Präambel RL 2008/114/EG

DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag zur Gründung der Europäischen Gemeinschaft, insbesondere auf Artikel 308,

auf Vorschlag der Kommission,

nach Stellungnahme des Europäischen Parlaments⁽¹⁾,

nach Stellungnahme der Europäischen Zentralbank⁽²⁾,

in Erwägung nachstehender Gründe:

(1)

Auf seiner Tagung vom Juni 2004 ersuchte der Europäische Rat um die Ausarbeitung einer umfassenden Strategie für den Schutz kritischer Infrastrukturen. Daraufhin nahm die Kommission am 20. Oktober 2004 eine Mitteilung mit dem Titel „Schutz kritischer Infrastrukturen im Rahmen der Terrorismusbekämpfung” an, in der konkrete Vorschläge zur Stärkung der Prävention, Abwehrbereitschaft und Reaktionsfähigkeit in Europa in Bezug auf terroristische Anschläge gegen kritische Infrastrukturen vorgebracht wurden.

(2)

Am 17. November 2005 nahm die Kommission ein Grünbuch über ein Europäisches Programm für den Schutz kritischer Infrastrukturen an, in dem mögliche politische Strategien zur Verwirklichung des Programms sowie des Warn- und Informationsnetzes für kritische Infrastrukturen aufgezeigt wurden. In den Reaktionen auf das Grünbuch kam der zusätzliche Nutzen eines Gemeinschaftsrahmens für den Schutz kritischer Infrastrukturen deutlich zum Ausdruck. Es wurde eingeräumt, dass die Fähigkeit zum Schutz kritischer Infrastrukturen in ganz Europa verbessert und bestehende Schwachstellen derartiger Infrastrukturen beseitigt werden müssen. Die Bedeutung der Grundprinzipien der Subsidiarität, Verhältnismäßigkeit und Komplementarität sowie des Dialogs mit allen Beteiligten wurde hervorgehoben.

(3)

Im Dezember 2005 ersuchte der Rat „Justiz und Inneres” die Kommission, einen Vorschlag für ein Europäisches Programm für den Schutz kritischer Infrastrukturen ( „EPSKI” ) vorzulegen, der auf einem alle Risiken abdeckenden Ansatz beruhen und vorrangig auf die Bekämpfung der Bedrohung durch den Terrorismus abstellen sollte. Ein derartiger Ansatz zum Schutz kritischer Infrastrukturen sollte sowohl von Menschen ausgehende technologische Bedrohungen als auch Naturkatastrophen berücksichtigen, vor allem jedoch sollte er sich mit der Gefahr möglicher Terroranschläge befassen.

(4)

Im April 2007 verabschiedete der Rat Schlussfolgerungen zum EPSKI, in denen er erneut darauf hinwies, dass letztlich die Mitgliedstaaten die Verantwortung für die Vorkehrungen zum Schutz kritischer Infrastrukturen innerhalb ihrer nationalen Grenzen tragen; zugleich begrüßte er aber auch die Bemühungen der Kommission, ein europäisches Verfahren zur Ermittlung und Ausweisung europäischer kritischer Infrastrukturen ( „EKI” ) sowie der Beurteilung der Notwendigkeit, ihren Schutz zu verbessern, zu entwickeln.

(5)

Diese Richtlinie ist ein erster Schritt in einem abgestuften Ansatz zur Ermittlung und Ausweisung von EKI und der Bewertung der Notwendigkeit, ihren Schutz zu verbessern. Somit konzentriert sich diese Richtlinie auf die Sektoren Energie und Verkehr; zudem sollte die Richtlinie einer Überprüfung unterzogen werden, um ihre Auswirkungen und die Notwendigkeit der Einbeziehung anderer Sektoren, u. a. der Informations- und Kommunikationstechnologien ( „IKT” ), in ihren Anwendungsbereich zu untersuchen.

(6)

Für den Schutz von EKI sind in erster Linie und in letzter Instanz die Mitgliedstaaten und die Eigentümer/Betreiber derartiger Infrastrukturen verantwortlich.

(7)

Es gibt in der Gemeinschaft eine Reihe wichtiger Infrastrukturen, deren Störung oder Zerstörung erhebliche grenzüberschreitende Auswirkungen hätte. Dies kann grenzüberschreitende sektorübergreifende Auswirkungen aufgrund miteinander verbundener und voneinander abhängiger Infrastrukturen umfassen. Derartige EKI sollten nach einem gemeinsamen Verfahren ermittelt und als solche ausgewiesen werden. Für die Auswertung von Sicherheitsanforderungen dieser Infrastrukturen sollte ein Mindestansatz befolgt werden. Bilaterale Regelungen für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet des Schutzes kritischer Infrastrukturen sind ein fest etabliertes und wirksames Mittel zum Schutz grenzüberschreitender kritischer Infrastrukturen. Das EPSKI sollte auf dieser Zusammenarbeit aufbauen. Informationen über die Ausweisung einer bestimmten Infrastruktur als EKI sollten in Einklang mit dem Gemeinschaftsrecht und dem innerstaatlichen Recht der Mitgliedstaaten mit dem geeigneten Geheimhaltungsgrad als Verschlusssache eingestuft werden.

(8)

Da es verschiedene Sektoren mit besonderem Erfahrungsschatz, Fachwissen und Anforderungsprofil in Bezug auf den Schutz kritischer Infrastrukturen gibt, sollte ein gemeinschaftsweiter Ansatz für einen derartigen Schutz entwickelt und umgesetzt werden, der den Eigenheiten der einzelnen Sektoren und den bestehenden sektorspezifischen Maßnahmen (einschließlich der bereits auf Gemeinschaftsebene, auf nationaler Ebene oder auf regionaler Ebene bestehenden Maßnahmen) sowie etwaiger bestehender und hierfür relevanter grenzüberschreitender Abkommen über gegenseitige Hilfe zwischen Eigentümern bzw. Betreibern kritischer Infrastrukturen) Rechnung trägt. Da der Privatsektor eine sehr wichtige Rolle bei der Risikobeherrschung und -bewältigung, der Notfallplanung und den Wiederherstellungsmaßnahmen nach Katastrophen spielt, müsste ein solcher Ansatz der Gemeinschaft auf die vollständige Einbindung des Privatsektors in die geplanten Maßnahmen abstellen.

(9)

Für den Energiesektor und insbesondere die Methoden der Elektrizitätserzeugung und -übertragung (in Bezug auf die Stromversorgung) gilt, dass — sofern dies als zweckmäßig betrachtet wird — der Begriff Elektrizitätserzeugung auch die zur Übertragung von Elektrizität verwendeten Komponenten von Kernanlagen abdecken kann, nicht jedoch die spezifisch kerntechnischen Komponenten, die von den einschlägigen Rechtsvorschriften im Nuklearbereich einschließlich von Verträgen und Gemeinschaftsrecht erfasst werden.

(10)

Diese Richtlinie soll die auf Gemeinschaftsebene und in den Mitgliedstaaten bestehenden sektorspezifischen Maßnahmen ergänzen. Sofern auf Gemeinschaftsebene bereits derartige Mechanismen vorhanden sind, sollten diese weiter genutzt werden und zur generellen Umsetzung dieser Richtlinie beitragen. Überschneidungen oder Widersprüche zwischen verschiedenen Gesetzen oder Bestimmungen sollten vermieden werden.

(11)

Sicherheitspläne ( „SP” ) oder gleichwertige Maßnahmen, in denen auf wichtige Anlagen hingewiesen und eine Gefahrenabschätzung vorgenommen wird sowie Gegenmaßnahmen und Verfahren ermittelt, ausgewählt und in eine Rangfolge gebracht werden, sollten in allen ausgewiesenen EKI vorhanden sein. Um unnötige Arbeit und Überschneidungen zu vermeiden, sollte jeder Mitgliedstaat zunächst beurteilen, ob die Eigentümer/Betreiber ausgewiesener EKI bereits über entsprechende SP oder ähnliche Maßnahmen verfügen. Sind solche Pläne nicht vorhanden, so sollte jeder Mitgliedstaat dafür sorgen, dass die erforderlichen Maßnahmen getroffen werden. Jeder Mitgliedstaat kann selbst darüber entscheiden, wie im Hinblick auf die Festlegung der SP am besten vorzugehen ist.

(12)

Maßnahmen, Grundsätze und Leitlinien einschließlich Gemeinschaftsmaßnahmen sowie bilaterale und/oder multilaterale Kooperationsregelungen, die einen mit dem SP vergleichbaren oder gleichwertigen Plan oder einen Sicherheitsbeauftragten bzw. eine Person mit vergleichbarer Aufgabenstellung vorschreiben, sollten als Erfüllung der Anforderungen dieser Richtlinie zum SP oder zu Sicherheitsbeauftragten gewertet werden.

(13)

In allen ausgewiesenen EKI sollten Sicherheitsbeauftragte ernannt werden, um die Zusammenarbeit und die Kommunikation mit den für den Schutz kritischer Infrastrukturen zuständigen nationalen Behörden zu erleichtern. Um unnötige Arbeit und Überschneidungen zu vermeiden, sollte jeder Mitgliedstaat zunächst beurteilen, ob die Eigentümer/Betreiber ausgewiesener EKI bereits über einen Sicherheitsbeauftragten oder eine Person mit vergleichbarer Aufgabenstellung verfügen. Ist kein Sicherheitsbeauftragter vorhanden, sollte jeder Mitgliedstaat die notwendigen Schritte unternehmen, um sicherzustellen, dass die erforderlichen Maßnahmen getroffen werden. Jeder Mitgliedstaat kann selbst darüber entscheiden, wie im Hinblick auf die Ernennung von Sicherheitsbeauftragten am besten vorzugehen ist.

(14)

Eine effiziente Ermittlung sektorspezifischer Risiken, Bedrohungen und Schwachstellen setzt voraus, dass die Eigentümer bzw. Betreiber von EKI mit den Mitgliedstaaten und die Mitgliedstaaten mit der Kommission in Verbindung stehen. Daher sollte jeder Mitgliedstaat Informationen über EKI in seinem Hoheitsgebiet sammeln. Die Mitgliedstaaten sollten der Kommission allgemeine Informationen über bestehende Risiken, Bedrohungen und Schwachstellen in Sektoren, in denen EKI ermittelt wurden, sowie gegebenenfalls über mögliche Verbesserungen der EKI und sektorübergreifende Abhängigkeiten übermitteln. Anhand dieser Informationen könnten sodann, soweit erforderlich, einschlägige Vorschläge der Kommission zur Verbesserung des Schutzes von EKI ausgearbeitet werden.

(15)

Um die Verbesserung des Schutzes von EKI zu erleichtern, könnten gemeinsame Methoden für die Ermittlung und Klassifizierung von Risiken, Bedrohungen und Schwachstellen, die in Bezug auf Infrastrukturanlagen bestehen, entwickelt werden.

(16)

Eigentümer/Betreiber von EKI sollten in erster Linie durch die zuständigen Behörden der Mitgliedstaaten Zugang zu Informationen über bewährte Verfahren und Methoden für den Schutz kritischer Infrastrukturen erhalten.

(17)

Ein wirksamer Schutz von EKI setzt Kommunikation, Koordination und Kooperation sowohl auf nationaler als auch auf Gemeinschaftsebene voraus. Dies lässt sich am besten dadurch erreichen, dass in jedem Mitgliedstaat Kontaktstellen für Fragen des Schutzes von EKI ( „European Critical Infrastructure Protection Contact Points” , abgekürzt „ECIP Contact Points” ) ausgewiesen werden, die Fragen des Schutzes von EKI untereinander sowie mit den Mitgliedstaaten und der Kommission koordinieren.

(18)

Um auch in Bereichen, in denen die Vertraulichkeit gewahrt bleiben muss, Maßnahmen zum Schutz von EKI entwickeln zu können, sollte im Rahmen dieser Richtlinie ein kohärenter und sicherer Informationsaustausch vorgesehen werden. Es ist wichtig, dass Bestimmungen über die Geheimhaltung nach nationalem Recht oder nach der Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission⁽³⁾ im Hinblick auf bestimmte Informationen über kritische Infrastrukturanlagen, die zur Planung und Durchführung von Handlungen mit unannehmbaren Folgen für kritische Infrastrukturen missbraucht werden könnten, eingehalten werden. Verschlusssachen sollten gemäß den einschlägigen Rechtsvorschriften der Gemeinschaft und der Mitgliedstaaten geschützt werden. Jeder Mitgliedstaat und die Kommission sollten den jeweiligen vom Verfasser festgelegten Geheimhaltungsgrad eines Dokuments respektieren.

(19)

Der Austausch von Informationen über EKI sollte in einem Klima des Vertrauens und der Sicherheit erfolgen. Die betreffenden Unternehmen und Organisationen müssen darauf vertrauen können, dass die von ihnen mitgeteilten sensiblen und vertraulichen Daten ausreichend geschützt werden.

(20)

Da die Ziele dieser Richtlinie, nämlich die Einführung eines Verfahrens zur Ermittlung und Ausweisung von EKI und eines gemeinsamen Ansatzes für die Bewertung der Notwendigkeit, den Schutz derartiger Infrastrukturen zu verbessern, auf Ebene der Mitgliedstaaten nicht ausreichend verwirklicht werden können und daher wegen ihres Umfangs besser auf Gemeinschaftsebene zu verwirklichen sind, kann die Gemeinschaft im Einklang mit dem in Artikel 5 des Vertrags niedergelegten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Richtlinie nicht über das zur Erreichung dieser Ziele erforderliche Maß hinaus.

(21)

Diese Richtlinie steht im Einklang mit den Grundrechten und Grundsätzen, die insbesondere mit der Charta der Grundrechte der Europäischen Union anerkannt wurden —

HAT FOLGENDE RICHTLINIE ERLASSEN: