Współpraca6 min czytania

Wymiana informacji o cyberbezpieczeństwie między podmiotami KSC

Ramy prawne wymiany informacji

Art. 8h ustawy o KSC ustanawia dobrowolne ramy wymiany informacji dotyczących cyberbezpieczeństwa. Wymiana może odbywać się między podmiotami kluczowymi, podmiotami ważnymi, CSIRT-ami (MON, NASK, GOV, sektorowymi), dostawcami sprzętu lub oprogramowania oraz organizacjami społecznymi zrzeszającymi podmioty KSC.

Zakres wymienianych informacji

  • Informacje o cyberzagrożeniach i potencjalnych zdarzeniach dla cyberbezpieczeństwa
  • Informacje o podatnościach w produktach ICT i usługach ICT
  • Techniki i procedury stosowane przez atakujących
  • Oznaki naruszenia integralności systemu informacyjnego (IoC)
  • Wrogie taktyki (TTP — Tactics, Techniques and Procedures)
  • Ostrzeżenia dotyczące cyberbezpieczeństwa i zalecenia konfiguracyjne
  • Informacje o grupach przestępczych

Warunki dopuszczalności

Wymiana jest dopuszczalna, jeżeli: (1) ma na celu zapobieganie incydentom, ich wykrywanie, reagowanie na nie, przywracanie normalnego działania lub łagodzenie skutków, lub (2) zwiększa poziom cyberbezpieczeństwa, w szczególności przez podnoszenie świadomości, ograniczanie rozprzestrzeniania się zagrożeń, ujawnianie podatności lub sprzyjanie współpracy publiczno-prywatnej (art. 8h ust. 2).

Wymieniając informacje za pomocą systemu S46, nie przekazuje się danych osobowych (art. 8h ust. 5). Podmiot oznacza zakres odbiorców informacji — odbiorca może ją udostępniać wyłącznie w zakresie określonym przez wytwórcę (art. 8h ust. 4).

Porozumienia i kanały wymiany

Wymiana informacji może odbywać się za pomocą systemu S46, systemów teleinformatycznych zapewnianych przez organy właściwe lub w drodze porozumień (art. 8h ust. 3 i 6). Podmioty mogą zawierać porozumienia określające sposób wymiany informacji i zachowania ich w poufności. Koszty porozumień ponoszą strony w równych częściach, chyba że postanowiono inaczej.

Wymiana informacji o cyberzagrożeniach jest dobrowolna, ale stanowi ważny element budowania zbiorowej odporności. Podmioty mogą również dobrowolnie zgłaszać do CSIRT-ów informacje o incydentach niepodlegających obowiązkowemu zgłoszeniu, o cyberzagrożeniach, wynikach szacowania ryzyka, podatnościach i wykorzystywanych technologiach (art. 13).
Spis treści
Ramy prawne wymiany informacji
Zakres wymienianych informacji
Warunki dopuszczalności
Porozumienia i kanały wymiany
Potrzebujesz wsparcia?

Pomagamy we wdrożeniu KSC od identyfikacji statusu po pełny audyt.

Pozostałe artykuły
KlasyfikacjaPodmiot kluczowy vs. podmiot ważny — jak ustalić swój status?WdrożenieSystem zarządzania bezpieczeństwem informacji wg Załącznika nr 4KaryKary finansowe w znowelizowanej ustawie o KSCIncydentyRaportowanie incydentów — terminy, formularze i proceduryAudytAudyt bezpieczeństwa — kto, kiedy i jak go przeprowadzić?ZarządzanieOdpowiedzialność kierownika podmiotu — co musisz wiedziećWykazRejestracja w wykazie podmiotów kluczowych i ważnych — procedura i system S46Łańcuch dostawZarządzanie bezpieczeństwem łańcucha dostaw według KSCDostawcyDostawca wysokiego ryzyka — procedura uznania i obowiązki podmiotów KSCNadzórNadzór nad podmiotami KSC — tryb ex ante i ex postTerminyKalendarz wdrożenia KSC 2026–2028 — kluczowe daty dla podmiotówSektor finansowyRelacja KSC i rozporządzenia DORA — obowiązki sektora finansowegoPersonelWeryfikacja niekaralności personelu — wymóg art. 8f ustawy o KSCKlasyfikacjaNiezależność systemów informacyjnych — kiedy nie podlegasz KSC mimo przekroczenia progów
ksc.EXPERTIdealdata Sp. z o.o. · Chwaszczyno k. Gdańska
© 2026 Idealdata Sp. z o.o.Informacje mają charakter informacyjny i nie stanowią opinii prawnej.
🍪 Szanujemy Twoją prywatność

Ta strona wykorzystuje wyłącznie niezbędne pliki cookie zapewniające prawidłowe działanie serwisu (np. zapamiętanie Twojego wyboru w tym oknie). Nie stosujemy plików cookie marketingowych ani analitycznych. Szczegóły znajdziesz w polityce prywatności.