|
SAMLENOTAT vedrørende Forslag til RÃ¥dets direktiv om indkredsning og klassificering af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte dem â€EPCIP-direktivet†af 12. december 2006 KOM(2006)787
|
19. maj 2008
Kommissionen blev af Det Europæiske RÃ¥d i juni 2004 anmodet om at udsende et program for beskyttelse af kritisk infrastruktur (EPCIP) med baggrund i terroranslagene i Madrid marts 2004. RÃ¥det gentog ønsket om et EPCIP-program i rÃ¥dskonklusionerne fra den 16. – 17. december 2004 samt i EU’s reviderede handlingsplan vedrørende indsatsen mod terrorisme af 10. juni 2005 og pÃ¥ rÃ¥dsmødet (retlige og indre anliggender) den 1. – 2. december 2005. Kommissionen udsendte i november 2005 en grønbog vedrørende EPCIP. Den 12. december 2006 udsendte Kommissionen et forslag til direktiv og en meddelelse om EPCIP. PÃ¥ RIA RÃ¥dsmødet den 6.-7. december 2007 fremsattes en fremskridtsrapport om status for arbejdet med direktivet. Direktivet har gennemgÃ¥et flere læsninger,og Kommissionen har i april 2008 fremlagt forslag til specifikke kriterier i direktivet. Â
Direktivet fastlægger en procedure for udpegning af europæisk kritisk infrastruktur inden for udvalgte sektorer samt stiller en række krav til beskyttelse af denne infrastruktur. Forslaget indeholder ikke konkrete forslag til den fysiske beskyttelse af europæisk kritisk infrastruktur. Europæisk kritisk infrastruktur defineres som infrastruktur, hvis afbrydelse eller ødelæggelse vil påvirke to eller flere medlemsstater.
I første omgang gælder direktivet alene for transport- og energisektoren, men fokus vil kunne udvides i forbindelse med en nærmere fastlagt revisionsproces. Medlemsstaterne indberetter til Kommissionen på et overordnet og generelt niveau, om og i givet fald hvor mange infrastrukturer der er udpeget og inden for hvilke sektorer. Medlemsstaterne skal herefter udarbejde risiko- og sårbarhedsvurderinger for sektorerne for europæisk kritisk infrastruktur
Operatører af europæisk kritisk infrastruktur skal udarbejde en sikkerhedsplan for operatører og udpege en sikkerhedsÂforbindelsesofficer. SÃ¥fremt medlemsstaten vurderer, at der for de pÃ¥gældende infrastrukturer allerede er udarbejdet en sikkerhedsplan for operatører eller lignende samt udpeget en sikkerhedsÂforbindelsesofficer eller lignende, behøver medlemsstaten ikke foretage yderligere..
Fra dansk side kan man støtte det overordnede mål om at sikre en forsvarlig beskyttelse af kritisk infrastruktur i Europa. Det er regeringens vurdering, at lidt eller ingen europæisk kritisk infrastruktur vil blive udpeget i Danmark. Det er ligeledes regeringens vurdering, at Danmark ikke vil pege på europæisk kritisk infrastruktur i andre medlemsstater. På denne baggrund vurderes EPCIP-direktivet at have begrænset rækkevidde for Danmark.
EPCIP-direktivet fremlægges på RIA Rådsmødet den 5.-6. juni 2008 med henblik på opnåelse af politisk enighed. Herefter afventer den endelig vedtagelse af EPCIP-direktivet, at medlemsstaterne når til enighed om de vejledende sektorspecifikke og tværgående kriterier, hvorefter direktivet kan vedtages på et efterfølgende vilkårligt rådsmøde.
2. Baggrund
Det Europæiske Råd anmodede i juni 2004 Kommissionen og den Højtstående Repræsentant om at udforme en overordnet strategi til beskyttelse af kritisk infrastruktur i Europa.
Kommissionen vedtog den 20. oktober 2004 en meddelelse vedrørende beskyttelse af kritisk infrastruktur i indsatsen mod terrorisme (KOM(2004)702). Meddelelsen indeholder forslag til, hvordan EU kan forbedre beredskabet bl.a. i forbindelse med terrorangreb, der påvirker kritisk infrastruktur, og den foreslår et program om europæisk kritisk infrastruktur beskyttelse (EPCIP) samt etablering af et informations- og varslingsnetværk vedrørende kritisk infrastruktur (CIWIN).
Rådet gentog ønsket om et EPCIP-program i EU’s reviderede handlingsplan af 10. juni 2005 vedrørende indsatsen mod terrorisme, efter terrorangrebene i London den 7. juli 2005, samt på rådsmødet (retlige og indre anliggender) den 1. – 2. december 2005.
RÃ¥dskonklusionerne fra den 1. – 2. december 2005 slÃ¥r bl.a. fast, at beskyttelse af kritisk infrastruktur er medlemsstaternes ansvar, at initiativer pÃ¥ EU-niveau skal respektere nærhedsprincippet, og at udgangspunktet for programmet bør være en â€all hazards approachâ€, dvs. alle typer af hændelser, med særligt fokus pÃ¥ terrorisme. Det konkluderes endvidere, at kritisk infrastrukturbeskyttelse i EU skal fremmes ved at styrke medlemsstaternes mulighed for at identificere og beskytte national kritisk infrastruktur, samt at den private sektor involveres aktivt.
Som forberedelse til udarbejdelsen af programmet udsendte Kommissionen den 17. november 2005 en grønbog om EPCIP. Derudover afholdt Kommissionen tre seminarer for repræsentanter for medlemsstaterne og den private sektor, samt uformelle møder med medlemsstaternes kontaktpersoner for kritisk infrastruktur og med repræsentanter for den private sektor (Telekommunikationsindustrien og Dansk Industri).
Kommissionen udsendte den 12. december 2006 â€Forslag til RÃ¥dets direktiv om indkredsning og klassificering af europæisk kritisk infrastruktur og vurdering af behovet for at beskytte den†(KOM(2006)787) (â€EPCIP-direktivetâ€) og â€Meddelelse fra Kommissionen om et europæisk program for beskyttelse af kritisk infrastruktur†(KOM(2006)786).
Direktivet har gennemgået flere læsninger, og Kommissionen har i april 2008 fremlagt forslag til specifikke kriterier i direktivet (udkast til sektorspecifikke og tværgående kriterier).
På RIA Rådsmødet den 6.-7. december 2007 fremsattes en fremskridtsrapport om status for arbejdet med direktivet.
Kommissionen har anført følgende vedrørende nærhedsprincippet i forhold til direktivet:
â€Subsidiaritetsprincippet er respekteret, da de foranstaltninger, der træffes via dette forslag, ikke kan gennemføres af nogen enkelt medlemsstat og derfor bedre kan træffes pÃ¥ EU-plan. Selv om det er den enkelte medlemsstats ansvar at beskytte kritisk infrastruktur inden for dens jurisdiktion, er det vigtigt for EU's sikkerhed at sikre, at infrastruktur, hvis afbrydelse eller ødelæggelse kan have konsekvenser i to eller flere medlemsstater eller i en enkelt medlemsstat, hvis den kritiske infrastruktur er beliggende i en anden medlemsstat, er tilstrækkeligt beskyttet, og at en eller flere medlemsstater ikke gøres sÃ¥rbare som følge af svagheder eller lave sikkerhedsstandarder i andre medlemsstater. Lignende regler vedrørende sikkerhed ville ogsÃ¥ være med til at sikre, at konkurrencereglerne pÃ¥ det indre marked ikke forvrides.â€
Regeringen lægger i sin vurdering af overholdelsen af nærhedsprincippet vægt på, at det overordnede ansvar for at beskytte kritisk infrastruktur inden for medlemsstaternes jurisdiktion fortsat påhviler medlemsstaterne samt ejere og operatører af kritisk infrastruktur, også i forhold til den kritiske infrastruktur, som efter procedurerne i direktivet klassificeres som europæisk kritisk infrastruktur.
Kommissionens forslag til direktiv sigter pÃ¥ de dele af den kritiske infrastruktur, som vil kunne betegnes som â€europæisk kritisk infrastrukturâ€, dvs. de aktiver eller dele deraf, der er væsentlige for opretholdelsen af kritiske samfundsmæssige funktioner, herunder forsyningskæden og menneskers sundhed, sikkerhed og økonomisk eller social velfærd pÃ¥ europæisk niveau. Det er derfor vigtigt, at der anvendes gennemsigtige og ensartede metoder til at identificere kritisk infrastruktur pÃ¥ europæisk niveau.
Regeringen finder på det foreliggende grundlag, at direktivforslaget vil bidrage til at sikre, at medlemsstaterne fremover vil have en mere ensartet tilgang til beskyttelse af kritisk infrastruktur, der har betydning på det europæiske niveau. Det er regeringens målsætning at undgå, at sårbarheder i en medlemsstat medfører omfattende konsekvenser for andre medlemsstater. Regeringen vurderer, at dette mål mest hensigtsmæssigt kan opnås ved en koordineret indsats på europæisk plan.
Regeringens vurdering er på dette grundlag, at direktivforslaget ikke strider mod nærhedsprincippet.
Kommissionen har præsenteret et direktivforslag om identifikation af europæisk kritisk infrastruktur, der fastlægger metoden for udpegning af europæisk kritisk infrastruktur inden for udvalgte sektorer samt stiller en række krav til beskyttelse af denne infrastruktur.
Europæisk kritisk infrastruktur defineres som infrastruktur, hvis afbrydelse eller ødelæggelse vil påvirke to eller flere medlemsstater.
Der eksisterer en række forholdsregler på EU-niveau inden for it-sektoren, sundhedssektoren, den finansielle sektor, transportsektoren, den kemiske sektor samt den nukleare sektor, men der eksisterer pt. i EU ingen foranstaltninger på tværs af sektorerne.
Direktivet fastlægger, at Kommissionen i samarbejde med medlemsstaterne skal udvikle ikke-bindende sektorspecifikke kriterier samt ikke-bindende tværgående kriterier ud fra konsekvenserne af en ødelæggelse eller afbrydelse af en given infrastruktur. Desuden skal Kommissionen i samarbejde med medlemsstaterne udvikle ikke-bindende retningslinjer for disse sektorspecifikke og tværgående kriteriers anvendelse. Det foreslås, at konsekvenserne skal vurderes ud fra realistiske trusselsscenarier, hvori der sker en vurdering af antallet af døde/sårede, den økonomiske effekt samt de politiske og psykologiske virkninger. For de to sidstnævnte indgår den miljømæssige effekt som en del af vurderingen.
