22 października 2025 roku w rejonie miasta Erding (Górna Bawaria) doszło do zaskakującego incydentu podczas ogólnokrajowych manewrów Bundeswehry o kryptonimie „Marshal Power 2025".

‍

W wyniku nieporozumienia funkcjonariusze bawarskiej policji oddali strzały z ostrej amunicji w kierunku żołnierzy żandarmerii wojskowej (Feldjäger), którzy – przekonani, że to element ćwiczeń – odpowiedzieli ogniem ślepą amunicją. W strzelaninie ranny został jeden z żołnierzy Bundeswehry, a lokalne władze określiły całą sytuację mianem „absolutnej katastrofy komunikacyjnej”.

‍

Zasady, które zostały złamane w tym przypadku, są uniwersalne i dotyczą dowolnego testu lub ćwiczenia. Zgodnie ze starą maksymą, mówiącą, że „Najlepiej jest się uczyć na cudzych błędach”, zachęcam Was do zapoznania się z moją analizą tego incydentu. Wykorzystajcie ją do przeprowadzenia „rachunku sumienia” zasad testowania obowiązujących w Waszych firmach i organizacjach.

‍

Podzielcie się też artykułem ze znajomymi „z branży” – może okazać się, że dzięki temu zaoszczędzicie im kłopotów podczas organizacji testów.

‍

Katastrofa na własne życzenie

‍

Problem pojawił się wieczorem, gdy zaniepokojeni mieszkańcy Altenerding powiadomili policję o obecności uzbrojonych osób w mundurach maskujących, nie zdając sobie sprawy, że trwa wojskowa faza ćwiczeń.  

‍

Policja, niepoinformowana o szczegółach manewrów, uznała sytuację za realne zagrożenie i podjęła interwencję z użyciem broni. Bundeswehra, działająca według swojego scenariusza, potraktowała interwencję policji jako element symulacji i odpowiedziała niegroźnym ogniem z użyciem ślepych naboi. Dopiero po wymianie strzałów zorientowano się, jak poważna pomyłka zaszła.

‍

Reakcje i środki zapobiegawcze

‍

Trudno jest mi pojąć, że w Niemczech dotychczas mogły nie istnieć podstawowe zasady dotyczące testów i ćwiczeń operacyjnych, podczas których faktycznie podejmuje się działania przewidziane w procedurach i scenariuszu.  

‍

Prowadzenie ćwiczeń wojskowych w mieście, bez odpowiedniej uprzedniej komunikacji do wszystkich interesariuszy, a przede wszystkim do lokalnych mieszkańców to proszenie się o kłopoty. Nietrudno było przecież przewidzieć ich naturalną reakcję.

‍

Wszystko wskazuje na systemowy błąd, polegający na tym, że świat wojskowy i cywilny funkcjonują w izolacji – nie wymieniają między sobą informacji, nie współpracują w zakresie szkoleń i budowania świadomości, nie trenują też wspólnie w ramach ćwiczeń.

‍

To bardzo niepokojące, zwłaszcza, że kryzysy nie zdarzają się w próżni. Gdy dzieje się coś złego, naturalnym jest, że należy wdrożyć zasady „unified command”, czyli jednego, wspólnego dowództwa, koordynującego działania wielu służb.

‍

Władze federalne i landowe przyznały, że incydent w Erding był rezultatem poważnych błędów w komunikacji między wojskiem, policją oraz administracją cywilną. Natychmiast po zdarzeniu ogłoszono szereg środków naprawczych:

‍

• Stworzenie zintegrowanego systemu powiadamiania o ćwiczeniach wojskowych odbywających się w terenach cywilnych, obejmującego bezpośrednie kanały kontaktu sztabów wojskowych, komend policji, służb kryzysowych i urzędów gminnych.

• Powstanie regionalnych centrów koordynacyjnych odpowiedzialnych za szczegółowe informowanie wszystkich służb mundurowych i władz lokalnych o lokalizacji i scenariuszu ćwiczeń.

• Przegląd oraz przemodelowanie procedur alarmowych, cykliczne ćwiczenia międzyresortowe, a także regularne szkolenia praktyczne obejmujące rozpoznawanie formacji mundurowych w przestrzeni cywilnej.

• Obowiązkowe powiadamianie mieszkańców i publikowanie komunikatów przy każdej aktywności ćwiczeniowej prowadzonej przez Bundeswehrę w rejonach cywilnych.

‍

Fatalne konsekwencje myślenia „przetestujemy w terenie"

‍

Incydent w Erding to klasyczny przykład mentalności „zobaczymy, jak to zadziała w praktyce", zamiast „upewnijmy się, że wszystko jest przygotowane, zanim zaczniemy". Ta różnica w podejściu może decydować o życiu i śmierci.

‍

W zarządzaniu ryzykiem operacyjnym, które znam z sektora energetycznego, mamy żelazną zasadę: nigdy nie przeprowadzamy testów na żywo bez uprzedniego zapewnienia wszystkich systemów bezpieczeństwa. Przed każdym testem odporności sieci energetycznej mamy:

‍

• Pełną mapę wszystkich interesariuszy i kanałów komunikacji

• Przetestowane procedury awaryjne

• Systemy monitoringu w czasie rzeczywistym

• Jasno zdefiniowane kryteria przerwania testu

• Plany komunikacji z opinią publiczną

‍

W przypadku manewrów „Marshal Power" żadna z tych zasad nie została zastosowana.

‍

Co poszło źle na poziomie systemowym

‍

Brak analizy ryzyka przed ćwiczeniami

‍

Podstawowa analiza FMEA (Failure Mode and Effects Analysis) ujawniłaby scenariusz „mieszkańcy wzywają policję, która nie wie o manewrach". To nie była czarna łabędź – to był przewidywalny scenariusz, który powinien być objęty procedurami bezpieczeństwa.

‍‍

Nieskuteczne zarządzanie interesariuszami

‍

Ćwiczenia wojskowe w terenach cywilnych dotyczą wielu interesariuszy - wojska, policji, służb ratowniczych, władz lokalnych, mieszkańców. Brak mapowania i angażowania wszystkich grup to podstawowy błąd projektowy.

‍

Nieadekwatne testowanie systemów komunikacji

‍

Fakt, że służby nie miały wspólnych kanałów łączności do momentu wprowadzenia „systemu cyfrowej łączności kryzysowej BOS-Funk" po incydencie, pokazuje dramatyczne zaniedbania w podstawowej infrastrukturze komunikacyjnej.

‍

‍Brak planów awaryjnych‍

‍

Nie było procedur „co robimy, gdy stanie się coś niespodziewanego podczas ćwiczeń?". Rezultatem była improwizacja w sytuacji kryzysowej prowadząca do strzelaniny.

‍‍

‍

Standardy, które powinny obowiązywać od zawsze

‍

Lista „środków naprawczych" ogłoszonych po incydencie w Erding to de facto katalog podstawowych wymogów, które powinny być spełnione przed każdymi ćwiczeniami krytycznej infrastruktury bezpieczeństwa:

‍

Przed rozpoczęciem jakichkolwiek ćwiczeń:

‍

1. ‍Kompletna notyfikacja wszystkich służb – żadne ćwiczenia nie mogą się rozpocząć bez poinformowania wszystkich lokalnych służb mundurowych i cywilnych.

2. Wspólne odprawy i briefingi – wszystkie służby muszą znać scenariusz, role i procedury bezpieczeństwa.

3. Testowanie systemów łączności – komunikacja między służbami musi być przetestowana przed ćwiczeniami, nie podczas nich.

4. Informowanie społeczeństwa – mieszkańcy muszą być powiadomieni o charakterze, lokalizacji i czasie trwania ćwiczeń.

5. Jasne procedury identyfikacji – wszystkie siły muszą mieć sposoby rozpoznawania „swoich" od „obcych".

6. Plany awaryjne – muszą istnieć procedury przerwania ćwiczeń w przypadku wystąpienia niekontrolowanych sytuacji.

‍

Podczas ćwiczeń:

‍

1. ‍Monitoring w czasie rzeczywistym – stały kontakt między wszystkimi zaangażowanymi służbami.

2. Jasne kanały komunikacji – możliwość natychmiastowego kontaktu między sztabami.

3. Procedury de-eskalacji – sposoby szybkiego wyjaśnienia nieporozumień.

4. Protokoły bezpieczeństwa – jasne zasady użycia broni i rozpoznawania zagrożeń podczas ćwiczeń.

‍

Kultura bezpieczeństwa vs. kultura testowania

‍‍

Problem z manewrami w Erding wykracza poza kwestie techniczne czy proceduralne i świadczy o aktualnej kulturze organizacyjnej.

‍

W kulturze bezpieczeństwa pytanie brzmi: „Czy mamy pewność, że wszystko jest przygotowane?" Dopiero po uzyskaniu pozytywnej odpowiedzi rozpoczynamy działania.

‍

W kulturze testowania pytanie brzmi: „Zobaczymy, co się stanie, jak to uruchomimy." Problemy rozwiązujemy w miarę ich pojawiania się.

