Od sprejetja Zakona o kritični infrastrukturi je minilo že nekaj časa. Ali nam poveste kako se zadeve sedaj odvijajo na tem področju?
Zakon o kritični infrastrukturi (ZKI), ki je skladno z nomotehničnim načelom, da se zakoni pišejo počasi in preudarno (to načelo je sicer v naši državi pogosto kršeno), nastajal skoraj tri leta, je začel veljati 6. januarja letos. V Ministrstvu za obrambo, ki mu ZKI nalaga strokovno usmerjanje in usklajevanje dejavnosti na področju nacionalne kritične infrastrukture (op. področja evropske kritične infrastrukture ta zakon ne obravnava), smo kmalu po začetku veljavnosti zakona pristopili k njegovemu udejanjanju, ki najprej pomeni uresničitev zahtev iz prehodnih določb zakona. Če izhajamo iz zahtevnosti nalog, vsebovanih v teh določbah, lahko rečemo, da zakonodajalec pri postavljanju časovnega okvira za udejanjanje zakona ni bil posebej radodaren. V prvem letu veljavnosti ZKI njegove prehodne določbe pristojnim državnim organom na področju kritične infrastrukture (tj. Vladi Republike Slovenije, ministrstvu, pristojnemu za obrambo, nosilcem sektorjev kritične infrastrukture in državnim organom, ki sodelujejo z nosilci sektorjev pri izvajanju njihovih zakonskih nalog) namreč nalagajo dvoje: najprej (ponovno) izpeljati celotni postopek ugotavljanja in določanja kritične infrastrukture Republike Slovenije, nato pa, in sicer domala sočasno, izdati navodilo v obliki podzakonskega predpisa, ki bo podlaga za izdelavo ocene tveganj(a) za delovanje kritične infrastrukture, kar bodo morali (v letu 2019) opraviti upravljavci kritične infrastrukture Republike Slovenije, določeni na podlagi zakona.
Ugotavljanje (angl. identification) in določanje (angl. designation) kritične infrastrukture, ki skupaj z njeno zaščito tvorita področje kritične infrastrukture, spadata poleg definicije pojma kritična infrastruktura med najpomembnejše izhodiščne teme v zvezi s kritično infrastrukturo. Ugotavljanje kritične infrastrukture kot ena od sestavin politike na področju kritične infrastrukture je podlaga za večino drugih dejavnosti na tem področju, še posebej tistih, povezanih z zaščito kritične infrastrukture. Izvaja se z namenom ugotoviti oziroma prepoznati, s katerimi objekti, napravami, sistemi in njihovi deli ipd. se zagotavljajo dobrine in storitve, ki so za nemoteno delovanje določene skupnosti kritičnega ali ključnega pomena. Z določanjem kritične infrastrukture pa razumemo oblastno-administrativni postopek, s katerim se uradno določi, katera infrastruktura ima za določeno skupnost status kritične infrastrukture. Slednje je običajno dokaj natančno urejeno s predpisi, kot sta na primer v primeru evropske kritične infrastrukture direktiva Sveta (ES) št. 114/2008 (gl. 4. člen), v primeru nacionalne kritične infrastrukture pa slovenski ZKI, predvsem njegovo drugo poglavje. To poglavje vsebuje (tudi) določila o glavnih orodjih za ugotavljanje kritične infrastrukture – tj. sektorjih kritične infrastrukture, nosilcih teh sektorjev in z njimi sodelujočih državnih organov, prednostnem vrstnem redu delovanja sektorjev kritične infrastrukture, sektorskih in medsektorskih kriterijih za ugotavljanje kritične infrastrukture ter mejnih vrednostih teh kriterijev. S temi orodji so, upoštevajoč določila prehodnih določb ZKI, povezane neposredne kratkoročne naloge pristojnih državnih organov na področju kritične infrastrukture pri udejanjanju ZKI, ki so naslednje: določitev nosilcev sektorjev kritične infrastrukture in z njimi sodelujočih državnih organov, določitev kriterijev (sektorskih in medsektorskih) za ugotavljanje kritične infrastrukture in njihovih mejnih vrednosti, določitev prioritete delovanja sektorjev kritične infrastrukture ter določitev, katere konkretne infrastrukturne zmogljivosti (tj. objekti, naprave, sredstva, sistemi in njegovi deli ipd.) zagotavljajo storitve ali proizvajajo dobrine, ki so ključnega pomena na državni ravni in jih je treba obravnavati kot kritično infrastrukturo Republike Slovenije; slednja določitev vključuje tudi določitev upravljavcev kritičnih infrastrukturnih zmogljivosti.
Ker sektorje kritične infrastrukture taksativno določa sam ZKI, je bilo mogoče pristopiti neposredno k določitvi nosilcev teh sektorjev in z njimi sodelujočih državnih organov, kar je Vlada Republike Slovenije na začetku letošnjega julija že storila. Konec istega meseca je določila tudi sektorske in medsektorske kriterije za ugotavljanje kritične infrastrukture in njihove mejne vrednosti ter prednostni vrstni red sektorjev kritične infrastrukture. Ti kriteriji bodo poleg uradne definicije kritične infrastrukture Republike Slovenije glavna podlaga za oblikovanje predloga za določitev tovrstne infrastrukture.
Ker je bilo pri pripravi ZKI kot eno od njegovih izhodišč sprejeto stališče, da se obstoječa ureditev področja kritične infrastrukture državnega pomena sicer smiselno upošteva, ni pa obvezna podlaga, je v ZKI ugotavljanje kritične infrastrukture urejeno na podlagi pristopa, ki se uporablja pri ugotavljanju evropske kritične infrastrukture, v večini članic EU pa tudi nacionalne kritične infrastrukture. Zaradi tega je danes namesto nekdanje glavne delitve na osnovne in sektorske kriterije za določanje kritične infrastrukture uveljavljena delitev na sektorske in medsektorske kriterije za ugotavljanje kritične infrastrukture. Poleg tega so danes sektorski kriteriji ubeseditveno preoblikovani in v manjši meri vsebinsko spremenjeni, kar je zahtevalo v ZKI določeno od dosedanjega deloma drugačno razumevanje koncepta sektorskih kriterijev, dosedanji osnovni kriteriji za določanje kritične infrastrukture pa so smiselno pretvorjeni v medsektorske kriterije za ugotavljanje kritične infrastrukture.
Kriteriji za ugotavljanje kritične infrastrukture na splošno temeljijo na definiciji kritične infrastrukture Republike Slovenije, določeni v ZKI, po kateri obsega tovrstna infrastruktura tiste zmogljivosti, ki so ključnega pomena za državo, ker se ocenjuje, da bi imela prekinitev njihovega delovanja ali njihovo uničenje resne posledice za nacionalno varnost, gospodarstvo in druge ključne družbene funkcije ter zdravje, varnost, zaščito in blaginjo ljudi. Kriteriji so zato oblikovani na podlagi presoje posledic, ki lahko zaradi resnih motenj v delovanju ali prekinitve delovanja kritične infrastrukture Republike Slovenije nastanejo s prej navedenih vidikov, torej za nacionalno varnost, gospodarstvo in druge ključne družbene funkcije ter zdravje, varnost, zaščito in blaginjo ljudi.
Sektorski kriteriji za ugotavljanje kritične infrastrukture so bili oblikovani ob upoštevanju značilnosti posameznega sektorja kritične infrastrukture in bodo podlaga za prvi izbor (potencialno kritične) dejanske infrastrukture v sektorju kritične infrastrukture, ki bo morala nato, da bo pridobila status kritičnosti, prestati še presojo, izvedeno na podlagi upoštevanja definicije kritične infrastrukture Republike Slovenije in medsektorskih kriterijev. Sektorski kriteriji so določeni za vsak posamezni sektor kritične infrastrukture kot vsebinsko zaokroženo celoto delovanja kritične infrastrukture.
Medsektorski kriteriji za ugotavljanje kritične infrastrukture, ki se uporabljajo v vseh sektorjih kritične infrastrukture, so najpomembnejše sredstvo za oceno kritičnosti infrastrukturnih zmogljivosti, njihova glavna značilnost pa je, da sodijo v skupino kriterijev vpliva (angl. impact criteria), pri katerih se ocenjuje kritičnost infrastrukturnih zmogljivosti na temelju posledic njihovega nedelovanja na zagotavljanje življenjsko pomembnih družbenih funkcij. Pri presoji posledic resnih motenj v delovanju ali prekinitve delovanja kritične infrastrukture so bili upoštevani: a) število žrtev z vidika števila mrtvih ali poškodovanih oseb; b) gospodarske posledice z vidika izpada dohodka ter poslabšanja kakovosti proizvodov ali storitev, vključno z morebitnimi posledicami z vidika okolja; ter c) vpliv na javnost z vidika posledic za zaupanje javnosti ter fizično trpljenje in motnje v vsakodnevnem življenju ljudi, vključno s prekinitvijo njihove preskrbe z osnovnimi dobrinami in zagotavljanja osnovnih storitev. Če bodo sektorski kriteriji predvsem podlaga za prvi izbor (dejanske) kritične infrastrukture v sektorju kritične infrastrukture, bodo medsektorski kriteriji predvsem glavno in zadnje sito pri ugotavljanju kritične infrastrukture, saj bo morala v postopku ugotavljanja vsaka infrastrukturna zmogljivost, da bo dobila oznako kritična, zadostiti tudi minimalni vrednosti vsaj enega medsektorskega kriterija.
Mejne vrednosti (medsektorskih) kriterijev so določene na podlagi presoje teže mogočih posledic, nastalih zaradi resnih motenj v delovanju ali prekinitve delovanja kritične infrastrukture Republike Slovenije. Te vrednosti so količinski vidik kriterijev in so skupaj z njimi celovita podlaga za ugotovitev in nato določitev, kateri infrastrukturi državnega pomena pripada oznaka kritična. Tudi mejne vrednosti kriterijev so sicer povezane s posledicami resnih motenj v delovanju ali prekinitve delovanja kritične infrastrukture, vendar je pri mejnih vrednostih bistvo v presoji teže mogočih posledic, ne pa v presoji vrste posledic, kar je kakovostni vidik kriterijev za ugotavljanje kritične infrastrukture.
