Jak wdrożyć
Zarządzanie incydentami i raportowanie NIS2/KSC
Incydent nie zaczyna się w chwili wysłania zgłoszenia do organu. Zaczyna się od sygnału, który trzeba zauważyć, ocenić, ograniczyć i właściwie eskalować. Organizacja musi przygotować ludzi, dane, narzędzia i decyzje przed zdarzeniem, ponieważ terminy raportowania są krótkie, a informacje na początku niepełne.
Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0
Odpowiedź w 30 sekund
- zbuduj jeden proces od wykrycia do lessons learned
- ustal kryteria poważnego incydentu
- uruchamiaj zegar i log decyzji od momentu stwierdzenia zdarzenia
- przygotuj playbook zgłoszeń 24/72/1 miesiąc
- zapewnij zastępstwa i komunikację awaryjną
- ćwicz scenariusze z udziałem zarządu, biznesu, prawa i komunikacji
Fazy obsługi incydentu
- 1
Przygotowanie
role, narzędzia, kontakty, playbooki, umowy i szkolenia
- 2
Wykrycie
alert, zgłoszenie pracownika, informacja dostawcy lub organu
- 3
Triage
potwierdzenie, zakres, priorytet, potencjalny wpływ i właściciel
- 4
Ograniczenie
izolacja, blokady, ochrona dowodów i ograniczenie propagacji
- 5
Usunięcie przyczyny
konta, podatność, złośliwe oprogramowanie, konfiguracja lub dostawca
- 6
Odtworzenie
bezpieczne przywrócenie usług i walidacja biznesowa
- 7
Raportowanie i komunikacja
S46/CSIRT, organ, RODO, klienci, pracownicy i media zależnie od zdarzenia
- 8
Lessons learned
przyczyna źródłowa, koszty, poprawki, aktualizacja ryzyka i planów
Role
| Rola | Odpowiedzialność |
|---|---|
| Incident Commander | prowadzi zdarzenie, priorytety i decyzje operacyjne |
| Lider techniczny | analiza techniczna, izolacja, usunięcie i odtworzenie |
| Właściciel biznesowy | ocenia wpływ na usługę, klientów, bezpieczeństwo i priorytety |
| Prawo / DPO / Compliance | ocenia obowiązki zgłoszeniowe i treść komunikacji |
| Komunikacja | komunikaty wewnętrzne i zewnętrzne |
| Zarząd / sztab kryzysowy | decyzje strategiczne, budżet, ryzyko i eskalacja |
| Sekretarz incydentu | prowadzi oś czasu, log decyzji i listę dowodów |
| Dostawcy | realizują uzgodnione działania i dostarczają dane zgodnie z umową |
Jedna osoba może pełnić kilka ról w mniejszej organizacji, ale zastępstwa i uprawnienia muszą być jawne.
Klasyfikacja
- wpływ na ciągłość ważnej usługi
- liczba użytkowników lub odbiorców, czas trwania i zasięg geograficzny
- wpływ finansowy
- utrata poufności, integralności, dostępności lub autentyczności
- zagrożenie zdrowia, życia, środowiska lub produkcji
- skutki dla innych podmiotów i charakter danych
- prawdopodobieństwo dalszego rozprzestrzenienia
- udział dostawcy lub podwykonawcy
- możliwość spełnienia przesłanek „poważnego incydentu”
Playbook raportowania
W ciągu 24 godzin
Przygotować wczesne ostrzeżenie zawierające informacje dostępne na tym etapie, w szczególności wskazujące charakter zdarzenia, podejrzenie działania bezprawnego lub transgranicznego i podstawowe skutki — zgodnie z aktualnymi wymaganiami formularza oraz właściwego CSIRT.
W ciągu 72 godzin
Uzupełnić ocenę, klasyfikację, wpływ, wskaźniki kompromitacji oraz działania podjęte lub planowane. Potwierdzić osoby odpowiedzialne i dalszy rytm aktualizacji.
Raport końcowy
Zasadniczo w ciągu miesiąca przygotować przyczynę, pełny przebieg, wpływ, zastosowane środki, ograniczenie i działania naprawcze. Jeżeli incydent trwa, stosować właściwy tryb raportu okresowego i końcowego.
Terminy nie zastępują analizy właściwego obowiązku
Jedno zdarzenie może równocześnie uruchamiać obowiązki KSC, RODO, sektorowe, umowne, ubezpieczeniowe i informacyjne. Playbook powinien zawierać macierz obowiązków i ich właścicieli.
Dane, które trzeba zbierać
- dokładna oś czasu w jednolitej strefie czasowej i źródło wykrycia
- systemy, konta, dane i lokalizacje; użytkownicy i odbiorcy usług
- działania atakującego i wskaźniki kompromitacji
- podjęte decyzje i osoby zatwierdzające
- wpływ operacyjny i finansowy, czasy przestoju
- komunikacja z dostawcami i organami
- obrazy, logi i artefakty techniczne; stan kopii i odtworzenia
- koszty oraz działania następcze
Minimalne playbooki
- ransomware
- phishing i przejęcie poczty
- przejęcie konta uprzywilejowanego
- wyciek lub nieuprawnione ujawnienie danych
- niedostępność usługi lub DDoS
- podatność aktywnie wykorzystywana
- incydent dostawcy lub chmury
- utrata urządzenia
- naruszenie OT/produkcji
- utrata podstawowej lokalizacji lub łączności
- zagrożenie wewnętrzne
- fałszywy przelew / BEC
Ćwiczenia
Ćwiczenie typu tabletop powinno sprawdzać nie tylko technikę, ale również:
- czy ktoś potrafi stwierdzić poważny incydent
- kto uruchamia S46 i kto zatwierdza komunikat
- jak działa organizacja bez poczty i komunikatora
- czy zarząd rozumie warianty decyzji
- czy dostępne są dane kontaktowe dostawców
- czy można bezpiecznie odtworzyć usługę
- czy rejestrowane są decyzje
- czy zespół zna granice komunikacji publicznej
Mierniki
- średni czas wykrycia, kwalifikacji i ograniczenia
- czas powiadomienia osób decyzyjnych
- procent incydentów z kompletną osią czasu
- procent działań po incydencie zamkniętych w terminie
- pokrycie kluczowych scenariuszy playbookami
- liczba testów i ćwiczeń
- procent dostawców spełniających umowne SLA zgłoszeniowe
- jakość danych wymaganych do raportu
Najczęstsze błędy
- brak właściciela klasyfikacji
- rozpoczynanie dokumentowania po kilku godzinach
- używanie skompromitowanej poczty do koordynacji
- usuwanie artefaktów przed zabezpieczeniem dowodów
- brak udziału biznesu w ocenie wpływu
- dostawca SOC bez jasnego obowiązku eskalacji
- nieuzgodnione komunikaty do klientów
- brak analizy przyczyny źródłowej
- zamknięcie incydentu bez aktualizacji ryzyka, BCP i zabezpieczeń
Przygotuj się, zanim zadzwoni telefon
Powiązane materiały
Źródła i podstawa opracowania
Igor Bielecki
CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA
Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.
Porozmawiajmy o Twojej sytuacji
Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.
igor.bielecki@gmail.com