Gdzie znaleźć oficjalny formularz CSIRT NASK?

Formularz w formacie PDF jest dostępny na stronie BIP CSIRT NASK (bip.nask.pl) oraz na portalu incydent.cert.pl. Portal webowy rekomendowany jest jako podstawowy kanał zgłaszania — zapewnia automatyczne znacznik czasowy i potwierdzenie. Formularz PDF służy jako backup lub dla podmiotów bez możliwości uwierzytelnienia online.

Czy mogę zgłosić incydent telefonicznie?

Tak — w sytuacji krytycznej dopuszczalne jest zgłoszenie telefoniczne do dyżurnego CSIRT, z niezwłocznym uzupełnieniem pisemnym (art. 11 KSC nie zabrania takiej formy w pierwszej fazie). Numery dyżurne publikowane są na stronach CSIRT sektorowych. Zgłoszenie telefoniczne musi być potwierdzone formularzem w ciągu 24 godzin.

Co jeśli nie mam wszystkich informacji w ciągu 24h?

Wczesne ostrzeżenie składa się z danymi dostępnymi — ustawa wymaga tylko podstawowego zakresu (dane podmiotu, moment wykrycia, wstępna klasyfikacja, wpływ). Szczegóły techniczne są aktualizowane w zgłoszeniu pełnym (72h) i w sprawozdaniu końcowym (1 miesiąc). Lepiej zgłosić z niepełnymi danymi niż przegapić termin.

Czy zgłoszenie incydentu do RODO zastępuje zgłoszenie KSC?

Nie — to dwie niezależne ścieżki. RODO (art. 33) wymaga zgłoszenia naruszenia danych osobowych do UODO w 72h od stwierdzenia. KSC wymaga zgłoszenia incydentu poważnego do CSIRT w 24h/72h od wykrycia. Jeden incydent (np. wyciek danych z ransomware) może wymagać obu zgłoszeń — różne organy, różne terminy, różny zakres.

Incydenty11 min czytaniaOpublikowano: 19 kwietnia 2026

Formularz CSIRT NASK — jak wypełnić zgłoszenie incydentu

Co przygotować przed zgłoszeniem

Zgłoszenie incydentu poważnego do właściwego CSIRT sektorowego to ustawowy obowiązek podmiotu kluczowego i ważnego (art. 11 ust. 1 pkt 4-4c ustawy o KSC). Zanim wypełnisz formularz, upewnij się, że masz dostęp do danych operacyjnych — brak jednej z kluczowych informacji nie zwalnia z obowiązku zgłoszenia w terminie, ale może narazić na kolejne pytania ze strony CSIRT.

Moment wykrycia incydentu (timestamp z dokładnością do minuty) — od tego biegnie zegar 24h/72h.
Lista systemów objętych incydentem (identyfikator systemu, klasyfikacja wrażliwości, liczba użytkowników).
Wstępna ocena wpływu na usługę kluczową/ważną (czy jest przerwa w świadczeniu, jaka liczba dotkniętych odbiorców, zasięg geograficzny).
Dane osoby zgłaszającej — imię, nazwisko, stanowisko, telefon kontaktowy 24/7, e-mail służbowy.
NIP i REGON podmiotu oraz numer wpisu w wykazie S46 (jeśli przyznany).
Wstępne informacje o wektorze ataku (jeśli znany) — phishing, exploit, insider, ransomware, DDoS, inne.

Zegar 24h i 72h biegnie od momentu wykrycia incydentu, nie od jego rozwiązania. Jeśli masz wątpliwości czy zdarzenie jest „poważne” — złóż wczesne ostrzeżenie z zaznaczeniem „wstępna klasyfikacja” — lepiej zgłosić nadmiarowo niż przegapić termin.

Wczesne ostrzeżenie (24h) — pole po polu

Wczesne ostrzeżenie (art. 11 ust. 1 pkt 4 KSC) to pierwszy, szybki komunikat do CSIRT — ma służyć koordynacji reakcji i oszacowaniu skali zagrożenia. Formularz wczesnego ostrzeżenia zawiera minimalny zakres danych, bez wymogu pełnej diagnozy przyczyn.

