icon to english version of biznesalert
EN
Najważniejsze informacje dla biznesu
icon to english version of biznesalert
EN

Jest ustawa. Polska stworzy strategię obrony infrastruktury krytycznej przed atakami

Projekt zmian ustawy o zarządzaniu kryzysowym trafił do opiniowania pod numerem UC47. Wdraża dyrektywę unijną pozwalającą zarządzać ryzykiem w odniesieniu do infrastruktury krytycznej zagrożonej atakami po inwazji Rosji na Ukrainie. Powstanie specjalna strategia.

– Posiadanie planów zarządzania ryzykiem jest o tyle istotne, iż są one niezbędne do spełnienia tzw. warunkowości ex ante w perspektywie finansowej UE na lata 2021-2027, co ma przełożenie na możliwość pozyskiwania środków finansowych w ramach polityki spójności z Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego Plus, Funduszu Spójności oraz Europejskiego Funduszu Morskiego i Rybackiego – czytamy w opisie aktu. – Opracowanie dokumentów planistycznych w obszarze zarządzania ryzykiem jest bowiem bezpośrednio powiązane z jednym z warunków podstawowych perspektywy finansowej, który mówi o „osiągnięciu skutecznych ram zarządzania ryzykiem”. Wskazuje się wprost na konieczność opracowania planu zarządzania ryzykiem na szczeblu krajowym lub regionalnym, powiązanego ze strategiami adaptacji do zmian klimatu. Ponadto państwa członkowskie opracowują oceny ryzyka na szczeblu krajowym lub niższym oraz udostępniają Komisji Europejskiej tzw. streszczenie istotnych elementów tych ocen.

– Posiadanie planów zarządzania ryzykiem jest o tyle istotne, iż są one niezbędne do spełnienia tzw. warunkowości ex ante w perspektywie finansowej UE na lata 2021-2027, co ma przełożenie na możliwość pozyskiwania środków finansowych w ramach polityki spójności z Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego Plus, Funduszu Spójności oraz Europejskiego Funduszu Morskiego i Rybackiego. Opracowanie dokumentów planistycznych w obszarze zarządzania ryzykiem jest bowiem bezpośrednio powiązane z jednym z warunków podstawowych perspektywy finansowej, który mówi o „osiągnięciu skutecznych ram zarządzania ryzykiem”. Wskazuje się wprost na konieczność opracowania planu zarządzania ryzykiem na szczeblu krajowym lub regionalnym, powiązanego ze strategiami adaptacji do zmian klimatu. Ponadto państwa członkowskie opracowują oceny ryzyka na szczeblu krajowym lub niższym oraz udostępniają Komisji Europejskiej tzw. streszczenie istotnych elementów tych ocen – informują twórcy ustawy.

– Obowiązujące obecnie w tym obszarze regulacje ustawy z dnia 26 kwietnia 2007 roku o zarządzaniu kryzysowym nie pozwalają w pełni odzwierciedlać w planach zarządzania kryzysowego kwestii dotyczących zarządzania ryzykiem. Istnieje zatem konieczność opracowywania planów zarządzania ryzykiem, na szczeblu krajowym lub odpowiednio niższym, wskazanie podmiotów odpowiedzialnych za ich opracowanie, zakresu merytorycznego takiego planu oraz określenie cyklu planowania – czytamy.

Cel to także wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE zwaną dalej „dyrektywą CER”. Celem ustawy jest także zapewnienie ciągłości świadczenia usług kluczowych realizowanych w sektorach lub podsektorach wskazanych w dyrektywie CER, a także identyfikacja usług kluczowych świadczonych przez operatorów infrastruktury krytycznej z uwzględnieniem potencjalnych skutków zakłócenia zarówno w odniesieniu do funkcjonowania państwa jak i społeczeństwa. To także minimalizacja skutków zakłócenia poprzez wprowadzenie procesów oceny i zarządzania ryzykiem oraz uwzględnienie zadań związanych z ochroną usług kluczowych i infrastruktury krytycznej o szczególnym znaczeniu europejskim. Cel to również modyfikacja obecnych rozwiązań dotyczących infrastruktury krytycznej jako niezbędnych elementów świadczenia usług kluczowych.

– Przewiduje się nowe kryteria umożliwiające identyfikację obiektów, instalacji oraz urządzeń jako infrastruktury krytycznej, a tym samym wyłaniania operatorów infrastruktury krytycznej (właściciel lub posiadacz takiej infrastruktury). Jednocześnie z kryteriami zostaną wskazani ministrowie kierujący działami administracji rządowej, którzy będą odpowiedzialni za infrastrukturę krytyczną w poszczególnych sektorach – czytamy dalej. – Zostanie dokonany podział na infrastrukturę krytyczną, której zniszczenie lub zakłócenie będzie miało niekorzystny wpływ na: 1) funkcjonowanie państwa i zaspokojenia potrzeb obywateli;

2) zaspokojenie potrzeb lokalnych społeczności danego województwa. Dodatkowo kryteria będą dotyczyły znaczenia infrastruktury krytycznej dla świadczenia usług kluczowych – jest napisane w opisie ustawy. – W celu zapewnienia właściwego poziomu ochrony infrastruktury krytycznej przewiduje się wprowadzenie minimalnych standardów w obszarach bezpieczeństwa fizycznego, technicznego, osobowego, teleinformatycznego, prawnego oraz zapewnienia planów ciągłości działania i odtwarzania.

– Rada Ministrów określi w drodze rozporządzenia wykaz usług kluczowych w poszczególnych sektorach lub podsektorach, wskazując jednocześnie kategorie podmiotów mogących świadczyć usługi oraz tzw. „progi istotności” skutku zakłócającego daną usługę. Usługi kluczowe, co do zasady, będą realizowane przez operatorów infrastruktury krytycznej, za pomocą posiadanej przez nich infrastruktury. Niemniej jednak aby operator infrastruktury krytycznej uzyskał status podmiotu krytycznego – konieczne jest przeprowadzenie jego identyfikacji w oparciu o ww. rozporządzenie Rady Ministrów – czytamy dalej.

– W celu jak najlepszego doboru działań zmierzających do identyfikacji podmiotów krytycznych, zbudowania ich odporności i zapewnienia niezakłóconego świadczenia usług kluczowych – opracowany zostanie, na szczeblu krajowym, dokument o charakterze strategicznym. Strategia określi cele i priorytety w zakresie zapewnienia niezakłóconego świadczenia usług kluczowych przez podmioty krytyczne i operatorów infrastruktury krytycznej jak również określi wszelkie niezbędne zakresy działań oraz formy działań służące osiąganiu tych celów. Strategia wskaże również podmioty właściwe do realizacji postanowień strategii oraz określi ich role – piszą autorzy.

Przewiduje się nowe kryteria umożliwiające identyfikację obiektów, instalacji oraz urządzeń jako infrastruktury krytycznej, a tym samym wyłaniania operatorów infrastruktury krytycznej (właściciel lub posiadacz takiej infrastruktury). Jednocześnie z kryteriami zostaną wskazani ministrowie kierujący działami administracji rządowej, którzy będą odpowiedzialni za infrastrukturę krytyczną w poszczególnych sektorach. Zostanie dokonany podział na infrastrukturę krytyczną, której zniszczenie lub zakłócenie będzie miało niekorzystny wpływ na:
1) funkcjonowanie państwa i zaspokojenia potrzeb obywateli;
2) zaspokojenie potrzeb lokalnych społeczności danego województwa.
Dodatkowo kryteria będą dotyczyły znaczenia infrastruktury krytycznej dla świadczenia usług kluczowych.

W celu zapewnienia właściwego poziomu ochrony infrastruktury krytycznej przewiduje się wprowadzenie minimalnych standardów w obszarach bezpieczeństwa fizycznego, technicznego, osobowego, teleinformatycznego, prawnego oraz zapewnienia planów ciągłości działania i odtwarzania.

Rada Ministrów określi w drodze rozporządzenia wykaz usług kluczowych w poszczególnych sektorach lub podsektorach, wskazując jednocześnie kategorie podmiotów mogących świadczyć usługi oraz tzw. „progi istotności” skutku zakłócającego daną usługę. Usługi kluczowe, co do zasady, będą realizowane przez operatorów infrastruktury krytycznej, za pomocą posiadanej przez nich infrastruktury. Niemniej jednak, aby operator infrastruktury krytycznej uzyskał status podmiotu krytycznego – konieczne jest przeprowadzenie jego identyfikacji w oparciu o ww. rozporządzenie Rady Ministrów.

– W celu jak najlepszego doboru działań zmierzających do identyfikacji podmiotów krytycznych, zbudowania ich odporności i zapewnienia niezakłóconego świadczenia usług kluczowych – opracowany zostanie, na szczeblu krajowym, dokument o charakterze strategicznym. Strategia określi cele i priorytety w zakresie zapewnienia niezakłóconego świadczenia usług kluczowych przez podmioty krytyczne i operatorów infrastruktury krytycznej jak również określi wszelkie niezbędne zakresy działań oraz formy działań służące osiąganiu tych celów. Strategia wskaże również podmioty właściwe do realizacji postanowień strategii oraz określi ich role – czytamy w opisie.

– Wskazane zostaną zadania podmiotu publicznego lub prywatnego, który wraz z uzyskaniem statusu podmiotu krytycznego będzie zobowiązany m.in. do: 1) przeprowadzenia oceny ryzyka świadczonej usługi kluczowej; 2) wdrożenia odpowiednich i proporcjonalnych do wyników oceny ryzyka rozwiązań organizacyjno-technicznych, dotyczących bezpieczeństwa świadczonej usługi (w tym infrastruktury krytycznej, za pomocą której świadczona jest usługa kluczowa), z uwzględnieniem polskich norm; 3) wyznaczenia tzw. osób odpowiedzialnych za utrzymanie kontaktów z właściwymi organami do spraw podmiotów krytycznych oraz zapewnienie im organizacyjnych warunków realizacji funkcji.

– Przewiduje się wyznaczenie organów do spraw podmiotów krytycznych (wybrani ministrowie kierujący działami administracji rządowej), które będą; 1) prowadzić identyfikację podmiotów krytycznych oraz ujmować je w wykazach; 2) prowadzić wykazy oraz aktualizować te wykazy; 3) dokonywać audytu i kontroli podmiotów krytycznych w zakresie realizacji ich obowiązków; 4) nakładać kary na podmioty krytyczne.

Organ odpowiedzialny za opracowanie dokumentu to dyrektor Rządowego Centrum Bezpieczeństwa. Planowany termin przyjęcia projektu przez rząd to trzeci kwartał 2024 roku. Jest na etapie opiniowania.

Kancelaria Premiera / Wojciech Jakóbik

Jakóbik: Kryzys energetyczny słabnie, ale już są nowe zagrożenia

Projekt zmian ustawy o zarządzaniu kryzysowym trafił do opiniowania pod numerem UC47. Wdraża dyrektywę unijną pozwalającą zarządzać ryzykiem w odniesieniu do infrastruktury krytycznej zagrożonej atakami po inwazji Rosji na Ukrainie. Powstanie specjalna strategia.

– Posiadanie planów zarządzania ryzykiem jest o tyle istotne, iż są one niezbędne do spełnienia tzw. warunkowości ex ante w perspektywie finansowej UE na lata 2021-2027, co ma przełożenie na możliwość pozyskiwania środków finansowych w ramach polityki spójności z Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego Plus, Funduszu Spójności oraz Europejskiego Funduszu Morskiego i Rybackiego – czytamy w opisie aktu. – Opracowanie dokumentów planistycznych w obszarze zarządzania ryzykiem jest bowiem bezpośrednio powiązane z jednym z warunków podstawowych perspektywy finansowej, który mówi o „osiągnięciu skutecznych ram zarządzania ryzykiem”. Wskazuje się wprost na konieczność opracowania planu zarządzania ryzykiem na szczeblu krajowym lub regionalnym, powiązanego ze strategiami adaptacji do zmian klimatu. Ponadto państwa członkowskie opracowują oceny ryzyka na szczeblu krajowym lub niższym oraz udostępniają Komisji Europejskiej tzw. streszczenie istotnych elementów tych ocen.

– Posiadanie planów zarządzania ryzykiem jest o tyle istotne, iż są one niezbędne do spełnienia tzw. warunkowości ex ante w perspektywie finansowej UE na lata 2021-2027, co ma przełożenie na możliwość pozyskiwania środków finansowych w ramach polityki spójności z Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego Plus, Funduszu Spójności oraz Europejskiego Funduszu Morskiego i Rybackiego. Opracowanie dokumentów planistycznych w obszarze zarządzania ryzykiem jest bowiem bezpośrednio powiązane z jednym z warunków podstawowych perspektywy finansowej, który mówi o „osiągnięciu skutecznych ram zarządzania ryzykiem”. Wskazuje się wprost na konieczność opracowania planu zarządzania ryzykiem na szczeblu krajowym lub regionalnym, powiązanego ze strategiami adaptacji do zmian klimatu. Ponadto państwa członkowskie opracowują oceny ryzyka na szczeblu krajowym lub niższym oraz udostępniają Komisji Europejskiej tzw. streszczenie istotnych elementów tych ocen – informują twórcy ustawy.

