• strona główna
  • Jak zgłaszać incydenty cyberbezpieczeństwa zgodnie z NIS2?

Jak zgłaszać incydenty cyberbezpieczeństwa zgodnie z NIS2?

Zgłaszanie incydentów to nie tylko dobra praktyka – to prawny obowiązek wynikający z dyrektywy NIS2 i krajowej ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Dla wielu firm, zwłaszcza tych dopiero wchodzących w zakres regulacji, ten proces wciąż budzi stres i lęki przed konsekwencjami.

W tym artykule pokazujemy krok po kroku, jak prawidłowo zgłaszać incydenty, czym różni się zwykła awaria od “incydentu poważnego”, jakich zdarzeń nie trzeba zgłaszać oraz jakie dane kontaktowe są obecnie aktywne dla sektorów w Polsce.

Czym jest incydent w rozumieniu NIS2?

W kontekście NIS2 definicja incydentu jest szeroka. Pod dyrektywę NIS2 podpadają zdarzenia, które mają negatywny wpływ na bezpieczeństwo sieci i systemów informacyjnych. Kluczowe jest tutaj ryzyko dla dostępności, integralności lub autentyczności przechowywanych lub przesyłanych danych.

Technicznie rzecz biorąc, incydent to każde zdarzenie naruszające te parametry. Jednakże – co kluczowe dla firm – nie każdy incydent musi być zgłaszany do CSIRT w trybie alarmowym.

Kiedy mamy do czynienia z “Incydentem Poważnym”?

Obowiązek raportowania w ustawie KSC (wdrażającej NIS2) dotyczy wyłącznie incydentów poważnych. Informatyk w firmie musi dokonać wstępnej klasyfikacji zdarzenia. Incydent uznaje się za poważny, jeśli:

  1. Powoduje lub może spowodować dotkliwe zakłócenia operacyjne usług lub znaczne straty finansowe (np. usługa niedostępna dla klientów dłużej niż określone progi sektorowe).
  2. Wpływa na bezpieczeństwo osób fizycznych, powodując znaczne szkody (zagrożenie życia lub zdrowia).
  3. Skuteczny, złośliwy dostęp do systemów administracyjnych.
  4. Wyciek tajemnic przedsiębiorstwa lub danych wrażliwych.
  5. Wielokrotne incydenty (2+ w ciągu 6 miesięcy) powodujące straty powyżej 500 tys. EUR.

Czego NIE trzeba zgłaszać (Praktyczne przykłady)

Wiele firm wpada w panikę z powodu drobnych awarii. Nie są one “incydentami poważnymi” i nie wymagają zgłoszenia w 24 godziny. Przykłady zdarzeń niewymagających raportowania:

  • Awaria jednego komputera pracownika (pod warunkiem, że usługa kluczowa działa).
  • Tymczasowy spadek wydajności sieci (bez utraty dostępu do usług).
  • Pojedyncze błędne próby logowania użytkownika.
  • Planowe testowanie systemów obrony (pentesty) wewnątrz organizacji.

Jeśli masz wątpliwości czy zdarzenie jest “poważne” – zalecane jest skonsultowanie się z właściwym CSIRT. Jeśli zdarzenie jest bagatelne, CSIRT sam o tym poinformuje.

Różnica między naruszeniem a incydentem

Warto odróżnić pojęcia RODO (GDPR) i NIS2, ponieważ są to dwa odrębne reżimy prawne:

  • Naruszenie ochrony danych (RODO): Koncentruje się na osobach fizycznych. Zgłaszasz je do UODO, jeśli wyciekły dane osobowe.
  • Incydent cyberbezpieczeństwa (NIS2): Koncentruje się na usługach i infrastrukturze. Zgłaszasz go do CSIRT, jeśli przerwano ciągłość działania usługi lub zagrożono bezpieczeństwo sieci.

Wskazówka: Zdarzenie ataku ransomware często jest jednocześnie incydentem NIS2 (brak usługi) i naruszeniem RODO (dane osobowe zaszyfrowane). W takim przypadku musisz dopełnić obowiązków wobec obu organów.

Kto i kiedy musi zgłosić incydent?

Obowiązek raportowania spoczywa na podmiotach kluczowych (critical) i podmiotach ważnych (important), czyli tych zdefiniowanych w ustawie o KSC. Mikroprzedsiębiorstwa i małe firmy (z kilkoma wyjątkami) są z tego obowiązku wyłączone.

Czas na reakcję – zasada 24h/72h (tylko dla incydentów poważnych)

Dyrektywa NIS2 wdrożona w Polsce narzuca dwuetapowy system raportowania wyłącznie dla tych zdarzeń, które zakwalifikowaliśmy jako “poważne”:

Wczesne ostrzeżenie (Early Alert) – w ciągu 24 godzin:

  1. Musisz poinformować wyznaczony organ (CSIRT), że doszło do incydentu poważnego. To dopiero sygnał “SOS”. Nie musisz w tym momencie znać wszystkich szczegółów, ale musisz zgłosić fakt zdarzenia.

