EU – Critical Infrastructure Protection in the fight against terrorism EU har styrket innsatsen på området CIP ved at Ministerrådet støtter opprettelsen av et

EU-program for beskyttelse av kritisk infrastruktur (EPCIP) etter forslag fra Kommisjonen.⁹¹ Kommisjonen følger opp Rådets tilslutning i en grønnbok om beskyttelse av kritisk

infrastruktur.⁹² Her fremlegges diskusjonsforslag til hva et slikt program skal inneholde. Formålet

91 Ministerrådets konklusjoner: Prevention, Preparedness and Response to Terrorist Attacks og EU solidarity Programme on the Consequences of Terrorist Threats and Attacks av desember 2004 samt Kommisjonens meddelelse: Communication from the Commission to the Council and the European Parliament. COM (2004) 702 final. Critical Infrastructure Protection in the fight against terrorism.

Brussels. 20.10.2004.

92 Commision of the European Comunities 2005. Green Paper on a European Programme for Critical Infrastructure Protection. Brussels, 17.11.2005. COM (2005) 576 final.

FFI-rapport 2007/00875 99

er å sikre et hensiktsmessig og ensartet beskyttelsesnivå for kritisk infrastruktur, å minimere de svake punkter og å teste beredskapsordninger i EU. Kommisjonen foreslår et sett med kriterier for å fastslå hva kritisk infrastruktur er.

6.10.1 EUs forslag til kriterier i følge kommisjonen

I Kommisjonens meddelelse blir det fastslått at Europas infrastrukturer i høy grad er

sammenkoblet og gjensidig avhengige. Sammenslåing av selskaper, rasjonalisering av industri, effektivisering av forretningspraksis slik som just-in-time prinsippet og befolkningskonsentrasjon til urbane områder har alle bidratt til det. Videre henvises det til at Europas kritiske infrastrukturer er blitt mer avhengig av vanlig informasjonsteknologi, inkludert internett og verdensrombasert radionavigasjon og kommunikasjon. Problemer kan spres gjennom gjensidig avhengige infrastrukturer, og skape uventede og alvorlig svikt i essensielle tjenester. Sammenkobling og gjensidige avhengigheter gjør disse infrastrukturene mer sårbare for avbrudd og ødeleggelse.

Kommisjonen foreslår en definisjon av europeisk kritisk infrastruktur (EKI) i grønnbokens første anneks. EKI bestemmes i hovedsak ut fra dens grenseoverskridende effekt, det vil si om en hendelse har effekt på to eller flere medlemsstater. En vurdering av alvorlighetsgrad baseres på tre faktorer.⁹³

1. Geografisk rekkevidde – Tap av et kritisk infrastrukturelement er rangert ut fra omfanget av det geografiske området som kan bli berørt av tapet eller av manglende tilgjengelighet – ut over to eller tre medlemsstaters territorium.⁹⁴ Graden av innvirkning eller tap kan vurderes til Ingen, Minimal, Moderat eller Stor. For å vurdere potensiell størrelse kan man se på:

a) Innvirkning på publikum (antall mennesker berørt, tap av liv, sykdom, alvorlig skade, evakuering).

b) Økonomisk innvirkning (effekt på BNP, betydning av økonomisk tap og/eller degradering av produkter og tjenester).

c) Innvirkning på miljøet (innvirkning på befolkningen og de omliggende områder).

d) Innvirkning på gjensidig avhengighet (mellom andre kritiske infrastrukturelementer).

e) Politisk innvirkning (tillit til myndighetenes evne til å utøve myndighet).

f) Psykologiske effekter kan ved mange tilfeller føre til en eskalering av mindre hendelser.

2. Effekter av tid – for eksempel kan en sky med radioaktivt innhold krysse statsgrenser over tid.

3. Grad av gjensidig avhengighet – for eksempel hvilken effekt en elektrisk nettverksfeil i

93 I den tidligere Kommisjonens meddelelse var disse faktorene nært identiske med de som Canada foreslår i sin metode fra desember 2002, ref.: Draft. Tool to Assist Owners and Operators to Identify Critical Infrastructure Assets. Office of Critical Infrastructure Protection and Emergency Preparedness. 19 December 2002. www.ocipep.gc.ca/critical/nciap_criteria_e.asp

94 Om det skal være to eller tre medlemsstater er en del av debatten i anledning grønnboken. Med tre stater som minstekrav ekskluderes allerede eksisterende bilateralt samarbeid om kritisk infrastruktur.

100 FFI-rapport 2007/00875

én medlemsstat har på en annen.

Kommisjonen foreslår en prosess i syv steg.

1) Kommisjonen og medlemsstatene setter kriteriene for å identifisere EKI på sektorspesifikk basis.

2) Identifisering og verifisering av sektorspesifikk EKI. Hvorvidt en kritisk infrastruktur er europeisk bestemmes på EU-nivå ut fra dens grenseoverskridende natur (to eller tre medlemsstater), med unntak av forsvarsrelatert infrastruktur.

3) Medlemslandene og Kommisjonen analyserer eventuelle mangler og tomrom innen EKI ut fra enkeltsektorer.

4) Kommisjonen og statene enes om hvilke sektorer og EKI som bør ha prioritet, også tatt i betraktning gjensidige avhengigheter.

5) Kommisjonen og landene setter minstekrav for beskyttelsestiltak, der det er relevant.

6) Etter Rådets godkjenning implementeres disse tiltakene.

7) Kommisjonen, sammen med egne organ i medlemslandene overvåker og oppdaterer EPCIP-implementeringen.⁹⁵

Det foreslåes at operatørene selv utarbeider sikkerhetsplaner (Operator Security Plans, OSP), som identifiserer kritisk infrastruktur hos operatøren selv, og etablerer relevante

beskyttelsesløsninger. OSP vil kunne være en bottom-up tilnærming som gir større spillerom (og ansvar) i privat sektor.

I Kommisjonens grønnbok legges ved en indikativ liste over sektorer som kan inneholde kritiske infrastrukturer, med tilhørende produkter og tjenester, se Tabell 6.20. Denne listen er kun ment som diskusjonsgrunnlag, og er ikke utarbeidet med bakgrunn i en spesifikk metode.⁹⁶

95 Kommisjonen foreslår egne National CIP Coordination Bodies (NCCB)

96 Samtale med Piotr Rydzkowski, CIP Desk officer, DG JLS.D.1, 27.01.2006

FFI-rapport 2007/00875 101 Tabell 6.20 Kritisk infrastruktur i EU

6.10.2 Utfordringer og videre utvikling

EPCIP er fremdeles i startgropen når det gjelder identifisering av europeisk kritisk infrastruktur.

For eksempel er det usikkert hvordan nasjonale kritiske infrastrukturer skal behandles i forhold til europeisk infrastruktur, men det er klart at medlemsstatene har mulighet til å være mer restriktive angående for eksempel minstekrav til sikkerhet, enn hva EPCIP kan legge opp til.

Kommisjonen har utlyst flere pilotprosjekter innen EPCIP, blant annet på området

sårbarhetsmetode og utholdenhet i kritisk infrastruktur, herunder metodeutvikling.⁹⁷ Disse prosjektene skal delfinansieres av EU, og kan føre arbeidet flere skritt videre mot en europeisk

97 EU EPCIPs Pilotprogram: http://ec.europa.eu/justice_home/funding/epcip/funding_epcip_en.htm

102 FFI-rapport 2007/00875

strategi for beskyttelse av kritisk infrastruktur. Et forslag til fullstendig program for beskyttelse av kritisk infrastruktur skal forelegges.

Deler av EPCIP, og spesielt det sektorspesifikke arbeidet videreføres, til tross for at man ennå ikke er enige om et felles rammeverk for EPCIP. For eksempel er det utarbeidet spørreskjema til europeiske regjeringer samt bedrifter om risikoberedskap på områder som

informasjonssikkerhet,⁹⁸ energi og transport. Man har også bedt alle medlemsland, inklusive Norge, om å utnevne nasjonale kontaktpersoner for beskyttelse av kritisk infrastruktur. I Norge er kontaktpersonen i Justis- og politidepartementet.

Norsk nytte av EPCIP kan begrenses av at tilgang til deler av informasjonen i EPCIP i følge forslaget i grønnboken vil bli gradert og kun utveksles på need-to-know-basis. I tillegg er det mindre sannsynlig at man kommer frem til en omforent metode blant alle medlemslandene som er tilstrekkelig spesifikk til at den kan gi nyttige innspill til BAS5.