Wprowadzenie
Współczesne życie społeczne jest determinowane przez technologie cyfrowe oraz systemy teleinformatyczne. Proces cyfrowej transformacji dotyczy zarówno obszaru biznesu, jak i działań administracji publicznej. Towarzyszą mu nowe zagrożenia i powiązane z nimi ryzyka. Powstają przy tym wzajemne współzależności, w efekcie czego kto inny może być właścicielem infrastruktury (i ryzyk z nią związanych), a kto inny właścicielem skutków wynikających z dysfunkcji tej infrastruktury (ryzyko związane ze skutkami społecznymi). Nawet jeśli potrafimy precyzyjnie określić, czy infrastruktura jest w posiadaniu administracji czy podmiotu prywatnego, to wcale nie musi oznaczać, że potrafimy określić, kto jest odpowiedzialny za wtórne skutki awarii tej infrastruktury. To, że administracja publiczna nie może się obyć bez energii elektrycznej dostarczanej przez podmioty gospodarcze, jest dla wszystkich oczywistością. Natomiast nie jest już tak oczywiste, że administracja, poprzez rejestry państwowe czy dostarczanie programów do rozliczania podatków, oddziałuje na procesy realizowane przez świat biznesu. W tym drugim przypadku można wręcz stwierdzić, że działalność administracji jest źródłem ryzyka operacyjnego dla podmiotu gospodarczego. Już ten pobieżny przegląd zjawisk, z jakimi mamy do czynienia, wskazuje, że wyłanianie i kompleksowa ochrona infrastruktury krytycznej (w skrócie IK) muszą być stale dostosowywane do rzeczywistości technicznej, gospodarczej i społecznej.
Formalne podstawy ochrony IK
Podstawową regulacją prawną w tym zakresie jest ustawa o zarządzaniu kryzysowym1 (w skrócie uzk), która reguluje tryb wyłaniania obiektów IK, zasady i obowiązki w zakresie ich ochrony, a także zasady współpracy administracji i podmiotów gospodarczych na rzecz tej ochrony. Należy jednak zwrócić uwagę, że ustawodawca za ochronę IK uznał również zapewnienie jej funkcjonalności oraz ciągłości działania, a nie tylko zapewnienie funkcjonowania i szybkiego odtworzenia. Obecne brzmienie terminu ochrony IK jest efektem implementacji dyrektywy Rady w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony2. Zgodnie z art. 2 dyrektywy ochrona zdefiniowana została jako wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności IK w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków. Tę definicję zaimplementowano poprzez uzk. W efekcie ustawa określa, że IK ma być chroniona przed wszelkimi zagrożeniami, zarówno spowodowanymi działalnością ludzką (np. atakiem terrorystycznym), jak i przed zagrożeniami naturalnymi czy będącymi skutkiem awarii technicznej3.
Zgodnie z filozofią uzk dyrektor RCB został zobowiązany do przygotowania w porozumieniu z właściwymi ministrami oraz kierownikami urzędów centralnych wykazu obiektów, instalacji, urządzeń i usług wchodzących w skład IK. Po jego sporządzeniu dyrektor RCB sporządza wyciągi z wykazu dla ministrów i kierowników urzędów centralnych odpowiedzialnych za poszczególne systemy IK oraz wojewodów, na których terenach znajduje się dana infrastruktura. Ponadto dyrektora RCB zobowiązano do poinformowania właścicieli i posiadaczy IK o ujęciu ich obiektów w omawianym wykazie. Ustawodawca upoważnił wojewodę do poinformowania odpowiednich organów administracji publicznej o infrastrukturze znajdującej się na terenie danego województwa, co powoduje, że informacja o IK przekazywana jest jedynie niezbędnym podmiotom. Jednak w celu właściwej realizacji zadań z zakresu IK może zaistnieć potrzeba, by poszczególni wojewodowie, jak i inne organy administracji publicznej mogły się dowiedzieć o ujętej w wykazie infrastrukturze, która może mieć wpływ na realizację ich zadań. W tym celu uzk pozwala organom właściwym w sprawach zarządzania kryzysowego oraz dyrektorowi RCB żądać udzielenia informacji, gromadzenia i przetwarzania danych niezbędnych do realizacji ustawowych zadań4.
Zazwyczaj ochrona infrastruktury kojarzona jest z ochroną fizyczną. Warto zatem wspomnieć, że zagadnienie to zostało już rozwiązane postanowieniami ustawy o ochronie osób i mienia5 (UoOOiM). Zgodnie z nią obowiązek stosowania odpowiednich form ochrony obejmuje obszary, obiekty, urządzenia i transporty ważne dla obronności, interesu gospodarczego państwa, bezpieczeństwa publicznego i innych ważnych interesów państwa. Ustawa wprost wskazuje, że jej postanowienia są rozciągnięte na obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi ujęte w jednolitym wykazie obiektów, instalacji, urządzeń i usług wchodzących w skład infrastruktury krytycznej. Jednak zakres jej oddziaływania jest znacznie szerszy i dotyczy obiektów, które nie są uznawane za IK.
