Nataša Gajski Kovačić
Nacionalne kritične infrastrukture su sustavi, mreže i objekti koji pružaju osnovne usluge društvu te predstavljaju okosnicu gospodarstva, sigurnosti i zdravlja nacije, a sigurnost i dobrobit društva ovisna je o njihovoj sigurnosti i otpornosti. Zaštita kritičnih infrastruktura jedno je od ključnih područja prioriteta Europske unije. O zaštiti kritičnih infrastruktura u časopisu Zaštita pisali smo u više navrata, ta je tematika bila predmet našeg interesa i na nekoliko stručnih konferencija, od kojih je posljednja „Izazovi u zaštiti industrije i kritične infrastrukture“ održana potkraj 2018. Tada su nam, između ostalih, predavačice bile i Ivana Cesarec, voditeljica Odjela za zaštitu kritične infrastrukture i kulturne baštine u Ravnateljstvu civilne zaštite Ministarstva unutarnjih poslova RH i Katri Liekkilä, vršiteljica dužnosti direktora odjela za planiranje i analizu u finskoj Nacionalnoj agenciji za hitne potrebe. Ove godine u listopadu planiramo ponovno održati konferenciju o zaštiti u industriji i kritičnoj infrastrukturi, pa je ovo prilika da porazgovaramo s Ivanom Cesarec i Katri Liekkilä o tome što se unatrag dvije godine desilo po pitanju KI.
Prije dvije i pol godine održali ste zapažena predavanja na konferenciji o javno-privatnom partnerstvu u zaštiti kritične infrastrukture u Zagrebu u organizaciji časopisa Zaštita i RACVIAC-a. Ovo je prigoda da vidimo što se u međuvremenu po pitanju kritičnih infrastruktura promijenilo u Austriji i Finskoj. Možete li nabrojati neke od ključnih stvari koje su se u zaštiti i pristupu KI promijenile u tom periodu?
Ivana: Jedna od značajnijih promjena je institucionalno pozicioniranje poslova civilne zaštite u Ministarstvo unutarnjih poslova, kroz ustrojstvenu cjelinu Ravnateljstvo civilne zaštite. Ustrojem 2019. godine preuzete su nadležnosti i poslovi Državne uprave za zaštitu i spašavanje koja je ranije koordinirala aktivnostima vezanim uz nacionalnu i europsku kritičnu infrastrukturu, no nedostajalo joj je kadrovskih kapaciteta i to je promijenjeno formiranjem Odjela za zaštitu kritične infrastrukture i kulturne baštine. Ojačanom organizacijskom strukturom otvorile su se i daljnje mogućnosti za razvoj sustava zaštite kritične infrastrukture. Ujedno, kroz aktivnosti Odjela pokrenuti su procesi kako bi se prilagodio normativni okvir uspostavljen 2013., koji se u osam godina pokazao implementacijski izazovnim.
Katri: Daleko najveći napredak je prijedlog Europske komisije za Direktivu o otpornosti kritičnih entiteta. Međutim, to se dogodilo tek nedavno, tako da sve države članice EU u ovom trenutku tek smišljaju što bi ova direktiva za njih značila na nacionalnoj razini. Tijekom posljednjih godina povećalo se sveukupno razumijevanje važnosti kritične infrastrukture za vitalne društvene funkcije. U Europi dobro razumijemo, i na sličan način razmišljamo, kako sve ključne društvene usluge i proizvodnja ovise o infrastrukturi, ali i o vrijednosnim i lancima opskrbe, koji su sve više globalni. Zbog ovih globalnih lanaca vrijednosti i opskrbe, naša su društva međusobno povezana i stoga izložena kaskadnim utjecajima u različitim sektorima. COVID-19 i kriza koju je virus potaknuo, dobar su primjer za to. Poboljšanje pripremljenosti i otpornosti zahtijeva sistemsku razinu razumijevanja. Ta ambicija može se vidjeti i u spomenutoj CER-direktivi.
Navedite nam na kojim točno poslovima vezanim uz kritične infrastrukture trenutno radite i što je vaš fokus?
Ivana: Trenutno se odvija nekoliko paralelnih aktivnosti, na nacionalnoj razini i razini EU. Kako je već spomenuto, izrađujemo (finaliziramo) novi Zakon o kritičnoj infrastrukturi čije je donošenje predviđeno u drugom kvartalu ove godine i pripremamo podzakonske akte koji će specifičnije regulirati primjenu Zakona. Pokrenuta je i koordinirana procedura potvrđivanja popisa nacionalne kritične infrastrukture od strane Vlade Republike Hrvatske. Fokus je na uspostavi funkcionalnog sustava zaštite i jačanja otpornosti kritične infrastrukture sa jasnim podjelama odgovornosti svih dionika.
Na razini EU, kroz 2019. i 2020. sudjelovali smo u reviziji Direktive 2008/114/EZ kojom su identificirani operativni izazovi i potreba prilagodbe zbog izmijenjenog globalnog krajolika rizika od vremena donošenja te direktive. Dodatno, RH je sudjelovala i u Studiji provedivosti novih predloženih mjera za jačanje otpornosti kritičnih infrastruktura gdje je bila studija slučaja s još devet država članica EU. Navedene aktivnosti su rezultirale prijedlogom „Direktive o otpornosti kritičnih subjekata“ (CER Direktiva) koja će zamijeniti Direktivu 2008/114/EZ i trenutno sudjelujemo u raspravama država članica i Europske komisije. Nova direktiva će zahtijevati određene prilagodbe i na nacionalnom nivou.
Katri: Trenutno sam vršiteljica dužnosti direktora odjela za planiranje i analizu u Nacionalnoj agenciji za hitne potrebe. Odgovorna sam za naše međunarodne i EU poslove. Trenutačna fokusna područja uključuju CER-direktivu u kontekstu EU-a, nordijsku suradnju kao i strateško predviđanje.
S obzirom da područje kritičnih infrastruktura nema specifično područje školovanja, na koji način ste se educirale i usavršavale za poslove koje radite u području kritičnih infrastruktura te što još smatrate da vam je potrebno u nadogradnji vaših osobnih kompetencija?
Ivana: Kroz stjecanje diploma iz područja kriznog menadžmenta na stručnom (2007. godine), a kasnije i specijalističkom studiju Veleučilišta Velika Gorica (2010. godine), susrela sam se s kolegijima koji obrađuju područje kritičnih infrastruktura, no to su bili programi koji su pratili same početke razvoja KI i dobila sam tek bazična znanja o značaju KI i suočavanju s prijetnjama i izazovima po mreže, sustave i objekte od nacionalnog i međunacionalnog značaja. To je iziskivalo nadogradnju znanja i kompetencija koja su nužne jer se konstantno mijenjaju tehnologije, povećava se međusobna povezanost infrastruktura i sl. Od tog perioda sudjelovala sam u nizu seminara, radionica i konferencija koji svaka na svoj način produbljuju znanja i stvaraju vrijedno iskustvo za pojedinca, a posljedično i za sustav i instituciju koju on predstavlja.
Katri: Obrazovanje mi je bilo prvo ekonomsko, a potom vojne znanosti. To mi je pružilo dobro razumijevanje gospodarstva i načina na koji funkcioniraju globalna poduzeća, ali i uvid u to kako je organizirana nacionalna sigurnost i kako se sigurnosna klima globalno promijenila. Također sam imala sreće s odabirom jer sam u oba ova područja proučavala otpornost. U to vrijeme, nisam ni slutila da će ovaj koncept postati toliko važan u CIP-u i društvenoj sigurnosti. Smatram da su moja temeljna znanja solidna osnova za nastavak rada u CIP-u. Mislim da je općenito najvažnije, da znate materiju kojom se bavite i povijest njenog razvoja, tako da možete primjerice usporediti različita nacionalna rješenja. Ono na čemu sam radila posljednjih godina su upravo strateška predviđanja. Živimo u svijetu stalnih promjena. Budući da su CIP(Critical Infrastructure Protection) i nacionalni pristupi njemu velike i široke teme, njihovo razvijanje kako bi se podudarali s budućim izazovima zahtijeva strateška predviđanja. To može biti moćan alat i dobar doprinos strateškom donošenju odluka, sposobnosti predviđanja kako se svijet mijenja i kako bi CIP trebao odgovoriti na te promjene.
