Reagowanie na incydenty według NIS2: co zrobić w pierwszych 24 godzinach
What you need to know: Reagowanie na incydenty według NIS2: co zrobić w pierwszych 24 godzinach
NIS2 wymaga wczesnego ostrzeżenia w ciągu 24 godzin od istotnego incydentu. Ten przewodnik omawia pełny harmonogram zgłaszania, kryteria uznania incydentu za „istotny”, kogo powiadomić oraz jak zbudować listę kontrolną reagowania, którą zespół wykona pod presją.
Gdy dochodzi do istotnego incydentu cyberbezpieczeństwa, to pierwsze 24 godziny decydują, czy organizacja ograniczy szkody, czy je pogłębi. Zgodnie z dyrektywą NIS2 (dyrektywa 2022/2555) pierwsze 24 godziny niosą również twardy obowiązek prawny: wczesne ostrzeżenie skierowane do krajowego CSIRT lub właściwego organu.
Ten przewodnik omawia pełny harmonogram zgłaszania według NIS2, definicję istotnego incydentu oraz sposób zbudowania listy kontrolnej reagowania, którą zespół faktycznie wykona pod presją.
Trzyetapowy harmonogram zgłaszania (art. 23)
NIS2 ustanawia trzyetapowe ramy zgłaszania ze sztywnymi terminami:
| Etap | Termin | Czego wymaga | |-------|----------|-----------------| | Wczesne ostrzeżenie | 24 godziny | Powiadomienie, że wystąpił istotny incydent | | Zgłoszenie incydentu | 72 godziny | Wstępna ocena z określeniem dotkliwości i wskaźników naruszenia integralności systemu | | Sprawozdanie końcowe | 1 miesiąc | Pełne sprawozdanie techniczne i administracyjne |
Terminy te biegną od chwili, gdy organizacja dowiedziała się o incydencie — a nie od momentu uznania go za istotny. Jeśli podejrzewasz istotny incydent, zegar 24 godzin zaczyna tykać.
Co czyni incydent „istotnym”
Nie każde zdarzenie bezpieczeństwa uruchamia obowiązek zgłoszenia według NIS2. Obowiązek dotyczy „istotnych incydentów”. Art. 23 ust. 3 definiuje istotny incydent jako taki, który:
- Spowodował lub może spowodować poważne zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu; lub
- Wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe lub niemajątkowe.
Motyw 101 podaje dodatkowy kontekst: do czynników należą liczba dotkniętych użytkowników, czas trwania, zasięg geograficzny, charakter dotkniętej usługi oraz znaczenie systemowe podmiotu.
W praktyce zadaj sobie pytanie: czy ten incydent zakłócił usługę, którą jesteśmy zobowiązani świadczyć? Czy może spowodować znaczne szkody finansowe lub wizerunkowe? Czy wpływa na klientów, dostawców lub infrastrukturę krytyczną? Jeśli na którekolwiek z tych pytań odpowiedź brzmi „tak”, traktuj incydent jako istotny do czasu, aż ustalisz inaczej.
Kogo powiadomić
NIS2 wymaga powiadomienia krajowego CSIRT (zespołu reagowania na incydenty bezpieczeństwa komputerowego) lub właściwego organu. Każde państwo członkowskie UE wyznacza te podmioty — nie są one tym samym co krajowy organ ochrony danych (DPA).
Kluczowe kontakty krajowe:
- Polska: CSIRT NASK / CSIRT GOV / CSIRT MON (zależnie od sektora podmiotu)
- Niemcy: BSI (Bundesamt für Sicherheit in der Informationstechnik)
- Francja: ANSSI (Agence nationale de la sécurité des systèmes d'information)
- Austria: CERT.at
- Holandia: NCSC-NL
- Irlandia: NCSC Ireland
Sprawdź portal zgłoszeniowy swojego organu krajowego. Większość udostępnia internetowe formularze zgłaszania incydentów. Zarejestruj się przed incydentem — a nie w jego trakcie.
Co musi zawierać 24-godzinne wczesne ostrzeżenie
24-godzinne wczesne ostrzeżenie nie wymaga pełnej analizy technicznej. Art. 23 ust. 4 lit. a) określa trzy elementy:
- Że wystąpił istotny incydent (lub że jest on podejrzewany).
- Czy istnieje podejrzenie, że został on spowodowany działaniem bezprawnym lub o złośliwym charakterze — nie potrzebujesz pewności, wystarczy uzasadnione podejrzenie.
- Czy incydent ma potencjalny skutek transgraniczny — czy wpływa na usługi lub podmioty w innych państwach członkowskich.
