Budowanie bezpiecznych warunków rozwoju i funkcjonowania państw UE w oparciu o dyrektywę NIS2 i CER
07.09.2023
Dyrektywy Unii Europejskiej NIS2 i CER wprowadzają wielowymiarowy sposób ochrony usług kluczowych, istotnych dla zapewnienia bezpiecznych warunków funkcjonowania i rozwoju państw członkowskich Unii Europejskiej. Obie dyrektywy odwołują się do tych samych sektorów gospodarczych, różnią się natomiast sposobem wyznaczania podmiotów ważnych i krytycznych.
Dyrektywy NIS2 i CER odwołują się do tej samej grupy podmiotów, które zostały pogrupowane w następujące sektory:
- zaopatrzenia w energię, surowce energetyczne i paliwa;
- transport ;
- bankowość;
- infrastruktura rynków finansowych;
- zdrowie;
- zaopatrzenia w wodę,
- odprowadzanie ścieków,
- infrastruktura cyfrowa
- administracja publiczna
- przestrzeń kosmiczna
- produkcja, przetwarzanie i dystrybucja żywności.
Zasadniczą różnicą obu dyrektyw jest inny sposób wyznaczaniu podmiotów ważnych, kluczowych i krytycznych.
Wg NIS2, każdy pomiot, który kwalifikuje się jako przedsiębiorstwo średnie lub większe i należy do w/w sektorów, automatycznie jest zobowiązany do realizacji obowiązków dyrektywy. NIS2 skupia się głównie na zapewnieniu cyberbezpieczeństwa.
Wyłanianie podmiotów krytycznych na podstawie dyrektywy CER jest procesem bardziej skomplikowanym. Tu podmiotem krytycznym jest każdy podmiot, który spełnia następujące przesłanki:
- świadczy co najmniej jedną usługę kluczową;
- prowadzi działalność na terytorium tego państwa członkowskiego i jego infrastruktura krytyczna znajduje się na terytorium tego państwa członkowskiego;
- incydent spowodowany przez niego miałby istotne skutki zakłócające dla świadczenia co najmniej jednej usługi kluczowej.
Jednak bez względu na sposób wytypowania, podmiot uznany za krytyczny w myśl dyrektywy CER staje się podmiotem kluczowym w myśl NIS2.
Dyrektywy NIS2 i CER tworzą spójny i wzajemnie uzupełniający się system ochrony usług kluczowych przed wszelkimi, przewidywalnymi zagrożeniami dla funkcjonowania społeczeństw i podmiotów gospodarczych na terenie Unii Europejskiej.
Rozdzielenie systemu ochrony usług kluczowych na dwa różne akty prawne ma swoje uzasadnienie. Trwająca rewolucja cyfrowa przyniosła nowe zagrożenia, z których 20 lat temu nie zdawano sobie sprawy. Te zagrożenia mają obecnie charakter dominujący i dlatego przeciwdziałanie im wymaga wyspecjalizowanych narzędzi. Jednocześnie, dotychczasowe zagrożenia nie przestały istnieć. Poza tym, przemiany gospodarcze spowodowały, że pojedyncze podmioty zostały połączone w systemy, a te, w systemy złożone („systems of systems”) o charakterze międzysektorowym i ponadnarodowym. W tak skomplikowanej strukturze organizacyjnej (można wręcz ją porównywać do organizacji sieciowej lub wirtualnej) samodzielne wyznaczenie wskaźników bezpieczeństwa przez jej poszczególnych uczestników nie pozwala na ustanowienie jednolitych zasad ochrony usługi kluczowej, którą to te podmioty zapewniają. W tej sytuacji funkcję „managera ryzyka” musi przejąć państwo. Jednocześnie, ze względu na powiązania pomiędzy krajowe i ponad krajowe, zarządzanie ryzykiem w każdym z krajów musi być koordynowane na poziomie UE.