Dyrektywa CER: czego dotyczy i czy ma cokolwiek wspólnego z NIS2

Dyrektywa CER (Critical Entities Resilience Directive) dotycząca ochrony infrastruktury krytycznej została przyjęta 14 grudnia 2022 roku – tego samego dnia co dyrektywa o cyberbezpieczeństwie NIS2. Pomimo jej ogromnego znaczenia, nie cieszy się ona tak dużym zainteresowaniem mediów, opinii publicznej oraz ekspertów jak dyrektywa NIS2. Jest to tym bardziej niezrozumiałe, że zarówno dyrektywa CER, jak i NIS2, oceniane łącznie, tworzą komplementarne i spójne ramy prawno-organizacyjne w zakresie zapewnienia bezpieczeństwa, zarówno w wymiarze fizycznym, jak i cyberbezpieczeństwa, oraz ochrony kluczowych usług w państwie.

Kogo obejmuje CER?

CER obejmuje podmioty krytyczne, czyli w polskich warunkach operatorów infrastruktury krytycznej, takich jak np. operatorzy czy właściciele elektrowni, którzy świadczą kluczowe usługi w jednym z sektorów określonych w ustawie, a incydent u nich miałby istotny skutek zakłócający na świadczenie tych usług.

Ale co to oznacza w praktyce? Odpowiedzmy na kilka kluczowych pytań:

• Kim jest operator infrastruktury krytycznej? Operator infrastruktury krytycznej to właściciel obiektu lub infrastruktury uznanej za krytyczną – na przykład elektrowni czy rurociągu gazu. Decyzję o tym, co jest uznawane za infrastrukturę krytyczną i kto jest operatorem, podejmie odpowiedni organ państwowy na podstawie niejawnych kryteriów określonych przez Radę Ministrów.
• Czym jest usługa kluczowa? Usługa kluczowa to taka, która ma kluczowe znaczenie dla bezpieczeństwa państwa. Usługi te są określane dla poszczególnych sektorów (w oddzielnym rozporządzeniu). Przykłady usług kluczowych to np. wytwarzanie energii elektrycznej, przesyłanie gazu czy uzdatnianie wody.
• Czym jest istotny skutek zakłócający? Istotny skutek zakłócający to jakościowe kryterium określone oddzielnie dla każdej usługi kluczowej, które wskazuje na próg, po przekroczeniu którego mówimy o krytyczności danej usługi. Takim progiem może być np. określona liczba użytkowników.
• Kogo uznajemy za podmiot krytyczny? Podmiot krytyczny określany jest na podstawie decyzji organu państwa, który bierze pod uwagę trzy warunki (traktowane łącznie):
• Podmiot musi mieć ustalony status operatora infrastruktury krytycznej;
• Podmiot musi świadczyć jedną z usług kluczowych;
• Podmiot musi spełniać kryteria jakościowe dotyczące „istotnego skutku zakłócającego” dla danej usługi kluczowej.

Podsumowując, nie każdy operator infrastruktury krytycznej zostanie ostatecznie uznany za podmiot krytyczny. Jednak każdy, kto zostanie objęty regulacją CER, niezależnie od tego, czy jest operatorem infrastruktury krytycznej, czy podmiotem krytycznym, musi otrzymać decyzję od odpowiedniej instytucji państwowej, która określi status danej firmy lub instytucji.

To właśnie jedna z istotnych różnic pomiędzy dyrektywą CER a NIS2. W przypadku NIS2 obowiązuje bowiem zasada samoidentyfikacji, gdzie podmioty same ustalają swój status na podstawie jasno określonych w dyrektywie kryteriów, a następnie dokonują samorejestracji. Natomiast w CER ostateczną decyzję podejmuje odpowiedni organ państwowy, co zapewnia bardziej kontrolowany i formalny proces identyfikacji podmiotów krytycznych.

Podmiot krytyczny, a NIS2

Zgodnie z projektami ustaw wdrażających dyrektywy CER oraz NIS2, wszystkie podmioty krytyczne zostaną automatycznie uwzględnione w wykazie podmiotów kluczowych według NIS2.

Można to zobrazować następującym schematem:

• każdy podmiot krytyczny z CER jest jednocześnie podmiotem kluczowym w NIS2;
• nie każdy podmiot objęty dyrektywą NIS2 będzie spełniać kryteria CER.

Ten prosty wzór podkreśla złożoność i wzajemne powiązania obu dyrektyw, co ma kluczowe znaczenie dla zrozumienia ich implementacji w praktyce.

