Gdy dzieje się incydent, zegar tyka od pierwszej minuty. NIS2/KSC nakłada na firmy obowiązek zgłaszania poważnych incydentów do właściwego zespołu CSIRT – i robią to z bardzo konkretnymi terminami. Najgorsze, co można zrobić, to dowiedzieć się o tych terminach dopiero w dniu ataku. W tym artykule tłumaczymy prostym językiem, co, kiedy i komu trzeba zgłosić, oraz jak ułożyć proces, żeby zadziałał pod presją.
| W skrócie: masz 24 godziny na pierwsze, wstępne zgłoszenie poważnego incydentu, 72 godziny na pełniejsze zgłoszenie i miesiąc na raport końcowy. Klucz to nie technologia, tylko gotowy proces i wiedza, kto naciska guzik. |
Jeśli dopiero porządkujesz temat NIS2/KSC, zacznij od ustalenia, czy w ogóle podlegasz – pomoże w tym nasz artykuł o podmiotach kluczowych i ważnych. A jeśli chcesz przejść cały proces zgłaszania na realnych przykładach i dokumentach, pokazujemy go podczas szkolenia „KSC / NIS2 w praktyce – wymagania krok po kroku”.
Czym jest CSIRT i dlaczego to do niego zgłaszasz
CSIRT (Computer Security Incident Response Team) to zespół reagowania na incydenty bezpieczeństwa. W polskim systemie działa kilka takich zespołów na poziomie krajowym, przypisanych do różnych grup podmiotów. To do właściwego dla Ciebie CSIRT trafia zgłoszenie, gdy w Twojej organizacji dzieje się coś poważnego. CSIRT pomaga, koordynuje reakcję i zbiera obraz zagrożeń w skali kraju – ale żeby ten system działał, potrzebuje informacji od Ciebie, szybko.
Co to jest „poważny incydent” – bo nie każdy trzeba zgłaszać
To pierwsze pytanie, które warto sobie zadać: czy to, co się stało, w ogóle podlega zgłoszeniu. Nie zgłaszasz każdego zablokowanego maila czy pojedynczej próby logowania. Zgłaszasz incydent poważny – czyli taki, który realnie wpływa na świadczone przez Ciebie usługi. W praktyce chodzi o sytuacje, które:
- powodują poważne zakłócenie działania usługi lub jej niedostępność,
- dotykają dużej liczby użytkowników albo ważnych odbiorców,
- mogą wyrządzić znaczną szkodę – finansową, operacyjną lub wizerunkową,
- mogą rozlać się na inne podmioty czy sektory.
Granica bywa nieoczywista, dlatego kryteria oceny incydentu warto ustalić wcześniej i spisać. Inaczej w stresie zespół będzie się zastanawiał „czy to już poważne”, zamiast działać.
Terminy zgłoszenia – trzy kroki, trzy zegary
To jest sedno całego obowiązku. Zgłoszenie nie jest jednym dokumentem wysłanym na końcu. To proces w trzech etapach, z których każdy ma swój termin liczony od momentu, gdy dowiedziałeś się o incydencie:
| Etap | Termin | Co zawiera |
|---|---|---|
| Wczesne ostrzeżenie | do 24 godzin | sygnał, że coś się dzieje; wstępna informacja, podejrzenie źródła |
| Zgłoszenie incydentu | do 72 godzin | ocena sytuacji, wstępna klasyfikacja, dotychczasowe działania |
| Raport końcowy | do 1 miesiąca | pełny opis: przyczyna, przebieg, skutki, środki naprawcze |
Najważniejsza liczba to 24 godziny. Pierwsze zgłoszenie nie musi być kompletne – nie czekaj, aż poznasz wszystkie szczegóły. Lepiej zgłosić wstępnie i uzupełniać, niż milczeć przez dobę, bo „jeszcze nie wiemy wszystkiego”. Spóźnienie z tym pierwszym sygnałem to jeden z najczęstszych powodów kar.
| Przykład: w sobotę o 22:00 firma wykrywa ransomware szyfrujący serwery. Zegar 24 godzin nie zatrzymuje się na weekend. Jeśli proces zakłada, że „w poniedziałek się tym zajmiemy”, firma jest już spóźniona zanim ktokolwiek usiadł do biurka. Dlatego dyżur i ścieżka eskalacji muszą obejmować także dni wolne. |
Kto w firmie ma nacisnąć guzik
Najlepsze terminy na świecie nic nie dadzą, jeśli o 2 w nocy nikt nie wie, że to on ma zgłosić. Dlatego zanim zdarzy się incydent, ustal i zapisz:
- Kto wykrywa i klasyfikuje – kto ocenia, czy incydent jest poważny.
- Kto eskaluje – komu i w jaki sposób przekazywana jest informacja w górę.
- Kto zgłasza do CSIRT – konkretna osoba lub rola, z dostępem do danych logowania i wzoru zgłoszenia.
- Kto zastępuje – bo kluczowa osoba akurat może być na urlopie.
To dokładnie ten element, który najłatwiej pominąć przy wdrożeniu i który najboleśniej mści się w praktyce.
Rejestr incydentów – papier, który chroni
Obowiązek nie kończy się na wysłaniu zgłoszenia. Musisz prowadzić rejestr incydentów: co się stało, kiedy, jak zareagowano, jakie działania naprawcze podjęto. To nie biurokracja dla biurokracji – w razie kontroli rejestr jest dowodem, że system reagowania faktycznie działa. Bez niego nawet dobrze obsłużony incydent wygląda na chaos. To część szerszego zestawu wymagań, które opisaliśmy w artykule o wymaganiach NIS2 i ustawy o KSC.
Jak przygotować proces zgłaszania – krok po kroku
- Zdefiniuj kryteria poważnego incydentu i zapisz je tam, gdzie zespół ma do nich dostęp.
- Ustal właściwy dla Ciebie CSIRT i zapisz dane kontaktowe oraz sposób zgłoszenia.
- Przygotuj wzór zgłoszenia z polami, które trzeba wypełnić – żeby nie tworzyć go pod presją.
- Rozpisz role i dyżury, uwzględniając noce i weekendy.
- Przećwicz scenariusz na sucho – krótka symulacja pokazuje luki lepiej niż każda procedura na papierze.
Dokładnie takie wzory zgłoszeń, kryteria i scenariusze omawiamy na szkoleniu „KSC / NIS2 w praktyce – wymagania krok po kroku” – pokazujemy, jak to wygląda na realnych przykładach, a nie tylko w treści ustawy.
Najczęstsze pytania o zgłaszanie incydentów
Ile mam czasu na zgłoszenie incydentu w NIS2/KSC?
Na pierwsze, wczesne ostrzeżenie masz do 24 godzin od momentu, gdy dowiedziałeś się o poważnym incydencie. Następnie do 72 godzin trzeba przekazać pełniejsze zgłoszenie z oceną sytuacji, a w ciągu miesiąca – raport końcowy opisujący przyczyny, skutki i działania naprawcze.
Czy muszę zgłaszać każdy incydent bezpieczeństwa?
Nie. Zgłoszeniu podlegają incydenty poważne, czyli takie, które istotnie zakłócają usługę, dotykają wielu użytkowników, mogą wyrządzić znaczną szkodę lub rozlać się na inne podmioty. Drobne, odparte próby zwykle nie wymagają zgłoszenia, ale warto je odnotować w rejestrze.
Komu zgłasza się incydent?
Właściwemu zespołowi CSIRT, przypisanemu do Twojej grupy podmiotów. Dlatego jednym z pierwszych kroków wdrożenia jest ustalenie, który CSIRT jest dla Ciebie właściwy, i zapisanie danych kontaktowych, zanim zdarzy się incydent.
Co, jeśli w pierwszym zgłoszeniu nie znam jeszcze wszystkich szczegółów?
To normalne i zgodne z założeniami przepisów. Wczesne ostrzeżenie ma być szybkie, nie kompletne. Brakujące informacje uzupełniasz w kolejnych etapach – w zgłoszeniu w ciągu 72 godzin i w raporcie końcowym.
| Chcesz mieć gotowy proces zgłaszania incydentów, zanim będzie potrzebny? Zobacz szkolenie „KSC / NIS2 w praktyce – wymagania krok po kroku” – wyjdziesz z niego z konkretnym planem działania, a nie listą paragrafów. |