+351 213 243 750

info@isofficer.com

Identificação e Designação das Infra-Estruturas Críticas Europeias e Avaliação da Necessidade de Melhorar a sua Protecção

Abr 21, 2021 | Segurança da Informação

Directiva 2008/114/CE, de 08 de dezembro – Identificação e Designação das Infra-Estruturas Críticas Europeias e Avaliação da Necessidade de Melhorar a sua Protecção.

Relativa à identificação e designação das infra-estruturas críticas europeias e à avaliação da necessidade de melhorar a sua protecção.

https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32008L0114&from=PT

O CONSELHO DA UNIÃO EUROPEIA,

Tendo em conta o Tratado que institui a Comunidade Europeia, nomeadamente o artigo 308.o,

Tendo em conta a proposta da Comissão,

Tendo em conta o parecer do Parlamento Europeu (1),

Tendo em conta o parecer do Banco Central Europeu (2),

Considerando o seguinte:

(1)

Em Junho de 2004, o Conselho Europeu solicitou a elaboração de uma estratégia global de protecção das infra-estruturas críticas. Em resposta a esse pedido, a Comissão adoptou, em 20 de Outubro de 2004, uma comunicação relativa à protecção das infra-estruturas críticas no âmbito da luta contra o terrorismo, que apresenta sugestões sobre como reforçar a prevenção, o estado de preparação e a capacidade de resposta da Europa a atentados terroristas que envolvam infra-estruturas críticas.

(2)

Em 17 de Novembro de 2005, a Comissão adoptou um livro verde sobre um Programa Europeu de Protecção das Infra-estruturas Críticas, com opções políticas relativas à elaboração deste programa e da Rede de Alerta para as Infra-Estruturas Críticas. As reacções ao livro verde puseram em evidência o valor acrescentado de um enquadramento comunitário em matéria de protecção das infra-estruturas críticas. Foi reconhecida a necessidade de aumentar a capacidade de protecção das infra-estruturas críticas na Europa e de contribuir para diminuir a sua vulnerabilidade. Foi também sublinhada a importância de que se revestem os princípios fundamentais da subsidiariedade, da proporcionalidade e da complementaridade e o diálogo entre as partes interessadas.

(3)

Em Dezembro de 2005, o Conselho (Justiça e Assuntos Internos) solicitou à Comissão que apresentasse uma proposta de Programa Europeu de Protecção das Infra-estruturas Críticas (PEPIC) e decidiu que este deveria assentar na abordagem de todos os riscos, com destaque para a luta contra as ameaças de terrorismo. Esta abordagem deveria atender às ameaças humanas e tecnológicas e às catástrofes naturais no processo de protecção das infra-estruturas críticas, embora devesse privilegiar as ameaças de terrorismo.

(4)

Em Abril de 2007, o Conselho aprovou conclusões sobre o PEPIC, em que reafirmava que cabe, em última instância, aos Estados-Membros assegurar a protecção das infra-estruturas críticas nos respectivos territórios e se congratulava com os esforços desenvolvidos pela Comissão para desenvolver um procedimento europeu de identificação e designação de Infra-estruturas Críticas Europeias (ICE) e avaliação da necessidade de melhorar a sua protecção.

(5)

A presente directiva constitui a primeira etapa de uma abordagem faseada para identificar e designar as ICE e avaliar a necessidade de melhorar a sua protecção. Concentra-se, enquanto tal, nos sectores da energia e dos transportes, e deverá ser revista com o objectivo de avaliar o seu impacto e a necessidade de incluir no seu âmbito de aplicação outros sectores, designadamente o das Tecnologias da Informação e Comunicação (TIC).

(6)

A responsabilidade pela protecção das ICE cabe, em primeira e última instância, aos Estados-Membros e aos proprietários/operadores dessas infra-estruturas.

(7)

Existem na Comunidade diversas infra-estruturas críticas cuja perturbação ou destruição teria um impacto transfronteiras significativo. Poderá tratar-se de efeitos intersectoriais transfronteiriços resultantes de interdependências entre infra-estruturas interligadas. Essas ICE deverão ser identificadas e designadas por intermédio de um procedimento comum. A avaliação dos requisitos de segurança dessas infra-estruturas deverá obedecer a orientações comuns mínimas. Os regimes bilaterais de cooperação entre os Estados-Membros no domínio da protecção das infra-estruturas críticas constituem um meio já consagrado e eficaz de tratar das infra-estruturas críticas transfronteiriças. O PEPIC deverá assentar nessa cooperação. As informações respeitantes à designação de uma infra-estrutura como ICE deverão ser classificadas ao nível adequado, em conformidade com a legislação comunitária e nacional em vigor.

(8)

Uma vez que vários sectores se caracterizam por experiências, competências e requisitos específicos em relação à protecção das infra-estruturas críticas, deverá ser elaborada e aplicada neste domínio uma abordagem comunitária que atenda às especificidades sectoriais e às medidas já adoptadas nos diversos sectores, nomeadamente a nível comunitário, nacional ou regional, e, se for caso disso, a acordos de assistência mútua transfronteiras que tenham já sido celebrados entre os proprietários/operadores de infra-estruturas críticas. Dada a participação muito significativa do sector privado no controlo e gestão dos riscos, nos planos de continuidade da exploração e na recuperação pós-catástrofes, a abordagem comunitária deverá incentivar o pleno envolvimento deste sector.

(9)

No que respeita ao sector da energia e, em particular, aos métodos de produção e transporte de electricidade (em termos de abastecimento), entende-se que, se assim se considerar adequado, a produção de electricidade poderá incluir elementos das centrais nucleares que sirvam para o transporte de electricidade, excluindo contudo os elementos especificamente nucleares abrangidos pela legislação aplicável neste domínio, designadamente os tratados e o direito comunitário.

(10)

A presente directiva complementa as medidas sectoriais já adoptadas a nível comunitário e dos Estados-Membros. Quando já existam mecanismos comunitários, esses mecanismos deverão continuar a ser utilizados, contribuindo assim para a aplicação global da presente directiva. Haverá que evitar duplicações ou contradições entre os diferentes actos e disposições.

(11)

Todas as ICE designadas deverão dispor de Planos de Segurança dos Operadores (PSO) ou de medidas equivalentes que permitam identificar os elementos importantes, avaliar os riscos e definir, seleccionar e conferir prioridade às contra-medidas e procedimentos que se imponham. A fim de evitar duplicações desnecessárias, cada Estado-Membro deverá começar por verificar se os proprietários/operadores das ICE designadas dispõem de PSO adequados ou se adoptaram medidas equivalentes. Caso esses planos não existam, cada Estado-Membro deverá efectuar as diligências necessárias para garantir que sejam tomadas medidas adequadas. Competirá a cada Estado-Membro decidir do modo mais apropriado de assegurar a elaboração de PSO.

(12)

As medidas, princípios ou orientações, incluindo medidas tomadas à escala comunitária, e os regimes de cooperação bilateral e/ou multilateral que prevejam a necessidade de dispor de um plano semelhante ou equivalente a um PSO, ou que prevejam a existência de um agente de ligação de segurança ou equivalente, deverão preencher os requisitos da presente directiva no que respeita ao PSO ou ao agente de ligação de segurança, respectivamente.

(13)

Deverão ser identificados, em todas as ICE designadas, agentes de ligação de segurança cuja função consistirá em facilitar a cooperação e a comunicação com as autoridades nacionais competentes em matéria de protecção das infra-estruturas críticas. A fim de evitar duplicações desnecessárias, cada Estado-Membro deverá começar por verificar se os proprietários/operadores das ICE designadas dispõem já de um agente de ligação de segurança ou equivalente. Caso não exista agente de ligação de segurança, cada Estado-Membro deverá efectuar as diligências necessárias para garantir que sejam tomadas medidas adequadas nesse sentido. Competirá a cada Estado-Membro decidir do modo mais apropriado de assegurar a designação de agentes de ligação de segurança.

(14)

A identificação eficaz dos riscos, ameaças e vulnerabilidades nos vários sectores exige que se estabeleçam formas de comunicação entre os proprietários/operadores de ICE e os Estados-Membros e entre estes últimos e a Comissão. Cada Estado-Membro deverá recolher informações sobre as ICE situadas no seu território. A Comissão deverá receber informações gerais sobre os riscos, ameaças e vulnerabilidades existentes nos sectores em que tenha sido identificada uma ICE, incluindo, se for caso disso, informações pertinentes sobre possíveis melhorias a introduzir nas ICE e dependências intersectoriais que possam servir de base à elaboração de propostas específicas da Comissão sobre a melhoria da protecção das ICE.

(15)

Para facilitar a melhoria da protecção das ICE, poderão ser desenvolvidas metodologias comuns de identificação e classificação dos riscos, ameaças existentes no que respeita aos componentes das infra-estruturas.

(16)

Os proprietários/operadores de ICE deverão ter acesso às melhores práticas e metodologias em matéria de protecção das infra-estruturas críticas, principalmente através das autoridades competentes dos Estados-Membros.

(17)

A protecção eficaz das ICE requer comunicação, coordenação e cooperação a nível nacional e comunitário. O melhor meio para o conseguir é a nomeação de pontos de contacto para a protecção das infra-estruturas críticas europeias («pontos de contacto PICE») em cada Estado-Membro, que deverão coordenar as questões relativas à protecção das infra-estruturas críticas europeias quer a nível interno, quer com outros Estados-Membros e a Comissão.

(18)

Para desenvolver actividades de protecção das ICE em domínios que requerem um certo grau de confidencialidade, convém assegurar um intercâmbio de informações coerente e seguro no quadro da presente directiva. Importa que as regras de confidencialidade previstas na legislação nacional aplicável ou no Regulamento (CE) n.o 1049/2001 do Parlamento Europeu e do Conselho, de 30 de Maio de 2001, relativo ao acesso do público aos documentos do Parlamento Europeu, do Conselho e da Comissão (3) sejam observadas no que diz respeito a factos específicos, referentes a um componente de uma infra-estrutura crítica, susceptíveis de serem utilizados para planear e agir com o objectivo de provocar efeitos inaceitáveis nas instalações de infra-estruturas críticas. A informação classificada deverá ser protegida em conformidade com a legislação comunitária e nacional aplicável. Os Estados-Membros e a Comissão deverão respeitar a classificação de segurança atribuída pela entidade de origem do documento.

(19)

O intercâmbio de informações sobre ICE deverá decorrer num clima de confiança e segurança. A partilha de informações requer que entre as empresas e organizações se estabeleça numa relação de confiança em que os seus dados sensíveis e confidenciais deverão ser devidamente protegidos.

(20)

Atendendo a que os objectivos da presente directiva, a saber, a criação de um procedimento de identificação e designação das ICE e a concepção de uma abordagem comum relativamente à avaliação da necessidade de melhorar a protecção de tais infra-estruturas, não podem ser suficientemente realizados pelos Estados-Membros, e podem, pois, devido à dimensão da acção prevista, ser melhor alcançados ao nível comunitário, a Comunidade pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.o do Tratado. Em conformidade com o princípio da proporcionalidade, consagrado no mesmo artigo, a presente directiva não excede o necessário para atingir aqueles objectivos.

(21)

A presente directiva respeita os direitos fundamentais e observa os princípios reconhecidos, nomeadamente, na Carta dos Direitos Fundamentais da União Europeia,

APROVOU A PRESENTE DIRECTIVA:

Artigo 1.o

Objecto

A presente directiva estabelece um procedimento de identificação e designação das Infra-estruturas Críticas Europeias (ICE) e uma abordagem comum relativa à avaliação da necessidade de melhorar a sua protecção, de modo a contribuir para a protecção das pessoas.

Artigo 2.o

Definições

Para efeitos da presente directiva, entende-se por:

a)

«Infra-estrutura crítica», o elemento, sistema ou parte deste situado nos Estados-Membros que é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação ou destruição teria um impacto significativo num Estado-Membro, dada a impossibilidade de continuar a assegurar essas funções;

b)

«Infra-estrutura Crítica Europeia» ou «ICE», a infra-estrutura crítica situada nos Estados-Membros cuja perturbação ou destruição teria um impacto significativo em pelo menos dois Estados-Membros. O significado do impacto deve ser avaliado em função de critérios transversais, incluindo os efeitos resultantes de dependências intersectoriais em relação a outros tipos de infra-estruturas;

c)

«Análise de risco», a ponderação dos cenários de ameaça relevantes, a fim de avaliar a vulnerabilidade e o potencial impacto da perturbação ou destruição de uma infra-estrutura crítica;

d)

«Informações sensíveis relacionadas com a protecção das infra-estruturas críticas», os factos respeitantes a uma infra-estrutura crítica que, se divulgados, poderiam ser utilizados para planear e agir com o objectivo de provocar a perturbação ou destruição das instalações de infra-estruturas críticas;

e)

«Protecção», todas as actividades destinadas a assegurar a funcionalidade, continuidade e integridade de uma infra-estrutura crítica tendo em vista coarctar, atenuar e neutralizar uma ameaça, risco ou vulnerabilidade;

f)

«Proprietários/operadores de uma ICE», as entidades responsáveis pelos investimentos num determinado elemento, sistema ou parte deste designado como ICE e/ou pelo respectivo funcionamento corrente nos termos da presente directiva.

Artigo 3.o

Identificação das ICE

  1. Nos termos do procedimento previsto no anexo III, cada Estado-Membro identifica as potenciais ICE que preencham simultaneamente critérios transversais e sectoriais e correspondam às definições consagradas nas alíneas a) e b) do artigo 2.o.

A Comissão pode, a pedido dos Estados-Membros, ajudá-los a identificar as potenciais ICE.

A Comissão pode chamar a atenção dos Estados-Membros relevantes para a existência de potenciais ICE que se possa considerar satisfazerem os requisitos aplicáveis à designação de ICE.

Cada Estado-Membro e a Comissão prosseguem de forma permanente o processo de identificação de potenciais ICE.

  1. Os critérios transversais a que se refere o n.o 1 incluem:

a)

A ocorrência de acidentes (avaliada em termos de número potencial de feridos ou vítimas mortais);

b)

O impacto económico (avaliado em termos de importância dos prejuízos económicos e/ou degradação de produtos ou serviços; incluindo também os potenciais efeitos ambientais);

c)

Efeitos no domínio público (avaliados em termos de impacto na confiança das populações, sofrimento físico e perturbação da vida quotidiana, incluindo a perda de serviços essenciais).

Os limiares aplicáveis aos critérios transversais baseiam-se na gravidade do impacto causado pela perturbação ou destruição de uma dada infra-estrutura. Os limiares aplicáveis aos critérios transversais são determinados caso a caso com exactidão pelos Estados-Membros aos quais uma determinada infra-estrutura crítica diga respeito. Cada Estado-Membro informa anualmente a Comissão do número de infra-estruturas que, em cada sector, tenham suscitado debates sobre os limiares aplicáveis aos critérios transversais.

Os critérios sectoriais têm em conta as características dos diferentes sectores em que existam ICE.

A Comissão, juntamente com os Estados-Membros, elabora directrizes para a aplicação dos critérios transversais e sectoriais e dos limiares aproximados a utilizar na identificação das ICE. Esses critérios constituem informação classificada. A utilização dessas orientações é facultativa para os Estados-Membros.

  1. Os sectores que servem de base à execução da presente directiva são os da energia e dos transportes. No anexo I enumeram-se os subsectores respectivos.

Se se considerar oportuno, podem ser identificados, em simultâneo com a revisão da presente directiva prevista no artigo 11.o, outros sectores para efeitos de execução da presente directiva. Deve ser dada prioridade ao sector das Tecnologias da Informação e Comunicação (TIC).

Artigo 4.o

Designação das ICE

  1. Cada Estado-Membro informa os demais Estados-Membros susceptíveis de serem afectados de forma significativa por uma potencial ICE acerca da sua identidade e das razões que presidem à sua designação como potencial ICE.
  2. Cada Estado-Membro em cujo território esteja situada uma potencial ICE procede a debates bilaterais e/ou multilaterais com os outros Estados-Membros susceptíveis de serem afectados de forma significativa por essa infra-estrutura. A Comissão pode participar nesses debates mas não tem acesso a informações pormenorizadas que permitam a identificação inequívoca da infra-estrutura em concreto.

Um Estado-Membro que tenha motivos para crer que pode ser afectado de forma significativa por uma potencial ICE não identificada como tal pelo Estado-Membro em cujo território esteja situada pode informar a Comissão de que deseja encetar debates bilaterais e/ou multilaterais sobre a questão. A Comissão deve comunicar imediatamente essa pretensão ao Estado-Membro em cujo território esteja situada a potencial ICE e esforçar-se por facilitar a obtenção de acordo entre as partes.

  1. O Estado-Membro em cujo território esteja situada uma potencial ICE deve designá-la enquanto ICE após a obtenção de um acordo entre esse Estado-Membro e os Estados-Membros que possam ser afectados de forma significativa.

O Estado-Membro em cujo território se situe a infra-estrutura a designar como ICE deve dar o seu consentimento.

  1. O Estado-Membro em cujo território se encontre situada uma ICE informa anualmente a Comissão do número de ICE designadas em cada sector e do número de Estados-Membros dependentes de cada ICE designada. A identidade de uma ICE deve apenas ser conhecida dos Estados-Membros que possam ser por ela afectados de forma significativa.
  2. Os Estados-Membros em cujo território esteja situada a ICE informam o proprietário/operador da infra-estrutura da sua designação como ICE. As informações respeitantes à designação de uma infra-estrutura como ICE são classificadas ao nível adequado.
  3. O processo de identificação e designação das ICE nos termos do artigo 3.o e do presente artigo deve ser concluído até 12 de Janeiro de 2011 e revisto periodicamente.

Artigo 5.o

Planos de segurança dos operadores

  1. O procedimento aplicável aos Planos de Segurança dos Operadores (PSO) deve identificar os elementos da ICE e as soluções de segurança que existam ou estejam a ser executadas para a sua protecção. No anexo II identifica-se o conteúdo mínimo que o procedimento aplicável ao PSO de uma ICE deve contemplar.
  2. Cada Estado-Membro avalia se cada ICE designada situada no seu território dispõe de um PSO ou se foram adoptadas medidas equivalentes que contemplem as questões referidas no anexo II. Caso um Estado-Membro conclua pela existência de um PSO ou equivalente regularmente actualizado, não é necessário adoptar outras medidas de execução.
  3. Caso conclua que não foi elaborado nenhum PSO ou equivalente, o Estado-Membro deve garantir, através das medidas que considere adequadas, que é elaborado um PSO ou equivalente que contemple as questões referidas no anexo II.

Cada Estado-Membro garante a execução e a revisão periódica dos PSO, ou de planos equivalentes, no prazo de um ano após a designação da infra-estrutura crítica como ICE. Esse prazo pode ser prorrogado em circunstâncias excepcionais, mediante acordo com a autoridade competente do Estado-Membro e notificação da Comissão.

  1. O presente artigo não prejudica as disposições existentes em matéria de supervisão ou controlo de uma ICE, desempenhando a autoridade competente do Estado-Membro a que se refere o presente artigo as funções de supervisor ao abrigo dessas disposições.
  2. Considera-se que a observância das medidas, incluindo das que tenham sido adoptadas à escala comunitária, que, num determinado sector, requeiram ou prevejam a necessidade de se dispor de um plano similar ou equivalente a um PSO e respectivo controlo por parte da autoridade competente, satisfaz todos os requisitos impostos aos Estados-Membros pelo presente artigo ou adoptados ao abrigo do mesmo. As orientações de execução a que se refere o n.o 2 do artigo 3.o devem incluir uma lista indicativa das medidas em causa.

Artigo 6.o

Agentes de ligação de segurança

  1. O agente de ligação de segurança desempenha a função de ponto de contacto para questões de segurança entre o proprietário/operador da ICE e a autoridade competente do Estado-Membro.
  2. Cabe a cada Estado-Membro certificar-se de que cada ICE designada que se situe no seu território dispõe de um agente de ligação de segurança ou equivalente. Se um Estado-Membro concluir pela existência de um agente de ligação de segurança ou equivalente, não é necessário adoptar outras medidas de execução.
  3. Caso conclua que uma dada ICE designada não dispõe de agente de ligação de segurança ou equivalente, o Estado-Membro assegura, através das medidas que considere adequadas, a designação de um agente de ligação de segurança ou equivalente.
  4. Cada Estado-Membro deve pôr em prática um mecanismo de comunicação adequado entre a autoridade competente do Estado-Membro e o agente de ligação de segurança ou equivalente, com o objectivo de trocar informações pertinentes relativas aos riscos e ameaças identificados em relação à ICE em causa. Esse mecanismo de comunicação não prejudica os requisitos nacionais em matéria de acesso a informação sensível e classificada.
  5. Considera-se que a observância das medidas, incluindo das que tenham sido adoptadas à escala comunitária, que, num determinado sector, requeiram ou prevejam a necessidade de se dispor de um agente de ligação de segurança ou equivalente, satisfaz todos os requisitos impostos aos Estados-Membros pelo presente artigo ou adoptados ao abrigo do mesmo. As orientações de execução a que se refere o n.o 2 do artigo 3.o devem incluir uma lista indicativa das medidas em causa.

Artigo 7.o

Relatórios

  1. Cada Estado-Membro procede a uma avaliação das ameaças em relação aos subsectores das ICE, no prazo de um ano a contar da designação da infra-estrutura crítica situada no seu território como ICE dentro desses subsectores.
  2. Cada Estado-Membro transmite, de dois em dois anos, à Comissão um resumo dos dados gerais sobre os tipos de riscos, ameaças e vulnerabilidades com que se depara cada um dos sectores das ICE identificadas como tal nos termos do artigo 4.o e que se situem no seu território.

A Comissão pode elaborar um modelo comum desses relatórios, em colaboração com os Estados-Membros.

Cada relatório é classificado a um nível adequado, se o Estado-Membro que o transmitiu o considerar necessário.

  1. Com base nos relatórios referidos no n.o 2, a Comissão e os Estados-Membros devem avaliar, sector a sector, a adopção de medidas de protecção adicionais ao nível comunitário aplicáveis às ICE. Este processo é realizado em simultâneo com a revisão da presente directiva prevista no artigo 11.o.
  2. A Comissão, em colaboração com os Estados-Membros, pode elaborar orientações metodológicas comuns aplicáveis à realização de análises de risco relativas às ICE. A utilização dessas orientações é facultativa para os Estados-Membros.

Artigo 8.o

Apoio da Comissão às ICE

A Comissão deve apoiar, através da autoridade competente do Estado-Membro, os proprietários/operadores das ICE designadas, facultando-lhes o acesso às melhores práticas e metodologias disponíveis, bem como acções de formação e informações sobre os novos avanços técnicos relacionados com a protecção das infra-estruturas críticas.

Artigo 9.o

Informações sensíveis relacionadas com a protecçãodas infra-estruturas críticas europeias

  1. Qualquer pessoa que, por força da presente directiva, trate informação confidencial em nome de um Estado-Membro ou da Comissão é sujeita a um procedimento de habilitação de segurança adequado.

Os Estados-Membros, a Comissão e os organismos de supervisão competentes asseguram que as informações sensíveis relacionadas com a protecção das infra-estruturas críticas europeias, e que sejam transmitidas aos Estados-Membros ou à Comissão, não sejam utilizadas para fins distintos dos da protecção das infra-estruturas críticas.

  1. O disposto no presente artigo aplica-se igualmente às informações não escritas trocadas durante reuniões em que sejam debatidos assuntos sensíveis.

Artigo 10.o

Pontos de contacto para a protecção dasinfra-estruturas críticas europeias

  1. Cada Estado-Membro deve nomear um ponto de contacto para a protecção das infra-estruturas críticas europeias («ponto de contacto PICE»).
  2. O ponto de contacto PICE coordena as matérias relativas à protecção das infra-estruturas críticas europeias a nível do Estado-Membro, bem como com outros Estados-Membros e a Comissão. A nomeação de um ponto de contacto PICE não impede a participação de outras autoridades de um Estado-Membro em assuntos relacionados com a protecção das infra-estruturas críticas europeias.

Artigo 11.o

Revisão

A revisão da presente directiva deve iniciar-se em 12 de Janeiro de 2012.

Artigo 12.o

Execução

Os Estados-Membros tomam as medidas necessárias para dar cumprimento à presente directiva até 12 de Janeiro de 2011 e informam imediatamente a Comissão desse facto.

Quando os Estados-Membros tomarem essas medidas, estas devem incluir uma referência à presente directiva ou ser acompanhadas dessa referência aquando da sua publicação oficial. As modalidades dessa referência são aprovadas pelos Estados-Membros.

Artigo 13.o

Entrada em vigor

A presente directiva entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.

Artigo 14.o

Destinatários

Os Estados-Membros são os destinatários da presente directiva.

Feito em Bruxelas, em 8 de Dezembro de 2008.

Pelo Conselho

O Presidente

B. KOUCHNER

(1) Parecer emitido em 10 de Julho de 2007 (ainda não publicado no Jornal Oficial).

(2) JO C 116 de 26.5.2007, p. 1.

(3) JO L 145 de 31.5.2001, p. 43.

ANEXO I

Lista dos sectores de ICE

Sector

Subsector

I

Energia

1.

Electricidade

Infra-estruturas e instalações de produção e transporte de electricidade, em termos de abastecimento

2.

Petróleo

Produção, refinação, tratamento, armazenagem e transporte de petróleo por oleodutos

3.

Gás

Produção, refinação, tratamento, armazenagem e transporte de gás por gasodutos

Terminais para GNL

II

Transportes

4.

Transportes rodoviários

5.

Transportes ferroviários

6.

Transportes aéreos

7.

Transporte por vias navegáveis interiores

8.

Transporte marítimo, transporte marítimo de curta distância e portos

A identificação, pelos Estados-Membros, das infra-estruturas críticas susceptíveis de serem designadas como ICE é efectuada nos termos do artigo 3.o. Por conseguinte, a lista de sectores de ICE não cria, por si só, uma obrigação genérica de designar uma ICE em cada sector.

ANEXO II

PROCEDIMENTO APLICÁVEL AO PSO DAS ICE

O PSO deverá identificar os elementos das infra-estruturas críticas e as soluções de segurança que existam ou estejam a ser implementadas com vista à sua protecção. O procedimento aplicável ao PSO de uma ICE abrangerá, no mínimo:

1.

A identificação dos elementos importantes;

2.

Uma análise de risco baseada em cenários de ameaça grave, na vulnerabilidade de cada elemento e nos impactos potenciais; e

3.

A identificação, selecção e prioridade de contra-medidas e procedimentos, estabelecendo uma distinção entre:

Medidas de segurança permanentes, que identificam investimentos e meios que possam e devam ser utilizados a qualquer momento. Esta categoria inclui informações relativas a medidas gerais, tais como medidas técnicas (incluindo a instalação de meios de detecção, controlo do acesso, protecção e prevenção), medidas organizacionais (incluindo procedimentos de alerta e gestão de crises) e medidas de controlo e verificação, bem como a comunicação, sensibilização e formação, e ainda a segurança dos sistemas de informação;

Medidas de segurança progressivas que possam ser activadas consoante o grau de ameaça.

ANEXO III

Procedimento aplicável à identificação pelos Estados-Membros das infra-estruturas críticas susceptíveis de serem designadas como ICE nos termos do artigo 3.o

O artigo 3.o impõe aos Estados-Membros a obrigação de identificarem as infra-estruturas críticas susceptíveis de serem designadas como ICE. Este procedimento deve ser aplicado por cada Estado-Membro segundo a sequência adiante enunciada.

As potenciais ICE que não preencham os requisitos de qualquer uma das fases desta sequência são consideradas «não ICE» e excluídas do procedimento. As potenciais ICE que correspondam às definições são submetidas às fases seguintes do procedimento.

Fase 1

Cada Estado-Membro aplica critérios sectoriais para efectuar uma primeira selecção das infra-estruturas críticas dentro de um determinado sector.

Fase 2

Cada Estado-Membro aplica a definição de «infra-estrutura crítica» constante da alínea a) do artigo 2.o às potenciais ICE identificadas na Fase 1.

A importância do impacto será determinada quer utilizando métodos nacionais de identificação das infra-estruturas críticas, quer remetendo para critérios transversais, ao nível nacional adequado. Para as infra-estruturas que fornecem um serviço essencial, serão tidas em linha de conta as alternativas disponíveis e a duração da perturbação/recuperação.

Fase 3

Cada Estado-Membro aplica o elemento transfronteiriço da definição de ICE constante da alínea b) do artigo 2.o às potenciais ICE que tenham concluído as duas primeiras fases do procedimento. As potenciais ICE que correspondam à definição transitarão para a fase seguinte do procedimento. Para as infra-estruturas que fornecem um serviço essencial, serão tidas em linha de conta as alternativas disponíveis e a duração da perturbação/recuperação.

Fase 4

Cada Estado-Membro aplica critérios transversais às potenciais ICE remanescentes. Os critérios transversais têm em conta a gravidade do impacto e, no caso das infra-estruturas que fornecem um serviço essencial, as alternativas disponíveis e a duração da perturbação/recuperação. As potenciais ICE que não preencham os critérios transversais não serão consideradas ICE.

As potenciais ICE que tenham concluído todas as fases deste procedimento só são dadas a conhecer aos Estados-Membros que por elas possam ser afectados de forma significativa.