Infrastruktura energetyczna i wod-kan. Nowa dyrektywa ma wzmocnić odporność podmiotów krytycznych

Infrastruktura krytyczna
© gopixa

Wczoraj, 8 grudnia br., Rada Unii Europejskiej przyjęła dyrektywę i zalecenie, które mają zmniejszyć podatność podmiotów krytycznych na zagrożenia i wzmocnić ich odporność.

Jak wyjaśniono w komunikacie Rady, podmioty krytyczne świadczą usługi kluczowe, czyli takie, które „mają podstawowe znaczenie dla utrzymania niezbędnych funkcji społecznych, dla działalności gospodarczej, zdrowia i bezpieczeństwa publicznego oraz środowiska”.

Zgodnie z załącznikiem do dyrektywy w sprawie odporności podmiotów krytycznych, obejmuje ona podmioty w następujących sektorach (i podsektorach):

1. Energia (energia elektryczna, system ciepłowniczy i chłodniczy, ropa naftowa, gaz, wodór),
2. Transport (transport lotniczy, kolejowy, wodny, drogowy i transport publiczny),
3. Bankowość,
4. Infrastruktura rynków finansowych,
5. Zdrowie,
6. Woda pitna,
7. Ścieki,
8. Infrastruktura cyfrowa,
9. Administracja publiczna,
10. Przestrzeń kosmiczna,
11. Produkcja, przetwarzanie i dystrybucja żywności.

Jak uważają unijni prawodawcy, w przypadku ataków hybrydowych, klęsk żywiołowych, zagrożeń terrorystycznych i stanów zagrożenia zdrowia publicznego podmioty krytyczne muszą być w stanie im zapobiegać, a także umieć chronić się przed nimi oraz przezwyciężać ich skutki.

Skąd potrzeba nowej dyrektywy? Zagrożenia są naszą rzeczywistością

Na poziomie unijnym i krajowym istnieją środki mające na celu wspieranie ochrony infrastruktury krytycznej, ale – jak czytamy w dokumencie – „należy zrobić więcej, aby lepiej przygotować podmioty będące operatorami takiej infrastruktury do reagowania na ryzyko dla ich funkcjonowania, które mogłoby prowadzić do zakłóceń w świadczeniu usług kluczowych”. Krajobraz zagrożeń jest dynamiczny, obejmuje m.in. ewoluujące zagrożenia hybrydowe i terrorystyczne. - Ponadto istnieje zwiększone fizyczne ryzyko związane z klęskami żywiołowymi i zmianą klimatu, która zwiększa częstotliwość i skalę ekstremalnych zdarzeń pogodowych i wywołuje długoterminowe zmiany średnich warunków klimatycznych, co może ograniczyć zdolności, skuteczność i okres eksploatacji niektórych rodzajów infrastruktury, jeżeli nie zostaną wdrożone środki z zakresu przystosowania się do zmiany klimatu – czytamy.

- W ostatnich miesiącach doświadczyliśmy ataków hybrydowych i skutków zmiany klimatu, a wyzwania, przed którymi stoimy, będą najprawdopodobniej coraz poważniejsze. Zapewnienie gotowości i odporności to wysiłek, który musimy podjąć wspólnie. Musimy zadbać o to, by nasze społeczeństwa i przedsiębiorstwa były gotowe do stawienia czoła wszelkim zakłóceniom zagrażającym naszemu bezpieczeństwu i naszej gospodarce. Musimy też być w stanie szybko reagować w sytuacji kryzysowej. Przyjęta dziś dyrektywa jest ważnym krokiem w kierunku osiągnięcia tych celów – komentuje Vít Rakušan, czeski minister spraw wewnętrznych.

Zauważono też, że „rynek wewnętrzny charakteryzuje się fragmentacją w zakresie identyfikacji podmiotów krytycznych, ponieważ państwa członkowskie przyjmują obecnie zróżnicowane kryteria.

Krajowa strategia na rzecz zwiększenia odporności podmiotów krytycznych

Co więc będą musiały zrobić państwa członkowskie, aby wdrożyć dyrektywę? Zgodnie z nowymi przepisami będą zobligowane do przygotowania krajowych strategii na rzecz zwiększenia odporności podmiotów krytycznych, przeprowadzania oceny ryzyka (co najmniej raz na 4 lata) oraz wskazania podmiotów krytycznych świadczących usługi kluczowe.

Ponadto podmioty krytyczne mają zidentyfikować „istotne czynniki ryzyka”, które mogą w znaczący sposób zakłócać świadczenie usług kluczowych, jak również mają podejmować środki „służące im do zapewnienia sobie odporności” oraz zgłaszać incydenty powodujące zakłócenia.

Dyrektywa zawiera także przepisy służące wskazywaniu podmiotów krytycznych o szczególnym znaczeniu europejskim (świadczące usługę kluczową w co najmniej sześciu państwach członkowskich).

Skoordynowane wdrażanie przepisów dotyczących bezpieczeństwa, także cyfrowego

Projekt dyrektywy o odporności podmiotów krytycznych został przedstawiony przez Komisję Europejską pod koniec 2020 r. Nowa dyrektywa ma zastąpić dyrektywę w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej (przyjętą w 2008 r.). - W przeprowadzonej w 2019 r. ocenie dyrektywy podkreślono potrzebę aktualizacji i dalszego wzmocnienia obowiązujących przepisów w świetle nowych wyzwań, przed którymi stoi UE, takich jak rozwój gospodarki cyfrowej, nasilające się skutki zmiany klimatu i zagrożenia terrorystyczne – przypomina się w komunikacie prasowym.

Oprócz omawianego projektu dyrektywy o podmiotach krytycznych, KE przedstawiła także projekt dyrektywy o środkach na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii (NIS 2) oraz wniosek dotyczący aktu w sprawie operacyjnej odporności cyfrowej (DORA). NIS 2 i DORA były przyjęte przez Radę w listopadzie 2022 r.

Wczoraj Rada przyjęła także zalecenie, które koncentruje się na wzmocnieniu odporności infrastruktury krytycznej i ma przyspieszyć realizację celów określonych w dyrektywie o podmiotach krytycznych i dyrektywie NIS. Zalecenie stanowi odpowiedź na „akty sabotażu wymierzone w gazociąg Nord Stream i nowe zagrożenia związane z agresją Rosji na Ukrainę”.

- Państwa członkowskie będą musiały zapewnić skoordynowane wdrażanie wszystkich trzech aktów prawnych oraz wspomnianego zalecenia – podkreślono.

Dominika Adamska
Sekretarz redakcji, geograf