Wróć do wszystkich wpisów
Aktualności
8 minuty

Ochrona reputacji i zarządzanie ryzykiem podczas cyberzagrożeń

Łukasz Zając

Dyrektywa NIS 2 i ustawa KSC stawia przed firmami nowe wyzwania w komunikacji i ochronie reputacji związanej z obszarem cyberbezpieczeństwa. Zobacz to w szerszym kontekście. Zainwestuj w profesjonalny PR.

Jak przygotować się do cyberataku? Co zrobić, jak już jestem zhakowany? Kto odpowie na pytania dziennikarzy o dane klientów i sytuację firmy? Jak spokojnie odbierać telefon od prezesa lub szefa IT podczas cyber szantażu? Jak nie dowiadywać się o własnym incydencie ze wpisu w serwisie Niebezpiecznik?

Rozwiązaniem jest posiadanie systemu zarządzania bezpieczeństwem informacji. Taki system jest strategią na rzecz optymalizacji ryzyk związanych z naruszeniem poufności i bezpieczeństwa informacji. Oczywiście to wymaga wysiłku firmy. To przejście audytu, przygotowań, zbudowania zespołu, zarządzania ryzykiem i zdobycia certyfikacji. Po co? Organizacja zwiększa swoją odporność, zapewniając ciągłość działania, minimalizując możliwe straty (także wizerunkowe i reputacyjne) i utrzymując zwrot z inwestycji – w przypadku naruszeń – o charakterze cyberataków. 

 

Kryzysy nadchodzą dziś częściej, szczególnie w postaci zagrożeń hybrydowych

Obszar reagowania na zagrożenia bezpieczeństwa to nie tylko aspekty sprzętu, rozwiązań organizacyjnych czy fizycznego bezpieczeństwa danych. Należy również stworzyć plany (procedury/podręczniki) komunikacji kryzysowej. Dzięki nim, firma (każda organizacja) może lepiej chronić swoją wiarygodność, markę i wypracowaną reputację. A to wpływa na zaufanie, wartość firmy i ocenę otoczenia biznesowego oraz społecznego.

Definicje kryzysów

W dokumencie ENISA – europejskiej agencji zajmującej się cyberochroną czytamy:

Kryzys to „nienormalne lub nadzwyczajne zdarzenie lub sytuacja, która zagraża organizacji lub społeczności i wymaga strategicznej, adaptacyjnej oraz terminowej reakcji w celu zachowania jej żywotności i integralności” [Norma  ISO 22361: Security and resilience – Crisis management – Guidelines].

Kryzys można również szeroko zdefiniować jako „nadzwyczajne zdarzenie, które odbiega od normy i wiąże się z poważnymi zakłóceniami lub ryzykiem zakłócenia żywotnych funkcji społecznych”.

Bardziej szczegółowa definicja określa kryzys jako:

 „poważne zagrożenie dla podstawowych struktur lub fundamentalnych wartości i norm systemu, które w warunkach presji czasu i dużej niepewności wymusza podejmowanie kluczowych decyzji”. 

Kompleksowe ujęcie definicji kryzysu

Kryzys to „zdarzenie, które dotyka wielu ludzi oraz znacznej części społeczeństwa i zagraża podstawowym wartościom oraz funkcjom. Kryzys jest stanem, którego nie można opanować przy użyciu zwykłych zasobów i struktur organizacyjnych. Jest on nieoczekiwany, daleki od tego, co zwyczajne i przyziemne. Rozwiązanie kryzysu wymaga skoordynowanych działań wielu podmiotów/aktorów”. 

Kryzys a kwestia czasu

Wrażliwość na czas (time sensitivity) jest istotna dla zrozumienia natury kryzysu. 

  • Kryzys pełzający (creeping crisis) który tli się poza zasięgiem monitoringiem władz, zanim nagle i niespodziewanie wybuchnie;
  • Kryzys ostry (acute crisis), który jest nagły, nieprzewidziany i może mieć potężny wpływ w bardzo krótkim czasie;
  • Kryzys nawracający (recurring crisis), który występuje regularnie jako część cyklu.

Firmy, organizacje, instytucje zazwyczaj konfrontują się z kryzysem – to tylko kwestia czasu. Część z nich radzi sobie dobrze, inne są poturbowane przez straty finansowe, rynkowe czy reputacyjne.

Jak przygotować się na kryzys od strony zarządzania komunikacją w celu ochrony reputacji? Dlaczego uwzględniać aspekt public relations w ochronie przed cyberzagrożeniami?

Niestety, jeszcze dalej pokutuje stwierdzenie, że public relations zajmuje się „koloryzowaniem” rzeczywistości i ogłaszaniem sukcesów. To uproszczenie nie pokazuje, że główną rolą kompetentnych specjalistów PR, jest budowanie profesjonalnej komunikacji z otoczeniem. W celu utrzymywania lub zwiększania wartości rynkowej organizacji.

Najpierw jest to własna organizacja (tzw. komunikacja wewnętrzna, czyli co robić, czego nie robić – żeby pracownicy byli poinformowani pierwsi i rozumieli kierunek, w którym zmierza organizacja), następnie komunikacja zewnętrzna z bardzo wieloma interesariuszami. 

Gdy marketing skupia się wyłącznie na klientach, PR ma docierać z informacją na czas do: partnerów, dostawców, regulatorów, społeczności lokalnej i władz, organizacji branżowych i NGO, urzędów, rządu, organizacji międzynarodowych i tu już każdy się domyśla – do mediów.

W przypadku kryzysu związanego z wyciekiem danych, blokadą aktywów firmy (szyfrowanie dysków), wyłączeniem infrastruktury, zmianą parametrów w systemach przemysłowej automatyki, czy generowaniem masowych kampanii atakujących systemy teleinformatyczne lub generujące setki deep-fake, organizacja musi mieć profesjonalne ścieżki zarządzania informacją podczas kryzysu.

Co profesjonalny PR wnosi do komunikacji w trakcie cyberkryzysu?

  • Informuje na czas interesariuszy o statusie sprawy, ryzykach i rozwiązaniach dla poszkodowanych i pracowników
  • Dostarcza klarowne i zrozumiałe informacje dla mediów i obywateli
  • Uspokaja rynek, kurs akcji (giełda) i monitoruje wzmianki medialne
  • Przygotowuje zarząd i rzeczników do szybkiej i odpowiedzialnej komunikacji
  • Wspiera decyzje biznesowe, czyli wchodzi do grona odpowiedzialnego za compliance procesów w organizacji
  • Prowadzi działania edukacyjne względem interesariuszy wewnętrznych i zewnętrznych. Mówiąc inaczej: mówi po ludzku – co się stało, co z tego wynika, co będzie zmienione i jakie są dalsze plany

Strategia komunikacji spójna z systemem bezpieczeństwa informacji

Opracowanie strategii komunikacji musi posiadać kluczowe elementy. Oto one:

  1. Jasne i spójne formy przekazu (co komunikujemy, kto i kiedy to robi, posiadanie przygotowanych wcześniej oświadczeń i planów reagowania)
  2. Określenie kluczowych interesariuszy 
  3. Skala priorytetów 
  4. Znaczenie czasu
  5. Kanały komunikacji
  6. Monitoring i feedback

Czytamy w Best Practices for Cyber Crisis Management/dokument ENISA – „strategia komunikacji kryzysowej definiuje zasady przekazywania jasnego komunikatu we właściwym czasie. W domenie cybernetycznej wyzwaniem jest proaktywna komunikacja, aby zapobiec wątpliwościom w  opinii publicznej, mimo że identyfikacja przyczyn i skutków incydentu jest zawsze obarczona niepewnością. 

Niezależnie od organizacji zarządzania kryzysowego, należy wyznaczyć kompetentną jednostkę lub departament do koordynacji czasu i treści komunikatów w celu zachowania spójnego przekazu. 

Eksperci ds. komunikacji powinni uczestniczyć we wszystkich spotkaniach, na każdym etapie i na wszystkich szczeblach, aby przyczynić się do zarządzania kryzysem. 

Kluczowe jest zatem wcześniejsze przydzielenie ról w celu wyjaśnienia zadań komunikacyjnych każdego aktora rządowego. 

Biorąc pod uwagę złożoność kwestii cybernetycznych, istotne wydaje się, aby wyznaczeni komunikatorzy biegle posługiwali się słownictwem technicznym, gdyż wyzwaniem jest zrozumienie przez opinię publiczną zawiłości kryzysu cybernetycznego. 

Muszą oni być w stanie skutecznie odpowiadać na prośby o informacje, zarówno wewnętrzne, jak i zewnętrzne. Jeśli chodzi o terminy i treść, celem jest jak najszybsze poinformowanie opinii publicznej o tym, co jest wiadome, co nie jest jeszcze znane i jakie środki zostały podjęte. 

