Usługi ochrony oraz zabezpieczenia technicznego krajowej i europejskiej infrastruktury krytycznej
Jerzy W. Sobstel
Stowarzyszenie NOWACERT
PKN/KT 323 Usługi w ochronie osób i mienia
Komisja Europejska prowadzi ewaluację dyrektywy 2008/114/WE [1] dotyczącej ochrony europejskiej infrastruktury krytycznej, biorąc pod uwagę jej skuteczność, efektywność, odpowiedniość, spójność oraz wartość dodaną, jaką wniosła ona do Unii Europejskiej.
Do udziału w tej ewaluacji zostały zaproszone rządy państw UE, organizacje krajowe i europejskie, a także obywatele UE, którzy mogą zgłaszać swoje uwagi do dyrektywy oraz propozycje jej zmiany [2]. Celem tych działań jest przygotowanie nowelizacji dyrektywy, co będzie miało również znaczenie dla rynku krajowego, w szczególności rynku ochrony i zabezpieczeń technicznych. Warto więc przyjrzeć się bliżej europejskiej infrastrukturze krytycznej oraz jej ochronie.
Dyrektywa 2008/114/WE
Europejska infrastruktura krytyczna (EIK) została formalnie zdefiniowana w Dyrektywie 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony. Jest ona głównym filarem europejskiego programu ochrony infrastruktury krytycznej EPCIP (European Programme for Critical Infrastructure Protection). Zgodnie z tą dyrektywą „europejska infrastruktura krytyczna” oznacza infrastrukturę krytyczną zlokalizowaną na terytorium państw członkowskich, której zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie.
W dyrektywie określono sposób rozpoznawania i wyznaczania EIK, obowiązki państwa członkowskiego i właścicieli tej infrastruktury oraz zasady współpracy między państwami, w których taka infrastruktura się znajduje.
Europejska infrastruktura krytyczna, zgodnie z przepisami dyrektywy, została wskazana w dwóch sektorach:
- energii, podzielonym na podsektory:
– energii elektrycznej,
– ropy naftowej,
– gazu, - transportu, podzielonym na podsektory:
– transportu drogowego,
– transportu kolejowego,
– transportu lotniczego,
– transportu wodnego śródlądowego,
– żeglugi oceanicznej,
– żeglugi morskiej bliskiego zasięgu i portów.
Kolejnym sektorem, którego ewentualne dołączenie przewidywano po przeglądzie skutków wdrożenia dyrektywy, był sektor technologii informacyjno-komunikacyjnych (ICT).
Zgodnie z zapisami dyrektywy poszczególne sektory mają własne doświadczenia, wiedzę fachową i wymagania w odniesieniu do ochrony infrastruktury krytycznej, dlatego należy opracować i zrealizować wspólnotowe podejście do ochrony infrastruktury krytycznej, z uwzględnieniem specyfiki poszczególnych sektorów i dotychczasowych środków sektorowych [1].
Ustalono też, że europejski program ochrony EIK powinien opierać się na stosowaniu podejścia obejmującego wszystkie rodzaje ryzyka, traktując jednak przeciwdziałanie zagrożeniom terrorystycznym jako priorytet.
W dyrektywie wyznaczono dzień 12 stycznia 2011 r. jako termin, do którego państwa członkowskie miały przyjąć niezbędne przepisy wdrażające tę dyrektywę do ustawodawstwa krajowego. W Polsce transpozycja Dyrektywy 2008/114/WE nastąpiła poprzez ustawę z 29 października 2010 r. o zmianie ustawy o zarządzaniu kryzysowym (Dz.U. z 2010 r. nr 240, poz. 1600).
Przegląd dyrektywy i nowe podejście do EPCIP
Zgodnie z zapisami dyrektywy 2008/114/WE jej przegląd został przeprowadzony w 2012 r. Raport z tego przeglądu przedstawiono w czerwcu 2012 r. [2]. Opiera się on na wnioskach z wielu spotkań i konferencji prowadzonych z inicjatywy KE, dotyczących nie tylko samej dyrektywy, ale szerzej – obejmujących problematykę europejskiego programu ochrony infrastruktury krytycznej EPCIP. Jak wynika z raportu, wszystkie kraje członkowskie UE formalnie wprowadziły do swojego porządku prawnego wymagania dotyczące identyfikacji i wskazania europejskiej infrastruktury krytycznej.
Wprawdzie dyrektywa nie wpłynęła bezpośrednio na zwiększenie bezpieczeństwa w dwóch wskazanych sektorach: energetyki i transportu, ale generalnie podniosła świadomość konieczności ochrony EIK oraz wyrównanie poziomów dojrzałości programów ochrony wdrażanych w poszczególnych krajach. Miały na to wpływ liczne konferencje krajowe i międzynarodowe, niezliczone publikacje, a także projekty finansowane bezpośrednio przez UE.
Okazało się, że sektorowe podejście do wyznaczania europejskiej infrastruktury krytycznej jest istotnym ograniczeniem, ponieważ czasami równie ważne są powiązania pomiędzy sektorami, np. transportowym i ICT, infrastruktury transportu gazu i ropy naftowej, przesyłu energii elektrycznej, a nawet transportu kolejowego, które obejmują wiele krajów. Przewidziana w dyrektywie współpraca bilateralna pomiędzy krajami członkowskimi UE nie jest wystarczająca dla skutecznej ochrony takiej infrastruktury.
Wyniki przeglądu Dyrektywy 2008/114/WE, a także wnioski z wielu konferencji posłużyły do opracowania tzw. nowego podejścia do europejskiego programu ochrony infrastruktury krytycznej [3].
Wprawdzie bezpośrednie efekty wprowadzenia dyrektywy nie były imponujące (udało się wyznaczyć zaledwie 20 europejskich infrastruktur krytycznych), to ze względu na wysoki koszt ewentualnej zmiany dyrektywy i jej transpozycji do prawa lokalnego w państwach UE zdecydowano się pozostawić ją bez zmian. Jednocześnie jednak postanowiono nadać programowi bardziej praktyczny charakter, zwrócić większą uwagę na współzależności pomiędzy infrastrukturą krytyczną, przemysłem i państwami wraz z ich instytucjami, a także na powiązania między sektorami.
Do dalszych prac pilotujących nowe podejście do ochrony EIK wyznaczono cztery infrastruktury, które ze swej natury mają wymiar europejski, obejmując zasięgiem wiele krajów EU i EFTA.
Są to:
• Eurocontrol (Europejska Organizacja ds. Bezpieczeństwa Żeglugi Powietrznej) – regionalna, wyspecjalizowana organizacja międzyrządowa, której celem jest koordynacja współpracy państw członkowskich, a także organizacji międzynarodowych (w tym Unii Europejskiej) w celu zapewnienia bezpieczeństwa powietrznej żeglugi cywilnej i wojskowej. Jest menedżerem sieci i zarządza całą siecią ruchu powietrznego.
• Galileo – europejski program globalnego systemu nawigacji satelitarnej, należący częściowo do UE, który (po jego pełnym uruchomieniu) będzie dostarczał usługi o dużym znaczeniu dla obywateli i ich bezpieczeństwa oraz dla gospodarki UE,
• sieć przesyłowa energii elektrycznej,
• sieć przesyłu gazu.
W ramach pilotażu przewidziano współpracę struktur UE (dyrektoriatów) z zarządcami wymienionych wyżej infrastruktur krytycznych. W pierwszej kolejności miała ona dotyczyć wypracowania narzędzi do oceny ryzyka oraz zarządzania ryzykiem w tych infrastrukturach. Następnie miała służyć zwiększeniu gotowości, powiadamiania i komunikacji, reagowania i odbudowy we wskazanych europejskich infrastrukturach krytycznych.
Finansowanie prac dotyczących europejskiej infrastruktury krytycznej
Za bezpieczeństwo infrastruktury krytycznej odpowiadają jej właściciele lub operatorzy. Dotyczy to także europejskiej infrastruktury krytycznej. UE spełnia przy zabezpieczaniu tej infrastruktury tylko funkcję pomocniczą, koncentrując swoje wsparcie na wypracowywaniu strategii i metodyk raczej niż na bezpośrednim dotowaniu inwestycji. Jednakże dla finansowania prac dotyczących europejskiego programu ochrony infrastruktury krytycznej w latach 2007–2013 decyzją Rady został ustanowiony program Zapobieganie, gotowość i zarządzanie skutkami terroryzmu i innymi rodzajami ryzyka dla bezpieczeństwa (CIPS) [2] z budżetem w wysokości 140 mln euro. W tym okresie każdego roku ogłaszano konkursy na projekty krajowe lub międzynarodowe, zwykle z maksymalnie dwuletnim okresem wykonania. Ich ogólnym celem było udzielenie państwom członkowskim wsparcia w zapobieganiu atakom terrorystycznym oraz innym zdarzeniom związanym z bezpieczeństwem, w przygotowywaniu się na takie ataki i zdarzenia oraz w ochronie ludności i infrastruktury krytycznej przed takimi atakami i zdarzeniami. W sumie zostało sfinansowanych 100 takich projektów. Pięć z nich wykonano w Polsce.
