Idea ochrony obiektów kluczowych

w perspektywie bezpieczeństwa powszechnego

Biorąc pod uwagę wyniki analizy literatury przedmiotu oraz utarte standar-dy myślenia branżowego, można dojść do przekonania, że ochrona obiek-tów kluczowych z perspektywy bezpieczeństwa powszechnego ogranicza się w dominującej mierze do ochrony wyłącznie infrastruktury krytycznej. Sprzyja temu ścisłe korespondowanie przedmiotu rozpatrywanego rodzaju bezpieczeństwa z przedmiotem zarządzania kryzysowego w Polsce.

Co więcej, ochrona infrastruktury krytycznej jest traktowana jako ele-ment zarządzania kryzysowego w ujęciu formalnym (tzn. ukierunkowanym na zagrożenia głównie bezpieczeństwa powszechnego, bezpieczeństwa pub-licznego i zagrożenia transsektorowe)79.

Z formalnego punktu widzenia kwestie ochrony infrastruktury krytycz-nej regulują więc przepisy głównie ustawy o zarządzaniu kryzysowym oraz zapisy Narodowego Programu Ochrony Infrastruktury Krytycznej (NPOIK). Wspomniany akt prawny o randze ustawy odnosi się w niniejszym kon-tekście do następujących kwestii:

• definicyjnego ujęcia infrastruktury krytycznej, europejskiej infrastruk-tury krytycznej, ochrony infrastrukinfrastruk-tury krytycznej (art. 3),

• umiejscowienia ochrony infrastruktury krytycznej w katalogu zadań z zakresu planowania cywilnego (art. 4),

79 Szerzej, R. Wróbel, Przygotowanie podmiotów ochrony infrastruktury krytycznej

w Pol-sce, Wyd. SGSP, Warszawa 2016, s. 105–109, W. Skomra, Ochrona infrastruktury kry-tycznej w systemie zarządzania kryzysowego [w:] Ochrona infrastruktury krykry-tycznej,

• uwzględnienia kwestii dotyczących tejże ochrony w planach zarządzania kryzysowego (art. 5),

• założeń NPOIK (art. 5b),

• zadań ogólnych z zakresu ochrony infrastruktury krytycznej i europej-skiej infrastruktury krytycznej (art. 6–6c),

• zadań szczegółowych z zakresu ochrony infrastruktury krytycznej i euro-pejskiej infrastruktury krytycznej przypisanych konkretnych podmiotom (art. 9 ust. 1, art. 10–22, art. 25).

Ustawa o zarządzaniu kryzysowym ustanawia ramy ochrony infrastruk-tury krytycznej (w tym europejskiej infrastrukinfrastruk-tury krytycznej) w Polsce. Wytyczne szczegółowe w tym zakresie zebrano w przywoływanym NPOIK. Struktura tego dokumentu (i jego załączników) obejmuje elementy zdefinio-wane w aneksie do niniejszego opracowania80.

Struktura informacji zawartych w NPOIK i jego załącznikach, a tak-że wyniki ich analizy, pozwalają na sformułowanie kilku bardzo istotnych wniosków:

1. Ochrona infrastruktury krytycznej jest bardzo ściśle powiązana z za-rządzaniem kryzysowym. Wszystkie podmioty systemu zarządzania kryzysowego (decydenci, ich organy opiniodawczo-doradcze oraz organy administracyjne na wszystkich poziomach podziału administracyjne-go państwa) realizują zadania służącej tejże ochronie. Sama ochrona nazywana jest zadaniem z zakresu zarządzania kryzysowego. Stąd też w planach zarządzania kryzysowego wszystkich szczebli powinny się znaleźć kluczowe kwestie w przedmiotowym zakresie.

2. Podmioty systemu zarządzania kryzysowego stanowią swego rodzaju trzon ochronny infrastruktury krytycznej w Polsce. Jednakże nie tylko one realizują przedmiotowe zadania. Mogą je wspierać organy i komórki organizacyjne administracji rządowej i samorządowej, służby, inspek-cje, straże, organizacje pozarządowe, media, przedstawiciele środowisk naukowych oraz społeczności lokalne.

3. Zaangażowanie zróżnicowanych podmiotów w ochronę infrastruktu-ry kinfrastruktu-rytycznej prowadzi do znacznego zróżnicowania przedmiotowych

80 Szerzej, Narodowy Program Ochrony Infrastruktury Krytycznej, RCB, Warszawa 2015, w tym załączniki.

8.1. Idea ochrony obiektów kluczowych w perspektywie bezpieczeństwa powszechnego 149

działań. Można tu mówić, na najwyższym poziomie ogólności, o dzia-łaniach zapewniających bezpieczeństwo fizyczne, techniczne, osobowe, teleinformatyczne i prawne. Dobre praktyki i rekomendacje wspominają niejako także o działaniach edukacyjnych w rozpatrywanym zakresie. 4. W treściach formalnych regulacji ochrony infrastruktury krytycznej

w Polsce można niejednokrotnie natrafić na aspekty wynikające, a nawet wymuszające współpracę organów administracji publicznej z przedstawi-cielami szeroko rozumianego biznesu (np. z licznymi operatorami infra-struktury krytycznej). Jest to jak najbardziej uzasadnione z perspektywy teorii i praktyki przedmiotu rozważań. Stanowi bowiem swego rodzaju bardzo ważne połączenie podejścia top-down i podejścia bottom-up w odniesieniu do zarówno bezpieczeństwa powszechnego, jak też za-rządzania kryzysowego.

5. Traktując o ochronie infrastruktury krytycznej nie sposób pomijać prob-lematykę ciągłości jej działania (funkcjonowania). Więcej, istotą oma-wianego rodzaju ochrony jest właśnie zapewnianie ciągłego dostępu do systemów, usług, obiektów i instalacji istotnych w optyce prawidłowego funkcjonowania społeczności lokalnych i społeczeństwa jako całości. Niemniej jednak, formalne podejście do ochrony opisanych powyżej elementów zdaje się nie uwzględniać wszystkich aspektów poruszanej w ten sposób problematyki. Sprowadzanie omawianej ochrony jedynie do regulacji ustawy o zarządzaniu kryzysowym i NPOIK zdaje się być zbyt daleko idącym uproszczeniem.

Po pierwsze, systemy, usługi, obiekty i instalacje istotne w optyce pra-widłowego funkcjonowania społeczności lokalnych i całego społeczeństwa to nie tylko infrastruktura krytyczna. Rzeczywisty ich katalog zdecydowanie przekracza liczebnie katalog dedykowany infrastrukturze krytycznej. W kon-sekwencji pojawia się pytanie o to, czy scharakteryzowane powyżej regulacje można odnosić bezpośrednio do elementów istotnych z punktu widzenia bezpieczeństwa aczkolwiek niespełniających kryteriów identyfikacyjnych infrastruktury krytycznej (państwa). Z praktycznego punktu widzenia nic nie stoi na przeszkodzie.

Po drugie, w branżach funkcjonowania infrastruktur krytycznych od dawna obserwuje się coraz większą troskę o zapewnianie ciągłości dostar-czania kluczowych usług oraz utrzymywania kluczowych zasobów w obliczu

tzw. szczególnych zagrożeń (sytuacji kryzysowych, kryzysów, stanów nad-zwyczajnych). Za przykłady niech posłużą chociażby regulacje ustawowe prawa bankowego, prawa telekomunikacyjnego, prawa energetycznego, prawa pocztowego i systemu ubezpieczeń społecznych, a także zapisy wynikające z tzw. dobrych praktyk branżowych krajowych (np. rekomendacje D i M Komisji Nadzoru Finansowego) i zagranicznych (np. ITIL®, COBIT®, BS25999, ISO 22301).

Po trzecie, szeroki dostęp do regulacji prawnych i branżowych właści-wych ochronie infrastruktury krytycznej prowadzi do przekonania, że na ochronę tę można patrzyć z dwóch punktów widzenia – w analogii do bez-pieczeństwa powszechnego z perspektywy top-down i perspektywy bottom-up. Stwarza to olbrzymie możliwości implementacyjne, integracyjne i unifika-cyjne wszelkich regulacji, dobrych praktyk i rekomendacji. Należy zaznaczyć, że wspominane implementacja, integracja i unifikacja powinny przebiegać w kierunku maksymalizacji efektu synergii pozytywnej.

Po czwarte, dwukierunkowe podejście do ochrony infrastruktury kry-tycznej stanowi swoistą furtkę do wzajemnego zapożyczania rozwiązań meto-dycznych (metod, technik, narzędzi). Na szczególną uwagę w tym kontekście zasługują rozwiązania dotyczące analizy, oceny i zarządzania ryzykiem. Ryzyko to kategoria pojęciowa niezwykle istotna w świetle bezpieczeństwa, pozwala bowiem je mierzyć (ryzyko traktowane jest przez pryzmat mia-ry bezpieczeństwa). Regulacje dotyczące obydwóch rodzajów podejść do bezpieczeństwa powszechnego (w tym zarządzania kryzysowego i ochrony infrastruktury krytycznej) niejednokrotnie się do niego odnoszą. Niestety, współcześnie traktują o ryzyku w znacznej mierze indywidualnie, poprzez dostosowywanie definicji, metod, technik i narzędzi do wysublimowanych uwarunkowań czy to podmiotów państwowych czy też przedstawicieli bi-znesu. Odczuwa się więc pewnego rodzaju brak wspólnego, spójnego podej-ścia do tego zagadnienia. Jego wypracowanie jest bezsprzecznie pożądane w perspektywie komparatywnego szacowania ryzyka tak, aby można było odnosić wartości ryzyka terytorialnego do wartości ryzyka biznesowego, upraszczać wspólne procedury oceny i formułować zintegrowane sposoby zarządzania ryzykiem.

Po piąte, jak już wspomniano, niejednokrotnie odwoływano się do prob-lematyki ciągłości działania. Zdaje się być ona myślą przewodnią wszelkich