O tym, że będą zmiany w ustawie o zarządzaniu kryzysowym, mówił w maju w rozmowie z InfoSecurity24.pl dyrektor Rządowego Centrum Bezpieczeństwa Zbigniew Muszyński. „Jeszcze w tym roku możemy spodziewać się nowelizacji ustawy o zarządzaniu kryzysowym, a w jej ramach redefinicji m.in. podejścia do ochrony infrastruktury krytycznej” – zapewniał dyrektor RCB.

Zmiany w ustawie, z jednej strony wynikać mają z konieczności dostosowania polskich przepisów do unijnych regulacji, z drugiej – z projektowanej obecnie ustawy o ochronie ludności. Główne założenia projektu ustawy zostały opublikowane jeszcze w maju w wykazie prac legislacyjnych Rady Ministrów. Teraz dokument ujrzał światło dzienne na stronie Rządowego Centrum Legislacji.

Krajowa Ocena Ryzyka

Jedną z najistotniejszych zmian, jakie zostały zaproponowane w projekcie ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw, to opracowanie na szczeblu centralnym dokumentu rządowego, tzw. Krajowej Oceny Ryzyka, który zastąpi obecnie funkcjonujący Raport o zagrożeniach bezpieczeństwa narodowego. „Dotychczasowe doświadczenia wykazują, że Raport o zagrożeniach bezpieczeństwa narodowego jest dokumentem nadmiernie obszernym, mającym charakter quasi cyklicznej oceny zidentyfikowanych zagrożeń, a jednocześnie nieprzekładającym się na procesy planistyczne dotyczące zarządzania ryzykiem” – czytamy w Ocenie Skutków Regulacji.

Krajowa Ocena Ryzyka będzie funkcjonalnym dokumentem zawierającym zidentyfikowane zagrożenia o różnym charakterze (naturalne, techniczne, związane z konfliktem zbrojnym w tym hybrydowe, o charakterze terrorystycznym, z obszaru cyberbezpieczeństwa, itp.) oraz ocenę ryzyk wynikających z tych zagrożeń, pozwalającą określić cele strategiczne i priorytety na rzecz ich ograniczania. Istotne jest bowiem zrozumienie, że dopiero prawidłowo przeprowadzona ocena ryzyka, identyfikuje zagrożenia i obszary, w których konieczne jest podjęcie działań, w tym zwiększenie nakładów finansowych na realizację przedsięwzięć ograniczających.
Fragment Oceny Skutków Regulacji do projektu ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw.

Według założeń Krajowa Ocena Ryzyka – w obszarze planowania cywilnego – wykorzystywana będzie „na potrzeby opracowania Krajowego Planu Zarządzania Kryzysowego oraz planów zarządzania kryzysowego ministrów, kierowników urzędów centralnych, wojewodów, jak również planów zarządzania kryzysowego na szczeblu powiatu oraz gminy”. „Każdy z planów będzie zawierał cześć obejmującą zarządzanie ryzykiem (działania w zakresie zapobiegania sytuacji kryzysowej oraz przygotowywania do jej wystąpienia) oraz cześć dotyczącą reagowania kryzysowego (działania w zakresie reagowania w przypadku wystąpienia sytuacji kryzysowej oraz usuwaniu jej skutków)” – wskazali autorzy projektu. Jak dodano, w przypadku planów na szczeblu gminnym, „ujęcie w planie zarządzania kryzysowego kwestii dotyczących zarządzania ryzykiem będzie fakultatywne”.

Jak czytamy w OSR do projektu, konieczne będzie również dostosowanie terminologii do regulacji unijnych. „Jednocześnie zostaną ujednolicone terminy cyklów planistycznych krajowych z unijnymi, gdyż obowiązujące przepisy krajowe przewidują cykl 2-letni, podczas gdy unijne regulacje wskazują na 3-letnie cykle planistyczne. Nowy cykl planistyczny będzie obejmował 3 lata” – podkreślono w dokumencie.

Wzmocnienie mechanizmów ochrony infrastruktury krytycznej

Dodatkowo projekt ustawy zakłada, że „wdrożenie rozwiązań zawartych w dyrektywie CER nie może odbyć się bez redefiniowania regulacji dotyczących infrastruktury krytycznej”. „W szczególności należy doprowadzić do niezakłóconego »przejścia« z dotychczasowych systemów infrastruktury krytycznej na sektory i podsektory, o których mówi dyrektywa. Ponadto, biorąc pod uwagę, że dyrektywa stanowi jedynie minimum harmonizacyjne, projekt zakłada nie tylko utrzymanie dotychczasowego poziomu ochrony infrastruktury krytycznej, ale również wprowadzenie dodatkowych mechanizmów zapewniających jej ochronę, nawet już na etapie jej projektowania lub budowy” – zaznaczono w OSR.

