Planowane zmiany w przepisach prawa dotyczących infrastruktury krytycznej

Szczegóły
Nadrzędna kategoria: Ochrona informacji
Kategoria: Prawo

W styczniu 2020 roku do Sejmu skierowany został rządowy projekt ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw1. Inicjatorem proponowanych zmian i zarazem ich wnioskodawcą było Rządowe Centrum Bezpieczeństwa. Jak podkreślono w uzasadnieniu do projektu ustawy projektowane zmiany zmierzają do wzmocnienia systemu zarządzania kryzysowego w szczególności w zakresie zarządzania ryzykiem i ochrony ludności. W dużym stopniu dotyczą one również infrastruktury krytycznej i właśnie omówieniu tych zmian zostanie poświęcony niniejszy artykuł.

23Zgodnie z pierwotnym planem nowe przepisy miały zostać przyjęte i zacząć obowiązywać jeszcze w 2020 roku. Z uwagi jednak na sytuację epidemiczną dalsze procedowanie projektu ustawy zostało znacznie spowolnione, a w pewnym momencie stanęło w miejscu. Zmiany są jednak na tyle istotne, że wskazane jest stałe monitorowanie prac sejmowych. Projekt ustawy liczy 31 stron, uzasadnienie do ustawy 32, zaś ocena skutków regulacji 8 stron. Zmiany dotyczyć mają przede wszystkim definicji infrastruktury krytycznej, tworzenia wykazów infrastruktury krytycznej, obowiązków i zadań operatorów infrastruktury krytycznej, zakresu Narodowego Programu Ochrony Infrastruktury Krytycznej oraz zawartości i sposobu sporządzania planów zarządzania kryzysowego. Najważniejsze postanowienia projektowanych przepisów zostały opisane w kolejnych rozdziałach.

Infrastruktura krytyczna

Zgodnie z aktualnym brzmieniem przepisów infrastruktura krytyczna obejmuje systemy:

  1. zaopatrzenia w energię, surowce energetyczne i paliwa,
  2. łączności,
  3. sieci teleinformatycznych,
  4. finansowe,
  5. zaopatrzenia w żywność,
  6. zaopatrzenia w wodę,
  7. ochrony zdrowia,
  8. transportowe,
  9. ratownicze,
  10. zapewniające ciągłość działania administracji publicznej,
  11. produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych2.

Jak możemy przeczytać w uzasadnieniu kwestie zbiorowego zaopatrzenia w wodę są nierozerwalnie związane z odprowadzaniem ścieków3. W związku z tym w przyszłości do infrastruktury krytycznej mają zostać zaliczane także systemy odprowadzania ścieków.

Ryzyko dla infrastruktury krytycznej

Jakkolwiek w dotychczasowych przepisach, jak również dokumentach opracowywanych na ich podstawie wielokrotnie pojawiały się odwoływania do ryzyka, jednakże nigdzie nie było wyjaśnione jak na potrzeby ustawy należy rozumieć ryzyko. W przygotowywanej nowelizacji znalazła się zarówno definicja samego ryzyka tj. „kombinacja prawdopodobieństwa wystąpienia zagrożenia oraz skutków wystąpienia zagrożenia”, jak również ryzyka dla infrastruktury krytycznej tj. „kombinacja prawdopodobieństwa wystąpienia zagrożenia lub podatności na wystąpienie zagrożenia oraz skutków wystąpienia zagrożenia”.24

Operator infrastruktury krytycznej

W przepisach pojawić się ma wreszcie legalna definicja „operatora infrastruktury krytycznej”, którym to będą tak jak dotychczas właściciele oraz posiadacze samoistni i zależni obiektów, instalacji, urządzeń lub usług infrastruktury krytycznej, które zostały ujęte w wykazie infrastruktury krytycznej. Nie na tym jednak koniec zmian w tym obszarze. Ważniejsze wydaje się bowiem uregulowanie obowiązków i zadań operatorów infrastruktury krytycznej, i tak:
w zakresie obowiązków wymienia się:

  1. opracowanie i wdrażanie, stosownie do przewidywanych zagrożeń, planów ochrony infrastruktury krytycznej;
  2. utrzymywanie własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie infrastruktury krytycznej, do czasu jej pełnego odtworzenia;
  3. zapewnienie zdolności do ochrony informacji niejawnych w związku z realizacją przedsięwzięć w zakresie ochrony infrastruktury krytycznej.

