbezpieczeństwa koncentruje się dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii 14 . Dyrektywa ta zostanie zastąpiona nową dyrektywą w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii 15 („dyrektywa NIS 2”), która również znajduje się na etapie przyjmowania przez prawodawcę Unii.
(4)W związku z szybko zmieniającym się krajobrazem zagrożeń, w szczególności w kontekście ewidentnego sabotażu infrastruktury gazowej Nord Stream 1 i 2, podmioty obsługujące infrastrukturę krytyczną stoją w obliczu szczególnych wyzwań związanych z ich odpornością na wrogie działania i inne zagrożenia spowodowane przez człowieka, podczas gdy jednocześnie nasilają się wyzwania związane z czynnikami naturalnymi i zmianą klimatu; te ostatnie mogą nasilać efekty wrogich działań. W związku z tym podmioty te muszą wprowadzać odpowiednie środki zwiększające odporność, przy wsparciu ze strony państw członkowskich. Wspomniane środki oraz wsparcie należy wprowadzać i realizować, wykraczając poza środki przewidziane w dyrektywie 2008/114/WE i dyrektywie (UE) 2016/1148, a także jeszcze przed przyjęciem, wejściem w życie i transpozycją nowych dyrektyw CER i NIS 2.
(5)Do czasu przyjęcia, wejścia w życie i transpozycji wspomnianych nowych dyrektyw zachęca się Unię i państwa członkowskie do tego, by, zgodnie z prawem Unii, wykorzystały wszystkie dostępne narzędzia, aby poczynić postępy i przyczynić się do wzmocnienia odporności fizycznej i cyberodporności podmiotów, których to dotyczy, a także infrastruktury krytycznej, którą obsługują w celu świadczenia usług kluczowych na rynku wewnętrznym, tj. usług, które mają kluczowe znaczenie dla utrzymania niezbędnych funkcji społecznych, działalności gospodarczej, publicznej opieki zdrowotnej i bezpieczeństwa publicznego oraz środowiska. W tym względzie pojęcie odporności należy rozumieć jako odnoszące się do zdolności danego podmiotu do zapobiegania zdarzeniom, które mogą w istotny sposób zakłócić bądź zakłócają świadczenie określonych usług kluczowych, ochrony przed takimi zdarzeniami, reagowania na nie, łagodzenia lub amortyzowania ich skutków, przystosowywania się do nich i przywracania poprzedniego stanu.
(6)Aby zapewnić podejście, które jest zarówno skuteczne, jak i możliwie spójne z nową dyrektywą CER, środki zawarte w niniejszym zaleceniu powinny odnosić się do infrastruktury wyznaczonej przez państwo członkowskie jako infrastruktura krytyczna, obejmującej zarówno krajową jak i europejską infrastrukturę krytyczną, niezależnie od tego, czy dany podmiot obsługujący infrastrukturę krytyczną już wyznaczono jako podmiot krytyczny na podstawie tej nowej dyrektywy. Do celów niniejszego zalecenia należy odpowiednio rozumieć pojęcie „infrastruktura krytyczna”.
(7)W kluczowych sektorach energii, infrastruktury cyfrowej, transportu i przestrzeni kosmicznej należy – z uwagi na istniejące zagrożenia – priorytetowo wprowadzić środki zwiększające odporność w kluczowych sektorach; środki takie powinny koncentrować się na zwiększaniu odporności podmiotów obsługujących infrastrukturę krytyczną na zagrożenia spowodowane przez człowieka. W przypadku krajowej infrastruktury krytycznej należy, z uwagi na możliwe konsekwencje realizacji ryzyka, priorytetowo potraktować infrastrukturę o znaczeniu transgranicznym.
(8)Celem środków określonych w niniejszym zaleceniu jest w związku z tym przede wszystkim uzupełnienie nowych dyrektyw CER i NIS 2, które opierają się na art. 114 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE), poprzez przyspieszanie wdrożenia środków przewidzianych w tych nowych dyrektywach oraz ich uzupełnianie. W związku z tym oraz biorąc pod uwagę transgraniczny charakter i znaczenie przedmiotowych usług kluczowych i infrastruktury krytycznej oraz obecne i pojawiające się rozbieżności w przepisach krajowych zakłócające rynek wewnętrzny, należy oprzeć niniejsze zalecenie również na art. 114 TFUE, wraz z art. 292 TFUE.
(9)Wdrożenie niniejszego zalecenia nie powinno być rozumiane jako mające wpływ na obecne i przyszłe wymogi prawa Unii dotyczące niektórych aspektów odporności podmiotów, których to dotyczy, i powinno być z nimi spójne. Wymogi takie określono w instrumentach ogólnych, takich jak dyrektywa 2008/114/WE i dyrektywa (UE) 2016/1148 oraz nowe dyrektywy CER i NIS 2 zastępujące te dyrektywy, ale także w niektórych instrumentach sektorowych, na przykład w obszarze transportu, gdzie Komisja podjęła między innymi inicjatywę dotyczącą planu awaryjnego w dziedzinie transportu 16 . Zgodnie z zasadą lojalnej współpracy niniejsze zalecenie należy wdrażać przy pełnym wzajemnym poszanowaniu i wsparciu.
(10)5 października 2022 r. Komisja zapowiedziała pięciopunktowy plan określający skoordynowane podejście stanowiące odpowiedź na znajdujące się przed nami wyzwania. Mowa w nim o pracy nad gotowością poprzez wykorzystanie i przyspieszenie wdrożenia przepisów nowej dyrektywy CER, o współpracy z państwami członkowskimi w celu poddania podmiotów obsługujących infrastrukturę krytyczną testom warunków skrajnych opartym na wspólnych zasadach, rozpoczynając od sektora energetycznego. W niniejszym zaleceniu, które przyczyni się do realizacji tego planu, z zadowoleniem przyjęto podejście zaproponowane w planie i określono, w jaki sposób można je przełożyć na działania.
(11)W kontekście szybko zmieniającego się krajobrazu zagrożeń i obecnego środowiska ryzyk charakteryzującego się ryzykami spowodowanymi przez człowieka, w szczególności w odniesieniu do infrastruktury krytycznej o znaczeniu transgranicznym, bardzo ważne jest uzyskanie dokładnego, aktualnego i pełnego obrazu najważniejszych zagrożeń, przed jakimi stoją podmioty obsługujące infrastrukturę krytyczną. Państwa członkowskie powinny w związku z tym wprowadzić niezbędne środki w celu przeprowadzenia lub aktualizacji swoich ocen takich ryzyk. Niniejsze zalecenie koncentruje się wprawdzie na zagrożeniach dla bezpieczeństwa, należy jednak kontynuować wysiłki na rzecz przeciwdziałania zmianie klimatu i zagrożeniom środowiskowym, zwłaszcza gdy zdarzenia naturalne mogą dodatkowo wzmocnić zagrożenia powodowane przez człowieka.
