Prezydent podpisał nowelizację ustawy o zarządzaniu kryzysowym

Prezydent Karol Nawrocki podpisał przyjętą przez parlament ustawę o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw. Nowe przepisy znacząco rozszerzają krajowy system bezpieczeństwa i wprowadzają szereg nowych obowiązków dla operatorów infrastruktury krytycznej, administracji publicznej oraz służb mundurowych. Ustawa wejdzie w życie po 14 dniach od dnia jej ogłoszenia w Dzienniku Ustaw.

Dokument wdraża unijną dyrektywę CER, której celem jest zmniejszenie podatności podmiotów krytycznych na zagrożenia oraz wzmocnienie ich fizycznej odporności.

Kogo obejmą nowe regulacje?

Dokument obejmuje obowiązkowe audyty bezpieczeństwa, nowe regulacje dotyczące ochrony infrastruktury krytycznej i łańcuchów dostaw, utworzenie Centrum Bezpieczeństwa Morskiego oraz rozszerzenie kompetencji służb wobec bezzałogowych systemów, takich jak drony. Przepisy przewidują przygotowanie Krajowej Oceny Ryzyka, rozwój systemów alarmowania oraz lepszą koordynację działań administracji i służb odpowiedzialnych za bezpieczeństwo.

Ustawa wprowadza również pojęcie „dostawcy krytycznego” – podmiotu dostarczającego produkty, technologie lub usługi, których zakłócenie mogłoby zakłócić działanie infrastruktury krytycznej. Jak wskazują ustawodawcy, dokument ma być odpowiedzią na rosnące zagrożenia związane z awariami infrastruktury, cyberatakami, sabotażem czy sytuacjami kryzysowymi, które mogą sparaliżować funkcjonowanie państwa.

Operatorzy infrastruktury krytycznej będą zobowiązani do identyfikacji dostawców krytycznych, prowadzenia ich rejestrów, regularnej oceny ryzyka, przygotowania planów awaryjnych umożliwiających szybkie zastąpienie kluczowego dostawcy.

Nowymi regulacjami zostaną objęte nie tylko podmioty infrastruktury krytycznej, ale również firmy technologiczne, podwykonawcy oraz dostawcy usług teleinformatycznych współpracujący z administracją publiczną i strategicznymi sektorami gospodarki.

Służby otrzymają nowe kompetencje

Istotnym elementem nowelizacji jest rozszerzenie uprawnień służb mundurowych. Policja, Straż Graniczna, Służba Ochrony Państwa oraz Żandarmeria Wojskowa będą mogły przejmować, unieruchamiać, a w razie potrzeby także niszczyć bezzałogowe obiekty stwarzające zagrożenie dla infrastruktury krytycznej. Nowe przepisy obejmują nie tylko drony powietrzne, lecz również bezzałogowe jednostki lądowe i nawodne.

Ustawa przewiduje także możliwość wykorzystywania urządzeń zakłócających sygnały pozycjonowania oraz łączność operatorów bezzałogowców. Dodatkowo minister spraw wewnętrznych i administracji otrzyma uprawnienia do ingerowania w sposób działania systemów antydronowych, jeśli będzie to konieczne dla bezpieczeństwa państwa lub funkcjonowania Systemu Bezpiecznej Łączności Państwowej.

Nowe przepisy zakładają również utworzenie Centrum Bezpieczeństwa Morskiego, odpowiedzialnego za ochronę strategicznej infrastruktury na Morzu Bałtyckim. Pod jego nadzorem znajdą się m.in. porty, gazociągi, kable światłowodowe, infrastruktura energetyczna oraz morskie farmy wiatrowe. Koordynacją działalności centrum zajmie się Straż Graniczna, a sama jednostka będzie funkcjonować przez całą dobę.

W skład Centrum Bezpieczeństwa Morskiego wejdą przedstawiciele m.in. Ministerstwa Obrony Narodowej, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Policji, Państwowej Straży Pożarnej, Krajowej Administracji Skarbowej, administracji morskiej oraz operatorów infrastruktury krytycznej.

Znacząco wzrośnie także rola Rządowego Centrum Bezpieczeństwa. Dyrektor RCB będzie odpowiadał za przygotowanie Krajowej Oceny Ryzyka oraz Krajowej Strategii Odporności Podmiotów Krytycznych. Dokumenty te mają być kierowane do Rady Ministrów co najmniej raz na trzy lata.

Obowiązkowe audyty bezpieczeństwa

Jedną z najważniejszych części dokumentu są nowe przepisy dotyczące audytów bezpieczeństwa. Podmioty krytyczne będą zobowiązane do przeprowadzania kompleksowych audytów co najmniej raz na trzy lata i finansowania ich z własnych środków. Kontrole obejmą między innymi bezpieczeństwo informacji, ochronę fizyczną infrastruktury czy odporność systemów teleinformatycznych. W razie pojawienia się incydentu istotnego organ nadzorczy będzie mógł nakazać przeprowadzenie dodatkowego audytu zewnętrznego.

Nowe prawo zaostrzyło również przepisy dotyczące niezależności audytorów. Osoby wcześniej uczestniczące we wdrażaniu procedur bezpieczeństwa w danym podmiocie nie będą mogły prowadzić jego audytu przez okres dwóch lat.

Nowelizacja przewiduje również organizowanie regularnych testów odporności systemu bezpieczeństwa państwa. Administracja publiczna będzie mogła prowadzić krajowe i międzysektorowe ćwiczenia sprawdzające skuteczność procedur reagowania kryzysowego oraz ciągłość działania instytucji i infrastruktury krytycznej.