Директива Совета 2008/114/EC от 8 декабря 2008 г. об идентификации и назначении европейских критически важных инфраструктур и оценке необходимости улучшения их защиты (текст, имеющий отношение к ЕЭЗ)

23.12.2008

В

Официальный журнал Европейского Союза

Л 345/75

ДИРЕКТИВА СОВЕТА 2008/114/EC

от 8 декабря 2008 г.

по выявлению и обозначению европейских критических инфраструктур и оценке необходимости улучшения их защиты

(Текст, имеющий отношение к ЕЭЗ)

СОВЕТ ЕВРОПЕЙСКОГО СОЮЗА,

Принимая во внимание Договор о создании Европейского сообщества, и в частности его статью 308,

Принимая во внимание предложение Комиссии,

Принимая во внимание мнение Европейского парламента (1),

Принимая во внимание мнение Европейского центрального банка (2),

Тогда как:

(1)

В июне 2004 года Европейский совет попросил подготовить общую стратегию защиты критически важных инфраструктур. В ответ 20 октября 2004 года Комиссия приняла Сообщение о защите критически важных инфраструктур в борьбе с терроризмом, в котором были выдвинуты предложения относительно того, что могло бы улучшить европейское предотвращение, готовность и реагирование на террористические атаки, затрагивающие критически важные инфраструктуры.

(2)

17 ноября 2005 г. Комиссия приняла «Зеленую книгу» по европейской программе защиты критически важной инфраструктуры, в которой были представлены варианты политики по созданию программы и Информационной сети по предупреждению критической инфраструктуры. В ответах, полученных на «Зеленую книгу», подчеркивалась дополнительная ценность структуры Сообщества, касающейся защиты критически важной инфраструктуры. Была признана необходимость повысить возможности защиты критически важной инфраструктуры в Европе и помочь уменьшить уязвимости критически важных инфраструктур. Была подчеркнута важность ключевых принципов субсидиарности, пропорциональности и взаимодополняемости, а также диалога заинтересованных сторон.

(3)

В декабре 2005 года Совет юстиции и внутренних дел призвал Комиссию внести предложение по европейской программе защиты критически важной инфраструктуры («EPCIP») и решил, что она должна основываться на подходе, учитывающем все опасности, при одновременном противодействии угрозам терроризма как приоритет. В рамках этого подхода в процессе защиты критически важной инфраструктуры следует принимать во внимание антропогенные, технологические угрозы и стихийные бедствия, но угрозе терроризма следует отдавать приоритет.

(4)

В апреле 2007 года Совет принял выводы по EPCIP, в которых он подтвердил, что основная ответственность государств-членов заключается в управлении механизмами защиты критически важных инфраструктур в пределах их национальных границ, приветствуя при этом усилия Комиссии по разработке европейской процедуры идентификация и обозначение европейских критических инфраструктур («ECI») и оценка необходимости улучшения их защиты.

(5)

Данная Директива представляет собой первый шаг в поэтапном подходе к выявлению и назначению ECI и оценке необходимости улучшения их защиты. По существу, данная Директива сосредоточена на секторах энергетики и транспорта, и ее следует пересмотреть с целью оценки ее воздействия и необходимости включения в ее сферу действия других секторов, в частности, сектора информационных и коммуникационных технологий («ИКТ»).

(6)

Основная и конечная ответственность за защиту ECI лежит на государствах-членах ЕС и владельцах/операторах таких инфраструктур.

(7)

В Сообществе существует определенное количество критически важных инфраструктур, нарушение или разрушение которых будет иметь значительные трансграничные последствия. Это может включать трансграничные межсекторальные эффекты, возникающие в результате взаимозависимости между взаимосвязанными инфраструктурами. Такие ECI должны быть идентифицированы и обозначены посредством общей процедуры. Оценка требований безопасности для таких инфраструктур должна проводиться в рамках общего минимального подхода. Двусторонние схемы сотрудничества между государствами-членами в области защиты критически важной инфраструктуры представляют собой хорошо зарекомендовавшие себя и эффективные средства борьбы с трансграничными критически важными инфраструктурами. EPCIP должен опираться на такое сотрудничество. Информация, относящаяся к обозначению конкретной инфраструктуры как ECI, должна быть классифицирована на соответствующем уровне в соответствии с действующим законодательством Сообщества и государств-членов.

(8)

Поскольку различные сектора имеют особый опыт, знания и требования в отношении защиты критической инфраструктуры, подход Сообщества к защите критической инфраструктуры должен быть разработан и реализован с учетом отраслевой специфики и существующих отраслевых мер, включая те, которые уже существуют на уровне Сообщества, национальном или региональном уровне, и где это применимо, уже заключены трансграничные соглашения о взаимопомощи между владельцами/операторами критически важных инфраструктур. Учитывая весьма значительное участие частного сектора в надзоре и управлении рисками, планировании непрерывности бизнеса и восстановлении после стихийных бедствий, подход Сообщества должен поощрять полное участие частного сектора.

(9)

Что касается энергетического сектора и, в частности, методов производства и передачи электроэнергии (в отношении поставок электроэнергии), подразумевается, что там, где это считается целесообразным, производство электроэнергии может включать в себя передающие электростанции части атомных электростанций, но исключая конкретно ядерные электростанции. элементы, охватываемые соответствующим ядерным законодательством, включая договоры и право Сообщества.

(10)

Эта Директива дополняет существующие отраслевые меры на уровне Сообщества и в государствах-членах. Там, где механизмы Сообщества уже существуют, их следует продолжать использовать и они будут способствовать общей реализации настоящей Директивы. Следует избегать дублирования или противоречия между различными актами или положениями.

(11)

Планы безопасности оператора («OSP») или эквивалентные меры, включающие идентификацию важных активов, оценку рисков, а также идентификацию, выбор и определение приоритетности контрмер и процедур, должны быть в наличии во всех назначенных ECI. Во избежание ненужной работы и дублирования каждое государство-член должно сначала оценить, обладают ли владельцы/операторы назначенных ECI соответствующими OSP или аналогичными мерами. Если таких планов не существует, каждое государство-член должно предпринять необходимые шаги для обеспечения принятия соответствующих мер. Каждое государство-член должно принять решение о наиболее подходящей форме действий в отношении создания OSP.

(12)

Меры, принципы, руководящие указания, включая меры Сообщества, а также схемы двустороннего и/или многостороннего сотрудничества, которые предусматривают план, аналогичный или эквивалентный OSP, или предусматривают наличие офицера связи по вопросам безопасности или его эквивалента, должны считаться удовлетворяющими требованиям настоящей Директивы. в отношении OSP или офицера связи по вопросам безопасности соответственно.

(13)

Для всех назначенных ECI должны быть назначены офицеры по связям с безопасностью, чтобы облегчить сотрудничество и связь с соответствующими национальными органами по защите критически важной инфраструктуры. Во избежание ненужной работы и дублирования каждое государство-член должно сначала оценить, есть ли у владельцев/операторов назначенных ECI офицеров по связям с безопасностью или эквивалентных им лиц. Если такого сотрудника по связям с безопасностью не существует, каждое государство-член должно предпринять необходимые шаги для обеспечения принятия соответствующих мер. Каждое государство-член должно принять решение о наиболее подходящей форме действий в отношении назначения офицеров связи по вопросам безопасности.

(14)

Эффективная идентификация рисков, угроз и уязвимостей в конкретных секторах требует взаимодействия как между владельцами/операторами ECI и государствами-членами, так и между государствами-членами и Комиссией. Каждое государство-член должно собирать информацию о ECI, расположенных на его территории. Комиссия должна получать от государств-членов общую информацию о рисках, угрозах и уязвимостях в секторах, где были выявлены ECI, включая, где это уместно, информацию о возможных улучшениях ECI и межсекторальных зависимостях, которые могли бы стать основой для разработки конкретных предложений. Комиссией по улучшению защиты ЭКИ, где это необходимо.

(15)

Чтобы способствовать улучшению защиты ECI, могут быть разработаны общие методологии для идентификации и классификации рисков, угроз и уязвимостей инфраструктурных активов.

(16)

Владельцам/операторам ECI должен быть предоставлен доступ, прежде всего, через соответствующие органы государств-членов ЕС к передовому опыту и методологиям защиты критически важной инфраструктуры.

(17)

Эффективная защита ECI требует коммуникации, координации и сотрудничества на национальном уровне и уровне сообщества. Лучше всего этого достичь путем назначения европейских контактных лиц по защите критически важной инфраструктуры («контактных лиц ECIP») в каждом государстве-члене, которые должны координировать вопросы защиты критически важной европейской инфраструктуры внутри страны, а также с другими государствами-членами и Комиссией.

(18)

В целях развития европейской деятельности по защите критической инфраструктуры в областях, требующих определенной степени конфиденциальности, целесообразно обеспечить последовательный и безопасный обмен информацией в рамках настоящей Директивы. Важно, чтобы соблюдались правила конфиденциальности в соответствии с применимым национальным законодательством или Регламентом (ЕС) № 1049/2001 Европейского парламента и Совета от 30 мая 2001 г. относительно публичного доступа к документам Европейского парламента, Совета и Комиссии (3). в отношении конкретных фактов об объектах критической инфраструктуры, которые могут быть использованы для планирования и действий с целью вызвать неприемлемые последствия для объектов критической инфраструктуры. Секретная информация должна быть защищена в соответствии с соответствующим законодательством Сообщества и государств-членов. Каждое государство-член и Комиссия должны соблюдать соответствующую классификацию безопасности, указанную составителем документа.

(19)

Обмен информацией о ECI должен происходить в атмосфере доверия и безопасности. Обмен информацией требует доверительных отношений, чтобы компании и организации знали, что их чувствительные и конфиденциальные данные будут достаточно защищены.

(20)

Поскольку цели настоящей Директивы, а именно создание процедуры идентификации и назначения ECI, а также общего подхода к оценке необходимости улучшения защиты таких инфраструктур, не могут быть в достаточной степени достигнуты государствами-членами и, следовательно, могут Поскольку масштаб действий лучше достигается на уровне Сообщества, Сообщество может принять меры в соответствии с принципом субсидиарности, изложенным в статье 5 Договора. В соответствии с принципом пропорциональности, изложенным в этой статье, настоящая Директива не выходит за рамки того, что необходимо для достижения этих целей.

(21)

Настоящая Директива уважает основные права и соблюдает принципы, признанные, в частности, Хартией основных прав Европейского Союза.

ПРИНЯЛ НАСТОЯЩУЮ ДИРЕКТИВУ:

Статья 1

Тема сообщения

Эта Директива устанавливает процедуру идентификации и назначения европейских критически важных инфраструктур («ECI»), а также общий подход к оценке необходимости улучшения защиты таких инфраструктур, чтобы способствовать защите людей.

Статья 2

Определения

Для целей настоящей Директивы:

(а)

«критическая инфраструктура» означает актив, систему или ее часть, расположенную в государствах-членах ЕС, которая необходима для поддержания жизненно важных социальных функций, здоровья, безопасности, экономического или социального благополучия людей, и нарушение или разрушение которой может иметь значительное влияние в государстве-члене ЕС в результате неспособности поддерживать эти функции;

(б)

«Европейская критическая инфраструктура» или «ECI» означает критическую инфраструктуру, расположенную в государствах-членах, нарушение или разрушение которой окажет существенное влияние как минимум на два государства-члена. Значимость воздействия должна оцениваться с точки зрения сквозных критериев. Сюда входят эффекты, возникающие в результате межсекторальной зависимости от других типов инфраструктуры;

(с)

«анализ рисков» означает рассмотрение соответствующих сценариев угроз с целью оценки уязвимости и потенциального воздействия нарушения или разрушения критической инфраструктуры;

(г)

«конфиденциальная информация, связанная с защитой критической инфраструктуры» означает факты о критической инфраструктуре, которые в случае раскрытия могут быть использованы для планирования и действий с целью вызвать сбой или разрушение объектов критической инфраструктуры;

(е)

«защита» означает все действия, направленные на обеспечение функциональности, непрерывности и целостности критически важных инфраструктур с целью сдерживания, смягчения и нейтрализации угрозы, риска или уязвимости;

(е)

«Владельцы/операторы ECI» означают организации, ответственные за инвестиции и/или повседневную эксплуатацию конкретного актива, системы или их части, обозначенных как ECI в соответствии с настоящей Директивой.

Статья 3

Идентификация ECI

1.   В соответствии с процедурой, предусмотренной в Приложении III, каждое государство-член должно определить потенциальные ECI, которые одновременно удовлетворяют сквозным и отраслевым критериям и соответствуют определениям, изложенным в Статье 2(a) и (b).

Комиссия может оказывать помощь государствам-членам ЕС по их запросу в выявлении потенциальных ECI.

Комиссия может привлечь внимание соответствующих государств-членов к существованию потенциально критически важных инфраструктур, которые могут считаться отвечающими требованиям для определения в качестве ECI.

Каждое государство-член и Комиссия должны продолжать на постоянной основе процесс выявления потенциальных ECI.

2.   Сквозные критерии, упомянутые в пункте 1, включают следующее:

(а)

критерий потерь (оценивается с точки зрения потенциального количества погибших или травмированных);

(б)

критерий экономического эффекта (оценивается с точки зрения значимости экономических потерь и/или деградации продукции или услуг, включая потенциальные экологические последствия);

(с)

критерий общественных последствий (оценивается с точки зрения воздействия на общественное доверие, физических страданий и нарушения повседневной жизни, включая потерю основных услуг).

Пороговые значения сквозных критериев должны основываться на серьезности последствий нарушения или разрушения конкретной инфраструктуры. Точные пороговые значения, применимые к сквозным критериям, должны определяться в каждом конкретном случае государствами-членами, которых касается конкретная критическая инфраструктура. Каждое государство-член ЕС должно ежегодно информировать Комиссию о количестве инфраструктур в каждом секторе, для которых проводились обсуждения относительно пороговых значений сквозных критериев.

Отраслевые критерии должны учитывать характеристики отдельных секторов ECI.

Комиссия совместно с государствами-членами должна разработать руководящие принципы применения сквозных и отраслевых критериев и приблизительные пороговые значения, которые будут использоваться для выявления ECI. Критерии должны быть классифицированы. Использование таких руководящих принципов является факультативным для государств-членов.

3.   Секторами, которые будут использоваться для целей реализации настоящей Директивы, являются энергетический и транспортный секторы. Подсекторы указаны в Приложении I.

Если это будет сочтено целесообразным и в сочетании с пересмотром настоящей Директивы, как указано в Статье 11, могут быть определены последующие сектора, которые будут использоваться в целях реализации настоящей Директивы. Приоритет будет отдан сектору ИКТ.

Статья 4

Обозначение ECI

1.   Каждое государство-член должно информировать другие государства-члены, на которые может существенно повлиять потенциальная ECI, о его личности и причинах определения его в качестве потенциального ECI.

2.   Каждое государство-член, на территории которого находится потенциальное ECI, должно участвовать в двусторонних и/или многосторонних обсуждениях с другими государствами-членами, на которые потенциальное ECI может существенно повлиять. Комиссия может участвовать в этих обсуждениях, но не имеет доступа к подробной информации, которая позволила бы однозначно идентифицировать конкретную инфраструктуру.

Государство-член, у которого есть основания полагать, что на него может существенно повлиять потенциальный ECI, но не было идентифицировано как таковое государством-членом, на территории которого расположен потенциальный ECI, может сообщить Комиссии о своем желании участвовать в двусторонние и/или многосторонние дискуссии по этому вопросу. Комиссия должна без промедления сообщить об этом желании государству-члену, на территории которого находится потенциальный ECI, и попытаться облегчить соглашение между сторонами.

3.   Государство-член, на территории которого расположен потенциальный ECI, должно назначить его в качестве ECI на основании соглашения между этим государством-членом и теми государствами-членами, которые могут быть существенно затронуты.

Требуется согласие государства-члена, на территории которого расположена инфраструктура, определяемая как ECI.