Prednostni vrstni red sektorjev kritične infrastrukture je določen z vidika ocenjenih posledic resnih motenj v njihovem delovanju ali prekinitve njihovega delovanja nasploh ter pričakovanega neposrednega vpliva na delovanje drugih sektorjev kritične infrastrukture (t. i. soodvisnosti sektorjev kritične infrastrukture). Ta prednostni vrstni red vsebinsko v celoti sledi doslej veljavni ureditvi tega vprašanja. Še zmeraj sta na prvih dveh mestih, tako kot domala povsod v svetu, preskrba z električno energijo in storitve informacijsko-komunikacijskih omrežij in sistemov. Od teh sektorjev kritične infrastrukture, sicer prav tako delujeta v medsebojni soodvisnosti, je odvisno delovanje domala vseh drugih sektorjev kritične infrastrukture, med katerimi sta po pomenu na vrhu sektor preskrbe s pitno vodo in sektor prehrane.
Kako so razdeljeni sektorji kritične infrastrukture in nosilci sektorjev?
Tako kot ni definicije pojma kritična infrastruktura, ki bi bila sprejeta v vseh državah, tudi enotni pogled na razlikovanje sektorjev kritične infrastrukture ne obstaja. Ti sektorji so od države do države, tudi v članicah EU, precej različno določeni, ne samo z vidika njihovega skupnega števila, ampak tudi njihove vsebine oziroma raznovrstnosti. Primat v svetu glede števila imajo s 16 sektorji kritične infrastrukture ZDA, po drugi strani pa je na primer Belgija določila samo štiri sektorje kritične infrastrukture (tj. promet, energetiko, finance in elektronske komunikacije). Med nacionalnimi sektorji kritične infrastrukture domala v nobeni državi, ki skrbi za zaščito svoje kritične infrastrukture, ne manjkajo tradicionalna infrastrukturna področja, kot so na primer energetika, informacijsko-komunikacijsko področje, promet ter preskrba s pitno vodo in hrano, po drugi strani pa danes na primer v ZDA na področje kritične infrastrukture uvrščajo tudi nacionalne spomenike oziroma na Hrvaškem in v Bolgariji kulturno in naravno dediščino, kar v nekaterih drugih državah (tudi v Sloveniji) ni bilo sprejeto. V primerjavi s tujimi rešitvami se naša država tako glede skupnega števila sektorjev kritične infrastrukture kot njihove vrste uvršča v povprečje, saj je prepoznala skupno osem sektorjev kritične infrastrukture, med katerimi so vsi takšni, ki jih najdemo tudi v drugih državah. Po drugi strani pa v nasprotju s številnimi evropskimi državami z našo sektorsko ureditvijo kritične infrastrukture ni zajeto področje delovanja državnih oblastnih organov, predvsem pa različnih varnostnih in zaščitno-reševalnih služb, o čemer bo treba, verjetno že v bližnji prihodnosti, opraviti dodatni razmislek.
Kot rečeno, sektorje kritične infrastrukture taksativno določa sam ZKI. Tudi s tega vidika ob pripravi tega zakona nismo spreminjali obstoječe ureditve, ki je bila vzpostavljena že oktobra 2012, ko so bili sektorji kritične infrastrukture prepoznani in nato določeni na podlagi predhodno sprejete definicije kritične infrastrukture državnega pomena v Republiki Sloveniji. K oblikovanju te definicije kot tudi predloga seznama sektorjev kritične infrastrukture je pomembno prispevalo predvsem obsežno poročilo o raziskovalnem projektu z naslovom Definicija in zaščita kritične infrastrukture v Republiki Sloveniji, s katerim je bil opravljen t. i. hitri pregled (angl. quick scan) stanja na področju kritične infrastrukture v naši državi. Ne glede na načelno upoštevanje obstoječe sektorske ureditve pa smo v našem ministrstvu oblikovanje predloga nosilcev sektorjev kritične infrastrukture in z njimi sodelujočih organov ocenili za primerno iztočnico za ponovni »hitri pregled« in vsebinski premislek o vsakem posameznem, zakonsko že določenem, sektorju kritične infrastrukture v smislu upoštevanja njegovih značilnosti in njegove členitve na podsektorje, predvsem pa upoštevanja različnih možnih (kritičnih) storitev, ki se zagotavljajo znotraj (pod)sektorja. Ministrstva, predvidena za nosilce sektorjev kritične infrastrukture, smo k izvedbi navedenega vsebinskega premisleka skušali spodbuditi s pripravo metodoloških priporočil za izvedbo omenjenega »hitrega pregleda«.
Tudi danes so za sektorje kritične infrastrukture kot vsebinsko zaokrožene celote delovanja kritične infrastrukture zakonsko določeni: sektor energetike, sektor prometa, sektor prehrane, sektor preskrbe s pitno vodo, sektor zdravstva, sektor financ, sektor varovanja okolja ter sektor informacijsko-komunikacijskih omrežij in sistemov. Razloga za že od vsega začetka uporabljeno zaporedje navedbe sektorjev kritične infrastrukture, ki je v ZKI samo ponovljen, ne poznam, vsekakor pa ne gre za prednostni vrstni red sektorjev kritične infrastrukture z vidika ocenjenih posledic resnih motenj v njihovem delovanju ali prekinitve njihovega delovanja nasploh ter pričakovanega neposrednega vpliva na delovanje drugih sektorjev kritične infrastrukture.
