+ 48 730 668 341
biuro@multicert.pl
Facebook Twitter Linkedin
Dyrektywa CER: Nowe wyzwania dla ochrony infrastruktury krytycznej w UE i Polsce

Dyrektywa CER: Nowe wyzwania dla ochrony infrastruktury krytycznej w UE i Polsce

2024-12-03

Dyrektywa w sprawie odporności podmiotów krytycznych (CER - Critical Entities Resilience) to kluczowa inicjatywa Unii Europejskiej mająca na celu wzmocnienie bezpieczeństwa i odporności infrastruktury krytycznej w państwach członkowskich. Weszła ona w życie 16 stycznia 2023 roku, zastępując wcześniejszą dyrektywę z 2008 roku dotyczącą europejskiej infrastruktury krytycznej.
Główne założenia dyrektywy CER
Dyrektywa CER znacząco rozszerza zakres ochrony infrastruktury krytycznej z dwóch do jedenastu sektorów, obejmując:

  • Energetykę
  • Transport
  • Bankowość
  • Infrastrukturę rynków finansowych
  • Ochronę zdrowia
  • Wodę pitną
  • Ścieki
  • Infrastrukturę cyfrową
  • Administrację publiczną
  • Przestrzeń kosmiczną
  • Produkcję, przetwarzanie i dystrybucję żywności

Głównym celem dyrektywy jest zwiększenie odporności podmiotów obsługujących infrastrukturę krytyczną na różnorodne zagrożenia, takie jak klęski żywiołowe, ataki terrorystyczne, zagrożenia wewnętrzne czy sabotaż.
Obowiązki państw członkowskich
Dyrektywa nakłada na państwa członkowskie UE szereg nowych obowiązków:

  • Przeprowadzenie kompleksowej analizy ryzyka
  • Wyznaczenie podmiotów krytycznych
  • Przyjęcie strategii wzmacniającej odporność podmiotów krytycznych
  • Wyznaczenie organu odpowiedzialnego za wdrażanie dyrektywy na szczeblu krajowym
  • Wymagania dla podmiotów krytycznych
  • Podmioty uznane za krytyczne będą zobowiązane do:
  • Wdrożenia odpowiednich środków technicznych, bezpieczeństwa i organizacyjnych
  • Ochrony infrastruktury niezbędnej do utrzymania usług kluczowych
  • Przeprowadzania regularnych audytów bezpieczeństwa
  • Raportowania incydentów do właściwych organów

Stan wdrożenia w Polsce
Polska, podobnie jak 23 inne państwa członkowskie UE, nie zdołała wdrożyć przepisów dyrektywy CER w wyznaczonym terminie do 17 października 2024 roku. W związku z tym Komisja Europejska wszczęła postępowanie w sprawie uchybienia zobowiązaniom państwa członkowskiego, wysyłając do Polski formalne zawiadomienie.
Polska ma teraz dwa miesiące na udzielenie odpowiedzi Komisji Europejskiej, wyjaśnienie przyczyn opóźnienia oraz przedstawienie planu szybkiego wdrożenia dyrektywy. W przypadku braku satysfakcjonującej odpowiedzi, Komisja może podjąć dalsze kroki prawne, włącznie ze skierowaniem sprawy do Trybunału Sprawiedliwości UE.
Wyzwania dla polskiego rynku
Implementacja dyrektywy CER będzie miała znaczący wpływ na różne sektory gospodarki w Polsce, w tym na rynek obsługi gotówki. Podmioty krytyczne będą musiały spełnić szereg nowych wymagań, takich jak:

  • Wdrożenie kompleksowych systemów zarządzania ryzykiem
  • Zapewnienie bezpieczeństwa fizycznego i cybernetycznego
  • Opracowanie planów ciągłości działania
  • Przeprowadzanie regularnych audytów i certyfikacji

Firmy współpracujące z podmiotami krytycznymi również będą musiały dostosować się do nowych wymogów, co może obejmować uzyskanie odpowiednich certyfikatów i poświadczeń bezpieczeństwa.
Powiązanie z normą ISO 22316
Warto zauważyć, że dyrektywa CER jest komplementarna z normą ISO 22316:2017, która dotyczy odporności organizacyjnej. Wdrożenie tej normy może pomóc podmiotom krytycznym w lepszym przygotowaniu się do spełnienia wymogów dyrektywy CER.
Podsumowanie
Implementacja dyrektywy CER stanowi znaczące wyzwanie dla Polski i innych państw członkowskich UE. Wymaga ona kompleksowego podejścia do ochrony infrastruktury krytycznej i zwiększenia odporności kluczowych sektorów gospodarki. Mimo opóźnień we wdrażaniu, oczekuje się, że w najbliższych latach nastąpią istotne zmiany w regulacjach i praktykach związanych z bezpieczeństwem infrastruktury krytycznej w Polsce.