Operatorzy infrastruktury krytycznej (IK) już dziś mierzą się z wieloma wyzwaniami i zagrożeniami związanymi zarówno z napiętą sytuacją geopolityczną, jak i zjawiskami naturalnymi oraz ryzykiem działalności w warunkach niepewności.
Nowe regulacje, przygotowywane w celu dostosowania do wymogów Dyrektywy CER (Cyber Resilience Act), nakładają na operatorów infrastruktury krytycznej szerszy zakres obowiązków.
Obejmują one m.in. systematyczną analizę ryzyka, wdrożenie i utrzymanie skutecznej ochrony fizycznej i technicznej oraz prowadzenie kompleksowej dokumentacji systemu ochrony. Przyjrzyjmy się kluczowym zmianom wynikającym z projektowanych przepisów i wytycznych.
Zakres obowiązków operatora IK
Zgodnie z obecnymi przepisami, główny nacisk kładzie się na ochronę fizyczną obiektów. Operatorzy IK są zobowiązani do przygotowywania planów ochrony, utrzymywania systemów rezerwowych oraz współpracy z administracją, a także do wyznaczenia osoby kontaktowej i natychmiastowego zgłaszania zagrożeń terrorystycznych.
Z kolei projekt nowelizacji ustawy, wynikający z wdrożenia dyrektywy CER, znacząco rozszerza i systematyzuje te obowiązki, kierując uwagę na kompleksowe zarządzanie odpornością na różne typy zagrożeń. Nowe regulacje wprowadzają bardziej rygorystyczne wymagania, w tym obowiązkową ocenę ryzyka.
Ponadto, operatorzy muszą wdrożyć odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne. Obejmują one działania zapobiegawcze, ochronę fizyczną, zarządzanie incydentami oraz plany ciągłości działania, w tym identyfikację alternatywnych łańcuchów dostaw. Nowe przepisy wprowadzają również obowiązek zgłaszania incydentów w ciągu doby, regularne audyty i wyznaczenie specjalnego koordynatora ds. ochrony IK. To przejście od pasywnej ochrony do proaktywnego zarządzania ryzykiem stanowi kluczową zmianę, mającą na celu zwiększenie ogólnej odporności państwa na incydenty, które mogłyby zakłócić funkcjonowanie kluczowych sektorów.
Termin na wdrożenie środków ochrony po wpisie do wykazu IK
Obecnie przepisy nie precyzują terminu wdrożenia środków ochrony, natomiast projekt nowelizacji ustawy o zarządzaniu kryzysowym wprowadza konkretny, półroczny termin od wpisu do wykazu IK. Sześć miesięcy to czas, który planowane przepisy przewidują także na opracowanie dokumentacji ochrony infrastruktury krytycznej. Warto też zwrócić uwagę na 30-dniowy okres na wyznaczenie koordynatora do spraw ochrony infrastruktury krytycznej.
Rola systemów rezerwowych i planów ciągłości działania
Systemy rezerwowe i plany ciągłości działania są filarami ochrony infrastruktury krytycznej (IK). Operatorzy mają obowiązek utrzymywać własne systemy rezerwowe, które zapewniają bezpieczeństwo i ciągłość funkcjonowania infrastruktury do czasu jej pełnego odtworzenia po awarii lub ataku. To podejście jest kluczowe, aby zminimalizować przestoje i ograniczyć negatywne skutki incydentów.
Wspomniane systemy techniczne uzupełniają plany ciągłości działania (BCP) oraz procedury odtwarzania po awarii (DRP). Dokumenty te są opracowywane w oparciu o szczegółową analizę wpływu zdarzeń kryzysowych na kluczowe procesy biznesowe. Regularne testowanie i weryfikacja tych planów, choćby poprzez ćwiczenia, są niezbędne do zagwarantowania szybkiej i skutecznej reakcji na zagrożenia.
W kontekście rosnących wymagań operatorów infrastruktury krytycznej, odpowiednie systemy techniczne stają się niezbędnym wsparciem w realizacji nowych obowiązków. Dlatego w DTS System proponujemy rozwiązania, które wspierają zarówno ochronę fizyczną, jak i zarządzanie incydentami w sposób zgodny z projektowaną nowelizacją ustawy.
Wdrożenie kontroli dostępu, systemów monitoringu wideo czy ochrony obwodowej, pozwoli operatorom IK sprostać nowym wymogom, a zatem przejść w kierunku proaktywnego zarządzania ryzykiem.