Bez kategorii

CYBERODPORNI (10/10): Wojna hybrydowa a przedsiębiorcy – jak przygotować „plan 72h” bezpieczeństwa operacyjnego?

Judyta Kasperkiewicz

W dobie zagrożeń asymetrycznych – ataków cybernetycznych, presji informacyjnej, destabilizacji logistycznej i napięć geopolitycznych – każda firma, niezależnie od skali działalności, powinna posiadać co najmniej podstawowy plan odporności na wypadek zakłóceń systemowych. Szczególnego znaczenia nabiera to w kontekście tzw. wojny hybrydowej – zjawiska niedookreślonego normatywnie, lecz obecnego w doktrynie prawa bezpieczeństwa i w strategiach obronnych państw.

Skutki działań hybrydowych mogą wyprzedzać lub zastępować tradycyjne (kinetyczne) środki walki, uderzając w sektor prywatny jako istotne ogniwo infrastruktury społeczno-gospodarczej.

Podstawy prawne reagowania przez przedsiębiorców

  1. Ustawa z dnia 11 marca 2022 r. o obronie Ojczyzny
    – przewiduje możliwość nałożenia na przedsiębiorców obowiązków świadczeń rzeczowych i osobistych (art. 628–682), a także udziału w planach operacyjnych i mobilizacyjnych.
  2. Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym
    – zakłada współodpowiedzialność sektora prywatnego za zapewnienie ciągłości działania infrastruktury krytycznej i łańcuchów dostaw.
  3. Akty wykonawcze MON oraz decyzje wojewodów
    – mogą nakładać na przedsiębiorców obowiązki związane z zabezpieczeniem zasobów, świadczeniem usług lub udziałem w działaniach koordynowanych przez administrację publiczną.
  4. RODO, Kodeks pracy, ustawy branżowe
    – wyznaczają granice przetwarzania danych osobowych, ochrony informacji oraz obowiązków względem pracowników – nawet w warunkach kryzysowych.

Plan 72h – minimum operacyjnej odporności dla małych i średnich przedsiębiorstw (MŚP)

Dzień 1: Procedury i zarządzanie ryzykiem

  • Wyznacz osobę odpowiedzialną za bezpieczeństwo kryzysowe (koordynator lub pełnomocnik ds. zarządzania kryzysowego).
  • Zweryfikuj umowy z dostawcami pod kątem klauzul awaryjnych (force majeure, SLA, odpowiedzialność za przerwy w świadczeniu usług).
  • Zidentyfikuj zasoby krytyczne: dane, systemy, urządzenia, kluczowych pracowników.
  • Opracuj listę priorytetów działań w pierwszych 24 godzinach (np. dostęp do serwerów, kont bankowych, komunikacji głosowej).

Dzień 2: Komunikacja i organizacja operacyjna

  • Przygotuj awaryjny plan komunikacji wewnętrznej:
    • numery telefonów do kadry kierowniczej,
    • alternatywne kanały komunikacji (SMS, Signal, WhatsApp),
    • szablony komunikatów dla pracowników i klientów.
  • Określ zasady funkcjonowania firmy w trybie ograniczonego dostępu do sieci:
    • kto pracuje zdalnie, kto stacjonarnie,
    • które procesy są zawieszane, a które kontynuowane.
  • Zweryfikuj dostępność danych kadrowych, dostępów i haseł krytycznych.

Dzień 3: Ochrona danych i informacji

  • Wykonaj kopię bezpieczeństwa danych (na nośniku offline, dysku szyfrowanym, w repozytorium lokalnym).
  • Zabezpiecz dane logowania i hasła – przygotuj zaszyfrowaną wersję papierową i zdeponuj ją w miejscu chronionym.
  • Zabezpiecz urządzenia mobilne firmowe (MFA, VPN, zdalne czyszczenie danych).
  • Upewnij się, że kluczowe dokumenty (rejestry, pełnomocnictwa, umowy) są dostępne również w wersji fizycznej lub notarialnie poświadczonej.

Lista kontrolna – minimum dla przedsiębiorcy (MŚP)

  1. Wyznaczenie osoby odpowiedzialnej za zarządzanie kryzysowe.
  2. Lista zasobów krytycznych (dane, sprzęt, personel).
  3. Alternatywne kanały komunikacji.
  4. Kopia danych offline i bezpieczne przechowywanie haseł.
  5. Szablon komunikatu kryzysowego dla pracowników i kontrahentów.
  6. Plan awaryjny trybu pracy (organizacja ograniczona).
  7. Identyfikacja klauzul ryzyka w umowach (force majeure, odpowiedzialność).
  8. Dostępność kluczowych dokumentów w formie fizycznej.

Podsumowanie

W warunkach współczesnych zagrożeń nie istnieje już neutralność sektora prywatnego. Nawet najmniejszy podmiot może stać się celem – lub ofiarą pośrednią – działań hybrydowych.

Odpowiedzialność przedsiębiorcy nie ogranicza się wyłącznie do ochrony interesu gospodarczego. Obejmuje ona także odpowiedzialność organizacyjną i publicznoprawną – w tym obowiązek dochowania należytej staranności w zapewnieniu ciągłości działania i ochrony zasobów.

Wdrożenie i przetestowanie planu 72h nie jest luksusem – to racjonalny i minimalny wymóg odporności prawnej, operacyjnej i reputacyjnej w zmiennym środowisku bezpieczeństwa.

Stan prawny na dzień: 14 sierpnia 2025 roku

Dodaj komentarz