Gdybym miał pisać ustawę o infrastrukturze krytycznej pamiętałbym, że nie może być ona zarządzana przez służby państwowe odpowiedzialne za bezpieczeństwo i obronność.

W coraz mniejszym stopniu bezpośredni wpływ na działanie infrastruktury krytycznej mają organy władzy publicznej. Dla sektora sieci i usług łączności elektronicznej już od kilkunastu lat tworzony jest rozbudowany system regulacji, który ma przede wszystkim wspierać rozwój konkurencji. Nie pomija jednak niektórych, tradycyjnie pojmowanych kwestii powinności przedsiębiorców telekomunikacyjnych wobec państwa.

Od niedawna w wielu państwach, podobnie jak w Polsce, pojawiły się uregulowania prawne dla partnerstwa publiczno-prywatnego (PPP). Mają one zapewnić przejrzysty sposób wyboru partnera prywatnego oraz zasady podziału odpowiedzialności za finansowanie i realizację tego rodzaju przedsięwzięć. Żadne z dotychczas obowiązujących przepisów nie wydają się jednak wystarczające, aby uregulować problematykę ochrony infrastruktury krytycznej. Wzrost znaczenia zagrożeń infrastruktury krytycznej i coraz bardziej złożony system współzależności uzasadniają opracowanie odrębnej regulacji ustawowej.

Jak napisać ustawę?

Poza dosyć oczywistą koniecznością wprowadzenia jednoznacznej, ale równocześnie wystarczająco elastycznej definicji infrastruktury krytycznej, podstawowym celem tego rodzaju regulacji powinno być wyjaśnienie relacji interesu bezpieczeństwa państwa i związanych z tym powinności podmiotów prywatnych.

Można wymienić kilka ważnych zagadnień, dla których ramy prawne powinna tworzyć ustawa o infrastrukturze krytycznej. Pierwszym z nich jest wymiana informacji. Zarówno charakter - jak i repertuar zagrożeń - ciągle bowiem ewoluuje. Jest to szczególnie spektakularne w przypadku zagrożeń rozprzestrzeniających się w Internecie. Przedsiębiorcy prywatni z reguły niechętnie dzielą się informacjami o próbach naruszenia bezpieczeństwa swoich systemów, głównie w obawie przed konkurencją. Ponadto przepisy na temat przekazywania i przetwarzania tajemnicy przedsiębiorcy w organach administracji nie są zbyt przejrzyste. Błędy można wskazać w przepisach na temat tajemnicy telekomunikacyjnej i bezpieczeństwie informacji w prawie telekomunikacyjnym. Z drugiej strony służby państwowe nadają informacjom o zagrożeniu bezpieczeństwa państwa - w tym zagrożeniu terrorystycznym - bezwzględną klauzulę tajności. Dla poszczególnych rodzajów infrastruktury krytycznej powinny istnieć odpowiednie bezpieczne płaszczyzny wymiany i analizowania informacji.

Uzgodnienia branżowe

Kolejny aspekt to definiowanie wymagań. Ogólne powinności muszą być określane na poziomie ustaw i rozporządzeń. We wszystkich dziedzinach uwarunkowanych technologicznie lub rynkowo bardzo ważne jest ustalanie wymagań technicznych i procedur, zasad analizy zagrożeń i czynników ryzyka. Szczególne znaczenie ma stała poprawa procedur odtwarzania łączności i zarządzania kryzysowego, co najczęściej wymaga wielostronnej współpracy.

Wiedza na temat uwarunkowań technicznych i organizacyjnych jest niemal całkowicie w posiadaniu uczestników danego sektora - operatorów infrastruktury i dostawców urządzeń. Wymagania powinny być ustalane na poziomie branżowych grup roboczych i akceptowane przez całą branżę. Niektóre rodzaje wymagań doczekały się już dokumentów normalizacyjnych. Stosowanie się do tego typu norm może stanowić podstawę do oceny przygotowania posiadacza infrastruktury do jej ochrony.

Skąd pieniądze?

Finansowanie przedsięwzięć związanych ze zwiększonymi wymaganiami bezpieczeństwa, tworzeniem zasobów zapasowych, czy odtwarzaniem zniszczonych zasobów jest w polskim prawie uregulowane w sposób niejednolity. O ile ustawa o powszechnym obowiązku obrony przewiduje finansowanie świadczeń rzeczowych na rzecz obrony z udziałem budżetu państwa, to wyłącza stosowanie tych przepisów wobec sieci telekomunikacyjnych, które - zgodnie z prawem telekomunikacyjnym - mają być przystosowane do wykonywania tego rodzaju zadań na koszt przedsiębiorców telekomunikacyjnych.