EuropaWieści

Odporność krytycznych podmiotów

Projekt nowej dyrektywy wprowadza nowe pojęcie do przepisów unijnych: odporność

Editor Editor8 stycznia 2021Ostatnia aktualizacja: 8 stycznia 2021
158 3 minut czytania
Ważne
  • Unia Europejska dostrzega problem braku odporności podmiotów świadczących usługi w określonych dziedzinach. Nowa dyrektywa będzie wprowadzana w życie przez 3 lata.

Kolejny dokument opublikowany przez administrację Unii Europejskiej znalazł się w strefie naszego zainteresowania z oczywistego powodu: nakłada na administrację rządową i wskazane podmioty pewne obowiązki w sferze zarządzania ryzykiem.

W połowie grudnia, na stronach internetowych UE pojawił się projekt nowej dyrektywy:

Proposal for a Directive of the European Parliament and of the Council on the resilience of critical entities

Dwa pojęcia są tu kluczowe:

– podmioty krytyczne,

– odporność.

Definicja podmiotu krytycznego /critical entity/ jest teoretycznie bardzo prosta: jest to podmiot, który został wskazany przez władze krajowe na bazie zestawienia sektorów i podsektorów wskazanych w załączniku do (projektu) Dyrektywy. I już. Trudność polega na tym, że to poszczególne kraje będą same wskazywać (na podstawie pewnych ogólnych kryteriów) te podmioty, które będą podlegać wymaganiom określonym w Dyrektywie.

Odporność została zdefiniowana jako

zdolność do zapobiegania, opierania się, łagodzenia, absorbowania, dostosowywania się i odbudowy po incydencie, który zakłóca lub może zakłócić działalność podmiotu krytycznego.

Natomiast ryzyko, które nas szczególnie interesuje, zostało zdefiniowane następująco:

każda okoliczność lub zdarzenie, które może mieć negatywny wpływ na odporność krytycznych podmiotów (any circumstance or event having a potential adverse effect on the resilience of critical entities).

Jeżeli skonsolidujemy obie definicje, wówczas ryzyko – wedle projektu Dyrektywy – należy rozumieć jako:

każdą okoliczność lub zdarzenie, które może mieć negatywny wpływ na zdolność (podmiotu krytycznego) do zapobiegania, opierania się, łagodzenia, absorbowania, dostosowywania się i odbudowy po incydencie, który zakłóca lub może zakłócić działalność tego podmiotu.

Trochę nam się ta definicja nie podoba, ale o tym napiszemy przy innej okazji.

Projekt Dyrektywy nakłada na państwa członkowskie i podmioty krytyczne prowadzące działalność na ich terenie pewne obowiązki. Nie zamierzamy omawiać ich wszystkich, koncentrujemy się na obowiązkach podmiotów. Teoretycznie tych obowiązków nie jest dużo, chcemy zwrócić uwagę Czytelników na kilka z nich.

Ocena ryzyka

Podmioty krytyczne będą zobowiązane do przeprowadzenia – również na bazie oceny dokonanej przed administrację rządową – oceny ryzyka w terminie 6 miesięcy po otrzymaniu powiadomienia o wpisie do rejestru podmiotów krytycznych a także następnie, co najmniej raz na cztery lata (i w razie potrzeby). Ocena ryzyka winna uwzględniać zagrożenia naturalne jak i te spowodowane przez człowieka, w tym: wypadki, klęski żywiołowe, sytuacje nadzwyczajne, konflikty a także zagrożenia terrorystyczne. Ocena ta powinna uwzględniać również zależności podmiotu od zakłóceń usług innych podmiotów; zakłóceń mogących mieć potencjalny wpływ na usługi świadczone przez dany podmiot krytyczny.

Plan odporności

Podmioty krytyczne będą zobowiązane do opracowania i utrzymania planu odporności (lub równoważnego dokumentu) opisującego stosowane środki organizacyjne i techniczne mające na celu m.in.:

– zapobieganie incydentom,

– zapewnienie ochrony fizycznej wrażliwych obiektów i instalacji,

– zapewnienie bezpieczeństwa personelu,

– łagodzenie skutków zdarzeń,

– alarmowania,

– utrzymanie ciągłości działania ,

– wspieranie zarządzania kryzysowego.

Sprawdzanie przeszłości personelu lub rekrutowanych osób

Podmioty krytyczne będą miały możliwość (zapewne traktowaną jako obowiązek) do sprawdzenia (weryfikacji) – poprzez organy państwa – „historii” osób zajmujących określone stanowiska między innymi w zakresie:

– karalności

– wykształcenia

– zatrudnienia

również na bazie danych wywiadowczych.

Powiadamianie o incydentach

Podmioty, które będą podlegać regulacjom Dyrektywy będą miały obowiązek niezwłocznego powiadamiania organów państwa (i w określonych sytuacjach UE) o incydentach znacząco zakłócających lub mogących zakłócić działalność podmiotów.

No i na koniec lista kategorii podmiotów, które będą podlegać regulacjom zawartym w Dyrektywie – póki co w jej projekcie.

Sektor energetyczny

Podsektor „Elektryczność”:

  • Przedsiębiorstwa energetyczne
  • Operatorzy systemów dystrybucyjnych / przesyłowych
  • Wytwórcy
  • Nominowani operatorzy rynku energii elektrycznej
  • Uczestnicy rynku energii elektrycznej

Podsektor „Centralne ogrzewanie i chłodzenie”

  • Operatorzy systemów lokalnego ogrzewania i chłodzenia

Podsektor „Paliwowy”

  • Operatorzy rurociągów przesyłowych ropy naftowej
  • Operatorzy instalacji wydobywczych, rafineryjnych, przeróbczych, magazynowych i przesyłowych
  • Podmioty składujące ropę naftową

Podsektor „Gazowy”

  • Przedsiębiorstwa dostawcze
  • Operatorzy systemów dystrybucyjnych / przesyłowych
  • Operatorzy systemów magazynowania
  • Operatorzy systemów LNG
  • Przedsiębiorstwa gazowe
  • Operatorzy instalacji rafinacji i oczyszczania gazu ziemnego

Podsektor „Wodorowy”

  • Operatorzy produkcji, magazynowania i przesyłu wodoru

Sektor transportowy

Podsektor „Transport powietrzny”

  • Przewoźnicy lotniczy
  • Operatorzy portów lotniczych oraz podmioty obsługujące instalacje pomocnicze znajdujące się na terenie portów lotniczych
  • Operatorzy systemów kontroli zarządzania ruchem lotniczym

Podsektor „Transport szynowy”

  • Zarządcy infrastruktury
  • Przedsiębiorstwa kolejowe

Podsektor „Transport wodny”

  • Przedsiębiorstwa transportu wodnego pasażerskiego i towarowego: śródlądowego, morskiego i przybrzeżnego
  • Podmioty zarządzające portami oraz operatorzy usług ruchu statków

Podsektor „Transport drogowy”

  • Podmioty odpowiedzialne za kontrolę zarządzania ruchem
  • Operatorzy inteligentnych systemów transportowych

Sektor bankowy

  • Instytucje kredytowe

Sektor infrastruktura rynku finansowego

  • Operatorzy systemów obrotu
  • Kontrahenci centralni

Sektor zdrowia

  • Świadczeniodawcy
  • Laboratoria referencyjne UE
  • Podmioty prowadzące działalność badawczo-rozwojową w zakresie produktów leczniczych
  • Podmioty wytwarzające podstawowe produkty farmaceutyczne i preparaty farmaceutyczne
  • Podmioty wytwarzające wyroby medyczne uważane za krytyczne podczas stanu zagrożenia zdrowia publicznego

Sektor wody pitnej

  • Dostawcy i dystrybutorzy wody przeznaczonej do spożycia przez ludzi

Sektor odbioru ścieków

  • Przedsiębiorstwa zbierające, unieszkodliwiające lub oczyszczające ścieki komunalne, bytowe i przemysłowe

Sektor infrastruktury cyfrowej

  • Dostawcy internetowego punktu wymiany
  • Dostawcy usług DNS
  • Operatorzy Rejestrów nazw TLD
  • Dostawcy usług przetwarzania w chmurze
  • Dostawcy usług centrum danych
  • Dostawcy sieci dostarczania treści
  • Dostawcy usług zaufania
  • Dostawcy publicznych sieci łączności elektronicznej

Sektor administracji publicznej

  • Podmioty administracji rządowej
  • Podmioty administracji regionalnej

Sektor zarządzania przestrzenią

  • Operatorzy infrastruktury naziemnej

Zachęcamy, aby zainteresowani Czytelnicy uważnie zapoznali się z treścią załącznika do projektu Dyrektywy albowiem poszczególne podmioty zostały wskazane poprzez odesłanie do innych przepisów unijnych.

Znaczniki (tagi)
Editor Editor8 stycznia 2021Ostatnia aktualizacja: 8 stycznia 2021
158 3 minut czytania
Editor

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły

Cyberbezpieczeństwo a ERM

14 grudnia 2020

Wtorek, a więc Waszyngton i cyberbezpieczeństwo

16 marca 2021

ERM a zarządzanie ryzykiem braku zgodności

16 grudnia 2020

Komitet Bazylejski w sprawie ryzyka operacyjnego

7 kwietnia 2021