przejdź
przejdź
  2. Serwis Biznesu
  3. Zarządzanie
  4. Zgłaszanie incydentów bezpieczeństwa – jak to zrobić?

Zgłaszanie incydentów bezpieczeństwa – jak to zrobić?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Prawidłowe zgłaszanie incydentów bezpieczeństwa jest kluczowym elementem zarządzania ryzykiem w każdej organizacji, bez względu na jej wielkość czy branżę. Pozwala nie tylko uzyskać fachową pomoc, ale również wypełnić ustawowe obowiązki administratora danych osobowych. Szczególne regulacje dotyczą m.in. jednostek samorządu terytorialnego, które muszą podjąć określone kroki prawne. Każdy incydent należy rozpatrywać na dwóch płaszczyznach: ochrony danych osobowych oraz cyberbezpieczeństwa.

Zgłoszenie incydentu do UODO oraz poinformowanie poszkodowanych

Artykuł 33 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) nakłada na administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego – jedynym wyjątkiem jest sytuacja, gdy ryzyko naruszenia praw lub wolności osób fizycznych jest „mało prawdopodobne”. Unijne rozporządzenie zobowiązuje administratora do zgłoszenia takich incydentów do Urzędu Ochrony Danych Osobowych (dalej: UODO) w ciągu 72 godzin od stwierdzenia naruszenia.

W listopadzie 2024 roku Prezes UODO wydał ważną decyzję (DKN.5131.6.2024) w zakresie analizy skutków naruszenia. W dokumencie przywołano motywy 75 i 76 RODO, które według niego sugerują uwzględnienie zarówno prawdopodobieństwa, jak i powagi zagrożenia praw lub wolności danej osoby. Kluczowa pozostaje ocena ryzyka poprzez pryzmat osoby fizycznej, a nie interesów administratora.

W przypadku ewentualnych wątpliwości co do poziomu ryzyka administrator powinien z daleko idącej ostrożności powiadomić UODO, co wskazano w jednej z decyzji Prezesa UODO (DKN.5131.6.2024).

Przykład 1.

Pracownik zgubił służbowego pendrive’a, na którym znajdowały się dane osobowe. Jeżeli nośnik jest zaszyfrowany, a do uzyskania dostępu do plików potrzeba podania silnego hasła, można ocenić, że ryzyko naruszenia praw lub wolności osób fizycznych jest mało prawdopodobne, więc nie trzeba powiadamiać o tym Prezesa UODO. Należy przy tym pamiętać o każdorazowej analizie pod kątem ryzyka oraz o udokumentowaniu naruszenia.

W tym kontekście ważny jest również art. 34 RODO, który zobowiązuje administratora do poinformowania osób, których dane dotyczą, w przypadku wysokiego ryzyka naruszenia praw i wolności osób fizycznych. Jeśli niemożliwe jest bezpośrednie poinformowanie osób, RODO dopuszcza m.in. opublikowanie publicznego komunikatu.

Zgłoszenie incydentu w JST pod kątem cyberbezpieczeństwa

Podstawowym dokumentem określającym zasady zgłaszania incydentów w zakresie cyberbezpieczeństwa jest Ustawa z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (dalej: uoksc). Wymieniono w niej trzy zespoły reagowania na incydenty bezpieczeństwa komputerowego (tzw. CSIRT-y) na poziomie krajowym: CSIRT NASK, CSIRT GOV (prowadzony przez szefa ABW) oraz CSIRT MON. Art. 2 ust. 9 uoksc definiuje również incydent w podmiocie publicznym, który opisano jako powodujący lub możliwie powodujący obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.

Artykuł 4 uoksc określa podmioty wspomnianego systemu – zaliczono do nich jednostki sektora finansów publicznych, takie jak m.in.:

  • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
  • jednostki samorządu terytorialnego oraz ich związki;
  • jednostki budżetowe;
  • samorządowe zakłady budżetowe;
  • instytucje gospodarki budżetowej;
  • uczelnie publiczne.

Należy również podkreślić, że spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej (art. 1 ust. 2 Ustawy z 20 grudnia 1996 roku o gospodarce komunalnej) są elementem krajowego systemu cyberbezpieczeństwa (dalej: KSC).

Dla podmiotów publicznych kluczowy jest art. 22 ust. 1 pkt. 2 uoksc, ponieważ nakłada on obowiązek niezwłocznego zgłoszenia incydentu do odpowiedniego CSIRT-u. Zgłoszenia należy dokonać w ciągu 24 godzin od wykrycia zdarzenia.

Warto też pamiętać o konieczności wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami KSC, o czym mówi art. 21 ust. 1 uoksc. Wskazano również na obowiązek przekazania danych tej osoby do odpowiedniego CSIRT-u.

Do kogo zgłaszać incydenty, czyli podział CSIRT-ów

W uoksc wyróżniono trzy CSIRT-y na poziomie krajowym. W przypadku zdecydowanej większości podmiotów publicznych (poza administracją na szczeblu rządowym) właściwy CSIRT to ten prowadzony przez NASK, co wskazano w art. 26 ust. 6 uoksc. Oznacza to, że do CSIRT NASK incydenty zgłaszają m.in. jednostki samorządu terytorialnego, uczelnie publiczne, szkoły, ośrodki pomocy społecznej, zakłady gospodarki komunalnej czy instytuty badawcze. 

