РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про заснування Європейського Співтовариства, зокрема його статтю 308,

Беручи до уваги пропозицію Комісії,

Беручи до уваги висновок Європейського Парламенту (-1),

Беручи до уваги висновок Європейського Центрального Банку (-2),

_________

(-1) Висновок від 10 липня 2007 року (ще не опубліковано в Офіційному віснику).

(-2) ОВ С 116, 26.05.2007, с. 1.

Оскільки:

(1) В червні 2004 року Європейська Рада висунула вимогу щодо підготовки загальної стратегії охорони та захисту критичних інфраструктур. У відповідь на це, 20 жовтня 2004 року Комісія ухвалила Повідомлення про охорону та захист критичних інфраструктур в рамках боротьби проти тероризму, в якому було викладено пропозиції щодо можливих заходів Співтовариства щодо попередження, підготованості та реагування на терористичні акти, пов’язані з критичними інфраструктурами.

(2) 17 листопада 2005 року Комісія ухвалила Зелену книгу з питань європейської програми охорони та захисту критичних інфраструктур, що визначала кілька варіантів політики щодо створення такої програми та Інформаційної мережі попередження щодо загроз критичній інфраструктурі. В отриманих відгуках на Зелену книгу наголошувались додаткові переваги рамок Співтовариства щодо охорони та захисту критичних інфраструктур. Визнана необхідність покращення охорони та захисту критичних інфраструктур в Європі та зниження рівня вразливості критичних інфраструктур. Підкреслена важливість ключових принципів субсидіарності, пропорційності і комплементарності, а також діалогу між стейкхолдерами.

(3) В грудні 2005 року Рада юстиції та внутрішніх справ звернулася до Комісії з проханням внести пропозицію щодо Європейської програми охорони та захисту критичних інфраструктур ("програма EPCIP") та вирішила, що вона повинна враховувати всі небезпеки і що її пріоритетом повинна бути протидія терористичним загрозам. Згідно з цим підходом, у процесі охорони та/або захисту критичних інфраструктур необхідно враховувати техногенні, технологічні загрози і стихійні лиха, проте пріоритет надається загрозі тероризму.

(4) В квітні 2007 року Рада схвалила висновки щодо програми EPCIP, нагадуючи, що держави-члени несуть цілковиту відповідальність за управління механізмами охорони та захисту критичних інфраструктур в межах національних кордонів, вітаючи зусилля Комісії з розроблення європейської процедури ідентифікації та визначення європейських критичних інфраструктур ("ЄКІ"), а також оцінювання необхідності покращення їх охорони та захисту.

(5) Ця Директива є першим кроком поступового підходу до ідентифікації і визначення ЄКІ, а також оцінювання необхідності покращення їх охорони та захисту. Фактично, ця Директива робить основний акцент на енергетичному і транспортному секторах, та вимагає перегляду для оцінки її впливу і необхідності додати до сфери її застосування інші сектори, між іншим, сектор інформаційно-комунікаційних технологій ("ІКТ").

(6) Першочергова та остаточна відповідальність за охорону та захист ЄКІ покладається на держав-членів та власників/операторів таких інфраструктур.

(7) У межах Співтовариства існує певна кількість критичних інфраструктур, пошкодження або знищення яких може мати істотні транскордонні наслідки. До них також можуть належати транскордонні міжгалузеві наслідки, що виникають внаслідок взаємозалежності взаємопов’язаних інфраструктур. Такі ЄКІ необхідно ідентифікувати та визначати як ЄКІ із застосуванням єдиної процедури. Щоб оцінити вимоги до забезпечення охорони та захисту таких інфраструктур, необхідно застосовувати єдиний мінімальний підхід. Двосторонні схеми співпраці держав-членів в сфері охорони та захисту критичних інфраструктур є добре налагодженими і ефективними засобами контролю транскордонних критичних інфраструктур. Програма EPCIP повинна засновуватися саме на такій співпраці. Інформація, що стосується визначення конкретної інфраструктури як ЄКІ, повинна бути засекречена на відповідному рівні згідно з існуючим законодавством Співтовариства та держав-членів.

(8) Оскільки різні сектори мають конкретний досвід, експертні знання і вимоги до охорони та захисту критичних інфраструктур, підхід Співтовариства до охорони та захисту таких інфраструктур необхідно розробляти і впроваджувати з урахуванням секторальної специфіки і наявних секторальних інструментів, у тому числі, наявних на рівні Співтовариства, національних та регіональних рівнях, а також, у відповідних випадках, транскордонних угод про взаємодопомогу між власниками/операторами критичних інфраструктур. З огляду на суттєве залучення приватного сектору до здійснення нагляду і управління ризиками, планування безперервної діяльності та ліквідації наслідків надзвичайних ситуацій, підхід Співтовариства повинен сприяти повному залученню приватного сектору.

(9) Відносно енергетичного сектора та, зокрема, методів виробництва та передачі електроенергії (стосовно її постачання), розуміється, що виробництво електроенергії, за умови доцільності, може включати елементи передачі електроенергії атомних електростанцій але не включати безпосередньо ядерні елементи, що регулюються відповідним ядерним законодавством, в тому числі договорами та правом Співтовариства.

(10) Ця Директива доповнює секторальні інструменти, що існують на рівні Співтовариства і держав-членів. За умови наявності чинних механізмів на рівні Співтовариства, їх необхідно використовувати і надалі; вони сприятимуть виконанню положень цієї Директиви в цілому. Необхідно уникати дублювання та суперечностей між різними актами або положеннями.

(11) Всі визначені ЄКІ повинні мати ухвалені безпекові плани оператора ("БПО"), або аналогічні інструменти ідентифікації важливих об’єктів, оцінювання ризиків й ідентифікації, відбору та встановлення пріоритетності запобіжних заходів і процедур. Для уникнення зайвої роботи і дублювання, кожна держава-член повинна спочатку перевірити наявність у власників/операторів визначених ЄКІ відповідних планів захисту або аналогічних інструментів. У разі відсутності таких планів, кожна держава-член повинна здійснити всі необхідні кроки, щоб забезпечити запровадження відповідних інструментів. Кожна держава-член самостійно визначає найдоцільнішу форму вжиття заходів з метою створення БПО.

(12) Інструменти, принципи, настанови, в тому числі інструменти Співтовариства і двосторонні та/або багатосторонні схеми співпраці, що передбачають наявність плану, аналогічного або рівноцінного БПО, або координатора з питань безпеки, чи іншої аналогічної відповідальної особи, повинні вважатися такими, що задовольняють вимоги цієї Директиви щодо БПО або координатора з питань безпеки, відповідно.

(13) Координатори з питань безпеки повинні бути ідентифіковані для всіх визначених ЄКІ з метою сприяння співпраці та комунікаціям з відповідними національними органами охорони та захисту критичних інфраструктур. Для уникнення зайвої роботи і дублювання, кожна держава-член повинна спочатку перевірити наявність у власників/операторів визначених ЄКІ координаторів з питань безпеки або аналогічних відповідальних осіб. За відсутності вищевказаних координаторів з питань безпеки, кожна держава-член повинна здійснити всі необхідні кроки, щоб забезпечити запровадження необхідних заходів. Кожна держава-член самостійно визначає найдоцільнішу форму вжиття заходів відносно призначення координаторів з питань безпеки.

(14) Ефективна ідентифікація ризиків, загроз і вразливостей конкретних секторів вимагає комунікації як між власниками/операторами ЄКІ та державами-членами, так і між державами-членами та Комісією. Кожна держава-член повинна збирати інформацію про ЄКІ, розміщені на її території. Комісія повинна отримувати загальну інформацію від держав-членів про ризики, загрози і вразливості секторів, в яких було ідентифіковано ЄКІ, в тому числі, у відповідних випадках, інформацію про можливі покращення ЄКІ та міжсекторальні взаємозалежності, яка може слугувати Комісії підґрунтям для розроблення конкретних пропозицій щодо покращення охорони та захисту ЄКІ, за необхідності.

(15) Задля сприяння покращенню охорони та захисту ЄКІ можна розробити загальні методи ідентифікації та класифікації ризиків, загроз та вразливостей об’єктів інфраструктури.

(16) Власникам/операторам ЄКІ необхідно надавати доступ до кращих практик та методик стосовно охорони та захисту критичних інфраструктур, в основному через відповідні органи держав-членів.

(17) Дієва охорона та захист ЄКІ вимагає комунікацій, координації та співпраці на національному рівні та на рівні Співтовариства. Найкращим чином цього можна досягти шляхом призначення в кожній державі-члені контактних осіб з питань охорони та захисту європейських критичних інфраструктур ("контактні особи з ОЗЄКІ"), на яких покладається координація питань охорони та захисту критичних інфраструктур на рівні країни та з іншими державами-членами та Комісією.

(18) Задля розробки заходів охорони та захисту європейських критичних інфраструктур у сферах, що потребують певного рівня конфіденційності, важливо забезпечити узгоджений і надійний обмін інформацією в рамках цієї Директиви. Важливо дотримуватися правил конфіденційності, згідно із застосовним національним законодавством або Регламентом Європейського Парламенту і Ради (ЄС) № 1049/2001 від 30 травня 2001 року про публічний доступ до документів Європейського Парламенту, Ради і Комісії (-3), стосовно конкретних відомостей про об’єкти критичних інфраструктур, які можуть бути використані в плануванні та здійсненні дій з наміром спричинити неприпустимі наслідки для устатковання критичних інфраструктур. Засекречена інформація повинна бути захищена згідно з відповідним законодавством Співтовариства та держав-членів. Кожна держава-член та Комісія повинні дотримуватися відповідної категорії секретності, яку встановлює укладач документа.

__________

(-3) ОВ L 145, 31.05.2001, с. 43.

(19) Обмін інформацією щодо ЄКІ повинен відбуватися на засадах довіри і безпеки. Обмін інформацією вимагає довірчих відносин, за яких компанії і організації можуть бути впевнені, що їхні вразливі і конфіденційні дані будуть достатньо захищені.

(20) Оскільки держави-члени самостійно не можуть в достатній мірі досягнути цілей цієї Директиви - а саме створити процедури ідентифікації та визначення ЄКІ, а також розробити єдиний підхід до оцінювання необхідності покращення охорони та захисту таких інфраструктур - проте, враховуючи масштабність заходів, їх можна досягти на рівні Співтовариства, Співтовариство може ухвалити інструменти згідно з принципом субсидіарності, викладеним в статті 5 Договору. Згідно з принципом пропорційності, встановленим у зазначеній статті, ця Директива не виходить за межі необхідного для досягнення таких цілей.

(21) Ця Директива дотримується основних прав і принципів, визнаних, зокрема, Хартією фундаментальних прав Європейського Союзу,

УХВАЛИЛА ЦЮ ДИРЕКТИВУ:

Ця Директива встановлює процедуру ідентифікації і визначення європейських критичних інфраструктур ("ЄКІ") та вироблення єдиного підходу для оцінювання необхідності покращення охорони та захисту таких інфраструктур з метою сприяння захисту населення.

Для цілей цієї Директиви:

(a) "критична інфраструктура" означає об’єкт, систему, або її частину, розташовану в державах-членах, що є суттєвою для підтримки життєво важливих громадських функцій, здоров’я, безпеки, захищеності, економічного або соціального добробуту населення, пошкодження або знищення якої матиме істотний вплив у державі-члені через неспроможність такої інфраструктури підтримувати згадані функції;

(b) "європейська критична інфраструктура" або "ЄКІ" означає критичну інфраструктуру, розташовану в державах-членах, пошкодження або знищення якої матиме істотний вплив щонайменше на дві держави-члени. Істотність впливу оцінюється за допомогою наскрізних критеріїв. Вони включають в себе наслідки міжсекторальних залежностей від інфраструктур інших типів;

(c) "аналіз ризику" означає розгляд відповідних сценаріїв загроз з метою оцінення вразливості і потенційного впливу порушення функціонування або знищення критичної інфраструктури;

(d) "чутлива інформація, яка стосується охорони та захисту критичних інфраструктур" означає факти про критичну інфраструктуру, які, в разі їх розголошення, можуть бути використані для планування та здійснення дій з наміром порушити функціонування або знищити устатковання критичних інфраструктур;

(e) "охорона та захист" означає всі види діяльності, спрямовані на забезпечення функціональності, безперервності і цілісності критичних інфраструктур з метою недопущення, зменшення наслідків і нейтралізації загрози, ризику або вразливості;

(f) "власники/оператори ЄКІ" означає суб’єктів, відповідальних за інвестиції в конкретний об’єкт, систему або її частину, визначену як ЄКІ відповідно до цієї Директиви, та/або її щоденну роботу.

1. Згідно з процедурою, викладеною в додатку III, кожна держава-член повинна ідентифікувати потенційні ЄКІ, що відповідають як наскрізним, так і секторальним критеріям та означенням, наданим в статті 2(a) і (b).

За запитом від держави-члена, Комісія може допомогти їй ідентифікувати потенційні ЄКІ.

Комісія може звернути увагу відповідної держави-члена на існування потенційних критичних інфраструктур, які можна вважати відповідними критеріям, необхідним для визначення як ЄКІ.

Кожна держава-член і Комісія повинні підтримувати постійний процес ідентифікації потенційних ЄКІ.

2. Наскрізні критерії, зазначені в параграфі 1, включають:

(a) критерій нещасних випадків (оцінюється потенційна кількість смертельних випадків або отриманих травм);

(b) критерій економічних результатів (оцінюється значущість економічних втрат та/або погіршення продуктів чи послуг, у тому числі потенційні екологічні наслідки);

(c) критерій суспільних наслідків (оцінюється вплив на суспільну довіру, фізичні страждання, порушення повсякденного життя, у тому числі ненадання основних послуг).

Граничні значення наскрізних критеріїв повинні встановлюватися з урахуванням серйозності наслідків, спричинених пошкодженням або знищенням конкретної інфраструктури. Точні граничні значення наскрізних критеріїв в кожному конкретному випадку визначають відповідні держави-члени для певної критичної інфраструктурі. Кожна держава-член повинна щорічно інформувати Комісію про кількість інфраструктур в кожному секторі, щодо яких проводилися обговорення про граничні значення наскрізних критеріїв.

Секторальні критерії повинні враховувати особливості окремих секторів ЄКІ.

Комісія спільно з державами-членами повинна розробляти настанови щодо застосування наскрізних і секторальних критеріїв та розрахування граничних значень, що використовуватимуться для ідентифікації ЄКІ. Критерії повинні бути засекречені. Використання таких настанов державами-членами не є обов’язковим.

3. Для цілей виконання цієї Директиви використовуються енергетичний і транспортний сектори. Підсектори визначено в додатку I.