Dyrektywa CER

Dyrektywa CER

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych 

Dyrektywa ma na celu:

  • zmniejszenie podatności na zagrożenia i wzmocnienie fizycznej odporności podmiotów krytycznych w Unii Europejskiej (UE) w celu zapewnienia nieprzerwanego świadczenia usług kluczowych dla gospodarki i społeczeństwa jako całości;

zwiększenie odporności podmiotów krytycznych świadczących te usługi.

Państwa członkowskie UE muszą, po dokonaniu oceny ryzyka, zidentyfikować podmioty krytyczne świadczące usługi, które odgrywają nieodzowną rolę w utrzymaniu niezbędnych funkcji społecznych, niezbędnej działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska, a także określić przypadki, w których incydent miałby istotne skutki zakłócające dla usług kluczowych, w tym przypadki, w których wpłynąłby on na krajowe systemy chroniące praworządność

Dotyczy to podmiotów z poniższych sektorów:

  • energia, w tym energia elektryczna, system ciepłowniczy, ropa naftowa, gaz i wodór;
  • transport lotniczy, kolejowy, wodny i drogowy, w tym transport publiczny;
  • bankowość, która podlega również rozporządzeniu (UE) 2022/2554 (akt w sprawie operacyjnej odporności cyfrowej – zob. streszczenie);
  • infrastruktura rynków finansowych, w tym systemy obrotu, również objęta zakresem aktu w sprawie operacyjnej odporności cyfrowej;
  • zdrowie, w tym świadczeniodawcy, producenci podstawowych substancji farmaceutycznych oraz wyrobów medycznych o krytycznym znaczeniu, a także działania badawczo-rozwojowe w zakresie produktów leczniczych;
  • dostawcy i dystrybutorzy wody pitnej;
  • odprowadzanie i oczyszczanie ścieków;
  • infrastruktura cyfrowa, w tym usługi łączności elektronicznej i przetwarzania danych, które podlegają również dyrektywie (UE) 2022/2555 (zob. streszczenie);
  • podmioty administracji publicznej w ramach instytucji rządowych na szczeblu centralnym, z wyłączeniem obszarów bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa;
  • przestrzeń kosmiczna, w tym operatorzy infrastruktury naziemnej; oraz
  • przedsiębiorstwa spożywcze zajmujące się wyłącznie logistyką i dystrybucją hurtową oraz produkcją przemysłową i przetwórstwem przemysłowym na dużą skalę.

Należy zauważyć, że niektóre części dyrektywy nie mają zastosowania do podmiotów w sektorze bankowym, sektorze infrastruktury rynku finansowego oraz sektorze infrastruktury cyfrowej.

Każde państwo członkowskie:

  • przyjmuje strategię krajową i przeprowadza regularne oceny ryzyka;
  • uwzględnia wyniki oceny ryzyka, identyfikuje podmioty, które świadczą usługi kluczowe dla społeczeństwa, działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska;
  • wspiera zidentyfikowane podmioty krytyczne w zwiększaniu ich odporności, na przykład za pomocą materiałów zawierających wytyczne, ćwiczeń, doradztwa i szkoleń;
  • zapewnia, aby organy krajowe posiadały uprawnienia, zasoby i środki do wykonywania swoich zadań nadzorczych, w tym przeprowadzania kontroli na miejscu podmiotów krytycznych oraz wprowadzania sankcji za nieprzestrzeganie przepisów w ramach mechanizmu egzekwowania;
  • określa warunki, na podstawie których podmiot krytyczny może składać wnioski o sprawdzenie przeszłości osób pełniących newralgiczne role.

Podmioty krytyczne:

  • przeprowadzają własne oceny ryzyka w celu zidentyfikowania ryzyka, które mogłoby zakłócić ich zdolności do świadczenia usług kluczowych;
  • wprowadzają środki techniczne, bezpieczeństwa i organizacyjne służące zwiększeniu ich odporności;
  • zgłaszają incydenty mające istotne skutki zakłócające do organów krajowych.

Podmioty krytyczne są zobowiązane bez zbędnej zwłoki (ale nie później niż 24h) zgłaszać właściwemu organowi incydenty, które istotnie zakłócają lub mogą istotnie zakłócać świadczenie usług kluczowych. 

W przypadku gdy incydent ma lub może mieć znaczący wpływ na ciągłość świadczenia usług kluczowych na rzecz co najmniej sześciu państw członkowskich lub w co najmniej sześciu państwach członkowskich, właściwe organy państw członkowskich, których incydent ten dotyczy, powiadamiają o tym incydencie Komisję.

 

Jeżeli podmioty krytyczne świadczą usługi kluczowe w co najmniej sześciu państwach członkowskich, mogą korzystać z dodatkowych porad w formie misji doradczych mających na celu ewaluację oceny ryzyka i środków zwiększających odporność wdrożonych przez takie podmioty.

Grupa ds. Odporności Podmiotów Krytycznych ułatwia współpracę państw członkowskich, w tym wymianę informacji i dobrych praktyk.

Komisja Europejska zapewnia wsparcie, w tym w zakresie międzysektorowych czynników ryzyka, najlepszych praktyk, metodyk, transgranicznych szkoleń i ćwiczeń w celu sprawdzania odporności podmiotów krytycznych.