EURÓPSKA KOMISIA

V Bruseli6. 9. 2023

COM(2023) 526 final

2023/0318(NLE)

Návrh

ODPORÚČANIE RADY

o koncepcii koordinovanej reakcie Únie na narušenia kritickej infraštruktúry so značným cezhraničným významom

(Text s významom pre EHP)

DÔVODOVÁ SPRÁVA

1.KONTEXT NÁVRHU

•Dôvody a ciele návrhu

V súčasnom geopolitickom kontexte, ktorý sa vyznačuje rastúcou nestabilitou, najmä v dôsledku útočnej vojny Ruska voči Ukrajine a rastúcej zložitosti bezpečnostných hrozieb, ako aj účinkami zmeny klímy, ako je nárast nezvyčajných klimatických udalostí alebo nedostatok vody, musí Únia zostať ostražitá a neustále sa prispôsobovať. Občania, spoločnosti a orgány v Únii sa spoliehajú na kritickú infraštruktúru 1 z dôvodu základných služieb, ktoré poskytujú subjekty prevádzkujúce takúto infraštruktúru. Takéto služby sú kľúčové pre zachovanie životne dôležitých spoločenských funkcií, hospodárskych činností, verejného zdravia a bezpečnosti alebo životného prostredia a musia sa na vnútornom trhu poskytovať nerušeným spôsobom. Preto vzhľadom na význam týchto základných služieb pre vnútorný trh a z toho vyplývajúcu potrebu zvýšiť odolnosť kritickej infraštruktúry a v širšom zmysle zabezpečiť odolnosť kritických subjektov poskytujúcich tieto služby musí Únia prijať opatrenia na posilnenie takejto odolnosti a zmiernenie akýchkoľvek narušení pri poskytovaní takýchto základných služieb. Takéto narušenia môžu mať inak vážne dôsledky pre občanov Únie, naše hospodárstva a dôveru v naše demokratické systémy a môžu ovplyvniť hladké fungovanie vnútorného trhu, najmä v kontexte rastúcej vzájomnej závislosti medzi sektormi a cezhranične.

Únia už prijala niekoľko opatrení na posilnenie ochrany kritickej infraštruktúry, najmä pokiaľ ide o cezhraničnú infraštruktúru, a odolnosti kritických subjektov s cieľom zabrániť narušeniam základných služieb, ktoré poskytujú na vnútornom trhu, alebo zmierniť účinky ich narušení.

Smernica 2008/114/ES o identifikácii a označení európskych kritických infraštruktúr 2 (ďalej len „smernica o európskych kritických infraštruktúrach“) bola prvým právnym nástrojom na zavedenie celoeurópskeho postupu identifikácie a označovania európskych kritických infraštruktúr a spoločného prístupu Únie k posúdeniu potreby zlepšiť ochranu takejto infraštruktúry pred hrozbami spôsobenými ľudskou činnosťou – úmyselnými aj náhodnými – ako aj prírodnými katastrofami. Zamerala sa však len na odvetvia energetiky a dopravy a na ochranu kritickej infraštruktúry a nestanovila širšie opatrenia na zvýšenie odolnosti subjektov prevádzkujúcich takúto infraštruktúru.

Vzhľadom na čoraz prepojenejšiu a cezhraničnú povahu operácií na vnútornom trhu bolo potrebné pokryť viac ako dve odvetvia a ísť nad rámec ochranných opatrení týkajúcich sa jednotlivých aktív. Preto bola v roku 2022 prijatá smernica (EÚ) 2022/2557 o odolnosti kritických subjektov 3 (ďalej len „smernica CER“) spolu so smernicou (EÚ) 2022/2555 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii 4 (ďalej len „smernica NIS 2“). Cieľom je zabezpečiť komplexnú úroveň fyzickej a digitálnej odolnosti kritických subjektov. Smernica CER nadobudla účinnosť 16. januára 2023 a jej cieľom je pomôcť členským štátom zvýšiť celkovú odolnosť kritických subjektov a zároveň posilniť koordináciu na úrovni Únie. Od 18. októbra 2024 nahradí smernicu o európskych kritických infraštruktúrach, a do tohto termínu musia členské štáty prijať opatrenia potrebné na dosiahnutie súladu so smernicou CER. Smernica CER sa vzťahuje na 11 sektorov 5 . Jej zameranie sa presúva z ochrany kritickej infraštruktúry na širšiu koncepciu odolnosti kritických subjektov prevádzkujúcich takúto kritickú infraštruktúru, ktorá sa vzťahuje na obdobie pred incidentom, počas neho aj po ňom. Smernica NIS 2 takisto nadobudla účinnosť 16. januára 2023 a modernizuje existujúci právny rámec s cieľom prispôsobiť sa zvýšenej digitalizácii a vývoju prostredia kybernetických hrozieb. Smernicou NIS2 sa takisto rozširuje rozsah pôsobnosti pravidiel kybernetickej bezpečnosti na nové odvetvia a subjekty a zlepšujú sa kapacity verejných a súkromných subjektov, príslušných orgánov a Únie ako celku v oblasti reakcie na incidenty.

Smernica CER obsahuje ustanovenia týkajúce sa oznamovania incidentov zo strany kritického subjektu príslušnému vnútroštátnemu orgánu, oznamovania iných (potenciálne) dotknutých členských štátov príslušným vnútroštátnym orgánom a oznámenia Komisie, ak incident postihne šesť alebo viac členských štátov. V smernici CER sa stanovujú určité povinnosti oznamovania incidentov v prípade, že incident má alebo by mohol mať významný vplyv na kritické subjekty a kontinuitu poskytovania základných služieb do jedného alebo viacerých členských štátov alebo v nich 6 .

Ako dokazuje sabotáž plynovodov Nord Stream v septembri 2022, bezpečnostný kontext, v ktorom funguje kritická infraštruktúra, sa výrazne zmenil a na úrovni Únie sú potrebné ďalšie naliehavé opatrenia s cieľom zvýšiť odolnosť kritickej infraštruktúry, a to nielen pokiaľ ide o pripravenosť, ale aj pokiaľ ide o koordinovanú reakciu.

V tejto súvislosti bolo 8. decembra 2022 na základe návrhu Komisie prijaté odporúčanie Rady o celoúnijnom koordinovanom prístupe k posilneniu odolnosti kritickej infraštruktúry 7 („odporúčanie o odolnosti kritickej infraštruktúry“). V uvedenom odporúčaní sa okrem iného zdôrazňuje potreba zabezpečiť na úrovni Únie koordinovanú a účinnú reakciu na súčasné a budúce riziká súvisiace s poskytovaním základných služieb. Rada konkrétne vyzvala Komisiu, aby „navrhla koncepciu koordinovanej reakcie na narušenia kritickej infraštruktúry so značným cezhraničným významom“. V odporúčaní sa uvádza, že koncepcia by mala byť v súlade s protokolom EÚ na boj proti hybridným hrozbám 8 , mala by zohľadňovať odporúčanie Komisie 2017/1584 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu 9 („kybernetická koncepcia“) a rešpektovať integrované dojednania EÚ o politickej reakcii na krízu 10 (IPCR).

V tomto kontexte tento návrh ďalšieho odporúčania Rady obsahuje takúto koncepciu. Cieľom návrhu je doplniť súčasný právny rámec opisom koordinovanej reakcie na úrovni Únie, pokiaľ ide o narušenia kritickej infraštruktúry so značným cezhraničným významom, pričom sa využijú existujúce opatrenia na úrovni Únie. Konkrétne sa v návrhu opisuje rozsah pôsobnosti a ciele koncepcie, ako aj aktéri, procesy a existujúce nástroje, ktoré by sa mohli použiť s cieľom koordinovane reagovať na rušivý incident v oblasti kritickej infraštruktúry so značným cezhraničným účinkom na úrovni Únie, a opisujú sa v ňom spôsoby spolupráce medzi členskými štátmi, inštitúciami, orgánmi, úradmi a agentúrami Únie v takýchto situáciách.

•Súlad s existujúcimi ustanoveniami v tejto oblasti politiky

Tento návrh odporúčania Rady je v súlade so súčasným právnym rámcom o ochrane kritickej infraštruktúry a odolnosti kritických subjektov – smernicou o európskych kritických infraštruktúrach a smernicou CER, ako aj odporúčaním o odolnosti kritickej infraštruktúry – a dopĺňa ho, keďže jeho cieľom je komplementárnym spôsobom zabezpečiť koordináciu medzi členskými štátmi a medzi nimi a inštitúciami, orgánmi, úradmi a agentúrami Únie, pokiaľ ide o reakciu na incidenty, ktoré spôsobujú narušenia kritickej infraštruktúry so značným cezhraničným významom, a poskytovanie základných služieb. V návrhu sa využívajú existujúce štruktúry a mechanizmy na úrovni Únie vrátane tých, ktoré boli stanovené v smernici CER, konkrétne spolupráca medzi príslušnými orgánmi a skupinou pre odolnosť kritických subjektov, ktorá je skupinou zriadenou smernicou CER na podporu Komisie a uľahčenie spolupráce medzi členskými štátmi a výmenu informácií o otázkach týkajúcich sa smernice CER.

Tento návrh odporúčania Rady je takisto v súlade s rámcom Únie pre kybernetickú bezpečnosť stanoveným v smernici NIS 2 a dopĺňa ho.

Cieľom tohto návrhu je predložiť v oblasti odolnosti kritických subjektov a ochrany kritickej infraštruktúry koncepciu kritickej infraštruktúry podobnú kybernetickej koncepcii.

V prílohe I bode 4 písm. b) sa vysvetľujú prepojenia s kybernetickou koncepciou, ktorá sa uplatňuje na rozsiahle kybernetické incidenty, ktoré spôsobia príliš rozsiahle narušenie na to, aby ich dotknutý členský štát dokázal zvládnuť sám, alebo ktoré sa týkajú dvoch či viacerých členských štátov alebo inštitúcií Únie s takým rôznorodým a výrazným dosahom technického alebo politického významu, že si vyžadujú promptnú koordináciu politiky a reakciu na politickej úrovni EÚ. Incident je v smernici NIS 2 vymedzený ako „udalosť ohrozujúca dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo služieb poskytovaných alebo prístupných prostredníctvom sietí a informačných systémov“ („kybernetický incident“).

Príslušné orgány podľa smernice CER a smernice NIS 2 majú povinnosť spolupracovať a vymieňať si informácie o kybernetických incidentoch a incidentoch, ktoré ovplyvňujú kritické subjekty, a to aj pokiaľ ide o príslušné prijaté opatrenia. V situácii, keď významný incident v oblasti kritickej infraštruktúry a rozsiahly kybernetický bezpečnostný incident ovplyvňujú ten istý subjekt, by sa mala zabezpečiť koordinácia možných reakcií medzi príslušnými aktérmi.

Návrh je v súlade s Protokolom EÚ na boj proti hybridným hrozbám, ktorý sa uplatňuje v prípade hybridných incidentov. V časti I bode 4 písm. a) prílohy sa vysvetľujú prepojenia s protokolom EÚ vrátane toho, ktorý nástroj sa uplatňuje v prípade významného incidentu v oblasti kritickej infraštruktúry s hybridným rozmerom.

