W nocy z 25 na 26 września 2022 r. pod wodami Bałtyku rozległy się dwie eksplozje. Uszkodzone zostały trzy z czterech nitek gazociągów Nord Stream 1 i Nord Stream 2. W jednej chwili z eksploatacji wyłączona została infrastruktura o wartości miliardów euro, przesyłająca gaz do Europy. Choć przez długi czas sprawców nie wskazano oficjalnie, prowadzone równolegle śledztwa, w tym przede wszystkim śledztwo niemieckie, doprowadziły w 2025 r. do zatrzymania podejrzanych powiązanych z ukraińskimi siłami specjalnymi. Sprawa pozostaje politycznie wrażliwa i prawnie nierozstrzygnięta, ale jedno jest pewne: był to największy akt sabotażu podmorskiej infrastruktury krytycznej w powojennej historii Europy. 8 października 2022 r., kilkanaście dni po eksplozjach na Bałtyku, w Niemczech nieznane osoby przecięły w dwóch miejscach kable światłowodowe systemu GSM-R, stanowiącego cyfrową łączność kolejową Deutsche Bahn. Na prawie trzy godziny wstrzymany został ruch pociągów dalekobieżnych na północy kraju. W tym samym miesiącu wykryto uszkodzenie gazociągu Balticconnector łączącego Estonię z Finlandią. W grudniu 2024 r. uszkodzony został kabel elektroenergetyczny EstLink 2 na dnie Bałtyku, fińskie służby wskazały na rosyjski tankowiec z tzw. floty cieni jako sprawcę. W Polsce i Czechach ujawniono serie podpaleń obiektów logistycznych prowadzonych na zlecenie rosyjskiego wywiadu, w jednej ze spraw przed czeskim sądem stanął obywatel Kolumbii zwerbowany przez rosyjskie służby. To nie są incydenty izolowane. To elementy szerszego wzorca, który analitycy bezpieczeństwa i służby specjalne państw NATO coraz częściej opisują jako systematyczną kampanię hybrydową wymierzoną w infrastrukturę krytyczną Europy. I to właśnie ten wzorzec, rosnące zagrożenie hybrydowe dla obiektów i usług kluczowych dla funkcjonowania państw i społeczeństw, jest jednym z kluczowych kontekstów, w których należy rozumieć dyrektywę CER.
Czym są zagrożenia hybrydowe i dlaczego infrastruktura krytyczna jest ich celem?
Zagrożenia hybrydowe to celowe, skoordynowane działania państwowych lub niepaństwowych aktorów, które łączą środki militarne i niemilitarne, konwencjonalne i niekonwencjonalne, jawne i ukryte – po to, by osiągnąć cele polityczne lub strategiczne, nie przekraczając formalnego progu konfliktu zbrojnego. Sabotaż infrastruktury, cyberataki, dezinformacja, infiltracja, finansowanie grup ekstremistycznych, manipulacja łańcuchami dostaw, wszystko to może być elementem kampanii hybrydowej. Infrastruktura krytyczna jest szczególnie atrakcyjnym celem takich działań z kilku powodów. Po pierwsze, jej zakłócenie wywołuje natychmiastowe i odczuwalne skutki społeczne i gospodarcze np. blackout, brak wody, zatrzymanie transportu, co generuje presję na rządy i podważa zaufanie obywateli do państwa. Po drugie, wiele elementów infrastruktury krytycznej jest fizycznie rozległych i trudnych do pełnej ochrony: rurociągi, linie energetyczne, kable podmorskie, sieci kolejowe rozciągają się na setki kilometrów. Po trzecie, ataki na infrastrukturę mogą być prowadzone w strefie szarej, trudnej do jednoznacznego przypisania, a zatem niepociągającej za sobą natychmiastowej odpowiedzi militarnej czy dyplomatycznej. Dyrektywa CER wprost wymienia zagrożenia hybrydowe wśród czynników ryzyka, które muszą być uwzględniane zarówno w krajowych ocenach ryzyka, jak i w ocenach ryzyka przeprowadzanych przez same podmioty krytyczne (art. 5 ust. 1 i art. 12 ust. 2 dyrektywy CER). To nie przypadkowe wyliczenie, to odzwierciedlenie realnego krajobrazu zagrożeń, z którym Europa mierzy się od lat.