Kako ocjenjujete razvoj sustava kritičnih infrastruktura u vašoj zemlji i koje su sljedeće aktivnosti koje su planirane u nastavku razvoja sustava jer navedeni razvoj nije nikad završena priča?
Ivana: Razvoj je imao svoje oscilacije, no zamjetno je da se od 2013. kad smo krenuli u proces uspostave sustava, pokušava održati kontinuitet suradnje sa svim dionicima (sastanci sa sigurnosnim koordinatorima, zajedničke radionice za analizu rizika itd.) i realizacija planiranih aktivnosti i zadaća. Često nije bio prepoznat angažman nadležnog tijela i nije ostvaren očekivani uspjeh u sveobuhvatnom involviranju tijela državne uprave u procese poput identifikacije nacionalne kritične infrastrukture, iako se na tome sustavno radilo. Vidljivo je poboljšanje u suradnji s tijelima državne uprave, a održali smo i sastanke s operatorima kako bi ih upoznali s planiranim aktivnostima, ali i razmijenili mišljenja i prijedloge o budućoj suradnji i njihovim potrebama u segmentima: edukacije/razvoja programa osposobljavanja, razmjene iskustava i naučenih lekcija kroz okrugle stolove i konferencije i razvoj projektnih ideja za ostvarivanje razvojnih ciljeva kroz EU projekte.
Katri: Finski pristup CIP-u prilično je jedinstven. Zbog naših geopolitičkih okolnosti započeli smo s razvojem sustava opskrbe već u razdoblju od 1950. - 1960. To je sustav putem kojeg smo od tada identificirali i procijenili koje su ključne usluge, proizvodnja i infrastruktura potrebne da finsko društvo i njegovi građani ostanu funkcionalni. Tijekom godina, razvili smo naš set alata kako bi odgovarao pravovremenim izazovima i postupno smo promijenili cijeli sustav. Neke smo razvojne potrebe identificirali, neke su dovele do velikih poremećaja koji utječu na naše gospodarstvo izvana. Sada skeniramo razvojne potrebe koje CER-direktiva može donijeti, kao i lekcije naučene iz COVID-19. Važne teme za ovo razvojno skeniranje su otpornost lanca vrijednosti, suradnja i uloga između javnog i privatnog sektora, kontinuitet usluga (ili upravljanje kontinuitetom poslovanja u poslovnom smislu) i međunarodna suradnja.
U kratkim crtama opišite modele javno-privatnog partnerstva u jačanju otpornosti i zaštiti kritičnih infrastruktura u vašoj zemlji?
Ivana: U izradi prijedloga novog Zakona o kritičnoj infrastrukturi razmatrali smo uvesti odrednicu JPP u kontekstu zaštite kritičnih infrastruktura kako bi se taj odnos mogao regulirati i konceptualno osnažiti, jer se u RH javno privatno partnerstvo inicijalno vezalo uz projekte izgradnje i održavanja javnih građevina u svrhu pružanja javnih usluga, potom proširilo na pružanje usluge privatne zaštite, no u kontekstu zaštite kritičnih infrastruktura ne postoji u praksi niti se operativno razmatra. Uzimajući u obzir da je propisivanje JPP ipak strateška odluka, navedeno će se propisati Strategijom otpornosti (kritičnih infrastruktura) Republike Hrvatske, koja će se u skorijoj budućnosti morati donijeti kao dio obaveza nove CER Direktive Europskog parlamenta i Vijeća (donošenje nacionalnih strategija otpornosti).
Katri: Imamo našu Nacionalnu organizaciju za opskrbu u hitnim slučajevima koja uključuje sedam sektora i unutar njih više od 20 različitih industrijskih „odbora za udruživanje“, gdje privatni i javni sektor, kao i nevladine organizacije rade zajedno kako bi razvili otpornost industrije koju predstavljaju. Imamo dugu tradiciju što uključuje aktivnosti poput vježbi, studija, vodiča i razmjene najboljih praksi. Nova razina ovog rada je okupiti odbore za udruživanje iz različitih sektora i poticati suradnju u različitim industrijama i sektorima. To je važno jer su u stvarnom životu krizne situacije ili prekidi rijetko specifičnost samo jednog sektora. Oni imaju kaskadne utjecaje u mnogim različitim sektorima. Kad pogledate industrije poput digitalnih usluga, logistike ili energetike, jasno je da ih trebaju svi sektori i industrije.
Koje su ključne bilateralne i regionalne okosnice suradnje vaše zemlje u području kritičnih infrastruktura?
Ivana: RH je sa Slovenijom i Mađarskom provela identifikaciju europske kritične infrastrukture (kao infrastrukture koja se nalazi u državama članicama, a čiji bi poremećaj u radu ili uništenje imalo znatan učinak na najmanje dvije države članice), kako propisuje aktualna Direktiva 2008/114/EZ, a kroz bilateralnu formalnu i neformalnu komunikaciju razmatrala se i suradnja kroz zajedničke vježbe jačanja otpornosti koju planiramo revitalizirati. Sa zemljama koje nisu članice EU, ali su naše susjedne zemlje i dio okruženja u kojem je važno ostvariti adekvatnu razinu zaštite i uspostaviti sigurnosne procese zbog direktnog utjecaja na RH, surađujemo kroz razmjenu znanja, uključivanjem stručnjaka iz BiH i Srbije u konferencije, projekte i sl. Jedan od vidova suradnje su i TAIEX misije u kojima stručnjaci za KI prenose znanja zemljama koje nisu članice EU i traže potporu u izgradnji svojih sustava zaštite kritične infrastrukture. I djelatnici MUP RCZ su registrirani u mreži tih stručnjaka.
Katri: Finska ima dugogodišnje odnose sa susjednim nordijskim zemljama Švedskom i Norveškom. Uz tradicionalne bilateralne državne sporazume, puno smo radili na tome da svoju spremnost i suradnju u okviru CIP-a podignemo na konkretniju razinu. Jedan od primjera u trilateralnom kontekstu je naše zajedničko izvješće o kritičnim nordijskim tokovima: https://www.huoltovarmuuskeskus.fi/files/8c21565b6c4e2f8b05f62b7d5967fa24cc0e932a/critical-nordic-flows.pdf
Pored Švedske i Norveške, surađujemo i u širem nordijskom kontekstu, kao što smo i u kontaktu s kolegama u baltičkim zemljama.
Na koji način vaša zemlja sudjeluje na razini Europske unije u suradnji i razmjeni informacija u vezi zaštite kritičnih infrastruktura?
Ivana: Primarno, suradnja i razmjena informacija se ostvaruje kroz sastanke nacionalnih kontakt točaka za europsku kritičnu infrastrukturu država članica, koje organizira Europska komisije (DG HOME), ali i kroz Europsku referentnu mrežu za zaštitu kritične infrastrukture (ERNCIP). Kao dio obaveza prema Europskoj komisiji, RH dostavlja izvješće o implementaciji Direktive 2008/114/EC, ali i izvješće o prijetnjama, rizicima i ranjivostima po sektore energetike i prometa koje predmetna direktiva pokriva.
Katri: Sudjelovali smo u Europskom programu za CIP i održavamo sastanke s osobama čije smo kontakte stekli tim putem. Zapravo je to jedno od mjesta na kojem se Ivana i ja redovito susrećemo. Pored specifične i izravno povezane CIP-ove suradnje na razini EU-a, postoji i suradnja za izgradnju razumijevanja učinaka izravnih stranih ulaganja na kritične infrastrukture i, na primjer, naporima na digitalnoj sigurnosti u čemu sudjeluju sve države članice.
