1.Definicja infrastruktury krytycznej

Zgodnie z art. 3 ust. 2 Ustawy o zarządzaniu kryzysowym z dnia 26 kwietnia 2007 r.[1] infrastruktura krytyczna to systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy: a) zaopatrzenia w energię, surowce energetyczne i paliwa, b) łączności, c) sieci teleinformatycznych, d) finansowe, e) zaopatrzenia w żywność, f) zaopatrzenia w wodę, g) ochrony zdrowia, h) transportowe, i) ratownicze, j) zapewniające ciągłość działania administracji publicznej, k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych. Szczegółowe kryteria[2] pozwalające wyodrębnić obiekty, instalacje, urządzenia i usługi wchodzące w skład systemów infrastruktury krytycznej, biorąc pod uwagę ich znaczenie dla funkcjonowania państwa i zaspokojenia potrzeb obywateli, określane są w przyjmowanym w drodze uchwały przez Radę Ministrów Narodowym Programie Ochrony Infrastruktury Krytycznej (NPOIK), którego ostatnia aktualizacja datowana jest na rok 2015. Kryteria te został określone w formie niejawnego załącznika do NPOIK pt. „Kryteria pozwalające wyodrębnić obiekty, instalacje, urządzenia i usługi wchodzące w skład systemów infrastruktury krytycznej”[3].

Warto przy tym zauważyć, że zagadnienia związane z ochroną infrastruktury krytycznej poruszały również powstające z państwowej inicjatywy opracowania bezpośrednio dotyczące zagadnienia bezpieczeństwa narodowego, tj.: „Biała księga bezpieczeństwa narodowego Rzeczypospolitej Polskiej” (Warszawa 2013)[4]; „Strategia rozwoju systemu bezpieczeństwa narodowego Rzeczypospolitej Polskiej 2022” przyjęta uchwałą nr 67 Rady Ministrów z 09 kwietnia 2013 r.[5] oraz „Strategia bezpieczeństwa Narodowego Rzeczypospolitej Polskiej”, której druga edycja została zatwierdzona przez Prezydenta 5 listopada 2014 r.[6] W tym kontekście, także należy wskazać na Ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[7] – przed jej uchwaleniem stworzono niezbędne opracowania o charakterze koncepcyjnym[8].

W Polsce infrastruktura krytyczna jest przede wszystkim postrzegana przez pryzmat zapisów ustawy o zarządzaniu kryzysowym, ponieważ to właśnie w tym akcie prawnym zarysowano w sposób ogólny problematykę jej ochrony. Co ciekawe, w polskim prawie przewidziano także regulacje dotyczące  ochronę obiektów podlegających szczególnej ochronie[9] (obiektów szczególnie ważnych dla bezpieczeństwa i obronności państwa) oraz regulację w przedmiocie obszarów, obiektów i urządzeń podlegających obowiązkowej ochronie[10], z których część zalicza się również w poczet infrastruktur krytycznych. Oczywiście zgodnie z systematyką przyjętą w ustawie z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, nie należy zamiennie używać pojęć ochrona obowiązkowa obiektów, szczególna ochrona obiektów oraz infrastruktura krytyczna. W przypadku infrastruktury określanej mianem „krytycznej” chodzi o taką infrastrukturę, której znaczenie jest rozstrzygające dla losów całości systemu infrastrukturalnego. Dlatego też zagadnienie ochrony infrastruktury krytycznej bezpośrednio wiąże się z polityką zarządzania kryzysowego – art. 2 ustawy o zarządzaniu kryzysowym (wprowadzający pojęcie zarządzania kryzysowego) wprost zalicza zadanie odtwarzania zasobów infrastruktury krytycznej do priorytetów zarządzania kryzysowego. Ochrona infrastruktury krytycznej i polityka zarządzania kryzysowego ustanawiają zarazem silny związek ze sferą bezpieczeństwa narodowego, gdyż obie polityki mają na celu przygotowanie państwa na wypadek wystąpienia zagrożeń dla jego funkcjonowania (celem nadrzędnym jest zapewnienie ciągłości funkcjonowania infrastruktury w niesprzyjających okolicznościach). W konsekwencji, odpowiednie zabezpieczenie infrastruktury krytycznej i zapewnienie ciągłości jej funkcjonowania gwarantuje odpowiedni poziom bezpieczeństwa narodowego, przy czym to właśnie polityka zarządzania kryzysowego dostarcza efektywne procedury i praktyki reagowania na wypadek wystąpienia sytuacji kryzysowych. Nie chodzi zatem o przygotowanie ad hoc, lecz o całościowe i permanentne przygotowanie państwa na zagrożenia.

Warto także nadmienić, że efekt kaskadowy (efekt domina), jakiemu z łatwością może podlegać infrastruktura krytyczna, jest dla niej jednym z największych zagrożeń. Jest to być może również największe zagrożenie dla bezpieczeństwa narodowego. Wzajemne zależności funkcjonalne mogą bowiem sprawić, że uszkodzenie jednego z elementów systemu infrastruktury krytycznej spowoduje daleko idące utrudnienia i szkody wśród pozostałych jego części – operatorzy infrastruktury krytycznej oraz państwowa administracja powinni przywiązywać do tej zależności szczególną uwagę. Uderzenie tylko w jeden – najbardziej czuły – składnik systemu może mieć rozległe skutki, doprowadzając do rozległych zniszczeń stosunkowo niewielkim nakładem sił (np. atak na instalacje elektryczne doprowadzić może do zakłóceń w funkcjonowaniu sieci wodociągowej). Efekt domina może również mieć charakter ponadnarodowy: wielka awaria sieci elektrycznej, która wystąpiła w Europie w listopadzie 2006 roku, miała swój początek w Niemczech, lecz jej skutki rozprzestrzeniły się daleko poza granice jednego kraju – awaria objęła także Francję, Włochy, Hiszpanię, Portugalię, Holandię, Belgię, Austrię, a także Maroko.

2.Narodowy Program Ochrony Infrastruktury Krytycznej

Narodowy Program Ochrony Infrastruktury Krytycznej (NPOIK) jest dokumentem o charakterze doktrynalnym w zakresie ochrony infrastruktury krytycznej w Polsce, stwarzającym warunki do jej poprawy, w szczególności poprzez niedopuszczenie do występowania zakłóceń w jej funkcjonowaniu, przygotowanie na sytuacje kryzysowe transferujące skutki na infrastrukturę krytyczną, reagowanie w sytuacji zakłócenia lub zniszczenia oraz jej odtwarzanie. Procedurę i ogólną materialną treść NPOIK określa ustawa o zarządzaniu kryzysowym (art. 5b).

Koordynację przygotowania NPOIK ustawodawca scedował na Dyrektora Rządowego Centrum Bezpieczeństwa, chociaż sam proces jego przygotowania został oparty na współpracy Rządowego Centrum Bezpieczeństwa z ministrami koordynatorami systemów infrastruktury krytycznej oraz właściwymi w sprawach bezpieczeństwa narodowego. Przygotowanie NPOIK zakłada wielostronne konsultacje, zarówno w sprawie ustalania kryteriów pozwalających wyodrębnić infrastrukturę krytyczną w ramach jej systemów, jak również gotowego projektu Narodowego Programu Ochrony Infrastruktury Krytycznej. Sposób realizacji obowiązków oraz współpracy w zakresie Narodowego Programu Ochrony Infrastruktury Krytycznej określono w rozporządzeniu Rady Ministrów z dnia 30 kwietnia 2010 r. w sprawie Narodowego Programu Ochrony Infrastruktury Krytycznej)[11].

NPOIK określa:

  • narodowe priorytety, cele, wymagania oraz standardy, służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej;
  • ministrów kierujących działami administracji rządowej i kierowników urzędów centralnych odpowiedzialnych za systemy infrastruktury krytycznej;
  • szczegółowe kryteria pozwalające wyodrębnić obiekty, instalacje, urządzenia i usługi wchodzące w skład systemów infrastruktury krytycznej, biorąc pod uwagę ich znaczenie dla funkcjonowania państwa oraz zaspokojenia, obywateli[12].

W NPOIK zawarty jest wykaz obiektów wchodzących w skład infrastruktury krytycznej w zależności od danego terenu (najczęściej województwa). Można określić, że najważniejszymi priorytetami dla systemu ochrony infrastruktury kry­tycznej są:

  • zapobieganie różnorakim zdarzeniom, mogącym doprowadzić do zakłócenia funkcjonowania któregoś elementu infrastruktury krytycznej;
  • poczynania prowadzące do przygotowania systemu na negatywne oddziaływa­nie w stosunku do niej sytuacji kryzysowej;
  • odtwarzanie i przywracanie do stanu sprzed wystąpienia sytuacji kryzysowej całego, spójnie działającego, systemu infrastruktury krytycznej[13].

Celem Programu jest stworzenie warunków do poprawy bezpieczeństwa infra­struktury krytycznej. Wraz z innymi dokumentami programowymi składa się on na cel nadrzędny, czyli podniesienie bezpieczeństwa Rzeczypospolitej Polskiej. Cele pośrednie to:

  • zdobycie określonego poziomu świadomości, wiedzy i kompetencji wszyst­kich uczestników Programu w zakresie znaczenia infrastruktury krytycznej dla sprawnego funkcjonowania państwa oraz sposobów i metod jej ochrony;
  • wprowadzenie metodyki oceny ryzyka uwzględniającej pełny wachlarz zagro­żeń, w tym metodyki postępowania z zagrożeniami o bardzo małym prawdo­podobieństwie i katastrofalnych skutkach;
  • wprowadzenie skoordynowanego i opartego na ocenie ryzyka podejścia do reali­zacji zadań z zakresu ochrony infrastruktury krytycznej;
  • budowa partnerstwa między uczestnikami procesu ochrony infrastruktury kry­tycznej;
  • wprowadzenie mechanizmów wymiany i ochrony informacji przekazywanych między uczestnikami procesu ochrony infrastruktury krytycznej[14].

Identyfikacja obiektów, urządzeń, instalacji lub usług, których zniszczenie lub zakłócenie funkcjonowania mogłoby spowodować sytuację kryzysową, jest kluczo­wym etapem procesu ochrony infrastruktury krytycznej. W celu maksymalnej obiektywizacji Rządowe Centrum Bezpieczeństwa, we współpracy z ministrami i kierownikami urzędów centralnych oraz przy wspar­ciu przedsiębiorców prywatnych, opracowało kryteria identyfikacji infrastruktury krytycznej. Kryteria te podzielone są na dwie grupy:

  • kryteria systemowe – charakteryzujące ilościowo lub podmiotowo parametry (funkcje) obiektu, urządzenia, instalacji lub usługi, których spełnienie może spowodować zaliczenie do infrastruktury krytycznej. Kryteria te przedstawione są dla każdego z systemów tej infrastruktury;
  • kryteria przekrojowe – opisujące parametry odnoszące się do skutków znisz­czenia bądź zaprzestania funkcjonowania obiektu, urządzenia, instalacji lub usługi. Kryteria przekrojowe obejmują:
  • ofiary w ludziach,
  • skutki finansowe,
  • konieczność ewakuacji,
  • utratę usługi,
  • czas odbudowy,
  • efekt międzynarodowy,
  • unikatowość.

Wskazane kryteria określają wartości liczbowe, stosowane dla scharakteryzowa­nia cechy ze względu, na którą dana infrastruktura klasyfikowana jest, jako krytyczna. W przypadku braku takiej możliwości opisano funkcje realizowane przez badaną infra­strukturę. Identyfikacja infrastruktury krytycznej została podzielona na trzy etapy:

  • etap pierwszy— w celu dokonania pierwszej selekcji obiektów, instalacji, urządzeń lub usług, które potencjalnie mogłyby zostać uznane za infrastrukturę krytyczną w danym systemie, do infrastruktury systemu należy zastosować kryteria syste­mowe, właściwe dla danego systemu infrastruktury krytycznej;
  • etap drugi – w celu sprawdzenia, czy obiekt, urządzenie, instalacja lub usługa pełni istotną funkcję dla bezpieczeństwa państwa i jego obywateli oraz czy służy zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców;
  • etap trzeci — w celu oceny potencjalnych skutków zniszczenia lub zaprzestania funkcjonowania potencjalnej infrastruktury krytycznej.

Do infrastruktury wyłonionej w etapie pierwszym i drugim należy zastosować kryteria przekrojowe, przy czym potencjalna infrastruktura musi spełnić przynaj­mniej dwa kryteria przekrojowe[15].

3.Europejska infrastruktura krytyczna

Defnicja europejskiej infrastruktury krytycznej występuje w dyrektywie Rady 2008/114/WE z 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej, jak również implementującej jej postanowienia ustawie z 26 kwietnia 2007 r. o zarządzaniu kryzysowym. Według tej dyrektywy, infrastruktura krytyczna oznacza „składnik, system lub część infrastruktury zlokalizowane na terytorium państw członkowskich, które mają podstawowe znaczenie dla utrzymania niezbędnych funkcji społecznych, zdrowia, bezpieczeństwa, ochrony, dobrobytu materialnego lub społecznego ludności oraz których zakłócenie lub zniszczenie miałoby istotny wpływ na dane państwo członkowskie w wyniku utracenia tych funkcji” (art. 2 pkt a). Natomiast europejska infrastruktura krytyczna oznacza „infrastrukturę krytyczną zlokalizowaną na terytorium państw członkowskich, której zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie; to, czy wpływ jest istotny, ocenia się w odniesieniu do kryteriów przekrojowych; obejmuje to skutki wynikające z międzysektorowych współzależności z innymi rodzajami infrastruktury” (art. 2 pkt b).

Można zatem wyróżnić następujące właściwości elementów infrastruktury krytycznej:

  • stanowią fragment, część, komponent lub całość systemu infrastruktury w danym Państwie;
  • umożliwiają wykonywanie lub dostarczanie przede wszystkim funkcji społecznych, zdrowotnych lub bezpieczeństwa;
  • wywołują negatywny wpływ na bezpośrednie lub dalsze otoczenie w przypadku wystąpienia dysfunkcji.

Ustalenie istotności wpływu ocenia się w odniesieniu do kryteriów przekrojowych określanych w poszczególnych przypadkach przez państwa członkowskie, których dotyczy dana infrastruktura krytyczna. Polska ustawa o zarządzaniu kryzysowym z dnia 26 kwietnia 2007 r., uwzględniając zasady wyznaczania europejskiej infrastruktury krytycznej oraz sektory, z których może być wyznaczana, podaje w art. 3 pkt 2a następującą definicję europejskiej infrastruktury krytycznej „systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i instalacje kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców, wyznaczone w systemach, o których mowa w pkt 2 lit. a i h (system zaopatrzenia w energię, surowce energetyczne i paliwa oraz system transportowy ), w zakresie energii elektrycznej, ropy naftowej i gazu ziemnego oraz transportu drogowego, kolejowego, lotniczego, wodnego śródlądowego, żeglugi oceanicznej, żeglugi morskiej bliskiego zasięgu i portów, zlokalizowane na terytorium państw członkowskich Unii Europejskiej, których zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie”.

Idei wyznaczenia europejskiej infrastruktury krytycznej przyświecała myśl o polepszeniu procesu ochrony ludności. Jest on elementem działań podejmowanych w ramach Europejskiego Programu Ochrony Infrastruktury Krytycznej, na który składają się przede wszystkim:

  • program CIPS[16] – „Zapobieganie, gotowość i zarządzanie skutkami terroryzmu i innymi rodzajami ryzyka dla bezpieczeństwa” (luty 2007);
  • sieć ostrzegania o zagrożeniach dla infrastruktury krytycznej (CIWIN) umożliwiająca przekazywanie ostrzeżeń oraz wymianę doświadczeń w ramach forum elektronicznego (październik 2008);
  • dyrektywa Rady 2008/114/WE z 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony (grudzień 2008);
  • pomoc państwom członkowskim w pracach nad rozwiązaniami krajowymi z zakresu infrastruktury krytycznej,
  • współpraca z państwami trzecimi,
  • plany awaryjne[17].

Podstawowymi zasadami na rzecz ochrony krytycznej w założeniach Europejskiego Programu Ochrony Infrastruktury Krytycznej są:

Zasada pomocniczości – określająca, iż zasadnicza i ostateczna odpowiedzialność za ochronę infrastruktury krytycznej leży w gestii państw członkowskich i właścicielach, operatorach infrastruktury krytycznej, a pomoc w przypadku udzielania wsparcia przez inne państwa członkowskie i Komisję Europejską następuje jedynie w przypadku infrastruktury o charakterze mogącej wywoływać transgraniczne skutki;

Zasada komplementarności – uznająca we wspólnotowym podejściu doświadczenia, wymagania, środki i specyfiki już stosowane przez poszczególne sektory na poziomie Wspólnoty, kraju i regionu, w tym te dotyczące porozumień o wzajemnej pomocy;

Zasada poufności – determinująca spójność i skuteczność wymiany informacji na temat infrastruktury krytycznej w relacjach państw członkowskich oraz na linii państwa członkowskie – Komisja Europejska;

Zasada współpracy zainteresowanych stron – umożliwiająca przyjęcie wspólnych wytycznych w zakresie działań i instrumentów na rzecz ochrony infrastruktury krytycznej;

Zasada proporcjonalności – odnosząca stosowane strategie i środki do poziomu ryzyka;

Zasada uznania różnic między sektorami – wedle tej zasady, charakterystyki poszczególnych sektorów, mimo pewnych wspólnych elementów, co do zasady, są unikatowe i wymagają indywidualnego podejścia[18].

Reasumując, należy zauważyć, iż ochrona infrastruktury krytycznej w państwach członkowskich Unii Europejskiej odbywa się wedle zdefiniowanych ram ochrony. Są mmi:

  • wspólne zasady ochrony infrastruktury krytycznej;
  • wspólne definicje;
  • wspólnie zdefiniowany zakres odpowiedzialności podmiotów;
  • wspólny wykaz sektorów europejskiej infrastruktury krytycznej;
  • wspólna procedura dotycząca plany ochrony infrastruktury dla europejskiej infrastruktury krytycznej;
  • wspólna procedura rozpoznawania przez państwa członkowskie infrastruktury krytycznej, która może być wyznaczona jako europejska infrastruktura krytyczna;
  • wspólne metody rozpoznania i klasyfikowania ryzyka, zagrożeń i słabych punktów związanych z poszczególnymi składnikami infrastruktury mające służyć wprowadzaniu ulepszeń w ochronie europejskiej infrastruktury krytycznej.

Współpraca państw członkowskich w obszarze ochrony infrastruktury krytycznej oparta jest na umowach o charakterze dwustronnym lub wielostronnym, często rozpoczyna się w momencie ustalania wartości kryteriów przekrojowych w odniesieniu do infrastruktur krytycznych, które mogą być wyznaczone jako europejska infrastruktura krytyczna. Niemniej, to właściciele, operatorzy europejskiej infrastruktury krytycznej są obok państw członkowskich zasadniczo i ostatecznie odpowiedzialni za ochronę infrastruktury krytycznej. W celu zapewnienia wspólnotowego podejścia do ochrony infrastruktury krytycznej, w stosownych przypadkach państwa członkowskie mogą zawierać porozumienia o wzajemnej pomocy o charakterze transgranicznym[19].

 

Mateusz Kamm

 


[1] Tj. z dnia 6 lipca 2018 r. (Dz.U. z 2018 r. poz. 1401).

[2] Zob. art. 5b ust. 2 pkt 3 ustawy o zarządzania kryzysowym z dnia 26 kwietnia 2007 r.

[3] http://rcb.gov.pl/infrastruktura-krytyczna/ (dostęp: 07.09.2018 r.)

[4] https://www.bbn.gov.pl/pl/wydarzenia/4636,Biala-Ksiega-Bezpieczenstwa-Narodowego-RP.html (dostęp: 07.09.2018 r.)

[5] https://www.premier.gov.pl/wydarzenia/decyzje-rzadu/uchwala-w-sprawie-przyjecia-strategii-rozwoju-systemu-bezpieczenstwa.html (dostęp: 07.09.2018 r.)

[6] https://www.premier.gov.pl/wydarzenia/decyzje-rzadu/strategia-bezpieczenstwa-narodowego-rzeczypospolitej-polskiej.html (dostęp: 07.09.2018 r.)

[7] Dz.U. z 2018 r. poz. 1560.

[8] Np. Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2016-2020 (projekt uchwały Rady Ministrów); Założenia strategii cyberbezpieczeństwa dla Rzeczypospolitej Polskiej.

[9] Obiekty podlegające szczególnej ochronie określone zostały w rozporządzeniu Rady Ministrów 24 czerwca 2003 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa i obronności Państwa oraz ich szczególnej ochrony.

[10] Wykaz obiektów podlegających obowiązkowej ochronie zamieszczono w ustawie o ochronie osób i mienia z 22 sierpnia 1997 r., są to obiekty „ważne dla obronności, interesu gospodarczego państwa, bezpieczeństwa publicznego i innych ważnych interesów państwa”.

[11] Zob. R. Wróbel, Przygotowanie podmiotów infrastruktury krytycznej, op. cit.

[12] G. Pietrek, System zarządzania kryzysowego. Diagnoza i kierunki doskonalenia, Warszawa 2018.

[13] http:// rcb.gov.pl/wp-content/uploads/Narodowy-Program-Ochrony-Infrastruktury-Krytycznej.-2015.pdf.

[14] Tamże.

[15] G. Pietrek, System zarządzania kryzysowego. Diagnoza i kierunki doskonalenia, op. cit.

[16] Terrorism & other Security-related Risks (CIPS), https://ec.europa.eu/home-affairs/financing/fundings/security-and-safeguarding-liberties/terrorism-and-other-risks_en (dostęp: 07.09.2018 r.)

[17] R. Wróbel, Przygotowanie podmiotów infrastruktury krytycznej, op. cit.

[18] Zob. R. Wróbel, Przygotowanie podmiotów infrastruktury krytycznej, Warszawa 2016.

[19] Tamże.