KOMISE EVROPSKÝCH SPOLEČENSTVÍ
V Bruselu dne 17.11.2005 KOM(2005) 576 v konečném znění
ZELENÁ KNIHA O EVROPSKÉM PROGRAMU NA OCHRANU KRITICKÉ INFRASTRUKTURY
(předložený Komisí)
CS
CS
ZELENÁ KNIHA O EVROPSKÉM PROGRAMU NA OCHRANU KRITICKÉ INFRASTRUKTURY
1.
SOUVISLOSTI
Kritická infrastruktura (CI) může být poškozena, zničena nebo narušena úmyslnými teroristickými činy, přírodními pohromami, nedbalostí, nehodami nebo počítačovým hackerstvím, trestnou činností a chováním se zlým úmyslem. Pro účinnou ochranu lidských životů v ohrožení a majetku na území EU před terorismem, přírodními pohromami a nehodami, je nezbytné, aby veškerá narušení či manipulace s kritickou infrastrukturou byla, v rámci možností, krátká, málo četná, řiditelná, územně omezená, a měla minimální negativní dopad na dobré životní podmínky občanů členských států a celé Evropské unie. Nedávné teroristické útoky v Madridu a Londýně zdůraznily hrozbu teroristických útoků na evropskou infrastrukturu. Reakce EU tak musí být rychlá, koordinovaná a účinná. Evropská rada na svém zasedání v červnu 2004 požádala Komisi o přípravu celkové strategie na ochranu kritické infrastruktury. Komise na základě toho přijala 20. října 2004 sdělení „Ochrana kritické infrastruktury v boji proti terorismu“, v kterém předložila jasné návrhy, jak by se v EU měla zlepšit prevence, připravenost a schopnost reakce na teroristické útoky zasahující kritickou infrastrukturu. Rada ve svých závěrech nazvaných „Předcházení, připravenost a reakce na teroristické útoky“ a „Program solidarity EU o následcích teroristických hrozeb a útoků“ přijatých na zasedání Rady v prosinci 2004, podpořila záměr Komise předložit Evropský program na ochranu kritické infrastruktury (EPCIP) a souhlasila, aby Komise zřídila Výstražnou informační síť kritické infrastruktury (CIWIN). Komise následně uspořádala dva semináře a vyzvala členské státy k předložení návrhů a komentářů. První seminář o ochraně kritické infrastruktury v EU se konal za účasti členských států ve dnech 6.-7. června 2005. Po semináři poskytly členské státy Komisi související dokumenty s objasněním jejich přístupu k ochraně kritické infrastruktury a vyjádřily se k myšlenkám diskutovaným v rámci semináře. Návrhy byly předloženy v průběhu června a července a staly se základem dalšího vývoje ochrany kritické infrastruktury (CIP). Druhý seminář o ochraně kritické infrastruktury se konal ve dnech 12.13. září a měl za cíl pokročit v debatě o problematice CIP. Semináře se zúčastnily jak členské státy, tak průmyslová sdružení. Výsledkem bylo rozhodnutí Komise o předložení této zelené knihy popisující možnosti Evropského programu na ochranu kritické infrastruktury. 2.
CÍL ZELENÉ KNIHY
Hlavním cílem zelené knihy je zapojit velké množství subjektů a získat tak od nich konkrétní informace o politikách vhodných pro EPCIP. Účinná ochrana kritické infrastruktury vyžaduje komunikaci, koordinaci a spolupráci jak na národní, tak na evropské úrovni, a to mezi všemi zainteresovanými subjekty – vlastníky a provozovateli infrastruktur, regulačními orgány, profesními organizacemi a odvětvovými sdruženími, stejně jako všech úrovní státní a veřejné správy a také veřejnosti.
CS
2
CS
Zelená kniha předkládá možnosti, kterých může Komise využít, aby splnila požadavek Rady zřídit EPCIP a CIWIN, a zahajuje tak druhou fázi konzultačního procesu s cílem zavést Evropský program na ochranu kritické infrastruktury. Komise od předložení této zelené knihy očekává konkrétní reakce na možnosti politik, které jsou v dokumentu popsány. V závislosti na výsledcích konzultačního procesu by mohl být soubor politik EPCIP předložen během roku 2006. 3.
ÚČEL A OBLAST PŮSOBNOSTI EPCIP
3.1.
Hlavní cíl EPCIP
Cílem EPCIP by bylo zajistit, aby v rámci celé Evropské unie existovala přiměřená a rovnoměrná úroveň bezpečnostní ochrany kritické infrastruktury, co nejméně možností selhání a rychlá, vyzkoušená nápravná opatření. Úroveň ochrany by neměla být stejná pro všechny CI, ale měla by být odvozená od dopadu, jenž by mohlo způsobit jejich možné selhání. EPCIP by měl co nejvíce minimalizovat veškeré negativní dopady, které zvýšené investice na ochranu mohou mít na konkurenceschopnost příslušného odvětví. Při výpočtu přiměřenosti nákladů nesmíme opomíjet potřebu udržovat stabilitu trhů, která je rozhodující zejména u dlouhodobého investování, ani vliv, jenž taková ochrana má na vývoj akciových trhů a na makroekonomické prostředí. Dotaz Je to pro EPCIP přijatelný cíl? Pokud ne, jaký by měl být? 3.2.
Před čím by EPCIP měl chránit?
Ačkoli opatření přijatá při řízení následků mohou být ve většině případů identická či obdobná, ochranná opatření se v závislosti na typu ohrožení mohou lišit. Ohrožení, která výrazně snižují schopnost zajistit základní potřeby a bezpečnost obyvatelstva, udržet pořádek a zabezpečit poskytování základních služeb veřejnosti nebo řádné fungování hospodářství, mohou mít podobu úmyslných útoků nebo přírodních pohrom. V této oblasti existují následující možnosti: a) stejný přístup pro veškerá ohrožení – komplexní přístup, který počítá jak s hrozbami úmyslných útoků, tak přírodních pohrom. Zajistil by maximální synergický efekt mezi ochrannými opatřeními, ale bez zvláštního důrazu na terorismus; b) stejný přístup pro veškerá ohrožení, ale se zaměřením na terorismus – pružný přístup, který by zajistil návaznost na další druhy ohrožení, jako je hrozba úmyslných útoků či přírodních pohrom, ale s prioritním zaměřením na terorismus. Pokud je úroveň ochranných opatření u příslušného odvětví přiměřená, zainteresované subjekty by se měly zaměřit na ohrožení, kde jsou stále zranitelné; c) přístup zaměřený na terorismus – přístup orientovaný na terorismus, bez jakékoliv zvláštní pozornosti vůči běžnějším ohrožením.
CS
3
CS
Dotaz Který přístup by měl uplatňovat EPCIP? A proč? 4.
NÁVRH ZÁKLADNÍCH PRINCIPŮ
Jako základ EPCIP jsou navrhovány následující základní principy: • Subsidiarita – základem EPCIP by měl být princip subsidiarity, kdy ochrana kritické infrastruktury je v odpovědnosti subjektů především na národní úrovni. Hlavní odpovědnost za ochranu kritické infrastruktury by spadala pod členské státy a vlastníky/provozovatele jednající ve společném rámci. Komise by se naopak zaměřila na aspekty spojené s ochranou kritických infrastruktur s přeshraničním dosahem v rámci EU. Odpovědnost za rozhodnutí a plány na ochranu vlastního majetku by měla zůstat na vlastnících a provozovatelích. • Doplňkovost – společný rámec EPCIP by doplňoval již existující opatření. Zavedené komunitární mechanizmy by měly být nadále využívány, aby přispívaly k zajištění celkové implementace EPCIP. • Důvěrnost – sdílení informací o ochraně kritické infrastruktury by zůstalo zachováno v důvěrném prostředí. To je nezbytné zejména proto, že konkrétní údaje o kritické infrastruktuře by mohly být zneužity a způsobit tak její selhání nebo jiné nepřijatelné důsledky. Informace o ochraně kritické infrastruktury by byly jak na úrovni EU, tak na úrovni členských států utajovány a přístup k nim by byl povolen jen v potřebných případech. • Spolupráce zainteresovaných subjektů – svou roli při ochraně kritické infrastruktury mají všechny zainteresované subjekty včetně členských států, Komise, průmyslových/obchodních sdružení, normalizačních orgánů, vlastníků, provozovatelů a uživatelů („uživatel“ je definován jako organizace užívající danou infrastrukturu pro obchodní účely a pro poskytování služeb). Všichni by měli v rámci své odpovědnosti a specifické úlohy spolupracovat a přispívat tak k rozvoji a implementaci EPCIP. Vůdčí a koordinační úlohu při rozvoji a implementaci přístupu při ochraně kritické infrastruktury v rámci daného území, by měly orgány členských států. Takový přístup by měl být vždy konzistentní v celostátním měřítku. Vlastníci, provozovatelé a uživatelé by byli aktivně zapojeni jak na národní úrovni, tak na úrovni EU. Tam, kde neexistují odvětvové normy nebo ještě nebyly zavedeny normy mezinárodní, mohou normalizační orgány přijmout vhodné společné normy. • Proporcionalita – vzhledem k tomu, že by nebylo opodstatněné chránit veškerou infrastrukturu před všemi hrozbami (např. rozvodné sítě elektrické energie jsou příliš rozsáhlé na to, aby je bylo možné oplotit nebo hlídat), měly by být ochranné strategie a opatření úměrné úrovni daného nebezpečí. S pomocí vhodných technik řízení rizik lze soustředit pozornost na nejrizikovější oblasti, přičemž je nutno brát v úvahu danou hrozbu, její relativní význam pro infrastrukturu, poměr nákladů a výnosů, stávající úroveň bezpečnostní ochrany a účinnost dostupných zmírňujících strategií.
CS
4
CS
Dotaz Jsou tyto základní principy přijatelné? Jsou některé z nich zbytečné? Existují nějaké, které by mohly být přidány? Vezmete-li v úvahu, že ne všechnu infrastrukturu je možné chránit před všemi hrozbami, souhlasíte s tím, že ochranná opatření by měla být úměrná úrovni daného nebezpečí? 5.
SPOLEČNÝ RÁMEC EPCIP
Poškození nebo selhání jedné infrastruktury v jednom členském státě může negativně působit na ostatní státy a na evropskou ekonomiku jako celek. K takovým případům může docházet stále častěji, protože nové technologie (např. internet) a liberalizace trhu (např. dodávky elektřiny a plynu) způsobují, že mnoho infrastruktur je součástí širší sítě. V této situaci budou ochranná opatření silná pouze tak, jak v jejich nejslabším článku. Což znamená, že společná úroveň ochrany je nezbytná. Účinná ochrana vyžaduje komunikaci, koordinaci a spolupráci na národní, evropské (v případě potřeby) i mezinárodní úrovni mezi všemi zainteresovanými subjekty. Na úrovni EU by mohl být zaveden společný rámec na ochranu kritické infrastruktury, který by zajistil, že každý členský stát bude poskytovat přiměřenou a stejnou úroveň ochrany týkající se vlastní kritické infrastruktury a že pravidla hospodářské soutěže na vnitřním trhu nebudou narušována. S ohledem na podporu aktivit členských států by měla Komise zavést společný rámec na ochranu kritické infrastruktury a usnadnit tak identifikaci, výměnu a šíření nejlepších postupů týkajících se problematiky CIP. Působnost takového všeobecného rámce je však potřeba zvážit. Společný rámec EPCIP by obsahoval horizontální opatření definující pravomoci a odpovědnosti všech subjektů podílejících se na ochraně kritické infrastruktury, stejně jako položil základy pro odvětvově specifické přístupy. Společný rámec by měl doplnit existující odvětvová opatření na úrovni Společenství a členských států, tak aby poskytoval maximální možnou úroveň bezpečnosti kritické infrastruktury v EU. Prioritou by se mělo stát dosažení dohody o společném seznamu definic a odvětví, kterých se ochrana kritické infrastruktury týká. Vzhledem k velké rozmanitosti jednotlivých odvětví s kritickou infrastrukturou, může být obtížné přesně stanovit, která kritéria mají být použita k jejich identifikaci a ochraně na horizontální úrovni; to by mělo být provedeno na odvětvovém základě. Nicméně u určitých průřezových témat potřeba společné dohody existuje. Proto se navrhuje, aby posílení kritické infrastruktury v EU bylo dosaženo zavedením společného rámce EPCIP (společné cíle, metody, např. pro srovnávání, určování vzájemných závislostí), který by umožňoval výměnu nejlepších postupů a kontrolních mechanismů. Některé z prvků, které by měly být součástí společného rámce:
CS
5
CS
• společné principy CIP; • společně dohodnuté kódy/standardy; • obecné definice, na základě kterých mohou být vytvořeny odvětvově specifické definice (předběžný seznam definic je obsažen v příloze 1); • společný seznam odvětví s kritickou infrastrukturou (předběžný seznam odvětví je obsažen v příloze 2); • prioritní oblasti CIP; • popis odpovědností zúčastněných subjektů; • dohodnuté referenční ukazatele; • metody pro srovnávání a stanovení prioritních infrastruktur u jednotlivých odvětví. Společný rámec by měl rovněž minimalizovat potenciální deformační vlivy na vnitřní trh. Společný rámec EPCIP může být dobrovolný nebo povinný – anebo mix obojího v závislosti na jednotlivých tématech. V obou případech by však měl doplňovat existující odvětvová a horizontální opatření na úrovni Společenství a členských států; ačkoli jen právní rámec by poskytnul silný a vynutitelný právní základ pro soudržnou a jednotnou implementaci opatření na ochranu evropských kritických infrastruktur a jasně by definoval příslušnou odpovědnost členských států a Komise. Nezávazná dobrovolná opatření, i když budou flexibilní, neumožní jasně definovat, kdo co dělá. Komise by měla, v závislosti na výsledcích důkladných studií a s přihlédnutím k přiměřenosti navrhovaných opatření, použít pro své návrhy týkající se EPCIP více nástrojů, včetně legislativních. Tam, kde bude potřeba, budou návrhy na specifická opatření doplněny posouzením jejich dopadu. Dotazy Bude pro posílení CIP společný rámec účinný? Bude-li vyžadován právní rámec, jaké prvky by měl obsahovat? Souhlasíte s tím, že kritéria pro identifikaci různých typů evropské kritické infrastruktury a nezbytná ochranná opatření by měla být stanovena pro jednotlivá odvětví? Bude společný rámec užitečný pro objasnění odpovědnosti zúčastněných subjektů? Do jaké míry má být společný rámec povinný a do jaké dobrovolný? Jaká by měla být působnost společného rámce? Souhlasíte s předběžným seznamem pojmů a definic v příloze 1, na základě kterého mohou být vytvořeny (dle potřeby) odvětvově specifické definice? Souhlasíte s předběžným seznamem odvětví s kritickou infrastrukturou uvedeným v příloze 2?
CS
6
CS
6.
KRITICKÁ INFRASTRUKTURA NA ÚROVNI EU (ECI)
6.1.
Definice kritické infrastruktury na úrovni EU
Definice, která vymezuje evropskou kritickou infrastrukturu, by měla vycházet z přeshraničního charakteru, který bude mít pouze taková událost, která způsobí vážné důsledky i za hranicemi členského státu, ve kterém se infrastruktura nachází. Dalším prvkem, který by měla brát v úvahu, je skutečnost, že bilaterální režim spolupráce v oblasti CIP mezi členskými státy představuje dobře zavedený a účinný prostředek nakládání s CI přes hranice dvou členských států. Spolupráce tohoto typu by měla doplňovat EPCIP. ECI by měla zahrnovat takové materiální zdroje, služby, zařízení informačních technologií, sítě a majetek, které mají v případě narušení nebo zničení vážný dopad na zdraví, bezpečnost, zabezpečení, hospodářský nebo sociální blahobyt ve: (a)
dvou a více členských státech – včetně některé kritické infrastruktury bilaterální povahy (podle potřeby);
(b)
třech a více členských státech – kromě veškeré kritické infrastruktury bilaterální povahy.
Při porovnávání výhod těchto dvou možností, je třeba zvážit následující faktory: – fakt, že bude-li některá infrastruktura označena jako ECI, neznamená nutně další ochranná opatření. Stávající ochranná opatření, která mohou zahrnovat i bilaterální dohody mezi členskými státy, musí však být dostatečná a nevyžadovat změny kvůli označení jako ECI; – možnost (a) může znamenat vyšší počet infrastruktur označených jako ECI; – možnost (b) může znamenat pro infrastrukturu zahrnující pouze dva státy, že Společenství nebude hrát žádnou roli, ani v případě, že úroveň ochrany bude shledána jedním ze dvou států jako nedostatečná, zatímco druhý stát odmítne podniknout akci. Možnost (b) může rovněž vést k nárůstu bilaterálních dohod nebo naopak k neshodám mezi členskými státy. Podniky, které často fungují na celoevropské úrovni, mohou být zatíženy množstvím nejrůznějších dohod, což pro ně může znamenat zvýšené náklady. Navíc je známo, že CI, které pocházejí nebo existují mimo EU, ale jsou napojeny nebo mají potenciální přímý vliv na členské státy EU, musejí být rovněž vzaty v úvahu. Dotaz Měly by jako ECI být označeny infrastruktury s potenciálním přeshraničním dopadem v rámci dvou a více, nebo tří a více členských států? A proč? 6.2.
Vzájemné závislosti
Je navrhováno, aby postupná identifikace všech ECI brala v úvahu zejména jejich vzájemné závislosti. Studie o vzájemných závislostech by měly přispívat k hodnocení možného dopadu hrozby na specifickou CI a hlavně identifikovat, který členský stát by byl v případě závažného incidentu zasažen.
CS
7
CS
Je rovněž potřeba plně zvážit vzájemné závislosti mezi podniky, průmyslovými odvětvími a orgány členských států, zvláště pak jedná-li se o informační a komunikační technologie (ICT). Na rozpoznání těchto závislostí a následném zavedení příslušných strategií s cílem snížit nebezpečí tam, kde je to možné, by se měly společně podílet Komise, členské státy a vlastníci/provozovatelé kritické infrastruktury. Dotaz Jaký význam přikládat vzájemným závislostem? Znáte nějakou vhodnou metodu pro analýzu vzájemných závislostí? Na jaké úrovni by měla identifikace vzájemných závislostí probíhat – na úrovni EU nebo členských států? 6.3.
Zavádění ECI
Komise navrhuje při zavádění ECI následující kroky: (1)
Komise spolu s členskými státy připraví pro identifikaci ECI konkrétní kritéria podle jednotlivých odvětví;
(2)
Proběhne postupná identifikace a ověřování ECI v jednotlivých odvětvích členskými státy a Komisí. Vzhledem k přeshraničnímu charakteru dané kritické infrastruktury, budou rozhodnutí o jejím označení jako ECI učiněna na evropské úrovni1;
(3)
Členský stát a Komise analyzují nedostatky v bezpečnosti ECI v jednotlivých odvětvích;
(4)
Členské státy a Komise se s ohledem na vzájemné závislosti dohodnou o prioritních odvětvích/infrastrukturách, kde mohou něco podniknout;
(5)
Komise a hlavní zainteresované subjekty členských států navrhnou dle potřeby pro každý sektor základní ochranná opatření, která mohou obsahovat standardy;
(6)
Po přijetí návrhu Radou budou tato opatření zavedena;
(7)
Pravidelná kontrola bude zajišťována členskými státy a Komisí. Revize (opatření a označení CI) budou prováděny dle potřeby.
Dotazy Je uvedený seznam kroků pro zavedení ECI přijatelný? Jak by podle vás měla Komise a členské státy společně identifikovat ECI – členský stát disponuje zkušenostmi, zatímco Komise má přehled o společném evropském zájmu? Mělo by být označení ECI provedeno právním rozhodnutím?
1
CS
S výjimkou infrastruktur, které jsou součástí národní obrany.
8
CS
Existuje potřeba rozhodčího mechanismu pro případ nesouhlasu členského státu s označením ECI u infrastruktury spadající do jeho pravomocí? Je nezbytné ověřovat daná označení? Kdo by za něj měl být odpovědný? Měly by členské státy mít v případě nesouhlasu možnost vyjádřit se k označení infrastruktury v jiném členském státě nebo třetí zemi? Co v případě, nebude-li jeden členský stát, třetí země nebo odvětví s označením infrastruktury v jiném členském státě souhlasit? Co v případě, že daný členský stát infrastrukturu jako ECI neoznačí? Je zde potřeba možnosti odvolání? A co v případě, že ano? Měl by mít provozovatel možnost odvolání, nebude-li souhlasit s označením či naopak neoznačením své infrastruktury jako ECI? Pokud ano, odvolání k jakému subjektu? Jaké metody vyvinout k určení prioritních odvětví/infrastruktur, kde je nutno něco podniknout? Existují metody, které by mohly být adaptovány na evropskou úroveň? Jak může být Komise zahrnuta do procesu analyzování nedostatků v bezpečnosti ECI? 7.
NÁRODNÍ KRITICKÁ INFRASTRUKTURA (NCI)
7.1.
Úloha národní kritické infrastruktury v EPCIP
Celá řada evropských společností vykonává své aktivity přes hranice, a tak se na ně vztahují nejrůznější závazky týkající se NCI. V zájmu členských států a EU jako celku je navrhováno, aby každý členský stát chránil své NCI pomocí společného rámce, tak aby se vlastníci a provozovatelé v celé Evropě nemuseli potýkat s nesourodou směskou pravidel, důsledkem čehož je mnoho metodik a vyvolává to další náklady. V tomto ohledu Komise doporučuje, aby EPCIP – i když primárně zaměřený na evropskou kritickou infrastrukturu – neponechala stranou ani národní kritickou infrastrukturu. Předloženy jsou tři možnosti: a)
NCI plně začleněna do EPCIP;
b)
NCI mimo rámec EPCIP;
c)
členský stát může pro NCI ze své vlastní vůle využívat částí EPCIP, ale není povinen tak činit.
Dotaz Účinná ochrana kritické infrastruktury v Evropské unii zřejmě vyžaduje identifikaci jak ECI, tak NCI. Souhlasíte s tím, že by se EPCIP měl zaměřit na ECI, ale NCI by neměla být ponechána stranou? Která z těchto možností je podle vás pro EPCIP nejvhodnější?
CS
9
CS
7.2.
Národní programy na ochranu kritické infrastruktury
Členské státy by mohly pro své vlastní NCI vypracovat na základě společného rámce EPCIP národní programy na ochranu kritické infrastruktury. Přitom by měly mít možnost zavádět přísnější opatření, než ta, uplatňovaná v rámci EPCIP. Dotaz Je žádoucí, aby každý členský stát schválil národní program na ochranu kritické infrastruktury vycházející z EPCIP? 7.3.
Jednotný dozorčí orgán
Potřeba účinnosti a soudržnosti vyžaduje, aby každý členský stát určil jednotný dozorčí orgán, který by dohlížel na celkovou implementaci EPCIP. Navrženy jsou dvě možnosti: (a)
jednotný dozorčí orgán pro CIP;
(b)
národní kontaktní místo bez jakýchkoliv pravomocí; organizační uspořádání je tak ponecháno na samotných členských státech.
Daný orgán by koordinoval, monitoroval implementaci EPCIP a dohlížel na ni v rámci své působnosti a mohl by sloužit jako hlavní kontaktní místo pro záležitosti CIP mezi Komisí, jinými členskými státy a vlastníky a provozovateli CI. Mohl by také vytvořit základ pro národní zastoupení ve skupinách odborníků, zabývajících se problematikou CIP, a být napojen na Výstražnou informační síť kritické infrastruktury (CIWIN). Národní koordinační orgán na ochranu kritické infrastruktury (NCCB) by mohl koordinovat národní problematiku CIP bez ohledu na ostatní orgány nebo subjekty v členském státě, které jsou již danou problematikou dotčeny. Postupné identifikace NCI by mohlo být dosaženo uložením povinnosti vlastníkům a provozovatelům infrastruktur informovat NCCB o veškeré podnikatelské činnosti týkající se CIP. NCCB by mohl být odpovědný za právní rozhodnutí, kterým bude daná infrastruktura v jeho působnosti označena jako NCI. Tato informace by zůstala k dispozici výhradně příslušnému členskému státu. Jeho specifické pravomoci by mohly zahrnovat: a)
koordinaci, monitorování a dohled nad celkovou implementací EPCIP v členském státě;
b)
poskytování služeb hlavního kontaktního místa pro záležitosti CIP s:
c)
CS
i.
Komisí
ii.
ostatními členskými státy
iii.
vlastníky a provozovateli infrastruktur;
podílení se na označení evropské kritické infrastruktury (ECI);
10
CS
d)
přijímání právních rozhodnutí o označení infrastruktury spadající do jeho pravomoci jako národní rozhodující infrastruktury;
e)
poskytování úlohy odvolacího orgánu pro vlastníky/provozovatele, kteří nesouhlasí s označením jejich infrastruktury jako „kritické“;
f)
účast na vytvoření národního programu na ochranu kritické infrastruktury a specifických odvětvových programů CIP;
g)
rozpoznávání vzájemných závislostí mezi jednotlivými sektory z oblasti kritické infrastruktury;
h)
účast v expertních skupinách vyjadřujících se k postupům uplatňovaným v jednotlivých odvětvích. K přispění do diskuze mohou být rovněž přizváni zástupci vlastníků a provozovatelů. Mohou se též konat pravidelná setkání;
i)
dohled nad procesem vypracováváním havarijních plánů pro CI.
Dotazy Souhlasíte, že jedině členské státy by měly odpovídat za označení a správu NCI v rámci společného EPCIP? Je žádoucí určit koordinační orgán CIP v každém členském státě, který by měl odpovědnost za celkovou koordinaci opatření přijatých na ochranu kritické infrastruktury s ohledem na již existující pravomoci jednotlivých odvětví (úřady civilního letectví, směrnice Seveso atd.)? Jsou navrhované pravomoci koordinačního orgánu přijatelné? Existují nějaké další, které jsou nezbytné? 7.4.
Zavádění NCI
Komise navrhuje pro zavádění NCI následující kroky:
CS
(1)
Členské státy navrhnou za pomoci EPCIP konkrétní kritéria pro identifikaci NCI;
(2)
Proběhne postupná identifikace a ověřování NCI členskými státy v jednotlivých odvětvích;
(3)
Členské státy analyzují možné bezpečnostní nedostatky NCI v jednotlivých odvětvích;
(4)
Členské státy určí prioritní odvětví, kde je třeba jednat a případně při tom vezmou v úvahu vzájemné závislosti a priority schválené na úrovni EU;
(5)
V případě potřeby schválí členské státy minimální ochranná opatření pro jednotlivá odvětví;
(6)
Členské státy zajistí, že vlastníci/provozovatelé v jejich kompetenci provedou nezbytná implementační opatření;
(7)
Pravidelné monitorování zajistí členské státy. Revize (opatření a označení CI) budou vykonávány dle potřeby.
11
CS
Dotaz Je seznam s prováděcími kroky pro NCI vhodný? Jsou některé kroky zbytečné? Měly by být naopak některé přidány? 8.
ROLE VLASTNÍKŮ, PROVOZOVATELŮ A UŽIVATELŮ CI
8.1.
Odpovědnosti vlastníků, provozovatelů a uživatelů CI
Označení „kritická infrastruktura“ představuje pro vlastníky a provozovatele dané infrastruktury určitou odpovědnost. Z označení infrastruktury jako NCI nebo ECI vyplývají pro její vlastníky a provozovatele čtyři hlavní povinnosti: (1)
Oznámení příslušnému orgánu členského státu, že infrastruktura může být kritická;
(2)
Určení vedoucího představitele (představitelů) vystupujícího jako styčný úředník pro bezpečnost (SLO) mezi vlastníky/provozovateli a příslušným orgánem CIP v členském státě. Styčný úředník pro bezpečnost by se měl podílet na rozvoji bezpečnostních a krizových plánů. Měl by být rovněž hlavním styčným úředníkem s příslušným odvětvovým orgánem v členském státě a podle potřeby i s donucovacími orgány;
(3)
Zřízení, implementace a aktualizace operačního plánu pro bezpečnost (OSP). Navrhovaná šablona OSP je v příloze 3;
(4)
Je-li to vyžadováno, účast na vypracování krizového plánu CI s orgány odpovědnými za civilní obranu v příslušném členském státě a s donucovacími orgány.
Operační plán pro bezpečnost by mohl být předložen ke schválení příslušnému odvětvovému orgánu CIP v členském státě, který je pod celkovým dohledem NCBB, a to nezávisle na faktu, zda se jedná o NCI nebo ECI, s cílem zaručit soulad bezpečnostních opatření přijatých vlastníky a provozovateli a obecně celým odvětvím. NCBB, případně Komise, pak mohou vlastníkům a provozovatelům poskytovat zpětnou vazbu a podporu jak pro určité hrozby a vývoj nejlepších postupů, tak při analýze vzájemných závislostí a zranitelných míst. Každý členský stát stanoví pro zřízení OSP ze strany vlastníků a provozovatelů NCI a ECI (v případě ECI se to bude týkat i Komise) termíny a pokuty pro případ jejich nedodržení. Navrhuje se, aby operační plán pro bezpečnost (OSP) identifikoval majetek vlastníků/provozovatelů kritické infrastruktury a zavedl bezpečnostní řešení na jeho ochranu. OSP by měl popisovat metody a postupy, kterých by mělo být použito k zajištění souladu s EPCIP, národními programy CIP a příslušnými odvětvově specifickými programy CIP. OSP by se mohl stát základem pro uplatňování přístupu „zdola-nahoru“, který by ponechával větší prostor (a také větší odpovědnost) soukromému sektoru. Ve specifických situacích, ke kterým může u některých infrastruktur docházet, např. u elektrorozvodné nebo informační sítě, nemůžeme předpokládat (z praktického a finančního hlediska), že vlastníci a provozovatelé budou schopni zajistit dostatečnou úroveň bezpečnosti pro celý svůj majetek. Pro takové případy se navrhuje, aby vlastníci a provozovatelé společně
CS
12
CS
s příslušnými orgány identifikovali kritická místa (uzly) fyzické nebo informační sítě, na která by se ochranná opatření měla zaměřit. OSP by měl obsahovat dva typy bezpečnostních opatření: • stálá bezpečnostní opatření, která by určovala nezbytné investice do bezpečnosti a prostředky ochrany, které majitelé či provozovatelé nebudou schopni zavést v krátké době. Vlastníci/provozovatelé by však měli zůstat obezřetní i vůči možným hrozbám, které by nenarušily běžné ekonomické, administrativní a sociální aktivity; • zvýšená bezpečnostní opatření, která by byla aktivována podle různého stupně úrovně ohrožení. OSP by měl předvídat různé bezpečnostní režimy přizpůsobené možné úrovni ohrožení v členském státě, ve kterém je infrastruktura situována. Navrhuje se, aby vlastníci a provozovatelé, kteří nebudou respektovat povinnost podílet se na vytváření OSP, přispívat k vypracovávání krizových plánů a určit hlavního styčného úředníka, mohli být vystaveni finančním postihům. Dotazy Je navrhovaná odpovědnost vlastníků/provozovatelů kritické infrastruktury přijatelná, pokud jde o zvyšování bezpečnosti kritické infrastruktury? Jaké by byly jejich pravděpodobné náklady? Měli by vlastníci a provozovatelé být povinni oznámit skutečnost, že jejich infrastruktura může být kritické povahy? Myslíte si, že koncept OSP je užitečný? Proč? Jsou navrhované povinnosti přiměřené nákladům, které vyvolají? Jaká práva mají orgány členských států a Komise přiznat vlastníkům/provozovatelům? 8.2.
Dialog s vlastníky, provozovateli a uživateli CI
EPCIP by mohl vlastníky a provozovatele vést k vytváření partnerství. Úspěch jakéhokoliv ochranného programu totiž závisí na spolupráci a míře jejich účasti. V členských státech mohou vlastníci a provozovatelé úzce spolupracovat na vývoji CIP prostřednictvím pravidelných kontaktů s NCCB. Na úrovni EU by mohla být vytvořena fóra, která by usnadňovala výměnu názorů na všeobecné otázky a odvětvová specifika CIP. Společný přístup zahrnující účast soukromého sektoru na ochraně kritické infrastruktury a přinášející zapojení všech zainteresovaných subjektů z veřejné i soukromé sféry, by členským státům, Komisi a podnikům poskytl důležitou základnu pro komunikaci o nových poznatcích v oblasti CIP. Vlastníci, provozovatelé a uživatelé CI by se měli účastnit vývoje společných pokynů, standardizace nejlepších postupů a podle potřeby i sdílení informací. Takový dialog by pak mohl napomoci při budoucích úpravách EPCIP.
CS
13
CS
Tam, kde to bude vhodné, by měla Komise podporovat vytvoření průmyslových/podnikatelských sdružení v EU, zabývajících se CIP. Základním cílem by se přitom mělo stát udržení konkurenceschopnosti evropského průmyslu a posílení bezpečnosti občanů EU. Dotaz Jak by měl být strukturován dialog mezi vlastníky a provozovateli CI? Kdo by měl zastupovat vlastníky, provozovatele a uživatele v dialogu mezi veřejným a soukromým sektorem? 9.
PODPŮRNÁ OPATŘENÍ PRO EPCIP
9.1.
Výstražná informační síť kritické infrastruktury (CIWIN)
Komise vyvinula množství rychlých výstražných systémů, které mají umožnit konkrétní, koordinovanou a účinnou reakci pro naléhavé situace, a to i způsobené teroristy. Komise 20. října 2004 oznámila vytvoření interní centrální sítě, zajišťující rychlý tok informací mezi všemi svými systémy rychlé výstrahy a příslušnými službami (ARGUS). Komise navrhuje vytvoření výstražné informační sítě kritické infrastruktury (CIWIN), která by mohla podnítit rozvoj vhodných ochranných opatření tím, že by usnadňovala výměnu nejlepších postupů v oblasti bezpečnosti a podpořila předávání potřebné výstrahy a informací o bezprostředních hrozbách. Systém by měl zajistit, že správní lidé budou mít informace v pravý čas. Pro rozvoj CIWIN je možno použít následující tři možnosti:
CS
(1)
CIWIN by měla být pojata pouze jako prostor k výměně myšlenek týkajících se CIP a nejlepších postupů a tím poskytovat podporu vlastníkům a provozovatelům CI. Tento prostor by mohl mít formu sítě odborníků a elektronické platformy pro výměnu daných informací. Důležitou roli ve shromažďování a šíření informací by hrála Komise. Tato možnost by ale zpočátku neumožňovala poskytování potřebné rychlé výstrahy u bezprostředních hrozeb. Nicméně by existoval prostor pro její rozšíření v budoucnu;
(2)
CIWIN by se měla stát systémem rychlé výměny informací (RAS), tím že by propojila členské státy s Komisí. Tato možnost by zvyšovala bezpečnost kritické infrastruktury poskytováním výstrah pouze v případě bezprostředních hrozeb. Měla by za cíl zjednodušit rychlou výměnu informací o možných hrozbách pro vlastníky a provozovatele CI. Systém rychlé výměny informací by ale nezahrnoval sdílení zpravodajských informací dlouhodobého charakteru. Byl by využíván pro rychlé sdílení informací o bezprostředních hrozbách u specifické infrastruktury;
(3)
CIWIN by se měla stát víceúrovňovým komunikačním/výstražným systémem sestávajícím ze dvou různých částí: a) systém rychlé výměny informací (RAS) spojující členské státy s Komisí a b) fórum pro výměnu myšlenek týkajících se CIP a nejlepších postupů na podporu vlastníků a provozovatelů, které by tvořili odborníci a systém pro výměnu dat.
