Sprawnie działające systemy i usługi są kluczowe dla prawidłowego funkcjonowania gospodarek. Energia, transport, łączność, czy też ochrona zdrowia – awaria któregokolwiek z wymienionych sektorów może mieć poważne konsekwencje dla życia codziennego, bezpieczeństwa obywateli i funkcjonowania państwa. Przyjrzyjmy się ustawowemu rozumieniu tych obszarów i działających w ich ramach organizacji.
Definicje: podmiot krytyczny, infrastruktura krytyczna, usługa kluczowa
Podmiot krytyczny to organizacja lub firma zarządzająca infrastrukturą o kluczowym znaczeniu dla bezpieczeństwa państwa, która obsługuje co najmniej jedną usługę kluczową. Podmiot taki działa na terytorium Polski lub na polskich obszarach morskich i jest oficjalnie wpisany na listę podmiotów krytycznych.
Infrastruktura krytyczna obejmuje zestaw powiązanych systemów, obiektów oraz instalacji. Ich sprawne funkcjonowanie jest niezbędne do ochrony bezpieczeństwa państwa i obywateli, a także zapewnienia prawidłowego działania administracji publicznej i gospodarki.
Usługa kluczowa to usługa o decydującym znaczeniu dla utrzymania najważniejszych funkcji społecznych, gospodarczych, zdrowotnych, bezpieczeństwa publicznego lub ochrony środowiska. Świadczona jest w sektorach lub branżach wymienionych w załącznikach do odpowiednich przepisów prawa, takich jak ustawa o zarządzaniu kryzysowym czy dyrektywa CER (Critical Entities Resilience).
Sektory krytyczne według załącznika CER
Do sektorów uznawanych za krytyczne należą:
- zaopatrzenie w energię, surowce energetyczne i paliwa,
- łączność oraz sieci teleinformatyczne,
- sektor finansowy,
- produkcja, przetwarzanie i dystrybucja żywności,
- zaopatrzenie w wodę pitną i gospodarka ściekowa,
- ochrona zdrowia,
- transport,
- ratownictwo,
- infrastruktura cyfrowa,
- administracja publiczna, a także
- przestrzeń kosmiczna.
Sektory te są wymienione zarówno w załączniku do dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557, jak i w krajowych regulacjach wdrażających CER. Zapewnia to spójność ochrony i zwiększa odporność podmiotów świadczących usługi kluczowe w tych obszarach.
Weryfikacja statusu i obowiązki podmiotów
Określanie podmiotów krytycznych jest prowadzone na podstawie krajowych ocen ryzyka oraz kryteriów sektorowych i przekrojowych, uwzględniających działalność na terytorium państwa oraz posiadanie infrastruktury krytycznej. Po zakwalifikowaniu się podmiot otrzymuje informację o nadanym statusie oraz o związanych z nim obowiązkach.
Do głównych obowiązków należy:
- przeprowadzanie ocen ryzyka co najmniej raz na cztery lata,
- wdrażanie adekwatnych środków technicznych i organizacyjnych w celu zapewnienia odporności,
- prowadzenie dokumentacji ochrony infrastruktury oraz
- zgłaszanie istotnych incydentów właściwym organom nadzoru.
Podmioty krytyczne mogą być również objęte nadzorem i kontrolą przez odpowiednie organy, które posiadają uprawnienia do nakładania kar pieniężnych za nieprzestrzeganie obowiązków.
Operatorzy infrastruktury krytycznej powinni systematycznie analizować zagrożenia, wdrażać rozwiązania zgodne z obowiązującymi normami, utrzymywać systemy rezerwowe zapewniające ciągłość działania oraz współpracować z organami administracji publicznej.
Przedstawione powyżej obowiązki regulowane są przez ustawę o zarządzaniu kryzysowym, ustawę o ochronie osób i mienia, dyrektywę CER oraz dokumenty krajowe, takie jak Narodowy Program Ochrony Infrastruktury Krytycznej, a także standardy i dobre praktyki w zakresie ochrony infrastruktury krytycznej.