Jak dyrektywa CER odpowiada na zagrożenia hybrydowe?
Dyrektywa CER nie jest aktem prawnym poświęconym wyłącznie zagrożeniom hybrydowym, jej zakres jest szerszy i obejmuje wszelkie zagrożenia dla infrastruktury krytycznej, naturalne i spowodowane przez człowieka, przypadkowe i celowe. Ale jej architektura, filozofia odporności zamiast ochrony, podejście wielosektorowe, wymóg ciągłości działania, odpowiada dokładnie na specyfikę zagrożeń hybrydowych.
Odporność zamiast ochrony. „Stara” dyrektywa z 2008 r. skupiała się na ochronie fizycznej konkretnych obiektów. Zagrożenia hybrydowe pokazały, że taka logika jest niewystarczająca, atakujący może wybrać słabsze ogniwo, obejść zabezpieczenia, uderzyć tam, gdzie się nie spodziewamy. Dyrektywa CER pyta nie „jak chronić obiekt przed atakiem”, lecz „jak zapewnić, że usługa będzie świadczona mimo ataku”. To fundamentalna różnica, która zmienia cały paradygmat zarządzania bezpieczeństwem infrastruktury.
Podejście uwzględniające wszystkie zagrożenia. Dyrektywa CER wymaga, by oceny ryzyka, zarówno krajowe, jak i podmiotowe, obejmowały wszystkie zagrożenia bez względu na ich charakter (art. 5 ust. 1 i art. 12 ust. 2 dyrektywy CER). Zagrożenia hybrydowe muszą być zatem traktowane na równi z klęskami żywiołowymi czy awariami technicznymi, jako realne ryzyka, dla których podmiot krytyczny musi mieć przygotowane środki zapobiegawcze i reagowania.
Ochrona personelu jako element odporności. Jedną z charakterystycznych cech kampanii hybrydowych jest infiltracja, rekrutowanie lub szantażowanie pracowników podmiotów krytycznych w celu uzyskania dostępu do wrażliwych systemów lub informacji. Dyrektywa CER wprost odpowiada na to zagrożenie, nakładając na podmioty krytyczne obowiązki w zakresie bezpieczeństwa personelu, w tym możliwość sprawdzania przeszłości osób na stanowiskach krytycznych (art. 14 dyrektywy CER). To narzędzie bezpośrednio wymierzone w jeden z kluczowych wektorów zagrożeń hybrydowych.
Bezpieczeństwo łańcucha dostaw. Kampanie hybrydowe coraz częściej uderzają nie w sam podmiot krytyczny, lecz w jego dostawców, atakując słabsze ogniwo, by uzyskać dostęp do właściwego celu. Dyrektywa CER wymaga, by podmioty krytyczne identyfikowały alternatywne łańcuchy dostaw i uwzględniały zależności od zewnętrznych dostawców w swoich ocenach ryzyka (art. 13 ust. 1 lit. d dyrektywy CER). W kontekście hybrydowym oznacza to konieczność weryfikacji bezpieczeństwa dostawców i dywersyfikacji źródeł zaopatrzenia.
Ciągłość działania jako priorytet. Celem ataku hybrydowego na infrastrukturę jest zazwyczaj nie jej zniszczenie, lecz zakłócenie, wywołanie chaosu, podważenie zaufania, wywarcie presji. Dyrektywa CER kładzie szczególny nacisk na zdolność do szybkiego odtworzenia działalności po incydencie (art. 13 ust. 1 lit. d dyrektywy CER), co jest kluczową odpowiedzią na tę logikę. Podmiot, który potrafi wrócić do pełnej sprawności w ciągu godzin, jest znacznie mniej atrakcyjnym celem niż taki, którego zakłócenie wywołuje długotrwałe skutki.
Zagrożenia hybrydowe a wymogi strategii krajowej
Dyrektywa CER nakłada na państwa członkowskie obowiązek uwzględnienia zagrożeń hybrydowych w krajowej strategii odporności podmiotów krytycznych (art. 4 ust. 2 dyrektywy CER). Strategia musi brać pod uwagę hybrydowy charakter zagrożeń dotyczących podmiotów krytycznych, co oznacza konieczność koordynacji między organami właściwymi dla ochrony infrastruktury krytycznej a służbami wywiadowczymi, wojskiem i organami ścigania. To ważna zmiana w myśleniu o ochronie infrastruktury krytycznej. Tradycyjnie była ona domeną zarządzania kryzysowego i ochrony cywilnej. Zagrożenia hybrydowe wymagają włączenia do tego systemu nowych aktorów: kontrwywiadu, wojska, agencji odpowiedzialnych za bezpieczeństwo narodowe i stworzenia mechanizmów wymiany informacji między nimi a operatorami infrastruktury.
Wymiar transgraniczny: infrastruktura krytyczna jako cel ponadnarodowy
Zagrożenia hybrydowe mają z definicji wymiar transgraniczny — aktor hybrydowy może jednocześnie uderzyć w infrastrukturę kilku państw, by wywołać efekt kaskadowy i utrudnić skoordynowaną odpowiedź. Uszkodzenie gazociągu Nord Stream dotknęło nie jedno, lecz wiele państw europejskich jednocześnie. Zakłócenie systemu energetycznego jednego kraju może natychmiast przełożyć się na stabilność sieci sąsiadów. Dyrektywa CER odpowiada na ten wymiar poprzez rozbudowany system współpracy transgranicznej: sieć pojedynczych punktów kontaktowych, obowiązek konsultacji między państwami w odniesieniu do podmiotów o charakterze transgranicznym, mechanizm misji doradczych dla podmiotów o szczególnym znaczeniu europejskim oraz CERG – Grupę ds. Odporności Podmiotów Krytycznych (art. 9, 11, 17–19 dyrektywy CER). Szczegółowo omawiamy te mechanizmy w osobnym artykule poświęconym współpracy transgranicznej. Dla zagrożeń hybrydowych szczególnie istotny jest mechanizm zgłaszania incydentów transgranicznych, jeśli incydent ma lub może mieć znaczący wpływ na ciągłość usług kluczowych w co najmniej sześciu państwach członkowskich, właściwe organy mają obowiązek powiadomienia Komisji Europejskiej (art. 15 ust. 1 dyrektywy CER). To mechanizm wczesnego ostrzegania, który może odegrać kluczową rolę w przypadku skoordynowanej kampanii hybrydowej wymierzonej w infrastrukturę krytyczną wielu państw jednocześnie.
Czego dyrektywa CER nie obejmuje: granice odpowiedzi prawnej
Uczciwe omówienie dyrektywy CER jako odpowiedzi na zagrożenia hybrydowe wymaga też wskazania jej granic. Dyrektywa jest aktem prawa cywilnego, nie militarnego, reguluje odporność podmiotów cywilnych, nie odpowiedź wojskową na ataki hybrydowe. Nie tworzy mechanizmów atrybucji, ustalenia, kto stoi za danym atakiem ani nie reguluje kwestii odpowiedzi na ataki ze strony wrogich państw. Dyrektywa CER nie zastępuje zatem polityki bezpieczeństwa narodowego, strategii wojskowej ani instrumentów prawa międzynarodowego. Jest jednym z elementów szerszego systemu, który obejmuje również dyrektywę NIS2, rozporządzenie DORA, politykę obrony NATO, mechanizmy wymiany informacji wywiadowczych między sojusznikami oraz krajowe strategie bezpieczeństwa. Jej wartość polega na tym, że buduje bazową odporność podmiotów cywilnych, tę pierwszą linię obrony, która decyduje o tym, czy atak hybrydowy osiągnie swój cel. W tym sensie dyrektywa CER jest odpowiedzią na zagrożenia hybrydowe nie jako instrument militarny, lecz jako instrument społeczno-gospodarczy: jej celem jest sprawienie, by społeczeństwa i gospodarki europejskie były wystarczająco odporne, by ataki hybrydowe nie osiągały swoich celów, nawet jeśli nie można im w pełni zapobiec.