Właśnie minęło 25 lat od uchwalenia ustawy o ochronie osób i mienia. To ustawa kluczowa, żeby zrozumieć aktualną sytuację prawną i klasyfikację obiektów, a także wyjaśnić, dlaczego obiekt przemysłowy może być równocześnie: infrastrukturą krytyczną (IK), podlegać obowiązkowej ochronie, a także być dostawcą tzw. usług kluczowych. Warto podkreślić, że ten sam obiekt może być także sklasyfikowany jako szczególnie ważny dla bezpieczeństwa i obronności państwa (tzw. obiekt kategorii II wg Rozporządzenia Rady Ministrów z dnia 21 kwietnia 2022 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa lub obronności państwa oraz ich szczególnej ochrony).
Laik tych pojęć nie rozróżnia, będzie przede wszystkim zainteresowany faktem, by mieć wodę w kranie i prąd w gniazdku. Dla zarządu konkretnego przedsiębiorstwa klasyfikacja obiektu jest o tyle ważna, że niesie ze sobą szereg obowiązków, jakie ustawy nakładają na właścicieli bądź zarządzających obiektami. Samo pojęcie „ochrony” także zostało doprecyzowane na gruncie prawnym, dlatego w wielu dokumentach pojawiają się pojęcia: obowiązkowa ochrona; szczególna ochrona; ochrona IK… Jak się nie pogubić w gąszczu nazw i pojęć?
Obiekty podlegające obowiązkowej ochronie
Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz.U. z 1997 r. nr 114, poz. 740) po pierwsze, definiuje obszary, obiekty i urządzenia podlegające obowiązkowej ochronie; po drugie, wyodrębnia kategorie obszarów, obiektów, urządzeń ważnych dla obronności, interesu gospodarczego państwa, bezpieczeństwa publicznego i innych ważnych interesów państwa. Ponadto, określa zasady ochrony obszarów, obiektów i urządzeń, wskazując między innymi podmioty zobowiązane do sporządzania właściwych wykazów. Co ważne, ustawodawca nakłada na zarządzających obszarami, obiektami i urządzeniami obowiązek przygotowania i uzgadniania planów ich ochrony z właściwym miejscowo komendantem wojewódzkim Policji, a w zakresie zagrożeń terrorystycznych – z właściwym terytorialnie dyrektorem delegatury ABW. Ustawa ponadto określa zasady tworzenia i funkcjonowania wewnętrznych służb ochrony (WSO) oraz precyzuje zasady prowadzenia działalności gospodarczej w zakresie ochrony osób i mienia oraz kwalifikacje i uprawnienia pracowników ochrony.
Z cytowanej ustawy wynika, że: „Obszary, obiekty, urządzenia i transporty podlegające obowiązkowej ochronie to obszary, obiekty, urządzenia i transporty ważne dla obronności, interesu gospodarczego państwa, bezpieczeństwa publicznego i innych ważnych interesów państwa podlegają obowiązkowej ochronie przez specjalistyczne uzbrojone formacje ochronne lub odpowiednie zabezpieczenie techniczne” (art. 5.1.). W ustawie sprecyzowano 5 kategorii obszarów, obiektów i urządzeń w ramach zakresów: obronności państwa, ochrony interesu gospodarczego państwa, bezpieczeństwa publicznego, ochrony innych ważnych interesów państwa, a ponadto obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi ujęte w jednolitym wykazie obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej (art. 5.2).
Szczegółowe wykazy obszarów, obiektów i urządzeń sporządzają: Prezes Narodowego Banku Polskiego, Krajowa Rada Radiofonii i Telewizji, ministrowie, kierownicy urzędów centralnych i wojewodowie w stosunku do podległych, podporządkowanych lub nadzorowanych jednostek organizacyjnych. Umieszczenie w wykazie określonego obszaru, obiektu lub urządzenia następuje w drodze decyzji administracyjnej. Wojewodowie prowadzą ewidencję obszarów, obiektów i urządzeń podlegających obowiązkowej ochronie, znajdujących się na terenie województwa. Na terenie RP znajduje się 3323 obiektów podlegających obowiązkowej ochronie (stan na 31.12.2020), najwięcej jest ich w województwie wielkopolskim (347), drugie miejsce pod względem ilości ww. obiektów zajmuje województwo śląskie (316), trzecie małopolskie (296).
Sprawdź ofertę butów taktycznych Bates »
Infrastruktura krytyczna (IK) a obiekty podlegające szczególnej ochronie
Cytowana wyżej ustawa wskazuje, że obiektami podlegającymi obowiązkowej ochronie są obszary, obiekty w tym obiekty budowlane, urządzenia, instalacje, usługi ujęte w jednolitym wykazie obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej (IK). Obiekt IK jest więc automatycznie obiektem podlegającym obowiązkowej ochrony. Co ważne, reguła nie działa zwrotnie, ponieważ nie każdy obiekt podlegający obowiązkowej ochronie należy do infrastruktury krytycznej (IK).
Infrastruktura krytyczna to, według ustawy o zarządzaniu kryzysowym (Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym, (Dz.U. z 2022 r. poz. 261, 583), systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy: zaopatrzenia w energię, surowce energetyczne i paliwa, łączności, sieci teleinformatycznych, finansowe, zaopatrzenia w żywność, zaopatrzenia w wodę, ochrony zdrowia, transportowe, ratownicze, zapewniające ciągłość działania administracji publicznej, produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych. W skład IK wchodzą rzeczywiste i cybernetyczne systemy (obiekty, urządzenia bądź instalacje) niezbędne do minimalnego funkcjonowania gospodarki i państwa. Nie każdy strategiczny obiekt należy do infrastruktury krytycznej. O zaliczeniu danego obiektu do IK decydują szczegółowe kryteria zapisane w niejawnym załączniku do Narodowego Programu Ochrony Infrastruktury Krytycznej.
W NPOIK zdefiniowano sześć obszarów, które są kluczowe dla bezpieczeństwa infrastruktury krytycznej, czasami ten zestaw nazywa się sześciopakiem. Bezpieczeństwo fizyczne, czyli działania organizacyjne i techniczne, które mają minimalizować ryzyko zakłócenia funkcjonowania IK w następstwie działań osób, które nielegalnie przedostałyby się lub usiłowały się dostać na teren przedsiębiorstwa. Bezpieczeństwo techniczne to typ działań, które minimalizują ryzyko zaburzenia realizowanych procesów technologicznych na etapie wdrożenia, eksploatacji i serwisowania. Bezpieczeństwo osobowe, czyli te działania, które prowadzą do minimalizacja ryzyka, że ktoś z pracowników lub osób uprawnionych do wejścia na teren IK zakłóci funkcjonowanie urządzeń lub procesów produkcyjnych. Bezpieczeństwo teleinformatyczne związane jest z minimalizacją ryzyka zakłócenia funkcjonowania IK w następstwie oddziaływania na aparaturę kontrolną oraz systemy i sieci teleinformatyczne. Bezpieczeństwo prawne to procedury, które chronią przedsiębiorstwo przed skutkami prawnych działań podmiotów zewnętrznych oraz – jako szósty rodzaj bezpieczeństwa – plany ciągłości działania i odtwarzania, rozumiane jako zespół działań organizacyjnych i technicznych prowadzących do utrzymania i odtworzenia funkcji realizowanych przez infrastrukturę krytyczną. Stąd widać wyraźnie, że bezpieczeństwo IK obejmuje znacznie szerszy zakres zagadnień niż ochrona fizyczna.
Warto ponadto podkreślić, że słowo „infrastruktura” funkcjonuje zarówno w języku potocznym, jak i publicystyce i ustawodawstwie. Co powoduje, że infrastruktura krytyczna (IK) utożsamiana jest z takimi kategoriami jak infrastruktura transportowa, infrastruktura drogowa, czy infrastruktura lotniska, co może rodzić pewnego rodzaju chaos i pomyłki. Dzieje się tak, zwłaszcza, że obok kategorii obiektów podlegających obowiązkowej ochronie, funkcjonuje kategoria obiektów podlegających szczególnej ochronie. Obiekty podlegające szczególnej ochronie zostały skatalogowane na podstawie ustawy z dnia 21 listopada 1967 r. o powszechnym obowiązku obrony RP (Dz.U. z 2021 r. poz. 372, 1728) oraz Rozporządzenia Rady Ministrów z dnia 21 kwietnia 2022 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa lub obronności państwa oraz ich szczególnej ochrony. Przytoczone dokumenty definiują szereg obiektów będących we właściwości organów administracji rządowej, organów jednostek samorządu terytorialnego, formacji, instytucji państwowych oraz przedsiębiorców i innych jednostek organizacyjnych, których zniszczenie lub uszkodzenie może stanowić zagrożenie dla życia i zdrowia ludzi, dziedzictwa narodowego oraz środowiska w znacznych rozmiarach albo spowodować poważne straty materialne, a także zakłócić funkcjonowanie państwa.
Jak definiować pojęcie ochrony?
W ustawodawstwie funkcjonuje kilka definicji „ochrony”, w zależności od przyjętej kategoryzacji obiektów. Ochrona obowiązkowa to: „ochrona obszarów, obiektów, urządzeń i transportów ważnych dla obronności, interesu gospodarczego państwa, bezpieczeństwa publicznego i innych ważnych interesów państwa prowadzona przez specjalistyczne uzbrojone formacje ochronne lub odpowiednie zabezpieczenie techniczne” (Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia). Ochrona infrastruktury krytycznej (IK) oznacza „wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie” (zgodnie z art. 3 pkt 3 ustawy o zarządzaniu kryzysowym), a ochrona szczególna to „ochrona obiektów szczególnie ważnych dla bezpieczeństwa i obronności państwa prowadzona przez specjalnie tworzone w tym celu, na podstawie odrębnych przepisów, jednostki zmilitaryzowane. Ochrona szczególna jest przygotowywana i prowadzona na podstawie przepisów ustawy z dnia 21 listopada 1967 r. o powszechnym obowiązku obrony rzeczypospolitej polskie oraz Rozporządzenia Rady Ministrów z dnia 21 kwietnia 2022 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa lub obronności państwa oraz ich szczególnej ochrony.
Co z tego wynika?
Ustawy precyzują obowiązki osób zarządzających tego typu obiektami w zakresie przygotowania procedur i planów dotyczących bezpieczeństwa. Kluczowe dla codziennego funkcjonowania obiektu są trzy dokumenty: plan ochrony oraz tzw. załącznik AT (będący osobnym dokumentem) oraz plan ochrony IK.
Ustawa o ochronie osób i mienia precyzuje, że: „Art. 7. 1. Kierownik jednostki, który bezpośrednio zarządza obszarami, obiektami i urządzeniami umieszczonymi w ewidencji, o której mowa w art. 5 ust. 5, albo upoważniona przez niego osoba są obowiązani uzgadniać plan ochrony tych obszarów, obiektów i urządzeń z właściwym terytorialnie komendantem wojewódzkim Policji, a w zakresie zagrożeń o charakterze terrorystycznym, z właściwym terytorialnie dyrektorem delegatury Agencji Bezpieczeństwa Wewnętrznego.
W przypadku infrastruktury krytycznej (IK) : Ustawa o zarządzaniu kryzysowym mówi, iż: „Art. 6. 5. Właściciele oraz posiadacze samoistni i zależni obiektów, instalacji lub urządzeń infrastruktury krytycznej mają obowiązek ich ochrony, w szczególności przez przygotowanie i wdrażanie, stosownie do przewidywanych zagrożeń, planów ochrony infrastruktury krytycznej oraz utrzymywanie własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie tej infrastruktury, do czasu jej pełnego odtworzenia”. Zawartość oraz tryb uzgodnień planu ochrony IK precyzuje Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010 r. w sprawie planów ochrony Infrastruktury Krytycznej – Dz.U. Nr 83, poz. 542.
Jakkolwiek, w przypadku infrastruktury krytycznej (IK) oprócz planu ochrony IK, należy sporządzić plany ochrony tych obiektów (uzgadniane z Policją) oraz tzw. załącznik AT (plan ochrony obszarów, obiektów i urządzeń podlegających obowiązkowej ochronie w zakresie zagrożeń o charakterze terrorystycznym – uzgadniany z ABW), ponieważ, jak już wyżej zaznaczono, obiekt będący IK, jest też z automatu obiektem podlegającym obowiązkowej ochronie.
Przeczytaj także: Co stopnie alarmowe CRP mają wspólnego z wodą w kranie i prądem w gniazdku? >>
Szczegółowe wytyczne w sprawie sporządzania planu ochrony dla obiektu podlegającego obowiązkowej ochronie zawiera „Metodyka uzgadniania planów ochrony, obszarów, obiektów i urządzeń podlegających obowiązkowej ochronie”. W przypadku załącznika AT, wytyczne znajdują się na stronie www Agencji Bezpieczeństwa Wewnętrznego, przy czym rekomenduje się także stosowanie założeń z „Metodyki”. W przypadku planu ochrony IK to Rozporządzenie Rady Ministrów z dnia 30 kwietnia 2010 r. w sprawie planów ochrony Infrastruktury Krytycznej, ponadto rekomenduje się wykorzystanie – Załącznika nr 1 do NPOIK pt. Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej – dobre praktyki i rekomendacje.
Co zmieniła tzw. ustawa cyber?
Przygotowanie i uzgodnienie trzech procedur jest sporym wyzwaniem, obojętnie, czy w ramach przedsiębiorstwa działa zespół ds. opracowania procedur, czy usługę wykonania planów zamawia się „na zewnątrz”. Warto wspomnieć, że jeśli w przypadku planu ochrony (Policja) i tzw. załącznika AT (ABW) mamy w sumie tylko dwa podmioty, z którymi procedury trzeba uzgodnić i zatwierdzić, to w przypadku planu ochrony IK (który sam w sobie obejmuje sześć rodzajów bezpieczeństwa opisanych powyżej) lista podmiotów, które dokumenty konsultują (i potencjalnie mogą ich nie zatwierdzić) jest dłuższa. Cytowane wyżej rozporządzenie precyzuje, że rzeczony plan uzgadnia się (w zakresie ich dotyczącym) z właściwymi terytorialnie: wojewodą, komendantem wojewódzkim PSP, komendantem wojewódzkim Policji, dyrektorem regionalnego zarządu gospodarki wodnej, wojewódzkim inspektorem nadzoru budowlanego, wojewódzkim lekarzem weterynarii, państwowym wojewódzkim inspektorem sanitarnym oraz dyrektorem urzędu morskiego, a potem plan uzgadniany jest z Rządowym Centrum Bezpieczeństwa (RCB). Stąd, przygotowanie i uzgodnienie planu jest wieloetapowe, wymaga sporego zaangażowania czasu i środków i trwa.
Ustawa o krajowym systemie cyberbezpieczeństwa została uchwalona przez Sejm RP 5 lipca 2018 r. (Dz.U. z 2020 r. poz. 1369) i zwykle określa się ją mianem tzw. ustawy cyber albo cyberustawy. Z punktu widzenia tematyki tego artykułu najważniejsze jest to, że ustawa definiuje operatorów usług kluczowych, jako firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Kluczowe sektory gospodarki to: energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia i dystrybucji wody pitnej i infrastruktury cyfrowej. Operatorem usługi kluczowej jest podmiot, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy (Minister odpowiedzialny za dany dział administracji rządowej) wydał decyzję o uznaniu za OUK. Organ właściwy wydaje decyzję o uznaniu podmiotu za OUK, jeżeli: podmiot świadczy usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych; świadczenie tej usługi kluczowej zależy od systemów informacyjnych oraz incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora. Rada Ministrów określiła, w drodze rozporządzenia z dnia 11 września 2018 r. wykaz usług kluczowych, kierując się przyporządkowaniem usługi kluczowej do danego sektora, podsektora i rodzaju podmiotu oraz znaczeniem usługi dla utrzymania krytycznej działalności społecznej lub gospodarczej. Operatorzy usług kluczowych mają precyzyjnie określone obowiązki w zakresie bezpieczeństwa teleinformatycznego, zaplanowany co do miesiąca wykaz czynności, które należy przeprowadzić po otrzymaniu decyzji administracyjnej o uznaniu podmiotu z OUK. Co ciekawe, jest też bardzo jasno wyszczególniona lista kar finansowych w przypadku niedotrzymania terminów, co jest o tyle interesujące, że w przypadku infrastruktury krytycznej i wymogów związanych z planami ochrony IK stosowano tzw. podejście bezsankcyjne licząc na szeroką współpracę między przedsiębiorcami a administracją.
Jednakże, kluczowy, nomen omen, przepis z punktu widzenia planów i procedur związanych z bezpieczeństwem obiektów znajduje się w ustawie o zarzadzaniu kryzysowym i brzmi: „Art.6 5b. Właściciele, posiadacze samoistni i zależni, o których mowa w ust. 5, będący jednocześnie operatorami usług kluczowych w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2020 r. poz. 1369), uwzględniają w planach ochrony infrastruktury krytycznej dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych zgodnie z zakresem informacji określonym w przepisach wydanych na podstawie art. 10 ust. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa”. Co w praktyce oznacza, że bez spełnienia wymogów tzw. cyberustawy, próby uzgodnienia planu ochrony IK w RCB mogą się skończyć brakiem tegoż uzgodnienia.