Direktivet pålægger hver medlemsstat at identificere infrastruktur som opfylder kriterierne, og på et overordnet og generelt niveau at informere Kommissionen om disse.
Medlemsstaterne skal sikre at ejere/operatører af europæisk kritisk infrastruktur har en sikkerhedsplan for operatører (Operator Security Plan – OSP) eller lignende, som identificerer ejere og operatørers vigtige aktiver og etablerer relevante sikkerhedsløsninger for disse aktivers beskyttelse. Direktivet fastsætter en minimumsÂstandard for indholdet i en sikkerhedsplan for operatører. Sikkerhedsplanerne skal indsendes til medlemsstaten, som udarbejder generelle risiko- og sÃ¥rbarhedsanalyser for hver sektor. Derudover skal medlemsstaterne sikre, at ejere/operatører af kritisk infrastruktur har udpeget en sikkerhedsforbindelsesofficer eller lignende, som skal være kontaktled til medlemsstaten for al information vedrørende beskyttelse af kritisk infrastruktur. Det er medlemsstaterne, der alene vurderer, om kravene til sikkerhedsplaner og sikkerhedsforbindelsesofficerer er opfyldt.
Europa-Parlamentet skal udtale sig om direktivforslaget i henhold til traktatens artikel 308. Europa Parlamentet støttede i sin udtalelse af den 10. juli 2007 overordnet EPCIP-forslaget. Europa Parlamentet havde en række konkrete bemærkninger til direktivforslaget, herunder i forhold til definitionen af europæisk kritisk infrastruktur som Europa Parlamentet ønskede, skulle omfatte mindst to medlemsstater. Dette og en række andre af Europa Parlamentets ønsker er efterfølgende imødekommet.
Ansvaret for kritisk infrastrukturbeskyttelse i Danmark følger af sektoransvarsprincippet, jf. beredskabsloven § 24; â€De enkelte ministre skal inden for deres omrÃ¥de planlægge for opretholdelse og videreførelse af samfundets funktioner i tilfælde af ulykker og katastrofer (…).â€
Ministerierne skal sørge for, at den nødvendige lovgivning, bekendtgørelser m.m. tilvejebringes i ressortÂlovgivningen. Regulering i ressortlovgivningen kan ske enten som en specifik beredskabsmæssig lovgivning eller som led i den almindelige lovgivning.
Beredskabskrav til operatører af kritisk infrastruktur kan blandt andet findes i:
· Havnesikringsbekendtgørelsen
· Elforsyningslovens § 85 b
· Naturgasforsyningslovens § 15 a
· Varmeforsyningslovens § 29 a
· Lov om pligtige lagre af mineralolie og mineralolieprodukter § 5 a
· Offshoresikkerhedslovens § 45, stk. 4-5
· Fødevarelovens § 59
· Sundhedsloven §§ 210-211
· Lov om konkurrence og forbrugerforhold på telemarkedet § 86
Vedtagelse af direktivforslaget vil medføre, at Danmark skal sikre dækkende lovgivning, som fastlægger, at operatører af europæisk kritisk infrastruktur skal udarbejde en sikkerhedsplan for operatører som opfylder kravene i direktivet, samt at operatører af europæisk kritisk infrastruktur skal udpege en sikkerhedsforbindelsesofficer. Såfremt man fra den relevante danske myndigheds side vurderer, at der allerede foreligger en sikkerhedsplan eller lignende og at der allerede er udpeget en sikkerhedsforbindelsesofficer eller lignende bortfalder behovet for særlige initiativer.
Det er vurderingen, at implementeringen af Kommissionens forslag til direktiv vil kræve ændringer i dansk ret.
Det vurderes, at kravet om lovgivning kan opfyldes ved, at relevante bestemmelser indføjes i eksisterende sektorlovgivning eller ved at der indføres særskilt lovgivning om europæisk kritisk infrastruktur.
Direktivforslaget vil forpligte den danske stat til at identificere europæisk kritisk infrastruktur i Danmark samt kritisk infrastruktur i udlandet, hvis afbrydelse eller ødelæggelse vil have væsentlige konsekvenser for Danmark. EPCIP vil medføre en række nye opgaver, som vil involvere alle myndigheder med ansvar for kritisk infrastruktur. Arbejdet med den øvrige nationale kritiske infrastruktur må ventes påvirket af det arbejde, som udgøres af den europæiske kritiske infrastruktur.
Kravet i direktivforslaget om, at operatører af europæisk kritisk infrastruktur skal implementere en sikkerhedsplan for operatører eller lignende samt udpege en sikkerhedsforbindelsesofficer eller lignende, kan pålægge de udpegede virksomheder yderligere arbejdsopgaver, hvis de ikke allerede har dækkende beredskabs- og sikkerhedsplaner eller lignende og/eller udpeget en sikkerhedsforbindelsesofficer eller lignende. Der vil i sektorerne være forskel på, i hvor høj grad operatørerne allerede opfylder disse krav, og dermed hvor store ekstra byrder kravene vil kunne indebære.
