ENERGETYKA, RYNEK ENERGII - CIRE.pl - energetyka zaczyna dzień od CIRE
Właścicielem portalu jest ARE S.A.
ARE S.A.

SZUKAJ:



PANEL LOGOWANIA

X
Portal CIRE.PL wykorzystuje mechanizm plików cookies. Jeśli nie chcesz, aby nasz serwer zapisywał na Twoim urządzeniu pliki cookies, zablokuj ich stosowanie w swojej przeglądarce. Szczegóły.


SPONSORZY
ASSECO
PGNiG
ENEA

Polska Spółka Gazownictwa
CMS

PGE
CEZ Polska
ENERGA





MATERIAŁY PROBLEMOWE

Kluczowe problemy z zakresu ochrony infrastruktury krytycznej
16.03.2018r. 05:05

Anna Flaga-Martynek - radca prawny, partner, współzarządzająca praktyką projektów infrastrukturalnych i Magdalena Czenko - prawnik, zespół projektów infrastrukturalnych, WKB Wierciński, Kwieciński, Baehr
Infrastruktura krytyczna to systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców, w szczególności systemy: zaopatrzenia w energię, surowce energetyczne i paliwa, żywność, wodę, systemy łączności, sieci teleinformatycznych, finansowe, ochrony zdrowia, transportowe, ratownicze, zapewniające ciągłość działania administracji publicznej.

Co to jest infrastruktura krytyczna i na czym polega jej ochrona?

Infrastruktura krytyczna to systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców, w szczególności systemy: zaopatrzenia w energię, surowce energetyczne i paliwa, żywność, wodę, systemy łączności, sieci teleinformatycznych, finansowe, ochrony zdrowia, transportowe, ratownicze, zapewniające ciągłość działania administracji publicznej, produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych. O tym, czy dany obiekt należy do katalogu obiektów infrastruktury krytycznej (IK) decydują szczegółowe kryteria zapisane w niejawnym załączniku do Narodowego Programu Ochrony Infrastruktury Krytycznej.

Zgodnie z obowiązującym prawem ochrona infrastruktury krytycznej polega na podjęciu wszelkich działań zmierzających do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie.

Na kim spoczywają obowiązki ochrony obiektów IK?

Zgodnie z ustawą o zarządzaniu kryzysowym obowiązki w zakresie ochrony IK spoczywają na właścicielach oraz posiadaczach samoistnych i zależnych obiektów, instalacji lub urządzeń infrastruktury krytycznej. O tym, czy dany obiekt znajduje się w wykazie infrastruktury krytycznej decyduje Dyrektor Rządowego Centrum Bezpieczeństwa (RCB) we współpracy z właściwymi ministrami. Dyrektor RCB informuje następnie właściciela lub posiadacza IK, że jego obiekty znajdują się w wykazie. Od tego momentu na właścicielu lub posiadaczu IK spoczywają szczególne obowiązki wynikające z ustawy.

Plan Ochrony Infrastruktury Krytycznej

Podstawowym obowiązkiem operatora IK jest przygotowanie i wdrożenie planu ochrony infrastruktury krytycznej (POIK) oraz utrzymywanie własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie IK do czasu jej pełnego odtworzenia.

Szczegółowe zasady opracowania POIK oraz wytyczne dotyczące jego zawartości zawiera Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010 r. w sprawie planów ochrony infrastruktury krytycznej (Dz.U. Nr 83, poz. 542). Zgodnie z tym rozporządzeniem właściciele oraz posiadacze obiektów IK (nazywani operatorami IK) sporządzają POIK w terminie 9 miesięcy od daty otrzymania od dyrektora RCB informacji o ujęciu w wykazie - w tym terminie POIK musi zostać wysłany do pierwszego uzgodnienia (POIK podlega uzgodnieniom z organami wymienionymi w § 4 rozporządzenia). Aktualizacja POIK odbywa się w zależności od potrzeb, nie rzadziej jednak niż raz na dwa lata. Przepisy nie określają jednak, co oznacza pojęcie "w zależności od potrzeb". Przyjąć należy, że jedną z takich okoliczności jest zmiana w obowiązujących przepisach prawa, natomiast może nią być również zmiana w strukturze organizacyjnej przedsiębiorstwa.

Jakie regulacje należy wziąć pod uwagę?

Kwestie ochrony obiektów IK regulowane są nie tylko w ustawie o zarządzaniu kryzysowym, ale także w innych aktach prawnych, przykładowo w ustawie z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz. U. z 2018 r. poz. 452). Zgodnie z art. 4 tej ustawy właściciele i posiadacze obiektów, instalacji, urządzeń infrastruktury krytycznej współpracują z organami, służbami i instytucjami właściwymi w sprawach bezpieczeństwa i zarządzania kryzysowego przy realizacji działań antyterrorystycznych. Obowiązkiem operatorów obiektów IK jest m.in. niezwłoczne przekazanie Szefowi ABW informacji na temat zagrożeń o charakterze terrorystycznym dla infrastruktury krytycznej. Co istotne, cytowaną ustawą nadano ABW uprawnienie do przeprowadzania oceny bezpieczeństwa systemów teleinformatycznych m.in. obiektów infrastruktury krytycznej (art. 32a ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu - Dz. U. z 2017 r. poz. 1920 z późn. zm.).

Ważne jest także, że przepisy szczególne mogą określać dodatkowe obowiązki w zakresie bezpieczeństwa, których spełnianie nie jest związane bezpośrednio z posiadaniem statusu operatora obiektu IK (zob. np. ustawę z dnia 22 sierpnia 1997 r. o ochronie osób i mienia - Dz.U. z 2017 r. poz. 2213 z późn. zm.). Jako zasadę należy jednak przyjąć, że podmioty zobowiązane na mocy poszczególnych aktów prawnych muszą dostosować się do wszystkich nałożonych na nie obowiązków.

W tym kontekście warto także zwrócić uwagę na ustawę z dnia 18 marca 2010 r. o szczególnych uprawnieniach ministra właściwego do spraw energii oraz ich wykonywaniu w niektórych spółkach kapitałowych lub grupach kapitałowych prowadzących działalność w sektorach energii elektrycznej, ropy naftowej oraz paliw gazowych (Dz.U. z 2016 r. poz. 2012). Ustawa ta określa szczególne uprawnienia przysługujące ministrowi właściwemu do spraw energii w spółkach kapitałowych lub grupach kapitałowych, prowadzących działalność w sektorach energii elektrycznej, ropy naftowej oraz paliw gazowych, których mienie zostało ujawnione w jednolitym wykazie obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej.

Głównym uprawnieniem ministra jest prawo wyrażenia sprzeciwu wobec podjętej przez zarząd czynności prawnej, której przedmiotem jest rozporządzenie składnikami mienia, o którym mowa powyżej, stanowiące rzeczywiste zagrożenie dla funkcjonowania, ciągłości działania oraz integralności infrastruktury krytycznej. Zgodnie z art. 2 ust. 2 ustawy prawem sprzeciwu objęte są także inne uchwały wymienione w tym przepisie, jeżeli wykonanie takiej uchwały stanowiłoby rzeczywiste zagrożenie dla funkcjonowania, ciągłości działania oraz integralności infrastruktury krytycznej. Ustawa wprowadza także obowiązek powołania pełnomocnika do spraw ochrony IK, który jest pracownikiem spółki (art. 5 ustawy).

Ustawa o krajowym systemie cyberbezpieczeństwa - kolejne obowiązki dla operatorów IK?

Na wniosek Ministra Cyfryzacji trwają obecnie prace nad projektem ustawy o krajowym systemie cyberbezpieczeństwa. Zgodnie z projektowanym art. 3 krajowy system cyberbezpieczeństwa ma na celu w szczególności zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych. Za operatora usługi kluczowej może być uznany również operator infrastruktury krytycznej. W przypadku wydania odpowiedniej decyzji w tym zakresie - zgodnie z aktualnym brzmieniem projektu - operatorzy IK będący jednocześnie operatorami usług kluczowych także muszą się stosować do obowiązków wynikających z ustawy, z tym jednak zastrzeżeniem, że zatwierdzony POIK może zastępować dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych, którą trzeba utworzyć na gruncie projektowej regulacji.

Zgodnie z art. 76 projektu, właściwe organy, w terminie do 9 listopada 2018 r., przeprowadzą analizę podmiotów w sektorach wskazanych w załączniku do ustawy pod kątem ich uznania za operatorów usług kluczowych, wydadzą decyzje o uznaniu za operatorów usług kluczowych oraz przekażą ministrowi właściwemu do spraw informatyzacji wnioski o wpisanie operatorów usług kluczowych do wykazu.

Jak prawidłowo wywiązać się z obowiązków operatora IK?

Prawidłowe wykonywanie obowiązków z zakresu ochrony IK wymaga wdrożenia odpowiednich procedur na wielu poziomach struktury organizacyjnej przedsiębiorstwa, jak też w zakresie współpracy z podmiotami zewnętrznymi. Konieczne jest zagwarantowanie odpowiednich procesów edukacyjnych, zapewnienie właściwych procedur w pionach zarządzania bezpieczeństwem oraz zatrudnienie w tym zakresie kompetentnych osób, wybór strategii wdrożenia, a także weryfikacja przyjętych rozwiązań i ich aktualizacja (1).

Jednym z rodzajów bezpieczeństwa, które należy zapewnić, jest bezpieczeństwo prawne. W szczególności chodzi o: weryfikację lub wdrożenie procedur umożliwiających sprawdzenie dostawców lub podmiotów oferujących usługi dla operatora IK pod kątem jakości wykonywanych usług oraz zachowania poufności wykonywanych prac; weryfikację systemów aktów wewnętrznych pod kątem zgodności z przepisami prawa; badanie stanu prawnego obiektów i tytułów prawnych do nieruchomości.

Wprowadzenie i egzekwowanie odpowiednich procedur umożliwi z jednej strony podjęcie właściwych działań w przypadkach realnego zagrożenia, a z drugiej pozwoli na uniknięcie ewentualnych zarzutów w trakcie kontroli ze strony organów państwowych - przykładowo w latach 2015-2016 NIK prowadził audyt w wybranych przedsiębiorstwach, stwierdzając szereg nieprawidłowości, jeżeli chodzi o wykonywanie obowiązków przez operatorów infrastruktury krytycznej.

(1) Zob. Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej - dobre praktyki i rekomendacje, załącznik 1 do Narodowego Programu Ochrony Infrastruktury Krytycznej, dostępny pod adresem: http://rcb.gov.pl/wp-content/uploads/Za%C5%82%C4%85cznik-nr-1-Standardy-s%C5%82u%C5%BC%C4%85ce-zapewnieniu-sprawnego-funkcjonowania-infrastruktury-krytycznej-%E2%80%93-dobre-praktyki-i-rekomendacje.pdf [dostęp: 08.02.2018 r.]

Dodaj nowy Komentarze ( 3 )

KOMENTARZE ( 3 )

Rozwiń (Pełna treść komentarza)
Autor: max 16.03.2018r. 12:22
Jak "infrastrukturę krytyczną odetnie się od sieci (ogólnodostępnej) to i nie będzie większego zagrożenia... pełna treść komentarza
Odpowiedzi: 2 | Najnowsza odpowiedź: 21-03-2018r. 19:45 ODPOWIEDZ ZGŁOŚ DO MODERACJI
Dodaj nowy Komentarze ( 3 )

DODAJ KOMENTARZ
Redakcja portalu CIRE informuje, że publikowane komentarze są prywatnymi opiniami użytkowników portalu CIRE. Redakcja portalu CIRE nie ponosi odpowiedzialności za ich treść.

Przesłanie komentarza oznacza akceptację Regulaminu umieszczania komentarzy do informacji i materiałów publikowanych w portalu CIRE.PL
Ewentualne opóźnienie w pojawianiu się wpisanych komentarzy wynika z technicznych uwarunkowań funkcjonowania portalu. szczegóły...

Podpis:


Poinformuj mnie o nowych komentarzach w tym temacie


REKLAMA


PARTNERZY
PGNiG TERMIKA
systemy informatyczne
Clyde Bergemann Polska
PAK SERWIS Sp. z o.o.
ALMiG
Elektrix
GAZ STORAGE POLAND
GAZ-SYSTEM S.A.
Veolia
PKN Orlen SA
TGE
Tauron
DISE
BiznesAlert
Obserwatorium Rynku Paliw Alternatywnych ORPA.PL
Energy Market Observer
Innsoft



cire
©2002-2019
mobilne cire
IT BCE