- РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,
- Беручи до уваги Договір про заснування Європейського Співтовариства, зокрема його статтю 308,
- Беручи до уваги пропозицію Комісії,
- Беручи до уваги висновок Європейського Парламенту (1),
- Беручи до уваги висновок Європейського Центрального Банку (2),
- Оскільки:
- (1) В червні 2004 року Європейська Рада висунула вимогу щодо підготовки загальної стратегії охорони та захисту критичних інфраструктур. У відповідь на це, 20 жовтня 2004 року Комісія ухвалила Повідомлення про охорону та захист критичних інфраструктур в рамках боротьби проти тероризму, в якому було викладено пропозиції щодо можливих заходів Співтовариства щодо попередження, підготованості та реагування на терористичні акти, пов’язані з критичними інфраструктурами.
- (2) 17 листопада 2005 року Комісія ухвалила Зелену книгу з питань європейської програми охорони та захисту критичних інфраструктур, що визначала кілька варіантів політики щодо створення такої програми та Інформаційної мережі попередження щодо загроз критичній інфраструктурі. В отриманих відгуках на Зелену книгу наголошувались додаткові переваги рамок Співтовариства щодо охорони та захисту критичних інфраструктур. Визнана необхідність покращення охорони та захисту критичних інфраструктур в Європі та зниження рівня вразливості критичних інфраструктур. Підкреслена важливість ключових принципів субсидіарності, пропорційності і комплементарності, а також діалогу між стейкхолдерами.
- (3) В грудні 2005 року Рада юстиції та внутрішніх справ звернулася до Комісії з проханням внести пропозицію щодо Європейської програми охорони та захисту критичних інфраструктур («програма EPCIP») та вирішила, що вона повинна враховувати всі небезпеки і що її пріоритетом повинна бути протидія терористичним загрозам. Згідно з цим підходом, у процесі охорони та/або захисту критичних інфраструктур необхідно враховувати техногенні, технологічні загрози і стихійні лиха, проте пріоритет надається загрозі тероризму.
- (4) В квітні 2007 року Рада схвалила висновки щодо програми EPCIP, нагадуючи, що держави-члени несуть цілковиту відповідальність за управління механізмами охорони та захисту критичних інфраструктур в межах національних кордонів, вітаючи зусилля Комісії з розроблення європейської процедури ідентифікації та визначення європейських критичних інфраструктур («ЄКІ»), а також оцінювання необхідності покращення їх охорони та захисту.
- (5) Ця Директива є першим кроком поступового підходу до ідентифікації і визначення ЄКІ, а також оцінювання необхідності покращення їх охорони та захисту. Фактично, ця Директива робить основний акцент на енергетичному і транспортному секторах, та вимагає перегляду для оцінки її впливу і необхідності додати до сфери її застосування інші сектори, між іншим, сектор інформаційно-комунікаційних технологій («ІКТ»).
- (6) Першочергова та остаточна відповідальність за охорону та захист ЄКІ покладається на держав-членів та власників/операторів таких інфраструктур.
- (7) У межах Співтовариства існує певна кількість критичних інфраструктур, пошкодження або знищення яких може мати істотні транскордонні наслідки. До них також можуть належати транскордонні міжгалузеві наслідки, що виникають внаслідок взаємозалежності взаємопов’язаних інфраструктур. Такі ЄКІ необхідно ідентифікувати та визначати як ЄКІ із застосуванням єдиної процедури. Щоб оцінити вимоги до забезпечення охорони та захисту таких інфраструктур, необхідно застосовувати єдиний мінімальний підхід. Двосторонні схеми співпраці держав-членів в сфері охорони та захисту критичних інфраструктур є добре налагодженими і ефективними засобами контролю транскордонних критичних інфраструктур. Програма EPCIP повинна засновуватися саме на такій співпраці. Інформація, що стосується визначення конкретної інфраструктури як ЄКІ, повинна бути засекречена на відповідному рівні згідно з існуючим законодавством Співтовариства та держав-членів.
- (8) Оскільки різні сектори мають конкретний досвід, експертні знання і вимоги до охорони та захисту критичних інфраструктур, підхід Співтовариства до охорони та захисту таких інфраструктур необхідно розробляти і впроваджувати з урахуванням секторальної специфіки і наявних секторальних інструментів, у тому числі, наявних на рівні Співтовариства, національних та регіональних рівнях, а також, у відповідних випадках, транскордонних угод про взаємодопомогу між власниками/операторами критичних інфраструктур. З огляду на суттєве залучення приватного сектору до здійснення нагляду і управління ризиками, планування безперервної діяльності та ліквідації наслідків надзвичайних ситуацій, підхід Співтовариства повинен сприяти повному залученню приватного сектору.
- (9) Відносно енергетичного сектора та, зокрема, методів виробництва та передачі електроенергії (стосовно її постачання), розуміється, що виробництво електроенергії, за умови доцільності, може включати елементи передачі електроенергії атомних електростанцій але не включати безпосередньо ядерні елементи, що регулюються відповідним ядерним законодавством, в тому числі договорами та правом Співтовариства.
- (10) Ця Директива доповнює секторальні інструменти, що існують на рівні Співтовариства і держав-членів. За умови наявності чинних механізмів на рівні Співтовариства, їх необхідно використовувати і надалі; вони сприятимуть виконанню положень цієї Директиви в цілому. Необхідно уникати дублювання та суперечностей між різними актами або положеннями.
- (11) Всі визначені ЄКІ повинні мати ухвалені безпекові плани оператора («БПО»), або аналогічні інструменти ідентифікації важливих об’єктів, оцінювання ризиків й ідентифікації, відбору та встановлення пріоритетності запобіжних заходів і процедур. Для уникнення зайвої роботи і дублювання, кожна держава-член повинна спочатку перевірити наявність у власників/операторів визначених ЄКІ відповідних планів захисту або аналогічних інструментів. У разі відсутності таких планів, кожна держава-член повинна здійснити всі необхідні кроки, щоб забезпечити запровадження відповідних інструментів. Кожна держава-член самостійно визначає найдоцільнішу форму вжиття заходів з метою створення БПО.
- (12) Інструменти, принципи, настанови, в тому числі інструменти Співтовариства і двосторонні та/або багатосторонні схеми співпраці, що передбачають наявність плану, аналогічного або рівноцінного БПО, або координатора з питань безпеки, чи іншої аналогічної відповідальної особи, повинні вважатися такими, що задовольняють вимоги цієї Директиви щодо БПО або координатора з питань безпеки, відповідно.
- (13) Координатори з питань безпеки повинні бути ідентифіковані для всіх визначених ЄКІ з метою сприяння співпраці та комунікаціям з відповідними національними органами охорони та захисту критичних інфраструктур. Для уникнення зайвої роботи і дублювання, кожна держава-член повинна спочатку перевірити наявність у власників/операторів визначених ЄКІ координаторів з питань безпеки або аналогічних відповідальних осіб. За відсутності вищевказаних координаторів з питань безпеки, кожна держава-член повинна здійснити всі необхідні кроки, щоб забезпечити запровадження необхідних заходів. Кожна держава-член самостійно визначає найдоцільнішу форму вжиття заходів відносно призначення координаторів з питань безпеки.
- (14) Ефективна ідентифікація ризиків, загроз і вразливостей конкретних секторів вимагає комунікації як між власниками/операторами ЄКІ та державами-членами, так і між державами-членами та Комісією. Кожна держава-член повинна збирати інформацію про ЄКІ, розміщені на її території. Комісія повинна отримувати загальну інформацію від держав-членів про ризики, загрози і вразливості секторів, в яких було ідентифіковано ЄКІ, в тому числі, у відповідних випадках, інформацію про можливі покращення ЄКІ та міжсекторальні взаємозалежності, яка може слугувати Комісії підґрунтям для розроблення конкретних пропозицій щодо покращення охорони та захисту ЄКІ, за необхідності.
- (15) Задля сприяння покращенню охорони та захисту ЄКІ можна розробити загальні методи ідентифікації та класифікації ризиків, загроз та вразливостей об’єктів інфраструктури.
- (16) Власникам/операторам ЄКІ необхідно надавати доступ до кращих практик та методик стосовно охорони та захисту критичних інфраструктур, в основному через відповідні органи держав-членів.
- (17) Дієва охорона та захист ЄКІ вимагає комунікацій, координації та співпраці на національному рівні та на рівні Співтовариства. Найкращим чином цього можна досягти шляхом призначення в кожній державі-члені контактних осіб з питань охорони та захисту європейських критичних інфраструктур («контактні особи з ОЗЄКІ»), на яких покладається координація питань охорони та захисту критичних інфраструктур на рівні країни та з іншими державами-членами та Комісією.
- (18) Задля розробки заходів охорони та захисту європейських критичних інфраструктур у сферах, що потребують певного рівня конфіденційності, важливо забезпечити узгоджений і надійний обмін інформацією в рамках цієї Директиви. Важливо дотримуватися правил конфіденційності, згідно із застосовним національним законодавством або Регламентом Європейського Парламенту і Ради (ЄС) № 1049/2001 від 30 травня 2001 року про публічний доступ до документів Європейського Парламенту, Ради і Комісії (3), стосовно конкретних відомостей про об’єкти критичних інфраструктур, які можуть бути використані в плануванні та здійсненні дій з наміром спричинити неприпустимі наслідки для устатковання критичних інфраструктур. Засекречена інформація повинна бути захищена згідно з відповідним законодавством Співтовариства та держав-членів. Кожна держава-член та Комісія повинні дотримуватися відповідної категорії секретності, яку встановлює укладач документа.
- (19) Обмін інформацією щодо ЄКІ повинен відбуватися на засадах довіри і безпеки. Обмін інформацією вимагає довірчих відносин, за яких компанії і організації можуть бути впевнені, що їхні вразливі і конфіденційні дані будуть достатньо захищені.
- (20) Оскільки держави-члени самостійно не можуть в достатній мірі досягнути цілей цієї Директиви - а саме створити процедури ідентифікації та визначення ЄКІ, а також розробити єдиний підхід до оцінювання необхідності покращення охорони та захисту таких інфраструктур - проте, враховуючи масштабність заходів, їх можна досягти на рівні Співтовариства, Співтовариство може ухвалити інструменти згідно з принципом субсидіарності, викладеним в статті 5 Договору. Згідно з принципом пропорційності, встановленим у зазначеній статті, ця Директива не виходить за межі необхідного для досягнення таких цілей.