De potentielle økonomiske og administrative byrder for operatørerne vurderes samlet set at ville være begrænsede. Dels vil de eksisterende bestemmelser og beredskabsplaner på mange områder betyde, at det ikke vil være nødvendigt foretage sig noget konkret for at leve op til kravene om sikkerhedsplan for operatører og sikkerhedsforbindelsesofficer. Dels forventes få eller ingen europæisk kritisk infrastruktur at blive udpeget i Danmark. Såfremt der udpeges kritisk infrastruktur kan dette have økonomiske konsekvenser for operatørerne i forbindelse med opfyldelse af krav til beskyttelse heraf.
Uanset om der udpeges europæisk kritisk infrastruktur i Danmark, vil identifikationsprocessen inddrage sektoransvarlige myndigheder for de prioriterede sektorer samt en række andre myndigheder som er nødvendige for analysen. Denne proces forventes at ville trække pÃ¥ en del af de ressourcer, der i de pÃ¥gældende myndigheder i forvejen anvendes til beredskabsarbejde.Â
Forslaget indebærer ikke i sig selv væsentlige udgifter pÃ¥ EU’s budget, men det er forudsat, at der kan opnÃ¥s EU-tilskud fra programmet â€Forebyggelse, beredskabs og konsekvenshÃ¥ndtering i forbindelse med terrorisme og andre sikkerhedsrelaterede risiciâ€, der har en samlet bevilling pÃ¥ 137,5 mio. EUR i perioden 2007-2013. Den økonomiske ramme kan ikke bruges til finansiering af fysiske installationer eller lignende. Programmet kan blandt andet (med)finansiere tiltag til fremme af risikovurderinger, evalueringer med hensyn pÃ¥ identificering af trusler m.v., udvikling af minimumstandarder og værktøjer, risikoanalyser, samt udgifter vedrørende samarbejde og udvikling af bedste praksis. Danmark betaler 2 % af EU’s udgifter, svarende til 2,75 mio. EUR, eller 20,6 mio. kr. I det omfang der ikke kan opnÃ¥s EU-tilskud, forudsættes det, at operatørerne selv finansierer de økonomiske konsekvenser, som direktivet mÃ¥tte afstedkomme.
Det oprindelige direktivforslag blev sendt i høring i EU specialudvalget pÃ¥ civilbeskyttelsesomrÃ¥det m.fl. den 10. januar 2007 med tidsfrist for bemærkninger den 24. januar 2007. Bemærkninger fra interesseorganisationer fremgÃ¥r nedenfor. EPCIP-direktivet har efterfølgende løbende været behandlet i sÃ¥vel EU specialudvalget pÃ¥ civilbeskyttelsesomrÃ¥det som i det til formÃ¥let nedsatte tekniske udvalg â€Koordinationsgruppen vedrørende EPCIPâ€.
Bemærkninger fra interesseorganisationer m.fl.
Naviair anførte, at direktivforslagets artikel 5 om sikkerhedsplaner og håndteringen af disse, herunder etablering af et overvågningssystem til feedback/kontrol af operatører af kritisk infrastruktur, giver stor risiko for dobbeltarbejde, i og med at de fleste relevante virksomheder allerede har udarbejdet specifikke beredskabsplaner, og som meget vel kan være mere detaljerede end det, der foreskrives i direktivforslaget.
Herudover fandt Naviair, at de enkelte operatører er de nærmeste til at vide, hvilke elementer, der skal indeholdes i en beredskabsplan, og det bør derfor være tilstrækkeligt, såfremt det af et givet direktiv på området fremgår, at operatørerne skal sikre, at elementerne i sikkerhedsplanen er til stede.
Endvidere er lufttrafiktjeneste området allerede omfattet af de såkaldte Common Requirement, som er en del af EU’s Single European Sky regelsæt. Det fremgår heraf, at der skal udarbejdes nødplaner for alle de tjenester, som den pågældende virksomhed udøver, i tilfælde af, at der indtræder begivenheder, som fører til væsentlig forringelse eller afbrydelse af den pågældendes tjenester. Common Requirements giver ikke detaljerede regler for, hvordan beredskabsplaner skal udarbejdes, og hvad de nærmere skal indeholde, men reglerne skal sikre, at planerne foreligger.
Hvorvidt der skal udpeges en sikkerhedforbindelsessofficer bør være den enkelte operatørs eget valg, og ikke noget, der fremgår af direktivet.
Til indberetningskravet i artikel 7 anførte Naviair, at også i henhold til Common Requirements er lufttrafiktjenesteudbyderne forpligtet til at oprette et Security Management System, der bl.a. skal indeholde procedurer for risikovurderinger, korrigerende tiltag og registreringer af uregelmæssigheder. Såfremt der med EPCIP direktivet indføres krav om endnu et system, hvorefter der skal udarbejdes risiko- og sårbarhedsanalyser, eventuelt efter en fælles EU-metode, vil dette pålægge en lufttrafiktjenesteudbyder en yderligere byrde, i fald en konkret tjeneste udpeges som kritisk europæisk infrastruktur. Dette vil betyde flere administrative byrder for de berørte virksomheder.
Post Danmark noterede sig, at postområdet er faldet ud i det fremlagte direktivforslag som et relevant område, hvorefter hele området Civil Administration er fjernet, hvilket tidligere indgik i grønbogen om kritisk infrastrukturbeskyttelse.
