Z powodu toczącej się wojny w Ukrainie i działań hybrydowych państw nieprzyjaznych wobec Polski, temat bezpieczeństwa infrastruktury krytycznej jest obecnie szczególnie istotny. Według Sprawozdania Pełnomocnika Rządu ds. Cyberbezpieczeństwa w roku 2023 liczba cyberataków wzrosła o ponad 100% w porównaniu do 2022 roku. Głośne są także przypadki fizycznych ataków na infrastrukturę krytyczną, również poza Polską np. zniszczenie gazociągów Nord Stream I oraz II czy uszkodzenie podmorskich kabli telekomunikacyjnych. Tego typu incydenty coraz częściej są powiązane z atakami cybernetycznymi, co czyni je jeszcze bardziej niebezpiecznymi.

 

Problem został zauważony przez unijnych prawodawców znacznie wcześniej, bo już w 2008 roku, kiedy weszła w życie dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony. Skupiała się ona na zabezpieczeniu podmiotów z sektora energii oraz transportu.

 

W 2019 roku przeprowadzono ocenę wspomnianej dyrektywy i uznano, że jej zapisy nie są już wystarczające. Rok później Komisja Europejska przedstawiła dwa projekty nowych regulacji, mających na celu zwiększenie odporności podmiotów krytycznych. Były to dyrektywy CER oraz NIS2.

 

Dyrektywa Parlamentu Europejskiego i Rady UE w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE jest znana jako dyrektywa CER. Nakłada na kraje członkowskie i niektóre podmioty obowiązki polegające na podjęciu działań, które mają zapewnić niezakłócone świadczenie usług kluczowych dla utrzymania niezbędnych funkcji społecznych, zdrowia, bezpieczeństwa publicznego i działania gospodarki. CER to akt prawny o wiele ogólniejszy niż np. rozporządzenie DORA, odnosi się bowiem do dużej grupy firm, instytucji i organizacji.

 

Regulacjami objęte są podmioty publiczne lub prywatne, zidentyfikowane przez państwo członkowskie jako krytycznie ważne dla funkcjonowania społeczeństwa. To rozwinięcie wprowadzonej przez dyrektywę NIS2 koncepcji operatorów usług kluczowych, czyli takich, które mają istotne znaczenie dla utrzymania podstawowych funkcji społecznych, niezbędnej działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska naturalnego.

 

Podmioty krytyczne muszą spełniać trzy kryteria:

 

• świadczenie przynajmniej jednej usługi kluczowej,
• prowadzenie działalności i posiadanie infrastruktury na terenie państwa UE,
• ewentualny incydent istotnie zakłóciłby świadczenie przynajmniej jednej usługi kluczowej.

 

Jako krytyczne mogą być zakwalifikowane podmioty działające w jednym z 11 sektorów:

 

• energetyka (podsektory: energia elektryczna, systemy ciepłownicze i chłodnicze, ropa naftowa, gaz, wodór),
• transport (podsektory: lotniczy, kolejowy, wodny, drogowy, publiczny),
• bankowość,
• infrastruktura rynków finansowych,
• zdrowie,
• dostarczanie wody pitnej
• gospodarka ściekami,
• infrastruktura cyfrowa,
• administracja publiczna,
• przestrzeń kosmiczna,
• produkcja, przetwarzanie i dystrybucja żywności.

 

Dyrektywa CER opisuje niezbędne środki, które należy wprowadzić, żeby zwiększyć odporność wspomnianych podmiotów. Reguluje kwestie związane z nadzorem nad nimi w związku z wprowadzaniem i stosowaniem nowych regulacji. Uregulowane zostały również procedury dotyczące współpracy i sprawozdawczości w zakresie wprowadzania przepisów.

 

Obok dyrektywy CER obowiązują inne akty prawne dotyczące cyberbezpieczeństwa.

 

 

Dyrektywa CER weszła w życie 16 stycznia 2023 roku. Zobowiązała państwa UE do dostosowania krajowego prawa do 17 października 2024 roku. Kraje członkowskie muszą przyjąć strategię, mającą na celu zwiększenie odporności podmiotów krytycznych, do 17 stycznia 2026 roku. Termin ustalenia listy podmiotów krytycznych mija 17 lipca 2026 roku.

 

Ze względu na rosnące zagrożenie Rada Europejska wprowadziła rozwiązanie przejściowe w formie rekomendacji. Mają one charakter dobrowolny, a ich celem jest zwiększenie odporności infrastruktury krytycznej jeszcze przed wdrożeniem CER. Rekomendacje są podzielone na działania na szczeblu państw członkowskich i na poziomie całej Unii Europejskiej.

 

 

W celu podniesienia swojej odporności na wszelkiego rodzaju zagrożenia, podmioty krytyczne muszą podjąć działania, które pozwolą im zapobiegać incydentom, odpowiadać na nie oraz łagodzić ich skutki.

 

Podmioty objęte nowymi regulacjami muszą skupić się na pięciu kwestiach:

 

• ocenie ryzyka,
• środkach zwiększających odporność,
• sprawdzeniu przeszłości kluczowego personelu,
• procedurach dotyczących zgłaszania incydentów,
• przestrzeganiu norm i specyfikacji technicznych istotnych w kontekście bezpieczeństwa.

 

W swoich działaniach podmioty te muszą opierać się na przygotowanym wcześniej planie zwiększania odporności.

 

Podmioty krytyczne muszą przygotować ocenę ryzyka w okresie 9 miesięcy od czasu otrzymania powiadomienia o tym obowiązku. Ocena ryzyka powinna być następnie ponawiana przynajmniej raz na cztery lata. Niezbędne jest także przygotowanie procedur dotyczących zgłaszania incydentów właściwym organom. Na zgłoszenie incydentu podmiot będzie miał zaledwie 24 godziny od chwili uzyskania wiedzy o nim. Po wstępnej ocenie, konieczne będzie przedstawienie w ciągu miesiąca szczegółowego raportu.

 

Bazując na własnej ocenie ryzyka oraz informacjach wynikających z oceny ryzyka państwa członkowskiego, podmioty krytyczne są zobligowane do wprowadzenia proporcjonalnych środków zwiększających ich odporność, w tym środki:

 

• techniczne,
• bezpieczeństwa,
• organizacyjne.

 

Do niezbędnych działań zaliczają się m.in. zapewnienie fizycznej ochrony obiektów infrastruktury krytycznej, przygotowanie procedur i protokołów związanych z zarządzaniem kryzysowym i ostrzeganiem, czy przeprowadzanie szkoleń mających na celu zwiększenie świadomości pracowników w kwestiach bezpieczeństwa.

 

Jakie są konsekwencje niedostosowania się?

 

Dyrektywa CER nakłada na państwa członkowskie obowiązek wyznaczenia organów właściwych i posiadających niezbędne uprawnienia do przeprowadzania kontroli i zlecania audytów dotyczących podmiotów krytycznych

 

Unijne przepisy nie precyzują rodzaju i wysokości kar nakładanych na podmioty niewywiązujące się z obowiązków. Zostały jednak określone trzy wymagania dotyczące ustalanych przez państwa członkowskie sankcji. Sankcje mają być:

 

• skuteczne,
• proporcjonalne,
• odstraszające.

 

Po przeprowadzeniu kontroli organ nadzorującymoże nakazać podmiotom krytycznym podjęcie niezbędnych działań, mających na celu wyeliminowanie stwierdzonych naruszeń przepisów, oraz ustala termin wywiązania się z tych zadań.

 

Według Ustawy o Krajowym Systemie Cyberbezpieczeństwa, związanej z wdrażaniem przepisów dyrektyw NIS/NIS2, można spodziewać się wysokich kar finansowych i administracyjnych dla podmiotów krytycznych, które nie będą stosowały się do nowych wymagań.

 

 

CER dotyczy przede wszystkim fizycznej odporności podmiotów krytycznych, podczas gdy kwestie związane z cyberbezpieczeństwem reguluje dyrektywa NIS2. Obydwa akty prawne są ze sobą powiązane, a ich celem jest zapewnienie ciągłości usług kluczowych dla państw członkowskich.

 

Chociaż z dyrektywy CER wyłączone są kwestie związane z cyberbezpieczeństwem, podczas jej wdrażania warto współpracować ze specjalistami SOC (Security Operations Center). Wykwalifikowani specjaliści ds. cyberbezpieczeństwa mogą przeprowadzić serię dedykowanych szkoleń, które podniosą świadomość pracowników i zapewnią im wiedzę oraz narzędzia niezbędne do wywiązywania się z nowych obowiązków.

 

Jeżeli nie wiesz, jak przygotować swoją firmę do nowych wymagań, skontaktuj się ze specjalistami Netii. Dzięki temu zyskasz niezbędne wsparcie i unikniesz ewentualnych kar za niedostosowanie się do zmian.

 

Sprawdź też, czego dotyczy standard TISAX®.