Po wykryciu incydentu poważnego ustawa KSC uruchamia sztywny zegar zgłoszeń do właściwego CSIRT (operacyjnie przez system S46): wczesne ostrzeżenie w 24 godziny, zgłoszenie incydentu w 72 godziny i raport końcowy zasadniczo w 1 miesiąc. Zegar startuje od wykrycia zdarzenia w organizacji — nie od momentu, gdy dowiedział się zarząd. Poniżej cała procedura i błędy, które najczęściej ją wywracają.
Trzy poziomy zdarzeń — co w ogóle trzeba zgłaszać
- **Incydent** — każde zdarzenie naruszające bezpieczeństwo systemu informacyjnego; obsługiwany wewnętrznie i rejestrowany (także wtedy, gdy nie podlega zgłoszeniu),
- **Incydent poważny** — powoduje lub może spowodować poważne zakłócenie świadczenia usług albo istotne straty finansowe bądź dotyka innych podmiotów lub osób (progi i kryteria doprecyzowują przepisy); **ten uruchamia obowiązek zgłoszenia**,
- **Incydent krytyczny** — o skutkach dla bezpieczeństwa państwa lub znacznej części społeczeństwa; obsługiwany na poziomie krajowym.
Adresatem zgłoszeń jest właściwy CSIRT poziomu krajowego: CSIRT NASK (sektor prywatny i większość podmiotów — domyślny adres dla typowej firmy), CSIRT GOV (administracja i infrastruktura krytyczna) lub CSIRT MON (obszar obronny).
Zegar zgłoszeń: 24h / 72h / raporty / 1 miesiąc
| Termin | Co przekazujesz |
|---|---|
| 24 godziny od wykrycia | Wczesne ostrzeżenie: sygnał, że dzieje się coś poważnego; w tym wskazanie, czy zachodzi podejrzenie działania bezprawnego/złośliwego i czy incydent może mieć skutki transgraniczne. Nie wymaga pełnej analizy — wymaga szybkości. |
| 72 godziny od wykrycia | Zgłoszenie incydentu: aktualizacja wczesnego ostrzeżenia, wstępna ocena charakteru, wagi i skutków, a jeśli są dostępne — wskaźniki naruszenia (IoC). |
| na żądanie CSIRT / gdy incydent trwa | Raport pośredni / o postępach w obsłudze. |
| 1 miesiąc od zgłoszenia | Raport końcowy: szczegółowy opis incydentu, rodzaj zagrożenia i przyczyna źródłowa, zastosowane i planowane środki zaradcze, ewentualne skutki transgraniczne. Jeśli incydent nadal trwa — raport o postępach, a końcowy po zakończeniu obsługi. |
Procedura, która dowozi te terminy
- **Przygotowanie:** role, narzędzia, kontakty, playbooki, umowy i szkolenia — zanim cokolwiek się wydarzy.
- **Wykrycie i triage:** alert, zgłoszenie pracownika lub informacja dostawcy → potwierdzenie, zakres, priorytet, potencjalny wpływ i właściciel zdarzenia.
- **Stwierdzenie incydentu poważnego:** ustalone z góry kryteria klasyfikacji (wpływ na ciągłość usługi, liczba odbiorców, wpływ finansowy, utrata poufności/integralności/dostępności, skutki dla innych podmiotów) i osoba uprawniona do decyzji — od tego momentu biegnie zegar i log decyzji.
- **Wczesne ostrzeżenie w 24h** przez S46, **zgłoszenie w 72h**, raporty zgodnie z tabelą powyżej.
- **Równolegle: ograniczenie i usunięcie przyczyny** — izolacja, blokady, ochrona dowodów, potem bezpieczne odtworzenie usług.
- **Lessons learned:** przyczyna źródłowa, koszty, poprawki, aktualizacja ryzyka i planów.
W trakcie zdarzenia zbieraj od początku: dokładną oś czasu w jednolitej strefie czasowej, objęte systemy i konta, działania atakującego i wskaźniki kompromitacji, podjęte decyzje i osoby zatwierdzające, wpływ operacyjny i finansowy oraz komunikację z dostawcami i organami — z tego materiału powstają kolejne zgłoszenia i raport końcowy.
Najczęstsze błędy
- **Zegar liczony „od dowiedzenia się zarządu”.** Start to wykrycie w organizacji; bez wewnętrznej ścieżki eskalacji liczonej w godzinach termin 24h jest nie do dotrzymania.
- **Zapominanie o RODO.** Przy incydentach naruszających dane osobowe równolegle i niezależnie biegnie 72-godzinny obowiązek zgłoszenia naruszenia do Prezesa UODO — jedno zdarzenie potrafi generować dwa zgłoszenia do dwóch organów na dwóch formularzach. Procedura powinna od razu zawierać ścieżkę oceny „czy to także naruszenie ochrony danych”.
- **Czekanie z gotowością na koniec okresu przejściowego.** Obowiązki incydentowe rozsądnie traktować jako działające od wejścia ustawy w życie — incydent nie poczeka, a interpretacje przepisów przejściowych są rozbieżne. Rekomendacja ostrożnościowa: zgłaszać już teraz.
- **Brak decyzji, kto stwierdza incydent poważny.** Bez wyznaczonej osoby i kryteriów klasyfikacji nikt nie uruchamia zegara — a potem trzeba tłumaczyć opóźnienie.
- **Pusty rejestr incydentów.** Rejestruje się także zdarzenia niepodlegające zgłoszeniu — pusty rejestr w kontroli nie uspokaja, tylko niepokoi.
- **Brak komunikacji awaryjnej.** Plan musi przewidywać, jak porozumiewa się zespół kryzysowy, gdy padnie firmowa poczta i komunikatory.
Zgłoszenia dobrowolne i informowanie odbiorców
Ustawa przewiduje też zgłoszenia dobrowolne — incydentów poniżej progu, zagrożeń i podatności — bez ryzyka, że samo zgłoszenie pogorszy sytuację zgłaszającego. Do tego dochodzi obowiązek informowania odbiorców usług o poważnych zagrożeniach i dostępnych środkach zaradczych, gdy mogą ich dotknąć skutki.
Od wykrycia incydentu w organizacji — nie od momentu, gdy dowiedział się zarząd, i nie od zakończenia analizy. Dlatego kluczowa jest wewnętrzna ścieżka eskalacji liczona w godzinach oraz wyznaczona osoba uprawniona do stwierdzenia incydentu poważnego.
Czy Twoja organizacja dotrzyma 24 godzin?
Samoocena zarządcza sprawdza m.in. gotowość incydentową — a na konsultacji pomożemy ułożyć playbook zgłoszeń 24/72 z rolami i kryteriami klasyfikacji.
Przewodnik po ustawie KSC 2026 (PDF)