a także mając na uwadze, co następuje:(1) Możliwość polegania na odpornej infrastrukturze krytycznej i odpornych podmiotach krytycznych świadczących usługi, które mają decydujące znaczenie dla utrzymania niezbędnych funkcji społecznych, działalności gospodarczej, zdrowia publicznego i bezpieczeństwa publicznego czy dla środowiska, jest podstawą sprawnego funkcjonowania rynku wewnętrznego i całego społeczeństwa.
(2) W zmieniającym się krajobrazie ryzyka i z uwagi na rosnące współzależności między infrastrukturą a sektorami oraz, w szerszym ujęciu, na wzajemne połączenia międzysektorowe i ponadgraniczne należy zająć się kwestią ochrony infrastruktury krytycznej oraz odporności podmiotów krytycznych będących operatorami tej infrastruktury, a także zwiększyć tę ochronę i tę odporność.
(3) Incydent, który zakłóca funkcjonowanie infrastruktury krytycznej, a tym samym uniemożliwia lub poważnie utrudnia świadczenie usług kluczowych, może mieć istotne skutki transgraniczne i negatywnie wpływać na rynek wewnętrzny. Aby zapewnić ukierunkowane, proporcjonalne i skuteczne podejście, należy podjąć środki pozwalające zaradzić w szczególności incydentom związanym z infrastrukturą krytyczną mającym istotne znaczenie transgraniczne, o których mowa w niniejszym zaleceniu.
(4) Skoordynowana reakcja na taki incydent mający istotne znaczenie transgraniczne może okazać się kluczowa, aby uniknąć poważnych zakłóceń na rynku wewnętrznym i zapewnić jak najszybsze przywrócenie świadczenia usług kluczowych, na które wpłynął incydent, ponieważ taki incydent może mieć poważne konsekwencje dla gospodarki i obywateli Unii. Szybka i skuteczna reakcja na taki incydent na szczeblu Unii wymaga sprawnej i skutecznej współpracy wszystkich odpowiednich podmiotów oraz skoordynowanego działania wspieranego na szczeblu Unii. Taka reakcja zależy zatem od istnienia wcześniej ustanowionych i, w miarę możliwości, dobrze przećwiczonych procedur i mechanizmów współpracy, w których kluczowe podmioty na szczeblu krajowym, dwustronnym, wielostronnym i, w stosownych przypadkach, unijnym mają określone role i obowiązki.
(5) Chociaż odpowiedzialność za zapewnienie reakcji na znaczące incydenty związane z infrastrukturą krytyczną spoczywa głównie na państwach członkowskich i podmiotach będących operatorami infrastruktury krytycznej i świadczących usługi kluczowe, w przypadku zakłóceń mających istotne znaczenie transgraniczne celowe może okazać się zwiększenie koordynacji na szczeblu Unii. Szybka i skuteczna reakcja może zależeć nie tylko od wdrożenia przez państwa członkowskie mechanizmów krajowych, lecz także od skoordynowanych działań wspieranych na szczeblu Unii, w tym od szybkiej i skutecznej współpracy w tym zakresie.
(6) Za reagowanie na incydenty związane z infrastrukturą krytyczną, w tym na incydenty mające istotne znaczenie transgraniczne, odpowiadają przede wszystkim właściwe organy państw członkowskich. Niniejsze zalecenie nie wpływa na odpowiedzialność państw członkowskich za gwarantowanie bezpieczeństwa narodowego i obronności ani na ich uprawnienia w zakresie ochrony innych podstawowych funkcji państwa, w szczególności w zakresie bezpieczeństwa publicznego, integralności terytorialnej i utrzymywania porządku publicznego zgodnie z prawem Unii. Niniejsze zalecenie nie ma zatem zastosowania do infrastruktury krytycznej, która służy do prowadzenia działań w tych obszarach. Niniejsze zalecenie nie ma ponadto wpływu na procesy krajowe, takie jak komunikacja i kontakty podmiotów będących operatorami infrastruktury krytycznej z właściwymi organami krajowymi. Stosowanie niniejszego zalecenia nie wpływa na odnośne dwustronne lub wielostronne porozumienia zawarte przez państwa członkowskie i między nimi.
(7) Ochronę europejskiej infrastruktury krytycznej reguluje obecnie dyrektywa Rady 2008/114/WE 1 , która obejmuje tylko dwa sektory - transportu i energii. Dyrektywa ta ustanawia procedurę rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz wspólne podejście do oceny potrzeb w zakresie poprawy ochrony tej infrastruktury. Jest to główny filar europejskiego programu ochrony infrastruktury krytycznej (EPOIK) ustanowionego przez Komisję w swoim Komunikacie z dnia 12 grudnia w 2006 r. 2 , w którym określono ramy ochrony infrastruktury krytycznej obejmujące wszystkie zagrożenia na szczeblu unijnym.
(8) Aby wyjść poza ochronę infrastruktury krytycznej i w szerszym ujęciu zapewnić odporność podmiotów krytycznych będących operatorami infrastruktury krytycznej i świadczących usługi kluczowe na rynku wewnętrznym, z dniem 18 października 2024 r. dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 3 zastępuje dyrektywę 2008/114/WE. Dyrektywa (UE) 2022/2557 obejmuje 11 sektorów i reguluje obowiązki państw członkowskich i podmiotów krytycznych w zakresie zwiększania odporności, kwestię współpracy państw członkowskich między sobą i z Komisją, a także wsparcie ze strony Komisji dla organów krajowych i podmiotów krytycznych oraz wsparcie ze strony państw członkowskich dla podmiotów krytycznych.
(9) Po sabotażu gazociągów Nord Stream Rada na podstawie wniosku Komisji przyjęła zalecenie w sprawie ogólnounijnego skoordynowanego podejścia do kwestii wzmocnienia odporności infrastruktury krytycznej 4 (zwane dalej "zaleceniem 2023/C 20/01"), którego celem jest zwiększenie gotowości oraz wzmocnienie reakcji oraz unijnej i międzynarodowej współpracy w tej dziedzinie. W zaleceniu zwrócono uwagę w szczególności na konieczność zapewnienia na szczeblu Unii skoordynowanej i skutecznej reakcji oraz gotowości operacyjnej do radzenia sobie z natychmiastowymi i pośrednimi skutkami zakłóceń mających istotne znaczenie transgraniczne, do których dochodzi w świadczeniu usług kluczowych przez infrastrukturę krytyczną.
(10) W związku z tym niniejsze zalecenie, niebędące aktem wiążącym, jest konieczne, aby wesprzeć i uzupełnić istniejące ramy prawne dodatkowym zaleceniem Rady ustanawiającym plan skoordynowanego reagowania na zakłócenia w funkcjonowaniu infrastruktury krytycznej mające istotne znaczenie transgraniczne (zwany dalej "planem UE dotyczącym infrastruktury krytycznej"), a jednocześnie wykorzystać ustalenia już istniejące na szczeblu Unii.
(11) Niniejsze zalecenie zostało dostosowane do zalecenia 2023/C 20/01, aby zapewnić spójność i uniknąć powielania się obu aktów. W związku z tym niniejsze zalecenie nie obejmuje pozostałych elementów cyklu zarządzania sytuacjami kryzysowymi i nadzwyczajnymi, czyli zapobiegania, gotowości i odbudowy.
(12) Niniejsze zalecenie powinno uzupełniać dyrektywę (UE) 2022/2557, w szczególności pod względem skoordynowanej reakcji, i należy je wdrażać przy zapewnieniu spójności z tą dyrektywą i wszelkimi innymi mającymi zastosowanie przepisami prawa Unii. W niniejszym zaleceniu przyjmuje się podejście uwzględniające wszystkie zagrożenia i w miarę możliwości, przewiduje ono oparcie się na istniejących strukturach i mechanizmach, w tym na odpowiednich grupach roboczych w Radzie (czyli Grupie Roboczej ds. Ochrony Ludności - odporność podmiotów krytycznych "Grupa Robocza PROCIV CER"), a także na istniejących pojęciach, narzędziach i procesach przewidzianych we wspomnianej dyrektywie, takich jak Grupa ds. Odporności Podmiotów Krytycznych, działająca w granicach jej zadań określonych w tej dyrektywie, i punkty kontaktowe; niniejsze zalecenie przewiduje też wykorzystywanie tych struktur, mechanizmów, pojęć, narzędzi i procesów. Ponadto pojęcie "infrastruktury krytycznej" stosowane w niniejszym zaleceniu należy rozumieć w sposób określony w pkt 7 zalecenia 2023/C 20/01, tj. jako obejmujące odpowiednią infrastrukturę krytyczną wskazaną przez państwo członkowskie na szczeblu krajowym lub wyznaczoną jako europejska infrastruktura krytyczna na mocy dyrektywy 2008/114/WE, oraz podmioty krytyczne, które należy wskazać na mocy dyrektywy (UE) 2022/2557. Aby zapewnić spójność z dyrektywą (UE) 2022/2557, pojęcia użyte w niniejszym zaleceniu należy zatem interpretować jako mające takie samo znaczenie jak pojęcia zastosowane w tej dyrektywie. Na przykład koncepcję odporności, zdefiniowaną w art. 2 pkt 2 tej dyrektywy, należy również rozumieć jako dotyczącą zdolności infrastruktury krytycznej do zapobiegania zdarzeniom, które w istotny sposób zakłócają lub mogą w istotny sposób zakłócić świadczenie usług kluczowych na rynku wewnętrznym, tj. usług, które mają kluczowe znaczenie dla utrzymania niezbędnych funkcji społecznych i gospodarczych, bezpieczeństwa publicznego, zdrowia ludności czy dla środowiska, a także dotyczącą zdolności tej infrastruktury do ochrony przed takimi zdarzeniami, reagowania na nie, przeciwstawiania się im, łagodzenia lub absorbowania ich skutków, przystosowywania się do nich lub przywracania po nich poprzedniego stanu.
(13) Zakres stosowania niniejszego zalecenia ograniczony jest do sektorów, podsektorów i rodzajów podmiotów, objętych zakresem dyrektywy (UE) 2022/2557. Wyłączenia przewidziane w tej dyrektywie dotyczą zakresu stosowania niniejszego zalecenia. Oprócz tego niniejsze zalecenie nie powinno powielać już istniejących ustaleń i struktur przewidzianych w odpowiednich sektorowych aktach prawnych Unii.
(14) Ponadto pojęcie "istotnego skutku zakłócającego" należy rozumieć w świetle kryteriów przewidzianych w art. 7 ust. 1 dyrektywy (UE) 2022/2557, obejmujących: (i) liczbę użytkowników zależnych od usługi kluczowej świadczonej przez odnośny podmiot; (ii) stopień, w jakim inne sektory i podsektory określone w załączniku do tej dyrektywy zależą od danej usługi kluczowej; (iii) wpływ, jaki incydenty - jeżeli chodzi o ich skalę i czas trwania - mogłyby mieć na działalność gospodarczą i społeczną, środowisko, bezpieczeństwo publiczne lub na zdrowie ludności; (iv) udział podmiotu w rynku odnośnej usługi kluczowej lub odnośnych usług kluczowych; (v) obszar geograficzny, którego mógłby dotyczyć incydent, z uwzględnieniem wszelkiego wpływu transgranicznego oraz podatności na zagrożenia związanej ze stopniem odizolowania niektórych rodzajów obszarów geograficznych, takich jak regiony wyspiarskie, regiony oddalone lub obszary górskie; (vi) znaczenie podmiotu w utrzymywaniu wystarczającego poziomu usługi kluczowej przy uwzględnieniu dostępności alternatywnych sposobów świadczenia tej usługi kluczowej.
(15) W trosce o efektywność i skuteczność plan UE dotyczący infrastruktury krytycznej powinien zapewnić pełne poszanowanie zintegrowanych uzgodnień Rady dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (zwanego dalej "IPCR") w zakresie koordynacji reagowania 5 . Powinien również być w pełni skoordynowany, spójny i interoperacyjny ze wszystkimi pozostałymi sektorowymi instrumentami i procesami unijnymi, takimi jak procesy opisane w unijnym zestawie narzędzi do przeciwdziałania zagrożeniom hybrydowym 6 i w zmienionym unijnym protokole do celów przeciwdziałania zagrożeniom hybrydowym 7 . Powinien on uwzględniać też i szanować mandaty europejskiej sieci organizacji łącznikowych do spraw kryzysów cyberbezpieczeństwa (zwanej dalej "EU-CyCLONe") i zespołów reagowania na incydenty bezpieczeństwa komputerowego (zwanych dalej "CSIRT") określone w dyrektywie Parlamentu Europejskiego i Rady (UE) 2022/2555 8 . Należy w stosownych przypadkach uwzględniać także plan działania na rzecz skoordynowanego reagowania na transgraniczne incydenty i kryzysy cybernetyczne na dużą skalę ustanowiony zaleceniem Komisji (EU) 2017/1584 9 (zwany dalej "planem na rzecz cyberbezpieczeństwa") oraz ogólnoeuropejskie ramy koordynacji dla odpowiednich organów w odniesieniu do cyberincydentów o charakterze systemowym (zwanych dalej "EU-SCICF") zalecane przez Europejską Radę ds. Ryzyka Systemowego (ERRS). W miarę możliwości należy unikać powielania struktur i działań.
(16) Niniejsze zalecenie opiera się na istniejących ustaleniach dwustronnych lub wielostronnych i na ugruntowanych unijnych mechanizmach zarządzania w sytuacjach kryzysowych i nadzwyczajnych i jest, w szerszym ujęciu, z nimi spójne oraz stanowi ich uzupełnienie - do tych mechanizmów i ustaleń należą w szczególności uzgodnienia IPCR Rady, wewnętrzny proces koordynacji kryzysowej Komisji ARGUS 10 i Unijny Mechanizm Ochrony Ludności 11 (zwany dalej "UMOL"), wspierany przez Centrum Koordynacji Reagowania Kryzysowego (zwane dalej "ERCC") 12 , mechanizm reagowania kryzysowego Europejskiej Służby Działań Zewnętrznych (ESDZ), a także rozporządzenie ustanawiające ramy środków dotyczących sytuacji nadzwyczajnej na rynku wewnętrznym i odporności rynku wewnętrznego - które to mechanizmy i ustalenia mogą odgrywać rolę w reagowaniu na poważne zakłócenia funkcjonowania infrastruktury krytycznej.
(17) Wyżej wspomniane narzędzia i mechanizmy na szczeblu Unii można stosować w odpowiedzi na incydent związany z infrastrukturą krytyczną mający istotne znaczenie transgraniczne, zgodnie z zasadami i procedurami mającymi zastosowanie do tych narzędzi i mechanizmów, a niniejsze zalecenie powinno te zasady i procedury uzupełniać, lecz nie powinno na nie wpływać. Na przykład uzgodnienia IPCR Rady pozostają głównym narzędziem koordynowania między państwami członkowskimi reakcji na szczeblu politycznym Unii. Koordynacja wewnętrzna w Komisji odbywa się zgodnie z międzysektorowym procesem koordynacji w sytuacjach kryzysowych w ramach ARGUS. Jeżeli kryzys ma wymiar zewnętrzny, można wykorzystać mechanizm reagowania kryzysowego ESDZ. Na mocy decyzji nr 1313/2013/UE UMOL można aktywować w odpowiedzi na wystąpienie lub groźby wystąpienia klęsk żywiołowych i katastrof spowodowanych przez człowieka w Unii i poza nią (w tym klęsk i katastrof wynikających z incydentów mających wpływ na infrastrukturę krytyczną) przy operacyjnym wsparciu ze strony ERCC. ERCC ściśle współpracuje z krajowymi organami odpowiedzialnymi za ochronę ludności i z odpowiednimi organami unijnymi, aby propagować międzysektorowe podejście do zarządzania klęskami i katastrofami.
(18) Procesy określone w niniejszym zaleceniu należy w stosownych przypadkach uwzględniać w związku z innymi narzędziami lub mechanizmami, jak tylko zostaną one zastosowane, jednak w niniejszym zaleceniu opisuje się również działania, które można podjąć na szczeblu Unii w odniesieniu do wspólnej orientacji sytuacyjnej, skoordynowanej komunikacji ze społeczeństwem i skutecznej reakcji poza ramami wspomnianych unijnych mechanizmów koordynacji kryzysowej w przypadkach, w których nie są one wykorzystywane.
(19) Aby lepiej koordynować, w stosownych przypadkach, reakcję na incydenty związane z infrastrukturą krytyczną mające istotne znaczenie transgraniczne, należy zacieśnić współpracę między państwami członkowskimi a instytucjami Unii, odpowiednimi organami, urzędami i agencjami Unii działającymi na podstawie obowiązujących ustaleń, zgodnie z ramami planu UE dotyczącego infrastruktury krytycznej. Plan UE dotyczący infrastruktury krytycznej powinien mieć zatem zastosowanie wtedy, gdy występuje istotne zakłócenie świadczenia usług kluczowych, które to zakłócenie stwierdza i o którym informuje co najmniej sześć państw członkowskich, a także wtedy, gdy zakłócenie dotyczy podmiotu krytycznego o szczególnym znaczeniu europejskim w rozumieniu dyrektywy (UE) 2022/2557, które to zakłócenie stwierdzają i o którym informują państwa członkowskie, których dotyczy zakłócenie. Plan ten powinien mieć zastosowanie także wtedy, gdy incydenty mają istotny skutek zakłócający świadczenie usług kluczowych w co najmniej dwóch państwach członkowskich lub na ich rzecz, a prezydencja Rady stwierdzi, w porozumieniu z państwami członkowskimi, których dotyczy incydent, i w konsultacji z Komisją, że konieczna jest terminowa koordynacja reakcji na szczeblu Unii.
(20) Chociaż ramy współpracy na szczeblu Unii w zakresie skoordynowanej reakcji na incydenty związane z infrastrukturą krytyczną mające istotne znaczenie transgraniczne uznaje się za konieczne, nie powinny one skutkować przekierowaniem zasobów podmiotów krytycznych i właściwych organów z działań podejmowanych w reakcji na incydent - które to działania powinny pozostać priorytetem - i nie powinny zwiększać ich odpowiedzialności.
(21) Należy jasno określić odpowiednie podmioty zaangażowane we wdrażanie planu UE dotyczącego infrastruktury krytycznej, aby uzyskać jasny i kompleksowy obraz instytucji, organów, urzędów, agencji i władz, które mogłyby reagować na incydenty związane z infrastrukturą krytyczną mające istotne znaczenie transgraniczne.
(22) Wyznaczenie lub ustanowienie punktów kontaktowych przez odpowiednie podmioty ma zasadnicze znaczenie dla skutecznej i terminowej współpracy w ramach planu UE dotyczącego infrastruktury krytycznej. Aby zapewnić spójność, państwa członkowskie powinny rozważyć możliwość wyznaczenia lub ustanowienia w tych ramach pojedynczych punktów kontaktowych, które będą punktami kontaktowymi wyznaczonymi lub ustanowionymi na mocy dyrektywy (UE) 2022/2557.
(23) Aby zapewnić skuteczność, kluczowym elementem utrzymania wysokiego poziomu gotowości na wypadek incydentów związanych z infrastrukturą krytyczną mających istotne znaczenie transgraniczne oraz zapewnienia zdolności do szybkiego i dobrze skoordynowanego reagowania przy udziale odpowiednich podmiotów powinno być testowanie i sprawdzanie planu UE dotyczącego infrastruktury krytycznej, a także składanie sprawozdań i omawianie wniosków wyciągniętych z jego stosowania.
(24) Ze względu na strukturę mechanizmu Rady dotyczącego koordynacji kryzysowej IPCR oraz mając na uwadze, w szerszym ujęciu, potencjalne uruchomienie mechanizmów koordynacji kryzysowej, które już istnieją na szczeblu Unii, w planie UE dotyczącym infrastruktury krytycznej należy przewidzieć dwa tryby współpracy podczas reagowania na incydent związany z infrastrukturą krytyczną mający istotne znaczenie transgraniczne. Pierwszy z trybów powinien polegać na wymianie stosownych informacji między wszystkimi odpowiednimi podmiotami, na koordynacji komunikacji ze społeczeństwem oraz, w stosownych przypadkach, na koordynacji za pośrednictwem już istniejących mechanizmów, takich jak uzgodnienia IPCR Rady lub koordynacja w ramach Komisji z wykorzystaniem ARGUS, przy wsparciu ze strony ERCC jako całodobowego punktu kontaktowego IPCR i ARGUS, oraz mechanizmu reagowania kryzysowego ESDZ. Drugi tryb powinien obejmować dalsze działania w zakresie reagowania zależnie od tego, jaka jest skala incydentu i jak istotne jest skoordynowanie reakcji. Współpraca ta powinna wiązać się z zaangażowaniem na poziomach operacyjnym oraz strategicznym/politycznym, odzwierciedlając poziomy określone w zaleceniu (UE) 2017/1584 i w unijnym protokole do celów przeciwdziałania zagrożeniom hybrydowym, aby umożliwić skuteczną i sprawną koordynację działań i reakcję na incydenty związane z infrastrukturą krytyczną mające istotne znaczenie transgraniczne. W oparciu o zasady proporcjonalności, pomocniczości, poufności informacji i komplementarności oraz w celu zapewnienia skutecznej współpracy, w planie UE dotyczącym infrastruktury krytycznej należy opisać, jak wygląda wspólna orientacja sytuacyjna odpowiednich podmiotów, a także skoordynowana komunikacja ze społeczeństwem i skuteczne reagowanie.
(25) Niniejsze zalecenie powinno pozostawać bez uszczerbku dla art. 346 Traktatu o funkcjonowaniu Unii Europejskiej. Informacje, które są poufne na podstawie przepisów unijnych lub krajowych, takich jak przepisy dotyczące tajemnicy przedsiębiorstwa, powinny podlegać wymianie z Komisją i innymi odpowiednimi organami zgodnie z zasadą wiedzy koniecznej i tylko wtedy, gdy wymiana taka jest niezbędna do stosowania niniejszego zalecenia. Od żadnego państwa członkowskiego nie należy oczekiwać, na podstawie niniejszego zalecenia, że udzieli informacji, których ujawnienie naraziłoby na szwank podstawowe interesy tego państwa, jego bezpieczeństwo narodowe, bezpieczeństwo publiczne lub obronność lub naraziłoby na szwank interesy gospodarcze podmiotów będących operatorami infrastruktury krytycznej. W związku z tym dostęp do informacji szczególnie chronionych, ich wymiana i postępowanie z nimi powinny odbywać się z zachowaniem ostrożności i tylko w takim zakresie, w jakim jest to istotne i proporcjonalne, zgodnie z mającymi zastosowanie przepisami i przy zwróceniu szczególnej uwagi na wykorzystywane kanały transmisji i zdolności przechowywania,
NINIEJSZYM ZALECA:
1) Państwa członkowskie, Rada, Komisja oraz, w stosownych przypadkach, Europejska Służba Działań Zewnętrznych (ESDZ), a także odpowiednie organy, urzędy i agencje Unii powinny współpracować w ramach planu UE dotyczącego infrastruktury krytycznej, zawartego w niniejszym zaleceniu, aby osiągnąć cele określone w części I sekcja 1 załącznika, oraz powinny, z uwzględnieniem zasad określonych w części I sekcja 2 załącznika, zapewniać skoordynowaną reakcję na incydenty związane z infrastrukturą krytyczną mające istotne znaczenie transgraniczne.
2) Państwa członkowskie, Rada, Komisja oraz, w stosownych przypadkach, ESDZ, a także odpowiednie organy, urzędy i agencje Unii powinny bez zbędnej zwłoki zastosować plan UE dotyczący infrastruktury krytycznej w każdym przypadku wystąpienia incydentu związanego z infrastrukturą krytyczną mającego istotne znaczenie transgraniczne, o ile wyrazi na to zgodę państwo członkowskie, w którym znajduje się infrastruktura krytyczna, której dotyczy incydent. W kontekście tego planu UE dotyczącego infrastruktury krytycznej incydent związany z infrastrukturą krytyczną mający istotne znaczenie transgraniczne zachodzi wówczas, gdy incydent dotyczący infrastruktury krytycznej ma jeden z następujących skutków:
a) istotny skutek zakłócający świadczenie usług kluczowych, który stwierdziło co najmniej sześć państw członkowskich odczuwających ten skutek i o którym została poinformowana prezydencja Rady i Komisja;
b) istotny skutek zakłócający świadczenie usług kluczowych przez podmiot krytyczny o szczególnym znaczeniu europejskim w rozumieniu art. 17 dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 13 , który stwierdziło co najmniej jedno państwo członkowskie odczuwające ten skutek i o którym została poinformowana prezydencja Rady i Komisja; lub
c) istotny skutek zakłócający świadczenie usług kluczowych w co najmniej dwóch państwach członkowskich lub na ich rzecz, w przypadku gdy prezydencja Rady stwierdzi, w porozumieniu z państwami członkowskimi odczuwającymi ten skutek i w konsultacji z Komisją, że konieczna jest terminowa koordynacja reakcji na szczeblu Unii ze względu na, przykładowo, szeroko zakrojony i znaczący wpływ incydentu mający techniczne lub polityczne znaczenie.
3) Odpowiednie podmioty planu UE dotyczącego infrastruktury krytycznej, określone na poziomach operacyjnym oraz strategicznym/politycznym zgodnie z częścią I sekcja 3 załącznika, powinny dążyć do współdziałania i współpracy, aby zapewnić komplementarność. Powinny one zapewniać odpowiednią i terminową wymianę odpowiednich informacji, w tym koordynację komunikacji ze społeczeństwem oraz skoordynowaną reakcję, o których mowa w części II załącznika.
4) Plan UE dotyczący infrastruktury krytycznej należy stosować z uwzględnieniem innych odpowiednich instrumentów i spójnie z nimi, zgodnie z częścią I sekcja 4 załącznika. W przypadku gdy incydent ma wpływ zarówno na aspekty fizyczne, jak i na cyberbezpieczeństwo infrastruktury krytycznej, należy zapewnić koordynację i synergię z przepisami dotyczącymi skoordynowanego zarządzania incydentami w cyberbezpieczeństwie na dużą skalę zawartymi w dyrektywie Parlamentu Europejskiego i Rady (UE) 2022/2555 14 .
5) Państwa członkowskie powinny zapewniać skuteczne reagowanie na szczeblu krajowym, zgodnie z prawem Unii, na zakłócenia funkcjonowania infrastruktury krytycznej w następstwie znaczących incydentów związanych z tą infrastrukturą, niezależnie od tego, czy incydenty te mają istotne znaczenie transgraniczne czy też nie.
6) Państwa członkowskie, Rada, ESDZ, Agencja Unii Europejskiej ds. Współpracy Organów Ścigania (zwana dalej "Europolem") i inne właściwe agencje Unii oraz Komisja powinny wyznaczyć lub ustanowić punkty kontaktowe do spraw związanych z planem UE dotyczącym infrastruktury krytycznej. Z informacjami należy postępować zgodnie z ustanowionymi procedurami i regulacjami, w tym w zakresie postępowania z informacjami niejawnymi. Punkty kontaktowe powinny wspierać stosowanie planu UE dotyczącego infrastruktury krytycznej poprzez udzielanie niezbędnych informacji i ułatwianie działań koordynacyjnych w odpowiedzi na znaczące incydenty związane z infrastrukturą krytyczną. W przypadku państw członkowskich w miarę możliwości funkcję tych punktów kontaktowych powinny pełnić pojedyncze punkty kontaktowe wyznaczone lub ustanowione na podstawie art. 9 ust. 2 dyrektywy (UE) 2022/2557.
7) Państwo członkowskie sprawujące prezydencję w Radzie powinno, w porozumieniu z państwami członkowskimi, których dotyczy incydent, poinformować wszystkie odpowiednie podmioty zaangażowane w reakcję na incydent, za pośrednictwem punktów kontaktowych, o których mowa w pkt 6, o incydencie związanym z infrastrukturą krytyczną mającym istotne znaczenie transgraniczne oraz o zastosowaniu planu UE dotyczącego infrastruktury krytycznej. Wymiana informacji na temat incydentu związanego z infrastrukturą krytyczną mającego istotne znaczenie transgraniczne powinna odbywać się tylko w takim zakresie, w jakim jest to istotne i proporcjonalne do celów tej wymiany, i powinna odbywać się za pośrednictwem odpowiednich kanałów komunikacji, w tym, gdy jest to stosowne i celowe, za pośrednictwem platformy zintegrowanych uzgodnień dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych 15 (zwanych dalej "IPCR") oraz ERCC.
8) W razie potrzeby kanały transmisji powinny obejmować kanały zabezpieczone, aby nie narażać na szwank bezpieczeństwa narodowego ani bezpieczeństwa i interesów gospodarczych podmiotów krytycznych. Wymiana informacji odbywająca się zgodnie z załącznikiem nie powinna obejmować informacji, których ujawnienie byłoby sprzeczne z podstawowymi interesami bezpieczeństwa narodowego, bezpieczeństwa publicznego lub obronności państw członkowskich lub narażałoby na szwank bezpieczeństwo i interesy gospodarcze podmiotów krytycznych; wymiana ta powinna się odbywać zgodnie z prawem Unii. W szczególności dostęp do informacji szczególnie chronionych, ich wymiana i postępowanie z nimi powinny odbywać się z zachowaniem ostrożności. Przy postępowaniu z informacjami niejawnymi i przy ich wymianie należy korzystać z dostępnych akredytowanych narzędzi oraz stosować odpowiednie środki bezpieczeństwa.
9) Odpowiednie podmioty powinny sprawdzać i testować funkcjonowanie planu UE dotyczącego infrastruktury krytycznej oraz skoordynowaną reakcję na incydenty związane z infrastrukturą krytyczną mające istotne znaczenie transgraniczne, na szczeblu krajowym, regionalnym i unijnym, na przykład w kontekście ćwiczeń. W sprawdzaniu i testach mogą uczestniczyć podmioty sektora prywatnego, za zgodą wszystkich stron, a w szczególności zainteresowanych państw członkowskich. Wszelkie kontakty z podmiotami krytycznymi powinny odbywać się za pośrednictwem zainteresowanego państwa członkowskiego. Komisja, w ścisłej współpracy z państwami członkowskimi - w tym za pośrednictwem Grupy Roboczej PROCIV CER, EU-CyCLONe, sieci CSIRT oraz przy wsparciu ENISA - powinna zorganizować ćwiczenie na szczeblu Unii, w którym uwzględnione zostaną aspekty bezpieczeństwa fizycznego i cybernetycznego. Cele ćwiczenia należy wcześniej uzgodnić z państwami członkowskimi. Ćwiczenie powinno odbyć się do dnia 26 grudnia 2026 r. Na podstawie wniosków z tego ćwiczenia wymienionych przez państwa członkowskie należy rozważyć potrzebę przeprowadzenia dalszych ćwiczeń oraz stosowne scenariusze.
10) Po zastosowaniu planu UE dotyczącego infrastruktury krytycznej w odniesieniu do incydentu związanego z infrastrukturą krytyczną mającego istotne znaczenie transgraniczne Grupa Robocza PROCIV CER powinna omówić wyciągnięte wnioski, z których może wyniknąć, że istnieją niedociągnięcia i konieczne są usprawnienia w pewnych obszarach. W ten proces omawiania wyciągniętych wniosków mogą być włączone, w stosownych przypadkach, inne odpowiednie grupy robocze. Zachęca się państwa członkowskie, aby w stosownych przypadkach zebrały wnioski wyciągnięte przez wszystkie odpowiednie podmioty bezpośrednio zaangażowane w reakcję na dany incydent. Na podstawie tych dyskusji prezydencja Rady, przy wsparciu Sekretariatu Generalnego Rady w konsultacji z Komisją i z państwami członkowskimi, których dotyczył incydent, powinna sporządzić sprawozdanie zawierające wyciągnięte wnioski. W razie konieczności sprawozdanie powinno zostać objęte klauzulą niejawności na odpowiednim poziomie.
Sporządzono w Luksemburgu dnia 25 czerwca 2024 r.
1 Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (Dz.U. L 345 z 23.12.2008, s. 75).
2 Komunikat Komisji z dnia 12 grudnia 2006 r. w sprawie europejskiego programu ochrony infrastruktury krytycznej (COM (2006) 786 final).
3 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (Dz.U. L 333 z 27.12.2022, s. 164).
4 Zalecenie Rady z dnia 8 grudnia 2022 r. w sprawie ogólnounijnego skoordynowanego podejścia do kwestii wzmocnienia odporności infrastruktury krytycznej (2023/C 20/01) (Dz.U. C 20 z 20.1.2023, s. 1).
5 Decyzja wykonawcza Rady (UE) 2018/1993 z dnia 11 grudnia 2018 r. w sprawie zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (Dz.U. L 320 z 17.12.2018, s. 28).
6 Zob. konkluzje Rady z dnia 21 czerwca 2022 r. w sprawie ram skoordynowanej reakcji UE na kampanie hybrydowe oraz wytyczne wykonawcze przyjęte przez Radę w dniu 13 grudnia 2022 r. dotyczące ram skoordynowanej reakcji UE na kampanie hybrydowe.
7 Wspólny dokument roboczy służb "Unijny protokół do celów przeciwdziałania zagrożeniom hybrydowym" (SWD (2023) 116 final).
8 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80).
9 Zalecenie Komisji (UE) 2017/1584 z dnia 13 września 2017 r. w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę (Dz.U. L 239 z 19.9.2017, s. 36).
10 Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów z dnia 23 grudnia 2005 r. - Ustalenia Komisji w sprawie bezpiecznego ogólnego systemu szybkiego ostrzegania "ARGUS" (COM (2005) 662 final).
11 Decyzja Parlamentu Europejskiego i Rady nr 1313/2013/UE z dnia 17 grudnia 2013 r. w sprawie Unijnego Mechanizmu Ochrony Ludności (Dz.U. L 347 z 20.12.2013, s. 924).
12 Decyzja nr 1313/2013/UE tworzy ramy uwzględniające wszystkie zagrożenia i określające na szczeblu unijnym uzgodnienia dotyczące zapobiegania, gotowości i reagowania w celu zarządzania wszelkiego rodzaju klęskami żywiołowymi i katastrofami spowodowanymi przez człowieka lub zagrażającymi klęskami i katastrofami w Unii i poza nią.
13 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (Dz.U. L 333 z 27.12.2022, s. 164).
14 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80).
15 Decyzja wykonawcza Rady (UE) 2018/1993 z dnia 11 grudnia 2018 r. w sprawie zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (Dz.U. L 320 z 17.12.2018, s. 28).
16 Decyzja Parlamentu Europejskiego i Rady nr 1313/2013/EU z dnia 17 grudnia 2013 r. w sprawie Unijnego Mechanizmu Ochrony Ludności (Dz.U. L 347 z 20.12.2013, s. 924).
17 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80).
18 Zalecenie Europejskiej Rady ds. Ryzyka Systemowego z dnia 2 grudnia 2021 r. w sprawie ogólnoeuropejskich ram koordynacji dla odpowiednich organów w odniesieniu do cyberincydentów o charakterze systemowym (ERRS/2021/17) (Dz.U. C 134 z 25.3.2022, s. 1).
19 Komunikat Komisji z dnia 23 maja 2022 r. pt. "Plan awaryjny dla transportu" (COM (2022) 211 final).
20 Ustanowionej na mocy art. 19 rozporządzenia wykonawczego Komisji (UE) 2019/123 z dnia 24 stycznia 2019 r. ustanawiającego szczegółowe przepisy wykonawcze dotyczące funkcji sieciowych zarządzania ruchem lotniczym (ATM) oraz uchylające rozporządzenie Komisji (UE) nr 677/2011 (Dz.U. L 28 z 31.1.2019, s. 1).
21 Decyzja Komisji 2012/C 353/02 z dnia 15 listopada 2012 r. ustanawiająca Grupę Koordynacyjną ds. Energii Elektrycznej (Dz.
22 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/1938 z dnia 25 października 2017 r. dotyczące środków zapewniających bezpieczeństwo dostaw gazu ziemnego i uchylające rozporządzenie (UE) nr 994/2010 (Dz.U. L 280 z 28.10.2017, s. 1).
23 Dyrektywa Rady 2009/119/WE z dnia 14 września 2009 r. nakładająca na państwa członkowskie obowiązek utrzymywania minimalnych zapasów ropy naftowej lub produktów ropopochodnych (Dz.U. L 265 z 9.10.2009, s. 9).
24 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (Dz.U. L 333 z 27.12.2022, s. 164).
25 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2371 z dnia 23 listopada 2022 r. w sprawie poważnych transgranicznych zagrożeń zdrowia oraz uchylenia decyzji nr 1082/2013/UE (Dz.U. L 314 z 6.12.2022, s. 26).
26 Nieformalna grupa obejmująca odpowiednie służby Komisji, ESDZ, Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), CERT-UE i Europol, której współprzewodniczą Dyrekcja Generalna ds. Sieci Komunikacyjnych, Treści i Technologii oraz ESDZ.
27 Np. sektor transportu: Agencja Unii Europejskiej ds. Bezpieczeństwa Lotniczego (EASA), Europejska Agencja Bezpieczeństwa Morskiego (EMSA), Agencja Kolejowa Unii Europejskiej (ERA); sektor zdrowia: Europejskie Centrum ds. Zapobiegania i Kontroli Chorób (ECDC) i Europejska Agencja Leków (EMA); sektor energii: Agencja ds. Współpracy Organów Regulacji Energetyki (ACER); sektor kosmiczny: Agencja Unii Europejskiej ds. Programu Kosmicznego (EUSPA); sektor spożywczy: Europejski Urząd ds. Bezpieczeństwa Żywności (EFSA); sektor morski: Europejska Agencja Kontroli Rybołówstwa (EFCA); w przypadku cyberincydentów: zespoły reagowania na incydenty bezpieczeństwa komputerowego ("CSIRT"), Służba ds. Cyberbezpieczeństwa Instytucji, Organów i Jednostek Organizacyjnych Unii ("CERT-EU"), EBC, ERRS, Europejskie Urzędy Nadzoru ("ESA").
28 Decyzja wykonawcza Rady (UE) 2018/1993 z dnia 11 grudnia 2018 r. w sprawie zintegrowanych uzgodnień UE dotyczących reagowania na szczeblu politycznym w sytuacjach kryzysowych (Dz.U. L 320 z 17.12.2018, s. 28).
29 Decyzja Rady 2014/415/UE z dnia 24 czerwca 2014 r. w sprawie uzgodnień dotyczących zastosowania przez Unię klauzuli solidarności (Dz.U. L 192 z 1.7.2014, s. 53).
30 Wspólny dokument roboczy służb "Unijny protokół do celów przeciwdziałania zagrożeniom hybrydowym" (SWD (2023) 116 final).
31 Konkluzje Rady z dnia 21 czerwca 2022 r. w sprawie ram skoordynowanej reakcji UE na kampanie hybrydowe; wytyczne wykonawcze dotyczące ram skoordynowanej reakcji UE na kampanie hybrydowe (15880/22).
32 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/696 z dnia 28 kwietnia 2021 r. ustanawiające Unijny program kosmiczny i Agencję Unii Europejskiej ds. Programu Kosmicznego oraz uchylające rozporządzenia (UE) nr 912/2010, (UE) nr 1285/2013 i (UE) nr 377/2014 oraz decyzję nr 541/2014/UE (Dz.U. L 170 z 12.5.2021, s. 69).
33 Mowa tu np. o publikacji produktów monitorowania mediów, komunikatów dotyczących ochrony ludności, briefingów analitycznych, map dziennych ECHO, codziennych aktualizacji ECHO oraz innych produktów dostosowanych do indywidualnych potrzeb.
