Napisz do mnie
Uzbrajamy w wiedzę

Dyrektywa CER

Dyrektywa CER

Redakcja Projekt IK

W styczniu 2023 r. weszły w życie dwie kluczowe dyrektywy w sprawie infrastruktury krytycznej i cyfrowej. Dwie dyrektywy, które wprowadzą liczne zmiany dla operatorów IK, to:

  • Dyrektywa w sprawie odporności podmiotów krytycznych (dyrektywa CER)
Czytaj więcej
  • Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2)
Czytaj więcej

Przepisy dyrektywy CER zostaną wdrożone do polskiego porządku prawnego poprzez nowelizację ustawy o zarządzaniu kryzysowym. Celem zmian jest dostosowanie krajowych regulacji do wymagań unijnych w zakresie odporności infrastruktury krytycznej oraz zapewnienie spójności działań na poziomie krajowym i europejskim.

Tutaj można śledzić proces legislacyjny:

https://legislacja.rcl.gov.pl/projekt/12386961/katalog/13069035#13069035

Przepisy dyrektywy NIS 2 zostaną wdrożone do polskiego porządku prawnego poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa, której celem jest podniesienie poziomu bezpieczeństwa sieci i systemów informatycznych w kluczowych sektorach gospodarki.

Tutaj można śledzić proces legislacyjny:

https://legislacja.gov.pl/projekt/12384504

 

Dlaczego potrzebujemy nowych przepisów?

W obliczu zmieniających się zagrożeń, coraz bardziej ścisłego powiazania między sektorami gospodarki, a także koniecznością zbudowania lepszej ochrony dla IK, nowa dyrektywa CER zastępuje dyrektywę w sprawie europejskiej infrastruktury krytycznej z 2008 r.

Nowe przepisy wzmocnią odporność infrastruktury krytycznej, biorąc pod uwagę szereg zagrożeń od naturalnych, po ataki terrorystyczne, zagrożenia wewnętrzne lub sabotaż. Nowe przepisy obejmą 11 sektorów: energia, transport, bankowość, infrastruktura rynku finansowego, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna i żywność. 

Jakie będą następne kroki?

Państwa członkowskie EU będą musiały przyjąć krajową strategię oraz przeprowadzać regularne oceny ryzyka w celu zidentyfikowania podmiotów uznawanych za kluczowe lub niezbędne dla funkcjonowania społeczeństwa i gospodarki. Ponadto, w grudniu 2022 r. Rada przyjęła zalecenie w sprawie ogólnounijnego podejścia koordynacyjnego w celu wzmocnienia odporności infrastruktury krytycznej, w którym wzywa się państwa członkowskie do przyspieszenia prac przygotowawczych do transpozycji i stosowania NIS 2 oraz dyrektywy w sprawie odporności podmiotów krytycznych (CER). Państwa członkowskie mają 21 miesięcy na transpozycję obu dyrektyw do prawa krajowego. Tą graniczną datą jest 17 października 2024 r.

Co to w istocie oznacza?

Żeby lepiej zrozumieć istotę zmian, jakie czekają operatorów IK, a także podmioty, które operatorami nie są, ale świadczą istotne usługi dla ludności, warto zacząć od podstawowych pojęć.

  • odporność” oznacza zdolność podmiotu krytycznego do zapobiegania incydentowi, ochrony przed nim, odpowiedzi na niego, stawiania mu oporu, łagodzenia i absorbowania incydentu oraz adaptacji i odtworzenia po incydencie;
  • „usługa kluczowa” oznacza usługę, która ma decydujące znaczenie dla utrzymania niezbędnych funkcji społecznych, niezbędnej działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska;
  • „podmiot krytyczny” oznacza podmiot publiczny lub prywatny zidentyfikowany przez państwo członkowskie
  • „infrastruktura krytyczna” oznacza składnik, obiekt, sprzęt, sieć lub system lub część składnika, obiektu, sprzętu, sieci lub systemu, niezbędne do świadczenia usługi kluczowej;
  • „incydent” oznacza każde zdarzenie, które może znacząco zakłócić lub które zakłóca świadczenie usługi kluczowej, w tym gdy wpływa ono na krajowe systemy chroniące praworządność;
  • „ocena ryzyka” oznacza ogólny proces mający na celu określenie charakteru i zakresu ryzyka poprzez identyfikację i analizę potencjalnych odpowiednich zagrożeń, podatności na zagrożenia i niebezpieczeństw, które mogłyby prowadzić do incydentu, oraz poprzez ocenę potencjalnej straty lub potencjalnego zakłócenia świadczenia usługi kluczowej spowodowanych tym incydentem.

Podsumowując, wraz z dyrektywą CER następuje odejście od obiektowego podejścia do ochrony IK, kiedy to, konkretny obiekt był uznawany za infrastrukturę krytyczną, na rzecz podejścia procesowego. Konkretna usługa np. dostarczanie wody, zaopatrywanie w energie elektryczną etc. zostaje uznana za kluczową (dla funkcjonowania społeczeństwa i gospodarki). Następnie identyfikuje się podmioty świadczące usługi kluczowe oraz – finalnie – obiekty i instalacje, za pomocą których usługi kluczowe są świadczone.

DYREKTYWA CER NAJWAŻNIEJSZE INFORMACJE

  • Dyrektywa CER ma na celu zwiększenie odporności podmiotów, które świadczą usługi niezbędne dla funkcjonowania nowoczesnego społeczeństwa i przedsiębiorców;
  • Dyrektywa CER oraz dyrektywa NIS 2 tworzą ramy prawne w zakresie zapewniania ciągłości usług kluczowych i odporności podmiotów świadczących takie usługi;
  • Dyrektywa CER zakłada obowiązek minimalnej harmonizacji przepisów w państwach członkowskich, co oznacza, że w celu osiągniecia większego poziomu odporności poszczególne państwa mogą wprowadzać bardziej zaawansowane wymagania;
  • W załączniku do dyrektywy wymieniono jedenaście sektorów gospodarki. W ramach tych sektorów na poziomie państw członkowskich wyłonione zostaną tzw. usługi kluczowe oraz zidentyfikowane zostaną podmioty je świadczące;
  • Dyrektywa CER wprowadza obowiązki dla podmiotów krytycznych. Muszą wprowadzić odpowiednie i proporcjonalne mechanizmy (środki techniczne, bezpieczeństwa i organizacyjne), które mają zapewnić im odporność na wszelkiego rodzaju incydenty;
  • Dyrektywa CER wprowadza kategorię podmiotów o szczególnym znaczeniu europejskim.
  • Państwa członkowskie wyznaczają co najmniej organ, który będzie odpowiedzialny za prawidłowe stosowanie i egzekwowanie dyrektywy CER. W obecnej chwili (stan na grudzień 2023 r.) nie wyznaczono jeszcze takiego organu, ale najprawdopodobniej będzie nim Rządowe Centrum Bezpieczeństwa;
  • Dyrektywa CER przewiduje, że organ odpowiedzialny za budowanie odporności IK będzie mógł przeprowadzać kontrole oraz przeprowadzać lub zlecać audyty;
  • Dyrektywa CER przewiduje możliwość stosowania sankcji wobec podmiotów krytycznych, które naruszają obowiązki.

Proces legislacyjny jest wciąż w toku...

Co ważne, choć Dyrektywa CER została formalnie przyjęta, nie ma jeszcze przełożenia na polskie prawo. Tzw. transpozycja do polskiego prawa przepisów zawartych w Dyrektywie powinna nastąpić do października 2024. Proces legislacyjny jest już na ukończeniu, ale wciąż nie mamy nowej ustawy, ani aktów wykonawczych. Nie przeszkadza to jednak wielu firmom przeprowadzać szkoleń z Dyrektywy CER, czy oferować audyty zgodności procedur i planów z Dyrektywą (zarówno CER, jak i NIS 2). Uczestnictwo w nich może być oczywiście rozwijające, ale omawiane tam założenia Dyrektyw, póki co nie funkcjonują w polskim prawie.

Warto przypomnieć, że art. 3 dyrektywy CER mówi o tzw. minimalnej harmonizacji: „Niniejsza dyrektywa nie uniemożliwia państwom członkowskim przyjmowania lub utrzymywania przepisów prawa krajowego w celu osiągnięcia wyższego poziomu odporności podmiotów krytycznych, pod warunkiem, że takie przepisy są zgodne z obowiązkami państw członkowskich ustanowionymi w prawie Unii”. Oznacza to w praktyce, że ostatecznie przyjęte w Polsce przepisy mogą różnić się od założeń z Dyrektywy. To powoduje, że warto zastanowić się, czy uczestniczyć w szkoleniu (bądź zlecać audyt zgodności z dyrektywą) w sytuacji, gdy tych przepisów jeszcze nie ma.

Warto przeczytać

Wytyczne Komisji Europejskiej dotyczące odporności podmiotów krytycznych (CER) – nowy dokument w drodze do transpozycji Dyrektywy CER

11 września 2025 r. Komisja Europejska przyjęła Wytyczne dotyczące odporności podmiotów krytycznych (Commission Guidelines on the Resilience

Przejdź do artykułu
Linia czasu – jak zmieniało się podejście UE do IK?

Ewolucja podejścia UE – linia czasu budowania odporności infrastruktury krytycznej 2006 – Europejski Program Ochrony

Przejdź do artykułu
Zalecenia Rady UE w sprawie wzmocnienia odporności IK

Rekomendacja Rady Unii Europejskiej z dnia 8 grudnia 2022 r. dotycząca unijnego, skoordynowanego podejścia do wzmacniania odporności infrastruktury

Przejdź do artykułu

Współpraca

Projekt IK wspiera i bierze udział w tworzeniu inicjatyw naukowych, badawczych, szkoleniowych, eksperckich w obszarze #ochronaIK oraz budowania odporności infrastruktury krytycznej.

Współpraca IK

Dr Karolina Wojtasik

Specjalista ds. bezpieczeństwa,
wykładowca akademicki