Organem nadzorującym wykonanie obowiązków wynikających z UoOOiM jest komendant wojewódzki Policji, który zatwierdza plany ochrony obiektu oraz sprawuje nadzór nad funkcjonowaniem wewnętrznych służb ochrony (w zakresie zagrożeń o charakterze terrorystycznym plany uzgadnia właściwy terytorialnie dyrektor delegatury Agencji Bezpieczeństwa Wewnętrznego). Nadzór nad firmami zajmującymi się ochroną fizyczną (specjalistycznymi uzbrojonymi formacjami ochronnymi, w skrócie SUFO) sprawuje Komendant Główny Policji, ale realizuje to zadanie poprzez komendanta wojewódzkiego.
Do wyłonienia obiektów i obszarów istotnych dla społeczności lokalnych oraz w celu zapewnienia właściwego poziomu ich ochrony, konieczna jest współpraca następujących organów:
- wójta, burmistrza lub prezydenta miasta (ustalenie stopnia ważności obiektu dla społeczności lokalnej, szczególnie dla funkcjonowania aglomeracji miejskich);
- szefa ABW (określenie poziomu wrażliwości obiektu na ewentualny atak terrorystyczny);
- wojewody (decyzje administracyjne związane z wykazem obiektów podlegających ochronie);
- komendanta wojewódzkiego Policji (zatwierdzanie planu ochrony obiektu, nadzór nad funkcjonowaniem służb ochrony).
Niekiedy utrzymywanie pełnej ochrony fizycznej obiektu jest ekonomicznie nieuzasadnione. W takim przypadku w planach ochrony obiektów można zawrzeć różne formy ochrony stosowane w zależności od stopnia zagrożenia.
Jednak ochrona fizyczna to tylko jeden z elementów kompleksowej ochrony IK. Działania podejmowane na rzecz zapewnienia bezpieczeństwa mają na celu minimalizację ryzyka zakłócenia IK przez:
- zmniejszenie prawdopodobieństwa wystąpienia zagrożenia,
- zmniejszanie podatności,
- minimalizowanie skutków wystąpienia zagrożenia.
Na te działania składają się:
- zapewnienie bezpieczeństwa fizycznego – zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie działań osób, które w sposób nieautoryzowany podjęły próbę dostania się lub znalazły się na terenie IK;
- zapewnienie bezpieczeństwa technicznego – zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie zaburzenia realizowanych procesów technologicznych;
- zapewnienie bezpieczeństwa osobowego – zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie działań osób, które posiadają uprawniony dostęp do infrastruktury krytycznej;
- zapewnienie bezpieczeństwa teleinformatycznego – zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie nieautoryzowanego oddziaływania na aparaturę kontrolną oraz systemy i sieci teleinformatyczne;
- zapewnienie bezpieczeństwa prawnego – zespół działań organizacyjnych i technicznych mających na celu minimalizację ryzyka zakłócenia funkcjonowania IK w następstwie prawnych działań podmiotów zewnętrznych;
- plany ciągłości działania i odtwarzania, rozumiane jako zespół działań organizacyjnych i technicznych prowadzących do utrzymania i odtworzenia funkcji realizowanych przez IK.
Zastosowanie konkretnych środków zapewnienia bezpieczeństwa powinno być ściśle związane z oceną ryzyka zakłócenia funkcjonowania IK6.
Zgodnie z uzk ochrona IK spoczywa przede wszystkim na właścicielach oraz posiadaczach samoistnych i zależnych obiektów, instalacji lub urządzeń IK. W celu zapewnienia ochrony IK Rada Ministrów wydała rozporządzenie, które określa sposób tworzenia i aktualizacji planów ochrony IK oraz zapewnia warunki i tryb uznania spełnienia obowiązku posiadania planu ochrony. Warunkiem niezbędnym jest, by posiadany już plan spełniał wymagania określone w rozporządzeniu RM w sprawie planów ochrony IK7.
Właściciel lub posiadacz IK, poza elementami wymaganymi w myśl rozporządzenia, może zawrzeć w planie dodatkowe informacje, które są związane z jej specyficznym charakterem. W celu skorelowania planów ochrony z przygotowywanymi planami zarządzania kryzysowego oraz innymi przepisami z zakresu zarządzania kryzysowego plany wymagają uzgodnienia z następującymi organami:
- W zakresie ich dotyczącym z właściwymi terytorialnie:
- wojewodą,
- komendantem wojewódzkim PSP,
- komendantem wojewódzkim Policji,
- dyrektorem regionalnego zarządu gospodarki wodnej,
- wojewódzkim inspektorem nadzoru budowlanego,
- wojewódzkim lekarzem weterynarii,
- państwowym wojewódzkim inspektorem sanitarnym,
- dyrektorem urzędu morskiego;
- Z ministrem lub kierownikiem urzędu centralnego, we właściwości którego znajduje się system, do którego została zaliczona dana IK8.