Obowiązki CSIRT NASK zostały powierzone CERT Polska, działającemu w ramach NASK. Witryna incydent.cert.pl umożliwia zgłoszenie każdego rodzaju incydentu, zarówno podmiotom publicznym, przedsiębiorstwom i osobom prywatnym.

CSIRT GOV odpowiedzialny jest za obsługę incydentów, które miały miejsce m.in. w organach administracji rządowej, ZUS-ie, sądach i trybunałach.

Zgłaszanie incydentów bezpieczeństwa jako firma

Podkreślenia wymaga fakt, że CSIRT NASK obsługuje również incydenty w organizacjach, które nie zostały wymienione wprost, co zostało zawarte w art. 26 ust. 6 pkt 1 lit. k oraz art. 30 ust. 1 uoksc.

Warto jednak podkreślić, że w przypadku większości przedsiębiorstw zgłaszanie incydentów nie jest wymogiem prawnym, lecz niezmiennie jest to zalecane działanie. Mianowicie dzięki temu możliwe jest np. zebranie informacji o nowych rodzajach zagrożeń, co może pozwolić innym organizacjom na uniknięcie podobnych zdarzeń.

Operatorzy usług kluczowych i dostawcy usług cyfrowych

Przedsiębiorstwo może być zobligowane do zgłoszenia incydentu do odpowiedniego CSIRT-u, jeśli jest operatorem usług kluczowych (OUK) lub dostawcą usług cyfrowych (DUC). Zgodnie z art. 5 uoksc operatorem usługi kluczowej jest: podmiot, o którym mowa w załączniku nr 1 do ustawy, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej. Wśród nich wymieniono następujące sektory:

  • energię;
  • transport;
  • bankowość i infrastruktury rynków finansowych;
  • ochronę zdrowia;
  • zaopatrzenie w wodę pitną i jej dystrybucja;
  • infrastrukturę cyfrową.

Dostawców usług cyfrowych wymieniono w załączniku nr 2 do uoksc. Można do nich zaliczyć:

  • internetowe platformy handlowe;
  • usługi przetwarzania w chmurze;
  • wyszukiwarki internetowe.

Co ważne, zarówno dostawcy usług cyfrowych, jak i operatorzy usług kluczowych są zobowiązani do zgłaszania incydentów poważnych w ciągu 24 godzin do odpowiedniego CSIRT-u – podobnie jak w przypadku podmiotów publicznych.

Podsumowanie

Incydenty bezpieczeństwa należy rozpatrywać dwojako, tzn. na bazie ochrony danych osobowych oraz cyberbezpieczeństwa. Zarówno w przypadku zgłoszeń do UODO, jak i CSIRT NASK, zaleca się wykorzystanie dedykowanych formularzy online.

Obecnie procedowany jest nowy projekt ustawy o krajowym systemie cyberbezpieczeństwa, wdrażający zapisy unijnej dyrektywy NIS2 do krajowego porządku prawnego. Jej ostateczny kształt może zmienić niektóre omawiane procedury, szczególnie w zakresie dużych przedsiębiorstw.

Warto pamiętać o odpowiednim przygotowaniu technicznym i organizacyjnym przed wystąpieniem incydentu bezpieczeństwa. Mowa tutaj m.in. o poniższych elementach:

  • analizie ryzyka;
  • wdrożeniu dwuetapowego uwierzytelniania;
  • szyfrowaniu danych;
  • sporządzeniu procedury reagowania na incydenty;
  • stworzeniu planu ciągłości działania;
  • tworzeniu i sprawdzeniu poprawności odtwarzania kopii zapasowych;
  • monitorowaniu infrastruktury sieciowej.

Biorąc pod uwagę stan faktyczny przygotowań polskich JST pod kątem zagrożeń w cyberprzestrzeni, należy wskazać, że w raporcie Najwyższej Izby Kontroli o zapewnieniu bezpieczeństwa informacji oraz ciągłości działania systemów informatycznych w jednostkach samorządu terytorialnego z kwietnia 2025 roku stwierdzono, że w połowie kontrolowanych jednostek wystąpiły nieprawidłowości w zakresie tworzenia, przechowywania lub testowania kopii zapasowych, a w 17 z 24 JST – nie ustanowiono polityk ciągłości działania.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Jak zwinność zmienia oblicze nowoczesnego biznesu?...
Styczeń 2026
22
Czwartek
  • Dzień ustawowo wolny od pracy
  • Remanent początkowy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. AI jako przewaga konkurencyjna o ludzkiej twarzy
  2. Jak zarządzać mądrze w świecie automatyzacji?
  3. Presja zewnętrzna i nowa rzeczywistość przedsiębiorcy
  4. Turkusowa droga Web Innovative Software
  5. Ludzie przed technologią – jak budować kulturę zaufania
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Zarządzanie

Jak zwinność zmienia oblicze nowoczesnego biznesu? – rozmowa z…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

3. Expo HR: TYLKO! SPRAWDZONE ROZWIĄZANIA DLA HR I BIZNESU!
RODO 2.0 – Ochrona danych osobowych na rozdrożu: modernizacja, deregulacja czy zmiana paradygmatu?
VII FORUM HR CHALLENGE POLAND 2026: Jak HR sprosta wyzwaniom nieustającej transformacji?
Mobile Trends Conference 2026 – Najważniejsze wydarzenie technologiczne nadchodzącego roku
Specjaliści SEO i marketerzy spotkają się w Katowicach - nadchodzi 5. edycja CTRL+GROW! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów