Przejdź do treści 
ISO 22372:2025 – Wytyczne dla odporności infrastruktury krytycznej
ISO 22372:2025 to międzynarodowy standard odporności infrastruktury. Poznaj kluczowe zasady budowania systemów odpornych na zakłócenia i dowiedz się, jak chronić ciągłość usług krytycznych.
Wprowadzenie do ISO22372
ISO 22372:2025 to międzynarodowy standard Security and resilience — Community resilience — Guidelines for infrastructure resilience, opublikowany w listopadzie 2025 roku. Norma powstała w odpowiedzi na rosnącą złożoność, współzależność i podatność na zakłócenia współczesnych systemów infrastruktury krytycznej.
Skierowana jest do organizacji publicznych i prywatnych odpowiedzialnych za planowanie, finansowanie, projektowanie, rozwój, eksploatację i likwidację infrastruktury – od systemów energetycznych, przez telekomunikację, transport, wodociągi, po służby ratunkowe i opiekę zdrowotną. Norma pomaga zapewnić ciągłość i niezawodność usług kluczowych dla funkcjonowania społeczeństwa.
Jeśli Twoja organizacja zarządza infrastrukturą krytyczną lub planuje wzmocnienie odporności systemów operacyjnych
ZOBACZ RÓWNIEŻ: 👉 Certyfikacja ISO 22301 – Ciągłość działania
Kluczowe wymagania i struktura normy ISO 22372:2025
ISO 22372:2025 opiera się na strukturze ramowej (framework) oraz sześciu kluczowych zasadach (principles), które wspierają cztery fazy odporności infrastruktury: przygotowanie, absorpcję, odbudowę i adaptację.
RAMOWY MODEL ZARZĄDZANIA (FRAMEWORK)
Norma definiuje cztery podstawowe kroki dla osiągnięcia odporności infrastruktury:
Określenie celów i odpowiedzialności – organizacje odpowiedzialne za infrastrukturę powinny wyznaczyć strategiczne cele odporności oraz jasno zdefiniować role i odpowiedzialności wszystkich interesariuszy. Wymaga to powołania ciała zarządzającego, które będzie koordynowało działania na wszystkich poziomach organizacji.
Identyfikacja i ocena zdolności infrastruktury – kompleksowa ocena obecnego stanu odporności infrastruktury, uwzględniająca cały cykl życia (od planowania po likwidację), zależności między systemami oraz trendy wpływające na przyszłe wymagania. Ocena powinna być holistyczna, traktując infrastrukturę jako system systemów, a nie tylko analizować poszczególne sektory w izolacji.
Ustalenie priorytetów – na podstawie oceny należy określić najsłabsze ogniwa i priorytetyzować działania o największym wpływie na systemową odporność infrastruktury. Pozwala to koncentrować zasoby tam, gdzie są najbardziej potrzebne dla zapewnienia nieprzerwanej ciągłości usług.
Ustanowienie strategii i planu – opracowanie długoterminowej strategii odporności, która integruje wszystkie zidentyfikowane działania, określa harmonogram wdrożenia oraz mechanizmy monitorowania postępów.
SZEŚĆ ZASAD ODPORNOŚCI INFRASTRUKTURY
Norma definiuje sześć fundamentalnych zasad, które powinny być wdrożone w całym cyklu życia infrastruktury:
Zasada 1: Jasno określone odpowiedzialności i wspólna odpowiedzialność (Clearly defined accountabilities and shared responsibilities) – wymaga ustanowienia przejrzystych struktur zarządzania, w których role i obowiązki wszystkich stron są jednoznacznie określone, co zapobiega fragmentacji działań.
Zasada 2: Proaktywna ochrona (Proactively protected) – infrastruktura powinna być projektowana i zarządzana z myślą o przewidywaniu zagrożeń i podejmowaniu działań zapobiegawczych zanim wystąpi zakłócenie.
Zasada 3: Zintegrowana z środowiskiem (Environmentally integrated) – projektowanie i eksploatacja infrastruktury powinny minimalizować wpływ na środowisko naturalne oraz wykorzystywać rozwiązania oparte na naturze (nature-based solutions).
Zasada 4: Społecznie zaangażowana (Socially engaged) – aktywne angażowanie społeczności i użytkowników infrastruktury w procesy decyzyjne oraz przygotowanie ludzi na potencjalne zakłócenia.
Zasada 5: Adaptacyjnie transformująca się (Adaptively transforming) – zdolność do elastycznego reagowania na zmiany, wprowadzania innowacji i rozszerzania zakresu działania poza pierwotne założenia.
Zasada 6: Ciągle ucząca się i doskonaląca (Continually learning and improving) – systematyczne monitorowanie, analiza, wyciąganie wniosków z doświadczeń oraz ciągłe doskonalenie kompetencji i procesów.
PROCESY OPERACYJNE (CYKL PDCA)
Norma wykorzystuje znany cykl Deminga (Plan-Do-Check-Act) do zarządzania odpornością:
Plan – obejmuje zbieranie dowodów, współpracę i dzielenie się informacjami o zagrożeniach, ryzykach oraz inwestycje w odporność infrastruktury.
Do – projektowanie i wdrażanie rozwiązań zwiększających odporność, takich jak zwiększenie wymagań bezpieczeństwa, uwzględnienie współzależności systemów, projektowanie infrastruktury tak aby awarie były bezpieczne, wdrażanie wielu ścieżek odporności oraz działania w odpowiednim czasie.
Check – testowanie i monitorowanie odporności, analiza słabości komponentów, zarządzanie wydajnością systemu oraz raportowanie postępów.
Act – poprawa praktyk, norm i podejść zarządczych, przygotowanie społeczności, utrzymanie elastycznego zarządzania oraz konserwacja infrastruktury i środowiska naturalnego.
Korzyści z wdrożenia ISO 22372:2025
Wdrożenie wytycznych ISO 22372:2025 przynosi organizacjom odpowiedzialnym za infrastrukturę wymierne korzyści operacyjne, strategiczne i społeczne.
Z perspektywy operacyjnej norma pomaga zidentyfikować najsłabsze ogniwa w złożonych systemach infrastruktury oraz priorytetyzować działania o największym wpływie na ciągłość usług. Organizacje zyskują strukturalny framework do oceny współzależności między różnymi systemami – na przykład jak awaria sieci energetycznej wpływa na telekomunikację, wodociągi czy transport. To pozwala zapobiegać efektowi kaskadowemu zakłóceń i znacząco skraca czas odbudowy po incydentach.
Strategicznie norma wspiera długoterminowe planowanie inwestycji w odporność infrastruktury. Zamiast reaktywnego reagowania na poszczególne awarie, organizacje mogą systematycznie budować zdolności adaptacyjne i przewidywać przyszłe wyzwania związane ze zmianami klimatu, demograficznymi czy technologicznymi. ISO 22372:2025 dostarcza wspólny język i ramy współpracy dla różnych interesariuszy – od rządów i regulatorów, przez operatorów infrastruktury, po inwestorów i projektantów.
Z punktu widzenia społecznego i reputacyjnego wdrożenie standardu zwiększa zaufanie społeczności do dostawców usług krytycznych. Organizacje, które proaktywnie angażują obywateli w procesy decyzyjne dotyczące odporności oraz przygotowują ich na potencjalne zakłócenia, budują silniejsze relacje ze swoimi użytkownikami końcowymi. To szczególnie istotne w kontekście rosnących oczekiwań społecznych wobec niezawodności usług publicznych.
Dla organizacji działających w sektorach regulowanych norma może ułatwić spełnienie wymogów prawnych dotyczących infrastruktury krytycznej, takich jak Dyrektywa UE w sprawie odporności podmiotów krytycznych. Dodatkowo ułatwia dostęp do finansowania projektów infrastrukturalnych, ponieważ inwestorzy coraz częściej wymagają dowodów na systemowe podejście do zarządzania odpornością.
Proces wdrożenia ISO 22372:2025
Wdrożenie wytycznych ISO 22372:2025 wymaga systematycznego podejścia obejmującego wszystkich interesariuszy infrastruktury na poziomie krajowym, regionalnym i lokalnym.
Faza 1: Powołanie ciała odpowiedzialnego i mapowanie interesariuszy (1-3 miesiące). Proces rozpoczyna się od wyznaczenia przez rząd lub najwyższe władze organizacji odpowiedzialnych za infrastrukturę na danym terenie (relevant organizations). Te organizacje muszą zidentyfikować wszystkich kluczowych interesariuszy: operatorów infrastruktury, regulatorów, projektantów, dostawców, inwestorów oraz przedstawicieli społeczności. Następnie należy ustanowić struktury zarządzania z jasnym podziałem odpowiedzialności i mechanizmami współpracy.
Faza 2: Kompleksowa ocena zdolności infrastruktury (3-6 miesięcy). Kluczowy etap to przeprowadzenie holistycznej oceny obecnego stanu odporności wszystkich systemów infrastruktury. Ocena powinna wykraczać poza podejście sektorowe i analizować infrastrukturę jako system systemów, identyfikując współzależności i efekty kaskadowe. Dla każdej z sześciu zasad normy oraz kluczowych działań operacyjnych należy określić stopień ich obecnego wdrożenia, zidentyfikować luki oraz obszary największej podatności na zakłócenia.
Faza 3: Priorytetyzacja i planowanie strategiczne (2-4 miesiące). Na podstawie wyników oceny organizacje odpowiedzialne powinny ustalić priorytety działań według wpływu na systemową odporność infrastruktury. Priorytet otrzymują działania wzmacniające najsłabsze ogniwa krytyczne dla ciągłości usług. Następnie opracowuje się długoterminową strategię odporności z określeniem celów, harmonogramu, budżetu oraz wskaźników postępu.
Faza 4: Wdrożenie procesów operacyjnych według cyklu PDCA (12-36 miesięcy). Implementacja przebiega zgodnie z cyklem Plan-Do-Check-Act. W fazie Plan zbiera się dowody, dzieli informacjami o zagrożeniach i planuje inwestycje w odporność. Faza Do obejmuje projektowanie i wdrażanie konkretnych rozwiązań technicznych i organizacyjnych – od zwiększenia wymagań bezpieczeństwa krytycznych komponentów, przez wdrożenie rozwiązań opartych na naturze, po utworzenie wielu ścieżek odporności. Faza Check to testowanie i monitorowanie efektywności wdrożonych rozwiązań. Faza Act koncentruje się na doskonaleniu praktyk, angażowaniu społeczności oraz utrzymaniu infrastruktury i jej środowiska.
Faza 5: Ciągłe monitorowanie i doskonalenie (proces ciągły). Odporność infrastruktury wymaga nieustannego nadzoru, uczenia się z incydentów i near miss events oraz systematycznej aktualizacji strategii w odpowiedzi na zmieniające się zagrożenia i warunki operacyjne.
Typowy czas pełnego wdrożenia kompleksowego systemu zarządzania odpornością infrastruktury na poziomie krajowym lub regionalnym to 24-36 miesięcy, w zależności od rozmiaru i złożoności systemów, liczby interesariuszy oraz dostępnych zasobów. Mniejsze organizacje lub wdrożenia na poziomie lokalnym mogą osiągnąć znaczące rezultaty w krótszym czasie.
Kluczowe czynniki sukcesu to silne przywództwo polityczne i organizacyjne, odpowiednie finansowanie, skuteczna współpraca między sektorami oraz aktywne angażowanie społeczności lokalnych. Typowe pułapki to fragmentacja odpowiedzialności, brak holistycznego spojrzenia na współzależności systemów oraz niedostateczne uwzględnienie długoterminowych trendów.
Podsumowanie
ISO 22372:2025 dostarcza kompleksowe wytyczne dla budowania odporności współczesnej infrastruktury krytycznej w obliczu rosnącej złożoności, współzależności i nieprzewidywalności zagrożeń. Norma wykracza poza tradycyjne podejście sektorowe, oferując framework oparty na sześciu zasadach i cyklu PDCA, który umożliwia systematyczne wzmacnianie systemowej odporności infrastruktury – od energetyki po służby ratunkowe.
Wdrożenie ISO 22372:2025 to inwestycja w bezpieczeństwo społeczeństw, ciągłość usług publicznych oraz zdolność adaptacji do przyszłych wyzwań. Dla organizacji odpowiedzialnych za infrastrukturę to szansa na budowanie pozycji lidera w zarządzaniu odpornością i zaufania interesariuszy.
FAQ: ISO 22372 Odporność infrastruktury krytycznej
1. Czym jest ISO 22372:2025?
ISO 22372:2025 to międzynarodowy standard Security and resilience — Community resilience — Guidelines for infrastructure resilience. Norma dostarcza wytyczne dla organizacji odpowiedzialnych za planowanie, projektowanie, eksploatację i utrzymanie infrastruktury krytycznej, aby zapewnić ciągłość i odporność usług kluczowych dla funkcjonowania społeczeństwa.