(12)Biorąc pod uwagę przedstawiony krajobraz zagrożeń, należy wezwać państwa członkowskie do jak najszybszego wprowadzenia odpowiednich środków w celu zwiększenia odporności infrastruktury krytycznej, wykraczających poza wspomniane oceny ryzyka; wprowadzenie tych środków będzie w późniejszym okresie obowiązkiem wynikającym z nowej dyrektywy CER.
(13)W ramach realizacji pięciopunktowego planu zapowiedzianego przez Komisję konieczne jest skoordynowanie prac poprzez zwołanie ekspertów krajowych jeszcze przed ustanowieniem Grupy ds. Odporności Podmiotów Krytycznych na podstawie nowej dyrektywy CER, co umożliwi współpracę między państwami członkowskimi oraz wymianę informacji w odniesieniu do odporności podmiotów obsługujących infrastrukturę krytyczną. Należy tu uwzględnić współpracę i wymianę informacji odnośnie do takich działań, jak rozpoznawanie podmiotów krytycznych i infrastruktury krytycznej, przygotowanie i promowanie wspólnego zestawu zasad przeprowadzania testów warunków skrajnych oraz wyciąganie wspólnych wniosków z ich przeprowadzania, wskazywanie słabych punktów i rozpoznawanie ewentualnego potencjału. Procesy te powinny również sprzyjać odporności podmiotów obsługujących infrastrukturę krytyczną na ryzyko klimatyczne i środowiskowe. Działania te umożliwiłyby również wspólne ustalenie hierarchii ważności, jeżeli chodzi o prace nad testami warunków skrajnych, ze szczególnym uwzględnieniem sektorów energii, infrastruktury cyfrowej, transportu i przestrzeni kosmicznej. Komisja rozpoczęła już powoływanie tych ekspertów oraz przyspieszanie ich pracy i zamierza kontynuować te działania. Po wejściu w życie nowej dyrektywy CER i ustanowieniu Grupy ds. Odporności Podmiotów Krytycznych, grupa ta powinna kontynuować wspomniane działania przyspieszające wdrożenie, zgodnie z zadaniami powierzonymi jej na mocy dyrektywy CER.
(14)Przeprowadzenie testu warunków skrajnych należy uzupełnić o opracowanie planu działania dotyczącym incydentów i kryzysów związanych z infrastrukturą krytyczną. Plan ten będzie opisywał i określał cele i sposoby współpracy między państwami członkowskimi a instytucjami, organami, urzędami i agencjami UE w zakresie reagowania na incydenty skierowane przeciwko infrastrukturze krytycznej, w szczególności gdy incydenty te pociągają za sobą poważne zakłócenia w świadczeniu usług kluczowych na rynku wewnętrznym. W planie tym należy wykorzystać istniejące już zintegrowane uzgodnienia dotyczące reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR) do celów koordynacji reagowania, należy określić prace spójne z planem działania dotyczącym cyberincydentów na dużą skalę i stanowiące uzupełnienie tego planu, a także należy przewidzieć porozumienie w sprawie kluczowych komunikatów przekazywanych do wiadomości publicznej, biorąc pod uwagę, że komunikacja kryzysowa odgrywa ważną rolę w łagodzeniu negatywnych skutków incydentów i kryzysów związanych z infrastrukturą krytyczną.
(15)Aby zagwarantować skoordynowaną i skuteczną odpowiedź na obecne i przewidywane zagrożenia, Komisja zapewni państwom członkowskim dodatkowe wsparcie w celu zwiększenia odporności w świetle tych zagrożeń, w szczególności poprzez udostępnianie odpowiednich informacji w formie briefingów, podręczników i wytycznych, promowanie wykorzystania finansowanych przez Unię projektów w zakresie badań naukowych i innowacji, podejmowanie niezbędnych działań zapobiegawczych i optymalizację wykorzystania zasobów nadzoru Unii. ESDZ powinna udostępniać oceny zagrożeń, przede wszystkim za pośrednictwem Centrum Analiz Wywiadowczych UE.
(16)Wsparcie w kwestiach związanych z odpornością powinny zapewniać również agencje unijne właściwe dla poszczególnych sektorów oraz inne właściwe organy, o ile pozwalają na to ich odpowiednie mandaty określone w odpowiednich instrumentach prawa Unii. W szczególności: Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) mogłaby udzielać wsparcia w kwestiach związanych z cyberbezpieczeństwem, Europejska Agencja Bezpieczeństwa Morskiego (EMSA) mogłaby udostępniać swoją wiedzę fachową we wspieraniu państw członkowskich za pośrednictwem swoich usług nadzoru morskiego w kwestiach związanych z ochroną i bezpieczeństwem morskim, Agencja Unii Europejskiej ds. Współpracy Organów Ścigania (Europol) mogłaby udzielać wsparcia w zakresie gromadzenia informacji i prowadzenia dochodzeń w transgranicznych działaniach w zakresie egzekwowania prawa, zaś Agencja Unii Europejskiej ds. Programu Kosmicznego (EUSPA) i Centrum Satelitarne Unii Europejskiej (SatCen) mogłyby wspierać działania w ramach unijnego programu kosmicznego.
(17)Podstawowa odpowiedzialność za zapewnienie bezpieczeństwa infrastruktury krytycznej i odnośnych podmiotów spoczywa wprawdzie na państwach członkowskich, jednak właściwe jest zwiększenie koordynacji na szczeblu Unii, zwłaszcza w świetle zagrożeń, które mogą mieć wpływ na kilka państw członkowskich jednocześnie, takich jak rosyjska wojna napastnicza przeciwko Ukrainie, lub mieć wpływ na odporność i dobre funkcjonowanie gospodarki, jednolitego rynku i społeczeństw Unii.
(18)Zalecenie to nie wiąże się z udostępnieniem informacji, których ujawnienie jest sprzeczne z podstawowymi interesami państw członkowskich w zakresie bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obronności.
(19)Ze względu na rosnącą współzależność infrastruktury fizycznej i cyfrowej, szkodliwe działania cybernetyczne ukierunkowane na obszary krytyczne mogą powodować zakłócenia lub szkody w infrastrukturze fizycznej, z kolei sabotaż infrastruktury fizycznej może sprawić, że niedostępne staną się usługi cyfrowe. Biorąc pod uwagę rosnące zagrożenie stwarzane przez zaawansowane ataki hybrydowe, państwa członkowskie powinny również uwzględnić takie kwestie w swoich pracach nad wdrażaniem niniejszego zalecenia. Uwzględniając wzajemne powiązania między cyberbezpieczeństwem a bezpieczeństwem fizycznym operatorów, ważne jest, aby prace przygotowawcze do transpozycji i stosowania nowej dyrektywy NIS 2 rozpoczęły się jak najszybciej oraz aby równolegle prowadzono takie prace w ramach nowej dyrektywy CER.
