BRAVO-CRP Until 31 August 2026: The Duties No One Verifies

Podpis, którego prawie nikt nie zauważył

Pod koniec maja 2026 roku premier Donald Tusk podpisał kolejny w długiej serii komplet zarządzeń. Treść była rutynowa do bólu: trzeci stopień alarmowy CHARLIE na obszarach linii kolejowych zarządzanych przez PKP Polskie Linie Kolejowe S.A. oraz PKP Linia Hutnicza Szerokotorowa sp. z o.o., drugi stopień alarmowy BRAVO na pozostałym terytorium kraju i drugi stopień alarmowy CRP — BRAVO-CRP — na obszarze całej Polski. Wszystkie obowiązują od 1 czerwca do 31 sierpnia 2026 roku, do godziny 23:59. Komunikat przeszedł przez serwisy rządowe i samorządowe niemal bez echa, bo każdy widział go już kilkadziesiąt razy. I to jest właśnie problem.

Stopnie alarmowe BRAVO i BRAVO-CRP utrzymują się w Polsce niemal nieprzerwanie od lutego 2022 roku, czyli od pełnoskalowej agresji Rosji na Ukrainę. Przez ponad cztery lata stały się tłem, szumem, jednym z tych pism, które sekretariat rejestruje i wpina do segregatora. Tymczasem wprowadzenie stopnia alarmowego CRP nie jest komunikatem informacyjnym. To akt, który z mocy ustawy uruchamia zestaw konkretnych, obowiązkowych przedsięwzięć — działań, które kierownik jednostki musi wykonać, a następnie udokumentować. Różnica między „wiemy, że obowiązuje BRAVO-CRP" a „mamy dowód, że zrobiliśmy to, co BRAVO-CRP nakazuje", potrafi kosztować organizację reputację, a w razie incydentu — znacznie więcej.

Czym naprawdę jest stopień alarmowy CRP

Cała konstrukcja wywodzi się z ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych. To ona wprowadziła czterostopniową skalę zagrożenia — ALFA, BRAVO, CHARLIE i najwyższy DELTA — oraz jej cyfrowy odpowiednik, stopnie alarmowe CRP: ALFA-CRP, BRAVO-CRP, CHARLIE-CRP i DELTA-CRP. Skrót CRP odnosi się do zagrożeń w cyberprzestrzeni. Stopień z tej rodziny wprowadza się wtedy, gdy zdarzenie o charakterze terrorystycznym dotyczy systemów teleinformatycznych organów administracji publicznej albo systemów wchodzących w skład infrastruktury krytycznej — lub gdy istnieją wiarygodne informacje o przygotowaniach do takiego zdarzenia.

Stopnie alarmowe wprowadza, zmienia i odwołuje Prezes Rady Ministrów w drodze zarządzenia, po zasięgnięciu opinii ministra właściwego do spraw wewnętrznych i Szefa Agencji Bezpieczeństwa Wewnętrznego. W sytuacjach niecierpiących zwłoki decyzję może podjąć minister spraw wewnętrznych po zasięgnięciu opinii Szefa ABW. To nie jest więc gest polityczny ani symboliczna deklaracja czujności. To narzędzie zarządzania kryzysowego z precyzyjnie opisanym katalogiem skutków.

Katalog ten zawarto w rozporządzeniu Prezesa Rady Ministrów z dnia 25 lipca 2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP. To ten dokument zamienia literę alarmu na listę zadań. I to ten dokument większość zobowiązanych podmiotów otwierała ostatnio bardzo dawno temu — jeśli w ogóle.

Co dokładnie podpisał premier i dlaczego akurat teraz

Warto rozróżnić trzy elementy ostatniej decyzji, bo każdy działa inaczej. CHARLIE — trzeci stopień skali ogólnej — obowiązuje punktowo, na obszarach kolejowych zarządzanych przez PKP PLK i PKP LHS. Jest reakcją na utrzymujące się ryzyko dywersji wymierzonej w infrastrukturę transportową, którą w ostatnich kwartałach kilkukrotnie potwierdzono w praktyce. BRAVO — drugi stopień — obejmuje pozostałe terytorium kraju i ma charakter prewencyjny. BRAVO-CRP rozciąga się natomiast na całą Polskę i dotyczy wyłącznie wymiaru teleinformatycznego.

