Beskyttelse av europeisk kritisk infrastruktur
Notat om revisjon av direktivet lagt fram av Europaparlamentets utredningsavdeling 3.2.2021
Redaksjonens kommentar
EØS-komiteen vedtok i 2012 å innlemme i EØS-avtalen EU-direktivet om beskyttelse av europeisk kritisk infrastruktur. Direktivet etablerer en enhetlig prosedyre for identifisering og utpeking av europeisk kritisk infrastruktur samt en felles tilnærming til behovet for å bedre beskyttelsen av slik infrastruktur, for dermed å bidra til beskyttelse av befolkningen. Direktivet er gjennomført i Norge gjennom endringer til sivilbeskyttelsesloven.
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 11.3.2011)
Sammendrag av innhold
Som en naturlig konsekvens av EUs arbeid med å danne et indre marked har Europas kritiske infrastrukturer blitt stadig sterkere knyttet sammen og gjensidig avhengig av hverandre. Brudd i en kritisk infrastruktur kan således få ringvirkninger på tvers av sektorer og landegrenser. På bakgrunn av terrorhendelsene i Madrid og London i 2004 og 2005, og ut i fra den erkjennelse av at infrastrukturen i Europa kun er så sterkt som det svakeste leddet, igangsatte EU et arbeid for å sikre europeisk kritisk infrastruktur (European Programme for Critical Infrastructure Protection - EPCIP). EPCIP-rammeverket omfatter beskyttelse mot både tilsiktede og utilsiktede uønskede hendelser (all- hazards approach), men trusselen fra terrorangrep har en uttrykt prioritet (se fortalen nr. 3). EPCIP- rammeverket består blant annet av direktiv 2008/114/EF om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre (EPCIP-direktivet), et Critical Infrastructure Warning Information Network (CIWIN) og det finansielle programmet Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks. I programmet ligger opprettelse av ekspertgrupper, utveksling av ”best practice” og identifisering og analyse av gjensidige avhengigheter mellom ulike infrastrukturer. Programmet er ikke bindende og Norge deltar ikke i dette.Bakgrunnen for EPCIP-direktivet er et identifisert behov for å få en oversikt over de kritiske infrastrukturer i Europa. EPCIP-direktivet oppstiller av den grunn prosedyrer for identifisering og utpeking av europeisk kritisk infrastruktur (art. 3 og 4), herunder en plikt til å informere medlemsstater som kan bli alvorlig påvirket av brudd i en kritisk europeisk infrastruktur om dens identitet samt plikt til å gjennomføre risikovurderinger (art. 7). I tillegg følger det av direktivet at operatører av kritisk infrastruktur skal involveres som liaisoner inn mot myndighetene (art. 6), at det skal opprettes operatørsikkerhetsplaner som operatørene skal forplikte seg til å følge (art. 5) samt at medlemsstatene skal utpeke nasjonale kontaktpunkt for beskyttelse av kritisk infrastruktur (art. 10). EPCIP-direktivet utgjør det første steget i en skrittvis tilnærming til å identifisere og utpeke kritisk europeisk infrastruktur, jf. fortalen nr. 5. Direktivet konsentrerer seg i første rekke om energi- og transportsektorene, men det er klart forutsatt at EU tar sikte på å innta IKT-sektoren i direktivet på et senere tidspunkt (fortalen nr. 5, jf. direktivet art 11).
