Ile godzin na zgłoszenie incydentu poważnego w KSC?

Trzy etapy: (1) wczesne ostrzeżenie — 24 godziny od wykrycia, (2) zgłoszenie pełne — 72 godziny od wykrycia, (3) sprawozdanie końcowe — 1 miesiąc od zgłoszenia pełnego. Wszystko do właściwego CSIRT sektorowego. Podstawa: art. 11 ust. 1 pkt 4, 4a, 4c KSC.

Do kogo zgłosić incydent poważny KSC?

Adresat zgłoszenia zależy od tego, czy dla Twojego sektora ustanowiono CSIRT sektorowy. Jeżeli tak — zgłaszasz do niego (art. 11 ust. 1 pkt 4 KSC), a on przekazuje zgłoszenie w ciągu 8 godzin do CSIRT krajowego (art. 44 ust. 1a). Jeżeli sektorowy CSIRT nie został jeszcze ustanowiony lub Twój podmiot nie ma sektorowego CSIRT — zgłaszasz wprost do właściwego CSIRT krajowego: CSIRT MON dla podmiotów wskazanych w art. 26 ust. 5 (m.in. podległe MON), CSIRT GOV dla podmiotów z art. 26 ust. 7 (organy władzy publicznej, KPRM, NBP, BGK, infrastruktura krytyczna), CSIRT NASK dla pozostałych PK/PW (art. 26 ust. 6 KSC). Adresata zgłoszenia można też zweryfikować w systemie S46.

Co to incydent poważny w KSC?

Zgodnie z art. 2 pkt 7 KSC to zdarzenie powodujące lub mogące spowodować: (1) przerwanie lub poważne obniżenie jakości usługi świadczonej przez PK/PW, (2) straty finansowe dla podmiotu, lub (3) poważną szkodę materialną/niematerialną u osób trzecich. Wystarczy spełnienie jednej przesłanki. Progi ilościowe określi rozporządzenie RM sektorowe.

Czy zgłoszenie naruszenia do UODO zastępuje zgłoszenie KSC?

Nie — to dwie niezależne ścieżki. RODO: 72h do UODO przy naruszeniu danych osobowych. KSC: 24/72h do CSIRT przy incydencie poważnym. Jeden incydent może wymagać obu zgłoszeń równolegle — zgłoszenia składa się do różnych organów, w różnych terminach, w różnym zakresie.

Incydenty9 min czytaniaOpublikowano: 15 marca 2026Zaktualizowano NaN miesiące temu

Raportowanie incydentów KSC / NIS 2 — 24h, 72h, miesiąc

Czym jest incydent poważny?

Incydent poważny (ang. significant incident) to zdarzenie, które ma istotny wpływ na świadczenie usług przez podmiot kluczowy lub ważny. Zgodnie z art. 2 pkt 7 ustawy, jest to incydent, który powoduje lub może spowodować: (1) poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, (2) straty finansowe dla tego podmiotu, lub (3) wpływ na inne osoby fizyczne, osoby prawne lub jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej. Wystarczy spełnienie jednej z tych przesłanek.

Szczegółowe progi uznania incydentu za poważny (np. liczba dotkniętych użytkowników, czas trwania zakłócenia, zasięg geograficzny) zostaną określone w rozporządzeniu Rady Ministrów, odrębnie dla poszczególnych sektorów (art. 11 ust. 4). Dla podmiotów z sektora infrastruktury cyfrowej progi określa bezpośrednio rozporządzenie wykonawcze Komisji (UE) 2024/2690. Do czasu wydania rozporządzenia RM podmioty powinny stosować definicję ogólną z art. 2 pkt 7 ustawy.

Trzyetapowy model raportowania

Ustawa wprowadza trzyetapowy model raportowania incydentów poważnych, wzorowany na wymogach dyrektywy NIS 2. Każdy etap ma ściśle określony termin i zakres wymaganych informacji. Pełny kalendarz obowiązków znajdziesz w artykule o terminach wdrożenia KSC.

Etap	Termin	Zakres informacji
Wczesne ostrzeżenie (art. 11 ust. 1 pkt 4)	24 godziny od wykrycia	Dane podmiotu, osoby zgłaszającej, moment wystąpienia i wykrycia, czas trwania, wskazanie czy działanie bezprawne, czy dotyczy innych państw UE
Zgłoszenie incydentu poważnego (art. 11 ust. 1 pkt 4a)	72 godziny od wykrycia	Opis wpływu na usługę (liczba użytkowników, zasięg geograficzny), przyczyny i przebieg, podjęte działania zapobiegawcze i naprawcze, aktualizacja danych z wczesnego ostrzeżenia
Sprawozdanie końcowe (art. 11 ust. 1 pkt 4c)	1 miesiąc od zgłoszenia pełnego	Szczegółowy opis incydentu i szkód, rodzaj zagrożenia lub przyczyna, zastosowane środki ograniczające ryzyko, transgraniczne skutki (art. 12a)

Jeżeli incydent nie został rozwiązany w momencie składania raportu końcowego, podmiot składa raport o postępach, a raport końcowy przekazuje w terminie 1 miesiąca od zakończenia obsługi incydentu.

Właściwe zespoły CSIRT

Zgodnie z art. 11 ust. 1 pkt 4 i 4a ustawy, wczesne ostrzeżenie oraz zgłoszenie incydentu poważnego kierowane są do właściwego CSIRT sektorowego — tj. zespołu reagowania działającego na poziomie danego sektora lub podsektora, ustanowionego przez organ właściwy do spraw cyberbezpieczeństwa. CSIRT sektorowy jest pierwszym i bezpośrednim adresatem zgłoszeń. CSIRT-y poziomu krajowego (GOV, NASK, MON) angażują się w obsługę incydentów poważnych i krytycznych, ale nie są bezpośrednimi adresatami zgłoszeń.

Poziom	Zespół CSIRT	Rola
Sektorowy	CSIRT sektorowy (ustanawiany przez organ właściwy — art. 44 KSC)	Bezpośredni adresat wczesnych ostrzeżeń (24h), zgłoszeń (72h) i sprawozdań (okresowych i końcowych); przekazuje zgłoszenie do CSIRT krajowego w ciągu 8 godzin (art. 44 ust. 1a)
Krajowy	CSIRT GOV (ABW)	Koordynacja oraz bezpośrednia obsługa incydentów dla podmiotów wskazanych w art. 26 ust. 7 KSC — m.in. organy władzy publicznej, KPRM, NBP, BGK oraz operatorzy infrastruktury krytycznej w rozumieniu ustawy o zarządzaniu kryzysowym
Krajowy	CSIRT NASK (NASK-PIB)	Koordynacja oraz bezpośrednia obsługa incydentów dla podmiotów wskazanych w art. 26 ust. 6 KSC — m.in. PK/PW spoza zakresu CSIRT MON i CSIRT GOV (np. JST, prywatne PK/PW, sektor zdrowia, energia, woda, transport)
Krajowy	CSIRT MON (MON)	Koordynacja oraz bezpośrednia obsługa incydentów dla podmiotów wskazanych w art. 26 ust. 5 KSC — podmioty podległe MON i przedsiębiorcy o szczególnym znaczeniu gospodarczo-obronnym

CSIRT sektorowy w ciągu 24 godzin od otrzymania wczesnego ostrzeżenia zawierającego wniosek o wytyczne przekazuje podmiotowi wytyczne dotyczące wdrożenia środków lub udziela dodatkowego wsparcia technicznego (art. 12 ust. 2).

Procedura wewnętrzna i najczęstsze błędy

Skuteczne raportowanie incydentów wymaga wcześniejszego opracowania wewnętrznej procedury reagowania. Procedura powinna jasno określać role i odpowiedzialności, kanały komunikacji oraz wzory formularzy zgłoszeniowych. Warto także zapoznać się z zasadami wymiany informacji o cyberzagrożeniach między podmiotami KSC.

Niezgłoszenie wczesnego ostrzeżenia w terminie 24 godzin lub incydentu poważnego w terminie 72 godzin od jego wykrycia stanowi samodzielną przesłankę nałożenia kary pieniężnej — niezależnie od samego incydentu. Uwaga: 24 godziny to termin na wczesne ostrzeżenie (art. 11 ust. 1 pkt 4), natomiast 72 godziny to termin na pełne zgłoszenie incydentu poważnego (art. 11 ust. 1 pkt 4a).

Studia przypadków i materiały rozszerzające: Wiper na farmy wiatrowe XII 2025 — lekcje KSC · Ransomware w szpitalach 2025 — obowiązki KSC · AI w cyberatakach — wnioski dla SZBI w KSC · Sektorowe CSIRT-y w 2026 — do kogo zgłasza Twoja branża.

Spis treści

Czym jest incydent poważny?Trzyetapowy model raportowania Właściwe zespoły CSIRT Procedura wewnętrzna i najczęstsze błędy

Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły

IncydentyFormularz CSIRT NASK — jak wypełnić zgłoszenie incydentu IncydentyWiper na farmy wiatrowe XII 2025 — lekcje KSC KlasyfikacjaPodmiot kluczowy vs ważny w KSC / NIS 2 — sprawdź status WdrożenieSZBI wg Załącznika nr 4 — przewodnik dla JST KaryKary finansowe w ustawie o KSC i NIS 2 — ile wynoszą?

Czym jest incydent poważny?

Trzyetapowy model raportowania

Właściwe zespoły CSIRT

Procedura wewnętrzna i najczęstsze błędy

Najczęstsze pytania