[pic] | KOMISIJA EVROPSKIH SKUPNOSTI | Bruselj, 17.11.2005 KOM(2005) 576 končno ZELENA KNJIGA O EVROPSKEM PROGRAMU ZA VAROVANJE KLJUČNE INFRASTRUKTURE (predložen s strani Komisije) ZELENA KNJIGA O EVROPSKEM PROGRAMU ZA VAROVANJE KLJUčNE INFRASTRUKTURE 1. OZADJE KLJUčNA INFRASTRUKTURA (KI) SE LAHKO POšKODUJE, UNIčI ALI OKVARI ZARADI NAMERNIH TERORISTIčNIH NAPADOV, NARAVNIH NESREč, MALOMARNOSTI, NESREč ALI VDOROV HEKERJEV, KRIMINALNIH DEJAVNOSTI IN ZLONAMERNEGA VEDENJA. DA BI žIVLJENJA IN PREMOžENJE OGROžENIH LJUDI V EU ZAVAROVALI PRED TERORIZMOM, NARAVNIMI IN DRUGIMI NESREčAMI, BI MORALE BITI MOTNJE ALI MANIPULACIJE KI čIM KRAJšE, čIM MANJ POGOSTE, čIM BOLJ OBVLADLJIVE, ZEMLJEPISNO OMEJENE IN KAR NAJMANJ šKODLJIVE ZA BLAGINJO DRžAV čLANIC, NJIHOVIH DRžAVLJANOV IN EVROPSKE UNIJE. ZADNJI TERORISTIčNI NAPADI V MADRIDU IN LONDONU SO šE OPOZORILI NA TVEGANJE TERORISTIčNIH NAPADOV NA EVROPSKO INFRASTRUKTURO. ODGOVOR EU MORA BITI HITER, USKLAJEN IN UčINKOVIT. Evropski svet junija 2004 je zaprosil Komisijo, da pripravi celovito strategijo varovanja ključne infrastrukture. Komisija je v odgovor na to 20. oktobra 2004 sprejela sporočilo „Varovanje kritične infrastrukture v boju proti terorizmu“, v katerem je dala jasne predloge o tem, kaj bi okrepilo preprečevanje terorističnih napadov na ključno infrastrukturo, pripravljenost in odziv nanje v Evropi. Svet je v sklepih o „preprečevanju, pripravljenosti in odzivu na teroristične napade“ in „solidarnostnem programu EU o posledicah terorističnih groženj in napadov“, ki jih je sprejel decembra 2004, podprl namero Komisije, da predlaga Evropski program za varovanje ključne infrastrukture (EPCIP), in se strinjal z vzpostavitvijo informacijskega omrežja za opozarjanje o ključni infrastrukturi (CIWIN) pri Komisiji. Komisija je priredila dva seminarja ter države članice povabila k oddaji predlogov in pripomb. Prvi seminar EU o varovanju ključne infrastrukture, na katerem so sodelovale države članice, je potekal 6. in 7. junija 2005. Po njem so države članice Komisiji predložile ustrezne dopolnilne dokumente o svojem pristopu k varovanju ključne infrastrukture in pripombe na tematiko seminarja. Nadaljnji razvoj varovanja ključne infrastrukture je izhajal iz prispevkov, prispelih junija in julija. Namen drugega seminarja EU o varovanju ključne infrastrukture, ki je potekal 12. in 13. septembra, je bilo nadaljevanje razprave o teh zadevah. Na njem so sodelovali tako države članice kot gospodarska združenja. Na podlagi tega je Komisija sklenila predstaviti to zeleno knjigo z opisom možnosti za Evropski program za varovanje ključne infrastrukture (EPCIP). 2. CILJ ZELENE KNJIGE Osrednji cilj zelene knjige je pridobivanje povratnih informacij o možnih politikah EPCIP, tako da se pritegne širok krog interesnih skupin. Za učinkovito varovanje ključne infrastrukture so pomembni komunikacija, koordinacija ter sodelovanje na ravni države in EU med vsemi zainteresiranimi stranmi – lastniki in upravljavci infrastrukture, zakonodajalci, strokovnimi telesi in gospodarskimi združenji v sodelovanju z vsemi upravnimi ravnmi in javnostjo. Zelena knjiga navaja možnosti za odziv Komisije na prošnjo Sveta za ustanovitev EPCIP in CIWIN ter pomeni drugo fazo posvetovalnega postopka o oblikovanju Evropskega programa za varovanje ključne infrastrukture. Komisija pričakuje da bo na to zeleno knjigo dobila konkretne povratne informacije o politikah, navedenih v tem dokumentu. Odvisno od razpleta posvetovalnega postopka bi bil sklop politik EPCIP lahko predložen že v letu 2006. 3. NAMEN IN PODROčJE UPORABE EPCIP 3.1. Splošni cilj EPCIP Cilj EPCIP bi bilo v vsej Uniji zagotoviti ustrezne in enake stopnje varovanja ključne infrastrukture, čim manj nezavarovanih točk ter hitre in preverjene ukrepe za odpravo posledic. Stopnja varnosti ni nujno enaka za vso ključno infrastrukturo in je lahko odvisna od posledic izpada te infrastrukture. EPCIP bi bil nenehen proces in potrebne bodo redne revizije, da bo dohajal novo problematiko in zadeve. EPCIP bi moral karseda omejiti negativne posledice za konkurenčnost posamezne panoge, ki bi jih utegnile prinesti povečane naložbe v varnost. Pri preračunavanju obsega stroškov ne bi smeli pozabiti na potrebo po ohranjanju tržne stabilnosti, ki je bistvenega pomena za dolgoročna vlaganja, na pomen varnosti na borzna gibanja in na makroekonomsko razsežnost. Vprašanje Je to primeren cilj za EPCIP? Če ni, kaj bi moral biti cilj? 3.2. Pred čim bi moral varovati EPCIP Čeprav so ukrepi za obvladovanje posledic enaki ali podobni pri večini motenj, se lahko varnostni ukrepi razlikujejo glede na vrsto grožnje. Med grožnjami, ki bi močno omejile sposobnost izpolnjevanja nujnih potreb in zagotavljanja varnosti prebivalstva, vzdrževanja reda in zagotavljanja osnovnih javnih storitev ali urejeno delovanje gospodarstva, so lahko namerni napadi in naravne nesreče. Možnosti so: a) pristop z upoštevanjem vseh nevarnosti na vseh področjih – celostni pristop, ki upošteva tako grožnjo namernih napadov kot naravnih nesreč. Zagotovil bi čim boljše izkoriščanje sinergije, vendar poudarka ne bi namenjal terorizmu; b) pristop z upoštevanjem vseh nevarnosti, pri katerem je v ospredju terorizem – prilagodljiv pristop, ki zagotavlja povezavo z drugimi vrstami tveganj, kakor sta tako grožnja namernih napadov kot naravnih nesreč, vendar pa v ospredje postavlja terorizem. Če bi bila stopnja varnostnih ukrepov v posameznem gospodarskem sektorju ustrezna, bi se zainteresirane strani usmerile v tveganja, ki bi jih še vedno ogrožala; c) pristop z upoštevanjem nevarnosti terorizma – v terorizem usmerjen pristop, ki ne bi upošteval bolj splošnih groženj. Vprašanje V kateri pristop naj bi se usmeril EPCIP? Zakaj? 4. PREDLAGANA GLAVNA NAčELA Kot osnova EPCIP se predlagajo naslednja glavna načela: - Subsidiarnost – Subsidiarnost bi bila v središču EPCIP, saj bi bilo varovanje ključne infrastrukture predvsem v nacionalni pristojnosti. Glavno odgovornost zanj bi prevzeli države članice in lastniki/upravljavci, ki bi delovali znotraj skupnega okvira. Komisija pa bi se usmerila v vidike, povezane z varovanjem ključnih infrastruktur, ki imajo v EU čezmejne posledice. Obveznost in odgovornost lastnikov in upravljavcev za sprejemanje lastnih odločitev in načrtov za varovanje lastnih zmogljivosti morata ostati nespremenjeni. - Povezljivost – Skupni okvir EPCIP bi bil povezljiv z obstoječimi ukrepi. Če so že vzpostavljeni mehanizmi Skupnosti, bi se morali uporabljati še naprej in pomagati k splošnemu izvajanju EPCIP. - Zaupnost – Izmenjava informacij o varovanju ključne infrastrukture bi potekala v okolju zaupanja in zaupnosti. To je nujno zaradi tega, ker je določena dejstva o ključni infrastrukturni zmogljivosti mogoče izkoristiti za povzročitev izpada ali nesprejemljivih posledic pri ključnih infrastrukturnih objektih. Tako na ravni EU kot držav članic bi bile informacije o varovanju ključne infrastrukture zaupne, dostop do njih pa omogočen izključno po potrebi. - Sodelovanje zainteresiranih strani – Vse zainteresirane strani, vključno z državami članicami, Komisijo, gospodarskimi/poslovnimi združenji, organi za standardizacijo ter lastniki, upravljavci in uporabniki (uporabniki so opredeljeni kot organizacije, ki izkoriščajo in uporabljajo infrastrukturo za poslovanje in zagotavljanje storitev), imajo svojo vlogo pri varovanju ključne infrastrukture. Vse zainteresirane strani bi morale sodelovati ter prispevati k razvoju in izvajanju EPCIP v skladu s svojo vlogo in pristojnostmi. Oblasti držav članic bi zagotavljale vodstvo in koordinacijo pri razvoju in izvajanju doslednega nacionalnega pristopa k varovanju ključne infrastrukture znotraj svoje pristojnosti. Lastniki, upravljavci in uporabniki bi bili dejavno vključeni tako na ravni države kot EU. Kadar ne obstajajo sektorski standardi ali še niso bile vzpostavljene mednarodne norme, bi lahko organizacije s področja standardizacije sprejele enotne standarde, kadar je to ustrezno. - Sorazmernost – Varnostne strategije in ukrepi bi bili sorazmerni s stopnjo tveganja, saj vseh infrastruktur ni mogoče zavarovati pred vsemi grožnjami (omrežja za prenos električne energije so na primer prevelika, da bi jih ogradili ali varovali). Z uporabo ustreznih metod obvladovanja tveganja se lahko pozornost usmeri na področja največjega tveganja, ob upoštevanju grožnje, pomembnosti, razmerja med stroški in koristmi, obstoječe stopnje varovanja ter učinkovitosti razpoložljivih strategij za ublažitev. Vprašanji So ta glavna načela sprejemljiva? Je katero odveč? Bi bilo treba upoštevati še katero drugo? Se strinjate, da bi morali biti varnostni ukrepi sorazmerni s stopnjo tveganja, saj vseh infrastruktur ni mogoče zavarovati pred vsemi grožnjami? 5. SKUPNI OKVIR EPCIP Okvara ali uničenje dela infrastrukture v eni državi članici lahko negativno vpliva na številne druge in na evropsko gospodarstvo v celoti. To postaja vse bolj mogoče, saj nove tehnologije (npr. internet) in liberalizacija trga (npr. za dobavo električne energije in plina) pomenijo, da je veliko infrastrukture del večjega omrežja. V takem okolju so varnostni ukrepi učinkoviti le toliko kot njihov najšibkejši člen. To pomeni, da utegne biti potrebna enotna stopnja varnosti. Za učinkovito varovanje so pomembni komunikacija, koordinacija in sodelovanje med vsemi zainteresiranimi stranmi na ravni države, EU (kadar je primerno) ter na mednarodni ravni. Da bi zagotovili, da vsaka država članica uveljavlja ustrezne in enake ravni varovanja svoje ključne infrastrukture in da pravila konkurence na notranjem trgu niso motena, bi se lahko vzpostavil skupni okvir EU za varovanje ključne infrastrukture v Evropi. Komisija bi v podporo dejavnostim držav članic z vzpostavitvijo skupnega okvira za varovanje ključne infrastrukture olajšala prepoznavanje, izmenjavo in razširjanje najboljših praks pri sorodnih vprašanjih. Treba je pretehtati obseg tega splošnega okvira. Skupni okvir EPCIP bi vseboval horizontalne ukrepe, ki določajo pristojnosti vseh zainteresiranih strani pri varovanju ključne infrastrukture, in opredelil temelje za pristop v posameznih sektorjih. Skupni okvir naj bi dopolnil obstoječe ukrepe v posameznih sektorjih na ravni Skupnosti in držav članic, s čimer bi bila zagotovljena največja možna raven varovanja ključne infrastrukture v Evropski uniji. Prednostna naloga bi moralo biti usklajevanje enotnega seznama opredelitev in sektorjev ključne infrastrukture. Ker so sektorji, ki vsebujejo ključno infrastrukturo, zelo raznovrstni, bi bilo težko natančno predpisati, katera merila bi se morala uporabljati za prepoznavanje in zavarovanje vseh v horizontalnem okviru; to bi se moralo izvajati po posameznih sektorjih. Vseeno pa je potrebno enotno dojemanje nekaterih vprašanj, ki zadevajo več področij. Zato se predlaga, da se ključna infrastruktura v EU okrepi z vzpostavitvijo skupnega okvira EPCIP (skupni cilji, metodologije npr. za primerjave, soodvisnost), izmenjavo najboljših praks in mehanizmov za zagotavljanje ustreznosti. Med sestavinami skupnega okvira so: - skupna načela varovanja ključne infrastrukture; - vzajemno sprejeta pravila ravnanja/standardi; - enotne opredelitve, na podlagi katerih se lahko sprejmejo opredelitve po posameznih sektorjih (okvirni seznam opredelitev sledi v Prilogi 1); - enotni seznam sektorjev ključne infrastrukture (okvirni seznam sektorjev sledi v Prilogi 2); - prednostna področja varovanja ključne infrastrukture; - opis pristojnosti vpletenih zainteresiranih strank; - dogovorjena merila uspešnosti; - metodologije za primerjavo in opredelitev prednosti infrastrukture v različnih sektorjih. Tak skupni okvir bi omejil tudi morebitne škodljive učinke na notranjem trgu. Skupni okvir EPCIP bi lahko bil prostovoljen ali obvezen – ali pa deljeno, odvisno od zadeve. Oba okvira bi lahko dopolnjevala obstoječe sektorske in horizontalne ukrepe na ravni Skupnosti ter držav članic; vendar pa bi samo pravni okvir vzpostavil trdno in izvršljivo pravno podlago za usklajeno in enotno izvajanje ukrepov za varovanje evropske ključne infrastrukture, hkrati pa jasno opredelil pristojnosti držav članic in Komisije. Nezavezujoči prostovoljni ukrepi so sicer prilagodljivi, vendar posameznih nalog ne opredeljujejo jasno. Odvisno od izsledkov skrbne analize in upoštevanja sorazmernosti predlaganih ukrepov lahko Komisija v svojem predlogu EPCIP uporabi številne instrumente, z zakonodajo vred. Kadar je to ustrezno, bodo predlogi za posamezne ukrepe podkrepljeni s presojo vpliva. Vprašanja Bi bil skupni okvir učinkovit pri krepitvi varovanja ključne infrastrukture? Če je potreben zakonski okvir, katere elemente bi moral vsebovati? Se strinjate, da bi bilo treba merila za določanje različnih vrst evropske ključne infrastrukture in potrebne varnostne ukrepe opredeliti po posameznih sektorjih? Bi skupni okvir pomagal pojasniti pristojnosti vpletenih zainteresiranih strani? V kolikšnem obsegu bi moral biti tak skupni okvir obvezen oziroma prostovoljen? Kaj bi moralo obsegati njegovo področje delovanja? Se strinjate s seznamom okvirnih opredelitev pojmov v Prilogi I, na podlagi katerega je mogoče oblikovati opredelitve po posameznih sektorjih (kjer je to ustrezno)? Se strinjate s seznamom okvirnih sektorjev ključne infrastrukture v Prilogi II? 6. KLJUČNE INFRASTRUKTURE EU (EKI) 6.1. Opredelitev ključne infrastrukture EU Opredelitev ključne infrastrukture EU je določena s čezmejnim vplivom, ki kaže, ali bi lahko nesreča imela resne posledice zunaj ozemlja države članice, kjer leži objekt. Pri tem je treba upoštevati tudi dejstvo, da so mednarodni načrti za sodelovanje pri varovanju ključne infrastrukture že uveljavljen in učinkovit način za ravnanje s ključno infrastrukturo med mejami dveh držav članic. Tako sodelovanje bi dopolnjevalo EPCIP. Evropska ključna infrastruktura bi lahko obsegala tiste materialne vire, storitve, infrastrukturo informacijske tehnologije, omrežja in infrastrukturne zmogljivosti, katerih okvara ali uničenje bi resno vplivala na zdravje, varnost, gospodarsko ali družbeno blaginjo: (a) dveh ali več držav članic – to bi vključevalo določeno dvostransko ključno infrastrukturo (kjer pride v poštev); (b) bi zadevalo tri ali več držav članic – to bi izključevalo določeno dvostransko ključno infrastrukturo; Pri tehtanju prednosti ene ali druge možnosti velja upoštevati naslednje: - dejstvo, da bi bil del infrastrukture imenovan za EKI, ne pomeni, da bi bili zanj nujno potrebni dodatni varnostni ukrepi. Povsem primerni so lahko obstoječi varnostni ukrepi, ki vključujejo dvostranske sporazume med državami članicami, in torej z imenovanjem EKI ostanejo nespremenjeni; - pri možnosti (a) je imenovanj lahko več; - možnost (b) lahko pri infrastrukturi, ki zadeva samo dve državi članici, pomeni, da Skupnost pri tem nima nikakršne vloge, čeprav se stopnja varovanja eni od teh držav članic zdi neprimerna, druga pa noče ukrepati. Možnost (b) bi lahko privedla tudi do množice dvostranskih sporazumov ali nesporazumov med državami članicami. Industrija, ki pogosto deluje na vseevropski ravni, bi morala upoštevati kopico najrazličnejših sporazumov, kar bi lahko pomenilo dodatne stroške. Poleg tega se priznava, da bi bilo treba upoštevati tudi ključno infrastrukturo, ki izvira ali obstaja zunaj EU, vendar je povezana z državami članicami EU ali bi lahko nanje neposredno vplivala. Vprašanje Bi morala evropska ključna infrastruktura biti infrastruktura, ki bi lahko imela resen čezmejni vpliv na dve državi članici ali več oziroma tri države članice ali več? Zakaj? 6.2. Soodvisnost Predlaga se, da se pri postopni opredelitvi vse EKI upošteva zlasti soodvisnost. Študije soodvisnosti bi prispevale k presoji morebitnega vpliva groženj določeni ključni infrastrukturi, zlasti pa k opredelitvi, katere države članice bi bile prizadete ob hujšem incidentu, povezanem s ključno infrastrukturo. Posebna pozornost bi bila namenjena soodvisnosti znotraj podjetij, gospodarskih sektorjev, krajevnih pristojnosti in organov držav članic ter med njimi, zlasti tistih, ki jih omogočajo informacijske in komunikacijske tehnologije (IKT). Komisija, države članice in lastniki/upravljavci ključnih infrastruktur bi sodelovali pri opredelitvi teh soodvisnosti in uporabljali ustrezne strategije za omejitev tveganja, kjer je to mogoče. Vprašanja Kako se lahko upoštevajo soodvisnosti? Poznate kake primerne metodologije za analiziranje soodvisnosti? Na kateri ravni bi moralo potekati opredeljevanje soodvisnosti – na ravni EU in/ali držav članic? 6.3. Koraki za izvajanje EKI Komisija predlaga naslednje korake za izvajanje EKI: 1. Komisija skupaj z državami članicami izoblikuje merila, ki naj se uporabljajo za opredeljevanje EKI v posameznih sektorjih. 2. Države članice in Komisija postopoma opredelijo in potrdijo EKI po sektorjih. Zaradi čezmejne narave zadevne infrastrukture se sklep o imenovanju določene ključne infrastrukture za evropsko ključno infrastrukturo sprejme na evropski ravni[1]. 3. Države članice in Komisija analizirajo obstoječe varnostne pomanjkljivosti v povezavi z EKI po posameznih sektorjih. 4. Države članice in Komisija se ob upoštevanju soodvisnosti sporazumejo o prednostnih sektorjih/infrastrukturi pri ukrepanju. 5. Kadar je to ustrezno, se za vsak sektor Komisija in ključne zainteresirane strani držav članic sporazumejo o predlogih za minimalne varnostne ukrepe, ki bi lahko vključevali standarde. 6. Potem ko predloge sprejme Svet, se ti ukrepi začnejo izvajati. 7. Države članice in Komisija zagotovijo reden nadzor. Revizije (ukrepov in opredeljevanja ključne infrastrukture) se sprejmejo, kadar in kjer so potrebne. Vprašanja Je seznam korakov pri izvajanju EKI sprejemljiv? Kako naj po vašem mnenju Komisija in države članice skupaj imenujejo EKI – države članice imajo strokovno znanje, Komisija pa pregled nad evropskimi interesi? Bi to moral biti zakonski sklep? Ali obstaja potreba po arbitražnem mehanizmu, če se določena država članica ne strinja z imenovanjem neke infrastrukture v svoji pristojnosti za EKI? Ali obstaja potreba po preverjanju imenovanj? Kdo naj bi bil za to odgovoren? Bi morale države članice imeti možnost imenovanja infrastrukture v drugih državah članicah ali tretjih državah kot ključne zanje? Kaj naj bi se zgodilo, če država članica, tretja država ali panoga meni, da je del infrastrukture v državi članici zanje ključnega pomena? Kaj naj bi se zgodilo, če ga ta država članica ne opredeli? Ali obstaja potreba po pritožbenem mehanizmu? Če je tako, kakšnem? Bi moral upravljavec imeti možnost pritožbe, če se ne strinja z njihovim imenovanjem ali neimenovanjem? Če je tako, komu? Katere metodologije bi bilo treba razviti za določanje prednostnih sektorjev/infrastrukture za ukrepanje? Ali že obstajajo primerne metodologije, ki jih je mogoče prilagoditi na evropsko raven? Kako se lahko Komisija vključi v analizo varnostnih pomanjkljivosti v povezavi z EKI? 7. NACIONALNE KLJUČNE INFRASTRUKTURE (NKI) 7.1. Vloga NKI v EPCIP Številna evropska podjetja poslujejo prek meja in zato zanje veljajo različne obveznosti za NKI. V interesu držav članic in EU kot celote se zato predlaga, da vsaka država članica zavaruje svojo NKI znotraj skupnega okvira, tako da se lastnikom in upravljavcem po vsej Evropi ne bo treba ubadati z nepregledno množico okvirov, iz katerih izhaja nešteto metodologij in dodatnih stroškov. Zato Komisija predlaga, da EPCIP – čeprav bo osredotočen predvsem na ključno infrastrukturo EU – ne more povsem izpustiti nacionalne ključne infrastrukture. Vseeno se lahko predvidijo tri možnosti: a) NKI je popolnoma vključena v EPCIP b) NKI je zunaj področja delovanja EPCIP c) države članice lahko dele EPCIP v povezavi z NKI uporabljajo po želji, vendar k temu niso zavezane. Vprašanji Za učinkovito varovanje ključne infrastrukture v Evropski uniji bi bila potrebna opredelitev tako EKI kot NKI. Se strinjate, da čeprav bi se EPCIP morala osredotočiti na EKI, NKI ni mogoče povsem izpustiti? Katera od teh možnosti je po vašem mnenju najprimernejša za EPCIP? 7.2. Nacionalni programi varovanja ključne infrastrukture Na podlagi skupnega okvira EPCIP bi lahko države članice razvile nacionalne programe varovanja ključne infrastrukture za svojo NKI. Države članice bi lahko uporabljale tudi strožje ukrepe od tistih, ki jih določa EPCIP. Vprašanje Ali je zaželeno, da vsaka država članica sprejme nacionalni program varovanja ključne infrastrukture na podlagi EPCIP? 7.3. Enotni nadzorni organ Potreba po učinkovitosti in usklajenosti narekuje, da vsaka država članica imenuje en sam nadzorni organ, ki se ukvarja s splošnim izvajanjem EPCIP. Predvideti je mogoče dve možnosti: (a) enoten organ za nadzor varovanja ključne infrastrukture; (b) nacionalno kontaktno točko brez pristojnosti, ki državam članicam prepušča lastno organiziranje. Tak organ bi lahko usklajeval, spremljal in nadziral izvajanje EPCIP znotraj svoje pristojnosti in bi bil lahko glavna institucionalna kontaktna točka o zadevah varovanja ključne infrastrukture s Komisijo, drugimi državami članicami ter lastniki in upravljavci ključne infrastrukture. Ta organ bi lahko bil podlaga za nacionalno predstavništvo v strokovnih skupinah, ki se ukvarjajo z zadevami varovanja ključne infrastrukture, in bi bil lahko povezan z informacijskim omrežjem za opozarjanje o ključni infrastrukturi (CIWIN). Nacionalni organ za koordinacijo varovanja ključne infrastrukture (NOKK) bi lahko usklajeval nacionalne zadeve na področju varovanja ključne infrastrukture ne glede na to, da so vanje že vključeni drugi organi ali subjekti v državi članici. Postopno opredelitev NKI bi bilo mogoče doseči z zahtevo, da morajo lastniki in upravljavci infrastrukture nacionalnemu koordinacijskemu organu priglasiti vsako pomembno poslovanje, povezano z varovanjem ključne infrastrukture. Nacionalni koordinacijski organ bi lahko bil odgovoren za zakonsko odločanje o imenovanju infrastrukture v svoji pristojnosti za NKI. Te informacije bi bile na voljo izključno zadevni državi članici. Konkretne pristojnosti bi lahko bile: a) koordinacija, spremljanje in nadzor splošnega izvajanja EPCIP v državi članici; b) vloga glavne institucionalne kontaktne točke v zadevah varovanja ključne infrastrukture: i. s Komisijo ii. z drugimi državami članicami iii. z lastniki in upravljavci ključne infrastrukture; c) sodelovanje pri imenovanju ključne infrastrukture EU (EKI); d) sprejemanje zakonskih sklepov o imenovanju infrastrukture v svoji pristojnosti za nacionalno ključno infrastrukturo; e) pritožbena instanca za lastnike/upravljavce, ki se ne strinjajo z imenovanjem svoje infrastrukture za „ključno infrastrukturo“; f) sodelovanje pri izdelavi nacionalnega programa za varovanje ključne infrastrukture in programov varovanja ključne infrastrukture po posameznih sektorjih; g) prepoznavanje soodvisnosti med posameznimi sektorji ključne infrastrukture; h) prispevanje k sektorskim pristopom za varovanje kritične infrastrukture prek sodelovanja v strokovnih skupinah. K razpravi bi lahko bili povabljeni predstavniki lastnikov in upravljavcev. Organizirani bi lahko bili redni sestanki; i) nadzor nad sestavljanjem načrtov ukrepov ob nepredvidljivih dogodkih, povezanih s ključno infrastrukturo. Vprašanja Se strinjate, da bi morale biti za imenovanje in upravljanje NKI znotraj skupnega okvira EPCIP pristojne samo države članice? Ali je zaželeno imenovati organ za koordinacijo varovanja ključne infrastrukture v vsaki državi članici, ki bi imel splošno odgovornost za koordinacijo ukrepov, povezanih z varovanjem ključne infrastrukture, ob spoštovanju obstoječih sektorskih pristojnosti (organov civilnega letalstva, direktive Seveso itn.)? Bi bile predlagane pristojnosti takega koordinacijskega organa primerne? So potrebne katere druge? 7.4. Koraki za izvajanje NKI Komisija predlaga naslednje korake za izvajanje NKI: 8. Z uporabo EPCIP države članice izoblikujejo konkretna merila, ki naj se uporabljajo za opredelitev NKI. 9. Države članice postopoma opredelijo in potrdijo NKI po sektorjih. 10. Države članice analizirajo obstoječe varnostne pomanjkljivosti v povezavi z NKI po posameznih sektorjih. 11. Države članice ob upoštevanju soodvisnosti in prednosti, dogovorjenih na ravni EU, določijo prednostne sektorje pri ukrepanju. 12. Kadar je to ustrezno, se države članice sporazumejo o minimalnih varnostnih ukrepih za vsak sektor. 13. Države članice zagotovijo, da lastniki/upravljavci v njihovi pristojnosti sprejmejo potrebne izvedbene ukrepe. 14. Države članice zagotovijo reden nadzor. Revizije (ukrepov in opredeljevanja ključne infrastrukture) se sprejmejo, kadar in kjer so potrebne. Vprašanje Je seznam korakov pri izvajanju NKI primeren? Je kateri odveč? Bi bilo treba dodati še kak korak? 8. VLOGA LASTNIKOV, UPRAVLJAVCEV IN UPORABNIKOV KLJUčNE INFRASTRUKTURE 8.1. Dolžnosti lastnikov, upravljavcev in uporabnikov ključne infrastrukture Imenovanje ključne infrastrukture narekuje določene dolžnosti za lastnike in upravljavce. Za lastnike in upravljavce, imenovane za NKI ali EKI, je mogoče predvideti štiri dolžnosti: 15. priglasitev dejstva, da utegne biti neka infrastruktura ključnega pomena, ustreznemu organu za varovanje ključne infrastrukture v državi članici; 16. imenovanje višjega predstavnika ali predstavnikov za nalogo varnostnega uradnika za zvezo (VUZ) med lastnikom/upravljavcem in ustreznim organom države članice na področju varovanja ključne infrastrukture . VUZ bi sodeloval pri razvoju načrtov varovanja in ukrepov ob nepredvidljivih dogodkih. Bil bi glavni uradnik za zvezo z ustreznim sektorskim organom na področju varovanja ključne infrastrukture v državi članici, in kadar je to ustrezno, z organi pregona; 17. vzpostavitev, izvajanje in posodabljanje varnostnega načrta upravljavca (VNU). Priporočena predloga VNU je v Prilogi 3; 18. sodelovanje pri razvoju načrtov ukrepov ob nepredvidljivih dogodkih, povezanih s ključno infrastrukturo, z ustreznimi organi civilne zaščite in pregona držav članic, kadar se to zahteva. VNU se lahko predloži v odobritev ustreznemu sektorskemu organu za varovanje ključne infrastrukture v državi članici pod splošnim nadzorom nacionalnega koordinacijskega organa, ne glede na to ali gre za NKI ali EKI, s čimer bi se zagotovila doslednost varnostnih ukrepov, ki jih sprejmejo posamezni lastniki in upravljavci ter zadevni sektorji na splošno. Lastniki in upravljavci pa bi lahko po drugi strani prejemali ustrezne povratne informacije in podporo o pomembnih grožnjah, razvoju najboljših praks ter po potrebi pomoč pri presoji soodvisnosti in šibkih točk prek nacionalnega koordinacijskega organa, in kadar je to ustrezno, od Komisije. Vsaka država članica bi lastnikom in upravljavcem NKI in EKI lahko določila rok za oblikovanje VNU (pri EKI bi bila vključena tudi Komisija) ter določila globe za primere neupoštevanja teh rokov. Predlagano je, da bi varnostni načrt upravljavca (VNU) določil lastnikove/upravljavčeve ključne infrastrukturne zmogljivosti ter vzpostavil primerne varnostne rešitve za njihovo zaščito. VNU bi navajal metode in postopek za zagotavljanje skladnosti z EPCIP, nacionalnimi programi za varovanje ključne infrastrukture ter ustreznimi sektorskimi programi za varovanje ključne infrastrukture. VNU bi lahko bil način pristopa od spodaj navzgor pri zakonskem urejanju varovanja ključne infrastrukture, ki zasebnemu sektorju dovoljuje več odstopanja (in mu hkrati podeljuje več odgovornosti). V konkretnih primerih, ko gre za določeno infrastrukturo, kot so električna in informacijska omrežja, bi bilo (iz praktičnega in finančnega vidika) nerealno od lastnikov in upravljavcev pričakovati, da bodo zagotovili enako stopnjo varnosti za vse svoje zmogljivosti. V takih primerih se predlaga, da bi lahko lastniki in upravljavci skupaj z ustreznimi organi določili ključne točke (vozlišča) fizičnega ali informacijskega omrežja, na katere bi se lahko usmerili varnostni ukrepi. VNU bi lahko vseboval varnostne ukrepe, zbrane v dveh postavkah: - stalni varnostni ukrepi , ki bi opredelili nujna vlaganja v varnost in sredstva, kakršnih lastnik/upravljavec ne more namestiti v kratkem času. Lastnik/upravljavec bi ohranjal stalno pripravljenost na morebitna tveganja, ki ne bi ovirala njegovih rednih gospodarskih, administrativnih in družbenih dejavnosti; - stopnjevani varnostni ukrepi , ki jih je mogoče uvesti glede na različne stopnje ogroženosti. VNU bi tako predvideval več varnostnih režimov, prilagojenih možnim stopnjam ogroženosti, ki obstajajo v državi članici, kjer je infrastruktura. Če lastnik in upravljavec ne oblikujeta VNU, ne prispevata k razvoju načrtov ukrepov ob nepredvidljivih dogodkih in imenujeta VUZ, se predlaga, da bi bila za neupoštevanje te obveznosti morda zagrožena denarna kazen. Vprašanja So morebitne dolžnosti lastnikov/upravljavcev ključne infrastrukture sprejemljive v zvezi s povečanjem varnosti ključne infrastrukture? Kolikšni bi bili njihovi verjetni stroški? Bi morali biti lastniki in upravljavci dolžni priglasiti dejstvo, da bi lahko bila njihova infrastruktura ključnega pomena? Je po vašem mnenju pojem VNU koristen? Zakaj? So predlagane dolžnosti sorazmerne s predvidenimi stroški? Katere pravice bi morale oblasti držav članic in Komisija podeliti lastnikom in upravljavcem ključne infrastrukture? 8.2. Dialog z lastniki, upravljavci in uporabniki ključne infrastrukture EPCIP bi lahko lastnike in upravljavce vključil v partnerstva. Uspeh vsakega programa zaščite je odvisen od sodelovanja in stopnje vključenosti, ki ju je mogoče doseči z lastniki in upravljavci. V okviru držav članic bi se lahko lastniki in upravljavci ključne infrastrukture prek rednih stikov z nacionalnim koordinacijskim organom tesno vključili v razvoj varovanja ključne infrastrukture. Na ravni EU bi se lahko vzpostavili forumi, ki bi lahko olajšali izmenjavo mnenj o splošnih zadevah in zadevah, omejenih na posamezen sektor, pri varovanju ključne infrastrukture. Skupni pristop pri vključevanju zasebnega sektorja v zadeve, povezane z varovanjem ključne infrastrukture, ki bi pritegnil vse zainteresirane strani v javni in zasebni sferi, bi državam članicam, Komisiji in gospodarstvu zagotovil pomembno izhodišče za komuniciranje ob vsakem novem vprašanju na področju varovanja ključne infrastrukture. Lastniki, upravljavci in uporabniki ključne infrastrukture bi lahko pomagali pri razvoju skupnih smernic, standardov najboljše prakse, in kadar je to primerno, izmenjave podatkov. Tak dialog bi pomagal pri oblikovanju prihodnjih revizij EPCIP. Kadar je to primerno, bi Komisija lahko spodbujala nastanek gospodarskih/poslovnih združenj EU, povezanih z varovanjem ključne infrastrukture. Končna cilja bi bila ohraniti konkurenčnost evropskega gospodarstva in povečati varnost državljanov EU. Vprašanji Kako naj bi bil strukturiran dialog z lastniki, upravljavci in uporabniki KI? Kdo naj bi zastopal lastnike, upravljavce in uporabnike v dialogu med javno in zasebno sfero? 9. PODPORNI UKREPI EPCIP 9.1. Informacijsko omrežje za opozarjanje o ključni infrastrukturi (CIWIN) Komisija je razvila številne sisteme za hitro opozarjanje, ki omogočajo konkreten, usklajen in učinkovit odziv v nujnih primerih, vključno s primeri terorističnega značaja. Dne 20. oktobra 2004 je Komisija napovedala oblikovanje svojega osrednjega omrežja, ki bo zagotavljalo hiter pretok informacij med vsemi njenimi sistemi za hitro opozarjanje in ustreznimi službami Komisije (ARGUS). Komisija predlaga oblikovanje CIWIN, ki bi spodbudilo razvoj ustreznih varnostnih ukrepov, saj bi olajšalo varno izmenjavo najboljših praks, hkrati pa bi bilo sredstvo za prenos neposrednih groženj in opozoril. Sistem bi zagotavljal, da bi imeli pravi ljudje prave informacije ob pravem času. Za razvoj CIWIN so na voljo naslednje tri možnosti: 19. CIWIN bi bil v obliki foruma, omejen na izmenjavo predlogov in najboljših praks v zvezi z varovanjem ključne infrastrukture v podporo lastnikom in upravljavcem ključne infrastrukture. Tak forum bi bil lahko v obliki omrežja strokovnjakov in elektronske platforme za izmenjavo pomembnih informacij v varnem okolju. Komisija bi imela pomembno vlogo pri zbiranju in razširjanju tovrstnih informacij. Ta možnost ne bi zagotovila potrebnih hitrih obvestil o neposrednih grožnjah. Vendar pa bi obstajala možnost prihodnje razširitve CIWIN. 20. CIWIN bi bil sistem za hitro opozarjanje (RAS), ki bi države članice povezoval s Komisijo. Ta možnost bi povečala varnost ključne infrastrukture, saj bi zagotovila opozarjanje, omejeno na neposredne grožnje in opozorila. Cilj bi bil olajšati hitro izmenjavo informacij o morebitnih grožnjah lastnikom in upravljavcem ključne infrastrukture. RAS ne bi vključeval izmenjave dolgoročnih obveščevalnih podatkov. Uporabljal bi se za hitro izmenjavo informacij o neposrednih grožnjah za konkretno infrastrukturo. 21. CIWIN bi bil sistem obveščanja/opozarjanja na več ravneh, ki bi imel dve ločeni funkciji: a) sistema za hitro opozarjanje (RAS), ki bi države članice povezoval s Komisijo, in b) foruma za izmenjavo predlogov in najboljših praks v zvezi z varovanjem ključne infrastrukture v podporo lastnikom in upravljavcem ključne infrastrukture, sestavljenega iz omrežja strokovnjakov in elektronske platforme za izmenjavo podatkov. Ne glede na izbrano možnost bi CIWIN dopolnjeval obstoječa omrežja, poskrbljeno pa bi bilo, da ne bi prišlo do podvajanja. Dolgoročno bi se CIWIN lahko povezal z vsemi pomembnimi lastniki in upravljavci ključne infrastrukture v vsaki državi članici na primer prek nacionalnega koordinacijskega organa. Opozorila in najboljše prakse bi se lahko izmenjavali prek tega sistema, ki bi bil edina storitev, neposredno povezana s Komisijo in prek nje z vsemi drugimi državami članicami. Države članice bi lahko uporabile svoje obstoječe informacijske sisteme za vzpostavitev svoje nacionalne zmogljivosti CIWIN, ki bi oblasti povezovala s posameznimi lastniki in upravljavci. Kar je pomembno, ta nacionalna omrežja bi lahko ustrezni organi držav članic za varovanje ključne infrastrukture ter lastniki in upravljavci uporabljali kot dvosmerni komunikacijski sistem. Oblikovana bo študija, ki bo določila področje delovanja in tehnične specifikacije, potrebne za prihodnji vmesnik CIWIN z državami članicami. Vprašanji V kakšni obliki bi moralo biti omrežje CIWIN, da bi bilo v podporo ciljem EPCIP? Bi morali biti lastniki in upravljavci ključne infrastrukture povezani s CIWIN? 9.2. Skupne metodologije Države članice imajo različne opozorilne ravni, ki ustrezajo različnim okoliščinam. Trenutno ni mogoče vedeti, ali je na primer „visoka“ v eni državi članici enaka „visoki“ v drugi. To lahko mednarodnim podjetjem oteži določanje prednostnih izdatkov za varnostne ukrepe. Zato bi utegnilo biti koristno, če bi se različne ravni uskladile ali izenačile. Za vsako raven ogroženosti bi lahko obstajala stopnja pripravljenosti, po kateri je mogoče na splošno sprožiti dodatne varnostne ukrepe in zlasti po potrebi uveljavitev stopnjevanih varnostnih ukrepov. Države članice, ki ne bi želele sprožiti določenega ukrepa, bi lahko na določeno grožnjo odgovorile z alternativnimi varnostnimi ukrepi. Lahko bi se preučila možnost skupne metodologije prepoznavanja in razvrščanja groženj, zmogljivosti, tveganj in šibkih točk ter sklepanja o možnosti, verjetnosti in resnosti tega, da bo grožnja povzročila motnjo na infrastrukturnem objektu. To bi vključevalo oceno tveganja in določitev prednosti, po kateri bi bilo mogoče tvegane dogodke opredeliti glede na verjetnost njihovega pojava, vpliv in povezave z drugimi tveganimi območji ali procesi. Vprašanji Koliko je zaželeno in mogoče uskladiti ali izenačiti različne opozorilne ravni? Bi morala obstajati skupna metodologija prepoznavanja in razvrščanja groženj, zmogljivosti, tveganj in šibkih točk ter sklepanja o možnosti, verjetnosti in resnosti grožnje? 9.3. Financiranje Po pobudi Evropskega parlamenta (oblikovanje nove proračunske linije – pilotnega projekta „Boj proti terorizmu“ – v proračunu 2005) je Komisija 15. septembra sklenila, da bo 7 milijonov EUR namenila za financiranje ukrepov, ki bodo okrepili preprečevanje terorističnih napadov, pripravljenost in odziv nanje v Evropi, skupaj z obvladovanjem posledic, varovanjem ključne infrastrukture, financiranjem teroristov, razstrelivi in radikalizacijo, ki vodi v nasilje. Več kakor dve tretjini tega proračuna je dodeljenega pripravi prihodnjega evropskega programa za varovanje ključne infrastrukture, povezovanju in razvoju zmogljivosti za obvladovanje kriz naddržavnega pomena, ki so posledica morebitnih terorističnih napadov, in nujnih ukrepov za spopad s pomembno grožnjo ali pojavom takega napada. Pričakuje se, da se bo to financiranje v letu 2006 nadaljevalo. Od leta 2007 do 2013 bo financiranje prevzel okvirni program Varnost in varstvo svoboščin. Ta bo vključeval posebni program Preprečevanje, pripravljenost in obvladovanje posledic terorizma; predlog Komisije je dodelil 137,4 milijona EUR za opredelitev potreb in razvoj skupnih tehničnih standardov za varovanje ključne infrastrukture. Program bo zagotovil sredstva Skupnosti za projekte za varovanje ključnih infrastruktur, ki jih bodo predložile nacionalne, regionalne in lokalne oblasti. Usmerjen je v določitev potreb po varovanju in zagotavljanje informacij za razvoj skupnih standardov, ocen groženj in tveganja, da se zavaruje ključna infrastruktura, ali za razvoj konkretnih načrtov ukrepov ob nepredvidljivih dogodkih. Komisija bi izkoriščala svoje obstoječe strokovno znanje ali pomagala financirati študije o soodvisnosti v posameznih sektorjih. Nadgradnja infrastrukture v skladu z opredeljenimi potrebami pa je nato predvsem naloga držav članic ali lastnikov in upravljavcev. Program sam ne financira nadgradnje varovanja ključne infrastrukture. Za nadgradnjo varovanja infrastrukture v državah članicah v skladu s potrebami, opredeljenimi po programu, in izvajanje skupnih standardov bi bilo mogoče uporabiti posojila finančnih ustanov. Komisija bi bila pripravljena podpreti sektorske študije za oceno finančnih posledic, ki jih utegne nadgradnja varovanja infrastrukture imeti za gospodarstvo. Komisija financira raziskovalne projekte v podporo varovanju ključne infrastrukture v okviru pripravljalnih ukrepov za raziskave na področju varnosti[2] (2004–2006), več konkretnih dejavnosti na področju varnostnih raziskav pa načrtuje v svojem predlogu za sklep Evropskega parlamenta in Sveta o sedmem okvirnem programu ES za raziskave, tehnološki razvoj in predstavitvene dejavnosti (COM(2005)119 konč.)[3] in predlogu za Odločbo Sveta o posebnem programu „Sodelovanje“, s katerim se bo izvajal sedmi okvirni program za raziskave, tehnološki razvoj in predstavitvene dejavnosti (COM(2005)440 konč.). Ciljne raziskave, katerih namen je zagotoviti praktične strategije ali orodja za ublažitev tveganj, so osrednjega pomena za srednje- do dolgoročno zavarovanje ključne infrastrukture EU. Vse varnostne raziskave, tudi na tem področju, bodo predmet etične revizije, da se zagotovi skladnost z Listino o temeljnih človekovih pravicah. Potreba po raziskavah se bo s krepitvijo soodvisnosti med infrastrukturo samo še povečevala. Vprašanji Kako bi ocenili stroške in vpliv izvajanja ukrepov, predlaganih v tej zeleni knjigi, za upravo in gospodarstvo? Se vam zdijo sorazmerni? 9.4. Ocenjevanje in nadzor Ocenjevanje in nadzor izvajanja EPCIP narekuje večstopenjski proces, v katerega morajo biti vključene vse zainteresirane strani: - na ravni EU bi lahko vzpostavili mehanizem medsebojnega ocenjevanja , po katerem bi države članice in Komisija sodelovale pri ocenjevanju skupne ravni izvajanja EPCIP v vsaki državi članici. Pripravila bi se lahko letna poročila Komisije o izvajanju EPCIP; - Komisija bi vsako koledarsko leto državam članicam in drugim ustanovam poročala o napredku v delovnem dokumentu služb Komisije; - na ravni držav članic bi nacionalni koordinacijski organ prek letnih poročil Svetu in Komisiji nadziral skupno izvajanje EPCIP v svoji pristojnosti ter tako zagotavljal skladnost z nacionalnimi in sektorskimi programi varovanja ključne infrastrukture, da bi poskrbel za njihovo učinkovito izvajanje. Izvajanje EPCIP bi bilo dinamičen proces, ki se nenehno razvija in vrednoti, da bi sledil spremembam v svetu in gradil na pridobljenih izkušnjah. Medsebojne ocene in poročila o nadzoru držav članic bi lahko bili med načini za revizijo EPCIP in predlogi novih ukrepov za okrepitev varovanja ključne infrastrukture. Potrebne informacije držav članic o EKI bi se lahko posredovale Komisiji za namen oblikovanja skupnih ocen šibkih točk, načrtov obvladovanja posledic, skupnih standardov za varovanje ključne infrastrukture, dajanje prednosti raziskovalnim dejavnostim ter po potrebi oblikovanje predpisov in usklajevanje. Take informacije bi bile tajne in opremljene z oznako Zaupno. Komisija bi lahko nadzirala različne pobude držav članic, tudi take, ki predvidevajo finančne posledice za lastnike in upravljavce, ki ne bodo zmožni obnoviti nujnih storitev za državljane v določenem skrajnem roku. Vprašanji Kakšen ocenjevalni mehanizem bi bil potreben za EPCIP? Bi zgornji mehanizem zadoščal? Odgovori naj se do 15. januarja 2006 v elektronski obliki pošljejo na naslednji e-naslov: JLS-EPCIP@cec.eu.int . Veljali bodo za zaupne, razen če pošiljatelj izrecno ne navede, da naj bodo javni, v tem primeru pa bodo objavljeni na spletnem mestu Komisije. PRILOGE ANNEX 1 CIP TERMS AND DEFINITIONS This indicative list of definitions could be further built upon depending on the individual sectors for the purpose of identification and protection of Critical Infrastructure (CI). Alert Notification that a potential disaster situation will occur, exists or has occurred. Direction for recipient to stand by for possible escalation or activation of appropriate measures. Critical infrastructure protection (CIP) The ability to prepare for, protect against, mitigate, respond to, and recover from critical infrastructure disruptions or destruction. Critical Information Infrastructure (CII): ICT systems that are critical infrastructures for themselves or that are essential for the operation of critical infrastructures (telecommunications, computers/software, Internet, satellites, etc.). Critical Information Infrastructure Protection (CIIP) The programs and activities of infrastructure owners, operators, manufacturers, users, and regulatory authorities which aim at keeping the performance of critical information infrastructures in case of failures, attacks or accidents above a defined minimum level of services and aim at minimising the recovery time and damage. CIIP should therefore be viewed as a cross-sector phenomenon rather than being limited to specific sectors. CIIP should be closely coordinated with Critical Infrastructure Protection from a holistic perspective. Contingency plan A plan used by a MS and critical infrastructure owner/operator on how to respond to a specific systems failure or disruption of essential service. Contingency plans would typically include the development, coordination, and execution of service- and site-restoration plans; the reconstitution of government operations and services; individual, private-sector, nongovernmental and public-assistance programs to promote restoration; long-term care and treatment of affected persons; additional measures for social, political, environmental, and economic restoration as well as development of initiatives to mitigate the effects of future incidents. Critical Information Specific facts about a critical infrastructure asset, vitally needed to plan and act effectively so as to guarantee failure or cause unacceptable consequences for critical infrastructure installations. Critical Infrastructure (CI) Critical infrastructure include those physical resources, services, and information technology facilities, networks and infrastructure assets which, if disrupted or destroyed, would have a serious impact on the health, safety, security or economic well-being of Citizens or the effective functioning of governments. There are three types of infrastructure assets: - Public, private and governmental infrastructure assets and interdependent cyber & physical networks. - Procedures and where relevant individuals that exert control over critical infrastructure functions. - Objects having cultural or political significance as well as “soft targets” which include mass events (i.e. sports, leisure and cultural). Essential service Often applied to utilities (water, gas, electricity, etc.) it may also include standby power systems, environmental control systems or communication networks that if interrupted puts at risk public safety and confidence, threatens economic security, or impedes the continuity of a MS government and its services. European critical infrastructure (ECI) European critical infrastructure include those physical resources, services, and information technology facilities, networks and infrastructure assets, which, if disrupted or destroyed would have a serious impact on the health, safety, security, economic or social well-being of two or more MS. The definition of what constitutes an EU critical infrastructure is determined by its cross border effect which ascertains whether an incident could have a serious impact beyond two or more MS national territories. This is defined as the loss of a critical infrastructure element and is rated by the: - extent of the geographic area which could be affected by the loss or unavailability of a critical infrastructure element beyond three or more Member State’s national territories; - effect of time (i.e. the fact that a for example a radiological cloud might, with time, cross a border); - level of interdependency (i.e. electricity network failure in one MS effecting another); Impact Impacts are the total sum of the different effects of an incident. This needs to take into account at least the following qualitative and quantitative effects: - Scope - The loss of a critical infrastructure element is rated by the extent of the geographic area which could be affected by its loss or unavailability - international, national, regional or local. - Severity - The degree of the loss can be assessed as None, Minimal, Moderate or Major. Among the criteria which can be used to assess impact are: - Public (number of population affected, loss of life, medical illness, serious injury, evacuation); - Economic (GDP effect, significance of economic loss and/or degradation of products or services, interruption of transport or energy services, water or food shortages); - Environment (effect on the public and surrounding location); - Interdependency (between other critical infrastructure elements). - Political effects (confidence in the ability of government); - Psychological effects (may escalate otherwise minor events).both during and after the incident and at different spatial levels (e.g. local, regional, national and international) - Effects of time - This criteria ascertains at what point the loss of an element could have a serious impact (i.e. immediate, 24-48 hours, one week, other). Interdependency Identified connections or lack thereof between and within infrastructure sectors with essential systems and assets. Occurrence The term “occurrence” in the CIP context is defined as an event (either human caused or by natural phenomena) that requires a serious emergency response to protect life or property or puts at risk public safety and confidence, seriously disrupts the economy, or impedes the continuity of a MS government and its services. Occurrences include negligence, accidents, deliberate acts of terrorism, computer hacking, criminal activity and malicious damage, major disasters, urban fires, floods, hazardous materials spills, nuclear accidents, aircraft accidents, earthquakes, storms, public health and medical emergencies and other occurrences requiring a major emergency response. Operator Security Plan The Operator Security Plan (OSP) identifies all of the operator’s critical infrastructure assets and establishes relevant security solutions for their protection. The OSP describes the methods and procedures which are to be followed by the owner/operator. Prevention The range of deliberate, critical tasks and activities necessary to build, sustain, and improve the operational capability to prevent, protect against, respond to, and recover from an incident. Prevention involves efforts to identify threats, determine vulnerabilities and identify required resources. Prevention involves actions to protect lives and property. It involves applying intelligence and other information to a range of activities that may include such countermeasures as deterrence operations; heightened inspections; improved surveillance and security operations; investigations to determine the full nature and source of the threat; public health and agricultural surveillance and testing processes; immunizations, isolation, or quarantine; and as appropriate specific law enforcement operations aimed at deterring, pre-empting, interdicting, or disrupting illegal activity, and apprehending potential perpetrators and bringing them to justice. Prevention involves the stopping of an incident before it happens with effective processes, guidelines, standards and certification. Seamless interactive systems, and comprehensive threat- and vulnerability analysis. Prevention is a continuous process of ongoing actions to reduce exposure to, probability of, or potential loss from hazards. Response Activities that address the short-term direct effects of an incident. Response includes immediate actions to save lives, protect property, and meet basic human needs. As indicated by the situation, response activities include applying intelligence and other information to lessen the effects or consequences of an incident; increased security operations; continuing investigations into nature and source of the threat; ongoing public health and agricultural surveillance and testing processes; immunizations, isolation, or quarantine; and specific law enforcement operations aimed at pre-empting, interdicting, or disrupting illegal activity, and apprehending actual perpetrators and bringing them to justice. Risk The possibility of loss, damage or injury. The level of risk is a condition of two factors: (1) the value placed on the asset by its owner/operator and the impact of loss or change to the asset, and (2) the likelihood that a specific vulnerability will be exploited by a particular threat. Threat Any indication, circumstance, or event with the potential to disrupt or destroy critical infrastructure, or any element thereof. An all-hazards approach to threat includes accidents, natural hazards as well as deliberate attacks. It can also be defined as the intention and capability of an adversary to undertake actions that would be detrimental to critical assets. Vulnerability A characteristic of an element of the critical infrastructure's design, implementation, or operation that renders it susceptible to destruction or incapacitation by a threat. ANNEX 2 Indicative list of Critical infrastructure sectors Sector | Product or service | I Energy | 1 Oil and gas production, refining, treatment and storage, including pipelines 2 Electricity generation 3 Transmission of electricity, gas and oil 4 Distribution of electricity, gas and oil | II Information, Communication Technologies, ICT | 5 Information system and network protection 6 Instrumentation automation and control systems (SCADA etc.) 7 Internet 8 Provision of fixed telecommunications 9 Provision of mobile telecommunications 10 Radio communication and navigation 11 Satellite communication 12 Broadcasting | III Water | 13 Provision of drinking water 14 Control of water quality 15 Stemming and control of water quantity | IV Food | 16 Provision of food and safeguarding food safety and security | V Health | 17 Medical and hospital care 18 Medicines, serums, vaccines and pharmaceuticals 19 Bio-laboratories and bio-agents | VI Financial | 20 Payment services/payment structures (private) 21 Government financial assignment | VII Public & Legal Order and Safety | 22 Maintaining public & legal order, safety and security 23 Administration of justice and detention | VIII Civil administration | 24 Government functions 25 Armed forces 26 Civil administration services 27 Emergency services 28 Postal and courier services | IX Transport | 29 Road transport 30 Rail transport 31 Air traffic 32 Inland waterways transport 33 Ocean and short-sea shipping | X Chemical and nuclear industry | 34 Production and storage/processing of chemical and nuclear substances 35 Pipelines of dangerous goods (chemical substances) | XI Space and Research | 36 Space 37 Research | ANNEX 3 Operator Security Plan The possible contents of the OSP should include an introduction and a classified detail part (not accessible outside the relevant MS authorities). The classified part would begin with a presentation of the operator and describe the legal context of its CI activities. The OSP would then go on to presenting the details on the criticality of the infrastructure concerned, taking into consideration the operator’s objectives and the Member State’s interests. The critical points of the infrastructure would be identified and their security requirements presented. A risk analysis based on major threat scenarios, vulnerability of each critical point, and potential impact would be conducted. Based on this risk analysis, relevant protection measures should be foreseen. Introduction ) Contains information concerning the pursued objectives and the main organisational and protection principles. Detailed part (classified) - Presentation of the operator Contains a description of the operator’s activities, organization and connections with the public authorities. The details of the operator’s Security Liaison Office (SLO) are given. - Legal context The operator addresses the requirements of the National CIP Programme and the sector specific CIP programme where relevant. - Description of the criticality of the infrastructure The operator describes in detail the critical services/products he provides and how particular elements of the infrastructure come together to create an end-product. Details should be provided concerning: - material elements; - non-material elements (sensors, command, information systems); - human elements (decision-maker, expert); - access to information (databases, reference systems); - dependence on other systems (energy, telecoms); - specific procedures (organisation, management of malfunctions, etc.). - Formalisation of security requirements The operator identifies the critical points in the infrastructure, which could not be easily replaced and whose destruction or malfunctioning could significantly disrupt the operation of the activity or seriously endanger the safety of users, customers or employees or result in essential public needs not being satisfied. The security of these critical points is then addressed. The owners, operators and users (‘users’ being defined as organizations that exploit and use the infrastructure for business and service provision purposes) of critical infrastructure would have to identify the critical points of their infrastructure, which would be deemed restricted areas. Access to restricted areas should be monitored in order to ensure than no unauthorised persons and vehicles enter such areas. Access would only be granted to security cleared personnel. The relevant background security checks (if deemed necessary by a MS CIP sector authority) should be carried out by the Member State in which the critical infrastructure is located. - Risk analysis and management The operator conducts and risk analysis concerning each critical point. - Security measur es The operator presents the security measures arranged around two headings: - Permanent security measures, which will identify indispensable security investment and means, which cannot be installed by the owner/operator in a hurry. The owner/operator will maintain a standing alertness against potential threats, which will not disturb its regular economic, administrative and social activities. This heading will include information concerning general measures; technical measures (including installation of detection, access control, protection and prevention means); organizational measures (including procedures for alerts and crisis management); control and verification measures; communication; awareness raising and training; and security of information systems. - Graduated security measures, which may be activated according to varying threat levels. The OSP will therefore foresee various security regimes adapted to possible threat levels existing in the Member State. - Presentation and application The operator will prepare detailed information sheets and instructions on how to react to various situations. - Monitoring and updating The operator sets out the relevant monitoring and updating mechanisms which will be used. [1] Z izjemo infrastrukture, povezane z obrambo. [2] Skupni znesek kreditov v proračunih za 2004 in 2005 je znašal 30 milijonov EUR. Za leto 2006 je Komisija predlagala znesek 24 milijonov EUR, ki ga preučuje proračunski organ. [3] Proračunski predlog Komisije za raziskovalne dejavnosti na področju varnosti in vesolja znotraj sedmega okvirnega programa za raziskave in tehnološki razvoj znaša 570 milijonov EUR (COM(2005)119 konč.).