确立多种安全管理制度
实施独立的欧盟委员会安全检查是保证安全要求正确实施的有效手段。欧盟能源政策旨在为国家、企业和公民提供安全可靠的能源。《欧洲2020:竞争力、可持续性和安全的能源》政策的实施,提高了能源系统、电网管理和电力市场监管的安全性和可持续性。最好的安全管理计划和立法强制执行如果没有适当的执行,也是毫无意义的。输电网络跨越国家边界范围十分广大,导致相应的保护无法落实。因此,通过应用风险管理技术,考虑易受到破坏和威胁性及相对危急程度,将注意力集中在风险最大的领域,及时发布警报、建议和信息说明,以帮助公共和私营部门的利益相关者保护关键基础设施系统。[17]
关键基础设施警告信息网络(Critical Infrastructure Warning Information Network)为安全交流提供平台,该系统必要的安全认证将按照有关程序进行。利益相关者采取适当的措施来保护关于关键基础设施和保护系统的安全性,开展相互依赖性研究和提供与关键基础设施保护相关的脆弱性、威胁和风险评估等方面的信息。除了保护关键基础设施以外,不得使用这些信息。任何处理机密信息的人员,都将由相关人员为国民的成员国进行适当级别的安全审查。[18]
第2005/89/EC号指令第4条设立了运营网络安全(Operational Network Security)制度。根据规定:(1)(a)成员国或主管当局应确保输电系统运营商确定网络安全的最低运营规则和义务。在制定这些规则和义务之前,应该与相互联系的国家的相关行为者进行磋商。(b)尽管有(a)点第1项,成员国可要求输电系统运营商向主管当局提交这些规则和义务以供批准。(c)成员国应确保输电和适当的配电系统运营商遵守有关网络安全的最低运营规则和义务。(d)成员国应要求输电系统运营商维持适当的运营网络安全水平。为此,输电系统运营商应保持运营网络安全的适当技术传输储备容量水平,并配合与其相连的有关输电系统运营商。运营网络安全规则中规定了可维护安全的可预见情况的级别。(e)成员国尤其应确保相互联系的输电和适当的配电系统运营商按照最低业务要求及时有效地交换有关网络运行的信息。相同的要求应适用于与欧共体以外系统运营商相互连接的输配电系统运营商。(2)成员国或主管当局应确保输电和配电系统运营商在适当的情况下,设定并达到供应质量和网络安全性能目标。这些目标应经成员国或主管部门批准,并由其监督实施。它们应客观、透明和不歧视,并予以公布。(3)在采取第2003/54/EC指令第24条和第1228/2003号条例第6条所述措施时,成员国不得歧视跨境合同和国内合同。(4)成员国应确保在紧急情况下缩减供应是基于有关输电系统运营商对不平衡的管理的预定标准。任何保障措施应与其他有关输电系统运营商密切协商,尊重有关双边协议,包括信息交换协议。[19]除此之外,每个欧盟成员国还应当确立在第2008/114/EC号指令第5条中提及的运营商安全计划(Operator Security Plan,OSP)在关键基础设施被指定为欧洲关键基础设施后1年内定期进行审查。OSP将确定关键的基础设施资产,以及现有或正在实施哪些安全解决方案来保护它们。这个确定的程序将至少包括3个方面:重要资产的识别;基于主要威胁情景进行风险分析,每种资产的脆弱性以及潜在的影响;识别、选择和确定反措施,永久性的安全措施和分层级的安全措施程序的区别。
第2008/114/EC号指令第6条规定了安全联络员(Security Liaison Officers,SLO)制度。作为欧洲关键基础设施所有者/运营者与有关成员国当局之间的安保相关问题的联络点,应评估确定位于其领土上的每个指定的欧洲关键基础设施拥有安全联络官或同等的职位,各成员国应在有关成员国主管当局和保安联络官之间或同等职位之间实施适当的沟通机制,以便交流有关涉及欧洲关键基础设施风险和威胁的相关信息。这一沟通机制不得违背国家关于获取敏感和机密信息的要求。