(1)

I syfte att säkra den inre marknadens funktion ligger det i alla medlemsstaters och hela unionens intresse att tydligt identifiera och skydda relevant kritisk infrastruktur som tillhandahåller samhällsviktiga tjänster inom den marknaden, särskilt i nyckelsektorer såsom energi, digital infrastruktur, transport och rymden samt kritisk infrastruktur med stor gränsöverskridande betydelse (1) där störningar skulle kunna få en betydande inverkan på andra medlemsstater.

(2)

Denna rekommendation, som är en icke-bindande akt, visar medlemsstaternas politiska vilja att samarbeta och deras engagemang för de rekommenderade åtgärderna, vilket framhålls i en fempunktsplan som Europeiska kommissionens ordförande utfärdat, samtidigt som medlemsstaternas befogenheter respekteras fullt ut. Denna rekommendation påverkar inte skyddet av medlemsstaternas väsentliga intressen i fråga om nationell och allmän säkerhet eller försvar, och ingen medlemsstat bör förväntas lämna ut information som inverkar negativt på dessa intressen.

(3)

Det primära ansvaret för att säkerställa den kritiska infrastrukturens säkerhet och tillhandahållande av samhällsviktiga tjänster vilar på medlemsstaterna och deras operatörer av kritisk infrastruktur, men det är lämpligt med ökad samordning på unionsnivå, särskilt mot bakgrund av föränderliga hot som kan påverka flera medlemsstater samtidigt, såsom Rysslands anfallskrig mot Ukraina och hybridkampanjer mot medlemsstater, eller påverka motståndskraften och funktionen hos unionens ekonomi, inre marknad och samhälle som helhet. Särskild uppmärksamhet bör ägnas kritisk infrastruktur utanför medlemsstaternas territorium, såsom kritisk undervattensinfrastruktur eller infrastruktur för havsbaserad energi.

(4)

I sina slutsatser av den 20–21 oktober 2022 fördömde Europeiska rådet i starka ordalag sabotagen mot kritisk infrastruktur, till exempel mot Nord Stream-ledningarna, och förklarade att unionen kommer att bemöta varje avsiktlig störning av kritisk infrastruktur eller andra hybridåtgärder med enade och beslutsamma motåtgärder.

(5)

Med tanke på hur snabbt hotbilden förändras bör åtgärder för stärkt motståndskraft vidtas som en prioritet inom nyckelsektorer såsom energi, digital infrastruktur, transport och rymden och inom andra relevanta sektorer som medlemsstaterna identifierar. Sådana åtgärder bör inriktas på att stärka motståndskraften hos kritisk infrastruktur med beaktande av relevanta risker, särskilt kaskadeffekter, störningar i leveranskedjorna, beroende, klimatförändringarnas effekter, opålitliga leverantörer och partner samt hybridhot och hybridkampanjer, inbegripet utländsk informationsmanipulering och inblandning. Med tanke på de möjliga konsekvenserna vad gäller nationell kritisk infrastruktur bör prioritet ges åt kritisk infrastruktur med stor gränsöverskridande betydelse. Medlemsstaterna uppmanas att tillhandahålla sådana åtgärder för stärkt motståndskraft, när så är lämpligt och så snart som möjligt, och samtidigt bibehålla den strategi som anges i den framväxande rättsliga ramen.

(6)

Skyddet av europeisk kritisk infrastruktur inom energi- och transportsektorerna regleras för närvarande av rådets direktiv 2008/114/EG (2), och säkerheten i nätverks- och informationssystem i hela unionen med inriktning på cyberrelaterade hot säkerställs genom Europaparlamentets och rådets direktiv (EU) 2016/1148 (3). I syfte att säkerställa en högre gemensam nivå av motståndskraft och skydd avseende kritisk infrastruktur, cybersäkerhet och finansmarknaden ändras och kompletteras den befintliga rättsliga ramen genom antagandet av nya regler som är tillämpliga på kritiska entiteter (CER-direktivet), skärpta regler för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS 2-direktivet) och nya regler om digital operativ motståndskraft för finanssektorn (DORA-förordningen).

(7)

Medlemsstaterna bör, i enlighet med unionsrätten och nationell rätt, använda alla tillgängliga verktyg för att agera och bidra till att stärka den fysiska motståndskraften och cyberresiliensen. I detta avseende bör kritisk infrastruktur anses omfatta relevant kritisk infrastruktur som identifierats av en medlemsstat på nationell nivå eller som klassificerats som europeisk kritisk infrastruktur enligt direktiv 2008/114/EG samt kritiska entiteter som ska identifieras enligt CER-direktivet eller, i förekommande fall, entiteter som omfattas av NIS 2-direktivet. Begreppet ”motståndskraft” bör förstås som syftande på en kritisk infrastrukturs förmåga att förebygga, skydda mot, reagera på, stå emot, mildra, absorbera, anpassa sig till eller återhämta sig från händelser som innebär en betydande störning av, eller som skulle kunna leda till en betydande störning av, tillhandahållandet av samhällsviktiga tjänster på den inre marknaden, dvs. tjänster som är avgörande för upprätthållandet av centrala samhällsfunktioner och ekonomiska funktioner, den allmänna säkerheten och tryggheten, befolkningens hälsa och miljön.

(8)

Nationella experter bör sammankallas i syfte att samordna arbetet för att uppnå en högre gemensam nivå på motståndskraften hos och skyddet av kritisk infrastruktur, vilket ska ske med hjälp av de nya reglerna för kritiska entiteter. Detta samordnade arbete skulle möjliggöra samarbete mellan medlemsstater och informationsutbyte om verksamheter såsom utarbetande av metoder för att identifiera samhällsviktiga tjänster som tillhandahålls av kritisk infrastruktur. Kommissionen har redan börjat sammankalla dessa experter och underlätta deras arbete, och avser att fortsätta göra detta. När CER-direktivet har trätt i kraft, och en grupp för kritiska entiteters motståndskraft har inrättats inom ramen för det direktivet, bör denna grupp fortsätta med sådant föregripande arbete i enlighet med sina arbetsuppgifter.

(9)

Med tanke på den förändrade hotbilden bör möjligheterna att stresstesta kritisk infrastruktur på nationell nivå vidareutvecklas eftersom sådana tester skulle kunna vara användbara för att stärka motståndskraften hos kritisk infrastruktur. När det gäller energisektorns särskilda betydelse, och de unionsomfattande konsekvenser som eventuella störningar inom denna skulle få, skulle denna sektor kunna dra störst nytta av att stresstester genomförs på grundval av gemensamt överenskomna principer. Sådana stresstester faller under medlemsstaternas behörighet, och medlemsstaterna bör uppmuntra och stödja operatörer av kritisk infrastruktur så att de genomför sådana stresstester, om de bedöms vara till nytta och överensstämma med deras nationella rättsliga ramar.

(10)

För att säkerställa ett samordnat och ändamålsenligt svar på nuvarande och förväntade hot uppmanas kommissionen att ge ytterligare stöd till medlemsstaterna, särskilt genom att tillhandahålla relevant information i form av genomgångar, icke-bindande handböcker och vägledningar. Europeiska utrikestjänsten bör, särskilt genom EU:s underrättelse- och lägescentral och dess enhet för hybridhot, med stöd av Europeiska unionens militära stabs (EUMS) underrättelsedirektorat inom ramen för den gemensamma kapaciteten för underrättelseanalys (SIAC), tillhandahålla hotbildsbedömningar. Kommissionen uppmanas också att i samarbete med medlemsstaterna verka för att unionsfinansierade forsknings- och innovationsprojekt utnyttjas.

(11)

Genom det allt större ömsesidiga beroendet mellan fysisk och digital infrastruktur kan skadlig cyberverksamhet som riktar sig mot kritiska områden leda till störningar eller skador på fysisk infrastruktur, och sabotage av fysisk infrastruktur kan göra digitala tjänster otillgängliga. Medlemsstaterna uppmanas att påskynda det förberedande arbetet för att införliva och tillämpa den nya rättsliga ramen för kritiska entiteter och den stärkta rättsliga ramen för cybersäkerhet på grundval av erfarenheterna från den samarbetsgrupp som inrättats genom direktiv (EU) 2016/1148 (samarbetsgruppen för nät- och informationssäkerhet), så snart som möjligt och med beaktande av införlivandefristerna och av att sådant förberedande arbete bör fortskrida parallellt och samstämmigt.

(12)

Utöver att stärka beredskapen är det också viktigt att förbättra förmågan att reagera snabbt och ändamålsenligt vid en störning av samhällsviktiga tjänster som tillhandahålls av kritisk infrastruktur. Därför innehåller denna rekommendation åtgärder på både unionsnivå och nationell nivå, inbegripet genom att betona den stödjande roll och det mervärde som kan erhållas genom införande av förstärkt samarbete och informationsutbyte inom ramen för unionens civilskyddsmekanism, som inrättades genom Europaparlamentets och rådets beslut nr 1313/2013/EU (4), och användning av relevanta tillgångar i unionens rymdprogram, som inrättades genom Europaparlamentets och rådets förordning (EU) 2021/696 (5).

(13)

Kommissionen, unionens höga representant för utrikes frågor och säkerhetspolitik (den höga representanten) och samarbetsgruppen för nät- och informationssäkerhet ska i samarbete med relevanta civila och militära organ och byråer och etablerade nätverk, däribland Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), göra en riskbedömning och utarbeta riskscenarier. Som en uppföljning av den gemensamma uppmaningen från ministermötet i Nevers genomförs dessutom en sådan riskbedömning för närvarande av samarbetsgruppen för nät- och informationssäkerhet med stöd av kommissionen och Europeiska unionens cybersäkerhetsbyrå (Enisa) och i samarbete med Organet för europeiska regleringsmyndigheter för elektronisk kommunikation (Berec). Dessa två arbetsuppgifter kommer att vara samstämmiga och samordnas med arbetet med att utarbeta scenarier inom ramen för unionens civilskyddsmekanism, inbegripet cybersäkerhetshändelser och deras konkreta konsekvenser, som för närvarande håller på att utarbetas av kommissionen och medlemsstaterna. Av skäl som hänför sig till effektivitet, ändamålsenlighet och samstämmighet, och för en korrekt tillämpning av denna rekommendation, ska resultaten av detta arbete återspeglas på nationell nivå.

(14)

I syfte att omedelbart stärka beredskapen och kapaciteten att hantera en storskalig cybersäkerhetsincident har kommissionen inrättat ett kortsiktigt program för att stödja medlemsstaterna genom ytterligare anslag till Enisa. Till de tjänster som föreslås hör bland annat beredskapsåtgärder, såsom penetrationstester av entiteter för att upptäcka sårbarheter. Programmet kan även förbättra möjligheterna att bistå medlemsstaterna i händelse av en storskalig cybersäkerhetsincident som påverkar kritiska entiteter. Detta är ett första steg i linje med rådets slutsatser av den 23 maj 2022 om utvecklingen av Europeiska unionens arbete på cyberområdet (rådets slutsatser om EU:s arbete på cyberområdet), i vilka kommissionen uppmanades att lägga fram ett förslag om en fond för hantering av cybersäkerhetsincidenter. Medlemsstaterna bör dra full nytta av dessa möjligheter i enlighet med gällande krav och uppmanas att fortsätta med arbetet med unionens hantering av cyberkriser, i synnerhet genom att regelbundet övervaka och utvärdera framstegen med genomförandet av den färdplan för hantering av cyberkriser som nyligen utarbetats av rådet. Den färdplanen är ett levande dokument och bör vid behov ses över och uppdateras.

(15)

Globala undervattenskablar för kommunikation är av grundläggande betydelse för konnektiviteten globalt och inom EU. Den betydande längden på sådana kablar och det faktum att de är anlagda på havsbottnen gör det utomordentligt svårt att övervaka merparten av kabelnätets delar under vattnet. Den gemensamma jurisdiktionen och andra jurisdiktionsfrågor gällande sådana kablar är ett särskilt argument för europeiskt och internationellt samarbete när det gäller skydd och återställande av infrastruktur. Det är därför nödvändigt att komplettera pågående och planerade riskbedömningar av den digitala och fysiska infrastruktur som ligger till grund för digitala tjänster med särskilda riskbedömningar och alternativ när det gäller riskreducerande åtgärder inriktade på undervattenskablar. Medlemsstaterna uppmanar kommissionen att genomföra studier för ändamålet och informera medlemsstaterna om resultaten av dessa.

(16)

Energi- och transportsektorerna kan också påverkas av hot mot digital infrastruktur, till exempel då energiteknik innehåller digitala komponenter. Säkerheten i därmed sammanhängande leveranskedjor är viktig för kontinuiteten i tillhandahållandet av samhällsviktiga tjänster och för den strategiska kontrollen av kritisk infrastruktur inom energisektorn. Dessa omständigheter bör beaktas när åtgärder i enlighet med denna rekommendation vidtas för att stärka motståndskraften hos kritisk infrastruktur.

(17)

Den växande betydelse som rymdinfrastruktur, rymdrelaterade marktillgångar – inbegripet produktionsanläggningar – och rymdbaserade tjänster har för säkerhetsrelaterad verksamhet gör det mycket viktigt att säkerställa att unionens rymd och dess markbaserade tillgångar och tjänster är motståndskraftiga och skyddas inom EU. Av samma skäl är det också viktigt att, inom ramen för denna rekommendation, på ett mer strukturerat sätt dra nytta av de rymdbaserade data och tjänster som tillhandahålls av rymdsystem och rymdprogram för att övervaka, spåra och skydda kritisk infrastruktur inom andra sektorer. EU:s kommande rymdstrategi för säkerhet och försvar kommer i detta sammanhang att innehålla förslag till lämpliga åtgärder, vilka bör beaktas vid genomförandet av denna rekommendation.

(18)

Samarbete på internationell nivå behövs också för att på ett ändamålsenligt sätt hantera risker för kritisk infrastruktur, bland annat i internationella vatten. Medlemsstaterna uppmanas därför att samarbeta med kommissionen och den höga representanten för att vidta vissa åtgärder i riktning mot ett sådant samarbete, med beaktande av att sådana åtgärder bara får vidtas i enlighet med deras respektive uppgifter och ansvarsområden enligt unionsrätten, i synnerhet bestämmelserna i fördragen om yttre förbindelser.

(19)

Som fastställs i dess meddelande av den 15 februari 2022Kommissionens bidrag till det europeiska försvaret, till stöd för En strategisk kompass för säkerhet och försvar – För ett EU som skyddar sina medborgare, värden och intressen och bidrar till internationell fred och säkerhet kommer kommissionen att bedöma utgångsvärdena för sektorsspecifik hybridresiliens i samarbete med den höga representanten och medlemsstaterna genom att senast 2023 identifiera brister och behov samt vad som behöver göras för att åtgärda dem. Detta initiativ bör ligga till grund för arbetet inom ramen för denna rekommendation och bidra till att öka utbytet av information och samordningen av åtgärder som syftar till att stärka motståndskraften hos bland annat kritisk infrastruktur.

(20)

I EU:s strategi för sjöfartsskydd från 2014 och dess reviderade handlingsplan efterlystes ökat skydd för kritisk sjöfartsinfrastruktur, inbegripet undervattensinfrastruktur, och i synnerhet sjötransport-, energi- och kommunikationsinfrastruktur, bland annat genom en förbättrad maritim lägesbild genom ökad driftskompatibilitet och effektivare informationsutbyte (obligatoriskt och frivilligt). Den strategin och den handlingsplanen håller för närvarande på att uppdateras och kommer att innehålla stärkta åtgärder som syftar till att skydda kritisk sjöfartsinfrastruktur. Dessa åtgärder bör komplettera denna rekommendation.

(21)

En stärkt motståndskraft hos kritisk infrastruktur bidrar till bredare insatser för att motverka hybridhot och hybridkampanjer mot unionen och dess medlemsstater. Denna rekommendation bygger vidare på det gemensamma meddelandet till Europaparlamentet och rådet Gemensam ram för att motverka hybridhot – Europeiska unionens insatser. Åtgärd 1 i den gemensamma ramen, dvs. undersökning av risker i samband med hybridhot, spelar en viktig roll när det gäller att identifiera sårbarheter som kan påverka nationella och alleuropeiska strukturer och nätverk. Dessutom kommer genomförandet av rådets slutsatser av den 21 juni 2022 om en ram för en samordnad EU-reaktion på hybridkampanjer att möjliggöra en kraftfullare samordnad insats genom tillämpning av EU:s verktygslåda för hantering av hybridhot på alla berörda områden.

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

Dessa utsedda experter bör i sitt arbete ägna särskild uppmärksamhet åt sektorsövergripande beroenden och kritisk infrastruktur med stor gränsöverskridande betydelse, och arbetet bör följas upp av rådet och kommissionen när så är lämpligt.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.

30.

31.

32.

33.

34.

35.

36.

37.

38.