przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Jak wygląda procedura reagowania na incydenty według dyrektywy NIS 2?

Jak wygląda procedura reagowania na incydenty według dyrektywy NIS 2?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dalej: dyrektywa NIS 2) znacząco podnosi wymagania dotyczące cyberodporności podmiotów świadczących usługi kluczowe dla gospodarki i społeczeństwa. Jednym z fundamentalnych elementów nowego podejścia jest nie tylko zapobieganie incydentom, ale też przede wszystkim umiejętność ich skutecznego wykrywania, obsługi i zgłaszania.

W tym celu dyrektywa NIS 2 wprowadza precyzyjny, wieloetapowy mechanizm raportowania incydentów, obejmujący: wczesne ostrzeżenie w ciągu 24 godzin, pełne ich zgłoszenie w ciągu 72 godzin oraz raport końcowy sporządzany w terminie do jednego miesiąca. System ten uzupełniają obowiązki dotyczące rzetelnej dokumentacji, analizy przyczyn źródłowych, komunikacji z odbiorcami usług oraz ścisłej współpracy z właściwym CSIRT. 

Celem tak skonstruowanego modelu jest zwiększenie przejrzystości, usprawnienie wymiany informacji o zagrożeniach oraz budowanie odporności całego ekosystemu, zwłaszcza w obszarze incydentów o znaczeniu sektorowym lub transgranicznym.

Ustawodawca unijny, tworząc dyrektywę NIS 2, wyszedł przy tym z realistycznego założenia, że w obecnym krajobrazie cyberzagrożeń, charakteryzującym się rosnącą złożonością ataków, ich wysoką automatyzacją oraz działalnością wyspecjalizowanych grup przestępczych, całkowite wyeliminowanie ryzyka incydentów jest niemożliwe. Nawet najbardziej zaawansowane mechanizmy prewencyjne nie gwarantują pełnej ochrony. Dlatego kluczowe staje się to, jak szybko i skutecznie organizacja potrafi zareagować na zdarzenie, ograniczyć jego skutki oraz utrzymać ciągłość działania.

Czym jest incydent bezpieczeństwa? 

Zgodnie z normą ISO/IEC 27000:2018 incydent bezpieczeństwa to niepożądane zdarzenie lub seria zdarzeń związanych z bezpieczeństwem informacji, które mogą prowadzić do naruszenia jej poufności, integralności lub dostępności, a w konsekwencji zakłócić działalność organizacji. Może to obejmować zarówno celowe działania cyberprzestępców, jak i nieumyślne błędy użytkowników czy awarie techniczne. 

Niezależnie od przyczyny, każdy incydent bezpieczeństwa może wywołać poważne skutki operacyjne, finansowe lub reputacyjne, dlatego jego właściwe wykrywanie i obsługa stanowią kluczowy element zarządzania bezpieczeństwem w każdej organizacji. 

Nie każdy incydent musi jednak zostać zgłoszony do właściwego organu lub CSIRT. Dyrektywa NIS 2 nakłada obowiązek raportowania wyłącznie incydentów poważnych, a więc takich, które wywierają istotny wpływ na funkcjonowanie usług kluczowych lub istotnych. Zgodnie z art. 23 pkt 3 dyrektywy: incydent uznaje się za poważny, jeżeli:

  1. spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;
  2. wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

W praktyce oznacza to, że organizacja musi przeprowadzić ocenę wpływu incydentu oraz udokumentować decyzję o jego zgłoszeniu lub braku zgłoszenia. Tylko incydenty spełniające powyższe kryteria podlegają obowiązkowi raportowania na zewnątrz. Pozostałe incydenty należy obsłużyć wewnętrznie zgodnie z procedurą, ale bez obowiązku notyfikacji do CSIRT.

Procedura reagowania na incydenty

Reakcja na incydenty zgodnie z dyrektywą NIS 2 opiera się na trzech kluczowych terminach, które wyznaczają harmonogram działań raportowych:

  • Krok 1. Wczesne ostrzeżenie (do 24 godzin) – szybka informacja przekazywana do właściwego CSIRT, obejmująca podstawowy opis zdarzenia i wstępną ocenę jego potencjalnego wpływu.
  • Krok 2. Pełne zgłoszenie incydentu (do 72 godzin) – rozszerzone zgłoszenie zawierające szczegółowe ustalenia dotyczące skali i wpływu incydentu.
  • Krok 3. Raport końcowy (do 1 miesiąca) – finalny dokument podsumowujący przebieg incydentu, jego przyczyny, zastosowane działania naprawcze i zapobiegawcze oraz ostateczną ocenę skutków.

Zanim jednak rozpocznie się bieg terminów regulacyjnych, organizacja przechodzi przez etap operacyjny obejmujący wykrycie oraz wstępną analizę zdarzenia. Na tym poziomie kluczowe jest właściwe zdefiniowanie momentu, w którym organizacja formalnie „powzięła wiedzę” o incydencie.

Zbyt wczesne potraktowanie każdego alertu z systemów bezpieczeństwa jako incydentu mogłoby doprowadzić do paraliżu organizacji i eskalacji fałszywych zgłoszeń, a z kolei zbyt późne – do naruszenia terminów raportowania przewidzianych w dyrektywnie NIS 2. W praktyce „powzięcie wiedzy” następuje w momencie potwierdzenia, że zdarzenie nie jest fałszywym alarmem oraz wykazuje cechy poważnego incydentu. Moment ten musi zostać udokumentowany w systemie obsługi incydentów, ponieważ stanowi punkt odniesienia dla wszystkich terminów zgłoszeń wymaganych przez regulatora.

Wczesne ostrzeżenie (do 24 godzin)

Mechanizm wczesnego ostrzeżenia został wprost wprowadzony przez NIS 2 w art. 23 jako pierwszy, najszybszy etap raportowania poważnego incydentu. Jego celem nie jest pełna, dopracowana analiza, lecz jak najszybsze podniesienie „flagi ostrzegawczej” przed organem właściwym, że w danym podmiocie dzieje się coś, co potencjalnie może:

  • mieć istotny wpływ na świadczenie usług,
  • oddziaływać transgranicznie,
  • stanowić zagrożenie także dla innych organizacji (np. wspólni dostawcy, łańcuch dostaw, wspólne systemy). 

Dyrektywa wskazuje wprost, że wczesne ostrzeżenie należy przekazać bez zbędnej zwłoki, nie później jednak niż w ciągu 24 godzin od powzięcia wiedzy o znaczącym incydencie. Nie wymaga się jednak na tym etapie wyczerpującego raportu. Wczesne ostrzeżenie powinno zawierać przede wszystkim:

  1. Podstawowe informacje o incydencie – krótki, ogólny opis zdarzenia, wskazujący na jego charakter i wstępny zakres, np. podejrzenie ataku ransomware w środowisku produkcyjnym lub zakłócenie pracy systemu bilingowego o nieznanej przyczynie.
  2. Charakter zdarzenia – informacje, czy incydent wydaje się wynikać z działań bezprawnych lub złośliwych, takich jak atak phishingowy, złośliwe oprogramowanie lub intruzja, czy też ma cechy awarii technicznej, błędu konfiguracyjnego lub problemu eksploatacyjnego.
  3. Potencjalny wpływ i możliwy zasięg – wstępną ocenę, czy zdarzenie może mieć znaczenie transgraniczne (np. dotyczyć odbiorców w innych państwach UE lub systemów działających w wielu lokalizacjach), a także czy może oddziaływać na inne organizacje, np. poprzez wspólnego dostawcę usług, rozwiązanie chmurowe lub infrastrukturę branżową.
  4. Podstawowe dane identyfikujące podmiot – elementy umożliwiające właściwe przypisanie zgłoszenia, takie jak identyfikacja podmiotu oraz sektor, w którym działa.

Pełne zgłoszenie incydentu (do 72 godzin)

Na etapie pełnego zgłoszenia incydentu organizacja powinna dysponować już wstępnym, ale uporządkowanym rozpoznaniem sytuacji (ang. initial assessment). Chodzi o moment, w którym incydent został zidentyfikowany, wstępnie przeanalizowany i potwierdzony jako zdarzenie spełniające kryteria incydentu poważnego.

Pełne zgłoszenie incydentu powinno zostać przekazane bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin od momentu powzięcia wiedzy o incydencie. W przeciwieństwie do wczesnego ostrzeżenia, które ma charakter sygnałowy, zgłoszenie 72-godzinne ma już dostarczyć merytorycznych, technicznych i operacyjnych informacji. Umożliwiają one:

  • ocenę wagi incydentu przez odpowiedni CSIRT,
  • identyfikację ewentualnych zależności między incydentami w różnych podmiotach,
  • przygotowanie rekomendacji i ostrzeżeń sektorowych,
  • wsparcie innych organizacji poprzez udostępnienie wskaźników kompromitacji.

Pełne zgłoszenie incydentu powinno obejmować elementy, takie jak:

  1. Aktualizacja informacji z wczesnego ostrzeżenia – organizacja uzupełnia i koryguje dane przekazane w pierwszym, 24-godzinnym komunikacie – typowe zmiany dotyczą doprecyzowania rodzaju incydentu, skali zakłóceń czy lepszego zrozumienia wektora ataku.

  2. Wstępna ocena dotkliwości i wpływu:

    • jak bardzo incydent zakłócił lub może zakłócić świadczenie usług (czas trwania, zasięg, liczba użytkowników, systemy krytyczne),
    • jaki jest wpływ na podstawowe procesy biznesowe,
    • czy zaobserwowano utratę lub naruszenie danych, w tym danych osobowych lub informacji szczególnie chronionych,
    • czy wystąpił wpływ na inne organizacje, np. kontrahentów, odbiorców końcowych, podmioty z łańcucha dostaw.

  1. Dostępne wskaźniki kompromitacji (Indicators of Compromise – IoC), np.: 

    • adresy IP – adresy serwerów, z którymi komunikuje się złośliwe oprogramowanie,
    • hashe plików – unikatowe identyfikatory plików, które można porównać z bazami znanych złośliwych programów,
    • nazwy domen – domeny wykorzystywane przez atakujących, możliwe do sprawdzenia pod kątem reputacji,
    • artefakty sieciowe – charakterystyczne wzorce lub anomalie w ruchu sieciowym,
    • artefakty hosta – zmiany w systemie operacyjnym, takie jak zmodyfikowane pliki, klucze rejestru czy nietypowe procesy.

Jeżeli w ciągu 72 godzin nie wszystkie IoC są dostępne, należy przekazać te, którymi organizacja już dysponuje, z zastrzeżeniem, że kolejne informacje będą uzupełniane później (np. w raporcie pośrednim lub końcowym).

Raport pośredni 

Raport pośredni ma charakter dobrowolny. Nie jest składany automatycznie po każdym incydencie, lecz jedynie na wniosek właściwego CSIRT lub organu nadzorczego. Stanowi on narzędzie do bieżącego monitorowania sytuacji w przypadku incydentów, które mają długotrwały, złożony lub rozciągnięty w czasie charakter. W praktyce raport pośredni jest wykorzystywany przede wszystkim przy:

  • trwających kampaniach APT (Advanced Persistent Threat),
  • długotrwałych incydentach ransomware, w których proces przywracania systemów i danych jest stopniowy,
  • incydentach o dużym znaczeniu sektorowym lub transgranicznym, gdzie organ chce na bieżąco śledzić postęp działań naprawczych.

Zakres raportu pośredniego nie jest tak sformalizowany jak zgłoszenie 72-godzinne czy raport końcowy, ale zazwyczaj obejmuje:

  • aktualny status incydentu (czy jest wciąż aktywny, w jakim stopniu został opanowany),
  • postęp działań mitygujących i odtworzeniowych (np. ile systemów przywrócono, które obszary nadal pozostają niedostępne),
  • nowe ustalenia techniczne (np. dodatkowe wskaźniki kompromitacji, nowe wektory ataku ujawnione w trakcie analizy),
  • ocenę bieżącego wpływu na świadczenie usług oraz na użytkowników.

Z punktu widzenia organów nadzorczych i CSIRT raport pośredni pozwala ocenić, czy podmiot właściwie realizuje działania naprawcze, czy potrzebuje dodatkowego wsparcia oraz czy incydent może dalej rozprzestrzeniać się na inne organizacje.

Raport końcowy (do 1 miesiąca)

Raport końcowy jest dokumentem o charakterze analityczno-podsumowującym, który zamyka formalny cykl obsługi incydentu w rozumieniu dyrektywy NIS 2. Ma on na celu nie tylko spełnienie obowiązku regulacyjnego, lecz także udokumentowanie przebiegu zdarzenia, wyciągniętych wniosków oraz wprowadzonych działań naprawczych i zapobiegawczych.

Termin sporządzenia raportu jest ściśle określony w dyrektywie NIS 2. Powinien on zostać przekazany nie później niż miesiąc od złożenia pełnego zgłoszenia incydentu. Jeżeli incydent ma charakter długotrwały i trwa dłużej niż miesiąc, raport końcowy sporządza się miesiąc po jego zakończeniu. Oznacza to, że organizacja ma czas na ustabilizowanie sytuacji, przeprowadzenie dogłębnej analizy technicznej oraz ocenę rzeczywistego wpływu incydentu.

Zakres informacji wymaganych w raporcie końcowym obejmuje w szczególności:

  • szczegółowy opis przebiegu incydentu – chronologiczny zapis kluczowych zdarzeń: sposób wykrycia incydentu, kolejne etapy jego rozwoju, działania podjęte przez zespół techniczny i biznesowy, moment opanowania sytuacji oraz przywracania normalnego funkcjonowania usług;
  • analizę przyczyn źródłowych – odpowiedź na pytanie: „co zawiodło?”, czyli identyfikacja pierwotnej przyczyny incydentu (np. niezałatana podatność, błąd ludzki, brak segmentacji sieci, niewłaściwa konfiguracja, luka w procesach), wraz z opisem czynników sprzyjających eskalacji zdarzenia;
  • zastosowane środki łagodzące – opis działań podjętych zarówno doraźnie (np. blokada kont, odcięcie segmentu sieci, wyłączenie usługi), jak i systemowo (np. zmiana architektury, wdrożenie dodatkowych mechanizmów bezpieczeństwa, aktualizacja procedur czy polityk);
  • ostateczną ocenę wpływu incydentu – w tym na dostępność i jakość świadczonych usług, skutki dla użytkowników, poniesione koszty techniczne i organizacyjne, straty finansowe oraz ewentualne szkody reputacyjne;
  • ocenę wpływu transgranicznego – potwierdzenie lub wykluczenie, czy incydent oddziaływał na inne państwa członkowskie, użytkowników w innych jurysdykcjach lub infrastrukturę wykorzystywaną przez podmioty z innych krajów.

W praktyce raport końcowy powinien również wskazywać działania korygujące i zapobiegawcze, jakie organizacja wdrożyła lub planuje wdrożyć, aby ograniczyć ryzyko wystąpienia podobnego incydentu w przyszłości. Tym samym staje się on ważnym narzędziem nie tylko sprawozdawczym, lecz także rozwojowym i służy budowaniu dojrzałości organizacji w obszarze bezpieczeństwa i stanowi istotny materiał odniesienia przy audytach, przeglądach zarządczych oraz aktualizacji analiz ryzyka.

Komunikacja z odbiorcami usług

Dyrektywa NIS 2 wprowadza również istotny obowiązek informacyjny wobec odbiorców usług, który ma na celu ograniczenie skutków incydentów oraz wzmocnienie odporności całego ekosystemu. Zgodnie z art. 23 ust. 2 państwa członkowskie muszą zapewnić, aby podmioty kluczowe i ważne bez zbędnej zwłoki informowały swoich odbiorców, jeśli poważne cyberzagrożenie może ich dotyczyć.

Przepis stanowi bowiem: jeżeli ma to zastosowanie, państwa członkowskie zapewniają, aby podmioty kluczowe i ważne bez zbędnej zwłoki powiadamiały odbiorców swoich usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych lub innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie. W stosownych przypadkach podmioty te informują również tych odbiorców o samym poważnym cyberzagrożeniu.

Podsumowanie 

Dyrektywa NIS 2 ustanawia jednolity standard reagowania na poważne incydenty, w którym kluczowe znaczenie ma szybkość wykrycia, skuteczność opanowania zdarzenia oraz terminowe raportowanie do właściwego CSIRT. Organizacja powinna jasno zdefiniować moment „powzięcia wiedzy” o incydencie i udokumentować ocenę, czy spełnia on kryteria incydentu poważnego, ponieważ od tego punktu biegną terminy regulacyjne: wczesne ostrzeżenie w ciągu 24 godzin, pełne zgłoszenie w ciągu 72 godzin oraz raport końcowy w terminie do jednego miesiąca. 

Obowiązki te uzupełnia wymóg prowadzenia rzetelnej dokumentacji, analizy przyczyn źródłowych oraz wdrażania działań naprawczych i zapobiegawczych, co wzmacnia dojrzałość organizacyjną i ogranicza ryzyko powtórzenia podobnych zdarzeń. Dyrektywa NIS 2 kładzie również nacisk na odpowiedzialną komunikację z odbiorcami usług, gdy zagrożenie może ich dotyczyć, tak aby mogli podjąć adekwatne działania ochronne. W efekcie procedura reagowania na incydenty staje się nie tylko narzędziem operacyjnym, lecz elementem cyberodporności i przejrzystości, wspierającym bezpieczeństwo całego ekosystemu.

Źródło:

  1. Dyrektywa (UE) 2022/2555 Parlamentu Europejskiego i Rady z 14 grudnia 2022 roku (NIS 2), https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022L2555&from=PL

Polecamy:

KSeF a wybór programu do fakturowania

Jak wygląda zarządzanie ryzykiem w cyberbezpieczeń...
Marzec 2026
05
Czwartek
  • PIT 11
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  3. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
  4. Dyrektywa NIS 2 – jakie obowiązki czekają małe i średnie firmy?
  5. Komunikatory a RODO w pracy – jak korzystać z nich bezpiecznie?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Jak wygląda zarządzanie ryzykiem w cyberbezpieczeństwie według NIS 2?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

III Forum Efektywność w Produkcji: Ludzie i Procesy
AI HR Forum 2026 – HR jako lider zmiany. W centrum człowiek, w tle technologia!
I Love Marketing & Technology wraca na wiosnę z XXI edycją wydarzenia!
HR WEEK 2026: „HR x AI TEAMING - nowe pytania i scenariusze przyszłości”
Nowa konferencja HR w Polsce - inspiracje, networking i praktyka w centrum Łodzi! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów