Dyrektywa CER – dyrektywa o odporności podmiotów krytycznych
08.12.2022
Zakończyły się prace legislacyjne nad dyrektywą o odporności podmiotów krytycznych (Dyrektywa CER). Nowa dyrektywa jest skorelowana ze zmienianą dyrektywą w sprawie środków na rzecz wysokiego, wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (Dyrektywa NIS2). Celem Komisji Europejskiej przy opracowaniu regulacji prawnych było zachowanie spójnego podejścia między Dyrektywą o odporności a Dyrektywą NIS2. Zakłada się, że oba dokumenty zostaną skierowane do publikacji w połowie grudnia 2022 roku i wejdą w życie w połowie stycznia 2023 roku.
W współczesnym świecie, żaden system, żadna usługa czy obiekt nie są wstanie działać samoistnie, także w obszarze Unii Europejskiej. Komisja Europejska, na podstawie przeprowadzonej oceny, uznała, że współzależny charakter świadczenia usług oraz powiązanie sektorów w państwach członkowskich przy niewystarczającym poziomie odporności u jednego operatora stwarza ryzyko dla innych podmiotów. Dlatego, konieczne było wprowadzenie zharmonizowanych norm minimalnych, które pozwoliłyby zapewnić ciągłość świadczenia usług kluczowych na rynku wewnętrznym Unii Europejskiej oraz zwiększą odporności podmiotów krytycznych.
Wideo
Dotychczasowe regulacje – Dyrektywa 2008/114/WE skupiała się wyłącznie na wyznaczeniu europejskich infrastruktur krytycznych w sektorach energii i transportu. Komisja Europejska doszła do wniosku, że ochrona tylko tych obszarów jest niewystarczająca i nie jest wstanie sprostać wszystkim pojawiającym się zagrożeniom. W związku z tym zakres przedmiotowy Dyrektywy został znacznie poszerzony.
W załączniku do Dyrektywy wskazano sektory, z których będą wyznaczane podmioty krytyczne po wejściu w życie przepisów. Są to sektory:
- Energetyka (Energia elektryczna, Centralne ogrzewanie i chłodzenie, Ropa, Gaz, Wodór)
- Transport (powietrzny, kolejowy, wodny, lądowy)
- Bankowość
- Infrastruktura rynków finansowych
- Zdrowie
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa
- Administracja publiczna
- Przestrzeń kosmiczna
- Wytwarzanie, przetwarzanie i dystrybucja żywności
Nowe regulacje prawne nakładają na państwa członkowskie obowiązki w zakresie zapewniania wdrożenia i egzekwowania dyrektywy. Przede wszystkim państwa członkowskie powinny dokonać analizy ryzyka, uwzględniając sektorowe oceny ryzyka przeprowadzone na podstawie innych aktów prawnych UE oraz zależności pomiędzy sektorami krajowymi i międzynarodowymi. Wyniki oceny ryzyka należy wykorzystać w procesie wskazywania podmiotów krytycznych.
Podmioty krytyczne będą miały obowiązek ochrony infrastruktury niezbędnej do utrzymania usług kluczowych. Taka infrastruktura jest nazywana infrastrukturą krytyczną. Za niewywiązywanie się z tych obowiązków dyrektywa przewiduje sankcje finansowe. Jednocześnie podmioty krytyczne będą mogły liczyć na wsparcie finansowe ze strony państwa, jeśli będzie to uzasadnione bezpieczeństwem publicznym. Takie wsparcie nie będzie traktowane jako niedozwolona pomoc publiczna.
Przepisy Dyrektywy mówią także o konieczności wyznaczenia przez państwa członkowskie właściwego organu odpowiedzialnego za prawidłowe stosowanie dyrektywy na szczeblu krajowym.
Według przepisów Dyrektywy CER państwa członkowskie są zobowiązane do przyjęcia strategii, której celem będzie wzmocnienie odporności podmiotów krytycznych. Kompleksowe podejście do odporności podmiotów krytycznych powinno uwzględniać m.in. właściwą koordynację wyznaczonych organów, a także przepisy prawne umożliwiające wymianę informacji na temat incydentów i cyberzagrożeń oraz właściwe wykonywanie zadań nadzorczych.
Wdrażanie dyrektywy CER zostało zaplanowane na 3 lata. Biorąc pod uwagę istniejące zagrożenia oraz zdarzenia jakie już wystąpiły (zniszczenie NORD Stream I i II, ataki cyber na infrastrukturę krytyczną oraz ataki sabotażowe na systemy sterowania ruchem pociągów w Niemczach) Rada Europejska zdecydowała się na wprowadzenie rozwiązań przejściowych w formie zaleceń. Zalecenia powinny doprowadzić do poprawy bezpieczeństwa infrastruktury krytycznej w Europie w ciągu kilku najbliższych miesięcy. Treść zaleceń została przyjęta 8.12.2022. Obecnie oczekujemy na formalną ich publikację w dzienniku urzędowym EU.
Materiały
Dyrektywa CERDyrektywa_CER.pdf 0.77MB Zalecenia Rady w sprawie ogólnounijnego skoordynowanego podejścia do kwestii wzmocnienia odporności infrastruktury krytycznej
Zalecenia_Rady_w_sprawie_ogólnounijnego_skoordynowanego_podejścia_do_kwestii_wzmocnienia_odporności.pdf 0.47MB Dyrektywa NIS2
Dyrektywa_NIS2.pdf 1.45MB