Jak wymienia NIK nie obejmowano ochroną fizyczną wszystkich obiektów infrastruktury krytycznej powiązanych ze sobą funkcjonalnie i niezbędnych do zapewnienia bezpieczeństwa funkcjonowania infrastruktury krytycznej. Część terenów, na których znajdowały się obiekty infrastruktury krytycznej nie była właściwie zabezpieczona przed wejściem osób nieuprawnionych, a w dużej części obszarów brakowało monitoringu wizyjnego.
Wejścia do niektórych obiektów nie spełniały norm bezpieczeństwa i nie były objęte systemem kontroli dostępu, a bramy wjazdowe nie były wyposażone w zapory zabezpieczające przed wtargnięciem. U większej części skontrolowanych podmiotów odpowiedzialnych za ochronę infrastruktury krytycznej nie wprowadzono także rozwiązań na wypadek wystąpienia zdarzeń sabotażu lub wyrządzenia szkód przez pracowników na terenie obiektów infrastruktury krytycznej.
We wszystkich skontrolowanych podmiotach nie wyodrębniono kluczowego, ze względu na przestrzeganie zasad bezpieczeństwa infrastruktury krytycznej personelu. W znaczącej większości podmioty te nie określały też procedur umożliwiających sprawdzenie wybranego oferenta wykonującego usługi dla operatora infrastruktury krytycznej pod kątem jakości wykonywanych usług, czy też zachowania poufności wykonywanych prac.
Ponadto wystąpiły przypadki nierealizowania przez skontrolowane podmioty niektórych rekomendacji audytu sieci informatycznych działających na potrzeby obiektów infrastruktury krytycznej, nieopracowania kompleksowych regulacji wewnętrznych dotyczących bezpieczeństwa przemysłowego systemu teleinformatycznego, czy też niezobowiązywania wykonawców do zachowania poufności uzyskanych informacji, mimo że podczas realizacji zadań mieli dostęp do kluczowych systemów służących do sterowania IK.
Skutki nieprawidłowości
Brak odpowiednich zabezpieczeń m.in. w obszarach ochrony fizycznej czy też osobowej skutkował wystąpieniem niebezpiecznych incydentów na terenach obiektów infrastruktury krytycznej, czy też związanych z prawidłową eksploatacją instalacji infrastruktury krytycznej. Przykładem jest zaginięcie z terenu jednego z obiektów infrastruktury krytycznej dwóch dużych pojemników zawierających izotop promieniotwórczy Co-60. W przypadku ich zniszczenia i wydostania się na zewnątrz źródła izotopowego stanowiłyby poważne zagrożenie dla życia i zdrowia osób przebywających w ich pobliżu. Przyczyną zaginięcia był brak nadzoru jednego z operatorów nad pracownikami firmy zewnętrznej wykonującej usługi na terenie obiektu IK.
Kolejnym incydentem było uszkodzenie połączenia transgranicznego - kabla prądu stałego 450 kV, łączącego Polskę z jednym z europejskich krajów, strategicznego z punktu widzenia zapewnienia dostaw energii elektrycznej oraz mającego wpływ na bezpieczeństwo energetyczne Państwa. Brak natomiast przygotowania i wdrożenia przez jednego z operatorów IK procedur kontroli transportów z wwożonymi surowcami energetycznymi przed ich wjazdem na teren obiektu IK, spowodował skierowanie na przekaźnik taśmowy, wraz z ładunkiem biomasy, niewybuchu pocisku artyleryjskiego.
Niewłaściwe zabezpieczenie jednego z obiektów IK przed wtargnięciem osób trzecich (zbyt niskie ogrodzenie, brak monitoringu) było też przyczyną swobodnego przekroczenia ogrodzenia przez osoby nieuprawnione. Brak odpowiednich rozwiązań w zakresie ochrony obiektu pozwalał w tym przypadku na łatwą możliwość zatrucia ujęć wody dla setek tysięcy obywateli.
W związku ze stwierdzonymi nieprawidłowościami NIK sformułowała wnioski pokontrolne do skontrolowanych podmiotów odpowiedzialnych za ochronę IK oraz wojewodów i organów jst o usunięcie stwierdzonych uchybień i realizację zadań w zakresie ochrony IK zgodnie z przepisami prawa.