Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych, powszechnie nazywana dyrektywą CER (od ang. Critical Entities Resilience) wyznacza nowe ramy prawne dla ochrony usług kluczowych w całej Unii Europejskiej. Zastępuje ona dyrektywę Rady 2008/114/WE, którą formalnie uchyliła ze skutkiem od 18 października 2024 r. Choć nazwa dyrektywy może brzmieć technicznie, jej znaczenie jest bardzo praktyczne: chodzi o to, by kluczowe usługi, od których zależy codzienne życie obywateli i funkcjonowanie gospodarki, były świadczone nieprzerwanie, nawet w obliczu poważnych zakłóceń, katastrof naturalnych, ataków terrorystycznych czy działań hybrydowych.
Co regulowała dyrektywa z 2008 roku i dlaczego przestała wystarczać?
Dyrektywa 2008/114/WE miała wąski zakres, obejmowała wyłącznie sektory energii i transportu i skupiała się na wyznaczaniu europejskiej infrastruktury krytycznej, której zakłócenie lub zniszczenie miałoby istotny wpływ transgraniczny na co najmniej dwa państwa członkowskie. Jej logika była prosta: zidentyfikuj wrażliwe obiekty i chroń je fizycznie przed zagrożeniami zewnętrznymi. Przez niemal dekadę podejście to uznawano za wystarczające. Jednak ocena dyrektywy przeprowadzona przez Komisję Europejską w 2019 r. wykazała, że jest ono fundamentalnie nieadekwatne do realiów współczesnej gospodarki. Środki ochronne związane wyłącznie z pojedynczymi składnikami infrastruktury nie są w stanie zapobiec wszystkim zakłóceniom w świecie, w którym usługi kluczowe tworzą rozbudowaną, wielowymiarową sieć powiązań transgranicznych i międzysektorowych. Elektrownia może być doskonale chroniona fizycznie, ale jeśli jej system zarządzania zostanie sparaliżowany atakiem cybernetycznym, albo jeśli zabraknie pracowników wskutek pandemii, ochrona fizyczna okaże się niewystarczająca. Kluczowym problemem był też brak spójności między państwami członkowskimi. Podobne podmioty były uznawane za krytyczne w jednych krajach, a w innych już nie. Tam, gdzie je identyfikowano, podlegały różnym, często rozbieżnym wymogom krajowym. Prowadziło to do powstawania przeszkód dla prawidłowego funkcjonowania rynku wewnętrznego, nierównych warunków konkurencji i dodatkowych obciążeń administracyjnych dla przedsiębiorstw działających transgranicznie. Inwestorzy i partnerzy biznesowi nie mogli polegać na jednolitym standardzie bezpieczeństwa w całej Unii.
Do tego dochodziły nowe, nieznane wcześniej w takiej skali zagrożenia. Rosnące ryzyko ataków hybrydowych, których wymownym przykładem stało się uszkodzenie gazociągów Nord Stream w 2022 r. czy sabotaż systemów sterowania ruchem kolejowym w Niemczech, pokazało, że nowoczesna infrastruktura krytyczna jest celem działań wrogich państw i grup przestępczych w sposób, którego prawodawstwo z 2008 r. nie przewidywało. Zmiana klimatu z kolei zwiększa częstotliwość i intensywność ekstremalnych zjawisk pogodowych, które mogą poważnie uszkodzić infrastrukturę lub ograniczyć jej zdolności operacyjne. Wreszcie pandemia COVID-19 unaoczyniła w sposób bezprecedensowy, jak głęboko powiązane są poszczególne sektory i jak zakłócenie w jednym z nich – ochrony zdrowia, logistyki, łańcuchów dostaw – natychmiast przenosi się na inne, wywołując efekty kaskadowe o zasięgu kontynentalnym.
Kluczowa zmiana: z ochrony na odporność
Pojęciowym przełomem dyrektywy CER jest zastąpienie logiki ochrony logiką odporności (resilience). Różnica między tymi pojęciami jest głębsza, niż mogłoby się wydawać. Ochrona zakłada, że można zbudować wystarczająco wysokie płoty, że odpowiednie środki fizyczne i proceduralne skutecznie odstraszą lub zatrzymają zagrożenie. Odporność wychodzi z innego założenia: zakłócenia są nieuchronne, pytanie nie brzmi „czy coś się stanie”, lecz „jak szybko i skutecznie będziemy w stanie sobie z tym poradzić”.
