32008L0114[1]
A Tanács 2008/114/EK irányelve ( 2008. december 8. ) az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről
A TANÁCS 2008/114/EK IRÁNYELVE
(2008. december 8.)
az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről
(EGT-vonatkozású szöveg)
AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Közösséget létrehozó szerződésre és különösen annak 308. cikkére,
tekintettel a Bizottság javaslatára,
tekintettel az Európai Parlament véleményére (1),
tekintettel az Európai Központi Bank véleményére (2),
mivel:
(1) 2004 júniusában az Európai Tanács egy, a kritikus infrastruktúrák védelmére vonatkozó átfogó stratégia elkészítését kérte. Ezt követően a Bizottság 2004. október 20-án közleményt fogadott el "A létfontosságú infrastruktúrák védelme a terrorizmus elleni küzdelemben" címmel, amely javaslatokat tett arra vonatkozóan, hogyan lehetne az európai megelőzést, felkészültséget és reagálást javítani a kritikus infrastruktúrákat érintő terrortámadások tekintetében.
(2) 2005. november 17-én a Bizottság zöld könyvet fogadott el a kritikus infrastruktúrák védelmére vonatkozó európai programról, amely választási lehetőségeket nyújtott a program, valamint a kritikus infrastruktúrák figyelmeztető információs hálózatának kidolgozásához. A zöld könyvre adott válaszok hangsúlyozták a kritikus infrastruktúrák védelmével kapcsolatos közösségi keret felállításában rejlő hozzáadott értéket. Elismerték továbbá annak szükségességét, hogy Európában növelni kell a kritikus infrastruktúrák védelmét szolgáló kapacitást, valamint segíteni kell a kritikus infrastruktúrákkal kapcsolatos sebezhetőség csökkentését. Hangsúlyozták a szubszidiaritás, az arányosság és a kiegészítő jelleg mint legfőbb elvek fontosságát, valamint a szereplőkkel folytatott párbeszéd jelentőségét.
(3) 2005 decemberében a Bel- és Igazságügyi Tanács felkérte a Bizottságot, hogy terjesszen elő javaslatot a kritikus infrastruktúrák védelmére vonatkozó európai programról (European Programme for Critical Infrastructure Protection - a továbbiakban: az EPCIP), és úgy döntött, hogy a programnak összveszély-megközelítésen kell alapulnia, elsőbbséget adva a terrorizmusból eredő veszélyekkel szembeni küzdelemnek. E megközelítés értelmében a kritikus infrastruktúrák védelmével kapcsolatban figyelembe kell venni az ember által okozott technológiai veszélyeket és a természeti katasztrófákat is, azonban a terrorveszélynek kell elsőbbséget adni.
(4) 2007 áprilisában a Tanács következtetéseket fogadott el az EPCIP-ről, melyben újfent hangsúlyozta a tagállamok alapvető felelősségét az országhatárokon belül található kritikus infrastruktúrák védelmének megszervezése terén, továbbá üdvözölte a Bizottságnak az európai kritikus infrastruktúrák (European Critical Infrastructure - a továbbiakban: az ECI) azonosítására és kijelölésére, valamint védelmük javítása szükségességének értékelésére vonatkozó európai eljárás kialakítására irányuló erőfeszítéseit.
(5) Ez az irányelv az első lépést jelenti az ECI-k azonosítása és kijelölése, valamint védelmük javítása szükségességének értékelése terén alkalmazott fokozatos megközelítésben. Ez az irányelv az energiaágazatra és a közlekedési ágazatra összpontosít, és felülvizsgálatára hatásának és annak értékelése céljából kerül sor, hogy szükséges-e más ágazatokat is - többek között az információs és kommunikációs technológiák (IKT) ágazatát - az irányelv hatálya alá vonni.
(6) Az ECI-k védelmének elsődleges és végső felelőssége a tagállamokat és az infrastruktúrák tulajdonosait/üzemeltetőit terheli.
(7) A Közösségben számos olyan kritikus infrastruktúra van, amelyek működési zavara vagy megsemmisítése több tagállamban is komoly következményekkel járna. Ilyen következmények lehetnek az összekapcsolt infrastruktúrák közötti kölcsönös függőségből eredő, határokon átnyúló, több ágazatot érintő hatások. Az ilyen ECI-ket közös eljárással kell azonosítani és kijelölni. A rájuk vonatkozó biztonsági követelmények értékelését közös minimumszabályok alapján kell elvégezni. A kritikus infrastruktúrák védelme területén a tagállamok közötti kétoldalú együttműködési rendszerek jól megalapozott és hatékony eszközt jelentenek a határokon átnyúló kritikus infrastruktúrák kezelésében. Az EPCIP-nek ilyen együttműködésre kell épülnie. Valamely infrastruktúra ECI-ként való kijelölésére vonatkozó információt megfelelő szinten kell minősíteni a meglévő közösségi és tagállami jogszabályokkal összhangban.
(8) Mivel a különböző ágazatok a kritikus infrastruktúrák védelme területén különböző tapasztalatokkal, szakértelemmel és igényekkel rendelkeznek, a kritikus infrastruktúrák védelmére vonatkozó közösségi megközelítés kidolgozása és végrehajtása során figyelembe kell venni az ágazati sajátosságokat és a fennálló ágazati intézkedéseket, ideértve a közösségi, nemzeti és regionális szinten már meglévő intézkedéseket, valamint adott esetben a kritikus infrastruktúrák tulajdonosai/üzemeltetői között már létrejött, határokon átnyúló kölcsönös segítségnyújtási megállapodásokat is. Tekintettel arra, hogy a magánszektor igen jelentős mértékben vesz részt a kockázatok figyelemmel kísérésében és kezelésében, a működési folytonosság tervezésében és a katasztrófa utáni helyreállításban, a közösségi megközelítésnek ösztönöznie kell a magánszektor teljes bevonását.
(9) Az energiaágazatban, különösen (a villamosenergia-ellátás tekintetében) a villamosenergia-termelési és -továbbítási módszerek vonatkozásában a villamosenergia-termelés adott esetben magában foglalhatja az atomerőművek villamosenergia-továbbításra szolgáló részeit, viszont a nukleáris energiára vonatkozó megfelelő jogszabályok - többek között a szerződések és a közösségi jog - hatálya alá tartozó, kifejezetten nukleáris elemeket nem.
(10) Ezen irányelv kiegészíti a fennálló ágazati intézkedéseket közösségi és tagállami szinten egyaránt. Amennyiben már bevezettek közösségi mechanizmusokat, azokat továbbra is alkalmazni kell, és e mechanizmusok hozzájárulnak majd ezen irányelv átfogó végrehajtásához. A különböző jogi aktusok vagy rendelkezések közötti átfedéseket és ellentmondásokat el kell kerülni.
(11) Valamennyi kijelölt ECI tekintetében gondoskodni kell arról, hogy létezzen egy üzemeltetői biztonsági terv (Operator Security Plan - a továbbiakban: az OSP), vagy ezzel egyenértékű olyan intézkedések kerüljenek bevezetésre, amelyek magukban foglalják a jelentős eszközök meghatározását, kockázatértékelést, valamint az ellenintézkedések és -eljárások meghatározását, kiválasztását és rangsorolását. A felesleges munka és az átfedések elkerülése érdekében az egyes tagállamoknak első lépésként fel kell mérniük, hogy a kijelölt ECI-k tulajdonosai/üzemeltetői rendelkeznek-e megfelelő OSP-kkel vagy bevezettek-e hasonló jellegű intézkedéseket. Amennyiben ilyen terv nem létezik, az egyes tagállamoknak meg kell tenniük a szükséges lépéseket a megfelelő intézkedések bevezetésére. A tagállamok maguk döntik el, hogy milyen intézkedést tartanak a legalkalmasabbnak az OSP-k kidolgozására.
(12) Azok az intézkedések, elvek és iránymutatások, köztük közösségi intézkedések és a kétoldalú és/vagy többoldalú együttműködési rendszerek is, amelyek rendelkeznek az OSP-hez hasonló vagy azzal egyenértékű tervről, vagy rendelkeznek biztonsági összekötő tisztviselő vagy ezzel egyenértékű funkciót betöltő személy alkalmazásáról, úgy tekintendők, mint amelyek megfelelnek ezen irányelvben foglalt, az OSP-re, illetőleg a biztonsági összekötő tisztviselőre vonatkozó követelményeknek.
(13) Valamennyi kijelölt ECI tekintetében gondoskodni kell egy biztonsági összekötő tisztviselő kijelöléséről a kritikus infrastruktúrák védelméért felelős megfelelő nemzeti hatóságokkal való együttműködés és kapcsolattartás megkönnyítése érdekében. A felesleges munka és az átfedések elkerülése érdekében az egyes tagállamoknak első lépésként fel kell mérniük, hogy a kijelölt ECI-k tulajdonosai/üzemeltetői alkalmaznak-e már biztonsági összekötő tisztviselőt vagy egy ezzel egyenértékű funkciót betöltő személyt. Amennyiben nem, az egyes tagállamok megteszik a szükséges lépéseket a megfelelő intézkedések foganatosítása érdekében. A tagállamok maguk döntik el, hogy milyen intézkedést tartanak legalkalmasabbnak a biztonsági összekötő tisztviselők kijelölésére.
