Przejdź do treści
dyrektywanis2.com

Procedura

Raportowanie incydentów do CSIRT

Pierwsze kary NIS2 w UE — w Irlandii, Niemczech, Belgii — dotyczyły niezgłoszenia incydentu w terminie. To najszybciej egzekwowany obowiązek dyrektywy, ponieważ łatwo go udowodnić: organ widzi incydent z innego źródła i sprawdza, czy zgłoszenie do CSIRT wpłynęło na czas. Poniżej kaskada terminów, kanały zgłaszania i kryteria, które decydują o tym, kiedy zegar rusza.

Kaskada trzech terminów

Art. 23 dyrektywy NIS2 wprowadza trójetapową procedurę raportowania. Każdy z etapów ma własny termin liczony od momentu, w którym przedsiębiorca powziął wiadomość o istotnym incydencie. „Powziął wiadomość" w praktyce oznacza moment, w którym osoba odpowiedzialna za bezpieczeństwo informacji albo jakikolwiek członek zarządu dowiedział się o zdarzeniu — nawet niepotwierdzonym.

  1. Etap 1 · do 24 godzin — wczesne ostrzeżenie

    Krótkie zgłoszenie w systemie S46 lub przez kanał awaryjny CSIRT. Zawiera: identyfikację podmiotu, krótki opis zdarzenia, wstępne podejrzenie co do działania umyślnego i transgranicznego oddziaływania. Cel — umożliwienie CSIRT korelacji z innymi zgłoszeniami w tej samej kampanii.

  2. Etap 2 · do 72 godzin — pełne zgłoszenie

    Szczegółowy opis: charakter incydentu, wektor ataku (jeśli znany), wpływ na ciągłość działania i liczbę dotkniętych odbiorców, wstępna ocena dotkliwości, podjęte działania zaradcze. To dokument, który CSIRT przesyła dalej do organu właściwego.

  3. Etap 3 · do 1 miesiąca — raport końcowy

    Pełny raport poincydentalny: opis przyczyny źródłowej (root cause), działania naprawcze, lekcje wyciągnięte, plan prewencji powtórzenia. To dokument, na podstawie którego organ właściwy decyduje, czy wszczyna postępowanie.

Kiedy obowiązek zgłoszenia powstaje — kryterium istotności

Nie każdy incydent wymaga zgłoszenia. Art. 23 mówi o istotnych incydentach, a dyrektywa precyzuje dwa alternatywne kryteria (wystarczy spełnienie jednego):

  1. Poważne zakłócenie operacyjne lub straty finansowe dla podmiotu — w praktyce zatrzymanie usługi lub linii produkcyjnej dłuższe niż kilka godzin, znacząca strata finansowa (w pierwszych wytycznych KE — kwota przekraczająca średni miesięczny zysk netto).
  2. Wpływ na inne osoby fizyczne lub prawne — szkoda materialna albo niematerialna dla podmiotów zewnętrznych. To kryterium powoduje, że nawet incydent o ograniczonym wpływie wewnętrznym, jeżeli wpłynął na klientów, podlega zgłoszeniu.

W praktyce niemal każdy udany atak ransomware, każdy wyciek danych klienckich w skali większej niż kilkadziesiąt rekordów, każde przerwanie dostępu do usługi krytycznej kwalifikuje się do zgłoszenia. Zasada bezpieczna: gdy są wątpliwości — zgłaszać. Niezgłoszenie jest karane; zgłoszenie incydentu, który okazał się nieistotny, nie pociąga konsekwencji.

Polskie CSIRT — kto ma jurysdykcję

Polska ma trzy CSIRT na poziomie krajowym. Wybór zależy od sektora podmiotu zgłaszającego — nie od miejsca incydentu. Lista jest ustabilizowana od poprzedniej ustawy o KSC i pozostaje w mocy w nowelizacji:

  • CSIRT NASK — sektor cywilny: większość podmiotów (energetyka, zdrowie, woda, transport cywilny, infrastruktura cyfrowa, produkcja, dostawcy usług cyfrowych, gospodarka odpadami, żywność, chemikalia, dostawcy ICT B2B, badania, administracja samorządowa).
  • CSIRT GOV — sektor administracji rządowej (Agencja Bezpieczeństwa Wewnętrznego): organy administracji centralnej i wskazane jednostki sektora finansów publicznych.
  • CSIRT MON — sektor obronny i podmioty o znaczeniu dla obronności (Ministerstwo Obrony Narodowej): przemysł obronny, lotnictwo wojskowe, podmioty objęte programem mobilizacyjnym.

Większość firm komercyjnych zgłasza do CSIRT NASK. System S46 prowadzony przez NASK PIB jest jednocześnie portalem rejestracyjnym i kanałem przyjmowania zgłoszeń.

