W ramach poszczególnych grup działań możemy wyróżnić następujące elementy:

• zapobieganie – odnosi się do działań, które eliminują lub redukują prawdopodobieństwo wystąpienia katastrofy, albo ograniczają jej skutki:
  – analiza zagrożeń i ocena wrażliwości,
  – wspieranie badań stosowanych i transferu technologii,
  – uświadamianie i powszechna edukacja w zakresie przeciwdziałania zagrożeniom,
  – właściwe wykorzystanie zasobów – zapewnienie przywództwa i koordynacji.
• przygotowanie – to przede wszystkim opracowanie planów zarządzania/reagowania kryzysowego, które opisują kto, co i kiedy będzie robił, za pomocą jakich sił i środków i na jakiej podstawie formalno-prawnej. W skład tego etapu wchodzi także zapewnienie zasobów i środków reagowania, takich jak: stanowisko kierowania, system komunikacji kryzysowej (wewnętrznej i zewnętrznej), system alarmowania oraz personel reagowania kryzysowego, a także ewidencja zasobów sił i środków przydatnych do reagowania kryzysowego.
• reagowanie – następuje po wystąpieniu realnego zagrożenia lub zdarzenia. Jego celem jest uruchomienie działań zapobiegających lub minimalizujących negatywny wpływ zdarzenia na zasoby i procesy organizacji, a po ich wystąpieniu, podjęcie działań odtworzeniowych/ wznawiających ciągłość operacyjną. Faza reagowania wymaga:
  – przestrzegania dyscypliny obiegu informacji,
  – gromadzenia informacji i dokumentowania działań,
  – unikania działań nieprzemyślanych,
  – profesjonalnej informacji (rzecznika),
  – prognozowania rozwoju wydarzeń,
  – przewidywania skutków podejmowanych decyzji,
  – uwzględniania implikacji prawnych decyzji,
  – zagwarantowania funkcjonowania/ odtworzenia niezbędnej infrastruktury i krytycznych (kluczowych) procesów operacyjnych organizacji.
• odbudowa – jest końcową fazą cyklu zarządzania kryzysowego. Odbudowę kontynuuje się, aż wszystkie systemy/ procesy wrócą do stanu poprzedniego albo lepszego niż poprzedni. Jednocześnie odbudowa powinna być realizowana w taki sposób aby obszar organizacji dotknięty zdarzeniem był po odbudowie mniej wrażliwy i mniej podatny na kolejny incydent/awarię.

Tymczasem dla organizacji gdzie zarządzanie kryzysowe wywodzi się z norm i standardów ciągłości działania będzie to proces, który koncentruje się głównie na reagowaniu na zdarzenie/incydent oraz na odbudowie (czy też powrocie do stanu z przed zdarzenia – tzw. powrót do BAU²⁾ ponieważ pozostałe elementy (zapobieganie, przygotowanie i częściowo odbudowa) są zazwyczaj składowymi, realizowanymi w ramach stricte procesu zarządzania ciągłością działania.W obu przypadkach aby móc wdrożyć i utrzymać skuteczny proces zarządzania kryzysowego należy sięgnąć po zalecenia norm poświęconych ciągłości działania – nawet Rządowe Centrum Bezpieczeństwa (w swoim Załączniku nr 1 do Narodowego Programu Ochrony Infrastruktury Krytycznej – „Standardy służące zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej – dobre praktyki i rekomendacje”) wskazuje i rekomenduje stosowanie norm ISO. Ogólne wytyczne znajdziemy oczywiście w ISO 22301 (sekcja 8.4), lecz zdecydowanie polecam lekturę dedykowanej normy jaką jest ISO 22320 (BS 11200:2014) Societal security – Emergency management, requirements for incident response.

Musimy także jasno rozróżnić (ale nie oddzielać) czym jest incydent a czym jest kryzys. Dobrze te różnice tłumaczy standard BS 11200 (ISO 23320):

• incydent to zdarzenie niepożądane, które może spowodować zakłócenia, szkody lub sytuację awaryjną (nagłą), ale które nie spełnia organizacyjnych kryteriów lub definicji kryzysu.
• kryzys to odbiegająca od normy i niestabilna sytuacja zagrażająca celom strategicznym, reputacji organizacji lub jej żywotności. Kryzys to bardziej sytuacja niż zdarzenie, ale może to być też po prostu rozrośnięty źle zarządzany incydent lub ich kombinacja. Wyróżniamy trzy główne grupy kryzysów:
  – kryzysy materializacji ryzyka, które mają natychmiastowe i oczywiste skutki,
  – źle zarządzane incydenty i zakłócenia, którym pozwolono rozwinąć się do skali kryzysu,
  – kumulacja ukrytych problemów (ma to poważne konsekwencje dla reputacji organizacji).

