Obsługa i zgłaszanie incydentów (NIS2)

przez

Brnąc dalej w tematykę cyberbezpieczeństwa czas na kilka słów o tym jak powinno wyglądać zgłaszanie incydentów w/g ustawy implementującej dyrektywę NIS2 oraz o obowiązkach informacyjnych, sprawozdawczych i komunikacyjnych spoczywających na podmiotach kluczowych i ważnych.

Wrocław widok ze Sky Tower
Wrocław widziany ze Sky Tower (fot. Olgierd Rudak, CC BY-SA 4.0)

A mianowicie, jak zawsze w skrócie:

  • jako się rzekło niedawno: do podstawowych obowiązków podmiotów kluczowych i ważnych należy wdrożenie systemu zarządzania bezpieczeństwem informacji, a to w celu prewencji: szacowania i minimalizacji ryzyka wystąpienia incydentów i ich skutków;
  • w ramach dokumentacji SZBI ustawa o krajowym systemie cyberbezpieczeństwa nakazuje opracowanie procedur zarządzania incydentami, czyli ich obsługi, usuwania przyczyn i opracowywania wniosków (w pewnym uproszczeniu można powiedzieć, że każdy incydent powinien stanowić naukę na przyszłość);
  • jeśli prewencja się nie uda, czyli zdarzenie tego rodzaju będzie miało miejsce, na podmiocie spoczywa obowiązek obsługi incydentu — od jego wykrycia i zarejestrowania, poprzez analizę i ograniczenie skutków, aż do podjęcia niezbędnych działań naprawczych — jak też zapewnienia właściwemu CSIRT-owi dostępu do informacji o incydencie;

art. 2 ustawy o krajowym systemie cyberbezpieczeństwa
5) incydent — zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych;
6) incydent krytyczny — incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT MON, CSIRT NASK lub CSIRT GOV;
7) incydent poważny — incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot kluczowy lub podmiot ważny, straty finansowe dla tego podmiotu lub wpływa na inne osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej przez wywołanie poważnej szkody materialnej lub niematerialnej;

  • w drugiej kolejności przepisy ustawy implementującej dyrektywę NIS2 nakładają obowiązek dokonania oceny zdarzenia pod kątem klasyfikacji jako incydent poważny, tj. taki, który powoduje lub może spowodować istotne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmiot, zagraża powstaniem strat finansowych lub grozi powstaniem poważnej szkody materialnej lub niematerialnej u innych podmiotów;
  • (ważna uwaga: progi zaliczenia incydentów do kategorii poważnych zostaną określone — w rozbiciu na poszczególne sektory i podsektory — w rozporządzeniu wydanym przez polski rząd lub Komisję Europejską);
  • jeśli incydent zostanie zaklasyfikowany jako poważny, powstaje obowiązek wczesnego zgłoszenia od momentu jego wykrycia — do właściwego CSIRT sektorowego;
  • wcale nie na marginesie: obowiązek obsługi dotyczy wszystkich incydentów — natomiast zgodnie z NIS2 obowiązkowe zgłaszanie i sprawozdawczość dotyczy tylko incydentów sklasyfikowanych jako poważne;
  • (dla odmiany klasyfikowanie incydentu poważnego jako incydentu krytycznego, jak też koordynacja ich obsługi, to obowiązek odpowiedniego CSIRT);
  • wczesne zgłoszenie powinno być wysłane niezwłocznie, lecz najpóźniej w ciągu 24 godzin, a obejmować w szczególności moment wystąpienia i wykrycia incydentu, jak też informację, czy incydent został wywołany działaniem bezprawnym lub podjętym w złej wierze;
  • istotne: wysyłając wczesne zgłoszenie incydentu poważnego podmiot kluczowy lub ważny może poprosić CSIRT o wytyczne w kontekście ograniczenia skutków zdarzenia lub poprosić o wsparcie;
  • (żeby nie przeoczyć: cały czas czekamy na komunikat o „osiągnięciu zdolności operacyjnej” CSIRT sektorowego, a do tego czasu incydenty należy zgłaszać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, art. 42 ust. 2, art. 44 ust. 1-2 ustawy o zmianie ustawy o KSC, Dz.U. z 2026 r. poz. 252);
  • w dalszej kolejności podmiot dotknięty incydentem ma obowiązek przekazać CSIRT-owi — niezwłocznie, max. w terminie 72 godzin — zgłoszenie incydentu „właściwe” (jeśli ktoś zapyta jak to się ma do RODO, to odpowiedź brzmi: ma się należycie, więc jedno nie wyklucza i nie zastępuje drugiego);
  • (natomiast dostawca usług zaufania dokonuje zgłoszenia incydentu poważnego „niepóźniej” (czy to jest ta nowa ortografia?) niż w ciągu 24 godzin od jego wykrycia; jeszcze inne odrębności dotyczą podmiotu publicznego będącego podmiotem ważnym);
  • zgłoszenie incydentu opisuje m.in. wpływ incydentu na świadczenie usługi, w tym liczbę użytkowników dotkniętych komplikacjami, zasięg geograficzny i wpływ na inne podmioty, przyczyny incydentu, jego przebieg i skutki, a także informacje o działaniach zapobiegawczych i naprawczych;
  • istotne: wystąpienie incydentu poważnego zwalnia podmiot z obowiązku zachowania w tajemnicy informacji prawnie chronionych, w tym tajemnicy przedsiębiorstwa: takie dane należy przekazać, o ile jest to relewantne w konkretnym przypadku, już na etapie zgłoszenia wczesnego, aczkolwiek po ich odpowiednim oznaczeniu;
  • niezależnie od w/w zgłoszeń podmiot powinien, w każdym momencie, lecz tylko na wniosek CSIRT, przekazywać okresowe sprawozdanie z obsługi incydentu poważnego;
  • w dalszej kolejności, w ramach zarządzania incydentem poważnym, podmiot usuwa podatności będące źródłem zagrożenia i informuje o tym organ właściwy;
  • wystąpienie incydentu poważnego i krytycznego oznacza dodatkowy obowiązek współdziałania z odpowiednim CSIRT, w tym przekazania niezbędnych danych, do których ustawa zalicza także dane osobowe (w oparciu o te dane NASK tworzy usługę online pozwalającą sprawdzić ew. wyciek danych osobowych);
  • procedurę wieńczy sprawozdanie końcowe z obsługi incydentu poważnego, przekazywane do CSIRT najpóźniej w ciągu jednego miesiąca od zgłoszenia, szczegółowo opisujące zdarzenie, wywołane zakłócenia i szkody, źródło, zastosowane i wdrożone środki ograniczające ryzyko oraz transgraniczne skutki incydentu;
  • mało tego: jeśli incydent poważny wywiera niekorzystny wpływ na usługi świadczone przez podmiot, jego obowiązkiem jest poinformowanie o tym fakcie użytkowników, natomiast poważne cyberzagrożenie obliguje do przekazania informacji o możliwych środkach zapobiegawczych (takie cyberzagrożenie można zachować w sekretności, jeśli ujawnienie informacji mogłoby spowodować zwiększenie ryzyka dla bezpieczeństwa systemów);
  • (jakby ktoś pytał: zgłoszenia i sprawozdania przekazywać należy poprzez System S46, zaś zadania te wykonują owe „co najmniej dwie” osoby wyznaczone do utrzymywania kontaktów z KSC (przypomnieć warto, że za ich prawidłowe wyznaczenie kierownik podmiotu kluczowego lub ważnego odpowiada głową));
  • kary, kary: w przypadku podmiotu kluczowego za brak obsługi incydentu, za niewysłanie zgłoszeń i sprawozdania — do 10 mln euro lub 2% przychodów, nie mniej niż 20 tys. zł (dla podmiotów ważnych te cyfry to odpowiednio 7 mln / 1,4% / 15 tys. zł) — plus osobna kara dla kierownika podmiotu (przy czym wynikające z NIS2 kary mogą być nałożone po 3 kwietnia 2028 r.).

I to by było na tyle, na razie, aczkolwiek wróżyć z fusów, czy już bliżej niż dalej, nie podejmuję się.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

0 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
0
komentarze są tam :-)x