Ved EØS-komiteens beslutning av 30. april 2012 ble det besluttet å endre EØS-avtalens protokoll 31 til å omfatte rådsdirektiv 2008/114/EF om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre. Direktivets formål er å etablere en enhetlig prosedyre for identifisering og utpeking av europeisk kritisk infrastruktur og en felles tilnærming til behovet for å bedre beskyttelsen av slik infrastruktur, for igjen å bidra til beskyttelse av befolkningen. Gjennomføringsfristen i EU var 12. januar 2011.

Beslutningen i EØS-komiteen ble fattet med forbehold om Stortingets samtykke, da gjennomføringen i norsk rett nødvendiggjør lovendring. Stortinget inviteres gjennom denne proposisjonen til å samtykke til godkjenning av EØS-komiteens beslutning.

På bakgrunn av terrorhendelsene i Madrid i 2004 og i London i 2005 igangsatte EU et arbeid for å sikre europeisk kritisk infrastruktur. EPCIP-rammeverket (European Programme for Critical Infrastructure Protection) omfatter beskyttelse mot både tilsiktede og utilsiktede uønskede hendelser – menneskeskapte og teknologiske trusler samt naturkatastrofer, men trusselen fra terrorangrep har likevel en uttrykt prioritet. Ett av de viktigste elementene i EPCIP er direktiv 2008/114/EF av 8. desember 2008 om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre (EPCIP-direktivet). EPCIP-direktivet berører i første omgang transport- og energisektoren, men antas å kunne utvides til flere områder, blant annet til informasjons- og kommunikasjonsteknologi (IKT).

Etter EPCIP-direktivet skal medlemsstatene identifisere og utpeke europeisk kritisk infrastruktur, dvs. kritisk infrastruktur som befinner seg i medlemsstatene, og hvor driftsforstyrrelse eller ødeleggelse vil få betydelige konsekvenser for to eller flere medlemsstater.

I henhold til direktivet skal det for utpekt europeisk kritisk infrastruktur opprettes en operatørsikkerhetsplan og en sikkerhetskontakt i virksomheten. Det presiseres i direktivet at det er den enkelte medlemsstat som selv avgjør hva som vil være den mest hensiktsmessige formen for tiltak med hensyn til utforming av sikkerhetsplaner for operatørene. Utgangspunktet er at hovedansvaret og det endelige ansvaret for å beskytte europeisk kritisk infrastruktur hviler på medlemsstatene og eierne/operatørene av infrastrukturen.

I norsk rett finnes per i dag ingen lover som konkret omfatter beskyttelse av europeisk kritisk infrastruktur. Det finnes imidlertid en del spredte krav i sektorlovgivningen som kan brukes for å beskytte nasjonal kritisk infrastruktur, og disse bestemmelsene kan på noen områder oppfylle enkelte av artiklene i direktivet. Når det gjelder artikkel 5 om operatørsikkerhetsplan og artikkel 6 om sikkerhetskontakt, vil disse kravene kun komme til anvendelse dersom virksomheten ikke har tilsvarende ordninger fra før.

Justis- og beredskapsdepartementet har funnet det hensiktsmessig å gjennomføre direktivet ved en endring i sivilbeskyttelsesloven. Dette vil sikre en helhet i lovgrunnlaget til departementet og Direktoratet for samfunnssikkerhet og beredskap (DSB), som er ansvarlig for å samordne oppfølgingen av direktivet i Norge.

Justis- og beredskapsdepartementet har fremmet en proposisjon til Stortinget med de nødvendige lovendringer, jf. Prop. 129 L (2011–2012).

Samlet sett antas gjennomføringen av direktivet å kunne skje innenfor allerede etablerte ordninger, og det antas derfor ikke å medføre økonomiske eller administrative konsekvenser av betydning.

EPCIP-direktivet om identifisering og utpeking av europeisk kritisk infrastruktur etablerer en felles prosedyre og en felles tilnærming til behovet for å bedre beskyttelsen av europeisk kritisk infrastruktur. Direktivet er et viktig bidrag i arbeidet for å motvirke terrorangrep og trusler om terrorangrep og bedre beredskapen generelt, og det er derfor ønskelig at Norge deltar i dette samarbeidet.

Justis- og beredskapsdepartementet tilrår godkjennelse av beslutningen i EØS-komiteen om endring av EØS-avtalens protokoll 31 til å omfatte rådsdirektiv 2008/114/EF om identifisering og utpeking av europeisk kritisk infrastruktur og vurdering av behovet for å beskytte den bedre. Utenriksdepartementet slutter seg til dette.