Tło jest jednoznaczne i oficjalnie nazwane: działania o charakterze hybrydowym prowadzone przez Federację Rosyjską i Białoruś przeciwko Polsce oraz innym państwom Unii Europejskiej, a także następstwa zbrojnej agresji Rosji na Ukrainę. To nie abstrakcja. CERT Polska od miesięcy raportuje kampanie wymierzone w polskich producentów i obiekty energetyczne, a resort cyfryzacji zapowiedział na 2026 rok rekordowe, przekraczające pięć miliardów złotych nakłady na cyberbezpieczeństwo oraz budowę nowego centrum NASK w Warszawie. Państwo traktuje zagrożenie poważnie. Pytanie brzmi, czy równie poważnie traktuje je pojedyncza gmina, szpital powiatowy czy spółka wodociągowa, na której biurko trafiło to samo zarządzenie.

Termin też nie jest przypadkowy. Lato to okres urlopowy, obniżonej obsady, zastępstw i przekazywanych „na szybko" loginów. Stopień rozciągnięty do 31 sierpnia 2026 roku celuje dokładnie w te tygodnie, w których organizacje są najsłabiej obsadzone — a więc najbardziej podatne.

Kogo to obowiązuje i dlaczego „nas to nie dotyczy" bywa błędem

Adresatami przedsięwzięć są przede wszystkim organy administracji publicznej oraz kierownicy jednostek organizacyjnych odpowiedzialni za systemy teleinformatyczne i obiekty wskazane w przepisach o zarządzaniu kryzysowym i ochronie infrastruktury krytycznej. W praktyce oznacza to ministerstwa i urzędy centralne, urzędy wojewódzkie, ale też jednostki samorządu terytorialnego, ich jednostki podległe oraz operatorów infrastruktury krytycznej — w tym przedsiębiorstwa wodociągowo-kanalizacyjne, ciepłownicze, energetyczne i transportowe.

Najczęstszy błąd interpretacyjny brzmi: „my jesteśmy małą gminą, to dotyczy dużych instytucji". Tymczasem zarządzenie premiera nie zawiera progu wielkości. Jeśli jednostka prowadzi systemy teleinformatyczne istotne dla realizacji zadań publicznych albo administruje elementem infrastruktury krytycznej, obowiązek wykonania przedsięwzięć powstaje z chwilą wprowadzenia stopnia — niezależnie od liczby etatów w wydziale informatyki, którego zresztą w małej gminie często po prostu nie ma. Ta logika jest zaskakująco zbieżna z duchem znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa, gdzie również to charakter działalności, a nie skala, przesądza o przynależności do reżimu.

Druga pułapka dotyczy spółek komunalnych, które bywają przekonane, że jako podmioty prawa handlowego stoją poza systemem zarządzania kryzysowego. W przypadku operatorów infrastruktury krytycznej to przekonanie jest fałszywe i potrafi się zemścić przy pierwszej kontroli wojewódzkiego zespołu zarządzania kryzysowego.

Teoria nabiera ostrości, gdy przyłożyć ją do trzech typowych podmiotów, z którymi pracujemy. W urzędzie gminy systemami kluczowymi są aplikacje dziedzinowe do podatków lokalnych, ewidencji ludności i obsługi rady, elektroniczny obieg dokumentów oraz dostęp do platform centralnych, takich jak ePUAP czy systemy resortowe. BRAVO-CRP oznacza tu obowiązek bieżącego pilnowania, czy ktoś nie próbuje przejąć kont urzędników, czy kopie rejestrów są aktualne i czy łączność z systemami nadrzędnymi działa. W gminie, w której informatyka to jeden etat obsadzony częściowo, samo wskazanie, kto realnie wykonuje te zadania w trakcie urlopu tej osoby, bywa nierozwiązanym problemem.

W przedsiębiorstwie ciepłowniczym albo wodociągowym stawka jest wyższa, bo do warstwy biurowej dochodzi automatyka przemysłowa — systemy sterowania procesami uzdatniania wody, pompowniami czy kotłami. Tu monitorowanie nietypowych zdarzeń sieciowych nie jest formalnością, lecz różnicą między wykryciem intruza w sieci sterującej a dowiedzeniem się o nim z chwilą zatrzymania produkcji. Stopień alarmowy CRP każe spojrzeć właśnie na te styki między światem informatycznym a przemysłowym, które na co dzień bywają pomijane.

W szpitalu powiatowym, po serii wiosennych ataków ransomware na polskie placówki, znaczenie przedsięwzięć BRAVO-CRP jest najboleśniej oczywiste. Systemy obsługujące dokumentację medyczną, diagnostykę obrazową i laboratorium to infrastruktura, której unieruchomienie zagraża nie danym, lecz pacjentom. Tu zdolność do szybkiego odtworzenia kopii i utrzymania ciągłości pracy w trybie awaryjnym przestaje być pozycją w audycie, a staje się elementem bezpieczeństwa zdrowotnego.

Przedsięwzięcia BRAVO-CRP — co należy robić właśnie teraz

Drugi stopień CRP nie wymaga jeszcze przechodzenia organizacji w tryb kryzysowy, ale uruchamia zestaw działań prewencyjnych, które mają realnie podnieść odporność systemów. Należy do nich wzmożone, ciągłe monitorowanie bezpieczeństwa systemów teleinformatycznych — a więc faktyczne czytanie logów i alertów, nie samo posiadanie narzędzia, które je zbiera. Trzeba sprawdzić dostępność i sprawność kanałów łączności na wypadek konieczności szybkiego ostrzeżenia personelu oraz zweryfikować, czy kopie zapasowe rzeczywiście istnieją, są aktualne i dają się odtworzyć.

Do tego dochodzi przegląd dostępności usług kluczowych, obserwacja nietypowych zdarzeń w sieci — nagłych skoków ruchu, prób logowania z nieznanych lokalizacji, anomalii w zachowaniu kont uprzywilejowanych — oraz poinformowanie pracowników o obowiązującym stopniu i o tym, na co mają zwracać uwagę. Brzmi to jak elementarz higieny cyfrowej i w istocie nim jest. Rzecz w tym, że stopień alarmowy zamienia te dobre praktyki w obowiązek prawny o określonym czasie obowiązywania, którego wykonanie podlega weryfikacji.

Kluczowe słowo to „ciągłe". BRAVO-CRP nie jest jednorazowym zadaniem do odhaczenia w dniu wprowadzenia stopnia. To stan, który trwa do 31 sierpnia 2026 roku i przez cały ten czas wymaga utrzymania podwyższonej czujności. Monitorowanie raz, w poniedziałek po podpisaniu zarządzenia, nie spełnia tego wymogu.

CHARLIE-CRP — gdy stawka rośnie

Choć trzeci stopień CRP nie obowiązuje obecnie na obszarze całego kraju, każdy zobowiązany podmiot powinien mieć przygotowany scenariusz jego wprowadzenia — bo eskalacja bywa kwestią godzin. CHARLIE-CRP oznacza przejście organizacji na znacznie wyższy poziom gotowości. Wprowadza się wówczas całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania jednostki oraz personelu uprawnionego do podejmowania decyzji w sprawach ich bezpieczeństwa. To nie jest fraza z procedury — to realne obsadzenie zmian, grafik, zastępstwa i wynagrodzenie za pracę poza godzinami.

Dochodzi do tego przegląd zasobów pod kątem możliwości ich wykorzystania w razie ataku oraz przygotowanie się do uruchomienia planów zapewniających ciągłość działania, w tym procedur szybkiego i bezawaryjnego zamknięcia serwerów. Ten ostatni punkt bywa rewelacją dla wielu organizacji: okazuje się, że nikt nigdy nie przećwiczył kontrolowanego wyłączenia kluczowych systemów, a improwizacja w trakcie realnego ataku kończy się utratą danych zamiast ich ochroną.

CHARLIE-CRP to moment, w którym ujawnia się cała różnica między dokumentacją a zdolnością operacyjną. Jednostka, która ma plan ciągłości działania spięty z rejestrem systemów, wyznaczonych i przeszkolonych administratorów oraz przećwiczone scenariusze, przechodzi do wyższego stopnia płynnie. Jednostka, która ma jedynie zarządzenie i nazwisko informatyka, w praktyce nie jest w stanie wykonać nałożonych zadań — a brak tej zdolności nie znika dlatego, że stopień CHARLIE-CRP akurat nie został ogłoszony.

Warto przy tym pamiętać, że CHARLIE-CRP nie jest szczytem skali. Powyżej znajduje się DELTA-CRP — najwyższy stopień, wprowadzany wtedy, gdy zdarzenie o charakterze terrorystycznym w cyberprzestrzeni już wystąpiło albo jego prawdopodobieństwo jest bardzo wysokie. Oznacza on maksymalną gotowość, pełną mobilizację zespołów i zdolność do natychmiastowego uruchomienia procedur awaryjnych. Z perspektywy zobowiązanego podmiotu logika całej drabiny jest prosta: im wyższy stopień, tym mniej czasu na zastanawianie się i tym większe znaczenie wcześniejszego przygotowania. Organizacja, która dopiero pod DELTA-CRP zacznie ustalać, kto ma klucz do serwerowni i gdzie są aktualne kopie, w praktyce przegrała, zanim zdążyła zareagować.

