Bycie podmiotem krytycznym to nie tylko status, to konkretne wymogi, terminy i odpowiedzialność. Uznanie za podmiot krytyczny uruchamia szereg obowiązków, które operator musi wypełnić w określonych terminach. Dyrektywa CER nie pozostawia tu dużej dowolności, precyzyjnie określa, jakie działania musi podjąć każdy podmiot krytyczny, by wykazać, że jego odporność spełnia wymagany standard. Jednocześnie dyrektywa jest świadoma, że podmioty różnią się między sobą skalą, sektorem i specyfiką ryzyka, dlatego wymogi mają charakter proporcjonalny i elastyczny, a nie jednolity dla wszystkich (art. 1 dyrektywy CER).
Obowiązki podmiotów krytycznych można podzielić na cztery główne kategorie: przeprowadzenie oceny ryzyka, wdrożenie środków odporności i sporządzenie planu odporności, zarządzanie bezpieczeństwem personelu oraz zgłaszanie incydentów. Każda z tych kategorii jest szczegółowo uregulowana w rozdziale III dyrektywy CER (art. 12–16). W Polsce szczegółowy sposób realizacji tych obowiązków zostanie określony w nowelizacji ustawy o zarządzaniu kryzysowym oraz w aktach wykonawczych do niej, ale do czasu jej uchwalenia tekst dyrektywy pozostaje podstawowym punktem odniesienia.
Ocena ryzyka podmiotu krytycznego (art. 12 dyrektywy CER)
Pierwszym i fundamentalnym obowiązkiem każdego podmiotu krytycznego jest przeprowadzenie własnej oceny ryzyka. Nie chodzi tu o powielenie krajowej oceny ryzyka przeprowadzonej przez państwo członkowskie, choć ta stanowi ważny punkt wyjścia, lecz o pogłębioną analizę wszystkich zagrożeń specyficznych dla danego podmiotu, jego infrastruktury i świadczonych przez niego usług kluczowych.
Dyrektywa wymaga, by podmiot krytyczny przeprowadził ocenę ryzyka w ciągu dziewięciu miesięcy od otrzymania powiadomienia o swoim statusie, a następnie aktualizował ją co najmniej co cztery lata lub częściej, gdy zachodzą istotne zmiany w otoczeniu ryzyka (art. 12 ust. 1 dyrektywy CER). Ocena musi obejmować wszystkie istotne zagrożenia, naturalne i spowodowane przez człowieka, przypadkowe i celowe, o charakterze krajowym i transgranicznym. Dyrektywa wprost wymienia klęski żywiołowe, pandemie, zagrożenia hybrydowe i terrorystyczne (art. 12 ust. 2 dyrektywy CER). Co ważne, ocena musi uwzględniać wzajemne zależności, zarówno to, w jakim stopniu inne sektory zależą od usług świadczonych przez dany podmiot, jak i to, od jakich usług innych podmiotów sam podmiot krytyczny jest uzależniony.
Jeżeli podmiot krytyczny przeprowadzał już wcześniej oceny ryzyka na podstawie innych przepisów, np. sektorowych aktów prawnych, może je wykorzystać jako element swojej oceny na potrzeby dyrektywy CER, o ile obejmują one istotne czynniki ryzyka. Właściwy organ może uznać taką istniejącą ocenę za spełniającą wymogi dyrektywy w całości lub w części (art. 12 ust. 2 akapit drugi dyrektywy CER). To ważna ulga, która pozwala uniknąć zbędnego powielania pracy administracyjnej. Ustawa o zarządzaniu kryzysowym, a właściwie jej nowelizacja, doprecyzuje, w jakiej formie ocena ryzyka będzie sporządzana i przekazywana właściwym organom krajowym.
Środki odporności i plan odporności (art. 13 dyrektywy CER)
Na podstawie wyników oceny ryzyka podmiot krytyczny jest zobowiązany do wdrożenia odpowiednich i proporcjonalnych środków technicznych, środków bezpieczeństwa i środków organizacyjnych (art. 13 ust. 1 dyrektywy CER). Dyrektywa wskazuje sześć obszarów, które muszą zostać objęte tymi środkami.
Pierwszym jest zapobieganie incydentom: obejmuje środki zmniejszające ryzyko ich wystąpienia, w tym działania związane z przystosowaniem się do zmiany klimatu i ograniczaniem ryzyka katastrof (art. 13 ust. 1 lit. a dyrektywy CER). Dyrektywa wyraźnie docenia fakt, że ekstremalne zjawiska pogodowe coraz częściej stanowią poważne zagrożenie dla infrastruktury krytycznej.
Drugi obszar to ochrona fizyczna infrastruktury krytycznej, budynków i terenów podmiotu (art. 13 ust. 1 lit. b dyrektywy CER). Dyrektywa wymienia tu przykładowo ogrodzenia, bariery, systemy monitoringu, narzędzia do wykrywania zagrożeń i procedury kontroli dostępu.
Trzeci obszar obejmuje reagowanie na incydenty, czyli wdrożenie procedur i protokołów zarządzania kryzysowego, systemów ostrzegania i komunikacji kryzysowej, a także procedur pozwalających na skuteczne stawienie oporu skutkom incydentu i ograniczanie jego zasięgu (art. 13 ust. 1 lit. c dyrektywy CER).
Czwarty obszar dotyczy odtworzenia po incydencie i ciągłości działania (art. 13 ust. 1 lit. d dyrektywy CER). Podmiot musi posiadać środki pozwalające na szybkie przywrócenie świadczenia usługi kluczowej, w tym zidentyfikowane alternatywne łańcuchy dostaw, które można uruchomić w sytuacji kryzysowej.
Piąty obszar to bezpieczeństwo personelu (art. 13 ust. 1 lit. e dyrektywy CER), jeden z bardziej wymagających elementów systemu. Dyrektywa nakłada obowiązek wyznaczenia kategorii pracowników wykonujących funkcje krytyczne, ustanowienia dla nich szczególnych praw dostępu do obiektów i informacji, wdrożenia procedur sprawdzania przeszłości oraz określenia wymogów szkoleniowych i kwalifikacyjnych. Co istotne, obowiązek ten dotyczy nie tylko pracowników podmiotu, ale też personelu zewnętrznych dostawców usług, jeśli wykonują funkcje krytyczne dla działalności podmiotu (art. 13 ust. 1 akapit drugi dyrektywy CER).
Szósty obszar to budowanie świadomości, czyli szkolenia, materiały informacyjne i ćwiczenia dla odpowiedniego personelu, obejmujące wszystkie powyższe kategorie środków (art. 13 ust. 1 lit. f dyrektywy CER).
Wszystkie wdrożone środki muszą zostać opisane w planie odporności lub w równoważnym dokumencie, który podmiot krytyczny ma obowiązek posiadać i stosować (art. 13 ust. 2 dyrektywy CER). Plan powinien być na tyle szczegółowy, by umożliwić ocenę jego skuteczności przez właściwy organ, a jednocześnie proporcjonalny do skali i specyfiki podmiotu. Podobnie jak w przypadku oceny ryzyka, jeśli podmiot sporządził już analogiczne dokumenty na podstawie innych przepisów, może je wykorzystać, o ile są istotne dla wymogów dyrektywy CER. Polska ustawa określi wymaganą formę i zawartość planu odporności oraz tryb jego przedkładania właściwym organom. Komisja Europejska ma obowiązek przyjąć niewiążące wytyczne doprecyzowujące, jakie konkretnie środki techniczne, bezpieczeństwa i organizacyjne można wdrożyć (art. 13 ust. 5 dyrektywy CER). Wytyczne te mają pomóc podmiotom, zwłaszcza mniejszym w interpretacji wymogów i wyborze właściwych rozwiązań. Wytyczne powinny zostać opublikowane w czerwcu lub lipcu 2026 r. Będę informować Was na bieżąco.
Sprawdzanie przeszłości pracowników (art. 14 dyrektywy CER)
Dyrektywa CER wprowadza szczególny mechanizm weryfikacji personelu podmiotów krytycznych. W należycie uzasadnionych przypadkach, z uwzględnieniem wyników krajowej oceny ryzyka, podmiot krytyczny może składać do właściwego organu wnioski o sprawdzenie przeszłości osób pełniących newralgiczne funkcje, posiadających dostęp do obiektów, systemów lub informacji szczególnie chronionych, a także kandydatów rekrutowanych na takie stanowiska (art. 14 ust. 1 dyrektywy CER). Sprawdzenie przeszłości obejmuje co najmniej potwierdzenie tożsamości osoby oraz weryfikację jej rejestrów karnych pod kątem przestępstw istotnych dla danego stanowiska (art. 14 ust. 3 dyrektywy CER). W tym celu państwa członkowskie korzystają z europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS), a organy centralne poszczególnych państw mają obowiązek odpowiedzi na wnioski o udostępnienie danych z rejestrów karnych innych państw w terminie 10 dni roboczych od dnia ich otrzymania (art. 14 ust. 3 dyrektywy CER). Procedura ta musi być proporcjonalna i ściśle ograniczona do oceny potencjalnego ryzyka dla bezpieczeństwa podmiotu (art. 14 ust. 2 dyrektywy CER). Dyrektywa wyraźnie zastrzega, że weryfikacja odbywa się w zgodzie z przepisami o ochronie danych osobowych, w szczególności z RODO. Polska ustawa określi szczegółowe warunki składania wniosków o sprawdzenie przeszłości, właściwe organy rozpatrujące wnioski oraz procedurę ich obsługi w realiach krajowych.
Zgłaszanie incydentów (art. 15 dyrektywy CER)
Jednym z najbardziej konkretnych i operacyjnie istotnych obowiązków podmiotu krytycznego jest obowiązek niezwłocznego zgłaszania incydentów właściwemu organowi. Obowiązek ten dotyczy zdarzeń, które istotnie zakłócają lub mogą istotnie zakłócić świadczenie usługi kluczowej (art. 15 ust. 1 dyrektywy CER). Dyrektywa wprowadza dwustopniowy system zgłoszeń. W pierwszym kroku podmiot musi złożyć zgłoszenie wstępne, nie później niż 24 godziny od chwili uzyskania wiedzy o incydencie, chyba że jest to niemożliwe z operacyjnego punktu widzenia (art. 15 ust. 1 dyrektywy CER). Zgłoszenie wstępne ma być zwięzłe i zawierać jedynie informacje absolutnie niezbędne do poinformowania organu o zdarzeniu. Dyrektywa wyraźnie zastrzega, że obowiązek zgłoszenia nie może powodować przekierowania zasobów podmiotu od priorytetowej w tej chwili reakcji na incydent. W drugim kroku, nie później niż miesiąc od zaistnienia incydentu, podmiot składa szczegółowe sprawozdanie uzupełniające zgłoszenie wstępne (art. 15 ust. 1 dyrektywy CER). Powinno ono zawierać pełniejszy obraz incydentu: jego charakter, przyczynę, skutki, podjęte działania zaradcze i wnioski na przyszłość. Przy ocenie istotności incydentu uwzględnia się liczbę i odsetek użytkowników dotkniętych zakłóceniem, czas jego trwania oraz zasięg geograficzny (art. 15 ust. 1 dyrektywy CER). Jeśli incydent ma lub może mieć znaczący wpływ na ciągłość usług kluczowych w co najmniej sześciu państwach członkowskich, właściwe organy tych państw mają obowiązek powiadomić o tym fakcie Komisję Europejską (art. 15 ust. 1 akapit trzeci dyrektywy CER). Organ, który otrzymał zgłoszenie, ma też obowiązek jak najszybciej przekazać podmiotowi krytycznemu informacje zwrotne pomocne w reakcji na incydent (art. 15 ust. 4 dyrektywy CER). Polska ustawa o zarządzaniu kryzysowym określi właściwy organ, do którego kierowane będą zgłoszenia incydentów, oraz szczegółowy tryb i formę tych zgłoszeń w warunkach krajowych.
Punkt kontaktowy z organem nadzoru (art. 13 ust. 3 dyrektywy CER)
Dyrektywa nakłada na każdy podmiot krytyczny obowiązek wyznaczenia urzędnika łącznikowego lub jego odpowiednika, który pełni funkcję punktu kontaktowego z właściwym organem nadzoru (art. 13 ust. 3 dyrektywy CER). To rozwiązanie praktyczne, ma zapewnić sprawny przepływ informacji między podmiotem a organem, szczególnie w sytuacjach kryzysowych, gdy liczy się czas i precyzja komunikacji. Polska ustawa może doprecyzować wymagania dotyczące kwalifikacji i uprawnień takiej osoby oraz tryb jej zgłaszania właściwemu organowi.
Co to oznacza dla polskich podmiotów?
Obowiązki opisane w tym artykule wynikają bezpośrednio z dyrektywy CER i stanowią unijne minimum, które każde państwo członkowskie musi wprowadzić do swojego prawa krajowego. W Polsce wszystkie te obowiązki zostaną uregulowane w nowelizacji ustawy o zarządzaniu kryzysowym, to właśnie ten akt prawny, a nie sama dyrektywa, będzie bezpośrednią podstawą prawną dla polskich podmiotów krytycznych. Ustawa może i prawdopodobnie będzie zawierać rozwiązania bardziej szczegółowe lub surowsze niż wynikające z dyrektywy, dostosowane do specyfiki polskiego systemu zarządzania kryzysowego i ochrony infrastruktury krytycznej. Dla podmiotów, które spodziewają się uzyskania statusu podmiotu krytycznego, kluczowe jest już teraz przystąpienie do wstępnej analizy własnej sytuacji. Warto zinwentaryzować istniejące dokumenty i procedury: oceny ryzyka, plany ciągłości działania, procedury bezpieczeństwa, pod kątem tego, w jakim stopniu odpowiadają one wymogom dyrektywy. Tam, gdzie istniejące dokumenty spełniają standardy CER, można będzie je wykorzystać bezpośrednio. Tam, gdzie pojawiają się luki, lepiej zidentyfikować je zawczasu, niż odkryć po otrzymaniu powiadomienia o statusie podmiotu krytycznego i uruchomieniu biegu terminów.
Źródło: Dyrektywa CER https://eur-lex.europa.eu/eli/dir/2022/2557/oj/pol