11 września 2025 r. Komisja Europejska przyjęła Wytyczne dotyczące odporności podmiotów krytycznych (Commission Guidelines on the Resilience of Critical Entities) wraz z dobrowolnym szablonem raportowania (Voluntary Common Reporting Template) – dokument C(2025) 6094.
Stanowią praktyczne rozwinięcie przepisów Dyrektywy (EU) 2022/2557 w sprawie odporności podmiotów krytycznych (CER Directive) i są kluczowym punktem odniesienia dla państw członkowskich we wdrażaniu spójnych strategii bezpieczeństwa i zarządzania ryzykiem.
Dokument nie jest prawnie wiążący, lecz ma istotny charakter operacyjny i interpretacyjny – ułatwia stosowanie dyrektywy CER w zakresie identyfikacji podmiotów krytycznych, oceny znaczenia zakłóceń i raportowania wyników ocen ryzyka.
Dyrektywa CER – filar europejskiej odporności
Dyrektywa CER (2022/2557) zastąpiła wcześniejszą dyrektywę 2008/114/WE i ustanowiła nowe ramy prawne ochrony i odporności podmiotów kluczowych dla funkcjonowania społeczeństwa i gospodarki.
Obejmuje 11 sektorów, m.in. energię, transport, zdrowie, wodę, infrastrukturę cyfrową, żywność, bankowość i administrację publiczną.
Dyrektywa zobowiązuje państwa członkowskie do:
- opracowania krajowych strategii odporności (art. 4),
- wykonywania ocen ryzyka na poziomie krajowym (art. 5),
- identyfikacji podmiotów krytycznych (art. 6),
- oraz zapewnienia nadzoru, raportowania i wymiany informacji z Komisją (art. 17–20).
Komisja została zobligowana do opracowania szczegółowych wytycznych, aby zapewnić spójność w całej UE — właśnie to zadanie realizuje dokument C(2025) 6094 final.
Zakres Wytycznych Komisji
Wytyczne obejmują trzy zasadnicze obszary:
- Identyfikacja podmiotów krytycznych – opis jednolitego procesu stosowania kryteriów określonych w art. 6 Dyrektywy.
- Ocena znaczenia skutków zakłóceń – metodyka praktycznego stosowania kryteriów art. 7 Dyrektywy.
- Wspólny dobrowolny szablon raportowania (Annex) – narzędzie służące standaryzacji raportów państw członkowskich dotyczących ocen ryzyka (art. 5 ust. 5 Dyrektywy).
Dokument został opracowany po konsultacjach z państwami UE i grupą CERG (Critical Entities Resilience Group), dzięki czemu uwzględnia różnorodność struktur administracyjnych i sektorowych w Europie.
Identyfikacja podmiotów krytycznych
Zgodnie z art. 6 Dyrektywy CER, dany podmiot może zostać uznany za krytyczny wyłącznie wtedy, gdy spełnia trzy kryteria łącznie:
- Świadczy co najmniej jedną usługę kluczową;
- Działa i posiada infrastrukturę krytyczną na terytorium danego państwa członkowskiego;
- Zakłócenie tej usługi miałoby znaczące skutki dla społeczeństwa lub gospodarki.
Pięć kroków procesu identyfikacji
Komisja rekomenduje pięcioetapowy proces:
- (A) określenie sektora lub podsektora objętego zakresem dyrektywy,
- (B) weryfikacja, czy podmiot świadczy usługę kluczową,
- (C) ustalenie, czy jego infrastruktura i działalność znajdują się na terytorium państwa członkowskiego,
- (D) ocena potencjalnych skutków zakłócenia,
- (E) sprawdzenie, czy nie podlega wyłączeniu (np. służby bezpieczeństwa, obrona narodowa).
Interpretacje sektorowe
Wytyczne zawierają także doprecyzowania branżowe:
- w energetyce – uwzględnia się elementy infrastruktury jądrowej w zakresie przesyłu, z wyłączeniem komponentów nuklearnych,
- w sektorze żywnościowym – identyfikacja obejmuje wyłącznie duże podmioty zajmujące się produkcją i hurtową dystrybucją,
- w infrastrukturze cyfrowej, finansowej i telekomunikacyjnej – wymagana jest koordynacja między regulatorami krajowymi,
- w transporcie i wodzie – podkreśla się znaczenie infrastruktury o podwójnym zastosowaniu (cywilno-wojskowym).
Nowością jest uwzględnienie infrastruktury podmorskiej – kabli i rurociągów – oraz ryzyk transgranicznych i hybrydowych.
Ocena znaczenia skutków zakłóceń
Komisja precyzuje, jak stosować art. 7 Dyrektywy CER dotyczący „znaczącego skutku zakłócajacego” (ang. significance of a disruptive effect).
Wytyczne zalecają uwzględnianie sześciu grup kryteriów:
- Liczba użytkowników zależnych od danej usługi (bezpośrednio i pośrednio), z uwzględnieniem grup wrażliwych (osoby starsze, dzieci, osoby z niepełnosprawnościami).
- Zależności międzysektorowe – analiza powiązań i efektów kaskadowych między branżami (np. energia ↔ transport ↔ cyfryzacja).
- Wpływ na gospodarkę, społeczeństwo, środowisko i zdrowie – z oceną stopnia i czasu trwania incydentu.
- Udział w rynku – im większa dominacja podmiotu w sektorze, tym wyższy potencjał skutków systemowych.
