przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Co powinien zawierać plan reagowania na incydenty?

Co powinien zawierać plan reagowania na incydenty?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Niezależnie od wielkości czy rodzaju działalności naszej organizacji powinniśmy opracować odpowiednie procedury na wypadek wystąpienia incydentu. Celami ataków padają zarówno podmioty publiczne, jak i przedsiębiorstwa – niezależnie od ich wielkości. Jakie elementy powinien zawierać plan reagowania na incydenty?

Incydenty często wymagają rozpatrywania na dwóch płaszczyznach – cyberbezpieczeństwa oraz ochrony danych osobowych. Do najważniejszych aktów prawnych w tym zakresie należy zaliczyć Ustawę o Krajowym Systemie Cyberbezpieczeństwa (UoKSC) i unijne Ogólne rozporządzenie o ochronie danych (RODO). Tworzenie planu reagowania na incydenty powinno uwzględniać oba akty prawne – szczególnie w przypadku JST.

Elementy planu reagowania na incydenty

Zgodnie z opracowaniem „Najlepsze praktyki obsługi incydentu naruszenia cyberbezpieczeństwa związanego z atakiem ransomware w podmiocie publicznym” zbiorowego autorstwa, dostępnym w witrynie gov.pl, powinniśmy wyróżnić cztery główne elementy reagowania na incydenty. W cytowanym dokumencie „SP 800-61r2” amerykańskiego NIST (Narodowego Instytutu Standaryzacji i Technologii) wyróżnia się cztery główne etapy obsługi incydentu:

  • przygotowanie;
  • detekcja i analiza;
  • powstrzymanie, usunięcie i odtworzenie;
  • aktywność po incydencie.

UoKSC a JST

Ustawa o Krajowym Systemie Cyberbezpieczeństwa określa kilka ważnych wymogów dla jednostek samorządu terytorialnego, które powinny zostać podjęte jeszcze przed wystąpieniem incydentu. Zgodnie z art. 26 ust. 6 oraz art. 22 ust.1 pkt 2 ustawy jednostki sektora finansów publicznych, takie jak m.in. JST i jednostki budżetowe, są zobowiązane do niezwłocznego zgłoszenia incydentu do odpowiedniego CSIRT-u poziomu krajowego (w ciągu 24 godzin). W przypadku wymienionych instytucji będzie nim CSIRT NASK, którego obowiązki pełni CERT Polska.

Artykuł 2 pkt 9 UoKSC definiuje incydent w podmiocie publicznym jako powodujący lub mogący powodować „obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny”, do których zaliczają się m.in. poniższe podmioty:

  • jednostki samorządu terytorialnego oraz ich związki,
  • jednostki budżetowe,
  • samorządowe zakłady budżetowe,
  • agencje wykonawcze,
  • instytucje gospodarki budżetowej,
  • uczelnie publiczne.

W zakresie reagowania na incydenty kluczowy jest art. 21 ust. 1 UoKSC – jednostki publiczne są zobowiązane do wskazania osoby odpowiedzialnej za kontakt z podmiotami KSC. Zgodnie z art. 22 ust. 1 pkt 5 ustawy podmioty publiczne mają 14 dni na poinformowanie o wyznaczeniu lub zmianie osoby kontaktowej. Wypełnienie ustawowego obowiązku jest możliwe poprzez witrynę incydent.cert.pl.

Ochrona danych a plan reagowania

Plan reagowania na incydenty powinien również uwzględniać działania podczas naruszenia ochrony danych osobowych. Mowa tutaj przede wszystkim o zgłaszaniu zdarzeń do organu nadzorczego (art. 33 RODO) oraz informowaniu osób o naruszeniu (art. 34 RODO). Warto pamiętać o tym, że art. 33 ust. 5 rozporządzenia nakłada na administratora obowiązek dokumentowania naruszeń wraz z opisem skutków oraz podjętych działań zaradczych.

W przypadku stwierdzenia incydentu skutkującego naruszeniem ochrony danych osobowych kluczowe jest niezwłoczne zgłoszenie tego faktu do UODO – nie później niż w ciągu 72 godzin (art. 33 ust. 1 RODO).

W ocenie tego, czy określony incydent wymaga zgłoszenia do UODO lub poinformowania osób, kluczowa pozostaje analiza prawdopodobieństwa ryzyka naruszenia praw i wolności osób fizycznych. Decyzje Prezesa UODO (m.in. DKN.5131.6.2024) pokazują, że w razie jakichkolwiek wątpliwości rekomenduje się zgłoszenie zdarzenia do organu „z daleko idącej ostrożności”.

Obsługa incydentu

W przytoczonym poradniku zbiorowego autorstwa wskazano na konieczność rozważenia współpracy z zewnętrznymi podmiotami, szczególnie w zakresie przywracania ciągłości działania. Dokument pokazuje również bardzo ważny, ludzki aspekt reagowania na incydenty – powinniśmy unikać zaangażowania „znacznej liczby osób, z których każda pracuje niezależnie”, zamiast współdziałania specjalistów. Rekomendacja pochodzi z 1997 roku i wciąż pozostaje aktualna (RFC 2196 Site Security Handbook, 5.2.1).

W przypadku wystąpienia incydentu zarówno z zakresu ochrony danych, jak i ataku ransomware, ważne pozostaje wcześniejsze określenie roli dla poszczególnych osób, aby sprawa nie stała się tzw. gorącym kartoflem – sprawą, którą nikt nie chce się zająć. Spisanie procedur wraz z osobą odpowiedzialną za dane zagadnienie pozwala na uporządkowanie działań. Kluczowe jest wyznaczenie osób decyzyjnych i odpowiedzialnych za określone czynności.