– Obowiązujące obecnie w tym obszarze regulacje ustawy z dnia 26 kwietnia 2007 roku o zarządzaniu kryzysowym nie pozwalają w pełni odzwierciedlać w planach zarządzania kryzysowego kwestii dotyczących zarządzania ryzykiem. Istnieje zatem konieczność opracowywania planów zarządzania ryzykiem, na szczeblu krajowym lub odpowiednio niższym, wskazanie podmiotów odpowiedzialnych za ich opracowanie, zakresu merytorycznego takiego planu oraz określenie cyklu planowania – czytamy.

Cel to także wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE zwaną dalej „dyrektywą CER”. Celem ustawy jest także zapewnienie ciągłości świadczenia usług kluczowych realizowanych w sektorach lub podsektorach wskazanych w dyrektywie CER, a także identyfikacja usług kluczowych świadczonych przez operatorów infrastruktury krytycznej z uwzględnieniem potencjalnych skutków zakłócenia zarówno w odniesieniu do funkcjonowania państwa jak i społeczeństwa. To także minimalizacja skutków zakłócenia poprzez wprowadzenie procesów oceny i zarządzania ryzykiem oraz uwzględnienie zadań związanych z ochroną usług kluczowych i infrastruktury krytycznej o szczególnym znaczeniu europejskim. Cel to również modyfikacja obecnych rozwiązań dotyczących infrastruktury krytycznej jako niezbędnych elementów świadczenia usług kluczowych.

– Przewiduje się nowe kryteria umożliwiające identyfikację obiektów, instalacji oraz urządzeń jako infrastruktury krytycznej, a tym samym wyłaniania operatorów infrastruktury krytycznej (właściciel lub posiadacz takiej infrastruktury). Jednocześnie z kryteriami zostaną wskazani ministrowie kierujący działami administracji rządowej, którzy będą odpowiedzialni za infrastrukturę krytyczną w poszczególnych sektorach – czytamy dalej. – Zostanie dokonany podział na infrastrukturę krytyczną, której zniszczenie lub zakłócenie będzie miało niekorzystny wpływ na: 1) funkcjonowanie państwa i zaspokojenia potrzeb obywateli;

2) zaspokojenie potrzeb lokalnych społeczności danego województwa. Dodatkowo kryteria będą dotyczyły znaczenia infrastruktury krytycznej dla świadczenia usług kluczowych – jest napisane w opisie ustawy. – W celu zapewnienia właściwego poziomu ochrony infrastruktury krytycznej przewiduje się wprowadzenie minimalnych standardów w obszarach bezpieczeństwa fizycznego, technicznego, osobowego, teleinformatycznego, prawnego oraz zapewnienia planów ciągłości działania i odtwarzania.

– Rada Ministrów określi w drodze rozporządzenia wykaz usług kluczowych w poszczególnych sektorach lub podsektorach, wskazując jednocześnie kategorie podmiotów mogących świadczyć usługi oraz tzw. „progi istotności” skutku zakłócającego daną usługę. Usługi kluczowe, co do zasady, będą realizowane przez operatorów infrastruktury krytycznej, za pomocą posiadanej przez nich infrastruktury. Niemniej jednak aby operator infrastruktury krytycznej uzyskał status podmiotu krytycznego – konieczne jest przeprowadzenie jego identyfikacji w oparciu o ww. rozporządzenie Rady Ministrów – czytamy dalej.

– W celu jak najlepszego doboru działań zmierzających do identyfikacji podmiotów krytycznych, zbudowania ich odporności i zapewnienia niezakłóconego świadczenia usług kluczowych – opracowany zostanie, na szczeblu krajowym, dokument o charakterze strategicznym. Strategia określi cele i priorytety w zakresie zapewnienia niezakłóconego świadczenia usług kluczowych przez podmioty krytyczne i operatorów infrastruktury krytycznej jak również określi wszelkie niezbędne zakresy działań oraz formy działań służące osiąganiu tych celów. Strategia wskaże również podmioty właściwe do realizacji postanowień strategii oraz określi ich role – piszą autorzy.