2. Kto powinien wdrożyć ISO 22372:2025?
ISO 22372:2025 jest przeznaczona dla wszystkich organizacji mających wpływ na odporność infrastruktury – rządów, regulatorów, operatorów infrastruktury (energetyka, transport, telekomunikacja, wodociągi, służby ratunkowe), projektantów, inwestorów oraz dostawców usług. Szczególnie polecana dla organizacji zarządzających infrastrukturą krytyczną lub współzależnymi systemami usług publicznych.
3. Jakie są główne zasady odporności według ISO 22372:2025?
Norma opiera się na sześciu fundamentalnych zasadach: (1) jasno określone odpowiedzialności i wspólna odpowiedzialność, (2) proaktywna ochrona, (3) zintegrowana z środowiskiem, (4) społecznie zaangażowana, (5) adaptacyjnie transformująca się oraz (6) ciągle ucząca się i doskonaląca. Te zasady powinny być wdrożone w całym cyklu życia infrastruktury.
4. Jak długo trwa wdrożenie ISO 22372:2025?
Typowy czas pełnego wdrożenia kompleksowego systemu zarządzania odpornością infrastruktury na poziomie krajowym lub regionalnym to 24-36 miesięcy. Czas zależy od rozmiaru i złożoności systemów infrastruktury, liczby interesariuszy, dostępnych zasobów oraz stopnia dojrzałości obecnych praktyk zarządzania odpornością.
5. Jaka jest różnica między ISO 22372:2025 a ISO 22301?
ISO 22372:2025 koncentruje się na odporności systemów infrastruktury krytycznej jako całości (energetyka, transport, wodociągi itd.) i jest skierowana do organizacji odpowiedzialnych za planowanie i regulację infrastruktury na poziomie krajowym, regionalnym czy miejskim. ISO 22301 to standard systemów zarządzania ciągłością działania dla pojedynczych organizacji, który pomaga zapewnić kontynuację kluczowych procesów biznesowych po zakłóceniach. ISO 22372 ma szerszy, systemowy zakres i może być komplementarna do ISO 22301..
6. Czy ISO 22372:2025 jest obowiązkowa?
ISO 22372:2025 jest standardem dobrowolnym zawierającym wytyczne (guidelines), nie wymaga certyfikacji. Jednak w niektórych jurysdykcjach wymagania zawarte w normie mogą być włączone do przepisów prawnych dotyczących infrastruktury krytycznej, takich jak Dyrektywa UE w sprawie odporności podmiotów krytycznych. W takich przypadkach spełnienie wytycznych może stać się wymogiem regulacyjnym.
7. Jakie sektory infrastruktury obejmuje ISO 22372:2025?
Norma ma zastosowanie do wszystkich typów infrastruktury krytycznej: telekomunikacja, systemy energetyczne, bankowość i finanse, obronność, łańcuch dostaw żywności, infrastruktura IT, systemy edukacji, transport, dostawy wody i kanalizacja, służba zdrowia, służby ratunkowe (policja, straż pożarna, ratownictwo) oraz inne usługi publiczne kluczowe dla funkcjonowania społeczeństwa.
Bibliografia:
Oficjalne dokumenty:
- ISO 22372:2025 Security and resilience — Community resilience — Guidelines for infrastructure resilience, ISO.org, 2025, https://www.iso.org/standard/85948.html
- ISO 22300:2021 Security and resilience — Vocabulary, ISO.org, 2021, https://www.iso.org/standard/77008.html
- ISO 22301:2019 Security and resilience — Business continuity management systems — Requirements, ISO.org, 2019, https://www.iso.org/standard/75106.html
Publikacje eksperckie:
- UNDRR Principles for Resilient Infrastructure, United Nations Office for Disaster Risk Reduction, 2024, https://www.undrr.org/
- European Commission Directive on the resilience of critical entities (CER Directive), European Commission, 2022, https://eur-lex.europa.eu/
Dodatkowe materiały:
- ISO 22320:2018 Security and resilience — Emergency management — Guidelines for incident management, ISO.org, 2018, https://www.iso.org/standard/67851.html
- Global Infrastructure Resilience Report, World Economic Forum, 2024, https://www.weforum.org/