Jak zgłaszać incydenty NIS2? Najczęściej zadawane pytania

Kto ma obowiązek zgłaszania incydentów NIS2?

Obowiązek zgłaszania incydentów NIS2 dotyczy szerokiego grona podmiotów – i tu często pojawia się pierwsze zaskoczenie. Wiele jednostek samorządu terytorialnego, gmin, szkół i spółek komunalnych wciąż nie wie, że dyrektywa obejmuje również je. To nie tylko duże korporacje czy operatorzy infrastruktury krytycznej.

Podmioty kwalifikują się na podstawie dwóch kryteriów: wielkości (zatrudnienie powyżej 50 osób lub obrót powyżej 10 mln euro) oraz sektora działalności. Dla JST, gmin i szkół oznacza to, że jeśli świadczą usługi cyfrowe lub zarządzają systemami informatycznymi dla mieszkańców – podlegają pod NIS2. Spółki komunalne, np. wodociągowe czy ciepłownicze, również wchodzą w zakres dyrektywy.

Brak zgłoszenia? Kary finansowe sięgające 10 mln euro lub 2% rocznego obrotu. Do tego odpowiedzialność osobista kierownictwa. Lepiej nie ryzykować.

Jakie incydenty podlegają zgłoszeniu w ramach NIS2?

Zgłaszamy incydenty znaczące. Co to znaczy w praktyce? Dyrektywa mówi o zdarzeniach, które zakłócają świadczenie usług lub naruszają bezpieczeństwo systemów informatycznych. Ale to dość ogólne – trzeba umieć to przełożyć na realia swojej jednostki.

Incydent znaczący to taki, który:

  • powoduje poważny wpływ na ciągłość usług – np. wyłączenie systemu e-Urzędu na kilka godzin,
  • generuje straty finansowe – koszty przywracania działania, utrata danych,
  • stanowi zagrożenie dla zdrowia lub życia – w przypadku spółek wodociągowych czy energetycznych.

Oceny dokonuje się na podstawie progów istotności: liczby dotkniętych użytkowników, czasu trwania incydentu i zasięgu geograficznego. Dla gminy może to być atak ransomware na system obsługi mieszkańców – jeśli dotknie 10% populacji, już kwalifikuje się jako znaczący.

Jakie są terminy zgłaszania incydentów NIS2?

Tu nie ma miejsca na opóźnienia. Dyrektywa narzuca trzy konkretne terminy, a każdy z nich ma swoje znaczenie proceduralne.

Rodzaj zgłoszenia Termin Zawartość
Wstępne (early warning) 24 godziny od wykrycia Krótka informacja o fakcie incydentu
Pełne (notification) 72 godziny od wykrycia Szczegółowy opis, skutki, działania
Raport końcowy (final report) 1 miesiąc od zgłoszenia wstępnego Podsumowanie, analiza przyczyn, działania zapobiegawcze

W praktyce oznacza to, że od momentu, gdy administrator systemu zauważy atak, ma dosłownie jeden dzień na wysłanie pierwszego sygnału. Potem 72 godziny na zebranie szczegółów. I miesiąc na kompleksowe podsumowanie. Brzmi napięto? Bo takie jest.

Gdzie zgłaszać incydenty NIS2?

Zgłoszenia trafiają do właściwego CSIRT (Computer Security Incident Response Team). W Polsce działają trzy takie zespoły:

  • CSIRT NASK – dla jednostek samorządu terytorialnego, gmin, szkół i większości spółek komunalnych,
  • CSIRT MON – dla sektora obronnego,
  • CSIRT GOV – dla administracji rządowej.

Dla JST i gmin najczęściej właściwy będzie CSIRT NASK. Ale uwaga – wybór zależy od konkretnego sektora działalności. Spółka komunalna z branży energetycznej może podlegać pod inny CSIRT niż ta z branży wodociągowej. Warto to sprawdzić zawczasu.

Zgłoszenia można dokonać przez dedykowane platformy, w tym nis2panel.pl, które automatyzują cały proces i zapewniają zgodność z terminami. To spore ułatwienie, zwłaszcza gdy w jednostce brakuje wyspecjalizowanego zespołu IT.

Jakie informacje należy zawrzeć w zgłoszeniu incydentu NIS2?

Im więcej szczegółów, tym lepiej. CSIRT potrzebuje konkretnych danych, by móc ocenić skalę zagrożenia i podjąć odpowiednie działania. W zgłoszeniu powinny znaleźć się:

  • Opis incydentu – data, godzina, źródło, rodzaj ataku (np. ransomware, DDoS, phishing),
  • Skutki – liczba dotkniętych użytkowników, usługi wyłączone, straty finansowe,
  • Działania podjęte – środki zaradcze, przywracanie ciągłości, kontakt z organami ścigania.

Warto też dołączyć dane kontaktowe osoby odpowiedzialnej – CSIRT może potrzebować dodatkowych wyjaśnień. I pamiętaj: zgłoszenie nie może być anonimowe. To musi być formalny dokument z pieczątką podmiotu.

Dla ułatwienia, platforma nis2panel.pl oferuje gotowe szablony zgłoszeń, które automatycznie wypełniają się danymi z systemu. Wystarczy kliknąć "wyślij".

Czy zgłoszenie incydentu NIS2 różni się od zgłoszenia naruszenia RODO?

Tak, i to zasadniczo. To dwie różne procedury, choć w praktyce często się nakładają. NIS2 dotyczy incydentów cyberbezpieczeństwa – ataków na systemy, wycieków danych technicznych, zakłóceń usług. RODO natomiast obejmuje naruszenia ochrony danych osobowych – wyciek danych mieszkańców, uczniów czy pracowników.

Różnice są kluczowe:

  • Terminy: NIS2 – 24h/72h/1 miesiąc, RODO – 72h od stwierdzenia naruszenia,
  • Organy: NIS2 – CSIRT, RODO – Prezes UODO,
  • Zakres: NIS2 – bezpieczeństwo systemów, RODO – ochrona danych osobowych.

Jeśli incydent obejmuje zarówno dane osobowe, jak i zakłócenie usług – konieczne jest podwójne zgłoszenie. Do CSIRT i do UODO. I to w różnych terminach. Dlatego tak ważne jest, by procedury w jednostce uwzględniały obie ścieżki.

Więcej o zgodności obu regulacji znajdziesz w artykule Compliance NIS2 i RODO.

Jakie narzędzia ułatwiają zgłaszanie incydentów NIS2?

Ręczne raportowanie w 24h to wyzwanie, zwłaszcza gdy w jednostce pracuje kilka osób. Na szczęście rynek oferuje narzędzia, które automatyzują ten proces. Najważniejsze z nich to:

  • Platformy SaaS do zarządzania zgodnością, np. nis2panel.pl – oferują szablony zgłoszeń, automatyczne terminy i integrację z CSIRT,
  • Systemy SIEM (Security Information and Event Management) – wykrywają i klasyfikują incydenty w czasie rzeczywistym,
  • Dedykowane oprogramowanie do raportowania – generuje wymagane dokumenty i śledzi status zgłoszenia.

Z doświadczenia wiem, że największym problemem w JST i gminach jest brak czasu i kompetencji. Platforma nis2panel.pl rozwiązuje oba te problemy – nie wymaga specjalistycznej wiedzy IT, a cały proces odbywa się w kilku kliknięciach. To realne wsparcie dla wdrożenia NIS2 w szkole czy gminie.

Jakie są konsekwencje braku zgłoszenia incydentu NIS2?

Poważne. I to na kilku poziomach. Po pierwsze, kary administracyjne – do 10 mln euro lub 2% rocznego obrotu dla podmiotów kluczowych. Dla gminy czy spółki komunalnej to mogą być setki tysięcy złotych.

Po drugie, odpowiedzialność osobista kierownictwa. Wójt, burmistrz, prezes spółki – mogą odpowiadać dyscyplinarnie, a nawet cywilnie za zaniedbania. W skrajnych przypadkach grozi to postępowaniem karnym.

Po trzecie, ryzyko utraty zaufania. Partnerzy biznesowi, mieszkańcy, inne jednostki – nikt nie będzie chciał współpracować z podmiotem, który nie dba o cyberbezpieczeństwo. A w przypadku przetargów publicznych – brak zgłoszenia może skutkować wykluczeniem.

Jak przygotować procedurę zgłaszania incydentów NIS2 w jednostce?

To nie jest coś, co zrobisz w jeden dzień. Ale od czegoś trzeba zacząć. Oto praktyczny plan działania:

  1. Opracuj wewnętrzną politykę zgłaszania – wyznacz osobę odpowiedzialną, określ kanały komunikacji, przygotuj szablony zgłoszeń.
  2. Przeszkol pracowników – muszą umieć rozpoznać incydent i wiedzieć, komu go zgłosić. Bez szkoleń procedura będzie martwa.
  3. Wdróż narzędzia wspierające – np. nis2panel.pl, które automatyzuje proces i zapewnia audytowalność.

Pamiętaj: procedura powinna być prosta i szybka. Im więcej biurokracji, tym większe ryzyko opóźnień. A w NIS2 liczy się każda godzina.

Szczegółowe instrukcje znajdziesz w artykule Procedura obsługi incydentu NIS2.

Czy zgłoszenie incydentu NIS2 może być anonimowe?

Krótko: nie. Oficjalne zgłoszenie do CSIRT musi zawierać dane podmiotu i osoby kontaktowej. Inaczej CSIRT nie będzie mógł prowadzić dalszych działań – nie ma jak zweryfikować informacji ani poprosić o uzupełnienia.

Wewnętrzne zgłoszenia w organizacji mogą być anonimowe – np. pracownik może zgłosić incydent przez dedykowany formularz bez podawania nazwiska. Ale już oficjalne pismo do CSIRT – nie. To musi być formalny dokument.

Platformy takie jak nis2panel.pl umożliwiają bezpieczne przekazanie danych kontaktowych bez ryzyka wycieku. Szyfrowanie end-to-end i zgodność z RODO to standard.

Jakie są najczęstsze błędy przy zgłaszaniu incydentów NIS2?

Z praktyki – a pracowałem z kilkudziesięcioma JST – najczęściej powtarzają się trzy błędy:

  • Opóźnienia – przekroczenie 24h na wstępne zgłoszenie. Często przez brak procedury lub niewiedzę, że incydent w ogóle podlega zgłoszeniu.
  • Niekompletne informacje – brak opisu skutków lub działań naprawczych. CSIRT odrzuca takie zgłoszenia, a czas leci.
  • Brak dokumentacji – nieprowadzenie rejestru incydentów i korespondencji z CSIRT. To utrudnia audyt i może skutkować dodatkowymi karami.

Rozwiązanie? Wdrożenie narzędzia, które pilnuje terminów i generuje kompletne raporty. Nis2panel.pl robi to automatycznie – od momentu wykrycia incydentu do wysłania raportu końcowego.

Czy zgłoszenie incydentu NIS2 wymaga zgody kierownictwa?

Nie. I to ważne zastrzeżenie. Procedura powinna umożliwiać zgłoszenie przez wyznaczony personel bez dodatkowych opóźnień. Jeśli każdy incydent musi czekać na zgodę wójta czy prezesa – 24h minie, zanim ktokolwiek kliknie "wyślij".

Kierownictwo powinno być informowane równolegle, ale nie może blokować zgłoszenia. W praktyce warto wdrożyć system, który automatycznie powiadamia zarząd po dokonaniu zgłoszenia. To zapewnia transparentność bez ryzyka opóźnień.

Dla spółek komunalnych to szczególnie ważne – często decyzje są scentralizowane, a czas nagli. Nis2panel.pl umożliwia ustawienie ról i uprawnień, tak by osoba odpowiedzialna mogła działać natychmiast.

Jakie są różnice między zgłoszeniem wstępnym a pełnym w NIS2?

To dwa różne dokumenty, choć dotyczą tego samego incydentu. Zgłoszenie wstępne to sygnał alarmowy – krótka informacja, że coś się stało. Wystarczy kilka zdań: rodzaj incydentu, przybliżona skala, dane kontaktowe. Masz na to 24 godziny.

Zgłoszenie pełne to już konkretna dokumentacja. W ciągu 72 godzin musisz podać szczegółowy opis, skutki, działania podjęte i plan przywrócenia ciągłości. To wymaga zebrania danych z kilku działów – IT, prawnego, finansowego.

Raport końcowy (w ciągu miesiąca) to podsumowanie – analiza przyczyn, wnioski i działania zapobiegawcze. To dokument, który będzie podstawą audytu i ewentualnych poprawek w systemie bezpieczeństwa.

Więcej o różnicach między zgłoszeniami znajdziesz w artykule Procedura obsługi incydentu NIS2.

Jak nis2panel.pl pomaga w zgłaszaniu incydentów NIS2?

To narzędzie zaprojektowane z myślą o jednostkach samorządu terytorialnego, gminach, szkołach i spółkach komunalnych. I działa w praktyce, nie tylko w teorii. Oto, co oferuje:

  • Automatyczne generowanie zgłoszeń zgodnych z wymogami CSIRT – wystarczy wprowadzić dane, a system tworzy gotowy dokument,
  • Przypomnienia o terminach – 24h, 72h, 1 miesiąc – system wysyła powiadomienia, byś nie przegapił deadline'u,
  • <