29 stycznia Bundestag przyjął ustawę o ochronie infrastruktury krytycznej (KRITIS-Dachgesetz), wdrażającą unijną dyrektywę CER o odporności podmiotów krytycznych.

Prawo wprowadza jednolite zasady ochrony fizycznej ważnych obiektów w sektorach energetyki, transportu i łączności, finansów i ubezpieczeń, ochrony zdrowia, wody pitnej, gospodarki ściekowej i odpadów, technologii informacyjnych i telekomunikacji, zaopatrzenia w żywność, przestrzeni kosmicznej oraz administracji publicznej.

Ustawa dotyczy podmiotów obsługujących co najmniej 500 tys. osób, takich jak koleje, banki czy elektrownie. Operatorzy muszą regularnie, co najmniej raz na cztery lata, prowadzić analizę ryzyka, wdrażać odpowiednie środki techniczne i organizacyjne, aby je ograniczać, oraz zgłaszać poważne incydenty bezpieczeństwa. Kraje związkowe mogą dodatkowo wskazywać własne obiekty krytyczne w usługach leżących w ich kompetencjach, a w każdym landzie powstanie instytucja odpowiedzialna za wdrażanie nowych przepisów. Nadzór nad ustawą sprawuje Federalny Urząd Ochrony Ludności i Pomocy w Katastrofach (BBK), który może nakładać kary od 100 tys. do 1 mln euro za naruszenia.

Nowe przepisy wynikają nie tylko z wymogów UE, lecz także z rosnącej liczby ataków na infrastrukturę. Dotąd kwestie ochrony regulowano głównie w ustawach branżowych i dotyczących bezpieczeństwa IT. Nowa ustawa wprowadza wspólne, ponadsektorowe zasady i wzmacnia fizyczną ochronę kluczowych obiektów.

Od 2022 roku w Niemczech rośnie liczba ataków zarówno fizycznych, jak i cybernetycznych. Coraz częściej pojawiają się podejrzane przeloty dronów nad obiektami wojskowymi, energetycznymi i komunikacyjnymi; według Federalnego Urzędu Kryminalnego (BKA) w ubiegłym roku odnotowano ponad 1000 takich przypadków. BKA i kontrwywiad (BfV) wskazują także na wzrost aktów sabotażu, w tym z udziałem obcych państw, w pierwszej połowie 2025 roku odnotowano 143 incydentów, m.in. podpalenie w porcie w Rostocku.

Zwiększa się również liczba cyberataków: według Federalnego Urzędu ds. Bezpieczeństwa Techniki Informacyjnej (BSI) od połowy 2024 do połowy 2025 roku zanotowano ponad 720 zdarzeń (rok wcześniej 490), najczęściej w sektorach zdrowia, energii i transportu. Sprawcami są przestępcy, ekstremiści oraz podmioty powiązane z państwami, zwłaszcza Rosją, Chinami, Iranem i Koreą Północną.

Ustawa spotkała się z krytyką jako niewystarczająca wobec zagrożeń. Wskazuje się, że szczegółowe wytyczne dla operatorów mają być gotowe dopiero do 2030 roku, co opóźnia pełne wdrożenie. Podkreśla się też, że regulacje obejmują jedynie największe podmioty. Nie uwzględniono m.in. wniosków ze styczniowego ataku lewicowych ekstremistów na sieć energetyczną w Berlinie, w tym postulatu zakazu publikowania dokładnych danych o lokalizacji sieci energetycznych i wodociągowych, rząd zapowiedział oddzielną inicjatywę w tej sprawie.

Operatorzy zwracają uwagę na koszty ochrony, które obecnie ponoszą sami, i domagają się wsparcia, np. z budżetu resortu obrony. Problemem pozostaje też podział kompetencji między szczebel federalny i landowy, co utrudnia koordynację działań.

Autor: MJ

Źródło: 1.