Übermittelt vom Bundesministerium für Wirtschaft und Technologie am 28. Dezember 2006 gemäß § 2 des Gesetzes über die Zusammenarbeit von Bund und Ländern in Angelegenheiten der Europäischen Union vom 12. März 1993 (BGBl. I S. 313), zuletzt geändert durch das Förderalismusreform-Begleitgesetz vom 5. September 2006 (BGBl. I S. 2098).
Die Kommission der Europäischen Gemeinschaften hat die Vorlage am 12. Dezember 2006 dem Bundesrat zugeleitet.
Die Vorlage ist von der Kommission am 15. Dezember 2006 dem Generalsekretär/Hohen Vertreter des Rates der Europäischen Union übermittelt worden.
Das Europäische Parlament und die Europäische Zentralbank werden an den Beratungen beteiligt.
Hinweis: vgl.
AE-Nr. 043358 und
Drucksache 851/05 (PDF) = AE-Nr. 053205
Begründung
1) Hintergrund des Vorschlags
- Gründe und Ziele des Vorschlags
Auf seiner Tagung vom Juni 2004 beauftragte der Europäische Rat die Kommission mit der Ausarbeitung einer umfassenden Strategie für den Schutz kritischer Infrastrukturen.
Daraufhin nahm die Kommission am 20. Oktober 2004 die Mitteilung "Schutz kritischer Infrastrukturen im Rahmen der Terrorismusbekämpfung" an, in der konkrete Vorschläge zur Stärkung der Prävention, Abwehrbereitschaft und Reaktionsfähigkeit bei terroristischen Anschlägen gegen wichtige Infrastrukturen formuliert wurden.
Die Absicht der Kommission, ein "Europäisches Programm für den Schutz kritischer Infrastrukturen (EPSKI)" vorzuschlagen, wurde vom Rat in dessen Schlussfolgerungen zu Prävention, Abwehrbereitschaft und Reaktionsfähigkeit bei terroristischen Anschlägen sowie in seinem im Dezember 2004 angenommenen "EU-Solidaritätsprogramm zu den Folgen terroristischer Bedrohungen und Anschläge" gebilligt. Der Rat stimmte überdies der von der Kommission geplanten Einrichtung eines Warn- und Informationsnetzes für kritische Infrastrukturen (WINKI) zu.
Im November 2005 nahm die Kommission ein Grünbuch über ein Europäisches Programm für den Schutz kritischer Infrastrukturen an, in dem mögliche politische Strategien zur Verwirklichung des EPSKI und des WINKI aufgezeigt wurden.
Im Dezember 2005 ersuchte der Rat "Justiz und Inneres" die Kommission, bis spätestens Juni 2006 einen Vorschlag für das EPSKI vorzulegen.
Dieser Richtlinienentwurf beinhaltet die von der Kommission vorgeschlagenen Maßnahmen zur Ermittlung und Ausweisung kritischer europäischer Infrastrukturen (KEI) sowie zur Bewertung der Notwendigkeit, ihren Schutz zu verbessern.
- Allgemeiner Kontext
Es gibt in der Europäischen Union eine Reihe wichtiger Infrastrukturen, deren (Zer-)Störung Auswirkungen auf zwei oder mehr Mitgliedstaaten hätte. Auch ist es denkbar, dass der Ausfall einer wichtigen Infrastruktur in einem Mitgliedstaat Auswirkungen in einem anderen Mitgliedstaat nach sich zieht. Derartige wichtige Infrastrukturen mit länderübergreifender Bedeutung müssten als kritische europäische Infrastrukturen (KEI) ausgewiesen werden.
Dazu bedarf es eines gemeinsamen Verfahrens zur Ermittlung und Ausweisung kritischer europäischer Infrastrukturen zur Bewertung der Notwendigkeit, ihren Schutz zu verbessern.
Wegen der genannten länderübergreifenden Bedeutung könnte ein derartiger integrierter und EU-weiter Ansatz zur Ermittlung von Schwachpunkten und Sicherheitslücken eine sinnvolle Ergänzung zu den bestehenden nationalen Programmen zum Schutz wichtiger Infrastrukturen bilden und erheblich zum Fortbestand des europäischen Binnenmarkts und des durch diesen generierten Wohlstands beitragen.
Da es verschiedene Sektoren mit besonderem Erfahrungsschatz, Fachwissen und Anforderungsprofil in Bezug auf den Schutz kritischer Infrastrukturen (SKI) gibt, müsste ein EU-weiter Ansatz für den Ski entwickelt und umgesetzt werden, der den Eigenheiten, die in den einzelnen Sektoren in Bezug auf kritische Infrastrukturen bestehen, Rechnung trägt und auf den bestehenden sektorspezifischen Maßnahmen zum SKI aufbaut. Um die Umsetzung eines solchen sektorspezifischen Vorgehens zu erleichtern, müsste zudem eine gemeinsame Liste sämtlicher Sektoren mit kritischen Infrastrukturen aufgestellt werden.
- Die Notwendigkeit eines gemeinsamen Rahmens
Nur ein gemeinsamer Rahmen kann die erforderliche Grundlage für kohärente und einheitliche Maßnahmen für einen besseren Schutz kritischer europäischer Infrastrukturen sowie für eine klare Festlegung der Aufgaben der zuständigen Stellen bilden. Freiwillige, unverbindliche Maßnahmen würden zwar eine gewisse Flexibilität ermöglichen, aber könnten nie die nötige stabile Grundlage bilden, da die Aufgabenverteilung nicht hinreichend geklärt wäre und auch die Rechte und Pflichten der für die KEI zuständigen Stellen unklar wären.
Ein Verfahren zur Ermittlung und Ausweisung kritischer europäischer Infrastrukturen und ein gemeinsamer Ansatz zur Bewertung der Notwendigkeit eines besseren Schutzes derartiger Infrastrukturen lassen sich daher nur im Wege einer Richtlinie festlegen. Dabei geht es darum,
- - die KEI angemessen zu schützen,
- - gleiche Rechte und Pflichten für die zuständigen Stellen einzuführen, und
- - die Stabilität des Binnenmarkts zu wahren.
Die Beschädigung oder der Ausfall einer Infrastruktureinrichtung in einem Mitgliedstaat kann sich negativ auf andere Mitgliedstaaten und die europäische Wirtschaft insgesamt auswirken.
Dies wird umso wahrscheinlicher, als mit den neuen Technologien (z.B. Internet) und der Liberalisierung der Märkte (z.B. der Gas- und Strommärkte) zahlreiche Infrastrukturen in größere Netze eingebunden werden. In diesem Fall ist der Schutz nicht stärker als das schwächste Glied in der Kette der Schutzmaßnahmen. Ein einheitlicher Schutz ist daher erforderlich.
- Sektorspezifischer Dialog mit allen Beteiligten
Ein wirksamer Schutz setzt Kommunikation, Koordination und Kooperation sowohl auf nationaler als auch auf EU-Ebene unter Einbeziehung aller Beteiligten voraus.
Da die meisten wichtigen Infrastrukturen in privater Hand sind oder privatwirtschaftlich betrieben werden, ist es wichtig, dass die Privatwirtschaft voll eingebunden wird. Jeder KEI-Betreiber muss zur Risikobewältigung fähig sein, da in der Regel allein der Betreiber über
Schutzmaßnahmen und Notfallpläne entscheidet. Dabei sollte sich die Notfallplanung an den normalen Geschäftsabläufen und ihrer Logik orientieren, und die betreffenden Lösungen sollten auf herkömmlichen geschäftlichen Vereinbarungen fußen.
Die einzelnen Sektoren verfügen über einen eigenen Erfahrungsschatz, eigenes Fachwissen und eigene Anforderungen in Bezug auf den Schutz ihrer kritischen Infrastrukturen.
Daher sollte der Privatsektor in Übereinstimmung mit den eingegangenen Antworten zum Grünbuch über ein Europäisches Programm für den Schutz kritischer Infrastrukturen in vollem Umfang in das einschlägige Konzept der EU eingebunden werden, und letzteres müßte zudem den Eigenheiten der einzelnen Sektoren Rechnung tragen und auf den bestehenden sektorspezifischen Schutzmaßnahmen aufbauen.