Aby nasz proces zarządzania kryzysowego lub (zgodnie z nomenklaturą ISO) zarządzania incydentem mógł sprawnie zadziałać organizacja powinna być wyposażona w następujące elementy:

• świadome relacje pomiędzy zarządzaniem ryzykiem a zarządzaniem problemami, zarządzaniem ciągłością działania oraz komunikacją i przygotowanymi rozwiązaniami zarządzania kryzysowego;
• procesy skanowania otoczenia, umożliwiające identyfikację potencjalnych kryzysów mogących wystąpić w średniej lub dłuższej perspektywie czasowej i tych, które mogą wystąpić prawie bez ostrzeżenia;
• systemy wczesnego ostrzegania przed potencjalnymi kryzysami w sferze fizycznej i wirtualnej (cyber);
• świadomość, że kryzysy mogą się rozwijać niezależnie od skuteczności istniejących zabezpieczeń i że organizacja musi być przygotowana na skuteczne nimi zarządzanie.

Istotne jest aby na każdym poziomie organizacji istniała świadomość, że źródłem kryzysu mogą być na pozór błahe zdarzenia. Dlatego umiejętność rozpoznania i właściwej interpretacji sygnałów ostrzegawczych jest jedną z kluczowych umiejętności jaką powinny opanować nie tylko osoby odpowiedzialne za monitoring zagrożeń. Aby stało się to powszechną praktyką należy dążyć do wdrożenia otwartej i przyjaznej kultury zgłaszania nieprawidłowości przez pracowników każdego szczebla, dzięki czemu można będzie reagować na incydent, zanim przerodzi się on w sytuację kryzysową.

Równie ważne jest posiadanie dedykowanego zespołu/struktury, która będzie odpowiadać za faktyczną realizację zarządzania kryzysowego. Zwykle taki zespół nosi nazwę Sztabu Kryzysowego.

Jego skład, zakres obowiązków i kompetencji powinien być wcześniej ustalony i zatwierdzony przez kierownictwo (zarząd) organizacji. Wszędzie gdzie to możliwe, role jakie pracownicy mają wykonywać w ramach zarządzania kryzysowego, powinny odpowiadać tym, które wykonują w normalnych warunkach lub być ich naturalnym rozszerzeniem. Do głównych zdań i obowiązków Sztabu Kryzysowego można zaliczyć:

• ocenę wpływu incydentu na działalność organizacji oraz ocenę strat spowodowanych incydentem;
• ograniczanie skutków incydentu i zabezpieczenie mienia organizacji
• komunikację wewnętrzną i zewnętrzną dotyczącą incydentu oraz działań mitygujących i odtworzeniowych, zapewnienie efektywnego przepływu informacji na wszystkich szczeblach struktury zarządzania kryzysowego;
• zarządzanie i koordynację działań w sytuacji kryzysowej i działań odtworzeniowych, w tym współpracę ze służbami ratowniczymi;
• zapewnienie wsparcia organizacyjnego, technicznego i logistycznego zespołom awaryjnym odpowiedzialnym za podtrzymanie lub odtworzenie infrastruktury i krytycznych procesów organizacji;
• zapewnienie bezpieczeństwa pracownikom, współpracownikom, gościom i klientom organizacji;
• prowadzenie rejestru przebiegu akcji awaryjnej;

Często w strukturę zarządzania kryzysowego włączane są zespoły odpowiedzialne za monitoring zagrożeń i reagowania na incydenty (ISIRT, Bezpieczeństwo IT, Bezpieczeństwo Informacji, Bezpieczeństwo Fizyczne i Techniczne, Monitoring Zgodności, itp...). Bliska współpraca pomiędzy tymi zespołami a zespołem zarządzania ciągłością działania umożliwia wczesne wykrycie i skuteczną reakcję na incydent/ kryzys co z kolei przekłada się na niedopuszczenie lub maksymalne ograniczenie jego negatywnego wpływu na bieżącą działalność operacyjną organizacji.

Nie możemy zapomnieć oczywiście o właściwym udokumentowaniu zasad prowadzenia i zarządzania sytuacją kryzysową. Na tego typy dokumentację składają się zwykle plany zarządzania kryzysowego oraz instrukcje wykonawcze. Ten pierwszy zawiera opisy postępowania jednostek tworzących strukturę zarządzania kryzysowego zapewniające podjęcie prze nie natychmiastowych, skoordynowanych i skutecznych działań w przypadku wystąpienia zdarzenia kryzysowego. Instrukcje wykonawcze to dokumenty proste i krótkie, zawierające opis czynności niezbędnych do wykonania konkretnego zadania. Plan zarządzania kryzysowego powinien być tak zwięzły jak to możliwe aby zapewnić, że:

• jest czytany i przećwiczony zanim będzie potrzebny;
• może być zrozumiany i rzeczywiście użyty gdy wybuchnie kryzys;
• podejmowane w ramach planu działania są legalne (niby jest to oczywiste, ale widziałem już plany, które balansowały na granicy prawa – zwłaszcza w zakresie bezpieczeństwa i BHP).

W ramach planów zarządzania kryzysowego warto jest opracować scenariusze postępowania dla najbardziej prawdopodobnych zdarzeń tak aby organizacja mogła je przećwiczyć i w zależności od wyników testów zmodyfikować. W scenariuszach nie należy popadać w zbyt dalece posuniętą szczegółowość – powinny być one na tyle ogólne aby można było je łatwo dostosować do innych, nietypowych zdarzeń, ale na tyle szczegółowe aby w typowych sytuacjach nie trzeba było tracić czasu na wymyślanie i przydzielanie zadań niezbędnych do wykonania przez poszczególne zespoły/osoby.

Na koniec nie możemy zapomnieć o komunikacji kryzysowej. Komunikację należy rozpatrywać w szerokim kontekście, tzn. zarówno w kontekście komunikacji wewnętrznej — związanej z koniecznością natychmiastowej wymiany informacji w obrębie organizacji, jak również komunikacji zewnętrznej — wpływającej bezpośrednio na interesariuszy, klientów, partnerów biznesowych, organa nadzorcze, regulatorów czy media.

Możemy wyróżnić następujące typy komunikacji kryzysowej (zarówno wewnętrznej jaki i zewnętrznej):

• komunikacja prewencyjna — poprzedzająca wystąpienie sytuacji kryzysowej, mająca na celu zbudowanie świadomości i przygotowanie uczestników procesu na właściwą reakcję w momencie jej wystąpienia,
• komunikacja reaktywna — uruchamiana w momencie materializacji zagrożenia i mająca na celu skomunikowanie zaangażowanych stron, wspierająca podejmowanie działań ograniczających (często uznawana za tę właściwą komunikację kryzysową), 

Jedną z najistotniejszych ról w procesie komunikowania się w czasie kryzysu, szczególnie w aspekcie komunikacji zewnętrznej pełni biuro prasowe lub rzecznik prasowy. To do niego należy formułowanie i przekazywanie komunikatów prasowych oraz ustalanie strategii medialnej, szczególnie w sytuacjach wymagających większej ostrożności, do których niewątpliwie należy sytuacja kryzysowa. Rzecznik prasowy powinien być członkiem zespołu kryzysowego albo przynajmniej pozostawać z nim w ścisłej współpracy. Kluczowe zasady komunikacji kryzysowej to:

• bądź przygotowany – przygotuj jasny i zrozumiały proces komunikacji;
• działaj szybko – przekazuj informacje szybko i w odpowiedni sposób, podkreślając przy tym, że więcej informacji zostanie podanych, kiedy tylko będzie to możliwe;
• stale monitoruj – koniecznie śledź wszelkie wydarzenia;
• utrzymaj przepływ informacji – informuj o tym co wiadomo; lepiej publikować „mało i często”, niż czekać na możliwość opublikowania wszystkich informacji;
• bądź otwarty i szczery – wszystko i tak wyjdzie w końcu na jaw;
• rzetelność ma znaczenie – operuj twardymi faktami, a unikaj pogłosek, domysłów i przypuszczeń;
• zarządzaj   terminami – informuj w pierwszej kolejności najbliższych interesariuszy;
• przeproś – kiedy to odpowiednie i istotne, nie bój się przeprosić;
• bądź człowiekiem – kiedy to właściwe, okazuj empatię.               

Hubert Łabęcki

¹⁾ BCM – (eng) Business Continuity Management – zarządzanie ciągłością działania
²⁾ BAU – eng. business as usual – normalny, codzienny stan operacyjny/produkcyjny organizacji