Toelichting bij COM(2022)551 - Gecoördineerde aanpak van de Unie om de veerkracht van kritieke infrastructuur te versterken

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

1. ACHTERGROND VAN HET VOORSTEL

Motivering en doel van het voorstel

Veiligheid is een essentiële doelstelling van de Europese Unie. Terwijl de verantwoordelijkheid voor de bescherming van burgers in de eerste plaats op de lidstaten rust, levert collectief optreden op het niveau van de Unie een belangrijke bijdrage aan de veiligheid van de Unie in haar geheel. Coördinatie zorgt voor grotere veerkracht en alertheid en een krachtigere, gezamenlijke respons. In het kader van de EU-veiligheidsunie zijn belangrijke stappen gezet om vermogens en capaciteiten op te bouwen op het gebied van preventie, opsporing en snelle reactie op tal van veiligheidsdreigingen, en om spelers in de publieke en private sector samen te laten werken.

Om de EU in staat te stellen het hoofd te bieden aan het altijd veranderende dreigingslandschap, is voortdurende waakzaamheid en aanpassing nodig. De Russische aanvalsoorlog tegen Oekraïne heeft nieuwe risico’s met zich gebracht, die samen vaak samengaan in de vorm van een hybride dreiging. Een daarvan is het risico van verstoring van de verlening van essentiële diensten door entiteiten die in Europa kritieke infrastructuur exploiteren. De kennelijke sabotage van de Nord Stream-gaspijpleidingen en andere, recente incidenten hebben dit risico nog duidelijker gemaakt. De samenleving is sterk afhankelijk van zowel fysieke als digitale infrastructuur en de onderbreking van essentiële diensten – of dat nu het gevolg is van conventionele fysieke aanvallen, cyberaanvallen, of een combinatie van beide – kan ernstige gevolgen hebben voor het welzijn van de burgers, onze economieën en het vertrouwen in onze democratische systemen.

Het waarborgen van de goede werking van de interne markt is een andere belangrijke doelstelling van de EU, ook waar het gaat om de essentiële diensten die worden verleend door entiteiten die kritieke infrastructuur exploiteren. De EU heeft daarom al een aantal maatregelen genomen om de kwetsbaarheid van kritieke entiteiten te verminderen en hun veerkracht te vergroten, zowel wat cyber- als niet-cyberrisico’s betreft.

Er is dringend actie nodig om de EU beter in staat te stellen zich te verweren tegen mogelijke aanvallen op kritieke infrastructuur, voornamelijk binnen de EU zelf, maar, daar waar relevant, ook in haar directe omgeving.

Met de voorgestelde aanbeveling van de Raad wordt beoogd de steun van de EU voor het vergroten van de veerkracht van kritieke infrastructuur op te voeren en te zorgen voor coördinatie op EU-niveau op het gebied van paraatheid en respons. Zij heeft tot doel de werkzaamheden ter bescherming van de activa, faciliteiten en systemen die binnen de interne markt nodig zijn voor het functioneren van de economie en het leveren van essentiële diensten waarop burgers zijn aangewezen, te maximaliseren en te versnellen, alsmede de gevolgen van eventuele aanvallen te beperken door het waarborgen van een zo snel mogelijk herstel. Hoewel al dergelijke infrastructuur zou moeten worden beschermd, geldt de eerste prioriteit momenteel de sectoren energie, digitale infrastructuur, vervoer en ruimtevaart, vanwege hun bij uitstek horizontale karakter voor de samenleving en de economie, en vanwege de actuele risicobeoordelingen.

Er is voor de EU een bijzondere rol weggelegd bij het waarborgen van de veerkracht van infrastructuur die land- of zeegrenzen overschrijdt en gevolgen heeft voor de belangen van meerdere lidstaten, of die wordt gebruikt om essentiële grensoverschrijdende diensten te verlenen. Kritieke infrastructuur die relevant is voor meerdere lidstaten kan echter in één lidstaat liggen of zelfs buiten het grondgebied van een lidstaat, bijvoorbeeld in het geval van onderzeese kabels of pijpleidingen. Een duidelijke identificatie van de kritieke infrastructuur en de entiteiten die haar exploiteren, alsook van de risico’s die deze infrastructuur bedreigen, en een collectieve inzet om haar te beschermen, zijn in het belang van alle lidstaten en de EU als geheel.

Het Europees Parlement en de Raad hebben reeds een politiek akkoord bereikt om het wetgevingskader te verdiepen zodat de EU entiteiten die kritieke infrastructuur exploiteren, veerkrachtiger kan helpen maken. In de zomer van 2022 werd overeenstemming bereikt over de richtlijn betreffende de veerkracht van kritieke infrastructuur (“CER-richtlijn”) 1 en over de herziene richtlijn inzake de beveiliging van netwerk- en informatiesystemen (“NIS2-richtlijn”) 2 . Deze richtlijnen zullen een aanzienlijke intensivering van de capaciteiten inhouden in vergelijking met het bestaande wetgevingskader, te weten Richtlijn 2008/114/EG van 8 december 2008 inzake de identificatie van Europese kritieke infrastructuren, de aanmerking van infrastructuren als Europese kritieke infrastructuren en de beoordeling van de noodzaak de bescherming van dergelijke infrastructuren te verbeteren (“ECI-richtlijn”) 3 en Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (“NIS-richtlijn”) 4 . De nieuwe wetgeving zal naar verwachting eind 2022 of begin 2023 in werking treden, en de lidstaten zouden prioriteit moeten geven aan de omzetting en toepassing daarvan, overeenkomstig het recht van de Unie.

Gelet daarop en gelet op het feit dat wellicht snel moet worden gereageerd op dreigingen ten gevolge van de Russische aanvalsoorlog tegen Oekraïne, zouden de in de nieuwe wetgeving omschreven stappen, waar mogelijk en passend, vanaf nu vervroegd moeten worden genomen. Als de wederzijdse samenwerking nu al wordt geïntensiveerd, zou dit ook het momentum helpen creëren voor een doeltreffende uitvoering wanneer de nieuwe wetgeving eenmaal volledig van kracht is.

Dit zou als resultaat hebben dat reeds verder wordt gegaan dan de huidige kaders, zowel wat de intensiteit van de maatregelen als de omvang van de bestreken sectoren betreft. De nieuwe CER-richtlijn bevat een nieuw kader voor samenwerking alsook verplichtingen voor de lidstaten en kritieke entiteiten, die de fysieke niet-cyberveerkracht moeten versterken tegen natuurlijke en door de mens veroorzaakte dreigingen waaraan die entiteiten, die essentiële diensten verlenen op de interne markt, blootstaan, en richt zich specifiek op elf sectoren 5 . De NIS2-richtlijn zal voorzien in een brede sectorale dekking van cyberbeveiligingsverplichtingen. Deze zullen een nieuwe verplichting voor de lidstaten omvatten om, waar relevant, onderzeese kabels op te nemen in hun cyberbeveiligingsstrategieën.

De wetgeving vereist dat de Commissie een belangrijke coördinerende rol op zich neemt. Op grond van de CER-richtlijn heeft de Commissie een ondersteunende en faciliterende rol, die moet worden uitgevoerd met de steun en betrokkenheid van de bij die richtlijn opgerichte Groep voor de veerkracht van kritieke entiteiten (Critical Entities Resilience Group (CERG), en zou zij de activiteiten van de lidstaten moeten aanvullen door beste praktijken, richtsnoeren en methodes te ontwikkelen. Wat cyberbeveiliging betreft, heeft de Raad reeds in zijn conclusies over de cyberstrategie van de EU in de zomer van 2022 de Commissie, de hoge vertegenwoordiger en de NIS-samenwerkingsgroep uitgenodigd om te werken aan risicobeoordelingen en scenario’s vanuit het oogpunt van cyberbeveiliging. Een dergelijke coördinatie kan als inspiratiebron dienen voor een aanpak voor andere cruciale kritieke infrastructuur.

Op 5 oktober 2022 presenteerde voorzitter Von der Leyen een 5-puntenplan, met een gecoördineerde aanpak van de noodzakelijke werkzaamheden. De belangrijkste elementen daarvan waren: verbetering van de paraatheid; samenwerking met de lidstaten om hun kritieke infrastructuur aan een stresstest te onderwerpen, te beginnen met de energiesector, gevolgd door andere sectoren met een hoog risico; vergroting van de responscapaciteit, met name via het Uniemechanisme voor civiele bescherming; goede gebruikmaking van satellietcapaciteit voor het opsporen van potentiële dreigingen; en versterking van de samenwerking met de NAVO en belangrijke partners op het gebied van de veerkracht van kritieke infrastructuur. In het 5-puntenplan werd benadrukt dat het belangrijk is te anticiperen op de wetgeving waarover reeds een politiek akkoord is bereikt.

In dit voorstel voor een aanbeveling van de Raad wordt deze aanpak om de steun aan de lidstaten te structureren en hun inspanningen ter versterking van het risicobewustzijn, de paraatheid en de respons op de actuele dreigingen, te coördineren, verwelkomd. In dit verband worden vergaderingen van deskundigen belegd om de veerkracht van entiteiten die kritieke infrastructuur exploiteren te bespreken, vooruitlopend op de inwerkingtreding van de CER-richtlijn en de daarbij ingestelde CERG.

Nauwere samenwerking met belangrijke partners en naburige en andere relevante derde landen op het gebied van de veerkracht van entiteiten die kritieke infrastructuur exploiteren, met name via de gestructureerde dialoog tussen de EU en de NAVO over veerkracht, zal van essentieel belang zijn.

De nadruk van deze aanbeveling ligt op het versterken van het vermogen van de Unie om te anticiperen en reageren op de nieuwe dreigingen ten gevolge van de Russische aanvalsoorlog tegen Oekraïne en om dergelijke dreigingen te voorkomen. De voorgestelde aanbevelingen zijn daarom gericht op het aanpakken van veiligheidsgerelateerde risico’s en bedreigingen voor kritieke infrastructuur. Niettemin moet worden opgemerkt dat recente gebeurtenissen ook de noodzaak hebben onderstreept dringend meer aandacht te besteden aan de gevolgen van de klimaatverandering voor kritieke infrastructuur en diensten, bijvoorbeeld waar het gaat om seizoensgebonden problemen en onvoorspelbaarheid inzake watervoorraden voor de koeling van kerncentrales, waterkracht en binnenvaart, of het risico van materiële schade aan de vervoersinfrastructuur, waardoor ernstige verstoringen van essentiële diensten kunnen ontstaan. Deze punten van zorg zullen het voorwerp blijven vormen van relevante wetgeving en coördinatie.

Verenigbaarheid met bestaande bepalingen op het beleidsterrein

Dit voorstel voor een aanbeveling van de Raad is volledig in overeenstemming met het huidige en toekomstige rechtskader inzake de veerkracht van entiteiten die kritieke infrastructuur exploiteren, respectievelijk de ECI-richtlijn en de CER-richtlijn, aangezien het onder meer tot doel heeft de samenwerking tussen de lidstaten op dit gebied te vergemakkelijken en concrete maatregelen te ondersteunen om de veerkracht te vergroten ten aanzien van de actuele imminente dreigingen voor entiteiten die kritieke infrastructuur in de EU exploiteren.

Het vormt ook een aanvulling op en anticipeert op de CER-richtlijn, door de lidstaten nu al uit te nodigen prioriteit te geven aan de tijdige omzetting van die richtlijn, door samen te werken via bijeenkomsten van deskundigen die worden belegd in het kader van het door de Commissie aangekondigde 5-puntenplan en door te streven naar coördinatie bij de totstandkoming van een gemeenschappelijke aanpak voor het uitvoeren van stresstests inzake kritieke infrastructuur in de EU.

Het voorstel is ook in overeenstemming met de NIS-richtlijn en de toekomstige NIS2-richtlijn waarbij de NIS-richtlijn zal worden ingetrokken, omdat erin wordt opgeroepen tot een spoedige start van de uitvoering en omzetting. Het weerspiegelt ook de gezamenlijke oproep van Nevers van maart 2022 en de conclusies van de Raad over de EU-cyberstrategie van mei 2022 voor wat betreft het verzoek van de lidstaten aan de Commissie om risicobeoordelingen en risicoscenario’s te ontwikkelen.

Het voorstel is ook in overeenstemming met het EU-beleid inzake civiele bescherming, op grond waarvan de lidstaten en derde landen in geval van een overweldigende verstoring van de werking van kritieke infrastructuur/entiteiten, in het kader van het Uniemechanisme voor civiele bescherming bijstand kunnen vragen via het Coördinatiecentrum voor respons in noodsituaties. In geval van activering van het Uniemechanisme voor civiele bescherming kan het Coördinatiecentrum voor respons in noodsituaties de inzet in het getroffen land van essentiële uitrusting, materialen en expertise die in de lidstaten (deels in het kader van de Europese pool voor civiele bescherming) en in het kader van rescEU beschikbaar zijn, coördineren en meefinancieren. Bij de bijstand die op verzoek kan worden gegeven, gaat het bijvoorbeeld om brandstof, generatoren, elektriciteitsinfrastructuur, opvangcapaciteit, waterzuiveringscapaciteit en medische noodcapaciteit.

Het voorstel is ook in overeenstemming met het EU-acquis op het gebied van energievoorzieningszekerheid.

