Dyrektywa CER: od bezpieczeństwa do odporności operacyjnej organizacji

Szkolenie skierowane jest do kadry zarządzającej i liderów funkcji kluczowych w organizacjach działających w sektorach objętych Dyrektywą CER, w szczególności: energetyce, transporcie, bankowości, ochronie zdrowia, gospodarce wodnej, infrastrukturze cyfrowej oraz sektorze żywnościowym.

Poziom strategiczny – Zarządzanie odpowiedzialnością i ryzykiem

• Członkowie Zarządów (CEO, COO, CRO)
• Członkowie Rad Nadzorczych
• Właściciele firm

Program wspiera najwyższe kierownictwo w zrozumieniu nowego modelu odpowiedzialności oraz w świadomym nadzorze nad systemem odporności operacyjnej organizacji.

Poziom operacyjny i wdrożeniowy – Budowa i utrzymanie odporności

• Dyrektorzy ds. Bezpieczeństwa (CSO) i Kierownicy Ochrony
• Dyrektorzy ds. Ciągłości Działania (Business Continuity Managers)
• Dyrektorzy Operacyjni i Techniczni
• Oficerowie Łącznikowi (lub kandydaci do pełnienia tej roli)

Szkolenie adresuje potrzeby liderów odpowiedzialnych za projektowanie, wdrażanie i utrzymanie rozwiązań zapewniających ciągłość usług kluczowych oraz skuteczne zarządzanie incydentami.

Poziom wspierający – Ramy prawne, organizacyjne i kontraktowe

• Dyrektorzy Działów Prawnych i Compliance
• Dyrektorzy HR
• Dyrektorzy Zakupów (Procurement)

Program umożliwia spójne przygotowanie funkcji wspierających do roli, jaką pełnią w systemie odporności operacyjnej – od zarządzania umowami i personelem po bezpieczeństwo łańcucha dostaw.

Cele szkolenia:

Po ukończeniu warsztatów uczestnicy będą potrafili:

• Przeprowadzić ocenę ryzyka, czyli dokonać holistycznej analizy ryzyka wymaganej przez Dyrektywę CER. Uczestnicy nauczą się identyfikować nieoczywiste zagrożenia, w tym zagrożenia hybrydowe, ryzyka łańcucha dostaw, klęski żywiołowe oraz awarie systemowe, które mogą doprowadzić do przerwania świadczenia usługi kluczowej.
• Zaprojektować środki odporności, czyli przełożyć wyniki oceny ryzyka na konkretne działania naprawcze. Uczestnicy dowiedzą się, jak dobierać adekwatne środki techniczne, bezpieczeństwa i organizacyjne, aby zapewnić ciągłość działania usług, a nie wyłącznie ochronę mienia.
• Zrozumieć nowy model odpowiedzialności, czyli zidentyfikować obszary, w których outsourcing ochrony przestaje być skuteczny z perspektywy prawnej, oraz zrozumieć, dlaczego w świetle CER to Zarząd ponosi odpowiedzialność za skuteczność przyjętych środków odporności.
• Wyznaczyć „Oficera Łącznikowego”, czyli prawidłowo zdefiniować kompetencje, zakres odpowiedzialności oraz umocowanie organizacyjne osoby odpowiedzialnej za kontakt z organami państwa (RCB, właściwe ministerstwa).
• Zarządzać incydentem, czyli stworzyć spójny system umożliwiający wykrycie, eskalację i zgłoszenie incydentu w wymaganym reżimie 24 godzin, chroniący organizację przed sankcjami administracyjnymi.

Korzyści dla uczestników i organizacji:

• Gotowa „mapa drogowa” wdrożenia: Uczestnicy otrzymują kompletny plan działania krok po kroku od audytu otwarcia po pierwszy test odporności.
• Minimalizacja ryzyka prawnego i karnego: Zarząd zyskuje wiedzę, jak wykazać należytą staranność w nowym reżimie prawnym, chroniąc się przed osobistą odpowiedzialnością za przerwanie świadczenia usług kluczowych.
• Efektywna renegocjacja kontraktów: Organizacja dowie się, jak zmienić umowy z dostawcami ochrony i IT, aby zacząć wymagać realnych standardów odporności zgodnie z CER.
• Implementacja reżimu raportowania 24h: Organizacja uniknie dotkliwych kar administracyjnych dzięki wdrożeniu precyzyjnej procedury identyfikacji i zgłaszania incydentów krytycznych w wymaganym, rygorystycznym czasie.
• Profesjonalizacja roli „Oficera Łącznikowego”: Zarząd otrzyma jasny profil kompetencyjny i zakres obowiązków dla osoby kontaktowej, co zapobiegnie paraliżowi decyzyjnemu i chaosowi komunikacyjnemu w kontakcie z administracją rządową.
• Realna odporność operacyjna: Przejście z modelu „Security” (ochrona mienia) na „Resilience” (ciągłość biznesowa) sprawi, że organizacja przetrwa nie tylko włamanie, ale też atak hybrydowy, awarię łańcucha dostaw czy klęskę żywiołową.
• Weryfikacja łańcucha dostaw: Wdrożenie mechanizmów sprawdzania podwykonawców i pracowników na stanowiskach wrażliwych uszczelni organizację przed sabotażem wewnętrznym i zagrożeniami wpuszczanymi „tylnymi drzwiami”.

Dzień 1

Moduł 1: Czym jest CER i dlaczego zmienia zasady gry?

• Definicja i cel: czym jest Dyrektywa o Odporności Podmiotów Krytycznych (CER) i dlaczego UE uznaje firmy prywatne za istotny element bezpieczeństwa państwa?
• Odejście od biznesu na rzecz regulacji: dlaczego dotychczasowe procedury bezpieczeństwa uznano za niewystarczające w obliczu ryzyka wojny hybrydowej i sabotażu?
• Czas wdrożenia:
  • Harmonogram implementacji do prawa polskiego.
  • Do kiedy firma musi przeprowadzić audyt, a do kiedy wdrożyć środki zaradcze?
• Nowe obowiązki Zarządu: osobista odpowiedzialność za zapewnienie ciągłości usług kluczowych.

Moduł 2: Weryfikacja statusu – czy jestem podmiotem krytycznym?

• Kryteria kwalifikacji: analiza sektorów objętych dyrektywą (Energetyka, Transport, Bankowość, Zdrowie, Woda, Ścieki, Infrastruktura Cyfrowa, Przestrzeń Kosmiczna, Żywność, Administracja, Chemia).
• Progowa wielkość podmiotu: zasada istotności dla funkcjonowania społeczeństwa. Czy wielkość firmy i liczba użytkowników mają znaczenie?
• Procedura notyfikacji: jak państwo poinformuje Cię o wpisaniu na listę podmiotów krytycznych i jaki masz czas na reakcję od momentu otrzymania decyzji?

Moduł 3: Serce systemu – macierz ryzyka i ocena zagrożeń

• Podejście „All-Hazards”: jak stworzyć mapę zagrożeń obejmującą nie tylko włamania, ale też klęski żywiołowe, ataki terrorystyczne, awarie zasilania i błędy ludzkie.
• Analiza zależności międzysektorowych: jak dokonać zidentyfikowania podmiotów, od których zależy ciągłość Twojej usługi (np. dostawca energii, operator telekomunikacyjny, dostawca wody).
• Efekt domina: jak ocenić ryzyko zatrzymania firmy z powodu awarii u dostawcy z innego sektora? (np. awaria oczyszczalni ścieków zatrzymuje zakład produkcyjny).
• Łańcuch dostaw usług kluczowych: jak dokonać weryfikacji odporności poddostawców krytycznych.
• Metodyka oceny ryzyka: jak stworzyć macierz ryzyka. Jak często aktualizować ocenę ryzyka? (przeglądy okresowe vs zdarzenia ad hoc).
• Dokumentacja: jak stworzyć „plan odporności” (Resilience Plan), który uwzględnia ryzyka zewnętrzne i będzie audytowany przez organy państwowe?
• Ćwiczenie warsztatowe: stworzenie macierzy ryzyk dla wybranego podmiotu.

Moduł 4: Zmiany operacyjne – procedury i codzienna praca

• Bezpieczeństwo fizyczne i techniczne: nowe standardy kontroli dostępu, monitoringu i ochrony obwodowej.
• Weryfikacja kontrahentów: jak sprawdzać łańcuch dostaw? Czy zewnętrzna firma sprzątająca serwerownię jest bezpieczna?
• Weryfikacja pracowników:
  • Kto zajmuje stanowisko wrażliwe?
  • Jak legalnie weryfikować niekaralność i powiązania personelu kluczowego?
• Audyt otwarcia: Jak przygotować firmę do pierwszego audytu zgodności z CER?

Dzień 2

Moduł 5: Incydent Krytyczny – rozpoznanie i raportowanie:

• Definicja Incydentu: czym różni się „awaria” od „incydentu krytycznego” w rozumieniu CER? (kryterium czasu, zasięgu terytorialnego i wpływu na społeczeństwo).
• Ścieżka raportowania:
  • Komu? (CSIRT sektorowy, Rządowe Centrum Bezpieczeństwa, odpowiednie Ministerstwo).
  • Kiedy? żelazna zasada 24 godzin (zgłoszenie wstępne) i raportu końcowego (po miesiącu).
  • W jakiej formie? omówienie wzorów formularzy zgłoszeniowych.
• Zarządzanie: jak dokumentować przebieg incydentu na potrzeby późniejszego śledztwa lub kontroli?

Moduł 6: Oficer Łącznikowy – kluczowa rola w firmie:

• Profil kandydata: kim jest Oficer Łącznikowy (Punkt Kontaktowy)?
  • Wymagane kompetencje: decyzyjność, dostęp do informacji niejawnych, komunikatywność.
• Zadania i dokumentacja:
  • Jakie raporty okresowe musi generować Oficer Łącznikowy?
  • Współpraca z organami państwa podczas kontroli i ćwiczeń.
• Ćwiczenie warsztatowe: opracowanie zakresu obowiązków i umocowania Oficera Łącznikowego w strukturze organizacyjnej firmy.

Moduł 7: Odpowiedzialność Zarządu – aspekty prawne:

• Koniec outsourcingu odpowiedzialności:
  • Dlaczego umowa z agencją ochrony nie chroni Zarządu przed odpowiedzialnością za przerwanie usługi kluczowej?
  • Przejście z odpowiedzialności kontraktowej na administracyjno-karną.
• Renegocjacja umów:
  • Jak zmienić umowy z dostawcami usług (IT, Ochrona, Media), aby wymusić na nich standardy CER?
  • Wprowadzenie klauzul o błyskawicznym informowaniu o zagrożeniach.
• Kary i Konsekwencje:
  • Sankcje finansowe za brak zgłoszenia incydentu lub brak audytu ryzyka.
  • Ryzyko utraty reputacji i kontraktów publicznych.