Skydd av kritisk infrastruktur inom EU

Fakta-PM om EU-förslag 2006/07:FPM67 : KOM (2006)787, KOM (2006)786, 2005/06:FPM 43

KOM (2006)787, KOM (2006)786, 2005/06:FPM 43

Regeringskansliet

Faktapromemoria 2006/07:FPM67

Skydd av kritisk infrastruktur inom EU

Försvarsdepartementet

2007-04-16

Dokumentbeteckning

KOM (2006)787

Förslag till RÅDETS DIREKTIV om kartläggning och klassificering av europeisk kritisk infrastruktur och bedömning av behoven att stärka skyddet av denna

KOM (2006)786

MEDDELANDE FRÅN KOMMISSIONEN om ett europeiskt program för skydd av kritisk infrastruktur.

2005/06:FPM 43

Skydd av kritisk infrastruktur inom EU

Sammanfattning

Europeiska rådet efterlyste i juni 2004 en övergripande strategi för skydd av kritisk infrastruktur. I december 2006 presenterade kommissionen ett meddelande om ett europeiskt program för skydd av kritisk infrastruktur och ett förslag till rådets direktiv om kartläggning och klassificering av europeisk kritisk infrastruktur och bedömning av behoven att stärka skyddet av denna. Kommissionen föreslår att medlemsstaterna skall anta de lagar och andra förordningar som är nödvändiga för att följa direktivet senast den 31 december 2007.

Sverige är positivt till att EU för upp sårbarhetsfrågor på agendan och tar fram en politik för att stödja arbetet med att stärka robustheten i samhällsviktiga verksamheter. Det ligger i svenskt intresse att ett närmare samarbete inom EU kommer till stånd som kan ge medlemsstaterna stöd i deras arbete med att skydda kritisk infrastruktur. Mervärdet i att frågan även behandlas inom EU ligger i att Unionen kan stödja kunskapsförmedlingen mellan medlemsstaterna, samt bygga en gemensam kunskaps- och begreppsapparat vilket är en förutsättning för samarbete mellan länderna. Inom flera sektorer finns redan ett avancerat EU-samarbete i säkerhetsfrågor. Samarbetet inom EU för att åtgärda och begränsa följderna av allvarliga olyckor med farliga ämnen – vilket bedrivs inom ramen för det s.k. Sevesodirektivet – är ett exempel på ett sektorsvis samarbete för ökad säkerhet. Sverige anser att ansvaret för att skydda den kritiska infrastrukturen, utöver att det skall vara ett nationellt ansvar, primärt åvilar respektive sektor.

1 Förslaget

Europeiska rådet efterlyste i juni 2004 en övergripande strategi för skydd av kritisk infrastruktur. I november 2005 antog kommissionen en grönbok om EPCIP (European Programme for Critical Infrastructure Proctection). I december 2006 presenterade kommissionen ett meddelande om ett europeiskt program för skydd av kritisk infrastruktur och ett förslag till rådets direktiv om kartläggning och klassificering av europeisk kritisk infrastruktur och bedömning av behoven att stärka skyddet av denna.

1.1 Innehåll

Kommissionens meddelande om ett europeisk program för skydd av kritisk infrastruktur (KOM (2006) 786 slutlig) presenterades samtidigt med förslaget till direktiv, och tar upp de principer, processer och instrument som föreslås för att genomföra EPCIP. Det allmänna målet med EPCIP beskrivs som att förbättra skyddet för kritisk infrastruktur i EU. Målet avses kunna uppnås genom inrättande av en sådan EU-ram som beskrivs i meddelandet. Samtidigt som hotet från terrorismen är en prioritering kommer skyddet av kritisk infrastruktur att bygga på en strategi som omfattar alla relevanta risker.

EU-ramen för EPCIP föreslås bestå av:

- Ett förfarande för fastställande och klassificering av europeisk kritisk infrastruktur (ECI), och en gemensam strategi för bedömning av behoven av ett förbättrat skydd av sådan infrastruktur. Ett sådant förfarande avses att införas genom ett direktiv.

- Åtgärder för att underlätta genomförandet av EPCIP, inklusive en handlingsplan för EPCIP, nätverket för utbyte av information gällande lärdomar om kritisk infrastruktur (CIWIN), användning av grupper av experter på skydd av kritisk infrastruktur på EU-nivå, förfaranden för utbyte av information om skydd av kritisk infrastruktur samt identifiering och analys av ömsesidiga beroendeförhållanden.

- Beredskapsplaner

- En yttre dimension

- Stöd till medlemsstater i fråga om kritisk infrastruktur vilket enskilda medlemsstater kan välja att använda sig av.

- Kompletterande finansiella åtgärder, särskilt EU-programmet ”Förebyggande, beredskap och konsekvenshantering när det gäller terrorism och andra säkerhetsrelaterade risker” för perioden 2007-2013, som kommer att ge möjlighet till finansiering av åtgärder rörande skydd av kritisk infrastruktur som kan överföras inom EU osv.

EPCIP avses vara en fortlöpande process som ses över regelbundet inom ramen för handlingsplanen för EPCIP. Kommissionens handlingsplan har delats upp i tre parallella processer:

Workstream 1 De strategiska aspekterna av EPCIP och utvecklingen av åtgärder som kan tillämpas övergripande på allt arbete som rör skydd av kritisk infrastruktur.

Workstream 2 Rör åtgärder för att identifiera och skydda konkreta anläggningar (direktivet).

Workstream 3 Stöd till medlemsstaterna avseende nationell kritisk infrastruktur

Förslag till direktiv

Genom kommissionens förslag till direktiv fastställs ett förfarande för kartläggning och klassificering av europeisk kritisk infrastruktur och en gemensam metod för bedömning av behovet av ett stärkt skydd för sådan infrastruktur. Kommissionen föreslår att medlemsstaterna skall anta de lagar och andra förordningar som är nödvändiga för att följa direktivet senast den 31 december 2007.

Kommissionen föreslår att definitionen av europeisk kritisk infrastruktur, vilket utgör basen för arbetet, skall vara ”kritisk infrastruktur som vid driftsstörning eller förstörelse skulle få betydande följder för två eller fler medlemsstater, eller en enskild medlemsstat om den kritiska infrastrukturen finns i en annan medlemsstat. Detta inbegriper effekter till följd av sektorsöverskridande beroende av andra typer av infrastruktur”. Direktivet skall vidare reglera en process enligt nedanstående:

Detaljerade kriterier för vad som är att betrakta som europeisk kritisk infrastruktur (ECI) inom varje sektor skall överenskommas av medlemsstaterna.

Varje medlemsstat skall sedan, på basis av dessa kriterier, identifiera konkreta anläggningar som man anser vara kritiska på en europeisk skala. Det gäller anläggningar både inom eget territorium och i andra länder som anses berörd. Dessa rapporteras in till kommissionen som sedan föreslår en europeisk lista med ECI.

Varje medlemsstat skall ålägga ägare/förvaltare av ECI att upprätta en säkerhetsplan (Operator Security Plan – OSP) enligt standardiserad europeisk modell. Planen skall omfatta vilka anläggningar som är kritiska samt vad som görs för att skydda dem, både permanent och vid kris. Vidare skall en ”sambandsansvarig i säkerhetsfrågor” (Security Liaison Officers) utses som kontaktpunkt i dessa frågor gentemot relevanta myndigheter i medlemsstaterna.

Medlemsstaternas myndigheter skall, framför allt med hjälp av säkerhetsplanerna, utöva tillsyn över dessa anläggningar.

Medlemsstaternas skall på ett övergripande plan rapportera sårbarheter, risker och hot till kommissionen per sektor. Kommissionen skall, för varje sektor och basis av dessa rapporter, bedöma om ytterligare säkerhetsstandards behövs.

Varje medlemsstat skall utse en kontaktpunkt (CIP Contact points) för detta samarbete som skall koordinera arbetet i landet, vilken bl.a. skall ge kommissionen tillgång till den information runt ECI-objekt som behövs för att utveckla EPCIP.

Berörda sektorer

I förteckningen över kritisk infrastruktur ingår elva sektorer: Energi, kärnindustri, informations- och kommunikationsteknik, vatten, livsmedel, hälso- och sjukvård, finans, transporter, kemisk industri, rymdforskning och forskningsanläggningar.

1.2 Gällande svenska regler och förslagets effekt på dessa

Sverige har ingen lagstiftning direkt motsvarande den som kommissionen föreslår. Det svenska säkerhetsarbetet sker på ett mer decentraliserat sätt. Det föreslagna ramverket griper över ett stort antal verksamheter i samhället och det är därför svårt att i detta skede närmare bedöma effekterna på nuvarande reglering. Det skulle sannolikt få effekt på lagstiftning som reglerar verksamheten i utpekade infrastruktursektorer, närmast elförsörjning, elektroniska kommunikationer, dricksvattenförsörjning etc. Om förslaget om ett i EU-lagstiftning i form av ett direktiv reglerat ramverk för skydd av kritisk infrastruktur blir verklighet, skulle sannolikt ny lagstiftning behövas införas i Sverige riktad mot de aktörer som äger och driver infrastruktur som klassas som kritisk. Dessutom kan det centraliserade angreppssättet komma att påverka tillsynsfunktionen och hur det arbetet skall bedrivas i de olika berörda sektorerna. Kommissionens förslag till direktiv, med bl.a. bestämmelser om insamlande av uppgifter och upprättande av en lista över europeisk kritisk infrastruktur medför även att frågor om sekretess och säkerhetsrisker måste beaktas och förenligheten med gällande lagstiftning och eventuellt behov av nya regler övervägas.

1.3 Budgetära konsekvenser

Förslaget skulle sammantaget få konsekvenser i form av relativt måttliga administrativa merkostnader för staten och enskilda ägare eller förvaltare till denna typ av anläggningar. Svenska kommuner bedöms i dagsläget inte komma att drabbas eftersom vi bedömer att kommunal verksamhet inte omfattar sådana anläggningar som rimligtvis kan komma att klassas som ”europeisk kritisk infrastruktur”.

Kommissionen har meddelat att de säkerhetshöjande åtgärder som kan komma att krävas inte kommer att kunna bekostas av EU:s gemensamma budget. Detta innebär att sådana kostnader till övervägande del skulle få bäras av privata ägare och förvaltare. Statsbudgeten skulle påverkas av sådana kostnader endast i de fall staten väljer att ersätta privata ägare eller staten äger eller förvaltar sådan infrastruktur, exempelvis viss infrastruktur inom transportsektorn.

2 Ståndpunkter

2.1 Svensk ståndpunkt

Sverige är positivt till att EU för upp sårbarhetsfrågor på agendan och tar fram en politik för att stödja arbetet med att stärka robustheten i samhällsviktiga verksamheter. Sverige arbetar sedan lång tid aktivt med dessa frågor. Samtidigt är vi beroende av hur andra länder skyddar sin infrastruktur. Det är nödvändigt att kontinuerligt uppmärksamma denna fråga och att vidta de åtgärder som bedöms som erforderliga. Därför ligger det i svenskt intresse att EU-samarbete kan koordinera medlemsstaternas arbete med att skydda kritisk infrastruktur. Att föra diskussioner och framhålla vikten av att medlemsstaterna arbetar aktivt med denna fråga kan bidra till att aktivitetsnivån på området generellt höjs.

Sverige anser att ansvaret för att skydda den kritiska infrastrukturen i Europa ligger hos varje medlemsland. Det finns emellertid ett mervärde i att frågan även behandlas inom EU. Detta mervärde ligger i form av bl.a. att kommissionen kan stödja kunskapsförmedlingen mellan medlemsstaterna, och bygga en gemensam kunskaps- och begreppsapparat vilket är en förutsättning för samarbete mellan länderna. Genom EU-samarbetet kan medlemsstater som inte kommit så långt i arbetet stödjas vilket i förlängningen även är till nytta för grannländer. Vid ett kunskapsutbyte ökar dessutom möjligheten att medlemsstater uppmärksammar brister i de nationella infrastruktursystemen som kanske annars hade kunnat passera obemärkt. Det är viktigt att EU-nivån fokuserar på sådana områden där en allvarlig störning skulle drabba flera medlemsländer.

Inom flera sektorer finns redan ett avancerat EU-samarbete i säkerhetsfrågor. Sverige anser att ansvaret för att skydda den kritiska infrastrukturen, utöver att det skall vara ett nationellt ansvar, primärt åvilar respektive sektor.

2.2 Medlemsstaternas ståndpunkter

I november 2005 antog kommissionen en grönbok om EPCIP (KOM (2005) 576 slutlig) där det redogjordes för olika åtgärder som kommissionen kunde vidta för att utforma ett handlingsprogram för kritisk infrastruktur. Samråd följde och enligt kommissionen var svaren sammantaget tämligen positiva till idén om att inrätta programmet (KOM (2006) 787 slutlig). Förhandlingarna i rådsarbetsgruppen för skydd och beredskap (PROCIV) har inletts men eftersom de flesta medlemsländerna – utöver en positiv grundinställning – ännu inte utarbetat konkreta ståndpunkter, går det inte att i skrivande stund uttala sig om hur programmet i detalj slutligen kommer att utformas.

2.3 Institutionernas ståndpunkter

Rådet för rättsliga och inrikes frågor uttalade sig om skyddet av kritisk infrastruktur den 2 december 2005 (Rådsdokument 14689/05). I slutsatserna från mötet slogs bl.a. fast att medlemsstaterna har det primära ansvaret för att skydda infrastrukturen belägen på sitt territorium och att EU:s roll är att stödja och komplettera dessa ansträngningar. EPCIP bör baseras på en helhetssyn på hot och risker men med visst fokus mot terrorism.

Europaparlamentet har publicerat ett betänkande som stödjer inrättandet av EPCIP och som till stora delar går på kommissionens linje. Parlamentet pekar särkskilt på behovet av åtgärder för informationssäkerhet. (Europaparlamentets rekommendation till Europeiska rådet och rådet om skydd av viktig infrastruktur i kampen mot terrorismen 2005/2044(INI)).

2.4 Remissinstansernas ståndpunkter

Kommissionens initiativ har remissbehandlats perioden 28 december 2006-25 januari 2007 med fokus på direktivförslaget. Bland de 52 remissinstanserna ingick merparten av myndigheterna med särskilt ansvar för krisberedskap men även branschorganisationer samt Sveriges Kommuner och Landsting m.fl. 45 svar har inkommit. Remissynpunkterna kan kort sammanfattas:

Generellt välkomnas ett ökat samarbete om kritisk infrastruktur. En rad yttranden är dock kritiska till flera aspekter av förslaget och menar bland annat att det är allt för långtgående. Exempelvis anförs att ett tydligare sektorsansvar vore mer ändamålsenligt och att programmet borde utformas mer som målstyrning snarare än detaljstyrning. Kommissionen föreslås också få en mer tydligt rådgivande roll inom samarbetet. I ett stort antal remissvar har sekretessfrågor identifierats som speciellt problematiska i förslaget.

Flera remissinstanser anför att ett direktiv skulle innebära en ökad administrativ börda och/eller ökade kostnader. Det påtalas också att ett direktiv skulle kräva ny lagstiftning på en rad områden. Vidare anförs att frågan om en nationell kontaktpunkt måste utredas närmare. I knappt hälften av de inkomna svaren anges inga specifika konsekvenser av förslaget.

Övrigt

2.5 Fortsatt behandling av ärendet

EPCIP kommer att förhandlas i rådsarbetsgruppen för skydd och beredskap (PROCIV) under våren 2007.

Förhandlingarna om finansieringen av samarbetet om kritisk infrastruktur i relation till kommissionens förslag till direktiv samt kommissionens meddelande har skett inom ramen för förslag till rådets beslut om det särskilda programmet Förebyggande, beredskap och konsekvenshantering när det gäller terrorism och andra säkerhetsrelaterade risker.

2.6 Rättslig grund och beslutsförfarande

Den rättsliga grunden är artikel 308 i EG-fördraget:

Rådet beslutar enhälligt efter att ha hört Europaparlamentet.

2.7 Fackuttryck/termer

Kritisk infrastruktur (eng Critical Infrastructure) Olika länder har olika men liknande definitioner. I Sverige använder Krisberedskapsmyndigheten (KBM) begreppet samhällsviktig verksamhet som bör avse en verksamhet som uppfyller båda eller det ena av följande villkor:

1. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.

2. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället skall kunna hanteras så att skadeverkningarna blir så små som möjligt.

EPCIP (European Programme for Critical Infrastructure Protection) är det handlingsprogram som ska överenskommas och som ska specificera vilka åtgärder som kommer att tas för att skydda den kritiska infrastrukturen i Europa.

CIWIN (Critical Information Warning Information Network) är det nätverk som kommissionen föreslår.

ECI (European Critical Infrastructure) Slutsatserna från mötet med rådet för rättsliga och inrikes frågor den 1-2 december 2005 anger: ”Utan hinder för vidare diskussioner kan den europeiska kritiska infrastrukturen definieras som infrastruktur vars förstörelse eller upplösning skulle medföra allvarliga konsekvenser i ett antal medlemsstater när det gäller kritiska samhällsfunktioner, bl.a. försörjningskedjan, hälso- och sjukvård, säkerhet, ekonomiskt och socialt välbefinnande samt statens sätt att fungera, som behöver preciseras ytterligare”.

Fakta-PM om EU-förslag

En faktapromemoria, fakta-PM, är en redogörelse från regeringen till riksdagen om ett förslag från EU-kommissionen. Där framgår vad förslaget går ut på, hur det kan påverka svenska regler och vad regeringen anser om förslaget.