Zgłaszanie Incydentów Bezpieczeństwa
Procedura obsługi i raportowania incydentów zgodna z Dyrektywą NIS 2 oraz projektem ustawy o Krajowym Systemie Cyberbezpieczeństwa (UC32) i projektem rozporządzenia w sprawie progów „incydentu poważnego”.
Kontakt alarmowy 24/7
E-mail: security@lexcyberai.pl
W przypadku incydentu poważnego zgłoś niezwłocznie.
Podstawa prawna
Zgodnie z Dyrektywą NIS 2 (UE) 2022/2555 oraz projektem nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) nasza organizacja wdrożyła procedurę obsługi i raportowania incydentów bezpieczeństwa.
- Art. 23 – zgłaszanie incydentów poważnych
- Kroki: 24 h / 72 h / 1 miesiąc
- Obowiązek współpracy z właściwymi CSIRT
- Adresat: właściwy CSIRT sektorowy (w okresie przejściowym: CSIRT MON/NASK/GOV)
- „Wczesne ostrzeżenie” (≤ 24 h), „Zgłoszenie incydentu poważnego” (≤ 72 h), „Sprawozdanie końcowe” (≤ 1 miesiąc)
- Możliwość „sprawozdania okresowego” oraz „sprawozdania z postępu”
- Retencja dokumentacji bezpieczeństwa: co najmniej 2 lata
Co rozumiemy przez „incydent”?
Incydent to każde zdarzenie mające – lub mogące mieć – niekorzystny wpływ na poufność, integralność, dostępność lub autentyczność danych i usług.
Klasyfikacje i przykłady
Incydent poważny
Incydent wywołujący istotny wpływ na świadczenie usług, mogący powodować znaczne zakłócenia, straty finansowe lub szkody dla innych podmiotów.
Uwaga – progi są sektorowe (określane rozporządzeniem):
- Przykład – sektor zdrowia (wycinek): brak dostępności EDM > 1 h; zarządzanie danymi epidemiologicznymi > 2 h; udzielanie świadczeń zdrowotnych > 24 h (z dodatkowymi kryteriami jak poufność/integralność).
- Naruszenia poufności/integralności skutkujące istotnym wpływem na usługę lub użytkowników.
- Znaczące zakłócenia w łańcuchu dostaw wpływające na świadczenie usług.
Incydent na dużą skalę
Incydent o skutkach przekraczających możliwości reagowania jednego państwa lub oddziałujący transgranicznie na inne państwa UE.
Przykłady:
- Skoordynowany atak DDoS na infrastrukturę o znaczeniu transgranicznym
- Wykorzystanie luki zero-day u wielu podmiotów jednocześnie
- Incydent w łańcuchu dostaw dotyczący międzynarodowych dostawców
Incydent zwykły
Zdarzenie o ograniczonym wpływie, niespełniające progów istotności, ale wymagające rejestracji, analizy i ewentualnych działań korygujących.
Przykłady:
- Nieudane kampanie phishingowe
- Wykrycie i usunięcie złośliwego oprogramowania
- Krótkotrwałe zakłócenia działania systemu
- Zablokowane próby nieautoryzowanego dostępu
Uwaga: „incydent krytyczny”
Projekt ustawy przewiduje także tryb dla incydentu krytycznego – w takich przypadkach stosuje się wzmocnione współdziałanie z właściwym CSIRT.
Jak zgłosić incydent?
Każdy pracownik, kontrahent lub użytkownik, który zauważy zdarzenie mogące stanowić incydent bezpieczeństwa, powinien niezwłocznie je zgłosić jedną z poniższych metod (wewnętrznie). Zgłoszenia do organów publicznych wysyła wyznaczony zespół za pomocą wskazanego systemu teleinformatycznego do właściwego CSIRT sektorowego (w okresie przejściowym: do CSIRT MON/NASK/GOV).
Dostępny 24/7 – najszybsza ścieżka dla incydentów poważnych
Dostępny w systemie wewnętrznym
W trakcie przygotowania – użyj e-mail w międzyczasie
Dla incydentów krytycznych wymagających natychmiastowej reakcji
Numer dostępny dla pracowników
Zasada „lepiej zgłosić za wcześnie niż za późno”
W razie wątpliwości zgłoś zdarzenie. Zespół cyberbezpieczeństwa zweryfikuje i zaklasyfikuje incydent. Zgłoszenia dokonane w dobrej wierze nie pociągają negatywnych konsekwencji.