Merknader
Justis- og politidepartementet (JD) antar at ingen eksisterende lover per i dag samlet sett fanger opp direktivets krav med sikte på en fullstendig, systematisk gjennomføring av direktivets materielle krav. JD har vurdert fire ulike modeller for implementering av EPCIP- direktivet, nærmere bestemt implementering gjennom en eksisterende lov, en fellesforskrift fastsatt med hjemmel i de sentrale sektorlovene på området, en systematisk innarbeiding av nødvendige bestemmelser i eksisterende sektorlover og -forskrifter eller en samlet implementering i en egen lov om europeisk kritisk infrastruktur. De ulike implementeringsmodellene er tidligere blitt kommunisert til berørte departementer gjennom Spesialutvalget for samfunnssikkerhet. Det bør generelt vises tilbakeholdenhet med å gi en ny lov eller nye bestemmelser om forhold som i stor grad allerede er lovregulert. JD foreslår å gjennomføre direktivet ved en endring i lov 25. juni nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven). Dette vil sikre en helhet i lovgrunnlaget til JD og Direktoratet for samfunnssikkerhet og beredskap (DSB), som vil være ansvarlige for å samordne oppfølgingen av direktivet i Norge. Direktivet har en "all hazards approach" tilnærming og har som formål å beskytte sivilbefolkningen både mot tilsiktede og utilsiktede handlinger. Sivilbeskyttelseslovens formål er å beskytte liv, helse, miljø og materielle verdier ved bruk av ikke-militær makt. I loven er det gitt bestemmelser om plikter og tiltak fra både virksomheter, kommuner, Sivilforsvaret og enkeltpersoner. Sivilbeskyttelseslovens formål er sammenfallende med direktivets formål om å beskytte sivilbefolkningen. Det er gjennomgående store likheter mellom sikkerhetsloven og reglene i EPCIP direktivet, og det er også delvis sammenfall mellom formålet i sikkerhetsloven og direktivet. Forsvarsdepartementet skal i løpet av 2011 evaluere sikkerhetsloven med sikte på helhetlig revisjon. I denne sammenheng vil det også være naturlig at forholdet mellom sikkerhetslovens regler om objektsikkerhet og reglene i EPCIP direktivet vurderes nærmere.JD foreslår at ansvaret for identifisering og utpeking av europeisk kritisk infrastruktur plasseres på hvert enkelt departement innen deres myndighetsområde. I de tilfeller der det er et privat rettssubjekt som eier eller råder over EKI, vil ansvaret etter JDs vurdering måtte påhvile det departement som forvalter vedkommende område der virksomheten er tilknyttet. Objekteier plikter imidlertid å foreslå overfor sitt respektive departement hvilke av virksomhetens egne objekter som bør utpekes som europeisk kritisk infrastruktur. Det forutsettes således at den som eier eller råder over EKI skal ta aktivt del i identifiseringen. Det vil også være nødvendig med en vurdering av hvilke materielle konsekvenser direktivet vil ha for Norge. Per i dag er det transport og energi som omfattes av direktivet. Sakkyndige instansers merknaderJD har fra et tidlig stadium fulgt denne saken nøye og bidratt aktivt i Kommisjonens arbeid, blant annet ved å forsyne EU-kommisjonen med en engelsk oversettelse av NOU 2006:6 Når sikkerheten er viktigst og ved å stå for den nasjonale koordineringen av EUs grønnbok for EPCIP. Videre dannet JD – før opprettelsen av Spesialutvalget for samfunnssikkerhet – et eget EPCIP-nettverk med andre berørte departementer, for på den måten å være bedre koordinert i saken. Flere av medlemmene i EPCIP-nettverket har bidratt til utformingen av direktivet, ved at norske eksperter fra blant annet Nasjonal sikkerhetsmyndighet (NSM), Petroleumstilsynet (Ptil), Post- og teletilsynet (PT) og Jernbaneverket har deltatt på arbeidsmøter i regi av Kommisjonen. Problemstillinger i tilknytning til gjennomføring av av EPCIP-direktivet blir behandlet i spesialutvalget for samfunnssikkerhet.
Vurdering
JD vurderer EPCIP-direktivet som EØS-relevant. Vurderingen av EØS-relevansen skal ta utgangspunkt i reglenes betydning for markedsaktørene. Direktivet kan klart nok få betydning for hvordan markedsaktørene skal håndtere beskyttelsen av den kritiske infrastruktur de opererer. Et sentralt formål med direktivet er således å involvere private aktører, se fortalen nr. 8: ”Given the very significant private sector involvement in overseeing and managing risks, business continuity planning and post-disaster recovery, a Community approach needs to encourage full private sector involvement.” Videre vil en aktørs eventuelle neglisjering av sikkerhetskrav med grunnlag i direktivet kunne virke konkurransevridende. Konsekvensene for markedsaktørene kan bli enda tydeligere ved senere utvidelser av direktivets anvendelsesområde, noe direktivet selv legger opp til, se fortalen punkt 5. Direktivet gjelder nå transport- og energisektorene, men det ventes som nevnt at anvendelsesområdet vil utvides til i hvert fall å gjelde for IKT-sektoren. Kjemikalieområdet er også et område som etter hvert kan bli omfattet. Etter JDs vurdering er det i Norges interesse å være nært knyttet til det europeiske samarbeidet om vern av kritisk infrastruktur. Direktivet må ses i sammenheng med andre tiltak for å bedre beskyttelsen av grunnleggende samfunnsfunksjoner, som for eksempel regelverkene om transportsikkerhet, matsikkerhet og produktsikkerhet, som alle er tatt inn i EØS-avtalen. Videre må direktivet ses i sammenheng med regelverket om sikkerhet ved virksomheter der farlige kjemikalier forekommer (storulykkevirksomheter). JD peker også på at det er i Norges interesse å ha et formelt mellomstatlig grunnlag overfor våre EØS-partnere som sikrer at deres kritiske infrastruktur er utpekt og sikret. Etter JDs oppfatning er derfor direktivet om kritisk infrastruktur akseptabelt for Norges del. JD var i mars 2009 i kontakt med UD for å få UDs vurdering av EPCIP-direktivets EØS-relevans og spørsmålet om hvor i EØS-avtalen direktivet skal inntas. Det ble under møtet besluttet at UDs rettsavdeling skulle utarbeide et relevansnotat til Spesialutvalget for samfunnssikkerhet. Konklusjonen i UDs relevansnotat av 20. april 2009 er at EPCIP-direktivet er EØS-relevant. Videre antok UD i relevansnotatet at direktivet ved en eventuell innlemmelse i EØS-avtalen bør inntas i Vedlegg IV Energi, med en kryssreferanse til Vedlegg XIII Transport. Dersom man finner at fremtidige utvidelser av direktivets virkeområde er relevante for innlemmelse i avtalen, vil man måtte innta kryssreferanser også til disse. SU samfunnssikkerhet sluttet seg til Rettsavdelingens vurderinger og standardskjemaet ble 30. april 2009 sendt til EFTA-sekretariatet i tråd med UDs anbefalinger. 30. november 2010 fattet imidlertid underkomite IV en beslutning om at EPCIP direktivet skulle inntas i protokoll 31 i tråd med hva Island og Lichtenstein ønsket. Norge sluttet seg til denne løsningen, men har bedt om at anvendelsen av EØS avtalens del VII, kapittel 3, avsnitt 1 om ensartethet og avsnitt 2 om overvåkning skal gjøres gjeldende (eventuelt med en tilpasningstekst). Dette er nå til vurdering.
Status
8. desember 2008 ble EPCIP-direktivet formelt vedtatt i EU. 5. januar 2009 sendte EFTA-sekretariatet ut et standardskjema, med frist for tilbakemelding 16. februar 2009. JD returnerte standardskjemaet 30. april 2009, med anbefaling om at direktivet inntas i Vedlegg IV Energi, med en kryssreferanse til Vedlegg XIII Transport. 30. november 2010 besluttet imidlertid Underkomite IV at direktivet skal inntas i protokoll 31. Norge har bedt om at anvendelsen av EØS avtalens del VII, kapitel 3, avsnitt 1 og 2 vurderes før direktivet behandles i EØS komiteen.