Przejdź do treści
nis2.org.plby AYO Solutions
← Blog

Zgłaszanie incydentów 24h/72h/1 miesiąc w NIS2/KSC — procedura i najczęstsze błędy

Opublikowano 16 lipca 2026Igor Bielecki

Stan prawny: 10 lipca 2026 r.

Po wykryciu incydentu poważnego ustawa KSC uruchamia sztywny zegar zgłoszeń do właściwego CSIRT (operacyjnie przez system S46): wczesne ostrzeżenie w 24 godziny, zgłoszenie incydentu w 72 godziny i raport końcowy zasadniczo w 1 miesiąc. Zegar startuje od wykrycia zdarzenia w organizacji — nie od momentu, gdy dowiedział się zarząd. Poniżej cała procedura i błędy, które najczęściej ją wywracają.

Trzy poziomy zdarzeń — co w ogóle trzeba zgłaszać

  • **Incydent** — każde zdarzenie naruszające bezpieczeństwo systemu informacyjnego; obsługiwany wewnętrznie i rejestrowany (także wtedy, gdy nie podlega zgłoszeniu),
  • **Incydent poważny** — powoduje lub może spowodować poważne zakłócenie świadczenia usług albo istotne straty finansowe bądź dotyka innych podmiotów lub osób (progi i kryteria doprecyzowują przepisy); **ten uruchamia obowiązek zgłoszenia**,
  • **Incydent krytyczny** — o skutkach dla bezpieczeństwa państwa lub znacznej części społeczeństwa; obsługiwany na poziomie krajowym.

Adresatem zgłoszeń jest właściwy CSIRT poziomu krajowego: CSIRT NASK (sektor prywatny i większość podmiotów — domyślny adres dla typowej firmy), CSIRT GOV (administracja i infrastruktura krytyczna) lub CSIRT MON (obszar obronny).

Zegar zgłoszeń: 24h / 72h / raporty / 1 miesiąc

TerminCo przekazujesz
24 godziny od wykryciaWczesne ostrzeżenie: sygnał, że dzieje się coś poważnego; w tym wskazanie, czy zachodzi podejrzenie działania bezprawnego/złośliwego i czy incydent może mieć skutki transgraniczne. Nie wymaga pełnej analizy — wymaga szybkości.
72 godziny od wykryciaZgłoszenie incydentu: aktualizacja wczesnego ostrzeżenia, wstępna ocena charakteru, wagi i skutków, a jeśli są dostępne — wskaźniki naruszenia (IoC).
na żądanie CSIRT / gdy incydent trwaRaport pośredni / o postępach w obsłudze.
1 miesiąc od zgłoszeniaRaport końcowy: szczegółowy opis incydentu, rodzaj zagrożenia i przyczyna źródłowa, zastosowane i planowane środki zaradcze, ewentualne skutki transgraniczne. Jeśli incydent nadal trwa — raport o postępach, a końcowy po zakończeniu obsługi.

Procedura, która dowozi te terminy

  1. **Przygotowanie:** role, narzędzia, kontakty, playbooki, umowy i szkolenia — zanim cokolwiek się wydarzy.
  2. **Wykrycie i triage:** alert, zgłoszenie pracownika lub informacja dostawcy → potwierdzenie, zakres, priorytet, potencjalny wpływ i właściciel zdarzenia.
  3. **Stwierdzenie incydentu poważnego:** ustalone z góry kryteria klasyfikacji (wpływ na ciągłość usługi, liczba odbiorców, wpływ finansowy, utrata poufności/integralności/dostępności, skutki dla innych podmiotów) i osoba uprawniona do decyzji — od tego momentu biegnie zegar i log decyzji.
  4. **Wczesne ostrzeżenie w 24h** przez S46, **zgłoszenie w 72h**, raporty zgodnie z tabelą powyżej.
  5. **Równolegle: ograniczenie i usunięcie przyczyny** — izolacja, blokady, ochrona dowodów, potem bezpieczne odtworzenie usług.
  6. **Lessons learned:** przyczyna źródłowa, koszty, poprawki, aktualizacja ryzyka i planów.

W trakcie zdarzenia zbieraj od początku: dokładną oś czasu w jednolitej strefie czasowej, objęte systemy i konta, działania atakującego i wskaźniki kompromitacji, podjęte decyzje i osoby zatwierdzające, wpływ operacyjny i finansowy oraz komunikację z dostawcami i organami — z tego materiału powstają kolejne zgłoszenia i raport końcowy.

Najczęstsze błędy

  1. **Zegar liczony „od dowiedzenia się zarządu”.** Start to wykrycie w organizacji; bez wewnętrznej ścieżki eskalacji liczonej w godzinach termin 24h jest nie do dotrzymania.
  2. **Zapominanie o RODO.** Przy incydentach naruszających dane osobowe równolegle i niezależnie biegnie 72-godzinny obowiązek zgłoszenia naruszenia do Prezesa UODO — jedno zdarzenie potrafi generować dwa zgłoszenia do dwóch organów na dwóch formularzach. Procedura powinna od razu zawierać ścieżkę oceny „czy to także naruszenie ochrony danych”.
  3. **Czekanie z gotowością na koniec okresu przejściowego.** Obowiązki incydentowe rozsądnie traktować jako działające od wejścia ustawy w życie — incydent nie poczeka, a interpretacje przepisów przejściowych są rozbieżne. Rekomendacja ostrożnościowa: zgłaszać już teraz.
  4. **Brak decyzji, kto stwierdza incydent poważny.** Bez wyznaczonej osoby i kryteriów klasyfikacji nikt nie uruchamia zegara — a potem trzeba tłumaczyć opóźnienie.
  5. **Pusty rejestr incydentów.** Rejestruje się także zdarzenia niepodlegające zgłoszeniu — pusty rejestr w kontroli nie uspokaja, tylko niepokoi.
  6. **Brak komunikacji awaryjnej.** Plan musi przewidywać, jak porozumiewa się zespół kryzysowy, gdy padnie firmowa poczta i komunikatory.

Zgłoszenia dobrowolne i informowanie odbiorców

Ustawa przewiduje też zgłoszenia dobrowolne — incydentów poniżej progu, zagrożeń i podatności — bez ryzyka, że samo zgłoszenie pogorszy sytuację zgłaszającego. Do tego dochodzi obowiązek informowania odbiorców usług o poważnych zagrożeniach i dostępnych środkach zaradczych, gdy mogą ich dotknąć skutki.

Od wykrycia incydentu w organizacji — nie od momentu, gdy dowiedział się zarząd, i nie od zakończenia analizy. Dlatego kluczowa jest wewnętrzna ścieżka eskalacji liczona w godzinach oraz wyznaczona osoba uprawniona do stwierdzenia incydentu poważnego.

Czy Twoja organizacja dotrzyma 24 godzin?

Samoocena zarządcza sprawdza m.in. gotowość incydentową — a na konsultacji pomożemy ułożyć playbook zgłoszeń 24/72 z rolami i kryteriami klasyfikacji.

Przewodnik po ustawie KSC 2026 (PDF)

Kwalifikacja, obowiązki, terminy i kary — prostym językiem, do pobrania za e-mail.

Sprawdźmy, na czym stoisz

Bezpłatna, ok. 15-minutowa rozmowa. Ustalimy, czy i jako jaki podmiot podlegasz pod ustawę, jakie masz najbliższe terminy i co warto zrobić w pierwszej kolejności. Bez zobowiązań.

office@ayo-solutions.com