CER

Odolnost kritické infrastruktury

Odolnost subjektu kritické infrastruktury je schopností subjektu předcházet incidentům, chránit se před těmito incidenty, reagovat na ně, odolávat jim, zmírňovat a absorbovat je, přizpůsobovat se jim a zotavit se z nich.

Směrnice o odolnosti kritických subjektů CER - Critical Entities Resilience (CER) č. 2022/2557 ze dne 14. prosince 2022 stanovuje pravidla, která mají za cíl posílit odolnost subjektů kritické infrastruktury v Evropském prostoru a rámci jednotlivých členských států EU vůči široké škále hrozeb, včetně těch přírodního rázu, terorismu, hybridních anebo vnitřních hrozeb a sabotáže v řadě odvětvích.

Evropský legislativní kontext dále stanovuje přesah směrnice CER do Nařízení DORA a Směrnice NIS2, která bude implementována do právního řádu ČR novým zákonem o Kybernetické bezpečnosti (v legislativním procesu).

Současný stav

Kritická infrastruktura je upravována zákonem č. 240/2000 o Krizovém řízení stanovuje prvek kritické infrastruktury jako subjekt, který splňuje stanovená průřezová kritéria (Ekonomický dopad, dopad na veřejnost, oběti) a odvětvová kritéria (Energetika, Vodní hospodářství, Potravinářství, Zdravotnictví atd.) Gestorem za jednotlivá odvětví jsou ministerstva a prvek kritické infrastruktury je určován opatřením obecné povahy.

Nová legislativní úprava

Směrnice CER bude do právního řádu České republiky implementována samostatným zákonem o Kritické infrastruktuře, který je v současné době v legislativním procesu ale na jeho dopad se třeba připravovat se již dnes.

Nový zákon o kritické infrastruktuře přináší nový pohled zejména v orientaci na základní služby, Evropský "nadhled", risk-based přístup, rozšíření odvětví kritické infrastruktury a posílení její odolnosti.

Kritická infrastruktura je aktivum nebo soubor aktiv nezbytných pro poskytování základní služby:

  • Areály, budovy, stavby,
  • Infrastrukturní prvky a provozní technologie
  • Informační a komunikační technologie
  • Lidské zdroje
  • Know-how
  • Finanční aktiva
  • Dokumentace a postupy
  • Pověst a právní aspekty

Určení Subjektu kritické infrastruktury

Subjektem kritické infrastruktury je poskytovatel základní služby:

  • Jehož kritická infrastruktura se nachází na území ČR
  • Je jako subjekt kritické infrastruktury určen MV ČR

Poskytovatelem základní služby je každý, kdo splní obě podmínky:

Poskytuje

alespoň jednu základní službu

(služby nezbytná pro zachování základních funkcí státu, hospodářských činností, bezpečnosti, veřejného zdraví, životního prostředí – stanoví příloha zákona o KI) a splňuje

kritérium významnosti

(kritérium zohledňující počet uživatelů, kteří jsou na základní službě závislí, rozsah závislosti dalších odvětví, dopad incidentů a jejich intenzita a rozsah na postiženém území, důležitost a jedinečnost poskytovatele kritické infrastruktury-kritéria stanoví prováděcí právní předpis)

Poskytovatel základní služby je povinen prostřednictvím Portálu kritické infrastruktury sdělit určenému orgánu (MV ČR) nejpozději do tří měsíců ode dne, kdy došlo k zahájení poskytování základní služby:

  • Informace o poskytované základní službě a naplnění kritéria významnosti
  • Kritické infrastruktuře na území nebo mimo území České republiky
  • Základní službě poskytované mimo území České republiky

MV ČR určí s přihlédnutím k doporučení věcně příslušného ministerstva nebo jiného ústředního orgánu, zda bude subjekt zařazen na seznam subjektů kritické infrastruktury. O rozhodnutí vyrozumí do jednoho měsíce ode dne určení všechny zúčastněné strany.

Povinnosti subjektu kritické infrastruktury:

Bezodkladně

od okamžiku doručení informace o zařazení na seznam subjektů kritické infrastruktury identifikovat:

  • kritické pracovníky
  • kritické dodavatele

tyto informace poskytovat určenému orgánu včetně informací

o kritické infrastruktuře v ČR a mimo ni.

Do jednoho měsíce

poskytovat určenému orgánu informace:

  • o změně v poskytování základní služby,
  • o poskytování nové základní služby,
  • o ukončení poskytování základní služby

Do devíti měsíců od okamžiku zařazení na seznam subjektů KI

zpracovat Posouzení rizik. Identifikací a analýzou relevantních hrozeb a zranitelností, které by mohly vést k incidentu a zhodnocením možných ztrát nebo narušení poskytování základní služby určit povahu a rozsah rizik. Pro posouzení rizik lze využít ISO 31000 – Management rizik (náležitosti stanoví právní předpis)

Do deseti měsíců od okamžiku zařazení na seznam subjektů KI

zpracovat Plán odolnosti, ve kterém jsou stanovena technická, bezpečnostní a organizační opatření k zajištění odolnosti subjektu kritické infrastruktury (doporučená aktualizace plánu cca 4 roky). Pro zpracování Plánu odolnosti lze využít ISO 22301 – BCM (náležitosti stanoví právní předpis)

Do deseti měsíců od okamžiku zařazení na seznam subjektů KI

  • subjekt určí manažera kritické infrastruktury

Určený subjekt kritické infrastruktury je také povinen splňovat povinnosti podle nového zákona o kybernetické bezpečnosti

.

Co Vám můžeme nabídnout?

Poskytujeme komplexní soubor služeb v oblasti kritické infrastruktury:

  • Posouzení rizik
  • Identifikace kritickým pracovníků a kritických dodavatelů
  • Zpracování Plánu odolnosti
  • Outsourcing manažera pro kritickou infrastrukturu
  • Komunikace s určeným orgánem prostřednictvím portálu kritické infrastruktury
  • Podpora při implementaci opatření k posilování odolnosti subjektu (opatření k řízení rizik, zajištění kontinuity činností, opatření odezvy na incidenty, opatření fyzické bezpečnosti, řízení bezpečnosti pracovníků, řízení bezpečnosti dodavatelského řetězce, a další)
  • Plánování a realizace cvičení odolnosti
  • Hlášení povinných informací a incidentů prostřednictvím Portálu kritické infrastruktury
  • Podpora při řešení incidentů, jejich předcházení a zotavování se z nich
  • Nabízíme školení a workshopy pro váš personál, které zvyšují povědomí o rizicích a nutnosti zvyšování odolnosti vůči jednotlivým hrozbám.

CER