Dopóki nie ma pewności, że kryzys jest wynikiem celowego działania, należy w miarę możliwości unikać odnoszenia się do potencjalnych przyczyn, czasu trwania i skali”.

 

Kluczowe jest, aby komunikacja była proaktywna i przejmowała inicjatywę, 
ale nie w pośpiechu. 
Należy za wszelką cenę unikać kłamstw, milczenia lub pasywności.

 

Kryzysy wizerunkowe, w tym medialne o znacznym wpływie na reputację organizacji, są dziś obecne przede wszystkim w internecie. Jak radzić sobie z nimi? Istotne jest rozpoznanie samej natury kryzysu. Nie tylko treści, psychologii, timingu, ale pewnych powtarzalnych zachowań bohaterów tych wydarzeń.

Czym są kryzysy online?

“Kryzys online to wystąpienie w sieci internetu niekontrolowanych zdarzeń i treści, które mają lub mogą mieć realny oraz istotny niekorzystny wpływ na stabilność reputacji, pozycji rynkowej czy społecznej danej osoby, organizacji, instytucji lub firmy i jej marek”. [Adam Łaszyn, e-Kryzys: 16].

 

"Kryzysy karmią się błędami. Największe kryzysy to festiwale błędów". (Adam Łaszyn)

 

Rozumienie kryzysu ma kluczowe znaczenie. Sposób, w jaki jest on odbierany, determinuje dalsze działania – lub ich brak. W schemacie percepcji kryzysowej wyróżnia się najważniejsze role: aktorzy – w tym: dobrzy, źli i ofiara [zob. E-Kryzys, Adam Łaszyn]. „Aby historia wzbudzała ciekawość ludzi, musi w niej istnieć wyrazisty podział ról – DOBRY bohater i ZŁY bohater – pomiędzy którymi rozgrywa się konflikt”.

Schemat ten, sięgający czasów Szekspira – to słynny trójkąt dramatyczny. Uczy, że w komunikacji kryzysowej trzeba unikać wpisania się w rolę „złego” w całej historii. 

W tym trójkącie rola „dobrego” przypada autorowi relacjonującemu kryzys – sygnaliście, dziennikarzowi, mediom czy autorowi wpisu w sieci. On opisuje cierpienia ofiary i staje po jej stronie.

Co istotne, „ofiara” nie zawsze jest realnie poszkodowana – raczej wynika to z przypisanej jej roli w narracji kryzysowej. Ostatecznie jednak jawi się jako skrzywdzona, tworząc fakt medialny. Pamiętaj o tym.

Jaki cykl ma kryzysy wizerunkowy?

Przebieg kryzysu ma także określone fazy – opisane w tzw. cyklu kryzysu wizerunkowego (zob. e-Kryzys: 24) . Występuje w nim:

  1. Rozdanie ról
  2. Eskalacja (zenit emocji)
  3. Przezwyciężenie (udane lub nie)
  4. Wstrząs wtórny
  5. Świat zapomina

Kryzys poza cyklem eskalacji, ma również określone etapy (Crisis Communication Lifecycle)

FAZA WSTĘPNA

Kryzys wizerunkowy rozpoczyna się wstępną fazą. Mogą to być pojawiające się plotki, skargi, ataki konkurencji, negatywne opinie w social mediach.

Na tym etapie, można jest wcześniej zauważyć pojawiające się sygnały, wykorzystując monitoring treści, analizę tendencji branżowych lub wewnętrznych działań organizacji (np. obserwacja wewnętrznego konfliktu w organizacji).

Tu jeszcze można podjąć interwencję, która złagodzi kryzys lub sprowadzi go do incydentu (wydarzenia niekorzystnego, ale o małej skali lub wpływie na organizację). To czas na spotkanie zespołu kryzysowego lub cykliczne informowanie zarządu i odpowiednich komórek w firmie jak: handlu, compliance, marketingu, bezpieczeństwa, jakości etc.

FAZA ESKALACJI

Faza eskalacji – wybuch. Informacje pojawiają się w przestrzeni publicznej (media, komentarze, przedruki). Szybko się rozchodzą. Powodują skupienie uwagi na organizacji i jej aktorach (właściciele, decydenci i partnerzy …).

W tym momencie, warto intensywnie monitorować sytuację i wydawać oświadczenia – ważne – aby były na czas.

FAZA OSŁABIENIA

Kolejna faza, to osłabienie sytuacji kryzysowej. Dzieje się tak, gdy zostały podjęte odpowiedzialne i proaktywne działania z zakresu deeskalcji sytuacji kryzysowej. Lub kryzys okazał się niegroźnym incydentem. To również okres na naprawienie spraw lub wdrożenie planu naprawczego określonego w skutkach i celach. Prowadź tu stały dialog z interesariuszami i monitoruj dalej sytuację.

W tym okresie, kryzys może jeszcze powracać, ale z osłabioną siłą.

FAZA OCENY I NAPRAWY

Ostatni etap to ocena skutków, wdrożenia mechanizmów naprawczych i przygotowanie zmian systemowych. Także działania zmierzające do odbudowania reputacji i sytuacji poszkodowanych.

Przyczyny sytuacji kryzysowych

Przyczyny wewnętrzne, mające źródło w samej organizacji, strukturze organizacyjnej

  • wypadki przy pracy
  • spory i konflikty pracowników (strajk, mobbing)
  • błędy pracowników
  • przestępstwa i nadużycia
  • błędy w komunikacji
  • kłopoty finansowe
  • awarie techniczne

Przyczyny zewnętrzne

  • nieprawdziwe informacje o firmie pojawiające się w mediach lub social mediach
  • antypatia wobec firmy wynikająca z konfliktu właścicieli z rynkiem
  • nieetyczne działania konkurencji
  • konflikty z bezpośrednimi interesariuszami
  • oskarżenia wobec firmy (tło produktowe, usługowe, niedotrzymywanie umów)
  • problemy z partnerami biznesowymi

Warto zaznaczyć również rodzaje kryzysów w zależności od publiki (grup docelowych). Badacz i praktyk PR – Dariusz Tworzydło [2017: 168] wymienia:

  • kryzys personalny
  • kryzys medialny
  • kryzys inwestycyjny
  • kryzys kliencki
  • kryzys społeczny

Jak przygotować się na kryzys wizerunkowy?

Organizacja powinna posiadać kluczowe zdolności i zasoby do opanowania kryzysu. Najczęściej – w zarządzaniu organizacją oraz literaturze przedmiotu, wymienia się tu:

  • opracowanie podręcznika kryzysowego (crisis manual) i jego aktualizacja np. co 6 miesięcy
  • funkcjonujący sztab kryzysowy (podział ról, zadań, gotowość)
  • system szkoleń z komunikacji kryzysowej, w tym symulacje np. warsztat “war-room”
  • kompetentny zespół specjalistów PR (nie zawsze wystarczy rzecznik prasowy)
  • sygnalizowanie incydentów oraz szans na proaktywną komunikację na szczeblu zarządu i dyrekcji
  • cykliczne analizowanie kryzysów w branży, szczególnie u konkurencji.

Zob. Zarządzanie kryzysem w polskich przedsiębiorstwach, Dariusz Tworzydło, Adam Łaszyn, Przemysław Szuba, podsumowanie badań, 2018: 10]. Opis rozbudowany o uwagi autora.

Zarządzanie ryzykiem i ciągłość działania organizacji

Pisząc to opracowanie, konsultowałem się z ekspertem compliance, który słusznie przypomniał, że obszar zarządzania kryzysowego znajduje się również w dokumencie/normie związanej z zarządzaniem ciągłością organizacji tzw. Business Continuity Plans (BCP). W tym zakresie występuje rekomendacja do budowania narzędzi reagowania na sytuacje kryzysowe: są to zarówno procedury jak i zasoby i regularne ćwiczenia pracowników [Czytaj więcej nt. międzynarodowego standardu ISO 22301 i paradygmatu ciągłego doskonalenia PDCA (Plan-Do-Check-Act)].

Wnioski

W okresie wdrażania NIS2 i rosnącego ryzyka cyberzagrożeń ochrona reputacji stała się nieodłącznym elementem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO 27001. Certyfikacja nie tylko minimalizuje ryzyka poufności i zapewnia ciągłość biznesu, ale także integruje procedury komunikacji kryzysowej – od planów reagowania na incydenty, przez odpowiedź dla mediów, po proaktywny dialog z interesariuszami.

Kryzys, definiowany jako nagłe zdarzenie zagrażające integralności organizacji, wymaga strategicznego PR: informowania na czas, klarownych komunikatów dla mediów i uspokajania rynku. Profesjonalny specjalista wnosi edukację, compliance i monitoring, unikając błędów jak milczenie czy agresja w schemacie percepcji (trójkąt dramatyczny).

Cykl kryzysu wizerunkowego – od fazy wstępnej (monitoring treści), przez eskalację i deeskalację, po ocenę – podkreśla potrzebę zespołu kryzysowego, podręcznika i symulacji. Przyczyny wewnętrzne (błędy, awarie, zaniedbania) czy zewnętrzne (ataki online, szantaż, deepfake) karmią się brakiem przygotowania, dlatego kluczowe jest cykliczne analizowanie branżowych przypadków.

Wdrożenie NIS2 z kaskadowym modelem zgłaszania (CSIRT w 24h, S46) obliguje do spójnej komunikacji. Organizacja odporna to ta z kompetentnym public relations, gotowa przejąć narrację: nie koloryzować, lecz działać odpowiedzialnie – chroniąc reputację przed cyberkryzysami, które są nieuniknione, lecz można się do nich przygotować.

Autor: Łukasz Zając

Kontakt: l.z@lukaszzajac.com

 

Bibliografia:

e-Kryzys, Adam Łaszyn,  wydanie 1,2 2020

Best Practices for Cyber Crisis Management. European Union Agency for Cybersecurity (ENISA), 2024 

Zarządzanie kryzysem w polskich przedsiębiorstwach, Dariusz Tworzydło, Adam Łaszyn, Przemysław Szuba, podsumowanie badań, 2018

Ustawa NIS 2 i KSC (2026)

NASK, Cyberpolicy 

 

Zgłaszanie incydentów a komunikacja kryzysowa i media relacje

​​”Nowelizacja ustawy NIS2 wprowadza jednocześnie kaskadowy model zgłaszania incydentów.

  • Pierwszym punktem kontaktu są CSIRT sektorowe. Niezależnie od tego CSIRT sektorowy ma ustawowy obowiązek przekazać każde wczesne ostrzeżenie, zgłoszenie i sprawozdanie z obsługi incydentu poważnego do właściwego CSIRT krajowego (NASK, GOV lub MON) niezwłocznie, nie później niż w ciągu 8 godzin.

Wprowadzono rozróżnienie na informacje dot. incydentów poważnych, których obowiązek przekazywania do CSIRT sektorowych mają podmioty: wczesne ostrzeżenie w ciągu 24 godzin od wykrycia, pełne zgłoszenie w 72 godziny oraz sprawozdania okresowe i końcowe. 

  • Całość komunikacji, w tym obsługa incydentów oraz przekazywanie informacji, ma być realizowana za pośrednictwem centralnego systemu teleinformatycznego (S46), którego użycie staje się obligatoryjne, a niekorzystanie z niego naraża podmiot na kary”.

NASK: luty/ 2025

 

Czytaj także: Dlaczego cyber potrzebuje public relations?

 

Sprawdź również Artykuły powiązane
cover
Aktualności
6 minut

Ochrona reputacji i zarządzanie ryzykiem podczas cyberzagrożeń

Dyrektywa NIS 2 i ustawa KSC stawia przed firmami nowe wyzwania w komunikacji i ochronie reputacji związanej z obszarem cyberbezpieczeństwa. Zobacz to w szerszym kontekście. Zainwestuj w profesjonalny PR. Jak przygotować się do cyberataku? Co zrobić, jak już jestem zhakowany? Kto odpowie na pytania dziennikarzy o dane klientów i sytuację firmy? Jak spokojnie odbierać telefon od prezesa lub szefa IT podczas cyber szantażu? Jak nie dowiadywać się o własnym incydencie ze wpisu […]

Przeczytaj cały artykuł
cover
Aktualności
6 minut

Nowa i lepsza definicja PR!

„Public relations to strategiczna dyscyplina zarządzania, która buduje zaufanie, wzmacnia reputację oraz wspiera liderów w interpretowaniu złożoności i zarządzaniu zmiennością – dostarczając mierzalne rezultaty, w tym zaufanie interesariuszy, długoterminowe tworzenie wartości oraz wzrost komercyjny”. Public Relations and Communications Association (PRCA) – to renomowana międzynarodowa organizacja branży PR.   Komentarz Łukasz Zająca: – PR był dla mnie zawsze czymś strategicznym. Wynika to z prostego faktu: żeby o czymś opowiadać […]

Przeczytaj cały artykuł
napisz do mnie l.z@lukaszzajac.com
Wynajmij mnie

© 2013-2026. Łukasz Zając PR. All rights reserved. Realizacja projektu: Igor Chudy

facebook-icon