Prezydencja Rady i Parlament Europejski osiągnęły porozumienie polityczne w sprawie dyrektywy w sprawie odporności podmiotów krytycznych.
Prace będą teraz kontynuowane na poziomie technicznym w celu sfinalizowania wstępnego porozumienia w sprawie pełnego tekstu prawnego. Umowa ta podlega zatwierdzeniu przez Radę i Parlament Europejski przed przejściem formalnej procedury przyjęcia.
Dyrektywa ta ma na celu zmniejszenie podatności i wzmocnienie fizycznej odporności krytycznych podmiotów. Są to podmioty świadczące podstawowe usługi, od których zależy utrzymanie obywateli UE i prawidłowe funkcjonowanie rynku wewnętrznego. Muszą być w stanie przygotować się, radzić sobie, chronić się przed klęskami żywiołowymi, zagrożeniami terrorystycznymi, nagłymi wypadkami zdrowotnymi lub atakami hybrydowymi, reagować na nie i wychodzić z nich.
Uzgodniony dziś tekst obejmuje kluczowe podmioty w wielu sektorach, takich jak energia, transport, zdrowie, woda pitna, ścieki i przestrzeń kosmiczna. Część zapisów projektu dyrektywy obejmie również centralną administrację publiczną.
Państwa członkowskie będą musiały posiadać krajową strategię zwiększania odporności podmiotów o znaczeniu krytycznym, przeprowadzać ocenę ryzyka co najmniej co cztery lata i identyfikować podmioty o znaczeniu krytycznym, które świadczą usługi podstawowe. Podmioty krytyczne będą musiały zidentyfikować odpowiednie ryzyka, które mogą znacząco zakłócić świadczenie usług kluczowych, podjąć odpowiednie środki w celu zapewnienia ich odporności oraz powiadomić właściwe organy o incydentach zakłócających.
Projekt dyrektywy ustanawia również zasady identyfikacji podmiotów krytycznych o szczególnym znaczeniu europejskim. Podmiot o znaczeniu krytycznym jest uważany za mający szczególne znaczenie europejskie, jeżeli świadczy podstawowe usługi na rzecz co najmniej sześciu państw członkowskich. W takim przypadku Komisja może zostać poproszona przez państwa członkowskie o zorganizowanie misji doradczej lub może ona sama zaproponować, za zgodą zainteresowanego państwa członkowskiego, ocenę środków wprowadzonych przez dany podmiot w celu spełnienia obowiązków związanych z dyrektywy.
Tło
Komisja Europejska przedstawiła projekt dyrektywy w sprawie odporności podmiotów krytycznych w grudniu 2020 r. Po przyjęciu proponowana dyrektywa zastąpi obecną dyrektywę w sprawie identyfikacji i wyznaczania europejskiej infrastruktury krytycznej, przyjętą w 2008 r.
W ocenie tej dyrektywy z 2019 r. podkreślono potrzebę aktualizacji i dalszego wzmocnienia istniejących przepisów w świetle nowych wyzwań stojących przed UE, takich jak rozwój gospodarki cyfrowej, rosnące skutki zmiany klimatu i zagrożenia terrorystyczne. Obecna pandemia COVID-19 pokazała w szczególności, w jaki sposób infrastruktura krytyczna i społeczeństwa mogą być narażone na pandemię oraz wysoki poziom współzależności między państwami członkowskimi UE, a także na całym świecie.
Wraz z proponowaną dyrektywą o podmiotach krytycznych Komisja przedstawiła również wniosek dotyczący dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa cybernetycznego w całej UE (NIS 2), który ma odpowiedzieć na te same obawy dotyczące wymiaru cybernetycznego. Rada i Parlament osiągnęły porozumienie w sprawie tego wniosku w maju 2022 r.
We wrześniu 2020 r. Komisja przedstawiła wniosek dotyczący ustawy o cyfrowej odporności operacyjnej (DORA), która wzmocni bezpieczeństwo informatyczne podmiotów finansowych, takich jak banki, zakłady ubezpieczeń i firmy inwestycyjne. Ma na celu upewnienie się, że sektor finansowy Europie jest w stanie utrzymać prężne operacje w przypadku poważnych zakłóceń operacyjnych. Rada i Parlament osiągnęły porozumienie w sprawie tego wniosku w maju 2022 r.
Państwa członkowskie będą musiały zapewnić skoordynowane wdrażanie wszystkich trzech tekstów legislacyjnych.
