Dyrektywa CER jest centralnym elementem unijnego systemu ochrony infrastruktury krytycznej, ale nie działa w próżni. Unijny prawodawca od lat buduje coraz gęstszą sieć regulacji dotyczących odporności, cyberbezpieczeństwa, ciągłości działania i bezpieczeństwa usług kluczowych. Dla operatorów infrastruktury krytycznej oznacza to jedno: obok dyrektywy CER i jej polskiej implementacji mogą na nich spoczywać obowiązki wynikające z kilku innych aktów prawa unijnego jednocześnie. Zrozumienie tej sieci powiązań jest kluczowe z dwóch powodów. Po pierwsze, dyrektywa CER sama przewiduje, że tam, gdzie inne przepisy unijne nakładają wymogi co najmniej równoważne jej własnym, przepisy CER nie mają zastosowania, a zatem znajomość tych innych aktów pozwala ocenić, w jakim zakresie CER rzeczywiście nakłada nowe obowiązki. Po drugie, wiele podmiotów krytycznych podlega kilku reżimom regulacyjnym jednocześnie i tylko świadome zarządzanie tą złożonością pozwala unikać dublowania działań compliance i efektywnie alokować zasoby.
Dyrektywa NIS2: cyberbezpieczeństwo jako filar równoległy (art. 1 ust. 2 dyrektywy CER)
Dyrektywa NIS2 (UE) 2022/2555, przyjęta tego samego dnia co CER jest najbliższym regulacyjnym partnerem dyrektywy CER. Szczegółowo omówiłam ich relację w osobnym artykule, dlatego tutaj przypomnimy tylko kluczowe punkty. NIS2 reguluje cyberbezpieczeństwo podmiotów kluczowych i ważnych, nakładając na nie obowiązki w zakresie zarządzania ryzykiem ICT, obsługi incydentów cybernetycznych i bezpieczeństwa łańcucha dostaw w warstwie cyfrowej. CER reguluje odporność fizyczną. Razem tworzą dwufilarowy system ochrony infrastruktury krytycznej.
Kogo dotyczą oba akty jednocześnie? Większość podmiotów krytycznych w sektorach energetyki, transportu, zdrowia, wody, ścieków i żywności może podlegać zarówno CER (w zakresie odporności fizycznej), jak i NIS2 (w zakresie cyberbezpieczeństwa). Wyjątek stanowią podmioty z sektora infrastruktury cyfrowej, wobec nich wymogi odporności z CER nie mają zastosowania, bo są już kompleksowo objęte NIS2. W Polsce NIS2 jest implementowana przez ustawę o krajowym systemie cyberbezpieczeństwa (KSC), CER — przez nowelizację ustawy o zarządzaniu kryzysowym. Oba reżimy funkcjonują na podstawie różnych ustaw, co czyni koordynację między nimi szczególnie istotną.
Rozporządzenie DORA: operacyjna odporność cyfrowa sektora finansowego (art. 8 dyrektywy CER)
Rozporządzenie (UE) 2022/2554 w sprawie operacyjnej odporności cyfrowej sektora finansowego, powszechnie znane jako DORA, jest stosowane od 17 stycznia 2025 r. Jest to rozporządzenie, nie dyrektywa, co oznacza, że obowiązuje bezpośrednio we wszystkich państwach członkowskich bez potrzeby implementacji do prawa krajowego. DORA nakłada na instytucje finansowe kompleksowe wymogi w zakresie zarządzania ryzykiem ICT, obsługi incydentów ICT, testowania operacyjnej odporności cyfrowej, zarządzania ryzykiem ze strony zewnętrznych dostawców ICT oraz wymiany informacji o zagrożeniach cybernetycznych. Zakres podmiotowy DORA jest bardzo szeroki, obejmuje banki, zakłady ubezpieczeń, firmy inwestycyjne, dostawców usług płatniczych, instytucje pieniądza elektronicznego, kontrahentów centralnych, repozytoria transakcji i wielu innych uczestników rynku finansowego.
Kogo dotyczą CER i DORA jednocześnie? Podmioty z sektorów bankowości i infrastruktury rynków finansowych: instytucje kredytowe, operatorzy systemów obrotu i kontrahenci centralni są identyfikowane jako podmioty krytyczne na podstawie CER, ale szczegółowe wymogi odporności wynikają dla nich z DORA, nie z CER (art. 8 dyrektywy CER). Oznacza to, że podmioty finansowe nie podlegają rozdziałom III, IV i VI dyrektywy CER, choć uczestniczą w procesie identyfikacji i są objęte krajową strategią oraz oceną ryzyka. Praktyczna wskazówka dla podmiotów finansowych: compliance z DORA jest traktowany przez dyrektywę CER jako równoważny spełnieniu jej wymogów w zakresie odporności. Nie oznacza to jednak, że DORA i CER można traktować jako w pełni zastępowalne, DORA skupia się wyłącznie na ryzyku ICT, podczas gdy CER obejmuje szersze spektrum zagrożeń fizycznych.
Akty sektorowe w energetyce: między CER a rozporządzeniami energetycznymi
Sektor energetyczny jest objęty rozbudowaną siecią sektorowych aktów prawa unijnego, które częściowo nakładają się na wymogi dyrektywy CER. Rozporządzenie (UE) 2019/941 w sprawie gotowości na wypadek zagrożeń w sektorze energii elektrycznej nakłada na operatorów systemów przesyłowych i państwa członkowskie obowiązki w zakresie identyfikacji scenariuszy kryzysowych i planowania na wypadek ich wystąpienia. Rozporządzenie (UE) 2017/1938 dotyczące bezpieczeństwa dostaw gazu ziemnego nakłada analogiczne wymogi dla sektora gazowego, w tym obowiązek opracowania planów awaryjnych i planów prewencyjnych. Obydwa rozporządzenia przewidują mechanizmy solidarności między państwami i transgraniczne plany awaryjne. Kogo dotyczą CER i akty energetyczne jednocześnie? Operatorów systemów przesyłowych energii elektrycznej i gazu, operatorów systemów dystrybucyjnych, wytwórców energii i dostawców gazu. Jeśli wymogi tych rozporządzeń zostaną uznane przez państwa członkowskie za co najmniej równoważne odpowiadającym im obowiązkom z CER, stosowne przepisy CER nie mają zastosowania (art. 1 ust. 3 dyrektywy CER). W praktyce oznacza to, że Polska będzie musiała dokonać oceny równoważności tych reżimów przy implementacji CER.
Akty sektorowe w transporcie: bezpieczeństwo lotnicze i morskie
Sektor transportu jest objęty kilkoma szczegółowymi aktami unijnymi dotyczącymi bezpieczeństwa i ochrony, które CER wprost uwzględnia w swojej logice. Rozporządzenie (WE) nr 300/2008 w sprawie wspólnych zasad w dziedzinie ochrony lotnictwa cywilnego i rozporządzenie (WE) nr 725/2004 w sprawie wzmocnienia ochrony statków i obiektów portowych nakładają szczegółowe wymogi ochrony fizycznej na przewoźników lotniczych, porty lotnicze, armatorów i porty morskie. Dyrektywa 2005/65/WE w sprawie wzmocnienia ochrony portów uzupełnia ten system o wymogi dla infrastruktury portowej. Komisja Europejska przeprowadza regularne inspekcje zgodności z tymi aktami, a dyrektywa CER nakazuje uwzględniać wyniki tych inspekcji przy organizacji misji doradczych (art. 18 ust. 9 dyrektywy CER). Kogo dotyczą CER i akty transportowe jednocześnie? Przewoźników lotniczych, zarządzających portami lotniczymi, armatorów i operatorów portów morskich. Podmioty te muszą odzwierciedlić środki wdrożone na podstawie aktów sektorowych w swoim planie odporności wymaganym przez CER (art. 13 ust. 1 dyrektywy CER), co w praktyce oznacza konieczność integracji dotychczasowych planów bezpieczeństwa z nowym planem odporności.
Akty sektorowe w ochronie zdrowia: gotowość na zagrożenia zdrowia publicznego
Sektor zdrowia jest objęty rozporządzeniem (UE) 2022/2371 w sprawie poważnych transgranicznych zagrożeń zdrowia, które weszło w życie w grudniu 2022 r. Rozporządzenie to tworzy ramy dla monitorowania, wczesnego ostrzegania i reagowania na poważne transgraniczne zagrożenia zdrowia: pandemie, epidemie, zagrożenia biologiczne i chemiczne. Przewiduje m.in. ustanowienie europejskich laboratoriów referencyjnych, objętych zresztą wykazem usług kluczowych w rozporządzeniu delegowanym 2023/2450 oraz plany gotowości i reagowania. Kogo dotyczą CER i akty zdrowotne jednocześnie? Przede wszystkim świadczeniodawców usług zdrowotnych, laboratoriów referencyjnych UE i producentów leków. Pandemia COVID-19 boleśnie pokazała, że zakłócenia w tych podmiotach mają natychmiastowe i poważne skutki dla całego społeczeństwa, stąd ich włączenie do zakresu dyrektywy CER i konieczność budowania odporności również w wymiarze fizycznym i organizacyjnym, nie tylko w zakresie gotowości epidemiologicznej.
Akty dotyczące wody i ścieków
Dyrektywa (UE) 2020/2184 w sprawie jakości wody przeznaczonej do spożycia przez ludzi nakłada na dostawców wody pitnej obowiązki w zakresie oceny ryzyka dla systemów zaopatrzenia w wodę. Ocena ta obejmuje zarówno zagrożenia dla jakości wody, jak i zagrożenia dla ciągłości dostaw, co zbliża ją do oceny ryzyka wymaganej przez CER. Dyrektywa wodna i CER tworzą zatem komplementarny system dla sektora wodnego. Kogo dotyczą CER i dyrektywa wodna jednocześnie? Dostawców i dystrybutorów wody pitnej, którzy są jednocześnie objęci wykazem usług kluczowych z rozporządzenia 2023/2450. Wyniki oceny ryzyka przeprowadzonej na podstawie dyrektywy wodnej mogą być wykorzystane przy sporządzaniu oceny ryzyka wymaganej przez CER, co pozwala uniknąć zbędnego powielania pracy.
Akt o odporności cybernetycznej: nadchodząca regulacja dla producentów sprzętu i oprogramowania
Warto wspomnieć o regulacji, która jest jeszcze stosunkowo nowa i będzie miała istotne znaczenie dla podmiotów krytycznych: Rozporządzenie (UE) 2024/2847 w sprawie wymagań dotyczących cyberbezpieczeństwa produktów z elementami cyfrowymi tzw. Cyber Resilience Act (CRA), które weszło w życie 10 grudnia 2024 r. Główne obowiązki dla producentów będą jednak stosowane dopiero od 11 grudnia 2027 r., po upływie okresu przejściowego. Wcześniej, od 11 września 2026 r. zaczną obowiązywać przepisy dotyczące zgłaszania podatności i poważnych incydentów bezpieczeństwa. CRA nakłada wymogi cyberbezpieczeństwa na producentów sprzętu i oprogramowania wprowadzanego na rynek unijny: od urządzeń IoT, przez oprogramowanie przemysłowe, po systemy sterowania. Dla podmiotów krytycznych ma to pośrednie, ale realne znaczenie: dostawcy systemów sterowania, oprogramowania do zarządzania infrastrukturą czy urządzeń sieciowych stosowanych w obiektach krytycznych będą musieli spełniać wymogi CRA, co z czasem przełoży się na wyższy poziom bezpieczeństwa produktów używanych przez operatorów. Warto śledzić ten proces, ponieważ wybór dostawców sprzętu i oprogramowania przez podmioty krytyczne będzie w coraz większym stopniu uwzględniać zgodność z CRA jako element zarządzania ryzykiem łańcucha dostaw.
Jak zarządzać wielością reżimów regulacyjnych?
Dla operatora, który podlega kilku aktom prawnym jednocześnie, kluczowe jest podejście zintegrowane. Dyrektywa CER sama wskazuje kierunek: jeśli podmiot przeprowadził ocenę ryzyka lub sporządził dokumenty na podstawie innych przepisów, może je wykorzystać do spełnienia wymogów CER, o ile są istotne (art. 12 ust. 2 i art. 13 ust. 2 dyrektywy CER). To nie jest tylko uprzejmość ustawodawcy, to wyraz podejścia, że odporność powinna być budowana holistycznie, a compliance nie powinien generować zbędnej biurokracji. Praktyczny wniosek jest jeden: nie buduj osobnych silosów dla każdej regulacji. Zintegrowany system zarządzania bezpieczeństwem, obejmujący zarządzanie ryzykiem, ciągłość działania, bezpieczeństwo fizyczne, personel i cyberbezpieczeństwo to najefektywniejszy sposób spełnienia wymagań wynikających jednocześnie z CER, NIS2, DORA i aktów sektorowych. Nowelizacja ustawy o zarządzaniu kryzysowym, wprowadzając pojęcie zintegrowanego systemu zarządzania bezpieczeństwem usługi kluczowej, podąża dokładnie w tym kierunku.
Sprawdzam aktualne linki do wszystkich aktów na EUR-Lex.Mam linki do głównych aktów. Oto kompletna lista z bezpośrednimi odnośnikami do wersji polskiej na EUR-Lex:
Akty omówione w artykule:
Dyrektywa CER Dyrektywa (UE) 2022/2557 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2557
Rozporządzenie delegowane — wykaz usług kluczowych Rozporządzenie (UE) 2023/2450 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=OJ:L_202302450
Dyrektywa NIS2 Dyrektywa (UE) 2022/2555 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022L2555
Rozporządzenie DORA Rozporządzenie (UE) 2022/2554 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022R2554
Rozporządzenie o gotowości na zagrożenia w sektorze energii elektrycznej Rozporządzenie (UE) 2019/941 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32019R0941
Rozporządzenie o bezpieczeństwie dostaw gazu Rozporządzenie (UE) 2017/1938 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32017R1938
Rozporządzenie o ochronie lotnictwa cywilnego Rozporządzenie (WE) nr 300/2008 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32008R0300
Rozporządzenie o ochronie statków i obiektów portowych Rozporządzenie (WE) nr 725/2004 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32004R0725
Dyrektywa o wzmocnieniu ochrony portów Dyrektywa 2005/65/WE https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32005L0065
Rozporządzenie o transgranicznych zagrożeniach zdrowia Rozporządzenie (UE) 2022/2371 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32022R2371
Dyrektywa o jakości wody pitnej Dyrektywa (UE) 2020/2184 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32020L2184
Cyber Resilience Act Rozporządzenie (UE) 2024/2847 https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32024R2847