(20)Oprócz zwiększenia gotowości ważne jest też zwiększenie zdolności do szybkiego i skutecznego reagowania w przypadku urzeczywistnienia się ryzyka wpływającego na zdolność podmiotów obsługujących infrastrukturę krytyczną do świadczenia usług kluczowych. W niniejszym zaleceniu powinny zostać przewidziane środki, które należy wprowadzać zarówno na szczeblu państw członkowskich, jak i na szczeblu Unii, np. wzmocnioną współpracę i wymianę informacji w kontekście Unijnego Mechanizmu Ochrony Ludności oraz wykorzystanie odpowiednich zasobów unijnego programu kosmicznego.
(21)Zgodnie z wezwaniem Rady zawartym w jej konkluzjach w sprawie stanu cyberbezpieczeństwa Unii 17 , Komisja, Wysoki Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa („wysoki przedstawiciel”) oraz grupa współpracy ustanowiona dyrektywą (UE) 2016/1148 („grupa współpracy NIS”) przeprowadzają – w koordynacji z odpowiednimi cywilnymi i wojskowymi organami i agencjami oraz istniejącymi sieciami, w tym EU-CyCLONe – ocenę ryzyka i opracowują scenariusze ryzyka z perspektywy cyberbezpieczeństwa w sytuacji zagrożenia lub ewentualnego ataku na państwa członkowskie lub kraje partnerskie. Działanie to koncentruje się na sektorach krytycznych, w tym na sektorze energetycznym, infrastrukturze cyfrowej, transporcie i przestrzeni kosmicznej.
(22)We wspólnym ministerialnym wezwaniu z Nevers 18 i w konkluzjach Rady w sprawie stanu cyberbezpieczeństwa Unii zaapelowano również o wzmocnienie odporności infrastruktury i sieci łączności w Unii poprzez wydawanie zaleceń dla państw członkowskich i Komisji w oparciu o ocenę ryzyka. Tę ocenę ryzyka przeprowadza obecnie grupa współpracy NIS przy wsparciu Komisji i ENISA oraz we współpracy z Organem Europejskich Regulatorów Łączności Elektronicznej (BEREC). W ocenie ryzyka i analizie luk badane są związane z cyberatakami zagrożenia dla poszczególnych podsektorów infrastruktury łączności, np. infrastruktury stacjonarnej i ruchomej, infrastruktury satelitarnej, kabli podmorskich, routingu internetowego; wyniki tych badań uwzględnia się w pracach nad niniejszym zaleceniem. Ocena ryzyka będzie źródłem informacji na potrzeby trwającej międzysektorowej oceny ryzyka w cyberprzestrzeni i scenariuszy, o które Rada zwróciła się w konkluzjach z 23 maja 2022 r.
(23)Te dwa działania będą spójne i skoordynowane z opracowywaniem scenariuszy koncentrującymi się na ochronie ludności w kontekście różnych rodzajów klęsk żywiołowych i katastrof spowodowanych przez człowieka, np. zdarzeń związanych z cyberbezpieczeństwem i ich rzeczywistych skutków. Scenariusze te opracowuje obecnie Komisja i państwa członkowskie na podstawie decyzji Parlamentu Europejskiego i Rady nr 1313/2013/UE 19 . Aby zapewnić efektywność, skuteczność i spójność należy wdrażać niniejsze zalecenie z uwzględnieniem wyników tych działań.
(24)We wspólnym unijnym zestawie instrumentów na potrzeby cyberbezpieczeństwa sieci 5G 20 określono odpowiednie środki i plany zmniejszania ryzyka mające na celu zwiększenie bezpieczeństwa sieci 5G. Ze względu na to, że wiele usług kluczowych zależy od sieci 5G, a ekosystemy cyfrowe są wzajemnie połączone, ważne jest, by wszystkie państwa członkowskie pilnie wdrożyły środki zalecane w zestawie narzędzi, a w szczególności zastosowały odpowiednie ograniczenia wobec dostawców wysokiego ryzyka w odniesieniu do kluczowych aktywów określonych w unijnych skoordynowanych ocenach ryzyka jako krytyczne i wrażliwe.
(25)Aby w trybie natychmiastowym zwiększyć gotowość i zdolność reagowania na poważne incydenty cybernetyczne, Komisja ustanowiła krótkoterminowy program wspierania państw członkowskich, przyznając na rzecz ENISA dodatkowe środki finansowe. Objęte programem usługi będą dotyczyć działań w zakresie gotowości, np. testu penetracyjnego podmiotów krytycznych pozwalającego zidentyfikować słabe punkty. W wyniku programu wzrosną również możliwości udzielania pomocy państwom członkowskim w przypadku poważnego incydentu negatywnie wpływającego na podmioty krytyczne. Jest to pierwszy krok na drodze realizacji konkluzji Rady w sprawie stanu cyberbezpieczeństwa, w których Rada zwróciła się do Komisji o przedstawienie wniosku w sprawie funduszu na wypadek sytuacji wyjątkowych związanych z cyberbezpieczeństwem. Państwa członkowskie powinny w pełni wykorzystywać te możliwości, zgodnie z obowiązującymi wymogami.
(26)Zasadnicze znaczenie dla globalnej i wewnątrzunijnej łączności ma globalna podmorska sieć kablowa służąca przesyłowi danych i łączności elektronicznej. Ze względu na znaczną długość tych kabli i ich położenie na dnie morskim niezwykle trudne jest wizualne monitorowanie większości podwodnych odcinków kabla. Wspólna jurysdykcja i inne kwestie dotyczące jurysdykcji w kwestiach dotyczących wspomnianych kabli stanowią szczególny przypadek dla europejskiej i międzynarodowej współpracy w zakresie ochrony i odbudowy infrastruktury. Należy zatem uzupełnić bieżące i planowane oceny ryzyka dotyczące infrastruktur cyfrowych i fizycznych, od których zależą usługi cyfrowe, o szczególne oceny ryzyka i warianty środków ograniczających ryzyko dotyczących kabli podmorskich. Komisja przeprowadzi badania w tym kierunku i przekaże swoje ustalenia państwom członkowskim.
(27)Zagrożenia związane z infrastrukturą cyfrową mogą mieć również wpływ na sektory priorytetowe w dziedzinie energii i transportu wskazane w niniejszym zaleceniu. Taki wpływ może wystąpić na przykład w odniesieniu do technologii energetycznych wykorzystujących elementy cyfrowe. Bezpieczeństwo powiązanych łańcuchów dostaw jest ważne dla ciągłości świadczenia usług kluczowych oraz dla strategicznej kontroli infrastruktury krytycznej obsługiwanej przez podmioty w sektorze energetycznym. Okoliczności te należy uwzględnić przy podejmowaniu działań, by zwiększyć odporność podmiotów obsługujących infrastrukturę krytyczną zgodnie z niniejszym zaleceniem.
(28)Rosnące znaczenie infrastruktury kosmicznej i usług wykorzystujących instalacje w przestrzeni kosmicznej w kontekście działań związanych z bezpieczeństwem sprawia, że konieczne jest zapewnienie odporności i ochrony unijnych zasobów kosmicznych i usług sektora kosmicznego w UE, ale też w ramach niniejszego zalecenia, by w bardziej uporządkowane sposób wykorzystywać dane satelitarne i usługi oparte na tych danych dostarczanych przez systemy i programy kosmiczne do celów nadzoru i ochrony infrastruktury krytycznej w innych sektorach. Przy wdrażaniu niniejszego zalecenia należy wziąć pod uwagę odpowiednie działania w tym zakresie, które zostaną zaproponowane w przyszłej strategii kosmicznej UE na rzecz bezpieczeństwa i obrony.
(29)Konieczna jest współpraca na szczeblu międzynarodowym jest, aby móc skutecznie przeciwdziałać zagrożeniom dla odporności podmiotów obsługujących infrastrukturę krytyczną, zarówno w Unii, jak i w odpowiednich państwach trzecich lub na wodach międzynarodowych. W związku z tym należy wezwać państwa członkowskie do współpracy z Komisją i wysokim przedstawicielem, by – podejmując wszelkie określone kroki służące realizacji tego celu – działały wyłącznie zgodnie z ich odpowiednimi zadaniami i obowiązkami wynikającymi z prawa Unii, w szczególności z postanowieniami Traktatów UE dotyczącymi stosunków zewnętrznych.
(30)Jak określono w komunikacie „Wkład Komisji w europejską obronność” 21 , w ramach wsparcia Strategicznego kompasu na rzecz bezpieczeństwa i obrony – dla Unii Europejskiej, która chroni swoich obywateli, swoje wartości i interesy oraz przyczynia się do międzynarodowego pokoju i bezpieczeństwa 22 , Komisja – we współpracy z wysokim przedstawicielem i państwami członkowskimi – oceni wyjściowe poziomy odporności sektorowej na zagrożenia hybrydowe, wskaże luki i potrzeby oraz działania służące ich wyeliminowaniu do 2023 r. Inicjatywa ta powinna posłużyć informacjami podczas realizacji prac prowadzonych w ramach niniejszego zalecenia i przyczyniać się do usprawnienia wymiany informacji i koordynacji działań w zakresie dalszego wzmacniania odporności, w tym odporności infrastruktury krytycznej.
(31)W strategii Unii Europejskiej w zakresie bezpieczeństwa morskiego z 2014 r. i związanym z nią planie działania wezwano do zwiększenia ochrony krytycznej infrastruktury morskiej, w tym podwodnej, a w szczególności morskiej infrastruktury transportowej, energetycznej i komunikacyjnej, między innymi poprzez poprawę orientacji w obszarze morskim dzięki wzmocnionej interoperacyjności i ukierunkowanej wymianie informacji (obowiązkowej i dobrowolnej). Strategia i plan działania są obecnie aktualizowane i będą obejmować wzmożone działania mające na celu ochronę krytycznej infrastruktury morskiej. Działania te powinny posłużyć informacjami podczas realizacji niniejszego zalecenia i je uzupełniać.
(32)Państwa członkowskie powinny w pełni uwzględnić potencjał programu badawczego Unii w zakresie bezpieczeństwa, wykorzystując w szczególności specjalny priorytet dotyczący infrastruktury krytycznej, w szczególności w ramach programów finansowanych z Funduszu Bezpieczeństwa Wewnętrznego, a także inne potencjalne możliwości finansowania na szczeblu Unii, przede wszystkim Europejski Fundusz Rozwoju Regionalnego, w zakresie, w jakim konkretne środki spełniają jego wymogi kwalifikowalności. Możliwości finansowania odporności oferuje również REPowerEU. Wszelkie przypadki wykorzystania możliwości oferowanych przez finansowanie unijne muszą być zgodne z mającymi zastosowanie wymogami prawnymi.
PRZYJMUJE NINIEJSZE ZALECENIE:
ROZDZIAŁ I: CEL, ZAKRES I USTALENIE HIERARCHII WAŻNOŚCI
1)W niniejszym zaleceniu wzywa się państwa członkowskie do wprowadzenia pilnych i skutecznych środków oraz do podjęcia lojalnej, skutecznej, solidarnej i skoordynowanej wzajemnej współpracy, z Komisją i innymi właściwymi organami publicznymi, a także zainteresowanymi podmiotami, co posłuży zwiększeniu odporności infrastruktury krytycznej wykorzystywanej do świadczenia usług kluczowych na rynku wewnętrznym.
2)Środki określone w niniejszym zaleceniu odnoszą się do infrastruktury uznanej przez dane państwo członkowskie za infrastrukturę krytyczną, w tym za europejską infrastrukturę krytyczną.
3)Przy wdrażaniu niniejszego zalecenia priorytetowo należy potraktować zwiększenie odporności podmiotów działających w sektorach energii, infrastruktury cyfrowej, transportu i przestrzeni kosmicznej oraz obsługiwanej przez te podmioty infrastruktury krytycznej o znaczeniu transgranicznym na ryzyka spowodowane przez człowieka.
ROZDZIAŁ II: WZMOCNIONA GOTOWOŚĆ
Działania na szczeblu państw członkowskich
4)Wzywa się państwa członkowskie do przeprowadzania lub zaktualizowania ocen ryzyka dotyczących odporności podmiotów obsługujących europejskie infrastruktury krytyczne wyznaczone w sektorach transportu i energii na mocy dyrektywy 2008/114/WE oraz do podjęcia wzajemnej współpracy w zakresie takich ocen ryzyka i – w stosownych przypadkach – wynikających z nich działań zwiększających odporność, zgodnie z tą dyrektywą.
5)Ponadto w celu osiągnięcia wysokiego poziomu odporności podmiotów obsługujących infrastrukturę krytyczną i aby jak najszybciej transponować i rozpocząć stosowanie nowej dyrektywy CER państwa członkowskie powinny przyspieszyć prace przygotowawcze, dokonując tego poprzez:
a)przyspieszenie przyjmowania lub aktualizowanie krajowych strategii na rzecz zwiększenia odporności podmiotów obsługujących infrastrukturę krytyczną w celu reagowania na obecne zagrożenie. Komisję należy informować o istotnych częściach tej strategii;
b)przeprowadzanie lub aktualizowanie ocen ryzyka zgodnie ze zmieniającym się charakterem obecnych zagrożeń w odniesieniu do odporności podmiotów obsługujących infrastrukturę krytyczną w odpowiednich sektorach poza energetyką, infrastrukturą cyfrową, transportem i przestrzenią kosmiczną oraz, w miarę możliwości, w sektorach objętych zakresem nowej dyrektywy CER, takich jak bankowość, infrastruktura rynku finansowego, infrastruktura cyfrowa, zdrowie, woda pitna, ścieki, administracja publiczna, przestrzeń kosmiczna oraz produkcja, przetwarzanie i dystrybucja żywności, z uwzględnieniem potencjalnie hybrydowego charakteru danych zagrożeń, w tym efektów kaskadowych i skutków zmiany klimatu;
c)informowanie Komisji o rozpoznanych rodzajach ryzyka w poszczególnych sektorach i podsektorach oraz o wynikach ocen ryzyka; w tym celu można korzystać ze wspólnego formularza sprawozdawczego opracowanego przez Komisję we współpracy z państwami członkowskimi;
d)przyspieszenie procesu identyfikowania i wyznaczania podmiotów krytycznych, przy priorytetowym potraktowaniu podmiotów krytycznych, które:
a)korzystają z infrastruktury krytycznej fizycznie połączonej na terytorium co najmniej dwóch państw członkowskich,
b)stanowią część struktur przedsiębiorstw połączonych lub powiązanych z podmiotami krytycznymi w innych państwach członkowskich;
c)zostały zidentyfikowane jako takie w jednym państwie członkowskim i świadczą usługi kluczowe w co najmniej sześciu państwach członkowskich lub na rzecz co najmniej takiej ich liczby, w związku z czym mają szczególne znaczenie europejskie, i odpowiednio informują Komisję;
d)współpracują ze sobą, w szczególności w odniesieniu do podmiotów krytycznych, usług kluczowych i infrastruktury krytycznej o znaczeniu transgranicznym, w szczególności poprzez wzajemne konsultacje do celów pkt 5 lit. d) i wzajemne informowanie się w przypadku incydentu o poważnych lub potencjalnie istotnych skutkach transgranicznych, przy jednoczesnym informowaniu Komisji w stosownych przypadkach;
e)zwiększenie wsparcia dla wyznaczonych podmiotów krytycznych, aby poprawić ich odporność, co może obejmować dostarczanie metod i materiałów zawierających wytyczne, organizowanie ćwiczeń w celu sprawdzenia odporności tych podmiotów oraz zapewnianie doradztwa i szkolenia ich personelu, oraz umożliwienie sprawdzania przeszłości osób mających dostęp do wrażliwych danych, zgodnie z przepisami unijnymi i krajowymi, w ramach środków zarządzania bezpieczeństwem pracowników przez podmioty krytyczne;
f)przyspieszenie wyznaczenia lub ustanowienia we właściwym organie pojedynczego punktu kontaktowego, który pełniłby funkcję łącznikową z pojedynczymi punktami kontaktowymi innych państw członkowskich do celów współpracy transgranicznej dotyczącej odporności podmiotów obsługujących infrastrukturę krytyczną.
6)Zachęca się państwa członkowskie, by poddawały podmioty obsługujące infrastrukturę krytyczną testom warunków skrajnych. Wzywa się w szczególności państwa członkowskie do przyspieszenia działań związanych z ich gotowością, a także gotowością odnośnych podmiotów w sektorze energetycznym, oraz do przeprowadzania testów warunków skrajnych w tym sektorze, w miarę możliwości zgodnie z zasadami wspólnie uzgodnionymi na szczeblu Unii, przy jednoczesnym zapewnieniu skutecznej komunikacji z odnośnymi podmiotami. W następnej kolejności można by rozważyć testy warunków skrajnych w innych sektorach priorytetowych, a mianowicie – w razie potrzeby – infrastruktury cyfrowej, transportu i przestrzeni kosmicznej, z należytym uwzględnieniem inspekcji w podsektorach lotniczym i morskim zgodnie z prawem Unii oraz z uwzględnieniem odpowiednich przepisów prawodawstwa sektorowego.
7)Wzywa się państwa członkowskie do współpracy – w stosownych przypadkach i zgodnie z prawem Unii – z odpowiednimi państwami trzecimi w zakresie odporności podmiotów obsługujących infrastrukturę krytyczną o znaczeniu transgranicznym.
8)Wzywa się państwa członkowskie do wykorzystania, zgodnie z mającymi zastosowanie wymogami, ewentualnych możliwości finansowania na szczeblu unijnym i krajowym, by zwiększać odporność podmiotów obsługujących infrastrukturę krytyczną w Unii, w tym na przykład wzdłuż sieci transeuropejskich, na całe spektrum zagrożeń, w szczególności w ramach programów finansowanych z Funduszu Bezpieczeństwa Wewnętrznego i Europejskiego Funduszu Rozwoju Regionalnego, z zastrzeżeniem spełnienia odpowiednich kryteriów kwalifikowalności, oraz z instrumentu „Łącząc Europę”, w tym przepisów dotyczących uodparniania na zmianę klimatu. W tym celu można również wykorzystać środki z Unijnego Mechanizmu Ochrony Ludności, zgodnie z mającymi zastosowanie wymogami, w szczególności w odniesieniu do projektów dotyczących ocen ryzyka, planów inwestycyjnych lub badań, budowania zdolności lub poprawy bazy wiedzy. Możliwości finansowania odporności oferuje również REPowerEU.
9)Jeżeli chodzi o infrastrukturę łączności i sieci w Unii, grupa współpracy NIS powinna, działając zgodnie z art. 11 dyrektywy (UE) 2016/1148, a także art. 14 dyrektywy NIS 2, przyspieszyć bieżące prace nad ukierunkowaną oceną ryzyka i przedstawić pierwsze zalecenia na początku 2023 r. Prace te należy prowadzić w taki sposób, by zapewnić spójność i komplementarność z pracami prowadzonymi przez grupę współpracy NIS w obszarze działań dotyczącym bezpieczeństwa łańcucha dostaw technologii informacyjno-komunikacyjnych, a także przez inne odpowiednie grupy, takie jak Grupa ds. Odporności Podmiotów Krytycznych, która ma zostać ustanowiona na mocy nowej dyrektywy CER, oraz forum nadzoru, które ma zostać ustanowione na mocy nowego aktu w sprawie operacyjnej odporności cyfrowej (DORA) 23 .
10)Wzywa się grupę współpracy NIS, która ma wykonywać swoje zadania zgodnie z art. 11 dyrektywy (UE) 2016/1148, a także art. 14 dyrektywy NIS 2, by – przy wsparciu Komisji i ENISA – priorytetowo potraktowała prace nad bezpieczeństwem infrastruktury cyfrowej i sektora kosmicznego. Prace te mają polegać między innymi na przygotowaniu wytycznych politycznych i metod zarządzania ryzykiem w cyberprzestrzeni oraz środków opartych na podejściu uwzględniającym wszystkie rodzaje ryzyka w odniesieniu do podmorskich kabli komunikacyjnych, w oczekiwaniu na wejście w życie dyrektywy NIS 2, a także na opracowaniu wytycznych dotyczących środków zarządzania cyberryzykiem dla operatorów w sektorze kosmicznym, co pozwoli zwiększyć odporność infrastruktury naziemnej wspierającej świadczenie usług kosmicznych.
11)Państwa te powinny również w pełni korzystać z usług w zakresie gotowości do reagowania w obszarze cyberbezpieczeństwa oferowanych w ramach realizowanego przez Komisję krótkoterminowego programu wsparcia prowadzonego wraz z ENISA, w szczególności z testowania penetracyjnego, które pozwala rozpoznawać słabe punkty. W tym kontekście zachęca się państwa członkowskie, by priorytetowo traktowały podmioty obsługujące infrastrukturę krytyczną w sektorach energii, infrastruktury cyfrowej i transportu.
12)Państwa członkowskie powinny pilnie wdrożyć środki zalecane we wspólnym unijnym zestawie instrumentów na potrzeby cyberbezpieczeństwa sieci 5G 24 . Państwa członkowskie, które nie wprowadziły jeszcze ograniczeń wobec dostawców wysokiego ryzyka, powinny to bezzwłocznie uczynić, zważywszy, że tracąc czas zwiększa się podatność unijnych sieci na zagrożenia. Powinny one również wzmocnić fizyczną i niefizyczną ochronę krytycznych i wrażliwych części sieci 5G, w tym za pośrednictwem rygorystycznych kontroli dostępu. Państwa członkowskie powinny ponadto we współpracy z Komisją ocenić konieczność podjęcia działań uzupełniających, w tym wprowadzenia prawnie wiążących wymogów na szczeblu Unii, aby zapewnić spójny poziom bezpieczeństwa i odporności sieci 5G.
13)Państwa członkowskie powinny jak najszybciej wdrożyć kodeks sieci dotyczący aspektów cyberbezpieczeństwa transgranicznych przepływów energii elektrycznej, opierając się przy tym na doświadczeniach zdobytych przy wdrażaniu dyrektywy NIS oraz odpowiednich wytycznych opracowanych przez grupę współpracy NIS, w szczególności przygotowanego przez nią dokumentu referencyjnego w sprawie środków bezpieczeństwa dla operatorów usług kluczowych.
14)Państwa członkowskie powinny rozwijać wykorzystanie Galileo lub Copernicus do celów nadzoru i dzielić się odpowiednimi informacjami z ekspertami powołanymi zgodnie z pkt 15. Należy efektywnie wykorzystać możliwości oferowane przez unijną rządową łączność satelitarną (Govsatcom) dzięki unijnemu programowi kosmicznemu w celu monitorowania infrastruktury krytycznej i wspierania reagowania kryzysowego.
Działania na szczeblu Unii
15)Komisja zamierza doprowadzić do zacieśnienia współpracy między ekspertami z państw członkowskich, aby pomóc w zwiększeniu fizycznej odporności podmiotów obsługujących infrastrukturę krytyczną w obszarach niezwiązanych z cyberbezpieczeństwem, w szczególności poprzez:
a)przygotowanie opracowania i promowania wspólnych narzędzi – w tym metod i scenariuszy ryzyka – służących państwom członkowskim do zwiększania takiej odporności;
b)wspieranie opracowywania wspólnych zasad przeprowadzania przez państwa członkowskie testów warunków skrajnych, o których mowa w pkt 6, najpierw takie, które koncentrują się na ryzykach spowodowanych przez człowieka w sektorze energetycznym, a następnie w innych kluczowych sektorach, takich jak infrastruktura cyfrowa, transport i przestrzeń kosmiczna; przeciwdziałanie innym istotnym ryzykom i zagrożeniom oraz, w stosownych przypadkach, wspieranie przeprowadzania takich testów warunków skrajnych i doradzanie w tym zakresie;
c)zapewnienie bezpiecznej platformy służącej gromadzeniu, ocenie i wymianie najlepszych praktyk, wniosków wyciągniętych z doświadczeń krajowych i innych informacji dotyczących takiej odporności, w tym dotyczących przeprowadzania wspomnianych testów warunków skrajnych i przekładania ich wyników na protokoły i plany awaryjne.
W pracach ekspertów należy zwracać szczególną uwagę na zależności międzysektorowe i podmioty obsługujące infrastrukturę krytyczną o znaczeniu transgranicznym. Prace te powinna kontynuować Grupa ds. Odporności Podmiotów Krytycznych po jej ustanowieniu.
16)Państwa członkowskie powinny w pełni uczestniczyć we wzmocnionej współpracy, o której mowa w pkt 15, m.in. przez wyznaczanie punktów kontaktowych dysponujących odpowiednią wiedzą fachową oraz dzielenie się doświadczeniami w zakresie metod stosowanych do testów warunków skrajnych i protokołów oraz planów awaryjnych opracowanych na ich podstawie. Dokonując wymiany informacji należy chronić poufność tych informacji oraz bezpieczeństwo i interesy handlowe podmiotów krytycznych, przy jednoczesnym poszanowaniu bezpieczeństwa państw członkowskich. Nie wiąże się to z udostępnianiem informacji, których ujawnienie jest sprzeczne z podstawowymi interesami państw członkowskich w zakresie bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obronności.
17)Komisja będzie wspierać państwa członkowskie, udostępniając podręczniki i wytyczne, np. podręcznik dotyczący ochrony infrastruktury krytycznej i przestrzeni publicznej przed systemami bezzałogowych statków powietrznych, a także narzędzia oceny ryzyka. Wzywa się ESDZ, by – w szczególności poprzez swoje Centrum Analiz Wywiadowczych UE i Komórkę UE ds. Syntezy Informacji o Zagrożeniach Hybrydowych – prowadziła briefingi na temat zagrożeń dla infrastruktury krytycznej w UE w celu poprawy orientacji sytuacyjnej.