4.   Государство-член ЕС, на территории которого расположен назначенный ECI, должно ежегодно информировать Комиссию о количестве назначенных ECI на сектор и о количестве государств-членов, зависящих от каждого назначенного ECI. Только те государства-члены, на которые ECI может существенно повлиять, должны знать его идентичность.

5.   Государства-члены, на территории которых расположен ECI, должны информировать владельца/оператора инфраструктуры о ее назначении в качестве ECI. Информация, касающаяся отнесения инфраструктуры к категории ECI, должна быть классифицирована на соответствующем уровне.

6.   Процесс идентификации и назначения ECI в соответствии со статьей 3 и настоящей статьей должен быть завершен к 12 января 2011 года и пересматриваться на регулярной основе.

Статья 5

Планы безопасности оператора

1.   Процедура плана безопасности оператора («OSP») должна идентифицировать критически важные инфраструктурные активы ECI и какие решения безопасности существуют или внедряются для их защиты. Минимальное содержание, которое должно быть рассмотрено процедурой ECI OSP, указано в Приложении II.

2.   Каждое государство-член должно оценить, имеет ли каждое назначенное ECI, расположенное на его территории, OSP или эквивалентные меры для решения проблем, указанных в Приложении II. Если государство-член обнаружит, что такой OSP или его эквивалент существует и регулярно обновляется, никаких дальнейших действий по реализации не требуется.

3.   Если государство-член обнаружит, что такой OSP или его эквивалент не был подготовлен, оно должно обеспечить с помощью любых мер, которые сочтет целесообразными, что OSP или его эквивалент подготовлен с учетом проблем, указанных в Приложении II.

Каждое государство-член должно обеспечить наличие OSP или его эквивалента и его регулярную проверку в течение одного года после присвоения критической инфраструктуре статуса ECI. Этот период может быть продлен в исключительных обстоятельствах по соглашению с органом государства-члена и с уведомлением Комиссии.

4.   В случае, когда механизмы надзора или надзора уже существуют в отношении ECI, такие механизмы не затрагиваются настоящей статьей, и соответствующий орган государства-члена, упомянутый в настоящей статье, должен быть надзорным органом в соответствии с этими существующими механизмами.

5.   Соблюдение мер, включая меры Сообщества, которые в конкретном секторе требуют или указывают на необходимость наличия плана, аналогичного или эквивалентного OSP, и надзора за таким планом со стороны соответствующего органа, считается удовлетворяющим всем требованиям государствами-членами в соответствии с настоящей статьей или принятыми в соответствии с ней. Руководящие принципы применения, упомянутые в статье 3(2), должны содержать ориентировочный перечень таких мер.

Статья 6

Офицеры связи службы безопасности

1.   Сотрудник по связям с безопасностью должен действовать как контактное лицо по вопросам безопасности между владельцем/оператором ECI и соответствующим органом государства-члена.

2.   Каждое государство-член должно оценить, имеет ли каждое назначенное ECI, расположенное на его территории, сотрудника по связям с безопасностью или его эквивалента. Если государство-член обнаружит, что такой сотрудник по связям с безопасностью имеется или существует его эквивалент, никаких дальнейших действий по реализации не требуется.

3.   Если государство-член обнаруживает, что в отношении назначенного ECI не существует сотрудника по связям с безопасностью или его эквивалента, оно должно обеспечить с помощью любых мер, которые сочтет целесообразными, назначение такого сотрудника по связям с безопасностью или его эквивалента.

4.   Каждое государство-член должно внедрить соответствующий механизм связи между соответствующим органом государства-члена и сотрудником по связям с безопасностью или его эквивалентом с целью обмена соответствующей информацией, касающейся выявленных рисков и угроз в отношении соответствующего ECI. Этот механизм связи не должен наносить ущерба национальным требованиям, касающимся доступа к конфиденциальной и секретной информации.

5.   Соблюдение мер, включая меры Сообщества, которые в конкретном секторе требуют или указывают на необходимость наличия офицера по связям с безопасностью или его эквивалента, считается отвечающим всем требованиям государств-членов, изложенным в настоящей статье или принятым в соответствии с ней. Руководящие принципы применения, упомянутые в статье 3(2), должны содержать ориентировочный перечень таких мер.

Статья 7

Составление отчетов

1.   Каждое государство-член должно провести оценку угроз в отношении подсекторов ECI в течение одного года после определения критической инфраструктуры на его территории как ECI в этих подсекторах.

2.   Каждое государство-член должно каждые два года сообщать Комиссии общие данные на сводной основе о типах рисков, угроз и уязвимостей, встречающихся в каждом секторе ECI, в котором ECI был назначен в соответствии со статьей 4 и расположен на его территории.

Общий шаблон для этих отчетов может быть разработан Комиссией в сотрудничестве с государствами-членами.

Каждый отчет должен быть классифицирован на соответствующем уровне, который государство-член ЕС сочтет необходимым.

3.   На основе отчетов, упомянутых в параграфе 2, Комиссия и государства-члены должны оценить на отраслевой основе, следует ли рассматривать дальнейшие меры защиты на уровне Сообщества для ECI. Этот процесс должен осуществляться одновременно с пересмотром настоящей Директивы, как это предусмотрено в Статье 11.

4.   Единые методические рекомендации по проведению анализа рисков в отношении ECI могут быть разработаны Комиссией в сотрудничестве с государствами-членами. Использование таких руководящих принципов является факультативным для государств-членов.

Статья 8

Комиссионная поддержка ECI

Комиссия должна поддерживать через соответствующий орган государства-члена владельцев/операторов назначенных ECI, предоставляя доступ к имеющимся передовым практикам и методологиям, а также поддерживая обучение и обмен информацией о новых технических разработках, связанных с защитой критически важной инфраструктуры.

Статья 9

Конфиденциальная информация, связанная с защитой критически важной европейской инфраструктуры

1.   Любое лицо, обрабатывающее секретную информацию в соответствии с настоящей Директивой от имени государства-члена ЕС или Комиссии, должно пройти соответствующий уровень проверки безопасности.

Государства-члены, Комиссия и соответствующие надзорные органы должны гарантировать, что конфиденциальная информация, связанная с защитой критически важной европейской инфраструктуры, представленная государствам-членам ЕС или Комиссии, не используется для каких-либо целей, кроме защиты критически важных инфраструктур.

2.   Настоящая статья также применяется к неписьменной информации, которой обмениваются во время встреч, на которых обсуждаются деликатные темы.

Статья 10

Контактные лица по защите критически важной инфраструктуры в Европе

1.   Каждое государство-член должно назначить европейское контактное лицо по защите критической инфраструктуры («Контактное лицо ECIP»).

2.   Контактные лица ECIP должны координировать вопросы защиты европейской критической инфраструктуры внутри государства-члена, с другими государствами-членами и с Комиссией. Назначение контактного лица ECIP не исключает возможности участия других органов власти в государстве-члене в вопросах защиты критически важной инфраструктуры Европы.

Статья 11

Обзор

Пересмотр настоящей Директивы начнется 12 января 2012 года.

Статья 12

Выполнение

Государства-члены должны принять необходимые меры для соблюдения настоящей Директивы к 12 января 2011 года. Они должны немедленно проинформировать об этом Комиссию и сообщить текст этих мер и их корреляцию с настоящей Директивой.

Когда они принимаются государствами-членами, эти меры должны содержать ссылку на настоящую Директиву или сопровождаться такой ссылкой в ​​случае их официальной публикации. Методы такой ссылки устанавливаются государствами-членами.

Статья 13

Вступление в силу

Настоящая Директива вступает в силу на 20-й день после ее публикации в Официальном журнале Европейского Союза.

Статья 14

Адресаты

Данная Директива адресована государствам-членам.

Совершено в Брюсселе 8 декабря 2008 г.

Для Совета

Президент

Б. КУШНЕР

(1) Заключение от 10 июля 2007 г. (еще не опубликовано в Официальном журнале).

(2) OJ C 116, 26 мая 2007 г., с. 1.

(3) OJ L 145, 31 мая 2001 г., с. 43.

ПРИЛОЖЕНИЕ I

Список секторов ECI

Сектор

Подсектор

я

Энергия

1.

Электричество

Инфраструктуры и объекты для производства и передачи электроэнергии в части поставок электроэнергии

2.

Масло

Добыча, переработка, подготовка, хранение и транспортировка нефти по трубопроводам

3.

Газ

Добыча, переработка, подготовка, хранение и транспортировка газа по трубопроводам

Терминалы СПГ

II

Транспорт

4.

Дорожный транспорт

5.

Железнодорожный транспорт

6.

Воздушный транспорт

7.

Внутренний водный транспорт

8.

Морское и каботажное судоходство и порты

Идентификация государствами-членами критически важных инфраструктур, которые могут быть определены как ECI, осуществляется в соответствии со статьей 3. Таким образом, список секторов ECI сам по себе не создает общего обязательства по назначению ECI в каждом секторе.

ПРИЛОЖЕНИЕ II

ПРОЦЕДУРЫ ECI OSP

OSP определит критически важные объекты инфраструктуры и какие решения безопасности существуют или внедряются для их защиты. Процедура ECI OSP будет охватывать как минимум:

1.

выявление важных активов;

2.

проведение анализа рисков на основе сценариев основных угроз, уязвимости каждого актива и потенциального воздействия; и

3.

выявление, выбор и определение приоритетности контрмер и процедур с различием между:

—

постоянные меры безопасности, которые определяют необходимые инвестиции в безопасность и средства, которые необходимо использовать в любое время. Этот заголовок будет включать информацию, касающуюся общих мер, таких как технические меры (включая установку средств обнаружения, контроля доступа, защиты и предотвращения); организационные меры (включая процедуры оповещения и антикризисного управления); меры контроля и проверки; коммуникация; повышение осведомленности и обучение; и безопасность информационных систем,

—

поэтапные меры безопасности, которые можно активировать в зависимости от различных уровней риска и угроз.

ПРИЛОЖЕНИЕ III

Процедура идентификации государствами-членами критически важных инфраструктур, которые могут быть обозначены как ECI в соответствии со статьей 3.

Статья 3 требует, чтобы каждое государство-член ЕС идентифицировало критически важные инфраструктуры, которые могут быть обозначены как ECI. Эта процедура должна осуществляться каждым государством-членом ЕС посредством следующей серии последовательных шагов.

Потенциальный ECI, который не удовлетворяет требованиям одного из следующих последовательных шагов, считается «не-ECI» и исключается из процедуры. Потенциальный ECI, который удовлетворяет требованиям, должен быть подвергнут следующим этапам этой процедуры.

Шаг 1

Каждое государство-член должно применять отраслевые критерии, чтобы сделать первый выбор критически важных инфраструктур внутри сектора.

Шаг 2

Каждое государство-член должно применять определение критической инфраструктуры в соответствии со статьей 2(а) к потенциальному ECI, определенному на этапе 1.

Значимость воздействия будет определяться либо с использованием национальных методов определения критически важных инфраструктур, либо с учетом сквозных критериев на соответствующем национальном уровне. Для инфраструктуры, предоставляющей жизненно важные услуги, будут приниматься во внимание наличие альтернатив и продолжительность сбоя/восстановления.

Шаг 3

Каждое государство-член должно применять трансграничный элемент определения ECI в соответствии со статьей 2(b) к потенциальному ECI, прошедшему первые два этапа этой процедуры. Потенциальный ECI, который удовлетворяет этому определению, будет следовать следующему этапу процедуры. Для инфраструктуры, предоставляющей жизненно важные услуги, будут приниматься во внимание наличие альтернатив и продолжительность сбоя/восстановления.

Шаг 4

Каждое государство-член должно применять сквозные критерии к остальным потенциальным ECI. Сквозные критерии должны учитывать: серьезность воздействия; а для инфраструктуры, предоставляющей жизненно важные услуги, наличие альтернатив; и продолжительность сбоя/восстановления. Потенциальная ECI, которая не удовлетворяет сквозным критериям, не будет считаться ECI.

Потенциальный ECI, прошедший эту процедуру, должен быть сообщен только тем государствам-членам, на которые потенциальное ECI может существенно повлиять.

Вершина