w zakresie zadań wymienia się:

  1. opracowywanie i wdrażanie planów ochrony infrastruktury krytycznej oraz bieżące monitorowanie stopnia wdrożenia planów; 
  2. sporządzanie i przekazywanie informacji w zakresie realizacji zapewnienia ochrony infrastruktury krytycznej, na żądanie:
    a) dyrektora Rządowego Centrum Bezpieczeństwa,
    b) właściwego ministra odpowiedzialnego za jeden z systemów infrastruktury krytycznej,
    c) właściwego kierownika urzędu centralnego odpowiedzialnego za jeden z systemów infrastruktury krytycznej, d) właściwego terytorialnie wojewody;
  3. zapewnienie współpracy z organami administracji publicznej oraz dyrektorem Rządowego Centrum Bezpieczeństwa przez przekazywanie i odbieranie informacji o:
    a) zdarzeniach zakłócających lub mogących zakłócić funkcjonowanie infrastruktury krytycznej,
    b) spodziewanym lub zaobserwowanym zwiększeniu zapotrzebowania na usługi lub produkty dostarczane przez operatorów infrastruktury krytycznej,
    c) spodziewanych przerwach lub zakłóceniach w dostawach usług lub produktów dostarczanych przez operatorów infrastruktury krytycznej.

Operatorzy infrastruktury krytycznej będą musieli posiadać warunki organizacyjne i techniczne do ochrony informacji niejawnych.

W większym niż dotychczas stopniu planuje się także monitorowanie poziomu bezpieczeństwa infrastruktury krytycznej. Operator infrastruktury krytycznej będzie musiał sporządzić, do dnia 31 marca każdego roku, raport o stanie ochrony infrastruktury krytycznej za rok ubiegły i przekazać go dyrektorowi Rządowego Centrum Bezpieczeństwa oraz właściwemu ministrowi odpowiedzialnemu za jeden z systemów albo właściwemu kierownikowi urzędu centralnego odpowiedzialnemu za jeden z systemów, albo właściwemu terytorialnie wojewodzie.

Koordynator ds. infrastruktury krytycznej

W systemie ochrony infrastruktury krytycznej pojawi się nowa funkcja – koordynator ds. infrastruktury krytycznej. Dotychczas, właściciele, posiadacze samoistni i zależni infrastruktury krytycznej, mieli obowiązek wyznaczenia jedynie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami właściwymi w zakresie ochrony infrastruktury krytycznej, zaś w spółkach kapitałowych lub grupach kapitałowych prowadzących działalność w sektorach energii elektrycznej, ropy naftowej oraz paliw gazowych musieli powoływać pełnomocnika do spraw ochrony infrastruktury krytycznej.

Zmiany w ustawie zakładają zobligowanie operatorów infrastruktury krytycznej do wyznaczenia koordynatorów do spraw infrastruktury krytycznej, co ma służyć realizacji zadań operatora oraz sporządzaniu corocznego raportu o stanie infrastruktury krytycznej. Projektowane przepisy stawiają również określone wymogi dla osób pełniących funkcję koordynatora, tj.:

  1. ma on być pracownikiem operatora infrastruktury krytycznej albo żołnierzem lub funkcjonariuszem pełniącym służbę w jednostce organizacyjnej będącej operatorem infrastruktury krytycznej;
  2. korzystać z pełni praw publicznych;
  3. posiadać wiedzę, umiejętności i doświadczenie w zakresie zarządzania bezpieczeństwem organizacji, z uwzględnieniem przedmiotu działalności operatora infrastruktury krytycznej;
  4. nie być skazanym prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
  5. spełnić wymagania bezpieczeństwa osobowego w zakresie dostępu do informacji niejawnych o klauzuli co najmniej „poufne” w przypadku zajmowania stanowiska koordynatora w strukturze organizacyjnej „krajowego” operatora infrastruktury krytycznej lub co najmniej „zastrzeżone” w przypadku zajmowania stanowiska koordynatora w strukturze organizacyjnej „wojewódzkiego” operatora infrastruktury krytycznej.

W strukturze organizacyjnej operatora infrastruktury krytycznej koordynator ma podlegać bezpośrednio organowi zarządzającemu.

Plany ochrony infrastruktury krytycznej

Wymagane elementy planów ochrony infrastruktury krytycznej będą teraz uregulowane w ustawie. Zgodnie z treścią nowelizacji plany zawierają:

  1. dane ogólne:
    a) obejmujące nazwę i lokalizację infrastruktury krytycznej,
    b) pozwalające zidentyfikować operatora infrastruktury krytycznej, w tym nazwę, adres i siedzibę oraz numery REGON, NIP i KRS,
    c) pozwalające zidentyfikować zarządzającego przedsiębiorstwem w imieniu operatora infrastruktury krytycznej, w tym nazwę, adres i siedzibę, numery REGON, NIP i KRS;
  2. dane infrastruktury krytycznej obejmujące:
    a) charakterystykę procesów, stosowanych technologii i podstawowe parametry techniczne,
    b) plan (mapę) z naniesieniem lokalizacji obiektów, instalacji, urządzeń lub systemu z zaznaczeniem elementów zapewniających bezpieczeństwo infrastruktury krytycznej,
    c) opis funkcjonalnych połączń z innymi obiektami, instalacjami, urządzeniami lub usługami;
  3. charakterystykę:
    a) zagrożeń i ryzyka dla infrastruktury krytycznej wraz z przewidywanymi scenariuszami rozwoju zdarzeń,
    b) zależności infrastruktury krytycznej od pozostałych systemów infrastruktury krytycznej oraz możliwości zakłócenia jej funkcjonowania w wyniku zakłóceń powstałych w pozostałych systemach infrastruktury krytycznej,
    c) organizacyjnych i technicznych elementów zapewniających bezpieczeństwo infrastruktury krytycznej,
    d) zasobów właściwych terytorialnie organów, możliwych do wykorzystania w celu ochrony infrastruktury krytycznej;
  4. warianty:
    a) działania w sytuacji zagrożenia lub zakłócenia funkcjonowania infrastruktury krytycznej,
    b) zapewnienia ciągłości funkcjonowania infrastruktury krytycznej,
    c) odtwarzania infrastruktury krytycznej;
  5. zasady współpracy z właściwymi miejscowo:
    a) centrami zarządzania kryzysowego,
    b) organami administracji publicznej.

Oczywiście operator infrastruktury krytycznej będzie mógł zawrzeć w planie ochrony infrastruktury krytycznej dodatkowe elementy, jeżeli taka potrzeba będzie wynikać ze specyfiki infrastruktury krytycznej lub charakterystyki zagrożeń.

Narodowy Program Ochrony Infrastruktury Krytycznej

W projekcie zdefiniowano nowy kształt Narodowego Programu Ochrony Infrastruktury Krytycznej określając jego następujące elementy:

  1. narodowe priorytety, cele, wymagania oraz standardy, służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej;
  2. ministrów kierujących działami administracji rządowej i kierowników urzędów centralnych odpowiedzialnych za systemy infrastruktury krytycznej;
  3. szczegółowe kryteria pozwalające wyodrębnić obiekty, instalacje, urządzenia i usługi wchodzące w skład systemów infrastruktury krytycznej, uwzględniając ich znaczenie dla funkcjonowania państwa i zaspokojenia potrzeb obywateli; 
  4. szczegółowe kryteria pozwalające wyodrębnić obiekty, instalacje, urządzenia i usługi wchodzące w skład systemów infrastruktury krytycznej na obszarze województwa, uwzględniając ich znaczenie dla funkcjonowania organów administracji publicznej oraz zaspokojenia potrzeb obywateli na obszarze województwa;
  5. wskazanie, w podziale na systemy infrastruktury krytycznej, usług kluczowych dla bezpieczeństwa państwa i jego obywateli oraz służących zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców;
  6. formy ochrony pozwalające zapewnić ciągłość funkcjonowania infrastruktury krytycznej, w szczególności w zakresie:
    a) zapewnienia bezpieczeństwa fizycznego,
    b) zapewnienia bezpieczeństwa technicznego,
    c) zapewnienia bezpieczeństwa osobowego,
    d) zapewnienia bezpieczeństwa teleinformatycznego,
    e) zapewnienia bezpieczeństwa prawnego,
    f) planów ciągłości działania i odtwarzania;
  7. propozycje wymagań, standardów lub dobrych praktyk pozwalających zapewnić ciągłość funkcjonowania infrastruktury krytycznej.

Zmianie podlegać będzie również sposób opracowywania Narodowego Programu Ochrony Infrastruktury Krytycznej i włączenie w proces także wojewodów.

Wykaz infrastruktury krytycznej

Jedną z najistotniejszych zmian będzie natomiast podział infrastruktury krytycznej na:

  • „infrastrukturę krajową” – której zniszczenie lub zakłócenie będzie miało niekorzystny wpływ na funkcjonowanie państwa i zaspokojenie potrzeb obywateli,
  • „infrastrukturę wojewódzką” – która ma znaczenie dla funkcjonowania organów administracji publicznej oraz zaspokojenia potrzeb obywateli na obszarze województwa.

W konsekwencji nie będziemy mieli jak dotychczas jednego wykazu infrastruktury krytycznej, a tworzone będą wykazy krajowej infrastruktury krytycznej oraz wykazy wojewódzkiej infrastruktury krytycznej. Za sporządzenie tych drugich wykazów będą odpowiedzialni wojewodowie. Oni też będą informować właścicieli, posiadaczy samoistnych i zależnych obiektów, instalacji, urządzeń lub usług o ujęciu w wykazie wojewódzkim oraz zatwierdzać plany ochrony infrastruktury krytycznej tejże infrastruktury.

Znaczącą zmianą będzie również to, że oprócz wykazu infrastruktury krytycznej już istniejącej, Dyrektor Rządowego Centrum Bezpieczeństwa, we współpracy z ministrami kierującymi działami administracji rządowej i kierownikami urzędów centralnych, sporządzać będzie także wykaz potencjalnej infrastruktury krytycznej, tj. wykaz obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej z podziałem na poszczególne systemy, będące wfazie projektowania lub budowy, mogące potencjalnie spełniać kryteria dla infrastruktury krytycznej. Dyrektor Rządowego Centrum Bezpieczeństwa, we współpracy z ministrami i kierownikami urzędów centralnych odpowiedzialnymi za systemy infrastruktury krytycznej, będzie przedstawiać inwestorowi informacje oraz dokumenty, pozwalające na uwzględnienie wymogów dotyczących infrastruktury krytycznej w dokumentacji projektowej lub podczas realizacji inwestycji.

Plany zarządzania kryzysowego

Ostatnia omawiana zmiana jest związana z procesem planowania w systemie zarządzania kryzysowego. Jeżeli nowe przepisy wejdą w życie nie będzie już planów zarządzania kryzysowego takich jakie znamy do tej pory. Opracowywane do tej pory plany zarządzania kryzysowego podzielone zostaną na plany zarządzania ryzykiem oraz plany reagowania kryzysowego:

  • plany zarządzania ryzykiem dotyczyć będą dwóch pierwszych faz zarządzania kryzysowego, czyli zapobiegania sytuacji kryzysowej oraz przygotowywania do przejmowania nad nią kontroli,
  • plany reagowania kryzysowego dotyczyć będą dwóch kolejnych faz zarządzania kryzysowego, czyli reagowania w przypadku wystąpienia sytuacji kryzysowej oraz jej skutków.

Zagrożenia dotyczące infrastruktury krytycznej zostaną scharakteryzowane zarówno w planach zarządzania ryzykiem oraz planach reagowania kryzysowego. W planach reagowania kryzysowego zawarte będą tak jak w dotychczasowych planach priorytety w zakresie ochrony oraz odtwarzania infrastruktury krytycznej.

Sergiusz Parszowski
Lider zespołu eksperckiego Instin.pl. Konsultant w sprawach
bezpieczeństwa i porządku publicznego, zarządzania kryzysowego
oraz bezpieczeństwa osób i obiektów. Audytor i szkoleniowiec.

1 Druk nr 203 https://www.sejm.gov.pl/sejm9.nsf/agent.xsp?symbol=RPL&Id=RM-10-6-20 
2 Art. 3 ust. 2 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym.
3 Druk nr 203, s. 39.

 

fShare
Pin It

Wyszukiwarka

pfr 350px

Facebook

Polecamy

 

prenumerata polowa 

Biuletyn Informacyjny 350x165
 

Najnowsze wydanie

Wydanie 02-2024 16-04-2024

Wydanie specjalne

Wydanie specjalne - securitech c4 20230924

Najczęściej czytane

Prenumerata

Patronaty

NODEX logo rozwiniecie

Forum Więziennictwa winieta

baner polsecure pl

 

polsecure 470x120

SECUREX grafika przewodnia 1920x1080 px

                                                                           SECURITECH konf szkol

 

pi