Tradycyjne podejście do ciągłości działania w sektorze energetycznym, skupione na pojedynczych awariach i klęskach żywiołowych, nie wystarcza w świecie powiązanych zagrożeń cybernetycznych, geopolitycznych i klimatycznych. Zapraszam Państwa do zapoznania się z propozycją praktycznych kroków, które pomogą przekształcić zarządzanie ciągłością działania w Waszych firmach tak, aby odpowiadały nowej rzeczywistości operacyjnej.
Istniejące systemy zarządzania ciągłością działania w przedsiębiorstwach energetycznych zazwyczaj uwzględniają zakłócenia pojedynczych obiektów: pożary, powodzie, awarie sprzętu, czy przerwy w dostawach energii. Założenie, że otoczenie pozostaje stabilne podczas lokalnych problemów, nie odpowiada współczesnej rzeczywistości, która nieustannie dostarcza przykładów całych grup zagrożeń, które mogą występować (i występują) jednocześnie.
Najczęstsze słabości klasycznego podejścia to brak uwzględnienia jednoczesnych zakłóceń i zagrożeń w wielu obszarach, przyjmowanie zbyt optymistycznych założeń (np. dotyczących dostępności dostawców), plany obejmujące kilka dni do dwóch tygodni, pomijające konieczność wytrwania podczas długotrwałych kryzysów oraz niepełna gotowość do spełnienia rozszerzonych wymagań regulacyjnych, takich jak NIS2, czy CER.
W firmowym katalogu ryzyka należy obecnie uwzględnić zupełnie nowe typy zagrożeń. Przykładem mogą być zagrożenia hybrydowe, które łączą cyberataki z sabotażem fizycznym i kampaniami dezinformacyjnymi. W ich przypadku nawet pojedynczy incydent może jednocześnie unieruchomić systemy IT/OT, odciąć nas od Internetu i wywołać panikę.
Kolejne zagrożenie płynie ze strony łańcucha dostaw, gdzie jedna decyzja kapryśnego lidera lub kolejna transza sankcji, może wystarczyć, by cały sektor znalazł się w trudnej sytuacji.
Zmiany regulacyjne to źródło potencjalnych zagrożeń, które zwykle analizujemy na bieżąco. Niemniej ostatnie przyspieszenie legislacyjne i skala tych zmian wymusza szybkie działania dostosowawcze, zwłaszcza w obszarze klimatu i cyberbezpieczeństwa, bez komfortowych okresów vacatio legis.
Dyrektywy NIS2 i CER wymagają od przedsiębiorstw nowego spojrzenia na ryzyko ze strony dostawców. Należyta staranność oznacza, że w przypadku krytycznych dostawców powinniśmy być może badać ryzyko nawet na trzecim stopniu łańcucha dostaw, w tym ryzyko związane z uznaniem dostawcy za dostawcę wysokiego ryzyka.
W aktualnych warunkach rynkowych, prawnych i geopolitycznych zarządzanie ryzykiem operacyjnym musi zrezygnować z silosów i zastosować podejście holistyczne, obejmujące wszystkie aspekty działalności. Powinno również kłaść szczególny nacisk na zagrożenia dla ciągłości działania jako najbardziej krytyczne z punktu widzenia przetrwania firmy i regulatorów.
W tym celu powinniśmy stworzyć zdolność obserwowania zagrożeń we wszystkich obszarach jednocześnie i powołać interdyscyplinarny zespół z udziałem specjalistów w obszarach cyberbezpieczeństwa, IT/OT, analizy geopolitycznej, klimatu, zarządzania łańcuchem dostaw i prawa. Zespół powinien opracować i wdrożyć systemy wczesnego ostrzegania we wszystkich tych dziedzinach oraz modele ryzyka uwzględniające złożone scenariusze.
Zarządzanie ciągłością działania również powinno ulec przemianie i skupić się na możliwości utrzymania kluczowych operacji w trakcie długotrwałego i złożonego kryzysu. Dobre praktyki, ale także przepisy prawa, wymagają od nas, aby już obecnie uwzględnić w planach awaryjnych scenariusze wojny hybrydowej i liminalnej. To zupełnie inne podejście od przygotowania firmy na pojedynczą, a nawet rozległą awarię.
Złożony kryzys może wiązać się z napięciami na linii przedsiębiorstwo-lokalna społeczność. Komunikacja kryzysowa, która jest integralnym elementem planów ciągłości działania, powinna teraz uwzględniać proaktywne zarządzanie relacjami ze społecznościami lokalnymi. To z kolei oznacza konieczność wzmocnienia i poszerzenia obecnych kompetencji lokalnego zespołu PR i odejście od komunikacji wyłącznie za pośrednictwem Centrali. Procedury komunikacyjne firmy powinny też obejmować metody przeciwdziałania dezinformacji zarówno podczas „pokoju”, jak i (a nawet szczególnie) podczas kryzysu.
Wdrożenie wymienionych powyżej rekomendacji, przy aktywnym wsparciu Zarządu, moim zdaniem powinno zająć nie więcej niż 12-18 miesięcy, w zależności od stanu początkowego. Oczywiście na koniec procesu nie wolno zapominać o odpowiednio zaprojektowanych miernikach i okresowym monitorowaniu procesu zarządzania ryzykiem i ciągłością działania. Nawet najlepsze regulacje wewnętrzne i metodyki nie zdadzą się na wiele, jeśli obowiązki z nich płynące nie będą egzekwowane, a wyniki prac wykorzystywane do codziennego podejmowania decyzji. Nic nie działa tak demotywująca, jak świadomość pracowników, że nikt nie potrzebuje i nie czeka na ich analizy, raporty i propozycje.
Transformacja zarządzania ciągłością działania w sektorze energetycznym jest koniecznością wynikającą ze zmieniających się warunków otoczenia i to w każdym aspekcie. Kluczem do sukcesu jest zrozumienie, że współczesne zagrożenia mają charakter multidyscyplinarny i wymagają zintegrowanego podejścia łączącego kompetencje techniczne, analityczne i strategiczne.
Przedsiębiorstwa, które wdrożą kompleksowe podejście do zarządzania ryzykiem operacyjnym, zyskają zdecydowane przewagi nad konkurentami utrzymującymi tradycyjne metody.
Źródło: Renata Davidson, Prezes Zarządu, Davidson Consulting i Wspólnicy Sp. z o.o.
Artykuł pochodzi z wydania 5-6/2025 “Nowa Energia”
