Rådsbeslut gällande skydd av kritisk infrastruktur

Fakta-PM om EU-förslag 2008/09:FPM46 15041/08

15041/08
FPM_200809__46

Regeringskansliet

Faktapromemoria 2008/09:FPM46

Rådsbeslut gällande skydd av kritisk infrastruktur

Försvarsdepartementet

2008-12-09

Dokumentbeteckning

15041/08

Förslag till rådets beslut om inrättande av nätverket för varningar om hot mot kritisk infrastruktur (CIWIN)

Sammanfattning

Efter terrorattacken i Madrid år 2004 efterlyste Europeiska rådet i juni samma år en övergripande strategi för skydd av kritisk infrastruktur. Efter en sedvanlig process - förstärkt av terrorattacken i London 2005 - presenterade kommissionen i december 2006 ett meddelande om ett europeiskt program för skydd av kritisk infrastruktur och ett förslag till rådets direktiv om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna. Detta direktiv kommer att fattas beslut om i december 2008.

Med kritisk infrastruktur avses här anläggningar, system eller delar av dessa belägna i EU:s medlemsstater som är nödvändiga för att upprätthålla centrala samhällsfunktioner, hälsa, säkerhet, trygghet och människors ekonomiska eller sociala välfärd och där driftsstörning eller förstörelse av dessa skulle få betydande konsekvenser i en medlemsstat till följd av att man inte lyckas upprätthålla dessa funktioner. Transporter, energiförsörjning och informationsdelning är exempel på centrala verksamheter vilka bygger på en fungerande infrastruktur.

Programmet innehåller bl.a. ett förslag om att inrätta ett nätverk för varningar om hot mot kritisk infrastruktur (CIWIN). Nätverket är tänkt att fungera som ett frivilligt informationsdelningsnätverk för vunna lärdomar, rapporter etc., samt som ett möjligt framtida varningssystem vid hot mot kritisk infrastruktur/samhällsviktig verksamhet.

Regeringen är positiv till att EU för upp sårbarhetsfrågor på agendan och tar fram en politik för att stödja arbetet med att stärka robustheten i samhällsviktiga verksamheter. Det ligger i svenskt intresse att ett närmare samarbete inom EU kommer till stånd som kan ge medlemsstaterna stöd i deras arbete med att skydda kritisk infrastruktur. Mervärdet i att frågan även behandlas inom EU ligger framförallt i att Unionen kan stödja kunskapsförmedlingen mellan medlemsstater, samt bygga en gemensam kunskaps- och begreppsapparat vilket är en förutsättning för samarbete mellan länderna.

Ett system för att dela relevant information om sektorsspecifik och sektorsövergripande kritisk infrastruktur inom EU kan således vara av betydande intresse för svensk krisberedskap då det både på nationell nivå i Europa och på EU-nivå regelbundet tas fram kunskap som kan vara av nytta för det svenska systemet.

Ett beslut av rådet kring CIWIN som ett informationsdelningsverktyg kommer dock inte att tas förrän systemet testats och utvärderats vilket uppskattningsvis lär ske tidigast under andra kvartalet 2009.

1 Förslaget

1.1 Ärendets bakgrund

I juni 2004 beslutade det Europeiska Rådet att ett program för skydd av kritisk infrastruktur (European Programme for Critical Infrastructure Protection - EPCIP) borde inrättas. Detta skedde mot bakgrund av terrorhandlingarna i Madrid år 2004 och förstärktes sedermera av liknande händelser i London år 2005.

Inom ramen för EPCIP betonas att fokus särskilt är på gränsöverskridande infrastruktur, dvs. infrastruktur som vars bortfall får stora samhällskonsekvenser för två eller fler medlemsstater. Sådan infrastrukur benämns europeisk kritisk infrastruktur.