18)Komisja będzie wspierać wykorzystywanie wyników projektów dotyczących odporności podmiotów obsługujących infrastrukturę krytyczną, które są finansowane z unijnych programów w zakresie badań naukowych i innowacji. Komisja zamierza zwiększyć finansowanie odporności takich podmiotów, wykorzystując możliwości budżetu przeznaczonego na program „Horyzont Europa” w wieloletnich ramach finansowych na lata 2021–2027. Powinno to umożliwić sprostanie obecnym i przyszłym wyzwaniom w tym obszarze, takim jak uodparnianie infrastruktury krytycznej na zmianę klimatu, bez uszczuplania koperty finansowej innych funduszy na badania naukowe i innowacje związanych z bezpieczeństwem cywilnym w ramach programu „Horyzont Europa”. Komisja zwiększy również wysiłki na rzecz rozpowszechniania wyników odpowiednich projektów badawczych finansowanych przez Unię.
19)Wzywa się grupę współpracy NIS, aby – we współpracy z Komisją i wysokim przedstawicielem oraz zgodnie z ich odpowiednimi zadaniami i obowiązkami wynikającymi z prawa Unii – intensywniej współpracowała z odpowiednimi sieciami oraz organami cywilnymi i wojskowymi nad oceną ryzyka i tworzeniem scenariuszy ryzyka w cyberprzestrzeni, skupiając się przy tym najpierw na infrastrukturze energetycznej, komunikacyjnej i kosmicznej oraz współzależnościach między sektorami i państwami członkowskimi. W działaniu tym należy uwzględnić powiązane ryzyko dla infrastruktury fizycznej, od której zależą te sektory. Oceny i scenariusze ryzyka należy przeprowadzać regularnie. Powinny one uzupełniać istniejące lub planowane oceny ryzyka w tych sektorach, opierać się na nich, lecz unikać ich powielania. Należy je ponadto wykorzystywać jako wkład w dyskusje na temat sposobów wzmacniania ogólnej odporności podmiotów obsługujących infrastrukturę krytyczną i eliminowania słabych punktów.
20)Komisja przyspieszy realizację działań dotyczących wspierania państw członkowskich w osiąganiu gotowości i w reagowaniu na cyberincydenty na dużą skalę, a w szczególności:
a)przeprowadzi, w uzupełnieniu odpowiednich ocen ryzyka w kontekście bezpieczeństwa sieci i informacji, kompleksowe badanie oceniające infrastrukturę kabli podmorskich, która łączy państwa członkowskie oraz Europę z resztą świata, w tym inwentaryzację infrastruktury kabli podwodnych, zdolności przepustowe i nadmiarowe zdolności, słabe punkty, zagrożenia dla dostępności usług i ograniczanie ryzyka w zakresie dostępności. Ustalenia należy udostępniać państwom członkowskim;
b)wesprze państwa członkowskie oraz instytucje, organy i agencje UE (EUIBA) w ich gotowości na incydenty cybernetyczne na dużą skalę.
21)Komisja będzie intensywniej pracować nad ukierunkowanymi na przyszłość działaniami przyspieszającymi wdrożenie, w tym w ramach UMOL, we współpracy z państwami członkowskimi na podstawie art. 6 i 10 decyzji 1313/2013/UE, oraz w formie planowania awaryjnego celem wsparcia Centrum Koordynacji Reagowania Kryzysowego w osiągnięciu gotowości operacyjnej.
Komisja podejmie w szczególności następujące działania:
a)podejmie dalsze prace w ramach Centrum Koordynacji Reagowania Kryzysowego nad przewidywaniem i międzysektorowym planowaniem zapobiegania, gotowości i reagowania w celu przewidywania zakłóceń w świadczeniu usług kluczowych przez podmioty obsługujące infrastrukturę krytyczną oraz przygotowania się na nie;
b)zwiększy inwestycje w podejścia zapobiegawcze i gotowość populacji na wypadek takich zakłóceń, ze szczególnym naciskiem na chemiczne, biologiczne, promieniotwórcze i jądrowe czynniki wybuchowe lub inne pojawiające się zagrożenia spowodowane przez człowieka;
c)wzmocni wymianę odpowiedniej wiedzy i najlepszych praktyk oraz poprawia koncepcję i prowadzenie działań w zakresie budowania zdolności, takich jak szkolenia i ćwiczenia dla podmiotów obsługujących infrastrukturę krytyczną, za pośrednictwem istniejących struktur i wiedzy fachowej, np. unijnej sieci wiedzy w zakresie ochrony ludności.
22)Komisja będzie popierać wykorzystanie unijnych zasobów nadzoru (Copernicus i Galileo) do wspierania państw członkowskich w monitorowaniu infrastruktury krytycznej i, w stosownych przypadkach, jej bezpośredniego sąsiedztwa, a także do wspierania innych opcji nadzoru przewidzianych w programie kosmicznym Unii.
23)Wzywa się agencje Unii i inne właściwe organy – w stosownych przypadkach i zgodnie ze swoimi odpowiednimi mandatami – do udzielanie wsparcia w kwestiach związanych z odpornością podmiotów obsługujących infrastrukturę krytyczną, w szczególności w następujący sposób:
a)Europol – w gromadzeniu informacji, analizie danych kryminalnych i wsparciu dochodzeniowym na rzecz transgranicznych działań organów ścigania;
b)EMSA – w obszarze ochrony i bezpieczeństwa sektora morskiego w Unii, w tym usług nadzoru morskiego odnoszących się do kwestii związanych z ochroną i bezpieczeństwem morskim;
c)EUSPA – w odniesieniu do działań w ramach programu kosmicznego Unii;
d)ENISA – w odniesieniu do działań związanych z cyberbezpieczeństwem.
