
© gopixa
Wczoraj, 8 grudnia br., Rada Unii Europejskiej przyjęła dyrektywę i zalecenie, które mają zmniejszyć podatność podmiotów krytycznych na zagrożenia i wzmocnić ich odporność.
Jak wyjaśniono w komunikacie Rady, podmioty krytyczne świadczą usługi kluczowe, czyli takie, które „mają podstawowe znaczenie dla utrzymania niezbędnych funkcji społecznych, dla działalności gospodarczej, zdrowia i bezpieczeństwa publicznego oraz środowiska”.
Zgodnie z załącznikiem do dyrektywy w sprawie odporności podmiotów krytycznych, obejmuje ona podmioty w następujących sektorach (i podsektorach):
- Energia (energia elektryczna, system ciepłowniczy i chłodniczy, ropa naftowa, gaz, wodór),
- Transport (transport lotniczy, kolejowy, wodny, drogowy i transport publiczny),
- Bankowość,
- Infrastruktura rynków finansowych,
- Zdrowie,
- Woda pitna,
- Ścieki,
- Infrastruktura cyfrowa,
- Administracja publiczna,
- Przestrzeń kosmiczna,
- Produkcja, przetwarzanie i dystrybucja żywności.
Jak uważają unijni prawodawcy, w przypadku ataków hybrydowych, klęsk żywiołowych, zagrożeń terrorystycznych i stanów zagrożenia zdrowia publicznego podmioty krytyczne muszą być w stanie im zapobiegać, a także umieć chronić się przed nimi oraz przezwyciężać ich skutki.
Skąd potrzeba nowej dyrektywy? Zagrożenia są naszą rzeczywistością
Na poziomie unijnym i krajowym istnieją środki mające na celu wspieranie ochrony infrastruktury krytycznej, ale – jak czytamy w dokumencie – „należy zrobić więcej, aby lepiej przygotować podmioty będące operatorami takiej infrastruktury do reagowania na ryzyko dla ich funkcjonowania, które mogłoby prowadzić do zakłóceń w świadczeniu usług kluczowych”. Krajobraz zagrożeń jest dynamiczny, obejmuje m.in. ewoluujące zagrożenia hybrydowe i terrorystyczne. - Ponadto istnieje zwiększone fizyczne ryzyko związane z klęskami żywiołowymi i zmianą klimatu, która zwiększa częstotliwość i skalę ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolności, skuteczność i okres eksploatacji niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu przystosowania się do zmiany klimatu – czytamy.
- W ostatnich miesiącach doświadczyliśmy ataków hybrydowych i skutków zmiany klimatu, a wyzwania, przed którymi stoimy, będą najprawdopodobniej coraz poważniejsze. Zapewnienie gotowości i odporności to wysiłek, który musimy podjąć wspólnie. Musimy zadbać o to, by nasze społeczeństwa i przedsiębiorstwa były gotowe do stawienia czoła wszelkim zakłóceniom zagrażającym naszemu bezpieczeństwu i naszej gospodarce. Musimy też być w stanie szybko reagować w sytuacji kryzysowej. Przyjęta dziś dyrektywa jest ważnym krokiem w kierunku osiągnięcia tych celów – komentuje Vít Rakušan, czeski minister spraw wewnętrznych.
Zauważono też, że „rynek wewnętrzny charakteryzuje się fragmentacją w zakresie identyfikacji podmiotów krytycznych, ponieważ państwa członkowskie przyjmują obecnie zróżnicowane kryteria.
Krajowa strategia na rzecz zwiększenia odporności podmiotów krytycznych
Co więc będą musiały zrobić państwa członkowskie, aby wdrożyć dyrektywę? Zgodnie z nowymi przepisami będą zobligowane do przygotowania krajowych strategii na rzecz zwiększenia odporności podmiotów krytycznych, przeprowadzania oceny ryzyka (co najmniej raz na 4 lata) oraz wskazania podmiotów krytycznych świadczących usługi kluczowe.
Ponadto podmioty krytyczne mają zidentyfikować „istotne czynniki ryzyka”, które mogą w znaczący sposób zakłócać świadczenie usług kluczowych, jak również mają podejmować środki „służące im do zapewnienia sobie odporności” oraz zgłaszać incydenty powodujące zakłócenia.
Dyrektywa zawiera także przepisy służące wskazywaniu podmiotów krytycznych o szczególnym znaczeniu europejskim (świadczące usługę kluczową w co najmniej sześciu państwach członkowskich).
Skoordynowane wdrażanie przepisów dotyczących bezpieczeństwa, także cyfrowego
Projekt dyrektywy o odporności podmiotów krytycznych został przedstawiony przez Komisję Europejską pod koniec 2020 r. Nowa dyrektywa ma zastąpić dyrektywę w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej (przyjętą w 2008 r.). - W przeprowadzonej w 2019 r. ocenie dyrektywy podkreślono potrzebę aktualizacji i dalszego wzmocnienia obowiązujących przepisów w świetle nowych wyzwań, przed którymi stoi UE, takich jak rozwój gospodarki cyfrowej, nasilające się skutki zmiany klimatu i zagrożenia terrorystyczne – przypomina się w komunikacie prasowym.
Oprócz omawianego projektu dyrektywy o podmiotach krytycznych, KE przedstawiła także projekt dyrektywy o środkach na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (NIS 2) oraz wniosek dotyczący aktu w sprawie operacyjnej odporności cyfrowej (DORA). NIS 2 i DORA były przyjęte przez Radę w listopadzie 2022 r.
Wczoraj Rada przyjęła także zalecenie, które koncentruje się na wzmocnieniu odporności infrastruktury krytycznej i ma przyspieszyć realizację celów określonych w dyrektywie o podmiotach krytycznych i dyrektywie NIS. Zalecenie stanowi odpowiedź na „akty sabotażu wymierzone w gazociąg Nord Stream i nowe zagrożenia związane z agresją Rosji na Ukrainę”.
- Państwa członkowskie będą musiały zapewnić skoordynowane wdrażanie wszystkich trzech aktów prawnych oraz wspomnianego zalecenia – podkreślono.

Sekretarz redakcji, geograf