Przejdź do treści
nis2.org.plby AYO Solutions

Jak wdrożyć

Zarządzanie incydentami i raportowanie NIS2/KSC

Incydent nie zaczyna się w chwili wysłania zgłoszenia do organu. Zaczyna się od sygnału, który trzeba zauważyć, ocenić, ograniczyć i właściwie eskalować. Organizacja musi przygotować ludzi, dane, narzędzia i decyzje przed zdarzeniem, ponieważ terminy raportowania są krótkie, a informacje na początku niepełne.

Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0

Odpowiedź w 30 sekund

  • zbuduj jeden proces od wykrycia do lessons learned
  • ustal kryteria poważnego incydentu
  • uruchamiaj zegar i log decyzji od momentu stwierdzenia zdarzenia
  • przygotuj playbook zgłoszeń 24/72/1 miesiąc
  • zapewnij zastępstwa i komunikację awaryjną
  • ćwicz scenariusze z udziałem zarządu, biznesu, prawa i komunikacji

Fazy obsługi incydentu

  1. 1

    Przygotowanie

    role, narzędzia, kontakty, playbooki, umowy i szkolenia

  2. 2

    Wykrycie

    alert, zgłoszenie pracownika, informacja dostawcy lub organu

  3. 3

    Triage

    potwierdzenie, zakres, priorytet, potencjalny wpływ i właściciel

  4. 4

    Ograniczenie

    izolacja, blokady, ochrona dowodów i ograniczenie propagacji

  5. 5

    Usunięcie przyczyny

    konta, podatność, złośliwe oprogramowanie, konfiguracja lub dostawca

  6. 6

    Odtworzenie

    bezpieczne przywrócenie usług i walidacja biznesowa

  7. 7

    Raportowanie i komunikacja

    S46/CSIRT, organ, RODO, klienci, pracownicy i media zależnie od zdarzenia

  8. 8

    Lessons learned

    przyczyna źródłowa, koszty, poprawki, aktualizacja ryzyka i planów

Role

RolaOdpowiedzialność
Incident Commanderprowadzi zdarzenie, priorytety i decyzje operacyjne
Lider technicznyanaliza techniczna, izolacja, usunięcie i odtworzenie
Właściciel biznesowyocenia wpływ na usługę, klientów, bezpieczeństwo i priorytety
Prawo / DPO / Complianceocenia obowiązki zgłoszeniowe i treść komunikacji
Komunikacjakomunikaty wewnętrzne i zewnętrzne
Zarząd / sztab kryzysowydecyzje strategiczne, budżet, ryzyko i eskalacja
Sekretarz incydentuprowadzi oś czasu, log decyzji i listę dowodów
Dostawcyrealizują uzgodnione działania i dostarczają dane zgodnie z umową

Jedna osoba może pełnić kilka ról w mniejszej organizacji, ale zastępstwa i uprawnienia muszą być jawne.

Klasyfikacja

  • wpływ na ciągłość ważnej usługi
  • liczba użytkowników lub odbiorców, czas trwania i zasięg geograficzny
  • wpływ finansowy
  • utrata poufności, integralności, dostępności lub autentyczności
  • zagrożenie zdrowia, życia, środowiska lub produkcji
  • skutki dla innych podmiotów i charakter danych
  • prawdopodobieństwo dalszego rozprzestrzenienia
  • udział dostawcy lub podwykonawcy
  • możliwość spełnienia przesłanek „poważnego incydentu”

Playbook raportowania

W ciągu 24 godzin

Przygotować wczesne ostrzeżenie zawierające informacje dostępne na tym etapie, w szczególności wskazujące charakter zdarzenia, podejrzenie działania bezprawnego lub transgranicznego i podstawowe skutki — zgodnie z aktualnymi wymaganiami formularza oraz właściwego CSIRT.

W ciągu 72 godzin

Uzupełnić ocenę, klasyfikację, wpływ, wskaźniki kompromitacji oraz działania podjęte lub planowane. Potwierdzić osoby odpowiedzialne i dalszy rytm aktualizacji.

Raport końcowy

Zasadniczo w ciągu miesiąca przygotować przyczynę, pełny przebieg, wpływ, zastosowane środki, ograniczenie i działania naprawcze. Jeżeli incydent trwa, stosować właściwy tryb raportu okresowego i końcowego.

Terminy nie zastępują analizy właściwego obowiązku

Jedno zdarzenie może równocześnie uruchamiać obowiązki KSC, RODO, sektorowe, umowne, ubezpieczeniowe i informacyjne. Playbook powinien zawierać macierz obowiązków i ich właścicieli.

Dane, które trzeba zbierać

  • dokładna oś czasu w jednolitej strefie czasowej i źródło wykrycia
  • systemy, konta, dane i lokalizacje; użytkownicy i odbiorcy usług
  • działania atakującego i wskaźniki kompromitacji
  • podjęte decyzje i osoby zatwierdzające
  • wpływ operacyjny i finansowy, czasy przestoju
  • komunikacja z dostawcami i organami
  • obrazy, logi i artefakty techniczne; stan kopii i odtworzenia
  • koszty oraz działania następcze

Minimalne playbooki

  • ransomware
  • phishing i przejęcie poczty
  • przejęcie konta uprzywilejowanego
  • wyciek lub nieuprawnione ujawnienie danych
  • niedostępność usługi lub DDoS
  • podatność aktywnie wykorzystywana
  • incydent dostawcy lub chmury
  • utrata urządzenia
  • naruszenie OT/produkcji
  • utrata podstawowej lokalizacji lub łączności
  • zagrożenie wewnętrzne
  • fałszywy przelew / BEC

Ćwiczenia

Ćwiczenie typu tabletop powinno sprawdzać nie tylko technikę, ale również:

  • czy ktoś potrafi stwierdzić poważny incydent
  • kto uruchamia S46 i kto zatwierdza komunikat
  • jak działa organizacja bez poczty i komunikatora
  • czy zarząd rozumie warianty decyzji
  • czy dostępne są dane kontaktowe dostawców
  • czy można bezpiecznie odtworzyć usługę
  • czy rejestrowane są decyzje
  • czy zespół zna granice komunikacji publicznej

Mierniki

  • średni czas wykrycia, kwalifikacji i ograniczenia
  • czas powiadomienia osób decyzyjnych
  • procent incydentów z kompletną osią czasu
  • procent działań po incydencie zamkniętych w terminie
  • pokrycie kluczowych scenariuszy playbookami
  • liczba testów i ćwiczeń
  • procent dostawców spełniających umowne SLA zgłoszeniowe
  • jakość danych wymaganych do raportu

Najczęstsze błędy

  • brak właściciela klasyfikacji
  • rozpoczynanie dokumentowania po kilku godzinach
  • używanie skompromitowanej poczty do koordynacji
  • usuwanie artefaktów przed zabezpieczeniem dowodów
  • brak udziału biznesu w ocenie wpływu
  • dostawca SOC bez jasnego obowiązku eskalacji
  • nieuzgodnione komunikaty do klientów
  • brak analizy przyczyny źródłowej
  • zamknięcie incydentu bez aktualizacji ryzyka, BCP i zabezpieczeń

Powiązane materiały

Źródła i podstawa opracowania

Igor Bielecki

CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA

O zespole

Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.

Porozmawiajmy o Twojej sytuacji

Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.

igor.bielecki@gmail.com