Kim jest operator infrastruktury krytycznej i za co jest odpowiedzialny?

Za co odpowiada operator infrastruktury krytycznej?

Ostatnie lata przyniosły wzrost liczby cyberataków, ataków terrorystycznych i hybrydowych, awarii sieci przesyłowych czy ekstremalnych zjawisk atmosferycznych. Każde z tych zdarzeń może doprowadzić do przerwania świadczenia usług kluczowych dla mieszkańców – dostaw energii, wody, usług zdrowotnych czy łączności. Aby zminimalizować ryzyko, państwo i przedsiębiorcy wspólnie tworzą system ochrony infrastruktury krytycznej. Jego filarem są operatorzy infrastruktury krytycznej – podmioty zarządzające kluczowymi obiektami i usługami. To właśnie oni odpowiadają za ciągłość działania obiektów, ich bezpieczeństwo fizyczne i cyfrowe oraz współpracę z administracją w razie zagrożeń. Poniższy artykuł wyjaśnia, jak prawo definiuje infrastrukturę krytyczną, kim jest jej operator i jakie obowiązki spoczywają na takim podmiocie.

Spis treści

1. Definicja infrastruktury krytycznej.
2. Kim jest operator infrastruktury krytycznej?
3. Obowiązki i zadania operatora infrastruktury krytycznej.
4. Podsumowanie.


Definicja infrastruktury krytycznej

Zgodnie z ustawą o zarządzaniu kryzysowym z 26 kwietnia 2007 r. infrastruktura krytyczna (IK) to systemy i funkcjonalnie powiązane obiekty – budynki, urządzenia, instalacje i usługi – kluczowe dla bezpieczeństwa państwa i jego obywateli oraz zapewniające sprawne funkcjonowanie administracji publicznej, instytucji i przedsiębiorców. Infrastruktura ta obejmuje zarówno elementy fizyczne (np. elektrownie, sieci przesyłowe, zakłady wodociągowe) jak i zasoby cyfrowe (systemy IT, sieci teleinformatyczne).

Kim jest operator infrastruktury krytycznej?

W polskim porządku prawnym nie funkcjonowało do tej pory ustawowe określenie operatora infrastruktury krytycznej. Przygotowywana nowelizacja ustawy o zarządzaniu kryzysowym przewiduje wprowadzenie legalnej definicji. Operatorem infrastruktury krytycznej ma być właściciel lub posiadacz samoistny albo zależny obiektów, instalacji, urządzeń lub usług ujętych w wykazie infrastruktury krytycznej. Definicja ta odzwierciedla stan faktyczny: podmiotem odpowiedzialnym nie jest administracja publiczna, lecz właściciel lub administrator zarządzający danym obiektem – elektrownią, rurociągiem, linią kolejową czy dużym centrum danych. Podstawę wyznaczenia operatora stanowią decyzje dyrektora Rządowego Centrum Bezpieczeństwa lub właściwego ministra. Decyzje te opierają się na niejawnych kryteriach określonych w Narodowym Programie Ochrony Infrastruktury Krytycznej oraz na ocenie „istotnego skutku zakłócającego” – czyli skali konsekwencji, jakie przerwa w świadczeniu danej usługi wywoła dla bezpieczeństwa i porządku publicznego. Rozporządzenie wprowadzające unijną dyrektywę CER przewiduje, że operatorami będą m.in. właściciele elektrowni, sieci przesyłowych, zakładów wodociągowych i innej infrastruktury, których awaria mogłaby sparaliżować życie społeczne.

W praktyce jeden podmiot może być jednocześnie operatorem infrastruktury krytycznej i operatorem usługi kluczowej (OUK). Ustawa o krajowym systemie cyberbezpieczeństwa i ustawa o zarządzaniu kryzysowym mają charakter komplementarny – uzupełniają się nawzajem. Operatorzy IK zgłaszają incydenty zagrażające bezpieczeństwu systemów teleinformatycznych do właściwych Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (Computer Security Incident Response Team) CSIRT GOV lub CSIRT MON. Rola operatorów infrastruktury krytycznej wykracza daleko poza zwykłe świadczenie usług. Są oni kluczowymi elementami systemu bezpieczeństwa narodowego, odpowiedzialnymi za utrzymanie podstaw funkcjonowania współczesnego państwa. Ich działalność wpływa bezpośrednio na bezpieczeństwo ekonomiczne, społeczne i militarne kraju. Awaria kluczowych systemów infrastrukturalnych może mieć konsekwencje porównywalne do działań wojennych, dlatego też ochrona infrastruktury krytycznej jest traktowana jako element obronności państwa.

Obowiązki i zadania operatora infrastruktury krytycznej

Opracowanie planów ochrony i ciągłości działania

Najważniejszym obowiązkiem operatora jest opracowanie i wdrożenie, stosownie do przewidywanych zagrożeń, planu ochrony infrastruktury krytycznej. Plan ten, przygotowywany na podstawie wytycznych Narodowego Programu Ochrony Infrastruktury Krytycznej oraz rozporządzenia w sprawie planów ochrony, obejmują:

  • identyfikację obiektu, instalacji lub usługi, lokalizację i dane operatora;
  • opis stosowanych technologii, procesów i funkcjonalnych połączeń z innymi systemami;
  • analizę zagrożeń i scenariuszy rozwoju zdarzeń, w tym konsekwencji efektu domina;
  • ocenę zależności od innych systemów infrastruktury krytycznej;
  • procedury reagowania, w tym możliwości wykorzystania zasobów własnych oraz zasobów właściwych organów terytorialnych w sytuacji zagrożenia.

Plan musi być aktualizowany wraz z pojawieniem się nowych zagrożeń. Trwające prace nad ustawą o ochronie ludności przewidują zastąpienie dotychczasowych planów ochrony nowym planem zapewnienia ciągłości funkcjonowania infrastruktury krytycznej. Dokument ten obejmie m.in. dane operatora, charakterystykę technologii, mapę obiektów, analizę zagrożeń, ocenę zależności oraz warianty działania pozwalające na szybkie odtworzenie infrastruktury. Plan ciągłości powinien również integrować dokumentację dotyczącą cyberbezpieczeństwa systemów informacyjnych, gdy operator infrastruktury krytycznej świadczy zarazem usługę kluczową.

Utrzymywanie systemów rezerwowych i zasobów awaryjnych

Prawo zobowiązuje operatorów do utrzymywania własnych systemów rezerwowych, które zapewnią bezpieczeństwo i podtrzymają funkcjonowanie infrastruktury krytycznej do czasu pełnego odtworzenia obiektów. Oznacza to konieczność posiadania zapasowych źródeł zasilania, alternatywnych tras przesyłu, redundantnych centrów danych czy nadmiarowych urządzeń technicznych. Dobrze zaprojektowane systemy rezerwowe minimalizują ryzyko przerwy w świadczeniu usług i w razie potrzeby pozwalają na natychmiastowe przejęcie obciążenia przez elementy zapasowe.

Ochrona informacji niejawnych i cyberbezpieczeństwo

Operator infrastruktury krytycznej musi zapewnić zdolność do ochrony informacji niejawnych w związku z realizacją przedsięwzięć ochronnych. Wymóg ten obejmuje zarówno zabezpieczenia fizyczne (strefy ochronne, kontrola dostępu), jak i techniczne (szyfrowanie, systemy wykrywania intruzów). Ustawa o krajowym systemie cyberbezpieczeństwa nakłada na operatorów obowiązek zgłaszania incydentów do właściwych CSIRT, prowadzenia analizy ryzyka dla wszystkich usług, procesów i operacji, które wpływają na świadczenie usługi, oraz utrzymywania zgodnego z normą PN‑EN ISO/IEC 27001 systemu zarządzania bezpieczeństwem informacji. Choć certyfikacja nie jest obligatoryjna, posiadanie certyfikatu ułatwia audyty i potwierdza dojrzałość organizacji w zakresie bezpieczeństwa.

Monitorowanie i raportowanie

Operator jest zobowiązany do bieżącego monitorowania stopnia wdrożenia planów ochrony oraz do sporządzania informacji o stanie ochrony infrastruktury na żądanie dyrektora Rządowego Centrum Bezpieczeństwa, odpowiedniego ministra lub wojewody. Kolejną nowością ma być wymóg przygotowania corocznego raportu o stanie ochrony infrastruktury krytycznej. Raport, składany do 31 marca za rok poprzedni, trafi do Rządowego Centrum Bezpieczeństwa i właściwego ministra albo kierownika urzędu centralnego. W raporcie operator będzie oceniał efektywność wdrożonych zabezpieczeń, wskazywał zidentyfikowane luki oraz proponował działania naprawcze.

Współpraca i wymiana informacji z administracją

Model ochrony infrastruktury krytycznej opiera się na współpracy, nie zaś na systemie sankcji. Operatorzy są zobowiązani do zapewnienia współpracy z organami administracji publicznej poprzez przekazywanie i odbieranie informacji o zdarzeniach, które zakłócają lub mogą zakłócić funkcjonowanie infrastruktury. Do obowiązków operatora należy także informowanie o zwiększonym zapotrzebowaniu na usługi bądź produkty oraz o możliwych przerwach w ich dostawach. Informacje te są kluczowe dla organów państwa, które odpowiadają za koordynowanie działań ratunkowych, dystrybucję zasobów i komunikację z odbiorcami. Operator powinien utrzymywać robocze kontakty z centrami zarządzania kryzysowego na poziomie gminy, powiatu, województwa i kraju. Narodowy Program Ochrony Infrastruktury Krytycznej zakłada, że operatorzy posiadają najlepszą wiedzę o swoich systemach, dlatego to oni mają inicjować działania ograniczające zagrożenia, a administracja ma zapewniać koordynację i wsparcie. Współpraca obejmuje wspólne ćwiczenia, wymianę informacji o zagrożeniach i szkolenia z zakresu reagowania kryzysowego.

Wyznaczenie koordynatora ds. infrastruktury krytycznej

Projektowane zmiany przewidują obowiązek wyznaczenia w każdej organizacji koordynatora ds. infrastruktury krytycznej. Koordynator ma odpowiadać za realizację zadań operatora, sporządzanie corocznego raportu oraz kontakty z organami administracji. Musi to być pracownik operatora lub żołnierz czy funkcjonariusz jednostki organizacyjnej będącej operatorem IK, posiadający pełnię praw publicznych oraz wiedzę i doświadczenie w zarządzaniu bezpieczeństwem. Koordynator nie może być skazany prawomocnym wyrokiem za przestępstwo i musi spełnić wymagania bezpieczeństwa osobowego w zakresie dostępu do informacji niejawnych. W strukturze operatora koordynator będzie podlegał bezpośrednio organowi zarządzającemu.

Analiza ryzyka i ćwiczenia

Obowiązkiem operatora jest regularna analiza ryzyka, obejmująca identyfikację zagrożeń, ocenę podatności systemów oraz prawdopodobieństwa wystąpienia incydentów. Analiza musi uwzględniać zarówno zagrożenia naturalne (powodzie, burze śnieżne), jak i zagrożenia techniczne (awarie urządzeń, błędy ludzkie) oraz zagrożenia terrorystyczne i cybernetyczne. Wymagana jest również ocena zależności między systemami, tzw. efekt domina, czyli możliwość przekazywania zakłóceń z jednego systemu na inne (np. awaria sieci energetycznej wpływająca na łączność i wodociągi). Oprócz analizy ryzyka operator zobligowany jest do organizowania ćwiczeń i symulacji odtwarzania ciągłości działania. Narodowy Program Ochrony Infrastruktury Krytycznej wymaga, aby plany były testowane i aktualizowane co najmniej raz na dwa lata. Ćwiczenia te odbywają się często z udziałem administracji publicznej, służb ratowniczych i dostawców usług wspierających.

Raportowanie incydentów do CSIRT

Operatorzy infrastruktury krytycznej, którzy są również operatorami usług kluczowych, podlegają przepisom ustawy o krajowym systemie cyberbezpieczeństwa. Zobowiązuje ona do zgłaszania incydentów do CSIRT GOV lub CSIRT MON. Incydenty obejmują zarówno zdarzenia o charakterze informatycznym (np. cyberatak), jak i awarie systemów automatyki przemysłowej – definicja systemu informacyjnego obejmuje bowiem także systemy automatyki (ICS, PLC). Operator musi także prowadzić ewidencję incydentów, przeprowadzać szacowanie ich wpływu na usługę kluczową oraz wprowadzać środki zapobiegawcze.

Udział w procesie legislacyjnym i implementacji unijnych dyrektyw

Operatorzy infrastruktury krytycznej muszą śledzić zmiany w prawie. Przygotowywana ustawa o ochronie ludności oraz o stanie klęski żywiołowej przewiduje zniesienie Rządowego Centrum Bezpieczeństwa i ustanowienie nowych organów, co wymaga dostosowania procedur. Ponadto dyrektywa CER (Critical Entities Resilience) rozszerzy unijne wymogi dotyczące odporności podmiotów krytycznych na nowe sektory i wprowadzi formalny proces wyznaczania operatorów. Podmioty uznane za krytyczne będą musiały wdrożyć zarówno środki bezpieczeństwa fizycznego i organizacyjnego, jak i mechanizmy cyberbezpieczeństwa zgodne z dyrektywą NIS2. W praktyce oznacza to konieczność integracji wymogów CER i NIS2 w jednym systemie zarządzania bezpieczeństwem – CER ma prymat w zakresie ochrony fizycznej i ciągłości działania, a NIS2 reguluje kwestie cyberbezpieczeństwa.

Podsumowanie

Operator infrastruktury krytycznej odgrywa kluczową rolę w systemie bezpieczeństwa państwa. Jest to właściciel lub administrator obiektu, instalacji czy usługi uznanej za krytyczną, wyznaczany decyzją organów państwa. Do jego podstawowych obowiązków należą opracowanie i aktualizacja planów ochrony i ciągłości działania, utrzymywanie systemów rezerwowych, ochrona informacji niejawnych i cyberbezpieczeństwo, regularna analiza ryzyka, monitorowanie stanu bezpieczeństwa oraz współpraca z organami administracji. Operator zobligowany jest do raportowania incydentów do CSIRT, przygotowywania corocznych raportów, wyznaczenia koordynatora ds. infrastruktury krytycznej oraz udziału w ćwiczeniach i szkoleniach. Nowe przepisy i unijne dyrektywy zwiększają formalizację tego systemu, kładąc nacisk na ciągłość działania, ochronę fizyczną i cyberbezpieczeństwo. Realizacja tych zadań wymaga ścisłej współpracy między sektorem publicznym, a prywatnym, nowoczesnych rozwiązań technologicznych oraz kultury organizacyjnej opartej na odpowiedzialności i przewidywaniu zagrożeń.

Chcesz wiedzieć więcej?

Chcesz dowiedzieć się co zrobić, aby skutecznie zabezpieczyć obiekty infrastruktury krytycznej?

Zapraszamy do skorzystania z formularza kontaktowego aby dowiedzieć się więcej. 

Nasi specjaliści udzielą zwrotnej informacji na wskazany przez Państwa kontakt mailowy lub telefoniczny, najszybciej jak to możliwe.

Wszelkie prawa zastrzeżone.
NOVET Spółka z o.o.   PL 95-030 Rzgów Gospodarz, ul. Cegielniana 15  |  NIP: 7291666999  |  KRS: 0001005140