Prawne aspekty infrastruktury krytycznej
Fundamentem legislacyjnym w Polsce dla infrastruktury krytycznej jest ustawa o zarządzaniu kryzysowym określająca m.in. organy właściwe w sprawach zarządzania kryzysowego oraz ich zadania i zasady działania w tym obszarze [1] oraz akty wykonawcze wydane na jej podstawie. Wprowadzone regulacje prawne określają zarówno pojęcie infrastruktury krytycznej, jej ochrony, jak i działania związane z zapobieganiem sytuacjom kryzysowym, reagowaniem w przypadku ich wystąpienia i przygotowaniem do przejmowania nad nimi kontroli, a także usuwaniu ich skutków oraz odtwarzaniu zasobów [2].
Zgodnie z art. 3 ww. Ustawy [1] przez pojęcie infrastruktury krytycznej należy rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Grupa systemów, które mogą wchodzić w skład tej infrastruktury jest stosunkowo rozbudowana i obejmuje m.in.: systemy zaopatrzenia w energię, transportowe, surowce energetyczne i paliwa, a także systemy łączności, sieci TI, systemy finansowe i zaopatrzenia w żywność oraz w wodę, systemy produkcji i przechowywania oraz stosowania substancji chemicznych i promieniotwórczych, systemy ochrony zdrowia i ratownicze oraz zapewniające ciągłość działania administracji publicznej.
W ww. Ustawie podano również definicję ochrony infrastruktury krytycznej rozumianej jako wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej, w celu zapobiegania zagrożeniom i ograniczania ich potencjalnych skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie.
Aktem prawnym obowiązującym w Polsce, na podstawie którego wyznacza się określone systemy do grona europejskiej infrastruktury krytycznej (EIK) jest Dyrektywa Rady UE w sprawie rozpoznawania i wyznaczania EIK [3], która ustanawia procedurę definiowania EIK oraz zasady wspólnego dla UE podejścia do oceny potrzeb w zakresie poprawy ochrony takiej infrastruktury, w celu lepszej ochrony ludności i minimalizowania potencjalnych strat ekonomicznych i społecznych. Istotnym elementem jest tutaj fakt, że chodzi o takie systemy, których zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie UE.
Warto zaznaczyć, że w Polsce szczegółowe kryteria pozwalające wyodrębnić obiekty, instalacje, urządzenia i usługi wchodzące w skład systemów infrastruktury krytycznej, biorąc pod uwagę ich znaczenie dla funkcjonowania państwa i zaspokojenia potrzeb obywateli, są określane w Narodowym Programie Ochrony Infrastruktury Krytycznej, o którym mowa w art. 5b ww. Ustawy. Dokument ten z uwagi na swój charakter podlega klasyfikowaniu zgodnie z Ustawą o ochronie informacji niejawnych. W planie zarządzania kryzysowego, zgodnie z art. 5 ust. 3 ww. Ustawy, w załącznikach funkcjonalnych planu głównego umieszcza się wykazy infrastruktury krytycznej znajdującej się odpowiednio na terenie województwa, powiatu lub gminy, objętej planem zarządzania kryzysowego.
Biorąc pod uwagę obowiązujące akty prawne, zgodnie z rysunkiem nr 1, można stwierdzić, że swoim zakresem regulują one m.in. następujące kwestie w obszarze funkcjonowania i ochrony infrastruktury krytycznej:
- przygotowanie rozwiązań na wypadek zniszczenia lub zakłócenia funkcjonowania infrastruktury krytycznej, w tym udzielanie pomocy ludności w zapewnieniu jej warunków przetrwania do momentu odtworzenia infrastruktury;
- opracowanie i utrzymywanie planów ochrony infrastruktury krytycznej, w tym zasobów niezbędnych do wykonywania zadań w nich ujętych;
- zapewnienie funkcjonowania administracji publicznej w sytuacji wystąpienia zagrożenia oraz możliwości odtworzenia infrastruktury krytycznej;
- zapewnienie ciągłego monitorowania zagrożeń;
- procedury realizacji zadań związanych z ochroną infrastruktury krytycznej, w tym reagowania w sytuacjach zniszczenia lub zakłócenia jej funkcjonowania oraz priorytety w zakresie jej ochrony oraz odtwarzania;
- zarządzanie ryzykiem poprzez wskazywanie istotnych zagrożeń dla infrastruktury krytycznej, w tym określanie priorytetów w reagowaniu na określone ryzyka i wskazanie sił oraz środków niezbędnych do ich wyeliminowania;
- przygotowywanie i utrzymywanie wykazu obiektów i systemów tworzących infrastrukturę krytyczną;
- warianty działania w sytuacji zagrożeń lub zakłócenia funkcjonowania infrastruktury krytycznej oraz jej odtwarzania;
- zasady współpracy administracji publicznej z właścicielami oraz posiadaczami samoistnymi i zależnymi obiektów, instalacji lub urządzeń infrastruktury krytycznej w zakresie jej ochrony, w tym zasady przekazywania informacji.
