Regeringskansliet

Faktapromemoria 2005/06:FPM43

Skydd av kritisk infrastruktur inom EU

Försvarsdepartementet

2006-02-07

Dokumentbeteckning

KOM (2005) 576 Slutlig

Grönbok om ett europeiskt program för skydd av kritisk infrastruktur

Sammanfattning

På mandat från Europeiska Rådet föreslår EU-kommissionen att ett europeiskt program för skydd av kritisk infrastruktur (EPCIP) tas fram för att stärka skyddet av sådan infrastruktur vars störning skulle få konsekvenser i flera länder. I grönboken finns olika alternativ för utformningen av programmet samtidigt som det är tydligt vilka alternativ kommissionen förespråkar. Programmet föreslås bestå i ett ramverk med gemensamma definitioner, kriterier för bedömning av kritisk infrastruktur samt ett harmoniserat sätt att arbeta med frågorna i EU:s länder. På basis av detta skulle ett antal åtgärder vidtas för att identifiera kritisk infrastruktur och utvärdera dess skydd.

Sverige ser positivt på detta samarbete men anser att kommissionen föreslår alltför genomgripande åtgärder, framförallt vad gäller harmonisering av arbetssätt i medlemsstaterna. Det av kommissionen föreslagna arbetssättet är mer centraliserat och reglerande än det svenska, och skulle få konsekvenser för svensk lagstiftning på området. Det är viktigt att detta samarbete inte innebär att ansvaret för skyddet av infrastrukturen förs över från sektorerna till en central aktör.

1Förslaget

1.1Innehåll

Europeiska kommissionens grönbok föreslår ett antal alternativa handlingsalternativ för hur skyddet av kritisk infrastruktur inom EU bör utformas. Kärnan är ett europeiskt program för skydd av kritisk infrastruktur (EPCIP). Grönboken redovisar i vissa stycken olika handlingsalternativ men i texterna framgår relativt tydligt vilka alternativ som kommissionen föredrar. Kommissionen har också i tidigare sammanhang uttalat hur man önskar att skyddet ska utformas.

Kommissionen föreslår en definition av kritisk infrastruktur som de fysiska resurser, tjänster, informationstekniska utrustningar, nät och infrastrukturanläggningar, som, om de utsätts för störningar eller förstörs skulle få allvarliga konsekvenser för hälsa, trygghet, säkerhet samt ekonomiska eller sociala förhållanden. Ifall dessa konsekvenser berör flera EU-länder ska infrastrukturen klassas som europeisk kritisk infrastruktur (ECI), övrig infrastruktur som nationell kritisk infrastruktur (NCI). En öppen fråga är huruvida det ska krävas att tre eller fler länder berörs för att en infrastruktur ska klassas som ECI eller om det ska räcka med två.

Flera sektorer som omfattas av begreppet kritisk infrastruktur är redan idag del av den europeiska gemenskapen. Det gäller t.ex. stora delar av transportlagstiftningen. De förslag som ingår i grönboken innebär ingen förändring av ansvarsförhållandet mellan kommissionen och medlemsländerna.

För ECI föreslår kommissionen till att börja med ett ramverk för skyddet av den kritiska infrastrukturen. I grönboken ställs frågan om detta bör vara lagstiftat, vilket framgår tydligt att kommissionen föredrar. Detta ramverk skulle bestå av:

överenskommelse om definitioner, kriterier och en lista på berörda sektorer som en utgångspunkt för fortsatt arbete;

överenskommelse om en beskrivning av ansvarsfördelning mellan inblandade aktörer;

att varje land utser en myndighet som övervakar skyddet av den samhällsviktiga infrastrukturen på det egna territoriet och fungerar som kontaktpunkt gentemot kommissionen

en skyldighet för privata aktörer som äger eller driver infrastruktur som klassas som kritisk att lämna över information till ovan nämnda myndighet, att utse en särskild kontaktperson för kontakter med myndigheter i dessa frågor, att fastställa en säkerhetsplan enligt fastställd mall och att delta i framtagandet av myndighetens krisplanering;

Kommissionen konstaterar att det inte går att skydda all infrastruktur och föreslår följande åtgärder för att optimera skyddet av ECI:

att identifiera infrastrukturinstallationer som bör klassas som ECI och att beslut om sådan klassning tas på EU-nivå;

att medlemsstaterna och kommissionen tillsammans analyserar skyddet av dessa installationer, prioriterar mellan dem och överenskommer vilka åtgärder som behöver vidtas i termer av standarder eller reglering;

dessa åtgärder beslutas sedan gemensamt i rådet;

genomförandet av dessa åtgärder övervakas av medlemsländerna och kommissionen.

Ytterligare en fråga som ställs är huruvida den nationella kritiska infrastrukturen (NCI) bör omfattas av ramverket och de åtgärder som föreslås. Kommissionen indikerar tydligt att man anser att NCI borde regleras på ett liknande sätt som föreslås för ECI.

Frågan om vilka hot som EPCIP ska beakta tas också upp. Kommissionen föredrar att alla hot bör beaktas men lämnar också alternativet att programmet ska begränsa sig till terroristhotet.

Slutligen föreslår kommissionen att ett nätverk inrättas för att utbyta information runt skyddet av kritisk infrastruktur (CIWIN). Kommissionen förespråkar att det får funktionen av ett varningsnätverk för att sprida information och underrättelser om omedelbara hot mot den kritiska infrastrukturen och inträffade händelser. Ett mindre ambitiöst alternativ anges där nätverket tjänar som ett forum för utbyte av erfarenheter och strategiska riskbedömningar.

1.2Gällande svenska regler och förslagets effekt på dessa

Sverige har ingen lagstiftning direkt motsvarande den som kommissionen föreslår. Det svenska säkerhetsarbetet sker på ett mer decentraliserat sätt. Det föreslagna ramverket griper över ett stort antal verksamheter i samhället och det är därför svårt att i detta skede närmare bedöma effekterna på nuvarande reglering. Det skulle sannolikt få effekt på lagstiftning som reglerar verksamheten i utpekade infrastruktursektorer, närmast elförsörjning, elektroniska kommunikationer, dricksvattenförsörjning etc. Om förslaget om ett i EU-lagstiftning (troligen då i ett direktiv) reglerat ramverk för skydd av kritisk infrastruktur blir verklighet skulle sannolikt ny lagstiftning behövas införas i Sverige riktad mot de aktörer som äger och driver infrastruktur som klassas som kritisk.

1.3Budgetära konsekvenser

Det föreslagna programmets budgetära konsekvenser är svårbedömbara. De direkta konsekvenserna är sannolikt i ringa i det korta perspektivet. Däremot kan effekterna bli betydande på sikt beroende av i vilken mån resultatet blir ökade säkerhetskrav på den kritiska infrastrukturen. Kommissionen är tydlig med att de säkerhetshöjande åtgärder som krävs inte kan bekostas över EU:s gemensamma budget. Då det till största del är privata ägare och operatörer som äger och driver infrastrukturen skulle det mesta av kostnaderna uppstå hos dessa aktörer. Statsbudgeten skulle påverkas om staten ersätter privata aktörers kostnader eller äger infrastruktur som skulle klassas som kritisk, exempelvis olika former av transportinfrastruktur.

Ifall nationell kritisk infrastruktur inkluderas i programmet skulle de budgetära konsekvenserna bli betydande även för kommunerna och i högre grad för staten.

2Ståndpunkter

2.1Svensk ståndpunkt

Sverige har välkomnat en utveckling av samarbetet på området eftersom infrastrukturen i allt högre grad sträcker sig över flera länders territorium. Samtidigt är det viktigt att poängtera att skydd av kritisk infrastruktur är en nationell kompetens och att EU här bör inta en stödjande roll. De svenska förslagen och ståndpunkterna innebär inte att någon förändring föreslås för de områden som redan idag omfattas av gemenskapen.

Sverige är positivt till att ett ramverk tas fram för arbetet med skydd av kritisk infrastruktur i EU. Det bör dock inte vara lagstiftat och vara mer begränsat i sin omfattning än vad kommissionen föreslår.

Grönbokens förslag om att överenskomma definitioner och kriterier är positiva. Sverige instämmer i stort i den föreslagna definitionen men föredrar att gränsen för ECI ska gå vid tre eller fler medlemsstater. Det är också viktigt att slå fast ansvarsfördelningen mellan den nationella nivån och EU. Däremot bör frågor om hur länderna organiserar sin förvaltning för att skydda infrastrukturen lämnas utanför ett gemensamt ramverk. Detsamma gäller förhållandet mellan myndigheter och privata aktörer där Sverige för det första anser att det är upp till varje medlemsstat att bestämma om detta, och för det andra anser att kommissionens ansats är alltför inriktad mot reglering.

Vad gäller de föreslagna åtgärderna anser Sverige att flera av dem är olämpliga. För det första går åtgärderna för långt in på medlemsstaternas kompetens. Det gäller särskilt förslaget att gemensamt bestämma hur skyddet ska utformas för infrastrukturinstallationer belägna i medlemsstaterna. För det andra utgör de, ur ett svenskt perspektiv, en alltför stor centralisering. Att skapa en lista med infrastrukturobjekt som är särskilt viktiga och samla information om dessa centralt kan bli en säkerhetsrisk i sig. Ansvaret för att skydda infrastrukturen, exempelvis genom framtagande av säkerhetsstandards, ligger i de olika sektorerna och bör inte föras över på en central aktör. Inom EU varierar den gemensamma kompetensen från område till område. Den centrala aktören, i detta fall EPCIP, ska utgöra ett stöd för dem som har ansvar för skyddet.