Projektowane rozwiązania mają na celu wzmocnienie mechanizmów ochrony infrastruktury krytycznej, biorąc pod uwagę, iż stanowi ona rdzeń świadczenia usług niezbędnych dla funkcjonowania państwa oraz jego obywateli. Wynikają one również z analizy przebiegu wojny w Ukrainie i pojawiających się działań o charakterze sabotażowym i hybrydowym.
Fragment Oceny Skutków Regulacji do projektu ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw.

W ramach projektu ustawy autorzy przewidują również nowe kryteria „umożliwiające identyfikację obiektów, instalacji oraz urządzeń jako infrastruktury krytycznej, a tym samym wyłaniania operatorów infrastruktury krytycznej (właściciel lub posiadacz takiej infrastruktury)”. „Jednocześnie z kryteriami zostanie wskazany mechanizm identyfikacji infrastruktury krytycznej przez ministrów kierującymi działami administracji rządowej, wojewodów oraz przez inne podmioty, w zakresie ich właściwości. Ponadto zostaną wskazane ramy współpracy na linii administracja publiczna – przedsiębiorcy, będący operatorami infrastruktury krytycznej” – czytamy w OSR.

Minimalne standardy

„W celu zapewnienia właściwego poziomu ochrony infrastruktury krytycznej przewiduje się wprowadzenie minimalnych standardów w obszarach bezpieczeństwa fizycznego, technicznego, osobowego, teleinformatycznego, prawnego oraz zapewnienia planów ciągłości działania i odtwarzania” – podkreślono w dokumencie.

W projekcie zaznaczono, że za opracowanie i wdrożenie rozwiązań w zakresie infrastruktury krytycznej uwzględniających minimalne standardy będą odpowiedzialni operatorzy infrastruktury krytycznej. „Dodatkowo operator będzie zobowiązany do opracowania i prowadzenia dokumentacji odzwierciedlającej wdrożone rozwiązania, która to dokumentacja zastąpi obecne plany ochrony infrastruktury krytycznej” – podali autorzy.

W ramach noweli przewiduje się także wprowadzenie „instytucji koordynatora do spraw ochrony infrastruktury krytycznej u operatorów infrastruktury krytycznej”. „Operatorzy infrastruktury krytycznej będą obowiązani wyznaczać osoby koordynujące działania na linii operator – organy administracji publicznej, co jest analogią do obecnie wyznaczonych tzw. osób kontaktowych, funkcjonujących u operatorów infrastruktury krytycznej” – czytamy w OSR.

Raporty o stanie ochrony infrastruktury krytycznej

Projekt ustawy wprowadza również element „weryfikujący” poziom ochrony infrastruktury krytycznej oraz stopień wdrożenia rozwiązań. Według założeń będą to raporty operatorów, które zawierać mają informacje dotyczące „funkcjonowania ochrony infrastruktury krytycznej w zakresie zapewnienia bezpieczeństwa fizycznego, technicznego, osobowego, teleinformatycznego, prawnego oraz zapewnienia planów ciągłości działania i odtwarzania”. „Raportowanie o stanie infrastruktury krytycznej w obowiązującym stanie prawnym dotyczy tylko systemu zaopatrzenia w energię, surowce energetyczne i paliwa. Dotychczas raporty te w powyżej wskazanym systemie sporządzane były z częstotliwością raz na kwartał. W odniesieniu do pozostałych systemów obowiązywało raportowanie doraźne” – uzasadnili autorzy.

Projektowane rozwiązania przewidują obowiązek okresowego raportowania przez wszystkich operatorów infrastruktury krytycznej, a cykl raportowania zostanie ujednolicony i będzie wynosił 12 miesięcy. W odniesieniu do przypadków wystąpienia incydentu naruszającego bezpieczeństwo infrastruktury krytycznej – operator zobowiązany będzie do doraźnego sporządzania raportów w tym zakresie.
Fragment Oceny Skutków Regulacji do projektu ustawy o zmianie ustawy o zarządzaniu kryzysowym oraz niektórych innych ustaw.

Jak dodano, raport o stanie ochrony infrastruktury krytycznej sporządzany będzie m.in. z „uwzględnieniem rozwiązań wdrożonych przez operatora, informacji zawartych w dokumentacji ochrony infrastruktury krytycznej”. Dokument ma również zawierać informacje o możliwości „wystąpienia zidentyfikowanych ryzyk, incydentów oraz zdarzeń, które zakłóciły lub mogły zakłócić funkcjonowanie infrastruktury krytycznej, wyników przeprowadzonych kontroli i audytów odnoszących się do zabezpieczeń infrastruktury krytycznej”.

Obecnie projekt ustawy o zarządzaniu kryzysowym trafił do konsultacji publicznych i do opiniowania. Zgodnie z pismem dyrektora Rządowego Centrum Bezpieczeństwa na zgłaszanie ewentualnych uwag instytucje mają czas do 22 lipca 2024 roku. Natomiast planowany termin przyjęcia noweli przez Radę Ministrów to trzeci kwartał 2024 roku.