Ataki wymierzone w podmioty tego sektora mogą spowodować naruszenie ciągłości dostaw energii, co spowoduje wzrost jej cen czy też ograniczenia w jej dostępności. W związku z tym ustawodawca unijny przyjął przepisy, które mają wzmocnić ochronę przed cyberzagrożeniami.

Należy do nich dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2). Zastępuje ona dyrektywę NIS 1, kładącą podwaliny pod przepisy prawa wspólnotowego w zakresie cyberbezpieczeństwa. 17 listopada będący implementacją dyrektywy NIS 2 rządowy projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz niektórych innych ustaw został skierowany do I czytania na posiedzeniu Sejmu.

Co dyrektywa NIS2 oznacza dla energetyki?

Dyrektywa NIS 2 wprowadza podział na podmioty kluczowe i ważne. Energia została zakwalifikowana do sektorów kluczowych (podsektory: energia elektryczna, system ciepłowniczy lub chłodniczy, ropa naftowa, gaz i wodór). Nowelizacja ustawy o KSC rozszerza ten zakres o działalność w zakresie wydobywania kopalin, energii jądrowej oraz działalność podmiotów publicznych.

Na mocy już obecnie obowiązujących przepisów krajowych dla każdego sektora ustanowiono organ właściwy do spraw cyberbezpieczeństwa. W sektorze energii organem takim jest minister właściwy ds. energii.

Zgodnie ze sprawozdaniem pełnomocnika rządu do spraw cyberbezpieczeństwa za rok 2024, opublikowanym przez Ministerstwo Cyfryzacji, w tym czasie nie odnotowano co prawda ani jednego przypadku incydentu krytycznego, ale zarejestrowano sześć przypadków incydentów poważnych, z czego aż pięć w sektorze energii. Wszystkie one wynikały z awarii i nie nosiły znamion ataków z zewnątrz. Jest to jednak dowodem na to, jak ważne są wewnętrzne działania w celu zapewnienia cyberbezpieczeństwa.

Nowelizacja KSC definiuje incydent jako zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych, a incydent poważny jako taki, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej.

Obowiązek zgłaszania incydentów wpływających na bezpieczeństwo systemu informatycznego

Zgodnie z treścią projektu nowelizacji podmiot kluczowy będzie zobowiązany do zgłoszenia takiego incydentu do odpowiedniego sektorowego lub podsektorowego zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT). Obecnie istnieją trzy zespoły CSIRT na poziomie krajowym, ale organ właściwy może powołać także sektorowy zespół cyberbezpieczeństwa. CSIRT dla sektora energii nie został jeszcze powołany.

Podmiot kluczowy będzie zobowiązany do zgłoszenia wczesnego ostrzeżenia o incydencie poważnym niezwłocznie, nie później niż w ciągu 24 godzin od jego wykrycia, a CSIRT do udzielenia mu wsparcia. W ciągu 72 godzin podmiot kluczowy lub ważny zgłasza taki incydent wraz z dodatkowymi informacjami. Na wniosek CSIRT sektorowego w ciągu miesiąca od zgłoszenia incydentu poważnego podmiot będzie zobowiązany do złożenia sprawozdania okresowego. Podmiot kluczowy lub ważny będzie miał także obowiązek poinformować użytkowników swoich usług o incydencie poważnym, jeśli będzie on miał niekorzystny wpływ na ich świadczenie.

Obecnie operatorzy usług kluczowych są wyznaczani w drodze decyzji administracyjnej, ale w związku z wprowadzeniem obowiązku samoidentyfikacji każdy podmiot będzie z mocy prawa zobowiązany do złożenia wpisu do rejestru podmiotów kluczowych lub podmiotów ważnych.

Wdrożenie tych przepisów wymaga od przedsiębiorstw nie tylko dostosowania procedur, lecz także budowania kultury cyberbezpieczeństwa na wszystkich etapach łańcucha dostaw. Będzie to decydować o stabilności i bezpieczeństwie sektora energetycznego w nadchodzących latach. ©℗