ZKI določa, da je lahko nosilec sektorja kritične infrastrukture ministrstvo kot organ državne uprave, ki je (skladno z določili Zakona o državni upravi) odgovorno za delovno področje, ki ga vključuje določeni sektor kritične infrastrukture, in Banka Slovenije kot pravna oseba javnega prava. Zakon določa splošni status, vlogo in naloge nosilcev sektorjev kritične infrastrukture, dejanske nosilce in z njimi sodelujoče organe pa je določila Vlada Republike Slovenije. Tako je Ministrstvo za infrastrukturo nosilec sektorjev energetika in promet, Ministrstvo za okolje in prostor sektorjev preskrba s pitno vodo in varovanje okolja, Ministrstvo za kmetijstvo, gozdarstvo in prehrano sektorja prehrane, Ministrstvo za zdravje sektorja zdravstvo, Ministrstvo za finance sektorja financ, Ministrstvo za javno upravo pa je nosilec sektorja informacijsko-komunikacijskih omrežij in sistemov. Navedena ministrstva s svojimi delovnimi področji morda posameznega sektorja kritične infrastrukture ne zajamejo v celoti, zagotovo pa ga »pokrijejo« v pretežni meri, kar jih v povezavi z določilom ZKI, da ima vsak sektor kritične infrastrukture samo enega nosilca, postavlja v vlogo državnega organa, ki je na strani državne oblasti prvi in najbolj odgovoren za zaščito kritične infrastrukture na določenem vsebinsko zaokroženem področju, tj. sektorju kritične infrastrukture. Ministrstva kot nosilci sektorjev kritične infrastrukture imajo na splošno vlogo »državnega skrbnika« posameznega sektorja kritične infrastrukture, kar pomeni, da niso (in tudi ne morejo biti) odgovorna za zaščito konkretne kritične infrastrukture iz »svojega« sektorja kritične infrastrukture, so pa v imenu države odgovorna za stanje v »svojem« sektorju kritične infrastrukture z vidika njegove zaščite.
Že pri pripravi predloga ZKI je bilo prisotno zavedanje, med predhodnim medresorskim usklajevanjem zakona pa je bilo tudi izpostavljeno, da zahteva obvladovanje posameznih sektorjev kritične infrastrukture zaradi njihove vsebinske raznorodnosti ne samo skrb in delo posameznega (t. i. vodilnega) ministrstva, ampak tudi drugih državnih organov. Izpolnitev te zahteve je ZKI omogočil s tem, da je med organe in organizacije, ki imajo naloge in pristojnosti na področju (zaščite) kritične infrastrukture, uvrstil tudi državne organe (t. i. sodelujoče organe), ki sodelujejo z nosilci sektorjev kritične infrastrukture pri izvajanju njihovih nalog. Tudi sodelujočih organov ZKI poimensko ne določa; na podlagi predlogov nosilcev sektorjev kritične infrastrukture jih je določila Vlada Republike Slovenije (npr. na predlog Ministrstva za javno upravo so bili v sektorju informacijsko-komunikacijskih omrežij in sistemov kot sodelujoči organi določeni Ministrstvo za infrastrukturo, Ministrstvo za izobraževanje, znanost in šport, Ministrstvo za kulturo, Ministrstvo za notranje zadeve – Policija, Ministrstvo za obrambo, Ministrstvo za zunanje zadeve in Urad Vlade Republike Slovenije za varovanje tajnih podatkov).
Glede na predstavljen koncept resorne odgovornosti za posamezne sektorje kritične infrastrukture, ki ga uporabljajo v večini držav in pomeni, da ni en organ v državi pristojen in odgovoren za vse sektorje kritične infrastrukture, so v vseh »kritičnoinfrastrukturno« razvitih primerljivih državah določili osrednji usmerjevalno-usklajevalni državni organ na področju kritične infrastrukture. Analiza stanja v zvezi s tem vprašanjem v vseh članicah EU, ki jo je leta 2016 med svojim predsedovanjem Svetu EU izvedla Slovaška, je pokazala, da je omenjeni usmerjevalno-usklajevalni državni organ, ko gre za ministrstvo, najpogosteje ministrstvo za notranje zadeve ali državni organ, pristojen za varstvo pred naravnimi nesrečami, ponekod je usmerjevalno-usklajevalna vloga zaupana organu, ki z različno širokim nacionalnovarnostnim delovnim področjem delujejo izven kateregakoli ministrstva in je v državnoupravnem ustroju njegovo mesto praviloma na ravni vlade oziroma pri njej, nikjer z izjemo naše države pa se s področjem kritične infrastrukture na ta način ne ukvarja Ministrstvo za obrambo. Pri nas namreč ZKI strokovno usmerjanje in usklajevanje dejavnosti na področju kritične infrastrukture nalaga Ministrstvu za obrambo. Tako je v tem ministrstvu tudi svojevrsten strokovni domicil področja kritične infrastrukture v Republiki Sloveniji oziroma ta organ je strokovni skrbnik tega področja v državi.
