Zakończyły się prace legislacyjne nad dyrektywą o odporności podmiotów krytycznych (Dyrektywa CER). Nowa dyrektywa jest skorelowana ze zmienianą dyrektywą w sprawie środków na rzecz wysokiego, wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Dyrektywa NIS2). Zakłada się, że oba dokumenty zostaną skierowane do publikacji w połowie grudnia 2022 r. i wejdą w życie w połowie stycznia 2023 r.
W współczesnym świecie, żaden system, żadna usługa czy obiekt nie są wstanie działać samoistnie, także w obszarze Unii Europejskiej. Komisja Europejska, na podstawie przeprowadzonej oceny, uznała, że współzależny charakter świadczenia usług oraz powiązanie sektorów w państwach członkowskich przy niewystarczającym poziomie odporności u jednego operatora stwarza ryzyko dla innych podmiotów. Dlatego, konieczne było wprowadzenie zharmonizowanych norm minimalnych, które pozwoliłyby zapewnić ciągłość świadczenia usług kluczowych na rynku wewnętrznym Unii Europejskiej oraz zwiększą odporności podmiotów krytycznych.
Dotychczasowe regulacje
Dyrektywa 2008/114/WE skupiała się wyłącznie na wyznaczeniu europejskich infrastruktur krytycznych w sektorach energii i transportu. Komisja Europejska doszła do wniosku, że ochrona tylko tych obszarów jest niewystarczająca i nie jest wstanie sprostać wszystkim pojawiającym się zagrożeniom. W związku z tym zakres przedmiotowy Dyrektywy został znacznie poszerzony.
W załączniku do Dyrektywy wskazano sektory, z których będą wyznaczane podmioty krytyczne po wejściu w życie przepisów. Są to sektory:
- Energetyka (Energia elektryczna, Centralne ogrzewanie i chłodzenie, Ropa, Gaz, Wodór)
- Transport (powietrzny, kolejowy, wodny, lądowy)
- Bankowość
- Infrastruktura rynków finansowych
- Zdrowie
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa
- Administracja publiczna
- Przestrzeń kosmiczna
- Wytwarzanie, przetwarzanie i dystrybucja żywności
Nowe regulacje prawne
Nowe regulacje prawne nakładają na państwa członkowskie obowiązki w zakresie zapewniania wdrożenia i egzekwowania dyrektywy. Przede wszystkim państwa członkowskie powinny dokonać analizy ryzyka, uwzględniając sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawnych UE oraz zależności pomiędzy sektorami krajowymi i międzynarodowymi. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych.
Podmioty krytyczne będą miały obowiązek ochrony infrastruktury niezbędnej do utrzymania usług kluczowych. Taka infrastruktura jest nazywana infrastrukturą krytyczną. Za niewywiązywanie się z tych obowiązków dyrektywa przewiduje sankcje finansowe. Jednocześnie podmioty krytyczne będą mogły liczyć na wsparcie finansowe ze strony państwa, jeśli będzie to uzasadnione bezpieczeństwem publicznym. Takie wsparcie nie będzie traktowane jako niedozwolona pomoc publiczna.
Przepisy Dyrektywy mówią także o konieczności wyznaczenia przez państwa członkowskie właściwego organu odpowiedzialnego za prawidłowe stosowanie dyrektywy na szczeblu krajowym.
Według przepisów Dyrektywy CER państwa członkowskie są zobowiązane do przyjęcia strategii, której celem będzie wzmocnienie odporności podmiotów krytycznych. Kompleksowe podejście do odporności podmiotów krytycznych powinno uwzględniać m.in. właściwą koordynację wyznaczonych organów, a także przepisy prawne umożliwiające wymianę informacji na temat incydentów i cyberzagrożeń oraz właściwe wykonywanie zadań nadzorczych.
Wdrażanie dyrektywy CER zostało zaplanowane na 3 lata. Biorąc pod uwagę istniejące zagrożenia oraz zdarzenia, jakie już wystąpiły (zniszczenie NORD Stream I i II, ataki cyber na infrastrukturę krytyczną oraz ataki sabotażowe na systemy sterowania ruchem pociągów w Niemczach), Rada Europejska zdecydowała się na wprowadzenie rozwiązań przejściowych w formie rekomendacji. Rekomendacje powinny doprowadzić do poprawy bezpieczeństwa infrastruktury krytycznej w Europie w ciągu kilku najbliższych miesięcy. Treść rekomendacji została przyjęta 8.12.2022 r. Obecnie oczekujemy na formalną ich publikację w dzienniku urzędowym EU.
Materiały
Źródło: gov.pl; fot.: freepik / Racool studio