Odporność zamiast reakcji. RCB o nowym podejściu do ochrony infrastruktury krytycznej

Dyrektywa CER to nowe spojrzenie na infrastrukturę krytyczną. Warto zatem wiedzieć, jaki będzie mieć wpływ na polski system bezpieczeństwa. Dyrektywa CER zmienia bowiem sposób myślenia o infrastrukturze krytycznej. Dotychczas ochrona koncentrowała się na konkretnych obiektach czy urządzeniach. Teraz nacisk kładzie się na usługi kluczowe, które dzięki tej infrastrukturze są świadczone, np. dostawy energii, transport czy łączność.

W praktyce oznacza to, że

nie każda infrastruktura krytyczna będzie automatycznie powiązana z usługą kluczową, ale każda usługa kluczowa wymaga infrastruktury, by mogła działać.

To przesunięcie akcentu – z ochrony obiektów na ochronę procesów – wymusza zmianę całego podejścia.

Jak wdrożenie dyrektywy CER wpłynie na polskie przepisy, kto zostanie uznany za podmiot krytyczny i jakie obowiązki czekają firmy w nadchodzących miesiącach? Na te pytania odpowiada Dorota Duda, ekspertka z Wydziału Ochrony Infrastruktury Krytycznej w Rządowym Centrum Bezpieczeństwa.

Jakiego rodzaju firmy mogą zostać uznane za podmiot krytyczny i w jaki sposób się o tym dowiedzą?

Istotną rolę w tym, żeby organizacja została uznana za podmiot krytyczny odgrywa, organ do spraw podmiotów krytycznych. To on także przekazuje stosowną informację. Cały proces można podzielić na cztery etapy.

Etap 1. polega na tym, że organ zwraca się do operatora infrastruktury krytycznej (IK) o przekazanie informacji potrzebnych do wstępnej oceny. Chodzi przede wszystkim o sprawdzenie, czy operator spełnia warunki uznania za podmiot krytyczny, oraz wskazanie infrastruktury krytycznej niezbędnej do świadczenia usługi kluczowej. Organ przekazuje niezbędne dokumenty i wyznacza termin na udzielenie odpowiedzi – co najmniej 14 dni od otrzymania wystąpienia.

Etap 2. to odpowiedź operatora. Operator IK przekazuje żądane informacje, wskazując infrastrukturę krytyczną niezbędną do świadczenia usługi kluczowej. Może to być zarówno jego własna infrastruktura, jak i infrastruktura innego operatora lub obiekty, urządzenia, instalacje, sieci czy systemy, których właściciel nie jest operatorem IK.

Etap 3. to złożenie wniosku i dokonanie wpisu Organ składa wniosek o wpis do wykazu podmiotów krytycznych, zawierający wszystkie wymagane dane. Wpis do wykazu następuje automatycznie w momencie złożenia wniosku w systemie teleinformatycznym, o którym mowa w art. 46 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa. W etapie czwartym organ niezwłocznie informuje operatora IK o dokonaniu wpisu do wykazu oraz o wynikających z tego obowiązkach. Jednocześnie przekazuje tę informację Dyrektorowi Rządowego Centrum Bezpieczeństwa.

Jakie są różnice w sposobie identyfikacji podmiotów w świetle projektów ustaw implementujących dyrektywy CER i NIS2?

Część operatorów infrastruktury krytycznej (IK) – właścicieli lub posiadaczy obiektów, urządzeń i instalacji wpisanych do wykazu IK – będzie mogła uzyskać status podmiotu krytycznego zgodnie z mechanizmem przewidzianym w projekcie ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw.

Zgodnie z projektem ustawy podmiotem krytycznym jest operator infrastruktury krytycznej działający w Polsce, który świadczy co najmniej jedną usługę kluczową, prowadzi działalność w sektorze lub podsektorze wymienionym w załączniku do ustawy, a także posiada infrastrukturę krytyczną na terytorium RP lub na polskich obszarach morskich.

Podmioty krytyczne są identyfikowane przez organy do spraw podmiotów krytycznych i wpisywane do wykazów prowadzonych przez te organy. Ważna uwaga: ostateczną decyzję o uznaniu za podmiot krytyczny podejmuje organ, a wpis następuje na podstawie progów określonych w rozporządzeniu Rady Ministrów.

Dyrektywa NIS2 wyróżnia dwie kategorie: podmioty kluczowe i podmioty ważne. Identyfikacja opiera się na kryteriach sektorowych i wielkościowych. Ze względu na zjawisko multisektorowości (podmioty prowadzą zróżnicowaną działalność w wielu sektorach), w projekcie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw przyjęto zasadę: jeśli podmiot spełnia kryteria podmiotu zarówno kluczowego, jak i ważnego, uznaje się go za podmiot kluczowy (wyrównanie w górę). To ułatwia określenie statusu.

Aby ułatwić proces identyfikacji, wprowadzono obowiązek samorejestracji w wykazie podmiotów kluczowych i ważnych prowadzonym przez Ministra do spraw Informatyzacji (zastąpi on dotychczasowy wykaz operatorów usług kluczowych). Podmioty spełniające wymogi mają obowiązek zarejestrowania się w terminie 2 miesięcy od dnia spełnienia przesłanek. W przypadku przedsiębiorców, których status zależy od wielkości firmy, przesłanki bada się raz w roku, według stanu na dzień sporządzenia sprawozdania finansowego.

Wpis do wykazu następuje automatycznie z chwilą złożenia poprawnie podpisanego wniosku. Deklaracja podmiotu o statusie mikro-, małego lub średniego przedsiębiorcy pozwala ustalić, czy jest on podmiotem ważnym, czy kluczowym.  

W przypadkach, gdy jest to możliwe, Minister do spraw Informatyzacji sam dokona rejestracji całych grup podmiotów (np. przedsiębiorców telekomunikacyjnych, podmiotów krytycznych, dostawców usług zaufania), wykorzystując dane z innych rejestrów publicznych. Celem jest unikanie zbędnych obowiązków dla podmiotów prywatnych.

Organ właściwy do spraw cyberbezpieczeństwa może zatem weryfikować, czy wpisane podmioty rzeczywiście spełniają kryteria, z urzędu wpisać podmiot do wykazu, jeśli na podstawie rejestrów publicznych stwierdzi, że spełnia on kryteria. Ze względu na potencjalną liczbę podmiotów (szacunkowo ponad 10 000), wpis nie ma charakteru decyzji administracyjnej, lecz innej czynności z zakresu administracji publicznej. Podmiot może zaskarżyć taką czynność do sądu administracyjnego.

Obydwie dyrektywy nakładają na firmy nowe obowiązki. Jakie konkretne kroki będzie musiała podjąć firma, która znajdzie się w wykazie podmiotów krytycznych?

Podmioty krytyczne objęte wymogami CER muszą wdrożyć zintegrowany system zarządzania bezpieczeństwem świadczenia usługi kluczowej. System ten opiera się na dwóch fundamentalnych elementach: ocenie ryzyka oraz odpowiednich rozwiązaniach organizacyjno-technicznych dostosowanych do zidentyfikowanych zagrożeń.

Pierwszą ocenę ryzyka należy przeprowadzić w ciągu 9 miesięcy od otrzymania informacji o ujęciu w wykazie podmiotów krytycznych. Na podstawie jej wyników podmiot ma kolejne 3 miesiące na wdrożenie odpowiednich środków bezpieczeństwa. Katalog wymaganych działań jest szeroki i obejmuje politykę zarządzania ryzykiem, bezpieczeństwo fizyczne obiektów z kontrolą dostępu, ochronę infrastruktury krytycznej, weryfikację bezpieczeństwa osobowego pracowników i dostawców, cyberbezpieczeństwo zgodnie z wymogami dotyczącymi podmiotów kluczowych, o których mowa w ustawie o krajowym systemie cyberbezpieczeństwa, aspekty prawne świadczenia usług, zapewnienie ciągłości działania i odtwarzania poprzez utrzymanie własnych systemów rezerwowych, ochronę informacji niejawnych, szkolenia personelu oraz regularne audyty i certyfikacje..

Rada Ministrów określi w rozporządzeniu wykaz norm wspierających wdrożenie tych rozwiązań, a podmioty krytyczne uwzględniają również specyfikacje techniczne wydane przez Komisję Europejską na podstawie dyrektywy CER.

Równie istotna jest właściwa dokumentacja systemu. Podmiot krytyczny musi opracować kompleksową dokumentację obejmującą zarządzanie bezpieczeństwem informacji, ciągłość działania, ochronę fizyczną i techniczną, bezpieczeństwo osobowe oraz ochronę infrastruktury krytycznej. Dokumentacja powinna uwzględniać specyfikę świadczonej usługi. Pierwszy komplet dokumentów należy sporządzić w ciągu 15 miesięcy od wpisu do wykazu, a następnie systematycznie go aktualizować. Kluczowe jest ustanowienie nadzoru zapewniającego dostęp wyłącznie osobom upoważnionym oraz ochronę przed uszkodzeniem, zniszczeniem, utratą czy nieuprawnionym dostępem. Należy pamiętać, że zawsze chodzi o to, by nie reagować dopiero na incydenty, ale utrzymywać odporność systemu na co dzień.

Czy przedsiębiorstwa będą musiały dostosować swoje ­systemy bezpieczeństwa, np. CCTV, kontrolę dostępu, do określonych norm?

Obecnie operatorzy infrastruktury krytycznej posiadają obowiązek ochrony infrastruktury krytycznej, poprzez zapewnienie m.in. technicznych środków bezpieczeństwa fizycznego (SKD, VSS, SSWiN), które uwzględniają w planach ochrony infrastruktury krytycznej.  Wymogi normalizacyjne mogą wynikać z przepisów sektorowych obowiązujących w określonych branżach, takich jak kolej, energetyka czy bankowość, a także z zawartych umów, specyfikacji przetargowych lub rekomendacji audytowych, które mogą wskazywać na brak zgodności z normami polskimi PN-EN,  jako obszar wymagający poprawy.

Sytuacja ulegnie zmianie po wejściu w życie projektowanej nowelizacji ustawy o zarządzaniu kryzysowym. Zgodnie z nowymi przepisami podmioty krytyczne będą zobowiązane do wdrożenia rozwiązań organizacyjno-technicznych dostosowanych do rezultatów przeprowadzonej oceny ryzyka. Dotyczy to także bezpieczeństwa fizycznego, obejmującego ochronę budynków i terenów oraz zabezpieczenia techniczne z kontrolą dostępu. Rada Ministrów określi w rozporządzeniu wykaz norm, które podmioty powinny uwzględniać przy wdrażaniu zabezpieczeń w trzech kluczowych obszarach: zarządzania bezpieczeństwem informacji, zarządzania ciągłością działania usługi kluczowej oraz zapewnienia bezpieczeństwa fizycznego z systemami kontroli dostępu.

Dodatkowo organy nadzorujące poszczególne sektory lub podsektory będą mogły opracować i udostępnić w Biuletynie Informacji Publicznej szczegółowe zestawienia wymogów dokumentów normalizacyjnych, dostosowanych do specyfiki danego obszaru. Podmioty krytyczne będą także zobowiązane uwzględniać specyfikacje techniczne określone przez Komisję Europejską w aktach wykonawczych do dyrektywy CER. To kompleksowe podejście ma zapewnić ujednolicenie standardów bezpieczeństwa przy jednoczesnym zachowaniu elastyczności wymaganej przez różnorodność sektorów infrastruktury krytycznej.

Czy spełnienie wymogów NIS2 wystarczy, by być zgodnym z CER?

Nie do końca. NIS2 dotyczy tylko cyberbezpieczeństwa, a CER obejmuje również bezpieczeństwo fizyczne, osobowe, prawne i organizacyjne. Wdrożenie rozwiązań zgodnych z NIS2 może stanowić część systemu CER, ale nie zapewni pełnej zgodności.

Skoro mowa jest o audycie, to wyjaśnijmy, jak często ma być przeprowadzany i kto go przeprowadza? Jak będzie wyglądać kontrola spełniania wymagań przez podmioty krytyczne?

Podmioty krytyczne są zobowiązane przeprowadzać audyt zintegrowanego systemu zarządzania bezpieczeństwem na własny koszt przynajmniej raz na trzy lata. Audyt obejmuje kluczowe obszary: zarządzanie bezpieczeństwem informacji, zarządzanie ciągłością działania usługi kluczowej oraz bezpieczeństwo fizyczne, w tym ochronę budynków i terenów wraz z zabezpieczeniami technicznymi i kontrolą dostępu.

W szczególnych sytuacjach, gdy dojdzie do incydentu istotnego, organ nadzorujący dany sektor może nakazać przeprowadzenie nadzwyczajnego audytu zewnętrznego. Decyzja taka wydawana jest z określeniem terminu przekazania raportu, wskazaniem kategorii uprawnionych audytorów oraz precyzyjnym określeniem zakresu audytu. Taka decyzja podlega natychmiastowemu wykonaniu, co podkreśla jej pilny charakter.

Audyt mogą przeprowadzać jednostki certyfikujące lub zespoły składające się z co najmniej dwóch audytorów posiadających odpowiednie certyfikaty, określone w rozporządzeniu Rady Ministrów. Przynajmniej jeden audytor musi posiadać certyfikat audytora wiodącego. Istotnym wymogiem jest spełnianie przez audytorów wymagań bezpieczeństwa osobowego i przemysłowego umożliwiających dostęp do informacji niejawnych o klauzuli „poufne”. Wyjątek stanowią audytorzy będący pracownikami audytowanego podmiotu krytycznego, którzy są zwolnieni z tego wymogu.

Po zakończeniu audytu jednostka certyfikująca lub audytorzy sporządzają raport wraz z dokumentacją i przekazują go podmiotowi krytycznemu. Obowiązek przeprowadzenia audytu może być uznany za spełniony, jeśli podmiot posiada aktualne certyfikaty potwierdzające wdrożenie wymaganych rozwiązań bezpieczeństwa w oparciu o właściwe normy. Podmiot musi przedstawić kopię raportu lub certyfikatu właściwemu organowi sektorowemu w ciągu siedmiu dni roboczych od jego otrzymania lub na uzasadniony wniosek Dyrektora Rządowego Centrum Bezpieczeństwa. Przekazanie następuje elektronicznie za pomocą systemu, o którym mowa w art. 46 ustawy o krajowym systemie cyberbezpieczeństwa (tzw. System S46).

Gdzie firmy będą mogły znaleźć aktualne wytyczne dotyczące wdrażania dyrektywy CER?

Projektowana nowelizacja ustawy o zarządzaniu kryzysowym wprowadza kompleksowy system minimalnych standardów ochrony infrastruktury krytycznej, obejmujący bezpieczeństwo fizyczne, techniczne, osobowe, teleinformatyczne, prawne oraz plany ciągłości działania i odtwarzania. Rada Ministrów określi w rozporządzeniu szczegółowe minimalne wymagania niezbędne do wdrożenia odpowiednich rozwiązań organizacyjno-technicznych. Przy ich opracowywaniu uwzględnione zostaną specjalistyczne rekomendacje dotyczące ochrony infrastruktury krytycznej, specyfika lokalizacji i charakterystyka poszczególnych obiektów oraz realne potrzeby związane z zapewnieniem ich bezpieczeństwa.

Operatorzy infrastruktury krytycznej będą zobowiązani do opracowania i wdrożenia rozwiązań spełniających te minimalne standardy. Równocześnie powstaną nowe wymagania dokumentacyjne – operatorzy będą musieli prowadzić szczegółową dokumentację odzwierciedlającą faktycznie wdrożone zabezpieczenia. Ta nowa dokumentacja zastąpi dotychczas obowiązujące plany ochrony infrastruktury krytycznej, stanowiąc bardziej dynamiczne i kompleksowe narzędzie zarządzania bezpieczeństwem.

Podmioty krytyczne będą także zobowiązane uwzględniać specyfikacje techniczne określone przez Komisję Europejską w aktach wykonawczych do dyrektywy CER, co zapewni spójność wymogów na poziomie unijnym. Aby ułatwić operatorom stosowanie przepisów, organy nadzorujące poszczególne sektory otrzymają możliwość publikowania w Biuletynie Informacji Publicznej zestawień wymogów normalizacyjnych oraz właściwych certyfikatów dostosowanych do specyfiki danego sektora lub podsektora. Również Rządowe Centrum Bezpieczeństwa oraz właściwe ministerstwa będą mogły udostępniać wytyczne na swoich stronach internetowych i w BIP, wspierając tym samym podmioty krytyczne w procesie wdrażania wymaganych standardów bezpieczeństwa.

Dyrektywa CER oznacza, że będą tworzone nowe dokumenty strategiczne, ale także to, że państwo weźmie na siebie nowe obowiązki. Jakie zatem dokumenty strategiczne powstaną w wyniku implementacji CER?

Powstaną dwa kluczowe dokumenty. Pierwszym z nich będzie Krajowa Ocena Ryzyka (KOR), która zastąpi dotychczasowy Raport o zagrożeniach bezpieczeństwa narodowego, będzie podstawą planowania na wszystkich szczeblach zarządzania kryzysowego. Natomiast Strategia Odporności Podmiotów Krytycznych  zastąpi Narodowy Program Ochrony Infrastruktury Krytycznej i określi cele oraz priorytety w zakresie odporności i współpracy między instytucjami. Te dokumenty mają uporządkować podejście państwa do odporności. By mogło ono nie tylko reagować na zagrożenia, lecz także wspierać podmioty krytyczne w budowaniu kultury bezpieczeństwa.

Jak w takim razie w świetle dyrektywy CER powinna wyglądać kultura bezpieczeństwa w organizacjach?

Zmiana przepisów to tylko początek. CER ma być impulsem do budowania świadomości i współodpowiedzialności za bezpieczeństwo. Zarządzanie ryzykiem powinno być procesem ciągłym, a nie reakcją na incydenty. Kultura bezpieczeństwa to także edukacja pracowników, ćwiczenia, współpraca między sektorami i inwestowanie w nowoczesne standardy. Projekt ustawy tworzy ramy formalne, ale o skuteczności systemu zdecyduje praktyka – czyli postawy ludzi i dojrzałość organizacyjna podmiotów.

Wprowadzenie CER do polskiego porządku prawnego oznacza zapewne konieczność pewnych inwestycji. Jakie obowiązki będą spoczywać na inwestorach budujących infrastrukturę, która w przyszłości może zostać uznana za krytyczną?

W tym przypadku odpowiedzialność spoczywa głównie na inwestorze i wykonawcy. Ich zadaniem będzie zapewnienie podstawowych wymogów ochrony fizycznej oraz dostosowanie projektów do wymagań przekazanych przez administrację. Już na etapie planowania inwestycji będą musieli uwzględniać potencjalny status infrastruktury jako krytycznej.

CER i NIS2 często są ze sobą mylone. Na czym w takim razie polegają różnice i powiązania między tymi regulacjami?

CER i NIS2 to dwa uzupełniające się dokumenty. Dyrektywa NIS2 koncentruje się na cyberbezpieczeństwie – czyli ochronie sieci, danych i systemów IT. Dyrektywa CER natomiast obejmuje szerszy zakres: także bezpieczeństwo fizyczne, osobowe, prawne i ciągłość działania. Innymi słowy: CER to odporność organizacji, NIS2 to cyberbezpieczeństwo.

Warto pamiętać, że podmiot krytyczny w rozumieniu CER automatycznie staje się podmiotem kluczowym w rozumieniu NIS2. Wpis do wykazu następuje automatycznie po złożeniu poprawnego wniosku. CER jednak idzie dalej – zakłada pełną integrację systemów bezpieczeństwa, w tym ocenę ryzyka i ochronę infrastruktury w sensie fizycznym. •

Ilustracje: Freepik