Szczegółowy raport (Incident Notification) – w ciągu 72 godzin:

  1. Masz czas na analizę sytuacji. W tym terminie musisz złożyć raport zawierający informacje o wpływie na usługi, przyczynach (o ile znanych) oraz środkach zaradczych.

Obowiązki dla „ważnych” i „krytycznych” podmiotów

Podmioty kluczowe i ważne są traktowane analogicznie w kwestii terminów (24h/72h), jednak podmioty kluczowe mogą podlegać głębszemu nadzorowi ze strony CSIRT GOV (Krajowego Zespołu Reagowania na Incydenty Komputerowe) i są zobowiązane do bardziej rygorystycznych procedur zarządzania ryzykiem.

Jak przebiega zgłoszenie?

Proces zgłoszenia w Polsce jest zautomatyzowany i odbywa się elektronicznie, choć w sytuacjach awaryjnych wymagane jest też bezpośrednie powiadomienie telefoniczne. Poniżej znajdują się zweryfikowane, aktualne dane kontaktowe dla głównych sektorów (stan na styczeń 2026).

CSIRT GOV (Agencja Bezpieczeństwa Wewnętrznego)

  • Dla kogo: Ogólny sektor, służby zdrowia, zaopatrzenie w wodę, podmioty niezaliczone do innych specjalizacji.
  • Formularz online: Dostępny na www.csirt.gov.pl w zakładce “Zgłaszanie incydentu”.
  • E-mail: Wysyłka przez formularz (adres maskowany).
  • Dyżurny 24/7: +48 22 585 93 73
  • Faks: +48 22 585 88 33

CSIRT NASK (CERT.pl – Polska Centralna Jednostka Koordynacyjna)

  • Dla kogo: Operatorzy telekomunikacyjni, dostawcy usług zaufania, sektor internetowy.
  • E-mail: cert@cert.pl
  • Formularz online: incydent.cert.pl
  • System S46: Dostępny dla podmiotów podłączonych do systemu teleinformatycznego administracji.

CSIRT KNF (Komisja Nadzoru Finansowego)

  • Dla kogo: Sektor finansowy (banki, SKOK-i, ubezpieczyciele).
  • E-mail: csirt@knf.gov.pl
  • WAŻNE (DORA): Od 17 stycznia 2025 roku obowiązuje Rozporządzenie DORA, które zmienia kanał komunikacji i formularz raportowania dla podmiotów finansowych. Jeśli masz problemy z nowym kanałem DORA, użyj emailu: csirt@knf.gov.pl.

CSIRT MON (Ministerstwo Obrony Narodowej)

  • Dla kogo: Sektor obronny.
  • Kontakt: Dane nie są publicznie dostępne. Zgłoszenia kierowane są przez System S46 lub wojskowe kanały komunikacji.

Co zawiera zgłoszenie?

W pierwszym etapie (Alert 24h) informacje mogą być zminimalizowane:

  • Kto zgłasza (nazwa podmiotu).
  • Kontakt do osoby odpowiedzialnej w firmie.
  • Wstępna klasyfikacja incydentu (np. atak DDoS, malware).

W drugim etapie (Raport 72h) wymagane są szczegóły:

  • Opis techniczny incydentu.
  • Oszacowanie wpływu na usługi i klientów (czas niedostępności).
  • Kraj pochodzenia ataku (jeśli znany).
  • Środki zaradcze podjęte do odzyskania stabilności.

Co grozi za brak zgłoszenia?

Nowelizacja ustawy o KSC wprowadziła wysokie kary za niedopełnienie obowiązków raportowania.

  • Kary dla podmiotów: Podmioty ważne mogą zapłacić do 10 mln EUR (lub 2% globalnego obrotu), a podmioty kluczowe do 20 mln EUR (lub 4% obrotu).
  • Kary dla zarządu: Osoby fizyczne zarządzające podmiotem (członkowie zarządu, dyrektorzy) mogą zostać ukarane grzywną sięgającą 600% ich miesięcznego wynagrodzenia za rażące zaniedbania w nadzorze nad procesem raportowania.

Wniosek: Niezawiadomienie o poważnym incydencie w terminie 24 godzin jest tak samo ryzykowne, jak posiadanie słabych zabezpieczeń. Warto zatem zawczasu przygotować w firmie listę numerów alarmowych CSIRT i procedurę, która w momencie kryzysu uruchamia proces powiadamiania zgodnie z zasadą 24h/72h.