Návrh je takisto v súlade s inými existujúcimi mechanizmami krízového riadenia na úrovni Únie, ako sú integrované dojednania Rady o politickej reakcii na krízu, vnútorný krízový koordinačný proces Komisie ARGUS 11 a mechanizmus Únie v oblasti civilnej ochrany 12 („UCPM“) podporovaný Koordinačným centrom pre reakcie na núdzové situácie („ERCC“) a mechanizmus reakcie ESVČ na krízy.

Návrh je takisto v súlade s ostatnými príslušnými odvetvovými právnymi predpismi, a najmä s osobitnými opatreniami v nich, ktorými sa upravujú určité aspekty reakcie na narušenia zo strany subjektov pôsobiacich v dotknutých odvetviach.

2.PRÁVNY ZÁKLAD, SUBSIDIARITA A PROPORCIONALITA

•Právny základ

•Subsidiarita (v prípade inej ako výlučnej právomoci)

•Proporcionalita

Tento návrh je v súlade so zásadou proporcionality stanovenou v článku 5 ods. 4 Zmluvy o Európskej únii.

Ani obsah, ani forma tohto navrhovaného odporúčania Rady nepresahujú rámec nevyhnutný na dosiahnutie jeho cieľov. Navrhované opatrenia sú primerané sledovaným cieľom, ktoré sa zameriavajú na zabezpečenie koordinovanej reakcie na úrovni Únie v prípade narušenia kritickej infraštruktúry alebo služieb poskytovaných kritickými subjektmi prevádzkujúcimi túto kritickú infraštruktúru, ktoré majú značný cezhraničný význam. Táto navrhovaná koordinovaná reakcia je primeraná výsadám a povinnostiam členských štátov podľa vnútroštátneho práva. Incidenty, ktoré narúšajú kritickú infraštruktúru alebo poskytovanie základných služieb kritickými subjektmi, často nedosahujú prahovú hodnotu významného incidentu v oblasti kritickej infraštruktúry a možno ich účinne riešiť na vnútroštátnej úrovni. Využívanie mechanizmu stanoveného v tomto návrhu sa preto obmedzuje na závažné narušenia, ktoré majú značný cezhraničný význam pre viaceré členské štáty.

•Výber nástroja

3.VÝSLEDKY HODNOTENÍ EX POST, KONZULTÁCIÍ SO ZAINTERESOVANÝMI STRANAMI A POSÚDENÍ VPLYVU

•Konzultácie so zainteresovanými stranami

Pri vypracúvaní tohto návrhu sa uskutočnili konzultácie s členskými štátmi, inštitúciami a agentúrami Únie. Názory expertov z členských štátov vyjadrené na seminári 24. apríla 2023 a zaslané písomne po tomto seminári sa takisto zohľadnili.

Dosiahol sa celkový konsenzus o užitočnosti väčšej koordinácie v reakcii na narušenia kritickej infraštruktúry so značným cezhraničným významom na úrovni Únie v súčasnom kontexte hrozieb, pričom sa rešpektovala právomoc členských štátov v tejto oblasti a dôvernosť citlivých informácií. Dosiahol sa aj konsenzus o potrebe vyhnúť sa duplicite nástrojov a dobre využívať existujúce mechanizmy koordinácie, výmeny informácií a reakcie na úrovni Únie.

Zatiaľ čo niektoré členské štáty mali pozitívny názor na širší rozsah pôsobnosti koncepcie kritickej infraštruktúry, iné sa domnievali, že prahová hodnota šiestich alebo viacerých členských štátov stanovená v smernici CER, pokiaľ ide o identifikáciu kritických subjektov osobitného európskeho významu, je dostatočná a nie je potrebné zahrnúť do rozsahu pôsobnosti druhý typ incidentu. Niekoľko členských štátov poukázalo na význam prípadného zapojenia prevádzkovateľov kritickej infraštruktúry, ktorí poskytujú základné služby, a to vzhľadom na ich odborné znalosti a význam zohľadnenia kybernetického rozmeru.

•Podrobné vysvetlenie konkrétnych ustanovení návrhu

Návrh odporúčania Rady pozostáva z hlavnej časti a prílohy.

Hlavná časť pozostáva z týchto 11 bodov:

V bode 1 sa stanovuje potreba posilnenej spolupráce, pokiaľ ide o reakcie na významné incidenty v oblasti kritickej infraštruktúry v súlade s koncepciou kritickej infraštruktúry, ktorá je obsahom tohto navrhovaného odporúčania vrátane relevantných častí prílohy k nemu.

V bode 2 sa stanovuje rozsah pôsobnosti koncepcie kritickej infraštruktúry, ktorá odkazuje na dva typy situácií rušivých incidentov, ktoré by boli dôvodom uplatnenia koncepcie kritickej infraštruktúry: incident má buď významný rušivý vplyv na poskytovanie základných služieb do šiestich alebo viacerých členských štátov alebo v šiestich alebo viacerých členských štátoch, alebo má významný rušivý vplyv v dvoch alebo viacerých členských štátoch a medzi príslušnými aktérmi, ktorí sú v ňom uvedení, existuje dohoda o potrebe koordinácie na úrovni Únie z dôvodu významného vplyvu incidentu.

Bod 3 sa týka identifikácie príslušných aktérov, ktorí sa majú zapojiť do koncepcie kritickej infraštruktúry, a úrovní, na ktorých bude koncepcia kritickej infraštruktúry fungovať (operačná, strategická/politická). Táto problematika je ďalej vysvetlená v prílohe k odporúčaniu.

V bode 4 sa odporúča uplatnenie koncepcie kritickej infraštruktúry v súlade s inými relevantnými nástrojmi, ktoré sú opísané v prílohe.

V bode 5 sa členským štátom odporúča, aby na vnútroštátnej úrovni účinne reagovali na závažné narušenia kritickej infraštruktúry.

V bode 6 sa odporúča, aby príslušní aktéri zriadili alebo určili kontaktné miesta, ktoré by mali podporovať používanie koncepcie kritickej infraštruktúry. Ak je to možné, tieto kontaktné miesta by mali byť rovnaké ako jednotné kontaktné miesta podľa smernice CER.

Bod 7 sa vzťahuje na tok informácií v prípade významného incidentu v oblasti kritickej infraštruktúry.

V bode 8 sa podrobnejšie uvádza, ako by sa mala uskutočňovať výmena informácií.

V bode 9 sa odporúča testovanie fungovania koncepcie kritickej infraštruktúry prostredníctvom cvičení.

V bode 10 sa odporúča, aby sa identifikované poznatky prediskutovali v rámci skupiny pre odolnosť kritických subjektov, ktorá by mala vypracovať správu vrátane odporúčaní. Správu by mala prijať Komisia.

V bode 11 sa členským štátom odporúča, aby o správe rokovali v Rade.

V príloha sa opisujú ciele, princípy, hlavní aktéri, prepojenie s existujúcimi mechanizmami reakcie na krízu a fungovanie koncepcie kritickej infraštruktúry, ktorá predpokladá dva režimy spolupráce: výmena informácií a reakcia.

2023/0318 (NLE)

Návrh

ODPORÚČANIE RADY

o koncepcii koordinovanej reakcie Únie na narušenia kritickej infraštruktúry so značným cezhraničným významom

(Text s významom pre EHP)

RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej články 114 a 292,

so zreteľom na návrh Európskej komisie,

keďže:

(1)Možnosť spoľahnúť sa na odolnú kritickú infraštruktúru a odolné kritické subjekty poskytujúce služby, ktoré sú kľúčové pre zachovanie životne dôležitých spoločenských funkcií, hospodárskych činností, verejného zdravia a bezpečnosti alebo životného prostredia, má zásadný význam pre hladké fungovanie vnútorného trhu a spoločnosti ako celku.

(2)V súčasnom vyvíjajúcom sa prostredí rizík a vzhľadom na rastúcu vzájomnú závislosť medzi infraštruktúrou a odvetviami a všeobecnejšie na prepojenia medzi odvetviami a hranicami je potrebné komplexným a koordinovaným spôsobom riešiť a posilniť ochranu kritickej infraštruktúry a odolnosť kritických subjektov prevádzkujúcich takúto infraštruktúru.

(3)Incident, ktorý narúša kritickú infraštruktúru, a tým znemožňuje alebo vážne bráni poskytovaniu základných služieb, môže mať značné cezhraničné účinky a negatívny vplyv na vnútorný trh. S cieľom zabezpečiť cielený, primeraný a účinný prístup by sa mali prijať opatrenia najmä na riešenie významných incidentov v oblasti kritickej infraštruktúry uvedených v tomto odporúčaní, ktoré zahŕňajú napríklad situácie, keď narušenie spôsobené incidentom trvá dlho alebo môže mať značné kaskádové účinky v tom istom alebo iných odvetviach alebo členských štátoch.

(4)Koordinovaná reakcia na významné incidenty v oblasti kritickej infraštruktúry je nevyhnutná na to, aby sa zabránilo vážnym narušeniam vnútorného trhu a aby sa čo najskôr zabezpečilo obnovenie poskytovania týchto základných služieb, keďže takéto incidenty môžu mať vážne dôsledky pre hospodárstvo a občanov v Únii. Včasná a účinná reakcia na takéto incidenty na úrovni Únie si vyžaduje rýchlu a účinnú spoluprácu medzi všetkými príslušnými aktérmi a koordinovanú činnosť s podporou na úrovni Únie. Takáto reakcia je preto závislá od vopred stanovených a pokiaľ možno riadne odskúšaných postupov a mechanizmov spolupráce so stanovenými úlohami a povinnosťami hlavných aktérov na vnútroštátnej úrovni a na úrovni Únie.

(5)Zatiaľ čo hlavnú zodpovednosť za zabezpečenie reakcie na významné incidenty v oblasti kritickej infraštruktúry nesú členské štáty a subjekty prevádzkujúce kritickú infraštruktúru a poskytujúce základné služby, v prípade narušení so značným cezhraničným významom je vhodná zvýšená koordinácia na úrovni Únie. Včasná a účinná reakcia závisí nielen od zavedenia vnútroštátnych mechanizmov členskými štátmi, ale aj od koordinovaných opatrení podporovaných na úrovni Únie vrátane rýchlej a účinnej relevantnej spolupráce.

(6)Ochranu európskej kritickej infraštruktúry v súčasnosti upravuje smernica Rady 2008/114/ES 13 , ktorá sa týka len dvoch odvetví, a to dopravy a energetiky. V uvedenej smernici sa stanovuje postup identifikácie a označenia európskej kritickej infraštruktúry a spoločný prístup k zhodnoteniu potreby zlepšiť ochranu týchto infraštruktúr. Ide o ústredný pilier Európskeho programu na ochranu kritickej infraštruktúry 14 („EPCIP“), prijatého Komisiou v roku 2006, v ktorom sa na európskej úrovni stanovil rámec pre ochranu kritickej infraštruktúry pre všetky riziká.