Navedeno pomeni, da imamo pri nas v evropskem in širšem prostoru izrazito posebnost, domala unikum, da se z ugotavljanjem, določanjem in zaščito kritične infrastrukture kot osrednji usmerjevalno-usklajevalni državni organ ukvarja Ministrstvo za obrambo, še več njegov osrednji upravnoobrambni del, v katerem se izvajajo ozko obrambne strokovne naloge. Danes, tj. po sprejetju ZKI, se je že udomačila razlaga, da je bila takšna rešitev sprejeta predvsem zato, ker se Ministrstvo za obrambo s področjem kritične infrastrukture – tako evropske kot nacionalne – ukvarja že več kot desetletje, zanemarja pa se pomembno dejstvo, da vprašanje določitve osrednjega usmerjevalno-usklajevalnega državnega organa na področju kritične infrastrukture, ki zadeva ne povsem obroben vidik urejanja slovenskega nacionalnovarnostnega ustroja, med usklajevanjem in v postopku sprejemanja ZKI ni bilo deležno domala nikakršne resne pozornosti niti strokovne, vključno s civilnodružbeno in akademsko, niti politične javnosti, kar štejem za dodatni dokaz netankočutnosti pri urejanju področja nacionalne varnosti v naši državi.
Kdo so upravljavci kritične infrastrukture?
Upravljavci kritične infrastrukture bodo določeni skupaj s kritično infrastrukturo Republike Slovenije, postopek ugotavljanja te infrastrukture pa, kot je bilo povedano, še teče, zato lahko v nadaljevanju podam samo nekaj glavnih konceptualnih in zakonskih rešitev v zvezi z upravljavci kritične infrastrukture kot ene od najpomembnejših skupin deležnikov na področju (zaščite) kritične infrastrukture.
S statusno-pravnega vidika je lahko upravljavec kritične infrastrukture gospodarska družba, zavod, državni organ in Banka Slovenije, ki je lastnik in/ali upravljavec kritične infrastrukture, pri čemer ni pomembno, kakšni sta oblika in struktura lastnine kritične infrastrukture. Kadar lastništvo in upravljanje kritične infrastrukture nista v rokah iste pravne osebe, so lastniki kritične infrastrukture odgovorni za naložbe v posamezno kritično infrastrukturo, upravljavci kritične infrastrukture pa za njeno (vsakodnevno) nemoteno delovanje. Pri tem velja, da določila ZKI smiselno zavezujejo lastnike in upravljavce kritične infrastrukture.
Glavna naloga upravljavcev kritične infrastrukture na področju zaščite kritične infrastrukture je zagotavljati neprekinjeno delovanje kritične infrastrukture, kar pomeni njeno delovanje v vseh razmerah, pri čemer so seveda izključene okoliščine, na nastanek katerih upravljavec kritične infrastrukture ne more vplivati in se nanje pripraviti (npr. padec nebesnega telesa). Upravljavci kritične infrastrukture so na splošno prvi in najbolj neposredno pristojni in odgovorni ter, domnevamo, tudi poslovno zainteresirani za zagotavljanje neprekinjenega delovanja kritične infrastrukture, zaradi česar so dolžni zagotavljati ustrezne planske (npr. izdelava dokumentov načrtovanja zaščite kritične infrastrukture), materialne (npr. zagotovitev materialnih in finančnih sredstev), kadrovske (npr. zagotavljanje ustreznega kadra ter usposabljanje vodstvenih in drugih zaposlenih) in tudi organizacijske pogoje za delovanje kritične infrastrukture. S tem je operacionaliziran prvi del načela odgovornosti, ki je določeno z ZKI, če za njegov drugi del štejemo določilo, da so za krepitev zaščite kritične infrastrukture odgovorni vsi déležniki na področju kritične infrastrukture.
Poudarjena odgovornost upravljavcev kritične infrastrukture se odraža tudi v zakonski rešitvi, po kateri morajo dokumente načrtovanja zaščite kritične infrastrukture (tj. oceno tveganja za delovanje kritične infrastrukture in ukrepe za njeno zaščito) izdelati le upravljavci kritične infrastrukture. Pri pripravi predloga ZKI je bila sicer obravnavana tudi možnost, da se tudi nosilcem sektorjev kritične infrastrukture naloži obveznost izdelati oceno tveganj za delovanje kritične infrastrukture in načrtovati ukrepe za zaščito kritične infrastrukture na ravni sektorja iz svoje pristojnosti, vendar je v medresorskem usklajevanju prevladala ocena, da bi navedena možnost dodatno zapletla proces načrtovanja zaščite kritične infrastrukture, njen učinek pa ne bi upravičeval vloženega napora. Verjamem, da bo v doglednem času dozorela drugačna ocena o potrebnosti ukvarjanja z načrtovanjem zaščite kritične infrastrukture tudi na sektorski ravni. Pri tem imam v mislih tisto, kar v nekoliko prilagojeni obliki izraža znana prispodoba o drevesih in gozdu: pričakujemo lahko, da bodo za drevesa v obliki posameznih kritičnih infrastrukturnih zmogljivosti, tudi na podlagi svojih zakonskih obveznosti, bolj ali manj dobro poskrbeli njihovi upravljavci, ukvarjanje z gozdom v obliki sektorja kritične infrastrukture pa bo za zdaj prepuščeno zgolj ozaveščenosti in samoregulirani prizadevnosti nosilca tega sektorja.