Plany, zarówno już posiadane, jak i opracowane na nowo, zatwierdzane są przez dyrektora RCB. Mając na uwadze, że nie wszyscy właściciele oraz posiadacze IK mogą posiadać odpowiednie poświadczenia i warunki przetwarzania informacji niejawnych, do planów stosować można przepisy o ochronie informacji niejawnych albo o ochronie tajemnicy przedsiębiorstwa. Plany podlegają aktualizacji w zależności od potrzeb, ale nie rzadziej niż raz na dwa lata.
Odpowiedzialność za ochronę IK
Jak już zostało wyżej wspomniane, ciężar ochrony IK spoczywa na jej operatorach. Zasadę, że to operator odpowiada za ochronę obiektów IK, podkreślają dokumenty planistyczne. W ustawie zrezygnowano z przygotowywania krajowego planu ochrony IK oraz planów wojewódzkich (pojęcie takich planów istniało w pierwotnej wersji uzk z 2007 r.). Obowiązek sporządzania planów ochrony IK spoczywa tylko na operatorach. Jednak biorąc pod uwagę znaczenie IK dla funkcjonowania państwa, ustawodawca zadania z zakresu ochrony tejże infrastruktury przypisał również podmiotom administracji publicznej. Nie można sobie wyobrazić, by władze publiczne, mając na uwadze potencjalne skutki awarii IK dla ludzi, ich mienia, gospodarki narodowej czy środowiska, odmówiły pomocy poszkodowanym, pozostawiając ten problem wyłącznie operatorowi IK. I bez znaczenia jest tu fakt, czy IK jest w zarządzie administracji publicznej, czy pozostaje całkowicie we władaniu podmiotów gospodarczych. Właśnie ze względu na spodziewane skutki awarii IK zadania z zakresu jej ochrony realizowane są na wszystkich szczeblach administracji, począwszy od administracji rządowej, a skończywszy na administracji samorządowej. Między innymi elementy związane z operacyjnymi działaniami w obszarze ochrony IK stały się załącznikami funkcjonalnymi do planów zarządzania kryzysowego9.
W ramach działań podejmowanych przez administrację państwową szczególna rola przypada Szefowi ABW. Ustawodawca przypisał mu wiodącą rolę w sytuacji zagrożeń terrorystycznych dla IK. Ponieważ administracja publiczna, poza nielicznymi wyjątkami, nie ma możliwości prowadzenia kontroli w podmiotach gospodarczych, proces zatwierdzania planu jest podstawową formą działań mających na celu zmniejszenie poziomu ryzyka w obiektach IK. Dopiero po wprowadzeniu 2. lub wyższego stopnia alarmowego administracja aktywnie włącza się do działań mających chronić obiekty IK. Między innymi Szef ABW, w uzgodnieniu z ministrem właściwym do spraw wewnętrznych, może wydać Policji zalecenie szczególnego zabezpieczenia poszczególnych obiektów uwzględniające rodzaj zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym10.
Dwoistość postrzegania IK
W tym miejscu warto zwrócić uwagę na pewien paradoks związany z istnieniem IK. Dla jej właściciela (operatora) infrastruktura powinna przede wszystkim służyć osiąganiu zysku. W razie awarii straty powinny być pokryte ze środków własnych (w ramach bezpieczeństwa finansowego prowadzonej działalności) albo wyrównane poprzez ubezpieczenie (przeniesienie ryzyka na podmiot zewnętrzny). Decyzję o odbudowie powinna poprzedzić analiza kosztów (być może infrastruktury nie opłaca się odbudowywać, a przynajmniej nie w dotychczasowej formie). Z punktu widzenia odbiorcy usługi, infrastruktura, a precyzyjniej usługa świadczona przez infrastrukturę, powinna zostać odtworzona w jak najkrótszym czasie, bez względu na koszty. Stąd wynika dwoistość postrzegania ochrony IK. Jednocześnie należy chronić obiekt IK oraz społeczność, którą mogą dotknąć skutki dysfunkcji IK. Za ochronę przed społecznymi skutkami awarii IK odpowiada już administracja publiczna. Zakres tych skutków można wywnioskować z definicji zawartych w ustawie o zarządzaniu kryzysowym. Zgodnie z ustawą, ilekroć mowa
o sytuacji kryzysowej, należy przez to rozumieć: „sytuację wpływającą negatywnie na poziom bezpieczeństwa ludzi, mienia w znacznych rozmiarach lub środowiska, wywołującą znaczne ograniczenia w działaniu właściwych organów administracji publicznej”. W odniesieniu do obiektów IK ustawa posługuje się dodatkowo takimi pojęciami, jak: „kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców” (uzk, art. 3).
[...]
dr inż. Witold Skomra
doradca Rządowe Centrum Bezpieczeństwa
Pełna wersja artykułu "Kompleksowe podejście do wyłaniania i ochrony infrastruktury krytycznej" w pliku PDF