An official website of the European UnionAn official EU website
Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
  • Share
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Summaries of EU Legislation

  • Share

Zwiększenie odporności podmiotów krytycznych

 

STRESZCZENIE DOKUMENTU:

Dyrektywa 2022/2557 w sprawie odporności podmiotów krytycznych

JAKIE SĄ CELE DYREKTYWY?

Dyrektywa ma na celu:

  • zmniejszenie podatności na zagrożenia i wzmocnienie fizycznej odporności* podmiotów krytycznych w Unii Europejskiej (UE) w celu zapewnienia niezakłóconego świadczenia usług kluczowych dla gospodarki i społeczeństwa jako całości;
  • zwiększenie odporności podmiotów krytycznych świadczących te usługi.

KLUCZOWE ZAGADNIENIA

Po przeprowadzeniu oceny ryzyka państwa członkowskie UE wskazują podmioty krytyczne świadczące usługi, które odgrywają nieodzowną rolę w utrzymaniu funkcji niezbędnych dla społeczeństwa, gospodarki, zdrowia i bezpieczeństwa publicznego lub środowiska, a także określić przypadki, w których incydent miałby istotny wpływ na działanie tych kluczowych usług. Dotyczy to podmiotów z poniższych sektorów:

  • energia, w tym energia elektryczna, system ciepłowniczy, ropa naftowa, gaz i wodór;
  • transport lotniczy, kolejowy, wodny i drogowy, w tym transport publiczny;
  • bankowość, która podlega również rozporządzeniu (UE) 2022/2554 (akt w sprawie operacyjnej odporności cyfrowej – zob. streszczenie);
  • infrastruktura rynków finansowych, w tym systemy obrotu, również objęta zakresem aktu w sprawie operacyjnej odporności cyfrowej;
  • zdrowie, w tym świadczeniodawcy, producenci podstawowych substancji farmaceutycznych oraz wyrobów medycznych o krytycznym znaczeniu, a także działania badawczo-rozwojowe w zakresie produktów leczniczych;
  • dostawcy i dystrybutorzy wody pitnej;
  • oczyszczalnie ścieków;
  • infrastruktura cyfrowa, w tym usługi łączności elektronicznej i przetwarzania danych, które podlegają również dyrektywie (UE) 2022/2555 (zob. streszczenie);
  • podmioty administracji publicznej w ramach instytucji rządowych na szczeblu centralnym, z wyłączeniem obszarów bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa;
  • przestrzeń kosmiczna, w tym operatorzy infrastruktury naziemnej; oraz
  • przedsiębiorstwa spożywcze zajmujące się wyłącznie logistyką i dystrybucją hurtową oraz produkcją przemysłową i przetwórstwem przemysłowym na dużą skalę.

Należy zauważyć, że niektóre części dyrektywy nie mają zastosowania do podmiotów w sektorze bankowym, sektorze infrastruktury rynku finansowego oraz sektorze infrastruktury cyfrowej.

Każde państwo członkowskie:

  • przyjmuje strategię krajową i przeprowadza regularne oceny ryzyka;
  • uwzględnia wyniki oceny ryzyka, identyfikuje podmioty, które wykorzystują infrastrukturę krytyczną świadcząc usługi kluczowe dla społeczeństwa, działalności gospodarczej, zdrowia i bezpieczeństwa publicznego lub środowiska;
  • wspiera zidentyfikowane podmioty krytyczne w zwiększaniu ich odporności, na przykład za pomocą materiałów zawierających wytyczne, ćwiczeń, doradztwa i szkoleń;
  • zapewnia, aby organy krajowe posiadały uprawnienia, zasoby i środki do wykonywania swoich zadań nadzorczych, w tym przeprowadzania kontroli na miejscu podmiotów krytycznych oraz wprowadzania sankcji za nieprzestrzeganie przepisów w ramach mechanizmu egzekwowania;
  • określa warunki, na podstawie których podmiot krytyczny może składać wnioski o sprawdzenie przeszłości osób pełniących newralgiczne role.

Państwa członkowskie muszą zidentyfikować podmioty krytyczne w sektorach i podsektorach określonych w załączniku do dyrektywy do dnia 17 lipca 2026 roku.