Sund & Bælt anførte, at det er uhyre vigtigt, at kriterierne for identifikation af europæisk kritisk infrastruktur på transportområdet bliver fastlagt, inden arbejdet med EPCIP i øvrigt kommer for langt. Det påpegedes, at bl.a. alternative transportmuligheder har indflydelse på, om en given infrastruktur kan anses for kritisk, og analyse af dette bør derfor være en af de forudsætninger, der skal være opfyldt, før kritisk infrastruktur kan udpeges.
Det påpegedes, at der som regel pågår omfattende risikoanalyser i forbindelse med infrastrukturanlæg, særligt i relation til trusler som naturkatastrofer og andre ulykkesårsager. Sådanne analyser fastlægger et passende sikkerhedsniveau for anlæggene. Uanset, at terrortrusler i sin natur ikke kan underkastes tilsvarende risikoanalyser, så er der på Storebæltsforbindelsen etableret nogle grundlæggende beskyttelsesforanstaltninger, som kan suppleres med en række graduerede sikringstiltag, der kan iværksættes i takt med at terrortruslen identificeres og gradvist øges. Dette princip bør også være bærende på europæisk plan, da permanente sikringsforanstaltninger overfor terror bør holdes på et passende lavt niveau for at undgå omfattende etablerings- og driftsudgifter til foranstaltninger, der ikke afspejler en reel terrortrussel.
Sund & Bælt fandt, at det er vigtigt at få slået fast, at handlingsplaner for beskyttelse mod terror er af særdeles fortrolig karakter. Dette betyder dog ikke, at der ikke indenfor transportområdet kan være behov blandt de sikringsansvarlige operatører for at etablere en generel erfaringsudveksling om principper og metoder. Dette sker allerede i dag i nogen udstrækning, men Sund & Bælt kan støtte en egentlig platform, der på en sikker måde kan anvendes til udveksling af bedste praksis.
Vedrørende de ikke-bindende foranstaltninger, indkredsning og analyse af den indbyrdes afhængighed, bemærkede Sund & Bælt, at en sådan analyse skal baseres på et åbent og konstruktivt samarbejde mellem de berørte parter i forhold til den kritiske transportinfrastruktur. Afhængigt af kriterierne for udpegning af kritisk transportinfrastruktur, kan opgaven gøres meget stor, og det er derfor vigtigt, at der sikres en top-down proces, således at analysen kun beskæftiger sig med de allermest væsentlige elementer.
For så vidt angår ledsagedokumentets bemærkninger om sårbarheds-, trussels- og risikovurderinger i forbindelse med europæisk kritisk infrastruktur, bemærkede Sund & Bælt, at det er væsentligt, at der er metodefrihed til at gennemføre sådanne analyser, idet der kan være knyttet særdeles mange ressourcer til gennemførelse af den slags analyser. Trusselsvurdering er i den forbindelse et separat emne, som Sund & Bælt går ud fra bliver håndteret i PET-regi.
Øresundsbron fandt, at det er fornuftigt og hensigtsmæssigt, at der forefindes ensartede retningslinjer for beskyttelse af og beredskab for kritisk infrastruktur. Fælles retningsliner i form af Operator Security Plans eller lignende vil pÃ¥ sigt sikre en form for â€best practice†for beskyttelse og beredskab i forbindelse med europæisk kritisk infrastruktur.
Det er til gengæld vigtigt, at der er metodefrihed ved gennemførelse af sårbarheds-, trussels- og risikovurderinger, samt ved udarbejdelse af Operator Security Plans, så allerede eksisterende og omfattende vurderinger, beregninger og planer kan anvendes. Ved udpegning af kontaktpunkt og sikkerhedsforbindelsesofficer antager Øresundsbron, at Kommissionen her tager andre EU-regelsæt med tilsvarende krav i betragtning, således at der ikke dannes unødvendigt stort bureaukrati i de enkelte medlemsstater.
Øresundsbron påpegede, at direktivforslaget giver Kommissionen mulighed for at kræve specifikke beskyttelsesforanstaltninger for europæisk kritisk infrastruktur, og dette kan betyde, at udpeget infrastruktur kan blive belastet med betydelige økonomiske omkostninger, som meget vel kan andrage to cifrede millionbeløb. Øresundsbron forudsætter derfor, at der i EU-regi eller på nationalt plan afsættes særlige midler til dækning af sådanne omkostninger, således at en eventuel udpegning af Øresundsbron som europæisk kritisk infrastruktur ikke får økonomiske følger for selskabet.
Øresundsbron påpegede det vigtige i, at selskabet selv får indflydelse i forbindelse med en eventuel fremtidig udpegningsproces.
DONG Energy bemærkede, at meget allerede er på plads, idet beredskabsloven, den nationale beredskabsplan og de to beredskabsbekendtgørelser fra Energistyrelsen dækker meget. Udfordringen bliver at gennemføre analyserne af, hvad der er kritisk infrastruktur. Sårbarhedsvurderingerne på udvalgte anlæg bør nok gennemføres i et tættere samarbejde mellem aktørerne, end det til nu har været tilfældet. Direktivforslaget indeholder nogle fornuftige bestemmelser omkring videnbeskyttelse og sikkerhedsgodkendelse. Det kunne pege på, at der måske bør tages et initiativ til at vurdere på behovet for at sikkerhedsgodkende nøgledeltagere i processerne.
