W ciągu ostatnich osiemnastu miesięcy w kilku europejskich państwach opublikowano dokumenty, które zmieniają sposób myślenia o ochronie infrastruktury krytycznej. Nie są to kolejne strategie pisane do szuflady. To przepisy z konkretnymi terminami, poradniki z listami działań do wdrożenia i raporty, które mówią wprost: luka między skalą zagrożeń a zdolnością do obrony rośnie. Czas na działanie jest teraz. Przyjrzenie się temu, co robią Szwecja, Niemcy, Norwegia i Wielka Brytania, jest użyteczne. Polska wdraża właśnie dyrektywę CER oraz NIS2 i wiele z rozwiązań, które sprawdzają się za granicą, może być inspiracją dla krajowych operatorów IK.
Szwecja: gotowość na najgorszy scenariusz
W styczniu 2026 roku szwedzka agencja Swedish Civil Defence and Resilience Agency opublikowała poradnik dla przedsiębiorców Preparedness for businesses – In case of crisis or war. Dokument jest adresowany bezpośrednio do firm, nie do urzędników, i napisany językiem, który rozumie każdy menedżer. Punkt wyjścia jest prosty: jeśli firma jest przygotowana na wojnę, poradzi sobie z każdym innym kryzysem. Szwedzi planują od razu na scenariusz ekstremalny — bo zakładają, że sytuacja bezpieczeństwa może się radykalnie pogorszyć w bardzo krótkim czasie. Stąd konkretne liczby: operatorzy infrastruktury krytycznej muszą być zdolni do samodzielnego utrzymania funkcji przez co najmniej dwa tygodnie, a całe społeczeństwo powinno być przygotowane na funkcjonowanie w warunkach kryzysu przez minimum trzy miesiące. Poradnik obejmuje siedem obszarów tematycznych: zarządzanie ciągłością działania, planowanie zasobów ludzkich, zarządzanie kryzysowe, cyberbezpieczeństwo, obronę psychologiczną, szkolenia i ćwiczenia oraz gotowość do zmiany profilu działalności w razie potrzeby. Przy każdym obszarze — konkretne pytania, na które firma powinna umieć odpowiedzieć.
Źródło: mcf.se/beredskapforforetag
Niemcy: prawo zamiast poradnika
Niemcy poszły inną drogą. 17 marca 2026 roku weszła w życie ustawa KRITIS Dachgesetz – pierwsza w historii tego kraju regulacja kompleksowo obejmująca odporność fizyczną operatorów infrastruktury krytycznej. Uzupełniła tym samym ustawę o cyberbezpieczeństwie, która weszła w życie w grudniu 2025 roku. Razem tworzą dwuwarstwowy system ochrony – cybernetyczny i fizyczny. Ustawa obejmuje dziesięć sektorów strategicznych i nakłada konkretne obowiązki: rejestracja w dwóch urzędach federalnych do lipca 2026 roku, ocena ryzyka co najmniej raz na cztery lata, pisemny plan odporności, wyznaczony punkt kontaktowy dostępny całą dobę, zgłaszanie poważnych incydentów w ciągu 24 godzin.
Najważniejszy element kulturowy: osobista odpowiedzialność zarządu. Kierownictwo odpowiada prawnie za wdrożenie i nadzór nad systemem odporności. To zmiana, która przesuwa bezpieczeństwo IK z poziomu technicznego na poziom zarządczy. Warto też odnotować platformę UP KRITIS – forum współpracy publiczno-prywatnej działające od 2007 roku, zrzeszające ponad 1000 członków z administracji i sektora prywatnego. To rzadki przykład struktury, która rzeczywiście funkcjonuje, a nie tylko istnieje na papierze.
Źródła: recht.bund.de, aoshearman.com, cip-association.org
Norwegia: gotowość totalna jako dokument rządowy
10 stycznia 2025 roku norweski rząd przedstawił Białą Księgę o gotowości totalnej (Totalberedskapsmeldingen, Meld. St. 9, 2024–2025). Dokument zawiera ponad 100 konkretnych środków i wyznacza kierunek polityki bezpieczeństwa na najbliższe lata. Minister sprawiedliwości Emilie Enger Mehl powiedziała przy tej okazji wprost: rozwiązania z lat 90., oparte na założeniu głębokiego pokoju, przestały być wystarczające. Norwegia przyjęła trzy cele strategiczne: zdolność do funkcjonowania w warunkach kryzysu lub wojny, odporność na zagrożenia hybrydowe i zdolność do wsparcia wysiłku militarnego NATO. Ten ostatni element ma bezpośrednie przełożenie na operatorów IK – porty, koleje, sieci energetyczne mogą zostać zobowiązane do wsparcia logistycznego sił sojuszniczych.
Kilka rozwiązań zasługuje na uwagę: obowiązkowe komitety gotowości kryzysowej we wszystkich krytycznych sektorach z udziałem sektora prywatnego, konkretne cele ilościowe (50% samowystarczalności żywnościowej do 2030 roku, trzykrotny wzrost rezerw zbożowych do 2029 roku), powrót do budowy schronów po niemal trzydziestu latach przerwy i przepisy zobowiązujące osoby cywilne do pracy podczas kryzysu.
Źródło: regjeringen.no
Wielka Brytania: luka się powiększa
Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego opublikowało w październiku 2025 roku raport roczny, który jest wyjątkowo szczery w diagnozie: luka między skalą zagrożeń cybernetycznych a zdolnością operatorów IK do obrony przed nimi nie maleje — rośnie. W ciągu roku objętego raportem NCSC obsłużył 429 incydentów, z czego 204 zakwalifikowano jako zdarzenia o znaczeniu krajowym – ponad dwukrotnie więcej niż rok wcześniej.
W odpowiedzi NCSC uruchomił projekt Preparedness for Crisis i opublikował w kwietniu 2026 roku poradnik dla operatorów IK. Kluczowe przesunięcie w myśleniu: nie chodzi o zapobieganie każdemu atakowi, lecz o zdolność do działania w trakcie ataku i odbudowy po nim. Organizacja musi planować funkcjonowanie bez systemów IT – z wyprzedzeniem, nie w chwili kryzysu. Poradnik formułuje to wprost: środki, które nie zostały zbudowane i przećwiczone przed kryzysem, nie będą dostępne wtedy, gdy staną się potrzebne.
Źródła: ncsc.gov.uk (raport roczny 2025), ncsc.gov.uk (blog Preparedness for Crisis, kwiecień 2026)
Co łączy te podejścia?
Patrząc na wszystkie cztery kraje razem, widać kilka wspólnych wątków.
Pierwszy: wszędzie odchodzi się od myślenia o ochronie IK jako zadaniu technicznym. Szwedzi adresują poradnik do właścicieli firm, Niemcy nakładają osobistą odpowiedzialność na zarząd, Brytyjczycy piszą poradnik dla kierownictwa. Bezpieczeństwo staje się kwestią zarządczą.
Drugi: planowanie ciągłości działania na scenariusze ekstremalne, nie tylko prawdopodobne. Szwedzi wprost zakładają wojnę jako punkt wyjścia. Brytyjczycy ćwiczą działanie bez systemów IT. Norwegowie budują rezerwy zbożowe na trzy miesiące. We wszystkich przypadkach logika jest ta sama: lepiej być przygotowanym na to, co się nie wydarzy, niż być zaskoczonym przez to, co się wydarzy.
Trzeci: formalizacja współpracy publiczno-prywatnej. Niemcy mają UP KRITIS z ponad tysiącem członków. Norwegowie wprowadzają obowiązkowe komitety gotowości z udziałem sektora prywatnego. Brytyjczycy budują platformy wymiany informacji o zagrożeniach łączące podmioty rządowe i prywatne. Współpraca, która dotychczas była dobrowolna i niespójna, staje się strukturalna.
Czwarty: zagrożenia hybrydowe wymuszają podejście całościowe. Ataki cybernetyczne mają skutki fizyczne. Dezinformacja destabilizuje nastroje społeczne. Sabotaż infrastruktury podmorskiej jest możliwy. Żaden z analizowanych krajów nie traktuje już cyberbezpieczeństwa i bezpieczeństwa fizycznego jako osobnych tematów.
Zamiast podsumowania
Europa nie buduje odporności infrastruktury krytycznej dlatego, że tego wymaga Bruksela. Buduje ją dlatego, że sytuacja geopolityczna na to nie pozwala. Dokumenty z ostatnich osiemnastu miesięcy pokazują, że ta zmiana jest poważna i trwała. Dla operatora infrastruktury krytycznej oznacza to jedno: czas na czytanie przepisów minął. Czas na wdrożenie.