(14) Az egyes ágazatokat jellemző sebezhetőségi pontok, veszélyek és kockázatok hatékony azonosítása egyaránt megköveteli az ECI-k tulajdonosai/üzemeltetői és a tagállamok közötti, valamint a tagállamok és a Bizottság közötti kommunikációt. Minden tagállamnak információt kell gyűjtenie a területén található ECI-kről. A tagállamoknak általános információkkal kell szolgálniuk a Bizottság számára az azon ágazatokat jellemző sebezhetőségi pontokra, veszélyekre és kockázatokra vonatkozóan, amely ágazatokban ECI-t azonosítottak, ideértve adott esetben az ilyen ECI-k fejlesztésének lehetőségére, valamint az ágazatokon átnyúló kölcsönös függőségre vonatkozó információkat is, és szükség esetén ezen információk alapján lehetne kidolgozni az ECI-k védelmének javítására irányuló konkrét bizottsági javaslatokat.
(15) Annak érdekében, hogy könnyebb legyen az ECI-k védelmét javítani, közös módszereket lehet kidolgozni az infrastrukturális eszközök sebezhetőségi pontjainak, valamint az azokat fenyegető veszélyeknek és kockázatoknak az azonosítására és osztályozására.
(16) Az ECI-k tulajdonosai/üzemeltetői számára hozzáférést kell biztosítani a kritikus infrastruktúrák védelmével kapcsolatos legjobb gyakorlatokhoz és módszerekhez, elsősorban az érintett tagállami hatóságokon keresztül.
(17) Az ECI-k hatékony védelme nemzeti és közösségi szinten egyaránt megköveteli a kommunikációt, a koordinációt és az együttműködést. Ez leghatékonyabban úgy érhető el, ha valamennyi tagállam az európai kritikus infrastruktúrák védelmével foglalkozó kapcsolattartó pontot nevez ki (European Critical Infrastructure Protection Contact Point - a továbbiakban: az ECIP kapcsolattartó pont), amely az európai kritikus infrastruktúrák védelmével kapcsolatos kérdéseket nemzeti szinten, valamint a többi tagállammal és a Bizottsággal is koordinálja.
(18) Az európai kritikus infrastruktúrák védelmét célzó tevékenységek olyan területeken történő kidolgozása érdekében, amelyek megkívánják az információk bizonyos mértékű minősítését, helyénvaló ezen irányelv keretében következetes és biztonságos információcserét biztosítani. Fontos az alkalmazandó nemzeti jog vagy az Európai Parlament, a Tanács és a Bizottság dokumentumaihoz való nyilvános hozzáférésről szóló, 2001. május 30-i 1049/2001/EK európai parlamenti és tanácsi rendelet (3) szerinti titokvédelemről szóló szabályok betartása a kritikus infrastrukturális eszközökre vonatkozó olyan konkrét adatok tekintetében, amelyek felhasználhatók a kritikus infrastrukturális létesítményeket elfogadhatatlan mértékben sújtó cselekmények tervezése és kivitelezése során. A minősített információt a vonatkozó közösségi és tagállami jogszabályoknak megfelelően kell védeni. Az egyes tagállamoknak és a Bizottságnak tiszteletben kell tartania a dokumentum kibocsátója által adott biztonsági minősítést.
(19) Az ECI-kkel kapcsolatos információcserének a bizalmon és a biztonságon kell alapulnia. Az információcsere olyan bizalmi viszonyt követel, amelyben a vállalatok és szervezetek tudják, hogy érzékeny és bizalmas adataik megfelelő védelmet kapnak.
(20) Mivel ezen irányelv céljait - nevezetesen azt, hogy eljárás jöjjön létre az ECI-k azonosítására és kijelölésére, valamint közös megközelítés alakuljon ki annak értékeléséhez, hogy szükséges-e ezen infrastruktúrák védelmét javítani - a tagállamok nem tudják kielégítően megvalósítani, és ezért azok az intézkedés terjedelme miatt közösségi szinten jobban megvalósíthatók, a Közösség intézkedéseket hozhat a Szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez az irányelv nem lépi túl az e célok eléréséhez szükséges mértéket.
(21) Ezen irányelv tiszteletben tartja azon alapvető jogokat és megfelel azoknak az alapelveknek, amelyeket különösen az Európai Unió alapjogi chartája állapít meg,
ELFOGADTA EZT AZ IRÁNYELVET:
1. cikk
Tárgy
Ez az irányelv eljárást hoz létre az európai kritikus infrastruktúrák (European Critical Infrastructures - a továbbiakban: az ECI) azonosítására és kijelölésére, valamint közös megközelítést alakít ki annak értékelésére vonatkozóan, hogy a személyek védelméhez való hozzájárulás érdekében szükséges-e ezen infrastruktúrák védelmét javítani.