Oliebranchens Fællesrepræsentation (OFR) fandt det hensigtsmæssigt, at der udarbejdes en overordnet ramme for sikring af europæisk kritisk infrastruktur i relation til energiområdet. OFR kunne derfor støtte Kommissionens forslag til program for beskyttelse af kritisk infrastruktur. Det påpegedes, at det må sikres, at der ikke pålægges unødige byrder på operatøren af den omhandlende kritiske infrastruktur.
North Sea Operators Committee - Denmark (NSOC-D) fandt at EPCIP alene bør omfatte terrortrusler, da der allerede eksisterer lovgivning og beredskabsplanlægning for de andre typer af hændelser, som pålægges politiet og redningsberedskabet. Ejere/operatører bør fortsætte med at bidrage til at identificere kritisk infrastruktur, og om nødvendigt at opstille kriterier for beskyttelsesforanstaltninger.
Dansk Erhverv
Den af Kommissionen foreslåede fremgangsmåde til at løse de konkrete sikkerhedsspørgsmål på infrastrukturområdet er atypisk, idet man ikke i EU systemet umiddelbart har mulighed for at iværksætte et samarbejde/arbejde, der de facto svarer til en efterretningstjenestes. Dansk Erhverv rejser derfor overordnet tvivl om selve den foreslåede proces til indkredsning og klassificering af europæisk kritisk infrastruktur.
Den foreslåede fremgangsmåde er den samme som et almindeligt kommissionsforslag til lovgivning. Det vil sige en politisk proces, hvor resultatet afhænger af politisk enighed. Identifikationen af udsatte mål foretages således ikke af eksperter i sikkerhed, der kan udarbejde den mest optimale sikkerhedsløsning, men derimod politikere som søger en politisk løsning.
Dansk Erhverv fandt det endvidere væsentligt at skelne mellem, hvorvidt der er tale om sikring imod terror eller sikring imod naturkatastrofer eller lignende. Konsekvenserne kan være de samme, men der stor forskel pÃ¥ risiko og sikringsforanstaltninger.Â
For sÃ¥ vidt angÃ¥r terrorangreb foretages den forudgÃ¥ende risikovurdering bedst i de nationale efterretningstjenester og det er afgørende vigtigt for funktionen af disse tjenester, at de har adgang til et intensivt internationalt samarbejde med deres søsÂterorganisationer i andre lande ogsÃ¥ ud over EU's grænser.
Efterretningstjenesternes primære funktion på dette område er at opdage og optrevle eventuelle terrorangreb før de finder sted. På den baggrund er det helt afgørende for Dansk Erhverv, at tjenesternes effektivitet og interoperabilitet som absolut mindstemål bibeholdes og helst forbedres ved ethvert tiltag på området.
Der findes allerede internationalt samarbejde både på efterretningsområdet og på området for naturkatastrofer. Dansk Erhverv afholdt sig fra at vurdere, om samarbejdet er tilstrækkeligt og effektivt nok, men henleder opmærksomheden på, at en evt. oprettelse af et europæisk agentur for infrastruktursikring, der fungerer sideordnet med disse systemer hverken vil være hensigtsmæssigt eller effektivt.
Dansk Erhverv påpegede, at koordination og integration mellem sikkerhedsinitiativer er helt afgørende for deres samlede effektivitet. Dansk Erhverv anser sikring og afholdelse af omkostninger til sikring som en myndighedsopgave. Selvfølgelig skal erhvervet inddrages, men der må ikke blive tale om, at der sker en udlicitering af ansvaret for rigets sikkerhed.
Endelig fandt Dansk Erhverv, at man ved udarbejdelse af dette og lignende forslag helt overordnet gør sig klart, at man ikke kan skabe et samfund helt uden risici. Terror har netop til formÃ¥l at sætte samfundet i stÃ¥. Opbygning af komplicerede sikkerhedssystemer kan netop bremse et samfund – dels som følge af den økonomiske byrde systemet medfører og dels som følge af de administrative og praktiske besværligheder det kan medføre.Â
Dansk Erhverv fandt det positivt, at man forsøger, at harmonisere nationale regler for kritiske infrastruktur. Dette kan forhåbentlig sætte nationale myndigheder i stand til at samarbejde bedre med forenkling og ressourcebesparelser som resultat. Endvidere er det positivt, at det anerkendes, at kritisk infrastruktur har en transeuropæisk dimension.
Ligeledes fandtes det positivt, at EU med forslaget fokuserer på infrastruktur snarere end operatører, der anvender infrastrukturen. Det foreliggende forslag om terrorsikring i transportkæden har vist, hvor vanskeligt og omkostningstungt det vil være at etablere et system, der skal dække alle operatører i transportkæden. Det synes umiddelbart mere omkostningseffektivt at rette indsatsen mod den del af infrastrukturen, der er kritisk. Dermed omfattes også den del af de relevante parter, der er af kritisk betydning for kædens fortsatte funktion og retablering.
Dansk Erhverv fandt dog, at det foreliggende forslag ikke tager stilling til en række konkrete spørgsmål:
Definitionen af infrastruktur er meget bred og kan omfatte ukonkrete begreber såsom "transportkæden". Dermed er der risiko for, at forslaget reelt ender med at være en detailregulering af transportkæden og omfatter både, hvad man traditionelt vil opfatte som infrastruktur (vej, broer, jernbane) og andre elementer, der indgår i transportkædens funktion: lagerhaller, omladningsstationer, garager, overvågningssystemer m.v.
Denne problemstilling får yderligere relevans i lyset af, at forslaget synes at lægge op til, at myndigheder fastsætter, hvad der er kritiske infrastruktur og hvilken sikkerhedsplan, der skal laves for den pågældende infrastruktur.
Men forslaget er tavst om hvilke forhold, der gør sig gældende, når der er tale om infrastruktur, der for eksempel er privatejet. I tilfælde af koncessioneret ejendom - motorveje, betalingsbroer med videre - kan der formentlig findes løsninger, men i tilfælde af, at et privatejet lageranlæg, transitanlæg eller lignende defineres som kritisk infrastruktur og dermed pålægges at skulle lave en sikkerhedsplan, er situationen en anden. Forslaget har end ikke sikret ejeren af dette anlæg ret til at blive inddraget i beslutningen, ligesom forslaget ikke tager stilling til eventuelle spørgsmål om kompensation, ansvar med videre. Endelig risikerer forslaget ved denne fremgangsmåde at skabe konkurrenceforvridning mellem private operatører, hvor nogle belastes mere end andre af byrder, der har fælles gavn.
Et positivt element er, at forslaget entydigt pålægger medlemsstaterne at udføre en risiko- og trusselsvurdering. Det er Dansk Erhvervs generelle opfattelse, at opgaver som risiko- og trusselsvurdering kræver en indsigt og viden som kun offentlige myndigheder kan have. Risiko- og trusselsvurderinger er derfor efter vores opfattelse klart en myndighedsopgave. Det er endvidere vigtigt at fremhæve, at myndigheders ansvar rækker videre, da sikkerhed i sidste ende er en samfundsopgave.
Endelig udtrykte Dansk Erhverv en vis bekymring i forbindelse med den kompetence, som forslaget synes at tillægge Kommissionen i relation til kontrol og opsyn med de konkrete opgaver. Der kan i den forbindelse sættes spørgsmålstegn ved Kommissionens faglig kompetence til at foretage risikovurderinger og vurderinger af sikkerhedsplaner. Dansk Erhverv sætter spørgsmålstegn ved værdien af etablering af endnu en terrorsikringsmyndighed, når ressourcerne kunne anvendes bedre på konkrete opgaver til sikring af infrastruktur og borgere.
Telekommunikationsindustrien (TI) pegede på, at uagtet det ikke er muligt at vurdere omfanget af økonomiske eller andre belastninger for ejere af ’europæisk kritisk infrastruktur’ (ECI), er det formentlig givet, at der vil blive tale om øgede administrative og økonomiske belastninger for disse. Estimater af omfanget forudsætter imidlertid afklaring af en række elementer i direktivudkastet.
TI gjorde opmærksom pÃ¥, at spørgsmÃ¥let om mulig identifikation af dansk ECI vil rejse spørgsmÃ¥l om integration mellem national og europæiske planlægning, som det af prioriteringsmæssige grunde er vigtigt at fÃ¥ afklaret. TI understregede, at sigtet med ECI og dermed i første omgang udpegning af prioriterede sektorer og dernæst identifikation af specifikke ECI fastholdes, sÃ¥ledes at der med ECI kun er tale om de specifikke infrastrukturer, hvis sikring reelt har vidtrækkende og pan-europæisk betydning.Â
TI udtrykte i sine bemærkninger betænkelighed ved definitionen, der vedrører kun to medlemslande. Sådanne forhold vil ofte være sikret via bilaterale aftaler, og det vil ikke være proportionalt at klassificere sådanne infrastrukturer som ECI. Der peges især på infrastruktur, der vedrører et medlemsland og er lokaliseret i andet medlemsland. TI anbefalede derfor - ud fra en proportionalitetsmæssig betragtning - at definitionen ændres til at gælde minimum tre lande.
Endvidere er ECI defineret ved ’afbrydelse el. ødelæggelse’, der er karakteriseret ved ’truslens alvor’, men uden at de elementer som f.eks. antal brugere, politiske og miljømæssige, der indgår i definitionen af ’truslens alvor’, er præciseret kvantitativt eller kvalitativt. Dermed er det reelt uklart, hvilke horisontale eller sektorspecifikke kriterier for udpegning af ECI, der kan opstilles af Kommissionen og i komitologiudvalget. TI opfordrede til, at disse elementer præciseres - eksempelvis med minimumsgrænser og under alle omstændigheder vha. et 3 lande kriterium, således at ECI begrebet ikke udvandes til at omfatte, hvilke som helst forstyrrelser, der i ikke nærmere bestemt omfang medfører ulemper.
Der bør opstilles sektorspecifikke kriterier for udpegning af ECI inden for de prioriterede sektorer. Det er uklart i hvilken grad, det reelt er overladt til Kommissionen at fastlægge ECI via identifikationen af sektorspecifikke kriterier. Den meget centrale rolle for Kommissionen understreger vigtigheden af, at definitionerne præciseres og der opstilles tærskelværdier. Teleområdet er formentlig allerede på en række områder fyldestgørende dækket af andre sektorspecifikke redskaber, idet netop teleområdet udgør, i kraft af etableringen af alternative net, kun i begrænset grad én sårbar infrastruktur.
For så vidt angår udpegning af ECI på IT- og teleområdet gælder, at på dette område er de umiddelbart samfundsmæssigt kritiske elementer eksempelvis adresseringssystemer, applikationer (netbank, elektroniske betalingssystemer) samt andre IT-systemer, der anvender egne net snarere end de i stigende grad redundante telenet. TI anbefaler, at dette tydeliggøres og eksemplificeres, således at det sikres, at en eventuel efterfølgende dansk udmøntning ikke alene gennemføres i telelovgivningen.
Det er vigtigt, at nationale kritiske infrastrukturer, hvor der allerede er etableret procedurer for håndtering i tilfælde af krise, fortsat håndteres nationalt. Der bør ikke etableres et unødvendigt dobbelt system mellem nationale forholdsregler og de i direktivet omtalte sikkerhedsplaner for operatører, som de enkelte ejere af mulige ECI skal udarbejde. TI påpeger, at omfanget og detaljeringsniveauet af evt. sikkerhedsplaner for operatører skal vurderes meget nøje, da disse let kan komme til at indeholde særdeles fortrolige data om kunder, opbygning af systemer og organisation. Sådanne planer bør derfor kun indeholde data på et overordnet niveau, hvilket bør fremgå af forslaget.
Hvad angår telekommunikationens grundlæggende tvær- eller internationale egenskaber, kan det være påkrævet at indrette procedurer og tilrettelægge krav, der fremmer grænseoverskridende infrastrukturløsninger, og hvis fornødent, erstatter eller supplerer nationale jurisdiktions- og andre krav. TI påpeger behovet for at tage hensyn til opretholdelse af telekommunikationen med tredjelande under kritiske forhold.
For IT-området, påpegede TI, at selve ’netdelen’ ikke kan være den eneste kritiske komponent på dette område. Eksempelvis er adresseringssystemer, applikationer (netbank, elektroniske betalingssystemer) samt systemer, der anvender egne net, i stigende omfang kritiske for samfundet. Disse områder bør derfor beskrives mere generelt, så det ikke giver indtryk af, at kritiske komponenter for IT-området alene findes på teletjenesteområdet. Det betyder efter TI’s opfattelse, at en eventuel efterfølgende dansk udmøntning ikke alene kan gennemføres i telelovgivningen.
TI understregede, at eventuelle omkostninger for de enkelte ejere af kritisk infrastruktur, der kan blive pålagt med forpligtigelser som følge af Direktivet, bør søges begrænset bl.a. ved, at der ikke indføres uhensigtsmæssige rapporteringskrav. Det vil eksempelvis være meget omkostningskrævende, hvis selv mindre mobilstationer skal sikres mod terror. Omkostningerne skal sættes i forhold til effekten af, at en mobilstation går ned og antallet af mennesker, det vil påvirke. På dette område bør der principielt tilstræbes fælles retningslinier for hele EU og nationale krav som vil virke konkurrenceforvridende, bør undgås.
Regeringen stiller sig positivt over for et program om beskyttelse af europæisk kritisk infrastruktur, og regeringen støtter derfor overordnet direktivforslaget om udpegning af europæisk kritisk infrastruktur. Regeringen finder det positivt, at det i direktivforslaget understreges, at hovedansvaret for beskyttelse af kritisk infrastruktur påhviler medlemsstaterne og ejere/operatører af kritisk infrastruktur.
Regeringen finder det ligeledes positivt, at der med definitionen af europæisk kritisk infrastruktur som infrastruktur, hvis afbrydelse eller ødelæggelse vil påvirke to eller flere medlemsstater, lægges vægt på at europæisk kritisk infrastruktur skal have væsentlig grænseoverskridende effekt.
Endelig finder regeringen det positivt, at der tages hensyn til allerede eksisterende beskyttelsesforanstaltninger af såvel europæisk som international karakter, herunder særligt for så vidt angår beskyttelseskravene til operatørerne af europæisk kritisk infrastruktur. Dette ses at mindske risikoen for unødig duplikering af eksisterende beskyttelsesaftaler på området samt mindske risikoen for unødige administrative byrder for operatører og myndigheder.
Det er regeringens forventning, at de andre medlemslande overordnet vil støtte EPCIP-direktivet, men at medlemslandene vil være delte med hensyn til omfanget af en eventuel senere udvidelse af EPCIP-direktivet til at omfatte andre sektorer end de nuværende energi- og transportsektorer.
Sagen har senest været forelagt Folketingets Europaudvalg den 30. november 2007 i forbindelse med den fremdriftsrapport om status for arbejdet med EPCIP-direktivet, der blev forelagt under det portugisiske formandskab, og som blev behandlet den 6.-7. december 2007 på rådsmødet for Retlige og Indre Anliggender (RIA).
Grundnotat for EPCIP-programmet er den 6. marts 2007 oversendt til Folketingets Europaudvalg samt sendt til orientering for Folketingets Retsudvalg og Folketingets Forsvarsudvalg.
Foreløbigt nærhedsnotat om EPCIP-programmet er den 12. januar 2007 fremsendt til Folketingets Europaudvalg samt sendt til orientering for Folketingets Forsvarsudvalg og Folketingets Retsudvalg.
Grundnotat for grønbog om et europæisk program for beskyttelse af kritisk infrastruktur er 4. januar 2006 fremsendt Folketingets Europaudvalg samt sendt til orientering for Folketingets Retsudvalg og Folketingets Forsvarsudvalg.