‍

Incydent w Erding pokazuje możliwe konsekwencje tego drugiego podejścia.

‍

Wnioski systemowe

‍

Nie ma miejsca na eksperymenty w zarządzaniu krytyczną infrastrukturą

‍

Ćwiczenia służb bezpieczeństwa nie mogą być „testami w terenie", podczas których sprawdzamy, czy nasze założenia są prawidłowe. Wszystkie procedury bezpieczeństwa muszą być opracowane, przetestowane i walidowane przed rozpoczęciem działań na żywo.

‍

Komunikacja nie jest „dodatkiem", ale podstawą w każdej sytuacji kryzysowej i podczas każdego testu

‍

Systemy komunikacji między służbami nie mogą być budowane w reakcji na incydenty. To podstawowa infrastruktura, która musi działać od pierwszego dnia.

‍

Zarządzanie ryzykiem nie toleruje luk

‍

Każdy scenariusz, który może prowadzić do użycia broni przez służby, musi być przewidziany i objęty procedurami testowania. Brak rzetelnej analizy ryzyka to proszenie się o nieszczęście.

‍

Interesariusze nie mogą być zaskakiwani

‍

Wszystkie organizacje, firmy a przede wszystkim samorządy, które mogą być dotknięte ćwiczeniami, muszą być zaangażowane w proces planowania. Informowanie „po fakcie" jest niedopuszczalne w przypadku ćwiczeń operacyjnych.

‍

Sprawdź swoje zasady testowania procedur reagowania

‍

Na podstawie analizy incydentu w Erding należy przeprowadzić własny „rachunek sumienia” pod kątem tego, czy stosujemy poniższe standardy dla wszystkich ćwiczeń operacyjnych.

‍

Żadne ćwiczenia nie mogą się rozpocząć bez:

‍

• ‍‍kompletnej analizy ryzyka obejmującej wszystkie możliwe scenariusze.

• zaangażowania wszystkich potencjalnych interesariuszy w proces planowania

• przetestowania wszystkich systemów komunikacji i procedur bezpieczeństwa

• opracowania i sprawdzenia aktualności i dostępności planów awaryjnych

• przeprowadzenia testów papierowych (walk-through, gier sztabowych) wszystkich krytycznych scenariuszy

‍

Podczas ćwiczeń musi być zapewniony:

‍

• stały monitoring wszystkich działań w czasie rzeczywistym

• natychmiastowa komunikacja między wszystkimi służbami

• możliwość przerwania ćwiczeń w każdym momencie

• jasne procedury identyfikacji i deeskalacji

• dokumentowanie wszystkich zdarzeń dla późniejszej analizy i sporządzenia raportu z testu.

‍

Lekcja dla Polski

‍

Incydent w Erding ma szczególne znaczenie dla Polski, gdzie również przeprowadzamy regularne ćwiczenia służb mundurowych i wojska. Pytania, które powinniśmy sobie zadać:

‍

1. Czy nasze służby mają wypracowane procedury rozpoznawania się nawzajem?

2. Czy istnieją systemy komunikacji umożliwiające natychmiastowy kontakt między wszystkimi służbami?

3. Czy mieszkańcy są informowani o planowanych ćwiczeniach w ich rejonie?

4. Czy przeprowadzamy analizy ryzyka przed każdymi ćwiczeniami z użyciem broni?

5. Czy mamy plany awaryjne na wypadek sytuacji nieprzewidzianych?

‍

Nie czas na eksperymenty

‍

Incydent w Erding był możliwą do przewidzenia konsekwencją systemowych zaniedbań w podstawowych procedurach bezpieczeństwa.

‍

Lista „środków naprawczych" wprowadzonych po strzelaninie to właściwie lista rzeczy, które powinny być standardem od dziesięcioleci. Fakt, że zostały wprowadzone dopiero po tym, jak policjant strzelił do żołnierza, pokazuje istotne problemy w niemieckim systemie zarządzania bezpieczeństwem.

‍

Nie możemy sobie pozwolić na „uczenie się na błędach" w obszarach, gdzie stawką jest życie ludzkie. Tu nie ma ma miejsca na eksperymenty i testy metodą prób i błędów.

Czas na wprowadzenie standardów testowania, które sprawią, że incydenty takie jak w Erding staną się niemożliwe.  

‍

‍

Dziękujemy za przeczytanie i zapraszamy do subskrybcji Newslettera, jeśli treści prezentowane na naszym blogu podobają Ci się lub uważasz je za przydatne!

‍