- Bestehende Rechtsvorschriften auf diesem Gebiet
Auf EU-Ebene gibt es bisher keine horizontalen Rechtsvorschriften über den SKI. Mit der vorliegenden Richtlinie wird ein Verfahren zur Ermittlung und Ausweisung kritischer europäischer Infrastrukturen und ein gemeinsamer Ansatz für die Bewertung der Notwendigkeit eines besseren Schutzes derartiger Infrastrukturen eingeführt.
Es gibt allerdings eine Reihe sektorspezifischer Vorschriften für diesen Bereich, darunter:
- im IT-Bereich
- (a) die "Universaldienstrichtlinie" (2002/22/EG), die sich unter anderem mit der Integrität öffentlicher elektronischer Kommunikationsnetze befasst
- (b) die "Genehmigungsrichtlinie" (2002/20/EG), die sich unter anderem mit der Integrität öffentlicher elektronischer Kommunikationsnetze befasst
- (c) die "Datenschutzrichtlinie für elektronische Kommunikation" (2002/58/EG), die sich unter anderem mit der Sicherheit öffentlicher elektronischer Kommunikationsnetze befasst,
- (d) der Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme,
- (e) die Verordnung (EG) Nr. 460/2004 vom 10. März 2004 zur Errichtung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA),
- im Gesundheitswesen:
- (a) die Entscheidung Nr. 2119/98/EG des Europäischen Parlaments und des Rates vom 24. September 1998 über die Schaffung eines Netzes für die epidemiologische Überwachung und die Kontrolle übertragbarer Krankheiten in der Gemeinschaft,
- (b) die Richtlinie 2003/94/EG der Kommission vom 8. Oktober 2003 zur Festlegung der Grundsätze und Leitlinien der Guten Herstellungspraxis für Humanarzneimittel und für zur Anwendung beim Menschen bestimmte Prüfpräparate,
- im Finanzsektor:
- (a) die Richtlinie 2004/39/EG des Europäischen Parlaments und des Rates vom 21. April 2004 über Märkte für Finanzinstrumente,
- (b) die im Juni 2003 vom Rat der Europäischen Zentralbank (EZB) festgelegten Normen für die Aufsicht von Massenzahlungssystemen,
- (c) die Richtlinie 2006/48/EG des Europäischen Parlaments und des Rates vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute,
- (d) die Richtlinie 2006/49/EG des Europäischen Parlaments und des Rates vom 14. Juni 2006 über die angemessene Eigenkapitalausstattung von Wertpapierfirmen und Kreditinstituten,
- (e) der Vorschlag für eine Richtlinie über Zahlungsdienste im Binnenmarkt und zur Änderung der Richtlinien 97/7/EG, 2000/12/EG und 2002/65/EG (KOM (2005) 603),
- (f) die Richtlinie 2000/46/EG des Europäischen Parlaments und des Rates vom 18. September 2000 über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten,
- (g) die Richtlinie 98/26/EG des Europäischen Parlaments und des Rates vom 19. Mai 1998 über die Wirksamkeit von Abrechnungen in Zahlungs- sowie Wertpapierliefer- und -abrechnungssystemen,
- im Verkehrssektor:
- (a) die Verordnung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen,
- (b) die Verordnung (EG) Nr. 884/2005 der Kommission vom 10. Juni 2005 zur Festlegung von Verfahren für die Durchführung von Luftsicherheitsinspektionen der Kommission im Bereich der Zivilluftfahrt,
- (c) die Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen,
- (d) die Verordnung (EG) Nr. 2320/2002 des Europäischen Parlaments und des Rates vom 16. Dezember 2002 zur Festlegung gemeinsamer Vorschriften für die Sicherheit in der Zivilluftfahrt,
- (e) die Verordnung (EG) Nr. 622/2003 der Kommission vom 4. April 2003 zur Festlegung von Maßnahmen für die Durchführung der gemeinsamen grundlegenden Normen für die Luftsicherheit,
- (f) die Verordnung (EG) Nr. 1217/2003 der Kommission vom 4. Juli 2003 zur Festlegung gemeinsamer Spezifikationen für nationale Qualitätskontrollprogramme für die Sicherheit der Zivilluftfahrt,
- (g) die Verordnung (EG) Nr. 1486/2003 der Kommission vom 22. August 2003 zur Festlegung von Verfahren für die Durchführung von Luftsicherheitsinspektionen der Kommission im Bereich der Zivilluftfahrt,
- (h) die Verordnung (EG) Nr. 068/2004 der Kommission vom 15. Januar 2004 zur Änderung der Verordnung (EG) Nr. 622/2003 der Kommission zur Festlegung von Maßnahmen für die Durchführung der gemeinsamen grundlegenden Normen für die Luftsicherheit,
- (i) die Verordnung (EG) Nr. 849/2004 des Europäischen Parlaments und des Rates vom 29. April 2004 zur Änderung der Verordnung (EG) Nr. 2320/2002 zur Festlegung gemeinsamer Vorschriften für die Sicherheit in der Zivilluftfahrt,
- (j) die Verordnung (EG) Nr. 1138/2004 der Kommission vom 21. Juni 2004 zur Festlegung einer gemeinsamen Definition der sensiblen Teile der Sicherheitsbereiche auf Flughäfen,
- (k) die Verordnung (EG) Nr. 781/2005 der Kommission vom 24. Mai 2005 zur Änderung der Verordnung (EG) Nr. 622/2003 zur Festlegung von Maßnahmen für die Durchführung der gemeinsamen grundlegenden Normen für die Luftsicherheit,
- (1) die Verordnung (EG) Nr. 857/2005 der Kommission vom 6. Juni 2005 zur Änderung der Verordnung (EG) Nr. 622/2003 zur Festlegung von Maßnahmen für die Durchführung der gemeinsamen grundlegenden Normen für die Luftsicherheit,
- (m) die Richtlinie 2001/14/EG über die Zuweisung von Fahrwegkapazität der Eisenbahn,
- (n) die Richtlinie 96/49/EG des Rates vom 23. Juli 1996 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten für die Eisenbahnbeförderung gefährlicher Güter (geändert durch die Richtlinie 2004/110/EG, wobei der RID 2005 angenommen wurde),
- (o) das Übereinkommen über den physischen Schutz von Kernmaterial (1980 unterzeichnet, 1981 Beitritt von Euratom, 1987 in Kraft getreten),
- im Chemiesektor:
- (a) die Richtlinie 96/82/EG des Rates vom 9. Dezember 1996 zur Beherrschung der Gefahren bei schweren Unfällen mit gefährlichen Stoffen ("Seveso-II-Richtlinie", geändert durch die Richtlinie 2003/105/EG des Europäischen Parlaments und des Rates vom 16. Dezember 2003),
- im Nuklearsektor:
- (a) die Richtlinie 089/618/Euratom des Rates vom 27. November 1989 über die Unterrichtung der Bevölkerung über die bei einer radiologischen Notstandssituation geltenden Verhaltensmaßregeln und zu ergreifenden Gesundheitsschutzmaßnahmen,
- (b) die Entscheidung 087/600/Euratom des Rates vom 14. Dezember 1987 über Gemeinschaftsvereinbarungen für den beschleunigten Informationsaustausch im Fall einer radiologischen Notstandssituation.
- Übereinstimmung mit anderen Politikfeldern und Zielen der Europäischen Union
Dieser Vorschlag steht in völliger Übereinstimmung mit den Zielen der Union und insbesondere mit der angestrebten "Erhaltung und Weiterentwicklung der Union als Raum der Freiheit, der Sicherheit und des Rechts, in dem in Verbindung mit geeigneten Maßnahmen in bezug auf die Kontrollen an den Außengrenzen, das Asyl, die Einwanderung sowie die Verhütung und Bekämpfung der Kriminalität der freie Personenverkehr gewährleistet ist".
Dieser Vorschlag steht zudem in Übereinstimmung mit anderen Politikfeldern, da er nicht darauf abstellt, bestehende Maßnahmen zu ersetzen, sondern diese vielmehr mit Blick auf einen besseren Schutz kritischer europäischer Infrastrukturen ergänzen soll.
2) Anhörung interessierter Kreise und Folgenabschätzung
- - Anhörung interessierter Kreise
Zur Konsultierung interessierter Kreise bezüglich der Entwicklung des Europäischen Programms für den Schutz kritischer Infrastrukturen sind folgende Maßnahmen ergriffen worden:
- - Annahme des einschlägigen Grünbuchs am 17. November 2005 (Konsultationsphase bis 15. Januar 2006).
Insgesamt 22 Mitgliedstaaten haben offizielle Antworten übermittelt, und rund 100 Vertreter des Privatsektors haben Anmerkungen zum Grünbuch eingereicht. Der Vorschlag, ein Europäisches Programm für den Schutz kritischer Infrastrukturen aufzulegen, wurde in diesen Antworten zumeist positiv bewertet.
- - Drei Seminare der Kommission zum Thema Schutz kritischer Infrastrukturen (Juni 2005, September 2005 und März 2006), an denen Vertreter der Mitgliedstaaten teilnahmen.
Zu den Seminaren im September 2005 und März 2006 wurden auch Vertreter des Privatsektors eingeladen.
- - Informelle Zusammenkünfte der SKI-Kontaktstellen.
Die Kommission hat (im Dezember 2005 und im Februar 2006) zwei Zusammenkünfte für die SKI-Kontaktstellen der Mitgliedstaaten veranstaltet.
- - Informelle Zusammenkünfte mit Vertretern des Privatsektors.
Es wurden zahlreiche informelle Zusammenkünfte mit Vertretern bestimmter Privatunternehmen sowie mit Wirtschaftsverbänden veranstaltet.
- - Kommissionsinterne Weiterentwicklung des EPSKI im Rahmen der regelmäßigen Sitzungen der Untergruppe "Schutz kritischer Infrastrukturen" der dienststellenübergreifenden Arbeitsgruppe "Interne Aspekte des Terrorismus".
- - Einholung und Nutzung von Expertenwissen
Im Rahmen zahlreicher Zusammenkünfte und Seminare in den Jahren 2004, 2005 und 2006 sowie der Konsultation zum einschlägigen Grünbuch ist das benötigte Expertenwissen eingeholt worden. Außerdem sind Informationen von allen Beteiligten eingeholt worden.
- - Folgenabschätzung
Die Folgenabschätzung zum EPSKI liegt im Anhang bei.
3) Rechtliche Aspekte des Vorschlags
- - Zusammenfassung der vorgeschlagenen Maßnahmen
Der Vorschlag bezweckt die Schaffung eines horizontalen Rahmens für die Ermittlung und Ausweisung kritischer europäischer Infrastrukturen sowie für die Bewertung der Notwendigkeit, ihren Schutz zu verbessern.
- - Rechtsgrundlage
Der Vorschlag stützt sich auf Artikel 308 EG-Vertrag.
- - Subsidiaritätsprinzip
Dem Subsidiaritätsgrundsatz wird insofern genüge getan, als die vorgeschlagenen Maßnahmen nicht von den Mitgliedstaaten allein durchgeführt und daher auf EU-Ebene ergriffen werden müssen. Es ist zwar jeder Mitgliedstaat selbst dafür verantwortlich, die kritischen Infrastrukturen in seinem Hoheitsgebiet zu schützen, aber für die Sicherheit in der Europäischen Union ist es von entscheidender Bedeutung, Infrastrukturen, die Auswirkungen auf zwei oder mehr Mitgliedstaaten haben oder sich auf einen anderen Mitgliedstaat auswirken können, ausreichend zu schützen und dafür zu sorgen, dass Sicherheitsmängel oder niedrigere Sicherheitsstandards in einem Mitgliedstaat nicht anderen Mitgliedstaaten zum Nachteil gereichen können. Mit der Angleichung der Sicherheitsvorschriften würde zudem ein Beitrag zur Stabilität des Wettbewerbs im Binnenmarkts geleistet.
- - Grundsatz der Verhältnismäßigkeit
Dieser Vorschlag geht nicht über das zur Erreichung der angestrebten Verbesserung des Schutzes kritischer europäischer Infrastrukturen erforderliche Maß hinaus. Er sieht im Wesentlichen vor, dass ein grundlegendes Verfahren für die Koordinierung auf EU-Ebene eingeführt wird, die Mitgliedstaaten zur Ermittlung ihrer kritischen Infrastrukturen verpflichtet werden, grundlegende Sicherheitsmaßnahmen für wichtige Infrastrukturen ergriffen werden und schließlich eine Ermittlung und Ausweisung der wichtigsten europäischen Infrastrukturen erfolgt. Zu diesem Zweck beinhaltet der Vorschlag ein Mindestmaß an Anforderungen, auf deren Grundlage die Verbesserung des SKI in Angriff genommen werden kann. Dieses Ziel ließe sich durch andere Maßnahmen wie den Erlass einschlägiger Leitlinien nicht hinreichend verwirklichen, weil dabei weder die Verbesserung des Schutzes in der gesamten EU noch die volle Mitwirkung aller Beteiligten sichergestellt wäre.
- - Wahl des Instruments
Die Mitgliedstaaten verfolgen beim SKI unterschiedliche Ansätze und haben auch unterschiedliche Rechtsvorschriften für diesen Bereich. Zur Einführung eines gemeinsamen Verfahrens für die Ermittlung und Ausweisung kritischer europäischer Infrastrukturen und eines gemeinsamen Ansatzes für die Bewertung der Notwendigkeit, den Schutz dieser Infrastrukturen zu verbessern, eignet sich daher am besten eine Richtlinie.
4) Auswirkungen auf den Haushalt
Die voraussichtlichen Auswirkungen auf den Haushalt werden im beiliegenden Finanzbogen erläutert.
Das im Rahmen des allgemeinen Programms "Sicherheit und Schutz der Freiheitsrechte" für den Zeitraum 2007 bis 2013 aufgelegte Programm "Prävention, Abwehrbereitschaft und Folgenbewältigung im Zusammenhang mit Terrorakten und anderen sicherheitsbezogenen Risiken" für den Zeitraum 2007-2013 wird zur Umsetzung dieser Richtlinie insofern beitragen als es auf den Schutz des Menschen gegen Sicherheitsrisiken und auf den Schutz von physischen Ressourcen, von Dienstleistungen sowie von IT-Einrichtungen, -Netzen und -Infrastrukturen, deren (Zer-)Störung schwerwiegende Auswirkungen auf wichtige gesellschaftliche Funktionen hätte, abstellt.
Dieses Programm deckt keine Sachverhalte ab, die durch andere Finanzierungsinstrumente und insbesondere das Krisenbereitschaftsinstrument und den EU-Solidaritätsfonds erfaßt sind.
5) Ergänzende Informationen
- Aufhebung geltender Rechtsvorschriften
Eine Aufhebung geltender Rechtsvorschriften ist nicht erforderlich.
- Einzelerläuterung zum Vorschlag
Artikel 1 befasst sich mit dem Gegenstand der Richtlinie. Durch die Richtlinie wird ein gemeinsames Verfahren zur Ermittlung und Ausweisung kritischer europäischer Infrastrukturen eingeführt, worunter Infrastrukturen zu verstehen sind, deren (Zer-)Störung Auswirkungen auf zwei oder mehr Mitgliedstaaten bzw. einen anderen Mitgliedstaat als den, in dem sie sich befinden, hätte. Ferner wird durch die Richtlinie ein gemeinsamer Ansatz zur Bewertung der Notwendigkeit eines besseren Schutzes kritischer europäischer Infrastrukturen derartiger Infrastrukturen geschaffen. Durch diese Bewertung soll die Entwicklung besonderer Schutzmaßnahmen in den einzelnen SKI-Sektoren erleichtert werden.
Artikel 2 enthält grundlegende Begriffsbestimmungen für die Richtlinie.
Artikel 3 regelt das Verfahren zur Ermittlung "kritischer europäischer Infrastrukturen" (KEI), d.h. von Infrastrukturen, deren (Zer-)Störung Auswirkungen auf zwei oder mehr Mitgliedstaaten bzw. einen anderen Mitgliedstaat als den, in dem sie sich befinden, hätte. Das Verfahren besteht aus drei Schritten: Zunächst entwickeln die Mitgliedstaaten gemeinsam mit der Kommission und den zuständigen Stellen sowohl sektorspezifische als auch sektorübergreifende Kriterien für die Ermittlung kritischer europäischer Infrastrukturen, die im Rahmen des Komitologieverfahrens angenommen werden. Die sektorübergreifenden Kriterien richten sich nach der Schwere der (Zer-)Störung. Bei der Abschätzung der Frage, wie gravierend die Folgen einer (Zer-)Störung einer gegebenen Infrastruktur sind, sollten nach Möglichkeit folgende Auswirkungen berücksichtigt werden:
- - die Auswirkungen auf die Öffentlichkeit (Zahl der betroffenen Bürger),
- - die wirtschaftlichen Auswirkungen (Schwere des wirtschaftlichen Verlusts und/oder Minderung der Qualität von Erzeugnissen oder Dienstleistungen),
- - die Auswirkungen auf die Umwelt,
- - die politischen Auswirkungen,
- - die psychologischen Auswirkungen, und
- - die gesundheitlichen Auswirkungen.
Sodann ermittelt jeder Mitgliedstaat die diesen Kriterien genügenden Infrastrukturen. Zuletzt teilt jeder Mitgliedstaat der Kommission mit, welche wichtigen Infrastrukturen die festgelegten Kriterien erfüllen. Die diesbezüglichen Arbeiten werden in den alljährlich von der Kommission aus den in Anhang I aufgelisteten Sektoren als vorrangig auswählten SKI-Sektoren durchgeführt. Die Liste der SKI-Sektoren in Anhang I kann nach dem Komitologieverfahren geändert werden, sofern dadurch nicht der sachliche Geltungsbereich der Richtlinie ausgeweitet wird. So kann die Liste insbesondere geändert werden, um sie inhaltlich klarzustellen. Zu den vorrangigen Sektoren, in denen ein sofortiges Handeln erforderlich ist, zählt die Kommission mit an erster Stelle die Bereiche Verkehr und Energie.
Artikel 4 regelt das Verfahren zur Ausweisung von KEI: Nach Abschluss des Verfahrens nach Artikel 3 entwirft die Kommission eine auf den Mitteilungen der Mitgliedstaaten und sachdienlichen Informationen der Kommission basierende Liste von KEI. Die Liste wird sodann im Rahmen des Komitologieverfahrens angenommen.
Artikel 5 schreibt vor, dass alle Eigentümer/Betreiber wichtiger, als KEI ausgewiesener Infrastrukturen Sicherheitspläne aufstellen müssen, in denen die betreffenden Infrastrukturen und die für ihren Schutz vorgesehenen Sicherheitsmaßnahmen aufzuführen sind. Die in den Sicherheitsplänen zu machenden Mindestangaben sind im Anhang II aufgeführt. Sie schließen u.a. folgendes ein:
- - die Angabe der betreffenden kritischen Infrastrukturen,
- - eine sich auf die wichtigsten Bedrohungsszenarien, die Anfälligkeit der einzelnen kritischen Infrastrukturen und die möglichen Auswirkungen beziehende Gefahrenabschätzung,
- - die Feststellung, Auswahl und Priorisierung von Gegenmaßnahmen und Verfahren. Dabei ist zu unterscheiden zwischen
- - permanenten Sicherheitsvorkehrungen, die unerlässliche Sicherheitsinvestitionen und Vorkehrungen umfassen, welche von den Eigentümern/Betreibern nicht kurzfristig bereitgestellt werden können. Hierunter fallen Informationen über Maßnahmen allgemeiner Art, technische Maßnahmen (einschließlich Erkennungssysteme, Zugangskontrollen sowie Schutz- und Vorbeugungseinrichtungen), organisatorische Maßnahmen (einschließlich der Verfahren für den Alarmfall und die Krisenbewältigung), Überwachungs- und Überprüfungsmaßnahmen, Kommunikation, Sensibilisierung und Ausbildung sowie die Sicherung von Informationssystemen; und
- - abgestuften Sicherheitsvorkehrungen, die je nach Risiko und Bedrohung ergriffen werden.
In jedem SKI-Sektor können sektorspezifische Sicherheitspläne nach Maßgabe der in Anhang II genannten Mindestanforderungen aufgestellt und im Rahmen des Komitologieverfahrens angenommen werden.
Sektoren, für die bereits derartige Bestimmungen gelten, können nach Artikel 5 Absatz 2 durch einen im Wege des Komitologieverfahrens erlassenen Beschluss von den sich auf die Sicherheitspläne beziehenden Pflichten ausgenommen werden. Es wird anerkannt, dass die Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen bereits die Anforderung, dass ein Sicherheitsplan aufzustellen ist, erfüllt.
Jeder Eigentümer/Betreiber von KEI muß, sobald er einen Sicherheitsplan aufgestellt hat, diesen der zuständigen Behörde des betreffenden Mitgliedstaats übermitteln. Jeder Mitgliedstaat hat für die Sicherheitspläne ein Überwachungssystem einzurichten, welches sicherstellt dass der betreffende Eigentümer/Betreiber von KEI eine geeignete Rückmeldung bezüglich der Qualität des von ihm vorgelegten Sicherheitsplans und insbesondere der Risiko- und Gefahrenabschätzung erhält.
Artikel 6 sieht vor, dass alle Eigentümer/Betreiber wichtiger, als KEI ausgewiesener Infrastrukturen einen Sicherheitsbeauftragten ernennen. Letzterer fungiert als Ansprechpartner in Sicherheitsfragen zwischen den KEI und den für den SKI zuständigen Behörden in den Mitgliedstaaten. Die Behörden der Mitgliedstaaten teilen ihm sachdienliche Informationen über den SKI mit, und er widerum übermittelt sachdienliche Informationen von den KEI an den betreffenden Mitgliedstaat.
Artikel 7 regelt die Berichterstattung: Jeder Mitgliedstaat hat eine Risiko- und Gefahrenabschätzung zu KEI vorzunehmen. Diese dient als Grundlage für den in Artikel 5 vorgesehenen Dialog zwischen den KEI und den Mitgliedstaaten über Sicherheitsfragen (Überwachung). Da Artikel 5 vorsieht, dass die Eigentümer/Betreiber von KEI Sicherheitspläne aufstellen und den Behörden der Mitgliedstaaten übermitteln, wird jeder Mitgliedstaat verpflichtet, eine allgemeine Übersicht der verschiedenen Schwachpunkte, Bedrohungen und Risiken in den einzelnen SKI-Sektoren zu erstellen und der Kommission zu übermitteln. Diese bildet dann die Grundlage für die von der Kommission vorgenommene Bewertung, ob zusätzliche Schutzmaßnahmen erforderlich sind. Zudem kann sie für spätere Folgenabschätzungen für künftige Rechtsvorschläge für diesen Bereich herangezogen werden.
Dieser Artikel sieht ferner vor, dass gemeinsame Methoden für die Bewertung von Risiken, Bedrohungen und Schwachstellen im Zusammenhang mit KEI entwickelt und im Rahmen des Komitologieverfahrens angenommen werden.
Artikel 8 sieht vor, dass die Kommission die Eigentümer/Betreiber von KEI unterstützt, indem sie sie über bewährte Praktiken und Methoden zum SKI informiert. Die Kommission wird sich verpflichten, derartige Informationen aus unterschiedlichen Quellen (Mitgliedstaaten, eigene Arbeiten) einzuholen und den betroffenen Eigentümer/Betreiber von KEI zur Verfügung zu stellen.
Artikel 9 sieht vor, dass jeder Mitgliedstaat zur Gewährleistung der Zusammenarbeit und der Absprache in Fragen des SKI eine Kontaktstelle benennt, die derartige Fragen in dem betreffenden Mitgliedstaat, mit anderen Mitgliedstaaten und mit der Kommission koordiniert.
Artikel 10 regelt die Behandlung und den Austausch von vertraulichen Informationen über den SKI, einem ebenso sensiblen wie wichtigen Aspekt des SKI. So sieht die Richtlinie vor, dass die Kommission und die Mitgliedstaaten geeignete Maßnahmen zum Schutz dieser Informationen ergreifen. Alle Mitglieder des Personals, die mit vertraulichen Informationen über den SKI umgehen, müssen eine angemessene Sicherheitsüberprüfung durch die Behörden des betreffenden Mitgliedstaats durchlaufen haben.
Artikel 11 regelt die Durchführung bestimmter Aspekte der Richtlinie durch das Komitologieverfahren. Der zu diesem Zweck eingesetzte Ausschuss soll sich aus den Kontaktstellen für den SKI zusammensetzen, und zur Regelung der in Artikel 5 Absatz 2 vorgesehenen Möglichkeit der Ausnahme bestimmter Sektoren von der Pflicht, einen Sicherheitsplan aufzustellen, soll auf das Beratungsverfahren zurückgegriffen werden.
Das Regelungsverfahren ist für folgende Aspekte vorgesehen:
- - Artikel 3 Absatz 1 - Annahme sektorübergreifender und sektorspezifischer Kriterien für die Ermittlung von KEI,
- - Artikel 3 Absatz 2 - Änderungen der Liste der SKI-Sektoren (Anhang I),
- - Artikel 4 Absatz 2 - Annahme der KEI-Liste,
- - Artikel 5 Absatz 2 - Ausarbeitung sektorspezifischer Anforderungen an die Sicherheitspläne,
- - Artikel 7 Absatz 2 - Ausarbeitung einer Vorlage für allgemeine Berichte über Risiken, Bedrohungen und Schwachstellen,
- - Artikel 7 Absatz 4 - Ausarbeitung gemeinsamer Methoden für die Bewertung von Risiken, Bedrohungen und Schwachstellen.
Vorschlag für eine Richtlinie des Rates über die Ermittlung und Ausweisung kritischer europäischer Infrastrukturen und die Bewertung der Notwendigkeit, ihren Schutz zu verbessern (Text mit Bedeutung für den EWR)
Der Rat der Europäischen Union - gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 308, gestützt auf den Vertrag zur Gründung der Europäischen Atomgemeinschaft, insbesondere auf Artikel 203, auf Vorschlag der Kommission1, nach Stellungnahme des Europäischen Parlaments2, nach Stellungnahme der Europäischen Zentralbank3, in Erwägung nachstehender Gründe:
- (1) Auf seiner Tagung vom Juni 2004 ersuchte der Europäische Rat um die Ausarbeitung einer umfassenden Strategie für den Schutz kritischer Infrastrukturen4. Daraufhin nahm die Kommission am 20. Oktober 2004 die Mitteilung "Schutz kritischer Infrastrukturen im Rahmen der Terrorismusbekämpfung5 an, in der konkrete Vorschläge zur Stärkung der Prävention, Abwehrbereitschaft und Reaktionsfähigkeit bei terroristischen Anschlägen gegen wichtige Infrastrukturen formuliert wurden.
- (2) Am 17. November 2005 nahm die Kommission ein Grünbuch über ein Europäisches Programm für den Schutz kritischer Infrastrukturen6 an, in dem mögliche politische Strategien zur Verwirklichung des Programms sowie des Warn- und Informationsnetzes für kritische Infrastrukturen (WINKI) aufgezeigt wurden. In den Reaktionen auf das Grünbuch kam deutlich die Notwendigkeit eines Gemeinschaftsrahmens für den Schutz kritischer Infrastrukturen zum Ausdruck. Zudem wurde darauf hingewiesen, dass die Möglichkeiten zum Schutz kritischer Infrastrukturen in ganz Europa verbessert und bestehende Schwachstellen derartiger Infrastrukturen beseitigt werden müssen. Ferner wurde unterstrichen, dass dies nach Maßgabe des Subsidiaritätsprinzips und im Dialog mit den zuständigen Stellen geschehen sollte.
- (3) Im Dezember 2005 ersuchte der Rat "Justiz und Inneres" die Kommission, einen Vorschlag für ein Europäisches Programm für den Schutz kritischer Infrastrukturen vorzulegen der sämtliche denkbaren Risiken abdeckte und vorrangig auf die Bekämpfung terroristischer Bedrohung abstellte. Ein derartiger Ansatz zum Schutz kritischer Infrastrukturen sollte sowohl von Menschen ausgehende technologische Bedrohungen als auch die Möglichkeit von Naturkatastrophen berücksichtigen. Vor allem jedoch sollte er sich mit der Gefahr möglicher Terroranschläge befassen. Wenn in einem Sektor mit wichtigen Infrastrukturen die betreffenden Schutzmaßnahmen als der Bedrohung angemessen erachtet werden, können und müssen sich die zuständigen Stellen anderen Bedrohungen, für die sie noch anfällig sind, zuwenden.
- (4) Für den Schutz kritischer Infrastrukturen sind bisher in erster Linie die Mitgliedstaaten und die Eigentümer/Betreiber derartiger Infrastrukturen verantwortlich. Dies sollte auch so bleiben.
- (5) Es gibt in der Gemeinschaft eine Reihe wichtiger Infrastrukturen, deren (Zer-)Störung Auswirkungen auf zwei oder mehr Mitgliedstaaten oder auf einen anderen Mitgliedstaat, als dem, in welchem sie sich befinden, hätte. Dies gilt auch für grenz- und sektorübergreifende Auswirkungen von Abhängigkeiten zwischen miteinander verbundenen Infrastrukturen. Derartige kritische europäische Infrastrukturen müssen nach einem gemeinsamen Verfahren ermittelt und als solche ausgewiesen werden. Zudem sollte ein gemeinsamer Rahmen für die Bewertung der Notwendigkeit, den Schutz derartiger Infrastrukturen zu verbessern, festgelegt werden. Die bilaterale Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet des Schutzes kritischer Infrastrukturen ist ein fest etabliertes und wirksames Mittel zum Schutz wichtiger grenzübergreifender Strukturen. Das Europäische Programm für den Schutz kritischer Infrastrukturen sollte auf dieser Zusammenarbeit aufbauen.
- (6) Da es verschiedene Sektoren mit besonderem Erfahrungsschatz, Fachwissen und Anforderungsprofil in Bezug auf den Schutz kritischer Infrastrukturen gibt, sollte ein EU-weiter Ansatz für einen derartigen Schutz entwickelt und umgesetzt werden, der den Eigenheiten der einzelnen Sektoren und den bestehenden sektorspezifischen Maßnahmen (einschließlich der bereits auf EU-Ebene, auf nationaler Ebene oder auf regionaler Ebene bestehenden Maßnahmen sowie etwaiger bestehender und hierfür relevanter grenzübergreifender Amtshilfeabkommen zwischen Eigentümern/ Betreibern kritischer Infrastrukturen) Rechnung trägt. Da der Privatsektor eine sehr wichtige Rolle bei der Risikobeherrschung und -bewältigung, der Notfallplanung und den Wiederherstellungsmaßnahmen nach Katastrophen spielt, müßte ein solcher Ansatz der Gemeinschaft auf die vollständige Einbindung des Privatsektors in die geplanten Maßnahmen abstellen. Um die Umsetzung eines solchen sektorspezifischen Ansatzes zu erleichtern, müsste zudem eine gemeinsame Liste sämtlicher Sektoren mit kritischen Infrastrukturen erstellt werden.
- (7) Jeder Eigentümer/Betreiber kritischer europäischer Infrastrukturen sollte einen Sicherheitsplan aufstellen, in dem die betreffenden Infrastrukturen und die für ihren Schutz vorgesehenen Sicherheitsmaßnahmen aufgeführt sind. Dieser Sicherheitsplan sollte Anfälligkeits-, Gefahren- und Risikoabschätzungen sowie anderen sachdienlichen von den Mitgliedstaaten übermittelten Informationen Rechnung tragen.
- (8) Jeder Eigentümer/Betreiber kritischer Infrastrukturen sollte, um die Zusammenarbeit und die Kommunikation mit den für den Schutz kritischer Infrastrukturen zuständigen nationalen Behörden zu erleichtern, einen Sicherheitsbeauftragten ernennen.
- (9) Eine effiziente Ermittlung sektorspezifischer Risiken, Bedrohungen und Schwachpunkte setzt voraus, dass die Eigentümer/Betreiber kritischer europäischer Infrastrukturen mit den Mitgliedstaaten und die Mitgliedstaaten mit der Kommission kommunizieren. Daher sollte jeder Mitgliedstaat Informationen über kritische europäische Infrastrukturen in seinem Hoheitsgebiet sammeln. Alle Mitgliedstaaten sollten der Kommission allgemeine Informationen über bestehende Schwachstellen, Bedrohungen und Risiken sowie gegebenenfalls über mögliche Mängel und sektorübergreifende Abhängigkeiten übermitteln. Anhand dieser Informationen sollten sodann soweit erforderlich, einschlägige Vorschläge zur Verbesserung des Schutzes kritischer Infrastrukturen ausgearbeitet werden.
- (10) Um die Verbesserung des Schutzes kritischer europäischer Infrastrukturen zu erleichtern sollten gemeinsame Methoden für die Ermittlung und Klassifizierung von Schwachstellen, Bedrohungen und Risiken, die in Bezug auf wichtige Infrastrukturen bestehen entwickelt werden.
- (11) Nur ein gemeinsamer Rahmen kann die erforderliche Grundlage für kohärente Maßnahmen zum Schutz kritischer europäischer Infrastrukturen und eine klare Festlegung der Aufgaben der zuständigen Stellen bilden. Die Eigentümer/Betreiber kritischer europäischer Infrastrukturen sollten Zugang zu Informationen über bewährte Praktiken und Methoden für den Schutz kritischer Infrastrukturen erhalten.
- (12) Ein wirksamer Schutz kritischer Infrastrukturen setzt Kommunikation, Koordination und Kooperation sowohl auf nationaler als auch auf EU-Ebene voraus. Dies läßt sich am besten durch die Ausweisung von Kontaktstellen zu Fragen des Schutzes solcher Infrastrukturen erreichen, die derartige Fragen untereinander sowie mit den Mitgliedstaaten und der Kommission koordinieren.
- (13) Um auch in Bereichen, in denen die Vertraulichkeit gewahrt bleiben muss, Maßnahmen zum Schutz kritischer Infrastrukturen entwickeln zu können, sollte im Rahmen dieser Richtlinie ein kohärenter und sicherer Informationsaustausch vorgesehen werden. Es gibt bestimmte Informationen über den Schutz wichtiger Infrastrukturen, deren Offenlegung den Schutz des öffentlichen Interesses an der Wahrung der öffentlichen Sicherheit unterminieren würde. So sollten bestimmte Informationen über wichtige Infrastrukturen, die zur Planung und Durchführung von Handlungen mit nicht hinnehmbaren Folgen für kritische Infrastrukturen mißbraucht werden könnten, sowohl auf Gemeinschaftsebene als auch auf Ebene der Mitgliedstaaten unter Verschluß gestellt und nur Personen, die von ihnen Kenntnis haben müssen, zugänglich gemacht werden.
- (14) Der Austausch von Informationen über wichtige Infrastrukturen sollte in einem Klima des Vertrauens und der Sicherheit erfolgen. Die betreffenden Unternehmen und Organisationen müssen darauf vertrauen können, dass die von ihnen mitgeteilten "sensiblen" Daten ausreichend geschützt werden. Um einen solchen Informationsaustausch über wichtige Infrastrukturen anzuregen, sollte der Wirtschaft klar gemacht werden, dass die Vorteile, die sich aus der Übermittlung von Informationen über wichtige Infrastrukturen ergeben, im Verhältnis zu den Kosten, die der Wirtschaft und generell der gesamten Gesellschaft dadurch entstehen, überwiegen.
- (15) Diese Richtlinie soll die auf Gemeinschaftsebene und in den Mitgliedstaaten bestehenden sektorspezifischen Maßnahmen ergänzen. Sofern auf Gemeinschaftsebene bereits derartige Mechanismen vorhanden sind, sollten diese weiter genutzt werden, um zur Umsetzung dieser Richtlinie beizutragen.
- (16) Die zur Durchführung dieser Richtlinie erforderlichen Maßnahmen sollten gemäß dem Beschluss 1999/468/EG des Rates vom 28. Juni 1999 zur Festlegung der Modalitäten für die Ausübung der der Kommission übertragenen Durchführungsbefugnisse7 erlassen werden.
- (17) Da die Ziele dieser Richtlinie, nämlich die Einführung eines Verfahrens zur Ermittlung und Ausweisung kritischer europäischer Infrastrukturen und eines gemeinsamen Ansatzes für die Bewertung der Notwendigkeit, den Schutz derartiger Infrastrukturen zu verbessern, auf der Ebene der Mitgliedstaaten nicht ausreichend erreicht werden können und daher wegen ihres Umfangs besser auf Gemeinschaftsebene erreicht werden können, kann die Gemeinschaft gemäß dem in Artikel 5 des Vertrags festgelegten Subsidiaritätsprinzip tätig werden. Im Einklang mit dem in dem genannten Artikel festgelegten Proportionalitätsprinzip geht diese Verordnung nicht über das zur Verwirklichung dieser Ziele erforderliche Maß hinaus.
- (18) Diese Richtlinie steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden.
Hat folgende Richtlinie erlassen:
Artikel 1
Gegenstand
Durch diese Richtlinie wird ein Verfahren zur Ermittlung und Ausweisung kritischer europäischer Infrastrukturen sowie ein gemeinsamer Ansatz für die Bewertung der Notwendigkeit, ihren Schutz zu verbessern, eingeführt.
Artikel 2
Begriffsbestimmungen
Für diese Richtlinie gelten folgende Begriffsbestimmungen:
- a) "kritische Infrastrukturen": Infrastrukturen oder Teile von Infrastrukturen, die von wesentlicher Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen einschließlich der Versorgungskette sowie der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehendens der Bevölkerung sind;
- b) "kritische europäische Infrastrukturen": kritische Infrastrukturen, deren Störung oder Zerstörung schwer wiegende Auswirkungen auf zwei oder mehr Mitgliedstaaten oder einen anderen Mitgliedstaat, als dem, indem sie sich befinden, zur Folge hätte, einschließlich Auswirkungen sektorübergreifender Abhängigkeiten auf andere Infrastrukturen;
- c) "Schwere": der Grad der Auswirkungen einer Störung oder Zerstörung einer gegebenen Infrastruktur, insbesondere der
- (a) Auswirkungen auf die Öffentlichkeit (Zahl der betroffenen Bürger),
- (b) wirtschaftlichen Auswirkungen (Schwere des wirtschaftlichen Verlusts und/oder Minderung der Qualität von Erzeugnissen oder Dienstleistungen),
- (c) Auswirkungen auf die Umwelt,
- (d) politischen Auswirkungen,
- (e) psychologischen Auswirkungen,
- (f) gesundheitlichen Auswirkungen;
- d) "Schwachstelle": ein Merkmal eines Bestandteils der Konzeption, der Nutzung oder des Funktionierens einer kritischen Infrastruktur, aufgrund dessen eine Störung oder Zerstörung durch eine Bedrohung möglich ist, einschließlich Abhängigkeiten von anderen Infrastrukturen;
- e) "Bedrohung": Anzeichen, Umstände oder Ereignisse, die kritische Infrastrukturen oder deren Bestandteile stören oder zerstören können;
- f) "Risiko": die Möglichkeit von Verlusten, Schäden oder Verletzungen, wobei die Höhe des Risikos vom Wert, den der Eigentümer/Betreiber der betreffenden Infrastruktur beimisst, den etwaigen Folgen eines Verlusts oder einer Änderung der betreffenden Infrastruktur und der Wahrscheinlichkeit, dass eine bestimmte Schwachstelle von einer spezifischen Bedrohung genutzt wird, abhängt;
- g) "Informationen über den Schutz kritischer Infrastrukturen": kritische Infrastrukturen betreffende Informationen, die im Fall ihrer Offenlegung zur Planung und Durchführung von Handlungen mißbraucht werden könnten, welche den Ausfall kritischer Infrastrukturen oder nicht hinnehmbare Folgen für kritische Infrastrukturen zur Folge hätten.
Artikel 3
Ermittlung kritischer europäischer Infrastrukturen
- 1. Die für die Ermittlung kritischer europäischer Infrastrukturen zu verwendenden sektorübergreifenden und sektorspezifischen Kriterien werden nach dem in Artikel 11 Absatz 3 genannten Verfahren angenommen. Sie können in Übereinstimmung mit dem in Artikel 11 Absatz 3 genannten Verfahren geändert werden.
Bei der Ausarbeitung der sektorübergreifenden Kriterien, die horizontal auf sämtliche Sektoren mit kritischen Infrastrukturen angewendet werden sollen, wird der Schwere der Auswirkungen einer Störung oder Zerstörung der einzelnen Infrastrukturen Rechnung getragen. Die Kriterien werden spätestens [ein Jahr nach Inkrafttreten dieser Richtlinie] angenommen.
Die sektorspezifischen Kriterien werden für vorrangige Sektoren, unter Berücksichtigung der Eigenheiten der einzelnen Sektoren mit kritischen Infrastrukturen sowie gegebenenfalls unter Beteiligung der Betroffenen ausgearbeitet. Sie werden für jeden vorrangigen Sektor spätestens ein Jahr nach dessen Ausweisung als vorrangiger Sektor angenommen.
- 2. Die vorrangigen Sektoren, die für die Ausarbeitung der in Absatz 1 genannten Kriterien herangezogen werden sollen, werden jährlich von der Kommission aus den in Anhang I genannten Sektoren ausgewählt.
Anhang I kann in Übereinstimmung mit dem in Artikel 11 Absatz 3 genannten Verfahren geändert werden, sofern dadurch nicht der sachliche Geltungsbereich dieser Richtlinie ausgeweitet wird.
- 3. Jeder Mitgliedstaat ermittelt die kritischen Infrastrukturen auf seinem Hoheitsgebiet und kritische Infrastrukturen außerhalb seines Hoheitsgebiets, die sich auf diese auswirken können, welche die nach Maßgabe der Absätze 1 und 2 angenommenen Kriterien erfüllen.
Jeder Mitgliedstaat teilt der Kommission die auf diese Weise ermittelten kritischen Infrastrukturen spätestens ein Jahr nach der Annahme der einschlägigen Kriterien und danach kontinuierlich mit.
Artikel 4
Ausweisung kritischer europäischer Infrastrukturen
- 1. Auf der Grundlage der gemäß Artikel 3 Absatz 3 Unterabsatz 2 mitgeteilten und sonstigen ihr zur Verfügung stehenden Informationen entwirft die Kommission eine Liste kritischer Infrastrukturen, die als kritische europäische Infrastrukturen ausgewiesen werden sollen.
- 2. Die Liste der als kritische europäische Infrastrukturen ausgewiesenen kritischen Infrastrukturen wird nach dem in Artikel 11 Absatz 3 genannten Verfahren angenommen.
Die Liste kann in Übereinstimmung mit dem in Artikel 11 Absatz 3 genannten Verfahren geändert werden.
Artikel 5
Sicherheitspläne
- 1. Jeder Mitgliedstaat verpflichtet die Eigentümer/Betreiber der kritischen europäischen Infrastrukturen in seinem Hoheitsgebiet, einen Sicherheitsplan aufzustellen, zu aktualisieren und mindestens alle zwei Jahre zu überprüfen.
- 2. In dem Sicherheitsplan werden die wesentlichen Bestandteile der einzelnen kritischen europäischen Infrastrukturen aufgeführt und einschlägige Sicherheitsmaßnahmen zu ihrem Schutz nach Anhang II festgelegt. In Übereinstimmung mit dem in Artikel 11 Absatz 3 genannten Verfahren können sektorspezifische den bestehenden Gemeinschaftsmaßnahmen Rechnung tragende Anforderungen an den Sicherheitsplan angenommen werden.
Die Kommission kann in Übereinstimmung mit dem in Artikel 11 Absatz 2 genannten Verfahren beschließen, dass der Pflicht, einen Sicherheitsplan aufzustellen und zu aktualisieren, durch Erfüllung der für bestimmte, in Anhang I aufgeführte Sektoren geltenden Maßnahmen Genüge getan wird.
- 3. Jeder Eigentümer/Betreiber einer kritischen europäischen Infrastruktur legt den von ihm erstellten Sicherheitsplan binnen eines Jahres nach der Ausweisung als kritische europäische Infrastruktur der zuständigen Behörde des Mitgliedstaats vor.
Falls in Übereinstimmung mit Absatz 2 sektorspezifische Anforderungen an den Sicherheitsplan festgelegt werden, wird der Sicherheitsplan nur der zuständigen Behörde des Mitgliedstaats binnen eines Jahres nach dieser Festlegung vorgelegt.
- 4. Jeder Mitgliedstaat führt ein System ein, welches eine angemessene regelmäßige Überwachung der Sicherheitspläne und ihrer Umsetzung auf der Grundlage der gemäß Artikel 7 Absatz 1 durchgeführten Risiko- und Gefahrenabschätzungen sicherstellt.
- 5. Der Pflicht, einen Sicherheitsplan aufzustellen ist genüge getan, wenn die Bestimmungen der Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen erfüllt werden.
Artikel 6
Sicherheitsbeauftragte
- 1. Jeder Mitgliedstaat verpflichtet die Eigentümer/Betreiber kritischer europäischer Infrastrukturen in seinem Hoheitsgebiet, einen Sicherheitsbeauftragten zu benennen, der in Sicherheitsfragen als Kontaktstelle zwischen den Eigentümern/Betreibern und den für den Schutz kritischer Infrastrukturen zuständigen Behörden des Mitgliedstaats dient. Die Benennung des Sicherheitsbeauftragten erfolgt binnen eines Jahres nach der Ausweisung der kritischen Infrastrukturen als kritische europäische Infrastrukturen.
- 2. Jeder Mitgliedstaat teilt den für die betreffenden kritischen europäische Infrastrukturen zuständigen Sicherheitsbeauftragten sachdienliche Informationen über ermittelte Risiken und Bedrohungen mit.
Artikel 7
Berichterstattung
- 1. Binnen eines Jahres nach der Ausweisung einer kritischen Europäischen Infrastruktur in seinem Hoheitsgebiet nimmt jeder Mitgliedstaat eine diesbezügliche Risiko- und Gefahrenabschätzung vor.
- 2. Binnen 18 Monaten nach Annahme der Liste nach Artikel 4 Absatz 2 und dananch alle zwei Jahre übermittelt jeder Mitgliedstaat der Kommission einen zusammenfassenden Bericht über die verschiedenen Arten von Schwachstellen, Bedrohungen und Risiken, die in den in Anhang I aufgeführten Sektoren festgestellt wurden.
Für diese Berichte wird nach dem in Artikel 11 Absatz 3 genannten Verfahren eine gemeinsame Vorlage ausgearbeitet.
- 3. Die Kommission prüft für jeden einzelnen Sektor, ob in diesem besondere Maßnahmen zum Schutz kritischer europäischer Infrastrukturen erforderlich sind.
- 4. In Übereinstimmung mit dem in Artikel 11 Absatz 3 genannten Verfahren können gemeinsame Methoden für die Abschätzung von in Bezug auf kritische europäische Infrastrukturen bestehende Schwachstellen, Bedrohungen und Risiken entwickelt werden.
Artikel 8
Unterstützung der Kommission für kritische europäische Infrastrukturen
- Die Kommission unterstützt die Eigentümer/Betreiber ausgewiesener kritischer europäischer Infrastrukturen, indem sie ihnen Zugriff auf Informationen über bewährte Praktiken und Methoden des Schutzes kritischer Infrastrukturen gewährt.
Artikel 9
Kontaktstellen für Fragen des Schutzes kritischer Infrastrukturen
- 1. Jeder Mitgliedstaat ernennt eine Kontaktstelle für Fragen des Schutzes kritischer Infrastrukturen.
- 2. Die Kontaktstelle koordiniert Fragen des Schutzes kritischer Infrastrukturen innerhalb des betreffenden Mitgliedstaats sowie mit anderen Mitgliedstaaten und mit der Kommission.
Artikel 10
Vertraulichkeit und Austausch von Informationen über den Schutz kritischer Infrastrukturen
- 1. Bei Anwendung dieser Richtlinie ergreift die Kommission gemäß dem Beschluss der Kommission 2001/844/EG, EGKS, Euratom geeignete Maßnahmen zum Schutz vertraulicher Informationen, zu denen sie Zugang hat oder die ihr von den Mitgliedstaaten übermittelt werden. Die Mitgliedstaaten ergreifen gleichwertige Maßnahmen im Einklang mit den einschlägigen einzelstaatlichen Rechtsvorschriften.
Dabei ist die Schwere der potenziellen Beeinträchtigung wesentlicher Interessen der Gemeinschaft oder eines oder mehrerer ihrer Mitgliedstaaten gebührend Rechnung zu tragen.
- 2. Alle Personen, die nach Maßgabe dieser Richtlinie im Namen eines Mitgliedstaats mit vertraulichen Informationen umgehen, müssen eine angemessene Sicherheitsüberprüfung durch die Behörden des betreffenden Mitgliedstaats durchlaufen haben.
- 3. Die Mitgliedstaaten stellen sicher, dass ihnen oder der Kommission übermittelte Informationen über den Schutz kritischer Infrastrukturen zu keinem anderen Zweck als zum Schutz kritischer Infrastrukturen verwendet werden.
Artikel 11
Ausschuss
- 1. Die Kommission wird durch einen Ausschuss unterstützt, der sich aus je einem Vertreter der Kontaktstellen für Fragen des Schutzes kritischer Infrastrukturen zusammensetzt.
- 2. Wird auf diesen Absatz Bezug genommen, so gelten die Artikel 3 und 7 des Beschlusses 1999/468/EG unter Beachtung von dessen Artikel 8.
- 3. Wird auf diesen Absatz Bezug genommen, so gelten die Artikel 5 und 7 des Beschlusses 1999/468/EG unter Beachtung von dessen Artikel 8.
Der Zeitraum nach Artikel 5 Absatz 6 des Beschlusses 1999/468/EG wird auf einen Monat festgesetzt.
- 4. Der Ausschuss gibt sich eine Geschäftsordnung.
Artikel 12
Durchführung
- 1. Die Mitgliedstaaten setzen die erforderlichen Rechts- und Verwaltungsvorschriften in Kraft, um dieser Richtlinie spätestens am 31. Dezember 2007 nachzukommen. Sie teilen der Kommission unverzüglich den Wortlaut dieser Rechtsvorschriften mit und fügen eine Tabelle der Entsprechungen zwischen der Richtlinie und diesen innerstaatlichen Rechtsvorschriften bei.
Bei Erlass dieser Vorschriften nehmen die Mitgliedstaaten in den Vorschriften selbst oder durch einen Hinweis bei der amtlichen Veröffentlichung auf diese Richtlinie Bezug. Die Mitgliedstaaten regeln die Einzelheiten der Bezugnahme.
- 2. Die Mitgliedstaaten teilen der Kommission den Wortlaut der wichtigsten innerstaatlichen Rechtsvorschriften mit, die sie auf dem unter diese Richtlinie fallenden Gebiet erlassen.
Artikel 13
Inkrafttreten
- Diese Richtlinie tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Artikel 14
Adressaten
- Diese Entscheidung ist an die Mitgliedstaaten gerichtet.
Geschehen zu Brüssel
am
Im Namen des Rates
Der Präsident
Anhang I
List von Sektoren mit kritischen Infrastrukturen
I | Energie |
1 | Öl- und Gasgewinnung, Raffinerien, Behandlung, Lagerung und Verteilung über Rohrleitungen |
2 | Erzeugung und Transport von Strom |
II | Atomindustrie |
3 | Erzeugung und Lagerung/Verarbeitung nuklearer Stoffe |
III | Informations- und Kommunikationstechnologien (IKT) |
4 | Schutz von Informatiksystemen und -netzen |
5 | Instrumentations-, Automations- und Überwachungssysteme (SCADA usw.) |
6 | Internet |
7 | Telekommunikation über Festnetz |
8 | Telekommunikation über Mobilfunknetz |
9 | Funkkommunikation und -navigation |
10 | Satellitenkommunikation |
11 | Rundfunk |
IV | Wasser |
12 | Trinkwasserversorgung; |
13 | Überwachung der Wasserqualität |
14 | Verringerung des Wasserverbrauchs und Überwachung der Wassermenge |
V | Lebensmittel |
15 | Versorgung mit Lebensmitteln und Gewährleistung der Lebensmittel- und Ernährungssicherheit |
VI | Gesundheit |
16 | Ärztliche Betreuung und Krankenhauspflege |
17 | Arzneimittel, Seren und Impfstoffe |
18 | Biologische Labors und Biowirkstoffe |
VII | Finanzsektor |
19 | Infrastrukturen und Netze für das Clearing und die Abrechnung von Zahlungen und Wertpapieren |
20 | Geregelte Märkte |
VIII | Verkehr |
21 | Straßenverkehr |
22 | Schienenverkehr |
23 | Luftverkehr |
24 | Binnenschifffahrt |
25 | Hochsee- und Küstenschifffahrt |
IX | Chemische Industrie |
26 | Erzeugung und Lagerung/Verarbeitung chemischer Stoffe |
27 | Rohrleitungen für gefährliche Güter (chemische Stoffe) |
X | Raumfahrt |
28 | Raumfahrt |
XI | Forschung |
29 | Forschungseinrichtungen |
Anhang II
Sicherheitsplan
Alle Eigentümer/Betreiber kritischer europäischer Infrastrukturen müssen einen Sicherheitsplan aufstellen, in dem die betreffenden Infrastrukturen und die für ihren Schutz vorgesehenen Sicherheitsmaßnahmen aufzuführen sind. Der Sicherheitsplan muss folgende Mindestangaben enthalten:
- - die Angabe der betreffenden kritischen Infrastrukturen,
- - eine sich auf die wichtigsten Bedrohungsszenarien, die Anfälligkeit der einzelnen kritischen Infrastrukturen und die möglichen Auswirkungen beziehende Gefahrenabschätzung,
- - die Feststellung, Auswahl und Priorisierung von Gegenmaßnahmen und Verfahren. Dabei ist zu unterscheiden zwischen
- - permanenten Sicherheitsvorkehrungen, die unerlässliche Sicherheitsinvestitionen und Vorkehrungen umfassen, welche von den Eigentümern/Betreibern nicht kurzfristig bereitgestellt werden können. Hierunter fallen Informationen über Maßnahmen allgemeiner Art, technische Maßnahmen (einschließlich Erkennungssysteme, Zugangskontrollen sowie Schutz- und Vorbeugungseinrichtungen), organisatorische Maßnahmen (einschließlich der Verfahren für den Alarmfall und die Krisenbewältigung), Überwachungs- und Überprüfungsmaßnahmen, Kommunikation, Sensibilisierung und Ausbildung sowie die Sicherung von Informationssystemen; und
- - abgestuften Sicherheitsvorkehrungen, die je nach Risiko und Bedrohung ergriffen werden.
1 ABl. C [...] vom [...], S. [...].
2 ABl. C [...] vom [...], S. [...].
3 ABl. C [...] vom [...], S. [...].
4 Ratsdokument 10679/2/04 REV 2.
5 KOM (2004) 702.
6 KOM (2005) 576.
7 ABl. L 184 vom 17.7.1999, S. 23.