1.

Pentru a garanta funcționarea pieței interne, este în interesul tuturor statelor membre și al Uniunii în ansamblul său să identifice în mod clar și să protejeze infrastructura critică relevantă care furnizează servicii esențiale pe piața respectivă, în special în sectoare-cheie, cum ar fi energia, infrastructura digitală, transporturile și spațiul, precum și infrastructura critică cu o relevanță transfrontalieră semnificativă (1), a cărei perturbare ar putea avea un impact semnificativ asupra altor state membre.

2.

Prezenta recomandare, care este un act fără caracter obligatoriu, demonstrează voința politică a statelor membre de a coopera și angajamentul lor față de măsurile recomandate, evidențiate într-un plan în cinci puncte elaborat de președinta Comisiei Europene, respectând totodată pe deplin competențele statelor membre. Prezenta recomandare nu afectează protecția intereselor esențiale legate de securitatea națională, siguranța publică sau apărarea statelor membre și niciun stat membru nu ar trebui să aibă obligația de a face schimb de informații care aduc atingere acestor interese.

3.

Deși responsabilitatea principală pentru asigurarea securității infrastructurii critice și a furnizării de servicii esențiale de către infrastructura critică revine statelor membre și operatorilor infrastructurii critice ai statelor membre, o coordonare sporită la nivelul Uniunii este oportună, în special având în vedere amenințările în continuă evoluție care pot avea un impact asupra mai multor state membre în același timp, cum ar fi războiul de agresiune al Rusiei împotriva Ucrainei și campaniile hibride împotriva statelor membre, sau care pot afecta reziliența și buna funcționare a economiei, a pieței interne și a societății Uniunii în ansamblu. Ar trebui să se acorde o atenție deosebită infrastructurii critice din afara teritoriului statelor membre, cum ar fi infrastructura critică submarină sau infrastructura energetică offshore.

4.

În concluziile sale din 20 și 21 octombrie 2022, Consiliul European a condamnat cu fermitate actele de sabotaj săvârșite împotriva infrastructurii critice, precum cele împotriva conductelor Nord Stream, și a indicat voința Uniunii de a da un răspuns unit și hotărât oricărei perturbări deliberate a infrastructurii critice sau oricăror alte acțiuni hibride.

5.

Având în vedere evoluția rapidă a peisajului amenințărilor, ar trebui luate cu prioritate măsuri de consolidare a rezilienței în sectoare-cheie, precum energia, infrastructura digitală, transporturile și spațiul, și în alte sectoare relevante identificate de statele membre. Astfel de măsuri ar trebui să se axeze pe sporirea rezilienței infrastructurii critice, având în vedere riscurile relevante, în special efectele în cascadă, perturbarea lanțurilor de aprovizionare, dependența, impactul schimbărilor climatice, furnizorii și partenerii nefiabili și amenințările și campaniile hibride, inclusiv acțiunile străine de manipulare a informațiilor și ingerințele străine. În ceea ce privește infrastructura critică națională, având în vedere consecințele posibile, ar trebui să se acorde prioritate infrastructurii critice cu o relevanță transfrontalieră semnificativă. Statele membre sunt încurajate să prevadă de urgență, după caz, astfel de măsuri de consolidare a rezilienței, menținând, în același timp, abordarea stabilită în cadrul juridic în continuă evoluție.

6.

Protecția infrastructurii critice europene în sectorul energetic și în cel al transporturilor este reglementată în prezent de Directiva 2008/114/CE a Consiliului (2), iar securitatea rețelelor și a sistemelor informatice în întreaga Uniune, axată pe amenințările legate de securitatea cibernetică, este asigurată prin Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (3). În vederea asigurării unui nivel comun mai ridicat de reziliență și de protecție a infrastructurii critice, a securității cibernetice și a pieței financiare, cadrul juridic existent este în curs de a fi modificat și completat prin adoptarea unor noi norme aplicabile entităților critice („Directiva REC”), a unor norme consolidate pentru un nivel comun ridicat de securitate cibernetică în întreaga Uniune („Directiva NIS 2”) și a unor noi norme aplicabile rezilienței operaționale digitale a sectorului financiar („DORA”).

7.

Statele membre ar trebui, în conformitate cu dreptul Uniunii și dreptul intern, să utilizeze toate instrumentele disponibile pentru a realiza progrese în privința rezilienței fizice și cibernetice și pentru a contribui la consolidarea acesteia. În acest sens, infrastructura critică ar trebui înțeleasă ca incluzând infrastructura critică relevantă identificată de un stat membru la nivel național sau desemnată drept infrastructură critică europeană în temeiul Directivei 2008/114/CE, precum și entitățile critice care urmează să fie identificate în temeiul Directivei REC sau, după caz, entitățile care fac obiectul Directivei NIS 2. Conceptul de reziliență ar trebui înțeles ca referindu-se la capacitatea unei infrastructuri critice de a preveni apariția unor evenimente care perturbă în mod semnificativ sau au potențialul de a perturba în mod semnificativ furnizarea serviciilor esențiale pe piața internă, și anume serviciile care sunt esențiale pentru menținerea unor funcții societale și economice vitale, a siguranței și securității publice, a sănătății populației sau a mediului, de a se proteja în fața acestora, de a le răspunde, de a rezista, de a le atenua impactul, de a le absorbi, de a se adapta la acestea sau a-și reveni în urma lor.

8.

Ar trebui organizate reuniuni cu participarea unor experți naționali pentru a coordona eforturile în vederea atingerii unui nivel comun mai ridicat de reziliență și de protecție a infrastructurii critice, care să fie stabilit prin noile norme aplicabile entităților critice. Aceste eforturi coordonate ar urma să faciliteze cooperarea între statele membre și schimbul de informații cu privire la activități precum elaborarea de metodologii pentru identificarea serviciilor esențiale furnizate de infrastructura critică. Comisia a început deja să organizeze reuniuni cu participarea acestor experți și să le faciliteze activitatea și intenționează să continue această activitate. Odată ce Directiva REC va intra în vigoare și după ce va fi înființat un grup privind reziliența entităților critice în temeiul directivei respective, această activitate de anticipare ar trebui continuată de grupul respectiv, în concordanță cu sarcinile sale.

9.

Ținând seama de schimbările survenite în peisajul amenințărilor, ar trebui dezvoltată într-o mai mare măsură posibilitatea efectuării de teste de rezistență privind infrastructura critică la nivel național, deoarece aceste teste ar putea fi utile pentru sporirea rezilienței infrastructurii critice. În ceea ce privește importanța specifică a sectorului energetic și consecințele la nivelul Uniunii care decurg din posibila perturbare a acestuia, acest sector ar putea beneficia cel mai mult de pe urma efectuării de teste de rezistență pe baza unor principii convenite de comun acord. Aceste teste intră în sfera de competență a statelor membre, care ar trebui să încurajeze și să sprijine operatorii infrastructurii critice să efectueze aceste teste, atunci când sunt considerate utile și în conformitate cu cadrele lor juridice naționale.

10.

Pentru a asigura un răspuns coordonat și eficace la amenințările actuale și anticipate, Comisia este încurajată să ofere sprijin suplimentar statelor membre, în special prin furnizarea de informații relevante sub forma unor briefinguri și manuale și orientări fără caracter obligatoriu. Serviciul European de Acțiune Externă (SEAE), în special prin intermediul Centrului de situații și de analiză a informațiilor al UE și al celulei sale de fuziune împotriva amenințărilor hibride, cu sprijinul Direcției pentru informații a Statului-Major al Uniunii Europene (EUMS) în cadrul Capacității unice de analiză a informațiilor (SIAC), ar trebui să furnizeze evaluări ale amenințărilor. De asemenea, Comisia este invitată, în cooperare cu statele membre, să promoveze lansarea de proiecte de cercetare și inovare finanțate de Uniune.

11.

Având în vedere interdependența tot mai mare a infrastructurii fizice și a celei digitale, este posibil ca activitățile cibernetice răuvoitoare care vizează domenii critice să provoace perturbarea sau deteriorarea infrastructurii fizice, sau ca actele de sabotaj împotriva infrastructurii fizice să facă inaccesibile serviciile digitale. Statele membre sunt invitate să accelereze lucrările pregătitoare pentru transpunerea și aplicarea noului cadru juridic aplicabil entităților critice și a cadrului juridic consolidat pentru securitatea cibernetică, pe baza experienței dobândite în cadrul grupului de cooperare instituit prin Directiva (UE) 2016/1148 („Grupul de cooperare NIS”), cât mai curând posibil, ținând seama totodată de termenele de transpunere și de faptul că aceste lucrări pregătitoare ar trebui să se desfășoare în paralel și în mod coerent.

12.

