Direktiv 2008/114/EF (EPCIP-direktivet) stiller krav
til medlemsstatene om identifisering og utpeking av europeisk kritisk
infrastruktur (EKI). For utpekt EKI skal det etableres en operatørsikkerhetsplan,
sikkerhetskontakt og rapporteringsrutiner. Departementet foreslår
å gjennomføre direktivet ved en endring i lov 25. juni nr. 45 om
kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven).
I lovforslaget ligger det en forutsetning om at ansvarsprinsippet
skal ligge til grunn. Det foreslås derfor at sektordepartementene
er ansvarlige for at EPCIP-direktivets krav blir oppfylt innen deres
ansvarsområde, og da særlig identifiserings- og utpekingsprosessen.
Det gjøres ingen endringer i allerede etablerte tilsynsregimer,
og tilsynsmyndigheter med særlig ansvar innen bestemte sektorer
må føre tilsyn med at direktivets krav oppfylles.
Det fremgår videre at det er strenge vilkår
for at en infrastruktur skal kunne pekes ut som «europeisk kritisk
infrastruktur». Når det gjelder den oversikten departementet besitter
er det ingen infrastrukturer som vil komme inn under dette regimet
pr. i dag. De infrastrukturer som eventuelt vil kunne bli omfattet av
disse kravene antas allerede i stor grad å ha regimer som vil oppfylle
kravene helt eller delvis gjennom sektorlovgivningen.
Direktivet pålegger EØS-statene å identifisere potensiell
europeisk kritisk infrastruktur (EKI) som tilfredsstiller nærmere
angitte sektorovergripende og sektorspesifikke kriterier. Departementet
foreslår å følge sektoransvarsprinsippet og at ansvaret for utpeking
av EKI legges til hvert enkelt departement innen deres myndighetsområde.
Objekteier plikter å foreslå overfor sitt respektive departement
hvilke av virksomhetens egne objekter som bør utpekes som EKI. Utpekingen
skal skje på grunnlag av avtale med de EØS-statene som kan bli berørt
i betydelig grad.
Direktivet gir krav om at hver enkelt EØS-stat skal
kontrollere at den enkelte utpekte europeiske kritiske infrastruktur
(EKI) innen deres territorium har en operatørsikkerhetsplan eller
tilsvarende. Det vises til at det eksisterer omfattende krav til
beredskapsplaner eller tilsvarende i sektorregelverket. Departementet
foreslår en egen bestemmelse om operatørsikkerhetsplaner for å fange
opp de områdene i sektorregelverket hvor EPCIP-direktivets krav
til operatørsikkerhetsplaner ikke er oppfylt i tilstrekkelig grad,
eller der det er virksomheter som ikke faller inn under aktuell
sektorlovgivning.
Direktivet pålegger EØS-statene å kontrollere
at alle utpekte europeiske kritiske infrastrukturer (EKI) innen
deres territorium har en sikkerhetskontakt eller tilsvarende, som
skal være et kontaktpunkt i forbindelse med sikkerhetsmessige spørsmål
mellom eieren/operatøren av EKI og EØS-statenes relevante myndighet.
Departementet viser til at det flere steder i sektorregelverket
allerede finnes krav om at virksomheter skal utpeke en sikkerhetsleder
eller tilsvarende. Det foreslås imidlertid en egen bestemmelse om
sikkerhetskontakt i tråd med ordlyden i direktivet for å fange opp
de områder hvor det ikke foreligger slike krav i dag.
Direktivet pålegger EØS-statene å foreta en
trusselvurdering for den enkelte undersektor av en europeisk kritisk
infrastruktur (EKI) senest innen et år etter at EKI har blitt utpekt.
EØS-statene skal hvert annet år rapportere til Kommisjonen/ESA generelle opplysninger
om de former for risiko, trusler og sårbarhet som er funnet i den
enkelte EKI-sektor. Plikten retter seg mot myndighetene og ikke
virksomhetene direkte. Rapporteringsplikten kan imidlertid nødvendiggjøre
kartlegging og informasjon fra virksomhetenes side, og en plikt
for virksomhetene til å medvirke til dette kan bare fastsettes med
hjemmel i lov. Det foreslås på denne bakgrunn en egen bestemmelse
om rapportering til relevant myndighet.
Ved en forglemmelse ble ikke hjemmelen til å
gi forskrifter om systematisk helse-, miljø- og sikkerhetsarbeid
(internkontroll) videreført. Departementet foreslår derfor å tilføye
denne hjemmelen nå.
Det er strenge vilkår for at en infrastruktur
skal kunne pekes ut som europeisk kritisk infrastruktur (EKI), og
at med hensyn til den oversikten departementene har i dag er det
ikke registrert EKI. De infrastrukturer som eventuelt vil bli omfattet
av disse kravene, antas allerede i stor grad å ha regimer som allerede
vil oppfylle kravene helt eller delvis gjennom sin sektorlovgivning.