Pole formularza	Wymagane dane	Przykład wypełnienia
Dane podmiotu	Nazwa, NIP, REGON, numer wpisu S46, sektor	ACME Sp. z o.o., NIP 525-xxx-xx-xx, PKD 61.10, PK zał. 1 pkt 5 (ICT)
Osoba zgłaszająca	Imię, nazwisko, stanowisko, tel. 24/7, e-mail	Jan Kowalski, CISO, +48 600 xxx xxx, incydenty@acme.pl
Moment wykrycia	Data i godzina (timezone: CET/CEST)	2026-04-19 03:47 CEST
Typ zdarzenia	Wstępna klasyfikacja (phishing/DDoS/ransomware/inne)	Ransomware z kompromitacją AD
Zakres usługi dotkniętej	Nazwa usługi, szacowana liczba użytkowników	Usługa hostingowa SaaS — ok. 12 000 klientów B2B
Wpływ transgraniczny	Czy incydent dotyka innych państw UE	Tak — użytkownicy w DE, FR, CZ, SK
Bezprawność działania	Czy zdarzenie ma podłoże bezprawne (tak/nie/nieokreślone)	Tak — żądanie okupu, szantaż

Zakres pól wczesnego ostrzeżenia odpowiada wymogom art. 11 ust. 1 pkt 4 KSC oraz specyfikacji technicznej formularza publikowanej przez CSIRT NASK. Operacyjne formularze zespołów sektorowych mogą zawierać dodatkowe pola (np. w sektorze zdrowia — wpływ na dane medyczne, w finansach — na systemy płatnicze).

Zgłoszenie pełne (72h) — rozszerzony zakres

Zgłoszenie pełne (art. 11 ust. 1 pkt 4a KSC) rozszerza zakres o informacje o przebiegu incydentu, podjętych działaniach i wpływie na usługę. Termin: 72 godziny od wykrycia. Jeśli wcześniej złożyłeś wczesne ostrzeżenie — zgłoszenie pełne je aktualizuje, nie zastępuje.

Aktualizacja wstępnej klasyfikacji — czy potwierdza się typ ataku, wektor, motywacja sprawców.
Szczegółowy opis przebiegu incydentu — chronologia: wykrycie, izolacja, eskalacja, kontakt z zespołem reagowania.
Wpływ techniczny — liczba dotkniętych systemów, utrata danych (tak/nie/częściowa), degradacja wydajności, dostępność.
Wpływ biznesowy — liczba dotkniętych użytkowników, zasięg geograficzny, szacowany czas przerwy w świadczeniu usługi.
Podjęte działania zaradcze — izolacja systemów, odłączenie od sieci, przywrócenie z kopii, wymiana kluczy, kontakt z klientami.
Ocena ryzyka kontynuacji — czy sprawcy nadal mają dostęp, jakie są ścieżki eskalacji, jakie dodatkowe systemy mogą zostać naruszone.
Wnioski wstępne — hipotezy dot. przyczyny źródłowej (root cause), jeżeli są już dostępne.

Jeżeli obsługa incydentu jest nadal w toku, w zgłoszeniu 72h zaznacz „incydent otwarty” i podaj spodziewany termin rozwiązania. W razie istotnych zmian — zwłaszcza eskalacji skali — aktualizuj zgłoszenie na bieżąco (art. 11 ust. 1 pkt 4b).

Sprawozdanie końcowe (1 miesiąc)

Sprawozdanie końcowe (art. 11 ust. 1 pkt 4c KSC) to pełna dokumentacja incydentu — przyczyny źródłowe, ocena skutków, wdrożone środki zapobiegawcze. Termin: 1 miesiąc od zgłoszenia pełnego lub — jeżeli incydent nie został rozwiązany w tym terminie — raport o postępach, a raport końcowy w ciągu 1 miesiąca od zakończenia obsługi.

Szczegółowy opis incydentu: wektor ataku, wykorzystana podatność/technika (TTP według MITRE ATT&CK), chronologia zdarzeń, narzędzia sprawców.
Rodzaj zagrożenia: zewnętrzny atak (APT/cybercrime/haktywiści), insider, błąd ludzki, awaria techniczna, łańcuch dostaw.
Szkody i skutki: straty finansowe (szacowane), utracone dane, utracona dostępność (RTO, RPO), wpływ reputacyjny, koszty reakcji.
Zastosowane środki ograniczające ryzyko: izolacja, patch, wymiana klucza, zmiana polityki, dodatkowa segmentacja, szkolenia.
Skutki transgraniczne (art. 12a KSC): czy incydent miał wpływ na podmioty lub osoby w innych państwach UE i jakie były działania koordynacyjne.
Wnioski i rekomendacje: co zmieniono w SZBI, jakie kontrole dodano, jakie szkolenia przeprowadzono, jak zmieniono ocenę ryzyka.

