Szanowni Państwo, Członkowie Związku Pracodawców Polska Miedź

Uprzejmie informuję, że do konsultacji publicznych skierowany został projekt rozporządzenia Rady Ministrów w sprawie minimalnych wymagań w zakresie bezpieczeństwa fizycznego, technicznego, osobowego, cyberbezpieczeństwa, prawnego oraz ciągłości działania infrastruktury krytycznej (RD301).

Przedmiotowy projekt aktu prawnego wraz z Uzasadnieniem oraz Oceną Skutków Regulacji dostępny jest na stronach Rządowego Centrum Legislacji pod adresem:

https://legislacja.rcl.gov.pl/projekt/12410804/katalog/13206477#13206477

Uprzejmie proszę o przekazywanie ewentualnych uwag, opinii i stanowisk do projektu w terminie do 9 czerwca 2026 roku na adres: kuydowicz@pracodawcy.pl w wersji elektronicznej umożliwiającej edytowanie tekstu.

Celem projektowanej regulacji jest wprowadzenie jednolitych, minimalnych, wymagań dla operatorów infrastruktury krytycznej w sześciu obszarach bezpieczeństwa, tj. fizycznym, technicznym, osobowym, cyberbezpieczeństwa, prawnym oraz ciągłości działania.   

Dotychczasowe podejście oparte na zaleceniach i dobrych praktykach (vide załącznik 1 do NPOIK Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej – dobre praktyki i rekomendacje) nie zapewniało dostatecznego przełożenia na praktykę zamówień, inwestycji i utrzymania środków ochrony, co skutkowało zróżnicowaniem standardów, rozbieżnościami interpretacyjnymi oraz utrzymywaniem się luk bezpieczeństwa w obszarach wymagających zintegrowanego podejścia. 

Problem ma wymiar praktyczny – operatorzy infrastruktury krytycznej są zobowiązani do prowadzenia analizy zagrożeń i wdrażania adekwatnych rozwiązań, lecz bez minimalnego standardu wykonawczego trudniej jest zapewnić porównywalność, kontrolowalność i skuteczność wdrażanych środków oraz ograniczać ryzyko zakłóceń o skutkach kaskadowych.

Rekomendowanym rozwiązaniem jest wydanie rozporządzenia określającego minimalne wymagania w sześciu obszarach bezpieczeństwa infrastruktury krytycznej o charakterze funkcjonalnym, wdrażane adekwatnie do wyników analizy zagrożeń.

Oczekiwany efekt to:

• ujednolicenie minimalnego poziomu zabezpieczeń infrastruktury krytycznej;  
• ułatwienie określania warunków zamówień na usługi i środki techniczne niezbędne do ochrony infrastruktury krytycznej poprzez wprowadzenie jednolitego, minimalnego i weryfikowalnego punktu odniesienia dla specyfikacji zamówień, kryteriów oceny ofert oraz odbioru i rozliczenia dostaw warunków zamówień;
• zmniejszenie problemów organizacyjnych, prawnych i finansowych w procesach inwestycyjnych dla operatorów infrastruktury krytycznej w zakresie ww. sześciu obszarów bezpieczeństwa infrastruktury krytycznej; 
• ograniczenie ryzyka przyjmowania rozwiązań niespełniających wymaganego poziomu zabezpieczenia (m.in. przez mechanizmy testowania/odbioru/certyfikacji systemów);
• poprawa zdolności do reagowania na incydenty i utrzymania ciągłości działania;
• zwiększenie efektywności nadzoru i kontroli nad operatorami infrastruktury krytycznej.

Z wyrazami szacunku