Incydenty9 min czytania

Raportowanie incydentów — terminy, formularze i procedury

Czym jest incydent poważny?

Incydent poważny (ang. significant incident) to zdarzenie, które ma istotny wpływ na świadczenie usług przez podmiot kluczowy lub ważny. Zgodnie z art. 2 pkt 7 ustawy, jest to incydent, który powoduje lub może spowodować: (1) poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, (2) straty finansowe dla tego podmiotu, lub (3) wpływ na inne osoby fizyczne, osoby prawne lub jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej. Wystarczy spełnienie jednej z tych przesłanek.

Szczegółowe progi uznania incydentu za poważny (np. liczba dotkniętych użytkowników, czas trwania zakłócenia, zasięg geograficzny) zostaną określone w rozporządzeniu Rady Ministrów, odrębnie dla poszczególnych sektorów (art. 11 ust. 4). Dla podmiotów z sektora infrastruktury cyfrowej progi określa bezpośrednio rozporządzenie wykonawcze Komisji (UE) 2024/2690. Do czasu wydania rozporządzenia RM podmioty powinny stosować definicję ogólną z art. 2 pkt 7 ustawy.

Trzyetapowy model raportowania

Ustawa wprowadza trzyetapowy model raportowania incydentów poważnych, wzorowany na wymogach dyrektywy NIS 2. Każdy etap ma ściśle określony termin i zakres wymaganych informacji.

EtapTerminZakres informacji
Wczesne ostrzeżenie (art. 11 ust. 1 pkt 4)24 godziny od wykryciaDane podmiotu, osoby zgłaszającej, moment wystąpienia i wykrycia, czas trwania, wskazanie czy działanie bezprawne, czy dotyczy innych państw UE
Zgłoszenie incydentu poważnego (art. 11 ust. 1 pkt 4a)72 godziny od wykryciaOpis wpływu na usługę (liczba użytkowników, zasięg geograficzny), przyczyny i przebieg, podjęte działania zapobiegawcze i naprawcze, aktualizacja danych z wczesnego ostrzeżenia
Sprawozdanie końcowe (art. 11 ust. 1 pkt 4c)1 miesiąc od zgłoszenia pełnegoSzczegółowy opis incydentu i szkód, rodzaj zagrożenia lub przyczyna, zastosowane środki ograniczające ryzyko, transgraniczne skutki (art. 12a)
Jeżeli incydent nie został rozwiązany w momencie składania raportu końcowego, podmiot składa raport o postępach, a raport końcowy przekazuje w terminie 1 miesiąca od zakończenia obsługi incydentu.

Właściwe zespoły CSIRT

Zgodnie z art. 11 ust. 1 pkt 4 i 4a ustawy, wczesne ostrzeżenie oraz zgłoszenie incydentu poważnego kierowane są do właściwego CSIRT sektorowego — tj. zespołu reagowania działającego na poziomie danego sektora lub podsektora, ustanowionego przez organ właściwy do spraw cyberbezpieczeństwa. CSIRT sektorowy jest pierwszym i bezpośrednim adresatem zgłoszeń. CSIRT-y poziomu krajowego (GOV, NASK, MON) angażują się w obsługę incydentów poważnych i krytycznych, ale nie są bezpośrednimi adresatami zgłoszeń.

PoziomZespół CSIRTRola
SektorowyCSIRT sektorowy (ustanawiany przez organ właściwy)Bezpośredni adresat wczesnych ostrzeżeń (24h), zgłoszeń (72h) i sprawozdań końcowych (1 mies.)
KrajowyCSIRT GOV (ABW)Koordynacja obsługi incydentów w administracji rządowej i infrastrukturze krytycznej
KrajowyCSIRT NASK (NASK-PIB)Koordynacja obsługi incydentów podmiotów cywilnych
KrajowyCSIRT MON (MON)Koordynacja obsługi incydentów podmiotów podległych MON
CSIRT sektorowy w ciągu 24 godzin od otrzymania wczesnego ostrzeżenia przekazuje podmiotowi wytyczne dotyczące wdrożenia środków ograniczających skutki incydentu lub udziela dodatkowego wsparcia technicznego (art. 12 ust. 2).

Procedura wewnętrzna i najczęstsze błędy

Skuteczne raportowanie incydentów wymaga wcześniejszego opracowania wewnętrznej procedury reagowania. Procedura powinna jasno określać role i odpowiedzialności, kanały komunikacji oraz wzory formularzy zgłoszeniowych.

Niezgłoszenie wczesnego ostrzeżenia w terminie 24 godzin lub incydentu poważnego w terminie 72 godzin od jego wykrycia stanowi samodzielną przesłankę nałożenia kary pieniężnej — niezależnie od samego incydentu. Uwaga: 24 godziny to termin na wczesne ostrzeżenie (art. 11 ust. 1 pkt 4), natomiast 72 godziny to termin na pełne zgłoszenie incydentu poważnego (art. 11 ust. 1 pkt 4a).
Spis treści
Czym jest incydent poważny?
Trzyetapowy model raportowania
Właściwe zespoły CSIRT
Procedura wewnętrzna i najczęstsze błędy
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCWspółpracaWymiana informacji o cyberbezpieczeństwie między podmiotami KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.