Sistemski ukrep za krepitev odpornosti družbe na sodobne varnostne grožnje in tveganja

0

Državni zbor je 12. decembra 2017 na svoji 36. redni seji potrdil predlog Zakona o kritični infrastrukturi (ZKI). Tako vsebina predpisa kot tudi dejstvo, da je bil izglasovan z absolutno kvalificirano večino (tj. s 65 glasovi za in nobenim proti), na svojstven način odražata prisotnost zavedanja, da je sodobna družba družba tveganja, v kateri nemoteno delovanje infrastrukture, na primer naprav, objektov, sistemov, omrežij oziroma z eno besedo zmogljivosti, ki se v sodobnem razvitem družbenem okolju ocenjujejo kot kritične ali ponekod, ne brez razloga, kot življenjsko pomembne za »normalno« delovanje posameznika in celotne družbe, že dolgo ni več samoumevno.

V Sloveniji smo se začeli s področjem (zaščite) kritične infrastrukture dejavneje ukvarjati po sprejemu Evropskega programa za varovanje ključne infrastrukture (angl. European Programme for Critical Infrastructure Protection) leta 2006, svoje delo na tem področju pa okrepili med pripravami na predsedovanje in med predsedovanjem naše države Svetu EU. Že v tem času je skrb za usklajevanje dejavnosti na področju kritične infrastrukture prevzelo Ministrstvo za obrambo. Čeprav se torej tudi v naši državi z zaščito »nacionalne« kritične infrastrukture državnega pomena ukvarjamo že več kot desetletje, pa moramo ugotoviti, da do zdaj to področje ni bilo sistemsko urejeno z enovitim krovnim zakonskim predpisom. Glede takšnega predpisa nekateri sicer menijo, da ga sploh ne potrebujemo, drugi pa ugotavljajo, da ga ne samo potrebujemo, temveč smo z njegovo pripravo in sprejetjem tudi zamujali. Vlada RS je podprla drugi navedeni razmislek, zato je 10. aprila 2014 sprejela sklep, s katerim je od Medresorske koordinacijske skupine za usklajevanje priprav za zaščito kritične infrastrukture zahtevala pripravo normativno-pravnega akta, ki bo urejal kritično infrastrukturo RS.

Osnutek ZKI je bil strokovni in zainteresirani javnosti javno predstavljen 18. januarja 2017, 27. februarja 2017 pa je bila prva različica predloga ZKI posredovana v predhodno medresorsko usklajevanje ministrstvom in vladnim službam. Ker se predlog ZKI nanaša tudi na Banko Slovenije, je moral njegov pripravljavec, da je zadostil določilom evropskih predpisov, o predlogu ZKI pridobiti mnenje Evropske centralne banke. Vlada RS je besedilo predloga ZKI določila na svoji 152. redni seji 12. oktobra 2017 in ga nato poslala v obravnavo Državnemu zboru.

Po dobrih treh letih dela, ki je potekalo skladno z nomotehničnim načelom, da se zakoni pišejo počasi in preudarno oziroma premišljeno (to načelo je sicer v naši državi pogosto kršeno), je torej nastal zakon, katerega temeljni namen je (bil) postaviti sistemske in normativne temelje področja »nacionalne« kritične infrastrukture državnega pomena – od njenega ugotavljanja in določanja do njene zaščite.

Izhodišča za pripravo predloga ZKI

 Pri pripravi (predloga) ZKI so bila upoštevana ta najpomembnejša izhodišča:

  • predmet zakonskega urejanja je (samó) kritična infrastruktura RS – tj. infrastruktura, katere delovanje ima državni pomen, oziroma tista, katere prekinitev delovanja ima lahko posledice, ki presegajo raven posamezne lokalne skupnosti;
  • ZKI naj ne ureja evropske kritične infrastrukture, kar pomeni, da ostane Uredba o evropski kritični infrastrukturi, sprejeta leta 2011, v veljavi;
  • lastništvo infrastrukture ni dejavnik, ki odločilno vpliva bodisi na ugotavljanje in določanje njene kritičnosti bodisi na ureditev njene zaščite, ko postane kritična;
  • določila ZKI morajo smiselno zavezovati tako upravljavce kot lastnike kritične infrastrukture, pri čemer so lastniki kritične infrastrukture, kadar njeno lastništvo in upravljanje nista v rokah iste pravne osebe, odgovorni za naložbe v posamezno kritično infrastrukturo, upravljavci kritične infrastrukture pa za njeno (vsakodnevno) delovanje;
  • upravljavci (in lastniki) kritične infrastrukture so najbolj pristojni in odgovorni, pa tudi načelno poslovno zainteresirani za zaščito kritične infrastrukture in posledično njeno neprekinjeno delovanje;
  • v posameznih sektorjih kritične infrastrukture veljavni normativni dokumenti določene vidike zaščite kritične infrastrukture že urejajo.