Poza wspomnianymi powyżej aktami prawnymi, na podstawie Ustawy o zarządzaniu kryzysowym, zostały wydane również inne dokumenty, mające zastosowanie w obszarze infrastruktury krytycznej, w tym m.in.:
- Zarządzenie Nr 86 Prezesa Rady Ministrów z dnia 14 sierpnia 2008 r. w sprawie organizacji i trybu pracy Rządowego Zespołu Zarządzania Kryzysowego, określające tryb i formę zwoływania posiedzeń oraz zasady obsługi i zadania zespołu;
- Rozporządzenie Prezesa Rady Ministrów z dnia 11 kwietnia 2011 r. w sprawie organizacji i trybu działania Rządowego Centrum Bezpieczeństwa (RCB), określające strukturę i zadania RCB;
- Rozporządzenie Rady Ministrów z dnia 15 grudnia 2009 r. w sprawie określenia organów administracji rządowej, które utworzą centra zarządzania kryzysowego, oraz sposobu ich funkcjonowania, wskazujące organy administracji rządowej, które utworzą centra zarządzania kryzysowego oraz sposób funkcjonowania tych centrów.
Obserwując stopień sformalizowania procesu ochrony infrastruktury krytycznej można zauważyć, że w ostatnich latach stworzono w Polsce i UE szereg dokumentów wywołujących problem zagrożenia dla infrastruktury krytycznej, jak i regulujących poszczególne kwestie w zakresie jej ochrony. Poniżej przedstawiono chronologiczne zestawienie wybranych polskich i unijnych uregulowań związanych z infrastrukturą krytyczną:
Rozważając formalną stronę zagadnień związanych z ochroną infrastruktury krytycznej należy również mieć na uwadze Ustawę o stanie klęski żywiołowej [4] określającej tryb wprowadzenia i zniesienia stanu klęski żywiołowej, a także zasady działania organów władzy publicznej oraz zakres ograniczeń wolności i praw człowieka oraz obywatela w czasie trwania tego stanu.
Z uwagi na fakt, że stan taki może być wprowadzony dla zapobieżenia skutkom katastrof naturalnych lub awarii technicznych noszących znamiona klęski żywiołowej oraz w celu ich usunięcia, regulacje te powinny być również uwzględniane w procesie budowania systemu ochrony infrastruktury krytycznej. Szczególnie biorąc pod uwagę, że stan klęski może być wynikiem gwałtownego, nieprzewidzianego uszkodzenia lub zniszczenia obiektu budowlanego, urządzenia technicznego lub systemów urządzeń technicznych powodujących przerwę w ich używaniu lub utratę ich właściwości.
Bezpośrednio z ww. Ustawą związane jest Rozporządzenie [5] określające zasady udziału pododdziałów i oddziałów Sił Zbrojnych RP w zapobieganiu skutkom klęski żywiołowej i ich usuwaniu. Istotnym elementem tego aktu jest udział sił zbrojnych m.in. w monitorowaniu zagrożeń, ochronie mienia pozostawionego na obszarze występowania zagrożeń, czy też wykonywanie zadań związanych z naprawą i odbudową infrastruktury krytycznej.
W grupie aktów prawnych niezbędnych do uwzględnienia w procesie ochrony infrastruktury krytycznej należy również umieścić Ustawę o stanie wyjątkowym [6] określającej tryb wprowadzenia i zniesienia stanu wyjątkowego, a także zasady działania organów władzy publicznej oraz zakres, w jakim mogą być ograniczone wolności i prawa człowieka oraz obywatela w czasie trwania tego stanu.
Wprowadzenie stanu wyjątkowego na skutek szczególnego zagrożenia konstytucyjnego ustroju państwa, bezpieczeństwa obywateli lub porządku publicznego spowodowanego działaniami terrorystycznymi powinno znaleźć swoje odniesienie w planach ochrony infrastruktury krytycznej. Analogicznie, jak w przypadku Ustawy o stanie klęski żywiołowej, również do ww. Ustawy zostało wydane Rozporządzenie [7], regulujące zasady użycia oddziałów i pododdziałów Sił Zbrojnych RP w czasie stanu wyjątkowego, realizujących zadania wyznaczone, w drodze decyzji, przez Ministra Obrony Narodowej, po uzgodnieniu z ministrem właściwym do spraw wewnętrznych.
Zbudowanie efektywnego systemu ochrony infrastruktury krytycznej wymaga uwzględnienia zapisów przywołanych powyżej aktów prawnych, jak również stworzenia wielu instrumentów, w postaci m.in. planów ochrony, programów i procedur reagowania na zagrożenia, gwarantujących posiadanie, przetrwanie i swobodę rozwoju organom władzy i administracji publicznej oraz instytucjom i przedsiębiorcom.
