Dyrektywa CER (Critical Entities Resilience – 2022/2557) w kontekście www.alertonline.pl
Wdrożenie Dyrektywy CER (odporność fizyczna) równolegle z nową ustawą o Krajowym Systemie Cyberbezpieczeństwa stawia przed samorządami (miastami i gminami) ogromne wyzwania organizacyjne, finansowe i prawne. Administracja publiczna oraz spółki komunalne przestają być traktowane jedynie jako urzędy, a stają się kluczowymi filarami bezpieczeństwa państwa. [1]
Oto analiza 5 najważniejszych wyzwań stojących przed polskimi gminami i miastami:
1. Dualizm ról (Gmina jako regulator i operator)
Samorządy muszą zmierzyć się z koniecznością jednoczesnego zabezpieczania własnych struktur oraz nadzorowania podległych spółek:
- Urząd jako podmiot krytyczny: bezpośrednia ochrona fizyczna budynków administracji publicznej.
- Nadzór nad infrastrukturą komunalną: spółki miejskie dostarczające wodę, ciepło, prąd czy zarządzające transportem publicznym i odpadami automatycznie stają się podmiotami kluczowymi.
- Konieczność koordynacji: gmina musi stworzyć zintegrowany system przepływu informacji o incydentach między wszystkimi jednostkami. [AlertOnline.pl]
2. Przejście od reagowania do odporności (Resilience)
Dyrektywa CER całkowicie zmienia filozofię działania, wymuszając podejście „all-hazards” (zarządzanie wszelkimi rodzajami ryzyk fizycznych i klimatycznych): [1, 2]
- Wymóg ciągłości działania (BCP): Alertonline) a urzędy i spółki komunalne muszą udowodnić, że potrafią dostarczać usługi nawet w trakcie powodzi, huraganów, długotrwałych braków zasilania (blackoutu) czy ataków sabotażowych.
- Plany awaryjne zamiast procedur na papierze: dotychczasowe plany zarządzania kryzysowego w wielu gminach miały charakter czysto formalny. CER wymaga realnych, regularnie testowanych procedur operacyjnych. [1, 2, 3, 4]
3. Drastyczny wzrost rygoru ochrony fizycznej i personelu
Infrastruktura miejska (np. stacje uzdatniania wody, zajezdnie autobusowe, ciepłownie) musi przejść technologiczną modernizację:
- Systemy bezpieczeństwa: konieczność instalacji nowoczesnych systemów kontroli dostępu, monitoringu wizyjnego oraz systemów wykrywania intruzów.
- Lustracja pracowników (Background Checking): gminy zostaną zobowiązane do szczegółowej weryfikacji przeszłości osób zatrudnionych na kluczowych stanowiskach lub posiadających dostęp do wrażliwych stref infrastruktury. [1]
4. Finansowanie i brak kadr (Dylemat budżetowy)
Dla mniejszych i średnich gmin wyzwania te oznaczają potężne obciążenie zasobów: [1]
- Wysokie koszty inwestycji: dostosowanie fizycznych zabezpieczeń obiektów komunalnych wymaga milionowych nakładów z budżetów lokalnych.
- Deficyt ekspertów: na rynku brakuje specjalistów od audytów fizycznego bezpieczeństwa i ciągłości działania, a samorządy mają trudności z konkurowaniem płacowego z sektorem prywatnym. [1]
5. Osobista odpowiedzialność włodarzy
W ślad za unijnymi wymogami, polskie ustawodawstwo idzie w kierunku bezpośredniego pociągania do odpowiedzialności kadry zarządzającej: [1]
- Ryzyko kar dla wójtów, burmistrzów i prezydentów: tak jak w przypadku ustawy o KSC (NIS2), gdzie włodarze miast odpowiadają osobiście za cyfrowe bezpieczeństwo, CER wymusza analogiczną odpowiedzialność za zaniedbania w ochronie fizycznej i brak wdrożenia planów ciągłości działania.
- Kary administracyjne: spółkom komunalnym i samorządom grożą dotkliwe kary finansowe za brak realizacji wytycznych lub nieprawidłowe zgłaszanie incydentów. [1, 2, 3]