Директива Совета Европейского Союза 2008/114/ЕС от 08.12.2008 о европейских критических инфраструктурах и мерах по их защите

Директива Совета Европейского Союза 2008/114/ЕС от 8 декабря 2008 г.
о европейских критических инфраструктурах и мерах по их защите*(1)

(Действие Директивы распространяется на Европейское экономическое пространство)

Совет Европейского Союза,

Руководствуясь Договором об учреждении Европейского Сообщества, и, в частности, Статьей 308 Договора,

На основании предложения Европейской Комиссии,

Руководствуясь Заключением Европейского парламента*(2),

На основании заключения Европейского центрального банка*(3),

Принимая во внимание следующие обстоятельства:

(1) В июне 2004 г. Совет ЕС выступил с требованием о подготовке всеобщей стратегии по защите критических инфраструктур. В связи с этим 20 октября 2004 г. Европейская Комиссия приняла Сообщение о защите критических инфраструктур в борьбе с терроризмом, в котором выдвинуты предложения относительно тех мер, которые будут способствовать готовности европейских стран к предотвращению и отражению террористических атак, затрагивающих критические инфраструктуры.

(2) Семнадцатого ноября 2005 г. Европейская Комиссия приняла Зеленую Книгу Европейской программы по защите критических инфраструктур, предусматривающую стратегические варианты по утверждению программы, а также Информационную сеть для предупреждений об угрозах критическим инфраструктурам. В отзывах на содержание Зеленой Книги была подчеркнута первостепенная значимость рамок Сообщества по защиты критических инфраструктур. Была признана необходимость повышения европейского потенциала к защите критических инфраструктур и содействия снижению их уязвимости. Особое значение было придано принципам субсидиарности, пропорциональности и комплементарности, а также сотрудничеству заинтересованных субъектов.

(3) В декабре 2005 г. Европейский совет по правосудию и внутренним делам призвал Европейскую Комиссию выступить с предложением о принятии Европейской программы по защите критических инфраструктур ("EPCIP"), указывая, что в основе программы должен быть заложен принцип противостояния всем опасностям в условиях борьбы с угрозами терроризма. Данный принцип предусматривает, что в процессе защиты критических инфраструктур следует принимать во внимание опасности, связанные с деятельностью человека, технологические угрозы и природные катаклизмы, однако приоритетное значение должно быть придано угрозе терроризма.

(4) В апреле 2007 г. Совет ЕС принял заключение относительно EPCIP, в котором подтвердил, что государства-члены ЕС несут окончательную ответственность за реализацию мер по защите критических инфраструктур в пределах их национальных границ; при этом Совет ЕС одобрил деятельность Европейской Комиссии, связанную с усовершенствованием европейской процедуры выявления и установления европейских критических инфраструктур ("ECIs") и проведения оценки необходимости усиления их защиты.

(5) Настоящая Директива представляет собой первый этап в поэтапном процессе выявления и установления ECIs и проведения оценки необходимости усиления их защиты. Так, объектом внимания настоящей Директивы являются энергетическая и транспортная отрасли, однако Директива должна быть пересмотрена с целью проведения оценки ее влияния и необходимости включения иных отраслей в сферу ее регулирования, inter alia, отрасли информационных и коммуникационных технологий ("ICT").

(6) Основная и конечная ответственность по защите ECIs возлагается на государства-члены ЕС и владельцев/операторов таких инфраструктур.

(7) В Сообществе существует определенное количество критических инфраструктур, нарушение или уничтожение которых окажет существенное трансграничное влияние. К таковым могут быть отнесены трансграничные межсекторальные последствия, вызванные взаимозависимостью связанных между собой инфраструктур. Такие ECIs должны быть выявлены и установлены в рамках общей процедуры. Оценка требований к безопасности таких инфраструктур должна быть произведена в соответствии с общим минимальным подходом. Двусторонние схемы сотрудничества между государствами-членами ЕС в сфере защиты критических инфраструктур предусматривают надежные и эффективные способы работы с трансграничными критическими инфраструктурами. Такое сотрудничество должно быть положено в основу EPCIP. Информация, связанная с присвоением статуса ECI конкретной инфраструктуре, должна быть засекречена на соответствующем уровне в соответствии с действующим в Сообществе и государствах-членах ЕС законодательством.