Sverige menar istället att man bör ha en stegvis utveckling av samarbetet för skydd av samhällsviktig infrastruktur. I ett inledande skede bör arbetet fokuseras på kunskapsutbyte, kunskapsuppbyggnad och medvetandegörande då många EU-länder ännu är främmande för begreppet CIP. En lämplig åtgärd kan vara att ta fram och genomföra en gemensam kurs om skydd av kritisk infrastruktur. EPCIP bör på sikt kunna utvecklas till ett rådgivande organ som konsulteras när lagstiftning tas fram i berörda sektorer. EPCIP har också en roll i att formulera prioriteringar för EU:s säkerhetsforskningsprogram som har tydliga kopplingar till skyddet av kritisk infrastruktur.

EPCIP bör fokusera på sådana typer av infrastruktur som berör flera länder.

2.2Medlemsstaternas ståndpunkter

Det stora flertalet medlemsstater delar Sveriges ståndpunkter i frågan.

I frågan om vilka hot EPCIP bör ta hänsyn finns en majoritet för en helhetssyn som inbegriper alla hot men en stark minoritet som vill fokusera mot terrorism.

2.3Institutionernas ståndpunkter

Ministerrådet för rättsliga och inrikes frågor uttalade sig om skyddet av kritisk infrastruktur den 2 december 2005 (Rådsdokument 14689/05). I slutsatserna från mötet slogs bland annat fast att medlemsstaterna har det primära ansvaret för att skydda infrastrukturen belägen på sitt territorium och att EU:s roll är att stödja och komplettera dessa ansträngningar. EPCIP bör baseras på en helhetssyn på hot och risker men med visst fokus mot terrorism.

Europaparlamentet har publicerat ett betänkande som stödjer inrättandet av EPCIP och som till stora delar går på kommissionens linje. Parlamentet pekar särskilt på behovet av åtgärder för informationssäkerhet. (Europaparlamentets rekommendation till Europeiska rådet och rådet om skydd av viktig infrastruktur i kampen mot terrorismen (2005/2044(INI))

2.4Remissinstansernas ståndpunkter

Krisberedskapsmyndigheten (KBM) stödjer regeringen i utarbetandet av ett svar på grönboken. Myndigheten har, med utgångspunkt i de ståndpunkter som redovisas ovan, bett om synpunkter från ett stort antal samverkansmyndigheter. Det har dock inte handlat om en regelrätt remiss. Svar har inkommit från ett fåtal myndigheter vilka ställer sig bakom de ståndpunkter som redovisas i denna PM.

3Övrigt

3.1Fortsatt behandling av ärendet

Kommissionen har utlovat en analys av de svar man fått in på grönbokskonsultationen i slutet av mars. Ett förslag till program har aviserats till i maj. Detta kommer sannolikt att tas upp av ministerrådet (RIF) i rådsslutsatser i slutet av Österrikes ordförandeskap.

Parallellt med behandlingen av EPCIP behandlas under våren ett förslag till finansiering av åtgärder i anslutning till skydd av kritisk infrastruktur som en del av arbetet inför det nya finansiella perspektivet 2007-2013.

3.2Rättslig grund och beslutsförfarande

Det finns ingen särskild artikel vare sig i EU- eller EG-fördragen för kritisk infrastruktur som separat område. Därför anges artikel 308 i EG-fördraget som rättslig grund. För de frågor som berörs vilka omfattas av gemenskapen gäller EG-fördraget på vanligt sätt.

3.3Fackuttryck/termer

Kritisk infrastruktur (eng Critical Infrastructure) har ännu ingen fastställd definition inom EU. Olika länder har olika men liknande definitioner. I Sverige använder Krisberedskapsmyndigheten begreppet samhällsviktig infrastruktur med liknande men smalare betydelse.

EPCIP (European Programme For Critical Infrastructure Protection) är det handlingsprogram som ska överenskommas och som ska specificera vilka åtgärder som kommer att tas för att skydda den kritiska infrastrukturen i Europa.

CIWIN (Critical Information Warning and Information Network) är det nätverk som kommissionen föreslår ska binda ihop experter på skydd av kritisk infrastruktur i medlemsländerna och kommissionen.

ECI (European Critical Infrastructure) är infrastruktur som är så viktig att om den störs eller förstörs innebär de allvarliga konsekvenser för kritiska samhällsfunktioner i fler än tre medlemsländer. (preliminär definition)

NCI (National Critical Infrastructure) är infrastruktur som är så viktig att om den störs eller förstörs innebär de allvarliga konsekvenser för kritiska samhällsfunktioner i färre än tre medlemsländer. (preliminär definition)