23.12.2008   

SV

Europeiska unionens officiella tidning

L 345/75


RÅDETS DIREKTIV 2008/114/EG

av den 8 december 2008

om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna

(Text av betydelse för EES)

EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 308,

med beaktande av kommissionens förslag,

med beaktande av Europaparlamentets yttrande (1),

med beaktande av Europeiska centralbankens yttrande (2), och

av följande skäl:

(1)

Europeiska rådet uppmanade i juni 2004 till förberedelser för en övergripande strategi för förstärkt skydd av kritisk infrastruktur. Med anledning av detta antog kommissionen den 20 oktober 2004 meddelandet Skydd av viktig infrastruktur i kampen mot terrorismen med förslag om vad som skulle kunna förbättra de förebyggande åtgärderna, beredskapen och insatserna i Europa gentemot terrorattacker som drabbar kritisk infrastruktur.

(2)

Den 17 november 2005 antog kommissionen en grönbok om ett europeiskt program för skydd av kritisk infrastruktur, där det redovisas policyalternativ för inrättandet av programmet och nätverket för varningar om hot mot kritisk infrastruktur (Critical Infrastructure Warning Information Network, Ciwin). I reaktionerna på grönboken framhölls mervärdet av gemenskapsramar för skydd av kritisk infrastruktur. Behovet av att stärka kapaciteten att skydda kritisk infrastruktur i Europa och att bidra till att minska denna infrastrukturs sårbarheter erkändes. Vikten av att följa de centrala principerna om subsidiaritet, proportionalitet och komplementaritet samt av att föra dialog med berörda parter underströks.

(3)

I december 2005 uppmanade rådet (rättsliga och inrikes frågor) kommissionen att lägga fram ett förslag till europeiskt program för skydd av kritisk infrastruktur (Epcip) och beslutade att detta program generellt skulle vara inriktat på att möta alla typer av risker, även om terrorhot skulle ges högst prioritet. Enligt detta arbetssätt bör såväl hot som orsakas av människor som hot av teknisk karaktär och naturkatastrofer omfattas av processen för skydd av kritisk infrastruktur, även om terrorhotet bör tillmätas störst vikt.

(4)

I april 2007 antog rådet slutsatser om det europeiska programmet för skydd av kritisk infrastruktur, i vilket rådet upprepade att det ytterst är medlemsstaterna som bär ansvaret för att förvalta arrangemang kring skyddet av kritisk infrastruktur innanför de nationella gränserna, och välkomnade samtidigt kommissionens ansträngningar att utarbeta ett europeiskt förfarande för identifiering av, och klassificering som, europeisk kritisk infrastruktur samt för en bedömning av behovet att stärka skyddet av denna.

(5)

Detta direktiv utgör ett första steg i ett stegvist angreppssätt för att identifiera och genom klassificering utse europeisk kritisk infrastruktur och bedöma behovet att stärka skyddet av denna. Detta direktiv är därför inriktat på energi- och transportsektorerna och bör ses över för att göra en bedömning av dess konsekvenser och behovet att inkludera andra sektorer i dess tillämpningsområde, bl.a. informations- och kommunikationstekniksektorn.

(6)

Det yttersta ansvaret för skyddet av europeisk kritisk infrastruktur vilar på medlemsstaterna och infrastrukturens ägare/operatör.

(7)

Inom gemenskapen finns viss kritisk infrastruktur vars driftstörning eller förstörelse skulle få betydande gränsöverskridande konsekvenser. Detta kan omfatta gränsöverskridande och sektorsövergripande verkningar som följer av det ömsesidiga beroende som kännetecknar sammankopplad infrastruktur. Sådan europeisk kritisk infrastruktur bör identifieras och klassificeras genom ett gemensamt förfarande. Utvärderingen av säkerhetskraven för sådan infrastruktur bör ske i form av en minsta gemensamma nämnare. Bilaterala system för samarbete mellan medlemsstaterna på området skydd av kritisk infrastruktur utgör en väletablerad och effektiv metod för att hantera gränsöverskridande kritisk infrastruktur. Det europeiska programmet för skydd av kritisk infrastruktur bör bygga på sådant samarbete. Information rörande klassificeringen av en viss infrastruktur som europeisk kritisk infrastruktur bör sekretessbeläggas på lämplig nivå i enlighet med befintlig gemenskapslagstiftning och lagstiftning i medlemsstaterna.

(8)

Eftersom det inom vissa sektorer finns särskilda erfarenheter, specialkunskaper och krav med avseende på skyddet av kritisk infrastruktur bör gemenskapen vid utvecklingen och genomförandet av en strategi för skydd av sådan infrastruktur beakta särdragen inom olika sektorer och redan befintliga sektorsbaserade åtgärder, inbegripet sådana som redan vidtagits på gemenskapsnivå, nationell nivå eller regional nivå, samt i sådana fall där ägare/operatörer av kritisk infrastruktur redan ingått relevanta avtal om ömsesidigt stöd över nationsgränserna. Med tanke på den privata sektorns mycket viktiga roll när det gäller övervakning och hantering av risker, kontinuitetsplanering och återhämtning efter katastrofer, behöver gemenskapen uppmuntra till ett omfattande engagemang från den privata sektorn.

(9)

När det gäller energisektorn och särskilt metoder för produktion och överföring av el (dvs. elförsörjning) kan man, när så anses lämpligt, utgå från att i produktionen av el kan ingå kärnkraftsanläggningars delar för överföring av el, men inte de särskilda kärnkraftsaspekter som omfattas av relevant kärnkraftslagstiftning, inklusive fördrag och gemenskapslagstiftning.

(10)

Detta direktiv utgör ett komplement till de befintliga sektorsbestämmelserna på gemenskapsnivå och i medlemsstaterna. De gemenskapsmekanismer som redan införts bör fortsätta att utnyttjas och kommer att bidra till ett allmänt genomförande av detta direktiv. Överlappning med eller motsägelser mellan olika rättsakter eller bestämmelser bör undvikas.

(11)

Säkerhetsplaner för operatörer, eller motsvarande åtgärder som innebär en identifiering av viktiga anläggningar, en riskbedömning och identifiering, urval och prioritering av motåtgärder och förfaranden bör ingå i all genom klassificering utsedd europeisk kritisk infrastruktur. För att undvika onödigt arbete och dubbelarbete bör varje medlemsstat först bedöma om ägarna/operatörerna för utsedd europeisk kritisk infrastruktur innehar relevanta säkerhetsplaner för operatörer eller har vidtagit liknande åtgärder. Om sådana planer saknas bör varje medlemsstat vidta de steg som behövs för att säkerställa att lämpliga åtgärder införs. Det ankommer på varje medlemsstat att besluta om lämpligaste tillvägagångssätt när det gäller upprättandet av säkerhetsplaner för operatörer.

(12)

Åtgärder, principer och riktlinjer, inklusive gemenskapsåtgärder samt bilaterala och/eller multilaterala samarbetsprogram som innefattar en plan som liknar eller motsvarar en säkerhetsplan för operatörer eller en sambandsansvarig i säkerhetsfrågor, eller motsvarande, bör anses tillfredsställa kraven i detta direktiv vad avser en säkerhetsplan för operatörer respektive en sambandsansvarig i säkerhetsfrågor.

(13)

En sambandsansvarig i säkerhetsfrågor bör utses för all utsedd europeisk kritisk infrastruktur med uppgift att underlätta samarbete och kommunikation med berörda nationella myndigheter med ansvar för skydd av kritisk infrastruktur. För att undvika onödigt arbete och dubbelarbete bör varje medlemsstat först bedöma om ägarna/operatörerna av utsedd europeisk kritisk infrastruktur redan har en sambandsansvarig i säkerhetsfrågor eller motsvarande. Om det saknas en sambandsansvarig i säkerhetsfrågor bör varje medlemsstat vidta de steg som behövs för att säkerställa att det införs lämpliga åtgärder. Det ankommer på varje medlemsstat att besluta om det lämpligaste tillvägagångssättet när det gäller att utse en sambandsansvarig i säkerhetsfrågor.

(14)

En effektiv identifiering av risker, hot och sårbarheter inom enskilda sektorer kräver kommunikation mellan ägare/operatörer av europeisk kritisk infrastruktur och medlemsstaterna, liksom mellan medlemsstaterna och kommissionen. Varje medlemsstat bör samla in information om europeisk kritisk infrastruktur på sitt eget territorium. Kommissionen bör från medlemsstaterna få allmän information om risker, hot och sårbarheter inom de sektorer där europeisk kritisk infrastruktur har identifierats, där så är lämpligt även relevanta uppgifter om eventuella förbättringar av europeisk kritisk infrastruktur och om beroenden mellan olika sektorer, vilket skulle kunna vara ett underlag för specifika förslag från kommissionen om att vid behov förbättra skyddet av europeisk kritisk infrastruktur.

(15)

För att underlätta förbättringar av skyddet av europeisk kritisk infrastruktur kan det utvecklas gemensamma metoder för identifiering och klassificering av de risker, hot och sårbarheter som kan drabba infrastrukturanläggningar.

(16)

Ägare/operatörer av europeisk kritisk infrastruktur bör få tillgång till god praxis och metoder när det gäller skydd av kritisk infrastruktur, i första hand genom berörda myndigheter i medlemsstaterna.

(17)

För ett effektivt skydd av europeisk kritisk infrastruktur krävs kommunikation, samordning och samarbete på nationell nivå och gemenskapsnivå. Detta uppnås bäst genom att i varje medlemsstat inrätta kontaktpunkter för skydd av europeisk kritisk infrastruktur (Ecip-kontaktpunkter), vilka ska samordna frågor som rör skydd av europeisk kritisk infrastruktur, såväl nationellt som tillsammans med andra medlemsstater och kommissionen.

(18)

För att utveckla aktiviteter för skyddet av europeisk kritisk infrastruktur även på områden där det krävs en viss grad av sekretess, är det lämpligt att inom ramen för detta direktiv säkerställa ett sammanhängande och säkert informationsutbyte. Det är viktigt att bestämmelserna om sekretess enligt tillämplig nationell lagstiftning eller Europaparlamentet och rådets förordning (EG) nr 1049/2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (3) följs, när det gäller specifika uppgifter om delar av kritisk infrastruktur som skulle kunna användas till att planera och agera för att förorsaka oacceptabla följder för kritiska infrastrukturanläggningar. Sekretessbelagd information bör skyddas i enlighet med tillämplig gemenskapslagstiftning och medlemsstaternas lagstiftning. Varje medlemsstat och kommissionen bör respektera den relevanta säkerhetsklassificering som angivits av handlingens upphovsman.

(19)

Utbytet av information om europeisk kritisk infrastruktur bör ske i en anda av förtroende och säkerhet. Informationsutbytet förutsätter att företag och organisationer kan lita på att de känsliga och konfidentiella uppgifter de bidrar med skyddas på ett fullgott sätt.

(20)

Eftersom målen för detta direktiv, nämligen inrättandet av ett förfarande för identifiering av, och klassificering som, europeisk kritisk infrastruktur och en gemensam metod för bedömning av behovet att stärka skyddet av sådan infrastruktur, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför på grund av åtgärdens omfattning bättre kan uppnås på gemenskapsnivå, kan gemenskapen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(21)

Detta direktiv står i överensstämmelse med de grundläggande rättigheter och principer som erkänns särskilt i Europeiska unionens stadga om de grundläggande rättigheterna.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Syfte

Genom detta direktiv fastställs ett förfarande för identifiering av, och klassificering som, europeisk kritisk infrastruktur och en gemensam metod för bedömning av behovet att stärka skyddet av sådan infrastruktur för att bidra till att skydda människor.

Artikel 2

Definitioner

I detta direktiv gäller följande definitioner:

a)   kritisk infrastruktur: anläggningar, system eller delar av dessa belägna i medlemsstaterna som är nödvändiga för att upprätthålla centrala samhällsfunktioner, hälsa, säkerhet, trygghet och människors ekonomiska eller sociala välfärd och där driftsstörning eller förstörelse av dessa skulle få betydande konsekvenser i en medlemsstat till följd av att man inte lyckas upprätthålla dessa funktioner.

b)   europeisk kritisk infrastruktur: i medlemsstaterna belägen kritisk infrastruktur vars driftsstörning eller förstörelse skulle få betydande konsekvenser för minst två medlemsstater. Konsekvensernas omfattning ska bedömas utifrån sektorsövergripande kriterier. Detta inbegriper verkningar till följd av tvärsektoriella beroenden av andra typer av infrastruktur.

c)   riskanalys: övervägande av relevanta hotbilder, för att bedöma sårbarhet och potentiella konsekvenser av driftsstörning eller förstörelse av kritisk infrastruktur.

d)   känslig information om skydd av kritisk infrastruktur: uppgifter om kritisk infrastruktur som, om de avslöjas, skulle kunna användas till att planera och agera för att förorsaka driftsstörning eller förstörelse av kritisk infrastruktur.

e)   skydd: all verksamhet som syftar till att säkerställa funktion, kontinuitet och okränkbarhet hos kritisk infrastruktur, för att avskräcka, lindra och neutralisera ett hot, en risk eller sårbarhet.

f)   ägare/operatörer av europeisk kritisk infrastruktur: enheter med ansvar för investeringar i och/eller löpande drift av en särskild anläggning, ett särskilt system eller delar av dessa som utsetts som europeisk kritisk infrastruktur enligt detta direktiv.

Artikel 3

Identifiering av europeisk kritisk infrastruktur

1.   Enligt förfarandet i bilaga III ska varje medlemsstat identifiera sådan möjlig europeisk kritisk infrastruktur som både uppfyller sektorsövergripande och sektorsspecifika kriterier och motsvarar definitionerna i artikel 2 a och b.

Kommissionen får på medlemsstaternas begäran bistå dem med att identifiera möjlig europeisk kritisk infrastruktur.

Kommissionen får rikta berörda medlemsstaters uppmärksamhet på att det finns möjlig kritisk infrastruktur som kan anses uppfylla kraven för att klassificeras som europeisk kritisk infrastruktur.

Varje medlemsstat och kommissionen ska fortlöpande fortsätta identifieringen av möjlig europeisk kritisk infrastruktur.

2.   De sektorsövergripande kriterier som avses i punkt 1 ska bestå av följande:

a)

Kriterium avseende offer (bedöms vad avser potentiella antalet döda eller skadade).

b)

Kriterium avseende ekonomiska följder (bedöms vad avser den ekonomiska förlustens betydelse och/eller försämring av tillgången på varor eller tjänster, däribland potentiella följder för miljön).

c)

Kriterium avseende inverkan på allmänheten (bedöms vad avser inverkan på allmänhetens förtroende, fysiskt lidande och avbrott i det dagliga livet, däribland brist på grundläggande tjänster).

De sektorsövergripande kriteriernas tröskelvärden ska grunda sig på hur allvarliga konsekvenser som driftstörningen eller förstörelsen får för en särskild infrastruktur. De exakta tröskelvärden som ska tillämpas på de sektorsövergripande kriterierna ska fastställas från fall till fall av de medlemsstater som berörs av en särskild kritisk infrastruktur. Varje medlemsstat ska årligen underrätta kommissionen om antalet infrastrukturanläggningar per sektor för vilka det har hållits diskussioner kring de sektorsövergripande kriteriernas tröskelvärden.

De sektorsspecifika kriterierna ska ta hänsyn till utmärkande drag hos de enskilda sektorerna med europeisk kritisk infrastruktur.

Kommissionen ska tillsammans med medlemsstaterna utarbeta riktlinjer för tillämpningen av de övergripande och de sektorsspecifika kriterierna samt de ungefärliga tröskelvärden som ska användas för att identifiera europeisk kritisk infrastruktur. Kriterierna ska säkerhetsklassificeras. Användandet av sådana riktlinjer ska vara frivilligt för medlemsstaterna.

3.   De sektorer som är föremål för detta direktiv ska vara energi- och transportsektorerna. Undersektorerna finns angivna i bilaga I.

Om det anses lämpligt och i samband med översynen av detta direktiv enligt artikel 11, kan nya sektorer identifieras för genomförandet av detta direktiv. Informations- och kommunikationstekniksektorn ska prioriteras.

Artikel 4

Klassificering som europeisk kritisk infrastruktur

1.   Varje medlemsstat ska informera övriga medlemsstater som i hög grad kan påverkas av en möjlig europeisk kritisk infrastruktur om dess identitet och om orsakerna till att den genom klassificering utsetts som möjlig europeisk kritisk infrastruktur.

2.   Varje medlemsstat, på vars territorium en möjlig europeisk kritisk infrastruktur är belägen, ska delta i bilaterala och/eller multilaterala diskussioner med de övriga medlemsstater som kan komma att i hög grad beröras av den möjliga europeiska kritiska infrastrukturen. Kommissionen får delta i dessa diskussioner men ska inte ha tillgång till detaljerad information som skulle göra det möjligt att entydigt identifiera en specifik infrastruktur.

En medlemsstat som har skäl att anse att den i hög grad kan påverkas av en möjlig europeisk kritisk infrastruktur, men vilken inte har identifierats som sådan av den medlemsstat på vars territorium den möjliga kritiska infrastrukturen är belägen, kan informera kommissionen om sitt önskemål att delta i bilaterala och/eller multilaterala diskussioner i denna fråga. Kommissionen ska utan dröjsmål förmedla detta önskemål till den medlemsstat på vars territorium den möjliga europeiska kritiska infrastrukturen är belägen och söka underlätta en överenskommelse mellan parterna.

3.   Den medlemsstat, på vars territorium en möjlig europeisk kritisk infrastruktur är belägen, ska klassificera denna som en europeisk kritisk infrastruktur efter en överenskommelse mellan den medlemsstaten och de medlemsstater som kan komma att i hög grad beröras.

Det krävs ett godkännande av den medlemsstat, på vars territorium den infrastruktur som ska klassificeras som europeisk kritisk infrastruktur är belägen, för att klassificeringen ska kunna ske.

4.   Den medlemsstat, på vars territorium en utsedd europeisk kritisk infrastruktur är belägen, ska årligen informera kommissionen om antalet utsedda europeiska kritiska infrastrukturanläggningar per sektor och om antalet medlemsstater som är beroende av varje utsedd europeisk kritisk infrastruktur. Endast de medlemsstater som kan komma att i hög grad beröras av en europeisk kritisk infrastruktur ska känna till dess identitet.

5.   De medlemsstater, på vars territorium en europeisk kritisk infrastruktur är belägen, ska informera infrastrukturens ägare/operatör om dess klassificering som en europeisk kritisk infrastruktur. Information om klassificering av en infrastruktur som en europeisk kritisk infrastruktur ska sekretessbeläggas på lämplig nivå.

6.   Identifieringen av europeisk kritisk infrastruktur enligt artikel 3 och dess klassificering som sådan enligt den här artikeln ska vara avslutade senast den 12 januari 2011 och ska omprövas regelbundet.

Artikel 5

Säkerhetsplaner för operatörer

1.   Förfarandet för säkerhetsplaner för operatörer ska identifiera kritiska infrastrukturanläggningar i den europeiska kritiska infrastrukturen och vilka säkerhetslösningar som finns eller som håller på att genomföras för deras skydd. Det obligatoriska innehållet i säkerhetsplaner för operatörer framgår av förfarandet i bilaga II.

2.   Varje medlemsstat ska bedöma huruvida varje utsedd europeisk kritisk infrastruktur på det egna territoriet innehar en säkerhetsplan för operatörer, eller har infört motsvarande åtgärder, för att behandla de frågor som anges i bilaga II. Om en medlemsstat finner att det finns en sådan säkerhetsplan för operatörer, eller motsvarande, och den uppdateras regelbundet, krävs det inga ytterligare genomförandeåtgärder.

3.   Om en medlemsstat finner att en sådan säkerhetsplan för operatörer, eller motsvarande, inte har utarbetats, ska den genom lämpliga åtgärder se till att en sådan säkerhetsplan för operatörer, eller motsvarande, utarbetas och behandlar de frågor som anges i bilaga II.

Varje medlemsstat ska se till att säkerhetsplanen för operatörer, eller motsvarande, har införts och omprövas regelbundet inom ett år efter klassificeringen av den kritiska infrastrukturen som europeisk kritisk infrastruktur. I undantagsfall får denna period förlängas, genom överenskommelse med myndigheten i medlemsstaten och med en underrättelse till kommissionen.

4.   Om system för tillsyn eller övervakning redan finns när det gäller en europeisk kritisk infrastruktur, ska sådana system inte beröras av denna artikel, och den berörda myndighet i medlemsstaten som avses i denna artikel ska fungera som tillsynsmyndighet vad gäller dessa befintliga system.

5.   Förenlighet med åtgärder, inbegripet gemenskapsåtgärder, vilka, för en viss sektor, kräver, eller i vilka det hänvisas till behovet av att ha, en plan som liknar eller motsvarar en säkerhetsplan för operatörer och övervakning av en sådan plan av den berörda myndigheten, ska anses uppfylla samtliga de krav på medlemsstaterna som anges i denna artikel eller som har antagits i enlighet med densamma. De riktlinjer för tillämpningen som avses i artikel 3.2 ska innehålla en vägledande förteckning över sådana åtgärder.

Artikel 6

Sambandsansvariga i säkerhetsfrågor

1.   Den sambandsansvarige i säkerhetsfrågor ska fungera som kontaktpunkt för säkerhetsfrågor mellan ägaren/operatören av den europeiska kritiska infrastrukturen och medlemsstatens berörda myndighet.

2.   Varje medlemsstat ska bedöma huruvida varje utsedd europeisk kritisk infrastruktur som är belägen inom dess territorium har en sambandsansvarig i säkerhetsfrågor, eller motsvarande. Om en medlemsstat finner att det finns en sådan sambandsansvarig i säkerhetsfrågor, eller motsvarande, krävs det inga ytterligare genomförandeåtgärder.

3.   Om en medlemsstat finner att en sambandsansvarig i säkerhetsfrågor, eller motsvarande, saknas för en utsedd europeisk kritisk infrastruktur, ska den genom lämpliga åtgärder se till att det utses en sambandsansvarig i säkerhetsfrågor, eller motsvarande.

4.   Varje medlemsstat ska inrätta en lämplig kommunikationsmekanism mellan den berörda myndigheten i medlemsstaten och den sambandsansvarige i säkerhetsfrågor, eller motsvarande, för att utbyta relevant information avseende identifierade risker och hot som gäller den berörda europeiska kritiska infrastrukturen. Denna kommunikationsmekanism ska inte påverka de nationella kraven när det gäller tillgång till känsliga och sekretessbelagda uppgifter.

5.   Förenlighet med åtgärder, inbegripet gemenskapsåtgärder, vilka, för en viss sektor, kräver, eller i vilka det hänvisas till behovet av att ha, en sambandsansvarig i säkerhetsfrågor, eller motsvarande, ska anses uppfylla samtliga de krav på medlemsstaterna som anges i denna artikel eller som har antagits i enlighet med densamma. De riktlinjer för tillämpningen som avses i artikel 3.2 ska innehålla en vägledande förteckning över sådana åtgärder.

Artikel 7

Rapportering

1.   Varje medlemsstat ska genomföra en hotbildsbedömning avseende undersektorer med europeisk kritisk infrastruktur inom ett år efter det att kritisk infrastruktur på dess territorium klassificerats som europeisk kritisk infrastruktur inom dessa undersektorer.

2.   Varje medlemsstat ska med två års mellanrum till kommissionen kortfattat rapportera allmänna uppgifter, uppdelade efter sektor med europeisk kritisk infrastruktur, om de typer av risker, hot och sårbarheter som identifierats i de sektorer i vilka det i enlighet med artikel 4 har utsetts en europeisk kritisk infrastruktur på dess territorium.

En gemensam mall för rapporterna kan tas fram av kommissionen i samarbete med medlemsstaterna.

Varje rapport ska sekretessbeläggas på lämplig nivå enligt vad ursprungsmedlemsstaten anser nödvändigt.

3.   På grundval av de rapporter som avses i punkt 2 ska kommissionen och medlemsstaterna på sektorsbasis bedöma vilka ytterligare skyddsåtgärder på gemenskapsnivå som bör övervägas för europeisk kritisk infrastruktur. Denna process ska genomföras i samband med översynen av detta direktiv i enlighet med artikel 11.

4.   Gemensamma metodologiska riktlinjer för genomförande av riskanalyser avseende europeisk kritisk infrastruktur får utformas av kommissionen i samarbete med medlemsstaterna. Användandet av sådana riktlinjer ska vara frivilligt för medlemsstaterna.

Artikel 8

Stöd från kommissionen till europeisk kritisk infrastruktur

Kommissionen ska genom den behöriga myndigheten i medlemsstaterna stödja ägarna/operatörerna av utsedd europeisk kritisk infrastruktur genom att ge tillgång till den bästa praxis och de bästa metoder som står till buds samt genom att stödja utbildning och informationsutbyte om ny teknisk utveckling som har samband med skydd av kritisk infrastruktur.

Artikel 9

Känslig information om skydd av europeisk kritisk infrastruktur

1.   Varje person som på en medlemsstats eller på kommissionens vägnar hanterar sekretessbelagda uppgifter enligt detta direktiv ska ha genomgått säkerhetsprövning på lämplig nivå.

Medlemsstaterna, kommissionen och berörda tillsynsorgan ska se till att känslig information om skydd av europeisk kritisk infrastruktur som föreläggs medlemsstaterna eller kommissionen inte används för något annat syfte än för skydd av kritisk infrastruktur.

2.   Denna artikel ska även tillämpas på icke-skriftlig information som utbyts under möten där känsliga frågor diskuteras.

Artikel 10

Kontaktpunkter för skydd av europeisk kritisk infrastruktur

1.   Varje medlemsstat ska utse en kontaktpunkt för skydd av europeisk kritisk infrastruktur (”Ecip-kontaktpunkt”).

2.   Ecip-kontaktpunkten ska samordna frågor som rör skydd av europeisk kritisk infrastruktur inom medlemsstaten, med andra medlemsstater och med kommissionen. Att man utser en Ecip-kontaktpunkt hindrar inte att andra myndigheter i en medlemsstat deltar i behandlingen av frågor som rör europeisk kritisk infrastruktur.

Artikel 11

Översyn

En översyn av detta direktiv ska inledas den 12 januari 2012.

Artikel 12

Genomförande

Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa detta direktiv före den 12 januari 2011. De ska omedelbart informera kommissionen om detta och överlämna texten till de bestämmelserna samt förhållandet till detta direktiv.

När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

Artikel 13

Ikraftträdande

Detta direktiv träder i kraft den tjugonde dagen efter det att det offentliggjorts i Europeiska unionens officiella tidning.

Artikel 14

Adressater

Detta direktiv riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 8 december 2008.

På rådets vägnar

B. KOUCHNER

Ordförande


(1)  Yttrandet avgivet den 10 juli 2007 (ännu ej offentliggjort i EUT).

(2)  EUT C 116, 26.5.2007, s. 1.

(3)  EGT L 145, 31.5.2001, s. 43.


BILAGA I

Förteckning över sektorer med europeisk kritisk infrastruktur

Sektor

Undersektor

I

Energi

1.

El

Infrastruktur och anläggningar för produktion och överföring av el vad avser elförsörjning.

2.

Olja

Produktion, raffinering, rening och lagring av olja samt distribution av olja via pipelines.

3.

Gas

Produktion, raffinering, rening och lagring av gas samt distribution av gas via pipelines.

LNG-terminaler.

II

Transport

4.

Vägtransport

5.

Järnvägstransport

6.

Luftfart

7.

Transport på inre vattenvägar

8.

Havs- och närsjöfart samt hamntrafik

Medlemsstaterna ska i enlighet med artikel 3 identifiera sådan kritisk infrastruktur som kan klassificeras som europeisk kritisk infrastruktur. Förteckningen över sektorer med europeisk kritisk infrastruktur medför därför inte i sig någon allmän skyldighet att klassificera en europeisk kritisk infrastruktur för varje sektor.


BILAGA II

FÖRFARANDE FÖR FRAMTAGANDE AV SÄKERHETSPLANEN FÖR OPERATÖRER

Säkerhetsplanen för operatörer ska identifiera beståndsdelarna av den kritiska infrastrukturen och vilka säkerhetslösningar som finns eller som håller på att genomföras för deras skydd. Förfarandet för framtagande av säkerhetsplanen för operatörer ska minst omfatta följande:

1.

Identifiering av viktiga beståndsdelar.

2.

En riskanalys som bygger på de viktigaste hotbilderna, sårbarheten för varje beståndsdel och potentiella konsekvenser.

3.

Identifiering, urval och prioritering av motåtgärder och förfaranden med en uppdelning mellan följande:

Permanenta säkerhetsåtgärder, dvs. oumbärliga säkerhetsinvesteringar och resurser som är relevanta att använda vid alla tidpunkter. Rubriken ska innehålla information om allmänna åtgärder, t.ex. tekniska åtgärder (bl.a. installation av detektorer, tillträdeskontroll, skydd och förebyggande åtgärder), organisatoriska åtgärder (bl.a. förfaranden för varningar och krishantering), kontroll- och verifieringsåtgärder, kommunikation, medvetandegörande och utbildning samt informationssystemens säkerhet.

Graderade säkerhetsåtgärder, som kan aktiveras beroende på varierande risk- och hotnivåer.


BILAGA III

Förfarande för medlemsstaternas identifiering i enlighet med artikel 3 av kritisk infrastruktur som kan klassificeras som europeisk kritisk infrastruktur

Enligt artikel 3 ska varje medlemsstat identifiera kritisk infrastruktur som kan klassificeras som europeisk kritisk infrastruktur. Detta förfarande ska genomföras av varje medlemsstat genom nedan angivna på varandra följande steg.

Möjlig europeisk kritisk infrastruktur som inte uppfyller kraven i ett av nedan angivna på varandra följande steg ska anses vara ”icke europeisk kritisk infrastruktur” och ska uteslutas från förfarandet. Möjlig europeisk kritisk infrastruktur som uppfyller kraven ska vara föremål för nästa steg i detta förfarande.

Steg 1

Varje medlemsstat ska tillämpa de sektorsspecifika kriterierna för att göra ett första urval av kritisk infrastruktur inom en sektor.

Steg 2

Varje medlemsstat ska tillämpa definitionen av kritisk infrastruktur enligt artikel 2 a på en möjlig europeisk kritisk infrastruktur som identifierats enligt steg 1.

Hur allvarliga konsekvenserna är ska bestämmas antingen genom användning av nationella metoder för identifiering av kritisk infrastruktur eller med hänvisning till de sektorsövergripande kriterierna på en lämplig nationell nivå. För infrastruktur som tillhandahåller grundläggande tjänster ska tillgängliga alternativ och driftsstörningars längd/tid för återställande beaktas.

Steg 3

Varje medlemsstat ska tillämpa det gränsöverskridande elementet i definitionen av europeisk kritisk infrastruktur enligt artikel 2 b på en möjlig europeisk kritisk infrastruktur som uppfyller kraven enligt de två första stegen i detta förfarande. En möjlig europeisk kritisk infrastruktur som överensstämmer med definitionen ska följa nästa steg av förfarandet. För infrastruktur som tillhandahåller grundläggande tjänster ska tillgängliga alternativ och driftsstörningars längd/tid för återställande beaktas.

Steg 4

Varje medlemsstat ska tillämpa de sektorsövergripande kriterierna på återstående möjlig europeisk kritisk infrastruktur. De sektorsövergripande kriterierna ska beakta följande: hur allvarliga konsekvenserna är och, för infrastruktur som tillhandahåller grundläggande tjänster, om det finns tillgängliga alternativ samt driftstörningars längd/tid för återställande. En möjlig europeisk kritisk infrastruktur som inte uppfyller de sektorsövergripande kriterierna ska inte klassificeras som europeisk kritisk infrastruktur.

Möjlig europeisk kritisk infrastruktur som har genomgått detta förfarande ska endast meddelas de medlemsstater som kan komma att i hög grad beröras av den möjliga europeiska kritiska infrastrukturen.