„Mamy zarządzenie" — najdroższe trzy słowa w polskim bezpieczeństwie

Jest pewien rytuał, który Fib.Code obserwuje w dziesiątkach instytucji. Pytamy o stopnie alarmowe, a w odpowiedzi pada zdanie wypowiadane z ulgą: „mamy zarządzenie". I rzeczywiście — w segregatorze leży zarządzenie kierownika jednostki, wyznaczające osoby odpowiedzialne i przywołujące listę przedsięwzięć. Problem w tym, że zarządzenie to opis intencji, a nie dowód wykonania.

Gdy prosimy o materiał potwierdzający, że w okresie obowiązywania BRAVO-CRP rzeczywiście prowadzono wzmożone monitorowanie, najczęściej zapada cisza. Nie ma dzienników pełnienia dyżurów. Nie ma raportów z okresowego przeglądu kopii zapasowych ani protokołów testowego odtworzenia danych. Nie ma notatek z weryfikacji kanałów łączności, nie ma śladu poinformowania pracowników, nie ma rejestru zdarzeń anomalnych z adnotacją, że je przeanalizowano. Jest za to przeświadczenie, że skoro nic złego się nie wydarzyło, to znaczy, że wszystko zadziałało. To rozumowanie odwrotne do logiki bezpieczeństwa.

Konsekwencje tego stanu mają dwa oblicza. Pierwsze to kontrola — wojewódzkiego zespołu zarządzania kryzysowego, organu nadrzędnego, a w przyszłości być może organu właściwego do spraw cyberbezpieczeństwa, który po wdrożeniu nowych przepisów coraz uważniej przygląda się dojrzałości operacyjnej podmiotów. Brak dowodów wykonania jest wówczas trudny do obronienia, bo formalnie obowiązek istniał i był znany. Drugie oblicze, znacznie groźniejsze, to realny incydent. W jego trakcie nie liczy się, że organizacja „miała zarządzenie". Liczy się, czy administrator wiedział, co robić o trzeciej w nocy, czy kopie dawały się odtworzyć i czy ktokolwiek w ogóle patrzył na alerty, zanim zaszyfrowano dane.

Skoro samo zarządzenie nie wystarcza, warto wiedzieć, co realnie stanowi dowód wykonania przedsięwzięć. Nie chodzi o tworzenie biurokratycznej nadbudowy, lecz o kilka prostych artefaktów, które powstają naturalnie, jeśli zadania faktycznie się wykonuje. Podstawą jest dziennik przedsięwzięć stopni alarmowych — prowadzony od dnia wprowadzenia stopnia rejestr, w którym odnotowuje się, jakie działanie, kiedy i przez kogo zostało zrealizowane. To w nim powinna znaleźć się adnotacja o przekazaniu informacji o stopniu pracownikom, o sprawdzeniu kanałów łączności czy o przeprowadzonym przeglądzie.

Drugim filarem są protokoły i raporty cykliczne. Test odtworzenia kopii zapasowej kończy się protokołem, w którym zapisano, który system testowano, ile trwało odtworzenie i czy dane były kompletne. Przegląd zasobów kończy się notatką. Analiza zdarzeń anomalnych zostawia ślad w postaci zgłoszeń lub wpisów w systemie monitorującym z adnotacją o podjętej reakcji. Gdyby ogłoszono CHARLIE-CRP, dowodem pełnienia całodobowych dyżurów jest grafik i lista obecności, a nie zapewnienie, że „ktoś był pod telefonem".

Trzeci element to spójność czasowa. Dowody muszą pokrywać cały okres obowiązywania stopnia, a nie tylko jego pierwszy dzień. Jeśli BRAVO-CRP trwa do 31 sierpnia 2026 roku, to dziennik prowadzony przez trzy dni i porzucony przez resztę lata jest dowodem nie wykonania obowiązku, lecz jego zaniechania. Dobrze zaprojektowany proces sprawia, że te artefakty powstają same — jako produkt uboczny pracy zespołu, a nie dodatkowe zadanie sprawozdawcze, o którym zawsze ktoś zapomni.

Rutyna jako podatność

Paradoks permanentnego stopnia alarmowego polega na tym, że narzędzie pomyślane jako sygnał wyjątkowej czujności po czterech latach nieprzerwanego obowiązywania staje się tłem. Psychologia nazywa to zmęczeniem alarmowym: bodziec, który powtarza się bez widocznych konsekwencji, przestaje wywoływać reakcję. Pracownik, który przez czterdzieści miesięcy otrzymuje to samo pismo o BRAVO-CRP, w czterdziestym pierwszym miesiącu nie czyta go już wcale.

To jest właśnie miejsce, w którym formalne obowiązywanie stopnia przestaje przekładać się na realne bezpieczeństwo. Przeciwnik — czy to państwowy aktor, czy zorganizowana grupa ransomware — doskonale zna ten mechanizm i celuje w organizacje, które „od zawsze są na BRAVO-CRP" i z tego powodu nie robią już nic ponad rejestrację kolejnego zarządzenia. Stan podwyższonej gotowości, który nie przekłada się na działanie, jest gorszy niż brak takiego stanu, bo daje fałszywe poczucie ochrony.

Antidotum nie polega na ekscytacji każdym pismem, lecz na zbudowaniu rutyny operacyjnej, która działa niezależnie od emocji. Jeśli przegląd kopii zapasowych, analiza logów i weryfikacja łączności są wpisane w cykliczny, udokumentowany proces, to obowiązywanie BRAVO-CRP przestaje być zależne od tego, czy ktoś akurat przeczytał zarządzenie z należytą uwagą. Czujność, którą trzeba codziennie wykrzesać siłą woli, prędzej czy później gaśnie. Czujność wbudowana w proces — trwa.

Nie rób tego trzy razy: incydenty, NIS-2 i ISO 27001

Przedsięwzięcia stopni alarmowych nie istnieją w próżni — splatają się z drugim, niezależnym obowiązkiem, którym jest zgłaszanie incydentów. Obowiązek raportowania wynika z ustawy o krajowym systemie cyberbezpieczeństwa i nakazuje przekazywanie informacji o incydentach do właściwego zespołu reagowania: CSIRT NASK, CSIRT GOV lub CSIRT MON, w zależności od rodzaju podmiotu. Ten obowiązek obowiązuje przez cały rok, niezależnie od tego, czy akurat ogłoszono stopień alarmowy. W okresie podwyższonej gotowości nabiera jednak szczególnego znaczenia, bo to właśnie wtedy prawdopodobieństwo incydentu rośnie, a czas reakcji ma największe znaczenie.

W praktyce oznacza to, że organizacja powinna mieć jasno opisaną ścieżkę: kto wykrywa, kto klasyfikuje, kto i w jakim terminie zgłasza incydent na zewnątrz, oraz jak ta ścieżka łączy się z działaniami wymaganymi przez stopień alarmowy. Wzmożone monitorowanie nakazane przez BRAVO-CRP traci sens, jeśli wykryta anomalia nie wyzwala procedury zgłoszeniowej. Z drugiej strony procedura zgłoszeniowa, która istnieje tylko na papierze, w trakcie realnego ataku okazuje się zbyt wolna albo prowadzona przez osobę, której akurat nie ma.

Dobrze poukładana organizacja traktuje monitorowanie ze stopnia alarmowego, wewnętrzną obsługę incydentu i zewnętrzne zgłoszenie do CSIRT jako jeden, ciągły łańcuch. Wykrycie prowadzi do reakcji, reakcja do zgłoszenia, a każde ogniwo zostawia ślad, który później pozwala odtworzyć przebieg zdarzeń. Tam, gdzie te trzy elementy żyją osobno, atakujący ma czas, którego nie powinien dostać.

Najlepsza wiadomość dla zobowiązanych podmiotów jest taka, że przedsięwzięć ze stopni alarmowych CRP nie trzeba budować od zera ani w oderwaniu od reszty obowiązków. Niemal wszystkie pokrywają się z wymaganiami, które organizacja i tak musi spełnić w ramach znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa wdrażającej dyrektywę NIS-2, oraz z dobrymi praktykami norm ISO. Monitorowanie bezpieczeństwa, zarządzanie kopiami zapasowymi, obsługa incydentów i ciągłość działania to filary, które powtarzają się w każdym z tych reżimów.

W normie ISO/IEC 27001:2022 odpowiadają im zabezpieczenia z obszaru zarządzania incydentami i gotowości teleinformatycznej do zachowania ciągłości — między innymi monitorowanie, rejestrowanie zdarzeń i reagowanie na incydenty bezpieczeństwa informacji. Plany ciągłości działania, których wymaga CHARLIE-CRP, to z kolei serce normy ISO 22301:2019, opisującej system zarządzania ciągłością działania, analizę wpływu na biznes i testowanie scenariuszy odtworzeniowych. Organizacja, która ma wdrożony i działający system zarządzania bezpieczeństwem informacji, wykonuje przedsięwzięcia stopni alarmowych niejako przy okazji — bo prowadzi je na co dzień i dokumentuje w ramach normalnej eksploatacji.

Dlatego sensownym podejściem nie jest tworzenie osobnej „procedury stopni alarmowych" obok procedury obsługi incydentów obok procedury ciągłości działania. Sensowne jest jedno spójne wdrożenie, w którym katalog przedsięwzięć z rozporządzenia z 25 lipca 2016 roku jest po prostu zmapowany na istniejące mechanizmy zarządzania bezpieczeństwem. Wtedy dowód wykonania powstaje sam, jako produkt uboczny codziennej pracy, a nie jako dodatkowy obowiązek, który trzeba sobie przypomnieć po podpisaniu zarządzenia przez premiera.

Dlaczego z Fib.Code — gotowość na stopnie alarmowe i incydenty

Fib.Code zajmuje się bezpieczeństwem informacji, cyberbezpieczeństwem i ochroną danych w organizacjach, które nie mają własnych rozbudowanych zespołów bezpieczeństwa — w samorządach, spółkach komunalnych, podmiotach leczniczych i średnich przedsiębiorstwach. Znamy realia jednostki, w której za informatykę, RODO i zarządzanie kryzysowe odpowiada często ta sama, mocno obciążona osoba. Dlatego nie zostawiamy klienta z listą wymagań, lecz przekładamy obowiązki na wykonalne, udokumentowane procesy.

Pracujemy według trzech zasad. Po pierwsze, nie mnożymy dokumentów — mapujemy obowiązki tak, by jedno działanie zaspokajało wymóg stopni alarmowych, ustawy o KSC i normy ISO jednocześnie. Po drugie, projektujemy dowód wykonania od początku, bo w bezpieczeństwie liczy się nie to, co zrobiono, lecz to, co da się wykazać. Po trzecie, testujemy zdolność operacyjną zamiast wierzyć w deklaracje — przeprowadzamy próbne odtworzenie kopii, ćwiczenia z zamknięcia systemów i symulacje incydentu, bo plan, którego nikt nie przećwiczył, jest tylko plikiem.

Produktem końcowym jest organizacja, która w dniu podpisania kolejnego zarządzenia o BRAVO-CRP nie musi się zastanawiać, co zrobić — bo już to robi, codziennie, i ma na to dowody. To jest różnica między byciem „na stopniu alarmowym" a byciem na niego rzeczywiście gotowym.

Co zrobić w najbliższy poniedziałek, gdy stopień wciąż obowiązuje

Stopnie BRAVO i BRAVO-CRP obowiązują do 31 sierpnia 2026 roku, więc nie jest to ćwiczenie teoretyczne. W najbliższy poniedziałek warto zwołać jedno krótkie spotkanie osób odpowiedzialnych za systemy teleinformatyczne i zadać im cztery pytania, na które trzeba uzyskać odpowiedzi poparte dowodami, a nie zapewnieniami.

Pierwsze: czy w okresie obowiązywania BRAVO-CRP prowadzimy wzmożone monitorowanie i gdzie są zapisy potwierdzające analizę zdarzeń. Drugie: kiedy ostatnio przetestowaliśmy odtworzenie kopii zapasowej kluczowego systemu i czy istnieje protokół z tej próby. Trzecie: kto pełniłby dyżur i podejmował decyzje, gdyby ogłoszono CHARLIE-CRP w środku sierpnia, w szczycie urlopów. Czwarte: czy nasze przedsięwzięcia ze stopni alarmowych są spięte z obsługą incydentów i planem ciągłości działania, czy też żyją w osobnym, martwym dokumencie. Jeśli na którekolwiek z tych pytań pada cisza albo „chyba tak", to jest dokładnie ta luka, którą trzeba zamknąć przed końcem wakacji, a nie po pierwszym incydencie.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: nowelizacja ustawy o KSC i terminy NIS-2, wiosenna fala ransomware w szpitalach, samorządach i MŚP oraz specyfika sektora wod-kan wobec NIS-2 — krótkie spięcie tematyczne między zarządzaniem kryzysowym, cyberbezpieczeństwem i ciągłością działania infrastruktury krytycznej.