W czerwcu 2024 roku Rada Unii Europejskiej przyjęła dokument znany jako Blueprint dla infrastruktury krytycznej, stanowiący wspólnotowy plan reagowania na zakłócenia o znaczeniu transgranicznym. To rekomendacja, która – choć formalnie niewiążąca – ma duże znaczenie polityczne i operacyjne. Jej celem jest wzmocnienie zdolności Unii Europejskiej do skoordynowanej reakcji na poważne incydenty dotyczące infrastruktury i usług krytycznych w więcej niż jednym państwie członkowskim. Blueprint uzupełnia Dyrektywę (UE) 2022/2557 o odporności podmiotów krytycznych (CER Directive), która reguluje kwestie prewencji i przygotowania, podczas gdy Blueprint koncentruje się na reagowaniu – wtedy, gdy zagrożenie już się materializuje.
Jakie incydenty obejmuje Blueprint?
Blueprint obejmuje wszystkie poważne zakłócenia infrastruktury krytycznej, które mają potencjał wywołania skutków w skali ponadnarodowej. Nie chodzi więc wyłącznie o ataki cybernetyczne, ale o cały wachlarz sytuacji, które mogą przerwać funkcjonowanie kluczowych usług w kilku państwach jednocześnie.
Do takich incydentów zalicza się między innymi:
- ataki fizyczne lub sabotażowe – np. uszkodzenia sieci energetycznych, gazowych, transportowych lub telekomunikacyjnych;
- cyberataki o skutkach infrastrukturalnych, szczególnie gdy paraliżują systemy sterowania, logistykę lub sieci przesyłowe;
- katastrofy naturalne – powodzie, trzęsienia ziemi, pożary, które prowadzą do długotrwałych przerw w dostawach energii, wody lub usług cyfrowych;
- incydenty technologiczne i awarie systemowe – np. długotrwałe przerwy w pracy centrów danych lub awarie systemów sterowania przemysłowego;
- zagrożenia hybrydowe i działania zewnętrzne – sytuacje, w których dochodzi do skoordynowanych działań łączących elementy sabotażu, dezinformacji i cyberataków;
- zdarzenia z udziałem podmiotów o znaczeniu europejskim – takich jak operatorzy sieci energetycznych, kabli podmorskich, dużych portów czy węzłów telekomunikacyjnych.
Blueprint nie ogranicza się więc do pojedynczych sektorów, lecz obejmuje całą sieć współzależności infrastrukturalnych – energetykę, transport, łączność, wodociągi, opiekę zdrowotną, a także elementy cyfrowe i logistyczne. Każdy incydent, który przekracza granice jednego państwa lub może mieć wpływ na bezpieczeństwo dostaw w innych krajach, może zostać uznany za sytuację objętą Blueprintem.
Mechanizmy powiadamiania i koordynacji
Blueprint wprowadza przejrzysty system powiadamiania o incydentach.
W momencie wystąpienia zdarzenia o potencjale transgranicznym, państwo członkowskie, które jako pierwsze zidentyfikowało incydent, ma obowiązek niezwłocznie poinformować Komisję Europejską oraz Prezydencję Rady UE. W zależności od charakteru incydentu, w proces włączane są również inne instytucje, takie jak Europejska Służba Działań Zewnętrznych, Centrum Koordynacji Reagowania Kryzysowego (ERCC) czy Grupa CERG, jeśli zdarzenie dotyczy podmiotów krytycznych.
Państwo przekazujące informację musi dostarczyć:
- wstępny opis zdarzenia i jego przyczyny,
- ocenę możliwego wpływu na kluczowe usługi lub sektory,
- dane o podjętych środkach reagowania,
- oraz, jeśli to możliwe, informację o potencjalnych skutkach dla innych państw.
Komisja może następnie zwołać spotkanie koordynacyjne z udziałem dotkniętych państw członkowskich, służb Rady i odpowiednich agencji unijnych. W praktyce jest to mechanizm analogiczny do systemu reagowania kryzysowego w ramach mechanizmu ochrony ludności (RescEU), ale skupiony na infrastrukturze i usługach.
Blueprint przewiduje także, że państwa powinny korzystać ze wspólnych kanałów komunikacji i raportowania, by zapewnić kompatybilność danych. W sytuacji, gdy incydent ma wymiar cybernetyczny, informacje przekazywane są również do sieci CSIRT oraz grupy współpracy NIS, co pozwala na zintegrowaną ocenę skutków zarówno fizycznych, jak i cyfrowych.
Kiedy uruchamia się Blueprint?
Blueprint nie uruchamia się automatycznie. Jego procedury stosuje się, gdy:
- incydent powoduje lub może spowodować zakłócenia w dostarczaniu kluczowych usług w co najmniej sześciu państwach członkowskich;
- dotyczy infrastruktury lub podmiotu o szczególnym znaczeniu europejskim (np. gazociągu, kabla światłowodowego, sieci energetycznej, hubu logistycznego);
- ma charakter transgraniczny, a reakcja jednego państwa jest niewystarczająca bez koordynacji unijnej.
Decyzję o uruchomieniu procesu koordynacyjnego podejmuje Komisja, po konsultacji z państwami członkowskimi i właściwymi organami. W zależności od sytuacji, mogą zostać powołane tymczasowe zespoły reagowania lub misje doradcze.
Wymiana informacji i komunikacja publiczna
Jednym z kluczowych elementów Blueprintu jest zarządzanie informacją – zarówno na poziomie technicznym, jak i komunikacyjnym. Dokument nakłada na państwa obowiązek zapewnienia rzetelnego i szybkiego przepływu informacji o stanie infrastruktury i skutkach incydentu. Jednocześnie zaleca, by przekazy dla opinii publicznej były koordynowane, spójne i oparte na faktach, by zapobiec dezinformacji i panice.
W praktyce oznacza to, że Komisja Europejska może koordynować wspólne komunikaty prasowe, a państwa członkowskie powinny stosować zharmonizowane wzory raportów i ostrzeżeń. Blueprint kładzie duży nacisk na transparentność i spójność informacji – zrozumienie przez obywateli, co się dzieje i jakie działania podejmują władze, jest integralnym elementem odporności.
Ćwiczenia i testy
Blueprint zaleca organizowanie regularnych ćwiczeń symulacyjnych – zarówno krajowych, jak i międzynarodowych. Celem jest nie tylko sprawdzenie reakcji technicznych, ale też mechanizmów koordynacji między państwami, komunikacji publicznej i wymiany informacji.
Ćwiczenia te mają obejmować scenariusze z różnych sektorów – od energetyki i transportu, po cyfrową infrastrukturę danych. Ważne jest też testowanie współpracy między strukturami odpowiedzialnymi za odporność fizyczną (CER) i cyberbezpieczeństwo (NIS2).
Znaczenie dla Polski
Dla Polski Blueprint UE jest instrumentem o dużym znaczeniu strategicznym. Po pierwsze, tworzy ramy dla szybkiej wymiany informacji z instytucjami unijnymi w razie incydentów o skutkach międzynarodowych – np. przerwania dostaw energii, awarii infrastruktury przesyłowej czy ataku na sieć transportową. Po drugie, daje dostęp do pomocy technicznej i operacyjnej innych państw członkowskich, co może mieć realne znaczenie w sytuacjach nagłych. Dodatkowo udział w planowanych przez UE ćwiczeniach transgranicznych umożliwiłby przetestowanie procedur współpracy w praktyce i poprawę interoperacyjności systemów.
Przyjęcie Blueprintu to kolejny etap w budowie europejskiego systemu odporności. Po fazie regulacyjnej, którą zapoczątkowała Dyrektywa CER, Unia wchodzi w etap operacyjnej gotowości – testowania, reagowania i wspólnego uczenia się z incydentów. Blueprint, razem z grupą CERG i mechanizmem RescEU, tworzy zintegrowany system ochrony, który obejmuje wszystkie etapy zarządzania ryzykiem: prewencję, przygotowanie, reagowanie i odbudowę.
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:C_202404371