Brak analizy przyczyny źródłowej. Brak pełnych wskaźników naruszenia integralności systemu. Brak planu działań naprawczych. Celem wczesnego ostrzeżenia jest zaalarmowanie organów, aby w razie potrzeby mogły przygotować się do udzielenia wsparcia. Intencją jest szybkość kosztem kompletności.
Co musi zawierać zgłoszenie po 72 godzinach
Po 72 godzinach art. 23 ust. 4 lit. b) wymaga zaktualizowanego zgłoszenia obejmującego:
- Wstępną ocenę incydentu, w tym jego dotkliwość i skutki.
- Wskaźniki naruszenia integralności systemu (IOC), o ile są dostępne — sumy kontrolne (hashe), adresy IP, domeny, sygnatury złośliwego oprogramowania.
- Zastosowane środki łagodzące — jakie środki ograniczające zostały wdrożone.
Na tym etapie organy mogą zaoferować pomoc lub udostępnić informacje o zagrożeniach. Jeśli incydent dotyczy infrastruktury krytycznej lub ma skutek transgraniczny, może rozpocząć się koordynacja z EU-CyCLONe (europejską siecią organizacji łącznikowych ds. kryzysów cyberbezpieczeństwa).
Co musi zawierać sprawozdanie końcowe po 1 miesiącu
Sprawozdanie końcowe, składane w terminie jednego miesiąca od przekazania zgłoszenia incydentu, stanowi pełne sprawozdanie. Art. 23 ust. 4 lit. c) wymaga:
- Szczegółowego opisu incydentu — oś czasu, dotknięte systemy, zakres.
- Rodzaju zagrożenia i przyczyny źródłowej — o ile zostały ustalone.
- Zastosowanych i bieżących środków łagodzących — co zostało zrobione i co pozostaje w toku.
- Skutku transgranicznego, jeśli wystąpił — faktyczne i potencjalne oddziaływanie na inne państwa członkowskie lub podmioty.
Jeśli po upływie miesiąca incydent nadal trwa, złóż okresowe sprawozdanie z postępów po miesiącu oraz sprawozdanie końcowe w terminie jednego miesiąca od jego rozwiązania.
Budowanie listy kontrolnej reagowania na incydenty na pierwsze 24 godziny
Pod presją listy kontrolne są bardziej niezawodne niż pamięć. Wbuduj ją w swój plan reagowania na incydenty i przetestuj w ćwiczeniach symulacyjnych (tabletop), zanim okaże się potrzebna.
8-punktowa lista kontrolna na pierwsze 24 godziny
- Wykryj i zarejestruj — zapisz czas i sposób wykrycia; zabezpiecz wstępny materiał dowodowy.
- Oceń istotność — zastosuj kryteria istotności NIS2; w razie wątpliwości traktuj incydent jako istotny.
- Aktywuj zespół IR — powiadom kierownika zespołu reagowania na incydenty; zbierz zespół podstawowy.
- Powiadom swój CSIRT — złóż 24-godzinne wczesne ostrzeżenie do krajowego CSIRT; zarejestruj czas złożenia i numer referencyjny potwierdzenia.
- Zabezpiecz materiał dowodowy — odizoluj dotknięte systemy w sposób zachowujący logi; nie czyść ani nie reinstaluj systemów przed wykonaniem zabezpieczenia kryminalistycznego.
- Ogranicz incydent — wdróż natychmiastowe środki ograniczające; udokumentuj każde podjęte działanie.
- Komunikuj wewnętrznie — powiadom kierownictwo wykonawcze, dział prawny i komunikację; ustanów sztab kryzysowy i rytm komunikacji.
- Dokumentuj wszystko — prowadź dziennik incydentu z sygnaturami czasowymi od momentu wykrycia; stanie się on podstawą zgłoszenia po 72 godzinach i sprawozdania po 1 miesiącu.
Powiązanie z RODO
Jeśli incydent wiąże się z naruszeniem ochrony danych osobowych — nieuprawnionym dostępem do danych osobowych, ich ujawnieniem lub utratą — art. 33 RODO wymaga powiadomienia krajowego organu ochrony danych (DPA) w ciągu 72 godzin od powzięcia wiadomości.
72-godzinne zgłoszenie według NIS2 oraz 72-godzinne zgłoszenie według RODO to odrębne obowiązki wobec różnych organów. Istotny incydent NIS2 dotyczący danych osobowych uruchamia oba jednocześnie. Skoordynuj swój zespół IR tak, aby obsłużyć oba strumienie równolegle: jeden tor dla CSIRT, jeden dla organu ochrony danych.
Zgłoszenie według RODO musi zawierać: charakter naruszenia; kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordów; imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (IOD); prawdopodobne konsekwencje; a także podjęte lub proponowane środki. Zacznij przygotowywać je natychmiast, równolegle ze zgłoszeniem według NIS2.