Drugą ścieżką finansowania są programy badań, technologicznego rozwoju oraz innowacji FP 7 na lata 2007–2013 i Horyzont 2020 w okresie 2014–2020. W ramach FP wykonano ogółem 60 projektów dotyczących ochrony infrastruktury krytycznej. Jako obywatele Unii Europejskiej wydaliśmy na te projekty 280 mln euro.
Budżet programu Horyzont 2020 na lata 2014–2020 wynosi 80 mld euro, a więc prawie tyle samo, ile Polska ma uzyskać z budżetu Unii Europejskiej w perspektywie finansowej 2014–2020 (82,5 mld euro). Jaką część tych pieniędzy zdołają uzyskać polskie przedsiębiorstwa, instytuty i uczelnie?
Ciągle są jeszcze otwarte lub planowane do otwarcia konkursy, na które można składać swoje projekty. Dla przykładu na konkurs SU-INFRA01-2018-2019-2020: Prevention, detection, response and mitigation of combined physical and cyber threats to critical infrastructure in Europe będzie można składać projekty do 23 sierpnia 2018 r. oraz do 22 sierpnia 2019 r. A na konkurs SU-INFRA02-2019 Security for smart and safe cities, including for public spaces do 22 sierpnia 2019 r.
Normalizacja i certyfikacja urządzeń i systemów do ochrony infrastruktury krytycznej
Obiekty infrastruktury krytycznej, zarówno krajowej, jak i europejskiej, są zabezpieczane z wykorzystaniem wszystkich systemów stosowanych do zapewnienia bezpieczeństwa „normalnych” konstrukcji i obiektów budowlanych, a więc systemów kontroli dostępu, sygnalizacji włamania i napadu, dozoru wizyjnego, sygnalizacji pożarowej itd. Dla tej grupy systemów istnieją normy europejskie opracowane przez CEN lub CENELEC, a także normy międzynarodowe, które powstały w ISO lub IEC.
Urządzenia i systemy zaliczone do wyrobów budowlanych mogą być wprowadzane na rynek i stosowane wyłącznie po ich certyfikacji zgodnie z europejskim systemem notyfikacji i akredytacji. Tak wydawane certyfikaty są respektowane we wszystkich krajach UE. Dla pozostałych systemów alarmowych nie zdołano dotychczas ustanowić podobnego, paneuropejskiego systemu certyfikacji obowiązkowej ani dobrowolnej, chociaż jego powstanie było przewidywane w oficjalnych dokumentach UE [5].
Zgodnie z dokumentem KE „Plan działania na rzecz innowacyjnego i konkurencyjnego sektora bezpieczeństwa” [8] miały powstać „ogólnounijne systemy certyfikacji, począwszy od urządzeń kontrolnych (do wykrywania) na lotniskach oraz systemów alarmowych”.
Prace nad tymi rozwiązaniami zostały wstrzymane, zapewne ze względu na różne nastroje antyunijne.
Oprócz systemów „standardowych” w obiektach infrastruktury krytycznej jest używnych wiele „nowych” rozwiązań opracowanych specjalnie dla tej infrastruktury lub szczególnie często do jej ochrony stosowanych. Przykładem mogą być systemy radarowo-kamerowe stosowane do ochrony perymetrycznej lotnisk i portów morskich. Dla tego typu systemów zwykle nie ma norm przedmiotowych na urządzenia, zaleceń ich użytkowania ani programów certyfikacji. W niektórych przypadkach takie dokumenty i rozwiązania systemowe powstają w poszczególnych sektorach użytkowych.
W lotnictwie cywilnym, na podstawie rozporządzenia (EC) 300/800, kraje członkowskie we współpracy z Komisją Europejską, w ramach European Civil Aviation Conference (ECAC) wypracowały wspólną metodykę testowania następujących urządzeń detekcyjnych stosowanych dla zapewnienia bezpieczeństwa na lotniskach i w samolotach:
– Explosive Detection Systems (EDS),
– Liquid Explosive Detection Systems (LEDS),
– Security Scanners (Ssc),
– Explosive Trace Detection (ETD) equipment,
– Metal Detection Equipment (MDE),
– Explosive Detection Systems for Cabin Baggage (EDSCB).
Rozwiązanie to nie ma jednak charakteru prawnie obowiązującego kraje UE. Umożliwia jedynie przeprowadzenie badań urządzeń zgodnie z wypracowaną metodyką, ale certyfikaty dopuszczające je do użytkowania są wydawane przez odpowiednie agencje w krajach członkowskich UE.
Drugą grupą urządzeń i systemów, w największym stopniu objętych normalizacją i certyfikacją, są produkty przeznaczone do wykrywania i pomiarów radiacji.
W celu przeprowadzenia ewaluacji i porównania właściwości użytkowych dostępnych urządzeń detekcyjnych, a także opracowania procedur testowania oraz wsparcia normalizacji i harmonizacji w tym obszarze został utworzony projekt wspólny Komisji Europejskiej (DG Home Affairs) oraz US Department of Homeland Security (Domestic Nuclear Detection Office) pod nazwą Illicit Trafficking Radiation Assessment Programme (ITRAP+10). Ze względu na brak odpowiednich norm europejskich podstawą prowadzonych prac były amerykańskie ANSI/IEEE oraz normy międzynarodowe IEC. Raport końcowy ze specyfikacją norm można znaleźć w dostępnej w Internecie publikacji [9]. Ze strony europejskiej w projekcie tym uczestniczyło Wspólnotowe Centrum Badawcze (Joint Research Center – JRC).
W ramach JRC działa także projekt pod nazwą Europejska Sieć Referencji dla Ochrony Infrastruktury Krytycznej (European Reference Network for Critical Infrastructure Protection – ERNCIP).
Brak zharmonizowanego, ogólnoeuropejskiego rozwiązania w zakresie badań i certyfikacji urządzeń i systemów stosowanych do ochrony infrastruktury krytycznej jest dużym utrudnieniem dla innowacyjności i rozwoju branży w Europie oraz akceptacji produktów przez rynek. ERNCIP stara się rozwiązać ten problem poprzez organizację grup tematycznych zajmujących się definiowaniem wymagań, wypracowaniem i harmonizacją metodyk testowania stosowanych przez różne laboratoria, opracowywaniem zaleceń dla użytkowników oraz propozycji norm europejskich. W pracach tych grup uczestniczą także laboratoria i eksperci z Polski.
Jedną z nowych grup jest TG Extended virtual fencing: use of biometrics and video technologies.
Normalizacja i certyfikacja usług zabezpieczania technicznego infrastruktury krytycznej
Jak już wspomniano, do ochrony infrastruktury krytycznej – zarówno krajowej, jak i europejskiej – są stosowane wszystkie „klasyczne” systemy zabezpieczeń technicznych. Wymagania podstawowe dotyczące usług związanych z tymi systemami zostały zebrane w normie PN-EN 16763:2017-04 – wersja angielska Usługi w zakresie systemów ochrony przeciwpożarowej oraz systemów zabezpieczeń technicznych. Na jej podstawie można przeprowadzać certyfikację firm usługowych z branży zabezpieczeń. EURALARM, czyli europejska organizacja producentów i instalatorów systemów zabezpieczeń, która była inicjatorem opracowania tej normy, zaproponowała opracowanie programu certyfikacji, jednolitego i wspólnego dla najważniejszych europejskich jednostek certyfikujących, co zwolniłoby firmy usługowe od konieczności uzyskiwania certyfikatów w każdym kraju z osobna. Niestety, ze względu na przeciąganie się prac normalizacyjnych projektu tego nie udało się wykonać. Pierwszą organizacją, która prowadzi już certyfikację firm usługowych, jest VdS. Dostępne są odpowiednie wytyczne dotyczące tego procesu certyfikacji [10]. Eksperci VdS aktywnie uczestniczyli w pracach komitetu CEN/CLC TC4, który opracował normę EN 16763, i z wyprzedzeniem przygotowali niektóre firmy usługowe do certyfikacji. Zgodnie z informacją na stronie internetowej VdS takie certyfikaty zostały już wydane.
Tymczasem w PKN mamy ciągle tylko angielskojęzyczną wersję tej normy, co nie sprzyja jej popularyzacji. Stowarzyszenie NOWACERT (www.nowacert.org) od dłuższego czasu prowadzi zbiórkę funduszy na tłumaczenie i publikację tej normy w języku polskim. Nie są nią jednak zainteresowane firmy instalacyjne ani zarządzający obiektami. Nie widać także żadnych działań ze strony odpowiedzialnych za infrastrukturę krytyczną na poziomie krajowym ani wśród administratorów takiej infrastruktury.
Normalizacja usług ochrony infrastruktury krytycznej
EURALARM jako europejskie stowarzyszenie krajowych organizacji producentów urządzeń i zabezpieczeń technicznych oraz usługodawców było inicjatorem powstania wspomnianej normy EN 16763. Analogicznie CoESS, jako europejskie stowarzyszenie krajowych organizacji zrzeszających firmy ochrony fizycznej, było inicjatorem powstania trzech norm europejskich, a następnie promotorem powołania komitetu technicznego CEN/TC 439 Private security services.
Warto wspomnieć, że w żadnej z wymienionych organizacji nie ma polskich izb ani stowarzyszeń rynku zabezpieczeń i ochrony fizycznej, chociaż wśród członków EURALARM i CoESS są już przedstawiciele niemal wszystkich państw spośród nowych członków UE. Niektórzy z nich są nawet w gremiach kierowniczych tych organizacji.
W komitecie CEN/TC 439 działa grupa robocza WG1 zajmująca się opracowywaniem norm dotyczących infrastruktury krytycznej. Punktem wyjścia do jej prac są dwie normy europejskie: PN-EN 16082:2011 – wersja angielska Usługi ochrony w portach lotniczych i w lotnictwie cywilnym oraz EN 16747:2015 Maritime and port security services (niewprowadzona do zbioru PN).
Planowane jest opracowanie serii norm dotyczących poszczególnych sektorów, które umożliwią certyfikację firm usługowych. Są prowadzone prace nad pierwszą wprowadzającą normą z tej serii: Provision of private security services for the protection of Critical Infrastructure – Part 1: Basic requirements.
W PKN z komitetem CEN/TC439 współpracuje komitet techniczny PKN/KT 323 „Usługi w ochronie osób i mienia”. Jako jego przewodniczący zapraszam wszystkich zainteresowanych do współpracy.
Ewaluacja Dyrektywy 2008/114/WE
Komisja Europejska prowadzi przegląd i ocenę Dyrektywy 2008/114/WE dotyczącej europejskiej infrastruktury krytycznej. Jak to już wykazano w czasie przeglądu przeprowadzonego w 2012 r., nie spowodowała ona bezpośrednich, spektakularnych zmian w poziomie bezpieczeństwa europejskiej infrastruktury krytycznej, jednak przyczyniła się do podniesienia poziomu świadomości rządów, zarządców infrastruktury krytycznej i obywateli oraz umożliwiła uruchomienie szeregu programów badawczych i rozwojowych. Liczba wyznaczonych europejskich infrastruktur krytycznych ciągle nie jest imponująca. Jest ich obecnie 89, głównie w sektorze energetycznym.
Ataki terrorystyczne organizowane przez islamski Dżihad i ISIS w ostatnich latach nie były kierowane, jak się spodziewano, opracowując dyrektywę, przeciwko infrastrukturze krytycznej, ale głównie wprost przeciwko obywatelom w miejscach publicznych. Nie oznacza to zmniejszenia zagrożenia dla krajowej i europejskiej infrastruktury krytycznej, gdyż ich narzędziem stały się środki transportu, w szczególności bezzałogowe statki powietrzne. Nowym zagrożeniem są ataki hybrydowe i akty sabotażu.
Celowe byłoby również podsumowanie prac badawczych i normalizacyjnych oraz trwającej od wielu lat dyskusji na temat harmonizacji procedur i procesów certyfikacji urządzeń, systemów i usług. Nie bez znaczenia są tu także przygotowania do nowej perspektywy budżetowej UE, która określi, na co oraz ile, jako obywatele UE, wydamy.
Konsultacje powszechne kończą się w kwietniu br. Jesienią odbędą się konsultacje na poziomie rządowym.
Jerzy W. Sobstel
Prezes Stowarzyszenia Ekspertów Normalizacji, Walidacji i Certyfikacji NOWACERT.
Od 2004 r. działa w Europejskich Komitetach Normalizacyjnych CEN/TC72, CEN/TC439, CEN/CLC/TC4, CLC/TC79. Przewodniczący Komitetu PKN/KT323 Usługi w ochronie osób i mienia. Właściciel firmy doradczej SOSTEL Jerzy Sobstel.