EUROPEISKA KOMMISSIONEN

Bryssel den 6.9.2023

COM(2023) 526 final

2023/0318(NLE)

Förslag till

RÅDETS REKOMMENDATION

om en plan för samordnade insatser på unionsnivå vid störningar av kritisk infrastruktur med stor gränsöverskridande betydelse

(Text av betydelse för EES)

MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

•Motiv och syfte med förslaget

I dagens geopolitiska läge som kännetecknas av ökande instabilitet, främst på grund av Rysslands anfallskrig mot Ukraina och allt mer komplexa säkerhetshot, och av klimatförändringseffekter såsom allt fler ovanliga klimathändelser och ökande vattenbrist, måste unionen förbli vaksam och ständigt anpassa sig. Enskilda, företag och myndigheter i unionen är beroende av kritisk infrastruktur 1 på grund av de samhällsviktiga tjänster som de entiteter som driver infrastrukturen tillhandahåller. Tjänsterna är avgörande för upprätthållandet av viktiga samhällsfunktioner, ekonomisk verksamhet, folkhälsa, allmän säkerhet och miljön och måste tillhandahållas obehindrat på den inre marknaden. På grund av dessa samhällsviktiga tjänsters betydelse för den inre marknaden och det resulterande behovet av att göra kritisk infrastruktur mer motståndskraftig och att mer allmänt se till att kritiska entiteter som tillhandahåller dessa tjänster är motståndskraftiga, måste unionen vidta åtgärder för att stärka denna motståndskraft och mildra eventuella avbrott i tillhandahållandet av sådana samhällsviktiga tjänster. Sådana avbrott kan annars få allvarliga konsekvenser för unionsinvånarna, våra ekonomier och förtroendet för våra demokratiska system och kan påverka den inre marknadens funktion, särskilt mot bakgrund av det ökande ömsesidiga beroendet mellan sektorer och över gränserna.

Unionen har redan vidtagit ett antal åtgärder för att bättre skydda den kritiska infrastrukturen, framför allt gränsöverskridande infrastruktur, och öka kritiska entiteters motståndskraft, i syfte att undvika eller mildra effekterna av avbrott i de samhällsviktiga tjänster som de tillhandahåller på den inre marknaden.

Direktiv 2008/114/EG om identifiering av, och klassificering som, europeisk kritisk infrastruktur 2 (ECI-direktivet) var det första rättsliga instrument som fastställde ett EU-omfattande förfarande för identifiering av och klassificering som europeisk kritisk infrastruktur och en gemensam unionsstrategi för att bedöma behovet av att förbättra skyddet av sådan infrastruktur mot både avsiktliga och oavsiktliga hot orsakade av människan och naturkatastrofer. Direktivet är dock enbart inriktat på energi- och transportsektorerna samt skyddet av kritisk infrastruktur och innehåller inga mer omfattande åtgärder för att öka motståndskraften hos de entiteter som driver sådan infrastruktur.

Då transaktioner på den inre marknaden blev alltmer sammankopplade och gränsöverskridande uppstod ett behov av att täcka fler än två sektorer och göra mer än att vidta skyddsåtgärder för enskilda tillgångar. År 2022 antogs därför direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft 3 (CER-direktivet) tillsammans med direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen 4 (NIS 2-direktivet). Syftet var att säkerställa en övergripande nivå av fysisk och digital motståndskraft för kritiska entiteter. CER-direktivet trädde i kraft den 16 januari 2023 och syftar till att hjälpa medlemsstaterna att öka kritiska entiteters övergripande motståndskraft och samtidigt stärka samordningen på unionsnivå. Det kommer att ersätta ECI-direktivet från och med den 18 oktober 2024, då medlemsstaterna senast måste ha vidtagit de åtgärder som krävs för att följa CER-direktivet. CER-direktivet är tillämpligt på elva sektorer 5 . Fokus utvidgas från skyddet av kritisk infrastruktur till det mer omfattande konceptet motståndskraft hos kritiska entiteter som driver sådan kritisk infrastruktur, så att hela processen före, under och efter en incident täcks in. NIS 2-direktivet trädde också i kraft den 16 januari 2023 och moderniserar den befintliga rättsliga ramen så att den anpassas till den ökade digitaliseringen och det föränderliga cyberhotlandskapet. NIS 2-direktivet utvidgar också tillämpningsområdet för cybersäkerhetsreglerna till nya sektorer och entiteter och förbättrar motståndskraften och incidenthanteringskapaciteten för offentliga och privata entiteter, behöriga myndigheter och unionen som helhet.

CER-direktivet innehåller bestämmelser om incidentanmälan från den kritiska entiteten till den nationella behöriga myndigheten, anmälan från den nationella behöriga myndigheten till andra (potentiellt) berörda medlemsstater och anmälan till kommissionen om incidenten påverkar sex eller flera medlemsstater. I CER-direktivet fastställs vissa skyldigheter att anmäla incidenter som har eller kan ha en betydande påverkan på kritiska entiteter och kontinuiteten i tillhandahållandet av samhällsviktiga tjänster till eller i en eller flera andra medlemsstater 6 .

Som sabotaget mot Nord Stream-gasledningarna i september 2022 visade har säkerhetssituationen för kritisk infrastruktur förändrats avsevärt, och ytterligare brådskande åtgärder behövs på unionsnivå för att stärka den kritiska infrastrukturens motståndskraft i fråga om såväl beredskap som samordnade insatser.

I detta sammanhang antog rådet på kommissionens förslag den 8 december 2022 en rekommendation om en unionsomfattande samordnad strategi för att stärka den kritiska infrastrukturens motståndskraft 7 (rekommendationen om den kritiska infrastrukturens motståndskraft). Den rekommendationen betonar bland annat behovet av att på unionsnivå säkerställa ett samordnat och ändamålsenligt svar på nuvarande och framtida risker för tillhandahållandet av samhällsviktiga tjänster. Mer specifikt uppmanade rådet kommissionen att utarbeta ”en plan för samordnade insatser vid störningar av kritisk infrastruktur med stor gränsöverskridande betydelse”. I rekommendationen nämns att planen bör vara samstämmig med EU-protokollet för att motverka hybridhot 8 , ta hänsyn till kommissionens rekommendation 2017/1584 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser 9 (cyberplanen) samt respektera arrangemangen för integrerad politisk krishantering 10 (IPCR).

Mot denna bakgrund innehåller detta förslag till ytterligare en rådsrekommendation en sådan plan. Förslaget syftar till att komplettera den nuvarande rättsliga ramen genom att beskriva de samordnade insatserna på unionsnivå när det gäller störningar av kritisk infrastruktur med stor gränsöverskridande betydelse samtidigt som befintliga unionsarrangemang används. Rent konkret beskriver förslaget planens tillämpningsområde och mål samt de aktörer, processer och befintliga verktyg som skulle kunna användas för att på unionsnivå samordnat reagera på en allvarlig incident avseende kritisk infrastruktur med betydande gränsöverskridande effekter. Förslaget beskriver också formerna för samarbete mellan medlemsstaterna och unionens institutioner, organ och byråer i sådana situationer.

•Förenlighet med befintliga bestämmelser inom området

Detta förslag till rådets rekommendation ligger i linje med och kompletterar den nuvarande rättsliga ramen för skydd av kritisk infrastruktur och kritiska entiteters motståndskraft – ECI-direktivet respektive CER-direktivet och rekommendationen om den kritiska infrastrukturens motståndskraft – eftersom det syftar till att på ett kompletterande sätt säkerställa samordningen mellan medlemsstaterna och mellan dem och unionens institutioner, organ och byråer när det gäller att hantera incidenter som orsakar störningar av kritisk infrastruktur med stor gränsöverskridande betydelse och tillhandahållandet av samhällsviktiga tjänster. Förslaget gör bruk av befintliga strukturer och mekanismer på unionsnivå, bland annat de som inrättats genom CER-direktivet, dvs. samarbetet mellan behöriga myndigheter och gruppen för kritiska entiteters motståndskraft, vilket är en grupp som inrättats genom CER-direktivet för att stödja kommissionen och underlätta samarbetet mellan medlemsstaterna och informationsutbytet i frågor som rör CER-direktivet.

Detta förslag till rådets rekommendation är också i linje med och ett komplement till den unionsram för cybersäkerhet som fastställs i NIS 2-direktivet.

Förslaget syftar till att på området kritiska entiteters motståndskraft och skydd av kritisk infrastruktur lägga fram en plan för kritisk infrastruktur liknande cyberplanen.

I del I punkt 4 b i bilagan förklaras också kopplingarna till cyberplanen, som är avsedd att användas vid storskaliga cyberincidenter som leder till störningar som är så omfattande att den berörda medlemsstaten inte kan hantera dem på egen hand, eller som påverkar två eller flera medlemsstater eller EU-institutioner och har så vidsträckta och betydande tekniska eller politiska konsekvenser att det krävs snabb politisk samordning och reaktion på EU-nivå. I NIS 2-direktivet definieras incident som ”en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem” (cyberincident).

Behöriga myndigheter enligt CER-direktivet och NIS 2-direktivet är skyldiga att samarbeta och utbyta information om cyberincidenter och incidenter som påverkar kritiska entiteter, även när det gäller relevanta åtgärder som vidtagits. I situationer där en betydande incident avseende kritisk infrastruktur och en storskalig cyberincident påverkar samma entitet bör de berörda aktörerna samordna sina möjliga insatser.

Förslaget är förenligt med EU-protokollet för att motverka hybridhot, som är tillämpligt vid hybridincidenter. I del I punkt 4 a i bilagan förklaras kopplingarna till EU-protokollet, till exempel vilket instrument som är tillämpligt vid en betydande incident avseende kritisk infrastruktur vilken har en hybriddimension. 

Förslaget är också samstämmigt med andra befintliga krishanteringsmekanismer på unionsnivå, som rådets IPCR-arrangemang, kommissionens interna krissamordningsprocess Argus 11 och unionens civilskyddsmekanism 12 , med stöd av dess centrum för samordning av katastrofberedskap (ERCC), samt Europeiska utrikestjänstens krishanteringsmekanism.

Förslaget är också förenligt med annan relevant sektorslagstiftning, i synnerhet de specifika åtgärder i denna som reglerar vissa aspekter av hur entiteter verksamma inom de berörda sektorerna hanterar störningar.

2.RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

•Subsidiaritetsprincipen (för icke-exklusiv befogenhet)

•Proportionalitetsprincipen

Detta förslag är förenligt med subsidiaritetsprincipen i artikel 5.4 i fördraget om Europeiska unionen (EU-fördraget).

Varken innehållet i eller utformningen av denna föreslagna rådsrekommendation går utöver vad som är nödvändigt för att uppnå målen. De åtgärder som föreslås står i proportion till de eftersträvade målen, som är inriktade på att säkerställa samordnade insatser på unionsnivå vid störningar med stor gränsöverskridande betydelse av kritisk infrastruktur eller av de tjänster som tillhandahålls av de kritiska entiteter som driver den kritiska infrastrukturen. Dessa föreslagna samordnade insatser står i proportion till medlemsstaternas befogenheter och skyldigheter enligt nationell lagstiftning. Incidenter som stör kritisk infrastruktur eller kritiska entiteters tillhandahållande av samhällsviktiga tjänster faller ofta under gränsen för att betecknas som en betydande incident avseende kritisk infrastruktur och kan hanteras ändamålsenligt på nationell nivå. Användningen av den mekanism som föreskrivs i detta förslag är därför begränsad till större störningar som har en stor gränsöverskridande betydelse och påverkar flera medlemsstater.

•Val av instrument

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Samråd med berörda parter

Vid utarbetandet av detta förslag rådfrågades medlemsstaterna och unionens institutioner och byråer. Dessutom beaktades de synpunkter som medlemsstaternas experter framförde både vid ett seminarium den 24 april 2023 och skriftligen efteråt.

Överlag rådde enighet om att det i det rådande hotläget vore bra med mer samordning av insatserna på unionsnivå vid störningar av kritisk infrastruktur med stor gränsöverskridande betydelse, samtidigt som medlemsstaternas befogenhet på detta område och sekretessen för känslig information respekteras. Man var även överens om behovet av att undvika dubblering av instrument och utnyttja befintliga unionsmekanismer för samordning, informationsutbyte och insatser.

Vissa medlemsstater ställde sig positiva till det bredare tillämpningsområdet för planen för kritisk infrastruktur, medan andra ansåg att CER-direktivets gräns på sex eller fler medlemsstater för identifiering av kritiska entiteter av särskild europeisk betydelse var tillräcklig och att det inte var nödvändigt att ta med en andra typ av incident i tillämpningsområdet. Några medlemsstater påpekade vikten av att i tillämpliga fall involvera operatörer av kritisk infrastruktur som tillhandahåller samhällsviktiga tjänster på grund av deras sakkunskap och vikten av att beakta cyberdimensionen.

•Ingående redogörelse för de specifika bestämmelserna i förslaget

Förslaget till rådets rekommendation består av en huvuddel och en bilaga.

Huvuddelen består av följande elva punkter:

I punkt 1 anges behovet av ökat samarbete när det gäller hanteringen av betydande incidenter avseende kritisk infrastruktur i enlighet med den plan för kritisk infrastruktur som ingår i detta förslag till rekommendation, inbegripet de relevanta delarna av dess bilaga.

I punkt 2 fastställs tillämpningsområdet för planen för kritisk infrastruktur, som avser två typer av störningar som skulle utlösa tillämpningen av planen för kritisk infrastruktur: incidenten har antingen en betydande störande effekt på tillhandahållandet av samhällsviktiga tjänster till eller i sex eller fler medlemsstater eller en betydande störande effekt i två eller flera medlemsstater och berörda aktörer som nämns i punkten är överens om att det behövs samordning på unionsnivå på grund av incidentens betydande inverkan.

Punkt 3 handlar om identifiering av de berörda aktörer som ska delta i planen för kritisk infrastruktur och de nivåer på vilka planen för kritisk infrastruktur kommer att fungera (operativ, strategisk/politisk). Detta förklaras närmare i bilagan till rekommendationen.

I punkt 4 rekommenderas att planen för kritisk infrastruktur tillämpas tillsammans med andra relevanta instrument, vilket beskrivs i bilagan.

I punkt 5 rekommenderas medlemsstaterna att på nationell nivå ändamålsenligt hantera betydande störningar av kritisk infrastruktur.

I punkt 6 rekommenderas att berörda aktörer inrättar eller utser kontaktpunkter som bör stödja användningen av planen för kritisk infrastruktur. Om möjligt bör dessa kontaktpunkter vara desamma som de gemensamma kontaktpunkterna enligt CER-direktivet.

Punkt 7 avser informationsflödet i händelse av en betydande incident avseende kritisk infrastruktur.

I punkt 8 vidareutvecklas hur informationsutbytet bör gå till.

I punkt 9 rekommenderas att man genom övningar testar hur planen för kritisk infrastruktur fungerar.

I punkt 10 rekommenderas att lärdomar diskuteras i gruppen för kritiska entiteters motståndskraft, som bör utarbeta en rapport med rekommendationer. Rapporten bör antas av kommissionen.

I punkt 11 rekommenderas medlemsstaterna att diskutera rapporten i rådet.

I bilagan beskrivs mål, principer, huvudaktörer, samspelet med befintliga krishanteringsmekanismer och hur planen för kritisk infrastruktur ska fungera med dess två samarbetsformer, dvs. informationsutbytet och insatserna.

2023/0318 (NLE)

Förslag till

RÅDETS REKOMMENDATION

om en plan för samordnade insatser på unionsnivå vid störningar av kritisk infrastruktur med stor gränsöverskridande betydelse

(Text av betydelse för EES)

EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA REKOMMENDATION

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 114 och 292,

med beaktande av Europeiska kommissionens förslag, och

av följande skäl:

(1)För att den inre marknaden och samhället som helhet ska fungera väl måste vi kunna förlita oss på motståndskraftig kritisk infrastruktur och motståndskraftiga kritiska entiteter som tillhandahåller tjänster som är avgörande för upprätthållandet av centrala samhällsfunktioner, ekonomisk verksamhet, folkhälsa, allmän säkerhet och miljön.

(2)I dagens föränderliga risklandskap och mot bakgrund av det allt större ömsesidiga beroendet mellan infrastruktur och sektorer och, mer allmänt, kopplingarna mellan sektorer och över gränser, finns det ett behov av att på ett övergripande och samordnat sätt ta itu med och förbättra skyddet av kritisk infrastruktur och motståndskraften hos kritiska entiteter som driver sådan infrastruktur.

(3)En incident som stör kritisk infrastruktur och därigenom omöjliggör eller allvarligt hämmar tillhandahållandet av samhällsviktiga tjänster kan få betydande gränsöverskridande effekter och inverka negativt på den inre marknaden. För att säkerställa ett riktat, proportionellt och ändamålsenligt tillvägagångssätt bör åtgärder vidtas för att i synnerhet hantera betydande incidenter avseende kritisk infrastruktur, enligt definitionen i denna rekommendation, som till exempel omfattar situationer där den störning som orsakas av incidenten varar länge eller kan få betydande kaskadeffekter inom samma eller andra sektorer eller medlemsstater.

(4)Samordnade insatser vid betydande incidenter avseende kritisk infrastruktur är avgörande för att undvika större störningar på den inre marknaden och för att säkerställa att tillhandahållandet av dessa samhällsviktiga tjänster återställs så snart som möjligt, eftersom sådana incidenter kan få allvarliga konsekvenser för ekonomin och invånarna i unionen. Snabb och ändamålsenlig hantering på unionsnivå av sådana incidenter kräver ändamålsenligt samarbete med kort varsel mellan alla berörda aktörer och samordnade åtgärder som stöds av unionen. En sådan hantering förutsätter därför att det finns på förhand fastställda och i möjligaste mån beprövade samarbetsförfaranden och samarbetsmekanismer, med angivna roller och ansvarsområden för de viktigaste aktörerna på nationell nivå och unionsnivå.

(5)Huvudansvaret för att säkerställa hantering av betydande incidenter avseende kritisk infrastruktur ligger hos medlemsstaterna och de entiteter som driver kritisk infrastruktur och tillhandahåller samhällsviktiga tjänster, men det är lämpligt med ökad samordning på unionsnivå vid störningar med stor gränsöverskridande betydelse. Snabba och ändamålsenliga insatser kräver inte bara att medlemsstaterna sätter in nationella mekanismer, utan även att samordnade åtgärder vidtas med unionsstöd, vilket inbegriper relevant samarbete på ett ändamålsenligt sätt med kort varsel.

(6)Skyddet av europeisk kritisk infrastruktur regleras för närvarande genom rådets direktiv 2008/114/EG 13 , som endast omfattar två sektorer, dvs. transport och energi. I det direktivet fastställs ett förfarande för identifiering av och klassificering som europeisk kritisk infrastruktur och en gemensam metod för bedömning av behovet att stärka skyddet av sådan infrastruktur. Det är hörnstenen i det europeiska programmet för skydd av kritisk infrastruktur 14 , som antogs av kommissionen 2006 som en europeisk allriskram för skydd av kritisk infrastruktur.

(7)För att åstadkomma mer än skyddet av kritisk infrastruktur och på bredare front säkerställa motståndskraften hos kritiska entiteter vilka driver sådan infrastruktur som tillhandahåller samhällsviktiga tjänster på den inre marknaden kommer Europaparlamentets och rådets direktiv (EU) 2022/2557 15 att ersätta direktiv 2008/114/EG från och med den 18 oktober 2024. Direktiv (EU) 2022/2557 omfattar elva sektorer och föreskriver skyldigheter för medlemsstater och kritiska entiteter att vidta åtgärder för att stärka motståndskraften, samarbete mellan medlemsstaterna och med kommissionen samt stöd från kommissionen till nationella myndigheter och kritiska entiteter och stöd från medlemsstaterna till de kritiska entiteterna.

(8)Efter sabotaget av Nord Stream-gasledningarna finns det ett behov av fler åtgärder på unionsnivå för att öka den kritiska infrastrukturens motståndskraft. Därför antog rådet, på förslag av kommissionen, en rekommendation om en unionsomfattande samordnad strategi för att stärka den kritiska infrastrukturens motståndskraft 16 (rekommendation 2023/C 20/01), som syftar till att förbättra beredskapen, insatserna och det internationella samarbetet på detta område. I rekommendationen betonades särskilt behovet av att på unionsnivå säkerställa ett samordnat och ändamålsenligt svar på risker för tillhandahållandet av samhällsviktiga tjänster.

(9)Det är därför nödvändigt att komplettera den befintliga rättsliga ramen med ytterligare en rådsrekommendation om fastställande av en plan för samordnade insatser vid störningar av kritisk infrastruktur med stor gränsöverskridande betydelse (planen för kritisk infrastruktur), samtidigt som befintliga unionsarrangemang används.

(10)Denna rekommendation bör anpassas till rekommendation 2023/C 20/01 för att säkerställa konsekvens och undvika dubblering. Denna rekommendation bör därför inte i sig omfatta övriga inslag i krishanteringens livscykel, dvs. förebyggande, beredskap och återhämtning.

(11)Denna rekommendation bör komplettera direktiv (EU) 2022/2557, särskilt när det gäller samordnade insatser, och bör genomföras samtidigt som överensstämmelse säkerställs med det direktivet och andra tillämpliga regler i unionsrätten. Denna rekommendation bör därför också bygga på och i möjligaste mån använda begreppen, verktygen och processerna i det direktivet, såsom gruppen för kritiska entiteters motståndskraft, som agerar inom ramen för sina uppgifter enligt det direktivet, och kontaktpunkter. Dessutom bör begreppet ”kritisk infrastruktur” som används i denna rekommendation förstås på samma sätt som i skäl 7 i rekommendation 2023/C 20/01, dvs. omfattande relevant kritisk infrastruktur som identifierats av en medlemsstat på nationell nivå eller som klassificerats som europeisk kritisk infrastruktur enligt direktiv 2008/114/EG samt kritiska entiteter som ska identifieras enligt direktiv (EU) 2022/2557. För att säkerställa överensstämmelse med direktiv (EU) 2022/2557 bör de begrepp som används i denna rekommendation därför tolkas som att de har samma innebörd som i det direktivet. Exempelvis bör begreppet ”motståndskraft”, som definieras i artikel 2.2 i det direktivet, också förstås som syftande på en kritisk infrastrukturs förmåga att förebygga, skydda mot, reagera på, stå emot, begränsa, absorbera, anpassa sig till eller återhämta sig från händelser som innebär en betydande störning av, eller som skulle kunna leda till en betydande störning av, tillhandahållandet av samhällsviktiga tjänster på den inre marknaden, dvs. tjänster som är avgörande för upprätthållandet av centrala samhällsfunktioner och ekonomiska funktioner, den allmänna säkerheten och tryggheten, befolkningens hälsa och miljön.

(12)Dessutom bör begreppet ”betydande störande effekt” förstås mot bakgrund av kriterierna i artikel 7.1 i direktiv (EU) 2022/2557, som avser följande: i) Antalet användare som är beroende av den samhällsviktiga tjänst som den berörda entiteten tillhandahåller. ii) Den grad till vilken andra sektorer och undersektorer som anges i bilagan till direktivet är beroende av den samhällsviktiga tjänsten i fråga. iii) Vilken effekt incidenter skulle kunna ha på ekonomisk och samhällelig verksamhet, miljön, den allmänna säkerheten och tryggheten eller befolkningens hälsa, uttryckt i grad och varaktighet. iv) Entitetens marknadsandel på marknaden för den eller de berörda samhällsviktiga tjänsterna. v) Det geografiska område som skulle kunna påverkas av en incident, inbegripet eventuella gränsöverskridande konsekvenser, med beaktande av den sårbarhet som är förknippad med graden av isolering för vissa typer av geografiska områden, såsom öregioner, avlägsna områden eller bergsområden. vi) Entitetens betydelse för upprätthållandet av en tillräcklig nivå på den samhällsviktiga tjänsten, med beaktande av tillgången till alternativa sätt att tillhandahålla den samhällsviktiga tjänsten på.

(13)För att uppnå effektivitet och ändamålsenlighet bör planen för kritisk infrastruktur vara helt samstämmig och driftskompatibel med unionens reviderade operativa protokoll för att motverka hybridhot 17 och ta hänsyn till den befintliga planen för samordnade insatser vid storskaliga gränsöverskridande cyberincidenter och cyberkriser i kommissionens rekommendation (EU) 2017/1584 18 (cyberplanen) och det mandat för Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) som fastställs i Europaparlamentets och rådets direktiv (EU) 2022/2555 19 samt undvika överlappning av strukturer och verksamheter. Den bör också fullt ut respektera rådets arrangemang för integrerad politisk krishantering 20 (IPCR) för samordningen av insatserna.

(14)Denna rekommendation bygger på samt är mer allmänt förenlig med och kompletterar unionens etablerade krishanteringsmekanismer, särskilt rådets IPCR-arrangemang, kommissionens interna krissamordningsprocess Argus 21 och unionens civilskyddsmekanism 22 , som stöds av centrumet för samordning av katastrofberedskap (ERCC) 23 , Europeiska utrikestjänstens krishanteringsmekanism samt krisinstrumentet för den inre marknaden 24 , vilka alla kan spela en roll när det gäller att hantera mer omfattande störningar i den kritiska infrastrukturens funktion.

(15)Ovannämnda verktyg eller mekanismer på unionsnivå kan användas för att hantera en betydande incident avseende kritisk infrastruktur i enlighet med tillämpliga regler och förfaranden, som denna rekommendation bör komplettera men inte påverka. Exempelvis är rådets IPCR-arrangemang fortfarande det främsta verktyget för medlemsstaternas samordning av insatser på politisk unionsnivå. Intern samordning inom kommissionen sker inom ramen för Argus sektorsövergripande krissamordningsprocess. Om krisen är av ett sådant slag att den yttre politiken eller den gemensamma säkerhets- och försvarspolitiken (GSFP) berörs kan den Europeiska utrikestjänstens krishanteringsmekanism användas. I enlighet med beslut nr 1313/2013/EU om en civilskyddsmekanism för unionen organiseras operativa insatser inom ramen för civilskyddsmekanismen vid faktiska eller nära förestående naturkatastrofer och katastrofer orsakade av människan inom och utanför unionen (även sådana som påverkar kritisk infrastruktur) av ERCC, kommissionens samlade operativa krishanteringscentrum med beredskap dygnet runt. I sådana situationer kan ERCC ge tidig varning, underrättelse och analys och stöder informationsutbyte och, om en medlemsstat aktiverar civilskyddsmekanismen, utplacering av operativt stöd och experter i drabbade områden. Dessutom kan ERCC underlätta sektoriell och sektorsövergripande samordning både på EU-nivå och mellan EU och relevanta nationella myndigheter, bland annat sådana som ansvarar för civilskydd och den kritiska infrastrukturens motståndskraft.

(16)De processer som fastställs i denna rekommendation bör i tillämpliga fall övervägas i samband med att dessa andra verktyg eller mekanismer används, men rekommendationen bör också beskriva åtgärder som skulle kunna vidtas på unionsnivå i fråga om gemensam situationsmedvetenhet, samordnad kommunikation till allmänheten och effektiva insatser i situationer där dessa unionsmekanismer för krissamordning inte används.

(17)För att bättre samordna insatserna vid betydande incidenter avseende kritisk infrastruktur bör samarbetet mellan medlemsstaterna och unionens institutioner och berörda organ och byråer förbättras genom befintliga arrangemang, i enlighet med planen för kritisk infrastruktur. Planen för kritisk infrastruktur bör därför vara tillämplig när den gräns på sex eller fler medlemsstater som föreskrivs i direktiv (EU) 2022/2557 för identifiering av kritiska entiteter av särskild europeisk betydelse är uppnådd, men också när incidenter som påverkar ett mindre antal medlemsstater inträffar eftersom sådana incidenter kan få vidsträckta konsekvenser på grund av kaskadeffekter över gränserna, varför unionssamordning av insatserna skulle vara till nytta.

(18)Även om en samarbetsram på unionsnivå för samordnade insatser vid betydande incidenter avseende kritisk infrastruktur anses nödvändig bör den inte avleda kritiska entiteters och behöriga myndigheters resurser från incidenthantering, vilket är något som bör prioriteras.

(19)De relevanta aktörer som deltar i genomförandet av planen för kritisk infrastruktur bör tydligt fastställas, så att det finns en tydlig och heltäckande översikt över de institutioner, organ, kontor, byråer och myndigheter som skulle kunna göra insatser vid en betydande incident avseende kritisk infrastruktur.

(20)Det är främst medlemsstaternas behöriga myndigheter som ansvarar för hanteringen av incidenter avseende kritisk infrastruktur, även betydande incidenter. Denna rekommendation bör inte påverka medlemsstaternas ansvar för nationell säkerhet och försvar eller deras befogenhet att skydda andra väsentliga statliga funktioner, i enlighet med unionsrätten, särskilt när det gäller allmän säkerhet, territoriell integritet och upprätthållande av lag och ordning. Denna rekommendation bör heller inte påverka nationella processer, såsom kommunikation och samverkan mellan operatörer av kritisk infrastruktur och behöriga nationella myndigheter. Denna rekommendation bör tillämpas utan att det påverkar relevanta bilaterala eller multilaterala överenskommelser som ingåtts mellan medlemsstaterna.

(21)För ett ändamålsenligt och snabbt samarbete inom ramen för planen för kritisk infrastruktur är det viktigt att berörda aktörer utser eller inrättar kontaktpunkter. För att säkerställa samstämmighet bör medlemsstaterna överväga möjligheten att som kontaktpunkter utsedda eller inrättade inom denna ram ha de gemensamma kontaktpunkter som ska utses eller inrättas inom ramen för direktiv (EU) 2022/2557.

(22)Av effektivitetsskäl bör testning och övning av planen för kritisk infrastruktur, samt rapportering och diskussioner om erfarenheterna av den, vara ett viktigt inslag i upprätthållandet av en hög beredskapsnivå i händelse av betydande incidenter avseende kritisk infrastruktur och av säkerställandet av förmågan att tillhandahålla snabba och väl samordnade insatser, med deltagande av berörda aktörer.

(23)Med tanke på hur rådets krissamordningsmekanism IPCR är uppbyggd, och mer allmänt med hänsyn till den potentiella aktiveringen av de krissamordningsmekanismer som redan finns på unionsnivå, bör planen för kritisk infrastruktur omfatta två samarbetsformer för att hantera en betydande incident avseende kritisk infrastruktur. Den första formen bör bestå av informationsutbyte mellan alla berörda aktörer, samordning av kommunikation till allmänheten och, om de används, samordning via redan befintliga mekanismer såsom IPCR-arrangemangen i rådet eller Argus-samordning inom kommissionen, med stöd av ERCC som operativ kontaktpunkt dygnet runt, och utrikestjänstens krishanteringsmekanism. Den andra bör omfatta ytterligare insatser på grund av incidentens omfattning. Detta samarbete bör inbegripa engagemang på operativ och strategisk/politisk nivå, motsvarande nivåerna i rekommendation 2017/1584 och EU-protokollet för att motverka hybridhot, i syfte att samordna åtgärder och hantera den betydande incidenten avseende kritisk infrastruktur på ett effektivt och ändamålsenligt sätt. På grundval av principerna om proportionalitet, subsidiaritet, informationssekretess och komplementaritet och för att säkerställa effektivt samarbete bör planen för kritisk infrastruktur beskriva hur de relevanta aktörerna delar situationsmedvetenhet och hur samordnad kommunikation till allmänheten och effektiva insatser ombesörjs.

(24)Informationsutbytet enligt denna rekommendation bör skötas utan att äventyra den nationella säkerheten eller säkerhetsintressen och kommersiella intressen för entiteter som driver kritisk infrastruktur. Därför bör känslig information inhämtas, utbytas och hanteras med försiktighet, i enlighet med tillämpliga regler och med särskild hänsyn till de överföringskanaler och den lagringskapacitet som används.

HÄRIGENOM REKOMMENDERAS FÖLJANDE.

(1)Medlemsstaterna, rådet, kommissionen och, i tillämpliga fall, Europeiska utrikestjänsten och relevanta unionsorgan och unionsbyråer bör samarbeta med varandra inom ramen för den plan för kritisk infrastruktur som ingår i denna rekommendation, för att uppnå de mål som anges i del I punkt 1 i bilagan och, med beaktande av principerna i del I punkt 2 i bilagan, göra samordnade insatser vid betydande incidenter avseende kritisk infrastruktur.

(2)Medlemsstaterna, rådet, kommissionen och, i tillämpliga fall, utrikestjänsten och relevanta unionsorgan och unionsbyråer bör tillämpa planen för kritisk infrastruktur utan dröjsmål närhelst det inträffar en betydande incident avseende kritisk infrastruktur, dvs. en incident som inbegriper kritisk infrastruktur och som har någon av följande effekter:

(a)En betydande störande effekt på tillhandahållandet av samhällsviktiga tjänster till eller i sex eller fler medlemsstater, inbegripet när den påverkar en kritisk entitet av särskild europeisk betydelse i den mening som avses i artikel 17 i direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft 25 .

(b)En betydande störande effekt på tillhandahållandet av samhällsviktiga tjänster i två eller flera medlemsstater, om den medlemsstat som innehar det roterande ordförandeskapet i rådet, i samförstånd med dessa andra medlemsstater och i samråd med kommissionen, anser att det krävs en snabb samordning av insatserna på unionsnivå på grund av incidentens vidsträckta och betydande tekniska eller politiska konsekvenser.

(3)De berörda aktörerna i planen för kritisk infrastruktur, som fastställts på operativ och strategisk/politisk nivå i enlighet med del I punkt 3 i bilagan, bör sträva efter att samverka och samarbeta för att komplettera varandras insatser. De bör säkerställa ett lämpligt och snabbt informationsutbyte, inbegripet samordning av kommunikation till allmänheten, och samordnade insatser i enlighet med del II i bilagan.

(4)Planen för kritisk infrastruktur bör tillämpas med beaktande av och i överensstämmelse med andra relevanta instrument, i enlighet med del I punkt 4 i bilagan. Om en incident påverkar både fysiska aspekter och cybersäkerheten för kritisk infrastruktur bör synergier med relevanta processer i cyberplanen säkerställas.

(5)Medlemsstaterna bör säkerställa att de på nationell nivå och i enlighet med unionsrätten effektivt hanterar störningar av kritisk infrastruktur vid betydande incidenter avseende kritisk infrastruktur.

(6)Medlemsstaterna, rådet, utrikestjänsten, Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och andra berörda unionsbyråer bör, liksom kommissionen, utse eller inrätta en kontaktpunkt för frågor som rör planen för kritisk infrastruktur. Kontaktpunkterna bör stödja tillämpningen av planen för kritisk infrastruktur genom att tillhandahålla nödvändig information och underlätta samordningsåtgärder vid hantering av en betydande incident avseende kritisk infrastruktur. För medlemsstaterna bör dessa kontaktpunkter om möjligt vara desamma som de gemensamma kontaktpunkter som ska utses eller inrättas i enlighet med artikel 9.2 i direktiv (EU) 2022/2557. För kommissionens del säkerställer ERCC operativ kontakt och kapacitet dygnet runt och samordnar, övervakar och stöder i realtid insatserna på unionsnivå vid katastrofer, samtidigt som centrumet betjänar medlemsstaterna och kommissionen i egenskap av operativt krishanteringscentrum som främjar en sektorsövergripande syn på katastrofhantering.

(7)Den medlemsstat som innehar det roterande ordförandeskapet i rådet bör i samförstånd med de berörda medlemsstaterna informera alla berörda aktörer via de kontaktpunkter som avses i punkt 6 om den betydande incidenten avseende kritisk infrastruktur och tillämpningen av planen för kritisk infrastruktur. Utbyte av information om en betydande incident avseende kritisk infrastruktur bör ske via lämpliga kommunikationskanaler, inbegripet, när så är tillämpligt och lämpligt, plattformen för integrerad politisk krishantering 26 (IPCR) och ERCC via det gemensamma kommunikations- och informationssystemet för olyckor (Cecis), en webbaserad applikation för varningar och meddelanden som möjliggör informationsutbyte i realtid.

(8)Vid behov bör säkrade överföringskanaler användas för att inte äventyra nationell säkerhet eller de berörda entiteternas säkerhetsintressen och kommersiella intressen. Det informationsutbyte som beskrivs i del II punkt 1 i bilagan till denna rekommendation bör också ske utan att äventyra nationell säkerhet eller kritiska entiteters säkerhetsintressen och kommersiella intressen och i enlighet med unionsrätten, särskilt Europaparlamentets och rådets förordning (EU) .../... 27 . I synnerhet bör känslig information inhämtas, utbytas och hanteras med försiktighet. Tillgängliga ackrediterade verktyg samt lämpliga säkerhetsåtgärder bör användas för hantering och utbyte av säkerhetsskyddsklassificerade uppgifter.

(9)De berörda aktörerna bör regelbundet öva och testa planen för kritisk infrastruktur och sina samordnade insatser vid en betydande incident avseende kritisk infrastruktur på nationell och regional nivå och unionsnivå, t.ex. genom övningar. Sådana övningar och tester kan, när så är lämpligt, omfatta entiteter i den privata sektorn. En övning på unionsnivå som omfattar fysiska och cyberrelaterade aspekter bör äga rum senast den [dagen för antagandet av denna rekommendation + 12 månader].

(10)Efter tillämpningen av planen för kritisk infrastruktur vid en betydande incident avseende kritisk infrastruktur bör den grupp för kritiska entiteters motståndskraft som avses i artikel 19 i direktiv (EU) 2022/2557 inom lämplig tid diskutera med de berörda aktörerna om lärdomar som kan tyda på brister och områden där förbättringar krävs, och därefter utarbeta en rapport med rekommendationer för att uppnå sådana förbättringar. Utarbetandet av den rapporten bör stödjas av de berörda aktörer som deltar i tillämpningen av planen för kritisk infrastruktur. Rapporten bör antas av kommissionen.

(11)Medlemsstaterna bör diskutera den rapport som avses i punkt 10 i rådets berörda förberedande organ eller i rådet.

Utfärdad i Bryssel den

(1)    Med kritisk infrastruktur avses en tillgång, en anläggning, utrustning, ett nätverk eller ett system, eller en del av en tillgång, en anläggning, utrustning, ett nätverk eller ett system, som krävs för tillhandahållandet av en samhällsviktig tjänst (artikel 2.4 i direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft).

(2)    Rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna (EUT L 345, 23.12.2008, s. 75).

(3)    Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (EUT L 333, 27.12.2022, s. 164).

(4)    Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (EUT L 333, 27.12.2022, s. 80).

(5)    Energi, transport, bankverksamhet, finansmarknadsinfrastruktur, digital infrastruktur, offentlig förvaltning, rymden, hälso- och sjukvård, dricksvatten, avloppsvatten samt produktion, bearbetning och distribution av livsmedel.

(6)    I enlighet med artikel 15.1 och 15.3 i CER-direktivet.

(7)    Rådets rekommendation av den 8 december 2022 om en unionsomfattande samordnad strategi för att stärka den kritiska infrastrukturens motståndskraft, 2023/C 20/01 (EUT C 20, 20.1.2023, s. 1).

(8)    Gemensamt arbetsdokument från kommissionens avdelningar, EU Protocol for countering hybrid threats (ej översatt till svenska), SWD(2023) 116 final. 

(9)    Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).

(10)    Rådets genomförandebeslut (EU) 2018/1993 av den 11 december 2018 om EU-arrangemangen för integrerad politisk krishantering (EUT L 320, 17.12.2018, s. 28).

(11)    Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén - Kommissionens bestämmelser gällande inrättandet av det allmänna förvarningssystemet ”ARGUS”, KOM(2005) 662 slutlig.

(12)    Europaparlamentets och rådets förordning (EU) 2021/836 av den 20 maj 2021 om ändring av beslut nr 1313/2013/EU om en civilskyddsmekanism för unionen (EUT L 185, 26.5.2021, s. 1).

(13)    Rådets direktiv 2008/114/EG av den 8 december 2008 om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna (EUT L 345, 23.12.2008, s. 75).

(14)    Meddelande från kommissionen om ett europeiskt program för skydd av kritisk infrastruktur, KOM(2006) 786 slutlig av den 12 december 2006.

(15)    Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (EUT L 333, 27.12.2022, s. 164).

(16)    Rådets rekommendation av den 8 december 2022 om en unionsomfattande samordnad strategi för att stärka den kritiska infrastrukturens motståndskraft, 2023/C 20/01 (EUT C 20, 20.1.2023, s. 1).

(17)    Gemensamt arbetsdokument från kommissionens avdelningar, EU Protocol for countering hybrid threats (ej översatt till svenska), SWD(2023) 116 final.

(18)    Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).

(19)    Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (EUT L 333, 27.12.2022, s. 80). 

(20)    Rådets genomförandebeslut (EU) 2018/1993 av den 11 december 2018 om EU-arrangemangen för integrerad politisk krishantering (EUT L 320, 17.12.2018, s. 28).

(21)    Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén - Kommissionens bestämmelser gällande inrättandet av det allmänna förvarningssystemet ”ARGUS”, KOM(2005) 662 slutlig.

(22)    Europaparlamentets och rådets beslut nr 1313/2013/EU av den 17 december 2013 om en civilskyddsmekanism för unionen (EUT L 347, 20.12.2013, s. 924).

(23)    Genom beslut nr 1313/2013/EU om en civilskyddsmekanism skapas en allriskram med arrangemang för förebyggande, beredskap och insatser på unionsnivå för att hantera alla typer av naturkatastrofer och katastrofer orsakade av människan eller överhängande fara för sådana katastrofer inom och utanför EU.

(24)    Europaparlamentets och rådets förordning .../.. om inrättande av ett krisinstrument för den inre marknaden och om upphävande av rådets förordning (EG) nr 2679/98, COM(2022) 459 final.

(25)    Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (EUT L 333, 27.12.2022, s. 164).

(26)    Rådets genomförandebeslut (EU) 2018/1993 av den 11 december 2018 om EU-arrangemangen för integrerad politisk krishantering, ST/13422/2018/INIT (EUT L 320, 17.12.2018, s. 28).

(27)    Förordning (EU) .../... om informationssäkerhet i unionens institutioner, organ och byråer, COM(2022) 119 final.

EUROPEISKA KOMMISSIONEN

Bryssel den 6.9.2023

COM(2023) 526 final

BILAGA

till

Förslag till RÅDETS REKOMMENDATION

om en plan för samordnade insatser på unionsnivå vid störningar av kritisk infrastruktur med stor gränsöverskridande betydelse

BILAGA

I denna bilaga beskrivs principerna, målen, huvudaktörerna, samspelet med befintliga krishanteringsmekanismer och funktionen för en plan för samordnade insatser vid betydande incidenter avseende kritisk infrastruktur (planen för kritisk infrastruktur) i syfte att förbättra samarbetet mellan medlemsstaterna och unionens relevanta institutioner, organ och byråer när det gäller sådana incidenter, i enlighet med tillämpliga regler och förfaranden. Planen påverkar inte på något sätt andra arrangemangs roll och funktion.

Del I: Mål, principer, aktörer och andra instrument

1. Mål

Planen för kritisk infrastruktur syftar till att uppnå följande tre huvudmål vid hantering av en betydande incident avseende kritisk infrastruktur:

(a)Gemensam situationsmedvetenhet, eftersom en god förståelse av den betydande incidenten avseende kritisk infrastruktur i medlemsstaterna, dess ursprung och dess potentiella konsekvenser för alla berörda parter på operativ och strategisk/politisk nivå är avgörande för en lämplig samordnad hantering.

(b)Samordnad kommunikation till allmänheten, eftersom detta bidrar till att mildra de negativa effekterna av en betydande incident avseende kritisk infrastruktur och minimera skillnaderna i de budskap som förmedlas till allmänheten i och mellan medlemsstaterna. Tydlig kommunikation till allmänheten är också viktig för att begränsa konsekvenserna av desinformation.

(c)Effektiva insatser, eftersom en förstärkning av medlemsstaternas insatser och samarbetet mellan medlemsstaterna och med unionens relevanta institutioner, organ och byråer bidrar till att mildra effekterna av en betydande incident avseende kritisk infrastruktur och möjliggöra ett snabbt återupprättande av samhällsviktiga tjänster på ett sätt som minimerar sårbarheten för ytterligare betydande incidenter.

2. Principer

Proportionalitet

Incidenter som stör kritisk infrastruktur och/eller tillhandahållande av samhällsviktiga tjänster faller ofta under gränsen för att betecknas som en betydande incident avseende kritisk infrastruktur i den mening som avses i punkt 2 i denna rekommendation. De kan därför i princip hanteras effektivt på nationell nivå. Tillämpningen av planen för kritisk infrastruktur är därför begränsad till betydande incidenter avseende kritisk infrastruktur.

Subsidiaritet

Medlemsstaterna har huvudansvaret för att hantera störningar av kritisk infrastruktur eller av de samhällsviktiga tjänster som tillhandahålls av kritiska entiteter, i enlighet med unionsrätten. Unionens relevanta institutioner, organ och byråer samt Europeiska utrikestjänsten har dock en viktig kompletterande roll i händelse av en betydande incident avseende kritisk infrastruktur med stor gränsöverskridande betydelse, eftersom en sådan incident kan påverka flera eller till och med alla delar av den ekonomiska verksamheten på den inre marknaden, livet för dem som bor i unionen och unionens säkerhet och internationella förbindelser.

Komplementaritet

Planen för kritisk infrastruktur tar hänsyn till och återspeglar befintliga krishanteringsmekanismer på unionsnivå, nämligen rådets arrangemang för integrerad politisk krishantering (IPCR), kommissionens interna krissamordningsprocess Argus, unionens civilskyddsmekanism, med stöd av centrumet för samordning av katastrofberedskap (ERCC), och utrikestjänstens krishanteringsmekanism. Den bygger också på sektorsspecifika arrangemang, inbegripet bestämmelserna om samordnad hantering av storskaliga cyberincidenter i Europaparlamentets och rådets direktiv (EU) 2022/2555 1 och den ram som fastställs i planen för samordnade insatser vid stora gränsöverskridande cyberincidenter och cyberkriser (cyberplanen) 2 , nätverket av transportkontaktpunkter 3 och den europeiska samordningscellen för luftfartskriser 4 .

Dessutom bygger planen för kritisk infrastruktur vidare på och ska tillämpas i enlighet med de strukturer och mekanismer som fastställs i Europaparlamentets och rådets direktiv (EU) 2022/2557 5 , särskilt när det gäller samarbetet mellan behöriga myndigheter och med kommissionen och i gruppen för kritiska entiteters motståndskraft. Den tar också hänsyn till unionens relevanta institutioners, organs och byråers ansvar enligt den rättsliga ram som är tillämplig på dem. Åtgärder som vidtas för att hantera kriser avseende kritisk infrastruktur kompletterar andra krishanteringsmekanismer på unionsnivå, nationell nivå och sektorsnivå som stöder sektorsövergripande samordning.

Konfidentialitet

Planen för kritisk infrastruktur tar hänsyn till vikten av att skydda sekretessen för säkerhetsskyddsklassificerade och känsliga icke-säkerhetsskyddsklassificerade uppgifter som rör kritisk infrastruktur och kritiska entiteter.

3. Berörda aktörer

Varje medlemsstat och var och en av unionens relevanta institutioner, organ och byråer som avses i leden a–e nedan kommer att i enlighet med de regler och förfaranden som är tillämpliga på dem besluta om berörda aktörer för varje betydande incident avseende kritisk infrastruktur, beroende på vilken eller vilka sektorer som berörs och typen av incident.

a) Medlemsstaterna

- Behöriga myndigheter (t.ex. myndigheter med ansvar för kritisk infrastruktur, berörda sektorsmyndigheter, gemensamma kontaktpunkter som utsetts eller inrättats i enlighet med artikel 9.2 i direktiv (EU) 2022/2557 och myndigheter som utsetts eller inrättats i enlighet med artikel 9.1 i direktiv (EU) 2022/2557).

- När så är lämpligt, det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe) som avses i artikel 16 i direktiv (EU) 2022/2555.

- Den samarbetsgrupp som avses i artikel 14 i direktiv (EU) 2022/2555.

- När så är lämpligt, andra berörda parter, inbegripet entiteter eller personer från den privata sektorn såsom operatörer av kritisk infrastruktur, bland annat de som identifierats som kritiska entiteter.

- Ministrar med ansvar för den kritiska infrastrukturens motståndskraft och/eller den eller de ministrar som ansvarar för den eller de sektorer som påverkas mest av den berörda betydande incidenten avseende kritisk infrastruktur.

b) Rådet

- Det roterande ordförandeskapet.

- Berörda arbetsgrupper, såsom arbetsgruppen för civilskydd inbegripet undergruppen för kritiska entiteters motståndskraft PROCIV-CER och ordföranden/ordförandena för relevanta arbetsgrupper, beroende på vilken eller vilka sektorer som berörs och incidentens art, såsom den övergripande arbetsgruppen för cyberfrågor och den övergripande arbetsgruppen för förstärkning av motståndskraft och motverkande av hybridhot.

- Coreper, kommittén för utrikes- och säkerhetspolitik och IPCR, alla med stöd av rådets generalsekretariat.

c) Kommissionen, inbegripet kommissionens expertgrupper

- Utsedd ledande avdelning (beroende på vilken sektor som berörs) med stöd av ERCC i egenskap av operativt krishanteringscentrum med beredskap dygnet runt och generaldirektoratet för migration och inrikes frågor i egenskap av ansvarig avdelning på området samt, när det gäller sektorsövergripande incidenter, generaldirektoratet för migration och inrikes frågor tillsammans med andra berörda avdelningar inom kommissionen.

- Generaldirektoratet för kommunikation och talespersontjänsten.

- Generaldirektoratet Hera, EU:s myndighet för beredskap och insatser vid hälsokriser.

- Gruppen för kritiska entiteters motståndskraft under ledning av en företrädare för kommissionen (generaldirektoratet för migration och inrikes frågor), inrättad genom direktiv (EU) 2022/2557, samt, när så är lämpligt, andra relevanta expertgrupper och kommittéer.

- ERCC, som inrättats inom ramen för civilskyddsmekanismen genom Europaparlamentets och rådets beslut nr 1313/2013/EU 6 (operativt krishanteringscentrum inom ramen för civilskyddsmekanismen, med beredskap dygnet runt, beläget vid generaldirektoratet för europeiskt civilskydd och humanitära biståndsåtgärder).

- Den samarbetsgrupp som avses i artikel 14 i direktiv (EU) 2022/2555.

- Centrumet för situationsmedvetenhet och analys på cyberområdet.

- Den hälsosäkerhetskommitté som avses i artikel 4 i förordning (EU) 2022/2371 7 .

- Kommissionens generalsekretariat (Argus-sekretariatet) och (ställföreträdande) generalsekreterare (Argus-processen), generaldirektoratet för personal och säkerhet (direktoratet för säkerhet).

- Andra relevanta kommissionsexpertgrupper som bistår kommissionen i samordningen av åtgärder vid en nöd- eller krissituation.

- Andra krishanteringsnätverk, även sektorsnätverk (t.ex. nätverket av kontaktpunkter för transportsektorn som leds av generaldirektoratet för transport och rörlighet, den interinstitutionella insatsstyrkan för cyberkriser 8 och den europeiska samordningscellen för luftfartskriser).

- Ordföranden och/eller den ansvariga vice ordföranden/kommissionären.

d) Utrikestjänsten

- Den gemensamma kapaciteten för underrättelseanalys (SIAC) som består av underrättelse- och lägescentralen (IntCen) och direktoratet för underrättelseverksamhet vid EU:s militära stab (EUMS Int).

- Krishanteringscentrumet (CRC).

- Unionens höga representant för utrikes frågor och säkerhetspolitik/vice ordförande för kommissionen.

e) Unionens relevanta organ, kontor och byråer, såsom Europol, beroende på vilken eller vilka sektorer som berörs 9

4. Samspel med andra relevanta mekanismer och instrument för krishantering

Planen för kritisk infrastruktur är ett flexibelt verktyg som kartlägger olika åtgärder som skulle kunna vidtas helt eller delvis med hjälp av olika befintliga arrangemang, beroende på arten och allvaret av den betydande incidenten avseende kritisk infrastruktur och behovet av operativ och strategisk/politisk samordning.

10 a) EU-protokollet för att motverka hybridhot (EU-protokollet)

EU-protokollet är tillämpligt vid hybridhot 11 genom att ge en översikt över de processer och verktyg som är tillämpliga i händelse av sådana hot eller kampanjer.

Vid en betydande incident avseende kritisk infrastruktur med en hybriddimension tillämpas EU-protokollet som komplement till planen för kritisk infrastruktur, när så är lämpligt, t.ex. för specifik information, analys eller kommunikation om hybridaspekter av den betydande incidenten avseende kritisk infrastruktur och när det gäller samarbete med externa partner.

b) Plan för samordnade insatser vid stora gränsöverskridande cyberincidenter och cyberkriser

Cyberplanen är avsedd att användas vid stora gränsöverskridande incidenter som leder till störningar som är så omfattande att den berörda medlemsstaten inte kan hantera dem på egen hand, eller som påverkar två eller flera medlemsstater eller EU-institutioner och har så vidsträckta och betydande tekniska eller politiska konsekvenser att det krävs snabb politisk samordning och reaktion på EU-nivå.

Vid en betydande incident avseende kritisk infrastruktur som sammanfaller med eller verkar vara kopplad till en storskalig cyberincident fastställer rådets berörda arbetsgrupper lämplig samordning på operativ nivå, bland annat tillsammans med EU-CyCLONe eller genom ett gemensamt möte mellan gruppen för kritiska entiteters motståndskraft och samarbetsgruppen. Syftet med samordningen är att fastställa vilken aktör, vilket eller vilka verktyg och vilken eller vilka mekanismer som effektivast skulle kunna bidra till att hantera den betydande incidenten avseende kritisk infrastruktur samtidigt som dubbelarbete och parallella arbetsflöden undviks.

c) Unionens civilskyddsmekanism och centrumet för samordning av katastrofberedskap

I enlighet med beslut nr 1313/2013/EU om en civilskyddsmekanism för unionen organiseras operativa insatser inom ramen för civilskyddsmekanismen vid faktiska eller nära förestående naturkatastrofer och katastrofer orsakade av människan (även sådana som påverkar kritisk infrastruktur) inom och utanför unionen av ERCC, kommissionens samlade operativa krishanteringscentrum med beredskap dygnet runt. I sådana situationer kan ERCC ge tidig varning, underrättelse och analys och stödja informationsutbyte och, om en medlemsstat aktiverar civilskyddsmekanismen, utplacering av operativt stöd och experter i drabbade områden. Dessutom kan ERCC underlätta sektoriell och sektorsövergripande samordning både på unionsnivå och mellan unionen och relevanta nationella myndigheter, bland annat sådana som ansvarar för civilskydd och den kritiska infrastrukturens motståndskraft.

d) Andra sektoriella eller sektorsövergripande mekanismer och instrument

Planen för kritisk infrastruktur överlappar inte andra sektorsspecifika eller sektorsövergripande krishanteringsverktyg eller samordningsmekanismer. När sådana verktyg eller mekanismer redan finns i den berörda sektorn kan planen för kritisk infrastruktur, inom ramen för dess tillämpningsområde, användas som ett kompletterande verktyg till de sektorsspecifika eller sektorsövergripande verktygen, men den ersätter inte dem. Nödvändig samordning mellan de olika aktörerna måste säkerställas för att undvika sådan överlappning. Detta skulle till exempel kunna uppnås genom kommissionens interna krissamordningsprocess Argus, med stöd av ERCC, och/eller IPCR:s samordningsmöten.

Del II: Informationsutbyte och samordnade insatser

De åtgärder som beskrivs nedan består av samarbetsformer, nämligen informationsutbyte, samordnad kommunikation och samordnade insatser. Strukturen motsvarar formerna för rådets krissamordningsmekanism IPCR och tar mer allmänt hänsyn till den potentiella användningen av de krissamordningsmekanismer som redan finns på EU-nivå. Denna struktur visar hur dessa samarbetsformer skulle integreras om de används. De flesta av åtgärderna kan dock också vidtas självständigt: de är inte beroende av att denna mekanism används, utan kompletterar den snarast. Åtgärderna presenteras i kronologisk ordning, men beakta att flera åtgärder kan vidtas samtidigt och kontinuerligt vid en storskalig kris som utgör en betydande incident avseende kritisk infrastruktur.

1.Informationsutbyte

(a)På operativ nivå

De medlemsstater som berörs av den betydande incidenten avseende kritisk infrastruktur tillämpar sina egna beredskapsåtgärder, säkerställer samordning med relevanta nationella krishanteringsmekanismer och involverar alla relevanta nationella, regionala och lokala aktörer, i enlighet med vad som är lämpligt.

När det behövs civilskyddsbistånd säkerställs samordningen mellan medlemsstaterna och med kommissionen genom ERCC inom ramen för civilskyddsmekanismen.

I)De nationella behöriga myndigheternas informationsutbyte och anmälningar

Utöver anmälnings- och informationsskyldigheterna enligt artikel 15 i direktiv (EU) 2022/2557 delar nationella behöriga myndigheter med ansvar för kritisk infrastruktur i medlemsstater som berörs av den betydande incidenten avseende kritisk infrastruktur med sig, via sina gemensamma kontaktpunkter och utan onödigt dröjsmål, av relevant information som mottagits från operatörer av kritisk infrastruktur, kritiska entiteter eller från andra källor samt information om de krishanteringsmekanismer som aktiverats till rådets roterande ordförandeskap och kommissionen För kommissionens del säkerställer ERCC operativ kontakt och kapacitet dygnet runt och samordnar, övervakar och stöder i realtid insatserna på unionsnivå vid katastrofer, samtidigt som centrumet betjänar medlemsstaterna och kommissionen i egenskap av operativt krishanteringscentrum som främjar en sektorsövergripande syn på katastrofhantering.

Detta informationsutbyte avser arten av den betydande incidenten avseende kritisk infrastruktur, dess orsak, den observerade eller uppskattade inverkan på den kritiska infrastrukturen och tillhandahållandet av samhällsviktiga tjänster, incidentens konsekvenser över sektorer och gränser och begränsande åtgärder som antingen redan vidtagits eller planeras, nationellt eller med relevanta andra medlemsstater och kommissionen genom befintliga arrangemang, t.ex. arrangemangen för informationsutbyte enligt artiklarna 9 och 15 i direktiv (EU) 2022/2557. Denna anmälan görs utan att avleda den kritiska infrastrukturens eller, i vissa fall, den kritiska entitetens eller medlemsstatens resurser från verksamhet som rör incidenthantering, vilken bör prioriteras.

För att säkerställa uppföljning ska ERCC eller de underrättade kommissionsavdelningar som ansvarar för den eller de sektorer där den betydande incidenten avseende kritisk infrastruktur inträffade informera kontaktpunkten vid generaldirektoratet för migration och inrikes frågor och kommissionens generalsekretariat. Under tiden börjar ERCC övervaka händelserna, om centrumet inte redan gjort det, särskilt om civilskyddsmekanismen aktiveras av en eller flera av de berörda medlemsstaterna.

Om informationen kan vara relevant för att hantera en cybersäkerhetsdimension eller vara kopplad till en cyberincident delar kommissionen relevant information med EU-CyCLONe.

De nationella myndigheter som är behöriga enligt direktiv (EU) 2022/2557 ska utan onödigt dröjsmål samarbeta och utbyta information med behöriga myndigheter enligt direktiv (EU) 2022/2555 när det gäller cyberincidenter och incidenter som påverkar kritiska entiteter, även om de cybersäkerhetsåtgärder och fysiska åtgärder som vidtagits av kritiska entiteter.

När det gäller det maritima området överväger de nationella behöriga myndigheterna att använda den gemensamma miljön för informationsutbyte (CISE) för att utbyta information utan onödigt dröjsmål.

II)Anordnande av expertmöten

Kommissionen sammankallar så snart som möjligt gruppen för kritiska entiteters motståndskraft för att underlätta utbyte av relevant information mellan nationella behöriga myndigheter med ansvar för kritisk infrastruktur och unionens relevanta institutioner, organ och byråer om incidenten (art, orsak, inverkan och sektorsövergripande och gränsöverskridande konsekvenser) och om motåtgärder, bland annat begränsande åtgärder och tekniskt stöd till de drabbade medlemsstaterna. Beroende på incidentens tyngdpunkt kommer kommissionens berörda avdelningar att vara nära knutna till mötet i gruppen för kritiska entiteters motståndskraft i syfte att dela med sig av information som samlats in genom befintliga sektorsinstrument. Vid incidenter med en kombination av cybersäkerhetsaspekter och fysiska icke-cyberrelaterade aspekter ska kommissionens berörda avdelningar, CERT-EU och utrikestjänsten, när så är relevant, underrätta och så snart som möjligt samråda inom insatsstyrkan för cyberkriser samt med ordförande för den samarbetsgrupp som avses i artikel 14 i direktiv (EU) 2022/2555 respektive EU-CyCLONe, beroende på vad som är lämpligt, om behovet av samordning. I samförstånd med respektive ordförande får kommissionen (generaldirektoratet för migration och inrikes frågor och generaldirektoratet för kommunikationsnät, innehåll och teknik) föreslå ett gemensamt möte i gruppen för kritiska entiteters motståndskraft och samarbetsgruppen i syfte att skapa en gemensam situationsmedvetenhet och samordna respektive insatser.

Vid en betydande sektorsövergripande incident avseende kritisk infrastruktur vilken kräver eller sannolikt kommer att kräva konsekvenshantering på unionsnivå får kommissionen kalla till sektorsövergripande samordningsmöten med alla berörda parter.

Om en betydande incident avseende kritisk infrastruktur också påverkar ett tredjeland samråder kommissionen med den behöriga myndigheten i det berörda tredjelandet och kan bjuda in den till ett möte i gruppen för kritiska entiteters motståndskraft.

III)Stöd från kommissionen och unionens byråer

När så är relevant lägger Europol inom ramen för sitt uppdrag fram en incidentrapport på unionsnivå. När så är relevant rapporterar andra unionsbyråer inom ramen för sitt uppdrag relevant information som bidrar till situationsmedvetenheten om eller samordnad hantering av den betydande incidenten avseende kritisk infrastruktur till sina respektive ansvariga generaldirektorat som i sin tur rapporterar till kommissionen (generaldirektoratet för migration och inrikes frågor, i egenskap av ordförande för gruppen för kritiska entiteters motståndskraft).

Kommissionen kan bidra till situationsmedvetenheten med hjälp av tillgångarna i unionens rymdprogram 12 , t.ex. Copernicus, Galileo och Egnos, när så är relevant och i enlighet med den tillämpliga rättsliga ramen.

(b)Strategisk nivå

I)Utarbetande av rapporter om gemensam situationsmedvetenhet

På grundval av information som nationella behöriga myndigheter delat med sig av vid ett möte i gruppen för kritiska entiteters motståndskraft, eller gemensamma möten med relevanta avdelningar, expertgrupper eller nätverk, utarbetar kommissionen en rapport om gemensam situationsmedvetenhet som bygger på bidragen från de behöriga nationella myndigheterna och annan tillgänglig information.

Denna rapport kommer i tillämpliga fall att ta hänsyn till resultaten av relevanta riskbedömningar, utvärderingar och scenarier på EU-nivå ur ett cybersäkerhetsperspektiv, även de som utförts av kommissionen, unionens höga representant för utrikes frågor och säkerhetspolitik och samarbetsgruppen.

Om IPCR har aktiverats kan denna rapport bidra till den rapport om integrerad situationsmedvetenhet och analys (ISAA) som utarbetas av kommissionens avdelningar och utrikestjänsten.

SIAC lägger i tillämpliga fall fram en uppdaterad underrättelsebaserad bedömning av incidenten.

II)Aktivering av unionens krissamordningsmekanismer och användning av unionsverktyg

ERCC börjar i tillämpliga fall tillhandahålla stöd för situationsmedvetenhet om incidenten, särskilt om händelsen föranleder en aktivering av civilskyddsmekanismen 13 . Dessutom får berörda medlemsstater begära satellitbilder av sitt territorium via Copernicus katastrofinsatstjänst.

När det anses lämpligt att dela information inom kommissionen med utrikestjänsten och relevanta unionsbyråer aktiverar det ledande generaldirektoratet eller generaldirektoratet för migration och inrikes frågor, i samordning med generalsekretariatet, fas I i kommissionens interna krissamordningsprocess Argus genom att skapa en händelse i Argus it-verktyg.

Rådets roterande ordförandeskap får aktivera IPCR-arrangemangen i läget informationsutbyte, vilket innebär att kommissionen och utrikestjänsten utarbetar ISAA-rapporter med bidrag från nationella behöriga myndigheter och andra källor, när så är lämpligt. Även utan att aktivera IPCR kan en övervakningssida på IPCR:s webbplattform på vissa villkor initieras av rådets roterande ordförandeskap eller av kommissionen.

Unionens andra (sektorsspecifika) krishanteringsmekanismer och krishanteringsverktyg får aktiveras enligt respektive förfaranden, när så är lämpligt. Kommissionen kommer att säkerställa samordning mellan dessa mekanismer och verktyg.

Om den fysiska incidenten sammanfaller med eller verkar ha samband med en storskalig cybersäkerhetsincident, enligt definitionen i artikel 6.7 i direktiv (EU) 2022/2555, får rådets roterande ordförandeskap använda cyberplanen för att fastställa lämplig samordning på operativ nivå med bland annat EU CyCLONe och gruppen för kritiska entiteters motståndskraft.

III)Samordning av kommunikationen till allmänheten

De medlemsstater som påverkas av den betydande incidenten avseende kritisk infrastruktur samordnar i möjligaste mån sin kommunikation till allmänheten om krisen, samtidigt som den nationella behörigheten i detta avseende respekteras. IPCR:s nätverk för kriskommunikation kan involveras, när så är lämpligt.

På grundval av den gemensamma situationsmedvetenheten stöder gruppen för kritiska entiteters motståndskraft och de berörda medlemsstaterna utformningen av överenskomna linjer för kommunikationen till allmänheten, när så är lämpligt.

Europol och andra relevanta unionsbyråer samordnar sin offentliga kommunikation med kommissionens talespersontjänst, på grundval av den gemensamma situationsmedvetenheten.

Om den betydande incidenten avseende kritisk infrastruktur har en extern dimension, en hybriddimension eller en dimension som rör den gemensamma säkerhets- och försvarspolitiken samordnas kommunikationen till allmänheten med utrikestjänsten och kommissionens talespersontjänst i enlighet med EU:s protokoll för att motverka hybridhot 14 .

2.Insatser (med fortlöpande åtgärder som beskrivs under Informationsutbyte och ytterligare åtgärder på strategisk/politisk nivå)

(a)Strategisk nivå

I) Fortlöpande utarbetande av lägesrapporter

Rådets arbetsgrupp för civilskydd – kritiska entiteters motståndskraft (PROCIV-CER) informeras om utarbetandet av en politisk/strategisk situationsrapport (t.ex. ISAA-rapporten om IPCR har aktiverats eller kommissionens rapport om gemensam situationsmedvetenhet) och förbereder mötet i Coreper, om det inte redan har sammankallats, eller i kommittén för utrikes- och säkerhetspolitik, beroende på vad som är lämpligt.

SIAC intensifierar sina kontakter med medlemsstaternas underrättelsetjänster, sammanställer informationen från samtliga källor och utarbetar en analys och bedömning av incidenten, samt vid behov regelbundna uppdateringar.

II)Fullständig aktivering av unionens krissamordningsmekanismer och användning av unionsinstrument

Om kommissionens ordförande aktiverar fas II i kommissionens interna krissamordningsprocess Argus sammankallas krissamordningskommitténs möten med kommissionens berörda avdelningar och byråer och i tillämpliga fall utrikestjänsten med kort varsel för att samordna alla aspekter av den betydande incidenten avseende kritisk infrastruktur.

Om rådets ordförandeskap har aktiverat IPCR fullt ut gäller följande:

– Rådets roterande ordförandeskap sammankallar ett informellt rundabordssamtal i god tid med relevanta nationella, europeiska och internationella aktörer, där den kommissionsföreträdare som fungerar som ordförande för gruppen för kritiska entiteters motståndskraft (generaldirektoratet för migration och inrikes frågor) kan rapportera om de tidigare sammankallade mötena i gruppen, med komplettering av andra kommissionsavdelningar och utrikestjänsten, beroende på vad som är lämpligt.

– SIAC och unionens berörda byråer kan bjudas in att lägga fram en situationsuppdatering om den betydande incidenten avseende kritisk infrastruktur vid detta möte.

ISAA:s ansvariga avdelning (kommissionens ansvariga avdelning eller utrikestjänsten) utarbetar ISAA-rapporten med bidrag från berörda kommissionsavdelningar, unionens berörda organ och byråer samt nationella behöriga myndigheter. Medlemsstaterna uppmanas att via IPCR:s webbplattform lämna bidrag för utarbetandet av ISAA-rapporterna.

Vid en betydande incident avseende kritisk infrastruktur med internationell säkerhetsrelevans får kommissionens avdelningar och utrikestjänsten sammankalla ett möte i den strukturerade dialogen mellan EU och Nato om motståndskraft för att bidra till gemensam situationsmedvetenhet och informationsutbyte om åtgärder som vidtagits av unionen respektive Nato.

III)Kommunikation till allmänheten

Rådet utarbetar gemensamma meddelanden till allmänheten. Det informella nätverk av krisinformatörer som inrättats genom IPCR kan stödja detta arbete. Kommissionens talespersontjänst utarbetar också meddelanden till allmänheten, när så är lämpligt.

Om den betydande incidenten avseende kritisk infrastruktur har en extern dimension, en hybriddimension eller en dimension som rör den gemensamma säkerhets- och försvarspolitiken, samordnas kommunikationen till allmänheten med utrikestjänsten och kommissionens talespersontjänst.

IV)Stöd till medlemsstaterna och verkningsfulla insatser

Det roterande ordförandeskapet kan sammankalla ett möte i PROCIV-CER för att stödja verksamheten inom ramen för IPCR, om arrangemangen har aktiverats.

Medlemsstater som påverkas av den betydande incidenten avseende kritisk infrastruktur får begära tekniskt stöd från andra medlemsstater eller unionens berörda institutioner, organ och byråer genom gruppen för kritiska entiteters motståndskraft, t.ex. särskild expertis för att mildra de negativa effekterna av den betydande incidenten avseende kritisk infrastruktur.

Medlemsstater som påverkas av den betydande incidenten avseende kritisk infrastruktur får också begära tekniskt och/eller ekonomiskt stöd från kommissionen eller unionens berörda byråer. Kommissionen bedömer samordnat med berörda unionsbyråer sitt eventuella stöd och aktiverar, när så är lämpligt, tekniska begränsningsåtgärder på unionsnivå i enlighet med respektive förfaranden och samordnar den tekniska kapacitet som behövs för att stoppa eller minska effekterna av den betydande incidenten avseende kritisk infrastruktur.

Inom ramen för civilskyddsmekanismen skulle drabbade länder kunna begära bistånd via det gemensamma kommunikations- och informationssystemet för olyckor (Cecis), varpå ERCC skulle arbeta för att samordna tillhandahållandet av bistånd från medlemsstaterna och de stater som deltar i civilskyddsmekanismen samt via rescEU.

Inom ramen för sina respektive mandat och på begäran stöder Europol och andra berörda unionsbyråer medlemsstater som påverkas av en betydande incident avseende kritisk infrastruktur vid utredningen av incidenten.

(b)Politisk nivå

Rådets ordförandeskap skulle kunna överväga behovet av att sammankalla IPCR-rundabordssamtal, möten i rådets arbetsgrupper, Coreper, ministerrådet och/eller toppmöten för att diskutera det möjliga ursprunget till och de förväntade konsekvenserna av den betydande incidenten avseende kritisk infrastruktur för medlemsstaterna och unionen, enas om gemensamma riktlinjer samt anta nödvändiga åtgärder för att stödja de medlemsstater som påverkas av den betydande incidenten avseende kritisk infrastruktur och begränsa dess effekter.

Figur 1: Schematisk översikt över planen för kritisk infrastruktur

Figur 2: Beslutskedjan för planen för kritisk infrastruktur

(1)    Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (EUT L 333, 27.12.2022, s. 80).

(2)    Kommissionens rekommendation (EU) 2017/1584 av den 13 september 2017 om samordnade insatser vid storskaliga cyberincidenter och cyberkriser (EUT L 239, 19.9.2017, s. 36).

(3)    Meddelande från kommissionen, Beredskapsplan för transportsektorn, COM(2022) 211 final.

(4)    Inrättad enligt artikel 19 i kommissionens genomförandeförordning (EU) 2019/123 av den 24 januari 2019 om genomförandebestämmelser för nätverksfunktioner för flygledningstjänst (ATM).

(5)    Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (EUT L 333, 27.12.2022, s. 164).

(6)    Europaparlamentets och rådets beslut nr 1313/2013/EU av den 17 december 2013 om en civilskyddsmekanism för unionen (EUT L 347, 20.12.2013, s. 924).

(7)    Europaparlamentets och rådets förordning (EU) 2022/2371 av den 23 november 2022 om allvarliga gränsöverskridande hot mot människors hälsa och om upphävande av beslut nr 1082/2013/EU (EUT L 314, 6.12.2022, s. 26).

(8)    En informell grupp med berörda avdelningar inom kommissionen, utrikestjänsten, Europeiska unionens cybersäkerhetsbyrå (Enisa), Cert-EU och Europol, under gemensam ledning av generaldirektoratet för kommunikationsnät, innehåll och teknik och utrikestjänsten.

(9)    Såsom Europol; för transport: Europeiska unionens byrå för luftfartssäkerhet (Easa), Europeiska sjösäkerhetsbyrån (Emsa) och Europeiska unionens järnvägsbyrå (ERA); för hälsa: Europeiska centrumet för förebyggande och kontroll av sjukdomar (ECDC) och Europeiska läkemedelsmyndigheten (EMA); för energi: Byrån för samarbete mellan energitillsynsmyndigheter (Acer); för rymden: EU:s rymdprogrambyrå (EUSPA); för livsmedelssektorn: Europeiska myndigheten för livsmedelssäkerhet (Efsa); för havsfrågor: Europeiska fiskerikontrollbyrån (EFCA); för cyberincidenter: Europeiska unionens cybersäkerhetsbyrå (Enisa), it-incidentcentrum (CSIRT-enheter) och incidenthanteringsorganisationen för EU:s institutioner, organ och byråer (CERT-EU).

(10)    Gemensamt arbetsdokument från kommissionens avdelningar, EU Protocol for countering hybrid threats (ej översatt till svenska), SWD(2023) 116 final.

(11)    Hybridhot kan karakteriseras som en blandning av illasinnad och samhällsomstörtande verksamhet, med konventionella och okonventionella metoder, som kan användas på ett samordnat sätt av statliga eller icke-statliga aktörer för att uppnå specifika mål, samtidigt som de ligger under tröskeln för formellt utlyst krigföring (läs mer i EU-protokollet om hybridhot).

(12)    Europaparlamentets och rådets förordning (EU) 2021/696 av den 28 april 2021 om inrättande av unionens rymdprogram och Europeiska unionens rymdprogrambyrå och om upphävande av förordningarna (EU) nr 912/2010, (EU) nr 1285/2013, (EU) nr 377/2014 och beslut 541/2014/EU (EUT L 170, 12.5.2021, s. 69).

(13)    Såsom publicering av medieövervakningsprodukter, civilskyddsmeddelanden, analysinformation, Echos dagliga kartor, Echos dagliga nyheter och andra skräddarsydda produkter.

(14)    Gemensamt arbetsdokument från kommissionens avdelningar, EU Protocol for countering hybrid threats (ej översatt till svenska), SWD(2023) 116 final.