Podmioty krytyczne:

  • przeprowadzają własne oceny ryzyka w celu zidentyfikowania ryzyka, które mogłoby zakłócić ich zdolności do świadczenia usług kluczowych;
  • wprowadzają środki techniczne, bezpieczeństwa i organizacyjne służące zwiększeniu ich odporności;
  • zgłaszają incydenty mające istotne skutki zakłócające do organów krajowych.

Jeżeli podmioty krytyczne świadczą usługi kluczowe w co najmniej sześciu państwach członkowskich, mogą korzystać z dodatkowych porad w formie misji doradczych mających na celu ewaluację oceny ryzyka i środków zwiększających odporność wdrożonych przez takie podmioty.

Akt delegowany

Komisja Europejska przyjęła rozporządzenie delegowane (UE) 2023/2450 ustanawiające niewyczerpujący wykaz usług kluczowych w wyżej wymienionych sektorach i podsektorach. Właściwe organy państw członkowskich mają korzystać z tego wykazu w celu przeprowadzenia oceny ryzyka, która ma zostać wykorzystana do identyfikacji podmiotów krytycznych.

Grupa ds. Odporności Podmiotów Krytycznych ułatwia współpracę państw członkowskich, w tym wymianę informacji i dobrych praktyk.

Komisja Europejska zapewnia wsparcie w zakresie międzysektorowych czynników ryzyka, najlepszych praktyk, metodyk, transgranicznych szkoleń i ćwiczeń w celu sprawdzania odporności podmiotów krytycznych.

OD KIEDY PRZEPISY TE MAJĄ ZASTOSOWANIE?

Dyrektywa ma być transponowana do prawa krajowego do 17 października 2024 r. Przyjęte przepisy mają zastosowanie od 18 października 2024 r.

KONTEKST

Strategia UE w zakresie unii bezpieczeństwa oraz plan dla UE w dziedzinie zwalczania terroryzmu podkreślają znaczenie zapewnienia odporności podmiotów krytycznych w obliczu zagrożeń fizycznych i cyfrowych.

Dyrektywa ta jest częścią pakietu środków legislacyjnych mających na celu zwiększenie odporności i zdolności podmiotów publicznych i prywatnych w UE w zakresie reagowania na incydenty w dziedzinach cyberbezpieczeństwa i ochrony infrastruktury krytycznej.

Ponadto w styczniu 2023 r. Rada wydała zalecenie w sprawie ogólnounijnego skoordynowanego podejścia do kwestii wzmocnienia odporności infrastruktury krytycznej.

Więcej informacji:

KLUCZOWE POJĘCIA

Odporność. Zdolność do zapobiegania incydentowi, ochrony przed nim, odpowiedzi na niego, stawiania mu oporu, łagodzenia i absorbowania incydentu oraz adaptacji i odtworzenia po incydencie, który może być spowodowany, między innymi, klęskami żywiołowymi, takimi jak stany zagrożenia zdrowia publicznego, lub zagrożeniami spowodowanymi przez człowieka, takimi jak terroryzm, sabotaż lub zagrożenia hybrydowe Zagrożenia hybrydowe pojawiają się, gdy podmioty państwowe lub niepaństwowe dążą do wykorzystania słabych punktów infrastruktury krytycznej, wykorzystując kombinację różnych środków (tj. dyplomatycznych, wojskowych, gospodarczych i technologicznych) w skoordynowany sposób, pozostając jednocześnie poniżej progu formalnych działań wojennych. Przykładem są masowe kampanie dezinformacyjne, które zakłócają proces demokratyczny podczas wyborów.

GŁÓWNY DOKUMENT

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (Dz.U. L 333 z 27.12.2022, s. 164–198).

DOKUMENTY POWIĄZANE

Rozporządzenie delegowane Komisji (UE) 2023/2450 z dnia 25 lipca 2023 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2557 przez ustanowienie wykazu usług kluczowych (Dz.U. L, 2023/2450, 30.10.2023).

Zalecenie Rady z dnia 8 grudnia 2022 r. w sprawie ogólnounijnego skoordynowanego podejścia do kwestii wzmocnienia odporności infrastruktury krytycznej (Dz.U. C 20 z 20.1.2023, s. 1–11).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.U. L 333 z 27.12.2022, s. 1–79).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Dz.U. L 333 z 27.12.2022, s. 80–152).