Navedite jednu ključnu aktivnosti, platformu, projekt ili postignuće koje je ostvareno u vašoj zemlji, a za koju mislite da bi se kao najbolja praksa mogla primijeniti u drugim državama?
Ivana: Iako je prošlo pet godina od EU projekta „RECIPE“ kojeg je vodila RH (a Švedska doprinijela svojim znanjem i iskustvom rezultatima projekta) on je i dalje jednako relevantan i njegov učinak se vidi u državama partnerima projekta (Srbija i Hrvatska). Projekt je producirao „Priručnik (upute) za učinkovitije upravljanje rizicima kritične infrastrukture” koji je bio javno dostupan i prezentiran Europskoj komisiji i to je svakako dobar put za „vidljivost“ država članica i njihove napore da budu uključene u međunarodne procese povećanja razine otpornosti i zaštite kritičnih infrastruktura. U budućnosti tu dobru praksu treba ponoviti, s fokusom na nove prijetnje, specifično kibernetičku sigurnost koju je još uvijek izazovno uskladiti sa fizičkom sigurnošću na kojoj je fokus u zemljama naše regije.
Katri: Navest ću dvije jer želim podijeliti naš rad. Prvo su Kritični nordijski tokovi, koje sam ranije spomenula. Važno je razumjeti o kojim smo sve vrijednosnim lancima i opskrbama ovisni i koliko tih tokova dijelimo sa susjedima, primjerice. Drugi je naš scenarij u vezi sa postcovid svijetom: https://www.huoltovarmuuskeskus.fi/en/a/nesas-scenario-project-finished-and-report-now-available-also-in-english. To je jedan primjer kako se predviđanje i rad scenarija mogu koristiti za mapiranje problema koji postaju relevantni za CIP u budućnosti.
U izradi su izmjene i dopune Zakona o KI u Hrvatskoj s obzirom na to da Zakon donesen 2013. nije u potpunosti zaživio, odnosno nikada nije točno određeno koje su to KI u Hrvatskoj. Što će točno donijeti izmjene i dopune Zakona i kada se one mogu očekivati?
Ivana: Nakon osmogodišnjeg razdoblja, utvrđeno je da je nužno provesti prilagodbu operativnim okolnostima kroz normativne promjene koje će omogućiti poboljšanje i učinkovitost sustava, koji pak u svojoj naravi mora osigurati odgovarajuću razinu zaštite i kontinuitet poslovanja te ograničiti štetne učinke prekida ili poremećaja u radu kritičnih infrastruktura.
U Zakonu će biti dodatno naglašena i osnažena uloga tijela nadležnog za poslove KI koji se pojmovno određuje kao Koordinativno tijelo za kritičnu infrastrukturu (MUP RCZ), ali i jasnija "podjela" odgovornosti i definiranje uloga ostalih dionika; specificirana načela zaštite KI radi boljeg razumijevanja funkcionalnosti sustava; preciziranje procedura identifikacije i potvrđivanja nacionalnih kritičnih infrastruktura; definiranje jasnijih uvjeta analize rizika; veća razrada sigurnosnog plana operatora KI; propisivanje edukacije i osposobljavanja sigurnosnih koordinatora; dodatna razrada postupanja s podacima o kritičnoj infrastrukturi i ojačavanje okvira za provedbu inspekcijskog nadzora. U suštini radi se o uvođenju odrednica ili mijenjanju postojećih koje su u praksi prepoznate kao nužne da ih se propiše ili ukoliko su propisane da ih se izmjeni da budu razumljivije ili prilagođenije za implementaciju.
S obzirom da se radi o više od 60 posto izmjena i dopuna na Zakonu iz 2013., donosi se u potpunosti novi Zakon. Prema dinamici, njegovo donošenje se očekuje u drugom kvartalu 2021. godine.