Poglavitne rešitve in določila ZKI

Pojmi, povezani s področjem kritične infrastrukture, in načela zaščite kritične infrastrukture so v ZKI opredeljeni ob smiselnem upoštevanju opredelitev istih ali podobnih pojmov in načel, ki jih je bilo mogoče najti v domačih in tujih strokovnih, strateško-doktrinarnih in normativnih virih. Poleg tega so opredeljeni samó za potrebe tega zakona. Tak je na primer pojem kriza.

Izredni dogodek pri delovanju kritične infrastrukture je resna motnja v njenem delovanju ali prekinitev njenega delovanja. Slednja vključuje tudi prekinitev, ki nastane zaradi uničenja kritične infrastrukture, ne pa prekinitve, ki se zgodi zaradi poslovnih odločitev upravljavca kritične infrastrukture. Takšna bi bila na primer redna vzdrževalna dela infrastrukture. Kriza, ki je nastala zaradi prekinitve delovanja kritične infrastrukture, je več kot stanje, v katerem se zgodijo resne motnje v delovanju kritične infrastrukture ali prekinitve njenega delovanja, hkrati pa takšna kriza ni (nujno) kriza nacionalnih razsežnosti, ob kateri se uporabijo vsi razpoložljivi mehanizmi kriznega odzivanja.

Ugotavljanje in določanje kritične infrastrukture, ki spadata med najpomembnejša izhodiščna vprašanja v zvezi s kritično infrastrukturo, sta v ZKI urejena na podlagi (metodološkega) pristopa, ki je (bil) uporabljen pri urejanju evropske kritične infrastrukture. Zakon taksativno navaja sektorje kritične infrastrukture (tj. energetika, promet, preskrba s hrano, preskrba s pitno vodo, zdravstvena oskrba, finance, varstvo okolja ter informacijsko-komunikacijska omrežja in sistemi), opredeljuje pojem kriterijev za ugotavljanje kritične infrastrukture ter vzpostavlja vsebinsko in funkcionalno razlikovanje med sektorskimi in medsektorskimi kriteriji. Sektorski kriteriji za ugotavljanje kritične infrastrukture so podlaga za prvi izbor kritične infrastrukture v posameznem sektorju kritične infrastrukture, medsektorski kriteriji pa so dodatno in zadnje sito pri določanju kritične infrastrukture, saj mora vsaka infrastruktura, da dobi oznako kritična, zadostiti tudi minimalni vrednosti vsaj enega medsektorskega kriterija za ugotavljanje kritične infrastrukture.

Skladno s sodobnim pristopom k obvladovanju tveganj je za izhodiščni dokument načrtovanja zaščite kritične infrastrukture določena ocena tveganj za delovanje kritične infrastrukture, na kateri temeljijo ukrepi za zaščito kritične infrastrukture, ki prispevajo k zagotavljanju neprekinjenosti njenega delovanja. ZKI ne uporablja pojmov načrt ukrepov za zaščito kritične infrastrukture niti varnostni načrt upravljavca kritične infrastrukture, da bi zagotovil potrebno vsebinsko širino; glede na oblikovno-tehnične lastnosti so lahko namreč ocena tveganj in ukrepi za zaščito kritične infrastrukture zajeti še v drugih načrtovalnih dokumentih upravljavca kritične infrastrukture (na primer v načrtu za zagotovitev neprekinjenosti delovanja – angl. business continuity plan). Takšna rešitev je izraz zavedanja, da se načrtovanje zaščite kritične infrastrukture (praviloma) ne začne z nič.

Dokumente načrtovanja morajo izdelati (le) upravljavci kritične infrastrukture, ne pa, seveda za raven sektorja kritične infrastrukture, tudi nosilci sektorjev kritične infrastrukture (tj. posamezna ministrstva in Banka Slovenije). Ob presoji slednje možnosti je bilo ocenjeno, da bi se s tem načrtovanje zaščite kritične infrastrukture dodatno zapletlo, učinek pa ne bi opravičeval vloženega napora. To pomeni, da nosilci sektorjev kritične infrastrukture (le) usmerjajo upravljavce kritične infrastrukture in jim strokovno pomagajo pri njihovem načrtovanju zaščite kritične infrastrukture, dajo soglasje k dokumentom načrtovanja zaščite kritične infrastrukture, ki jih pripravijo upravljavci kritične infrastrukture, ter strokovno usklajujejo ukrepe za zaščito kritične infrastrukture v »svojem« sektorju.

