przejdź
przejdź
  2. Serwis Prawny
  3. Ochrona danych
  4. Zgłaszanie incydentów NIS 2 – jakie są nowe obowiązki dla firm?

Zgłaszanie incydentów NIS 2 – jakie są nowe obowiązki dla firm?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dalej: dyrektywa NIS 2) wprowadza jednolite, bardziej rygorystyczne niż dotychczas, zasady zgłaszania incydentów bezpieczeństwa, które mają na celu zwiększenie odporności cyfrowej podmiotów kluczowych i ważnych w całej Unii Europejskiej. Nowe regulacje precyzują nie tylko katalog incydentów podlegających obowiązkowi notyfikacji, lecz także określają szczegółowe terminy, zakres przekazywanych informacji oraz wymogi dotyczące współpracy z właściwymi organami krajowymi i CSIRT. W tym artykule omawiamy zgłaszanie incydentów NIS 2.

Zgłaszanie incydentów NIS 2 - obowiązki

Podmioty kluczowe i ważne bez zbędnej zwłoki zgłaszają swojemu właściwemu CSIRT (ang. Computer Security Incident Response Team) lub – jeżeli ma to zastosowanie – swojemu właściwemu organowi poważny incydent, mający istotny wpływ na świadczenie przez nie usług.

W stosownych przypadkach podmioty bez zbędnej zwłoki powiadamiają odbiorców usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na ich świadczenie.

Zgłoszeniu podlegać powinny m.in. informacje umożliwiające CSIRT lub właściwemu organowi ustalenie transgranicznego wpływu incydentu. Samo zgłoszenie nie nakłada na podmiot zgłaszający zwiększonej odpowiedzialności.

Jeżeli dane podmioty zgłoszą poważny incydent właściwemu organowi, państwo członkowskie zapewnia, aby ten właściwy organ po otrzymaniu zgłoszenia przekazał je CSIRT.

Podmioty kluczowe i ważne bez zbędnej zwłoki powiadamiają odbiorców swoich usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych lub innych, które mogą zastosować. W stosownych przypadkach podmioty te informują również tych odbiorców o samym poważnym cyberzagrożeniu.

Incydent uznaje się za poważny, jeżeli:

  • spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;
  • wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Do celów zgłoszenia podmioty przedkładają CSIRT lub właściwemu organowi:

  • bez zbędnej zwłoki, a najpóźniej w ciągu 24 godzin od dowiedzenia o poważnym incydencie – wczesne ostrzeżenie, w którym w stosownych przypadkach wskazuje się, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub w złym zamiarze, a także czy mógł wywrzeć wpływ transgraniczny;
  • bez zbędnej zwłoki, a najpóźniej w ciągu 72 godzin od dowiedzenia się o poważnym incydencie – zgłoszenie incydentu, w stosownych przypadkach z aktualizacją informacji, o których mowa powyżej, i wskazaniem wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu;
  • na wniosek CSIRT lub właściwego organu – sprawozdanie okresowe na temat odpowiednich aktualizacji statusu;
  • sprawozdanie końcowe nie później niż miesiąc po zgłoszeniu incydentu, zawierające następujące elementy: szczegółowy opis incydentu, w tym jego dotkliwości i skutków; rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu; zastosowane i wdrażane środki ograniczające ryzyko; w stosownych przypadkach transgraniczne skutki incydentu;
  • jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, zainteresowane podmioty przedstawiają w tym momencie sprawozdanie z postępu prac, a sprawozdanie końcowe – w ciągu miesiąca od zakończenia przez nich obsługi incydentu.

Na zasadzie odstępstwa dostawca usług zaufania zgłasza poważne incydenty, które mają wpływ na świadczenie jego usług zaufania CSIRT lub właściwemu organowi bez zbędnej zwłoki, a najpóźniej w ciągu 24 godzin od dowiedzenia o takim poważnym incydencie.

CSIRT lub właściwy organ bez zbędnej zwłoki i w miarę możliwości w ciągu 24 godzin od otrzymania wczesnego ostrzeżenia odpowiada podmiotowi zgłaszającemu, w tym przekazuje mu wstępne informacje zwrotne na temat poważnego incydentu oraz, na wniosek podmiotu, wytyczne lub porady operacyjne dotyczące wdrożenia możliwych środków ograniczających ryzyko.

Jeżeli CSIRT nie jest pierwszym odbiorcą zgłoszenia, wytyczne przedstawia właściwy organ we współpracy z CSIRT. Na wniosek zainteresowanego podmiotu CSIRT zapewnia dodatkowe wsparcie techniczne. Jeżeli zachodzi podejrzenie, że poważny incydent ma cechy przestępstwa, CSIRT lub właściwy organ przedstawia również wytyczne dotyczące zgłaszania poważnego incydentu organom ścigania.

Poważne incydenty - zgłaszanie incydentów NIS 2

Incydent uznaje się za poważny w odniesieniu do odpowiednich podmiotów, jeżeli spełnione jest co najmniej jedno z następujących kryteriów:

  • incydent spowodował lub może spowodować stratę finansową dla odpowiedniego podmiotu, która przekracza 500 tys. euro lub 5% całkowitego rocznego obrotu danego podmiotu w poprzednim roku obrotowym, w zależności od tego, która z tych wartości jest niższa;
  • incydent spowodował lub może spowodować wyciek tajemnic przedsiębiorstwa, jak określono w art. 2 pkt 1 dyrektywy (UE) 2016/943, odpowiedniego podmiotu;
  • incydent spowodował lub może spowodować śmierć osoby fizycznej;
  • incydent spowodował lub może spowodować znaczny uszczerbek na zdrowiu osoby fizycznej;
  • miał miejsce skuteczny, prawdopodobnie złośliwy i nieuprawniony dostęp do sieci i systemów informatycznych, który może spowodować poważne zakłócenia operacyjne;
  • incydent stanowi (zgodnie z aktami delegowanymi do NIS 2) powtarzający się incydent;
  • incydent stanowi (zgodnie z aktami delegowanymi do NIS 2) poważny incydent, jeżeli dotyczy dostawców: usług DNS, usług chmurowych, rejestrów nazw TLD, ośrodków przetwarzania danych oraz sieci dostarczania treści; obejmuje to również podmioty świadczące usługi zarządzane (w tym w zakresie bezpieczeństwa), internetowe platformy handlowe, wyszukiwarki internetowe, platformy społecznościowe oraz usługi zaufania.

Za poważne incydenty nie uznaje się zaplanowanych przerw w świadczeniu usług oraz przewidzianych skutków prac konserwacyjnych, przeprowadzanych przez właściwe podmioty lub w ich imieniu.

Przy obliczaniu liczby użytkowników dotkniętych incydentem odpowiednie podmioty uwzględniają wszystkie poniższe elementy:

  • liczbę klientów, którzy zawarli z odpowiednim podmiotem umowę przyznającą im dostęp do sieci i systemów informatycznych odpowiedniego podmiotu lub usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem;
  • liczbę osób fizycznych i prawnych związanych z klientami biznesowymi, którzy korzystają z sieci i systemów informatycznych podmiotów lub z usług oferowanych przez te sieci i systemy informatyczne lub dostępnych za ich pośrednictwem.

Incydenty, które pojedynczo nie są uznawane za poważny incydent, uważa się łącznie za jeden poważny incydent, jeżeli spełniają wszystkie następujące kryteria:

  • wystąpiły co najmniej dwa razy w ciągu sześciu miesięcy;
  • mają tę samą widoczną podstawową przyczynę;
  • łącznie spełniają kryteria dotyczące straty finansowej.

Poważne incydenty dotyczące dostawców usług DNS 

W odniesieniu do dostawców usług DNS incydent uznaje się za poważny, jeżeli spełnia co najmniej jedno z następujących kryteriów:

  • rekurencyjna lub autorytatywna usługa rozpoznawania nazw domen jest całkowicie niedostępna przez ponad 30 minut;
  • przez ponad jedną godzinę średni czas odpowiedzi rekurencyjnej lub autorytatywnej usługi rozpoznawania nazw domen na żądanie DNS wynosi ponad 10 sekund;
  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem autorytatywnej usługi rozpoznawania nazw domen zostały naruszone, z wyjątkiem przypadków, w których dane dotyczące mniej niż 1 tys. nazw domen zarządzanych przez dostawcę usług DNS, stanowiących nie więcej niż 1% nazw domen zarządzanych przez dostawcę usług DNS, nie są prawidłowe z powodu niewłaściwej konfiguracji.

Poważne incydenty dotyczące rejestrów nazw TLD 

W odniesieniu do rejestrów nazw TLD incydent uznaje się za istotny, jeżeli spełnia co najmniej jedno z następujących kryteriów:

  • autorytatywna usługa rozpoznawania nazw domen jest całkowicie niedostępna;
  • przez dłużej niż jedną godzinę średni czas odpowiedzi autorytatywnej usługi rozpoznawania nazw domen na żądanie DNS wynosi ponad 10 sekund;
  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych z technicznym funkcjonowaniem TLD zostały naruszone.

Poważne incydenty dotyczące dostawców usług chmurowych 

W odniesieniu do dostawców usług chmurowych incydent uznaje się za poważny, jeżeli spełnia co najmniej jedno z następujących kryteriów:

  • usługa chmurowa jest całkowicie niedostępna przez ponad 30 minut;
  • dostępność usługi chmurowej dostawcy jest ograniczona dla ponad 5% użytkowników tej usługi chmurowej w Unii lub dla ponad miliona użytkowników tej usługi chmurowej w Unii, w zależności od tego, która z tych liczb jest mniejsza, przez okres dłuższy niż jedna godzina;
  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem usługi chmurowej zostały naruszone w wyniku podejrzewanego działania złośliwego;
  • integralność, poufność lub autentyczność przechowywanych, przekazywanych lub przetwarzanych danych związanych ze świadczeniem usługi chmurowej zostały naruszone, co ma wpływ na ponad 5% użytkowników tej usługi chmurowej w Unii lub na ponad milion użytkowników tej usługi chmurowej w Unii, w zależności od tego, która z tych liczb jest mniejsza.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Kiedy Chatbot w firmie łamie prawo
Marzec 2026
10
Wtorek
  • PIT 11
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wzór zgody na przetwarzanie danych osobowych - jak wygląda?
  4. Zastrzeżenie PESEL – jakie niesie konsekwencje?
  5. Komu można udostępnić dane osobowe - prawne aspekty bezpiecznego udostępniania danych osobowych
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Kiedy Chatbot w firmie łamie prawo

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

III Forum Efektywność w Produkcji: Ludzie i Procesy
AI HR Forum 2026 – HR jako lider zmiany. W centrum człowiek, w tle technologia!
I Love Marketing & Technology wraca na wiosnę z XXI edycją wydarzenia!
HR WEEK 2026: „HR x AI TEAMING - nowe pytania i scenariusze przyszłości”
Nowa konferencja HR w Polsce - inspiracje, networking i praktyka w centrum Łodzi! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów