Toelichting bij COM(2023)526 - Blauwdruk om de respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang op Unieniveau te coördineren - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)526 - Blauwdruk om de respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang op Unieniveau ... |
|---|---|
| bron | COM(2023)526   |
| datum | 06-09-2023 |
• Motivering en doel van het voorstel
In de huidige geopolitieke context, die wordt gekenmerkt door toenemende instabiliteit, met name als gevolg van de Russische aanvalsoorlog tegen Oekraïne en de steeds complexere veiligheidsbedreigingen, en door de effecten van klimaatverandering, zoals een toename van buitengewone klimaatgebeurtenissen of waterschaarste, moet de Unie waakzaam blijven en zich voortdurend aanpassen. Burgers, ondernemingen en autoriteiten in de Unie zijn aangewezen op kritieke infrastructuur 1 vanwege de essentiële diensten die worden geleverd door de entiteiten die deze infrastructuur exploiteren. Die diensten zijn van cruciaal belang voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid en openbare veiligheid of het milieu, en moeten ongehinderd op de interne markt worden verleend. Gezien het belang van deze essentiële diensten voor de interne markt en bijgevolg de noodzaak om de kritieke infrastructuur weerbaarder te maken en, meer in het algemeen, om de weerbaarheid van kritieke entiteiten die deze diensten verlenen te garanderen, moet de Unie maatregelen nemen om deze weerbaarheid te vergroten en verstoringen bij de levering van dergelijke essentiële diensten te beperken. Dergelijke verstoringen kunnen anders ernstige gevolgen hebben voor de burgers in de Unie, onze economieën en het vertrouwen in onze democratische stelsels en kunnen invloed hebben op de soepele werking van de interne markt, met name gezien de toenemende onderlinge afhankelijkheid tussen sectoren en over de grenzen heen.
De Unie heeft al verscheidene maatregelen genomen om de bescherming van kritieke infrastructuur te verbeteren, met name wat grensoverschrijdende infrastructuur betreft, en om de weerbaarheid van kritieke entiteiten te vergroten, teneinde de gevolgen van verstoringen van de essentiële diensten die zij op de interne markt verlenen, te voorkomen of te beperken.
Richtlijn 2008/114/EG inzake de identificatie van Europese kritieke infrastructuren en de aanmerking van infrastructuren als Europese kritieke infrastructuren 2 (“ECI-richtlijn”) was het eerste rechtsinstrument waarbij een EU-brede procedure voor het identificeren en aanmerken van Europese kritieke infrastructuren werd vastgesteld, alsook een gemeenschappelijke EU-aanpak voor het beoordelen van de noodzaak de bescherming van dergelijke infrastructuren tegen – zowel opzettelijk als onopzettelijk – door de mens veroorzaakte dreigingen en tegen natuurrampen te verbeteren. De richtlijn was echter alleen gericht op de energie- en de transportsector en de bescherming van kritieke infrastructuur en voorzag niet in bredere maatregelen om de weerbaarheid van de entiteiten die deze infrastructuur exploiteren te vergroten.
Omdat de activiteiten op de interne markt in toenemende mate onderling verbonden en grensoverschrijdend van aard zijn, was het nodig om meer dan twee sectoren te bestrijken en verder te gaan dan beschermingsmaatregelen voor individuele voorzieningen. Daarom is in 2022 Richtlijn (EU) 2022/2557 betreffende de weerbaarheid van kritieke entiteiten 3 (“CER-richtlijn”) aangenomen, samen met Richtlijn (EU) 2022/2555 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie 4 (“NIS 2-richtlijn”). Het doel is om te zorgen voor een omvattende aanpak wat het niveau van fysieke en digitale weerbaarheid van kritieke entiteiten betreft. De CER-richtlijn is op 16 januari 2023 in werking getreden en is bedoeld om de lidstaten te helpen de weerbaarheid van kritieke entiteiten over de hele linie te vergroten en tegelijkertijd de coördinatie op Unieniveau te versterken. Vanaf 18 oktober 2024 zal deze richtlijn de ECI-richtlijn vervangen en op die datum moeten de lidstaten de nodige maatregelen nemen om aan de CER-richtlijn te voldoen. De CER-richtlijn is van toepassing op elf sectoren 5 . De richtlijn verbreedt de focus: van de bescherming van kritieke infrastructuur naar de weerbaarheid – voor, tijdens en na een incident – van kritieke entiteiten die de kritieke infrastructuur exploiteren. De NIS 2-richtlijn is ook op 16 januari 2023 in werking getreden en zorgt voor een modernisering van het bestaande rechtskader met het oog op aanpassing aan de toenemende digitalisering en de veranderende dreigingen op het gebied van cyberbeveiliging. De NIS 2-richtlijn zorgt er daarnaast voor dat het toepassingsgebied van de voorschriften voor cyberbeveiliging wordt uitgebreid naar nieuwe sectoren en entiteiten en dat publieke en private entiteiten, bevoegde autoriteiten en de Unie weerbaarder worden en dat hun responscapaciteit bij incidenten verbetert.
De CER-richtlijn bevat bepalingen over de melding van incidenten door de kritieke entiteit aan de nationale bevoegde autoriteit, de melding door de nationale bevoegde autoriteit aan andere (mogelijk) getroffen lidstaten en de melding aan de Commissie als het incident gevolgen heeft voor zes of meer lidstaten. De CER-richtlijn bevat bepaalde verplichtingen met betrekking tot de melding van incidenten die aanzienlijke gevolgen hebben of kunnen hebben voor kritieke entiteiten en de continuïteit van de verlening van essentiële diensten aan of in een of meer andere lidstaten 6 .
Zoals aangetoond door de sabotage van de Nord Stream-gaspijpleidingen in september 2022, is de veiligheidscontext waarin kritieke infrastructuur functioneert, sterk veranderd en zijn er dringend aanvullende maatregelen op Unieniveau nodig om de weerbaarheid van kritieke infrastructuur te vergroten, niet alleen wat paraatheid betreft, maar ook met het oog op een gecoördineerde respons.
In deze context is op 8 december 2022 op voorstel van de Commissie een aanbeveling van de Raad aangenomen betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken 7 (“aanbeveling betreffende de weerbaarheid van kritieke infrastructuur”). In die aanbeveling wordt onder andere gewezen op de noodzaak om op Unieniveau te zorgen voor een gecoördineerde en doeltreffende respons op huidige en toekomstige risico’s voor de verlening van essentiële diensten. Meer in het bijzonder verzocht de Raad de Commissie een blauwdruk op te stellen “voor een gecoördineerde respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang”. In de aanbeveling wordt vermeld dat de blauwdruk coherent moet zijn met het EU-protocol voor de bestrijding van hybride bedreigingen 8 , rekening moet houden met Aanbeveling (EU) 2017/1584 van de Commissie inzake een gecoördineerde respons op grootschalige cyberincidenten en -crises 9 (“cyberblauwdruk”) en de geïntegreerde EU-regeling politieke crisisrespons 10 (“IPCR-regeling”) moet eerbiedigen.
Dit voorstel bevat een aanvullende aanbeveling van de Raad met een dergelijke blauwdruk. Het voorstel heeft tot doel het huidige rechtskader aan te vullen door een beschrijving te geven van hoe, aan de hand van bestaande regelingen op Unieniveau, op het niveau van de Unie gecoördineerd zou moeten worden gereageerd bij verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang. In concreto wordt in het voorstel een beschrijving gegeven van het toepassingsgebied en de doelstellingen van de blauwdruk, en van de actoren, de processen en de bestaande instrumenten die kunnen worden gebruikt om op Unieniveau gecoördineerd te reageren op een verstorend incident in kritieke infrastructuur met aanzienlijke grensoverschrijdende gevolgen. Voorts bevat het voorstel een beschrijving van de manieren waarop de lidstaten en de instellingen, organen, instanties en agentschappen van de Unie in dergelijke situaties kunnen samenwerken.
• Samenhang met bestaande bepalingen op het beleidsterrein
Dit voorstel voor een aanbeveling van de Raad is in overeenstemming met en vormt een aanvulling op het huidige rechtskader inzake de bescherming van kritieke infrastructuur en de weerbaarheid van kritieke entiteiten – respectievelijk de ECI-richtlijn en de CER-richtlijn, alsook de aanbeveling betreffende de weerbaarheid van kritieke infrastructuur – aangezien het tot doel heeft op een complementaire manier te zorgen voor coördinatie tussen de lidstaten onderling en tussen de lidstaten en de instellingen, organen, instanties en agentschappen van de Unie in het kader van een respons op incidenten die leiden tot de verstoring van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang en de verlening van essentiële diensten. Het voorstel gaat uit van bestaande structuren en mechanismen op Unieniveau, waaronder die welke bij de CER-richtlijn zijn ingesteld, namelijk de samenwerking tussen bevoegde autoriteiten en de Groep voor de weerbaarheid van kritieke entiteiten, een groep die bij de CER-richtlijn is ingesteld om de Commissie te ondersteunen en de samenwerking tussen de lidstaten en de informatie-uitwisseling over aangelegenheden in verband met de CER-richtlijn te faciliteren.
Dit voorstel voor een aanbeveling van de Raad is in overeenstemming met en vormt een aanvulling op het EU-kader voor cyberbeveiliging zoals vastgelegd in de NIS 2-richtlijn.
Het huidige voorstel heeft tot doel om op het gebied van de weerbaarheid van kritieke entiteiten en de bescherming van kritieke infrastructuur een blauwdruk voor kritieke infrastructuur voor te stellen die vergelijkbaar is met de cyberblauwdruk.
In deel I, punt 4 b), van de bijlage wordt toegelicht wat de verbanden zijn met de cyberblauwdruk, die van toepassing is op grootschalige cyberbeveiligingsincidenten die verstoringen veroorzaken die te groot zijn om door een getroffen lidstaat alleen te worden verholpen of die zodanig verstrekkende en significante technische of politieke gevolgen hebben voor twee of meer lidstaten of EU-instellingen dat tijdige coördinatie en respons op het politieke niveau van de Unie vereist zijn. In de NIS 2-richtlijn wordt een incident gedefinieerd als “een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt” (“cyberincident”).
Bevoegde autoriteiten in het kader van de CER-richtlijn en in het kader van de NIS 2-richtlijn zijn verplicht om samen te werken en informatie uit te wisselen over cyberbeveiligingsincidenten en incidenten die kritieke entiteiten treffen, ook met betrekking tot maatregelen die in dat verband zijn genomen. In situaties waarin dezelfde entiteit wordt getroffen door een significant incident in kritieke infrastructuur en een grootschalig cyberbeveiligingsincident, moeten de relevante actoren hun respons op elkaar afstemmen.
Het voorstel is in overeenstemming met het EU-protocol voor de bestrijding van hybride bedreigingen, dat van toepassing is in geval van hybride incidenten. In deel I, punt 4 b), van de bijlage worden de verbanden met dat EU-protocol toegelicht, onder meer waar het erom gaat te bepalen welk instrument van toepassing is als zich in kritieke infrastructuur een significant incident met een hybride dimensie voordoet.
Het voorstel is in overeenstemming met andere bestaande crisisbeheersingsmechanismen op Unieniveau, zoals de IPCR-regelingen van de Raad, het interne crisiscoördinatieproces van de Commissie, ARGUS 11 en het Uniemechanisme voor civiele bescherming 12 (“UCPM”), ondersteund door het Coördinatiecentrum voor respons in noodsituaties (“ERCC”) en het crisisresponsmechanisme van de Europese Dienst voor extern optreden.
Het voorstel is in overeenstemming met andere desbetreffende sectorale wetgeving, meer bepaald met daarin opgenomen specifieke maatregelen die bepaalde aspecten van de respons op verstoringen door in de betrokken sectoren actieve entiteiten regelen.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
Het voorstel is gebaseerd op artikel 114 van het Verdrag betreffende de werking van de Europese Unie (“VWEU”), dat betrekking heeft op de onderlinge aanpassing van de wetgevingen ter verbetering van de interne markt, en op artikel 292 VWEU, waarin de regels voor het vaststellen van aanbevelingen zijn vastgelegd.
De keuze van artikel 114 VWEU als materiële rechtsgrondslag wordt gerechtvaardigd door het feit dat de voorgestelde aanbeveling van de Raad tot doel heeft te zorgen voor een gecoördineerde respons in geval van verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang. Dergelijke verstoringen treffen meerdere lidstaten en kunnen een invloed hebben op de werking van de interne markt vanwege de steeds groter wordende onderlinge afhankelijkheid van infrastructuur en sectoren in een EU-economie die in toenemende mate wordt gekenmerkt door onderlinge afhankelijkheid. Een verbeterde respons op verstoringen zal op haar beurt voorkomen dat de werking van de interne markt wordt verstoord, wat van groot belang is aangezien deze kritieke infrastructuur en de essentiële diensten die zij levert, cruciaal zijn voor de instandhouding van vitale maatschappelijke functies, economische activiteiten, de volksgezondheid, de openbare veiligheid of het milieu.
Het voorstel zou een aanvulling vormen op de ECI- en CER-richtlijnen, die eveneens gebaseerd zijn op artikel 114 VWEU. De aanbeveling betreffende de weerbaarheid van kritieke infrastructuur is, net als de nu voorgestelde aanbeveling, ook gebaseerd op de artikelen 114 en 292 VWEU.
• Subsidiariteit (bij niet-exclusieve bevoegdheid)
De verantwoordelijkheid voor de respons op verstoringen van kritieke infrastructuur of van de diensten die worden verleend door de kritieke entiteiten die deze kritieke infrastructuur exploiteren, ligt in de eerste plaats bij de lidstaten, maar ook voor de Unie is een belangrijke rol weggelegd in geval van een verstoring van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang, aangezien die verstoring gevolgen kan hebben voor meerdere of zelfs alle economische sectoren op de eengemaakte markt, voor de veiligheid en voor de internationale betrekkingen van de Unie. Om de werking van de interne markt veilig te stellen, is coördinatie op Unieniveau in geval van verstoringen van kritieke infrastructuur met een aanzienlijk grensoverschrijdend effect niet alleen passend maar ook noodzakelijk, aangezien een dergelijke gecoördineerde respons op Unieniveau de respons van de lidstaten op de verstoring zal ondersteunen doordat samen aan situationeel bewustzijn wordt gewerkt, de publieke communicatie wordt gecoördineerd en de gevolgen van de verstoring voor de interne markt worden beperkt.
• Evenredigheid
Dit voorstel is in overeenstemming met het evenredigheidsbeginsel van artikel 5, lid 4, van het Verdrag betreffende de Europese Unie.
Noch de inhoud noch de vorm van dit voorstel voor een aanbeveling van de Raad gaat verder dan wat nodig is om de doelstellingen ervan te verwezenlijken. De voorgestelde maatregelen zijn evenredig aan de nagestreefde doelstellingen, die erop gericht zijn een gecoördineerde respons op Unieniveau te garanderen in geval van verstoringen van kritieke infrastructuur of van de diensten die worden verleend door de kritieke entiteiten die deze kritieke infrastructuur exploiteren, en die van aanzienlijk grensoverschrijdend belang zijn. Deze voorgestelde gecoördineerde respons is evenredig aan de prerogatieven en verplichtingen van de lidstaten uit hoofde van het nationale recht. Incidenten die kritieke infrastructuur of de verlening van essentiële diensten door kritieke entiteiten verstoren, blijven vaak onder de drempel voor significante incidenten in kritieke infrastructuur en kunnen doeltreffend op nationaal niveau worden aangepakt. Daarom is het gebruik van het mechanisme waarin dit voorstel voorziet, beperkt tot ernstige verstoringen van aanzienlijk grensoverschrijdend belang die meerdere lidstaten treffen.
• Keuze van het instrument
Om de bovengenoemde doelstellingen te verwezenlijken, voorziet het VWEU, met name in artikel 292, in de vaststelling door de Raad van aanbevelingen op basis van een voorstel van de Commissie. Overeenkomstig artikel 288 VWEU zijn aanbevelingen niet bindend. Een aanbeveling van de Raad is in dit geval een geschikt instrument, omdat daarmee wordt aangegeven dat de lidstaten zich committeren aan de daarin opgenomen maatregelen en een stevige basis wordt gelegd voor samenwerking op het gebied van gecoördineerde respons in geval van aanzienlijke verstoringen van kritieke infrastructuur. Op die manier zou de voorgestelde aanbeveling een aanvulling vormen op het bindende rechtskader (met name de CER-richtlijn) en op de eerder aangenomen aanbeveling betreffende de weerbaarheid van kritieke infrastructuur, waarin om dergelijke aanvullende maatregelen wordt gevraagd, met volledige inachtneming van de verantwoordelijkheden van de lidstaten op het betrokken gebied.
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
• Raadpleging van belanghebbenden
Bij de opstelling van dit voorstel zijn de lidstaten en de instellingen en agentschappen van de Unie geraadpleegd. Ook is rekening gehouden met de standpunten van de deskundigen van de lidstaten die tijdens de workshop van 24 april 2023 naar voren zijn gebracht en die na de workshop schriftelijk zijn ingediend.
Er bestond een algemene consensus over het nut van meer coördinatie bij de respons op Unieniveau op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang in de huidige dreigingscontext, met dien verstande dat de bevoegdheid van de lidstaten op dit gebied en de vertrouwelijkheid van gevoelige informatie in acht worden genomen. Er bestond ook consensus over de noodzaak om overlapping van instrumenten te voorkomen en goed gebruik te maken van op Unieniveau bestaande mechanismen op het gebied van coördinatie, informatie-uitwisseling en respons.
Sommige lidstaten stonden weliswaar positief tegenover een uitbreiding van het toepassingsgebied van de blauwdruk voor kritieke infrastructuur, maar andere vonden dat de in de CER-richtlijn vastgestelde drempel van zes of meer lidstaten voor de identificatie van kritieke entiteiten van bijzonder Europees belang volstond en dat het niet nodig was een tweede soort incident in het toepassingsgebied op te nemen. Enkele lidstaten merkten op dat het belangrijk is om, in voorkomend geval, exploitanten van kritieke infrastructuur die essentiële diensten verlenen, bij een en ander te betrekken vanwege hun deskundigheid en het belang om rekening te houden met de cyberdimensie.
• Artikelsgewijze toelichting
Het voorstel voor een aanbeveling van de Raad bestaat uit een hoofdgedeelte en een bijlage.
In punt 1 wordt uiteengezet dat er behoefte bestaat aan nauwere samenwerking bij de respons op significante incidenten in kritieke infrastructuur overeenkomstig de blauwdruk voor kritieke infrastructuur die in dit voorstel voor een aanbeveling en de desbetreffende delen van de bijlage is opgenomen.
In punt 2 wordt het toepassingsgebied van de blauwdruk voor kritieke infrastructuur toegelicht, met verwijzing naar twee soorten verstorende incidenten die de toepassing van de blauwdruk voor kritieke infrastructuur in werking zouden stellen: het incident heeft ofwel een aanzienlijk verstorend effect op de verlening van essentiële diensten aan of in zes of meer lidstaten; of het heeft een aanzienlijk verstorend effect in twee of meer lidstaten en de daarin vermelde relevante actoren zijn het eens over de noodzaak van coördinatie op Unieniveau vanwege de significante impact van het incident.
Punt 3 gaat over de relevante actoren die bij de blauwdruk voor kritieke infrastructuur moeten worden betrokken en het niveau waarop de blauwdruk voor kritieke infrastructuur zal worden uitgevoerd (operationeel, strategisch/politiek). Dit wordt nader toegelicht in de bijlage bij de aanbeveling.
In punt 4 wordt aanbevolen de blauwdruk voor kritieke infrastructuur toe te passen in samenhang met andere relevante instrumenten, zoals beschreven in de bijlage.
In punt 5 wordt de lidstaten aanbevolen om op nationaal niveau doeltreffend te reageren op aanzienlijke verstoringen van kritieke infrastructuur.
In punt 6 wordt aanbevolen dat de relevante actoren contactpunten oprichten of aanwijzen die ondersteuning moeten bieden bij het gebruik van de blauwdruk voor kritieke infrastructuur. Waar mogelijk moeten dit dezelfde contactpunten zijn als die in het kader van de CER-richtlijn.
Punt 7 betreft de informatiestroom in geval van een significant incident in kritieke infrastructuur.
In punt 8 wordt uiteengezet hoe de uitwisseling van informatie moet plaatsvinden.
In punt 9 wordt aanbevolen om de werking van de blauwdruk voor kritieke infrastructuur door middel van oefeningen te testen.
In punt 10 wordt aanbevolen om de opgedane ervaringen te bespreken in de Groep voor de weerbaarheid van kritieke entiteiten, die een verslag met aanbevelingen moet opstellen. Dit verslag moet worden goedgekeurd door de Commissie.
In punt 11 wordt de lidstaten aanbevolen het verslag in de Raad te bespreken.
De bijlage geeft een beschrijving van de doelstellingen, de beginselen, de belangrijkste actoren, de wisselwerking met bestaande crisisresponsmechanismen en de werking van de blauwdruk voor kritieke infrastructuur met de twee methoden voor samenwerking – informatie-uitwisseling en respons.