Przykład 1: Firma A jako podmiot krytyczny i kluczowy

Firma A jest właścicielem obiektu, który został uznany przez odpowiedni organ za element infrastruktury krytycznej, co czyni ją operatorem tej infrastruktury. Dodatkowo, firma A świadczy jedną z usług kluczowych w sektorze transportu. Firma A spełnia kryteria istotnego skutku zakłócającego dla tej usługi kluczowej. W wyniku tego, odpowiedni organ państwowy uznaje firmę A za podmiot krytyczny, zgodnie z zasadami i procedurą opisaną w CER.

Ponieważ firma A została uznana za podmiot krytyczny w sektorze transportu, który jest również regulowany przez dyrektywę NIS2, automatycznie staje się ona podmiotem kluczowym w rozumieniu NIS2.

Przykład 2: Firma B jako podmiot regulowany przez NIS2

Firma B, będąca średnim przedsiębiorstwem, specjalizuje się w produkcji naczep samochodowych w sektorze produkcji. Zgodnie z kryteriami określonymi w dyrektywie NIS2, firma B automatycznie zostaje uznana za podmiot regulowany przez tę dyrektywę.

Ze względu jednak na to, że sektor produkcji nie jest objęty zakresem dyrektywy CER, firma B musi spełniać jedynie wymagania wynikające z NIS2. Dzięki temu, firma B może skupić się na realizacji wymogów związanych z cyberbezpieczeństwem, nie martwiąc się o dodatkowe regulacje wynikające z CER.

Jak to przekłada się na konkretne zadania?

Istnieją wyraźne punkty styku między obiema dyrektywami. Obejmują one zadania z zakresu cyberbezpieczeństwa, współpracę z organami państwowymi oraz zgłaszanie incydentów. Szczególnie interesująca jest kwestia zgłaszania incydentów. Podmioty objęte CER będą korzystać z tego samego systemu IT, który służy dyrektywie NIS2, czyli platformy S46. Nie jest obecnie jasne, czy progi (kryteria) klasyfikacji incydentów, które muszą być zgłoszone, będą identyczne dla obu dyrektyw.

Jak to wygląda w praktyce?

Jeśli podmiot podlega zarówno dyrektywie CER, jak i NIS2, to CER ma prymat nad NIS2, ponieważ jest regulacją specjalną. W takim przypadku podmioty objęte CER realizują wymagania dotyczące np. bezpieczeństwa fizycznego czy utrzymania ciągłości działania zgodnie z dyrektywą CER, a nie NIS2. Warto wskazać, że w polskiej implementacji CER (w tym także w dokumentach pomocniczych) wskazane zostaną konkretne standardy lub środki techniczne, które będą musiały być wdrożone w organizacjach np. standardy dot. monitoringu wizyjnego, formacji ochraniającej obiekty itd. Natomiast w zakresie cyberbezpieczeństwa, muszą dostosować się do wymogów określonych w NIS2.

CER a NIS2 – podstawowe różnice

Różnice		CER	NIS2
Podmioty objęte regulacjami		Operatorzy infrastruktury krytycznej Podmioty krytyczne	Podmioty kluczowe Podmioty ważne
Kategorie sektorów		Jedna kategoria: – sektory kluczowe	Dwie kategorie: – sektory kluczowe; – sektory ważne;
Przypisane sektorów do kategorii		14 sektorów kluczowych, w tym: – zarządzanie usługami ICT; – produkcja; – wytwarzanie i dystrybucja chemikaliów; – usługi pocztowe; – gospodarowanie odpadami; – produkcja, przetwarzanie i dystrybucja żywności.	17 sektorów, w tym 10 kluczowych i 7 ważnych.   Sektory: – produkcja; – wytwarzanie i dystrybucja chemikaliów; – usługi pocztowe; – gospodarowanie odpadami; – produkcja, przetwarzanie i dystrybucja żywności; są określone jako ważne.
Identyfikacja i rejestracja podmiotów		Identyfikacja w oparciu o kryteria jakościowe wskazane w rozporządzeniu oraz dokumentach niejawnych.   Decyzja podejmowana przez odpowiednie organy ds. podmiotów krytycznych. Podmiot jest informowany o decyzji o wpisaniu do wykazu podmiotów krytycznych.	Samoidentyfikacja oraz samorejestracja podmiotów zgodnie z procedurą opisaną w ustawie.
Wysokość kar		Maksymalna kara – do 1 mln PLN	Kary zależne od kategorii podmiotów: – podmioty kluczowe – do 10 mln EUR lub 2% obrotów; – podmioty ważne – do 7 mln EUR lub 1.4% obrotów;   Maksymalna kara to 100 mln PLN
Wymagania techniczno-operacyjno-organizacyjne, czyli polityki, procesy, ludzie i technologie	Wymagana zgodność ze standardami	Konieczność uwzględnienia konkretnych standardów m.in.: – ISO27001; – ISO22301; – PN-EN 6083;	Brak odniesienia do jakichkolwiek standardów z obszaru cyberbezpieczeństwa
	Dodatkowe krajowe wymagania techniczno-organizacyjne	W rozporządzeniu zostaną określone obowiązkowe, minimalne standardy ochrony infrastruktury krytycznej.	W rozporządzeniu mogą zostać przyjęte dodatkowe wymagania dla konkretnej kategorii podmiotów np. dla danego sektora czy podsektora
	Dodatkowe unijne wymagania techniczno-organizacyjne	Brak wymagań	Podmioty będą zobligowane do wdrożenia środków określonych przez Komisję Europejską w oparciu o realizację dyspozycji do wydania aktu wykonawczego w NIS2 (zgodnie z art. 21)
	Rozpoczęcie realizacji zadań oraz wdrożenie wymagań z regulacji	Zależne od daty otrzymania informacji o tym, że jest ujęty w wykazie podmiotów krytycznych (odpowiedni organ informuje podmiot w terminie 30 dni od daty wpisania tego podmiotu do wykazu podmiotów krytycznych).	Od dnia, w którym podmiot spełni kryteria dla podmiotu kluczowego lub ważnego.   Uwaga: dla większości podmiotów będzie to dzień wejścia w życie przepisów ustawy wdrażającej NIS2.
	Regularne audyty	– obowiązkowe audyty – dla wszystkich; – pierwszy audyt po 9 miesiącach od zostania podmiotem krytycznym; – kolejne audyty co 3 lata;	– obowiązkowe audyty tylko dla podmiotów kluczowych; – pierwszy audyt po 24 miesiącach od dnia, w którym podmiot uznał, że spełnia kryteria dla podmiotu kluczowego; – kolejne audyty co 3 lata;
	Raportowanie o stanie bezpieczeństwa	Obowiązkowe raporty o stanie ochrony infrastruktury krytycznej – co roku	Brak wymagań
	Osoby kontaktowe	Wskazanie 1 osoby kontaktowej, która musi spełniać wymogi określone w ustawie (np. niekaralność)	Wyznaczenie 2 osób kontaktowych, brak wskazanych wymogów dla tych osób
Pojęcie incydentu		Szeroki zakres definicyjny, obejmujący wszelkie możliwe zagrożenia dla świadczonej usługi np. pożar, czy nieautoryzowane wejście na teren obiektu infrastruktury krytycznej.	Definicja incydentu ograniczona do kwestii incydentów dot. bezpieczeństwa systemów informacyjnych, od których zależy świadczona usługa.
Screening osobowy		– szeroki zakres pracowników objętych weryfikacją m.in. osoby pełniące kluczowe role w strukturach organizujących podmiotu np. zarząd, kierownicy działów, a także osoby, które mają lub mogą mieć fizyczny lub zdalny dostęp do np. systemów kontroli, czy obiegu informacji; – sprawdzanie pracowników pod kątem skazania za przestępstwa; – weryfikacja spoczywa na podmiocie; – pobierane są dane biometryczne od pracowników np. odciski palców, czy obrazu rogówki;	– dotyczy tylko pracowników realizujących zadania w obszarze zarządzania ryzykiem oraz zarządzania incydentami; – sprawdzanie pracowników pod kątem skazania za przestępstwa z zakresu bezpieczeństwa informacji; – dowód spoczywa na pracowniku;
Informacje niejawne		Podmioty mają obowiązek dostosowania się do wymogów ustawy o ochronie informacji niejawnych i tym samym stworzenie systemu do zarządzania tego typu informacjami. Ponadto od usługodawców także wymagać należy zdolności do ochrony informacji niejawnych (np. w postępowaniach przetargowych).	Brak wymogów.

