Strona główna Blog Zgłaszanie Incydentów NIS2
Zarządzanie Incydentami

Zgłaszanie Incydentów NIS2: Zasady 24 Godzin i 72 Godzin Wyjaśnione

Maj 2026
BALTUM Bureau
6 min czytania

Spośród wszystkich wymogów wprowadzonych przez NIS2, obowiązki dotyczące zgłaszania incydentów należą do najbardziej wymagających operacyjnie. W odróżnieniu od wielu kontroli zgodności, które można wdrażać stopniowo, zgłaszanie incydentów wymaga, aby organizacja była gotowa zanim cokolwiek pójdzie nie tak — bo gdy dojdzie do incydentu, masz godziny, a nie dni czy tygodnie, na powiadomienie organu krajowego.

Artykuł 23 NIS2 ustanawia ustrukturyzowany, wieloetapowy proces raportowania z prawnie wiążącymi terminami. Niedotrzymanie tych terminów nie jest błędem technicznym — to naruszenie zgodności, które może skutkować znacznymi karami finansowymi i nadzorem regulacyjnym niezależnie od samego incydentu.

Co Stanowi „Poważny Incydent"?

Nie każde zdarzenie dotyczące bezpieczeństwa uruchamia obowiązki zgłaszania wynikające z NIS2. NIS2 wymaga powiadomienia o poważnych incydentach — takich, które mają lub mogą mieć znaczący wpływ na świadczenie usług. Przy ocenie powagi incydentu regulatorzy biorą pod uwagę:

  • Zakłócenie usługi: Czy incydent spowodował lub mógł spowodować poważne zakłócenie lub przerwę w świadczeniu usług organizacji?
  • Liczba poszkodowanych użytkowników: Ile osób fizycznych lub prawnych zostało dotkniętych incydentem, w szczególności tych korzystających z danej usługi?
  • Czas trwania: Jak długo trwało zakłócenie lub jak długo może potrwać?
  • Zasięg geograficzny: Czy skutki rozciągają się na wiele regionów lub państw członkowskich?
  • Straty finansowe: Jaki jest rzeczywisty lub szacunkowy wpływ finansowy na organizację?
  • Szkody reputacyjne: Czy incydent spowodował lub mógł spowodować znaczne szkody reputacyjne?
  • Komponent naruszenia danych: Czy incydent wiąże się z nieuprawnionym dostępem do danych osobowych lub wrażliwych?
Wskazówka praktyczna: W razie wątpliwości — zgłaszaj. NIS2 jest zaprojektowana tak, aby sprzyjać powiadamianiu. Regulatorzy zazwyczaj reagują przychylniej wobec organizacji, które zgłaszają zbyt wiele, niż wobec tych, które zwlekają, bo „oceniały powagę". Twój krajowy CERT/CSIRT może pomóc podjąć tę decyzję.

Trzyetapowy Proces Raportowania

Artykuł 23 NIS2 ustanawia jasny, trzyetapowy proces raportowania. Każdy etap ma własne terminy i wymagania dotyczące treści:

⏱ W Ciągu 24 Godzin

Etap 1: Wczesne Ostrzeżenie

Gdy tylko uzyskasz informację o poważnym incydencie, musisz złożyć wczesne ostrzeżenie do właściwego organu krajowego lub CERT/CSIRT. Na tym etapie nie musisz znać wszystkich odpowiedzi — wczesne ostrzeżenie to po prostu wstępne powiadomienie o wystąpieniu lub podejrzeniu incydentu. Powinno zawierać: rodzaj incydentu, czy podejrzewasz działanie o złośliwym charakterze oraz wszelkie skutki transgraniczne. Termin biegnie od momentu, gdy organizacja uzyska świadomość incydentu — nie od momentu zakończenia wewnętrznego dochodzenia.

⏱ W Ciągu 72 Godzin

Etap 2: Powiadomienie o Incydencie

W ciągu 72 godzin od uzyskania informacji o incydencie musisz przekazać szczegółowe powiadomienie o incydencie. Raport powinien zawierać wstępną ocenę powagi i skutków, wskaźniki kompromitacji (jeśli dostępne), charakter incydentu oraz podjęte lub planowane środki. Jeśli dochodzenie jest nadal w toku, zgłoś to, co wiesz, i zaznacz, że raport zostanie zaktualizowany.

⏱ W Ciągu 1 Miesiąca

Etap 3: Raport Końcowy

W ciągu miesiąca od złożenia powiadomienia o incydencie musisz przedłożyć raport końcowy zawierający pełny opis incydentu, analizę przyczyny źródłowej, ocenę skutków, wdrożone środki zaradcze i zapobiegawcze oraz wszelkie implikacje transgraniczne. Jeśli incydent nadal trwa po upływie miesiąca, złóż tymczasowy raport z postępów i dostarcz raport końcowy w ciągu miesiąca od rozwiązania incydentu.

Do Kogo Należy Zgłaszać?

Raporty należy kierować do właściwego organu krajowego (NCA) — wyznaczonego regulatora NIS2 w państwie członkowskim UE, w którym organizacja ma siedzibę. W niektórych krajach jest to dedykowana agencja ds. cyberbezpieczeństwa; w innych — regulator sektorowy (np. dla energetyki, transportu lub ochrony zdrowia).

W praktyce wiele państw członkowskich kieruje wstępne raporty przez krajowy CERT/CSIRT (Computer Emergency Response Team / Computer Security Incident Response Team). CERT/CSIRT może również udzielać pomocy technicznej podczas aktywnego incydentu. Sprawdź krajowe przepisy implementacyjne, aby potwierdzić dokładny kanał raportowania.

Jeśli incydent dotyczy wielu państw członkowskich UE, może być konieczne powiadomienie organów w każdym z dotkniętych krajów. NCA w kraju macierzystym organizacji zazwyczaj koordynuje działania z odpowiednikami w innych państwach, jednak obowiązek bezpośredniego powiadomienia tam, gdzie jest wymagane, spoczywa na Tobie.

Co Się Dzieje, Jeśli Przekroczysz Termin?

Niedotrzymanie terminów raportowania NIS2 traktowane jest jako naruszenie zgodności — odrębne od samego incydentu. Konsekwencje mogą obejmować:

  • Kary finansowe: Do 10 milionów euro lub 2% globalnego obrotu dla Podmiotów Kluczowych; do 7 milionów euro lub 1,4% dla Podmiotów Ważnych
  • Szkody reputacyjne: Regulatorzy mogą publicznie ujawnić niezgodność organizacji
  • Wzmożony nadzór regulacyjny: Przekroczenie terminu prawdopodobnie wywoła bardziej intensywny przegląd nadzorczy całej postawy zgodności
  • Odpowiedzialność kierownictwa: Wyżsi kadra kierownicza może być pociągnięta do osobistej odpowiedzialności za uchybienia w procesach zgłaszania incydentów
⚠ Powszechne nieporozumienie: Wiele organizacji uważa, że jeśli nie mają jeszcze wszystkich faktów, nie powinny zgłaszać. To błąd w świetle NIS2. Wymóg wczesnego ostrzeżenia istnieje właśnie dlatego, że dochodzenia wymagają czasu. Zgłaszaj to, co wiesz, gdy to wiesz — i aktualizuj raport w miarę wyjaśniania się sytuacji.

Jak Przygotować Się Zanim Dojdzie do Incydentu

Najgorszy moment na projektowanie procesu zgłaszania incydentów to czas aktywnego incydentu. Buduj gotowość już teraz:

  • Opracuj Plan Reagowania na Incydenty (IRP): Udokumentuj procedury wykrywania, klasyfikacji, eskalacji i powiadamiania. Wskaż, kto jest odpowiedzialny za uruchamianie powiadomień NIS2 i kto je zatwierdza.
  • Zidentyfikuj swój NCA i CERT/CSIRT: Poznaj dokładne dane kontaktowe, adresy URL portali raportowania i wymagane formaty — zanim będziesz ich potrzebować.
  • Wyznacz kontakt ds. raportowania NIS2: Wskazaną osobę (i jej zastępcę) uprawnioną do komunikacji z organami, która rozumie wymagania raportowania.
  • Inwestuj w zdolności wykrywania: Nie można zgłaszać tego, o czym się nie wie. Narzędzia SIEM, monitoring sieci i wykrywanie na punktach końcowych pomagają zapewnić szybką identyfikację incydentów.
  • Przeprowadzaj ćwiczenia symulacyjne: Symuluj poważne incydenty i ćwicz z zespołem przepływ powiadomień w ciągu 24 i 72 godzin.
  • Integruj z raportowaniem RODO: Wiele incydentów uruchamiających raportowanie NIS2 będzie jednocześnie wymagać powiadomienia o naruszeniu danych na mocy RODO (72 godziny do organu ochrony danych). Koordynuj te procesy, aby uniknąć powielania i niespójności.

Zbuduj Zgodny Proces Reagowania na Incydenty

BALTUM Bureau pomaga organizacjom projektować i wdrażać procedury reagowania na incydenty zgodne z NIS2 — od protokołów wstępnego wykrywania po przepływy raportowania do organów krajowych. Nie czekaj na incydent, aby odkryć luki.

Skontaktuj się z BALTUM w Sprawie Reagowania na Incydenty
Podmioty Kluczowe a Ważne Bezpieczeństwo Łańcucha Dostaw