Breaking news
Zapraszamy do współpracy w 2024 r.! Po więcej informacji skontaktuj się z nami mailowo: [email protected]

Cyberbezpieczeństwo sektora energii opiera się na solidnych prawnych podstawach, które buduje głównie ustawodawstwo europejskie. Ostatnio zdecydowanie podniósł się stopień regulacji tego obszaru, co wynika – w szerszym kontekście sytuacji geopolitycznej – ze wzrostu znaczenia bezpieczeństwa infrastruktury krytycznej oraz potrzeby zagwarantowania pewności dostaw energii elektrycznej.

 

dr Magdalena Krawczyk, adwokat, Kancelaria Adwokacka dr Magdalena Krawczyk

 

Zainteresowanie prawnymi aspektami energetycznego bezpieczeństwa cyfrowego wynika również z pierwszoplanowego włączenia energetyki do ogólnych polityk dotyczących bezpieczeństwa krajów i obywateli. Przemawia za tym wzrost współzależności międzysektorowych i zmieniający się krajobraz zagrożeń. W dobie cyfryzacji usług, trudno o wskazanie sektora gospodarki, który byłby wolny od zagrożeń cyberatakami, a jak wskazują badania, sektor energii należy do najbardziej narażonych na incydenty cyberbezpieczeństwa. Z tego powodu, zapewnienie bezpieczeństwa cyfrowego podmiotów sektora energii jest jednym z ważniejszych wyzwań, jakie stoją przed ustawodawcą krajowym i europejskim.

Świadomość w zakresie zasad przeciwdziałania przestępczości cyfrowej jest aktualnie w centrum uwagi administracji Unii Europejskiej i ma na celu zapewnienie ram prawnych sprzyjających proaktywnej ochronie przed zagrożeniem. W tych okolicznościach celowe jest przedstawienie legalnej perspektywy ochrony wynikającej z najważniejszych aktów prawnych w dziedzinie cyberbezpieczeństwa, ze szczególnym uwzględnieniem sektora energetyki.

 


Interesuje Cię zagadnienie cyberbezpieczeństwa w energetyce?

Dołącz do Uczestników 7. Konferencji "Inteligentna Energetyka" – Cyber(NIE)bezpieczeństwo polskiej energetyki – fakty czy mity? i wysłuchaj wystąpień merytorycznych i technologicznych dotyczących cybersec.

Podczas wydarzenia odbędą się dwa panele dyskusyjne, w tym przedstawiający rekomendacje sektorowe.

7KIE dostępny jest pod linkiem: https://www.inteligentnaenergetyka.pl/konferencje/program-7-konferencji/

 

UWAGA! Rejestracja na konferencję możliwa jest tylko do 20.11.2023 r.

Z kodem 7KIE-SGP uzyskasz 20% rabatu na bilet. Kod należy wpisać w pozycji "Uwagi".

Formularz rejestracji online: https://www.inteligentnaenergetyka.pl/konferencje/rejestracja/


 

Nowe obowiązki podmiotów kluczowych

 

NIS 2 (Network and Information Systems Directive 2) – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii – tzw. dyrektywa NIS 2, to nowelizacja dyrektywy NIS z 2016 r. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. Urz. UE L 194 z 19.07.2016, str. 1) obejmowała pierwsze europejskie przepisy prawa w zakresie cyberbezpieczeństwa. Dyrektywa została zaimplementowana w Polsce w najważniejszym krajowym akcie prawnym dotyczącym cyberbezpieczeństwa, czyli w ustawie z dnia 5 lipca 2023 r. o krajowym systemie cyberbezpieczeństwa. Aktualizacja istniejących ram prawnych miała na celu dostosowanie podstaw regulacyjnych do rosnącej cyfryzacji i zmieniającego się krajobrazu cyberzagrożeń. Celem nowych przepisów było przede wszystkim rozszerzenie zakresu oddziaływania przepisów dotyczących cyberbezpieczeństwa na nowe sektory i podmioty, aby dodatkowo zwiększyć odporność i polepszyć jakość reakcji na incydenty. Nowe przepisy mają ponadto zwiększyć jakość działań podmiotów publicznych i prywatnych oraz właściwych organów.

Dyrektywa przewiduje nowy, dychotomiczny podział podmiotów zobowiązanych do podejmowania działań na podstawie nowych przepisów, wyróżniając podmioty kluczowe i podmioty ważne. Podmioty NIS 2 będą miały obowiązek zgłaszania istotnych incydentów właściwym organom w ciągu 24 godzin od uzyskania informacji o incydentach istotnych. Traci moc obowiązująca dotychczas kwalifikacja, rozróżniająca operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Podmioty z branży energetycznej zostały w myśl dyrektywy zaliczone do „podmiotów kluczowych”, których dotyczy wymóg zachowania najwyższego standardu ochrony przed cyberatakiem. Do tej samej kategorii zakwalifikowano m.in. podmioty z sektora bankowego, opieki zdrowotnej, transportu, jak również podmioty publiczne.

Dla podmiotów kwalifikowanych przez NIS 2 przewidziano obowiązek wprowadzenia środków zarządzania ryzykiem w cyberprzestrzeni. Dotyczą one zasadniczo dedykowanych polityk oraz analiz mających na celu zarówno przeciwdziałanie ewentualnym cyberzagrożeniom, jak i ich szybkie zwalczanie. Wprowadzone środki zarządzania ryzykiem w cyberbezpieczeństwie mają być: proporcjonalne, uwzględniające stopień narażenia podmiotu na ryzyko, uwzględniające wielkość podmiotu, uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze. Oprócz wzbogacenia kultury organizacji o dokumenty z zakresu cyberbezpieczeństwa, kluczowe są przede wszystkim kroki, jakie mają być podejmowane w codziennej praktyce podmiotów NIS 2. Przepisy kładą nacisk na ciągłość działalności i bezpieczeństwo łańcucha dostaw, zobowiązując podmioty do zapewnienia bezpiecznych relacji z podmiotami trzecimi, w szczególności dostawcami i usługodawcami sieci i systemów teleinformatycznych.

W przypadku podmiotów kluczowych, do których należą te z branży energetycznej, nie wprowadzono zasady, zgodnie z którą środki nadzoru mają być stosowane ex post (w przypadku podmiotów ważnych stosuje się je po naruszeniu). Oznacza to, że podmioty kluczowe mogą spodziewać się również wyrywkowych kontroli, w tym na miejscu, w przedsiębiorstwie. NIS 2 wyposaża właściwe organy krajowe w szereg instrumentów: środków nadzoru i środków egzekwowania przepisów, które mają służyć zwiększeniu cyberbezpieczeństwa najważniejszych sektorów gospodarki. Wykonanie zobowiązań ciążących na Podmiotach NIS 2 zostało obwarowane pieniężnymi karami administracyjnymi w wysokości do 10 000 000 euro lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa.

Dyrektywa NIS 2 pozostawia krajom swobodę wyboru formy i środków jej wdrożenia do krajowego systemu prawnego, oczywiście przy zachowaniu standardu, jaki z niej wynika.

NIS 2 została opublikowana w Dzienniku Urzędowym Unii Europejskiej 27 grudnia 2022 r. i weszła w życie 16 stycznia 2023 r. Od wejścia dyrektywy w życie, państwa członkowskie mają 21 miesięcy na jej implementowanie do krajowych porządków prawnych – termin upływa 17 października 2024 r.

 

CER (The Critical Entities Resilience Directive) – Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE

14 grudnia 2022 r. w Unii Europejskiej wraz z dyrektywą NIS 2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii przyjęta została dyrektywa CER. Ten akt prawny zastępuje europejską dyrektywę w sprawie infrastruktury krytycznej z 2008 r. i dopełnia system ochrony przed cyberprzestępczością, kładąc nacisk na zagadnienie odporności podmiotów o krytycznym znaczeniu, które świadczą usługi niezbędne dla podstawowych funkcji społecznych lub działalności gospodarczej na rynku wewnętrznym. Na tej podstawie dyrektywa wyszczególnia 11 sektorów, do których zaliczają się podmioty krytyczne. CER oraz NIS 2 obejmują zrąb najważniejszych przepisów dotyczących ciągłości krajowych i unijnych usług kluczowych oraz odporności (fizycznej i w cyberprzestrzeni) podmiotów je świadczących.

Dyrektywa dotyczy odporności podmiotów krytycznych na wszelkie zagrożenia: naturalne lub naturalne stworzone przez człowieka, przypadkowe lub zamierzone. Nowe przepisy wspierają odporność infrastruktury krytycznej m.in. na zagrożenia naturalne, ataki terrorystyczne, zagrożenia wewnętrzne czy sabotaż. Na pierwszym planie ujęto potrzebę dokonania „oceny ryzyka podmiotu krytycznego”. Ustawodawca europejski uznał bowiem, że jedynym warunkiem zapewnienia odporności jest działanie proaktywne i zdobycie przez organizację wszechstronnej wiedzy na temat odpowiednich ryzyk, na które jest narażona, jak również obowiązek analizowania tych ryzyk. Podmioty krytyczne, które uzyskują ten status w drodze decyzji administracyjnej, powinny przeprowadzać oceny ryzyka w ciągu 9 miesięcy po otrzymaniu powiadomienia, z uwzględnieniem szczególnych okoliczności ich dotyczących, uwzględniając ewolucję ryzyka, a w każdym razie co cztery lata, aby ocenić wszystkie istotne ryzyka, które mogłyby zakłócić świadczenie ich usług kluczowych.

Dyrektywa ustanawia sposoby i mechanizmy określania podmiotów krytycznych oraz obowiązki dla podmiotów krytycznych. Muszą one wprowadzić odpowiednie i proporcjonalne środki techniczne, bezpieczeństwa i organizacyjne, które mają zapewnić im odporność na wszelkiego rodzaju incydenty. Nowością jest możliwość sprawdzania przeszłości osób, które pełnią newralgiczne role w podmiocie krytycznym lub na jego rzecz, lub posiadają dostęp do jego budynków i terenów.

W dyrektywie wyszczególniono również szczególną kategorię podmiotów krytycznych – podmioty krytyczne o szczególnym znaczeniu europejskim. Wyznaczanie podmiotów krytycznych o szczególnym znaczeniu europejskim odbywa się po konsultacjach, w których bierze udział KE, właściwy organ państwa członkowskiego, właściwy organ innych zainteresowanych państw członkowskich oraz określony podmiot krytyczny.

Organy mogą na podstawie dyrektywy stosować dwa rodzaje środków nadzoru: przeprowadzanie kontroli oraz przeprowadzanie lub zlecanie audytów oraz środki egzekwowania przepisów. Choć CER przewiduje możliwość nakładania sankcji, to jednak nie precyzuje ich rodzaju, pozostawiając to krajom członkowskim do doprecyzowania w procesie krajowej transpozycji przepisów.

Przepisy dyrektywy CER weszły w życie 16 stycznia 2023 r., do 17 października 2024 r. państwa członkowskie muszą dokonać transpozycji minimum dyrektywy do prawa krajowego. Państwa członkowskie zobowiązane są stosować środki wymienione w dyrektywie od 18 października 2024 r. Niezależnie, każde państwo członkowskie zobowiązane jest przyjąć do dnia 17 stycznia 2026 r. strategię na rzecz zwiększania odporności podmiotów krytycznych. Do dnia 17 lipca 2027 r. Komisja przedłoży Parlamentowi Europejskiemu i Radzie sprawozdanie oceniające zakres, w jakim każde państwo członkowskie podjęło niezbędne środki w celu wykonania niniejszej dyrektywy.

 

Niewyczerpujący wykaz usług kluczowych

 

Rozporządzenie delegowane Komisji (UE) 2023/2450 z dnia 25 lipca 2023 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2557 przez ustanowienie wykazu usług kluczowych

Rozporządzenie stanowi efekt udzielonego Komisji w dyrektywie CER uprawnienia do przyjęcia aktu delegowanego ustanawiającego niewyczerpujący wykaz usług kluczowych w sektorach i podsektorach, określonych w załączniku do tej dyrektywy. CER obejmuje definicję usług kluczowych jako usług, które mają decydujące znaczenie dla utrzymania niezbędnych funkcji społecznych, niezbędnej działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska, a także definicję podmiotu administracji publicznej. Zgodnie z art. 1 ust. 6 dyrektywy (UE) 2022/2557 nie dotyczy to jednak podmiotów administracji publicznej, które prowadzą swoją działalność w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym w zakresie prowadzenia postępowań przygotowawczych oraz wykrywania i ścigania przestępstw. Dlatego rodzaje działalności gospodarczej wymienione w sposób niewyczerpujący w rozporządzeniu delegowanym powinny być uznawane za usługi kluczowe wyłącznie wówczas, gdy kwalifikują się jako usługi kluczowe zgodnie z definicją zawartą w CER.

Założeniem Komisji było, by wykaz usług kluczowych sporządzić w sposób ogólny, aby uwzględnić specyfikę poszczególnych państw członkowskich, na przykład pod względem ich wielkości, gęstości zaludnienia lub położenia geograficznego.

Niewyczerpujący wykaz usług kluczowych, zgodnie z rozporządzeniem, w sektorze energii obejmuje następujące elementy:

1) sektor energii:

a) podsektor energii elektrycznej:

(i) dostawa energii elektrycznej (przedsiębiorstwa energetyczne);

(ii) eksploatacja, utrzymanie i rozwój systemu dystrybucji energii elektrycznej (operatorzy systemów dystrybucyjnych);

(iii) eksploatacja, utrzymanie i rozwój systemu przesyłowego energii elektrycznej (operatorzy systemów przesyłowych);

(iv) wytwarzanie energii elektrycznej (wytwórcy);

(v) usługi wyznaczonego operatora rynku energii elektrycznej (wyznaczeni operatorzy rynku energii elektrycznej);

(vi) odpowiedź odbioru (uczestnicy rynku energii elektrycznej);

(vii) agregacja energii elektrycznej (uczestnicy rynku energii elektrycznej);

(viii) magazynowanie energii (uczestnicy rynku energii elektrycznej);

b) podsektor systemu ciepłowniczego i systemu chłodniczego: dostarczanie systemów ciepłowniczych lub systemów chłodniczych (operatorzy systemów ciepłowniczych lub systemów chłodniczych);

c) podsektor ropy naftowej:

(i) przesył ropy naftowej (operatorzy ropociągów);

(ii) produkcja ropy naftowej (operatorzy produkcji ropy naftowej);

(iii) rafinacja i przetwarzanie ropy naftowej (operatorzy instalacji służących do rafinacji, przetwarzania ropy naftowej);

(iv) magazynowanie ropy naftowej (operatorzy magazynowania ropy naftowej);

(v) zarządzanie zapasami naftowymi, w tym zapasami interwencyjnymi i zapasami specjalnymi (krajowe centrale zapasów);

d) podsektor gazu:

(i) dostawa gazu (przedsiębiorstwa dostarczające gaz);

(ii) dystrybucja gazu (operatorzy systemów dystrybucyjnych);

(iii) przesył gazu (operatorzy systemów przesyłowych);

(iv) magazynowanie gazu (operatorzy systemów magazynowania);

(v) eksploatacja systemu skroplonego gazu ziemnego (LNG) (operatorzy systemów LNG);

(vi) produkcja gazu ziemnego (przedsiębiorstwa gazowe);

(vii) zakup gazu ziemnego (przedsiębiorstwa gazowe);

(viii) rafinacja i przetwarzanie gazu ziemnego (operatorzy instalacji służących do rafinacji i przetwarzania gazu ziemnego);

e) podsektor wodoru:

(i) produkcja wodoru (operatorzy produkcji wodoru);

(ii) magazynowanie wodoru (operatorzy magazynowania wodoru);

(iii) przesył wodoru (operatorzy przesyłu wodoru).

Rozporządzenie już obowiązuje, weszło w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. Rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

 

 

Cyberbezpieczeństwo produktów z elementami cyfrowymi

 

CRA (EU Cyber Resilience Act) – Rozporządzenie Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymogów cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi i zmieniające rozporządzenie (UE) 2019/1020 

Komisja Europejska przedstawiła propozycję rozporządzenia o cyberodporności (CRA) już w październiku 2021 r. Ma ono na celu zapewnienie lepszego poziomu cyberbezpieczeństwa produktów i oprogramowania z elementami cyfrowymi (podłączonych do sieci). Ten akt prawny przyjmuje perspektywę użytkownika i z tego punktu widzenia zapewnia ochronę przed incydentami cyberbezpieczeństwa. Celem ustawodawcy europejskiego było zadbanie, by produkty zawierające elementy cyfrowe wprowadzane na rynek UE miały mniej luk w zabezpieczeniach i aby producenci pozostali odpowiedzialni za cyberbezpieczeństwo przez cały cykl życia produktu. Ma to doprowadzić do poprawy przejrzystości w zakresie bezpieczeństwa produktów sprzętowych i oprogramowania, które na co dzień użytkowane są przez miliony osób łączących się za ich pośrednictwem z siecią Internet. Specjalne uregulowania przewidziano również dla użytkowników biznesowych i konsumentów, którzy mieliby korzystać z lepszej ochrony. Rozporządzenie wprowadziłoby obowiązkowe wymogi w zakresie cyberbezpieczeństwa dla producentów i sprzedawców takich produktów, a także obowiązek zgłaszania podatności i incydentów. Rozporządzenie wpisuje się w szerszą strategię UE w zakresie cyberbezpieczeństwa z 2020 r. i uzupełnia istniejące ramy prawne (głównie dyrektywę NIS 2).

Rozporządzenie CRA ma szczególne znaczenie dla sektora energii, który jest kluczowy dla utrzymania krytycznej działalności społeczno-gospodarczej i który jest narażony na rosnące zagrożenia cybernetyczne również oddolnie, z poziomu niezabezpieczonych sieci odbiorców, a przede wszystkim prosumentów. Wiele systemów sterowania wykorzystywanych w sektorze energii, na przykład te związane z przydomowymi instalacjami fotowoltaicznymi, jest podłączonych do Internetu lub do sieci wewnętrznych, co stwarza ryzyko ataków hakerskich, sabotażu lub szpiegostwa. Rozporządzenie CRA miałoby na celu zwiększenie odporności tych systemów na zagrożenia, poprzez wprowadzenie zharmonizowanych standardów cyberbezpieczeństwa, które musiałyby być spełnione przez producentów i dostawców sprzętu i oprogramowania. Co istotne, CRA kwalifikuje inteligentne liczniki jako podlegające szczególnym procedurom oceny zgodności „produkty krytyczne z elementami cyfrowymi” najwyższej klasy ryzyka (klasa II). Produkt z elementami cyfrowymi uznaje się za krytyczny i w związku z tym uwzględnia się go w załączniku III, biorąc pod uwagę wpływ potencjalnych podatności takiego produktu wpływających na cyberbezpieczeństwo. Przy określaniu ryzyka w cyberprzestrzeni uwzględnia się związane z cyberbezpieczeństwem funkcje produktu z elementami cyfrowymi oraz jego przeznaczenie we wrażliwych środowiskach, takich jak otoczenie przemysłowe. Rozporządzenie CRA wprowadziłoby również obowiązek oznaczania produktów z elementami cyfrowymi znakiem CE, co ułatwiłoby konsumentom i przedsiębiorstwom rozpoznanie, które produkty są bezpieczne w cyberprzestrzeni.

Rozporządzenie CRA będzie aktem prawnym Unii Europejskiej, który ma bezpośrednie zastosowanie we wszystkich państwach członkowskich. Oznacza to, że nie wymaga implementacji do prawa krajowego. Po wejściu w życie zainteresowane strony będą miały 24 miesiące na dostosowanie się do nowych wymogów, z wyjątkiem bardziej ograniczonego 12-miesięcznego okresu karencji w odniesieniu do obowiązku sprawozdawczego spoczywającego na producentach sprzętu.

 

Cyfrowa odporność operacyjna w sektorze finansowym

 

DORA (The Digital Operational Resilience Act) – Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011

DORA stanowi lex specialis względem przepisów dyrektywy NIS 2 i reguluje ramy zarządzania ryzykiem i wzmacniania cyberbezpieczeństwa podmiotów finansowych (oraz podmiotów świadczących usługi ICT na rzecz podmiotów finansowych).

Cyfrowa odporność operacyjna prowadzi do zapewnienia ciągłości i utrzymania jakości świadczonych usług w obliczu zakłóceń wpływających na technologie informacyjne i telekomunikacyjne (ICT). Rozporządzenie to stanowi zasadniczy zrąb strategii finansów cyfrowych Unii Europejskiej i ma doprowadzić do stworzenia jednolitego finansowego rynku cyfrowego. Choć to rozporządzenie nie przekłada się wprost na działalność sektora energetycznego, to z uwagi na bardzo szeroko zakrojony zakres oddziaływania nowych regulacji, dotyczący kilkunastu kategorii podmiotów finansowych, DORA wymieniana jest wśród najważniejszych aktów dotyczących cyberbezpieczeństwa.

DORA zacznie obowiązywać po upływie 24 miesięcy od jego wejścia w życie, czyli od 17 stycznia 2025 r.

 


Wysłuchaj prezentacji dr Magdaleny Krwaczyk pt. "Omówienie aktualnie obowiązujących w Polsce regulacji prawnych dotyczących cyberbezpieczeństwa" podczas 7. Konferencji "Inteligentna Energetyka" (06.12.2023, Warszawa)!

Zarejestruj się na wydarzenie już dziś pod linkiem: https://www.inteligentnaenergetyka.pl/konferencje/rejestracja/

Rejestracja możliwa jest tylko do 22.11.2023 r.

23.07.31 Krawczyk


 

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska. Więcej w
Regulaminie.

fot. freepik / DCStudio