EPCIP innehåller flera delar enligt följande:

direktivet, om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna, vilket är det som djupast behandlats;

det finansiella programmet ”Förebyggande, beredskap och konsekvenshantering när det gäller terrorism och andra säkerhetsrelaterade risker” för perioden 2007–2013 vilket är en del av programmet "Security and Safeguarding Liberties";

Critical Infrastructure Warning Information Network (CIWIN);

European Reference Network for CIP (ERN-CIP), vilket är en del av det finansiella programmet;

skapandet av olika expertgrupper mm.

Följande har förevarit:

- i oktober 2004 presenterade kommissionen sina tankar i ett meddelande;

-2005 genomförde kommissionen expertseminarier med representanter från medlemsstaterna. Från Sverige deltog Krisberedskapsmyndigheten (KBM) samt Vägverket, Post- och telestyrelsen och Energimyndigheten;

- i november 2005 publicerade kommissionen en grönbok på området;

- i januari 2006 svarade Sverige på grönboken, och informerade i samband med det riksdagen (FöU) både genom en fakta-PM (2005/2006: FPM43) samt genom muntlig föredragning;

- den 12 december 2006 presenterade kommissionen sitt förslag till direktiv för skydd av europeisk kritisk infrastruktur (KOM [2006] 787), samt ett meddelande i samma ämne (KOM [2006] 786) som mer övergripande behandlar kommissionens intentioner på området. Ett nytt fakta-PM till riksdagen följde (2006/2007: FPM67);

- den 31 oktober 2008 presenterades ett förslag till rådets beslut om inrättande av nätverket för varningar om hot mot kritisk infrastruktur (CIWIN).

1.2 Förslagets innehåll

Europeiska rådet förordade skapandet av ett IT-nätverk för informationsdelning vad gäller skyddet av kritisk infrastruktur (Critical Infrastructure Warning Information Network - CIWIN) i rådsslutsatserna gällande ”Prevention, Preparedness and Response to Terrorist Attacks” samt i ”EU Solidarity Programme on the Consequences of Terrorist Threats and Attacks” i december 2004.

Inom ramen för det europeiska programmet för skydd av kritisk infrastruktur (EPCIP) försöker kommissionen nu utveckla CIWIN. Nätverket är tänkt att fungera som ett frivilligt informationsdelningsnätverk för vunna lärdomar, rapporter etc., samt som ett framtida frivilligt varningssystem (Rapid Alert System – RAS) vid hot mot kritisk infrastruktur/samhällsviktig verksamhet. Kommissionen har betonat att nätverket inte är direkt kopplat till CIP-direktivet och att det inte ska vara till hinder för att kommunikation mellan medlemsstater kan ske på andra sätt. Systemet är i princip en databas där relevant information ska kunna arkiveras och hämtas på ett säkert sätt.

Under 2008 har det internationella IT-företaget Unisys tagit fram en prototyp av CIWIN. Denna prototyp, som är en förenklad och avgränsad version av det tänkta systemet och exkluderar varningssystemdelen, har vid ett möte i mitten av maj 2008 förevisats representanter från medlemsstaterna. Med anledning av olika förseningar kommer dock prototypen inte att göras tillgänglig för medlemsstaterna förrän i mitten av mars 2009. Systemet är avsett att ligga på EU:s säkra S-TESTA-nät, och kunna hantera information upp till en säkerhetsnivå av EU Restricted. Ett rådsbeslut kommer inte tas förrän systemet testats och utvärderats.

1.3 Gällande svenska regler och förslagets effekt på dessa

CIWIN bygger på frivillighet som regleras genom ett s.k. Memorandum of Understanding mellan medlemsstaterna och kommissionen. Detta förväntas inte ha någon effekt på svensk lagstiftning.

1.4 Budgetära konsekvenser / Konsekvensanalys

1.4.1 Budgetära konsekvenser

Den totala kostnaden för utvecklandet av CIWIN, inklusive dess tekniska support, är beräknad till 1,350,000 Euro vilket i huvudsak finansieras genom det finansiella programmet ”Förebyggande, beredskap och konsekvenshantering när det gäller terrorism och andra säkerhetsrelaterade risker” inom ramen för EPCIP. Beslut har tagits gällande programmets finansiella ramar t.o.m. år 2009. Kostnaden är fördelad på prototypversionen (250,000 Euro) och dess vidare utveckling under 2008 (500,000 Euro), färdigställande till funktionsdugligt system inklusive teknisk support år 2009 (400,000 Euro), samt en teknisk backup-funktion vid kommissionens Joint Research Centre för att säkerställa systemets robusthet (200,000 Euro). Support och underhåll beräknas kosta 250,000 Euro per år vilket också tas från den gemensamma budgeten. Kostnader för två halvtidstjänster tillkommer. medlemsstaterna förväntas att stå för de kostnader som uppkommer för att ansluta nationella användare.

Då S-TESTA redan används i Sverige genom att Regeringskansliet och olika myndigheter är uppkopplade mot detta system via det s.k. Swedish Government Secure Intranet (SGSI) - bedöms kostnaden för att ansluta sig och förvalta systemet nationellt som förhållandevis små.

Svenska kommuner bedöms i dagsläget inte komma att drabbas av direktivet inom ramen för EPCIP eftersom bedömningen är att kommunal verksamhet inte omfattar sådana anläggningar som rimligtvis kan komma att klassas som ”europeisk kritisk infrastruktur”. Det är dock möjligt för dem att på frivillig basis ansluta sig till CIWIN om de önskar ta del av information på området.

1.4.2 Konsekvensanalys

Kommissionen har gjort en konsekvensanalys avseende föreliggande förslag på rådsbeslut vilken återfinns i två kompletterande dokument (15041/08 ADD 1 samt 15041/08 ADD 2). Analysen visar på att det föreslagna alternativet bedöms innehålla en bra balans mellan den ena ytterligheten att inte göra något alls på området, och den andra ytterligheten, att utveckla ett system obligatoriskt för alla medlemsstater. De finansiella implikationerna bedöms som små för medlemsstaterna, då de redan har tillgång till S-TESTA, men signifikanta för EU:s budget då kostnaderna är stora för systemet utveckling och förvaltning. Kommissionen menar dock att det behövda beloppet redan finns budgeterat inom ramen för det finansiella programmet ”Förebyggande, beredskap och konsekvenshantering när det gäller terrorism och andra säkerhetsrelaterade risker”. Vidare är bedömningen att CIWIN kommer ha betydande påverkan på utveckling och forskning på området skydd av kritisk infrastruktur vilket i förlängningen får positiva effekter på t.ex. miljöområdet och i brotts- och terrorismbekämpande syfte (med särskilt hänsyftning på varningssystemfunktionen av CIWIN). Kommissionen menar också att systemet har ett förtroendeskapande syfte i och med de säkerhetssystem man bygger in och som möjliggör delande av känslig information mellan medlemsstater.

2 Ståndpunkter

2.1 Preliminär svensk ståndpunkt

Regeringen är positiv till att EU för upp sårbarhetsfrågor på agendan och tar fram en politik för att stödja arbetet med att stärka robustheten i kritiska infrastrukturer/samhällsviktiga verksamheter. Mervärdet i att frågan även behandlas på ett europeiskt plan anser regeringen främst ligger i att EU kan stödja kunskapsförmedlingen mellan medlemsstaterna, samt bygga en gemensam kunskaps- och begreppsapparat, vilket är en förutsättning för samarbete mellan länderna. För regeringen är det fundamentalt viktigt att arbetet återspeglar att ansvaret för att skydda den kritiska infrastrukturen – utöver att det är ett nationellt ansvar – primärt åvilar respektive sektor.

Ett system för att dela relevant information om sektorsspecifik och sektorsövergripande kritisk infrastruktur inom EU kan anses som av betydande intresse för svensk krisberedskap då det både på nationell nivå i Europa och på EU-nivå tas fram kunskap som kan vara av nytta för det svenska systemet. S-TESTA används dessutom redan i Sverige genom att olika myndigheter är uppkopplade mot detta system genom det s.k. Swedish Government Secure Intranet (SGSI), med KBM som systemsägare. En fördel med det föreslagna systemet är att det erbjuder säkrare informationsdelning än en säkerhetsskyddad webbsida på Internet. CIWIN:s dokumenthanteringsfunktion kompletterar också för svenskt vidkommande SGSI som redan ger möjlighet att kunna koppla upp olika medlemsstaters intranät mot varandra.

Vad gäller det frivilliga varningssystemet som föreslås ingå som en del i CIWIN, finns det frågetecken. Inom flera sektorer finns redan idag varningssystem som torde kunna täcka in åtminstone delar av vad CIWIN är avsett att göra, dvs. att rapportera olika typer av hot mot kritiska infrastrukturer. Kommissionen har uttryckt mervärdet i så motto att varningssystemet inom ramen för CIWIN kommer att kunna ta tvärsektoriella aspekter i beaktande på ett sätt som de mer sektoriella varningssystemen inte gör. Kommissionens redan existerande och sektorsövergripande varningssystem ARGUS berörs inte nämnvärt i underlagen. Detta system är redan satt att koppla samman kommissionens sektorsvisa varningssystem i syfte att skapa en bättre samordning av EU:s åtgärder i händelse av en större kris.

Regeringens preliminära ståndpunkt är alltså att ett inrättande av CIWIN som ett informationsdelningsverktyg kan ske så länge det inte är ett hinder för att information kan delas på annat sätt inom och mellan medlemsstater. Prövoperioden under våren 2009 gällande systemets funktionalitet blir dock avgörande för det slutgiltiga ställningstagandet vad gäller CIWIN. Vad avser varningssystemfunktionen ser det i dagsläget ut som om denna funktionalitet, som en del av CIWIN, ska tas i beaktande först under en utvärderingsfas tre år efter att föreliggande rådsbeslut tas om CIWIN som ett informationsdelningsverktyg. Beslutet gällande detta skjuts alltså på framtiden.

2.2 Medlemsstaternas ståndpunkter

Många medlemsstater har uttryckt oklarheter kring mervärdet av varningssystemdelen, S-TESTAs säkerhet, kostnader förknippade med installation och drift etc.

2.3 Institutionernas ståndpunkter

Europaparlamentet publicerade 2005 ett betänkande som stödjer inrättandet av ett EPCIP. CIWIN berörs inte i betänkandet, dock ger man stöd åt skapandet av ARGUS då man uttrycker det nödvändiga att inom kommissionen skapa ett europeiskt system för tidig varning vid kriser för att sammankoppla de nuvarande europeiska, nationella och internationella systemen för tidig varning i nödsituationer, så att all relevant information som kan kräva åtgärder på europeisk nivå kan spridas effektivt genom ett centralt nätverk. (Europaparlamentets rekommendation till Europeiska rådet och rådet om skydd av viktig infrastruktur i kampen mot terrorismen 2005/2044[INI]).

Ett yttrande specifikt om CIWIN förväntas inte med anledning av föreliggande förslag på rådsbeslut.

2.4 Remissinstansernas ståndpunkter

Kommissionens initiativ på direktiv remissbehandlades perioden 28 december 2006 - 25 januari 2007. Kommissionens meddelande kring EPCIP (inklusive CIWIN) medföljde remissen för kännedom Bland de 52 remissinstanserna ingick merparten av myndigheterna med särskilt ansvar för krisberedskap men även branschorganisationer samt Sveriges Kommuner och Landsting m.fl. 45 svar inkom till Försvarsdepartementet. Generellt välkomnades ett ökat samarbete om kritisk infrastruktur. En rad yttranden var dock kritiska till flera aspekter av det ursprungliga direktivförslaget och menade bland annat att det var allt för långtgående. I knappt hälften av de inkomna svaren angavs inga specifika konsekvenser av förslaget. CIWIN berördes ej i de inkomna svaren.

KBM har dock senare uttryckt i separat inlaga att CIWIN bl.a. erbjuder ett samlat verktyg för att både delge och hämta hem viktig information på ett säkert sätt, vilket kan bidra till att stärka den samlade europeiska förmågan att skydda samhällsviktig verksamhet.

3 Förslagets förutsättningar

3.1 Rättslig grund och beslutsförfarande

Den rättsliga grunden för förslaget är artikel 308 i fördraget om upprättandet av Europeiska gemenskapen och artikel 203 i fördraget om upprättandet av Europeiska atomenergigemenskapen.

3.2 Subsidiaritets- och proportionalitetsprincipen

3.2.1 Subsidiaritetsprincipen

Kommissionen anser att subsidiaritetsprincipen är tillämplig eftersom förslaget inte avser ett område där gemenskapen är ensam behörig. De menar vidare att målen för förslaget inte i tillräcklig utsträckning uppnås av de enskilda medlemsstaterna. De åtgärder som förslaget omfattar bör därför vidtas på gemenskapsnivå men att det är varje enskild medlemsstats uppgift att skydda den kritiska infrastrukturen inom statens territorium. En gränsöverskridande, hela EU omfattande, plattform för utbyte av information som säkerställer att informationen är lika tillgänglig för alla medlemsstater som kan ha nytta av den kan därför inrättas enbart på EU-nivå. På så sätt stärks det europeiska arbetet med att skydda kritisk infrastruktur som blir alltmer gränsöverskridande till sin karaktär. Förslaget är av dessa skäl därför förenligt med subsidiaritetsprincipen, enligt kommissionen.

3.2.2 Proportionalitetsprincipen

Enligt kommissionen är förslaget förenligt med proportionalitetsprincipen då det inte går utöver vad som är nödvändigt för att uppnå målen för ett samarbete medlemsstaterna emellan på området skydd av kritisk infrastruktur. Medlemsstater som inte önskar delta i CIWIN är inte heller tvungna att göra detta.

4 Övrigt

4.1 Fortsatt behandling av ärendet

Förhandlingarna i rådsarbetsgruppen för civilskydd (PROCIV) kring föreliggande rådsbeslut påbörjades i november 2008. Prototypen av CIWIN kommer att börja testas i mars 2009 inom ramen för transport-, energi- och informations- och kommunikationsteknologisektorerna. Myndigheten för samhällsskydd och beredskap (MSB) kommer ansvara för testningen för svenskt vidkommande. Först efter en utvärdering av prototypen avses rådsbeslut om CIWIN tas, antagligen under det andra kvartalet 2009. Det kan dock inte uteslutas att frågan kan bli en fråga för det svenska ordförandeskapet hösten 2009, särskilt om frågan kring varningsdelen i nätverket kvarstår.

4.2 Fackuttryck/termer

Kritisk infrastruktur (eng. Critical Infrastructure) med vilket här avses anläggningar, system eller delar av dessa belägna i EU:s medlemsstater som är nödvändiga för att upprätthålla centrala samhällsfunktioner, hälsa, säkerhet, trygghet och människors ekonomiska eller sociala välfärd och där driftsstörning eller förstörelse av dessa skulle få betydande konsekvenser i en medlemsstat till följd av att man inte lyckas upprätthålla dessa funktioner.

Olika länder har olika men liknande definitioner. I Sverige använder KBM begreppet samhällsviktig verksamhet som avser en verksamhet som uppfyller båda eller det ena av följande villkor:

1. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.

2. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället skall kunna hanteras så att skadeverkningarna blir så små som möjligt.

---