(7)S cieľom ísť nad rámec ochrany kritickej infraštruktúry a všeobecnejšie zabezpečiť odolnosť kritických subjektov prevádzkujúcich takúto infraštruktúru, ktoré poskytujú základné služby na vnútornom trhu, sa smernicou Európskeho parlamentu a Rady (EÚ) 2022/2557 15 od 18. októbra 2024 nahradí smernica 2008/114/ES. Smernica (EÚ) 2022/2557 sa vzťahuje na 11 odvetví a stanovuje povinnosti členských štátov a kritických subjektov zvyšujúce odolnosť, spoluprácu medzi členskými štátmi a s Komisiou, ako aj podporu vnútroštátnych orgánov a kritických subjektov zo strany Komisie a podporu kritických subjektov zo strany členských štátov.

(8)Po sabotáži plynovodov Nord Stream treba na úrovni Únie prijať ďalšie opatrenia na zvýšenie odolnosti kritickej infraštruktúry. Rada preto na základe návrhu Komisie prijala odporúčanie o celoúnijnom koordinovanom prístupe k posilneniu odolnosti kritickej infraštruktúry (ďalej len „odporúčanie 2023/C 20/01“) 16 , ktorého cieľom je zlepšiť pripravenosť, reakciu a medzinárodnú spoluprácu v tejto oblasti. V uvedenom odporúčaní sa najmä zdôraznila potreba zabezpečiť na úrovni Únie koordinovanú a účinnú reakciu na riziká súvisiace s poskytovaním základných služieb.

(9)Preto treba doplniť existujúci právny rámec ďalším odporúčaním Rady, ktorým sa stanoví koncepcia koordinovanej reakcie na narušenia kritickej infraštruktúry so značným cezhraničným významom („koncepcia kritickej infraštruktúry“), pričom sa využijú existujúce mechanizmy na úrovni Únie.

(10)Toto odporúčanie by sa malo zosúladiť s odporúčaním 2023/C 20/01, aby sa zabezpečila konzistentnosť a zabránilo sa duplicite. Preto by sa toto odporúčanie ako také nemalo vzťahovať na ostatné prvky životného cyklu krízového riadenia, konkrétne na prevenciu, pripravenosť a obnovu.

(11)Toto odporúčanie by malo dopĺňať smernicu (EÚ) 2022/2557, najmä pokiaľ ide o koordinovanú reakciu, a pri jeho vykonávaní by sa mal zabezpečiť súlad s uvedenou smernicou a všetkými ostatnými uplatniteľnými pravidlami práva Únie. Toto odporúčanie by sa preto zároveň malo v čo najväčšej možnej miere opierať o pojmy, nástroje a postupy uvedenej smernice, ako je skupina pre odolnosť kritických subjektov, ktorá koná v medziach svojich úloh stanovených v uvedenej smernici, a kontaktné miesta, a v čo najväčšej možnej miere ich využívať. Okrem toho by sa pojem „kritická infraštruktúra“ použitý v tomto odporúčaní mal chápať rovnakým spôsobom, ako sa uvádza v odôvodnení 7 odporúčania 2023/C 20/01, t. j. ako pojem, ktorý zahŕňa relevantnú kritickú infraštruktúru identifikovanú členským štátom na vnútroštátnej úrovni alebo označenú za európsku kritickú infraštruktúru podľa smernice 2008/114/ES, ako aj kritické subjekty, ktoré sa identifikujú podľa smernice (EÚ) 2022/2557. S cieľom zabezpečiť súlad so smernicou (EÚ) 2022/2557 by sa preto uvedené pojmy použité v tomto odporúčaní mali vykladať tak, že majú rovnaký význam ako v uvedenej smernici. Napríklad pojem „odolnosť“, vymedzený v článku 2 bode 2 uvedenej smernice, by sa mal chápať aj ako schopnosť kritickej infraštruktúry predchádzať udalostiam, ktoré výrazne narúšajú alebo môžu významne narušiť poskytovanie základných služieb na vnútornom trhu, t. j. služieb, ktoré sú kľúčové pre zachovanie nevyhnutných spoločenských a hospodárskych funkcií, verejnú bezpečnosť a ochranu, zdravie obyvateľstva alebo životné prostredie, chrániť pred takýmito udalosťami, reagovať na ne, odolávať im, zmierňovať ich, absorbovať ich, prispôsobovať sa im alebo zotaviť sa z nich.

(12)Okrem toho by sa pojem „významný rušivý vplyv“ mal chápať na základe kritérií stanovených v článku 7 ods. 1 smernice (EÚ) 2022/2557, ktoré odkazujú na: i) počet používateľov využívajúcich základnú službu, ktorú dotknutý subjekt poskytuje; ii) mieru, v akej iné odvetvia a pododvetvia uvedené v prílohe k smernici závisia od predmetnej základnej služby; iii) vplyv, ktorý by mohli mať incidenty z hľadiska závažnosti a trvania na hospodárske a spoločenské činnosti, životné prostredie, verejnú ochranu a bezpečnosť, alebo zdravie obyvateľstva; iv) trhový podiel subjektu na trhu s dotknutou základnou službou alebo dotknutými základnými službami; v) geografická oblasť, ktorú by incident mohol ovplyvniť, vrátane akéhokoľvek cezhraničného vplyvu, s prihliadnutím na zraniteľnosť súvisiacu so stupňom izolácie určitých typov geografických oblastí, ako sú ostrovné regióny, vzdialené regióny alebo horské oblasti; vi) význam subjektu z hľadiska zachovania dostatočnej úrovne základnej služby berúc do úvahy dostupnosť alternatívnych spôsobov poskytovania danej základnej služby.

(13)V záujme efektívnosti a účinnosti by koncepcia kritickej infraštruktúry mala byť plne koherentná a interoperabilná s revidovaným operačným protokolom Únie na boj proti hybridným hrozbám 17 a mala by zohľadňovať existujúcu koncepciu koordinovanej reakcie na rozsiahle cezhraničné kybernetické incidenty a krízy stanovenú v odporúčaní Komisie (EÚ) 2017/1584 18 („kybernetická koncepcia“) a mandát Európskej siete styčných organizácií pre kybernetické krízy („EU-CyCLONe“) stanovený v smernici Európskeho parlamentu a Rady (EÚ) 2022/2555 19 a zabrániť duplicite štruktúr a činností. Pri koordinácii reakcie by takisto v plnej miere mala rešpektovať integrované dojednania Rady o politickej reakcii na krízu („IPCR“) 20 .

(14)Toto odporúčanie vychádza zo zavedených mechanizmov krízového riadenia Únie, ako sú integrované dojednania Rady o politickej reakcii na krízu, vnútorný krízový koordinačný proces Komisie ARGUS 21 a mechanizmus Únie v oblasti civilnej ochrany („UCPM“) 22 podporovaný Koordinačným centrom pre reakcie na núdzové situácie („ERCC“) 23 a mechanizmus reakcie ESVČ na krízy, ako aj nástroj núdzovej pomoci pre jednotný trh 24 , v širšom zmysle je s nimi v súlade a dopĺňa ich, pričom všetky tieto mechanizmy môžu zohrávať úlohu v reakcii na závažné narušenie prevádzky kritickej infraštruktúry.

(15)Pri reakcii na významný incident v oblasti kritickej infraštruktúry sa môžu použiť uvedené nástroje alebo mechanizmy na úrovni Únie v súlade s pravidlami a postupmi, ktoré sa na ne vzťahujú a ktoré by toto odporúčanie malo dopĺňať, ale nemalo by sa ich dotknúť. Napríklad integrované dojednania Rady o politickej reakcii na krízu zostávajú hlavným nástrojom koordinácie reakcie na politickej úrovni Únie medzi členskými štátmi. Vnútorná koordinácia v Komisii sa uskutočňuje v rámci medziodvetvového krízového koordinačného procesu ARGUS. Ak má kríza externý rozmer alebo sa týka spoločnej bezpečnostnej a obrannej politiky (SBOP), môže sa použiť mechanizmus reakcie ESVČ na krízy. V súlade s rozhodnutím č. 1313/2013/EÚ o mechanizme Únie v oblasti civilnej ochrany operačné reakcie v rámci mechanizmu Únie v oblasti civilnej ochrany na skutočné alebo bezprostredné prírodné katastrofy a katastrofy spôsobené ľudskou činnosťou v rámci Únie aj mimo nej (vrátane katastrof ovplyvňujúcich kritickú infraštruktúru) organizuje centrum ERCC, ako jednotné operačné centrum Komisie s nepretržitou prevádzkou, ktoré riadi reakcie na krízy. V takýchto prípadoch môže centrum ERCC poskytovať včasné varovanie, oznamovanie, analýzu a podporovať výmenu informácií a v prípade aktivácie mechanizmu Únie v oblasti civilnej ochrany členským štátom aj nasadenie operačnej pomoci a expertov do postihnutých oblastí. Centrum ERCC môže okrem toho uľahčiť sektorovú a medziodvetvovú koordináciu na úrovni EÚ, ako aj medzi EÚ a príslušnými vnútroštátnymi orgánmi vrátane tých, ktoré sú zodpovedné za civilnú ochranu a odolnosť kritickej infraštruktúry.

(16)Zatiaľ čo postupy stanovené v tomto odporúčaní by sa mali prípadne zvážiť v súvislosti s týmito inými nástrojmi alebo mechanizmami v prípade ich použitia, v tomto odporúčaní by sa mali opísať aj opatrenia, ktoré by sa mohli prijať na úrovni Únie, pokiaľ ide o spoločné situačné povedomie, koordinovanú komunikáciu s verejnosťou a účinnú reakciu mimo rámca uvedených mechanizmov krízovej koordinácie Únie v prípade, že sa nepoužijú.

(17)S cieľom lepšie koordinovať reakciu v prípade významných incidentov v oblasti kritickej infraštruktúry by sa mala posilniť spolupráca medzi členskými štátmi a inštitúciami Únie, príslušnými agentúrami, orgánmi a úradmi Únie prostredníctvom existujúcich dojednaní v súlade s rámcom koncepcie kritickej infraštruktúry. Koncepcia kritickej infraštruktúry by sa preto mala uplatňovať pri dosiahnutí prahovej hodnoty šiestich alebo viacerých členských štátov stanovenej v smernici (EÚ) 2022/2557, pokiaľ ide o identifikáciu kritických subjektov osobitného európskeho významu, ako aj v prípade, keď dôjde k incidentom, ktoré majú vplyv na menší počet členských štátov, keď by takéto incidenty mohli mať rozsiahly vplyv z dôvodu kaskádových cezhraničných účinkov, a preto by koordinácia reakcie na úrovni Únie bola prospešná.

(18)Hoci sa rámec spolupráce na úrovni Únie pre koordinovanú reakciu na významné incidenty v oblasti kritickej infraštruktúry považuje za potrebný, nemal by odvádzať zdroje kritických subjektov a príslušných orgánov od riešenia incidentov, čo by malo byť prioritou. 

(19)Príslušní aktéri zapojení do vykonávania koncepcie kritickej infraštruktúry by mali byť jasne určení, aby existoval jasný a komplexný prehľad o inštitúciách, orgánoch, úradoch, agentúrach a orgánoch, ktoré by mohli reagovať na významné incidenty v oblasti kritickej infraštruktúry.

(20)Za reakciu na incidenty v oblasti kritickej infraštruktúry vrátane významných incidentov sú primárne zodpovedné príslušné orgány členských štátov. Týmto odporúčaním by nemala byť dotknutá zodpovednosť za ochranu národnej bezpečnosti a obrany alebo ich právomoc chrániť iné základné funkcie štátu, najmä pokiaľ ide o verejnú bezpečnosť, územnú celistvosť a udržiavanie verejného poriadku, v súlade s právom Únie. Okrem toho by toto odporúčanie nemalo mať vplyv na vnútroštátne procesy, ako je komunikácia a kontakt prevádzkovateľov kritickej infraštruktúry s príslušnými vnútroštátnymi orgánmi. Toto odporúčanie by sa malo uplatňovať bez toho, aby boli dotknuté príslušné dvojstranné alebo viacstranné dohody uzavreté medzi členskými štátmi.

(21)Určenie alebo zriadenie kontaktných miest príslušnými aktérmi je nevyhnutné pre účinnú a včasnú spoluprácu v rámci koncepcie kritickej infraštruktúry. V záujme zabezpečenia súdržnosti by členské štáty mali zvážiť možnosť, aby sa v tomto rámci ako kontaktné miesta určili alebo zriadili jednotné kontaktné miesta, ktoré sa majú určiť alebo zriadiť v rámci smernice (EÚ) 2022/2557.

(22)V záujme účinnosti by podstatnou súčasťou udržiavania vysokej úrovne pripravenosti v prípade významných incidentov v oblasti kritickej infraštruktúry a zaistenia schopnosti zabezpečiť rýchlu a dobre koordinovanú reakciu so zapojením príslušných aktérov malo byť testovanie a uplatňovanie koncepcie kritickej infraštruktúry, ako aj podávanie správ a diskusia o skúsenostiach získaných po jej uplatnení.

(23)Vzhľadom na štruktúru mechanizmu Rady pre krízovú koordináciu IPCR a všeobecnejšie na možnú aktiváciu mechanizmov krízovej koordinácie, ktoré už existujú na úrovni Únie, by koncepcia kritickej infraštruktúry mala zahŕňať dva spôsoby spolupráce s cieľom reagovať na významný incident v oblasti kritickej infraštruktúry. Prvý by mal pozostávať z výmeny informácií so zapojením všetkých príslušných aktérov, koordinácie komunikácie s verejnosťou a, ak sa využije, koordinácie prostredníctvom už existujúcich mechanizmov, ako sú integrované dojednania Rady o politickej reakcii na krízu, koordinačný proces Komisie ARGUS, podporovaný Koordinačným centrom ERCC ako operačným kontaktným miestom s nepretržitou prevádzkou a mechanizmus reakcie ESVČ na krízy. Druhý by mal zahŕňať ďalšie opatrenia v oblasti reakcie vzhľadom na rozsah incidentu. Táto spolupráca by mala zahŕňať angažovanosť na operačnej, strategickej/politickej úrovni, ktorá odráža úrovne uvedené v odporúčaní 2017/1584 a protokole Únie na boj proti hybridným hrozbám, s cieľom účinne a efektívne koordinovať opatrenia a reagovať na významný incident v oblasti kritickej infraštruktúry. Na základe zásad proporcionality, subsidiarity, dôvernosti informácií a komplementárnosti a s cieľom zabezpečiť účinnú spoluprácu by sa v koncepcii kritickej infraštruktúry malo opísať, ako príslušní aktéri získavajú spoločné situačné povedomie a ako prebieha koordinovaná komunikácia s verejnosťou a účinná reakcia.

(24)Výmena informácií podľa tohto odporúčania by sa mala uskutočňovať bez ohrozenia národnej bezpečnosti alebo bezpečnosti a obchodných záujmov subjektov prevádzkujúcich kritickú infraštruktúru. Prístup k citlivým informáciám, ich výmena a zaobchádzanie s nimi by sa mali uskutočňovať prezieravo, v súlade s platnými pravidlami a s osobitným dôrazom na použité prenosové kanály a použité úložiská,

PRIJALA TOTO ODPORÚČANIE:

(1)Členské štáty, Rada, Komisia a prípadne Európska služba pre vonkajšiu činnosť (ďalej len „ESVČ“) a príslušné orgány, úrady a agentúry Únie by mali navzájom spolupracovať v rámci koncepcie kritickej infraštruktúry uvedenej v tomto odporúčaní s cieľom dosiahnuť ciele stanovené v časti I oddiele 1 prílohy a pri zohľadnení zásad stanovených v časti I oddiele 2 prílohy koordinovane reagovať na významné incidenty v oblasti kritickej infraštruktúry.

(2)Členské štáty, Rada, Komisia a prípadne ESVČ a príslušné orgány, úrady a agentúry Únie by mali koncepciu kritickej infraštruktúry uplatniť bez zbytočného odkladu vždy, keď sa vyskytne významný incident v oblasti kritickej infraštruktúry, t. j. incident týkajúci sa kritickej infraštruktúry, ktorý má jeden z týchto účinkov:

(a)významný rušivý vplyv na poskytovanie základných služieb do šiestich alebo viacerých členských štátov alebo v nich, a to aj vtedy, keď ovplyvňuje kritický subjekt osobitného európskeho významu v zmysle článku 17 smernice (EÚ) 2022/2557 o odolnosti kritických subjektov 25 , alebo

(b)významný rušivý vplyv na poskytovanie základných služieb v dvoch alebo viacerých členských štátoch, ak sa členský štát, ktorý vykonáva rotujúce predsedníctvo Rady, po dohode s týmito inými členskými štátmi a po porade s Komisiou domnieva, že je potrebná včasná koordinácia v rámci reakcie na úrovni Únie z dôvodu rozsiahleho a významného vplyvu incidentu, ktorý má technický alebo politický význam.

(3)Príslušní aktéri koncepcie kritickej infraštruktúry identifikovaní na operačnej, strategickej/politickej úrovni v súlade s časťou I oddielom 3 prílohy by sa mali usilovať o vzájomnú komunikáciu a spoluprácu na základe zásady komplementárnosti. Mali by zabezpečiť primeranú a včasnú výmenu informácií vrátane koordinácie komunikácie s verejnosťou a koordinovanú reakciu, ako sa stanovuje v časti II prílohy.

(4)Koncepcia kritickej infraštruktúry by sa mala uplatňovať so zreteľom na iné relevantné nástroje a v súlade s nimi v súlade s časťou I oddielom 4 prílohy. Ak incident ovplyvňuje fyzické aspekty aj kybernetickú bezpečnosť kritickej infraštruktúry, mali by sa zabezpečiť synergie s príslušnými procesmi stanovenými v kybernetickej koncepcii.

(5)Členské štáty by mali zabezpečiť, aby na vnútroštátnej úrovni a v súlade s právom Únie účinne reagovali na narušenia kritickej infraštruktúry po významných incidentoch v oblasti kritickej infraštruktúry.

(6)Členské štáty, Rada, ESVČ, Agentúra Európskej únie pre spoluprácu v oblasti presadzovania práva (ďalej len „Europol“) a iné príslušné agentúry Únie by tak ako Komisia mali určiť alebo zriadiť kontaktné miesto pre záležitosti týkajúce sa koncepcie kritickej infraštruktúry. Kontaktné miesta by mali podporovať uplatnenie koncepcie kritickej infraštruktúry poskytovaním potrebných informácií a uľahčovaním koordinačných opatrení v reakcii na významný incident v oblasti kritickej infraštruktúry. V prípade členských štátov by tieto kontaktné miesta mali byť podľa možnosti rovnaké ako jednotné kontaktné miesta, ktoré sa majú určiť alebo zriadiť podľa článku 9 ods. 2 smernice (EÚ) 2022/2557. V prípade Komisie ERCC zabezpečuje nepretržitý operatívny kontakt a kapacitu a koordinuje, monitoruje a podporuje reakciu na núdzové situácie na úrovni Únie v reálnom čase, pričom slúži členským štátom a Komisii ako operačné centrum reakcie na krízu, ktoré podporuje medziodvetvový prístup k zvládaniu katastrof.

(7)Členský štát, ktorý vykonáva rotujúce predsedníctvo Rady, by mal po dohode s dotknutými členskými štátmi prostredníctvom kontaktných miest uvedených v bode 6 informovať všetkých príslušných aktérov o závažnom incidente v oblasti kritickej infraštruktúry a o uplatnení koncepcie kritickej infraštruktúry. Výmena informácií týkajúcich sa významného incidentu v oblasti kritickej infraštruktúry by sa mala uskutočňovať prostredníctvom vhodných komunikačných kanálov vrátane, ak je to vhodné a primerané, platformy IPCR 26 a centra ERCC prostredníctvom spoločného systému komunikácie a poskytovania informácií v prípade núdzových situácií („CECIS“), ktorý je webovou aplikáciou na varovanie a oznamovanie, ktorá umožňuje výmenu informácií v reálnom čase.

(8)V prípade potreby by prenosové kanály mali zahŕňať zabezpečené kanály, aby sa neohrozila národná bezpečnosť alebo bezpečnosť a obchodné záujmy dotknutých subjektov. Výmena informácií, ktorá je opísaná v časti II oddiele 1 prílohy k tomuto odporúčaniu, by sa mala uskutočňovať aj bez ohrozenia národnej bezpečnosti alebo bezpečnosti a obchodných záujmov kritických subjektov a v súlade s právom Únie, predovšetkým s nariadením Európskeho parlamentu a Rady (EÚ) …/… 27 . Najmä prístup k citlivým informáciám, ich výmena a zaobchádzanie s nimi by sa mali uskutočňovať obozretne. Na manipuláciu s utajovanými skutočnosťami a ich výmenu by sa mali používať dostupné akreditované nástroje, ako aj primerané bezpečnostné opatrenia.

(9)Príslušní aktéri by mali pravidelne precvičovať a testovať fungovanie koncepcie kritickej infraštruktúry, ako aj svoju koordinovanú reakciu na významný incident v oblasti kritickej infraštruktúry na vnútroštátnej a regionálnej úrovni a na úrovni Únie, napríklad v rámci cvičení. Takéto cvičenia a testy môžu podľa potreby zahŕňať subjekty súkromného sektora. Cvičenie na úrovni Únie zahŕňajúce fyzické a kybernetické aspekty by sa malo uskutočniť do [dátum prijatia tohto odporúčania + 12 mesiacov].

