EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Jak EY może pomóc
-
Istotność bezpieczeństwa infrastruktury krytycznej rośnie wraz ze wzrostem zagrożeń atakami hybrydowymi i terrorystycznymi. Jak zapewnić ochronę infrastruktury krytycznej i zgodność z ustawą o zarządzaniu kryzysowym?
Przeczytaj więcej -
Zapewnij ochronę sygnalistów zgodnie z prawem. Wdrożenie kanałów zgłaszania, ochrony i procedur. Skontaktuj się z nami, aby dowiedzieć się więcej o whistleblowing!
Przeczytaj więcej -
Dowiedz się jak EY Virtual Compliance Officer może wesprzeć pracę działu compliance w Twojej organizacji.
Przeczytaj więcej -
Etyka i compliance to fundamenty zdrowych relacji biznesowych. Poznaj nasze rozwiązania wspierające zarządzanie zgodnością i budowanie etycznej kultury organizacyjnej.
Przeczytaj więcej
Trwają prace nad ustawą o zarządzaniu kryzysowym implementującą Dyrektywę CER nakładającą obowiązki w sprawie infrastruktury krytycznej. Celem jest wzmocnienie odporności na ataki najważniejszych dla gospodarki i społeczeństwa obiektów. Plany przewidują zakończenie prac na czwarty kwartał 2025 r. [1]
Ustawa o zarządzaniu kryzysowym ma transponować do polskiego systemu prawnego Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2557 w sprawie odporności podmiotów krytycznych (CER). [2] Polska tak jak duża cześć krajów UE jest z tym spóźniona. Implementacja powinna nastąpić do 17 października 2024 roku.
W lipcu br. Komisja Europejska wysłała oficjalne wezwania do 13 państw: Bułgarii, Niemiec, Grecji, Hiszpanii, Francji, Cypru, Luksemburga, Malty, Holandii, Austrii, Polski, Finlandii i Szwecji, w sprawie opóźnienia w transpozycji przepisów dyrektywy do prawa krajowego. Wezwane kraje mają dwa miesiące na odpowiedź. Następnym krokiem może być skierowanie przez KE spraw do Trybunału Sprawiedliwości Unii Europejskiej z wnioskiem o nałożenie sankcji finansowych. [3]
Opracowywany projekt ustawy ma na celu minimalizację ryzyka przerwania ciągłości świadczenia kluczowych dla państwa i społeczeństwa usług. Projekt zakłada identyfikację tych usług z uwzględnieniem potencjalnych skutków ich zakłócenia oraz minimalizacji tych skutków i zapewnienie właściwej ochrony w stosunku do zidentyfikowanych ryzyk.
Na szczeblu centralnym zostanie opracowana Krajowa Ocena Ryzyka a na jej podstawie Krajowy Plan zarządzania Kryzysowego oraz plany dla poszczególnych resortów i jednostek terytorialnych.
Wdrożenie dyrektywy CER będzie wymagało redefinicji regulacji dotyczących infrastruktury krytycznej oraz doprowadzenia do spójności sektorów dotychczas uznawanych za infrastrukturę krytyczną z nowymi sektorami, o których mówi dyrektywa – np. zaopatrzenie w wodę, odbiór ścieków czy administracja Konieczne jest objecie rozwiązaniami również infrastruktury krytycznej będącej dopiero w budowie lub projektowanej – np. elektrownie jądrowe, morskie farmy wiatrowe
Wprowadzone zostaną nowe kryteria identyfikacji obiektów, instalacji i urządzeń jako infrastruktury krytycznej wraz z wyznaczeniem odpowiedzialnych za ich utrzymanie i ochronę. Wprowadzony będzie podział infrastruktury krytycznej której zniszczenie czy zakłócenie funkcjonowania będzie miało wpływ na funkcjonowanie całego państwa i obywateli oraz na infrastrukturę mającą wpływ na zaspokojenie potrzeb społeczności lokalnych. Wprowadzone zostaną minimalne standardy bezpieczeństwa fizycznego, technicznego, osobowego i teleinformatycznego, prawnego oraz planów ciągłości działania i odtwarzania.
Projektowane rozwiązania mają wzmocnić ochronę infrastruktury koniecznej dla świadczenia podstawowych usług dla państwa i obywateli biorąc pod uwagę pojawiające się zagrożenia hybrydowe i sabotażowe oraz przebieg wojny w Ukrainie.