CER obejmuje podmioty krytyczne, czyli w polskich warunkach operatorów infrastruktury krytycznej, takich jak np. operatorzy czy właściciele elektrowni, którzy świadczą kluczowe usługi w jednym z sektorów określonych w ustawie, a incydent u nich miałby istotny skutek zakłócający na świadczenie tych usług.
Ale co to oznacza w praktyce? Odpowiedzmy na kilka kluczowych pytań:
Podsumowując, nie każdy operator infrastruktury krytycznej zostanie ostatecznie uznany za podmiot krytyczny. Jednak każdy, kto zostanie objęty regulacją CER, niezależnie od tego, czy jest operatorem infrastruktury krytycznej, czy podmiotem krytycznym, musi otrzymać decyzję od odpowiedniej instytucji państwowej, która określi status danej firmy lub instytucji.
To właśnie jedna z istotnych różnic pomiędzy dyrektywą CER a NIS2. W przypadku NIS2 obowiązuje bowiem zasada samoidentyfikacji, gdzie podmioty same ustalają swój status na podstawie jasno określonych w dyrektywie kryteriów, a następnie dokonują samorejestracji. Natomiast w CER ostateczną decyzję podejmuje odpowiedni organ państwowy, co zapewnia bardziej kontrolowany i formalny proces identyfikacji podmiotów krytycznych.
Zgodnie z projektami ustaw wdrażających dyrektywy CER oraz NIS2, wszystkie podmioty krytyczne zostaną automatycznie uwzględnione w wykazie podmiotów kluczowych według NIS2.
Można to zobrazować następującym schematem:
Ten prosty wzór podkreśla złożoność i wzajemne powiązania obu dyrektyw, co ma kluczowe znaczenie dla zrozumienia ich implementacji w praktyce.
Poniżej przedstawiamy przykłady zastosowania dyrektywy:
Firma A jest właścicielem obiektu, który został uznany przez odpowiedni organ za element infrastruktury krytycznej, co czyni ją operatorem tej infrastruktury. Dodatkowo, firma A świadczy jedną z usług kluczowych w sektorze transportu. Firma A spełnia kryteria istotnego skutku zakłócającego dla tej usługi kluczowej. W wyniku tego, odpowiedni organ państwowy uznaje firmę A za podmiot krytyczny, zgodnie z zasadami i procedurą opisaną w CER.
Ponieważ firma A została uznana za podmiot krytyczny w sektorze transportu, który jest również regulowany przez dyrektywę NIS2, automatycznie staje się ona podmiotem kluczowym w rozumieniu NIS2.
Firma B, będąca średnim przedsiębiorstwem, specjalizuje się w produkcji naczep samochodowych w sektorze produkcji. Zgodnie z kryteriami określonymi w dyrektywie NIS2, firma B automatycznie zostaje uznana za podmiot regulowany przez tę dyrektywę.
Ze względu jednak na to, że sektor produkcji nie jest objęty zakresem dyrektywy CER, firma B musi spełniać jedynie wymagania wynikające z NIS2. Dzięki temu, firma B może skupić się na realizacji wymogów związanych z cyberbezpieczeństwem, nie martwiąc się o dodatkowe regulacje wynikające z CER.
Istnieją wyraźne punkty styku między obiema dyrektywami. Obejmują one zadania z zakresu cyberbezpieczeństwa, współpracę z organami państwowymi oraz zgłaszanie incydentów. Szczególnie interesująca jest kwestia zgłaszania incydentów. Podmioty objęte CER będą korzystać z tego samego systemu IT, który służy dyrektywie NIS2, czyli platformy S46. Nie jest obecnie jasne, czy progi (kryteria) klasyfikacji incydentów, które muszą być zgłoszone, będą identyczne dla obu dyrektyw.
Jeśli podmiot podlega zarówno dyrektywie CER, jak i NIS2, to CER ma prymat nad NIS2, ponieważ jest regulacją specjalną. W takim przypadku podmioty objęte CER realizują wymagania dotyczące np. bezpieczeństwa fizycznego czy utrzymania ciągłości działania zgodnie z dyrektywą CER, a nie NIS2. Warto wskazać, że w polskiej implementacji CER (w tym także w dokumentach pomocniczych) wskazane zostaną konkretne standardy lub środki techniczne, które będą musiały być wdrożone w organizacjach np. standardy dot. monitoringu wizyjnego, formacji ochraniającej obiekty itd. Natomiast w zakresie cyberbezpieczeństwa, muszą dostosować się do wymogów określonych w NIS2.
Sektory:
są określone jako ważne.
W rozporządzeniu zostaną określone obowiązkowe, minimalne standardy ochrony infrastruktury krytycznej.
Brak wymagań
Podmioty będą zobligowane do wdrożenia środków określonych przez Komisję Europejską w oparciu o realizację dyspozycji do wydania aktu wykonawczego w NIS2 (zgodnie z art. 21)
Zależne od daty otrzymania informacji o tym, że jest ujęty w wykazie podmiotów krytycznych (odpowiedni organ informuje podmiot w terminie 30 dni od daty wpisania tego podmiotu do wykazu podmiotów krytycznych).
Wskazanie 1 osoby kontaktowej, która musi spełniać wymogi określone w ustawie (np. niekaralność)
Na obecnym etapie prac nad ustawami wdrażającymi obie dyrektywy, pojawia się szereg potencjalnych wątpliwości:
Te pytania wymagają pilnej odpowiedzi, aby podmioty mogły skutecznie przygotować się do spełnienia wymagań obu regulacji i uniknąć niepotrzebnych komplikacji.
Obie regulacje tj. CER oraz NIS2 powinny być wdrożone do 17 października 2024 r. Polska nie dotrzymała tych terminów i odpowiednie przepisy wprowadzające obie dyrektywy nie zostały jeszcze przyjęte. Co więcej, projekty ustaw, które wdrażają te dyrektywy, w dalszym ciągu są na etapie prac rządowych. Nowelizacja ustawy o zarządzaniu kryzysowym (CER), której projekt został opublikowany w lipcu 2024 r., nadal jest na etapie konsultacji publicznych. Na nieco bardziej zaawansowanym etapie jest procedura legislacyjna dotycząca projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (NIS2), który doczekał się już czwartej wersji. Zarówno Rządowe Centrum Bezpieczeństwa (instytucja prowadząca temat CER), jak i Ministerstwo Cyfryzacji (odpowiedzialne za NIS2) nie przekazały dokładnych informacji o tym kiedy planują zakończyć prace nad przyjęciem odpowiednich ustaw.
W związku z tym, że obie regulacje są nadal na etapie ustalania ostatecznej treści, warto byłoby wykorzystać ten czas na wprowadzanie przejrzystych i spójnych kryteriów oraz procedur, tak aby zapewnić jak największą komplementarność obu regulacji np. poprzez uspójnienie sektorów, czy klasyfikacji incydentów.
Firmy objęte dotychczasowymi regulacjami z zakresu ochrony infrastruktury krytycznej, czy cyberbezpieczeństwa realizują obowiązki jak do tej pory. Natomiast nowe podmioty, które potencjalnie zostałyby objęte obowiązkami mogą wykorzystać ten czas na: po pierwsze, analizę stanu swojej gotowości (w tym identyfikacji potencjalnych luk) do CER lub NIS2 oraz po drugie, rozpoczęcie działań dostosowujących, gdyż w obu regulacjach przewidziany jest jedynie okres 6 miesięcy na uzyskanie zgodności z wymogami. Im szybciej rozpoczniemy prace dostosowawcze, tym mniej będzie niepewności związanych z wejściem w życie nowych przepisów.