De kernenergiesector is niet specifiek opgenomen in de voorgestelde aanbeveling van de Raad, met uitzondering van bijvoorbeeld daarmee verband houdende infrastructuur (zoals transmissielijnen naar kerncentrales) die van invloed kan zijn op de voorzieningszekerheid. Specifiek nucleaire elementen vallen onder de vigerende nucleaire wetgeving, met inbegrip van het Euratom-Verdrag en/of nationale wetgeving 6 . Op basis van de lessen die uit het ongeval in Fukushima zijn getrokken, is de Europese wetgeving inzake nucleaire veiligheid aangescherpt en als gevolg daarvan moeten de nationale autoriteiten voor elke installatie regelmatig periodieke veiligheidsevaluaties uitvoeren, teneinde ervoor te zorgen dat steeds aan de hoogste veiligheidseisen wordt voldaan, te bepalen welke verbeteringen op het gebied van veiligheid mogelijk zijn en zes jaarlijkse thematische collegiale toetsingen op EU-niveau vast te stellen.

In de EU-strategie voor maritieme veiligheid 7 en het bijbehorende actieplan 8 wordt gewezen op de veranderende aard van dreigingen op maritiem gebied en opgeroepen tot hernieuwde inzet voor de bescherming van kritieke maritieme infrastructuur, met inbegrip van onderwaterinfrastructuur, en met name maritieme vervoers-, energie- en communicatie-infrastructuur, onder meer door het maritieme bewustzijn te vergroten door middel van verbeterde interoperabiliteit en gestroomlijnde informatie-uitwisseling.

Het voorstel is ook in overeenstemming met andere relevante sectorale wetgeving. Daarom zou de uitvoering van deze aanbeveling moeten stroken met specifieke maatregelen die bepaalde aspecten van de veerkracht van entiteiten die actief zijn in de betrokken sectoren, zoals vervoer, reguleren of in de toekomst kunnen reguleren. Daarbij gaat het onder meer om andere relevante initiatieven, zoals het noodplan voor vervoer 9 of het noodplan voor voedselvoorziening en voedselzekerheid in tijden van crisis 10 en het daarmee verband houdende Europees mechanisme voor paraatheid en respons op het gebied van voedselzekerheid. Meer in het algemeen zou de aanbeveling uiteraard ten uitvoer moeten worden gelegd met volledige inachtneming van alle toepasselijke regels van het EU-recht, waaronder de regels die zijn neergelegd in de ECI-richtlijn en de NIS-richtlijn.

Het voorstel is ook in overeenstemming met het strategisch kompas inzake veiligheid en defensie, waarin wordt benadrukt dat de veerkracht en het vermogen om hybride dreigingen en cyberaanvallen tegen te gaan, aanzienlijk moeten worden vergroot, dat de veerkracht van partnerlanden moet worden versterkt en dat moet worden samengewerkt met de NAVO. Het is ook in overeenstemming met het kader voor een gecoördineerde EU-respons op hybride dreigingen en campagnes die gevolgen hebben voor de EU, de lidstaten en haar partners 11 .

2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

Rechtsgrondslag

Het voorstel is gebaseerd op artikel 114 van het Verdrag betreffende de werking van de Europese Unie (VWEU), dat de onderlinge aanpassing van wetgevingen ter verbetering van de interne markt betreft, en daarnaast op artikel 292 VWEU. Dit wordt gerechtvaardigd door het feit dat met de voorgestelde aanbeveling van de Raad voornamelijk wordt beoogd te anticiperen op maatregelen in de nieuwe CER- en NIS2-richtlijnen, die beide óók op artikel 114 VWEU zijn gebaseerd. In overeenstemming met de logica die het gebruik van dat artikel als rechtsgrondslag voor die richtlijnen rechtvaardigt, is EU-optreden nodig om de goede werking van de interne markt te waarborgen, met name gezien de grensoverschrijdende aard en reikwijdte van de betrokken diensten en de mogelijke gevolgen in geval van verstoringen, alsook de bestaande en in de maak zijnde nationale maatregelen ter versterking van de veerkracht van entiteiten die kritieke infrastructuur exploiteren die wordt gebruikt om op de interne markt essentiële diensten te verlenen.

Subsidiariteit (bij niet-exclusieve bevoegdheid)

Verdere stappen op Europees niveau op het gebied van de veerkracht van entiteiten die kritieke infrastructuur exploiteren, zijn gerechtvaardigd gezien de onderling afhankelijke, grensoverschrijdende verbanden tussen activiteiten op het gebied van kritieke infrastructuur en de essentiële diensten die worden verleend, en gezien de noodzaak van een meer gemeenschappelijke en gecoördineerde Europese aanpak, teneinde ervoor te zorgen dat de betrokken entiteiten in de huidige geopolitieke context voldoende veerkrachtig zijn. Aangezien veel van de gemeenschappelijke problemen, zoals de kennelijke sabotage van de North Stream-gaspijpleidingen, eerst en vooral worden aangepakt met nationale maatregelen of door entiteiten die kritieke infrastructuur exploiteren, is de steun van de EU, in voorkomend geval met inbegrip van relevante agentschappen, noodzakelijk om de veerkracht te versterken, de alertheid te verbeteren en de collectieve respons van de EU kracht bij te zetten.

Evenredigheid

Dit voorstel is in overeenstemming met het evenredigheidsbeginsel van artikel 5, lid 4, van het Verdrag betreffende de Europese Unie.

Noch de inhoud noch de vorm van deze voorgestelde aanbeveling van de Raad gaat verder dan wat nodig is om de doelstellingen ervan te verwezenlijken. De voorgestelde maatregelen staan in verhouding tot de nagestreefde doelen, aangezien zij de prerogatieven en verplichtingen van de lidstaten uit hoofde van het nationale recht eerbiedigen.

Tot slot laat het voorstel ruimte voor een eventuele gedifferentieerde aanpak die rekening houdt met de verschillende interne situaties van de lidstaten wat betreft paraatheid ten opzichte van en respons op fysieke dreigingen voor kritieke infrastructuur.

Keuze van het instrument

Om de bovengenoemde doelstellingen te verwezenlijken, voorziet het VWEU, met name in artikel 292, in de vaststelling door de Raad van aanbevelingen op basis van een voorstel van de Commissie. Een aanbeveling van de Raad is in dit geval een geschikt instrument, mede gelet op het huidige wetgevingskader, zoals dat hierboven uiteen is toegelicht. Als rechtshandeling geeft een aanbeveling van de Raad, ook al is deze niet bindend van aard, uitdrukking aan het feit dat de lidstaten de daarin opgenomen maatregelen onderschrijven en biedt zij een krachtige politieke basis voor samenwerking op de desbetreffende gebieden, met volledige inachtneming van de bevoegdheden van de lidstaten.

3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

Raadpleging van belanghebbenden

Bij de uitwerking van dit voorstel is rekening gehouden met de standpunten die de deskundigen van de lidstaten tijdens de bijeenkomst van 12 oktober 2022 over het voetlicht hebben gebracht. Er bestond brede consensus over het nut van meer coördinatie op het niveau van de Unie met betrekking tot paraatheid en respons in de actuele dreigingscontext en over het anticiperen op bepaalde elementen van de CER-richtlijn vóór de formele vaststelling daarvan. De lidstaten toonden zich bereid ervaringen en beste praktijken uit te wisselen met betrekking tot de maatregelen en methoden ter vergroting van de veerkracht van entiteiten die kritieke infrastructuur exploiteren. De lidstaten verklaarden ook open te staan voor een gecoördineerde aanpak van stresstests voor entiteiten die kritieke infrastructuur exploiteren, op basis van vrijwilligheid en van gemeenschappelijke beginselen. De lidstaten gaven te kennen dat in het kader van deze aanbeveling prioriteit zou moeten worden gegeven aan entiteiten die kritieke infrastructuur exploiteren in de sectoren energie, digitale infrastructuur en vervoer, met name die welke voor meerdere lidstaten relevant zijn. De lidstaten waren ook ingenomen met het voornemen van de Commissie om in de komende weken verdere bijeenkomsten van deskundigen van de lidstaten te beleggen.

Artikelsgewijze toelichting

1.

Het voorstel voor een aanbeveling is als volgt opgezet:


–In hoofdstuk I worden het doel van het voorstel, de inhoud ervan en de prioritering van de aanbevolen maatregelen uiteengezet.

–Hoofdstuk II is gericht op maatregelen die zouden moeten worden genomen om de paraatheid te verbeteren, zowel op het niveau van de Unie als dat van de lidstaten.

–Hoofdstuk III heeft betrekking op een betere respons, zowel op het niveau van de EU als dat van de lidstaten.

–Hoofdstuk IV heeft betrekking op internationale samenwerking en de maatregelen die zouden moeten worden genomen om entiteiten die kritieke infrastructuur exploiteren, veerkrachtiger te maken.