Pe lângă îmbunătățirea gradului de pregătire, este, de asemenea, important să se consolideze capacitatea de a răspunde rapid și eficace în cazul unei perturbări a serviciilor esențiale furnizate de infrastructura critică. Prin urmare, prezenta recomandare cuprinde măsuri atât la nivelul Uniunii, cât și la nivel național, inclusiv prin evidențierea rolului de sprijin și a valorii adăugate care pot fi obținute prin instituirea unei cooperări și a unui schimb de informații consolidate în contextul mecanismului de protecție civilă al Uniunii (UCPM), instituit prin Decizia nr. 1313/2013/UE a Parlamentului European și a Consiliului (4) și prin utilizarea activelor relevante ale Programului spațial al Uniunii instituit în temeiul Regulamentului (UE) 2021/696 al Parlamentului European și al Consiliului (5).

13.

Comisia, Înaltul Reprezentant al Uniunii pentru afaceri externe și politica de securitate („Înaltul Reprezentant”) și Grupul de cooperare NIS, în cooperare cu organismele și agențiile civile și militare relevante și cu rețelele instituite, inclusiv cu Rețeaua europeană a organizațiilor de legătură în materie de crize cibernetice (EU-CyCLONe), urmează să efectueze o evaluare a riscurilor și să elaboreze scenarii de risc. Mai mult, în urma Apelului ministerial comun de la Nevers, Grupul de cooperare NIS, cu sprijinul Comisiei și al Agenției Uniunii Europene pentru Securitate Cibernetică (ENISA) și în cooperare cu Organismul Autorităților Europene de Reglementare în Domeniul Comunicațiilor Electronice (OAREC), efectuează în prezent o evaluare a riscurilor. În cazul ambelor exerciții se va asigura coerența și coordonarea cu exercițiul de elaborare de scenarii din cadrul UCPM, incluzând evenimentele de securitate cibernetică și impactul lor real, în curs de elaborare de către Comisie și statele membre. În interesul eficienței, eficacității și coerenței și în vederea bunei aplicări a prezentei recomandări, rezultatele acestor exerciții ar trebui să se reflecte la nivel național.

14.

Pentru a consolida imediat gradul de pregătire și capacitatea de răspuns la un incident de securitate cibernetică de mare amploare, Comisia a instituit un program pe termen scurt pentru a sprijini statele membre, prin fonduri suplimentare alocate ENISA. Printre serviciile propuse se pot număra, printre altele, acțiuni de pregătire, cum ar fi efectuarea de teste de penetrare cibernetică a entităților pentru a identifica vulnerabilitățile. În plus, programul poate spori posibilitățile de a asista statele membre în cazul unui incident de securitate cibernetică de mare amploare care ar afecta entitățile critice. Acesta este un prim pas în concordanță cu Concluziile Consiliului din 23 mai 2022 privind dezvoltarea poziției cibernetice a Uniunii Europene („concluziile Consiliului privind poziția cibernetică a UE”), prin care se solicită Comisiei să prezinte o propunere privind un fond pentru situații de urgență în domeniul cibernetic. Statele membre ar trebui să utilizeze pe deplin aceste oportunități, în conformitate cu cerințele aplicabile, și sunt încurajate să își continue eforturile în domeniul gestionării crizelor cibernetice la nivelul Uniunii, în special prin monitorizarea periodică și evaluarea progreselor înregistrate în ceea ce privește punerea în aplicare a Foii de parcurs privind gestionarea crizelor cibernetice, elaborată recent în cadrul Consiliului. Această foaie de parcurs este un document evolutiv și ar trebui revizuită și actualizată, atunci când este necesar.

15.

Cablurile submarine de comunicații mondiale sunt esențiale pentru conectivitatea mondială și în interiorul UE. Din cauza lungimii considerabile a acestor cabluri și a faptului că sunt instalate pe fundul mării, monitorizarea vizuală, la nivel subacvatic, a majorității tronsoanelor de cabluri este foarte dificilă. Faptul că aceste cabluri intră sub jurisdicția mai multor state, precum și alte aspecte legate de jurisdicție reprezintă un argument specific pentru o cooperare la nivel european și internațional în ceea ce privește protecția și restaurarea infrastructurii. Prin urmare, este necesar ca evaluările riscurilor care se efectuează în prezent sau care sunt planificate și care vizează infrastructura digitală și cea fizică ce stau la baza serviciilor digitale să fie completate cu evaluări ale riscurilor și opțiuni de măsuri de atenuare specifice pentru cablurile submarine de comunicații. Statele membre invită Comisia să efectueze studii în acest scop și să comunice constatările sale statelor membre.

16.

Sectoarele energiei și transporturilor pot fi, de asemenea, afectate de amenințările legate de infrastructura digitală, de exemplu, în ceea ce privește tehnologiile energetice care încorporează componente digitale. Securitatea lanțurilor de aprovizionare asociate este importantă pentru continuitatea furnizării de servicii esențiale și pentru controlul strategic al infrastructurii critice din sectorul energetic. Ar trebui să se țină seama de aceste circumstanțe atunci când se iau măsuri de consolidare a rezilienței infrastructurii critice în conformitate cu prezenta recomandare.

17.

Având în vedere importanța tot mai mare a infrastructurii spațiale, a activelor legate de spațiu de la sol, inclusiv a instalațiilor de producție, și a serviciilor spațiale pentru activitățile legate de securitate, este esențial să se asigure reziliența și protecția activelor și a serviciilor spațiale și a celor legate de spațiu de la sol ale Uniunii în cadrul Uniunii. Din aceleași motive, este, de asemenea, esențial, în cadrul prezentei recomandări, să se utilizeze mai structurat datele și serviciile spațiale, care sunt furnizate de sistemele și programele spațiale de supraveghere și urmărire, precum și de protecție a infrastructurii critice în alte sectoare. Viitoarea strategie spațială a UE pentru securitate și apărare va propune acțiuni adecvate în acest sens, de care ar trebui să se țină seama la punerea în aplicare a prezentei recomandări.

18.

Cooperarea la nivel internațional este, de asemenea, necesară pentru a aborda în mod eficace riscurile la adresa infrastructurii critice, printre altele, în apele internaționale. Prin urmare, statele membre sunt invitate să coopereze cu Comisia și cu Înaltul Reprezentant pentru a lua anumite măsuri în vederea realizării acestei cooperări, ținând seama de faptul că orice astfel de măsuri trebuie luate numai în conformitate cu sarcinile și responsabilitățile care le revin în temeiul dreptului Uniunii, în special cu dispozițiile tratatelor privind relațiile externe.

19.

Astfel cum s-a stabilit în comunicarea din 15 februarie 2022 intitulată „Contribuția Comisiei la apărarea europeană”, în sprijinul Busolei strategice pentru securitate și apărare – Pentru o Uniune Europeană care își protejează cetățenii, valorile și interesele și contribuie la pacea și securitatea internaționale, Comisia va evalua scenariile de referință sectoriale în materie de reziliență la amenințările hibride, în cooperare cu Înaltul Reprezentant și cu statele membre, prin identificarea lacunelor și a nevoilor, precum și a măsurilor de remediere a acestora până în 2023. Această inițiativă ar trebui să sprijine activitatea desfășurată în temeiul prezentei recomandări, contribuind la intensificarea schimbului de informații și a coordonării acțiunilor în ceea ce privește consolidarea în continuare a rezilienței, inclusiv a rezilienței infrastructurii critice.

20.

În Strategia UE în materie de securitate maritimă din 2014 și în planul de acțiune revizuit aferent s-a solicitat o protecție sporită a infrastructurii maritime critice, inclusiv a infrastructurii subacvatice, în special a celei aferente transportului maritim, energiei și comunicațiilor, printre altele prin creșterea gradului de cunoaștere a situației maritime prin îmbunătățirea interoperabilității și raționalizarea schimburilor de informații (obligatorii și voluntare). Strategia și planul de acțiune respective sunt în curs de actualizare și vor include acțiuni consolidate al căror obiectiv este protejarea infrastructurii maritime critice. Aceste acțiuni ar trebui să vină în completarea prezentei recomandări.

21.

Consolidarea rezilienței infrastructurii critice contribuie la eforturile mai ample de combatere a amenințărilor hibride și a campaniilor împotriva Uniunii și a statelor sale membre. Prezenta recomandare se bazează pe comunicarea comună a Parlamentului European și a Consiliului intitulată „Cadrul comun privind contracararea amenințărilor hibride – Un răspuns al Uniunii Europene”. Acțiunea 1 din cadrul comun, și anume studiul privind riscurile hibride, joacă un rol esențial în identificarea vulnerabilităților care pot afecta structurile și rețelele naționale și paneuropene. În plus, punerea în aplicare a Concluziilor Consiliului din 21 iunie 2022 privind un cadru pentru un răspuns coordonat al UE la campaniile hibride va asigura o acțiune coordonată mai puternică prin aplicarea setului de instrumente al UE pentru contracararea amenințărilor hibride în toate domeniile afectate.

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

În cadrul activității lor, acești experți desemnați ar trebui să acorde o atenție deosebită dependențelor transsectoriale și infrastructurii critice cu o relevanță transfrontalieră semnificativă; această activitate ar trebui să fie continuată de Consiliu și de Comisie, după caz.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.

30.

31.

32.

33.

34.

35.

36.

37.

38.