Bundestag uchwalił ustawę ramową KRITIS, wzmacniającą ochronę fizyczną i cyberbezpieczeństwo niemieckiej infrastruktury krytycznej.

• Nowe prawo obejmuje podmioty zaopatrujące co najmniej 500 tys. osób w sektorach energetyki, transportu, finansów, zdrowia, wody, IT i żywności.
• Operatorzy muszą przeprowadzać analizy ryzyka co cztery lata, wdrażać środki ochrony i zgłaszać poważne incydenty, pod groźbą kar od 100 tys. do 1 mln euro.
• Od 2022 r. w Niemczech rośnie liczba fizycznych i cyberataków na infrastrukturę krytyczną, w tym przelotów dronów i sabotażu – sprawcami są przestępcy, ekstremiści i państwa m.in. Rosja, Chiny, Iran.
• Ustawa krytykowana jest za objęcie regulacjami wyłącznie największych podmiotów i opóźnienie przyjęcia wytycznych do 2030 r., co wydłuża pełne wdrożenie przepisów.
• Rząd powołuje dodatkowe jednostki ds. ochrony przed dronami i zagrożeniami hybrydowymi, a także Centrum Obrony przed Zagrożeniami Hybrydowymi przy Kanclerzu.

29 stycznia Bundestag uchwalił ustawę ramową dotyczącą ochrony infrastruktury krytycznej w Niemczech, tzw. KRITIS-Dachgesetz, implementującą unijną dyrektywę CER o odporności podmiotów krytycznych. Za przyjęciem ustawy głosowały kluby koalicyjne CDU/CSU i SPD oraz opozycyjna AfD.

Nowe przepisy wprowadzają jednolite standardy fizycznego bezpieczeństwa dla infrastruktury w sektorach energetyki, transportu i komunikacji, finansów i ubezpieczeń, ochrony zdrowia, zaopatrzenia w wodę pitną, gospodarki ściekowej i odpadami komunalnymi, technologii informacyjnych i telekomunikacji, zaopatrzenia w żywność, przestrzeni kosmicznej oraz administracji publicznej.

Ustawa obejmuje tylko te podmioty, które zaopatrują co najmniej 500 tys. osób, w tym m.in. koleje, sektor bankowy czy elektrownie. Operatorzy takich obiektów są zobowiązani do przeprowadzania systematycznej analizy ryzyka przynajmniej raz na cztery lata, wdrażania odpowiednich środków technicznych i organizacyjnych w celu jego minimalizowania oraz zgłaszania poważnych incydentów związanych z bezpieczeństwem. Kraje związkowe mogą wskazywać dodatkowe obiekty krytyczne w ramach usług leżących wyłącznie w ich kompetencjach. W każdym landzie powstanie podmiot odpowiedzialny za wdrażanie nowych przepisów, a nadzór nad realizacją ustawy będzie sprawował Federalny Urząd Ochrony Ludności i Pomocy w Katastrofach (BBK). W przypadku stwierdzenia naruszeń prawa, BBK będzie mógł nakładać kary w wysokości od 100 tys. do 1 mln euro.

Nowa regulacja wprowadza ponadsektorowe przepisy i wzmacnia fizyczną ochronę kluczowych obiektów, podczas gdy wcześniej kwestie bezpieczeństwa były regulowane głównie w ustawach branżowych i przepisach dotyczących bezpieczeństwa IT. Wzmocnienie ochrony infrastruktury krytycznej wynika zarówno z wymogów unijnych, jak i z rosnącej liczby ataków na tego rodzaju obiekty.

Wzrost liczby ataków

Od 2022 roku w Niemczech obserwuje się systematyczny wzrost liczby ataków wymierzonych w infrastrukturę krytyczną, zarówno w formie fizycznej, jak i cybernetycznej. W ostatnich latach coraz częściej dochodzi do incydentów, takich jak podejrzane przeloty dronów nad obiektami wojskowymi, energetycznymi oraz komunikacyjnymi. Z danych Federalnego Urzędu Kryminalnego (BKA) wynika, że w ubiegłym roku odnotowano ponad 1000 takich przypadków. Ponadto, według ocen BKA i niemieckiego kontrwywiadu (BfV), rośnie liczba aktów sabotażu, które mogą być powiązane z działalnością obcych państw. W pierwszej połowie 2025 roku odnotowano 143 takie incydenty, w tym m.in. podłożenie ognia w porcie w Rostocku, skąd eksportowane jest ukraińskie zboże. Wzrasta także liczba ataków cybernetycznych. Z danych Federalnego Urzędu ds. Bezpieczeństwa Techniki Informacyjnej (BSI) wynika, że od połowy 2024 do połowy 2025 roku zanotowano ponad 720 incydentów tego rodzaju, w porównaniu do 490 rok wcześniej. Najczęściej dotyczyły one sektorów zdrowotnego, energetycznego i transportowego. Sprawcami tych ataków są zarówno pospolici przestępcy, polityczni ekstremiści, jak i aktorzy państwowi, w tym głównie Rosja, Chiny, Iran oraz Korea Północna.

Przyjęta przez Bundestag ustawa dotycząca ochrony infrastruktury krytycznej spotkała się z szeroką krytyką ze strony ekspertów, przedstawicieli branż, samorządów oraz opozycji, którzy wskazują na jej niewystarczający zakres w stosunku do istniejących zagrożeń. Zwraca się uwagę, że rozporządzenia wykonawcze, określające minimalne wymagania dla operatorów infrastruktury krytycznej, mają zostać przyjęte dopiero do 2030 roku, co znacznie wydłuża pełne wdrożenie regulacji. Krytykowane jest również ograniczenie ustawy wyłącznie do największych podmiotów oraz nieuwzględnienie w niej rekomendacji wynikających ze styczniowego ataku lewicowych ekstremistów na sieć energetyczną w Berlinie, w tym postulatów zakazu ujawniania szczegółów położenia infrastruktury energetycznej i wodociągowej. Rząd federalny zapowiedział przygotowanie dodatkowej inicjatywy ustawodawczej w tym zakresie. Dodatkowo operatorzy infrastruktury zgłaszają potrzebę uregulowania kwestii finansowania ochrony, gdyż obecnie obowiązek ten spoczywa w całości na podmiotach, które oczekują wsparcia m.in. z budżetu resortu obrony. Problematyczne pozostaje też rozproszenie kompetencji między szczeble federalny i landowy, co utrudnia koordynację działań i skuteczną ochronę infrastruktury.

Regulacje te są elementem szerszych działań Niemiec mających na celu zwiększenie odporności państwa na zagrożenia hybrydowe. Szczególną uwagę poświęca się zagrożeniom związanym z dronami. W grudniu ubiegłego roku powołano specjalną jednostkę policji federalnej do zwalczania dronów (Drohnenabwehreinheit der Bundespolizei) oraz uruchomiono Wspólne Centrum Obrony przed Dronami (Gemeinsames Drohnenabwehrzentrum), którego zadaniem jest koordynacja działań policji federalnej, policji landowych i Bundeswehry. Procedowane są nowelizacje ustaw o policji federalnej oraz bezpieczeństwie w przestrzeni powietrznej, które mają rozszerzyć uprawnienia służb w zakresie przeciwdziałania zagrożeniom dronowym. Ponadto przy Urzędzie Kanclerskim tworzone jest Centrum Obrony przed Zagrożeniami Hybrydowymi, mające wspierać działania państwa w identyfikacji, analizie i przeciwdziałaniu różnorodnym zagrożeniom wymierzonym w kluczową infrastrukturę.

Fot. Unsplash.