Dyrektywa CER: czego dotyczy i co ma wspólnego z NIS2

teste test
  • 10 minute read
  • 10 Kwi 2025

Dyrektywa CER (Critical Entities Resilience Directive) dotycząca ochrony infrastruktury krytycznej została przyjęta 14 grudnia 2022 roku - tego samego dnia co dyrektywa o cyberbezpieczeństwie NIS2. Pomimo jej ogromnego znaczenia, nie cieszy się ona tak dużym zainteresowaniem mediów, opinii publicznej oraz ekspertów jak dyrektywa NIS2. Jest to tym bardziej niezrozumiałe, że zarówno dyrektywa CER, jak i NIS2, oceniane łącznie, tworzą komplementarne i spójne ramy prawno-organizacyjne w zakresie zapewnienia bezpieczeństwa, zarówno w wymiarze fizycznym, jak i cyberbezpieczeństwa oraz ochrony kluczowych usług w państwie.

Kogo obejmuje CER?

CER obejmuje podmioty krytyczne, czyli w polskich warunkach operatorów infrastruktury krytycznej, takich jak np. operatorzy czy właściciele elektrowni, którzy świadczą kluczowe usługi w jednym z sektorów określonych w ustawie, a incydent u nich miałby istotny skutek zakłócający na świadczenie tych usług.
Ale co to oznacza w praktyce? Odpowiedzmy na kilka kluczowych pytań:

Operator infrastruktury krytycznej to właściciel obiektu lub infrastruktury uznanej za krytyczną - na przykład elektrownia czy rurociąg gazu. Decyzję o tym, co jest uznawane za infrastrukturę krytyczną i kto jest operatorem, podejmie odpowiedni organ państwowy na podstawie niejawnych kryteriów określonych przez Radę Ministrów.

Usługa kluczowa to taka, która ma kluczowe znaczenie dla bezpieczeństwa państwa. Usługi te są określane dla poszczególnych sektorów (w oddzielnym rozporządzeniu). Przykłady usług kluczowych to np. wytwarzanie energii elektrycznej, przesyłanie gazu czy uzdatnianie wody.

Istotny skutek zakłócający to jakościowe kryterium określone oddzielnie dla każdej usługi kluczowej, które wskazuje na próg, po przekroczeniu którego mówimy o krytyczności danej usługi. Takim progiem może być np. określona liczba użytkowników.

Podmiot krytyczny określany jest na podstawie decyzji organu państwa, który bierze pod uwagę trzy warunki (traktowane łącznie):

  • Podmiot musi mieć ustalony status operatora infrastruktury krytycznej;

  • Podmiot musi świadczyć jedną z usług kluczowych;

  • Podmiot musi spełniać kryteria jakościowe dotyczące "istotnego skutku zakłócającego" dla danej usługi kluczowej.

Podsumowując, nie każdy operator infrastruktury krytycznej zostanie ostatecznie uznany za podmiot krytyczny. Jednak każdy, kto zostanie objęty regulacją CER, niezależnie od tego, czy jest operatorem infrastruktury krytycznej, czy podmiotem krytycznym, musi otrzymać decyzję od odpowiedniej instytucji państwowej, która określi status danej firmy lub instytucji.

To właśnie jedna z istotnych różnic pomiędzy dyrektywą CER a NIS2. W przypadku NIS2 obowiązuje bowiem zasada samoidentyfikacji, gdzie podmioty same ustalają swój status na podstawie jasno określonych w dyrektywie kryteriów, a następnie dokonują samorejestracji. Natomiast w CER ostateczną decyzję podejmuje odpowiedni organ państwowy, co zapewnia bardziej kontrolowany i formalny proces identyfikacji podmiotów krytycznych.

Podmiot krytyczny, a NIS2

Zgodnie z projektami ustaw wdrażających dyrektywy CER oraz NIS2, wszystkie podmioty krytyczne zostaną automatycznie uwzględnione w wykazie podmiotów kluczowych według NIS2.

Można to zobrazować następującym schematem:

  • każdy podmiot krytyczny z CER jest jednocześnie podmiotem kluczowym w NIS2;
  • nie każdy podmiot objęty dyrektywą NIS2 będzie spełniać kryteria CER.

Ten prosty wzór podkreśla złożoność i wzajemne powiązania obu dyrektyw, co ma kluczowe znaczenie dla zrozumienia ich implementacji w praktyce.

Poniżej przedstawiamy przykłady zastosowania dyrektywy:

Firma A jest właścicielem obiektu, który został uznany przez odpowiedni organ za element infrastruktury krytycznej, co czyni ją operatorem tej infrastruktury. Dodatkowo, firma A świadczy jedną z usług kluczowych w sektorze transportu. Firma A spełnia kryteria istotnego skutku zakłócającego dla tej usługi kluczowej. W wyniku tego, odpowiedni organ państwowy uznaje firmę A za podmiot krytyczny, zgodnie z zasadami i procedurą opisaną w CER.