Jakie informacje podać w zgłoszeniu?
W zgłoszeniu podaj możliwie szczegółowe informacje dostępne w momencie zgłoszenia. Nie czekaj na komplet danych — szczegóły uzupełnimy w kolejnych krokach.
Kiedy incydent został wykryty? Kiedy prawdopodobnie się rozpoczął?
Co się wydarzyło? Jak zostało wykryte? (np. alert systemu, zgłoszenie użytkownika, analiza logów)
Które systemy, aplikacje, serwery lub użytkownicy są dotknięci incydentem?
Jaki jest wpływ na świadczenie usług? Czy zatrzymane są procesy biznesowe? Czy dotknięci są klienci?
Jakie natychmiastowe kroki już podjęto? (np. izolacja systemu, wyłączenie serwera)
Imię, nazwisko, kontakt e-mail/telefon – w razie potrzeby doprecyzowania informacji.
- Dane podmiotu i dane osoby zgłaszającej + osoby do wyjaśnień
- Moment wystąpienia/wykrycia i czas trwania (jeśli znany)
- Wstępna ocena (bezprawność/zła wiara – jeśli możliwe)
- Informacja o możliwym transgranicznym charakterze incydentu
- Opis wpływu na usługę/usługi, skalę (użytkownicy, zasięg), wpływ na inne podmioty
- Przyczyny i przebieg zdarzenia (w miarę ustaleń)
- Działania zapobiegawcze i naprawcze (zrealizowane i planowane) oraz aktualizacje
- Oznaczenie informacji stanowiących tajemnice prawnie chronione
Nie masz wszystkich informacji?
Zgłoś incydent natychmiast z tym, co masz. Uzupełnienia przekażemy w „zgłoszeniu”/„sprawozdaniu okresowym” lub „sprawozdaniu z postępu”.
Co dzieje się po zgłoszeniu?
Rejestracja i potwierdzenie
Zgłoszenie jest niezwłocznie rejestrowane w systemie zarządzania incydentami. Otrzymasz potwierdzenie przyjęcia zgłoszenia.
Weryfikacja i klasyfikacja
Zespół ds. cyberbezpieczeństwa (CSIRT wewnętrzny) weryfikuje zgłoszenie i klasyfikuje incydent wg kategorii i istotności.
Wczesne ostrzeżenie (incydent poważny)
Przekazujemy „wczesne ostrzeżenie” do właściwego CSIRT sektorowego (w okresie przejściowym: CSIRT MON/NASK/GOV). CSIRT sektorowy w ciągu 24 h udziela wytycznych/wsparcia.
Zgłoszenie incydentu poważnego
Przesyłamy zgłoszenie z oceną wpływu, wskazaniem przyczyn i przebiegu oraz zastosowanych/planowanych środków zaradczych.
Działania naprawcze
Wdrażamy działania naprawcze i ograniczające skutki incydentu. Monitorujemy do pełnego usunięcia zagrożenia.
Sprawozdanie końcowe
Przekazujemy sprawozdanie końcowe: opis incydentu, rodzaj zagrożenia, środki zaradcze, wpływ transgraniczny (jeśli dotyczy), wnioski i rekomendacje.
Sprawozdanie okresowe
Na wniosek CSIRT przekazujemy sprawozdanie okresowe z aktualnym stanem i planem działań.
Sprawozdanie z postępu
Jeżeli obsługa incydentu nie kończy się w miesiąc – przekazujemy sprawozdanie z postępu do czasu zamknięcia sprawy.
Informacja zwrotna
Osoba zgłaszająca otrzymuje potwierdzenie zamknięcia incydentu oraz informacje o podjętych działaniach (w zakresie nienaruszającym bezpieczeństwa).
Współpraca z CSIRT
W przypadku incydentów poważnych lub na dużą skalę współpracujemy z właściwym CSIRT sektorowym. Do czasu ogłoszenia jego zdolności operacyjnej zgłoszenia kieruje się do CSIRT MON/NASK/GOV. W niezbędnym zakresie zapewniamy CSIRT dostęp do informacji o rejestrowanych incydentach.
Właściwy dla naszej działalności zespół reagowania (adresat zgłoszeń).
Zgłoszenia przez wskazany system teleinformatyczny.
Krajowy zespół reagowania na incydenty komputerowe
Zespół krajowy dla administracji rządowej
Ministerstwo Cyfryzacji
Zespół krajowy dla resortu obrony narodowej
Ministerstwo Obrony Narodowej
Informacja
Właściwość CSIRT i progi „incydentu poważnego” są określane przepisami. Zgłoszenia przekazujemy zgodnie z aktualnym stanem prawnym.
Informowanie użytkowników usług
W razie poważnego cyberzagrożenia informujemy użytkowników o możliwych środkach zapobiegawczych. O incydencie poważnym informujemy, jeżeli wywiera niekorzystny wpływ na świadczenie naszych usług.
Ochrona danych osobowych zgłaszających
W procesie zgłaszania i obsługi incydentów przetwarzamy dane osobowe zgodnie z RODO oraz przepisami KSC.
Podstawa prawna przetwarzania
- Art. 6 ust. 1 lit. c) RODO – wypełnienie obowiązku prawnego (NIS 2, KSC)
- Art. 6 ust. 1 lit. f) RODO – prawnie uzasadniony interes (zapewnienie bezpieczeństwa)
Zakres przetwarzanych danych
- Imię, nazwisko zgłaszającego
- Dane kontaktowe (e-mail, telefon)
- Stanowisko/funkcja (opcjonalnie)
- Treść zgłoszenia i metadane techniczne
Odbiorcy danych
- Zespół ds. cyberbezpieczeństwa (CSIRT wewnętrzny)
- Właściwy CSIRT sektorowy / w okresie przejściowym: CSIRT MON/NASK/GOV
- Organy ścigania (jeśli incydent stanowi przestępstwo)
Okres przechowywania
- Dokumentacja bezpieczeństwa (w tym zapisy dot. incydentów): co najmniej 2 lata – licząc od 1 stycznia roku następującego po zakończeniu świadczenia usługi / wycofaniu z użytkowania (chyba że przepisy archiwalne stanowią inaczej)
- Dane zgłaszającego: przez okres niezbędny do obsługi incydentu + okres archiwizacji
Prawa osób, których dane dotyczą
Przysługują prawa z RODO (dostęp, sprostowanie, ograniczenie, sprzeciw, w uzasadnionych przypadkach – usunięcie), z zastrzeżeniem ograniczeń wynikających z obowiązków prawnych w KSC.
Dodatkowo: w zgłoszeniach oznaczamy informacje stanowiące tajemnice prawnie chronione (w tym tajemnicę przedsiębiorstwa).
Kontakt: iod@lexcyberai.pl
Kontakt w sprawach incydentów
E-mail: security@lexcyberai.pl
Priorytet: Odpowiedź w ciągu 15 minut dla incydentów krytycznych
E-mail: ciso@lexcyberai.pl
Pytania o procedury, polityki bezpieczeństwa
Masz pytania o procedurę zgłaszania?
W sprawach dotyczących procedur, szkoleń lub pytań ogólnych skontaktuj się z naszym zespołem.
Zgłoś incydent terazPodstawa prawna: Dyrektywa (UE) 2022/2555 (NIS 2) – art. 23; projekt ustawy o KSC (UC32); projekt rozporządzenia RM w sprawie progów „incydentu poważnego”.
Nota legislacyjna i status
Niniejsza procedura została opracowana na podstawie projektu ustawy o zmianie ustawy o Krajowym Systemie Cyberbezpieczeństwa (UC32) oraz projektu rozporządzenia Rady Ministrów w sprawie progów „incydentu poważnego” (materiały informacyjne RCL z 16.09.2025 r.). Po przyjęciu przepisów przez ustawodawcę treść procedury zostanie zweryfikowana i zaktualizowana, aby odzwierciedlać ostateczne brzmienie aktów prawnych i ewentualne zmiany w toku prac legislacyjnych.
Uwaga branżowa
Jeżeli świadczysz usługi zaufania – pamiętaj, że na niektóre zgłoszenia mogą obowiązywać krótsze terminy (np. 24 h). Zawsze stosuj progi i terminy właściwe dla Twojego sektora.