W październiku 2025 roku brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) opublikowało poradnik skierowany do operatorów infrastruktury krytycznej: How to prepare and plan your organisation’s response to severe cyber threat: A guide for CNI. W kwietniu 2026 roku dyrektor ds. odporności narodowej NCSC Jonathon Ellison wydał do niego otwarty apel do kierownictw organizacji kluczowych z jasnym przekazem: czas na działanie jest teraz, nie po ataku. Poradnik wyrasta z niepokojącej obserwacji (piszemy o tym w dziale ARTYKUŁY) zawartej w raporcie rocznym NCSC 2025: luka między skalą zagrożeń cybernetycznych a zdolnością operatorów infrastruktury krytycznej do obrony przed nimi nie maleje – rośnie. W ciągu roku objętego raportem NCSC obsłużył 429 incydentów, z czego 204 zakwalifikowano jako zdarzenia o znaczeniu krajowym. To ponad dwukrotnie więcej niż rok wcześniej. Wśród ofiar znalazły się m.in. sieć sklepów Marks & Spencer, Co-operative Group i domy towarowe Harrods; ataki doprowadziły do wielotygodniowych zakłóceń operacyjnych i strat liczonymi w setkach milionów funtów.
Czym jest „poważne zagrożenie cybernetyczne”?
Poradnik wprowadza pojęcie, które warto zapamiętać: severe cyber threat, czyli poważne zagrożenie cybernetyczne. Oznacza ono sytuację, w której wysoce zdolny i zdeterminowany atakujący, najczęściej podmiot wspierany przez państwo, prowadzi działania mogące wywołać przedłużone przerwy w funkcjonowaniu usług, znaczące straty finansowe, trwałe szkody wizerunkowe oraz zagrożenie dla bezpieczeństwa publicznego i bezpieczeństwa państwa. To nie jest atak oportunistyczny na klienta banku, to uderzenie w rdzeń funkcjonowania społeczeństwa. Autorzy poradnika podkreślają, że nowe technologie, w tym zaawansowane systemy sztucznej inteligencji, zwiększają szybkość, skalę i łatwość przeprowadzania takich ataków. Zagrożenie nie maleje samo z siebie.
Odporność ważniejsza niż ochrona
Fundamentalne założenie poradnika to odwrócenie logiki, która przez lata dominowała w myśleniu o bezpieczeństwie IK: nie da się zapobiec każdemu atakowi, więc organizacja musi być zdolna do działania w trakcie ataku i odbudowy po nim. Ochrona pozostaje ważna, ale odporność jest ważniejsza. W praktyce oznacza to cztery rzeczy. Po pierwsze, dokładne mapowanie i rozumienie własnych systemów, ze szczególnym uwzględnieniem tych najbardziej krytycznych dla ciągłości usług. Po drugie, planowanie z góry, jak organizacja będzie funkcjonować, gdy systemy informatyczne lub systemy sterowania przemysłowego zostaną częściowo lub całkowicie wyłączone. Po trzecie, ćwiczenie konkretnych działań obronnych: izolowania segmentów sieci, odcinania zainfekowanych systemów od reszty infrastruktury, odbudowywania środowisk po ataku. Po czwarte, zapewnienie, że kierownictwo rozumie napięcia między bezpieczeństwem a ciągłością operacyjną i jest w stanie podejmować trudne decyzje pod presją, zanim pojawi się realna presja.
Przygotowanie musi poprzedzać eskalację zagrożenia
Jeden z kluczowych wniosków poradnika brzmi na pozór banalnie, ale w praktyce bywa ignorowany: wiele działań obronnych, które organizacja chciałaby podjąć podczas poważnego ataku, jest zbyt kosztownych, skomplikowanych lub operacyjnie ryzykownych, żeby wdrażać je w trakcie kryzysu. Izolowanie sieci, szybkie utwardzanie systemów, przełączanie na procedury awaryjne , bo to wszystko wymaga wcześniej zbudowanych zdolności, przetestowanych procesów i przeszkolonych ludzi. Improwizacja pod presją prowadzi do błędów, które pogłębiają szkody. Poradnik formułuje tę zasadę wprost: środki, które nie zostały zbudowane i przećwiczone z wyprzedzeniem, nie będą dostępne wtedy, gdy staną się potrzebne.
Odpowiedzialność kierownictwa
Poradnik jest zaadresowany do kierownictw organizacji, nie do działów IT. To celowy wybór. Richard Horne, dyrektor NCSC, powiedział wprost: gdy dochodzi do poważnego ataku, to kierownictwo i zarząd muszą prowadzić zarządzanie kryzysowe. Dział IT wykona działania techniczne, ale decyzje o tym, co wyłączyć, co odciąć, kiedy powiadomić klientów, kiedy zaangażować regulatorów; to decyzje zarządcze, nie techniczne. NCSC zaleca, żeby kierownictwo z wyprzedzeniem zidentyfikowało najtrudniejsze decyzje, które przyjdzie mu podjąć podczas kryzysu, i wcześniej określiło, kto je podejmuje i na jakiej podstawie. Improwizacja w tej kwestii kosztuje nieporównywalnie więcej niż przygotowanie.
Związek z ramami oceny cyberbezpieczeństwa
Poradnik jest zakorzeniony w brytyjskich ramach oceny cyberbezpieczeństwa dla operatorów usług kluczowych (CAF, Cyber Assessment Framework), ale wykracza poza nie w istotny sposób. CAF określa, co organizacja powinna robić w normalnych warunkach. Poradnik zadaje inne pytanie: czy te same procedury i mechanizmy zadziałają, gdy zagrożenie wzrośnie do poziomu poważnego ataku? Organizacja może spełniać wymagania CAF i jednocześnie nie być gotowa na sytuację ekstremalną. Oba dokumenty wzajemnie się uzupełniają, CAF jako podstawa, poradnik jako sprawdzian odporności w warunkach nacisku.
Co z tego wynika dla operatorów infrastruktury krytycznej?
Poradnik NCSC nie jest dokumentem regulacyjnym, nie nakłada obowiązków. Jest praktycznym przewodnikiem, który pomaga organizacji zadać sobie trudne pytania, zanim zada je rzeczywistość.
Pierwsze pytanie: czy wiesz, które systemy są absolutnie kluczowe dla ciągłości twoich usług i co się stanie, gdy każdy z nich kolejno przestanie działać?
Drugie: czy masz plan działania bez systemów informatycznych – na papierze, w głowach pracowników, w przetestowanych procedurach?
Trzecie: czy twoje kierownictwo wie, jakie decyzje przyjdzie mu podjąć podczas poważnego ataku i kto jest za nie odpowiedzialny?
Jeśli odpowiedź na którekolwiek z tych pytań jest „nie wiem” lub „chyba tak, ale nie sprawdzaliśmy” – poradnik NCSC jest właśnie dla ciebie.
Pełny poradnik dostępny jest w języku angielskim na stronie NCSC: https://www.ncsc.gov.uk/collection/how-to-prepare-and-plan-your-organisations-response-to-severe-cyber-threat-a-guide-for-cni
Apel kierownictwa NCSC do liderów organizacji: https://www.ncsc.gov.uk/blogs/preparing-for-severe-cyber-threat-why-leaders-must-act-now