W styczniu 2023 r. weszły w życie dwie kluczowe dyrektywy w sprawie infrastruktury krytycznej i cyfrowej. Dwie dyrektywy, które wprowadzą liczne zmiany dla operatorów IK, to:
coraz bardziej ścisłego powiazania między sektorami gospodarki, a także koniecznością zbudowania lepszej ochrony dla IK, nowa dyrektywa CER zastępuje dyrektywę w sprawie europejskiej infrastruktury krytycznej z 2008 r.
Nowe przepisy wzmocnią odporność infrastruktury krytycznej, biorąc pod uwagę szereg zagrożeń od naturalnych, po ataki terrorystyczne, zagrożenia wewnętrzne lub sabotaż. Nowe przepisy obejmą 11 sektorów: energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność.
oraz przeprowadzać regularne oceny ryzyka w celu zidentyfikowania podmiotów uznawanych za kluczowe lub niezbędne dla funkcjonowania społeczeństwa i gospodarki. Ponadto, w grudniu 2022 r. Rada przyjęła zalecenie w sprawie ogólnounijnego podejścia koordynacyjnego w celu wzmocnienia odporności infrastruktury krytycznej, w którym wzywa się państwa członkowskie do przyspieszenia prac przygotowawczych do transpozycji i stosowania NIS 2 oraz dyrektywy w sprawie odporności podmiotów krytycznych (CER). Państwa członkowskie mają 21 miesięcy na transpozycję obu dyrektyw do prawa krajowego. Tą graniczną datą jest 17 października 2024 r.
Żeby lepiej zrozumieć istotę zmian, jakie czekają operatorów IK, a także podmioty, które operatorami nie są, ale świadczą istotne usługi dla ludności, warto zacząć od podstawowych pojęć.
Podsumowując, wraz z dyrektywą CER następuje odejście od obiektowego podejścia do ochrony IK, kiedy to, konkretny obiekt był uznawany za infrastrukturę krytyczną, na rzecz podejścia procesowego. Konkretna usługa np. dostarczanie wody, zaopatrywanie w energie elektryczną etc. zostaje uznana za kluczową (dla funkcjonowania społeczeństwa i gospodarki). Następnie identyfikuje się podmioty świadczące usługi kluczowe oraz – finalnie – obiekty i instalacje, za pomocą których usługi kluczowe są świadczone.
nie ma jeszcze przełożenia na polskie prawo. Tzw. transpozycja do polskiego prawa przepisów zawartych w Dyrektywie nastąpi w ciągu roku, do października 2024. Nie przeszkadza to jednak wielu firmom przeprowadzać szkoleń z Dyrektywy CER, czy oferować audyty zgodności procedur i planów z Dyrektywą (zarówno CER, jak i NIS 2). Uczestnictwo w nich może być oczywiście rozwijające, ale omawiane tam założenia Dyrektyw, póki co nie funkcjonują w polskim prawie.
Warto przypomnieć, że art. 3 dyrektywy CER mówi o tzw. minimalnej harmonizacji: „Niniejsza dyrektywa nie uniemożliwia państwom członkowskim przyjmowania lub utrzymywania przepisów prawa krajowego w celu osiągnięcia wyższego poziomu odporności podmiotów krytycznych, pod warunkiem, że takie przepisy są zgodne z obowiązkami państw członkowskich ustanowionymi w prawie Unii”. Oznacza to w praktyce, że ostatecznie przyjęte w Polsce przepisy mogą różnić się od założeń z Dyrektywy. To powoduje, że warto zastanowić się, czy uczestniczyć w szkoleniu (bądź zlecać audyt zgodności z dyrektywą) w sytuacji, gdy tych przepisów jeszcze nie ma.
Sektor energetyczny w przeciwieństwie do sektora lotniczego czy kolejowego nie podlega regulacjom szczególnym, które odnosiłyby się do kwestii jego bezpieczeństwa.
Atak hakerski na systemy teleinformatyczne zarządcy amerykańskiego rurociągu pokazały, że sprawna grupa hakerów potrafi sparaliżować pracę rurociągu,
Każdy artykuł na temat cyberataków na wodociągi zwykle otwiera przypadek z Australii. Rzadko jednak poświęca mu się więcej niż
Projekt IK wspiera i bierze udział w tworzeniu inicjatyw naukowych, badawczych, szkoleniowych, eksperckich w obszarze #ochronaIK oraz budowania odporności infrastruktury krytycznej.
