Infrastruktura Krytyczna (IK) – projektowanie, identyfikacja, utrzymanie i ochrona

W jaki sposób polskie prawo definiuje infrastrukturę krytyczną?

   W Polsce pojęcie IK wprowadziła Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym. W myśl zapisów w/w ustawy, IK to:  

„Systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców” (1).

 W przypadku obiektów komercyjnych, które nie wypełniają kryteriów kwalifikacji jako IK, zgodnie z Ustawą o zarządzaniu kryzysowym, IK będzie każdy obiekt i/lub system, urządzenie, którego przerwa w działaniu spowoduje przerwanie procesów krytycznych firmy i/lub ograniczy możliwość jej funkcjonowania. Przykład może stanowić zarządzanie obiektem, w którym działalność prowadzi bank.    Procesem krytycznym dla banku jest osiągnięcie najwyższych zysków, realizowanych m.in. poprzez obsługę klientów. Obecnie większość transakcji bankowych odbywa się za pośrednictwem serwisów elektronicznych. Zatem infrastrukturą krytyczną dla banku będą m.in:  

 
1. Serwerownia (wraz z wyposażaniem);
 
2. Sieć teletechniczna (pasywna i aktywna);
 
3. System klimatyzacji precyzyjnej w serwerowni;
 
4. Zasilanie podstawowe;
 
5. Zasilanie gwarantowane dla serwerowni;
 
6. Systemy SUG w serwerowni;
 
7. System kontroli dostępu.
 

      W obiektach komercyjnych istotnym punktem współpracy jest obustronne (klient-dostawca) zidentyfikowanie elementów IK i zastosowanie odpowiednich planów utrzymania.  

Jaki jest zakres IK?

 Ustawa o zarządzaniu kryzysowym wskazuje również zakres IK, który obejmuje poniższe systemy:  

 
• zaopatrzenia w energię, surowce energetyczne i paliwa;
 
• łączności;
 
• sieci teleinformatycznych;
 
• finansowe;
 
• zaopatrzenia w żywność;
 
• zaopatrzenia w wodę;
 
• ochrony zdrowia;
 
• transportowe;
 
• ratownicze;
 
• zapewniające ciągłość działania administracji publicznej;
 
• produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych (2).
 

      Dla obiektów komercyjnych można jednak zdefiniować wykaz elementów, które – bez względu na zakres prowadzonej działalności – będą uznawane za krytyczne:  

 
1. Instalacje energetyczne (w szczególności zasilanie gwarantowane dla systemów i instalacji krytycznych);
 
2. Instalację bezpieczeństwa (systemy KD, SSIWIN, ppoż, DSO);
 
3. Instalacje sieciowe;
 
4. Systemu BMS;
 
5. Instalacje HVAC (zwłaszcza urządzenia klimatyzacji precyzyjnej w obiektach technologicznych).
 

Kim jest Operator IK?

     Wspomniana ustawa wprowadza również pojęcie Operatora IK. Jest to:  

„Właściciel oraz posiadacz samoistny i zależny obiektów, instalacji, urządzeń i usług infrastruktury krytycznej” (3).    „Posiadaczem samoistnym rzeczy nazywamy osobę, która włada rzeczą jak jej właściciel (zgodnie z brzmieniem art. 336 k.c.)” (4).

 Posiadacza samoistnego utożsamia się najczęściej z właścicielem rzeczy. Mogą jednak mieć miejsce sytuacje, w których posiadacz samoistny nie będzie równocześnie właścicielem rzeczy. Tutaj trzeba mieć na uwadze, że aby móc określić kogoś mianem posiadacza samoistnego, dana osoba koniecznie musi posiadać rzeczy/władać rzeczą, nie zaś mieć tytuł prawny do rzeczy.    Posiadaczem zależnym nazywamy osobę, która nie jest właścicielem rzeczy, lecz faktycznie nią włada w zakresie odpowiadającym prawu podmiotowemu – innemu niż własność.    Innymi słowy, Operatorem IK, na mocy zapisów ustawy, będzie każdy właściciel obiektów, instalacji i systemów uznanych za krytyczne. Operatorem infrastruktury krytycznej może być również zarządca nieruchomości na podstawie zawartej umowy, gdzie właściciel przekazuje wszelkie prawa i obowiązki na zarządcę. W myśl ustawy najemca, jeżeli nie jest zarządcą obiektu, lub nie zawarł umowy najmu bezpośrednio z właścicielem obiektu, nie jest Operatorem IK.    Definicja ta ma zastosowanie zarówno w przypadku obiektów użyteczności publicznej, jak i obiektów komercyjnych.    Ustawodawca nałożył na Operatora IK szereg obowiązków w ramach:  

 
• Ochrony infrastruktury krytycznej  w szczególności przez przygotowanie i wdrażanie, stosownie do przewidywanych zagrożeń, planów ochrony infrastruktury krytycznej oraz
 
• Utrzymywania własnych systemów rezerwowych zapewniających bezpieczeństwo i podtrzymujących funkcjonowanie tej infrastruktury, do czasu jej pełnego odtworzenia (5).
 
• Należy zauważyć, iż pojęcie Operatora IK, w myśl ustawy o zarządzaniu kryzysowym, dotyczy jedynie obiektów użyteczności publicznej i/lub obiektów zakwalifikowanych jako krytyczne w Narodowym Programie Ochrony Infrastruktury Krytycznej.
 

      W przypadku obiektów komercyjnych możemy rozróżnić pojęcie wewnętrznego Operatora IK, którym będzie podmiot zarządzający i/lub władającym obiektem. Jego obowiązki i odpowiedzialności ustala się na podstawie zawartych z klientem umów.     

Jakie obowiązki leżą w gestii Operatora IK?

 Operator infrastruktury krytycznej zobowiązany jest do realizacji następujących zadań:    Obiekty użyteczności publicznej:  

 
• Gromadzenie i przetwarzanie informacji dotyczących zagrożeń infrastruktury krytycznej;
 
• Opracowywanie i wdrażanie procedur na wypadek wystąpienia zagrożeń infrastruktury krytycznej – Plany Ciągłości Działania (PCD);
 
• Odtwarzanie infrastruktury krytycznej – Plany Odtworzeniowe (PO);
 
• Współpracę między administracją publiczną a właścicielami oraz posiadaczami samoistnymi i zależnymi obiektów, instalacji lub urządzeń infrastruktury krytycznej w zakresie jej ochrony (6);
 

 Obiekty komercyjne:  

 
• Gromadzenie i przetwarzanie informacji dotyczących zagrożeń infrastruktury krytycznej dla danego obiektu;
 
• Opracowywanie i wdrażanie procedur na wypadek wystąpienia zagrożeń infrastruktury krytycznej – Plany Ciągłości Działania (PCD);
 
• Odtwarzanie infrastruktury krytycznej – Plany Odtworzeniowe (PO);
 
• Inne, zgodnie z zapisami zawartej umowy.
 

Które obiekty są, a które nie są uznane za infrastrukturę krytyczną?

 Na tym etapie zapewne każdy z Państwa zadaje sobie pytanie, czy obiekt, za który jestem/będę odpowiedzialny, spełnia wymogi i kryteria IK.    Kwestię klasyfikacji danego budynku jako IK reguluje ustawa z dnia 21 listopada 1967 r. o powszechnym obowiązku obrony Rzeczypospolitej Polskiej oraz Rozporządzenie Rady Ministrów z dnia 21 kwietnia 2022 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa lub obronności państwa i ich szczególnej ochrony. Wspomniane Rozporządzenie dzieli obiekty na dwie kategorie:    Kategoria I – wskazuje obiekty, które potencjalnie mogą służyć obronności kraju:  

 
• zakłady produkujące, remontujące, magazynujące uzbrojenie, sprzęt wojskowy i środki bojowe;
 
• zakłady prowadzące prace badawczo-rozwojowe oraz konstruktorskie w dziedzinie bezpieczeństwa i obronności państwa;
 
• magazyny rezerw państwowych (np. bazy, składy paliw płynnych, żywności, leków, materiałów sanitarnych);
 
• obiekty podległe ministrowi obrony narodowej lub przez niego nadzorowane;
 
• obiekty infrastruktury transportu samochodowego, kolejowego, lotniczego, morskiego, wodnego śródlądowego, drogownictwa, kolejnictwa i łączności, ośrodki dokumentacji geodezyjnej i kartograficznej;
 
• zapory wodne;
 
• urządzenia hydrotechniczne;
 
• obiekty należące do jednostek organizacyjnych Agencji Wywiadu;
 
• obiekty Narodowego Banku Polskiego;
 
• obiekty Banku Gospodarstwa Krajowego;
 
• obiekty Polskiej Wytwórni Papierów Wartościowych oraz Mennicy Państwowej;
 
• obiekty telekomunikacyjne służące nadawaniu programów radiowych i telewizji publicznej;
 
• obiekty i miejsca, w których produkowane, stosowane lub magazynowane są materiały jądrowe czy też źródła i odpady promieniotwórcze.
 

      Kategoria II – wskazuje obiekty, które mają zapewniać właściwe funkcjonowanie administracji publicznej oraz odpowiedni poziom bezpieczeństwa i porządku publicznego:  

 
• obiekty organów i jednostek organizacyjnych podległe ministrowi spraw wewnętrznych i administracji lub przez niego nadzorowane;
 
• obiekty jednostek organizacyjnych Agencji Bezpieczeństwa Wewnętrznego;
 
• obiekty Policji, Straży Granicznej, Państwowej Straży Pożarnej;
 
• obiekty będące we właściwości Ministra Sprawiedliwości, Służby Więziennej oraz jednostek organizacyjnych, które podlegają
 
• ministrowi sprawiedliwości bądź są przez niego nadzorowane;
 
• zakłady, których działalność ma związek z wydobywaniem kopalin podstawowych;
 
• obiekty (miejsca), w których produkowane, stosowane lub magazynowane są materiały stwarzające zagrożenie pożarem albo wybuchem;
 
• obiekty, w których prowadzona jest działalność oparta na wykorzystywaniu toksycznych związków chemicznych i ich prekursorów, środków biologicznych i mikrobiologicznych, mikroorganizmów, toksyn i innych substancji powodujących zachorowania u ludzi i (lub) zwierząt;
 
• elektrownie oraz inne obiekty elektroenergetyczne;
 
• inne obiekty znajdujące się we właściwości organów administracji rządowej lub też organów jednostek samorządu terytorialnego, formacji, instytucji państwowych, a także prywatnych przedsiębiorców (7).
 

      W kolejnych częściach cyklu przedstawię rodzaje zagrożeń dla IK oraz zasad ochrony IK.         Bibliografia:    (1) Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym.  (2) Tamże.  (3) Tamże.  (4) Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny.  (5) Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym.  (6) Tamże.  (7) Rozporządzenie Rady Ministrów z dnia 21 kwietnia 2022 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa lub obronności państwa oraz ich szczególnej ochrony.