Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Case Study

Jak przygotowywać testy planów lub procedur awaryjnych

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

Incydent w Erding wyraźnie nas uczy: nie możemy sobie pozwolić na „uczenie się na błędach" w obszarach, gdzie stawką jest życie ludzkie.

22 października 2025 roku w rejonie miasta Erding (Górna Bawaria) doszło do zaskakującego incydentu podczas ogólnokrajowych manewrów Bundeswehry o kryptonimie „Marshal Power 2025".

W wyniku nieporozumienia funkcjonariusze bawarskiej policji oddali strzały z ostrej amunicji w kierunku żołnierzy żandarmerii wojskowej (Feldjäger), którzy – przekonani, że to element ćwiczeń – odpowiedzieli ogniem ślepą amunicją. W strzelaninie ranny został jeden z żołnierzy Bundeswehry, a lokalne władze określiły całą sytuację mianem „absolutnej katastrofy komunikacyjnej”.

Zasady, które zostały złamane w tym przypadku, są uniwersalne i dotyczą dowolnego testu lub ćwiczenia. Zgodnie ze starą maksymą, mówiącą, że „Najlepiej jest się uczyć na cudzych błędach”, zachęcam Was do zapoznania się z moją analizą tego incydentu. Wykorzystajcie ją do przeprowadzenia „rachunku sumienia” zasad testowania obowiązujących w Waszych firmach i organizacjach.

Podzielcie się też artykułem ze znajomymi „z branży” – może okazać się, że dzięki temu zaoszczędzicie im kłopotów podczas organizacji testów.

Katastrofa na własne życzenie

Problem pojawił się wieczorem, gdy zaniepokojeni mieszkańcy Altenerding powiadomili policję o obecności uzbrojonych osób w mundurach maskujących, nie zdając sobie sprawy, że trwa wojskowa faza ćwiczeń.  

Policja, niepoinformowana o szczegółach manewrów, uznała sytuację za realne zagrożenie i podjęła interwencję z użyciem broni. Bundeswehra, działająca według swojego scenariusza, potraktowała interwencję policji jako element symulacji i odpowiedziała niegroźnym ogniem z użyciem ślepych naboi. Dopiero po wymianie strzałów zorientowano się, jak poważna pomyłka zaszła.

Reakcje i środki zapobiegawcze

Trudno jest mi pojąć, że w Niemczech dotychczas mogły nie istnieć podstawowe zasady dotyczące testów i ćwiczeń operacyjnych, podczas których faktycznie podejmuje się działania przewidziane w procedurach i scenariuszu.  

Prowadzenie ćwiczeń wojskowych w mieście, bez odpowiedniej uprzedniej komunikacji do wszystkich interesariuszy, a przede wszystkim do lokalnych mieszkańców to proszenie się o kłopoty. Nietrudno było przecież przewidzieć ich naturalną reakcję.

Wszystko wskazuje na systemowy błąd, polegający na tym, że świat wojskowy i cywilny funkcjonują w izolacji – nie wymieniają między sobą informacji, nie współpracują w zakresie szkoleń i budowania świadomości, nie trenują też wspólnie w ramach ćwiczeń.

To bardzo niepokojące, zwłaszcza, że kryzysy nie zdarzają się w próżni. Gdy dzieje się coś złego, naturalnym jest, że należy wdrożyć zasady „unified command”, czyli jednego, wspólnego dowództwa, koordynującego działania wielu służb.

Władze federalne i landowe przyznały, że incydent w Erding był rezultatem poważnych błędów w komunikacji między wojskiem, policją oraz administracją cywilną. Natychmiast po zdarzeniu ogłoszono szereg środków naprawczych:

  • Stworzenie zintegrowanego systemu powiadamiania o ćwiczeniach wojskowych odbywających się w terenach cywilnych, obejmującego bezpośrednie kanały kontaktu sztabów wojskowych, komend policji, służb kryzysowych i urzędów gminnych.
  • Powstanie regionalnych centrów koordynacyjnych odpowiedzialnych za szczegółowe informowanie wszystkich służb mundurowych i władz lokalnych o lokalizacji i scenariuszu ćwiczeń.
  • Przegląd oraz przemodelowanie procedur alarmowych, cykliczne ćwiczenia międzyresortowe, a także regularne szkolenia praktyczne obejmujące rozpoznawanie formacji mundurowych w przestrzeni cywilnej.
  • Obowiązkowe powiadamianie mieszkańców i publikowanie komunikatów przy każdej aktywności ćwiczeniowej prowadzonej przez Bundeswehrę w rejonach cywilnych.

Fatalne konsekwencje myślenia „przetestujemy w terenie"

Incydent w Erding to klasyczny przykład mentalności „zobaczymy, jak to zadziała w praktyce", zamiast „upewnijmy się, że wszystko jest przygotowane, zanim zaczniemy". Ta różnica w podejściu może decydować o życiu i śmierci.

W zarządzaniu ryzykiem operacyjnym, które znam z sektora energetycznego, mamy żelazną zasadę: nigdy nie przeprowadzamy testów na żywo bez uprzedniego zapewnienia wszystkich systemów bezpieczeństwa. Przed każdym testem odporności sieci energetycznej mamy:

  • Pełną mapę wszystkich interesariuszy i kanałów komunikacji
  • Przetestowane procedury awaryjne
  • Systemy monitoringu w czasie rzeczywistym
  • Jasno zdefiniowane kryteria przerwania testu
  • Plany komunikacji z opinią publiczną

W przypadku manewrów „Marshal Power" żadna z tych zasad nie została zastosowana.

Co poszło źle na poziomie systemowym

Brak analizy ryzyka przed ćwiczeniami

Podstawowa analiza FMEA (Failure Mode and Effects Analysis) ujawniłaby scenariusz „mieszkańcy wzywają policję, która nie wie o manewrach". To nie była czarna łabędź – to był przewidywalny scenariusz, który powinien być objęty procedurami bezpieczeństwa.

Nieskuteczne zarządzanie interesariuszami

Ćwiczenia wojskowe w terenach cywilnych dotyczą wielu interesariuszy - wojska, policji, służb ratowniczych, władz lokalnych, mieszkańców. Brak mapowania i angażowania wszystkich grup to podstawowy błąd projektowy.

Nieadekwatne testowanie systemów komunikacji

Fakt, że służby nie miały wspólnych kanałów łączności do momentu wprowadzenia „systemu cyfrowej łączności kryzysowej BOS-Funk" po incydencie, pokazuje dramatyczne zaniedbania w podstawowej infrastrukturze komunikacyjnej.

Brak planów awaryjnych

Nie było procedur „co robimy, gdy stanie się coś niespodziewanego podczas ćwiczeń?". Rezultatem była improwizacja w sytuacji kryzysowej prowadząca do strzelaniny.

Standardy, które powinny obowiązywać od zawsze

Lista „środków naprawczych" ogłoszonych po incydencie w Erding to de facto katalog podstawowych wymogów, które powinny być spełnione przed każdymi ćwiczeniami krytycznej infrastruktury bezpieczeństwa:

Przed rozpoczęciem jakichkolwiek ćwiczeń:

  1. Kompletna notyfikacja wszystkich służb – żadne ćwiczenia nie mogą się rozpocząć bez poinformowania wszystkich lokalnych służb mundurowych i cywilnych.
  1. Wspólne odprawy i briefingi – wszystkie służby muszą znać scenariusz, role i procedury bezpieczeństwa.
  1. Testowanie systemów łączności – komunikacja między służbami musi być przetestowana przed ćwiczeniami, nie podczas nich.
  1. Informowanie społeczeństwa – mieszkańcy muszą być powiadomieni o charakterze, lokalizacji i czasie trwania ćwiczeń.
  1. Jasne procedury identyfikacji – wszystkie siły muszą mieć sposoby rozpoznawania „swoich" od „obcych".
  1. Plany awaryjne – muszą istnieć procedury przerwania ćwiczeń w przypadku wystąpienia niekontrolowanych sytuacji.

Podczas ćwiczeń:

  1. Monitoring w czasie rzeczywistym – stały kontakt między wszystkimi zaangażowanymi służbami.
  1. Jasne kanały komunikacji – możliwość natychmiastowego kontaktu między sztabami.
  1. Procedury de-eskalacji – sposoby szybkiego wyjaśnienia nieporozumień.
  1. Protokoły bezpieczeństwa – jasne zasady użycia broni i rozpoznawania zagrożeń podczas ćwiczeń.

Kultura bezpieczeństwa vs. kultura testowania

Problem z manewrami w Erding wykracza poza kwestie techniczne czy proceduralne i świadczy o aktualnej kulturze organizacyjnej.

W kulturze bezpieczeństwa pytanie brzmi: „Czy mamy pewność, że wszystko jest przygotowane?" Dopiero po uzyskaniu pozytywnej odpowiedzi rozpoczynamy działania.

W kulturze testowania pytanie brzmi: „Zobaczymy, co się stanie, jak to uruchomimy." Problemy rozwiązujemy w miarę ich pojawiania się.

Incydent w Erding pokazuje możliwe konsekwencje tego drugiego podejścia.

Wnioski systemowe

Nie ma miejsca na eksperymenty w zarządzaniu krytyczną infrastrukturą

Ćwiczenia służb bezpieczeństwa nie mogą być „testami w terenie", podczas których sprawdzamy, czy nasze założenia są prawidłowe. Wszystkie procedury bezpieczeństwa muszą być opracowane, przetestowane i walidowane przed rozpoczęciem działań na żywo.

Komunikacja nie jest „dodatkiem", ale podstawą w każdej sytuacji kryzysowej i podczas każdego testu

Systemy komunikacji między służbami nie mogą być budowane w reakcji na incydenty. To podstawowa infrastruktura, która musi działać od pierwszego dnia.

Zarządzanie ryzykiem nie toleruje luk

Każdy scenariusz, który może prowadzić do użycia broni przez służby, musi być przewidziany i objęty procedurami testowania. Brak rzetelnej analizy ryzyka to proszenie się o nieszczęście.

Interesariusze nie mogą być zaskakiwani

Wszystkie organizacje, firmy a przede wszystkim samorządy, które mogą być dotknięte ćwiczeniami, muszą być zaangażowane w proces planowania. Informowanie „po fakcie" jest niedopuszczalne w przypadku ćwiczeń operacyjnych.

Sprawdź swoje zasady testowania procedur reagowania

Na podstawie analizy incydentu w Erding należy przeprowadzić własny „rachunek sumienia” pod kątem tego, czy stosujemy poniższe standardy dla wszystkich ćwiczeń operacyjnych.

Żadne ćwiczenia nie mogą się rozpocząć bez:

  • kompletnej analizy ryzyka obejmującej wszystkie możliwe scenariusze.
  • zaangażowania wszystkich potencjalnych interesariuszy w proces planowania
  • przetestowania wszystkich systemów komunikacji i procedur bezpieczeństwa
  • opracowania i sprawdzenia aktualności i dostępności planów awaryjnych
  • przeprowadzenia testów papierowych (walk-through, gier sztabowych) wszystkich krytycznych scenariuszy

Podczas ćwiczeń musi być zapewniony:

  • stały monitoring wszystkich działań w czasie rzeczywistym
  • natychmiastowa komunikacja między wszystkimi służbami
  • możliwość przerwania ćwiczeń w każdym momencie
  • jasne procedury identyfikacji i deeskalacji
  • dokumentowanie wszystkich zdarzeń dla późniejszej analizy i sporządzenia raportu z testu.

Lekcja dla Polski

Incydent w Erding ma szczególne znaczenie dla Polski, gdzie również przeprowadzamy regularne ćwiczenia służb mundurowych i wojska. Pytania, które powinniśmy sobie zadać:

  1. Czy nasze służby mają wypracowane procedury rozpoznawania się nawzajem?
  1. Czy istnieją systemy komunikacji umożliwiające natychmiastowy kontakt między wszystkimi służbami?
  1. Czy mieszkańcy są informowani o planowanych ćwiczeniach w ich rejonie?
  1. Czy przeprowadzamy analizy ryzyka przed każdymi ćwiczeniami z użyciem broni?
  1. Czy mamy plany awaryjne na wypadek sytuacji nieprzewidzianych?

Nie czas na eksperymenty

Incydent w Erding był możliwą do przewidzenia konsekwencją systemowych zaniedbań w podstawowych procedurach bezpieczeństwa.

Lista „środków naprawczych" wprowadzonych po strzelaninie to właściwie lista rzeczy, które powinny być standardem od dziesięcioleci. Fakt, że zostały wprowadzone dopiero po tym, jak policjant strzelił do żołnierza, pokazuje istotne problemy w niemieckim systemie zarządzania bezpieczeństwem.

Nie możemy sobie pozwolić na „uczenie się na błędach" w obszarach, gdzie stawką jest życie ludzkie. Tu nie ma ma miejsca na eksperymenty i testy metodą prób i błędów.

Czas na wprowadzenie standardów testowania, które sprawią, że incydenty takie jak w Erding staną się niemożliwe.  

Dziękujemy za przeczytanie i zapraszamy do subskrybcji Newslettera, jeśli treści prezentowane na naszym blogu podobają Ci się lub uważasz je za przydatne!

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Niewidzialne zagrożenia
Atak Shai Hulud 2.0.
Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania
Katastrofa śmigłowca właścicieli SUP-FOL
Duńska "Nocna Straż"

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.
Czytaj dalej
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Cyberbezpieczeństwo
Incydenty
insider threat, zagrożenia wewnętrzne, cyberbezpieczeństwo, sabotaż w firmie, zarządzanie ryzykiem IT, ciągłość działania, bezpieczeństwo informacji, ochrona infrastruktury, Davis Lu, Eaton Corporation, złośliwy kod, zarządzanie uprawnieniami, audyt bezpieczeństwa, Business Continuity Plan, ryzyko osobowe, incydenty bezpieczeństwa, ochrona danych, zwolnienie pracownika IT, separacja obowiązków
Podmioty ważne i kluczowe

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia

Katastrofa śmigłowca właścicieli SUP-FOL

Lekcje o sukcesji, prokurencie i ciągłości działania spółki z o.o.
Czytaj dalej
Case Study

Katastrofa śmigłowca właścicieli SUP-FOL

Ciągłość działania
Zarządzanie kryzysowe
Incydenty
katastrofa śmigłowca, wypadek lotniczy, wypadek śmigłowca pod Rzeszowem, tragedia w firmie rodzinnej, śmierć przedsiębiorców, SUP-FOL, SupFol, katastrofa śmigłowca SUP-FOL, spółka z o.o., firmy rodzinne Polska, sukcesja w firmie, sukcesja przedsiębiorstwa, sukcesja w spółce z o.o., śmierć wspólnika, śmierć członka zarządu, co po śmierci wspólnika, co po śmierci członka zarządu, paraliż decyzyjny spółki, brak zarządu w spółce, kto reprezentuje spółkę, kurator dla spółki, kurator sądowy spółki, jak powołać kuratora spółki, ile kosztuje kurator dla spółki, KRS reprezentacja, blokada konta spółki, co dzieje się ze spółką z o.o. po śmierci zarządu, co robić gdy spółka nie ma zarządu, zarządzanie ryzykiem w firmie, plan ciągłości działania, business continuity, ciągłość działania w MŚP, plan ciągłości działania w firmie, ryzyka operacyjne firm rodzinnych, ubezpieczenie key person, prokura, prokurent, prokura samoistna, prokura łączna, jak działa prokura, czy prokura wygasa po śmierci zarządu, zabezpieczenie firmy po śmierci właściciela, jak zabezpieczyć firmę po nagłej śmierci właściciela, jak przygotować sukcesję w firmie, sukcesja kapitałowa i korporacyjna, umowa spółki sukcesja, postępowanie spadkowe wspólnika, blokada rachunku firmowego, reprezentacja spółki po śmierci zarządu
Przemysł
Firmy w Polsce

Duńska "Nocna Straż"

Jak globalna polityka i nieprzewidywalność zmuszają dyplomację do innowacji i adaptacji.
Czytaj dalej
Artykuł

Duńska "Nocna Straż"

Geopolityka a biznes
Zarządzanie kryzysowe
grenlandia, usa, komunikacja kryzysowa, zarządzanie ryzykiem, dania, Dyplomacja, StosunkiMiędzynarodowe, politykaZagraniczna, Adaptacja, ZarządzanieKryzysowe
Administracja publiczna
Przejdź do wszystkich wpisów