ROZDZIAŁ III: WZMOCNIONA REAKCJA
Działania na szczeblu państw członkowskich
24)Państwa członkowskie powinny:
a)wzajemnie koordynować swoją reakcję i prowadzić przegląd międzysektorowych reakcji na znaczące zakłócenia w świadczeniu usług kluczowych przez podmioty obsługujące infrastrukturę krytyczną w ramach mechanizmu kryzysowego Rady (IPCR) w przypadkach, gdy chodzi o infrastrukturę krytyczną o znaczeniu transgranicznym, w ramach planu działania dotyczącego cyberincydentów i kryzysów cybernetycznych na dużą skalę lub – w przypadku kampanii hybrydowej – w ramach skoordynowanej reakcji UE na kampanie hybrydowe;
b)zintensyfikować wymianę informacji w ramach Unijnego Mechanizmu Ochrony Ludności, aby usprawnić wczesne ostrzeganie i skoordynować reakcję w ramach tego mechanizmu w przypadku takich znaczących zakłóceń, zapewniając tym samym w razie potrzeby szybszą reakcję wspomaganą przez Unię;
c)zwiększyć swoją gotowość do reagowania za pośrednictwem Unijnego Mechanizmu Ochrony Ludności na takie znaczące zakłócenia, w szczególności gdy mogą one mieć istotne skutki transgraniczne, a nawet ogólnoeuropejskie, oraz międzysektorowe;
d)współpracować z Komisją nad dalszym rozwojem odpowiednich zdolności reagowania w ramach europejskiej puli ochrony ludności i rescEU;
e)zwracać się do podmiotów obsługujących infrastrukturę krytyczną i właściwych organów krajowych o zwiększanie zdolności tych podmiotów do szybkiego przywracania podstawowego poziomu usług w zakresie świadczonych usług kluczowych;
f)zapewnić, by w przypadku konieczności odbudowy infrastruktury krytycznej taka przebudowana infrastruktura była odporna na całe spektrum zagrożeń, które mogą się do niej odnosić, w tym w przypadku niekorzystnych scenariuszy klimatycznych.
25)Wzywa się państwa członkowskie do przyspieszenia prac przygotowawczych nad transpozycją i stosowaniem dyrektywy NIS 2 poprzez natychmiastowe zwiększenie zdolności krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) w związku z nowymi zadaniami tych zespołów oraz zwiększoną liczbą podmiotów reprezentujących nowe sektory, szybką aktualizację ich strategii cyberbezpieczeństwa i jak najszybsze przyjęcie krajowych planów reagowania na cyberincydenty i sytuacje kryzysowe.
Działania na szczeblu Unii
26)Eksperci z państw członkowskich powinni koordynować reagowanie na znaczące zakłócenia w świadczeniu usług kluczowych przez podmioty obsługujące infrastrukturę krytyczną w kontekście odporności tych podmiotów oraz reakcji na takie zakłócenia, które mogłyby stanowić wkład w funkcjonowanie mechanizmu kryzysowego Rady (IPCR).
27)Komisja będzie ściśle współpracować z państwami członkowskimi nad dalszym rozwojem możliwych do rozmieszczenia zdolności reagowania kryzysowego, w tym ekspertów i zapasów rescEU w ramach UMOL, z myślą o zwiększeniu gotowości operacyjnej do reagowania na natychmiastowe i pośrednie skutki znaczących zakłóceń w świadczeniu usług kluczowych przez podmioty obsługujące infrastrukturę krytyczną.
28)Zważywszy na zmieniający się krajobraz ryzyka, Komisja – we współpracy z państwami członkowskimi – będzie w kontekście UMOL:
a)stale analizować i testować adekwatność i gotowość operacyjną istniejących zdolności reagowania;
b)regularnie weryfikować sprawdzać ewentualną potrzebę opracowywania nowych zdolności reagowania na szczeblu UE w ramach rescEU;
c)pogłębiać współpracę międzysektorową, aby zadbać o odpowiednią reakcję na szczeblu UE, oraz organizować regularne ćwiczenia w celu testowania tej współpracy;
d)dalej rozwijać ERCC jako międzysektorowe centrum kryzysowe na szczeblu UE służące koordynacji wsparcia dla dotkniętych państw członkowskich.
29)Komisja – we współpracy z wysokim przedstawicielem oraz w ścisłym porozumieniu z państwami członkowskimi i przy wsparciu odpowiednich agencji unijnych – opracuje plan działania dotyczący incydentów i kryzysów związanych z infrastrukturą krytyczną, w którym opisane i określone zostaną cele i sposoby współpracy między państwami członkowskimi a instytucjami, organami, urzędami i agencjami UE w zakresie reagowania na incydenty skierowane przeciwko infrastrukturze krytycznej, w szczególności gdy incydenty te pociągają za sobą znaczące zakłócenia w świadczeniu usług kluczowych na rynku wewnętrznym. W tym planie działania należy do koordynowania reagowania wykorzystać istniejące zintegrowane uzgodnienia UE dotyczące reagowania na szczeblu politycznym w sytuacjach kryzysowych (IPCR).
30)Komisja będzie współpracować z zainteresowanymi stronami i ekspertami nad ewentualnymi środkami dotyczącymi usuwania skutków incydentów związanych z infrastrukturą kabli podmorskich, które to środki mają być przedstawione wraz z badaniem oceniającym, o którym mowa w pkt 20 lit. a), a także nad dalszym opracowywaniem planów awaryjnych i scenariuszy ryzyka. Będzie także prowadzić prace nad odpornością Unii na klęski i katastrofy w ramach Unijnego Mechanizmu Ochrony Ludności.
ROZDZIAŁ IV: WSPÓŁPRACA MIĘDZYNARODOWA
31)Komisja i wysoki przedstawiciel będą – w stosownych przypadkach i zgodnie ze swoimi odpowiednimi zadaniami i obowiązkami wynikającymi z prawa Unii – wspierać kraje partnerskie w zwiększaniu odporności podmiotów obsługujących infrastrukturę krytyczną na ich terytorium.
32)Komisja i wysoki przedstawiciel wzmocnią – zgodnie ze swoimi odpowiednimi zadaniami i obowiązkami wynikającymi z prawa Unii – koordynację z NATO w zakresie odporności infrastruktury krytycznej poprzez zorganizowany dialog UE–NATO na temat odporności i ustanowią w tym celu grupę zadaniową.
33)Wzywa się państwa członkowskie, by – we współpracy z Komisją i wysokim przedstawicielem – przyczyniły się do przyspieszenia opracowania i wdrożenia unijnego zestawu narzędzi służących przeciwdziałaniu zagrożeniom hybrydowym i wytycznych wykonawczych, o których mowa w konkluzjach Rady w sprawie ram skoordynowanej reakcji UE na kampanie hybrydowe 25 , a następnie korzystały z nich, by zapewnić pełną skuteczność ram skoordynowanej reakcji UE na kampanie hybrydowe. Jest to szczególnie istotne na etapie rozważania i przygotowywania kompleksowych i skoordynowanych reakcji UE na kampanie hybrydowe i zagrożenia hybrydowe, w tym wymierzone przeciwko podmiotom obsługującym infrastrukturę krytyczną.
34)W razie potrzeby i w stosownych przypadkach Komisja rozważy udział przedstawicieli państw trzecich we współpracy i w wymianie informacji między ekspertami z państw członkowskich w obszarze odporności podmiotów obsługujących infrastrukturę krytyczną.
[…]
Sporządzono w Strasburgu dnia r.
W imieniu Rady
Przewodniczący