Kiedy Unia Europejska wprowadziła nową Dyrektywę (UE) 2022/2557 o odporności podmiotów krytycznych (CER Directive), stało się jasne, że wdrożenie jej przepisów będzie wymagało nie tylko zmian w prawie krajowym, ale też ciągłej współpracy między państwami członkowskimi. Właśnie dlatego powołano Critical Entities Resilience Group (CERG) – grupę ekspertów, której zadaniem jest budowanie wspólnego podejścia do ochrony i wzmacniania odporności kluczowych usług i infrastruktury w całej Unii.
CERG działa w strukturze Komisji Europejskiej (DG HOME) jako grupa doradcza i koordynacyjna. Skupia przedstawicieli wszystkich państw członkowskich, którzy odpowiadają za bezpieczeństwo infrastruktury, zarządzanie kryzysowe czy politykę odporności. Przewodniczy jej Komisja, ale w spotkaniach często uczestniczą też eksperci branżowi i przedstawiciele instytucji badawczych. Celem grupy jest nie tylko wymiana informacji i doświadczeń, ale także tworzenie praktycznych narzędzi i rekomendacji, które ułatwią państwom wdrażanie Dyrektywy CER w spójny sposób. W przypadku Polski instytucją, która deleguje ekspertów na obrady CERG jest Rządowe Centrum Bezpieczeństwa.
CERG w praktyce – rola i znaczenie
CERG powstała na mocy art. 19 Dyrektywy CER i jest czymś w rodzaju „stołu roboczego” dla krajowych ekspertów od odporności infrastruktury. To forum, w którym państwa członkowskie wspólnie omawiają, jak rozumieć przepisy dyrektywy, jak oceniać ryzyka, identyfikować podmioty krytyczne i wdrażać środki zwiększające bezpieczeństwo. Grupa spotyka się regularnie – zwykle kilka razy w roku – a przynajmniej jedno z tych spotkań odbywa się wspólnie z Grupą Współpracy NIS (NIS Cooperation Group), odpowiedzialną za kwestie cyberbezpieczeństwa. To ważne, bo współczesne zagrożenia mają charakter hybrydowy – trudno dziś oddzielić atak cybernetyczny od fizycznego zakłócenia pracy infrastruktury.
W odróżnieniu od typowych grup roboczych UE, CERG nie jest tylko miejscem wymiany dokumentów. To forum, które realnie kształtuje kierunki polityki bezpieczeństwa w Europie. Grupa opiniuje wytyczne Komisji, analizuje krajowe strategie odporności, porównuje rozwiązania stosowane przez poszczególne państwa i pomaga identyfikować luki w systemach ochrony. Uczestnictwo w jej pracach daje więc realny wpływ na sposób, w jaki interpretowana i stosowana jest Dyrektywa CER.
Dwuletni plan pracy – priorytety na lata 2025–2026
We wrześniu 2025 roku Komisja opublikowała dokument Biennial Work Programme of the Critical Entities Resilience Group 2025–2026, czyli pierwszy dwuletni plan pracy CERG. Zawiera on konkretne priorytety i działania, które grupa będzie realizować przez najbliższe dwa lata.
Najważniejszym z nich jest wsparcie praktycznego wdrażania Dyrektywy CER. Okres transpozycji przepisów zakończył się w październiku 2024 roku, a teraz nadszedł czas, by sprawdzić, jak te regulacje funkcjonują w praktyce. CERG ma pomagać Komisji i państwom członkowskim w rozwiązywaniu problemów interpretacyjnych, monitorowaniu stanu wdrożenia oraz ocenie skuteczności krajowych strategii odporności. W 2026 roku zaplanowano przegląd pierwszych raportów krajowych i porównanie podejść stosowanych w poszczególnych państwach.
Drugim priorytetem jest wymiana dobrych praktyk i doświadczeń. W wielu krajach – także w Polsce – proces identyfikacji podmiotów krytycznych, oceny ryzyka czy testowania odporności jest nowy i wymaga metodologicznego dopracowania. CERG ma być miejscem, gdzie państwa uczą się od siebie nawzajem. Plan pracy przewiduje warsztaty, wspólne ćwiczenia i analizę przypadków, w tym incydentów o charakterze transgranicznym.
Trzeci obszar to wsparcie Komisji w opracowywaniu wytycznych i aktów wykonawczych. W latach 2025–2026 CERG będzie konsultować m.in. zasady stosowania kryteriów oceny zakłóceń (art. 7 dyrektywy) i katalog środków technicznych oraz organizacyjnych zwiększających odporność podmiotów krytycznych (art. 13). W praktyce oznacza to, że CERG ma realny wpływ na to, jak państwa będą interpretować pojęcie „znaczącego skutku” zakłócenia czy jakie środki uznaje się za wystarczające do zapewnienia odporności.
Czwartym kierunkiem działań grupy jest monitorowanie i ocena skuteczności wdrożenia dyrektywy. CERG analizuje raporty składane przez państwa członkowskie zgodnie z art. 9 ust. 3 dyrektywy CER, a także doświadczenia z tzw. misji doradczych (advisory missions), które Komisja może prowadzić w poszczególnych krajach. Celem tych działań nie jest kontrola, ale identyfikacja wspólnych wyzwań i wyciąganie wniosków.
Wreszcie, CERG ma odgrywać rolę w koordynacji działań na poziomie europejskim – m.in. w ramach projektów RescEU, inicjatyw klimatycznych i planów bezpieczeństwa infrastruktury podmorskiej. Grupa będzie także analizować wpływ nowych zagrożeń – jak zmiany klimatu, napięcia geopolityczne czy rosnąca zależność od systemów cyfrowych – na funkcjonowanie infrastruktury krytycznej.
CERG a Polska – współpraca i potencjał
Z punktu widzenia Polski, prace CERG są szczególnie istotne. Nasz kraj, podobnie jak inne państwa członkowskie, jest w trakcie wdrażania Dyrektywy CER do prawa krajowego. Za ten proces odpowiada Rządowe Centrum Bezpieczeństwa.
Udział Polski w pracach CERG pozwala również wpływać na interpretację i wdrożenie przepisów dyrektywy. Wspólne sesje, wymiana doświadczeń i analizy przypadków umożliwiają zrozumienie, jak inne kraje organizują swoje systemy odporności – od Niemiec po Finlandię – i jakie rozwiązania mogą zostać zastosowane także u nas.
Grupa CERG jest dziś jednym z najważniejszych narzędzi koordynacji i harmonizacji podejść do odporności w UE. W praktyce pełni funkcję łącznika między unijną polityką bezpieczeństwa a krajowymi strukturami odpowiedzialnymi za ochronę infrastruktury krytycznej. Dzięki regularnym spotkaniom i wymianie doświadczeń umożliwia zbliżenie standardów analizy ryzyka, identyfikacji podmiotów krytycznych oraz planowania środków ochronnych.
Dla Polski udział w tej grupie to nie tylko obowiązek wynikający z członkostwa w UE, ale też realna szansa na wzmocnienie krajowego systemu odporności – poprzez wymianę wiedzy, lepszą koordynację danych i integrację z europejskimi inicjatywami. W perspektywie kilku lat prace CERG mogą doprowadzić do stworzenia w UE wspólnego podejścia do oceny ryzyka i raportowania incydentów, a nawet do powstania zintegrowanego systemu analiz odpornościowych obejmującego zarówno aspekty cybernetyczne, jak i fizyczne. W tym sensie CERG nie jest tylko kolejną grupą roboczą w strukturach Brukseli – to laboratorium europejskiej odporności, w którym kształtują się nowe standardy bezpieczeństwa dla całego kontynentu.