Celem nowelizacji jest
- wdrożenie rozwiązań zapewniających podstaw zarządzania ryzykiem, z uwzględnieniem postanowień decyzji Parlamentu Europejskiego i Rady nr 1313/2013/EU z 17.12.2013 r. w sprawie Unijnego Mechanizmu Ochrony Ludności (Dz.Urz. UE L 347 z 20.12.2013 ze zm.; dalej: UMOL);
- wdrożenie dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 z 14.12.2022 r. w sprawie odporności podmiotów krytycznych i uchylająca dyrektywę Rady 2008/114/WE (Dz.Urz. UE L 333 z 27.12.2022 r.; dalej: CER);
- zapewnienie ciągłości świadczenia usług kluczowych realizowanych w sektorach lub podsektorach wskazanych w CER;
- identyfikacja usług kluczowych świadczonych przez operatorów infrastruktury krytycznej z uwzględnieniem potencjalnych skutków zakłócenia zarówno w odniesieniu do funkcjonowania państwa, jak i społeczeństwa;
- minimalizacja skutków zakłócenia poprzez wprowadzenie procesów oceny i zarządzania ryzykiem;
- uwzględnienie zadań związanych z ochroną usług kluczowych i infrastruktury krytycznej o szczególnym znaczeniu europejskim;
- modyfikacja obecnych rozwiązań prawnych dotyczących infrastruktury krytycznej jako niezbędnych elementów świadczenia usług kluczowych.
Jak wynika z udostępnionych informacji, obowiązujące obecnie przepisy ustawy 26.4.2007 r. o zarządzaniu kryzysowym (t.j. Dz.U. z 2023 r. poz. 122) nie pozwalają w pełni odzwierciedlać w planach zarządzania kryzysowego kwestii dotyczących zarządzania ryzykiem. Wystąpiła więc konieczność opracowywania planów zarządzania ryzykiem, na szczeblu krajowym lub odpowiednio niższym, wskazania podmiotów odpowiedzialnych za ich opracowanie, zakresu merytorycznego takiego planu oraz określenia cyklu planowania.
Posiadanie planów zarządzania ryzykiem jest ważne, ponieważ są one niezbędne do spełnienia tzw. warunkowości ex ante w perspektywie finansowej UE na lata 2021–2027, co ma przełożenie na możliwość pozyskiwania środków finansowych w ramach polityki spójności z Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego Plus, Funduszu Spójności oraz Europejskiego Funduszu Morskiego i Rybackiego. Poza tym, opracowanie dokumentów planistycznych w obszarze zarządzania ryzykiem jest bezpośrednio powiązane z jednym z warunków podstawowych perspektywy finansowej, który mówi o „osiągnięciu skutecznych ram zarządzania ryzykiem”. Jak czytamy w uzasadnieniu do projektu nowelizacji, konieczne jest opracowanie planu zarządzania ryzykiem na szczeblu krajowym lub regionalnym, powiązanego ze strategiami adaptacji do zmian klimatu. Trzeba też zwrócić uwagę, że państwa członkowskie opracowują oceny ryzyka na szczeblu krajowym lub niższym oraz udostępniają Komisji Europejskiej tzw. streszczenie istotnych elementów tych ocen.
Nowelizacja wprowadza przepisy dotyczące tzw. dokumentów strategicznych. Kluczowym z nich jest Krajowa Ocena Ryzyka przyjmowana w drodze uchwały przez Radę Ministrów, która ma mieć na celu ocenę ryzyka zidentyfikowanych i ma zawierać:
- zidentyfikowane istotne zagrożenia, w szczególności: naturalne mogące spowodować klęskę żywiołową, techniczne mogące spowodować katastrofę, spowodowane niedostępnością usług o kluczowym znaczeniu dla państwa i jego obywateli, antagonistyczne, w tym zagrożenia hybrydowe, o charakterze terrorystycznym oraz zagrożenia cyberbezpieczeństwa, a także inne możliwe do zidentyfikowania zagrożenia mogące wystąpić w przyszłości;
- ocenę ryzyka wynikającego ze zidentyfikowanych zagrożeń;
- streszczenie istotnych elementów oceny ryzyka w rozumieniu UMOL.
Projekt Krajowej Oceny Ryzyka ma opracowywać Szef Rządowego Centrum Bezpieczeństwa, który przedłoży go Radzie Ministrów nie rzadziej niż raz na 3 lata.
Natomiast w celu realizacji zadań z zakresu planowania cywilnego ma być opracowywany Krajowy Plan Zarządzania Kryzysowego przyjmowany w drodze uchwały przez Radę Ministrów, który ma zawierać:
- część dotyczącą zarządzania ryzykiem;
- część dotyczącą reagowania kryzysowego;
- streszczenie istotnych elementów krajowej oceny zdolności zarządzania ryzykiem w rozumieniu UMOL.
Wreszcie, w celu zwiększenia odporności podmiotów krytycznych będzie opracowana Strategia Odporności Podmiotów Krytycznych, którą również będzie przyjmować Rada Ministrów w drodze uchwały, i która będzie:
- określać cele strategiczne i priorytety w zakresie zapewnienia niezakłóconego świadczenia usług kluczowych przez podmioty krytyczne oraz niezakłóconego funkcjonowania infrastruktury krytycznej;
- określać zakresy działań oraz formy działań służące osiąganiu celów strategicznych i priorytetów przez: organy właściwe w sprawach podmiotów krytycznych, ministrów identyfikujących infrastrukturę krytyczną, inne podmioty zaangażowane we wdrażanie i realizację Strategii;
- zawierać opisy m.in. procesów identyfikujących podmioty krytyczne, środków niezbędnych do zwiększenia ogólnej odporności podmiotów krytycznych, procesów wspierania podmiotów krytycznych;
- określać zakres koordynacji działań właściwych organów w sprawach podmiotów krytycznych i podmiotów właściwych w sprawach cyberbezpieczeństwa.
Projekt nowelizacji wprowadza też przepisy określające zasady wprowadzania planów zarządzania kryzysowego. Plan zarządzania kryzysowego ministra kierującego działem administracji rządowej, Szefa ABW, Szefa Agencji Wywiadu, Szefa CBA oraz kierownika urzędu centralnego podległego ministrowi kierującemu działem administracji rządowej lub przez niego nadzorowanego ma składać się z części dotyczącej:
- zarządzania ryzykiem;
- reagowania kryzysowego.
Plany zarządzania kryzysowego będą sporządzane na szczeblu wojewódzkim, powiatowym i gminnym. Plany wojewódzkie i powiatowe również mają składać się z części dotyczącej:
- zarządzania ryzykiem;
- reagowania kryzysowego.
Z projektu nowelizacji wynika zaś, że gminny plan zarządzania kryzysowego:
- może składać się z części dotyczącej zarządzania ryzykiem;
- składa się z części dotyczącej reagowania kryzysowego zawierającej m.in. wykaz przedsięwzięć minimalizujących skutki zakłócenia funkcjonowania usług kluczowych lub infrastruktury krytycznej dla ludności na terenie właściwej JST, wraz z ich opisem.
Wójt (burmistrz, prezydent miasta) będzie miał za zadanie:
- opracować i wdrożyć gminny plan zarządzania kryzysowego;
- przekazać projekt gminnego planu zarządzania kryzysowego właściwemu staroście;
- wdrożyć zatwierdzony gminny plan zarządzania kryzysowego.
Plany zarządzania kryzysowego będą uzgadniane z właściwymi podmiotami, w zakresie ich dotyczącym, planowanymi do wykorzystania przy realizacji przedsięwzięć określonych w planie.
Projekt nowelizacji wprowadza też w oddzielnych rozdziałach przepisy regulujące następujące zagadnienia:
- identyfikowanie infrastruktury krytycznej i potencjalnej infrastruktury krytycznej;
- obowiązki operatora infrastruktury krytycznej;
- identyfikowanie podmiotów krytycznych;
- organy do spraw podmiotów krytycznych i Pojedynczy Punkt Kontaktowy;
- obowiązki podmiotów krytycznych;
- podmiot krytyczny o szczególnym znaczeniu europejskim;
- nadzór i kontrola podmiotów krytycznych;
- przepisy o karach pieniężnych dla podmiotów krytycznych.
Podsumowując, wdrożenie rozwiązań zawartych w CER nie może odbyć się bez zredefiniowania przepisów dotyczących infrastruktury krytycznej, która jest niezbędna do świadczenia usług kluczowych przez podmioty krytyczne, o których traktuje CER. W uzasadnieniu do projektu nowelizacji podkreślono, że w szczególności należy doprowadzić do spójności dotychczasowych systemów infrastruktury krytycznej z sektorami i podsektorami, o których mówi CER. Ponadto, projekt zakłada nie tylko utrzymanie dotychczasowego poziomu ochrony infrastruktury krytycznej, ale również rozszerzenie ochrony o ochronę „infrastruktury krytycznej w budowie” oraz ochronę infrastruktury krytycznej mającej kluczowe znaczenie dla społeczności lokalnych.