Komunikowanie incydentu

Kolejnym ważnym elementem obsługi incydentów jest komunikacja – zarówno zewnętrzna, jak i wewnętrzna. Pracownicy powinni mieć możliwość zapoznania się z jasnymi zasadami w zakresie tego, jakich informacji mogą udzielać lub z kim powinni się kontaktować w ramach organizacji. Plan reagowania na incydenty powinien wyznaczać osoby odpowiedzialne za m.in.:

  • zgłoszenie incydentu do UODO,
  • kontakt z CSIRT-ami,
  • odpowiadanie na zapytania prasowe,
  • przekazywanie informacji właściwym organom w przypadku podejrzenia popełnienia przestępstwa (np. policją lub prokuraturą).

Praktyka pokazuje, że w komunikacji podstawą jest przekazywanie prawdziwych informacji i nieunikanie trudnych pytań wraz z dawkowaniem wiedzy przekazanej publicznie wraz ze spójnością komunikatów. Warto również używać precyzyjnych wyrażeń oraz podkreślać ew. różnicę między stwierdzeniem naruszenia ochrony danych a potencjalnym wyciekiem plików.

Gdzie analizować informacje?

Bardzo ważnym elementem planu reagowania na incydenty jest wcześniejsze ustalenie systemów, które mogą zawierać cenne informacje pod kątem naruszeń poufności, integralności i dostępności danych. Poradnik „Najlepsze praktyki obsługi incydentu naruszenia cyberbezpieczeństwa związanego z atakiem ransomware w podmiocie publicznym” wymienia m.in. dzienniki zdarzeń systemowych oraz logi z urządzeń sieciowych. Określenie tego, co powinno zostać zarchiwizowane do późniejszej analizy, jest bardzo ważne i wymaga znajomości zasobów organizacji.

Aspekty praktyczne

Ataki ransomware na podmioty publiczne pokazują bardzo ważną rzecz – kopia zapasowa powinna być odseparowana w sposób, który uniemożliwia jej zaszyfrowanie. Taka sytuacja miała miejsce podczas cyberataku na Starostwo Powiatowe w Jędrzejowie.

Pamiętajmy, że jednym z głównych elementów ataków ransomware jest szyfrowanie danych. Warto sporządzić kopie niektórych dokumentów w formie „papierowej” (wydruku) – mowa tu m.in. o wewnętrznych i zewnętrznych numerach telefonu komórkowego czy samym planie reagowania na incydenty.

Sama obsługa incydentu nie powinna się kończyć na odtworzeniu danych – organizacja powinna „wyciągnąć lekcje” z incydentu. Widzimy to często w decyzjach UODO w zakresie podjętych środków zaradczych po naruszeniu ochrony danych osobowych, które mogą pomóc nam w tzw. hardeningu (dosł. utwardzaniu) naszej infrastruktury informatycznej.

W poradniku dotyczącym wdrożenia NIS2 od ENISA z czerwca 2025 roku (ang. NIS2 Technical Implementation Guidance) podkreślono konieczność dopasowania polityki obsługi incydentów do planu ciągłości działania (ang. business continuity planning – BCP) oraz planu odtwarzania po awarii (ang. Disaster Recovery Plan – DRP).

W raporcie Najwyższej Izby Kontroli „Zapewnienie bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych w jednostkach samorządu terytorialnego” z 2025 roku stwierdzono, że w ponad 70% skontrolowanych obiektów (17 z 24) nie ustanowiono polityk ciągłości działania, a w połowie obiektów nie było wspomnianych wyżej planów BCP i DRP. Pokazuje to, że przed podjęciem działań w zakresie planu reagowania na incydenty warto sporządzić audyt infrastruktury oraz przeanalizować zgodność z normami.

Plan reagowania na incydenty, podobnie jak analiza ryzyka, nie powinny być jedynie jednorazowo sporządzonymi dokumentami – warto pamiętać o aktualizacji zapisów stosownie do zmian w zakresie infrastruktury informatycznej czy obowiązków osób wyznaczonych do pełnienia określonych ról.

W ramach obsługi incydentu nie wolno zapominać o przekazywaniu informacji nie tylko dla mediów czy organów państwowych, lecz również dla pracowników (lub klientów), którzy nie mogą być pomijani w tym procesie – osoby nie powinny dowiadywać się o wycieku ich danych np. z mediów.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

NIS2 i KSC2 w Polsce: Sprawdź w kilka minut czy Tw...
Marzec 2026
30
Poniedziałek
  • PIT 11
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Księgowi na celowniku cyberoszustów – najczęstsze metody ataku
  2. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  3. NIS2 i KSC2 w Polsce: Sprawdź w kilka minut czy Twoja firma podlega ustawom
  4. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  5. Jak wygląda procedura reagowania na incydenty według dyrektywy NIS 2?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

NIS2 i KSC2 w Polsce: Sprawdź w kilka minut czy Twoja firma podlega…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Nowoczesne trendy kształtujące widoczność i prawa osób z niepełnosprawnościami - Konferencja Fundacji Avalon
Spotkanie Liderów Finansów: dwa dni rozmów o przyszłości bankowości, ubezpieczeń i fintech
Energetyka – Społeczeństwo – Gospodarka. Przed nami 43. Konferencja Energetyczna EuroPOWER & OZE POWER
III Forum Efektywność w Produkcji: Ludzie i Procesy
AI HR Forum 2026 – HR jako lider zmiany. W centrum człowiek, w tle technologia! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów