Ze względu na wzrost współzależności międzysektorowych i zmieniający się krajobraz zagrożeń, w grudniu 2020 roku, Komisja Europejska opublikowała projekt Dyrektywy Parlamentu Europejskiego i Rady w sprawie odporności podmiotów krytycznych. Proponowane regulacje mają na celu zwiększenie odporności i poziomu bezpieczeństwa podmiotów wchodzących w skład infrastruktury krytycznej państw członkowskich Unii Europejskiej. Propozycja regulacji ma formę dyrektywy, aby umożliwić uwzględnienie krajowych specyfik, współzależności sektorowych oraz transgranicznych. Projekt nowych unijnych ram dotyczących odporności infrastruktury krytycznej zawiera m.in. opis obowiązków właściwych organów, w tym wskazywanie podmiotów krytycznych.
Komisja Europejska od dawna podkreśla i zauważa konieczność zapewnienia odpowiedniego poziomu bezpieczeństwa infrastruktur krytycznych w państwach członkowskich. W 2006 r. ustanowiła europejski program ochrony infrastruktury krytycznej, w 2008 r. przyjęła dyrektywę w sprawie europejskiej infrastruktury krytycznej. W 2019 r. przeprowadzono ewaluację tej dyrektywy w celu oceny postępów jej wdrożenia. Oceny dokonano pod kątem adekwatności, spójności, skuteczności, efektywności oraz europejskiej wartości dodanej i trwałości. Wyniki oceny pozwoliły ustalić, że obowiązujące regulacje prawne są już częściowo nieadekwatne do obecnej sytuacji.
Biorąc pod uwagę przeprowadzoną ocenę, coraz bardziej współzależny charakter świadczenia usług powiązania sektorów w państwach członkowskich oraz mając na uwadze to, że niewystarczający poziom odporności u jednego operatora stwarza poważne ryzyko dla innych podmiotów – konieczne jest wprowadzenie zharmonizowanych norm minimalnych, które pozwolą zapewnić ciągłość świadczenia usług kluczowych na rynku wewnętrznym Unii Europejskiej oraz zwiększą odporności podmiotów krytycznych.
Wizja
Celem Komisji Europejskiej jest zastąpienie obowiązującej dyrektywy w sprawie europejskiej infrastruktury krytycznej nowym instrumentem mającym na celu zwiększenie odporności podmiotów krytycznych w sektorach, które mają podstawowe znaczenie dla funkcjonowania gospodarki i społeczeństwa. Istotne było określenie minimalnych wymogów dla państw członkowskich i podmiotów krytycznych wskazanych zgodnie z nowymi regulacjami. W nowych propozycjach zmianie uległo podejście z ochrony konkretnych składników infrastruktury na całościowe wzmacnianie odporności podmiotów krytycznych, które je obsługują.
Dyrektywa zakłada również powołanie specjalnego centrum wiedzy – Grupy ds. Odporności Podmiotów Krytycznych – które będzie działać w ramach struktur Komisji i pomoże we wdrażaniu oraz egzekwowaniu przepisów.
Zakres i przedmiot dyrektywy
Nowe unijne ramy nałożą na państwa członkowskie obowiązki polegające na przyjmowaniu określonych środków mających na celu zapewnienie świadczenia na rynku wewnętrznym usług koniecznych do utrzymania niezbędnych funkcji społecznych lub gospodarczych. Państwa członkowskie zobowiązane zostaną do wyznaczenia podmiotów krytycznych, ustanawiania obowiązków tych podmiotów oraz sposobu nadzoru nad nimi. W Dyrektywie wyszczególniono również podmioty o szczególnym znaczeniu europejskim, dla nich również opracowano odrębne przepisy.
Zdaniem Komisji Europejskiej państwa członkowskie powinny pomagać podmiotom krytycznym w dopełnianiu konkretnych obowiązków, co przyczyni się do zwiększenia ich odporności i poprawy ich zdolności do świadczenia usług kluczowych na rynku wewnętrznym.
Dotychczasowa Dyrektywa 2008/114/WE skupiała się wyłącznie na wyznaczeniu europejskich infrastruktur krytycznych w sektorach energii i transportu. Obecnie Komisja Europejska jest zdania, że ochrona tylko tych obszarów jest niewystarczająca i nie jest wstanie sprostać wszystkim pojawiającym się zagrożeniom. W związku z tym zakres przedmiotowy Dyrektywy uległ znacznemu rozszerzeniu.
W załączniku do Dyrektywy wskazano następujące sektory, z których będą wyznaczane podmioty krytyczne[1] po wejściu w życie przepisów:
- Energetyka (Energia elektryczna, Centralne ogrzewanie i chłodzenie, Ropa, Gaz, Wodór)
- Transport (powietrzny, kolejowy, wodny, lądowy)
- Bankowość
- Infrastruktura rynków finansowych
- Zdrowie
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa
- Administracja publiczna
- Przestrzeń kosmiczna
Krajowe ramy dotyczące odporności podmiotów krytycznych
Nowe regulacje prawne nakładają na państwa członkowskie obowiązki w zakresie zapewniania wdrożenia i egzekwowania dyrektywy.Przede wszystkim państwa członkowskie powinny dokonać analizy ryzyka, uwzględniając sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawnych UE oraz zależności pomiędzy sektorami krajowymi i międzynarodowymi. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych.
Przepisy Dyrektywy mówią o konieczności wyznaczenia przez państwa członkowskie właściwego organu odpowiedzialnego za prawidłowe stosowanie dyrektywy na szczeblu krajowym. Ponadto państwa członkowskie zobowiązane są do wyznaczenia pojedynczego punktu kontaktowego odpowiedzialnego za zapewnienie współpracy transgranicznej. Zadaniem pojedynczego punktu kontaktowego będzie również regularne przekazywanie raportów Komisji na temat zgłoszonych incydentów.
Ponadto państwa członkowskie będą zobowiązane do poinformowania Komisji Europejskiej o przyjęciu krajowych przepisów prawnych dotyczących implementacji postanowień Dyrektywy.
Krajowe strategie
Według przepisów nowej Dyrektywy państwa członkowskie są zobowiązane do przyjęcia strategii, której celem będzie wzmocnienie odporności podmiotów krytycznych. Kompleksowe podejście do odporności podmiotów krytycznych powinno uwzględniać m.in. właściwą koordynację wyznaczonych organów, a także przepisy prawne umożliwiające wymianę informacji na temat incydentów i cyber zagrożeń oraz właściwe wykonywanie zadań nadzorczych.
Krajowe strategie powinny posiadać przynajmniej takie elementy jak:
- cele i priorytety strategiczne, które przyczynią się do zwiększenia ogólnej odporności podmiotów krytycznych (biorąc pod uwagę transgraniczne i międzysektorowe współzależności),
- ramy zarządzania służące osiągnięciu celów i priorytetów strategicznych, w tym opis ról i obowiązków poszczególnych organów, podmiotów krytycznych i innych zaangażowanych we wdrażanie strategii,
- opis środków niezbędnych do zwiększenia ogólnej odporności podmiotów krytycznych, w tym krajowej oceny ryzyka, wskazania podmiotów krytycznych i podmiotów równoważnych z podmiotami krytycznymi, a także środków mających na celu wsparcie podmiotów krytycznych,
- ramy polityczne umożliwiające zwiększoną koordynację między właściwymi organami wyznaczonymi w nowej dyrektywie oraz organami wyznaczonymi na mocy Dyrektywy NIS2, tak aby zapewnić właściwy przepływ informacji na temat incydentów i cyberzagrożeń.
Strategia powinna być regularnie aktualizowana oraz sporządzana co najmniej raz na 4 lata.
Wyznaczanie podmiotów krytycznych
Państwa Członkowskie wyznaczają właściwe organy dla poszczególnych sektorów. Organy te sporządzają wykaz usług kluczowych w danych sektorach i regularnie dokonują oceny wszystkich istotnych czynników ryzyka[2], które mogą wpływać na świadczenie tych usług. Na tej podstawie wskazują podmioty krytyczne. Wyznaczony podmiot krytyczny jest informowany o jego wskazaniu i należących do niego obowiązkach.
Ponadto państwa członkowskie będą wskazywać oraz informować podmioty w sektorze bankowym, sektorze infrastruktury rynku finansowego oraz sektorze infrastruktury cyfrowej, które będą traktowane na równi z podmiotami krytycznymi. Będą one jednak podlegały regulacjom związanym z wprowadzeniem Dyrektywy NIS2 bądź innym aktom prawnym UE, aby nie powielać przepisów.
Kryteria wyboru podmiotów krytycznych
Celem Komisji Europejskiej jest przyjęcie spójnych, zharmonizowanych kryteriów wskazywania podmiotów krytycznych na terenie całej UE. Państwa członkowskie, biorąc pod uwagę wyniki wcześniej przeprowadzonej oceny ryzyka, powinny wyznaczyć podmioty krytyczne stosując następujące kryteria:
- podmiot świadczy co najmniej jedną usługę kluczową,
- świadczenie tej usługi zależy od infrastruktury znajdującej się w państwie członkowskim,
- zaistniały incydent miałby istotne skutki zakłócające dla świadczenia tej usługi lub innych usług kluczowych w sektorach, zależnych od tej usługi.
Zadania podmiotów krytycznych
Zgodnie z przepisami dyrektywy podmioty krytyczne będą zobowiązane do dokonywania regularnej oceny wszystkich istotnych czynników ryzyka. W oparciu o wyniki krajowej oceny ryzykapodmioty krytyczne będą musiały wprowadzić odpowiednie i proporcjonalne do zaistniałych czynników ryzyka środki techniczne i organizacyjne w celu zapewnienia jak najlepszej odporności. Szczegółowy zakres środków jakie powinny stosować podmioty krytyczne, powinien zostać opracowany w stosownym, odrębnym dokumencie.
Zadaniem państw członkowskich będzie wspieranie podmiotów krytycznych w spełnianiu wymogów dotyczących odporności.
Środki na rzecz zwiększania odporności podmiotów krytycznych
Państwa członkowskie będą miały obowiązek zapewnienia, aby podmioty krytyczne wprowadziły odpowiednie i proporcjonalne środki techniczne i organizacyjne służące zapewnieniu ich odporności, w tym środki niezbędne w celu:
- zapobiegania incydentom, w tym za pośrednictwem środków zmniejszania ryzyka związanego z klęskami żywiołowymi i przystosowania się do zmiany klimatu,
- zapewnienia odpowiedniej fizycznej ochrony wrażliwych obszarów, obiektów i innej infrastruktury, w tym ogrodzeń, barierek, narzędzi i procedur monitorowania granic, a także sprzętu do wykrywania i kontroli dostępu,
- przeciwdziałania konsekwencjom incydentów, w tym wdrażania procedur i protokołów zarządzania ryzykiem i zarządzania kryzysowego, a także procedur ostrzegawczych,
- zapewnienia działań naprawczych po incydentach, w tym środki na rzecz ciągłości działania oraz identyfikacji alternatywnych łańcuchów dostaw,
- zapewnienia odpowiedniego zarządzania bezpieczeństwem pracowników, w tym poprzez ustanowienie kategorii personelu wykonującego krytyczne funkcje, ustanowienie praw dostępu do wrażliwych obszarów, obiektów i innej infrastruktury, a także do informacji szczególnie chronionych oraz określenie szczególnych kategorii personelu,
- zwiększania świadomości odpowiednich pracowników na temat ww. środków.
Incydenty
W przypadku wystąpienia incydentu, który w znacznym stopniu zakłóca lub może potencjalnie w znacznym stopniu zakłócać funkcjonowanie podmiotu krytycznego, zobowiązany jest on do niezwłocznego powiadomienia właściwego organu. Zgłoszenie powinno umożliwić właściwym organom szybką i adekwatną reakcję na incydenty oraz uzyskanie kompleksowego wyobrażenia na temat wszystkich czynników ryzyka, na które podmioty krytyczne są narażone. W związku z tym kraje członkowskie powinny ustanowić odpowiednie regulacje prawne, które określą sposób zgłaszania incydentów oraz parametry umożliwiające ustalenie, kiedy rzeczywiste lub potencjalne zakłócenie jest znaczące.
Organ właściwy po otrzymaniu zgłoszenia na temat incydentu, powinien przekazać podmiotowi krytycznemu odpowiednie informacje na temat postępowania i planowanych działań naprawczych.
W celu określenia zakłócenia lub potencjalnego zakłócenia funkcjonowania podmiotu krytycznego na skutek incydentu, w dyrektywie znalazły się następujące parametry, które należy uwzględnić:
- liczbę użytkowników, których dotyczy zakłócenie lub potencjalne zakłócenie,
- czas trwania zakłócenia lub oczekiwany czas trwania potencjalnego zakłócenia,
- obszar geograficzny, którego dotyczy zakłócenie lub potencjalne zakłócenie.
Grupa ds. Odporności Podmiotów Krytycznych
Dyrektywa zakłada również powstanie specjalnego centrum wiedzy działającego w strukturach Komisji Europejskiej, które pomoże we wdrażaniu oraz egzekwowaniu przepisów. Nowa jednostka, pod nazwą Grupą ds. Odporności Podmiotów Krytycznych, ma składać się z przedstawicieli państw członkowskich oraz wybranych członków Komisji Europejskiej. Do zadań Grupy będzie należało wspieranie celów strategicznych Komisji w obszarze zapewnienia bezpieczeństwa infrastruktury krytycznej państw członkowskich, dbanie nad prawidłową wymianą informacji oraz gromadzenie i przekazywanie najlepszych praktyk.
Dyrektywa o odporności a Dyrektywa NIS2
Celem Komisji Europejskiej przy opracowaniu regulacji prawnych było zachowanie spójnego podejścia między Dyrektywą o odporności a Dyrektywą NIS2.
Ze względu na większą częstotliwość i szczególny charakter ryzyka w cyberprzestrzeni Komisja Europejska opracowała Dyrektywę NIS2, która zawiera kompleksowe regulacje dotyczące podmiotów objętych tą dyrektywą, celem zapewnienia im cyberbezpieczeństwa. Zważywszy, że w Dyrektywie NIS 2 w wystarczający sposób uregulowano kwestię cyberbezpieczeństwa, aspekty regulowane przez tę dyrektywę nie powtarzają się w Dyrektywie o odporności podmiotów krytycznych.
Niemniej, biorąc pod uwagę znaczenie usług świadczonych przez podmioty w sektorze infrastruktury cyfrowej dla świadczenia innych usług kluczowych, państwa członkowskie powinny wskazać – na podstawie kryteriów i z wykorzystaniem procedury przewidzianych w dyrektywie – podmioty, które należy traktować jako równoważne z podmiotami krytycznymi bez nakładania na nie dodatkowych obowiązków oraz udzielać im wsparcia w zwiększaniu ich odporności.
Pomimo faktu, że KE dostrzega trudności we wdrożeniu przepisów nowej dyrektywy oraz w niektórych przypadkach konieczność poniesienia dodatkowych kosztów przez państwa członkowskie oraz poszczególnych operatorów, to uzasadnia konieczność wprowadzenia nowych regulacji tym, że koszty niwelowania zakłóceń, które mogą się pojawić i wpłynąć na przerwanie świadczenia niezbędnych usług, mogą być w konsekwencji o wiele większe. Proponowana Dyrektywa będzie miała wpływ finansowy na budżet Unii. Środki finansowe niezbędne do wsparcia wdrożenia regulacji w latach 2021-2027 oszacowano na kwotę 42,9 mln EUR, z czego 5,1 mln EUR będą stanowiły wydatki administracyjne.
Podsumowanie:
- Komisja Europejska wzmacnia i angażuje się w działania na rzecz zwiększenia odporności infrastruktury krytycznej państw członkowskich.
- Nowe regulacje prawne zostaną wprowadzone w drodze dyrektywy. Państwa członkowskie będą mogły zachować jednolite podejście do wskazywania podmiotów krytycznych, jednocześnie uwzględniając krajową specyfikę, w tym różne poziomy ekspozycji na ryzyko i współzależności sektorowe i transgraniczne.
- Proponowana dyrektywa stanowi znaczącą zmianę w stosunku do poprzedniej dyrektywy w sprawie europejskiej infrastruktury krytycznej, która ma zastosowanie wyłącznie do sektorów energii i transportu.
- Dyrektywa obejmuje zakresem przedmiotowym dziesięć sektorów: sektory energii, transportu, bankowości, infrastruktury rynku finansowego, zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej i przestrzeni kosmicznej.
- W dyrektywie przewidziano procedurę umożliwiającą państwom członkowskim wskazanie podmiotów krytycznych na podstawie wspólnych kryteriów oraz w oparciu o krajową ocenę ryzyka.
- W projekcie dyrektywy określono obowiązki państw członkowskich wraz ze wskazaniem przez nie podmiotów krytycznych, w tym podmiotów o szczególnym znaczeniu europejskim.
- Komisja podkreśla konieczność i istotność współpracy międzynarodowej w obszarze odporności infrastruktur krytycznych.
[1] Podmioty te pokrywają się z podmiotami kluczowymi z Dyrektywy NIS2.
[2] Ocena ryzyka uwzględnia wszystkie istotne zagrożenia, spowodowane przez człowieka i naturalne, w tym wypadki, klęski żywiołowe, stany zagrożenia zdrowia publicznego, zagrożenia związane z konfliktem, w tym przestępstwa terrorystyczne, o których mowa w dyrektywie Parlamentu Europejskiego i Rady (UE) 2017/54134 .