Dyrektywa CER 2022/2557 wprowadza zmianę w podejściu do ochrony infrastruktury krytycznej w Polsce i całej Unii Europejskiej. Mimo upływu czasu, regulacje krajowe wciąż są na etapie projektowym. Tymczasem nowe przepisy nakładają istotne obowiązki na podmioty świadczące usługi kluczowe – zarówno w sektorze publicznym, jak i prywatnym.
Kontekst europejski i krajowy
Unijna dyrektywa CER (Critical Entities Resilience) ma na celu wzmacnianie odporności kluczowych podmiotów UE na zakłócenia w świadczeniu usług podstawowych – od energetyki i komunikacji, po wodociągi i transport. Ustanowienie jednolitych, horyzontalnych ram ochrony stanowi odpowiedź na rosnącą współzależność nowoczesnej gospodarki oraz zagrożenia o charakterze hybrydowym, terrorystycznym, zdrowotnym czy klimatycznym.
CER zastępuje dotychczasową dyrektywę 2008/114/WE. Ze zmianą przepisów przyszło rozszerzenie zakresu regulacji o nowe sektory i położenie większego nacisku nie tylko na ochronę infrastruktury fizycznej, ale również na zapewnienie ciągłości świadczenia usług i zdolności ich odtworzenia po incydencie naruszenia bezpieczeństwa.
W Polsce wdrożenie dyrektywy opiera się na nowelizacji ustawy o zarządzaniu kryzysowym, Narodowym Programie Ochrony Infrastruktury Krytycznej (NP OIK) oraz szeregu regulacji sektorowych. Dokument programowy – NP OIK – określa zasady, cele, podział ról i odpowiedzialności oraz priorytety w zakresie ochrony infrastruktury krytycznej w kontekście krajowym.
Projekty ustaw zmieniających krajowe prawo przeszły już istotne etapy rządowe, jednak implementacja pozostaje niezakończona.
Najważniejsze zmiany i nowe obowiązki
- Nowa dyrektywa obejmuje swoimi regulacjami nie tylko operatorów infrastruktury energetycznej i transportowej, ale również podmioty z takich sektorów, jak infrastruktura cyfrowa, ochrona zdrowia, gospodarka wodna i odpadowa, a także sektor żywnościowy, finansowy czy produkcję przemysłową. To fundamentalna zmiana, która odzwierciedla zarówno złożoność, jak i współzależność nowoczesnych gospodarek.
- Ponadto, operatorzy infrastruktury krytycznej muszą prowadzić regularną analizę ryzyka, co najmniej raz na cztery lata lub częściej – w razie zmian w otoczeniu operacyjnym. Ocena powinna uwzględniać zagrożenia naturalne, technologiczne, hybrydowe oraz powiązania transgraniczne i międzysektorowe. To wszystko ma na celu zwiększenie odporności systemów na zakłócenia i lepsze przygotowanie do sytuacji kryzysowych.
- Dyrektywa nakłada także obowiązek wdrożenia adekwatnych środków ochronnych oraz zapewnienia ciągłości działania i zdolności do odtworzenia funkcjonowania po incydencie. Niezbędne jest opracowanie, aktualizacja i stosowanie dokumentacji obejmującej sfery: fizyczną, techniczną, osobową, teleinformatyczną i prawną, a także raportowanie działań podejmowanych na rzecz ochrony IK.
- Każdy operator musi wyznaczyć koordynatora ds. ochrony IK, odpowiedzialnego za kontakt z organami nadzorczymi i bieżącą komunikację w zakresie bezpieczeństwa. Z kolei Rządowe Centrum Bezpieczeństwa zyska nowe uprawnienia kontrolne, w tym prowadzenie inspekcji, audytów i nakładanie kar – do 1 mln zł za uporczywe naruszenia oraz do 150 tys. zł za niewypełnienie obowiązków systemowych.
Termin wdrożenia a stan legislacyjny w Polsce
Dyrektywa CER powinna zostać wdrożona do 17 października 2024 r., jednak Polska nie dotrzymała tego terminu. Projekt nowelizacji ustawy o zarządzaniu kryzysowym, który ureguluje szczegółowe wymogi wynikające z CER, przeszedł kluczowe procedury rządowe (stan na wrzesień 2025), nie został jeszcze uchwalony.
W efekcie polski system ochrony IK jest w stanie przejściowym. Operatorzy powinni już rozpocząć wdrażanie standardów wynikających z CER i NPOIK (Narodowego Programu Ochrony Infrastruktury Krytycznej), choć formalne egzekwowanie przepisów nastąpi dopiero po ich wdrożeniu.
Znaczenie dla przedsiębiorców i instytucji publicznych
Dla wielu organizacji wpisanie ich sektorów i subsektorów do krajowego wykazu IK wiąże się z obowiązkiem pełnego dostosowania się do wymogów dyrektywy.
Operatorzy muszą wdrożyć minimalne standardy ochrony, zarówno w zakresie dokumentacji, jak i rzeczywistych rozwiązań fizycznych, technicznych, teleinformatycznych, prawnych i proceduralnych, w ciągu maksymalnie sześciu miesięcy od wpisania do wykazu. Państwo przewiduje wsparcie w postaci doradztwa, szkoleń, wytycznych oraz (w uzasadnionych przypadkach) pomocy finansowej.
Nieprzestrzeganie wymogów grozi sankcjami administracyjnymi, a także utratą statusu operatora IK. Dyrektywa kładzie nacisk na szybkie reagowanie na incydenty i przekazywanie informacji organom nadzorczym. Spełnienie wymagań ma też znaczenie strategiczne, ponieważ buduje zaufanie klientów, partnerów i inwestorów oraz wspiera konkurencyjność na rynku krajowym i międzynarodowym.