Нова директива ЄС щодо стійкості критичної інфраструктури (CER DIRECTIVE)

Поділитися:

Проаналізовано основні положення нової Директиви ЄС зі стійкості забезпечення життєво важливих функцій / послуг, надання яких забезпечується операторами критичної інфраструктури. Окреслено основні інструменти та механізми координації дій на рівні ЄС, вимоги до держав – членів ЄС щодо аналізу ризиків стійкості критичної інфраструктури, взаємодії та обміну інформацією щодо загроз та кращого досвіду в цій сфері, вимоги до операторів критичної інфраструктури щодо забезпечення стійкості життєво важливих функцій / послуг та механізми підтримки операторів у цій діяльності.

Висновки та рекомендації

Підвищення стійкості національної та європейської критичної інфраструктури (КІ) визначено одним із пріоритетів безпекової політики ЄС та закріплено в рішеннях Ради ЄС, спрямованих на посилення заходів із підвищення стійкості КІ [1]. Нова Директива ЄС щодо стійкості надання життєво важливих послуг / функцій суб’єктами, які експлуатують критичну інфраструктуру (the Critical Entities Resilience Directive; далі – Директива CER) [2], формує законодавчу основу та вимоги щодо реалізації проголошеної політики.

Ухвалені законодавчі акти віддзеркалюють незмінну прихильність ЄС до формування системи забезпечення безпеки та стійкості функціонування КІ на основі ринкових підходів, стимулювання державно-приватного партнерства та максимального використання власної зацікавленості операторів КІ у сталості надання ними послуг та безперервності бізнес-процесів.

Нова Директива CER встановлює також вимоги до держав – членів ЄС щодо організації національних систем забезпечення стійкості надання визначених послуг. Зважаючи на інтеграцію до ЄС, урахування нових вимог та механізмів регулювання в цій сфері є важливим для України.

Україна на законодавчому рівні також сформувала засади розвитку політики в цій сфері. До того ж деякі положення нової Директиви ЄС ідентичні нормам Закону України «Про критичну інфраструктуру». Імплементація положень Закону щодо Директиви ЄС свідчить про те, що суб’єкти національної системи захисту КІ намагаються орієнтуватись переважно на встановлення вимог щодо фізичної безпеки об’єктів КІ та здійснення контролю за діяльністю операторів КІ. Але без розвитку механізмів забезпечення стійкості надання визначених послуг / функцій, стимулювання та підтримки операторів КІ, аналізу ризиків КІ, обміну інформацією та координації діяльності у форматі державно-приватного партнерства, зусилля України узгоджуватимуться з пріоритетами політики ЄС у цій сфері не повною мірою.

З огляду на викладене, Кабінету Міністрів України, Уповноваженому органу у сфері захисту критичної інфраструктури України рекомендується розглянути питання щодо розроблення проєкту Національної стратегії підвищення стійкості критичної інфраструктури.

Основні положення

Мета політики ЄС щодо стійкості критичної інфраструктури – збільшення спроможності держав-членів підвищити стійкість надання основних послуг на внутрішньому ринку, тобто послуг, які мають вирішальне значення для підтримки життєво важливих суспільних функцій, економічної діяльності, громадського здоров’я та безпеки навколишнього середовища у ЄС.

Наголошується, що з огляду на поточну динаміку безпекового середовища, підвищення стійкості європейської КІ до загроз, створених людиною (цілеспрямованих зловмисних дій), має бути пріоритетом для ключових секторів КІ, як-от енергетика, цифрова інфраструктура, транспорт і космос. Щодо національної КІ, основна увага має зосереджуватися на інфраструктурі надання послуг / функцій транскордонного характеру.

Відповідно до таких пріоритетів нова Директива CER формулює вимоги до залучених суб’єктів, запроваджує необхідні інструменти та механізми забезпечення стійкості надання послуг. Директива встановлює вимоги до операторів КІ щодо забезпечення ними стійкості надання послуг, механізми взаємодії між операторами КІ та уповноваженими державними органами на національному рівні, повноваження Єврокомісії щодо координації національних зусиль та інституцій ЄС на рівні Союзу тощо.

Зокрема Директива CER визначає:

  • вимоги до держав – членів ЄС ухвалити стратегії підвищення стійкості роботи операторів КІ з надання життєво важливих послуг;
  • вимоги щодо проведення ризик-аналізу стійкості надання визначених послуг на національному рівні та на рівні операторів КІ за всіма визначеними Директивою секторами та підсекторами КІ [3];
  • зобов’язання щодо застосування операторами КІ планів стійкості, котрі складаються з технічних, безпекових та організаційних заходів відповідно до визначеного рівня загроз та їхнього впливу;
  • створення Групи стійкості операторів КІ як консультативно-координаційного механізму підтримки діяльності Єврокомісії та підготовки нормативних і методичних матеріалів для держав – членів ЄС та операторів КІ;
  • інститут «консультативної місії» для оцінки вжитих оператором КІ обов’язкових заходів забезпечення стійкості функціонування КІ;
  • вимоги щодо визначення уповноваженого органу, який виконуватиме роль «точки контакту» для взаємодії між державами – членами ЄС, Єврокомісією, іншими інституціями ЄС, операторами КІ, а також оцінювання стану імплементації положень Директиви державами та підготовки звітів для подання Єврокомісії;
  • підготовку методичних та інструктивних матеріалів, сприяння в організації та проведенні колективних навчань, консультування, запровадження програм підвищення кваліфікації персоналу операторів КІ.

