- РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,
- Беручи до уваги Договір про заснування Європейського Співтовариства, зокрема його статтю 308,
- Беручи до уваги пропозицію Комісії,
- Беручи до уваги висновок Європейського Парламенту (1),
- Беручи до уваги висновок Європейського Центрального Банку (2),
- Оскільки:
- (1) В червні 2004 року Європейська Рада висунула вимогу щодо підготовки загальної стратегії охорони та захисту критичних інфраструктур. У відповідь на це, 20 жовтня 2004 року Комісія ухвалила Повідомлення про охорону та захист критичних інфраструктур в рамках боротьби проти тероризму, в якому було викладено пропозиції щодо можливих заходів Співтовариства щодо попередження, підготованості та реагування на терористичні акти, пов’язані з критичними інфраструктурами.
- (2) 17 листопада 2005 року Комісія ухвалила Зелену книгу з питань європейської програми охорони та захисту критичних інфраструктур, що визначала кілька варіантів політики щодо створення такої програми та Інформаційної мережі попередження щодо загроз критичній інфраструктурі. В отриманих відгуках на Зелену книгу наголошувались додаткові переваги рамок Співтовариства щодо охорони та захисту критичних інфраструктур. Визнана необхідність покращення охорони та захисту критичних інфраструктур в Європі та зниження рівня вразливості критичних інфраструктур. Підкреслена важливість ключових принципів субсидіарності, пропорційності і комплементарності, а також діалогу між стейкхолдерами.
- (3) В грудні 2005 року Рада юстиції та внутрішніх справ звернулася до Комісії з проханням внести пропозицію щодо Європейської програми охорони та захисту критичних інфраструктур («програма EPCIP») та вирішила, що вона повинна враховувати всі небезпеки і що її пріоритетом повинна бути протидія терористичним загрозам. Згідно з цим підходом, у процесі охорони та/або захисту критичних інфраструктур необхідно враховувати техногенні, технологічні загрози і стихійні лиха, проте пріоритет надається загрозі тероризму.
- (4) В квітні 2007 року Рада схвалила висновки щодо програми EPCIP, нагадуючи, що держави-члени несуть цілковиту відповідальність за управління механізмами охорони та захисту критичних інфраструктур в межах національних кордонів, вітаючи зусилля Комісії з розроблення європейської процедури ідентифікації та визначення європейських критичних інфраструктур («ЄКІ»), а також оцінювання необхідності покращення їх охорони та захисту.
- (5) Ця Директива є першим кроком поступового підходу до ідентифікації і визначення ЄКІ, а також оцінювання необхідності покращення їх охорони та захисту. Фактично, ця Директива робить основний акцент на енергетичному і транспортному секторах, та вимагає перегляду для оцінки її впливу і необхідності додати до сфери її застосування інші сектори, між іншим, сектор інформаційно-комунікаційних технологій («ІКТ»).
- (6) Першочергова та остаточна відповідальність за охорону та захист ЄКІ покладається на держав-членів та власників/операторів таких інфраструктур.
- (7) У межах Співтовариства існує певна кількість критичних інфраструктур, пошкодження або знищення яких може мати істотні транскордонні наслідки. До них також можуть належати транскордонні міжгалузеві наслідки, що виникають внаслідок взаємозалежності взаємопов’язаних інфраструктур. Такі ЄКІ необхідно ідентифікувати та визначати як ЄКІ із застосуванням єдиної процедури. Щоб оцінити вимоги до забезпечення охорони та захисту таких інфраструктур, необхідно застосовувати єдиний мінімальний підхід. Двосторонні схеми співпраці держав-членів в сфері охорони та захисту критичних інфраструктур є добре налагодженими і ефективними засобами контролю транскордонних критичних інфраструктур. Програма EPCIP повинна засновуватися саме на такій співпраці. Інформація, що стосується визначення конкретної інфраструктури як ЄКІ, повинна бути засекречена на відповідному рівні згідно з існуючим законодавством Співтовариства та держав-членів.
- (8) Оскільки різні сектори мають конкретний досвід, експертні знання і вимоги до охорони та захисту критичних інфраструктур, підхід Співтовариства до охорони та захисту таких інфраструктур необхідно розробляти і впроваджувати з урахуванням секторальної специфіки і наявних секторальних інструментів, у тому числі, наявних на рівні Співтовариства, національних та регіональних рівнях, а також, у відповідних випадках, транскордонних угод про взаємодопомогу між власниками/операторами критичних інфраструктур. З огляду на суттєве залучення приватного сектору до здійснення нагляду і управління ризиками, планування безперервної діяльності та ліквідації наслідків надзвичайних ситуацій, підхід Співтовариства повинен сприяти повному залученню приватного сектору.
- (9) Відносно енергетичного сектора та, зокрема, методів виробництва та передачі електроенергії (стосовно її постачання), розуміється, що виробництво електроенергії, за умови доцільності, може включати елементи передачі електроенергії атомних електростанцій але не включати безпосередньо ядерні елементи, що регулюються відповідним ядерним законодавством, в тому числі договорами та правом Співтовариства.
- (10) Ця Директива доповнює секторальні інструменти, що існують на рівні Співтовариства і держав-членів. За умови наявності чинних механізмів на рівні Співтовариства, їх необхідно використовувати і надалі; вони сприятимуть виконанню положень цієї Директиви в цілому. Необхідно уникати дублювання та суперечностей між різними актами або положеннями.
- (11) Всі визначені ЄКІ повинні мати ухвалені безпекові плани оператора («БПО»), або аналогічні інструменти ідентифікації важливих об’єктів, оцінювання ризиків й ідентифікації, відбору та встановлення пріоритетності запобіжних заходів і процедур. Для уникнення зайвої роботи і дублювання, кожна держава-член повинна спочатку перевірити наявність у власників/операторів визначених ЄКІ відповідних планів захисту або аналогічних інструментів. У разі відсутності таких планів, кожна держава-член повинна здійснити всі необхідні кроки, щоб забезпечити запровадження відповідних інструментів. Кожна держава-член самостійно визначає найдоцільнішу форму вжиття заходів з метою створення БПО.
- (12) Інструменти, принципи, настанови, в тому числі інструменти Співтовариства і двосторонні та/або багатосторонні схеми співпраці, що передбачають наявність плану, аналогічного або рівноцінного БПО, або координатора з питань безпеки, чи іншої аналогічної відповідальної особи, повинні вважатися такими, що задовольняють вимоги цієї Директиви щодо БПО або координатора з питань безпеки, відповідно.
- (13) Координатори з питань безпеки повинні бути ідентифіковані для всіх визначених ЄКІ з метою сприяння співпраці та комунікаціям з відповідними національними органами охорони та захисту критичних інфраструктур. Для уникнення зайвої роботи і дублювання, кожна держава-член повинна спочатку перевірити наявність у власників/операторів визначених ЄКІ координаторів з питань безпеки або аналогічних відповідальних осіб. За відсутності вищевказаних координаторів з питань безпеки, кожна держава-член повинна здійснити всі необхідні кроки, щоб забезпечити запровадження необхідних заходів. Кожна держава-член самостійно визначає найдоцільнішу форму вжиття заходів відносно призначення координаторів з питань безпеки.
- (14) Ефективна ідентифікація ризиків, загроз і вразливостей конкретних секторів вимагає комунікації як між власниками/операторами ЄКІ та державами-членами, так і між державами-членами та Комісією. Кожна держава-член повинна збирати інформацію про ЄКІ, розміщені на її території. Комісія повинна отримувати загальну інформацію від держав-членів про ризики, загрози і вразливості секторів, в яких було ідентифіковано ЄКІ, в тому числі, у відповідних випадках, інформацію про можливі покращення ЄКІ та міжсекторальні взаємозалежності, яка може слугувати Комісії підґрунтям для розроблення конкретних пропозицій щодо покращення охорони та захисту ЄКІ, за необхідності.
- (15) Задля сприяння покращенню охорони та захисту ЄКІ можна розробити загальні методи ідентифікації та класифікації ризиків, загроз та вразливостей об’єктів інфраструктури.
- (16) Власникам/операторам ЄКІ необхідно надавати доступ до кращих практик та методик стосовно охорони та захисту критичних інфраструктур, в основному через відповідні органи держав-членів.
- (17) Дієва охорона та захист ЄКІ вимагає комунікацій, координації та співпраці на національному рівні та на рівні Співтовариства. Найкращим чином цього можна досягти шляхом призначення в кожній державі-члені контактних осіб з питань охорони та захисту європейських критичних інфраструктур («контактні особи з ОЗЄКІ»), на яких покладається координація питань охорони та захисту критичних інфраструктур на рівні країни та з іншими державами-членами та Комісією.
- (18) Задля розробки заходів охорони та захисту європейських критичних інфраструктур у сферах, що потребують певного рівня конфіденційності, важливо забезпечити узгоджений і надійний обмін інформацією в рамках цієї Директиви. Важливо дотримуватися правил конфіденційності, згідно із застосовним національним законодавством або Регламентом Європейського Парламенту і Ради (ЄС) № 1049/2001 від 30 травня 2001 року про публічний доступ до документів Європейського Парламенту, Ради і Комісії (3), стосовно конкретних відомостей про об’єкти критичних інфраструктур, які можуть бути використані в плануванні та здійсненні дій з наміром спричинити неприпустимі наслідки для устатковання критичних інфраструктур. Засекречена інформація повинна бути захищена згідно з відповідним законодавством Співтовариства та держав-членів. Кожна держава-член та Комісія повинні дотримуватися відповідної категорії секретності, яку встановлює укладач документа.
- (19) Обмін інформацією щодо ЄКІ повинен відбуватися на засадах довіри і безпеки. Обмін інформацією вимагає довірчих відносин, за яких компанії і організації можуть бути впевнені, що їхні вразливі і конфіденційні дані будуть достатньо захищені.
- (20) Оскільки держави-члени самостійно не можуть в достатній мірі досягнути цілей цієї Директиви - а саме створити процедури ідентифікації та визначення ЄКІ, а також розробити єдиний підхід до оцінювання необхідності покращення охорони та захисту таких інфраструктур - проте, враховуючи масштабність заходів, їх можна досягти на рівні Співтовариства, Співтовариство може ухвалити інструменти згідно з принципом субсидіарності, викладеним в статті 5 Договору. Згідно з принципом пропорційності, встановленим у зазначеній статті, ця Директива не виходить за межі необхідного для досягнення таких цілей.
- (21) Ця Директива дотримується основних прав і принципів, визнаних, зокрема, Хартією фундаментальних прав Європейського Союзу,
- УХВАЛИЛА ЦЮ ДИРЕКТИВУ:
- Стаття 1 Предмет
- Стаття 2 Терміни та означення
- Стаття 3 Ідентифікація ЄКІ
- Стаття 4 Визначення ЄКІ
- Стаття 5 Безпековий план оператора
- Стаття 6 Координатори з питань безпеки
- Стаття 7 Звітування
- Стаття 8 Підтримка Комісії для ЄКІ
- Стаття 9 Чутлива інформація, пов’язана з охороною та захистом європейських критичних інфраструктур
- Стаття 10 Контактні особи з питань охорони та захисту європейських критичних інфраструктур
- Стаття 11 Перегляд
- Стаття 12 Імплементація
- Стаття 13 Набуття чинності
- Стаття 14 Адресати