Struktury KSC9 min czytania

Sektorowe CSIRT-y w 2026: Infrastruktura, Cyfra, Energia — kto nadzoruje Twój podmiot

Dlaczego sektorowe CSIRT-y

Struktura KSC opiera się na trzech poziomach reagowania na incydenty: krajowym (CSIRT NASK, CSIRT GOV, CSIRT MON), sektorowym (wyspecjalizowane zespoły branżowe) oraz podmiotowym (wewnętrzne zespoły IT/SOC). Sektorowe CSIRT-y odgrywają kluczową rolę, bo zapewniają kompetencje specjalistyczne tam, gdzie generyczne reagowanie nie wystarczy — np. w bankowości (systemy płatnicze), zdrowiu (HIS/EDM, urządzenia medyczne), energii (SCADA, OT) czy infrastrukturze (transport, woda).

Znowelizowana UKSC (implementująca NIS 2) systematyzuje i rozszerza siatkę CSIRT-ów sektorowych. Sprawozdanie Pełnomocnika 2025 wskazuje, że prace nad nowymi zespołami są w zaawansowanej fazie i współfinansowane z KPO. Termin ustawowy na osiągnięcie zdolności operacyjnej nowych CSIRT-ów sektorowych to 18 miesięcy od wejścia w życie znowelizowanej UKSC.

Znaczenie sektorowego CSIRT-u dla podmiotu jest praktyczne: to pierwszy adresat zgłoszeń incydentów, źródło rekomendacji specjalistycznych dla branży oraz punkt wsparcia przy obsłudze poważnych incydentów. CSIRT sektorowy zna specyfikę systemów IT branży — dzięki temu może skutecznie doradzić w sytuacji, gdy CSIRT NASK (ogólny) potrzebowałby czasu na analizę kontekstu.

Istniejące CSIRT-y (2025)

W 2025 r. aktywnie funkcjonowały dwa sektorowe zespoły cyberbezpieczeństwa — oba utworzone jeszcze przed wprowadzeniem NIS 2:

CSIRTProwadzącyZakres
CSIRT KNFKomisja Nadzoru FinansowegoSektor bankowy, infrastruktura rynków finansowych, giełda, TFI, domy maklerskie
CSIRT CeZCentrum e-ZdrowiaSektor ochrony zdrowia — szpitale, POZ, laboratoria, apteki

CSIRT KNF (dla bankowości i rynków finansowych) współpracuje ściśle z rozporządzeniem DORA (Digital Operational Resilience Act) — banki i fintechy mają obowiązki raportowania incydentów wynikające zarówno z UKSC, jak i DORA. CSIRT CeZ (dla zdrowia) jest szczególnie ważny po incydentach ransomware 2025 — m.in. w szpitalu MSWiA w Krakowie — i rozwija kompetencje dla urządzeń medycznych (IoMT).

Nowe CSIRT-y 2026

Nowelizacja UKSC przewiduje powołanie kolejnych CSIRT-ów sektorowych. Prace nad nimi ruszyły w 2025 r. przy wsparciu funduszy KPO. Sprawozdanie Pełnomocnika 2025 wymienia trzy zespoły w intensywnej fazie budowy:

CSIRTZakresStatus
CSIRT InfrastrukturaTransport (kolej, lotnictwo, drogi), wodociągi, gospodarka odpadamiW budowie — prace wspierane KPO
CSIRT CyfraDostawcy usług cyfrowych, platformy online, chmury, centra danychW budowie — prace wspierane KPO
CSIRT EnergiaElektroenergetyka, gaz, ciepłownictwo, OZEWskazany w rekomendacjach jako priorytet po ataku wiper 12.2025
18-miesięczny termin operacyjny to ambitne wyzwanie — wobec kryzysu kadrowego (ryzyko 16 pkt w rejestrze Pełnomocnika) i ograniczeń budżetowych, istnieje realne zagrożenie powstania zespołów „spełniających wymogi na papierze”. Sprawozdanie 2025 wprost wskazuje to jako ryzyko systemowe dla KSC.

Mapa właściwości — kto zgłasza dokąd

Z perspektywy podmiotu kluczowego/ważnego najważniejsze jest wiedzieć, do którego CSIRT-u zgłaszać incydenty i po jakie wsparcie sięgać. Poniższa mapa pokrywa typowe sytuacje w 2026 r.:

Typ podmiotuCSIRT sektorowyCSIRT krajowy jako fallback
Bank, TFI, dom maklerskiCSIRT KNFCSIRT NASK
Szpital, POZ, laboratoriumCSIRT CeZCSIRT NASK
Operator kolei / lotnictwa / wodociągówCSIRT Infrastruktura (od 2026)CSIRT NASK
Platforma cyfrowa, dostawca chmuryCSIRT Cyfra (od 2026)CSIRT NASK
Producent / dostawca energii, OZE, ciepłowniaCSIRT Energia (od 2026)CSIRT NASK
Administracja rządowa, KPRM— (brak dedykowanego)CSIRT GOV
Wojsko, MON, sektor obronny— (brak dedykowanego)CSIRT MON
Samorząd, JST, szkoła— (brak dedykowanego)CSIRT NASK
Firma produkcyjna, chemia, żywność— (brak dedykowanego)CSIRT NASK

Zgodnie z art. 11 UKSC termin zgłoszenia incydentu poważnego to 24h (wstępne) i 72h (szczegółowe). Kanał zgłoszenia — platforma S46 lub formularz CSIRT NASK. Jeśli podmiot ma sektorowy CSIRT, zgłasza do niego; sektorowy CSIRT koordynuje z krajowym.

Ryzyko zespołów „fasadowych”

Sprawozdanie Pełnomocnika 2025 identyfikuje trzy główne ryzyka związane z budową nowych sektorowych CSIRT-ów:

  1. Kadry — drastycznie ograniczony rynek ekspertów cyberbezpieczeństwa, konkurencja z sektorem prywatnym; ryzyko, że nowe CSIRT-y zostaną obsadzone przez mniej doświadczonych specjalistów.
  2. Zespoły „fasadowe” — formalne spełnienie wymogów (etaty, regulaminy, procedury) bez rzeczywistej zdolności operacyjnej 24/7; to ryzyko systemowe obniżające odporność całego KSC.
  3. Powielanie kosztów — uruchomienie 3 nowych CSIRT-ów przy istniejących 3 krajowych + 2 sektorowych generuje znaczne koszty infrastruktury i personelu; bez odpowiedniej koordynacji PCOC może dojść do dublowania kompetencji.
Odpowiedzią na te ryzyka ma być formalizacja PCOC jako „jednego okienka” koordynującego ekosystem CSIRT-ów. Szczegóły w artykule PCOC — formalizacja koordynacji KSC.
FAQ4 pytania

Najczęstsze pytania

Co to jest sektorowy CSIRT i czym różni się od krajowego?
Sektorowy CSIRT (Computer Security Incident Response Team) to wyspecjalizowany zespół reagowania na incydenty dla konkretnej branży — zna specyfikę systemów IT sektora (np. bankowość, zdrowie, energia). Krajowy CSIRT (NASK, GOV, MON) obsługuje szeroki zakres podmiotów w swoim obszarze (obywatele/firmy, administracja, wojsko). Różnica: sektorowy ma głęboką specjalizację branżową; krajowy ma szerokie pokrycie i pełni rolę koordynacyjną. Podmiot KSC ze swojego sektora zgłasza incydenty najpierw do CSIRT-u sektorowego (jeśli istnieje), następnie — lub równolegle — do krajowego.
Do jakiego CSIRT-u zgłosić incydent szpital w 2026 roku?
Szpital zgłasza incydenty do CSIRT CeZ (Centrum e-Zdrowia) — to sektorowy zespół cyberbezpieczeństwa dla sektora ochrony zdrowia, funkcjonujący już w 2025 r. Kanał: platforma S46 z automatyczną dystrybucją do właściwego CSIRT. Dodatkowo: jeśli incydent obejmuje dane osobowe pacjentów, równolegle zgłoszenie do UODO w 72h (art. 33 RODO). Terminy UKSC: 24h zgłoszenie wstępne, 72h szczegółowe. Jeśli CSIRT CeZ nie jest dostępny operacyjnie, fallbackiem jest CSIRT NASK.
Kiedy zaczną działać nowe CSIRT-y sektorowe (Infrastruktura, Cyfra, Energia)?
Zgodnie z nowelizacją UKSC termin na osiągnięcie zdolności operacyjnej nowych CSIRT-ów sektorowych to 18 miesięcy od wejścia w życie ustawy. Znowelizowana UKSC weszła w życie 3 kwietnia 2026 r., co oznacza termin operacyjny ok. październik 2027 r. Sprawozdanie Pełnomocnika 2025 wskazuje, że prace nad CSIRT Infrastruktura i CSIRT Cyfra są już zaawansowane (wspierane z KPO); CSIRT Energia jest w fazie projektowania jako odpowiedź na atak wiper z grudnia 2025 r. Do czasu pełnej operacyjności — rolę fallback pełni CSIRT NASK.
Czym jest ryzyko CSIRT-u „fasadowego”?
CSIRT „fasadowy” to zespół spełniający formalne wymogi ustawy (istnieją etaty, regulaminy, procedury), ale nie mający rzeczywistej zdolności operacyjnej — np. nie zapewnia 24/7, nie ma wystarczających kompetencji analitycznych, nie reaguje w krótkim czasie. Sprawozdanie Pełnomocnika 2025 wskazuje to ryzyko wprost jako zagrożenie dla wdrożenia NIS 2. Przyczyny: kryzys kadrowy, ograniczenia budżetowe, 18-miesięczny termin pod presją. Skutek: obniżenie odporności całego systemu KSC — słabe ogniwo sektorowego CSIRT-u pozwala atakującym wykorzystać łańcuch dostaw. Mitygacja: formalizacja PCOC jako koordynatora, standaryzacja wymogów operacyjnych dla wszystkich CSIRT-ów, cykliczne audyty zdolności.
Potrzebujesz wsparcia we wdrożeniu?

Sprawdzimy status Twojej organizacji, wskażemy obowiązki i zaproponujemy ścieżkę do zgodności z KSC. Pierwsza konsultacja bezpłatna.

🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.