(10)V nadväznosti na uplatnenie koncepcie kritickej infraštruktúry v súvislosti s významným incidentom v oblasti kritickej infraštruktúry by skupina pre odolnosť kritických subjektov uvedená v článku 19 smernice (EÚ) 2022/2557 mala s príslušnými aktérmi včas prediskutovať identifikované poznatky, ktoré môžu naznačovať nedostatky a oblasti, v ktorých sú potrebné zlepšenia, a následne vypracovať správu vrátane odporúčaní na dosiahnutie takýchto zlepšení. Prípravu tejto správy by mali podporiť príslušní aktéri zapojení do uplatnenia koncepcie kritickej infraštruktúry. Správu by mala prijať Komisia.

(11)Členské štáty by mali o správe uvedenej v bode 10 rokovať v príslušných prípravných orgánoch Rady alebo v Rade.

V Bruseli

(1)    Kritická infraštruktúra je aktívum, zariadenie, vybavenie, sieť alebo systém, alebo časť aktíva, zariadenia, vybavenia, siete alebo systému, ktoré sú potrebné na poskytovanie základnej služby [článok 2 ods. 4 smernice (EÚ) 2022/2557 o odolnosti kritických subjektov].

(2)    Smernica Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (Ú. v. EÚ L 345, 23.12.2008, s. 75).

(3)    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES (Ú. v. EÚ L 333, 27.12.2022, s. 164).

(4)    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (Ú. v. EÚ L 333, 27.12.2022, s. 80).

(5)    Energetika, doprava, bankovníctvo, infraštruktúra finančného trhu, digitálna infraštruktúra, verejná správa, vesmír, zdravotníctvo, pitná voda, odpadová voda, výroba, spracovanie a distribúcia potravín.

(6)    V súlade s článkom 15 ods. 1 a 3 smernice CER.

(7)    Odporúčanie Rady z 8. decembra 2022 o celoúnijnom koordinovanom prístupe k posilneniu odolnosti kritickej infraštruktúry, 2023/C 20/01 (Ú. v. EÚ C 20, 20.1.2023, s. 1).

(8)    Spoločný pracovný dokument útvarov Protokol EÚ na boj proti hybridným hrozbám, SWD(2023) 116 final.

(9)    Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36).

(10)    Vykonávacie rozhodnutie Rady (EÚ) 2018/1993 z 11. decembra 2018 o dojednaniach EÚ o integrovanej politickej reakcii na krízu (Ú. v. EÚ L 320, 17.12.2018, s. 28).

(11)    Oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov - Ustanovenia Komisie o spoločnom systéme rýchleho varovania „ARGUS“, KOM(2005) 662 v konečnom znení.

(12)    Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/836 z 20. mája 2021, ktorým sa mení rozhodnutie č. 1313/2013/EÚ o mechanizme Únie v oblasti civilnej ochrany (Ú. v. EÚ L 185, 26.5.2021, s. 1).

(13)    Smernica Rady 2008/114/ES z 8. decembra 2008 o identifikácii a označení európskych kritických infraštruktúr a zhodnotení potreby zlepšiť ich ochranu (Ú. v. EÚ L 345, 23.12.2008, s. 75).

(14)    KOM(2006) 786 v konečnom znení z 12. decembra 2006 – Oznámenie Komisie o Európskom programe na ochranu kritickej infraštruktúry.

(15)    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES (Ú. v. EÚ L 333, 27.12.2022, s. 164).

(16)    Odporúčanie Rady z 8. decembra 2022 o celoúnijnom koordinovanom prístupe k posilneniu odolnosti kritickej infraštruktúry, 2023/C 20/01 (Ú. v. EÚ C 20, 20.1.2023, s. 1).

(17)    Spoločný pracovný dokument útvarov Protokol EÚ na boj proti hybridným hrozbám, SWD(2023) 116 final.

(18)    Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36).

(19)    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (Ú. v. EÚ L 333, 27.12.2022, s. 80).

(20)    Vykonávacie rozhodnutie Rady (EÚ) 2018/1993 z 11. decembra 2018 o dojednaniach EÚ o integrovanej politickej reakcii na krízu (Ú. v. EÚ L 320, 17.12.2018, s. 28).

(21)    Oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu výboru a Výboru regiónov - Ustanovenia Komisie o spoločnom systéme rýchleho varovania „ARGUS“, KOM(2005) 662 v konečnom znení.

(22)    Rozhodnutie Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany (Ú. v. EÚ L 347, 20.12.2013, s. 924).

(23)    Rozhodnutím č. 1313/2013/EÚ o mechanizme Únie v oblasti civilnej ochrany (UCPM) sa vytvára rámec pre všetky riziká, v ktorom sa na úrovni Únie stanovujú mechanizmy prevencie, pripravenosti a reakcie na riadenie všetkých druhov prírodných katastrof a katastrof spôsobených ľudskou činnosťou alebo bezprostredne hroziacich katastrof v rámci EÚ aj mimo nej.

(24)    Nariadenie Európskeho parlamentu a Rady …/…, ktorým sa zriaďuje nástroj núdzovej pomoci pre jednotný trh a zrušuje sa nariadenie Rady (ES) č. 2679/98 [COM(2022) 459 final].

(25)    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES (Ú. v. EÚ L 333, 27.12.2022, s. 164).

(26)    Vykonávacie rozhodnutie Rady (EÚ) 2018/1993 z 11. decembra 2018 o dojednaniach EÚ o integrovanej politickej reakcii na krízu, ST/13422/2018/INIT (Ú. v. EÚ L 320, 17.12.2018, s. 28).

(27)    Nariadenie (EÚ) …/… o bezpečnosti informácií v inštitúciách, orgánoch, úradoch a agentúrach Únie, COM(2022) 119 final.

EURÓPSKA KOMISIA

V Bruseli6. 9. 2023

COM(2023) 526 final

PRÍLOHA

k

návrhu ODPORÚČANIA RADY

o koncepcii koordinovanej reakcie Únie na narušenia kritickej infraštruktúry so značným cezhraničným významom

PRÍLOHA

V tejto prílohe sa opisujú zásady, ciele, hlavní aktéri, vzájomné pôsobenie s existujúcimi mechanizmami reakcie na krízy a fungovanie koncepcie na koordináciu reakcie na významné incidenty v oblasti kritickej infraštruktúry („koncepcia kritickej infraštruktúry“) a zlepšenie spolupráce medzi členskými štátmi a príslušnými inštitúciami, orgánmi, úradmi a agentúrami Únie, pokiaľ ide o takéto incidenty, v súlade s platnými pravidlami a postupmi. Táto koncepcia žiadnym spôsobom neovplyvňuje úlohu a fungovanie iných opatrení.

Časť I: Ciele, zásady, aktéri a iné nástroje

1. Ciele

Cieľom koncepcie kritickej infraštruktúry je dosiahnuť tieto tri hlavné ciele v reakcii na významný incident v oblasti kritickej infraštruktúry:

a)Spoločné situačné povedomie, keďže správne pochopenie významného incidentu v oblasti kritickej infraštruktúry v členských štátoch, jeho pôvodu a možných dôsledkov pre všetky príslušné zainteresované strany na operačnej a strategickej/politickej úrovni je nevyhnutné pre primeranú koordinovanú reakciu.

b)Koordinovaná komunikácia s verejnosťou, keďže pomáha zmierňovať negatívne účinky významného incidentu v oblasti kritickej infraštruktúry a minimalizovať nezrovnalosti v správach prenášaných verejnosti v členských štátoch a medzi nimi. Na zmiernenie dôsledkov dezinformácií je dôležitá aj jasná komunikácia s verejnosťou.

c)Účinná reakcia, keďže posilnenie reakcie členských štátov a spolupráce medzi členskými štátmi a s príslušnými inštitúciami, orgánmi, úradmi a agentúrami Únie prispieva k zmierňovaniu účinkov významného incidentu v oblasti kritickej infraštruktúry a umožňuje rýchle obnovenie základných služieb spôsobom, ktorý minimalizuje zraniteľnosť voči ďalším závažným incidentom.

2. Zásady

Proporcionalita

Incidenty, ktoré narúšajú kritickú infraštruktúru a/alebo poskytovanie základných služieb, často nedosahujú prahovú hodnotu významného incidentu v oblasti kritickej infraštruktúry, ako sa uvádza v bode 2 tohto odporúčania. Ako také sa môžu v zásade účinne riešiť na vnútroštátnej úrovni. Uplatňovanie koncepcie kritickej infraštruktúry sa preto obmedzuje na významné incidenty v oblasti kritickej infraštruktúry.

Subsidiarita

Primárnu zodpovednosť za reakciu na narušenia kritickej infraštruktúry alebo základných služieb poskytovaných kritickými subjektmi nesú v súlade s právom Únie členské štáty. Príslušné inštitúcie, orgány, úrady a agentúry Únie a Európska služba pre vonkajšiu činnosť („ESVČ“) však zohrávajú dôležitú doplňujúcu úlohu v prípade významného incidentu v oblasti kritickej infraštruktúry so značným cezhraničným významom, keďže takýto incident môže mať vplyv na viaceré alebo dokonca všetky úseky hospodárskej činnosti v rámci vnútorného trhu, život občanov žijúcich v Únii, bezpečnosť a medzinárodné vzťahy Únie.

Komplementárnosť

Koncepcia kritickej infraštruktúry zohľadňuje a odráža fungovanie existujúcich mechanizmov krízového riadenia na úrovni Únie, konkrétne integrované dojednania EÚ o politickej reakcii na krízu (IPCR) Rady, vnútorný krízový koordinačný proces Komisie ARGUS, mechanizmus Únie v oblasti civilnej ochrany (ďalej len „UCPM“) podporovaný Koordinačným centrom pre reakcie na núdzové situácie (ďalej len „ERCC“) a mechanizmus reakcie ESVČ na krízy. Vychádza aj z odvetvových dohôd vrátane ustanovení o koordinovanom riadení rozsiahlych kybernetických incidentov stanovených v smernici Európskeho parlamentu a Rady (EÚ) 2022/2555 1 a rámca stanoveného v koncepcii koordinovanej reakcie na cezhraničné kybernetické incidenty a krízy veľkého rozsahu („kybernetická koncepcia“) 2 , siete kontaktných miest v oblasti dopravy 3 a Európskej jednotky krízovej koordinácie v letectve 4 .

Okrem toho vychádza koncepcia kritickej infraštruktúry zo štruktúr a mechanizmov stanovených v smernici Európskeho parlamentu a Rady (EÚ) 2022/2557 5 a má sa uplatňovať v súlade s nimi, najmä pokiaľ ide o spoluprácu medzi príslušnými orgánmi a s Komisiou a v rámci skupiny pre odolnosť kritických subjektov. Zohľadňujú sa v nej aj povinnosti príslušných inštitúcií, orgánov, úradov a agentúr Únie podľa právneho rámca, ktorý sa na ne vzťahuje. Činnosti reakcie na krízu v oblasti kritickej infraštruktúry dopĺňajú iné mechanizmy krízového riadenia na úrovni Únie, na vnútroštátnej a odvetvovej úrovni, ktoré podporujú viacodvetvovú koordináciu.

Dôvernosť informácií

V koncepcii kritickej infraštruktúry sa zohľadňuje význam ochrany dôvernosti utajovaných a citlivých neutajovaných skutočností týkajúcich sa kritickej infraštruktúry a kritických subjektov.

3. Relevantné subjekty

Každý členský štát a príslušné inštitúcie, orgány, úrady a agentúry Únie uvedené v písmenách a) až e) v súlade s pravidlami a postupmi, ktoré sa na ne vzťahujú, rozhodnú o príslušných subjektoch pre každý významný incident v oblasti kritickej infraštruktúry v závislosti od postihnutých odvetví a druhu incidentu.

a) Členské štáty

– príslušné orgány [napr. orgány zodpovedné za kritickú infraštruktúru, príslušné odvetvové orgány, jednotné kontaktné miesta určené alebo zriadené podľa článku 9 ods. 2 smernice (EÚ) 2022/2557, orgány určené alebo zriadené podľa článku 9 ods. 1 smernice (EÚ) 2022/2557],

– v prípade potreby Európska sieť styčných organizácií pre kybernetické krízy („EU-CyCLONe“), ako sa uvádza v článku 16 smernice (EÚ) 2022/2555,

– skupina pre spoluprácu uvedená v článku 14 smernice (EÚ) 2022/2555,

– v prípade potreby iné zainteresované strany vrátane subjektov alebo osôb zo súkromného sektora, ako sú prevádzkovatelia kritickej infraštruktúry vrátane tých, ktoré sú identifikované ako kritické subjekty,

– ministri zodpovední za odolnosť kritickej infraštruktúry a/alebo ministri zodpovední za odvetvie alebo odvetvia najviac postihnuté daným významným incidentom v oblasti kritickej infraštruktúry.

b) Rada

– rotujúce predsedníctvo,

– príslušné pracovné skupiny, ako je pracovná skupina pre civilnú ochranu vrátane podskupiny pre odolnosť kritických subjektov PROCIV-CER a predsedovia príslušných pracovných skupín v závislosti od postihnutého odvetvia a povahy incidentu, ako sú horizontálna pracovná skupina pre kybernetické otázky a horizontálna pracovná skupina pre zvyšovanie odolnosti a boj proti hybridným hrozbám,

– Coreper, Politický a bezpečnostný výbor a IPCR, ktoré podporuje Generálny sekretariát Rady.

c) Komisia vrátane skupín expertov Komisie

– určený vedúci útvar (v závislosti od postihnutého sektora) podporovaný ERCC, ktoré pôsobí ako operačné centrum pre riadenie reakcií na krízy 24 hodín denne 7 dní v týždni a Generálne riaditeľstvo pre migráciu a vnútorné záležitosti ako útvar zodpovedný v tejto oblasti a v prípade medziodvetvového incidentu Generálne riaditeľstvo pre migráciu a vnútorné záležitosti a iné príslušné útvary Komisie,

– Generálne riaditeľstvo pre komunikáciu a útvar hovorcu;

– Generálne riaditeľstvo HERA, Úrad EÚ pre pripravenosť a reakcie na núdzové zdravotné situácie,

– skupina pre odolnosť kritických subjektov, ktorej predsedá zástupca Komisie (Generálne riaditeľstvo pre migráciu a vnútorné záležitosti) zriadená na základe smernice (EÚ) 2022/2557 a v prípade potreby iné príslušné skupiny expertov a výbory;

– centrum ERCC zriadené v rámci mechanizmu Únie v oblasti civilnej ochrany na základe rozhodnutia Európskeho parlamentu a Rady č. 1313/2013/EÚ 6 (jednotné operačné centrum pre riadenie núdzových situácií s nepretržitou prevádzkou v rámci mechanizmu Únie v oblasti civilnej ochrany, ktoré sa nachádza na Generálnom riaditeľstve pre civilnú ochranu a operácie humanitárnej pomoci EÚ),

– skupina pre spoluprácu uvedená v článku 14 smernice (EÚ) 2022/2555,

– centrum pre kybernetickú situačnú informovanosť a analýzu,

– Výbor pre zdravotnú bezpečnosť uvedený v článku 4 nariadenia (EÚ) 2022/2371 7 ,

– Generálny sekretariát Komisie (sekretariát ARGUS) a (zástupca) generálneho tajomníka (proces ARGUS), Generálne riaditeľstvo pre ľudské zdroje (riaditeľstvo pre bezpečnosť),

– iné príslušné skupiny expertov Komisie, ktoré pomáhajú Komisii pri koordinácii opatrení v núdzovej alebo krízovej situácii,

– iné siete krízového riadenia vrátane odvetvových (napr. sieť kontaktných miest v oblasti dopravy riadená Generálnym riaditeľstvom pre mobilitu a dopravu, medziinštitucionálna jednotka pre kybernetické krízy 8 , Európska jednotka krízovej koordinácie v letectve),

– predseda a/alebo zodpovedný podpredseda/komisár.

d) ESVČ

– jednotná kapacita na analýzu spravodajských informácií („SIAC“) zložená zo Spravodajského a situačného centra („IntCen“) a riaditeľstvo spravodajskej služby vojenského štábu EÚ („EUMS Int“),

– Centrum pre reakcie na krízy („CRC“),

– vysoký predstaviteľ Únie pre zahraničné veci a bezpečnostnú politiku/podpredseda Európskej komisie.

e) príslušné orgány a úrady Únie a príslušné agentúry Únie, ako je Europol, v závislosti od dotknutých odvetví 9 .

4. Vzájomné pôsobenie s inými relevantnými mechanizmami a nástrojmi krízového riadenia

Koncepcia kritickej infraštruktúry je flexibilný nástroj, ktorý mapuje rôzne opatrenia, ktoré by sa mohli prijať čiastočne alebo úplne s využitím rôznych existujúcich opatrení v závislosti od povahy a závažnosti významného incidentu v oblasti kritickej infraštruktúry a od potreby operačnej, strategickej/politickej koordinácie.

10 a) Protokol EÚ na boj proti hybridným hrozbám („protokol EÚ“)

Protokol EÚ sa uplatňuje v prípade hybridných hrozieb 11 tým, že poskytuje prehľad postupov a nástrojov uplatniteľných v prípade takýchto hrozieb alebo kampaní.

V prípade významného incidentu v oblasti kritickej infraštruktúry s hybridným rozmerom sa protokol EÚ uplatňuje v prípade potreby ako doplnok ku koncepcii kritickej infraštruktúry, napr. na konkrétne informácie, analýzu alebo komunikáciu o hybridných aspektoch významného incidentu v oblasti kritickej infraštruktúry a pokiaľ ide o spoluprácu s externými partnermi.

b) Koncepcia koordinovanej reakcie na cezhraničné kybernetické incidenty a krízy veľkého rozsahu

Kybernetická koncepcia sa uplatňuje na rozsiahle cezhraničné incidenty, ktoré spôsobia príliš rozsiahle narušenie na to, aby ich dotknutý členský štát dokázal zvládnuť sám, alebo ktoré sa týkajú dvoch či viacerých členských štátov alebo inštitúcií EÚ s takým rôznorodým a výrazným dosahom technického alebo politického významu, že si vyžadujú promptnú koordináciu politiky a reakciu na politickej úrovni Únie.

V prípade významného incidentu v oblasti kritickej infraštruktúry, ktorý sa odohrá súčasne s rozsiahlym kyberneticko-bezpečnostným incidentom alebo sa zdá, že s ním súvisí, by príslušné pracovné skupiny Rady mali určiť vhodnú koordináciu na operačnej úrovni, a to aj so sieťou EU-CyCLONe, napríklad prostredníctvom spoločného zasadnutia skupiny pre odolnosť kritických subjektov so skupinou pre spoluprácu. Účelom koordinácie je určiť, ktorý aktér, nástroje alebo mechanizmy by mohli najúčinnejšie prispieť k reakcii na významný incident v oblasti kritickej infraštruktúry a zároveň zabrániť duplicite a paralelným pracovným líniám.

c) Mechanizmus Únie v oblasti civilnej ochrany a Koordinačné centrum pre reakcie na núdzové situácie

V súlade s rozhodnutím č. 1313/2013/EÚ o mechanizme Únie v oblasti civilnej ochrany operačné reakcie v rámci UCPM na skutočné alebo bezprostredné prírodné katastrofy a katastrofy spôsobené ľudskou činnosťou v rámci Únie aj mimo nej (vrátane tých, ktoré spôsobujú narušenia kritickej infraštruktúry) vedie centrum ERCC, ako jednotné operačné centrum Komisie s nepretržitou prevádzkou, ktoré riadi reakcie na krízy. V takýchto prípadoch môže centrum ERCC poskytovať včasné varovanie, oznamovanie, analýzu a podporovať výmenu informácií a v prípade aktivácie mechanizmu Únie v oblasti civilnej ochrany členským štátom aj nasadenie operačnej pomoci a expertov do postihnutých oblastí. Centrum ERCC môže okrem toho uľahčiť sektorovú a medziodvetvovú koordináciu na úrovni Únie, ako aj medzi Úniou a príslušnými vnútroštátnymi orgánmi vrátane tých, ktoré sú zodpovedné za civilnú ochranu a odolnosť kritickej infraštruktúry.

d) Iné sektorové alebo medziodvetvové mechanizmy a nástroje

Koncepcia kritickej infraštruktúry neduplikuje iné odvetvové alebo medziodvetvové nástroje krízového riadenia ani koordinačné mechanizmy. Ak takéto nástroje alebo mechanizmy už existujú v dotknutom odvetví, koncepcia kritickej infraštruktúry sa v rámci svojho rozsahu pôsobnosti môže použiť ako doplnkový nástroj k odvetvovým alebo medziodvetvovým nástrojom alebo mechanizmom, ale nenahrádza ich. Mala by sa zabezpečiť potrebná koordinácia medzi rôznymi aktérmi, aby sa zabránilo takejto duplicite. To by sa mohlo dosiahnuť napríklad v rámci procesu vnútornej krízovej koordinácie Komisie ARGUS s podporou ERCC a/alebo koordinačných stretnutí IPCR.

Časť II: Výmena informácií a koordinovaná reakcia

Ďalej opísané opatrenia pozostávajú zo spôsobov spolupráce, konkrétne z výmeny informácií, koordinovanej komunikácie a reakcie. Táto štruktúra zodpovedá spôsobom mechanizmu Rady pre krízovú koordináciu IPCR a v širšom zmysle zohľadňuje potenciálne využitie mechanizmov krízovej koordinácie, ktoré už existujú na úrovni EÚ. Táto štruktúra ukazuje, ako by sa v prípade použitia do nej začlenili tieto spôsoby spolupráce. Väčšina týchto opatrení však môže byť prijatá aj autonómne: nie sú závislé od použitia uvedeného mechanizmu, skôr ho dopĺňajú. Opatrenia sa uvádzajú v chronologickom poradí, pričom sa zohľadňuje, že v prípade rozsiahlej krízy, ktorá predstavuje významný incident v oblasti kritickej infraštruktúry, sa niekoľko opatrení môže vykonávať súčasne a nepretržite.