Kakšen je naslednji korak, ki se pripravlja na področju kritične infrastrukture?
Med naslednjimi koraki v zvezi s skrbjo za področje kritične infrastrukture v naši državi je treba s časovnega vidika ločiti med neposrednimi, bližnjimi in nekoliko bolj oddaljenimi koraki, z vidika njihovih nosilcev pa med tistimi, ki jih bodo morali opraviti pristojni državni organi na eni strani in upravljavci kritične infrastrukture na drugi strani. Upoštevajoč oba navedena vidika so pred različnimi deležniki na področju kritične infrastrukture naslednje glavne naloge:
- Z določitvijo konkretnih kritičnih infrastrukturnih zmogljivosti državnega pomena in njihovih upravljavcev je treba dokončati postopek ugotavljanja kritične infrastrukture Republike Slovenije. Tudi pri tem strateško pomembnem dejanju ima zadnjo besedo Vlada RS kot politični oblastni organ, oblikovati pobudo in pripraviti predlog za določitev kritične infrastrukture Republike Slovenije pa je še ena »izvirna« pravica in dolžnost nosilcev sektorjev kritične infrastrukture (poleg oblikovanja predloga sektorskih kriterijev za ugotavljanje kritične infrastrukture, na primer), medtem ko bo naloga Ministrstva za obrambo sektorske predloge združiti v usklajen skupen predlog in ga predložiti v obravnavo Vladi Republike Slovenije. Tudi pri pripravi predloga za določitev kritične infrastrukture Republike Slovenije se izhaja iz stališča, da se je mogoče in treba opreti na obstoječo ureditev na področju kritične infrastrukture, saj je bilo v preteklih letih v ugotavljanje in določanje kritične infrastrukture državnega pomena vloženega veliko intelektualnega in organizacijskega napora, katerega rezultatom se ni mogoče niti treba odreči. Nasprotno, smiselno jih je uporabiti, vendar jih je treba hkrati ponovno preveriti. Zavedajoč se, da je ugotavljati kritično infrastrukturo samo po sebi miselno sorazmerno zahtevno opravilo, ki zahteva med drugim določeno metodološko-postopkovno znanje in vêdenje o tem opravilu, smo v Ministrstvu za obrambo pripravili strokovno gradivo, ki vsebuje glavna metodološka pojasnila o vsebini postopka ugotavljanja kritične infrastrukture in nekatera priporočila za izvedbo tega postopka. Zamišljeno je kot strokovna pomoč nosilcem sektorjev kritične infrastrukture pri njihovem ponovnem pregledu stanja glede določenosti kritičnih infrastrukturnih zmogljivosti v sektorju njihove odgovornosti.
- V letu dni po uveljavitvi ZKI je treba sprejeti navodilo za ocenjevanje tveganj(a) za delovanje kritične infrastrukture. Njegova vsebina v zakonu ni podrobneje določena, priprava in uskladitev z nosilci sektorjev kritične infrastrukture in sprejetje pa so naloženi Ministrstvu za obrambo.
Ker je priprava zadevnega navodila zelo strokovno opravilo s področja obvladovanja tveganj(a) (angl. risk management), posebnih znanj in izkušenj s tega področja pa v Ministrstvu za obrambo nimamo, smo strokovno pomoč poiskali pri zunanjem izvajalcu. Naročili smo študijo, ki bo ocenjevanje tveganj(a) obravnavala na treh ravneh: na splošni ravni bo predstavila področje obvladovanja tveganj(a) kot splošen okvir za ocenjevanje tveganj(a), na ravni posebnega bo obravnavala ocenjevanje tveganj(a) s poudarkom na posebnostih ocenjevanja tveganj(a) na področju (zaščite) kritične infrastrukture, na ravni posamičnega pa bo obravnavala ocenjevanje tveganj(a) za delovanje kritične infrastrukture z vidika upravljavca te infrastrukture. Največja neposredna uporabna vrednost študije se pričakuje od njenega tretjega dela, ki naj bi bil strokovna opora tako pri pripravi navodila za ocenjevanje tveganj za delovanje kritične infrastrukture kot tudi opora upravljavcem kritične infrastrukture pri njihovi izdelavi dokumentov načrtovanja. Poleg tega bo študija, ker bo izdana v knjižni obliki, strokovno gradivo, ki bo dostopno širši javnosti.
- Zgoraj navedeno navodilo bo skupaj s smernicami nosilca sektorja kritične infrastrukture podlaga za izdelavo ocene tveganj(a) za delovanje kritične infrastrukture, ki jo bodo morali izdelati upravljavci kritične infrastrukture Republike Slovenije. Ta ocena bo nadalje glavna podlaga za izdelavo ukrepov za zaščito kritične infrastrukture, ki bodo skupaj z oceno predstavljali dokumente načrtovanja zaščite kritične infrastrukture in jih bo morali upravljavci kritične infrastrukture izdelati v letu dni po sprejetju navedenega navodila.
- Četudi niso določena z natančnim zakonskim rokom, je treba zaradi udejanja posameznih določil ZKI izvesti tudi številna bolj operativno-tehnična opravila – od priprave seznama odgovornih in kontaktnih oseb nosilcev sektorjev kritične infrastrukture in upravljavcev kritične infrastrukture z zakonsko določenimi podatki, dopolnitve kataloga zbirk osebnih podatkov z vidika podatkov navedenih odgovornih in kontaktnih oseb, izdaje postopkovnika za sprejem in posredovanje obvestila o prekinitvi delovanja kritične infrastrukture Republike Slovenije, spremembe in dopolnitve Zakona o državni upravi z vidika kritične infrastrukture kot zakonsko določenega delovnega področja Ministrstva za obrambo do prevoda ZKI v angleški jezik. Za izvedbo vseh teh nalog bomo poskrbeli v Ministrstvu za obrambo oziroma v Nacionalnem centru za krizno upravljanje, ki deluje v njegovi organizacijski sestavi.
- Kratkoročne naloge na področju kritične infrastrukture, zlasti tiste, ki morajo biti izvedene v letih 2018 in 2019, so torej znane in delovne zmogljivosti deležnikov na področju (zaščite) kritične infrastrukture bodo v navedenem obdobju z njihovim izvajanjem v veliki meri zasedene. Kaj in kako početi pri urejanju področja nacionalne kritične infrastrukture v nadaljevanju, tj. v srednjeročnem obdobju, pa ni dorečeno. Nimamo namreč nacionalnega programa za zaščito kritične infrastrukture, ki bi po vzoru na Evropski program za varovanje ključne infrastrukture iz leta 2006 kot strateškousmerjevalni dokument vseboval osnovne okvire za oblikovanje in izvajanje celovite politike na področju (zaščite) nacionalne kritične infrastrukture. Četudi imamo danes krovni sistemski nacionalni predpis, težko pričakujemo, da bo delovanje pri urejanju področja kritične infrastrukture brez navedenega strateškega usmerjevalnega dokumenta, ki bi zajel tako pomembna politična (npr. kaj je najnižja sprejemljiva stopnja zagotavljanja kritičnih dobrin/ali storitev) kot operativno-izvedbena (npr. kako pristopiti k vzpostavljanju javno-zasebnega partnerstva na področju zaščite kritične infrastrukture) vprašanja, zelo načrtno in sistematično. Zato bi bilo dobro, da bi nacionalni program za zaščito kritične infrastrukture izdelali, četudi izrazito post festum.
Odločitev za (naknadno) izdelavo nacionalnega programa za zaščito kritične infrastrukture bo svojevrsten kazalnik stopnje zavedanja državne oblasti o pomembnosti področja zaščite kritične infrastrukture. S tega vidika je dober znak dejstvo, da je Državni zbor predlog ZKI izglasoval z absolutno kvalificirano (»ustavno«) večino, saj na svojstven način odraža prisotnost zavedanja najvišjih političnih odločevalcev v državi, da je sodobna družba družba tveganja, v kateri nemoteno delovanje infrastrukture, ki je življenjsko pomembna za »normalno« delovanje posameznika in celotne družbe, (že dolgo) ni več samoumevno. Toda pravi preizkus zavedanja visokih predstavnikov državne oblasti o pomembnosti področja zaščite kritične infrastrukture šele pride – prej ali slej.
Pri nosilcih zakonodajne veje oblasti in vladi kot najvišjem organu izvršilne veje oblasti se bo omenjeno zavedanje odrazilo v pripravljenosti podpreti rešitve v zvezi z zaščito kritične infrastrukture, ki bodo imele za državni proračun tudi večje neposredne finančne posledice (npr. v obliki dovoljenih spodbud za upravljavce kritične infrastrukture). Najbolj neposrednemu preizkusu zavedanja o pomembnosti področja zaščite kritične infrastrukture pa bodo izpostavljena vodstva tistih ministrstev, ki so določena za nosilce sektorjev kritične infrastrukture. Pri tem mislim v prvi vrsti na njihov posluh za zagotavljanje ustreznih kadrovskih zmogljivosti za ukvarjanje z zaščito kritične infrastrukture na sektorski ravni. Če niso v določenem ministrstvu topogledne kadrovske razmere že sedaj optimalne, potem bo za učinkovito uresničevanje svojih pristojnosti in odgovornosti na področju zaščite kritične infrastrukture moralo zaposliti dodatne osebe, vsekakor pa bo moralo omogočiti dodatno usposabljanje že zaposlenih izvajalcev nalog na področju (zaščite) kritične infrastrukture. Slednja ugotovitev enako ali še (naj)bolj velja za Ministrstvo za obrambo, ki mu je ZKI naložil vlogo strokovnega skrbnika tega področja v državi. V naše delovno okolje bo treba pritegniti ne samo dodatne kadre, ampak tudi za področje zaščite kritične infrastrukture strokovno že kompetentne osebe, če želimo biti kos tako povečanemu obsegu operativno-tehničnih nalog kot tudi (bolj) zahtevnim razvojnim izzivom na posebnem strokovnem delovnem področju, ki je z obrambnim zgolj v daljnem sorod(stv)u.