- Zasięg geograficzny i charakter obszaru – analiza lokalnych, regionalnych, krajowych i transgranicznych skutków, ze szczególnym uwzględnieniem obszarów o ograniczonej dostępności (wyspy, góry, regiony przygraniczne).
- Znaczenie dla utrzymania ciągłości usługi – ocena dostępności alternatywnych źródeł lub dostawców i czasu ich uruchomienia.
Wytyczne wskazują też konkretne metody analityczne: mapowanie łańcuchów dostaw, wykorzystanie GIS, modelowanie scenariuszowe i testy odpornościowe (stress tests).
Dzięki temu ocena nabiera wymiaru ilościowego i systemowego, co ułatwia harmonizację analiz między państwami członkowskimi.
Integracja z innymi politykami UE
Komisja Europejska podkreśla, że odporność podmiotów krytycznych musi być traktowana w sposób wielowymiarowy i skoordynowany.
Wytyczne zalecają powiązanie strategii odporności z następującymi inicjatywami:
- Dyrektywą NIS 2 (EU 2022/2555) – w zakresie bezpieczeństwa sieci i systemów informatycznych;
- Europejską Strategią Adaptacji do Zmian Klimatu (2021/1119) – włączenie aspektów klimatycznych do ocen ryzyka;
- EU Action Plan on Cable Security (2025) – ochrona infrastruktury podmorskiej;
- Rozporządzeniem (EU) 2020/852 (Taksonomia UE) – łączenie odporności z celami zrównoważonego rozwoju i ochrony środowiska.
Wytyczne zachęcają też do współpracy organów odpowiedzialnych za cyberbezpieczeństwo i odporność fizyczną – w duchu pełnej integracji dyrektyw NIS 2 i CER.
Dobrowolny wspólny szablon raportowania (Annex)
Załącznik do komunikatu C(2025) 6094 stanowi dobrowolny formularz, który państwa członkowskie mogą stosować przy raportowaniu wyników krajowych ocen ryzyka.
Choć nie jest obowiązkowy, ma służyć ujednoliceniu struktury danych i zwiększeniu przejrzystości analiz przekazywanych Komisji.
Struktura formularza
Szablon obejmuje cztery główne sekcje:
- Typy ryzyka – katalog zagrożeń naturalnych (np. powodzie, pożary, epidemie), antropogenicznych (terroryzm, sabotaż, cyberataki, zagrożenia hybrydowe), technologicznych (awarie, błędy ludzkie, starzenie infrastruktury) oraz złożonych (efekty kaskadowe, tzw. NaTech).
- Wyniki oceny ryzyka – analiza podatności (zależności międzysektorowe, zależność od państw trzecich, łańcuchy dostaw) i potencjalnych skutków (ekonomicznych, środowiskowych, zdrowotnych, społecznych).
- Dodatkowe wnioski i dobre praktyki – opis metodologii, wniosków i lekcji wyniesionych z procesu oceny.
- Informacje uzupełniające – możliwość przekazania danych niejawnych odpowiednimi kanałami komunikacyjnymi.
Znaczenie operacyjne
Formularz jest narzędziem umożliwiającym Komisji porównywanie i agregację danych o ryzykach z całej UE.
W praktyce pozwala tworzyć paneuropejskie mapy ryzyka, prognozować efekty kaskadowe i planować wsparcie finansowe w ramach mechanizmów takich jak RescEU czy Cyprus Recovery Framework.
Dla Polski potencjalnym rozwiązaniem jest integracja formularza z krajowym Systemem S46, który może stać się kanałem gromadzenia i przesyłania danych o incydentach oraz ocenach ryzyka – po odpowiednim rozszerzeniu o komponenty dotyczące zagrożeń fizycznych i środowiskowych.
Wyzwania wdrożeniowe i implikacje dla Polski
Wdrożenie Wytycznych Komisji wymaga od państw członkowskich wysokiego poziomu koordynacji między resortami, regulatorami i operatorami infrastruktury.
W Polsce kluczowe wyzwania obejmują:
- Spójność systemów raportowania – harmonizacja pomiędzy S46, CSIRT-ami sektorowymi i strukturami odpowiedzialnymi za wdrażanie CER.
- Kompleksowa analiza zależności międzysektorowych – opracowanie jednolitej metodologii oceny efektów kaskadowych.
- Rozbudowa kompetencji administracji publicznej – szkolenia w zakresie oceny ryzyka, raportowania i zarządzania odpornością.
- Włączenie czynników klimatycznych i hybrydowych do krajowych strategii odporności.
- Utworzenie krajowej mapy ryzyk kompatybilnej z formularzem Komisji – wspólnej dla sektorów energetyki, cyfryzacji i transportu.
Wytyczne Komisji Europejskiej z 11 września 2025 r. stanowią najbardziej kompleksowe i operacyjne rozwinięcie Dyrektywy CER.
Ich znaczenie wykracza poza aspekt formalny – dostarczają narzędzi do systematycznej identyfikacji, oceny i raportowania ryzyk, a także integrują bezpieczeństwo fizyczne, cybernetyczne i środowiskowe w jeden spójny model odporności.
Dla Polski to szansa na dalsze wzmocnienie współpracy międzysektorowej oraz pełniejsze wykorzystanie istniejących narzędzi – takich jak System S46 – w europejskim ekosystemie zarządzania ryzykiem. W perspektywie kilku lat dokument ten może stać się fundamentem wspólnej kultury odporności w Unii Europejskiej – opartej na danych, współpracy i wymianie informacji między wszystkimi podmiotami krytycznymi.