Bijlage 5
Bijlage
Nummer: 2008D16361, datum: 2008-11-18, bijgewerkt: 2024-02-19 10:56, versie: 1
Directe link naar document (.doc), link naar pagina op de Tweede Kamer site.
Bijlage bij: Geannoteerde agenda JBZ-raad 27-28 nov. 2008 (2008D16355)
Preview document (🔗 origineel)
-
RAAD VAN
DE EUROPESE UNIE
Brussel, 26 september 2008
(OR. en)
Interinstitutioneel dossier:
2006/0276 (CNS)
10934/08
DOCVARIABLE "LWCons_CoteSec" LIMITE
JAI 337
PROCIV 96
COTER 42
ENER 202
TRANS 215
TELECOM 106
ATO 52
ECOFIN 245
ENV 396
SAN 129
CHIMIE 31
RECH 210
DENLEG 75
RELEX 464
WETGEVINGSBESLUITEN EN ANDERE INSTRUMENTEN
Betreft: RICHTLIJN VAN DE RAAD inzake de identificatie van Europese
kritieke infrastructuren, de aanmerking van infrastructuren als Europese
kritieke infrastructuren en de beoordeling van de noodzaak de
bescherming van dergelijke infrastructuren te verbeteren
(Voor de EER relevante tekst)
RICHTLIJN 2008/…/… VAN DE RAAD
van
inzake de identificatie van Europese kritieke infrastructuren, de
aanmerking van infrastructuren als Europese kritieke infrastructurenen
de beoordeling
van de noodzaak de bescherming van dergelijke infrastructuren te
verbeteren
(Voor de EER relevante tekst)
DE RAAD VAN DE EUROPESE UNIE,
Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met
name op artikel 308,
Gezien het voorstel van de Commissie,
Gezien het advies van het Europees Parlement,
Gezien het advies van de Europese Centrale Bank,
Overwegende hetgeen volgt:
(1) In juni 2004 heeft de Europese Raad om de opstelling van een
algemene strategie voor de bescherming van kritieke infrastructuur
verzocht. Naar aanleiding van dit verzoek heeft de Commissie op
20 oktober 2004 een mededeling over "Terrorismebestrijding:
bescherming van kritieke infrastructuur" aangenomen, waarin voorstellen
worden gedaan over de wijze waarop de preventie van, de paraatheid bij
en de reactie op terreuraanslagen op kritieke infrastructuur in Europa
kunnen worden verbeterd.
(2) Op 17 november 2005 heeft de Commissie haar goedkeuring gehecht
aan een Groenboek betreffende een Europees programma voor de bescherming
van kritieke infrastructuur, waarin beleidsopties voor het opzetten van
het programma en van het netwerk voor waarschuwing en informatie inzake
kritieke infrastructuur zijn opgenomen. De op het Groenboek ontvangen
reacties onderstrepen de meerwaarde van een gemeenschappelijk kader voor
de bescherming van kritieke infrastructuur. Er werd erkend dat het nodig
is de capaciteit voor de bescherming van kritieke infrastructuur in
Europa op te voeren en deze infrastructuur minder kwetsbaar te maken. De
nadruk werd gelegd op het belang van de essentiële beginselen van
subsidiariteit, evenredigheid en complementariteit, alsook van overleg
met de belanghebbende partijen.
(3) In december 2005 heeft de Raad Justitie en Binnenlandse Zaken de
Commissie verzocht een voorstel voor een Europees programma voor de
bescherming van kritieke infrastructuur (European Programme for Critical
Infrastructure Protection - "EPCIP") in te dienen en besloten dat dit
gebaseerd moet zijn op een alle risico's omvattende aanpak, waarbij de
bestrijding van terroristische dreigingen als prioriteit zou gelden. Bij
een dergelijke aanpak dient in het proces ter bescherming van kritieke
infrastructuur rekening te worden gehouden met door mensen veroorzaakte
dreigingen, technologische dreigingen en natuurrampen, maar dient
voorrang te worden gegeven aan terroristische dreigingen.
(4) In april 2007 heeft de Raad conclusies over EPCIP aangenomen
waarin hij herhaalt dat de uiteindelijke verantwoordelijkheid voor het
beheer van de regelingen ter bescherming van kritieke infrastructuren
binnen de nationale grenzen bij de lidstaten berust en hij zich
ingenomen toont met de inspanningen van de Commissie om een Europese
procedure te ontwikkelen voor de identificatie van Europese kritieke
infrastructuren (European Critical Infrastructures - "ECI's"), de
aanmerking van infrastructuren als Europese kritieke infrastructuren en
de beoordeling van de noodzaak om de bescherming van dergelijke
infrastructuren te verbeteren.
(5) Deze richtlijn vormt de eerste stap in een stapsgewijze aanpak
waarbij ECI's worden geïdentificeerd, infrastructuren als Europese
kritieke infrastructuren worden aangemerkt en wordt beoordeeld of het
nodig is de bescherming van dergelijke infrastructuren te verbeteren.
Als zodanig is deze richtlijn toegespitst op de sectoren energie en
vervoer; bij de evaluatie ervan moet een effectbeoordeling plaatsvinden
en zal worden bezien of ook andere sectoren, zoals de sector informatie-
en communicatietechnologie (hierna "ICT"), onder de richtlijn moeten
vallen.
(6) De primaire en eindverantwoordelijkheid voor de bescherming van
ECI's ligt uiteindelijk bij de lidstaten en de eigenaren/exploitanten
van dergelijke infrastructuren.
(7) Ontwrichting of vernietiging van bepaalde kritieke infrastructuren
in de Gemeenschap zou aanzienlijke grensoverschrijdende gevolgen hebben.
Het kan daarbij met name gaan om grensoverschrijdende,
sectoroverstijgende effecten die het gevolg zijn van interdependenties
tussen onderling gekoppelde infrastructuren. Om dergelijke ECI's te
identificeren en als zodanig aan te merken, dient gebruik te worden
gemaakt van een gemeenschappelijke procedure. De evaluatie van de
beveiligingseisen die aan dergelijke infrastructuren worden gesteld,
moet op een gemeenschappelijke minimumaanpak gestoeld zijn. Bilaterale
programma's voor samenwerking tussen de lidstaten op het gebied van de
bescherming van kritieke infrastructuur zijn een probaat en efficiënt
middel tot bescherming van grensoverschrijdende kritieke infrastructuren
gebleken. EPCIP moet op een dergelijke samenwerking worden gebaseerd.
Informatie omtrent het aanmerken van een bepaalde infrastructuur als een
ECI moet overeenkomstig de toepasselijke communautaire en nationale
wetgeving op een passend niveau worden gerubriceerd.
(8) Aangezien verschillende sectoren beschikken over specifieke ervaring
en deskundigheid op het gebied van de bescherming van kritieke
infrastructuur en specifieke behoeften op dat gebied hebben, moet een
communautaire aanpak van de bescherming van kritieke infrastructuur
worden ontwikkeld en ten uitvoer gelegd met inachtneming van de
specifieke kenmerken van elke sector en van de in elke sector bestaande
maatregelen, waaronder die welke reeds op Gemeenschapsniveau en op
nationaal en regionaal niveau bestaan, en in voorkomend geval met
inachtneming van reeds bestaande grensoverschrijdende overeenkomsten
inzake wederzijdse bijstandsverlening tussen eigenaren/
exploitanten van kritieke infrastructuren. Aangezien de particuliere
sector een zeer belangrijke rol speelt bij het risicotoezicht, het
risicobeheer, de bedrijfscontinuïteitsplanning en het herstel na rampen
moet een communautaire aanpak tot volledige inschakeling van de
particuliere sector aanmoedigen.
(9) Wat de energiesector betreft, en meer bepaald de wijze van
elektriciteitsproductie en -transmissie (met het oog op de
elektriciteitsvoorziening), kan, waar zulks passend geacht wordt,
elektriciteitsproductie ook de transmissieonderdelen van kerncentrales
omvatten, maar niet de specifiek nucleaire elementen die vallen onder de
vigerende nucleaire wetgeving, met inbegrip van verdragen en de
communautaire wetgeving.
(10) Deze richtlijn vult op het niveau van de Gemeenschap en in de
lidstaten bestaande sectorspecifieke maatregelen aan. Waar op het niveau
van de Gemeenschap reeds mechanismen bestaan, moeten deze verder worden
gebruikt en zullen deze tot de volledige uitvoering van deze richtlijn
bijdragen. Er moet worden voorkomen dat er doublures zijn tussen de
verschillende besluiten of bepalingen, of dat deze tegenstrijdigheden
bevatten.
(11) Alle als ECI's aangemerkte infrastructuren moeten beschikken over
beveiligingsplannen van de exploitant (Operator Security Plans -
"OSP's") of over vergelijkbare maatregelen, bestaande uit een inventaris
van belangrijke voorzieningen, een risicobeoordeling en de
inventarisatie, selectie en prioritering van tegenmaatregelen en
procedures. Om onnodig werk en dubbel werk te vermijden, moet elke
lidstaat eerst nagaan of de eigenaars/exploitanten van als ECI's
aangemerkte infrastructuren over relevante OSP's of vergelijkbare
maatregelen beschikken. Bestaan dergelijke plannen niet, dan moeten de
lidstaten het nodige doen om ervoor te zorgen dat passende maatregelen
worden genomen. Het is aan elke lidstaat zelf om te besluiten over de
meest geschikte wijze van handelen voor het opstellen van OSP's.
(12) Maatregelen, beginselen of richtsnoeren, inclusief communautaire
maatregelen evenals bilaterale en/of multilaterale
samenwerkingsprogramma's die het beschikken over een plan dat
gelijksoortig of gelijkwaardig is aan het OSP of over een
veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris
voorschrijven, moeten worden geacht te voldoen aan de eisen van deze
richtlijn in verband met het OSP, respectievelijk in verband met de
veiligheidsverbindingsfunctionaris.
(13) Voor alle als ECI aangemerkte infrastructuur moeten een
veiligheidsverbindingsfunctionarissen worden aangewezen teneinde de
samenwerking en de communicatie met de relevante nationale autoriteiten
voor de bescherming van kritieke infrastructuur te vergemakkelijken. Om
onnodig en dubbel werk te vermijden, moeten de lidstaten eerst nagaan of
de eigenaars/exploitanten van als ECI's aangemerkte infrastructuren
reeds over een veiligheidsverbindingsfunctionaris of een gelijkwaardige
functionaris beschikken.
Is er geen veiligheidsverbindingsfunctionaris, dan moet elke lidstaat
het nodige doen om ervoor te zorgen dat passende maatregelen worden
genomen. Het is aan elke lidstaat zelf om te besluiten over de meest
geschikte wijze voor het aanwijzen van
veiligheidsverbindingsfunctionarissen.
(14) Een efficiënte identificatie van risico's, dreigingen en
kwetsbaarheden in specifieke sectoren vergt communicatie zowel tussen de
eigenaren/exploitanten van ECI's en de lidstaten als tussen de lidstaten
en de Commissie. Elke lidstaat dient informatie te verzamelen over ECI's
die zich op zijn grondgebied bevinden. De Commissie dient van de
lidstaten algemene informatie te ontvangen over risico's, dreigingen en
kwetsbaarheden in sectoren waarin ECI's zijn geïdentificeerd,
inclusief, in voorkomend geval, informatie over mogelijke verbeteringen
in de ECI's en sectoroverstijgende afhankelijkheden. Waar nodig kan deze
informatie de basis vormen voor het uitwerken van specifieke voorstellen
door de Commissie over de verbetering van de bescherming van ECI's.
(15) Om verbeteringen in de bescherming van ECI's gemakkelijker te
maken, kunnen gemeenschappelijke methoden worden ontwikkeld voor de
identificatie en classificatie van met betrekking tot
infrastructuurvoorzieningen bestaande risico's, dreigingen en
kwetsbaarheden.
(16) Eigenaren/exploitanten van ECI's dienen voornamelijk via de
relevante instanties van de lidstaten toegang te krijgen tot beproefde
praktijken en methoden ter bescherming van kritieke infrastructuur.
(17) Voor een doeltreffende bescherming van ECI's is communicatie,
coördinatie en samenwerking op nationaal niveau en op
Gemeenschapsniveau vereist. Dit wordt het best verwezenlijkt door de
aanwijzing in elke lidstaat van contactpunten voor de bescherming van
ECI ("ECIP-contactpunten"), die aangelegenheden in verband met de
bescherming van kritieke infrastructuur zowel intern als met andere
lidstaten en de Commissie moeten coördineren.
(18) Teneinde activiteiten inzake de bescherming van Europese kritieke
infrastructuur te ontwikkelen op gebieden die een geheimhoudingsgraad
vergen, moet in het kader van deze richtlijn voor een coherente en
veilige uitwisseling van informatie worden gezorgd. Het is belangrijk
dat de geheimhoudingsvoorschriften volgens het nationaal recht of
Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad
van 30 mei 2001 inzake de toegang van het publiek tot documenten van het
Europees Parlement, de Raad en de Commissie in acht worden genomen met
betrekking tot bepaalde gegevens over
kritieke-infrastructuurvoorzieningen die gebruikt kunnen worden om
plannen te maken en feiten te plegen welke onaanvaardbare gevolgen voor
kritieke-infrastructuurinstallaties zouden hebben. Gerubriceerde
informatie moet beschermd worden volgens de toepasselijke communautaire
en nationale wetgeving. Elke lidstaat en de Commissie moeten de
rubriceringsgraad in acht nemen die de opsteller van het document
daaraan gegeven heeft.
(19) Informatie over de bescherming van ECI's moet worden uitgewisseld
op basis van vertrouwen en beveiliging. De uitwisseling van informatie
vereist een zodanige vertrouwensrelatie dat ondernemingen en
organisaties weten dat hun gevoelige en vertrouwelijke gegevens
voldoende beschermd zijn.
(20) Daar de doelstellingen van deze richtlijn, namelijk de instelling
van een procedure voor de identificatie van ECI's en voor de aanmerking
van infrastructuren als ECI's, alsmede de uitwerking van een
gemeenschappelijke aanpak om te beoordelen of het nodig is de
bescherming van dergelijke infrastructuren te verbeteren, niet voldoende
door de lidstaten kunnen worden verwezenlijkt en derhalve wegens de
omvang van het optreden beter door de Gemeenschap kunnen worden
verwezenlijkt, kan de Gemeenschap, overeenkomstig het in artikel 5 van
het Verdrag neergelegde subsidiariteitsbeginsel, maatregelen nemen.
Overeenkomstig het in hetzelfde artikel neergelegde
evenredigheidsbeginsel gaat deze richtlijn niet verder dan hetgeen nodig
is om deze doelstellingen te verwezenlijken.
(21) Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in
acht die met name zijn erkend in het Handvest van de grondrechten van de
Europese Unie,
HEEFT DE VOLGENDE RICHTLIJN VASTGESTELD:
Artikel 1
Onderwerp
Bij deze richtlijn wordt een procedure ingesteld voor de identificatie
van Europese kritieke infrastructuren ("ECI's") en voor de aanmerking
van infrastructuur als Europese kritieke infrastructuur, alsmede een
gemeenschappelijke aanpak om te beoordelen of het nodig is de
bescherming van dergelijke infrastructuur te verbeteren als bijdrage aan
de bescherming van de mensen.
Artikel 2
Definities
Voor de toepassing van deze richtlijn wordt verstaan onder:
a) "kritieke infrastructuur": een voorziening, systeem of een deel
daarvan op het grondgebied van de lidstaten dat van essentieel belang is
voor het behoud van vitale maatschappelijke functies, de gezondheid, de
veiligheid, de beveiliging, de economische welvaart of het
maatschappelijk welzijn, waarvan de verstoring of vernietiging in een
lidstaat aanzienlijke gevolgen zou hebben doordat die functies ontregeld
zouden raken;
b) "Europese kritieke infrastructuur" of "ECI": kritieke infrastructuur
op het grondgebied van de lidstaten waarvan de verstoring of
vernietiging aanzienlijke gevolgen in ten minste twee lidstaten zou
hebben. Hoe aanzienlijk de gevolgen zijn, wordt beoordeeld naar
sectoroverstijgende criteria. Dit omvat mede de effecten die het
resultaat zijn van sectoroverstijgende afhankelijkheden van andere
soorten infrastructuur;
c) "risicoanalyse": bestudering van relevante dreigingsscenario's om de
kwetsbaarheid en de mogelijke gevolgen van de verstoring of
vernietiging van kritieke infrastructuur te beoordelen;
d) "gevoelige informatie in verband met de bescherming van kritieke
infrastructuur": gegevens over kritieke infrastructuur die, wanneer zij
openbaar worden gemaakt, zouden kunnen worden gebruikt om plannen te
maken en feiten te plegen om kritieke-infrastructuurinstallaties te
verstoren of te vernietigen;
e) "bescherming": alle activiteiten die tot doel hebben het
functioneren, de continuïteit en de integriteit van kritieke
infrastructuur te verzekeren ten einde een dreiging, risico of
kwetsbaarheid af te wenden, te beperken of te neutraliseren;
f) "eigenaar/exploitant van ECI's": entiteit die verantwoordelijk is
voor investeringen in en/of voor de dagelijkse werking van een bepaalde
voorziening, een bepaald systeem of een onderdeel daarvan die op grond
van deze richtlijn als ECI is aangemerkt.
Artikel 3
Identificatie van ECI's
1. Elke lidstaat stelt, volgens de procedure van bijlage III, een
inventaris op van mogelijke ECI's die zowel aan de sectoroverstijgende
als aan de sectorspecifieke criteria beantwoordt en voldoet aan de
definities van artikel 2, onder a) en b).
De Commissie kan de lidstaten op hun verzoek bijstaan bij het
inventariseren van mogelijke ECI's. De Commissie kan de aandacht van de
desbetreffende lidstaten vestigen op het bestaan van mogelijke kritieke
infrastructuren die kunnen worden geacht te voldoen aan de eisen voor
aanmerking als een ECI.
De lidstaten en de Commissie zetten de inventarisatie van mogelijke
ECI's permanent voort.
2. De in lid 1 bedoelde sectoroverstijgende criteria omvatten:
a) het criterium van de slachtoffers (gemeten naar het mogelijke aantal
doden en gewonden);
b) het criterium van de economische gevolgen (gemeten naar de omvang van
het economisch verlies en/of de kwaliteitsvermindering van producten of
diensten, met inbegrip van de mogelijke gevolgen voor het milieu);
c) het criterium van de gevolgen voor het publiek (gemeten naar de
impact op het vertrouwen van de burgers, het fysieke lijden en de
verstoring van het dagelijkse leven, met inbegrip van het uitvallen van
essentiële diensten).
De voor de sectoroverstijgende criteria geldende drempels worden
gebaseerd op de ernst van de gevolgen van de ontwrichting of
vernietiging van een bepaalde infrastructuur. De precieze voor de
sectoroverstijgende criteria geldende drempels worden per geval bepaald
door de bij een welbepaalde kritieke infrastructuur betrokken lidstaten.
Elke lidstaat stelt de Commissie jaarlijks in kennis van het aantal
infrastructuurvoorzieningen per sector waarvoor overleg over de voor de
sectoroverstijgende criteria geldende drempels heeft plaatsgevonden.
Bij de sectorspecifieke criteria wordt rekening gehouden met de
kenmerken van de afzonderlijke sectoren met Europese kritieke
infrastructuur.
De Commissie stelt, samen met de lidstaten, richtsnoeren op voor het
toepassen van de sectoroverstijgende en de sectorspecifieke criteria en
van de approximatieve drempels die bij het inventariseren van ECI's
moeten worden gehanteerd. De criteria worden gerubriceerd. Het gebruik
van zulke richtsnoeren is facultatief voor de lidstaten.
3. Voor de toepassing van deze richtlijn worden de sectoren energie en
vervoer gekozen. De betreffende deelsectoren worden opgesomd in
bijlage I.
Indien dit nodig wordt geacht kunnen, in samenhang met de evaluatie van
deze richtlijn als bedoeld in artikel 11, nog andere sectoren worden
geïdentificeerd voor de toepassing van deze richtlijn. Daarbij moet
voorrang worden verleend aan de ICT-sector.
Artikel 4
Aanmerking als ECI's
1. Elke lidstaat stelt de overige lidstaten waarvoor een mogelijke ECI
aanzienlijke gevolgen kan hebben, in kennis van het bestaan ervan en van
de redenen waarom die infrastructuur als een mogelijke ECI is
aangemerkt.
2. Elke lidstaat op het grondgebied waarvan een mogelijke ECI gelegen
is, treedt in bilateraal en/of multilateraal overleg met andere
lidstaten waarvoor de mogelijke ECI aanzienlijke gevolgen kan hebben. De
Commissie kan aan dat overleg deelnemen, maar heeft geen toegang tot
informatie waarmee een bepaalde infrastructuur onmiskenbaar
geïdentificeerd kan worden.
Een lidstaat die redenen heeft om aan te nemen dat de mogelijke ECI
aanzienlijke gevolgen voor hem kan hebben, maar die niet als zodanig is
aangeduid door de lidstaat op het grondgebied waarvan de mogelijke ECI
is gelegen, kan bij de Commissie zijn wens kenbaar maken om bij het
bilaterale en/of multilaterale overleg over deze kwestie te worden
betrokken. De Commissie brengt de lidstaat op het grondgebied waarvan de
mogelijke ECI is gelegen, onverwijld van die wens op de hoogte en tracht
een akkoord tussen de partijen te vergemakkelijken.
3. De lidstaat op het grondgebied waarvan een mogelijke ECI is gelegen,
merkt die, na een akkoord tussen die lidstaat en de lidstaten waarvoor
die infrastructuur aanzienlijke gevolgen kan hebben, aan als ECI.
Het is noodzakelijk dat de lidstaat op het grondgebied waarvan de
infrastructuur gelegen is die moet worden aangemerkt als ECI, zijn
instemming verleent.
4. De lidstaat op het grondgebied waarvan een als ECI aangemerkte
infrastructuur gelegen is, stelt de Commissie elk jaar in kennis van het
aantal als ECI's aangemerkte infrastructuurvoorzieningen per sector en
het aantal lidstaten dat afhankelijk is van elke als ECI aangemerkte
infrastructuur. Alleen de lidstaten waarvoor een ECI aanzienlijke
gevolgen kan hebben, worden van het bestaan ervan in kennis gesteld.
5. De lidstaten op het grondgebied waarvan een ECI is gelegen, stellen
de eigenaar/exploitant van de infrastructuur in kennis van het feit dat
deze infrastructuur als een ECI is aangemerkt. De informatie over het
aanmerken van een infrastructuur als een ECI wordt op een passend niveau
gerubriceerd.
6. Het identificeren en aanmerken van ECI's uit hoofde van artikel 3 en
onderhavig artikel krijgt zijn beslag uiterlijk …*, en wordt
regelmatig geëvalueerd.
Artikel 5
Beveiligingsplannen van de exploitant
1. In het beveiligingsplan van de exploitant ("OSP") wordt een overzicht
gegeven van de kritieke-infrastructuurvoorzieningen van de ECI en van de
beveiligingsoplossingen die bestaan of worden geïmplementeerd met het
oog op de bescherming ervan. De minimale inhoud van een ECI-OSP wordt
beschreven in bijlage II.
2. Elke lidstaat gaat na of alle als ECI aangemerkte infrastructuur op
zijn grondgebied beschikt over een OSP of over gelijkwaardige
maatregelen die de in bijlage II vermelde punten bestrijken. Indien een
lidstaat constateert dat er een dergelijk beveiligingsplan van de
exploitant of een gelijkwaardig plan bestaat dat regelmatig wordt
bijgewerkt, hoeven er geen verdere implementeringsmaatregelen te worden
getroffen.
3. Indien een lidstaat constateert dat er geen dergelijk OSP of
gelijkwaardig plan is opgesteld, zorgt hij ervoor, met alle maatregelen
die hij passend acht, dat een OSP of een gelijkwaardig plan wordt
opgesteld dat de in bijlage II vermelde punten bestrijkt.
Elke lidstaat zorgt ervoor dat uiterlijk een jaar nadat de
infrastructuur als ECI is aangemerkt, een beveiligingsplan van de
exploitant of een gelijkwaardig plan is opgesteld en regelmatig wordt
getoetst. Die termijn kan in uitzonderlijke omstandigheden met
toestemming van de autoriteit van de lidstaat en met kennisgeving aan de
Commissie worden verlengd.
4. Dit artikel laat reeds bestaande regelingen voor toezicht en
supervisie inzake ECI onverlet; de in die regelingen aangewezen
toezichthouder is de in dit artikel bedoelde autoriteit van de lidstaat.
5. Indien maatregelen, inclusief communautaire maatregelen, worden
nageleefd die in een bepaalde sector een plan voorschrijven of gewag
maken van de noodzaak te beschikken over een plan dat gelijksoortig of
gelijkwaardig is aan een OSP, en supervisie door de relevante autoriteit
ten aanzien van een dergelijk plan voorschrijven, dan worden alle aan de
lidstaten gestelde eisen die in dit artikel worden genoemd of krachtens
dit artikel worden vastgesteld, geacht te zijn nageleefd. De in
artikel 3, lid 2, bedoelde toepassingsrichtsnoeren omvatten een
indicatieve lijst van die maatregelen.
Artikel 6
Veiligheidsverbindingsfunctionarissen
1. De veiligheidsverbindingsfunctionaris is het contactpunt voor
veiligheidsaangelegenheden tussen de eigenaar/exploitant van de ECI en
de relevante autoriteit van de lidstaat.
2. Elke lidstaat gaat na of alle als ECI aangemerkte infrastructuur op
zijn grondgebied over een veiligheidsverbindingsfunctionaris of een
gelijkwaardige functionaris beschikt. Indien een lidstaat constateert
dat er een dergelijke veiligheidsverbindingsfunctionaris of een
gelijkwaardige functionaris bestaat, hoeven geen verdere
implementeringsmaatregelen te worden getroffen.
3. Indien een lidstaat constateert dat er voor een als ECI aangemerkte
infrastructuur geen veiligheidsverbindingsfunctionaris of gelijkwaardige
functionaris bestaat, zorgt hij ervoor, met alle maatregelen die hij
passend acht, dat een dergelijke veiligheidsverbindingsfunctionaris of
een gelijkwaardige functionaris wordt aangewezen.
4. Elke lidstaat implementeert een passend communicatiemechanisme tussen
de relevante autoriteit van de lidstaat en de
veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris
voor de uitwisseling van informatie over vastgestelde risico's en
dreigingen in verband met de betrokken ECI. Dit communicatiemechanisme
laat de nationale voorschriften aangaande de toegang tot gevoelige en
gerubriceerde informatie onverlet.
5. Indien maatregelen, inclusief communautaire maatregelen, worden
nageleefd die in een bepaalde sector een
veiligheidsverbindingsfunctionaris of een gelijkwaardige functionaris
voorschrijven, of gewag maken van de noodzaak te beschikken over een
dergelijke functionaris, dan worden alle aan de lidstaten gestelde eisen
die in dit artikel worden genoemd of uit hoofde van dit artikel worden
vastgesteld, geacht te zijn nageleefd. De in artikel 3, lid 2,
bedoelde toepassingsrichtsnoeren omvatten een indicatieve lijst van die
maatregelen.
Artikel 7
Verslagen
1. Elke lidstaat verricht binnen één jaar nadat op zijn grondgebied
kritieke infrastructuur binnen deelsectoren als ECI is aangemerkt, een
dreigingsanalyse met betrekking tot deze deelsectoren van de ECI.
2. Elke lidstaat zendt de Commissie om de 2 jaar algemene informatie
toe op basis van een beknopt verslag over de soorten risico's,
dreigingen en kwetsbaarheden die zich hebben voorgedaan voor iedere
sector van ECI waarin uit hoofde van artikel 3 een ECI is aangemerkt
die op zijn grondgebied gelegen is.
De Commissie kan in samenwerking met de lidstaten een gemeenschappelijk
model voor deze verslagen uitwerken
Elk verslag wordt gerubriceerd op het niveau dat door de lidstaat die
het heeft opgesteld, nodig geacht wordt.
3. De Commissie en de lidstaten gaan aan de hand van de in lid 2
bedoelde verslagen per sector na of er voor de ECI's verdere
beschermingsmaatregelen op Gemeenschapsniveau overwogen moeten worden.
Dit gebeurt in samenhang met de evaluatie van deze richtlijn als bedoeld
in artikel 11.
4. De Commissie kan in samenwerking met de lidstaten gemeenschappelijke
methodologische richtsnoeren uitwerken voor risicoanalyses met
betrekking tot ECI's. De toepassing van die richtsnoeren is facultatief
voor de lidstaten.
Artikel 8
Door de Commissie verleende ondersteuning voor ECI's
De Commissie ondersteunt, via de relevante autoriteit van de lidstaat,
de eigenaren/exploitanten van als ECI's aangemerkte infrastructuren door
het toegankelijk maken van beste praktijken en beproefde methoden en
door het ondersteunen van scholing en de uitwisseling van informatie
over nieuwe technologische ontwikkelingen in verband met de bescherming
van kritieke infrastructuur.
Artikel 9
Gevoelige informatie in verband met de bescherming van ECI
1. Personen die namens een lidstaat of de Commissie omgaan met
gerubriceerde informatie uit hoofde van deze richtlijn, moeten een
passend veiligheidsniveau hebben.
De lidstaten, de Commissie en de betrokken toezichthoudende instanties
zien erop toe dat aan de lidstaten of aan de Commissie verstrekte
gevoelige informatie in verband met de bescherming van ECI niet voor
enig ander doel dan de bescherming van kritieke infrastructuur wordt
gebruikt.
2. Dit artikel is ook van toepassing op niet-schriftelijke informatie
die uitgewisseld wordt tijdens vergaderingen waarin gevoelige
onderwerpen besproken worden.
Artikel 10
Contactpunten voor de bescherming van ECI
1. Elke lidstaat wijst een contactpunt voor de bescherming van ECI aan
(ECIP-contactpunten).
2. ECIP-contactpunten coördineren aangelegenheden in verband met de
bescherming van ECI binnen de lidstaat, met andere lidstaten en met de
Commissie. De aanwijzing van een ECIP-contactpunt sluit niet uit dat
andere autoriteiten in een lidstaat bij aangelegenheden in verband met
de bescherming van ECI worden betrokken.
Artikel 11
Evaluatie
Vanaf uiterlijk …* begint een evaluatie van deze richtlijn.
Artikel 12
Uitvoering
De lidstaten treffen de nodige maatregelen om uiterlijk …** aan deze
richtlijn te voldoen. Zij stellen de Commissie daarvan onverwijld in
kennis en delen haar de tekst van die maatregelen mee, alsmede de
samenhang daarvan met deze richtlijn.
Wanneer de lidstaten deze bepalingen aannemen, wordt in die bepalingen
zelf of bij de officiële bekendmaking daarvan naar deze richtlijn
verwezen. De regels voor die verwijzing worden vastgesteld door de
lidstaten.
Artikel 13
Inwerkingtreding
Deze richtlijn treedt in werking op de twintigste dag volgende op die
van haar bekendmaking in het Publicatieblad van de Europese Unie.
Artikel 14
Adressaten
Deze richtlijn is gericht tot de lidstaten.
Gedaan te
Voor de Raad
De voorzitter
BIJLAGE I
Lijst van ECI-sectoren
Sector Deelsector
I Energie 1. Elektriciteit Infrastructuren en voorzieningen voor
elektriciteitsproductie en -transmissie, met het oog op
elektriciteitsvoorziening
2. Aardolie Aardolieproductie, -raffinage, -behandeling, -opslag en
-transmissie via pijpleidingen
3. Gas Gasproductie, -raffinage, -behandeling, -opslag en -transmissie
via pijpleidingen
Terminals voor vloeibaar aardgas (LNG)
II Vervoer 4. Wegvervoer
5. Spoorvervoer
6. Luchtvervoer
7. Vervoer over de binnenwateren
8. Zeevervoer (kustvaart en grote vaart) en short sea shipping
De lidstaten identificeren overeenkomstig artikel 3 de kritieke
infrastructuren die als ECI's kunnen worden aangemerkt. De lijst van
sectoren van ECI brengt derhalve op zich geen algemene verplichting met
zich mee om in elke sector een ECI aan te wijzen.
BIJLAGE II
ECI-OSP-Procedure
In het OSP wordt een overzicht gegeven van de
kritieke-infrastructuurvoorzieningen en van de beveiligingsoplossingen
die bestaan of die worden geïmplementeerd met het oog op de bescherming
ervan. De ECI-OSP-procedure omvat ten minste:
1) een inventaris van belangrijke voorzieningen;
2) een risicoanalyse op basis van scenario's voor de belangrijkste
dreigingen, de kwetsbaarheden van elke voorziening en de mogelijke
impact; en
3) een identificatie, selectie en prioritering van tegenmaatregelen en
procedures, waarbij een onderscheid moet worden gemaakt tussen:
permanente beveiligingsmaatregelen: hieronder vallen absoluut
noodzakelijke investeringen in beveiliging en middelen die essentieel
zijn om te allen tijde te worden gebruikt. Dit onderdeel moet informatie
bevatten over algemene maatregelen, zoals technische maatregelen
(waaronder de installatie van detectie-, toegangscontrole-,
beschermings- en preventieapparatuur); organisatorische maatregelen
(waaronder alarmerings- en crisisbeheersingsprocedures); controle- en
verificatiemaatregelen; communicatie; bewustmaking en opleiding; en
beveiliging van informatiesystemen,
graduele beveiligingsmaatregelen: beveiligingsmaatregelen die kunnen
worden aangepast aan het risico- en dreigingsniveau.
BIJLAGE III
Procedure voor de identificatie door de lidstaten, overeenkomstig
artikel 3,
van kritieke infrastructuren die kunnen worden aangemerkt als een ECI
Artikel 3 schrijft voor dat elke lidstaat een inventaris opmaakt van de
kritieke infrastructuur die als een ECI kan worden aangemerkt. Elke
lidstaat volgt bij deze procedure de onderstaande reeks stappen.
Een mogelijke ECI die niet voldoet aan de eisen van een van de
onderstaande opeenvolgende stappen wordt geacht "niet-ECI" te zijn en
verdwijnt uit de procedure. Een mogelijke ECI die beantwoordt aan de
vereisten wordt onderworpen aan de volgende stappen van deze procedure.
Stap 1
Iedere lidstaat maakt aan de hand van de sectorspecifieke criteria een
eerste selectie van kritieke infrastructuur binnen een sector.
Stap 2
Iedere lidstaat past de definitie van kritieke infrastructuur van
artikel 2, onder a), toe op de in stap 1 aangetroffen mogelijke ECI.
De ernst van de gevolgen zal op een passend nationaal niveau worden
bepaald aan de hand van nationale methoden voor het inventariseren van
kritieke infrastructuur of onder verwijzing naar de
sectoroverschrijdende criteria. Voor infrastructuur die een essentiële
dienst levert, zal rekening worden gehouden met de beschikbaarheid van
alternatieven en de duur van de verstoring/het herstel.
Stap 3
Iedere lidstaat past het sectoroverstijgende onderdeel van de definitie
van ECI van artikel 2, onder b), toe op de mogelijke ECI die de eerste
twee stappen van deze procedure heeft doorlopen. Een mogelijke ECI die
beantwoordt aan de definitie gaat door naar de volgende stap van deze
procedure. Voor infrastructuur die een essentiële dienst levert, zal
rekening worden gehouden met de beschikbaarheid van alternatieven en de
duur van de verstoring/het herstel.
Stap 4
Iedere lidstaat past de sectoroverstijgende criteria toe op de
resterende mogelijke ECI's. Bij de toepassing van de sectoroverstijgende
criteria wordt rekening gehouden met de ernst van de gevolgen en, voor
infrastructuur die een essentiële dienst levert, met de beschikbaarheid
van alternatieven en de duur van de verstoring/het herstel. Een
mogelijke ECI die niet voldoet aan de sectoroverstijgende criteria wordt
niet aangemerkt als een ECI.
Alleen lidstaten waarvoor een mogelijke ECI aanzienlijke gevolgen kan
hebben, worden geïnformeerd over deze mogelijke ECI die deze procedure
heeft doorlopen.
Advies van 10 juli 2007 (nog niet bekendgemaakt in het Publicatieblad).
PB L 116 van 26.5.2007, blz. 1.
PB L 145 van 31.5.2001, blz. 43.
* PB: Twee jaar na de datum van inwerkingtreding van deze richtlijn.
* PB: Drie jaar na de datum van inwerkingtreding van deze richtlijn.
** PB: Twee jaar na de datum van inwerkingtreding van deze richtlijn.
10934/08 JVS/mg
DG H IV LIMITE NL
10934/08 JVS/mg PAGE \* MERGEFORMAT 19
DG H IV LIMITE NL
10934/08 JVS/mg PAGE \* MERGEFORMAT 1
BIJLAGE I DG H IV LIMITE NL
10934/08 JVS/mg PAGE \* MERGEFORMAT 1
BIJLAGE II DG H IV LIMITE NL
10934/08 JVS/mg PAGE \* MERGEFORMAT 2
BIJLAGE III DG H IV LIMITE NL