Bil je opravljen tudi pregled obstoječih usposabljanj za zaščito KI v izbranih državah. Katera država pa ima po vašem mnenju dober model usposabljanja?
V Ministrstvu za obrambo (Direktoratu za obrambne zadeve) smo v času od avgusta 2016 do maja 2018 s podporo sredstev Evropske unije iz Sklada za notranjo varnost (ang. Internal Security Fund) izvedli projekt Potrebna znanja in predlog programa usposabljanja upravljavcev kritične infrastrukture (PROPU). Namen projekta je bil ugotoviti in proučiti potrebna znanja za učinkovito zaščito kritične infrastrukture ter oceniti potrebe po dodatnih znanjih upravljavcev kritične infrastrukture, pa tudi pristojnih ministrstev kot nosilcev sektorjev kritične infrastrukture ter z njimi sodelujočih državnih organov. V okviru projekta smo obravnavali ureditev usposabljanj za zaščito kritične infrastrukture v različnih evropskih državah, in sicer Avstriji, Belgiji, Grčiji, Češki, Hrvaški, Italiji, Madžarski, Nizozemski, Slovaški, Švedski in Združenih državah Amerike.
Po naši oceni so med bolj razvitimi koncepti izobraževanj, usposabljanj in vaj za zaščito kritične infrastrukture švedski, nizozemski in ameriški. Švedski koncept, ki se že več let izvaja pod okriljem Agencije za zaščito družbe in pripravljenost (šved. Myndigheten för samhällsskydd och beredskap, MSB; angl. Swedish Civil Contingencies Agency), obsega točno določen učni načrt in izobraževalna gradiva. Poleg tega Švedska redno izvaja medsektorske vaje za zaščito kritične infrastrukture s sodelovanjem bolj ali manj številnih in raznovrstnih udeležencev. Nizozemski koncept ponuja veliko usposabljanj, predvsem v obliki uporabe računalniških aplikacij, ki se izvajajo pod okriljem Nacionalnega koordinatorja za boj proti terorizmu in varnost (niz. Nationaal Coördinator Terrorismebestrijding en Veiligheid, NCTV). Nizozemska je razvila tudi svoj koncept vaj Vitex za povezovanje različnih omrežij na nacionalni in EU ravni zaradi izboljšanja zaščite kritične infrastrukture; ta koncept je leta 2016 preizkusila na istoimenski mednarodni vaji v organizaciji NCTV. Ameriški koncept izobraževanj, usposabljanj in vaj za zaščito kritične infrastrukture vključuje številna brezplačna usposabljanja, spletne tečaje in seminarje, tečaje z vodstvom inštruktorjev in tematska študijska gradiva za javni in zasebni sektor, ki so jih razvili Urad za zaščito infrastrukture v Ministrstvu za domovinsko varnost (angl. Department of Homeland Security, DHS), Inštitut za ukrepanje ob nesrečah (angl. Emergency Management Institute) pri Zvezni agenciji za ukrepanje ob nesrečah (angl. Federal Emergency Management Agency, FEMA) ter drugi uradi in/ali odbori. Na ravni sektorjev ali upravljavcev kritične infrastrukture pa se izvajajo tudi na razpravah temelječe interaktivne vaje.
Druge države izvajajo predvsem delavnice o grožnjah in tveganjih, ki so namenjene spopadanju z zlonamernimi grožnjami kritični infrastrukturi in krepitvi notranjevarnostnih vidikov njene zaščite. Zgolj na Madžarskem je za varnostne uradnike za zvezo predpisana formalna izobrazba s področja zaščite kritične infrastrukture. Podoben študijski program s področja zaščite kritične infrastrukture je bil leta 2017 oblikovan tudi na Slovaškem. Določene države, kot so Grčija, Hrvaška in Italija, pa se področja izobraževanj in usposabljanj upravljavcev kritične infrastrukture lotevajo v okviru različnih širših projektov, ki so namenjeni izboljšanju odpornosti kritične infrastrukture državnega pomena, ocenjevanju soodvisnosti sektorjev kritične infrastrukture, sistematičnemu ocenjevanju tveganj(a) ipd. Ob tem je prisotno tudi sodelovanje na meddržavni ravni v obliki izmenjave izkušenj in dobrih praks pri zaščiti kritične infrastrukture nasploh, pa tudi izvedbi skupnih usposabljanj in drugih dogodkov.
Bolj vedoželjne bralce vabim k branju celotnega poročila o izvedbi projekta Potrebna znanja in predlog programa usposabljanja upravljavcev kritične infrastrukture, ki je dosegljivo na naslednji spletni strani Ministrstva za obrambo:
P. D. E: info@varensvet.si