14
CS
Bez ohledu na vybranou možnost by CIWIN měla doplnit existující sítě a přitom by se měla pečlivě vyhýbat duplicitě. Z dlouhodobého hlediska by mohla být přes NCBB spojena se všemi příslušnými vlastníky a provozovateli v každém členském státě. Výstrahy a nejlepší postupy by mohly být sdíleny prostřednictvím NCBB, jediného orgánu přímo napojeného na Komisi a tím i na ostatní členské státy. Ty by mohly využívat svých stávajících informačních systémů pro zavedení vlastní národní CIWIN spojující úřední místa s jednotlivými vlastníky a provozovateli. Nejdůležitější však je, že tyto národní sítě by mohly být využívány příslušnými orgány CIP a vlastníky a provozovateli jako dvousměrný komunikační systém. Bude vypracována studie s cílem určit rozsah a technické specifikace potřebné pro budoucí propojení CIWIN s členskými státy. Dotazy Jakou podobu má mít síť CIWIN, tak aby odpovídala cílům EPCIP? Měli by být vlastníci a operátoři CI napojeni na CIWIN? 9.2.
Společné metody
Jednotlivé členské státy používají v různých situacích různé výstražné systémy. V současnosti nelze zjistit, zda např. „vysoký stupeň“ ohrožení v jednom členském státě je totožný s „vysokým stupněm“ ohrožení v jiném. To může znesnadňovat nadnárodním společnostem stanovování priorit na ochranná opatření. Proto by mohlo být prospěšné pokusit se o sladění nebo vyrovnání jednotlivých úrovní. Pro každou úroveň ohrožení by měla existovat odpovídající úroveň připravenosti, která by umožnila spuštění obecných bezpečnostních opatření a podle potřeby i použití zvýšených bezpečnostních opatření. Členský stát, který by si určitá opatření nepřál použít, by mohl pro specifická ohrožení zavést alternativní bezpečnostní opatření. Je možno zvážit zavedení společné metodiky pro identifikaci a klasifikaci ohrožení, způsobilosti, rizik a zranitelnosti a pro přijímání závěrů týkajících se možnosti, pravděpodobnosti a stupně závažnosti ohrožení infrastruktury. Součásti by mělo být i hodnocení rizik a stanovení prioritních krizových událostí podle pravděpodobnosti jejich vzniku, dopadu a návaznosti na další možné rizikové oblasti nebo procesy. Dotazy Do jaké míry je žádoucí a možné sladit či normalizovat různé výstražné úrovně? Měla by existovat společná metodika pro identifikaci a klasifikaci ohrožení, způsobilosti, rizika a zranitelnosti a pro přijímání závěrů týkajících se možnosti, pravděpodobnosti a stupně závažnosti ohrožení infrastruktury? 9.3.
Financování
V návaznosti na iniciativu Evropského parlamentu přijala Komise 15. září rozhodnutí o přidělení 7 miliónů eur (vytvoření nové položky rozpočtu na rok 2005 – pilotní projekt „Boj s terorismem“) na financování aktivit na podporu prevence v EU, připravenosti a reakce
CS
15
CS
na teroristické útoky, včetně zvládání následků, ochrany kritické infrastruktury, akcí v oblasti financování terorismu, výbuchů a násilné radikalizace. Přes dvě třetiny tohoto rozpočtu je věnováno na přípravu budoucího Evropského programu pro ochranu kritické infrastruktury, na integraci a rozvoj kapacit potřebných k řízení krizí s nadnárodním významem způsobených možnými teroristickými útoky, a krizových opatření, která mohou být nutná v boji proti ohrožení většího rozsahu nebo při výskytu podobného útoku. Financování by mělo pokračovat v roce 2006. Od roku 2007 do roku 2013 bude financování probíhat prostřednictvím rámcového programu Bezpečnost a ochrana svobod. Ten obsahuje zvláštní program „Prevence, připravenost k obraně proti terorismu a zvládání jeho následků“; Komise navrhuje vyčlenit částku 137,4 milionů eur určených na identifikaci daných potřeb a na rozvoj technických standardů na ochranu kritické infrastruktury. Program by měl umožnit komunitární financování projektům na ochranu kritické infrastruktury předloženým národními, regionálními a místními orgány. Je zaměřen na identifikaci potřeb pro takovou ochranu a na poskytování informací s cílem rozvoje společných standardů, posuzování hrozeb a nebezpečí, tak aby chránil kritickou infrastrukturu nebo rozvíjel jednotlivé havarijní plány. Komise by měla využít vlastních zkušeností nebo přispět na financování studií o vzájemných závislostech v jednotlivých odvětvích. Odpovědnost zlepšovat stávající bezpečnost infrastruktury v souladu se zjištěnými potřebami spočívá zejména na členských státech nebo vlastnících a provozovatelích. Samotný program finance na zvýšení stávající ochrany kritické infrastruktury neposkytuje. Stávající ochrana kritické infrastruktury v členských státech může být však zlepšována v souladu s potřebami identifikovanými v rámci programu za pomocí půjček u finančních institucí, které mohou rovněž sloužit k implementaci společných standardů. Komise by byla ochotna ještě financovat odvětvové studie zabývající se analýzou finančních dopadů, jež by mohlo mít zvyšování bezpečnosti infrastruktury na podnikovou sféru. Komise financuje výzkumné projekty na podporu ochrany kritické infrastruktury v rámci přípravné akce pro výzkum v oblasti bezpečnosti2 (2004-2006) a plánuje další významnější aktivity v oblasti výzkumu bezpečnosti ve svém návrhu rozhodnutí Rady a Evropského parlamentu pro 7. rámcový program pro výzkum (KOM(2005)119 v konečném znění)3 a v návrhu rozhodnutí Rady o specifickém programu „Spolupráce“, který 7. rámcový program zavádí (KOM(2005)440 v konečném znění). Výzkum s cílem poskytnout praktické strategie nebo nástroje na snížení rizika je zásadní pro zajištění bezpečnosti evropské kritické infrastruktury ze střednědobého a dlouhodobého hlediska. Veškerý bezpečnostní výzkum, včetně této oblasti, bude podroben zkoumání z etického hlediska, tak aby byl zajištěn soulad s Chartou základních práv. Poptávka po výzkumu poroste tak, jak se bude zvyšovat počet vzájemných závislostí infrastruktury. Dotazy Jak byste odhadovali náklady a dopady implementace opatření navrhovaných v této zelené knize na státní a veřejnou správu a podnikatelskou sféru? Shledáváte je přiměřenými?
2 3
CS
Celkový součet položek v rozpočtu na rok 2004 a 2005 činil 30 milionů EUR. Pro rok 2006 Komise navrhla částku 24 milionů EUR, která je zkoumána rozpočtovým orgánem. Návrh rozpočtu Komise na činnosti související s bezpečnostním a kosmickým výzkumem v rámci 7. rámcového programu je 570 miliónů EUR (KOM(2005)119 v konečném znění).
16
CS
9.4.
Hodnocení a kontrola
Hodnocení a kontrola implementace EPCIP představuje víceúrovňový proces, který vyžaduje zapojení všech zainteresovaných subjektů: • na úrovni EU může být zaveden mechanismus vzájemného hodnocení, kdy členské státy a Komise spolupracují při hodnocení celkové úrovně implementace EPCIP v jednotlivých členských státech. Komise může o pokroku v implementaci EPCIP vypracovat výroční zprávu; • Komise by měla každoročně informovat členské státy a ostatní instituce o dosaženém pokroku prostřednictvím pracovního dokumentu útvarů Komise; • na úrovni členských států kontroluje celkovou implementaci EPCIP NCBB v rámci svých pravomocí a zajišťuje soulad s národními programy CIP a s programy jednotlivých odvětví, tak aby zajistila jejich účinnou implementaci, a informuje o tom Radu a Komisi ve výročních zprávách. Implementace EPCIP by měla být dynamickým, stále se vyvíjejícím procesem, který bude průběžně hodnocen, tak aby reagoval na vývoj a získané poznatky. Vzájemná hodnocení a kontrolní zprávy členských států by měly být jedním z prostředků využívaných k revizi EPCIP a následným návrhům nových opatření s cílem posílit ochranu kritické infrastruktury. Příslušné informace členských států týkající se ECI by měly být přístupné Komisi, aby mohla rozvíjet společné metody pro posuzování zranitelnosti, zvládání následků, společné standardy na ochranu CI a upřednostňovat přitom výzkumné aktivity a tam, kde bude potřeba, přistoupit k regulaci a harmonizaci. Tyto informace by byly utajovány a vedeny jako přísně důvěrné. Komise by měla sledovat různé iniciativy členských států, včetně těch, které předpokládají finanční dopady na vlastníky a provozovatele, kteří nebudou schopni obnovit poskytování základních služeb občanům ve stanovené maximální lhůtě. Dotaz Jaký typ hodnotícího mechanismu je potřeba pro EPCIP? Bude výše uvedený mechanizmus dostatečný? Odpovědi prosím zasílejte elektronicky nejpozději do 15.ledna 2006 na následující emailovou adresu:
[email protected]. Získané informace budou považovány za důvěrné, pokud odpovídající subjekt výslovně neuvede, že mají být zveřejněny. V takovém případě budou umístěny na internetových stránkách Komise.
CS
17
CS
PŘÍLOHY
CS
18
CS
ANNEX 1 CIP TERMS AND DEFINITIONS This indicative list of definitions could be further built upon depending on the individual sectors for the purpose of identification and protection of Critical Infrastructure (CI). Alert Notification that a potential disaster situation will occur, exists or has occurred. Direction for recipient to stand by for possible escalation or activation of appropriate measures. Critical infrastructure protection (CIP) The ability to prepare for, protect against, mitigate, respond to, and recover from critical infrastructure disruptions or destruction. Critical Information Infrastructure (CII): ICT systems that are critical infrastructures for themselves or that are essential for the operation of critical infrastructures (telecommunications, computers/software, Internet, satellites, etc.). Critical Information Infrastructure Protection (CIIP) The programs and activities of infrastructure owners, operators, manufacturers, users, and regulatory authorities which aim at keeping the performance of critical information infrastructures in case of failures, attacks or accidents above a defined minimum level of services and aim at minimising the recovery time and damage. CIIP should therefore be viewed as a cross-sector phenomenon rather than being limited to specific sectors. CIIP should be closely coordinated with Critical Infrastructure Protection from a holistic perspective. Contingency plan A plan used by a MS and critical infrastructure owner/operator on how to respond to a specific systems failure or disruption of essential service. Contingency plans would typically include the development, coordination, and execution of service- and site-restoration plans; the reconstitution of government operations and services; individual, private-sector, nongovernmental and public-assistance programs to promote restoration; long-term care and treatment of affected persons; additional measures for social, political, environmental, and economic restoration as well as development of initiatives to mitigate the effects of future incidents.
CS
19
CS
Critical Information Specific facts about a critical infrastructure asset, vitally needed to plan and act effectively so as to guarantee failure or cause unacceptable consequences for critical infrastructure installations. Critical Infrastructure (CI) Critical infrastructure include those physical resources, services, and information technology facilities, networks and infrastructure assets which, if disrupted or destroyed, would have a serious impact on the health, safety, security or economic well-being of Citizens or the effective functioning of governments. There are three types of infrastructure assets: • Public, private and governmental infrastructure assets and interdependent cyber & physical networks. • Procedures and where relevant individuals that exert control over critical infrastructure functions. • Objects having cultural or political significance as well as “soft targets” which include mass events (i.e. sports, leisure and cultural). Essential service Often applied to utilities (water, gas, electricity, etc.) it may also include standby power systems, environmental control systems or communication networks that if interrupted puts at risk public safety and confidence, threatens economic security, or impedes the continuity of a MS government and its services. European critical infrastructure (ECI) European critical infrastructure include those physical resources, services, and information technology facilities, networks and infrastructure assets, which, if disrupted or destroyed would have a serious impact on the health, safety, security, economic or social well-being of two or more MS. The definition of what constitutes an EU critical infrastructure is determined by its cross border effect which ascertains whether an incident could have a serious impact beyond two or more MS national territories. This is defined as the loss of a critical infrastructure element and is rated by the: • extent of the geographic area which could be affected by the loss or unavailability of a critical infrastructure element beyond three or more Member State’s national territories; • effect of time (i.e. the fact that a for example a radiological cloud might, with time, cross a border); • level of interdependency (i.e. electricity network failure in one MS effecting another);
CS
20
CS
Impact Impacts are the total sum of the different effects of an incident. This needs to take into account at least the following qualitative and quantitative effects: • Scope - The loss of a critical infrastructure element is rated by the extent of the geographic area which could be affected by its loss or unavailability - international, national, regional or local. • Severity - The degree of the loss can be assessed as None, Minimal, Moderate or Major. Among the criteria which can be used to assess impact are: – Public (number of population affected, loss of life, medical illness, serious injury, evacuation); – Economic (GDP effect, significance of economic loss and/or degradation of products or services, interruption of transport or energy services, water or food shortages); – Environment (effect on the public and surrounding location); – Interdependency (between other critical infrastructure elements). – Political effects (confidence in the ability of government); – Psychological effects (may escalate otherwise minor events). both during and after the incident and at different spatial levels (e.g. local, regional, national and international) • Effects of time - This criteria ascertains at what point the loss of an element could have a serious impact (i.e. immediate, 24-48 hours, one week, other). Interdependency Identified connections or lack thereof between and within infrastructure sectors with essential systems and assets. Occurrence The term “occurrence” in the CIP context is defined as an event (either human caused or by natural phenomena) that requires a serious emergency response to protect life or property or puts at risk public safety and confidence, seriously disrupts the economy, or impedes the continuity of a MS government and its services. Occurrences include negligence, accidents, deliberate acts of terrorism, computer hacking, criminal activity and malicious damage, major disasters, urban fires, floods, hazardous materials spills, nuclear accidents, aircraft accidents, earthquakes, storms, public health and medical emergencies and other occurrences requiring a major emergency response.
CS
21
CS
Operator Security Plan The Operator Security Plan (OSP) identifies all of the operator’s critical infrastructure assets and establishes relevant security solutions for their protection. The OSP describes the methods and procedures which are to be followed by the owner/operator. Prevention The range of deliberate, critical tasks and activities necessary to build, sustain, and improve the operational capability to prevent, protect against, respond to, and recover from an incident. Prevention involves efforts to identify threats, determine vulnerabilities and identify required resources. Prevention involves actions to protect lives and property. It involves applying intelligence and other information to a range of activities that may include such countermeasures as deterrence operations; heightened inspections; improved surveillance and security operations; investigations to determine the full nature and source of the threat; public health and agricultural surveillance and testing processes; immunizations, isolation, or quarantine; and as appropriate specific law enforcement operations aimed at deterring, pre-empting, interdicting, or disrupting illegal activity, and apprehending potential perpetrators and bringing them to justice. Prevention involves the stopping of an incident before it happens with effective processes, guidelines, standards and certification. Seamless interactive systems, and comprehensive threat- and vulnerability analysis. Prevention is a continuous process of ongoing actions to reduce exposure to, probability of, or potential loss from hazards. Response Activities that address the short-term direct effects of an incident. Response includes immediate actions to save lives, protect property, and meet basic human needs. As indicated by the situation, response activities include applying intelligence and other information to lessen the effects or consequences of an incident; increased security operations; continuing investigations into nature and source of the threat; ongoing public health and agricultural surveillance and testing processes; immunizations, isolation, or quarantine; and specific law enforcement operations aimed at pre-empting, interdicting, or disrupting illegal activity, and apprehending actual perpetrators and bringing them to justice. Risk The possibility of loss, damage or injury. The level of risk is a condition of two factors: (1) the value placed on the asset by its owner/operator and the impact of loss or change to the asset, and (2) the likelihood that a specific vulnerability will be exploited by a particular threat.
CS
22
CS
Threat Any indication, circumstance, or event with the potential to disrupt or destroy critical infrastructure, or any element thereof. An all-hazards approach to threat includes accidents, natural hazards as well as deliberate attacks. It can also be defined as the intention and capability of an adversary to undertake actions that would be detrimental to critical assets. Vulnerability A characteristic of an element of the critical infrastructure's design, implementation, or operation that renders it susceptible to destruction or incapacitation by a threat.
CS
23
CS
ANNEX 2 INDICATIVE LIST OF CRITICAL INFRASTRUCTURE SECTORS Sector I
II
III
Information, Communication Technologies, ICT
Water
1
Oil and gas production, refining, treatment and storage, including pipelines
2
Electricity generation
3
Transmission of electricity, gas and oil
4
Distribution of electricity, gas and oil
5
Information system and network protection
6
Instrumentation automation and control systems (SCADA etc.)
7
Internet
8
Provision of fixed telecommunications
9
Provision of mobile telecommunications
10
Radio communication and navigation
11
Satellite communication
12
Broadcasting
13
Provision of drinking water
14
Control of water quality
15
Stemming and control of water quantity
IV
Food
16
Provision of food and safeguarding food safety and security
V
Health
17
Medical and hospital care
VI
Financial
VII
Public & Legal Order and Safety
VIII
IX
X
XI
CS
Energy
Product or service
Civil administration
Transport
Chemical and nuclear industry
Space and Research
18
Medicines, serums, vaccines and pharmaceuticals
19
Bio-laboratories and bio-agents
20
Payment services/payment structures (private)
21
Government financial assignment
22
Maintaining public & legal order, safety and security
23
Administration of justice and detention
24
Government functions
25
Armed forces
26
Civil administration services
27
Emergency services
28
Postal and courier services
29
Road transport
30
Rail transport
31
Air traffic
32
Inland waterways transport
33
Ocean and short-sea shipping
34
Production and storage/processing of chemical and nuclear substances
35
Pipelines of dangerous goods (chemical substances)
36
Space
37
Research
24
CS
ANNEX 3 OPERATOR SECURITY PLAN The possible contents of the OSP should include an introduction and a classified detail part (not accessible outside the relevant MS authorities). The classified part would begin with a presentation of the operator and describe the legal context of its CI activities. The OSP would then go on to presenting the details on the criticality of the infrastructure concerned, taking into consideration the operator’s objectives and the Member State’s interests. The critical points of the infrastructure would be identified and their security requirements presented. A risk analysis based on major threat scenarios, vulnerability of each critical point, and potential impact would be conducted. Based on this risk analysis, relevant protection measures should be foreseen. Introduction) Contains information concerning the pursued objectives and the main organisational and protection principles. Detailed part (classified) –
Presentation of the operator
Contains a description of the operator’s activities, organization and connections with the public authorities. The details of the operator’s Security Liaison Office (SLO) are given. –
Legal context
The operator addresses the requirements of the National CIP Programme and the sector specific CIP programme where relevant. –
Description of the criticality of the infrastructure
The operator describes in detail the critical services/products he provides and how particular elements of the infrastructure come together to create an end-product. Details should be provided concerning: – material elements; – non-material elements (sensors, command, information systems); – human elements (decision-maker, expert); – access to information (databases, reference systems); – dependence on other systems (energy, telecoms); – specific procedures (organisation, management of malfunctions, etc.).
CS
25
CS
–
Formalisation of security requirements
The operator identifies the critical points in the infrastructure, which could not be easily replaced and whose destruction or malfunctioning could significantly disrupt the operation of the activity or seriously endanger the safety of users, customers or employees or result in essential public needs not being satisfied. The security of these critical points is then addressed. The owners, operators and users (‘users’ being defined as organizations that exploit and use the infrastructure for business and service provision purposes) of critical infrastructure would have to identify the critical points of their infrastructure, which would be deemed restricted areas. Access to restricted areas should be monitored in order to ensure than no unauthorised persons and vehicles enter such areas. Access would only be granted to security cleared personnel. The relevant background security checks (if deemed necessary by a MS CIP sector authority) should be carried out by the Member State in which the critical infrastructure is located. –
Risk analysis and management
The operator conducts and risk analysis concerning each critical point. –
Security measures
The operator presents the security measures arranged around two headings: • Permanent security measures, which will identify indispensable security investment and means, which cannot be installed by the owner/operator in a hurry. The owner/operator will maintain a standing alertness against potential threats, which will not disturb its regular economic, administrative and social activities. This heading will include information concerning general measures; technical measures (including installation of detection, access control, protection and prevention means); organizational measures (including procedures for alerts and crisis management); control and verification measures; communication; awareness raising and training; and security of information systems. • Graduated security measures, which may be activated according to varying threat levels. The OSP will therefore foresee various security regimes adapted to possible threat levels existing in the Member State. –
Presentation and application
The operator will prepare detailed information sheets and instructions on how to react to various situations. –
Monitoring and updating
The operator sets out the relevant monitoring and updating mechanisms which will be used.
CS
26
CS