System S46 — od strony operacyjnej

S46 to portal teleinformatyczny pełniący trzy funkcje. Po pierwsze — rejestr Podmiotów Kluczowych i Ważnych: tutaj firma się rejestruje, aktualizuje dane kontaktowe i wskazuje osoby odpowiedzialne za bezpieczeństwo. Po drugie — system zgłoszeń incydentów: trójetapowy formularz (24 h, 72 h, 1 miesiąc) z możliwością załączenia dokumentów. Po trzecie — kanał komunikacji zwrotnej z CSIRT: informacje o korelujących zgłoszeniach z innych podmiotów, alerty o aktywnych kampaniach, wytyczne sektorowe.

Praktyczne wymagania operacyjne, które warto wdrożyć przed marcem 2026 r.:

  • Dwóch zarejestrowanych użytkowników z dostępem do S46 (zazwyczaj CISO i jeden z administratorów IT) — by uniknąć sytuacji „jedyna osoba na urlopie".
  • Lista kontaktów eskalacyjnych w zarządzie — kto podpisuje zgłoszenie 72-godzinne, kto zatwierdza raport końcowy.
  • Wewnętrzny szablon dla każdego z trzech etapów — wypełnienie pól w S46 musi zająć minuty, nie godziny.
  • Procedura pomijania weekendów i świąt: 24 h liczy się w godzinach kalendarzowych, nie roboczych. Zgłoszenie w sobotę o trzeciej w nocy jest standardem.

Co zawiera dobre zgłoszenie 72-godzinne

Etap drugi jest najtrudniejszy w wykonaniu — 72 godziny to za mało, by zakończyć śledztwo, a za dużo, by ograniczyć się do ogólników. Praktyka wytycznych ENISA i pierwszych zgłoszeń z państw, które wdrożyły dyrektywę wcześniej, podpowiada strukturę:

  1. Identyfikacja: nazwa podmiotu, sektor, kategoria (Kluczowy / Ważny), numer w rejestrze S46.
  2. Chronologia: kiedy zaczął się incydent (jeśli wiadomo), kiedy go wykryto, kiedy zarząd został poinformowany, kiedy uruchomiono procedurę obsługi incydentów.
  3. Charakter incydentu: ransomware, wyciek danych, DDoS, kompromitacja uprawnień, atak na łańcuch dostaw itp. Z wstępną klasyfikacją MITRE ATT&CK, jeśli dostępna.
  4. Wektor ataku: phishing, podatność w usłudze zewnętrznej, kompromitacja konta, brak segmentacji itp. — na tyle szczegółowo, na ile to ustalone.
  5. Zakres wpływu: jakie systemy, ile osób, jaka usługa, jaka strata finansowa szacunkowa.
  6. Działania podjęte: izolacja, eradykacja, odtworzenie, komunikacja z klientami, zgłoszenia do innych podmiotów (RODO, KNF, itp.).
  7. Status na dzień zgłoszenia i kolejne kroki.

Najczęstsze pułapki

  • Mylenie zgłoszenia NIS2 ze zgłoszeniem RODO. To dwa osobne obowiązki, do dwóch różnych organów (CSIRT vs PUODO). Incydent z wyciekiem danych osobowych wymaga obu zgłoszeń równolegle.
  • Czekanie z zegarem 24 h aż „będzie jasność". Zegar liczy się od momentu powzięcia wiadomości, nawet jeśli informacja jest niepełna. Cofnięcie zgłoszenia jest możliwe; spóźnione zgłoszenie — nie.
  • Brak listy kontaktów po godzinie 17:00. CISO niedostępny w święta to standardowa luka w polskich firmach. Dobra procedura ma dwóch zastępców i jeden numer telefonu dyżurnego w zarządzie.
  • Niepowiadomienie ubezpieczyciela. Większość polis cyber wymaga zgłoszenia w 24–48 godzin, niezależnie od zgłoszenia do CSIRT. Brak zgłoszenia do polisy zazwyczaj wyłącza pokrycie szkody.

Co dalej

Raportowanie do CSIRT jest jednym z dziesięciu obowiązków technicznych z Art. 21 — i prawdopodobnie tym, w którym niedociągnięcia mają największą szansę zostać zauważone i ukarane. Dlatego rekomendujemy potraktować procedurę zgłoszenia jako osobny projekt, nie jako element ogólnej polityki bezpieczeństwa.

Cały kontekst dziesięciu środków technicznych — w tym mapowanie na ISO 27001 — znajduje się w pillarze Obowiązki techniczne NIS2. Praktyczny scenariusz pierwszych 30 dni opisuje artykuł blogowy o pierwszych 30 dniach. Jeżeli Państwa firma nie posiada jeszcze procedury obsługi incydentów na poziomie wymaganym przez NIS2, marka Alterity Solutions dostarcza tę procedurę w ramach usługi NIS2 as a Service razem z dyżurem 24/7 w partnerstwie z polskim SOC.

Umów konsultację