W styczniu 2026 roku szwedzka agencja Swedish Civil Defence and Resilience Agency (powołana do zycia 1 stycznia 2026 r.) opublikowała poradnik skierowany do przedsiębiorców działających w Szwecji: Preparedness for businesses – In case of crisis or war. Dokument powstał jako uzupełnienie analogicznej broszury adresowanej do wszystkich szwedzkich gospodarstw domowych, wydanej w 2024 roku. To nie jest kolejny teoretyczny dokument o zarządzaniu kryzysowym. To konkretna instrukcja: co zrobić, zanim nadejdzie kryzys i jak działać, gdy już nastąpi. Choć poradnik adresowany jest do szwedzkich przedsiębiorców, jego treść jest na tyle uniwersalna, że warto przyjrzeć mu się z perspektywy polskich operatorów infrastruktury krytycznej. Zwłaszcza teraz, gdy Polska wdraża unijną dyrektywę CER i przebudowuje swój system ochrony IK, a sytuacja geopolityczna w Europie nie pozostawia złudzeń co do powagi zagrożeń.
Punkt wyjścia: gotowość na wojnę to gotowość na wszystko
Autorzy poradnika przyjmują jasne założenie: jeśli firma jest gotowa funkcjonować w warunkach zagrożenia wojennego, poradzi sobie z każdym innym kryzysem np. pandemią, katastrofą naturalną, rozległą awarią infrastruktury. Szwedzi planują od razu na scenariusz ekstremalny, bo zakładają, że środowisko bezpieczeństwa może się radykalnie pogorszyć w krótkim czasie. Kluczowa zasada przyjęta w szwedzkim systemie obrony totalnej brzmi: operatorzy infrastruktury krytycznej muszą być zdolni do samodzielnego utrzymania najważniejszych funkcji przez co najmniej dwa tygodnie, a całe społeczeństwo powinno być przygotowane na funkcjonowanie w warunkach wojny w Europie przez co najmniej trzy miesiące. To twarde liczby, które przekładają się na konkretne wymagania: zapasy, zasilanie rezerwowe, alternatywne łańcuchy dostaw, obsada kadrowa.
Scenariusze zagrożeń: nie tylko cyberatak
Poradnik wskazuje na szeroki katalog konsekwencji, z którymi musi liczyć się każda firma działająca w sektorze krytycznym. Nie chodzi wyłącznie o cyberataki, choć te są wymieniane wprost jako zagrożenie hybrydowe pierwszego rzędu. Katalog obejmuje także: zakłócenia płatności elektronicznych i łączności, wielodniowe lub wielotygodniowe przerwy w dostawach energii, ograniczony dostęp do paliw, zakłócenia transportu lotniczego, kolejowego i drogowego, a także trudności z dotarciem pracowników do miejsca pracy. Dla polskiego operatora IK np. przedsiębiorstwa wodociągowego, operatora sieci energetycznej czy zarządcy obiektów portowych ten katalog powinien stanowić punkt wyjścia do własnej analizy ryzyka. Ile z tych scenariuszy jest uwzględnionych w aktualnym planie ochrony IK? Czy plan zakłada możliwość jednoczesnego wystąpienia kilku z nich?
Ciągłość działania jako rdzeń przygotowania
Centralnym pojęciem poradnika jest business continuity management, czyli zarządzanie ciągłością działania. Szwedzi proponują trzyetapowe podejście: najpierw mapowanie operacji i określenie akceptowalnego poziomu ryzyka, następnie identyfikacja krytycznych zależności (personel, energia, transport, łańcuchy dostaw), a na końcu wdrożenie środków wzmacniających odporność: zasilanie rezerwowe, zapasy komponentów, przygotowanie planów ciągłości działania, alternatywne sposoby zarządzania systemami IT i sprzętem technicznym. W polskim systemie prawnym obowiązek opracowania planów ochrony IK istnieje od lat i wynika z ustawy o zarządzaniu kryzysowym. Jednak szwedzkie podejście idzie dalej: nie chodzi tylko o sporządzenie dokumentu, ale o realną zdolność operacyjną w warunkach kryzysu. Plan ma być żywym narzędziem, testowanym w ćwiczeniach, a nie tylko dokumentem trzymanym w szafie.
Cyberbezpieczeństwo: konkretne minimum
Rozdział poświęcony cyberbezpieczeństwu jest zwięzły, ale treściwy. Szwedzi formułują zestaw absolutnego minimum dla każdego przedsiębiorcy: szkolenie pracowników z bezpiecznego korzystania z sieci i rozpoznawania phishingu, regularne przeglądy uprawnień i loginów z obowiązkowym wdrożeniem uwierzytelniania wieloskładnikowego (MFA), regularne tworzenie kopii zapasowych przechowywanych offline, aktualizowanie wszystkich urządzeń i zakup sprzętu wyłącznie od zaufanych dostawców. W kontekście grudniowego cyberataku na polską energetykę (2025 r.), gdzie CERT Polska wskazał na brak MFA w urządzeniach Fortigate i używanie tych samych haseł w wielu lokalizacjach jako kluczowe przyczyny skuteczności ataku, szwedzka lista wygląda jak gotowy zestaw wniosków po tym incydencie. To nie zbieżność przypadkowa: to są uniwersalne podstawy, których zaniedbanie zawsze kończy się tak samo. Szwedzi podają też konkretne wskazówki na wypadek ataku: natychmiastowe odcięcie połączenia z internetem, zakaz płacenia okupu, zgłoszenie incydentu na policję i do krajowego CSIRT.
Obrona psychologiczna jako element systemu
Jeden z rozdziałów poradnika poświęcony jest tematowi, który w Polsce dopiero zaczyna przebijać się do świadomości operatorów IK, czyli społecznej odporności poznawczej, czyli zdolności do odpierania kampanii dezinformacyjnych i operacji wpływu. Autorzy wskazują, że obce mocarstwa stosują dezinformację, przekierowanie uwagi i propagandę, aby wpływać na zachowania i procesy decyzyjne zarówno obywateli, jak i przedsiębiorstw. Dla operatora IK ma to bardzo praktyczny wymiar. Atak hybrydowy często zaczyna się od fazy informacyjnej np. siania niepewności, fałszywych doniesień o awariach, manipulowania nastrojami społecznymi. Firma, której pracownicy nie przeszli nawet podstawowego przeszkolenia z krytycznej oceny źródeł, jest podatna na dezorganizację od środka, zanim jeszcze nastąpi właściwy atak techniczny.
Zarządzanie kadrami w warunkach kryzysu
Poradnik poświęca oddzielny rozdział zagadnieniu planowania zasobów ludzkich w sytuacji nadzwyczajnej. Autorzy zwracają uwagę na kwestie, które w Polsce rzadko pojawiają się w planach ochrony IK: co się stanie, gdy część pracowników nie dotrze do pracy? Kto może wykonywać zadania zdalnie, a kto musi być fizycznie na miejscu? Czy istnieje możliwość redystrybucji zadań między mniejszą liczbą osób? Czy operator ma plan pozyskania zewnętrznych zasobów kadrowych? W Szwecji istnieje ponadto obowiązek obrony totalnej: wszyscy rezydenci w wieku od 16 do 70 lat mogą zostać zobowiązani do służby wojskowej, cywilnej lub w ramach powszechnego obowiązku obronnego. Pracodawcy muszą z tym się liczyć przy planowaniu obsady w warunkach podwyższonego zagrożenia.
Współpraca przed kryzysem, nie w jego trakcie
Poradnik konsekwentnie powtarza jedną zasadę: kanały współpracy z organami publicznymi i innymi podmiotami należy ustanowić przed kryzysem, nie w jego trakcie. Szwedzi rozwinęli model partnerstwa publiczno-prywatnego w zakresie obrony totalnej: firmy z różnych sektorów współpracują z administracją w zakresie planowania, ćwiczeń i uzgodnień dotyczących transportu, magazynowania i dostosowania produkcji. To podejście wpisuje się wprost w logikę unijnej dyrektywy CER, którą Polska implementuje poprzez nowelizację ustawy o zarządzaniu kryzysowym. Dyrektywa kładzie nacisk właśnie na odporność podmiotów krytycznych rozumianą nie jako izolowana zdolność jednej organizacji, ale jako sieć wzajemnych zależności i uzgodnień.
Co z tego wynika dla polskich operatorów IK?
Szwedzki poradnik nie jest rewolucją w myśleniu o ochronie infrastruktury krytycznej. Jego wartość polega na czymś innym: to kompleksowe, praktyczne i napisane przystępnym językiem narzędzie, które zbiera w jednym miejscu to, co powinno być oczywistością, a często nią nie jest. Z perspektywy polskiego operatora IK warto wyciągnąć kilka wniosków. Po pierwsze, planowanie ciągłości działania powinno opierać się na scenariuszach ekstremalnych, nie tylko prawdopodobnych. Po drugie, cyberbezpieczeństwo to nie projekt IT, to kwestia operacyjna, wymagająca zaangażowania całej organizacji, od pracowników fizycznych po kadrę zarządzającą. Po trzecie, obrona psychologiczna i odporność na dezinformację to dziś element systemu bezpieczeństwa każdego operatora IK, a nie abstrakcyjne pojęcie z dziedziny politologii. Po czwarte, współpraca z organami administracji i innymi operatorami musi być budowana systematycznie, w czasie pokoju, bo w trakcie kryzysu nie ma czasu na budowanie zaufania od zera.
Poradnik dostępny jest w języku angielskim na stronie http://mcf.se/beredskapforforetag.