Ponieważ firma A została uznana za podmiot krytyczny w sektorze transportu, który jest również regulowany przez dyrektywę NIS2, automatycznie staje się ona podmiotem kluczowym w rozumieniu NIS2.

Firma B, będąca średnim przedsiębiorstwem, specjalizuje się w produkcji naczep samochodowych w sektorze produkcji. Zgodnie z kryteriami określonymi w dyrektywie NIS2, firma B automatycznie zostaje uznana za podmiot regulowany przez tę dyrektywę.

Ze względu jednak na to, że sektor produkcji nie jest objęty zakresem dyrektywy CER, firma B musi spełniać jedynie wymagania wynikające z NIS2. Dzięki temu, firma B może skupić się na realizacji wymogów związanych z cyberbezpieczeństwem, nie martwiąc się o dodatkowe regulacje wynikające z CER.

Jak to przekłada się na konkretne zadania?

Istnieją wyraźne punkty styku między obiema dyrektywami. Obejmują one zadania z zakresu cyberbezpieczeństwa, współpracę z organami państwowymi oraz zgłaszanie incydentów. Szczególnie interesująca jest kwestia zgłaszania incydentów. Podmioty objęte CER będą korzystać z tego samego systemu IT, który służy dyrektywie NIS2, czyli platformy S46. Nie jest obecnie jasne,  czy progi (kryteria) klasyfikacji incydentów, które muszą być zgłoszone, będą identyczne dla obu dyrektyw.

Jak to wygląda w praktyce?

Jeśli podmiot podlega zarówno dyrektywie CER, jak i NIS2, to CER ma prymat nad NIS2, ponieważ jest regulacją specjalną. W takim przypadku podmioty objęte CER realizują wymagania dotyczące np. bezpieczeństwa fizycznego czy utrzymania ciągłości działania zgodnie z dyrektywą CER, a nie NIS2. Warto wskazać, że w polskiej implementacji CER (w tym także w dokumentach pomocniczych) wskazane zostaną konkretne standardy lub środki techniczne, które będą musiały być wdrożone w organizacjach np. standardy dot. monitoringu wizyjnego, formacji ochraniającej obiekty itd. Natomiast w zakresie cyberbezpieczeństwa, muszą dostosować się do wymogów określonych w NIS2.

CER

  • Bezpieczeństwo fizyczne
  • Bezpieczeństwo łańcucha dostaw
  • Bezpieczeństwo prawne
  • Audyty
  • Zarządzanie ryzykiem
  • Bezpieczeństwo osobowe
  • Utrzymanie ciągłości działania
  • Ochrona informacji niejawnych

NIS2

  • Utrzymanie ciągłości działania
  • Bezpieczeństwo fizyczne
  • Bezpieczeństwo zasobów ludzkich
  • Audyty (tylko podmioty kluczowe)
  • Zarządzanie ryzykiem
  • Bezpieczeństwo łańcucha dostaw

Punkty wspólne

  • Cyberbezpieczeństwo
  • Zgłaszanie incydentów
  • Współpraca z odpowiednimi organami państwa

CER a NIS2 - podstawowe różnice

Podmioty objęte regulacjami

CER

  • Operatorzy infrastruktury krytycznej
  • Podmioty krytyczne

NIS2

  • Podmioty kluczowe
  • Podmioty ważne

Kategorie sektorów

CER

  • Jedna kategoria:
    • sektory kluczowe

NIS2

  • Dwie kategorie:
    • sektory kluczowe
    • sektory ważne

Przypisane sektorów do kategorii 

CER

  • 14 sektorów kluczowych, w tym:
    • zarządzanie usługami ICT;
    • produkcja;
    • wytwarzanie i dystrybucja chemikaliów;
    • usługi pocztowe;
    • gospodarowanie odpadami;
    • produkcja, przetwarzanie i dystrybucja żywności.

NIS2

  • 17 sektorów, w tym 10 kluczowych i 7 ważnych. 

Sektory

  • produkcja;
  • wytwarzanie i dystrybucja chemikaliów; 
  • usługi pocztowe;
  • gospodarowanie odpadami;
  • produkcja, przetwarzanie i dystrybucja żywności;

są określone jako ważne.

Identyfikacja i rejestracja podmiotów

CER

  • Identyfikacja w oparciu o kryteria jakościowe wskazane w rozporządzeniu oraz dokumentach niejawnych.
  • Decyzja podejmowana przez odpowiednie organy ds. podmiotów krytycznych.
  • Podmiot jest informowany o decyzji o wpisaniu do wykazu podmiotów krytycznych.

NIS2

  • Samoidentyfikacja oraz samorejestracja podmiotów zgodnie z procedurą opisaną w ustawie.

Wysokość kar

CER

  • Maksymalna kara  - do 1 mln PLN

NIS2

  • Kary zależne od kategorii podmiotów:
    - podmioty kluczowe - do 10 mln EUR lub 2% obrotów;
    - podmioty ważne - do 7 mln EUR lub 1.4% obrotów;
  • Maksymalna kara to 100 mln PLN

Wymagania techniczno-operacyjno-organizacyjne, czyli polityki, procesy, ludzie i technologie

Wymagana zgodność ze standardami

CER

  • Konieczność uwzględnienia konkretnych standardów m.in.:
    • ISO27001;
    • ISO22301;
    • PN-EN 6083;

NIS2

  • Brak odniesienia do jakichkolwiek standardów z obszaru cyberbezpieczeństwa

Dodatkowe krajowe wymagania techniczno-organizacyjne

CER

  • W rozporządzeniu zostaną określone obowiązkowe, minimalne standardy ochrony infrastruktury krytycznej.

NIS2

  • W rozporządzeniu mogą zostać przyjęte dodatkowe wymagania dla konkretnej kategorii podmiotów np. dla danego sektora czy podsektora

Dodatkowe unijne wymagania techniczno-organizacyjne

CER

  • Brak wymagań

NIS2

  • Podmioty będą zobligowane do wdrożenia środków określonych przez Komisję Europejską w oparciu o realizację dyspozycji do wydania aktu wykonawczego w NIS2 (zgodnie z art. 21)

Rozpoczęcie realizacji zadań oraz wdrożenie wymagań z regulacji

CER

  • Zależne od daty otrzymania informacji o tym, że jest ujęty w wykazie podmiotów krytycznych (odpowiedni organ informuje podmiot w terminie 30 dni od daty wpisania tego podmiotu do wykazu podmiotów krytycznych).

NIS2

  • Od dnia, w którym podmiot spełni kryteria dla podmiotu kluczowego lub ważnego.
  • Uwaga: dla większości podmiotów będzie to dzień wejścia w życie przepisów ustawy wdrażającej NIS2.

Regularne audyty

CER

  •  obowiązkowe audyty - dla wszystkich;
  • pierwszy audyt po 9 miesiącach od zostania podmiotem krytycznym;
  • kolejne audyty co 3 lata;

NIS2

  • obowiązkowe audyty tylko dla podmiotów kluczowych;
  • pierwszy audyt po 24 miesiącach od dnia, w którym podmiot uznał, że spełnia kryteria dla podmiotu kluczowego;
  • kolejne audyty co 3 lata;

Raportowanie o stanie bezpieczeństwa

CER

  • Obowiązkowe raporty o stanie ochrony infrastruktury krytycznej - co roku

NIS2

  • Brak wymagań

Osoby kontaktowe

CER

  • Wskazanie 1 osoby kontaktowej, która musi spełniać wymogi określone w ustawie (np. niekaralność)

NIS2

  • Wyznaczenie 2 osób kontaktowych, brak wskazanych wymogów dla tych osób

Pojęcie incydentu

CER

  • Szeroki zakres definicyjny, obejmujący wszelkie możliwe zagrożenia dla świadczonej usługi np. pożar, czy nieautoryzowane wejście na teren obiektu infrastruktury krytycznej.

NIS2

  • Definicja incydentu ograniczona do kwestii incydentów dot. bezpieczeństwa systemów informacyjnych, od których zależy świadczona usługa.

Screening osobowy

CER

  • szeroki zakres pracowników objętych weryfikacją m.in. osoby pełniące kluczowe role w strukturach organizujących podmiotu np. zarząd, kierownicy działów, a także osoby, które mają lub mogą mieć fizyczny lub zdalny dostęp do np. systemów kontroli, czy obiegu informacji;
  • sprawdzanie pracowników pod kątem skazania za przestępstwa;
  • weryfikacja spoczywa na podmiocie;
  • pobierane są dane biometryczne od pracowników np. odciski palców, czy obrazu rogówki;

NIS2

  • dotyczy tylko pracowników realizujących zadania w obszarze zarządzania ryzykiem oraz zarządzania incydentami;
  • sprawdzanie pracowników pod kątem skazania za przestępstwa z zakresu bezpieczeństwa informacji;
  • dowód spoczywa na pracowniku;

Informacje niejawne

CER

  • Podmioty mają obowiązek dostosowania się do wymogów ustawy o ochronie informacji niejawnych i tym samym stworzenie systemu do zarządzania tego typu informacjami. Ponadto od usługodawców także wymagać należy zdolności do ochrony informacji niejawnych (np. w postępowaniach przetargowych).

NIS2

  • Brak wymogów

Na obecnym etapie prac nad ustawami wdrażającymi obie dyrektywy, pojawia się szereg potencjalnych wątpliwości:

Zgłaszanie incydentów

Czy uda się ujednolicić kryteria klasyfikacji incydentów, czy podmioty objęte obiema regulacjami będą musiały stosować dwie oddzielne klasyfikacje incydentów? To kluczowa kwestia, która może wpłynąć na efektywność zarządzania incydentami oraz obciążenia administracyjne dla firm.

Cykliczne audyty bezpieczeństwa

Czy wyniki audytów będą wzajemnie uznawane, czy podmioty objęte obiema regulacjami będą musiały przeprowadzać dwa oddzielne audyty? Wzajemne uznawanie wyników mogłoby znacząco obniżyć koszty i złożoność procesów audytowych.

Rozbieżności w podziale na sektory objęte obiema regulacjami

Najłatwiej zobrazować na przykładzie: 

Firma A jest średnim przedsiębiorstwem i świadczy usługę w sektorze gospodarowania odpadami. Zgodnie z kryteriami NIS2 jest  podmiotem ważnym i w efekcie nie ma obowiązku wykonywania regularnych audytów. Jednocześnie mogłaby także zostać uznana przez odpowiedni organ za podmiot krytyczny w CER. Zgodnie z zasadą uznawania automatycznie podmiotów krytycznych z CER za podmioty kluczowe z NIS2, firma A w rezultacie zostaje podmiotem kluczowym w NIS2 i tym samym musi prowadzić regularne audyty.

Kary

Przykładowo, czy za niezgłoszenie incydentu przez podmiot objęty obiema regulacjami otrzyma on potencjalnie dwie kary, czy jedną? A jeżeli jedną, to z której regulacji i w jakiej wysokości?

Te pytania wymagają pilnej odpowiedzi, aby podmioty mogły skutecznie przygotować się do spełnienia wymagań obu regulacji i uniknąć niepotrzebnych komplikacji.

Co dalej?

Obie regulacje tj. CER oraz NIS2 powinny być wdrożone do 17 października 2024 r. Polska nie dotrzymała tych terminów i odpowiednie przepisy wprowadzające obie dyrektywy nie zostały jeszcze przyjęte. Co więcej, projekty ustaw, które wdrażają te dyrektywy, w dalszym ciągu są na etapie prac rządowych. Nowelizacja ustawy o zarządzaniu kryzysowym (CER), której projekt został opublikowany w lipcu 2024 r., nadal jest na etapie konsultacji publicznych. Na nieco bardziej zaawansowanym etapie jest procedura legislacyjna dotycząca projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (NIS2), który doczekał się już czwartej wersji. Zarówno Rządowe Centrum Bezpieczeństwa (instytucja prowadząca temat CER), jak i Ministerstwo Cyfryzacji (odpowiedzialne za NIS2) nie przekazały dokładnych informacji o tym kiedy planują zakończyć prace nad przyjęciem odpowiednich ustaw. 

W związku z tym, że obie regulacje są nadal na etapie ustalania ostatecznej treści, warto byłoby wykorzystać ten czas na wprowadzanie przejrzystych i spójnych kryteriów oraz procedur, tak aby zapewnić jak największą komplementarność obu regulacji np. poprzez uspójnienie sektorów, czy klasyfikacji incydentów. 

Jak brak przepisów wprowadzających CER oraz NIS2 ma się do kwestii realizacji obowiązków przez firmy? 

Firmy objęte dotychczasowymi regulacjami z zakresu ochrony infrastruktury krytycznej, czy cyberbezpieczeństwa realizują obowiązki jak do tej pory. Natomiast nowe podmioty, które potencjalnie zostałyby objęte obowiązkami mogą wykorzystać ten czas na: po pierwsze, analizę stanu swojej gotowości (w tym identyfikacji potencjalnych luk) do CER lub NIS2 oraz po drugie, rozpoczęcie działań dostosowujących, gdyż w obu regulacjach przewidziany jest jedynie okres 6 miesięcy na uzyskanie zgodności z wymogami. Im szybciej rozpoczniemy prace dostosowawcze, tym mniej będzie niepewności związanych z wejściem  w życie nowych przepisów.

Dyrektywa CER

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami

Szymon Grabski

Szymon Grabski

Senior Manager, PwC Polska

Tel.: +48 519 507 996

Tomasz Wlaź

Tomasz Wlaź

Senior Associate, PwC Polska

Tel.: +48 519 506 973

Obserwuj nas