Sama dyrektywa definiuje odporność jako zdolność do zapobiegania incydentowi, ochrony przed nim, odpowiedzi na niego, stawiania mu oporu, łagodzenia i absorbowania incydentu, adaptacji oraz odtworzenia po incydencie. To definicja celowo obejmująca pełne spektrum: od działań prewencyjnych, przez reakcję kryzysową, aż po odbudowę i wyciąganie wniosków na przyszłość. Obowiązki operatorów dotyczą zatem całego cyklu: tego, co robią, zanim coś się wydarzy, tego, jak reagują w trakcie incydentu i tego, w jaki sposób wracają do pełnej sprawności po jego zakończeniu. Ta zmiana ma praktyczne konsekwencje dla każdego podmiotu krytycznego. Nie wystarczy już sporządzić plan ochrony obiektu i zainstalować kamery. Konieczne jest przeprowadzenie kompleksowej oceny ryzyka uwzględniającej wszystkie możliwe zagrożenia -naturalne i spowodowane przez człowieka, przypadkowe i celowe, a następnie wdrożenie środków technicznych, organizacyjnych i kadrowych, które pozwolą podmiotowi funkcjonować nawet w najtrudniejszych warunkach i sprawnie odtworzyć działalność po poważnym zakłóceniu.
Czym jest dyrektywa jako akt prawny i jak obowiązuje?
Zrozumienie charakteru prawnego dyrektywy CER jest kluczowe dla oceny jej realnego wpływu w Polsce i innych państwach członkowskich. Dyrektywa, w odróżnieniu od rozporządzenia unijnego, nie obowiązuje bezpośrednio, jest aktem skierowanym do państw członkowskich, które mają obowiązek wdrożenia jej postanowień do prawa krajowego w wyznaczonym terminie. Innymi słowy, to nie dyrektywa CER bezpośrednio nakłada obowiązki na polskie firmy czy instytucje, lecz przepisy uchwalone przez polski parlament na jej podstawie. Dopóki takich przepisów nie ma, podmioty działające w Polsce nie mogą być formalnie pociągane do odpowiedzialności za niespełnienie wymogów dyrektywy, choć sama dyrektywa już obowiązuje jako akt prawa unijnego i wyznacza kierunek, w którym krajowe regulacje zmierzają. Termin transpozycji minął 17 października 2024 r. Polska, podobnie jak szereg innych państw UE nie dotrzymała tego terminu. Trwają prace nad nowelizacją ustawy o zarządzaniu kryzysowym, która ma stanowić główny instrument implementacji dyrektywy CER do polskiego porządku prawnego.
Co istotne z punktu widzenia podmiotów, które mogą zostać objęte regulacją: ostateczny kształt polskich przepisów może w szczegółach różnić się od tekstu dyrektywy. Dyrektywa wyznacza minimalne wymagania i pozostawia państwom członkowskim pewną elastyczność w sposobie ich wdrożenia m.in. w zakresie organizacji systemu nadzoru, konkretnych procedur zgłaszania incydentów czy wysokości i rodzaju sankcji za naruszenia. Dlatego obserwowanie prac nad polską ustawą implementacyjną jest równie ważne jak znajomość samej dyrektywy.
Minimalna harmonizacja – co to oznacza w praktyce?
Dyrektywa CER wprowadza model minimalnej harmonizacji: określa wspólne standardy, których żadne państwo członkowskie nie może ignorować, ale nie stoi na przeszkodzie przyjęciu przepisów krajowych zapewniających wyższy poziom odporności. Jest to świadomy wybór prawodawcy unijnego, który z jednej strony dąży do wyrównania warunków działania podmiotów krytycznych w całej Unii, a z drugiej respektuje różnice między państwami członkowskimi wynikające z ich geopolitycznego położenia, struktury gospodarki, dotychczasowego dorobku legislacyjnego i specyfiki zagrożeń, z jakimi się mierzą. Ma to konkretne znaczenie dla Polski. Polskie przepisy implementacyjne mogą i być może powinny wychodzić poza literę dyrektywy tam, gdzie specyfika krajowej infrastruktury krytycznej, wschodnia granica Unii Europejskiej czy doświadczenia z zagrożeniami hybrydowymi uzasadniają wyższe standardy. Polska jako kraj bezpośrednio sąsiadujący z obszarem konfliktu zbrojnego i będący jednym z głównych celów działań dezinformacyjnych i sabotażowych ze strony wrogich podmiotów, ma szczególne powody, by traktować odporność infrastruktury krytycznej z najwyższą powagą i budować krajowe regulacje wykraczające poza unijne minimum. Z drugiej strony, minimalna harmonizacja oznacza, że pewne wymogi będą wspólne dla całej Unii Europejskiej. Jest to szczególnie istotne dla operatorów funkcjonujących w kilku państwach członkowskich jednocześnie, mogą oni oczekiwać, że bazowy standard wymagań będzie podobny niezależnie od kraju, w którym działają, co upraszcza planowanie i zarządzanie zgodnością regulacyjną. Dyrektywa przewiduje też ważny wyjątek od zasady powszechnego stosowania jej wymogów. Tam, gdzie sektorowe przepisy unijne nakładają na podmioty wymogi co najmniej równoważne tym z CER, odpowiednie przepisy dyrektywy nie mają zastosowania, po to, by uniknąć zbędnego powielania obowiązków i nadmiernego obciążenia administracyjnego. Dotyczy to w szczególności sektora finansowego, objętego rozporządzeniem DORA regulującym operacyjną odporność cyfrową instytucji finansowych oraz infrastruktury cyfrowej, objętej dyrektywą NIS2 w zakresie cyberbezpieczeństwa. Podmioty z tych sektorów będą co prawda identyfikowane jako krytyczne zgodnie z procedurą przewidzianą w dyrektywie CER, jednak szczegółowe obowiązki w zakresie odporności będą wobec nich egzekwowane na podstawie przepisów sektorowych, a nie CER.
Jakie sektory obejmuje dyrektywa?
Dyrektywa CER obejmuje 11 sektorów określonych w Załączniku I, przy czym każdy z nich dzieli się na podsektory i kategorie podmiotów zdefiniowane przez odwołanie do innych aktów prawa unijnego. To rozbudowana, precyzyjna konstrukcja, która ma zapewnić, że regulacją zostaną objęte dokładnie te podmioty, które rzeczywiście mają kluczowe znaczenie dla ciągłości usług, nie szerzej ani nie węziej.
Energetyka obejmuje pięć podsektorów: energię elektryczną (wytwórców, operatorów systemów przesyłowych i dystrybucyjnych, dostawców), systemy ciepłownicze i chłodnicze, ropę naftową (operatorów ropociągów i instalacji przetwórczych), gaz ziemny (dostawców, operatorów systemów przesyłowych, dystrybucyjnych, magazynowych i LNG) oraz wodór. Włączenie wodoru jest novum; sygnalizuje, że prawodawca unijny już na tym etapie uwzględnia znaczenie gospodarki wodorowej dla przyszłego bezpieczeństwa energetycznego Europy.
Transport to pięć trybów: lotniczy (przewoźnicy, zarządzający portami lotniczymi, operatorzy ruchu lotniczego), kolejowy (zarządcy infrastruktury i przedsiębiorstwa kolejowe), wodny (armatorzy, organy zarządzające portami, operatorzy systemów ruchu statków), drogowy (organy zarządzające ruchem drogowym, operatorzy inteligentnych systemów transportowych) oraz transport publiczny.
Bankowość obejmuje instytucje kredytowe, a infrastruktura rynków finansowych operatorów systemów obrotu i kontrahentów centralnych. Jak wspomniano, podmioty z tych sektorów będą identyfikowane jako krytyczne, ale szczegółowe wymogi odporności regulują wobec nich odrębne przepisy sektorowe.
Ochrona zdrowia to sektor, którego włączenie jest jedną z najważniejszych nowości w stosunku do dyrektywy z 2008 r. Obejmuje świadczeniodawców usług zdrowotnych, laboratoria referencyjne UE, podmioty prowadzące badania i rozwój produktów leczniczych, producentów substancji farmaceutycznych i leków, producentów wyrobów medycznych o krytycznym znaczeniu w sytuacjach zagrożenia zdrowia publicznego, a także podmioty posiadające pozwolenie na dystrybucję produktów leczniczych. Pandemia COVID-19 boleśnie pokazała, jak krytyczna jest ciągłość tych usług.
Woda pitna i gospodarka ściekowa to sektory obejmujące dostawców, dystrybutorów oraz przedsiębiorstwa zajmujące się zbieraniem, odprowadzaniem i oczyszczaniem ścieków, z wyłączeniem podmiotów, dla których działalność ta stanowi jedynie marginalną część szerszej działalności.
Infrastruktura cyfrowa obejmuje szeroki krąg podmiotów: dostawców punktów wymiany ruchu internetowego, dostawców usług DNS, rejestry nazw domen najwyższego poziomu, dostawców usług chmurowych i centrów danych, sieci dostarczania treści, dostawców usług zaufania oraz operatorów publicznych sieci łączności elektronicznej. To sektor szczególny, jak wspomniano, wobec jego podmiotów obowiązki z zakresu odporności reguluje przede wszystkim dyrektywa NIS2.
Administracja publiczna na szczeblu centralnym, przestrzeń kosmiczna — w zakresie naziemnej infrastruktury wspierającej usługi kosmiczne należącej do państw członkowskich lub podmiotów prywatnych oraz produkcja, przetwarzanie i dystrybucja żywności zamykają katalog. W tym ostatnim sektorze regulacja celowo ogranicza się do podmiotów zajmujących się logistyką, dystrybucją hurtową oraz produkcją i przetwórstwem przemysłowym na dużą skalę o znaczącym udziale w rynku krajowym, co odzwierciedla złożoność i rozproszenie sektora spożywczego oraz potrzebę proporcjonalnego podejścia.
Warto podkreślić, że lista 11 sektorów ma charakter minimalny. Dyrektywa nie zabrania państwom członkowskim objęcia regulacją dodatkowych sektorów, które uznają za krytyczne ze względu na krajową specyfikę. Polska może zatem w ustawie implementacyjnej poszerzyć ten katalog, uwzględniając sektory szczególnie istotne z perspektywy bezpieczeństwa narodowego lub geopolitycznego położenia kraju. Jest to kolejny argument za tym, by uważnie śledzić krajowy proces legislacyjny, bo ostateczny zakres podmiotowy polskich przepisów może być szerszy niż wynikający z samej dyrektywy. To radykalne rozszerzenie w stosunku do dyrektywy z 2008 r., która regulowała jedynie energetykę i transport. Włączenie sektora zdrowotnego, wodnego, żywnościowego, cyfrowego czy kosmicznego odzwierciedla nowe rozumienie tego, co jest naprawdę krytyczne dla funkcjonowania nowoczesnego społeczeństwa.
Podsumowanie
Dyrektywa CER nie jest kolejnym biurokratycznym wymogiem do odhaczenia. To odpowiedź na fundamentalne pytanie, które pandemia, wojna w Ukrainie i ataki na infrastrukturę krytyczną postawiły przed całą Europą: co się stanie, gdy przestanie działać to, co zawsze działało? Prąd, woda, łączność, transport, żywność – te usługi są tak wbudowane w codzienne życie, że ich brak staje się odczuwalny w ciągu godzin, a skutki długotrwałych zakłóceń mogą być katastrofalne dla całych społeczeństw i gospodarek. Dyrektywa CER to próba zbudowania Europy, która potrafi przetrwać, i wrócić do normalności, nawet gdy coś pójdzie bardzo nie tak. Dla Polski, kraju na wschodniej flance Unii, znajdującego się w bezpośrednim sąsiedztwie konfliktu zbrojnego i będącego celem intensywnych działań hybrydowych, jej wdrożenie jest nie tylko obowiązkiem prawnym, ale też kwestią bezpieczeństwa państwa.