Ostatnia aktualizacja: kwiecień 2026. Wyłącznie w celach informacyjnych — nie stanowi porady prawnej.
Najczęściej zadawane pytania
Co liczy się jako „istotny incydent” w świetle NIS2?
Art. 23 ust. 3 NIS2 definiuje istotny incydent jako taki, który spowodował lub może spowodować poważne zakłócenia operacyjne usług podmiotu lub znaczne straty finansowe, albo który wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe lub niemajątkowe. Ocena ma charakter prospektywny — wystarczy zdolność wyrządzenia szkody; rzeczywista szkoda nie musi się urzeczywistnić. Motyw 101 podaje dodatkowe czynniki: liczbę dotkniętych użytkowników, czas trwania zakłócenia, zasięg geograficzny, charakter i krytyczność danej usługi oraz znaczenie systemowe podmiotu dla sektora lub infrastruktury, którą wspiera.
Kogo trzeba powiadomić w ciągu 24 godzin od incydentu według NIS2?
Musisz powiadomić krajowy CSIRT (zespół reagowania na incydenty bezpieczeństwa komputerowego) lub właściwy krajowy organ ds. NIS wyznaczony na mocy transpozycji NIS2 w danym państwie członkowskim. Nie są one tym samym co krajowy organ ochrony danych — to odrębne podmioty skupione na cyberbezpieczeństwie i bezpieczeństwie sieci. 24-godzinne wczesne ostrzeżenie wymaga jedynie zgłoszenia, że incydent wystąpił, czy podejrzewasz bezprawne lub złośliwe spowodowanie oraz czy możliwy jest skutek transgraniczny. Należy zarejestrować swoją organizację we właściwym organie krajowym i odnaleźć jego portal zgłoszeniowy, zanim dojdzie do incydentu — składanie pierwszego zgłoszenia pod presją, bez wcześniejszej rejestracji, powoduje możliwą do uniknięcia zwłokę.
Co się stanie, jeśli przekroczysz 24-godzinny termin wczesnego ostrzeżenia według NIS2?
Przekroczenie 24-godzinnego terminu wczesnego ostrzeżenia stanowi naruszenie art. 23 i może podlegać działaniom egzekucyjnym krajowego organu ds. NIS. Kary na podstawie NIS2 mogą sięgnąć 10 mln euro lub 2% globalnego rocznego obrotu w przypadku podmiotów ważnych. Poza karami finansowymi organy mogą wydawać nakazy określonych działań naprawczych lub, w poważnych przypadkach, tymczasowy zakaz pełnienia funkcji zarządczych przez kierownictwo wyższego szczebla do czasu przywrócenia zgodności na mocy art. 32 ust. 4. Krajowe transpozycje różnią się podejściem do egzekwowania, lecz obowiązek jest wiążący od dnia transpozycji i nie ma okresu przejściowego dla spóźnionego zgłoszenia.
Źródła
- Dyrektywa (UE) 2022/2555 — dyrektywa NIS2, art. 23 (obowiązki zgłaszania incydentów) — Tekst ustawowy trzyetapowego harmonogramu zgłaszania: 24-godzinne wczesne ostrzeżenie, 72-godzinne zgłoszenie incydentu oraz sprawozdanie końcowe po 1 miesiącu, wraz z wymogami dotyczącymi treści na każdym etapie.
- ENISA — wytyczne dotyczące zgłaszania incydentów według NIS2 — Wytyczne ENISA dotyczące tego, co stanowi incydent podlegający zgłoszeniu, kryteriów progowych istotności oraz zalecanych procedur zgłaszania dla podmiotów objętych dyrektywą.
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 w sprawie zgłaszania incydentów na mocy NIS2 — Rozporządzenie wykonawcze określające techniczne i metodologiczne wymogi zgłaszania incydentów, w tym wzory oraz minimalną treść dla każdego etapu zgłaszania.
- ENISA — raport o krajobrazie zagrożeń i taksonomia klasyfikacji incydentów — Coroczny raport ENISA o krajobrazie zagrożeń zawierający klasyfikację incydentów oraz kontekst stosowania kryteriów istotności NIS2 do rzeczywistych scenariuszy zagrożeń.
Key takeaways: Reagowanie na incydenty według NIS2: co zrobić w pierwszych 24 godzinach
This article covers: Trzyetapowy harmonogram zgłaszania (art. 23), Co czyni incydent „istotnym”, Kogo powiadomić.
- Trzyetapowy harmonogram zgłaszania (art. 23)
- Co czyni incydent „istotnym”
- Kogo powiadomić
- Co musi zawierać 24-godzinne wczesne ostrzeżenie
- Co musi zawierać zgłoszenie po 72 godzinach
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.
Related Regulation
NIS2 Directive
Official EuroComply guide to NIS2 Directive