Przewiduje się nowe kryteria umożliwiające identyfikację obiektów, instalacji oraz urządzeń jako infrastruktury krytycznej, a tym samym wyłaniania operatorów infrastruktury krytycznej (właściciel lub posiadacz takiej infrastruktury). Jednocześnie z kryteriami zostaną wskazani ministrowie kierujący działami administracji rządowej, którzy będą odpowiedzialni za infrastrukturę krytyczną w poszczególnych sektorach. Zostanie dokonany podział na infrastrukturę krytyczną, której zniszczenie lub zakłócenie będzie miało niekorzystny wpływ na:
1) funkcjonowanie państwa i zaspokojenia potrzeb obywateli;
2) zaspokojenie potrzeb lokalnych społeczności danego województwa.
Dodatkowo kryteria będą dotyczyły znaczenia infrastruktury krytycznej dla świadczenia usług kluczowych.

W celu zapewnienia właściwego poziomu ochrony infrastruktury krytycznej przewiduje się wprowadzenie minimalnych standardów w obszarach bezpieczeństwa fizycznego, technicznego, osobowego, teleinformatycznego, prawnego oraz zapewnienia planów ciągłości działania i odtwarzania.

Rada Ministrów określi w drodze rozporządzenia wykaz usług kluczowych w poszczególnych sektorach lub podsektorach, wskazując jednocześnie kategorie podmiotów mogących świadczyć usługi oraz tzw. „progi istotności” skutku zakłócającego daną usługę. Usługi kluczowe, co do zasady, będą realizowane przez operatorów infrastruktury krytycznej, za pomocą posiadanej przez nich infrastruktury. Niemniej jednak, aby operator infrastruktury krytycznej uzyskał status podmiotu krytycznego – konieczne jest przeprowadzenie jego identyfikacji w oparciu o ww. rozporządzenie Rady Ministrów.

– W celu jak najlepszego doboru działań zmierzających do identyfikacji podmiotów krytycznych, zbudowania ich odporności i zapewnienia niezakłóconego świadczenia usług kluczowych – opracowany zostanie, na szczeblu krajowym, dokument o charakterze strategicznym. Strategia określi cele i priorytety w zakresie zapewnienia niezakłóconego świadczenia usług kluczowych przez podmioty krytyczne i operatorów infrastruktury krytycznej jak również określi wszelkie niezbędne zakresy działań oraz formy działań służące osiąganiu tych celów. Strategia wskaże również podmioty właściwe do realizacji postanowień strategii oraz określi ich role – czytamy w opisie.

– Wskazane zostaną zadania podmiotu publicznego lub prywatnego, który wraz z uzyskaniem statusu podmiotu krytycznego będzie zobowiązany m.in. do: 1) przeprowadzenia oceny ryzyka świadczonej usługi kluczowej; 2) wdrożenia odpowiednich i proporcjonalnych do wyników oceny ryzyka rozwiązań organizacyjno-technicznych, dotyczących bezpieczeństwa świadczonej usługi (w tym infrastruktury krytycznej, za pomocą której świadczona jest usługa kluczowa), z uwzględnieniem polskich norm; 3) wyznaczenia tzw. osób odpowiedzialnych za utrzymanie kontaktów z właściwymi organami do spraw podmiotów krytycznych oraz zapewnienie im organizacyjnych warunków realizacji funkcji.

– Przewiduje się wyznaczenie organów do spraw podmiotów krytycznych (wybrani ministrowie kierujący działami administracji rządowej), które będą; 1) prowadzić identyfikację podmiotów krytycznych oraz ujmować je w wykazach; 2) prowadzić wykazy oraz aktualizować te wykazy; 3) dokonywać audytu i kontroli podmiotów krytycznych w zakresie realizacji ich obowiązków; 4) nakładać kary na podmioty krytyczne.

Organ odpowiedzialny za opracowanie dokumentu to dyrektor Rządowego Centrum Bezpieczeństwa. Planowany termin przyjęcia projektu przez rząd to trzeci kwartał 2024 roku. Jest na etapie opiniowania.

Kancelaria Premiera / Wojciech Jakóbik

Jakóbik: Kryzys energetyczny słabnie, ale już są nowe zagrożenia

Najnowsze artykuły