czwartek, 23 kwietnia 2026
Pixabay
Rozdział 3 ustawy o KSC narzuca na podmioty kluczowe i ważne obowiązki pod względem posiadania systemu zarządzania bezpieczeństwem informacji, wdrożenia odpowiednich środków technicznych i organizacyjnych oraz zarządzania incydentami. Podmioty mają 12 miesięcy, aby przystosować organizacje do wymogów ustawy od dnia spełnienia przesłanek uznania za podmiot kluczowy lub ważny.
Czym jest incydent cyberbezpieczeństwa według ustawy o KSC?
Incydent cyberbezpieczeństwa, w rozumieniu ustawy o KSC, to zdarzenie, które ma lub może mieć negatywny wpływ na bezpieczeństwo sieci i systemów informacyjnych podmiotu kluczowego lub ważnego. Nowelizacja ustawy wprowadza podział na dwie kategorie incydentów – incydent poważny oraz incydent krytyczny.
Jakie są rodzaje incydentów cyberbezpieczeństwa w ustawie o KSC?
Incydent poważny to zdarzenie, które powoduje zakłócenia w działaniu usług kluczowych lub ważnych, lecz nie prowadzi do krytycznych konsekwencji,
Incydent krytyczny to incydent, który powoduje poważne zakłócenia lub całkowite unieruchomienie świadczenia usług, a jego skutki mogą mieć wpływ na bezpieczeństwo publiczne, obronność lub gospodarkę państwa.
Kiedy podmioty muszą zgłaszać incydenty cyberbezpieczeństwa?
Zgodnie z ustawą o KSC, podmioty kluczowe i ważne są zobowiązane do zgłaszania incydentów bezpieczeństwa, które mogą wpłynąć na ich działalność. Nowelizacja ustawy wprowadza szczegółowe wymagania dotyczące klasyfikacji incydentów oraz terminów ich zgłaszania. Odpowiednie i terminowe powiadamianie właściwych organów jest kluczowym elementem skutecznego zarządzania cyberbezpieczeństwem. Każdy podmiot kluczowy i ważny jest zobowiązany do zgłaszania incydentów, które mogą mieć wpływ na:
- świadczenie kluczowych lub ważnych usług,
- bezpieczeństwo publiczne,
- stabilność gospodarki,
- obronność i funkcjonowanie infrastruktury krytycznej.
Jakie są terminy zgłaszania incydentów poważnych i krytycznych?
Prawo nakłada obowiązek zgłaszania incydentów w zależności od ich skali i konsekwencji.
Incydenty krytyczne muszą zostać zgłoszone niezwłocznie, nie później niż w ciągu 24 godzin od momentu ich wykrycia. Incydent krytyczny to taki, który powoduje poważne zakłócenia, unieruchomienie <systemów informatycznych, a jego skutki mogą zagrażać kluczowym sektorom państwa;
Incydenty poważne wymagają wczesnego zgłoszenia w ciągu 24 godzin oraz pełnego zgłoszenia w ciągu 72 godzin od momentu ich wykrycia. Incydenty te powodują pewne zakłócenia w działalności organizacji, jednak nie mają aż tak poważnych konsekwencji jak incydenty krytyczne.
Czy wszystkie incydenty cyberbezpieczeństwa trzeba zgłaszać?
Podmioty nie mają obowiązku zgłaszania incydentów, które nie spełniają kryteriów incydentu poważnego lub krytycznego, ale ich wewnętrzna dokumentacja powinna obejmować rejestr wszystkich incydentów cyberbezpieczeństwa.
Do kogo zgłaszać incydent cyberbezpieczeństwa?
Każdy incydent powinien być zgłoszony do odpowiedniego CSIRT (Computer Security Incident Response Team) – krajowego lub sektorowego, w zależności od charakteru podmiotu i rodzaju zdarzenia:
- CSIRT MON – dla incydentów w systemach informacyjnych Sił Zbrojnych RP,
- CSIRT GOV – dla incydentów w systemach administracji rządowej,
- CSIRT NASK – dla incydentów w systemach podmiotów prywatnych oraz organizacji niepodlegających pod CSIRT MON i CSIRT GOV.
Jak wygląda współpraca z CSIRT i kiedy zgłaszać incydenty międzynarodowe?
Podmioty zobowiązane są także do ścisłej współpracy z sektorowymi CSIRT-ami, które monitorują incydenty w określonych branżach, np. w sektorze finansowym, zdrowotnym, energetycznym czy transportowym. Jeżeli incydent może mieć wpływ na bezpieczeństwo więcej niż jednego państwa członkowskiego UE, podmiot powinien także powiadomić Pojedynczy Punkt Kontaktowy, który koordynuje międzynarodową wymianę informacji. Proces zgłoszenia incydentu powinien być przejrzysty i sformalizowany.
Jakie informacje musi zawierać zgłoszenie incydentu cyberbezpieczeństwa?
W zgłoszeniu należy zawrzeć następujące informacje:
- dane identyfikacyjne podmiotu zgłaszającego:
- nazwa organizacji, NIP, REGON,
- dane kontaktowe osoby zgłaszającej (imię, nazwisko, e-mail, telefon);
- rodzaj incydentu: wskazanie, czy jest to incydent krytyczny czy incydent poważny;
- opis zdarzenia:
- informacje na temat zaobserwowanego ataku,
- rodzaj podejrzanej aktywności (np. ransomware, atak DDoS, phishing),
- możliwe źródło zagrożenia (np. podejrzane adresy IP, nietypowe logowania);
- wpływ na organizację:
- czy doszło do przerwy w świadczeniu usług,
- jakie systemy zostały dotknięte incydentem,
- czy nastąpił wyciek danych lub naruszenie integralności systemów;
- podjęte działania zaradcze:
- czy systemy zostały wyłączone lub odizolowane,
- czy zastosowano kopie zapasowe,
- jakie dodatkowe zabezpieczenia zostały wdrożone;
- potrzebne wsparcie: czy organizacja wymaga pomocy CSIRT w zakresie analizy zdarzenia lub reakcji na incydent.
Co zrobić po zgłoszeniu incydentu cyberbezpieczeństwa?
Po zgłoszeniu incydentu organizacja powinna utrzymywać stały kontakt z CSIRT, który może żądać dodatkowych informacji lub wytycznych dotyczących dalszych działań, aktualizować zgłoszenie, jeśli w toku analizy pojawią się nowe istotne informacje oraz dostosować działania naprawcze zgodnie z rekomendacjami CSIRT. Podmiot jest także zobowiązany do prowadzenia wewnętrznej dokumentacji wszystkich incydentów i ich obsługi. Dokumenty te powinny być przechowywane przez co najmniej dwa lata i mogą być wymagane podczas audytu przeprowadzanego przez organy właściwe do spraw cyberbezpieczeństwa.
Artykuł pochodzi z książki:
NIS2 w Polsce. Jak przygotować firmę na nowe wymogi cyberbezpieczeństwa
Autor
Michał Zdunowski
Ekspert w dziedzinie cyberbezpieczeństwa, zarządzania ryzykiem oraz regulacji cyfrowych, z ponad 15-letnim doświadczeniem w sektorze bezpieczeństwa informacji. Specjalizuje się w praktycznym wdrażaniu wymagań regulacyjnych oraz budowaniu systemów zarządzania bezpieczeństwem informacji w organizacjach o różnej skali działania.
Jest założycielem firmy IS Consulting, która wspiera organizacje w obszarze cyberbezpieczeństwa, zgodności regulacyjnej oraz budowy zdolności operacyjnych w zakresie zarządzania incydentami i odporności cyfrowej. W swojej pracy koncentruje się szczególnie na przekładaniu wymagań regulacyjnych na wykonalne działania operacyjne w organizacjach. Brał udział w licznych projektach doradczych, audytowych i szkoleniowych związanych z cyberbezpieczeństwem, a także w inicjatywach dotyczących rozwoju kompetencji oraz standardów bezpieczeństwa w Europie.
W swoich publikacjach i działaniach public policy koncentruje się na wykonalności regulacji w praktyce, szczególnie w kontekście mikro-, małych i średnich przedsiębiorstw.