Spis treści
Od lat osoby zarządzające organizacjami w sektorze publicznym i prywatnym w UE traktują odporność priorytetowo. Niestety pandemia COVID, wojna w Ukrainie i zdarzenia związane z klimatem ujawniły wady planów i zwróciły uwagę na konieczność wzmocnienia odporności. W efekcie Komisja Europejska opracowała dyrektywę w sprawie odporności podmiotów krytycznych, której wymogi państwa członkowskie są zobowiązane spełnić do 17 lipca 2026 r.
Dyrektywa ma za zadanie poprawić i ujednolicić strategie i plany odporności opracowywane przez państwa członkowskie i organizacje i zawiera wymogi, które państwa członkowskie będą musiały transponować do swoich przepisów krajowych. Do 17 lipca 2026 r. państwa członkowskie mają określić podmioty krytyczne (tj. takie, które dostarczają usługi kluczowe) i nakreślić krajowe strategie odporności, ramy szacowania ryzyka oraz inne zamierzenia, które zrealizują w dość krótkim, bo dziesięciomiesięcznym, czasie od ogłoszenia. Podmioty krytyczne w 11 sektorach określonych w Załączniku 1 do dyrektywy będą musiały podjąć szybkie działania, aby w terminie spełnić wymogi określone przez ich państwa członkowskie.
W tym artykule tłumaczymy fragmenty dyrektywy, które są najistotniejsze z perspektywy wielu interesariuszy: kierownictwa wyższego szczebla i członków zarządów w podmiotach krytycznych; właściwych organów w państwach członkowskich, tych już istniejących i przyszłych; a także osób zawodowo zajmujących się zarządzaniem ryzykiem, zapewnianiem ciągłości działania, zarządzaniem kryzysowym oraz odpornością. Do pierwszego ważnego kamienia milowego wskazanego w dyrektywie pozostał niecały rok. To, co teraz trzeba zrobić, to zachęcić podmioty i interesariuszy, których dyrektywa może dotyczyć, aby poznali wymogi i się do nich przygotowali.
Kogo dotyczy dyrektywa CER?
W załączniku do Dyrektywy mowa o sektorach, w których będą wyznaczane podmioty krytyczne po wejściu w życie przepisów. Są to następujące sektory:
- Energetyka (energia elektryczna, centralne ogrzewanie i chłodzenie, ropa, gaz, wodór)
- Transport (powietrzny, kolejowy, wodny, lądowy)
- Bankowość
- Infrastruktura rynków finansowych
- Zdrowie
- Woda pitna
- Ścieki
- Infrastruktura cyfrowa
- Administracja publiczna
- Przestrzeń kosmiczna
- Wytwarzanie, przetwarzanie i dystrybucja żywności
Dlaczego dyrektywa CER i dlaczego teraz?
Dyrektywa CER (dyrektywa (UE) nr 2022/2557) ma za zadanie zwiększyć odporność na ryzyko, które może zagrozić kluczowym usługom, niezbędnym dla prawidłowego funkcjonowania społeczeństwa i systemu gospodarczego, a dzięki temu zapewnić, że organizacje publiczne i prywatne będą w stanie dostarczyć usługi kluczowe w trakcie zakłóceń i po ich wystąpieniu.
O wydaniu dyrektywy właśnie teraz zdecydowały trzy czynniki:
1. Pandemia COVID spotęgowała ryzyko i pokazała, jak wysokie zagrożenie stanowią zdarzenia uważane za mało prawdopodobne (które prowadzą do różnego rodzaju kryzysów), jak bardzo powiązane są z sobą poszczególne sektory, a także jak bardzo potrzebne są skoordynowane mechanizmy reagowania w UE. Wszyscy mogliśmy zobaczyć, jak zakłócenia w łańcuchach dostaw wpływają na społeczeństwo i gospodarkę w różnych sektorach i krajach.
2. Komisja Europejska postanowiła rozszerzyć dotychczasowe przepisy w sprawie odporności, które do tej pory dotyczyły jednego sektora (np. finansowego) lub konkretnego problemu (np. cyberbezpieczeństwa). W dyrektywie CER dostrzeżono, że konsekwencje poważnych zakłóceń nie są tylko wirtualne, lecz dotyczą: infrastruktury, dróg, torów, elektrowni i innych obiektów wykorzystywanych w kluczowych usługach.