1.Výmena informácií

a)Na operačnej úrovni

Členské štáty postihnuté významným incidentom v oblasti kritickej infraštruktúry uplatňujú svoje vlastné krízové opatrenia, zabezpečujú koordináciu s príslušnými vnútroštátnymi mechanizmami krízového riadenia a prípadne zapojenie všetkých príslušných vnútroštátnych, regionálnych a miestnych aktérov.

Ak je to relevantné, pokiaľ ide o pomoc v oblasti civilnej ochrany, koordinácia medzi členskými štátmi a s Komisiou sa zabezpečuje prostredníctvom centra ERCC v rámci mechanizmu Únie v oblasti civilnej ochrany.

I)Výmena informácií a oznamovanie príslušnými vnútroštátnymi orgánmi

Okrem oznamovacích a informačných povinností podľa článku 15 smernice (EÚ) 2022/2557 príslušné vnútroštátne orgány zodpovedné za kritickú infraštruktúru v členských štátoch postihnutých významným incidentom v oblasti kritickej infraštruktúry zdieľajú s rotujúcim predsedníctvom Rady a Komisiou prostredníctvom svojich jednotných kontaktných miest a bez zbytočného odkladu relevantné informácie získané od prevádzkovateľov kritickej infraštruktúry, kritických subjektov alebo z iných zdrojov, ako aj informácie o aktivovaných mechanizmoch krízového riadenia. V prípade Komisie ERCC zabezpečuje nepretržitý operatívny kontakt a kapacitu a koordinuje, monitoruje a podporuje reakciu na núdzové situácie na úrovni Únie v reálnom čase, pričom slúži členským štátom a Komisii ako operačné centrum reakcie na krízu, ktoré podporuje medziodvetvový prístup k zvládaniu katastrof.

Takáto výmena informácií sa týka povahy významného incidentu v oblasti kritickej infraštruktúry, jeho príčiny, pozorovaného alebo odhadovaného vplyvu narušenia na kritickú infraštruktúru a poskytovania základných služieb, dôsledkov incidentu naprieč odvetviami a hranicami a zmierňujúcich opatrení, či už prijatých alebo plánovaných, na vnútroštátnej úrovni alebo s príslušnými inými členskými štátmi a Komisiou prostredníctvom existujúcich dojednaní, napr. dojednaní o výmene informácií podľa článkov 9 a 15 smernice (EÚ) 2022/2557. Toto oznámenie sa poskytuje bez toho, aby došlo k odklonu zdrojov kritickej infraštruktúry alebo v niektorých prípadoch zdrojov kritického subjektu alebo členského štátu od činností súvisiacich s riešením incidentov, ktoré sa má uprednostniť.

S cieľom zabezpečiť následné opatrenia ERCC alebo informované útvary Komisie zodpovedné za odvetvia, v ktorých došlo k významnému incidentu v oblasti kritickej infraštruktúry, informujú kontaktné miesto na Generálnom riaditeľstve pre migráciu a vnútorné záležitosti a Generálny sekretariát Komisie. Ak tak ešte neurobilo, začne centrum ERCC medzitým monitorovať udalosti, najmä v prípade aktivácie mechanizmu UCPM jedným alebo viacerými dotknutými členskými štátmi.

Ak by informácie mohli byť relevantné pre riešenie rozmeru kybernetickej bezpečnosti alebo by mohli súvisieť s kybernetickým incidentom, Komisia poskytuje relevantné informácie sieti EU-CyCLONe.

Príslušné vnútroštátne orgány podľa smernice (EÚ) 2022/2557 majú spolupracovať a vymieňať si informácie s príslušnými orgánmi podľa smernice (EÚ) 2022/2555 bez zbytočného odkladu v súvislosti s kybernetickými incidentmi a incidentmi ovplyvňujúcimi kritické subjekty vrátane kybernetickej bezpečnosti a fyzických opatrení prijatých kritickými subjektmi.

Pokiaľ ide o námornú oblasť, príslušné vnútroštátne orgány zvážia možnosť využitia spoločného prostredia na výmenu informácií („CISE“) na výmenu informácií bez zbytočného odkladu.

II)Organizácia stretnutí expertov

Komisia čo najskôr zvolá zasadnutie skupiny pre odolnosť kritických subjektov s cieľom uľahčiť výmenu relevantných informácií medzi príslušnými vnútroštátnymi orgánmi zodpovednými za kritickú infraštruktúru a príslušnými inštitúciami, orgánmi, úradmi a agentúrami Únie o incidente (povaha, príčina, vplyv a dôsledky naprieč odvetviami a hranicami) a o opatreniach v oblasti reakcie vrátane zmierňujúcich opatrení a technickej podpory pre postihnuté členské štáty. V závislosti od ťažiska incidentu budú príslušné útvary Komisie úzko zapojené do stretnutia skupiny pre odolnosť kritických subjektov s cieľom vymieňať si informácie získané prostredníctvom existujúcich odvetvových nástrojov. V prípade incidentov s kombináciou kybernetických a fyzických nekybernetických aspektov bezpečnosti príslušné útvary Komisie, CERT-EU a ESVČ v relevantných prípadoch čo najskôr informujú jednotku pre kybernetickú krízu a konzultujú s ňou potrebu koordinačných činností, ako aj s príslušnými predsedami skupiny pre spoluprácu, ako sa uvádza v článku 14 smernice (EÚ) 2022/2555, a prípadne so sieťou EU-CyCLONe. Komisia (Generálne riaditeľstvo pre migráciu a vnútorné záležitosti a Generálne riaditeľstvo pre komunikačné siete, obsah a technológie) môže po dohode s príslušnými predsedami navrhnúť spoločné zasadnutie skupiny pre odolnosť kritických subjektov so skupinou pre spoluprácu s cieľom dosiahnuť spoločné situačné povedomie a koordinovať príslušné reakcie.

V prípade významného medziodvetvového incidentu v oblasti kritickej infraštruktúry, ktorý si vyžaduje alebo si pravdepodobne bude vyžadovať riadenie následkov na úrovni Únie, môže Komisia zvolať medziodvetvové koordinačné stretnutia so zapojením všetkých príslušných zainteresovaných strán.

Ak významný incident v oblasti kritickej infraštruktúry postihne aj tretiu krajinu, Komisia konzultuje s príslušným orgánom dotknutej tretej krajiny a môže ho pozvať na zasadnutie skupiny pre odolnosť kritických subjektov.

III)Podpora zo strany Komisie a agentúr Únie

Ak je to relevantné a ak koná v súlade so svojím mandátom, Europol predloží správu o situácii incidentu na úrovni Únie. Ostatné agentúry Únie, ak je to relevantné a ak konajú v súlade so svojimi príslušnými mandátmi, nahlasujú príslušné informácie, ktoré prispievajú k situačnej informovanosti o významnom incidente v oblasti kritickej infraštruktúry alebo ku koordinovanej reakcii na takýto incident, svojim príslušným „materským“ generálnym riaditeľstvám, ktoré následne podávajú správy Komisii (Generálne riaditeľstvo pre migráciu a vnútorné záležitosti ako predsedajúci subjekt skupiny pre odolnosť kritických subjektov).

Komisia môže v prípade potreby a v súlade s uplatniteľným právnym rámcom prispievať k situačnému povedomiu pomocou prostriedkov Vesmírneho programu Únie 12 , ako sú Copernicus, Galileo a EGNOS.

b)Na strategickej úrovni

I)Vypracovanie správ o situačnej informovanosti

Na základe informácií, ktoré si príslušné vnútroštátne orgány vymieňajú na zasadnutí skupiny pre odolnosť kritických subjektov alebo na spoločných stretnutiach s príslušnými útvarmi, skupinami expertov alebo sieťami, Komisia vypracuje správu o situačnej informovanosti na základe príspevkov príslušných vnútroštátnych orgánov a iných dostupných informácií.

V tejto správe sa v relevantných prípadoch zohľadnia výsledky príslušných posúdení rizík, hodnotení a scenárov na úrovni EÚ z hľadiska kybernetickej bezpečnosti vrátane tých, ktoré vykonala Komisia, vysoký predstaviteľ Únie pre zahraničné veci a bezpečnostnú politiku a skupina pre spoluprácu.

V prípade aktivácie IPCR môže táto správa prispieť k integrovanej analýze situačného povedomia („ISAA“), ktorú vypracovali útvary Komisie a ESVČ.

SIAC predkladá aktuálne posúdenie incidentu založené na spravodajských informáciách, ak je to relevantné.

II)Aktivácia mechanizmov Únie pre krízovú koordináciu a využívanie nástrojov Únie

Centrum ERCC začne poskytovať podporu na získanie situačného povedomia o incidente, najmä ak udalosť podnieti aktiváciu mechanizmu UCPM 13 . Dotknuté členské štáty môžu okrem toho požiadať o satelitné snímky svojho územia prostredníctvom služby riadenia mimoriadnych situácií programu Copernicus.

Ak sa to považuje za vhodné na výmenu informácií v rámci Komisie s ESVČ a príslušnými agentúrami Únie, vedúce generálne riaditeľstvo alebo Generálne riaditeľstvo pre migráciu a vnútorné záležitosti v koordinácii s Generálnym sekretariátom aktivuje fázu I procesu vnútornej krízovej koordinácie Komisie ARGUS otvorením nového incidentu v IT nástroji systému Argus.

Rotujúce predsedníctvo Rady Európskej únie môže aktivovať dojednania IPCR v režime výmeny informácií, čo zahŕňa vypracovanie správ o integrovanej situačnej informovanosti a analýze zo strany Komisie a ESVČ s prípadnými príspevkami príslušných vnútroštátnych orgánov a iných zdrojov. Aj bez aktivácie IPCR môže rotujúce predsedníctvo Rady alebo Komisia za určitých podmienok spustiť monitorovaciu stránku na webovej platforme IPCR.

Iné (sektorové) mechanizmy a nástroje krízového riadenia Únie sa môžu podľa potreby aktivovať podľa príslušných postupov. Komisia zabezpečí koordináciu medzi týmito mechanizmami a nástrojmi.

Ak sa fyzický incident odohrá súčasne s rozsiahlym kybernetickým incidentom vymedzeným v článku 6 bode 7 smernice (EÚ) 2022/2555 alebo sa zdá, že s ním súvisí, rotujúce predsedníctvo Rady môže použiť kybernetickú koncepciu na určenie primeranej koordinácie na operačnej úrovni zahŕňajúcej okrem iného sieť EU-CyCLONe a skupinu pre odolnosť kritických subjektov.

III)Koordinácia komunikácie s verejnosťou

Členské štáty postihnuté významným incidentom v oblasti kritickej infraštruktúry v čo najväčšej možnej miere koordinujú svoju komunikáciu s verejnosťou o kríze, pričom v tejto súvislosti rešpektujú vnútroštátne právomoci. V prípade potreby sa môže zapojiť sieť krízových komunikátorov IPCR.

Na základe spoločného situačného povedomia skupina pre odolnosť kritických subjektov a dotknuté členské štáty v prípade potreby podporujú formulovanie dohodnutých komunikačných línií s verejnosťou.

Europol a iné príslušné agentúry Únie koordinujú svoje činnosti v oblasti komunikácie s verejnosťou s útvarom hovorcu Komisie na základe spoločného situačného povedomia.

Ak významný incident v oblasti kritickej infraštruktúry zahŕňa vonkajší, hybridný rozmer alebo rozmer spoločnej bezpečnostnej a obrannej politiky, komunikácia s verejnosťou sa koordinuje s ESVČ a útvarom hovorcu Komisie v súlade s protokolom EÚ o boji proti hybridným hrozbám 14 .

2.Reakcia (zahŕňajúca nepretržité činnosti opísané v rámci výmeny informácií a dodatočné opatrenia na strategickej/politickej úrovni)

a)Na strategickej úrovni

I) Priebežné vypracúvanie situačných správ

Pracovná skupina Rady pre civilnú ochranu – odolnosť kritických subjektov (PROCIV-CER) je informovaná o vypracovaní politicko-strategickej situačnej správy (napr. ISAA v prípade aktivácie IPCR alebo spoločnej správy o situačnej informovanosti vypracovanej Komisiou) a pripravuje Coreper, ak ešte nebol zvolaný, prípadne zasadnutie Politického a bezpečnostného výboru.

SIAC zintenzívňuje svoj dosah na spravodajské služby členských štátov, zhromažďuje informácie zo všetkých zdrojov a pripravuje analýzu a posúdenie incidentu a v prípade potreby aj pravidelné aktualizácie.

II)Úplná aktivácia mechanizmov Únie pre krízovú koordináciu a využívanie nástrojov Únie

V prípade, že predseda Komisie aktivuje fázu II procesu vnútornej krízovej koordinácie Komisie ARGUS, zasadnutia krízového koordinačného výboru, na ktorých sa zúčastňujú príslušné útvary Komisie, agentúry a ESVČ, sa zvolajú v krátkom čase s cieľom koordinovať postup, pokiaľ ide o všetky aspekty významného incidentu v oblasti kritickej infraštruktúry.

V prípade, že predsedníctvo Rady aktivuje IPCR v plnom režime:

– rotujúce predsedníctvo Rady vyzýva na včasný neformálny okrúhly stôl, kde sa stretnú príslušní vnútroštátni, európski a medzinárodní aktéri, kde zástupca Komisie konajúci ako predseda skupiny pre odolnosť kritických subjektov (Generálne riaditeľstvo pre migráciu a vnútorné záležitosti) môže podávať správy o predchádzajúcich zasadnutiach skupiny, doplnené podľa potreby ďalšími útvarmi Komisie a ESVČ,

– SIAC a príslušné agentúry Únie môžu byť vyzvané, aby na tomto zasadnutí predložili aktuálne informácie o závažnom incidente v oblasti kritickej infraštruktúry.

Vedúci útvar, ktorý pripravuje správu ISAA (vedúci útvar Komisie alebo ESVČ), ju pripravuje s príspevkami príslušných útvarov Komisie, príslušných úradov, orgánov a agentúr Únie a príslušných vnútroštátnych orgánov. Členské štáty sa vyzývajú, aby prostredníctvom webovej platformy IPCR poskytli podnety na vypracovanie správ ISAA.

V prípade významného incidentu v oblasti kritickej infraštruktúry s významom pre medzinárodnú bezpečnosť môžu útvary Komisie a ESVČ zvolať zasadnutie štruktúrovaného dialógu o odolnosti medzi EÚ a NATO s cieľom prispieť k spoločnej situačnej informovanosti a výmene informácií o opatreniach prijatých Úniou a NATO.

III)Komunikácia s verejnosťou

Rada pripravuje spoločné komunikačné posolstvá pre verejnosť. Túto prácu môže podporovať neformálna sieť krízových komunikátorov, zriadená na základe IPCR. Útvar hovorcu Komisie takisto podľa potreby pripravuje komunikačné správy pre verejnosť.

Ak významný incident v oblasti kritickej infraštruktúry zahŕňa vonkajší, hybridný rozmer alebo rozmer spoločnej bezpečnostnej a obrannej politiky, komunikácia s verejnosťou sa koordinuje s ESVČ a útvarom hovorcu Komisie.

IV)Podpora členských štátov a účinná reakcia

Rotujúce predsedníctvo môže zvolať zasadnutie PROCIV-CER na podporu činností v rámci IPCR, ak sa aktivuje.

Členské štáty postihnuté významným incidentom v oblasti kritickej infraštruktúry môžu požiadať o technickú podporu iné členské štáty alebo príslušné inštitúcie, orgány a agentúry Únie prostredníctvom skupiny pre odolnosť kritických subjektov, napr. o osobitné odborné znalosti na zmiernenie nepriaznivých vplyvov významného incidentu v oblasti kritickej infraštruktúry.

Členské štáty postihnuté významným incidentom v oblasti kritickej infraštruktúry môžu takisto požiadať Komisiu alebo príslušné agentúry Únie o technickú a/alebo finančnú podporu. Komisia v koordinácii s príslušnými agentúrami Únie posúdi svoju možnú podporu a v prípade potreby aktivuje technické zmierňujúce opatrenia na úrovni Únie v súlade s ich príslušnými postupmi a koordinuje technické kapacity potrebné na zastavenie alebo zníženie vplyvu významného incidentu v oblasti kritickej infraštruktúry.

Konkrétne v kontexte mechanizmu Únie v oblasti civilnej ochrany by dotknuté krajiny mohli požiadať o pomoc prostredníctvom spoločného systému komunikácie a poskytovania informácií v prípade núdzových situácií („CECIS“) a následne by centrum ERCC pracovalo na koordinácii poskytovania pomoci od členských štátov a štátov zúčastňujúcich sa na mechanizme UCPM, ako aj prostredníctvom systému rescEU.

Europol a iné príslušné agentúry Únie v rámci svojich príslušných mandátov a na požiadanie podporujú členské štáty postihnuté závažným incidentom v oblasti kritickej infraštruktúry pri vyšetrovaní incidentu.

b)Politická úroveň

Predsedníctvo Rady by mohlo zvážiť potrebu zvolať okrúhle stoly IPCR, zasadnutia pracovných skupín Rady, Coreper, Radu ministrov a/alebo samity s cieľom vymeniť si informácie o možnom pôvode a očakávaných dôsledkoch významného incidentu v oblasti kritickej infraštruktúry pre členské štáty a Úniu, dohodnúť sa na spoločných usmerneniach a prijať potrebné opatrenia na podporu členských štátov postihnutých závažným incidentom v oblasti kritickej infraštruktúry a na zmiernenie jeho účinkov.

Graf 1: Schematický prehľad koncepcie kritickej infraštruktúry

Graf 2: Graf rozhodovania v rámci koncepcie kritickej infraštruktúry

(1)    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (Ú. v. EÚ L 333, 27.12.2022, s. 80).

(2)    Odporúčanie Komisie (EÚ) 2017/1584 z 13. septembra 2017 o koordinovanej reakcii na kybernetické incidenty a krízy veľkého rozsahu (Ú. v. EÚ L 239, 19.9.2017, s. 36).

(3)    Oznámenie Komisie – Pohotovostný plán pre dopravu [COM(2022) 211 final].

(4)    Zriadená podľa článku 19 vykonávacieho nariadenia Komisie (EÚ) 2019/123 z 24. januára 2019, ktorým sa stanovujú podrobné pravidlá vykonávania funkcií siete manažmentu letovej prevádzky (ATM).

(5)    Smernica Európskeho parlamentu a Rady (EÚ) 2022/2557 zo 14. decembra 2022 o odolnosti kritických subjektov a o zrušení smernice Rady 2008/114/ES (Ú. v. EÚ L 333, 27.12.2022, s. 164).

(6)    Rozhodnutie Európskeho parlamentu a Rady č. 1313/2013/EÚ zo 17. decembra 2013 o mechanizme Únie v oblasti civilnej ochrany (Ú. v. EÚ L 347, 20.12.2013, s. 924).

(7)    Nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2371 z 23. novembra 2022 o závažných cezhraničných ohrozeniach zdravia, ktorým sa zrušuje rozhodnutie č. 1082/2013/EÚ (Ú. v. EÚ L 314, 6.12.2022, s. 26).

(8)    Neformálna skupina zahŕňajúca príslušné útvary Komisie, ESVČ, Agentúru Európskej únie pre kybernetickú bezpečnosť (ENISA), tím CERT-EU a Europol, ktorej spolupredsedajú Generálne riaditeľstvo pre komunikačnú sieť, obsah a technológie a ESVČ.

(9)    Napríklad Europol; v prípade dopravy: Agentúra Európskej únie pre bezpečnosť letectva (EASA), Európska námorná bezpečnostná agentúra (EMSA), Železničná agentúra Európskej únie (ERA); v prípade zdravia: Európske centrum pre prevenciu a kontrolu chorôb (ECDC) a Európska agentúra pre lieky (EMA); v prípade energie: Agentúra pre spoluprácu regulačných orgánov v oblasti energetiky (ACER); v prípade vesmíru: Agentúra EÚ pre vesmírny program (EUSPA); v prípade potravinárskeho odvetvia: Európsky úrad pre bezpečnosť potravín (EFSA); v prípade námornej oblasti: Európska agentúra pre kontrolu rybárstva (EFCA); v prípade kybernetických incidentov: Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA), jednotky pre riešenie počítačových bezpečnostných incidentov (CSIRT), tím reakcie na núdzové počítačové situácie v európskych inštitúciách, orgánoch a agentúrach (CERT-EU). 

(10)    Spoločný pracovný dokument útvarov Protokol EÚ na boj proti hybridným hrozbám, SWD(2023) 116 final.

(11)    Hybridné hrozby možno charakterizovať ako zmes donucovacích a podvratných činností, konvenčných a nekonvenčných metód, ktoré môžu štátne alebo neštátne subjekty koordinovaným spôsobom použiť na dosiahnutie konkrétnych cieľov, pričom zostávajú pod prahovou hodnotou formálne vyhlásenej vojny, pozri Protokol EÚ na boj proti hybridným hrozbám.

(12)    Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/696 z 28. apríla 2021, ktorým sa zriaďuje Vesmírny program Únie a Agentúra Európskej únie pre vesmírny program a ktorým sa zrušujú nariadenia (EÚ) č. 912/2010, (EÚ) č. 1285/2013 a (EÚ) č. 377/2014 a rozhodnutie č. 541/2014/EÚ (Ú. v. EÚ L 170, 12.5.2021, s. 69).

(13)    Ako napríklad uverejňovanie produktov monitorovania médií, správ civilnej ochrany, analytických prehľadov, denných máp a denných krátkych správ GR ECHO a iných prispôsobených produktov.

(14)    Spoločný pracovný dokument útvarov Protokol EÚ na boj proti hybridným hrozbám, SWD(2023) 116 final.