Директива приділяє особливу увагу розбудові спроможності ЄС та держав-членів заздалегідь бути підготовленими до кризових ситуацій. Директива наголошує на важливості мати максимально повну, точну й актуальну інформацію про загрози КІ, з якими можуть зіткнутись оператори КІ, та можливі негативні наслідки їхньої реалізації.

Відповідно, для оцінки ризиків надання життєво важливих послуг Директива встановлює вимоги до держав – членів ЄС щодо аналізу ризиків на різних рівнях управління за всіма визначеними важливими послугами / функціями. До того ж саме процедуру аналізу ризиків за всіма послугами / функціями покладено в основу визначення операторів КІ за відповідними послугами, які має регулювати Директива.

Для усвідомлення ризиків надання життєво важливих послуг на рівні Союзу запроваджуються механізми співпраці та обміну інформацією щодо таких видів діяльності, як ідентифікація КІ та операторів КІ, проведення стрес-тестів КІ [4], вивчення спільних результатів зі стрес-тестів, виявлення вразливостей КІ, визначення можливих заходів реагування.

Хоча основну відповідальність за забезпечення безпеки КІ покладено на держави-члени, посилення координації на рівні ЄС є доречним, особливо у світлі загроз, які можуть вплинути на кілька держав-членів одночасно. Тому Директива запроваджує ряд механізмів координації у рамках ЄС. Єврокомісія відповідає за проведення на рівні ЄС оглядів транскордонних і міжгалузевих ризиків для надання основних послуг, організацію консультативних місій та обміну інформацією між державами-членами. Комісія доповнює діяльність держав-членів узагальненням найкращих практик, розробленням керівних матеріалів і методологій, а також транскордонними навчальними заходами з метою перевірки стійкості операторів КІ. Комісія також інформує держави-члени про фінансові ресурси на рівні Союзу, призначені для виконання Директиви.

Держави-члени ЄС мають ухвалити та опублікувати заходи з імплементації у національне законодавство та виконання Директиви CER протягом 21 місяця з дати її офіційного опублікування. Звіт з оцінкою заходів, які кожна держава-член запровадила для дотримання зазначеної Директиви, Єврокомісія має подати до Європейського Парламенту та Ради через 54 місяці.

Єврокомісія також періодично переглядатиме ефективність функціонування Директиви та подаватиме звіти Європейському Парламенту та Раді. У звіті мають публікуватися висновки та рекомендації щодо внесення змін до переліку секторів та підсекторів КІ, визначених Додатком до Директиви CER.

Зауважимо, що Директива CER не ставить вимог щодо діяльності у сфері безпекової політики, а її положення не стосуються органів державної влади у сферах національної безпеки, громадської безпеки, оборони чи правоохоронної діяльності, включно з розслідуванням, розкриттям та переслідуванням кримінальних правопорушень. Зобов’язання, викладені в Директиві, не стосуються розкриття інформації, розголошення якої суперечить основним інтересам національної безпеки, громадської безпеки або оборони держав-членів.

Отже, Директива ЄС створює цілісну систему взаємодії операторів КІ, держав-членів та інституцій ЄС у забезпеченні стійкості надання основних послуг на внутрішньому ринку ЄС. Водночас особливістю такої системи є орієнтація на максимальне використання зацікавленості операторів КІ у сталості надання ними послуг та безперервності бізнес-процесів.

Особливості нових пріоритетів політики та законодавства ЄС у цій сфері мають бути належним чином опрацьовані суб’єктами національної системи захисту КІ України, а подальші кроки з її розвитку на національному рівні мають узгоджуватись із розвитком законодавства ЄС в цій сфері.

 

Отримуйте якісну та актуальну аналітику від НІСД у зручному для вас форматі:

- читайте нас у Telegram 
- слухайте на Google Podcast 
- дивіться на YouTube

Зображення: НІСД

Список використаних джерел:

[1] Council Recommendation on a Union-wide coordinated approach to strengthen the resilience of critical infrastructure. Brussels, 9 December 2022 (OR. en) 15623/22. URL: https://data.consilium.europa.eu/doc/document/ST-15623-2022-INIT/en/pdf

[2] Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2557

[3] Директива CER виділяє у якості критичних секторів: енергетику, транспорт, банки, інфраструктуру фінансових ринків, інфраструктуру охорони здоров’я, постачання питної води, водовідведення (каналізацію), цифрову інфраструктуру, державне управління, космос, виробництво продовольства.

[4] Стрес-тест має бути доповнений розробкою Плану інцидентів і криз КІ, який описує та визначає цілі та способи співпраці між державами-членами та інституціями, органами, офісами та агентствами ЄС у реагуванні на інциденти, пов’язані з КІ.

Експертна аналітика в форматі pdf: