Overwegingen bij COM(2023)526 - Blauwdruk om de respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang op Unieniveau te coördineren - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2023)526 - Blauwdruk om de respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang op Unieniveau ... |
|---|---|
| document | COM(2023)526   |
| datum | 25 juni 2024 |
(2) Gezien de veranderende risico’s en de toenemende onderlinge afhankelijkheid tussen infrastructuur en sectoren en, in ruimere zin, de interconnecties over sectoren en grenzen heen, is het nodig om de bescherming van kritieke infrastructuur en de weerbaarheid van kritieke entiteiten die deze infrastructuur exploiteren, omvattend en gecoördineerd aan te pakken en te verbeteren.
(3) Een incident dat kritieke infrastructuur verstoort en daardoor de verlening van essentiële diensten onmogelijk maakt of ernstig belemmert, kan aanzienlijke grensoverschrijdende gevolgen hebben en de interne markt negatief beïnvloeden. Teneinde een gerichte, evenredige en doeltreffende aanpak te garanderen, zouden maatregelen moeten worden genomen om met name significante incidenten in kritieke infrastructuur in de zin van deze aanbeveling aan te pakken, zoals situaties waarin de door het incident veroorzaakte verstoring van lange duur is of aanzienlijke cascade-effecten in een of meer sectoren of lidstaten kan hebben.
(4) Een gecoördineerde respons op significante incidenten in kritieke infrastructuur is van essentieel belang om grote verstoringen van de interne markt te voorkomen en ervoor te zorgen dat de verlening van de essentiële diensten zo snel mogelijk wordt hervat, aangezien dergelijke incidenten ernstige gevolgen kunnen hebben voor de economie en de burgers in de Unie. Een tijdige en doeltreffende respons op dergelijke incidenten op Unieniveau vereist snelle en doeltreffende samenwerking tussen alle relevante actoren en op Unieniveau ondersteunde gecoördineerde maatregelen. Een dergelijke respons staat of valt met het bestaan van vooraf vastgestelde en, voor zover mogelijk, goed ingeoefende samenwerkingsprocedures en -mechanismen met duidelijk vastgestelde rollen en verantwoordelijkheden voor de belangrijkste actoren op nationaal en Unieniveau.
(5) Hoewel de verantwoordelijkheid voor de respons op significante incidenten in kritieke infrastructuur in de eerste plaats berust bij de lidstaten en bij de entiteiten die kritieke infrastructuur exploiteren en essentiële diensten verlenen, is meer coördinatie op Unieniveau passend waar het gaat om verstoringen van aanzienlijk grensoverschrijdend belang. Een tijdige en doeltreffende respons hangt niet alleen af van de inzet van nationale mechanismen door de lidstaten, maar ook van op Unieniveau ondersteunde gecoördineerde maatregelen, onder meer in de vorm van snelle en doeltreffende samenwerking op dit gebied.
(6) De bescherming van Europese kritieke infrastructuur is momenteel geregeld in Richtlijn 2008/114/EG van de Raad 13 , die echter slechts betrekking heeft op twee sectoren, namelijk vervoer en energie. In die richtlijn wordt een procedure vastgesteld voor de identificatie van Europese kritieke infrastructuur en de aanmerking van infrastructuur als Europese kritieke infrastructuur, en wordt een gemeenschappelijke aanpak vastgesteld voor de beoordeling van de noodzaak de bescherming van dergelijke infrastructuur te verbeteren. Zij vormt de centrale pijler van het Europees programma voor de bescherming van kritieke infrastructuur 14 (“EPCIP”), dat in 2006 door de Commissie is aangenomen en waarin een Europees kader voor de bescherming van kritieke infrastructuur tegen alle risico’s is vastgesteld.
(7) Om verder te gaan dan de bescherming van kritieke infrastructuur en, in ruimere zin, te zorgen voor de weerbaarheid van kritieke entiteiten die deze infrastructuur exploiteren en essentiële diensten op de interne markt verlenen, zal Richtlijn (EU) 2022/2557 van het Europees Parlement en de Raad 15 met ingang van 18 oktober 2024 Richtlijn 2008/114/EG vervangen. Richtlijn (EU) 2022/2557 heeft betrekking op elf sectoren en voorziet in weerbaarheidsbevorderende verplichtingen voor de lidstaten en de kritieke entiteiten, in samenwerking tussen de lidstaten en met de Commissie, in steun van de Commissie aan de nationale autoriteiten en de kritieke entiteiten en in steun van de lidstaten aan de kritieke entiteiten.
(8) Naar aanleiding van de sabotage van de Nord Stream-gaspijpleidingen is er behoefte aan meer maatregelen op Unieniveau om de weerbaarheid van kritieke infrastructuur te vergroten. Daarom heeft de Raad op voorstel van de Commissie een aanbeveling aangenomen betreffende een Uniebrede gecoördineerde aanpak om de weerbaarheid van kritieke infrastructuur te versterken (“Aanbeveling 2023/C 20/01”) 16 , die erop is gericht de paraatheid, de respons en de internationale samenwerking op dit gebied te verbeteren. In die aanbeveling wordt met name gewezen op de noodzaak om op Unieniveau te zorgen voor een gecoördineerde en doeltreffende respons op risico’s voor de verlening van essentiële diensten.
(9) Daarom moet het bestaande rechtskader worden aangevuld met een aanbeveling van de Raad waarin een blauwdruk wordt vastgesteld voor een gecoördineerde respons op verstoringen van kritieke infrastructuur van aanzienlijk grensoverschrijdend belang (“de blauwdruk voor kritieke infrastructuur”), waarbij gebruik wordt gemaakt van bestaande regelingen op Unieniveau.
(10) Deze aanbeveling zou moeten worden afgestemd op Aanbeveling 2023/C 20/01 om consistentie te waarborgen en overlapping te voorkomen. Daarom zou deze aanbeveling geen betrekking mogen hebben op de andere elementen van de levenscyclus van crisisbeheersing, namelijk preventie, paraatheid en herstel.
(11) Deze aanbeveling zou een aanvulling moeten vormen op Richtlijn (EU) 2022/2557, met name op het gebied van gecoördineerde respons, en zou moeten worden uitgevoerd in samenhang met die richtlijn en alle andere toepasselijke regels van het Unierecht. Daarom zou deze aanbeveling ook moeten steunen op en, voor zover mogelijk, gebruik moeten maken van de begrippen, instrumenten en processen van die richtlijn, zoals de Groep voor de weerbaarheid van kritieke entiteiten, die optreedt binnen de grenzen van haar in die richtlijn vastgestelde taken, en contactpunten. Bovendien zou het begrip “kritieke infrastructuur” in deze aanbeveling op dezelfde manier moeten worden opgevat als in overweging 7 van Aanbeveling 2023/C 20/01, namelijk als relevante kritieke infrastructuur die door een lidstaat op nationaal niveau is geïdentificeerd of die overeenkomstig Richtlijn 2008/114/EG als Europese kritieke infrastructuur is aangemerkt, alsmede als kritieke entiteiten die overeenkomstig Richtlijn (EU) 2022/2557 moeten worden geïdentificeerd. Om te zorgen voor consistentie met Richtlijn (EU) 2022/2557, zouden de begrippen die in deze aanbeveling worden gebruikt, daarom in de zin van die richtlijn moeten worden geïnterpreteerd. Onder het begrip weerbaarheid, zoals gedefinieerd in artikel 2, punt 2, van die richtlijn, moet bijvoorbeeld ook worden verstaan het vermogen van een kritieke infrastructuur om gebeurtenissen die de verlening van essentiële diensten (d.w.z. diensten die van cruciaal belang zijn om vitale maatschappelijke en economische functies, de openbare veiligheid en beveiliging, de volksgezondheid of het milieu in stand te houden) op de interne markt aanzienlijk verstoren of kunnen verstoren, te voorkomen, te beperken en te beheersen, en om bescherming te bieden en bestand te zijn tegen, te reageren op, of zich aan te passen aan en te herstellen van die gebeurtenissen.
(12) Bovendien moet het begrip “aanzienlijk verstorend effect” worden begrepen in het licht van de criteria van artikel 7, lid 1, van Richtlijn (EU) 2022/2557, die verwijzen naar: i) het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende essentiële dienst; ii) de mate waarin andere in de bijlage bij de richtlijn beschreven sectoren en deelsectoren afhankelijk zijn van de betrokken essentiële dienst; iii) de ernst en duur van de gevolgen die incidenten kunnen hebben voor economische en maatschappelijke activiteiten, het milieu, de openbare veiligheid en beveiliging, of de volksgezondheid; iv) het marktaandeel van de entiteit op de markt voor de betrokken essentiële diensten; v) het geografische gebied dat door een incident kan worden getroffen, met inbegrip van eventuele grensoverschrijdende gevolgen, rekening houdend met de kwetsbaarheid die samenhangt met de mate van isolatie van bepaalde soorten geografische gebieden, zoals insulaire regio’s, afgelegen regio’s of bergachtige gebieden; vi) het belang van de entiteit voor de instandhouding van de essentiële dienst op een voldoende niveau, rekening houdend met de beschikbare alternatieven voor het verlenen van die essentiële dienst.
(13) In het belang van de efficiëntie en doeltreffendheid zou de blauwdruk voor kritieke infrastructuur volledig coherent en interoperabel moeten zijn met het herziene operationele EU-protocol voor de bestrijding van hybride bedreigingen 17 , rekening moeten houden met de bestaande blauwdruk voor een gecoördineerde respons op grootschalige grensoverschrijdende cyberincidenten en -crises, die is vastgesteld bij Aanbeveling (EU) 2017/1584 van de Commissie 18 (“cyberblauwdruk”), en met het mandaat van het Europees netwerk van verbindingsorganisaties voor cybercrises (“EU-CyCLONe”), dat is vastgesteld bij Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad 19 , en overlapping van structuren en activiteiten moeten voorkomen. Voorts zou de blauwdruk volledig in overeenstemming moeten zijn met de regelingen van de Raad inzake de geïntegreerde EU-regeling politieke crisisrespons 20 (“IPCR”) voor de coördinatie van de respons.
(14) In bredere zin is deze aanbeveling consistent met en complementair aan de reeds bestaande crisisbeheersingsmechanismen van de Unie, met name de IPCR-regelingen van de Raad, het interne crisiscoördinatieproces ARGUS 21 van de Commissie en het Uniemechanisme voor civiele bescherming (“UCPM”) 22 , ondersteund door het Coördinatiecentrum voor respons in noodsituaties (“ERCC”), 23 het crisisresponsmechanisme van de Europese Dienst voor extern optreden (“EDEO”) en het noodinstrument voor de eengemaakte markt 24 , die alle een rol kunnen spelen bij de respons op een ernstige verstoring van de werking van kritieke infrastructuur.
(15) Bij de respons op een significant incident in kritieke infrastructuur kan gebruik worden gemaakt van de bovengenoemde instrumenten of mechanismen op Unieniveau, overeenkomstig de toepasselijke voorschriften en procedures, die deze aanbeveling zou moeten aanvullen zonder er afbreuk aan te doen. De IPCR-regelingen van de Raad blijven, bijvoorbeeld, het belangrijkste instrument voor de coördinatie van de respons tussen de lidstaten op het politieke Unieniveau. De interne coördinatie binnen de Commissie vindt plaats in het kader van het sectoroverschrijdende crisiscoördinatieproces ARGUS. Als de crisis een externe dimensie heeft of raakt aan het gemeenschappelijk veiligheids- en defensiebeleid (“GVDB”), dan kan het Crisisresponsmechanisme van de Europese Dienst voor extern optreden (EDEO) worden geactiveerd. Overeenkomstig Besluit nr. 1313/2013/EU betreffende een Uniemechanisme voor civiele bescherming (“UCPM”) wordt de operationele respons in het kader van het UCPM bij door de natuur of door de mens veroorzaakte rampen of dreigende rampen binnen en buiten de Unie (met inbegrip van rampen met gevolgen voor kritieke infrastructuur) georganiseerd door het ERCC, het 24/7 operationele centrum van de Commissie voor het beheer van crisisrespons. In dergelijke gevallen kan het ERCC zorgen voor vroegtijdige waarschuwing, melding en analyse, en ondersteunt het de uitwisseling van informatie en, in geval van activering van het UCPM door een lidstaat, de inzet van operationele bijstand en deskundigen in getroffen gebieden. Bovendien kan het ERCC de sectorale en sectoroverschrijdende coördinatie vergemakkelijken, zowel op EU-niveau als tussen de EU en de betrokken nationale autoriteiten, met inbegrip van de autoriteiten die verantwoordelijk zijn voor civiele bescherming en de weerbaarheid van kritieke infrastructuur.
(16) De in deze aanbeveling vastgelegde processen zouden, in voorkomend geval, in aanmerking moeten worden genomen ingeval die andere instrumenten of mechanismen worden gebruikt, en deze aanbeveling zou ook de maatregelen moeten beschrijven die op Unieniveau kunnen worden genomen met betrekking tot gedeeld situationeel bewustzijn, gecoördineerde publieke communicatie en doeltreffende respons buiten het kader van die crisiscoördinatiemechanismen van de Unie, ingeval ze niet worden gebruikt.
(17) Teneinde de respons op significante incidenten in kritieke infrastructuur beter te coördineren, zou de samenwerking tussen de lidstaten en de instellingen, agentschappen, organen en instanties van de Unie moeten worden versterkt door middel van bestaande regelingen, overeenkomstig het kader van de blauwdruk voor kritieke infrastructuur. De blauwdruk voor kritieke infrastructuur zou daarom van toepassing moeten zijn wanneer de drempel van zes of meer lidstaten die in Richtlijn (EU) 2022/2557 is vastgesteld voor de identificatie van kritieke entiteiten van bijzonder Europees belang, is bereikt, alsook wanneer incidenten plaatsvinden die een kleiner aantal lidstaten treffen, aangezien dergelijke incidenten vanwege grensoverschrijdende cascade-effecten verstrekkende gevolgen kunnen hebben en coördinatie van de respons op Unieniveau daarom nuttig zou zijn.
(18) Hoewel een samenwerkingskader op Unieniveau voor een gecoördineerde respons op significante incidenten in kritieke infrastructuur noodzakelijk wordt geacht, zou daarvoor niet geput mogen worden uit de middelen waarmee de kritieke entiteiten en bevoegde autoriteiten de incidenten aanpakken – wat de prioriteit moet blijven.
(19) De relevante actoren die bij de uitvoering van de blauwdruk voor kritieke infrastructuur betrokken zijn, zouden duidelijk moeten worden geïdentificeerd, zodat er een duidelijk en volledig overzicht is van de instellingen, organen, instanties, agentschappen en autoriteiten die een respons zouden kunnen bieden op een significant incident in kritieke infrastructuur.
(20) De verantwoordelijkheid voor de respons op incidenten in kritieke infrastructuur, met inbegrip van significante incidenten, ligt in de eerste plaats bij de bevoegde autoriteiten van de lidstaten. Deze aanbeveling mag geen afbreuk doen aan de verantwoordelijkheid van de lidstaten om de nationale veiligheid en defensie te waarborgen of aan hun bevoegdheid om andere essentiële overheidstaken te waarborgen, met name met betrekking tot de openbare veiligheid, territoriale integriteit en handhaving van de openbare orde, overeenkomstig het Unierecht. Voorts mag deze aanbeveling geen afbreuk doen aan nationale processen, zoals de communicatie en het contact tussen exploitanten van kritieke infrastructuur en de bevoegde nationale autoriteiten. Deze aanbeveling zou van toepassing moeten zijn zonder afbreuk te doen aan relevante bilaterale of multilaterale regelingen die tussen lidstaten zijn gesloten.
(21) Het aanwijzen of oprichten van contactpunten door de relevante actoren is essentieel voor een tijdige en doeltreffende samenwerking in het kader van de blauwdruk voor kritieke infrastructuur. Om de samenhang te waarborgen, zouden de lidstaten de mogelijkheid moeten overwegen om de centrale contactpunten die in het kader van Richtlijn (EU) 2022/2557 aangewezen of opgericht moeten worden, ook als contactpunten voor het onderhavige kader te laten fungeren.
(22) Met het oog op de doeltreffendheid zouden het testen en inoefenen van de blauwdruk voor kritieke infrastructuur, alsmede het rapporteren en bespreken van de lessen die uit de toepassing ervan kunnen worden getrokken, een essentieel onderdeel moeten vormen van de inspanningen om de paraatheid voor significante incidenten in kritieke infrastructuur op een hoog niveau te houden en om een snelle en goed gecoördineerde respons te bieden waarbij de relevante actoren worden betrokken.
(23) Gezien de structuur van het crisiscoördinatiemechanisme IPCR van de Raad en meer in het algemeen rekening houdend met de mogelijke activering van de reeds op Unieniveau bestaande crisiscoördinatiemechanismen, zou de blauwdruk voor kritieke infrastructuur twee vormen van samenwerking moeten omvatten om een respons te bieden op een significant incident in kritieke infrastructuur. De eerste moet bestaan uit de uitwisseling van informatie met alle relevante actoren, coördinatie van publieke communicatie en coördinatie via reeds bestaande mechanismen zoals de IPCR-regelingen in de Raad, de ARGUS-coördinatie binnen de Commissie, ondersteund door het ERCC als 24/7 operationeel contactpunt, of het crisisresponsmechanisme van de EDEO, ingeval van die mechanismen gebruik wordt gemaakt. De tweede moet verdere responsmaatregelen omvatten afhankelijk van de omvang van het incident. Deze samenwerking zou betrokkenheid op operationeel en strategisch/politiek niveau moeten behelzen, overeenkomstig de niveaus in Aanbeveling (EU) 2017/1584 en het EU-protocol voor de bestrijding van hybride bedreigingen, met het oog op een doeltreffende en efficiënte coördinatie van de acties en een doeltreffende en efficiënte respons op het significante incident in kritieke infrastructuur. Om een doeltreffende samenwerking te waarborgen, zou in de blauwdruk voor kritieke infrastructuur moeten worden beschreven hoe wordt gezorgd voor een gedeeld situationeel bewustzijn van de relevante actoren, voor gecoördineerde publieke communicatie en voor een doeltreffende respons, op basis van de beginselen van evenredigheid, subsidiariteit, vertrouwelijkheid van informatie en complementariteit.
(24) De uitwisseling van informatie op grond van deze aanbeveling zou moeten plaatsvinden zonder afbreuk te doen aan de nationale veiligheid of de veiligheids- en commerciële belangen van entiteiten die kritieke infrastructuur exploiteren. Daarom zou bij de toegang tot en de uitwisseling en behandeling van gevoelige informatie voorzichtigheid moeten worden betracht en zou er bijzonder moeten worden gelet op de transmissiekanalen en de opslagcapaciteit die worden gebruikt,