Niejasności związane z regulacjami

Na obecnym etapie prac nad ustawami wdrażającymi obie dyrektywy, pojawia się szereg potencjalnych wątpliwości:

1. Zgłaszanie incydentów: czy uda się ujednolicić kryteria klasyfikacji incydentów, czy podmioty objęte obiema regulacjami będą musiały stosować dwie oddzielne klasyfikacje incydentów? To kluczowa kwestia, która może wpłynąć na efektywność zarządzania incydentami oraz na obciążenia administracyjne dla firm.
2. Cykliczne audyty bezpieczeństwa: czy wyniki audytów będą wzajemnie uznawane, czy podmioty objęte obiema regulacjami będą musiały przeprowadzać dwa oddzielne audyty? Wzajemne uznawanie wyników mogłoby znacząco obniżyć koszty i złożoność procesów audytowych.
3. Rozbieżności w podziale na sektory objęte obiema regulacjami: najłatwiej zobrazować na przykładzie:

Firma A jest średnim przedsiębiorstwem i świadczy usługę w sektorze gospodarowania odpadami^[1]. Zgodnie z kryteriami NIS2 jest podmiotem ważnym i w efekcie nie ma obowiązku wykonywania regularnych audytów. Jednocześnie mogłaby także zostać uznana przez odpowiedni organ za podmiot krytyczny w CER. Zgodnie z zasadą uznawania automatycznie podmiotów krytycznych z CER za podmioty kluczowe z NIS2, firma A w rezultacie zostaje podmiotem kluczowym w NIS2 i tym samym musi prowadzić regularne audyty.

4. Kary: przykładowo, czy za niezgłoszenie incydentu przez podmiot objęty obiema regulacjami otrzyma on potencjalnie dwie kary, czy jedną? A jeżeli jedną, to z której regulacji i w jakiej wysokości?

Te pytania wymagają pilnej odpowiedzi, aby podmioty mogły skutecznie przygotować się do spełnienia wymagań obu regulacji i uniknąć niepotrzebnych komplikacji.

---

^[1] Gospodarowanie odpadami według NIS2 znajduje się w zbiorze sektorów ważnych. Warto podkreślić, że podmioty ważne mają niemal identyczne obowiązki, jak podmioty kluczowe (poza regularnymi audytami). Ponadto, organy państwa mają słabsze narzędzia kontrolne wobec podmiotów ważnych np. mogą reagować dopiero po zasięgnięciu informacji, że dany podmiot ważny nie realizuje wymagań lub np. nie zgłosił na czas incydentu). Natomiast w CER sektor gospodarowania odpadami jest uznany jako kluczowy. Co istotne, sektor ten nie pojawia się w dyrektywie CER, lecz został dodany przez polskiego projektodawcę ustawy.

Co dalej?

Obie regulacje tj. CER oraz NIS2 powinny być wdrożone do 17 października 2024 r. Polska nie dotrzymała tych terminów i odpowiednie przepisy wprowadzające obie dyrektywy nie zostały jeszcze przyjęte.

Co więcej, projekty ustaw, które wdrażają te dyrektywy, w dalszym ciągu są na etapie prac rządowych. Nowelizacja ustawy o zarządzaniu kryzysowym (CER), której projekt został opublikowany w lipcu 2024 r., nadal jest na etapie konsultacji publicznych. Na nieco bardziej zaawansowanym etapie jest procedura legislacyjna dotycząca projektu nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (NIS2), który doczekał się już czwartej wersji. Zarówno Rządowe Centrum Bezpieczeństwa (instytucja prowadząca temat CER), jak i Ministerstwo Cyfryzacji (odpowiedzialne za NIS2) nie przekazały dokładnych informacji o tym, kiedy planują zakończyć prace nad przyjęciem odpowiednich ustaw.

W związku z tym, że obie regulacje są nadal na etapie ustalania ostatecznej treści, warto byłoby wykorzystać ten czas na wprowadzanie przejrzystych i spójnych kryteriów oraz procedur, tak aby zapewnić jak największą komplementarność obu regulacji np. poprzez uspójnienie sektorów, czy klasyfikacji incydentów.

Jak brak przepisów wprowadzających CER oraz NIS2 ma się do kwestii realizacji obowiązków przez firmy?

Firmy objęte dotychczasowymi regulacjami z zakresu ochrony infrastruktury krytycznej, czy cyberbezpieczeństwa realizują obowiązki jak do tej pory. Natomiast nowe podmioty, które potencjalnie zostałby objęte obowiązkami mogą wykorzystać ten czas na: po pierwsze, analizę stanu swojej gotowości (w tym identyfikacji potencjalnych luk) do CER lub NIS2 oraz po drugie, rozpoczęcie działań dostosowujących, gdyż w obu regulacjach przewidziany jest jedynie okres 6 miesięcy na uzyskanie zgodności z wymogami. Im szybciej rozpoczniemy prace dostosowawcze, tym mniej będzie niepewności związanych z wejściem w życie nowych przepisów.

Współautor tekstu: