Często na konferencjach słyszę pytanie: gdzie w Internecie mogę znaleźć wykaz infrastruktury krytycznej? Szukam i szukam i jakoś nie umiem trafić… No właśnie, gdzie? Artykuł mógłby w sumie sprowadzać się do jednego zdania. Możemy szukać tygodniami, a gwarantuję, że wykazu IK w Internecie nie znajdziemy.
Ustawa o zarzadzaniu kryzysowym (Dz.U. 2007 nr 89 poz. 590) mówi, że dyrektor RCB sporządza na podstawie szczegółowych kryteriów, we współpracy z odpowiednimi ministrami, jednolity wykaz obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej. W skrócie nazywa się go wykazem IK. I ustawa mówi bardzo jasno, że wykaz jest niejawny.
Można do woli wpisywać w wyszukiwarkę hasło wykaz IK, w każdej możliwej konfiguracji, ale nie sposób go znaleźć. Jeśli ktoś przekonuje, że jest inaczej, to znaczy, że powinien uzupełnić wiedzę. Jeżeli dobrze znamy jakąś branżę, przepracowaliśmy lata w różnych typach zakładów, zarówno tych, które są IK i tych, które nie są, możemy z dużą dozą prawdopodobieństwa zgadywać, czy jakiś obiekt jest infrastrukturą krytyczną, czy nie. Czasami przedsiębiorstwa w źle rozumianych celach promocyjnych zamieszczają takie informacje na swojej stronie internetowej czy w mediach społecznościowych. Nie pochwalam takiego postępowania. Jakkolwiek przypadkowa osoba, kolokwialnie mówiąc, osoba z ulicy, nie może tak po prostu sobie sprawdzić, który obiekt jest infrastrukturą krytyczną. Wykaz jest tajny. Czy tak jest w całej UE? Póki co nie, państwa członkowskie mają swoje odrębne przepisy dotyczące IK. I są kraje, w których zarówno wykaz infrastruktury krytycznej, jak i kryteria kwalifikujące są jawne. W Polsce sytuacja jest zgoła odwrotna.
Co w takim razie, poza wykazem IK, jest jeszcze głęboko ukryte? Podobnie niemożliwe do znalezienia w Internecie są kryteria wyznaczania IK. Zostały zapisane w niejawnym załączniku do NPOIK (Narodowy Program Ochrony Infrastruktury Krytycznej). W NPOIK zapisano, że w przypadku wyłaniania IK istnieją kryteria systemowe i przekrojowe, ba nawet wymieniono jakie obszary podlegają analizie. Gdzie więc ta niejawność? Spójrzmy jednak, co dokładnie możemy przeczytać w jawnych materiałach.
Kluczowym etapem procesu ochrony IK jest Identyfikacja obiektów, urządzeń, instalacji lub usług, których zniszczenie lub zakłócenie funkcjonowania mogłoby spowodować sytuację kryzysową.
W celu maksymalnej obiektywizacji RCB, we współpracy z ministrami i kierownikami urzędów centralnych przy wsparciu przedsiębiorców prywatnych, opracowało kryteria identyfikacji IK.
Kryteria podzielone są na dwie grupy: kryteria systemowe i przekrojowe
1) kryteria systemowe – charakteryzujące ilościowo lub podmiotowo parametry (funkcje) obiektu, urządzenia, instalacji lub usługi, których spełnienie może spowodować zaliczenie do infrastruktury krytycznej. Przypominam, że wyróżniamy 11 systemów infrastruktury krytycznej i kryteria zostały opracowane dla każdego z tych systemów.
2) kryteria przekrojowe – opisują parametry odnoszące się do skutków zniszczenia bądź zaprzestania funkcjonowania obiektu, urządzenia, instalacji lub usługi. Kryteria przekrojowe obejmują:
▪ ofiary w ludziach,
▪ skutki finansowe,
▪ konieczność ewakuacji,
▪ utratę usługi,
▪ czas odbudowy,
▪ efekt międzynarodowy,
▪ unikatowość
Przy czym potencjalna IK musi spełnić przynajmniej dwa kryteria przekrojowe.
Jeśli się przypatrzymy kryteriom przekrojowym, to widać już na pierwszy rzut oka, że są one bardzo ogólne. Co oznacza pojęcie ofiary w ludziach? Śmierć jednego człowieka czy setki? A co ze skutkami finansowymi? Skutek finansowy to strata rzędu 10.000 tysięcy czy miliona złotych? Utrata usługi? Czy chodzi o sytuację, gdy przedsiębiorstwo nie produkuje przez godzinę, czy dobę, a może przez tydzień? I te właśnie wartości liczbowe kryją się w niejawnym (zastrzeżonym) załączniku do NPOIK.
Podsumowując, nie szukajcie w Internecie wykazu IK ani kryteriów kwalifikujących do wciągnięcia na ten wykaz. Bo tam ich po prostu nie ma.