W odpowiedzi na rosnącą liczbę incydentów – zarówno cyfrowych, jak i fizycznych – Unia Europejska wprowadziła dwa akty prawne:

• dyrektywę NIS 2, koncentrującą się na bezpieczeństwie systemów informacyjnych,

• rozporządzenie CER, które rozszerza obowiązki na ochronę obiektów, ludzi i procesów.

Obie regulacje obejmują operatorów sektora energetycznego oraz firmy współpracujące z nimi. To oznacza konieczność wdrożenia nowych procedur, systemów nadzoru i gotowości na audyty. W tym kontekście systemy kontroli dostępu odgrywają istotną rolę – pozwalają nie tylko chronić strefy krytyczne, ale też dokumentować, kto i kiedy miał dostęp, co jest jednym z wymogów formalnych.
 

Czym są NIS 2 i CER i dlaczego dotyczą energetyki?

Dyrektywa NIS koncentruje się na cyberbezpieczeństwie – obejmuje obowiązki związane z ochroną systemów informatycznych, zarządzaniem ryzykiem, monitorowaniem zagrożeń oraz zgłaszaniem incydentów. Przepisy te dotyczą nie tylko dużych operatorów energetycznych, ale również firm współpracujących z nimi:

• dostawców technologii,

• podwykonawców,

• serwisantów,

• operatorów usług pomocniczych.

Rozporządzenie CER uzupełnia wymagania o aspekt fizycznej i operacyjnej odporności infrastruktury krytycznej. Wskazuje na konieczność ochrony obiektów, ludzi oraz procesów niezbędnych do świadczenia usług energetycznych. Obejmuje m.in.:

• zarządzanie dostępem do stref o podwyższonym ryzyku,

• separację obszarów funkcjonalnych,

• zdolność do reagowania na incydenty fizyczne, takie jak wtargnięcia, sabotaż czy awarie.

Choć oba akty prawne regulują różne obszary bezpieczeństwa, w praktyce obejmują te same organizacje i mają ten sam cel – zapewnienie ciągłości działania infrastruktury energetycznej. Traktowanie NIS 2 i CER jako niezależnych regulacji prowadzi do rozbieżnych procedur, niespójnych systemów i utrudnień w zarządzaniu bezpieczeństwem. Skuteczne podejście wymaga powiązania wymogów cyfrowych i fizycznych w jednym, spójnym modelu ochrony.
 

Wyzwania sektora energetycznego w kontekście NIS 2 i CER

Sektor energetyczny należy do grupy branż o szczególnie wysokim poziomie złożoności operacyjnej. Zakłady często składają się z wielu rozproszonych obiektów – takich jak elektrownie, stacje transformatorowe, magazyny energii czy infrastruktura przesyłowa – które niekiedy zarządzane są przez różne zespoły lub podmioty zewnętrzne. W takim środowisku utrzymanie jednolitego standardu bezpieczeństwa, zgodnego z wymogami NIS 2 i CER, jest poważnym wyzwaniem organizacyjnym.

Jednym z największych problemów jest obecność wielu osób trzecich – pracowników firm serwisowych, dostawców, instalatorów i ekip technicznych, często pracujących rotacyjnie. W praktyce oznacza to dużą zmienność personelu, który ma fizyczny dostęp do istotnych elementów infrastruktury, takich jak:

• serwerownie SCADA,

• rozdzielnie,

• pomieszczenia z systemami zarządzania energią.

Często dostęp ten nie jest odpowiednio kontrolowany ani rejestrowany, co utrudnia identyfikację potencjalnych luk w zabezpieczeniach.

Kolejnym wyzwaniem jest zróżnicowany poziom dostępu w obrębie jednej lokalizacji. Często funkcjonuje tam kilka stref o odmiennym znaczeniu operacyjnym i poziomie ryzyka. Bez wdrożonego systemu zarządzania uprawnieniami trudno jednak skutecznie nadzorować, kto, kiedy i gdzie przebywał. Brak centralnej kontroli dostępu prowadzi do sytuacji, w których ruch w strefach krytycznych jest nieudokumentowany, a działania personelu – niemożliwe do zweryfikowania lub odtworzenia.

W kontekście NIS 2 i CER takie niedopatrzenia mogą mieć poważne konsekwencje – zarówno prawne, jak i operacyjne. Nowe przepisy wymagają fizycznej ochrony infrastruktury, identyfikowalności zdarzeń i gotowości do przeprowadzenia audytu. To oznacza konieczność wdrożenia systemów, które nie tylko ograniczają dostęp, ale też dokumentują go w sposób umożliwiający późniejszą analizę.
 

Jak systemy kontroli dostępu wspierają realizację wymogów?

Systemy kontroli dostępu pełnią dziś znacznie szerszą funkcję niż tylko otwieranie drzwi. W kontekście regulacji NIS 2 i CER wspierają organizacje w spełnianiu wymogów dotyczących zarządzania ryzykiem, identyfikowalności zdarzeń i reakcji na incydenty.

Oto cztery obszary, w których rozwiązania kontroli dostępu od Unicard Systems wpisują się w wymagania przepisów.
 

Zarządzanie dostępem do stref krytycznych

System umożliwia tworzenie stref o różnych poziomach bezpieczeństwa – zarówno fizycznych, jak i logicznych. Uprawnienia są przydzielane zgodnie z profilem użytkownika:

• jego rolą w organizacji,

• lokalizacją pracy,

• harmonogramem,

• zakresem obowiązków.

Takie podejście pozwala wdrożyć zasadę zero trust, ograniczając dostęp tylko do niezbędnych obszarów. Dodatkowo wspiera separację obowiązków, co jest wymagane w środowiskach wysokiego ryzyka.
 

Rejestrowanie i identyfikacja osób

Każde wejście i wyjście z chronionej strefy są rejestrowane i przypisywane do konkretnej osoby – pracownika, gościa, dostawcy czy kontrahenta. Identyfikacja odbywa się przez kartę, PIN, urządzenie mobilne lub po połączeniu dwóch składników uwierzytelniających.

System pozwala także na kontrolę nad personelem zewnętrznym, w tym nadawanie uprawnień tymczasowych, co ma znaczenie przy dużej rotacji pracowników czy podwykonawców.
 

Gotowość na incydenty fizyczne

W sytuacji zagrożenia system umożliwia natychmiastowe działanie:

• blokowanie uprawnień,

• zamykanie przejść,

• aktywację scenariuszy awaryjnych czy ewakuacyjnych.

Co istotne, systemy działają także w trybie offline – w przypadku awarii sieci zachowują dotychczasowe uprawnienia, rejestrują zdarzenia lokalnie i synchronizują dane po przywróceniu połączenia.
 

Raportowanie i audyty

System gromadzi dane o zdarzeniach w formie:

• logów,

• historii dostępu,

• list uprawnień,

• rejestrów zmian.

Informacje te można filtrować, eksportować i udostępniać w ramach audytów wewnętrznych lub kontroli zewnętrznych. To nie tylko element zgodności z przepisami, ale też skuteczne narzędzie do analizy ryzyka i planowania działań naprawczych.
 

Przykład w praktyce

W kontekście rosnących wymagań NIS2 i CER, firmy z sektora energetycznego muszą kontrolować dostęp do infrastruktury, ale też wykazać, że potrafią zarządzać nim w sposób ciągły, mierzalny i odporny na incydenty. Dobrym przykładem takiego podejścia jest chmurowy system kontroli dostępu impero 360®.

Rozwiązanie opiera się na architekturze Microsoft Azure, co zapewnia wysoką dostępność i zgodność z globalnymi standardami bezpieczeństwa. Dzięki integracji z systemami CCTV, BMS i SSWiN, impero 360® wspiera podejście „all-hazards”, łącząc nadzór fizyczny oraz techniczny.

impero 360® wykorzystuje standard komunikacyjny OSDP oraz spełnia wymagania klasy bezpieczeństwa GRADE, dzięki czemu jest przystosowany do pracy w środowiskach o podwyższonym poziomie zagrożeń. Dzięki logom dostępu, gotowym raportom i integracji z systemami audytowymi, organizacja może szybko odpowiedzieć na wymagania kontrolne ze strony CSIRT, RCB czy regulatorów krajowych.