Nie każda firma z sektora energetyki stanie się podmiotem krytycznym. Jak przebiega proces wyznaczania? Dyrektywa CER wprowadza precyzyjny, wieloetapowy mechanizm identyfikacji podmiotów, które zostaną objęte jej obowiązkami. To jeden z kluczowych elementów całego systemu, od tego, kto zostanie uznany za podmiot krytyczny, zależy bowiem, na kim spoczną konkretne wymogi dotyczące odporności, nadzoru i sprawozdawczości. Nie chodzi jednak o automatyczne objęcie regulacją wszystkich firm działających w danej branży. Dyrektywa przewiduje staranny, oparty na analizie ryzyka proces, w którym decydującą rolę odgrywa każde państwo członkowskie z osobna, działając w ramach wspólnych unijnych kryteriów, ale z uwzględnieniem własnej specyfiki.
Punkt wyjścia: krajowa ocena ryzyka
Zanim jakikolwiek podmiot zostanie uznany za krytyczny, każde państwo członkowskie musi przeprowadzić kompleksową ocenę ryzyka na poziomie krajowym. To fundament całego systemu identyfikacji, bez rzetelnej oceny ryzyka nie można racjonalnie wskazać, które podmioty mają kluczowe znaczenie dla funkcjonowania społeczeństwa i gospodarki. Dyrektywa wymaga, by pierwsza taka ocena została przeprowadzona do 17 stycznia 2026 r. Następnie musi być aktualizowana regularnie, co najmniej co cztery lata lub częściej, gdy zachodzą istotne zmiany w otoczeniu ryzyka. Ocena powinna mieć charakter wszechstronny i uwzględniać wszystkie istotne zagrożenia, zarówno naturalne, jak i spowodowane przez człowieka, przypadkowe i celowe. Dyrektywa wprost wymienia klęski żywiołowe, stany zagrożenia zdrowia publicznego takie jak pandemie, zagrożenia hybrydowe oraz przestępstwa terrorystyczne. Istotne jest również uwzględnienie ryzyk o charakterze transgranicznym i międzysektorowym, a zatem takich, których źródło lub skutki wykraczają poza granice jednego państwa lub jednego sektora. Przy przeprowadzaniu oceny ryzyka państwa członkowskie muszą brać pod uwagę m.in. wyniki innych ocen ryzyka sporządzonych na podstawie przepisów sektorowych, stopień wzajemnych zależności między sektorami, w tym od podmiotów w innych państwach członkowskich i państwach trzecich oraz informacje o wcześniejszych incydentach zgłoszonych przez podmioty krytyczne. Wyniki krajowej oceny ryzyka są następnie przekazywane Komisji Europejskiej, która na ich podstawie monitoruje stan odporności infrastruktury krytycznej w całej Unii.
Kto może zostać uznany za podmiot krytyczny?
Na podstawie przeprowadzonej oceny ryzyka każde państwo członkowskie identyfikuje podmioty krytyczne dla wszystkich sektorów i podsektorów określonych w Załączniku I do dyrektywy. Termin dokonania pierwszej identyfikacji upływa 17 lipca 2026 r. Co istotne, podmiotem krytycznym może być zarówno podmiot publiczny, jak i prywatny, dyrektywa CER nie wprowadza tu żadnego rozróżnienia. Aby dany podmiot mógł zostać uznany za krytyczny, muszą zostać spełnione łącznie trzy warunki określone w art. 6 dyrektywy. Po pierwsze, podmiot musi świadczyć co najmniej jedną usługę kluczową, czyli usługę mającą decydujące znaczenie dla utrzymania niezbędnych funkcji społecznych, niezbędnej działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska. Po drugie, podmiot musi prowadzić działalność na terytorium danego państwa członkowskiego, a jego infrastruktura krytyczna musi się tam znajdować. Po trzecie, i to kryterium jest kluczowe, ewentualny incydent musiałby wywołać istotny skutek zakłócający dla świadczenia przez ten podmiot co najmniej jednej usługi kluczowej.
Jak ocenić istotność skutku zakłócającego?
To właśnie kryterium istotności skutku zakłócającego jest tym, co odróżnia podmioty krytyczne od wszystkich innych firm działających w danym sektorze. Dyrektywa precyzyjnie wskazuje w art. 7, jakie czynniki należy brać pod uwagę przy tej ocenie. Pierwszym z nich jest liczba użytkowników zależnych od danej usługi kluczowej, im więcej osób korzysta z usługi, tym większy potencjalny skutek zakłócenia. Drugi czynnik to stopień zależności innych sektorów od tej usługi, jeśli jej brak wywołuje efekt kaskadowy w wielu innych dziedzinach, jest to sygnał jej krytycznego charakteru. Dyrektywa nakazuje uwzględnić wpływ incydentów na działalność gospodarczą i społeczną, środowisko oraz bezpieczeństwo publiczne i zdrowie, a także czas trwania potencjalnego zakłócenia. Istotny jest też udział podmiotu w rynku danej usługi kluczowej, jeśli podmiot dostarcza ją jako jedyny lub jeden z niewielu na danym rynku, jego ewentualne wypadnięcie z gry jest szczególnie dotkliwe. Dyrektywa nakazuje też wziąć pod uwagę zasięg geograficzny potencjalnego zakłócenia, w tym jego ewentualny wpływ transgraniczny oraz dostępność alternatywnych sposobów świadczenia tej samej usługi, im mniej alternatyw, tym ryzyko wyższe. Ważną nowością w stosunku do poprzedniego podejścia jest wyraźne uwzględnienie wpływu na łańcuchy dostaw. Pandemia COVID-19 pokazała boleśnie, jak zakłócenia w jednym ogniwie łańcucha mogą paraliżować całe sektory. Dlatego przy ocenie istotności skutku państwa członkowskie powinny w miarę możliwości brać pod uwagę właśnie taki efekt domina w łańcuchu dostaw.
Co się dzieje po identyfikacji?
Po dokonaniu identyfikacji każde państwo członkowskie sporządza wykaz podmiotów krytycznych i bez zbędnej zwłoki powiadamia każdy z nich o tym fakcie, termin na powiadomienie wynosi jeden miesiąc od daty identyfikacji. Podmiot krytyczny otrzymuje wówczas informację o swoim statusie, o obowiązkach, jakie na nim odtąd spoczywają oraz o dacie, od której obowiązki te wchodzą w życie. Co istotne, rozdział III dyrektywy, regulujący szczegółowe wymogi odporności zaczyna obowiązywać podmiot krytyczny dopiero po upływie dziesięciu miesięcy od daty powiadomienia. To czas, który podmiot ma na przygotowanie się do wypełnienia obowiązków. Jednocześnie właściwe organy krajowe przekazują dane identyfikacyjne podmiotów krytycznych organom właściwym na podstawie dyrektywy NIS2, tak by zapewnić spójność między obydwoma reżimami regulacyjnymi i uniknąć nakładania się lub luk w nadzorze. Wykaz podmiotów krytycznych nie jest tworzony raz na zawsze. Dyrektywa nakłada obowiązek jego regularnego przeglądu, co najmniej co cztery lata lub częściej, gdy zajdą istotne zmiany. Jeśli w wyniku przeglądu nowe podmioty zostaną uznane za krytyczne, procedura powiadamiania i dziesięciomiesięczny okres przejściowy mają do nich zastosowanie w pełnym zakresie. Jeśli natomiast podmiot przestaje spełniać kryteria, zostaje o tym poinformowany i od momentu powiadomienia nie podlega już obowiązkom wynikającym z rozdziału III dyrektywy.
Podmioty o szczególnym znaczeniu europejskim
Dyrektywa CER przewiduje szczególną kategorię podmiotów krytycznych, tzw. podmioty krytyczne o szczególnym znaczeniu europejskim. Uzyskują ten status podmioty, które świadczą usługi kluczowe na rzecz co najmniej sześciu państw członkowskich lub w co najmniej sześciu państwach członkowskich. W praktyce chodzi o największych operatorów infrastruktury, którzy odgrywają rolę ponadnarodową, ich ewentualne zakłócenie mogłoby dotknąć znaczną część Unii Europejskiej. Procedura uzyskania tego statusu jest wieloetapowa i angażuje Komisję Europejską. Po tym, jak państwo członkowskie zidentyfikuje podmiot jako krytyczny, podmiot informuje właściwy organ, czy świadczy usługi kluczowe na rzecz co najmniej sześciu państw. Państwo przekazuje tę informację Komisji, która przeprowadza konsultacje z zainteresowanymi państwami członkowskimi. Jeśli Komisja stwierdzi, że warunek jest spełniony, powiadamia podmiot o nadaniu mu statusu podmiotu o szczególnym znaczeniu europejskim. Od tego momentu podmiot podlega dodatkowym regulacjom przewidzianym w rozdziale IV dyrektywy, w tym możliwości przeprowadzenia misji doradczej przez Komisję, o czym szerzej w artykule poświęconym współpracy transgranicznej.
Wsparcie, a nie tylko obowiązki
Identyfikacja jako podmiot krytyczny nie oznacza wyłącznie nałożenia nowych ciężarów. Dyrektywa zobowiązuje państwa członkowskie do aktywnego wspierania zidentyfikowanych podmiotów w budowaniu odporności. Wsparcie to może przyjmować różne formy: opracowywania materiałów zawierających wytyczne i metodyki, pomocy w organizacji ćwiczeń sprawdzających odporność, zapewniania doradztwa i szkoleń dla personelu. Jeśli jest to konieczne i uzasadnione interesem publicznym, państwa mogą też przekazywać podmiotom krytycznym wsparcie finansowe, bez naruszania unijnych reguł pomocy państwa. Komisja Europejska poinformuje państwa o dostępnych instrumentach finansowania na poziomie unijnym, m.in. w ramach Funduszu Bezpieczeństwa Wewnętrznego czy programu Horyzont Europa.
Co to oznacza dla polskich podmiotów?
W Polsce proces identyfikacji podmiotów krytycznych zostanie uregulowany w nowelizacji ustawy o zarządzaniu kryzysowym. Polska przyjęła własne, dwuetapowe podejście do tego procesu, które różni się od modelu przewidzianego wprost w dyrektywie CER i które wynika z dotychczasowego dorobku w zakresie ochrony infrastruktury krytycznej.
W pierwszym etapie identyfikowana i wpisywana do wykazu jest infrastruktura krytyczna, na podstawie kryteriów sektorowych i przekrojowych określonych przez Radę Ministrów w drodze uchwały. Dopiero w drugim etapie, spośród operatorów infrastruktury krytycznej wpisanej do wykazu, wyłaniane są podmioty krytyczne w rozumieniu dyrektywy CER, czyli te, które świadczą co najmniej jedną usługę kluczową w sektorach wskazanych w załączniku do ustawy. Takie rozwiązanie pozwala wykorzystać istniejący dorobek i praktykę w zakresie ochrony infrastruktury krytycznej jako punkt wyjścia dla implementacji dyrektywy, jednocześnie zapewniając, że nie każdy operator infrastruktury krytycznej automatycznie staje się podmiotem krytycznym, a jedynie ten, którego działalność ma bezpośrednie znaczenie dla ciągłości usług kluczowych. Szczegóły tego mechanizmu, w tym kryteria sektorowe i przekrojowe, będą wynikać z aktów wykonawczych do ustawy, warto śledzić ten proces, ponieważ to właśnie na tym poziomie zostanie przesądzone, kto i w jakim zakresie zostanie objęty obowiązkami wynikającymi z dyrektywy CER.