Komunikat Komisji do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów – Plan dla UE w dziedzinie zwalczania terroryzmu: przewidywanie, zapobieganie, ochrona i reagowanie (COM(2020) 795 final z 9.12.2020).

Komunikat Komisji do Parlamentu Europejskiego, Rady Europejskiej, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego i Komitetu Regionów w sprawie strategii UE w zakresie unii bezpieczeństwa (COM(2020) 605 final z 24.7.2020).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/944 z dnia 5 czerwca 2019 r. w sprawie wspólnych zasad rynku wewnętrznego energii elektrycznej oraz zmieniająca dyrektywę 2012/27/UE (Dz.U. L 158 z 14.6.2019, s. 125–199).

Kolejne zmiany dyrektywy (UE) 2019/944 zostały włączone do tekstu pierwotnego. Tekst skonsolidowany ma jedynie wartość dokumentacyjną.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/943 z dnia 5 czerwca 2019 r. w sprawie rynku wewnętrznego energii elektrycznej (przekształcenie) (Dz.U. L 158 z 14.6.2019, s. 54–124).

Zob. tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/941 z dnia 5 czerwca 2019 r. w sprawie gotowości na wypadek zagrożeń w sektorze energii elektrycznej i uchylające dyrektywę 2005/89/WE (Dz.U. L 158 z 14.6.2019, s. 1–21).

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/2001 z dnia 11 grudnia 2018 r. w sprawie promowania stosowania energii ze źródeł odnawialnych (wersja przekształcona) (Dz.U. L 328 z 21.12.2018, s. 82–209).

Zob. tekst skonsolidowany.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2017/541 z dnia 15 marca 2017 r. w sprawie zwalczania terroryzmu i zastępująca decyzję ramową Rady 2002/475/WSiSW oraz zmieniająca decyzję Rady 2005/671/WSiSW (Dz.U. L 88 z 31.3.2017, s. 6–21).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/1938 z dnia 25 października 2017 r. dotyczące środków zapewniających bezpieczeństwo dostaw gazu ziemnego i uchylające rozporządzenie (UE) nr 994/2010 (Dz.U. L 280 z 28.10.2017, s. 1–56).

Zob. tekst skonsolidowany.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1–88).

Zob. tekst skonsolidowany.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89–131).

Zob. tekst skonsolidowany.

Dyrektywa Parlamentu Europejskiego i Rady 2012/18/UE z dnia 4 lipca 2012 r. w sprawie kontroli zagrożeń poważnymi awariami związanymi z substancjami niebezpiecznymi, zmieniająca, a następnie uchylająca dyrektywę Rady 96/82/WE (Dz.U. L 197 z 24.7.2012, s. 1–37).

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1025/2012 z dnia 25 października 2012 r. w sprawie normalizacji europejskiej, zmieniające dyrektywy Rady 89/686/EWG i 93/15/EWG oraz dyrektywy Parlamentu Europejskiego i Rady 94/9/WE, 94/25/WE, 95/16/WE, 97/23/WE, 98/34/WE, 2004/22/WE, 2007/23/WE, 2009/23/WE i 2009/105/WE oraz uchylające decyzję Rady 87/95/EWG i decyzję Parlamentu Europejskiego i Rady nr 1673/2006/WE (Dz.U. L 316 z 14.11.2012, s. 12–33).

Zob. tekst skonsolidowany.

Dyrektywa Parlamentu Europejskiego i Rady 2009/73/WE z dnia 13 lipca 2009 r. dotycząca wspólnych zasad rynku wewnętrznego gazu ziemnego i uchylająca dyrektywę 2003/55/WE (Dz.U. L 211 z 14.8.2009, s. 94–136).

Zob. tekst skonsolidowany.

Dyrektywa 2007/60/WE Parlamentu Europejskiego i Rady z dnia 23 października 2007 r. w sprawie oceny ryzyka powodziowego i zarządzania nim (Dz.U. L 288 z 6.11.2007, s. 27–34).

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37–47).

Zob. tekst skonsolidowany.

Ostatnia aktualizacja: 19.02.2024

Top