(8) Поскольку в различных отраслях накоплены специальные знания, опыт, установлены конкретные требования к защите критических инфраструктур, подход Сообщества к защите критических инфраструктур должен совершенствоваться и применяться с учетом отраслевых особенностей и мер защиты, отвечающих специфике существующих отраслей, включая меры, уже существующие в Сообществе, на национальном или региональном уровнях, а также заключенные ранее между владельцами/операторами критических инфраструктур трансграничные соглашения о взаимопомощи. Учитывая значительное участие частного сектора в осуществлении надзора и управлении рисками, планировании непрерывности деловых процессов и восстановлении после стихийных бедствий, подход Сообщества должен быть направлен на поощрение полноценного участия частного сектора.

(9) Ввиду особенностей энергетической отрасли и, в частности, методов производства и передачи электроэнергии (в отношении электроснабжения), очевидно, что при наличии целесообразности процесс производства электроэнергии может частично включать передачу электроэнергии атомными электростанциями, за исключением отдельных электростанций, подпадающих под действие соответствующего атомного законодательства, в том числе соответствующих договоров и законодательства Сообщества.

(10) Положения настоящей Директивы дополняют отраслевые меры, существующие на уровне Сообщества и в государствах-членах ЕС. Существующие в Сообществе механизмы должны использоваться и в дальнейшем, способствуя всеобщему применению настоящей Директивы. Следует избегать возникновения дублирования и противоречий между различными актами или положениями.

(11) Операторские планы обеспечения безопасности ("OSPs") или иные эквивалентные меры, включающие определение наиболее важных активов, оценку степени риска, а также выявление, выбор и установление приоритетных встречных мер, должны присутствовать во всех установленных ECIs. Во избежание излишней работы и дублирования каждое государство-член ЕС должно в первую очередь установить, применяют ли владельцы/операторы установленных ECIs соответствующие OSPs или схожие меры. При отсутствии таких планов каждое государство-член ЕС обязано предпринять необходимые шаги, дабы убедиться, что соответствующие меры вводятся в действие. Каждое государство-член ЕС самостоятельно избирает надлежащую форму деятельности по учреждению OSPs.

(12) Меры, принципы, руководства, включая меры Сообщества, а также двусторонние и/или многосторонние схемы сотрудничества, предусматривающие план, эквивалентный или схожий с OSP, или предусматривающие назначение Специалиста по обеспечению безопасности связи или эквивалентного специалиста, должны быть расценены как отвечающие требованиям настоящей Директивы в отношении OSP или Специалистов по обеспечению безопасности связи соответственно.

(13) Специалисты по обеспечению безопасности связи должны быть назначены во всех установленных ECIs в целях содействия сотрудничеству и обмену данными между соответствующими национальными органами власти по защите критических инфраструктур. Во избежание излишней работы и дублирования каждое государство-член ЕС должно в первую очередь установить, обладают ли владельцы/операторы установленных ECIs Специалистами по обеспечению безопасности связи или эквивалентными специалистами. При отсутствии таких Специалистов по обеспечению безопасности связи каждое государство-член ЕС обязано предпринять необходимые шаги, чтобы убедиться, что соответствующие меры вводятся в действие. Каждое государство-член ЕС самостоятельно избирает надлежащую форму деятельности по назначению Специалиста по обеспечению безопасности связи.

(14) Эффективное выявление рисков, угроз и уязвимых мест в отдельных отраслях требует осуществления взаимодействия между владельцами/операторами ECIs и государствами-членами ЕС, а также между государствами-членами ЕС и Европейской Комиссией. Каждое государство-член ЕС должно вести учет сведений о ECIs, расположенных на его территории. Европейская Комиссия должна получать от государств-членов ЕС общие сведения, касающиеся рисков, угроз и уязвимых мест в отраслях, где выявлены ECIs, включая соответствующую информацию о возможностях усовершенствования ECIs и межотраслевых взаимозависимостей; при необходимости такие сведения могут являться основой для разработки Европейской Комиссией специальных предложений по совершенствованию защиты ECIs.

(15) В целях содействия усилению защиты ECIs могут быть разработаны общие методики идентификации и классификации рисков, угроз и уязвимых мест в активах инфраструктуры.

(16) Владельцам/операторам ECIs должен быть предоставлен доступ в первую очередь соответствующими органами государства-члена ЕС, к наилучшим методикам и практикам работы по защите критических инфраструктур.

(17) Эффективная защита ECIs требует взаимодействия, координирования и сотрудничества на национальном уровне и внутри Сообщества. Наилучшим образом это может быть достигнуто посредством установления контактных центров по защите европейских критических инфраструктур ("контактные центры ECIP") в каждом государстве-члене ЕС, которое должно разрешать проблемы по защите европейских критических инфраструктур самостоятельно, а также при содействии иных государств-членов ЕС и Европейской Комиссии.

(18) В целях развития деятельности по защите европейских критических инфраструктур в сферах, требующих определенной степени конфиденциальности, в рамках настоящей Директивы необходимо обеспечить последовательный и безопасный информационный обмен. Следует учитывать, что правила конфиденциальности в соответствии с подлежащим применению национальным законодательством или Регламентом 1049/2001 Европейского парламента и Совета ЕС от 30 мая 2001 г. о всеобщем доступе к документам Европейского парламента, Совета ЕС и Европейской Комиссии*(4) должны соблюдаться в отношении отдельных сведений об активах критических инфраструктурах, которые могут быть использованы при планировании или осуществлении действий, направленных на создание неприемлемых последствий для объектов критических инфраструктур. Секретная информация подлежит защите в соответствии с подлежащим применению законодательством Сообщества или государства-члена ЕС. Каждое государство-член ЕС и Европейская Комиссия обязаны соблюдать степень секретности, установленную автором документа.

(19) Обмен информацией, касающейся ECIs, должен осуществляться в атмосфере доверия и безопасности. Обмен информацией требует доверительных отношений, в рамках которых компании и организации могут быть уверены, что их секретные и конфиденциальные данные защищены надлежащим образом.

(20) Поскольку цели настоящей Директивы, а именно создание процедуры выявления и установления ECIs, а также утверждение общего подхода к проведению оценки необходимости усиления защиты таких инфраструктур, не могут быть в полной мере достигнуты государствами-членами ЕС, и могут поэтому, в силу масштабности действий, быть в наилучшей степени достигнуты на уровне Сообщества, Сообщество вправе принимать меры в соответствии с принципом субсидиарности, установленным Статьей 5 Договора. В соответствии с принципом пропорциональности, установленным в указанной Статье, настоящая Директива не выходит за пределы, необходимые для достижения указанных целей.

(21) Настоящая директива признает основные права и соблюдает принципы, признанные, в частности, Хартией Европейского Союза об основных правах,

принял настоящую Директиву:

Совершено в Брюсселе 8 декабря 2008 г.

От имени Совета ЕС
Председатель
B. KOUCHNER

------------------------------

*(1) Council Directive 2008/114/EC of 8 December 2008 on the identification and designation of European critical infrastructures and the assessment of the need to improve their protection (Text with EEA relevance). Опубликована в Официальном Журнале (далее - ОЖ) N L 345, 23.12.2008, стр. 75.

*(2) Заключение от 10 июля 2007 г. (еще не опубликовано в ОЖ).

*(3) ОЖ N С 116, 26.05.2007, стр. 1.

*(4) ОЖ N L 145, 31.5.2001, стр. 43.

*(5) Сжиженный природный газ - прим. перев.