Z vidika osnovnega razlikovanja se delijo ukrepi za zaščito kritične infrastrukture na stalne in dodatne. Stalni ukrepi, ki so lahko po vsebini organizacijski, materialno-tehnični, kadrovski, varnostni ipd., se izvajajo v vseh razmerah, ob zaznani povečani ogroženosti kritične infrastrukture, izrednem dogodku ali krizi pa se lahko njihovo izvajanje stopnjuje; po potrebi se torej stopnjuje izvajanje vsebinsko enakih stalnih ukrepov (na primer fizično varovanje, ki se v normalnih razmerah izvaja 12 ur na dan, se lahko s stopnjevanjem okrepi na 24-urno varovanje). Dodatni ukrepi za zaščito kritične infrastrukture, ki se vsebinsko razlikujejo od stalnih ukrepov, se izvajajo, če stalni ukrepi, tudi če so stopnjevani, ne zadostujejo. Nosilci stalnih ukrepov za zaščito kritične infrastrukture so upravljavci kritične infrastrukture, dodatne ukrepe pa poleg upravljavcev kritične infrastrukture po potrebi sprejmejo tudi nosilci sektorjev kritične infrastrukture oziroma na predlog slednjih Vlada RS.

Zakon v samostojnem poglavju podrobneje ureja naloge organov in organizacij na področju kritične infrastrukture, in sicer: Vlade RS, nosilcev sektorjev kritične infrastrukture (ministrstev in Banke Slovenije), upravljavcev kritične infrastrukture (gospodarskih družb, zavodov, državnih organov in Banke Slovenije), Ministrstva za obrambo in Nacionalnega centra za krizno upravljanje. Vlada RS je najvišji državni organ pri sistemskem in izvedbenem urejanju področja kritične infrastrukture, ministrstva kot nosilci sektorjev kritične infrastrukture pa imajo v splošnem vlogo »državnega skrbnika« posameznega sektorja kritične infrastrukture. Ministrstva ne bodo (in tudi ne morejo biti) odgovorna za zaščito konkretne kritične infrastrukture iz »svojega« sektorja kritične infrastrukture, bodo pa v imenu države odgovorna za stanje v »svojem« sektorju kritične infrastrukture z vidika njegove zaščite. Upravljavci kritične infrastrukture so ne glede na njeno lastniško strukturo odgovorni za zagotavljanje neprekinjenega delovanja kritične infrastrukture v vseh razmerah, pri čemer so seveda izključene okoliščine, na nastanek katerih upravljavec kritične infrastrukture ne more vplivati (na primer padec nebesnega telesa). S tem je operacionaliziran prvi del načela odgovornosti, kot ga določa ZKI, če za njegov drugi del štejemo določilo, da so za krepitev zaščite kritične infrastrukture odgovorni vsi deléžniki na področju kritične infrastrukture.

Strokovno usmerjanje in usklajevanje dejavnosti na področju kritične infrastrukture po določilih ZKI izvaja Ministrstvo za obrambo. Na tem ministrstvu bo zato tudi svojevrsten strokovni domicil področja kritične infrastrukture v RS oziroma ta organ bo strokovni skrbnik področja kritične infrastrukture v državi. Pri izbiri osrednjega usmerjevalno-usklajevalnega državnega organa na področju kritične infrastrukture, ki ga kot takega sicer poznajo v vseh »kritičnoinfrastrukturno« razvitih primerljivih državah, gre v slovenskem primeru za v evropskem in širšem prostoru izrazito posebnost, skoraj unikum, ki pa je bil sprejet predvsem zato, ker se slovensko Ministrstvo za obrambo z vprašanji ugotavljanja, določanja in zaščite kritične infrastrukture – tako evropske kot tiste državnega pomena – ukvarja že več kot desetletje.

Da se je upoštevalo in podprlo z Zakonom o Banki Slovenije določeno finančno in upravljavsko avtonomijo Banke Slovenije, ki je neodvisna pravna oseba javnega prava in pri opravljanju svojih nalog ni vezana na sklepe, stališča in navodila državnih ali katerih koli drugih organov, je njen položaj na področju kritične infrastrukture urejen s posebnim določilom.-311 Vlogo NCKU na področju kritične infrastrukture ZKI omejuje predvsem na stanje krize, kot je ta opredeljena v tem zakonu, njegovo delovanje (tudi) ob pojavu take krize pa opira na predpise, ki že določajo organizacijo in naloge tega centra.

Obveščanje je v ZKI namenoma sorazmerno skopo vsebinsko urejeno, sploh pa ni bil namen urediti vsebinsko in postopkovno zelo širokega področja odzivanja ob povečani ogroženosti kritične infrastrukture, izrednem dogodku ali krizi. V letno poročanje o zagotavljanju neprekinjenega delovanja kritične infrastrukture so vključeni vsi trije glavni izvajalci dejavnosti na področju zaščite kritične infrastrukture: upravljavci kritične infrastrukture, nosilci sektorjev kritične infrastrukture in Ministrstvo za obrambo.

Predlog zakona ne vključuje samo načela izmenjave podatkov in informacij, ki zahteva od pristojnih organov in organizacij redno, pravočasno in na zaupanju temelječo izmenjavo podatkov in informacij, temveč tudi načelo varovanja podatkov, povezanih s kritično infrastrukturo, skladno s predpisi, ki urejajo varovanje tajnih podatkov oziroma poslovno skrivnost.

Kljub izraziti medsektorski naravi materije, ki jo obravnava ZKI, je zaradi zagotovitve večje učinkovitosti in enotnosti pristopa predvideno, da se bo nadzor nad izvajanjem določb tega zakona izvajal centralizirano čez inšpektorat, ki je pristojen za obrambo, kar pa ne izključuje možnosti, da navedeni inšpektorat skladno z že veljavnimi predpisi in uveljavljenim načinom dela k inšpekcijskemu nadzoru pritegne tudi druge inšpekcijskega organe, ki imajo stvarne pristojnosti na področju sektorja kritične infrastrukture, v okviru katerega se izvaja nadzor.

V devetih mesecih po uveljavitvi ZKI bo treba nacionalno kritično infrastrukturo državnega pomena ponovno določiti. To pomeni, da bo treba ponovno izvesti postopek njenega ugotavljanja in določanja. Za uskladitev poslovanja vseh deléžnikov na področju kritične infrastrukture z zahtevami ZKI je določeno dvoletno obdobje.

S sprejetjem predpisa, ki določa sistemske temelje področja nacionalne kritične infrastrukture državnega pomena, so bili oziroma z njegovim uveljavljanjem bodo postopoma doseženi predvsem ti cilji:

  • z ustreznim celovitim predpisom je urejeno (tudi) področje kritične infrastrukture državnega pomena, torej »nacionalne« kritične infrastrukture;
  • vsi organi in organizacije, ki so odgovorni za sektorje, posebej pomembne za slovensko družbo, oziroma delujejo v njih, morajo pri svojem delu upoštevati tudi zahteve glede zagotavljanja neprekinjenega delovanja kritične infrastrukture, torej vidik zaščite kritične infrastrukture, in sicer s spoštovanjem istih splošnih izhodišč in usmeritev (na primer načel);
  • med organi in organizacijami na področju kritične infrastrukture bodo vzpostavljena primerna razmerja, predvsem z vidika delitve njihovih pristojnosti, odgovornosti in nalog pri ugotavljanju, določanju in zaščiti kritične infrastrukture;
  • posamezni nosilci sektorjev kritične infrastrukture morajo dopolniti normativno urejenost ali v splošnem normativno ureditev, če ta še ne obstaja, z vidika zaščite kritične infrastrukture. Naša država je s sprejetjem ZKI, s katerim je sistemsko uredila tudi področje (zaščite) nacionalne kritične infrastrukture državnega pomena, naredila pomemben nadaljnji korak v prizadevanju za krepitev ravni odpornosti slovenske družbe na sodobne varnostne grožnje in tveganja, pa tudi korak v smeri tistih držav, ki bolj poudarjeno skrbijo za svojo kritično infrastrukturo, kar lahko ugodno vpliva na njen ugled v mednarodnem okolju.

Besedilo: Darko Lubi         

Prispevek je bil objavljen v reviji SV, št. 1, januar 2018

Revija SV je dostopna na tej povezavi. 

Deli z ostalimi.

Komentarji so onemogočeni.