2. cikk
Fogalommeghatározások
Ezen irányelv alkalmazásában:
a) "kritikus infrastruktúra": a tagállamokban található azon eszközök, rendszerek vagy ezek részei, amelyek elengedhetetlenek a létfontosságú társadalmi feladatok ellátásához, az egészségügyhöz, a biztonsághoz, az emberek gazdasági és szociális jólétéhez, valamint amelyek megzavarása vagy megsemmisítése e feladatok folyamatos ellátásának hiánya miatt jelentős következményekkel járna valamely tagállamban;
b) "európai kritikus infrastruktúra" vagy "ECI": a tagállamokban található olyan kritikus infrastruktúra, amelynek megzavarása vagy megsemmisítése jelentős hatással lenne legalább két tagállamra. A hatás jelentőségét a horizontális kritériumok alapján kell értékelni. Ide tartoznak azok a hatások is, amelyek az egyéb típusú infrastruktúrákkal fennálló, ágazatokon átnyúló kölcsönös függőségből erednek;
c) "kockázatelemzés": a vonatkozó fenyegetettségi forgatókönyvek vizsgálata a kritikus infrastruktúrák sebezhetőségének, valamint a megzavarásuk vagy megsemmisítésük által okozott potenciális hatásnak az értékelése céljából;
d) "a kritikus infrastruktúrák védelmével kapcsolatos érzékeny információk": valamely kritikus infrastruktúrára vonatkozó olyan adatok, amelyek - nyilvánosságra hozataluk esetén - felhasználhatók olyan tervekhez és cselekményekhez, amelyek kritikus infrastrukturális létesítmények megzavarására vagy megsemmisítésére irányulnak;
e) "védelem": a kritikus infrastruktúra funkciójának, folyamatos működésének és sértetlenségének biztosítását célzó, a fenyegetettség, a kockázat vagy a sebezhetőség megakadályozására, enyhítésére vagy semlegesítésére irányuló valamennyi tevékenység;
f) "az európai kritikus infrastruktúrák tulajdonosai/üzemeltetői": azon jogalanyok, akik a beruházásokért és/vagy az ezen irányelv szerint ECI-nek kijelölt konkrét eszközök, rendszerek vagy azok részei napi működéséért és az azokba történő beruházásért felelősek.
3. cikk
Az ECI-k azonosítása
(1) Az egyes tagállamok a III. mellékletben előírt eljárásnak megfelelően meghatározzák azokat a potenciális ECI-ket, amelyek megfelelnek a horizontális és ágazati kritériumoknak, valamint a 2. cikk a) és b) pontjában foglalt meghatározásoknak.
A Bizottság - kérésükre - segítheti a tagállamokat a potenciális ECI-k beazonosításában.
A Bizottság felhívhatja az érintett tagállamok figyelmét az olyan potenciális kritikus infrastruktúra meglétére, amely úgy tekinthető, hogy kielégíti az ECI-nek történő kijelölés feltételeit.
Az egyes tagállamok és a Bizottság állandó jelleggel folytatják a potenciális ECI-k beazonosítását.
(2) Az (1) bekezdésben említett horizontális kritériumok közé a következők tartoznak:
a) a veszteségek kritériuma (a halottak és sebesültek feltételezhető száma alapján);
b) a gazdasági hatás kritériuma (a gazdasági veszteség és/vagy a termékek, illetve szolgáltatások romlásának mértéke alapján, ideértve a várható környezeti hatásokat is);
c) a társadalmi hatás kritériuma (a közbizalomra tett hatás, a fizikai szenvedés és a mindennapi élet rendjének felborulása alapján értékelve; beleértve az alapvető szolgáltatások veszteségeit is).
A horizontális kritériumok küszöbértékeit az adott infrastruktúra megzavarása vagy megsemmisítése következményeinek súlyossága alapján kell meghatározni. A horizontális kritériumokra vonatkozó konkrét küszöbértékeket az adott kritikus infrastruktúrában érintett tagállamok eseti alapon határozzák meg. Az egyes tagállamok minden évben tájékoztatják a Bizottságot azon infrastruktúrák ágazatonkénti számáról, amelyek tekintetében a horizontális kritériumok küszöbértékeivel kapcsolatban megbeszéléseket folytattak.
Az ágazati kritériumok esetében figyelembe kell venni az ECI-vel rendelkező egyes ágazatok jellegzetességeit.
A Bizottság a tagállamokkal együtt iránymutatásokat dolgoz ki a horizontális és ágazati kritériumok alkalmazására, valamint az ECI-k azonosítása során alkalmazandó küszöbértékek hozzávetőleges értékére vonatkozóan. Ezek a kritériumok minősített információk. Ezen iránymutatások követése tetszőleges a tagállamok számára.
(3) Az ezen irányelv végrehajtásában érintett ágazatok az energiaágazat és a közlekedési ágazat. Az alágazatokat az I. melléklet tartalmazza.
Amennyiben célszerűnek tűnik, az ezen irányelv 11. cikkében előírt felülvizsgálat kapcsán meghatározhatók további olyan ágazatok is, amelyek tekintetében ezt az irányelvet végre kell hajtani. Elsőbbséget kell biztosítani az IKT ágazatának.
4. cikk
Az ECI-k kijelölése
(1) Valamennyi tagállam ellátja a többi olyan tagállamot, amelyre egy adott potenciális ECI jelentős hatással lehet, az infrastruktúra beazonosításához szükséges információkkal, valamint tájékoztatja arról, hogy miért jelölte azt ki ECI-nek.
(2) Valamennyi olyan tagállam, amelynek területén potenciális ECI található, két- és/vagy többoldalú megbeszéléseket folytat a többi olyan tagállammal, amelyre a potenciális ECI jelentős hatással lehet. A Bizottság részt vehet ezeken a megbeszéléseken, azonban nem lesz hozzáférése olyan részletességű információhoz, amely lehetővé tenné egy adott infrastruktúra egyértelmű beazonosítását.
Ha egy tagállam megalapozottan úgy véli, hogy a potenciális ECI jelentős hatással lehet rá, de az a tagállam, amelynek a területén a potenciális ECI található, nem jelölte meg ilyenként, tájékoztathatja a Bizottságot arról a kívánságáról, hogy vonják be a kérdéssel kapcsolatos két- és/vagy többoldalú megbeszélésekbe. A Bizottság erről a kérésről haladéktalanul tájékoztatja azt a tagállamot, amelynek területén a potenciális ECI elhelyezkedik, és törekszik az érintettek közötti megállapodás előmozdítására.
(3) Az a tagállam, amelynek területén a potenciális ECI elhelyezkedik, az infrastruktúrát azt követően minősíti ECI-nek, hogy erről az adott tagállam és azon tagállamok, amelyekre az infrastruktúra jelentős hatást gyakorolhat, megállapodtak.
Szükséges azon tagállam beleegyezése, amelynek területén az ECI-nek kijelölendő infrastruktúra található.
(4) Az a tagállam, amelynek területén egy kijelölt ECI található, évente tájékoztatja a Bizottságot az ECI-nek minősített infrastruktúrák ágazatonkénti számáról, valamint azon tagállamok számáról, amelyek az egyes kijelölt ECI-ktől függenek. Csak azok a tagállamok ismerhetik egy adott ECI azonosításához szükséges információkat, amelyekre az jelentős hatással lehet.
(5) Az a tagállam, amelynek területén az ECI található, tájékoztatja az infrastruktúra tulajdonosát/üzemeltetőjét annak ECI-vé történt kijelöléséről. Megfelelő szintű minősítéssel kell védeni az arra vonatkozó információt, hogy egy adott infrastruktúrát ECI-nek jelöltek ki.
(6) Az ECI azonosításának és kijelölésének a 3. cikk és ezen cikk szerinti folyamatát 2011. január 12-ig le kell zárni, és rendszeres időközönként felül kell vizsgálni.
5. cikk
Üzemeltetői biztonsági terv
(1) Az üzemeltetői biztonsági tervvel (Operator Security Plan - a továbbiakban: az OSP) kapcsolatos eljárás során azonosítani kell az ECI-k kritikus infrastrukturális eszközeit, és a védelmüket szolgáló meglévő, vagy olyan biztonsági megoldásokat, amelyek kialakítása folyamatban van. A II. melléklet részletezi, hogy minimálisan mit kell figyelembe venni az OSP-vel kapcsolatos eljárás során.
(2) Az egyes tagállamok megvizsgálják, hogy a területükön található kijelölt ECI-k mindegyike rendelkezik-e OSP-vel, vagy alkalmaz-e a II. mellékletben felsorolt kérdésekre irányuló, azzal egyenértékű intézkedéseket. Amennyiben a tagállamok megbizonyosodnak arról, hogy létezik OSP vagy azzal egyenértékű intézkedés, és azt rendszeresen naprakésszé teszik, további végrehajtási intézkedésre nincs szükség.
(3) Amennyiben a tagállamok arra a megállapításra jutnak, hogy nem készült OSP, illetve nem vezettek be azzal egyenértékű intézkedést, megtesznek minden megfelelőnek ítélt intézkedést annak biztosítására, hogy a II. mellékletben felsorolt kérdésekre irányuló OSP vagy ezzel egyenértékű intézkedés elkészüljön.
Valamennyi tagállam megbizonyosodik arról, hogy a kritikus infrastruktúra ECI-vé nyilvánítását követő egy éven belül kidolgozzák az OSP-t vagy ezzel egyenértékű intézkedést, majd azt rendszeresen felülvizsgálják. Ez az időszak kivételes esetben, a tagállami hatóság beleegyezésével és a Bizottságnak küldött értesítéssel meghosszabbítható.
(4) Amennyiben már léteznek felügyeleti rendelkezések egy adott ECI vonatkozásában, ezeket a rendelkezéseket ez a cikk nem érinti, és az e cikkben említett illetékes tagállami hatóság látja el a létező rendelkezések szerinti felügyeletet.
(5) Az olyan intézkedéseknek, többek között közösségi intézkedéseknek való megfelelés, amelyek egy konkrét ágazatban megkövetelik az OSP-hez hasonló vagy azzal egyenértékű terv meglétét és annak az illetékes hatóság általi felügyeletét, vagy utalnak ezen terv és felügyelet szükségességére, úgy tekintendő, mint amely kielégíti az e cikkben foglalt vagy e cikk alapján elfogadott valamennyi tagállami követelményt. A 3. cikk (2) bekezdésében említett alkalmazási iránymutatásoknak tartalmazniuk kell az említett intézkedések indikatív jegyzékét.
6. cikk
Biztonsági összekötő tisztviselő
(1) A biztonsági összekötő tisztviselő biztonsági kérdésekben kapcsolattartó pontként szolgál az ECI tulajdonosa/üzemeltetője és az illetékes tagállami hatóság között.
(2) Az egyes tagállamok megvizsgálják, hogy a területükön található kijelölt ECI-k mindegyike alkalmaz-e biztonsági összekötő tisztviselőt vagy egy ezzel egyenértékű funkciót betöltő személyt. Amennyiben a tagállamok megbizonyosodnak egy biztonsági összekötő tisztviselő vagy egy ezzel egyenértékű funkciót betöltő személy alkalmazásáról, további végrehajtási intézkedésre nincs szükség.
(3) Amennyiben a tagállamok arra a megállapításra jutnak, hogy nem alkalmaznak biztonsági összekötő tisztviselőt vagy ezzel egyenértékű funkciót betöltő személyt valamely kijelölt ECI vonatkozásában, megtesznek minden megfelelőnek ítélt intézkedést annak biztosítására, hogy biztonsági összekötő tisztviselőt vagy ezzel egyenértékű funkciót betöltő személyt jelöljenek ki.
(4) Az érintett ECI tekintetében azonosított kockázatokkal és veszélyekkel kapcsolatos releváns információk cseréje céljából valamennyi tagállam megfelelő kommunikációs mechanizmust hoz létre az illetékes tagállami hatóság és a biztonsági összekötő tisztviselő vagy ezzel egyenértékű funkciót betöltő személy között. Ez a kommunikációs mechanizmus nem sértheti az érzékeny és minősített információkhoz való hozzáférésre vonatkozó nemzeti előírásokat.
(5) Az olyan intézkedéseknek, többek között közösségi intézkedéseknek való megfelelés, amelyek egy konkrét ágazatban megkövetelik egy biztonsági összekötő tisztviselő vagy ezzel egyenértékű funkciót betöltő személy alkalmazását, vagy utalnak ennek szükségességére, úgy tekintendő, mint amely kielégíti az e cikkben foglalt vagy e cikk alapján elfogadott valamennyi tagállami követelményt. A 3. cikk (2) bekezdésében említett alkalmazási iránymutatásoknak tartalmazniuk kell az említett intézkedések indikatív jegyzékét.
7. cikk
Jelentéstétel
(1) Valamennyi tagállam veszélyértékelést végez az ECI-alágazatokra vonatkozóan, a kritikus infrastruktúra adott alágazaton belüli ECI-vé nyilvánítását követő egy éven belül.
(2) Valamennyi tagállam kétévente általános adatokat tartalmazó összefoglaló jelentést küld a Bizottságnak ECI-ágazatonként a 4. cikk értelmében ECI-ként kijelölt és a területükön található ágazatok sebezhetőségi pontjainak, az azokat fenyegető veszélyeknek és kockázatoknak típusairól.
A Bizottság a tagállamokkal együttműködésben közös mintát dolgozhat ki e jelentésekre.
A jelentést kibocsátó tagállam az általa szükségesnek ítélt szintű minősítéssel látja el valamennyi jelentést.
(3) A (2) bekezdésben említett jelentések alapján a Bizottság és a tagállamok ágazatonként felmérik, hogy az ECI-k tekintetében milyen további, közösségi szintű védekezési intézkedésekre lehet szükség. Ezt az eljárást az ezen irányelvnek a 11. cikkben előírt felülvizsgálatával összefüggésben kell végrehajtani.
(4) A Bizottság a tagállamokkal együttműködésben közös módszertani útmutatást dolgozhat ki az ECI-kkel kapcsolatos kockázatelemzésekre vonatkozóan. Ezen iránymutatások követése tetszőleges a tagállamok számára.
8. cikk
Az ECI-k Bizottság általi támogatása
A Bizottság az illetékes tagállami hatóságon keresztül támogatja a kijelölt ECI-k tulajdonosait/üzemeltetőit az elérhető legjobb gyakorlatok és módszerek rendelkezésre bocsátásával, továbbá támogatja a kritikus infrastruktúrák védelmével kapcsolatos új műszaki eredményekre vonatkozó képzést és információcserét.
9. cikk
Az európai kritikus infrastruktúrákvédelmére vonatkozó érzékeny információ
(1) A valamely tagállam vagy a Bizottság nevében ezen irányelv alapján minősített információkat kezelő személyeknek megfelelő szintű biztonsági átvilágításon kell átesniük.
A tagállamok, a Bizottság és az illetékes felügyeleti szervek biztosítják, hogy a kritikus infrastruktúrák védelmével kapcsolatosan a tagállamokhoz vagy a Bizottsághoz eljuttatott érzékeny információkat kizárólag a kritikus infrastruktúrák védelme céljából használják fel.
(2) E cikket alkalmazni kell az érzékeny témákat megvitató üléseken megosztott, nem írásbeli információkra is.
10. cikk
Az Európai kritikus infrastruktúrák védelmével foglalkozó kapcsolattartó pontok
(1) Valamennyi tagállam az európai kritikus infrastruktúrák védelmével foglalkozó kapcsolattartó pontot nevez ki (European Critical Infrastructure Protection Contact Point - a továbbiakban: az ECIP kapcsolattartó pont).
(2) Az ECIP kapcsolattartó pont koordinálja az európai kritikus infrastruktúrák védelmével kapcsolatos kérdéseket a tagállamon belül, valamint a többi tagállammal és a Bizottsággal. Az európai CIP kapcsolattartó pontok kinevezése nem zárja ki, hogy a tagállam más hatóságai is foglalkozzanak az európai kritikus infrastruktúrák védelmével kapcsolatos kérdésekkel.
11. cikk
Felülvizsgálat
Ezen irányelv felüvizsgálata 2012. január 12-én kezdődik.
12. cikk
Végrehajtás
A tagállamok meghozzák azokat az intézkedéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek 2011. január 12-ig megfeleljenek. Erről haladéktalanul tájékoztatják a Bizottságot, és közlik vele ezen intézkedések szövegét, valamint azoknak ezen irányelvvel való megfelelését.
Amikor a tagállamok elfogadják ezeket az intézkedéseket, azokban hivatkozni kell erre az irányelvre, vagy azokhoz hivatalos kihirdetésük alkalmával ilyen hivatkozást kell fűzni. A hivatkozás módját a tagállamok határozzák meg.
13. cikk
Hatálybalépés
Ez az irányelv az Európai Unió Hivatalos Lapjában való kihirdetésének napján lép hatályba.
14. cikk
Címzettek
Ennek az irányelvnek a tagállamok a címzettjei.
Kelt Brüsszelben, 2008. december 8-án.
a Tanács részéről
az elnök
B. KOUCHNER
(1) Az Európai Parlament 2007. július 10-i véleménye (a Hivatalos Lapban még nem tették közzé).
(2) HL C 116., 2007.5.26., 1. o.
(3) HL L 145., 2001.5.31., 43. o.
I. MELLÉKLET
Az ECI-ágazatok listája
SZÖVEG HIÁNYZIK |
Az ECI-ként kijelölhető kritikus infrastruktúráknak a tagállamok általi azonosítása a 3. cikk alapján történik. Ezért az ECI-ágazatok listája önmagában nem teremt általános kötelezettséget arra, hogy minden egyes ágazatban európai kritikus infrastruktúrát jelöljenek ki.
II. MELLÉKLET
AZ ECI OSP-VEL KAPCSOLATOS ELJÁRÁS
Az OSP azonosítja a kritikus infrastrukturális eszközöket, és a védelmüket szolgáló meglévő, vagy olyan biztonsági megoldásokat, amelyeknek kialakítása folyamatban van. Az ECI OSP-vel kapcsolatos eljárás legalább a következőkre terjed ki:
1. a fontos eszközök azonosítása;
2. a főbb fenyegetettségi forgatókönyveken, az egyes eszközök sebezhetőségén és a potenciális hatásokon alapuló kockázatelemzés; és
3. az ellenintézkedések és -eljárások azonosítása, kiválasztása és rangsorolása az alábbiak megkülönböztetésével:
- állandó biztonsági intézkedések, amelyek olyan nélkülözhetetlen biztonsági beruházásokat és eszközöket azonosítanak, amelyeknek fontos az állandó alkalmazása. Ez a rész az általános intézkedésekről tartalmaz majd információkat, úgymint technikai intézkedések (ideértve a felderítési, hozzáférés-ellenőrzési, védelmi és megelőzési eszközök felszerelését is); szervezési intézkedések (ideértve a riasztási eljárásokat és a válságkezelést is); ellenőrzési és felügyeleti intézkedések; kommunikáció; tudatosságnövelés és képzés; valamint az információs rendszerek biztonsága,
- különböző fokozatú biztonsági intézkedések, amelyeket a különböző kockázati és veszélyszinteknek megfelelően foganatosíthatnak.
III. MELLÉKLET
A 3. cikk alapján ECI-ként kijelölhető kritikus infrastruktúrák tagállamok általi azonosítására vonatkozó eljárás
A 3. cikk előírja, hogy valamennyi tagállamnak azonosítania kell az ECI-ként kijelölhető kritikus infrastruktúrákat. Ezt az eljárást az egyes tagállamok az alábbi egymást követő lépések sorozatán keresztül hajtják végre.
Azon potenciális ECI-k, amelyek nem elégítik ki az alábbi egymást követő lépések valamelyike által támasztott követelményeket, "nem ECI"-nek tekintendők, és rájuk az eljárás nem vonatkozik. Azon potenciális ECI-kre, amelyek megfelelnek a fogalommeghatározásoknak, alkalmazni kell ezen eljárás következő lépéseit.
1. lépés
Az egy ágazaton belüli kritikus infrastruktúrák első körben történő kiválasztása érdekében az egyes tagállamok az ágazati kritériumokat alkalmazzák.
2. lépés
Az 1. lépés alapján beazonosított potenciális ECI-kre az egyes tagállamok a kritikus infrastruktúrákra vonatkozó, a 2. cikk a) pontjában foglalt fogalommeghatározást alkalmazzák.
A hatás jelentőségét vagy a kritikus infrastruktúrák azonosítására szolgáló nemzeti módszerek alkalmazásával, vagy a horizontális kritériumok alapján állapítják meg, a megfelelő tagállami szinten. A kritikus szolgáltatásokat nyújtó infrastruktúra esetében figyelembe kell venni a lehetséges alternatívákat, valamint a megzavarás/helyreállítás időtartamát is.
3. lépés
Azon potenciális ECI-kre, amelyek megfeleltek ezen eljárás első két lépésének, az egyes tagállamok az ECI-re vonatkozó, a 2. cikk b) pontjában foglalt fogalommeghatározás határon átnyúló jelleggel kapcsolatos elemét alkalmazzák. Azon potenciális ECI-kre, amelyek megfelelnek a fogalommeghatározásnak, az eljárás következő lépését alkalmazzák. A kritikus szolgáltatásokat nyújtó infrastruktúra esetében figyelembe kell venni a lehetséges alternatívákat, valamint a megzavarás/helyreállítás időtartamát is.
4. lépés
Az így megmaradó potenciális ECI-kre az egyes tagállamok a horizontális kritériumokat alkalmazzák. A horizontális kritériumok figyelembe veszik: a hatás súlyosságát; valamint a kritikus szolgáltatásokat nyújtó infrastruktúra esetében a lehetséges alternatívákat, és a megzavarás/helyreállítás időtartamát. Azon potenciális ECI-k, amelyek nem elégítik ki a horizontális kritériumokat, nem tekintendők ECI-nek.
Az ezen eljárásnak megfelelt potenciális ECI-kről csak azon tagállamokat lehet tájékoztatni, amelyeket a potenciális ECI jelentős mértékben érinthet.
Lábjegyzetek:
[1] A dokumentum eredetije megtekinthető CELEX: 32008L0114 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32008L0114&locale=hu A dokumentum konszolidált változatai magyar nyelven nem elérhetőek.