Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Sammendrag

Direktiv 2008/114/EF (EPCIP-direktivet) stiller krav til medlemsstatene om identifisering og utpeking av europeisk kritisk infrastruktur (EKI). For utpekt EKI skal det etableres en operatørsikkerhetsplan, sikkerhetskontakt og rapporteringsrutiner. Departementet foreslår å gjennomføre direktivet ved en endring i lov 25. juni nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven). I lovforslaget ligger det en forutsetning om at ansvarsprinsippet skal ligge til grunn. Det foreslås derfor at sektordepartementene er ansvarlige for at EPCIP-direktivets krav blir oppfylt innen deres ansvarsområde, og da særlig identifiserings- og utpekingsprosessen. Det gjøres ingen endringer i allerede etablerte tilsynsregimer, og tilsynsmyndigheter med særlig ansvar innen bestemte sektorer må føre tilsyn med at direktivets krav oppfylles.

Det fremgår videre at det er strenge vilkår for at en infrastruktur skal kunne pekes ut som «europeisk kritisk infrastruktur». Når det gjelder den oversikten departementet besitter er det ingen infrastrukturer som vil komme inn under dette regimet pr. i dag. De infrastrukturer som eventuelt vil kunne bli omfattet av disse kravene antas allerede i stor grad å ha regimer som vil oppfylle kravene helt eller delvis gjennom sektorlovgivningen.

Direktivet pålegger EØS-statene å identifisere potensiell europeisk kritisk infrastruktur (EKI) som tilfredsstiller nærmere angitte sektorovergripende og sektorspesifikke kriterier. Departementet foreslår å følge sektoransvarsprinsippet og at ansvaret for utpeking av EKI legges til hvert enkelt departement innen deres myndighetsområde. Objekteier plikter å foreslå overfor sitt respektive departement hvilke av virksomhetens egne objekter som bør utpekes som EKI. Utpekingen skal skje på grunnlag av avtale med de EØS-statene som kan bli berørt i betydelig grad.

Direktivet gir krav om at hver enkelt EØS-stat skal kontrollere at den enkelte utpekte europeiske kritiske infrastruktur (EKI) innen deres territorium har en operatørsikkerhetsplan eller tilsvarende. Det vises til at det eksisterer omfattende krav til beredskapsplaner eller tilsvarende i sektorregelverket. Departementet foreslår en egen bestemmelse om operatørsikkerhetsplaner for å fange opp de områdene i sektorregelverket hvor EPCIP-direktivets krav til operatørsikkerhetsplaner ikke er oppfylt i tilstrekkelig grad, eller der det er virksomheter som ikke faller inn under aktuell sektorlovgivning.

Direktivet pålegger EØS-statene å kontrollere at alle utpekte europeiske kritiske infrastrukturer (EKI) innen deres territorium har en sikkerhetskontakt eller tilsvarende, som skal være et kontaktpunkt i forbindelse med sikkerhetsmessige spørsmål mellom eieren/operatøren av EKI og EØS-statenes relevante myndighet. Departementet viser til at det flere steder i sektorregelverket allerede finnes krav om at virksomheter skal utpeke en sikkerhetsleder eller tilsvarende. Det foreslås imidlertid en egen bestemmelse om sikkerhetskontakt i tråd med ordlyden i direktivet for å fange opp de områder hvor det ikke foreligger slike krav i dag.

Direktivet pålegger EØS-statene å foreta en trusselvurdering for den enkelte undersektor av en europeisk kritisk infrastruktur (EKI) senest innen et år etter at EKI har blitt utpekt. EØS-statene skal hvert annet år rapportere til Kommisjonen/ESA generelle opplysninger om de former for risiko, trusler og sårbarhet som er funnet i den enkelte EKI-sektor. Plikten retter seg mot myndighetene og ikke virksomhetene direkte. Rapporteringsplikten kan imidlertid nødvendiggjøre kartlegging og informasjon fra virksomhetenes side, og en plikt for virksomhetene til å medvirke til dette kan bare fastsettes med hjemmel i lov. Det foreslås på denne bakgrunn en egen bestemmelse om rapportering til relevant myndighet.

Ved en forglemmelse ble ikke hjemmelen til å gi forskrifter om systematisk helse-, miljø- og sikkerhetsarbeid (internkontroll) videreført. Departementet foreslår derfor å tilføye denne hjemmelen nå.

Det er strenge vilkår for at en infrastruktur skal kunne pekes ut som europeisk kritisk infrastruktur (EKI), og at med hensyn til den oversikten departementene har i dag er det ikke registrert EKI. De infrastrukturer som eventuelt vil bli omfattet av disse kravene, antas allerede i stor grad å ha regimer som allerede vil oppfylle kravene helt eller delvis gjennom sin sektorlovgivning.