Dyrektywa CER: DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych wprowadza szereg zmian związanych z organizacją bezpieczeństwa na ich obiektach. Odrębnie od poprzedniej regulacji, w tej pojawiły się dokładnie sprecyzowane rozwiązania, które nakazują osobom odpowiedzialnym za bezpieczeństwo podmiotów krytycznych przeprowadzenie konkretnych czynności. „Rozdział III” dyrektywy mówi o pięciu grupach przedsięwzięć:
- Ocena ryzyka przeprowadzana przez podmioty krytyczne,
- Wdrożenie środków w zakresie odporności,
- Sprawdzanie przeszłości osób, które będą związane z odpornością podmiotów krytycznych,
- Zgłaszanie incydentów,
- Stosowanie norm i standardów międzynarodowych, adekwatnych w zakresie odporności podmiotów krytycznych.
Tych pięć grup przedsięwzięć będzie wymagane przez państwa członkowskie niezależnie od tego, czy same zdążą opracować i wdrożyć krajowe przepisy implementujące dyrektywę.
Warto też pamiętać o tym, że podejście do podmiotów krytycznych dotyczy całej Unii Europejskiej, a nie tylko naszego kraju. Oznacza to, że możemy być podmiotem krytycznym, który będzie świadczyć usługę kluczową, czy też będziemy podmiotem, który świadczy usługi na rzecz podmiotu krytycznego dla innych podmiotów lub obywateli innego państwa członkowskiego. Jak zostanie rozwiązany nadzór i ewentualne kontrole oraz kary? Na to pytanie nie znamy jeszcze odpowiedzi. Można jednak oczekiwać rozwiązań podobnych, jak w przypadku RODO, a więc wskazania organu (nadzoru czy nadzorczego), którego sprawa dotyczy. W przypadku RODO są to np. organy z państw, z których osoby korzystają z naszych serwisów. Może się okazać, że hiszpański czy niemiecki organ będzie prowadził postępowanie w sprawie podmiotu w Polsce. Oczywiście są zasady określone w naszym prawie krajowym, jak w takim przypadku należy realizować postępowania, niemniej należy mieć na uwadze cel i zakres oddziaływania prawa unijnego. Wykracza ono poza nasze granice.
Nie mamy prawa krajowego i co dalej?
W przepisach dyrektywy wskazane jest, że państwa członkowskie wprowadzają swoje przepisy krajowe z mocą obowiązywania od 18 października 2024. Oznacza to, że czasu jest stosunkowo niewiele, jak na taką ilość zadań. A podmiotów, które mogą zostać objęte nowymi obowiązkami jest naprawdę sporo. Dlatego warto już dziś pomyśleć i rozpocząć przygotowanie do wdrożeń, tym bardziej, że zakres systemu zarządzania bezpieczeństwem, czyli środki, zostały określone. Nie zmienią się one na podstawie prawa krajowego, mogą być co najwyżej doprecyzowane.
CER a NIS2 – czyli cyberbezpieczeństwo podmiotów krytycznych
Równolegle z dyrektywą CER opublikowana została dyrektywa nazywana NIS2, a więc DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej. Nakłada ona obowiązki w zakresie cyberbezpieczeństwa na podmioty uznane za kluczowe lub ważne na mocy dyrektywy NIS2. Powiązanie między tymi przepisami znajdziemy odpowiednio w art. 2, w którym wprost zapisano, że podmioty uznane za krytyczne muszą stosować również dyrektywę NIS2, niezależnie od ich wielkości. Oznacza to, że wystarczy, aby przedsiębiorstwo posiadało jedną instalację lub jedno urządzenie uznane za krytyczne, co w konsekwencji zmusza je do stosowania przepisów obu dyrektyw. Potwierdzenie znajdziemy w art. 3 ust. 1 ppkt. f.:
Artykuł 3
,,Podmioty kluczowe i ważne
1. Do celów niniejszej dyrektywy następujące podmioty uznaje się za podmioty kluczowe:
(…)
f) podmioty wskazane jako podmioty krytyczne na podstawie dyrektywy (UE) 2022/2557, o których mowa w art. 2 ust. 3 niniejszej dyrektywy;”
Holizm 2.0
Tytułem podsumowania. W dyrektywach widać wyraźnie kierunek i trend, jaki przewidzieliśmy jako zespoły eksperckie i szkoleniowe. Integracja działań w bezpieczeństwie odbywać się będzie na coraz wyższych poziomach, tu już zarządczych, tak aby systemy przestały się wzajemnie wykluczać i wzajemnie sobie przeszkadzać. Ważna jest synergia w działaniu i zrozumienie między nimi, co również wynika z motywów obu dyrektyw.
Dlaczego holizm 2.0?
Holizm 1.0 to przedsięwzięcia integrujące specjalistów bezpieczeństwa, otwierające kanały komunikacji między nimi. Zrozumienie, że zagrożeniem dla fizycznego bezpieczeństwa obiektu może być pożar, a więc wymiana informacji musi następować na poziomie managerów tych dwóch obszarów. Podobnie jest w RODO, włamanie do pomieszczenia to zagrożenie, które jest w domenie security managera, ale IOD – czyli inspektor ochrony danych bądź specjalista nie będzie wiedział o tym, jak ono jest poważne bez odpowiedniej komunikacji.
Holizm 2.0 to działanie o stopień wyżej. Integracja i koordynacja nastąpić musi na poziomie zarządów. Jest to niezbędne do wdrażania odporności w rozumieniu norm i standardów.
W każdym z nich wskazana jest taka integracja, znoszenie silosów, budowanie odporności poprzez angażowanie wszystkich działów, nie tylko tych dedykowanych do bezpieczeństwa.
W związku z tym szereg nowych przepisów unijnych należy traktować jako skok w rozwoju bezpieczeństwa, a nie kolejny przepis, który nic nie wnosi. Konieczny jest również dystans, ponieważ w przepisach widać wyraźny ślad próby podejścia prawniczego do spraw zawodowych, w których ekspertami są managerowie bezpieczeństwa, analitycy i managerowie ryzyka, specjaliści i managerowie zespołów zarządzania incydentami czy budowania planów odtworzeniowych. Po pewnych kosmetycznych zmianach, przepisy budują naprawdę wartościowe ramy zarządzania bezpieczeństwem.