Kanały zgłoszenia i uwierzytelnianie

Zgłoszenie można złożyć na trzy sposoby: (1) przez portal incydent.cert.pl — wymaga uwierzytelnienia profilem zaufanym, podpisem kwalifikowanym lub e-Dowodem, (2) przez formularz PDF z BIP CSIRT NASK — wypełniony i podpisany elektronicznie, wysłany mailem lub przez ePUAP/eDoręczenia, (3) telefonicznie do CSIRT sektorowego z niezwłocznym potwierdzeniem pisemnym. Preferowana jest droga elektroniczna przez portal — zapewnia rejestrację czasu zgłoszenia i automatyczne potwierdzenie.

Sektor	Właściwy CSIRT	Kanał pierwszorzędny
ICT / ogólny	CSIRT NASK	incydent.cert.pl
Łączność elektroniczna	CSIRT UKE	formularz UKE + e-mail
Sektor finansowy	CSIRT KNF / CSIRT NASK	portal KNF + incydent.cert.pl
Zdrowie	CSIRT Zdrowie (MZ)	formularz MZ + incydent.cert.pl
Energia	CSIRT Energia (ME)	formularz ME + incydent.cert.pl
Administracja / JST	CSIRT GOV	incydent.cert.gov.pl
Wojsko / obronność	CSIRT MON	formularz MON

Równoległe zgłoszenie do wielu CSIRT: jeżeli incydent dotyczy kilku sektorów (np. atak na szpital wykorzystujący łańcuch dostaw ICT), zgłoszenie kieruje się do CSIRT właściwego dla usługi objętej incydentem, a kopia trafia do CSIRT NASK jako zespołu koordynującego. Wymiana między zespołami odbywa się przez system MISP.

Najczęstsze błędy przy zgłoszeniu

W praktyce zespoły CSIRT zgłaszają powtarzające się błędy, które utrudniają obsługę zgłoszenia i mogą prowadzić do wtórnych sankcji (kara za niezgodne ze wzorem zgłoszenie incydentu — art. 73 ust. 1b KSC).

Zbyt późne zgłoszenie — zegar biegnie od wykrycia, nie od „zrozumienia skali”. Przy wątpliwościach — zgłoś wcześnie.
Brak danych kontaktowych 24/7 — CSIRT musi mieć możliwość dzwonienia w nocy i w weekendy. Mail zbiorowy to za mało.
Sklasyfikowanie jako incydent „zwykły” mimo spełnienia przesłanek incydentu poważnego (art. 2 pkt 7) — skutkuje karą za brak zgłoszenia.
Pomieszanie ścieżek KSC i RODO — naruszenie danych osobowych wymaga też zgłoszenia do UODO (72h, art. 33 RODO), ale to osobna procedura.
Brak aktualizacji zgłoszenia gdy sytuacja ewoluuje — obowiązek raportowania postępów (art. 11 ust. 1 pkt 4b).
Niepoprawne dane podmiotu — w szczególności brak numeru wpisu S46 lub niewłaściwy sektor — generuje przekierowania i opóźnia reakcję.
Ujawnienie zgłoszenia publicznie przed koordynacją z CSIRT — może naruszyć procedury zbiorowej reakcji na zagrożenie i ujawnić TTP sprawcom.

Spis treści

Co przygotować przed zgłoszeniem Wczesne ostrzeżenie (24h) — pole po polu Zgłoszenie pełne (72h) — rozszerzony zakres Sprawozdanie końcowe (1 miesiąc)Kanały zgłoszenia i uwierzytelnianie Najczęstsze błędy przy zgłoszeniu

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

IncydentyRaportowanie incydentów KSC — 24h, 72h, miesiąc KlasyfikacjaPodmiot kluczowy vs. ważny — sprawdź swój status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC — ile wynoszą?AudytAudyt bezpieczeństwa KSC — kto i kiedy?