3. Komisja Europejska postawiła sobie za cel, aby zapewnić równe warunki konkurencji w państwach członkowskich. Może to jednak nie być łatwe ze względu na różne rozumienie pojęcia „krytyczne”. Coraz częściej organizacje podlegają różnym przepisom krajowym. Podobne podmioty są „krytyczne” w jednym państwie członkowskim, a w drugim już nie, i podlegają różnym wymogom. Taka sytuacja może prowadzić do powielania obowiązków administracyjnych, zagraża usługom krytycznym i osłabia funkcjonowanie rynku wewnętrznego. Dyrektywa odpowiada na potrzebę spójności, którą zgłaszali interesariusze i która pozwoli budować zaufanie i zapewni sprawne funkcjonowanie rynku UE. Wspiera ona również ogólny cel, jakim jest ciągła poprawa jakości życia obywateli UE.
Co trzeba wiedzieć o dyrektywie CER i co trzeba zrobić?
Oto osiem najważniejszych zapisów dyrektywy CER, które liderzy w sektorze prywatnym i publicznym powinni znać, i działania, jakie w związku z nimi trzeba podjąć.
1. Artykuł 4: Strategia w zakresie odporności podmiotów krytycznych: Każde państwo członkowskie przyjmuje strategię mającą na celu zwiększenie odporności podmiotów krytycznych, która będzie określać: cele strategiczne i priorytety (z uwzględnieniem transgranicznych i międzysektorowych zależności i współzależności); ramy zarządzania służące osiągnięciu celów strategicznych i priorytetów; środki niezbędne do zwiększenia ogólnej odporności podmiotów krytycznych oraz główne organy i odpowiednie zainteresowane strony zaangażowane we wdrażanie strategii. Państwa członkowskie będą potrzebowały praktycznych ram, aby opracować strategie harmonizacji oraz oceniać ryzyko. Mogą one bazować na dotychczasowych ramach, np. systemie zarządzania ryzykiem Komitetu Organizacji Sponsorujących Komisję Treadway’a czy ramach Międzynarodowego Konsorcjum na rzecz Odporności Organizacyjnej 2.
Wymagane działanie: Z myślą o nadchodzącej „harmonizacji” organizacje powinny wykorzystać istniejące ramy jako punkt wyjścia i na ich podstawie określić najważniejsze obszary i potrzeby organizacyjne, od których rozpoczną wzmacnianie odporności.
2. Artykuł 5: Ocena ryzyka przeprowadzana przez państwa członkowskie: Właściwe organy ocenią wszystkie istotne naturalne i spowodowane przez człowieka czynniki ryzyka, które mogą wpływać na świadczenie usług kluczowych.
Są to zagrożenia wynikające z współzależności między sektorami, w tym sektorami w innych państwach członkowskich i państwach trzecich. Państwa trzecie są szczególnie istotne dla grup transgranicznych, w których podmioty stowarzyszone działają w UE i poza jej terytorium, a także ich rzeczywistych lub potencjalnych zależności z perspektywy zarządzania łańcuchem dostaw. Podmioty krytyczne zostaną poinformowane o istotnych elementach oceny ryzyka przeprowadzanej w państwach członkowskich, a w terminie trzech miesięcy państwa członkowskie przedstawią Komisji dane i informacje na temat wyników oceny ryzyka. Ocena ryzyka przeprowadzana w państwach członkowskich będzie wymagała spójnych zasad i konkretnych metod ustalania wpływu, prawdopodobieństwa, a także zależności w sektorach i łańcuchach dostaw. Ocena będzie również podstawą zwiększania odporności i usprawniania raportowania.
Wymagane działanie: Organizacje nie powinny czekać na informacje ze strony organów krajowych, lecz same zastanowić się, jak dostosować swoje podejście do ryzyka i odporności. Już teraz można zweryfikować stosowane metody i zadbać o spójność działań.
3. Artykuł 6: Identyfikowanie podmiotów krytycznych: Dyrektywa określa daty i terminy najważniejszych kamieni milowych (Załącznik 2). Do 17 lipca 2026 r. państwa członkowskie określą podmioty krytyczne w 11 sektorach. Właściwe organy zawiadomią podmiot, że został określony jako „krytyczny”, a wymogi w zakresie odporności będą obowiązywały 10 miesięcy po zawiadomieniu. Państwo członkowskie określi podmioty krytyczne na podstawie własnej strategii zwiększania odporności oraz wyników oceny ryzyka. Państwo członkowskie uwzględni również, czy podmiot świadczy jedną usługę kluczową czy więcej takich usług, gdzie prowadzi działalność i gdzie znajduje się jego infrastruktura krytyczna. Aby określić, czy jednostka jest krytyczna, państwo członkowskie będzie potrzebowało skutecznych metod i procesów opartych na strategii harmonizacji odporności oraz ramach oceny ryzyka. Potrzebna będzie również ciągła, jasna komunikacja między właściwymi organami a podmiotami krytycznymi.
Wymagane działanie: Organizacje, które prawdopodobnie zostaną uznane za „krytyczne” powinny już teraz zwrócić uwagę na termin i kamienie milowe i podjąć niezbędne działania. Spełnienie wymogów w ciągu 10 miesięcy nie będzie łatwe.
4. Artykuł 10: Wsparcie państw członkowskich na rzecz podmiotów krytycznych: Państwa członkowskie wspierają podmioty krytyczne w zwiększaniu ich odporności. Wsparcie to może obejmować opracowywanie materiałów zawierających wytyczne, metodykę oraz szkolenia, w tym organizację ćwiczeń mających na celu sprawdzenie odporności tych podmiotów oraz promowanie mechanizmów wspierających zapewnianie dobrowolnej wymiany informacji między podmiotami krytycznymi. Państwa członkowskie mogą również przekazywać podmiotom krytycznym zasoby finansowe, jeżeli jest to uzasadnione celami interesu publicznego (i zgodne z przepisami dotyczącymi pomocy państwa obowiązującymi w UE).
Wymagane działanie: Państwa członkowskie raczej nie będą w stanie udzielić wszechstronnego wsparcia wszystkim podmiotom krytycznym, których poziom dojrzałości będzie różny. W pierwszej kolejności podmioty krytyczne powinny ocenić, w jakim stopniu spełniają wymogi zawarte w dyrektywie, przepisach krajowych, które opracowują państwa członkowskie, oraz standardach międzynarodowych. Analiza luk to podstawa wytyczenia kamieni milowych, która pomoże ustalić obszary wymagające większego lub mniejszego wsparcia ze strony państw członkowskich.
5. Artykuł 13: Środki w zakresie odporności wprowadzane przez podmioty krytyczne: Państwa członkowskie zapewniają, aby podmioty krytyczne wprowadzały odpowiednie środki przewidziane w planie zwiększania odporności lub równoważnym dokumencie, aby zapobiegać incydentom, zapewnić odpowiednią ochronę infrastruktury krytycznej, podejmować działania w odpowiedzi na skutki incydentów i umożliwić odtworzenie, a także zapewnić odpowiednie zarządzanie bezpieczeństwem pracowników. Podmioty krytyczne opracują działania, które pozwolą im dostosować się do nowych wymogów, np. zmienią własne ramy dotyczące zarządzania ryzykiem czy odporności, aby dopasować je do tych wynikających z dyrektywy, i dostosują role, obowiązki i procesy sprawozdawcze, aby spełnić wymogi mandatu regulacyjnego nadanego państwu członkowskiemu.
Wymagane działanie: Podmioty krytyczne wyznaczą osoby odpowiedzialne za zapewnienie, że wymogi zostaną spełnione. Mogą utworzyć nowe stanowisko, np. dyrektora ds. odporności, który będzie odpowiedzialny za kierowanie ogólnym podejściem organizacji do odporności i nadzór nad nim.
6. Artykuł 15: Zgłaszanie incydentów: Podmioty krytyczne dokonają wstępnego zgłoszenia incydentu, który zakłóca lub może zakłócić świadczenie usług kluczowych, w terminie 24 godzin od stwierdzenia wystąpienia incydentu, chyba że jest to niemożliwe z operacyjnego punktu widzenia. Zawiadomienie będzie zawierało informację na temat charakteru, przyczyn źródłowych i możliwych skutków incydentu, a także możliwego wpływu transgranicznego. Nie później niż miesiąc od zaistnienia incydentu podmiot krytyczny przedłoży szczegółowe sprawozdanie, w którym określi liczbę i odsetek użytkowników dotkniętych zakłóceniem, obszar geograficzny oraz czas trwania zakłócenia.
Wymagane działanie: Podmioty krytyczne zweryfikują i zmodernizują stosowane metody i narzędzia wykrywania incydentów, pomiaru wpływu i raportowania, aby dotrzymać terminów sprawozdawczych i spełnić wymogi. Prawdopodobnie do spełnienia wymogów konieczne będzie wykorzystanie technologii, dlatego odpowiednie działania trzeba będzie podjąć odpowiednio wcześniej przed terminem wyznaczonym na lipiec 2026 r.
7. Artykuł 20: Wsparcie Komisji: Komisja Europejska wspiera państwa członkowskie i podmioty krytyczne i przygotuje ogólnounijny przegląd transgranicznych i międzysektorowych czynników ryzyka, zorganizuje misje doradcze oraz ułatwi wymianę informacji. Ponadto, w porozumieniu z Grupą ds. Odporności Podmiotów Krytycznych, Komisja Europejska opracuje najlepsze praktyki, materiały zawierające wytyczne i metodyki oraz zorganizuje transgraniczne działania szkoleniowe, aby sprawdzić odporność podmiotów krytycznych.
Wymagane działanie: Podmioty krytyczne nie powinny czekać na wytyczne i już teraz budować lub poprawiać swoje relacje z interesariuszami w sektorze oraz poza granicami kraju: organizować międzysektorowe ćwiczenia, współpracę transgraniczną, fora i wymianę informacji.
8. Artykuł 21: Nadzór i egzekwowanie przepisów: Państwa członkowskie zapewniają, że właściwe organy mogą przeprowadzać kontrole na miejscu w zakresie infrastruktury krytycznej oraz budynków i terenów wykorzystywanych przez podmiot krytyczny, przeprowadzać lub zlecać audyty, a także gromadzić inne informacje niezbędne do sprawdzenia, że środki wdrożono zgodnie z przepisami krajowymi wynikającymi z dyrektywy. Ponadto, art. 22 upoważnia państwa członkowskie do ustanowienia „skutecznych, proporcjonalnych i odstraszających” sankcji mających zastosowanie w przypadku naruszeń przepisów krajowych przyjętych na podstawie niniejszej dyrektywy. Chociaż dyrektywa CER nie ma mocy wiążącej przysługującej rozporządzeniu, to wyznacza cele, które państwo członkowskie musi spełnić. O tym jak osiągnąć takie cele decyduje już samo państwo członkowskie. Dlatego państwa członkowskie opracują własne zasady (dostosowane do wytycznych i aktów wykonawczych Komisji Europejskiej) i ustanowią przepisy krajowe z uwzględnieniem minimalnych wymogów przedstawionych na poziomie UE.
Wymagane działanie: Podmioty krytyczne sprawdzą, w jakim stopniu spełniają wymogi i jakie są ich możliwości w zakresie sprawozdawczości z myślą o większych oczekiwaniach związanych z nadzorem i egzekwowaniem przepisów wynikających z dyrektywy CER.
Poza poszczególnymi przepisami oraz działaniami, które organizacje powinny rozważyć, konieczne będzie wsparcie kadry kierowniczej oraz członków zarządów podmiotów krytycznych, które zapewni osiągnięcie wyznaczonych celów i zgodność z przepisami. Od zaangażowania takich osób będzie zależało powodzenie całego przedsięwzięcia.
Zegar tyka
Państwa członkowskie i podmioty krytyczne mają mało czasu, aby wdrożyć przepisy dyrektywy CER, a dla wielu z nich implementacja dyrektywy będzie oznaczała konieczność zaangażowania istotnych zasobów. Uważamy, że wszystkie organizacje, których dyrektywa dotyczy lub może dotyczyć, powinny bezzwłocznie przystąpić do ustalenia konkretnego wpływu dyrektywy, koniecznych zasobów oraz najlepszego podejścia, które zapewni spełnienie wymogów.
Więcej informacji można uzyskać od: Alex Muravitski, Director, Crisis & Resilience Central Europe, Deloitte.