Do realizacji tak postawionego celu niezbędne jest wprowadzenie uregulowań prawnych określających szczegółowe zadania poszczególnych podmiotów w obszarze ochrony infrastruktury krytycznej, co wynika ze złożoności tego typu zagadnień i ich zależności od wielu instytucji i podmiotów, których skuteczna współpraca często pozostaje w korelacji uregulowań formalnych definiujących ich odpowiedzialność.
Podstawę działań w obszarze ochrony infrastruktury krytycznej w Polsce stanowi Ustawa o zarządzaniu kryzysowym, która wraz z aktami wykonawczymi, w tym m.in. rozporządzeniami określającymi zadania związane z Narodowym Programem Ochrony Infrastruktury Krytycznej, raportem o zagrożeniach bezpieczeństwa narodowego, planami ochrony infrastruktury krytycznej, dostarcza narzędzia do organizowania i zarządzania infrastrukturą krytyczną, w tym jej środkami ochrony.
Aktami wspierającymi zadania w tym obszarze, szczególnie w momencie zaistnienia zagrożenia są: Ustawa o stanie klęski żywiołowej i Ustawa o stanie wyjątkowym, które dają możliwość włączenia pododdziałów i oddziałów Sił Zbrojnych RP m.in. do działań na rzecz ochrony infrastruktury krytycznej. W ramach prac związanych z funkcjonowaniem infrastruktury krytycznej wypracowano w UE pewną grupę dokumentów, których zawartość merytoryczna niejednokrotnie stanowiła podwaliny pod krajowe uregulowania w tym zakresie.
W 2011 roku Komisja Europejska (KE) wydała komunikat dot. ochrony krytycznej infrastruktury teleinformatycznej (TIK) [8], który z pewnością w najbliższym czasie będzie stanowił istotny materiał do opracowania planów działań na rzecz ochrony tej infrastruktury, od której niewątpliwie sprawnego działania zależą coraz częściej praktycznie wszystkie gałęzie gospodarki, jak i życie obywateli oraz niezakłócone prowadzenie działalności gospodarczej przez przedsiębiorców.
W ramach tych prac przewiduje się, że zarówno KE, jak i państwa członkowskie UE, w tym przemysł, przy wsparciu Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA), podejmą określone działania związane m.in. z zapobieganiem, wykrywaniem i reagowaniem, a także łagodzeniem skutków i przywracaniem sprawności operacyjnej TIK, przy jednoczesnym zapewnieniu współpracy międzynarodowej oraz uzgodnionych kryteriach rozpoznawania europejskich infrastruktur krytycznych w sektorze TIK.
[1] Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (Dz.U. 2007 nr 89 poz. 590 z późn. zm.).
[2] A. Machnacz, Ochrona infrastruktury krytycznej w Polsce w kontekście zadań organizacji zhierarchizowanych (w:) red. J. Stawnicka, B. Wiśniewski, R. Socha, Zasadnicze problemy zarządzania kryzysowego w organizacjach zhierarchizowanych, Wydział Prezydialny Komendy Wojewódzkiej Policji w Katowicach, ISBN 978-83-93-17-15-1-4, str. 77-101, Katowice 2011.
[3] Dyrektywa Rady 2008/114/WE z dnia 8 grudnia 2008 r. w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony.
[4] Ustawa z dnia 18 kwietnia 2002 r. o stanie klęski żywiołowej (Dz.U. 2002 nr 62 poz. 558, ze zm.).
[5] Rozporządzenie Rady Ministrów z dnia 20 lutego 2003 r. w sprawie szczegółowych zasad udziału pododdziałów i oddziałów Sił Zbrojnych Rzeczypospolitej Polskiej w zapobieganiu skutkom klęski żywiołowej lub ich usuwaniu (Dz.U. 2003 nr 41 poz. 347).
[6] Ustawa z dnia 21 czerwca 2002 r. o stanie wyjątkowym (Dz.U. 2002 nr 113 poz. 985, ze zm.).
[7] Rozporządzenie Rady Ministrów z dnia 6 maja 2003 r. w sprawie szczegółowych zasad użycia oddziałów i pododdziałów Sił Zbrojnych Rzeczypospolitej Polskiej w czasie stanu wyjątkowego ((Dz. U. z dnia 21 maja 2003 r.)
[8] Komunikat Komisji do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie ochrony krytycznej infrastruktury teleinformatycznej„Osiągnięcia i dalsze działania na rzecz globalnego bezpieczeństwa cyberprzestrzeni”. Bruksela, dnia 31.3.2011, KOM(2011) 163 wersja ostateczna.
Publikacja jest dostępna na licencji Creative Commons Uznanie autorstwa 4.0 Międzynarodowe, pewne prawa zastrzeżone na rzecz autora i machnacz.eu. Zezwala się na dowolne wykorzystywanie treści publikacji pod warunkiem wskazania autora i podania informacji o licencji.