- (21) Ця Директива дотримується основних прав і принципів, визнаних, зокрема, Хартією фундаментальних прав Європейського Союзу,
- УХВАЛИЛА ЦЮ ДИРЕКТИВУ:
- Стаття 1 Предмет
- Стаття 2 Терміни та означення
- Стаття 3 Ідентифікація ЄКІ
- Стаття 4 Визначення ЄКІ
- Стаття 5 Безпековий план оператора
- Стаття 6 Координатори з питань безпеки
- Стаття 7 Звітування
- Стаття 8 Підтримка Комісії для ЄКІ
- Стаття 9 Чутлива інформація, пов’язана з охороною та захистом європейських критичних інфраструктур
- Стаття 10 Контактні особи з питань охорони та захисту європейських критичних інфраструктур
- Стаття 11 Перегляд
- Стаття 12 Імплементація
- Стаття 13 Набуття чинності
- Стаття 14 Адресати
Увійдіть, щоб зручно організувати та зберігати закони і судові рішення. Це безкоштовно.
Приєднуйтесь.
Зберігайте закони у приватних списках для швидкого доступу. Діліться публічними списками з іншими.
(До Розділу III "Юстиція, свобода та безпека")
ДИРЕКТИВА РАДИ 2008/114/ЄС
від 8 грудня 2008 року
про ідентифікацію і визначення європейських критичних інфраструктур та оцінювання необхідності покращення їх охорони та захисту
Беручи до уваги Договір про заснування Європейського Співтовариства, зокрема його статтю 308,
Беручи до уваги пропозицію Комісії,
Беручи до уваги висновок Європейського Парламенту (1),
Беручи до уваги висновок Європейського Центрального Банку (2),
_________
(1) Висновок від 10 липня 2007 року (ще не опубліковано в Офіційному віснику).
(2) ОВ С 116, 26.05.2007, с. 1.
(1) В червні 2004 року Європейська Рада висунула вимогу щодо підготовки загальної стратегії охорони та захисту критичних інфраструктур. У відповідь на це, 20 жовтня 2004 року Комісія ухвалила Повідомлення про охорону та захист критичних інфраструктур в рамках боротьби проти тероризму, в якому було викладено пропозиції щодо можливих заходів Співтовариства щодо попередження, підготованості та реагування на терористичні акти, пов’язані з критичними інфраструктурами.
(2) 17 листопада 2005 року Комісія ухвалила Зелену книгу з питань європейської програми охорони та захисту критичних інфраструктур, що визначала кілька варіантів політики щодо створення такої програми та Інформаційної мережі попередження щодо загроз критичній інфраструктурі. В отриманих відгуках на Зелену книгу наголошувались додаткові переваги рамок Співтовариства щодо охорони та захисту критичних інфраструктур. Визнана необхідність покращення охорони та захисту критичних інфраструктур в Європі та зниження рівня вразливості критичних інфраструктур. Підкреслена важливість ключових принципів субсидіарності, пропорційності і комплементарності, а також діалогу між стейкхолдерами.
(3) В грудні 2005 року Рада юстиції та внутрішніх справ звернулася до Комісії з проханням внести пропозицію щодо Європейської програми охорони та захисту критичних інфраструктур («програма EPCIP») та вирішила, що вона повинна враховувати всі небезпеки і що її пріоритетом повинна бути протидія терористичним загрозам. Згідно з цим підходом, у процесі охорони та/або захисту критичних інфраструктур необхідно враховувати техногенні, технологічні загрози і стихійні лиха, проте пріоритет надається загрозі тероризму.
(4) В квітні 2007 року Рада схвалила висновки щодо програми EPCIP, нагадуючи, що держави-члени несуть цілковиту відповідальність за управління механізмами охорони та захисту критичних інфраструктур в межах національних кордонів, вітаючи зусилля Комісії з розроблення європейської процедури ідентифікації та визначення європейських критичних інфраструктур («ЄКІ»), а також оцінювання необхідності покращення їх охорони та захисту.
(5) Ця Директива є першим кроком поступового підходу до ідентифікації і визначення ЄКІ, а також оцінювання необхідності покращення їх охорони та захисту. Фактично, ця Директива робить основний акцент на енергетичному і транспортному секторах, та вимагає перегляду для оцінки її впливу і необхідності додати до сфери її застосування інші сектори, між іншим, сектор інформаційно-комунікаційних технологій («ІКТ»).
(6) Першочергова та остаточна відповідальність за охорону та захист ЄКІ покладається на держав-членів та власників/операторів таких інфраструктур.
(7) У межах Співтовариства існує певна кількість критичних інфраструктур, пошкодження або знищення яких може мати істотні транскордонні наслідки. До них також можуть належати транскордонні міжгалузеві наслідки, що виникають внаслідок взаємозалежності взаємопов’язаних інфраструктур. Такі ЄКІ необхідно ідентифікувати та визначати як ЄКІ із застосуванням єдиної процедури. Щоб оцінити вимоги до забезпечення охорони та захисту таких інфраструктур, необхідно застосовувати єдиний мінімальний підхід. Двосторонні схеми співпраці держав-членів в сфері охорони та захисту критичних інфраструктур є добре налагодженими і ефективними засобами контролю транскордонних критичних інфраструктур. Програма EPCIP повинна засновуватися саме на такій співпраці. Інформація, що стосується визначення конкретної інфраструктури як ЄКІ, повинна бути засекречена на відповідному рівні згідно з існуючим законодавством Співтовариства та держав-членів.
(8) Оскільки різні сектори мають конкретний досвід, експертні знання і вимоги до охорони та захисту критичних інфраструктур, підхід Співтовариства до охорони та захисту таких інфраструктур необхідно розробляти і впроваджувати з урахуванням секторальної специфіки і наявних секторальних інструментів, у тому числі, наявних на рівні Співтовариства, національних та регіональних рівнях, а також, у відповідних випадках, транскордонних угод про взаємодопомогу між власниками/операторами критичних інфраструктур. З огляду на суттєве залучення приватного сектору до здійснення нагляду і управління ризиками, планування безперервної діяльності та ліквідації наслідків надзвичайних ситуацій, підхід Співтовариства повинен сприяти повному залученню приватного сектору.
(9) Відносно енергетичного сектора та, зокрема, методів виробництва та передачі електроенергії (стосовно її постачання), розуміється, що виробництво електроенергії, за умови доцільності, може включати елементи передачі електроенергії атомних електростанцій але не включати безпосередньо ядерні елементи, що регулюються відповідним ядерним законодавством, в тому числі договорами та правом Співтовариства.
(10) Ця Директива доповнює секторальні інструменти, що існують на рівні Співтовариства і держав-членів. За умови наявності чинних механізмів на рівні Співтовариства, їх необхідно використовувати і надалі; вони сприятимуть виконанню положень цієї Директиви в цілому. Необхідно уникати дублювання та суперечностей між різними актами або положеннями.
(11) Всі визначені ЄКІ повинні мати ухвалені безпекові плани оператора («БПО»), або аналогічні інструменти ідентифікації важливих об’єктів, оцінювання ризиків й ідентифікації, відбору та встановлення пріоритетності запобіжних заходів і процедур. Для уникнення зайвої роботи і дублювання, кожна держава-член повинна спочатку перевірити наявність у власників/операторів визначених ЄКІ відповідних планів захисту або аналогічних інструментів. У разі відсутності таких планів, кожна держава-член повинна здійснити всі необхідні кроки, щоб забезпечити запровадження відповідних інструментів. Кожна держава-член самостійно визначає найдоцільнішу форму вжиття заходів з метою створення БПО.
(12) Інструменти, принципи, настанови, в тому числі інструменти Співтовариства і двосторонні та/або багатосторонні схеми співпраці, що передбачають наявність плану, аналогічного або рівноцінного БПО, або координатора з питань безпеки, чи іншої аналогічної відповідальної особи, повинні вважатися такими, що задовольняють вимоги цієї Директиви щодо БПО або координатора з питань безпеки, відповідно.
(13) Координатори з питань безпеки повинні бути ідентифіковані для всіх визначених ЄКІ з метою сприяння співпраці та комунікаціям з відповідними національними органами охорони та захисту критичних інфраструктур. Для уникнення зайвої роботи і дублювання, кожна держава-член повинна спочатку перевірити наявність у власників/операторів визначених ЄКІ координаторів з питань безпеки або аналогічних відповідальних осіб. За відсутності вищевказаних координаторів з питань безпеки, кожна держава-член повинна здійснити всі необхідні кроки, щоб забезпечити запровадження необхідних заходів. Кожна держава-член самостійно визначає найдоцільнішу форму вжиття заходів відносно призначення координаторів з питань безпеки.
(14) Ефективна ідентифікація ризиків, загроз і вразливостей конкретних секторів вимагає комунікації як між власниками/операторами ЄКІ та державами-членами, так і між державами-членами та Комісією. Кожна держава-член повинна збирати інформацію про ЄКІ, розміщені на її території. Комісія повинна отримувати загальну інформацію від держав-членів про ризики, загрози і вразливості секторів, в яких було ідентифіковано ЄКІ, в тому числі, у відповідних випадках, інформацію про можливі покращення ЄКІ та міжсекторальні взаємозалежності, яка може слугувати Комісії підґрунтям для розроблення конкретних пропозицій щодо покращення охорони та захисту ЄКІ, за необхідності.
(15) Задля сприяння покращенню охорони та захисту ЄКІ можна розробити загальні методи ідентифікації та класифікації ризиків, загроз та вразливостей об’єктів інфраструктури.
(16) Власникам/операторам ЄКІ необхідно надавати доступ до кращих практик та методик стосовно охорони та захисту критичних інфраструктур, в основному через відповідні органи держав-членів.
(17) Дієва охорона та захист ЄКІ вимагає комунікацій, координації та співпраці на національному рівні та на рівні Співтовариства. Найкращим чином цього можна досягти шляхом призначення в кожній державі-члені контактних осіб з питань охорони та захисту європейських критичних інфраструктур («контактні особи з ОЗЄКІ»), на яких покладається координація питань охорони та захисту критичних інфраструктур на рівні країни та з іншими державами-членами та Комісією.
(18) Задля розробки заходів охорони та захисту європейських критичних інфраструктур у сферах, що потребують певного рівня конфіденційності, важливо забезпечити узгоджений і надійний обмін інформацією в рамках цієї Директиви. Важливо дотримуватися правил конфіденційності, згідно із застосовним національним законодавством або Регламентом Європейського Парламенту і Ради (ЄС) № 1049/2001 від 30 травня 2001 року про публічний доступ до документів Європейського Парламенту, Ради і Комісії (3), стосовно конкретних відомостей про об’єкти критичних інфраструктур, які можуть бути використані в плануванні та здійсненні дій з наміром спричинити неприпустимі наслідки для устатковання критичних інфраструктур. Засекречена інформація повинна бути захищена згідно з відповідним законодавством Співтовариства та держав-членів. Кожна держава-член та Комісія повинні дотримуватися відповідної категорії секретності, яку встановлює укладач документа.
__________
(3) ОВ L 145, 31.05.2001, с. 43.
(19) Обмін інформацією щодо ЄКІ повинен відбуватися на засадах довіри і безпеки. Обмін інформацією вимагає довірчих відносин, за яких компанії і організації можуть бути впевнені, що їхні вразливі і конфіденційні дані будуть достатньо захищені.
(20) Оскільки держави-члени самостійно не можуть в достатній мірі досягнути цілей цієї Директиви - а саме створити процедури ідентифікації та визначення ЄКІ, а також розробити єдиний підхід до оцінювання необхідності покращення охорони та захисту таких інфраструктур - проте, враховуючи масштабність заходів, їх можна досягти на рівні Співтовариства, Співтовариство може ухвалити інструменти згідно з принципом субсидіарності, викладеним в статті 5 Договору. Згідно з принципом пропорційності, встановленим у зазначеній статті, ця Директива не виходить за межі необхідного для досягнення таких цілей.
(21) Ця Директива дотримується основних прав і принципів, визнаних, зокрема, Хартією фундаментальних прав Європейського Союзу,
Ця Директива встановлює процедуру ідентифікації і визначення європейських критичних інфраструктур («ЄКІ») та вироблення єдиного підходу для оцінювання необхідності покращення охорони та захисту таких інфраструктур з метою сприяння захисту населення.
(a) «критична інфраструктура» означає об’єкт, систему, або її частину, розташовану в державах-членах, що є суттєвою для підтримки життєво важливих громадських функцій, здоров’я, безпеки, захищеності, економічного або соціального добробуту населення, пошкодження або знищення якої матиме істотний вплив у державі-члені через неспроможність такої інфраструктури підтримувати згадані функції;
(b) «європейська критична інфраструктура» або «ЄКІ» означає критичну інфраструктуру, розташовану в державах-членах, пошкодження або знищення якої матиме істотний вплив щонайменше на дві держави-члени. Істотність впливу оцінюється за допомогою наскрізних критеріїв. Вони включають в себе наслідки міжсекторальних залежностей від інфраструктур інших типів;
(c) «аналіз ризику» означає розгляд відповідних сценаріїв загроз з метою оцінення вразливості і потенційного впливу порушення функціонування або знищення критичної інфраструктури;
(d) «чутлива інформація, яка стосується охорони та захисту критичних інфраструктур» означає факти про критичну інфраструктуру, які, в разі їх розголошення, можуть бути використані для планування та здійснення дій з наміром порушити функціонування або знищити устатковання критичних інфраструктур;
(e) «охорона та захист» означає всі види діяльності, спрямовані на забезпечення функціональності, безперервності і цілісності критичних інфраструктур з метою недопущення, зменшення наслідків і нейтралізації загрози, ризику або вразливості;
(f) «власники/оператори ЄКІ» означає суб’єктів, відповідальних за інвестиції в конкретний об’єкт, систему або її частину, визначену як ЄКІ відповідно до цієї Директиви, та/або її щоденну роботу.
1. Згідно з процедурою, викладеною в додатку III, кожна держава-член повинна ідентифікувати потенційні ЄКІ, що відповідають як наскрізним, так і секторальним критеріям та означенням, наданим в статті 2(a) і (b).
За запитом від держави-члена, Комісія може допомогти їй ідентифікувати потенційні ЄКІ.
Комісія може звернути увагу відповідної держави-члена на існування потенційних критичних інфраструктур, які можна вважати відповідними критеріям, необхідним для визначення як ЄКІ.
Кожна держава-член і Комісія повинні підтримувати постійний процес ідентифікації потенційних ЄКІ.
2. Наскрізні критерії, зазначені в параграфі 1, включають:
(a) критерій нещасних випадків (оцінюється потенційна кількість смертельних випадків або отриманих травм);
(b) критерій економічних результатів (оцінюється значущість економічних втрат та/або погіршення продуктів чи послуг, у тому числі потенційні екологічні наслідки);
(c) критерій суспільних наслідків (оцінюється вплив на суспільну довіру, фізичні страждання, порушення повсякденного життя, у тому числі ненадання основних послуг).
Граничні значення наскрізних критеріїв повинні встановлюватися з урахуванням серйозності наслідків, спричинених пошкодженням або знищенням конкретної інфраструктури. Точні граничні значення наскрізних критеріїв в кожному конкретному випадку визначають відповідні держави-члени для певної критичної інфраструктурі. Кожна держава-член повинна щорічно інформувати Комісію про кількість інфраструктур в кожному секторі, щодо яких проводилися обговорення про граничні значення наскрізних критеріїв.
Секторальні критерії повинні враховувати особливості окремих секторів ЄКІ.
Комісія спільно з державами-членами повинна розробляти настанови щодо застосування наскрізних і секторальних критеріїв та розрахування граничних значень, що використовуватимуться для ідентифікації ЄКІ. Критерії повинні бути засекречені. Використання таких настанов державами-членами не є обов’язковим.
3. Для цілей виконання цієї Директиви використовуються енергетичний і транспортний сектори. Підсектори визначено в додатку I.
Якщо вважатиметься за доцільне та в сукупності з переглядом цієї Директиви, як встановлено в статті 11, можуть бути визначені інші сектори, які використовуватимуться для цілей виконання цієї Директиви. Пріоритет надається сектору ІКТ.
1. Кожна держава-член повинна повідомляти інші держави-члени, які можуть зазнати істотного впливу потенційної ЄКІ, про наявність такої інфраструктури та причини визначення її як потенційної ЄКІ.
2. Держава-член, на території якої розташовується потенційна ЄКІ, повинна провести двосторонні та/або багатосторонні обговорення з іншими державами-членами, що можуть зазнати істотного впливу потенційної ЄКІ. Комісія може брати участь в таких обговореннях, але не повинна мати доступ до детальної інформації, яка дозволить однозначно ідентифікувати конкретну інфраструктуру.
Держава-член, яка має підстави вважати, що вона може зазнати істотного впливу від потенційної ЄКІ, але ще не була ідентифікована як така державою-членом, на території якої розташовується потенційна ЄКІ, може повідомити Комісію про своє бажання долучитися до двосторонніх та/або багатосторонніх обговорень цього питання. Комісія повинна негайно повідомити державу-члена, на території якої розташовується потенційна ЄКІ, про таке бажання та докласти всіх зусиль для досягнення сторонами згоди.
3. Держава-член, на території якої розташовується потенційна ЄКІ, повинна визначити ЄКІ після погодження між державою-членом та тими державами-членами, що можуть зазнати істотного впливу потенційної ЄКІ.
Необхідно вимагати згоду держави-члена, на території якої розташовується інфраструктура, котра повинна бути визначена як ЄКІ.
4. Держава-член, на території якої розташовується визначена ЄКІ, щорічно інформує Комісію про кількість визначених ЄКІ в кожному секторі та кількість держав-членів, що залежать від кожної такої ЄКІ. Лише ті держави-члени, що можуть зазнати істотного впливу ЄКІ, повинні володіти детальною інформацією про таку ЄКІ.
5. Держави-члени, на території яких розташовуються ЄКІ, повинні повідомити власника/оператора інфраструктури про визначення як ЄКІ. На відповідному рівні інформація, що стосується визначення інфраструктури як ЄКІ, засекречується.
6. Процес ідентифікації та визначення ЄКІ згідно зі статтею 3 і цією статтею повинен завершитися до 12 січня 2011 року та потребує регулярного перегляду.
Стаття 5
Безпековий план оператора
1. Розробляючи безпековий план оператора («БПО»), необхідно ідентифікувати об’єкти критичної інфраструктури ЄКІ та рішення із забезпечення безпеки, що вже існують або ще впроваджуються для їх охорони та захисту. Мінімальний зміст процедури, передбаченої БПО для ЄКІ, визначено в додатку II.
2. Кожна держава-член повинна перевірити наявність БПО або аналогічних інструментів, спрямованих на вирішення питань, визначених у додатку II, в кожній визначеній ЄКІ, що розташовується на її території. Якщо держава-член встановила, що БПО або аналогічні інструменти існують і регулярно оновлюються, необхідність здійснення подальших імплементаційних дій відсутня.
3. Якщо держава-член встановила, що БПО або аналогічні інструменти не були розроблені, вона повинна будь-якими методами, на її думку доцільними, забезпечити підготовку БПО або аналогічних інструментів для вирішення питань, визначених в додатку II.
Через рік з моменту визначення критичної інфраструктури як ЄКІ кожна держава-член повинна перевірити наявність у неї БПО або аналогічних інструментів, а також впевнитися в їх регулярному перегляді. У виняткових випадках зазначений період може бути збільшений за згодою уповноваженого органу держави-члена, з відповідним повідомленням Комісії.
4. У випадку, коли дія цієї статті не поширюється на наявні заходи контролю та нагляду стосовно ЄКІ, уповноважений орган держави-члена, зазначений в цій статті, повинен виконувати наглядові функції в рамках таких наявних заходів.
5. Виконання вимог інструментів, у тому числі інструментів Співтовариства, що пов’язані з вимогою або необхідністю наявності в конкретному секторі плану, аналогічного або рівнозначного БПО, та здійснення відповідним уповноваженим органом нагляду за дотриманням такого плану, розцінюється як виконання вимог держав-членів, що наведені в цій статті або встановлені згідно з нею. Настанови, наведені в статті 3(2), повинні містити орієнтовний перелік таких інструментів.
Стаття 6
Координатори з питань безпеки
1. Координатор з питань безпеки є контактною особою з питань безпеки між власником/оператором ЄКІ та відповідним уповноваженим органом держави-члена.
2. Кожна держава-член повинна перевірити, чи призначено координатора з питань безпеки або аналогічну відповідальну особу для кожної визначеної ЄКІ, що розташовується на її території. Якщо держава-член встановила, що такоий координатор з питань безпеки або аналогічна відповідальна особа є в наявності, подальші заходи щодо виконання не є необхідними.
3. Якщо держава-член встановила, що координатор з питань безпеки або аналогічна відповідальна особа для визначеної ЄКІ не була призначена, вона повинна будь-якими методами, на її думку доцільними, забезпечити призначення такого координатора з питань безпеки або аналогічної відповідальної особи.
4. Кожна держава-член повинна запровадити належний механізм комунікації між уповноваженим органом відповідної держави-члена та координатором з питань безпеки, або аналогічною відповідальною особою, з метою обміну інформацією щодо ідентифікації ризиків і загроз відповідній ЄКІ. Такий механізм комунікації не повинен обмежувати національні вимоги щодо доступу до конфіденційної та секретної інформації.
5. Виконання вимог інструментів, у тому числі інструментів Співтовариства, що пов’язані з вимогою або необхідністю наявності координатора з питань безпеки або аналогічної відповідальної особи в конкретному секторі, розцінюється як виконання вимог держав-членів, що наведені в цій статті або встановлені згідно з нею. Настанови, наведені в статті 3(2), повинні містити орієнтовний перелік застосовних заходів.
1. Кожна держава-член повинна оцінити загрози щодо підсекторів ЄКІ протягом одного року з моменту визначення критичної інфраструктури на її території як ЄКІ в таких підсекторах.
2. Кожна держава-член повинна раз на два роки в короткій формі надавати Комісії загальні дані про типи ризиків, загроз і вразливостей, ідентифікованих в кожній галузі ЄКІ, в якій визначено ЄКІ відповідно до статті 4 і яка розташовується на її території.
Загальноприйнятий шаблон таких звітів може розробити Комісія за співпраці з державами-членами.
На відповідному рівні такий звіт буде засекречено в порядку, визначеному державою-членом, що підготувала такий звіт.
3. На основі звітів, зазначених в параграфі 2, Комісія і держави-члени повинні оцінити на рівні сектора необхідність розгляду додаткових заходів охорони та захисту ЄКІ, що впроваджуватимуться на рівні Співтовариства. Цей процес повинен здійснюватися в рамках перегляду цієї Директиви відповідно до статті 11.
4. Загальноприйняті методичні настанови щодо проведення оцінювання ризиків ЄКІ може розробити Комісія за співпраці з державами-членами. Використання таких настанов державами-членами не є обов’язковим.
Стаття 8
Підтримка Комісії для ЄКІ
Комісія повинна, діючи через уповноважені органи відповідної держави-члена, надавати підтримку власникам/операторам визначених ЄКІ шляхом надання їм доступу до кращих методик і практик, а також повинна сприяти навчанню та обміну інформацією про нові технічні розробки в сфері охорони та захисту критичних інфраструктур.
Стаття 9
Чутлива інформація, пов’язана з охороною та захистом європейських критичних інфраструктур
1. Будь-яка особа, яка має справу з секретною інформацією від імені держави-члена або Комісії, повинна пройти перевірку благонадійності відповідного рівня.
Держава-член, Комісія і відповідні наглядові органи повинні гарантувати, що чутлива інформація, пов’язана з охороною та захистом європейських критичних інфраструктур, надана державам-членам або Комісії, не використовується для жодних інших цілей, крім охорони та захисту критичних інфраструктур.
2. Положення цієї статті застосовуються також до неписьмової інформації, обмін якою відбувся під час переговорів, на яких обговорювалися секретні теми.
Стаття 10
Контактні особи з питань охорони та захисту європейських критичних інфраструктур
1. Кожна держава-член повинна призначити контактну особу з питань охорони та захисту європейських критичних інфраструктур («контактна особа з ОЗЄКІ»).
2. Контактні особи з ОЗЄКІ відповідають за вирішення питань охорони та захисту європейських критичних інфраструктур у межах держави-члена або із залученням інших держав-членів та Комісії. Призначення контактної особи з ОЗЄКІ не перешкоджає участі інших уповноважених органів держави-члена у вирішенні завдань із охорони та захисту європейських критичних інфраструктур.
Перегляд цієї Директиви повинен розпочатися 12 січня 2012 року.
Держави-члени повинні впровадити інструменти, необхідні для виконання цієї Директиви, не пізніше 12 січня 2011 року. Вони негайно інформують про це Комісію і передають їй текст таких інструментів разом з таблицею кореляції з цією Директивою.
Якщо держави-члени ухвалюють такі інструменти, вони повинні містити покликання на цю Директиву або супроводжуватися таким покликанням у разі їх офіційної публікації. Методи здійснення такого покликання визначають держави-члени.
Ця Директива набуває чинності на 20-ий день після її публікації в Офіційному віснику Європейського Союзу.
Цю Директиву адресовано державам-членам.
Вчинено в Брюсселі 8 грудня 2008 року.
|
Сектор |
Підсектор |
|
|
I Енергетика |
1. Електроенергія |
Інфраструктури та установки для виробництва і передачі електроенергії, що стосуються електропостачання |
|
2. Нафта |
Видобуток, переробка, підготовка, зберігання та передача нафти трубопроводами |
|
|
3. Газ |
Видобуток, переробка, підготовка, зберігання та передача газу трубопроводами Термінали скрапленого газу |
|
|
II Транспорт |
4. Дорожній транспорт 5. Залізничний транспорт 6. Повітряний транспорт 7. Водний транспорт внутрішнього сполучення 8. Морське і каботажне судноплавство та порти |
|
Ідентифікація державами-членами критичних інфраструктур, що можуть бути визначені як ЄКІ, здійснюється відповідно до положень статті 3.
Таким чином, список секторів ЄКІ не є підставою для створення загального обов’язку визначати інфраструктури як ЄКІ в кожному секторі.
ПРОЦЕДУРА РОЗРОБЛЕННЯ БПО ДЛЯ ЄКІ
БПО ідентифікуватиме об’єкти критичних інфраструктур та рішення для забезпечення безпеки, що вже існують або впроваджуються для їх охорони та захисту. Процедура розробляння БПО для ЄКІ охопить, щонайменше:
1. ідентифікацію важливих об’єктів;
2. проведення аналізу ризиків на основі сценаріїв головних загроз, вразливостей кожного об’єкту і його потенційного впливу; та
3. ідентифікацію, відбір та встановлення пріоритетності запобіжних заходів і процедур, що поділяються на:
- постійні заходи забезпечення безпеки, що ідентифікують необхідні рівні фінансування та механізми захисту, що повинні застосовуватися на всіх етапах. Цей підпункт включатиме інформацію про загальні заходи, такі як технічні заходи (в тому числі встановлення засобів виявлення, контролю доступу, захисту, попередження); організаційні заходи (в тому числі процедури попередження про небезпеку, управління кризами); заходи контролю і верифікації; комунікації; підвищення рівня обізнаності й підготовки; безпеку інформаційних систем;
- поетапні заходи забезпечення безпеки, що активуються залежно від рівнів ризику і загроз.
ПРОЦЕДУРА ІДЕНТИФІКАЦІЇ ДЕРЖАВАМИ-ЧЛЕНАМИ КРИТИЧНИХ ІНФРАСТРУКТУР, ЯКІ МОЖУТЬ БУТИ ВИЗНАЧЕНІ ЯК ЄКІ ЗГІДНО ЗІ СТАТТЕЮ 3
Відповідно до статті 3, кожна держава-член повинна ідентифікувати критичні інфраструктури, які можуть бути визначені як ЄКІ. Цю процедуру виконує кожна держава-член шляхом здійснення низки наступних послідовних кроків.
Потенційна ЄКІ, що не відповідає вимогам одного або кількох наведених нижче кроків, вважається такою, що «не є ЄКІ» і виключається із процедури. Потенційна ЄКІ, що відповідає вимогам, проходить через наступні кроки цієї процедури.
Кожна держава-член повинна застосувати секторальні критерії відбору під час першого відбору критичної інфраструктури в межах сектора.
Кожна держава-член повинна застосувати до потенційної ЄКІ, ідентифікованої на етапі кроку 1, означення критичної інфраструктури відповідно до статті 2(a).
Істотність впливу визначається національними методами ідентифікації критичних інфраструктур або застосуванням наскрізних критеріїв на відповідному національному рівні. Для інфраструктури, що надає основну послугу, наявність альтернатив та тривалість збою/відновлення також беруться до уваги.
Кожна держава-член повинна застосувати до потенційної ЄКІ, що пройшла два попередні кроки цієї процедури, транскордонний аспект означення ЄКІ відповідно до статті 2(b). До потенційної ЄКІ, що відповідає такому означенню, застосовуватиметься наступний крок цієї процедури. Для інфраструктури, що надає основну послугу, наявність альтернатив та тривалість збою/відновлення також беруться до уваги.
Кожна держава-член повинна застосувати наскрізні критерії до решти потенційних ЄКІ. Наскрізні критерії повинні враховувати: ступінь впливу; та, для інфраструктури, що надає основну послугу, доступність альтернатив; і тривалість збою/відновлення. Потенційна ЄКІ, що не відповідає наскрізним критеріям, не вважатиметься ЄКІ.
Інформація про потенційну ЄКІ, що пройшла цю процедуру, повідомляється лише тим державам-членам, що можуть зазнати істотного впливу цієї потенційної ЄКІ.
{Джерело: Урядовий портал (Переклади актів acquis ЄС) https://www.kmu.gov.ua}
