{"id":9343,"date":"2026-03-04T12:05:02","date_gmt":"2026-03-04T11:05:02","guid":{"rendered":"https:\/\/adaptivegrc.com\/?post_type=articles&p=9343"},"modified":"2026-04-08T09:08:02","modified_gmt":"2026-04-08T07:08:02","slug":"proces-zarzadzania-incydentami-nis2-raportowanie","status":"publish","type":"articles","link":"https:\/\/adaptivegrc.com\/pl\/materialy\/artykuly\/proces-zarzadzania-incydentami-nis2-raportowanie\/","title":{"rendered":"Opracowanie i wdro\u017cenie procesu zarz\u0105dzania incydentami zgodnie z NIS2"},"content":{"rendered":"\n

W tym artykule opisujemy krok po kroku, jak opracowa\u0107 i wdro\u017cy\u0107 proces zarz\u0105dzania incydentami zgodny z NIS2, przechodz\u0105c przez kryteria klasyfikacji, przebieg obs\u0142ugi incydentu i role w zespole, a\u017c po dokumentacj\u0119 oraz testowanie i doskonalenie procesu. To praktyczny przewodnik dla os\u00f3b odpowiedzialnych za bezpiecze\u0144stwo i zgodno\u015b\u0107 z regulacjami.<\/p>\n\n\n\n

Wymagania dyrektywy NIS2 w obszarze zarz\u0105dzania incydentami<\/h2>\n\n\n\n

Dyrektywa NIS2<\/a> zobowi\u0105zuje organizacje do szybkiego wykrywania zdarze\u0144, reagowania na nie i ograniczania ich skutk\u00f3w. R\u00f3wnocze\u015bnie wymaga ona prowadzenia dokumentacji i dotrzymywania termin\u00f3w raportowania.<\/p>\n\n\n\n

Zakres podmiotowy i przedmiotowy obowi\u0105zk\u00f3w<\/h3>\n\n\n\n

W Polsce dyrektywa NIS2 jest wdro\u017cona poprzez przez nowelizacj\u0119 ustawy o KSC<\/a>. Dotyczy ona organizacji zaliczanych do podmiot\u00f3w kluczowych oraz podmiot\u00f3w wa\u017cnych. Podmiotami kluczowymi s\u0105 co do zasady du\u017ce przedsi\u0119biorstwa z sektor\u00f3w takich jak energia, transport, ochrona zdrowia, bankowo\u015b\u0107 czy infrastruktura cyfrowa. Podmiotami wa\u017cnymi s\u0105 \u015brednie przedsi\u0119biorstwa z tych samych sektor\u00f3w oraz \u015brednie i du\u017ce firmy zajmuj\u0105ce si\u0119 np. us\u0142ugami pocztowymi czy produkcj\u0105 \u017cywno\u015bci. Organizacje samodzielnie oceniaj\u0105, do kt\u00f3rej kategorii nale\u017c\u0105, i rejestruj\u0105 si\u0119 w odpowiednim wykazie. Podzia\u0142 ma znaczenie praktyczne, bo wp\u0142ywa zar\u00f3wno na zakres obowi\u0105zk\u00f3w, jak i intensywno\u015b\u0107 nadzoru. Obowi\u0105zki obejmuj\u0105 zarz\u0105dzanie ryzykiem, obs\u0142ug\u0119 incydent\u00f3w, ci\u0105g\u0142o\u015b\u0107 dzia\u0142ania i bezpiecze\u0144stwo \u0142a\u0144cucha dostaw, przy czym podmioty kluczowe podlegaj\u0105 surowszym wymaganiom i sankcjom.<\/p>\n\n\n\n

Czym s\u0105 incydent i powa\u017cny incydent?<\/h3>\n\n\n\n

Incydentem jest ka\u017cde zdarzenie, kt\u00f3re narusza poufno\u015b\u0107, integralno\u015b\u0107 lub dost\u0119pno\u015b\u0107 system\u00f3w albo danych, b\u0105d\u017a stwarza takie ryzyko. Incydent powa\u017cny to taki, kt\u00f3ry powoduje istotne zak\u0142\u00f3cenie dzia\u0142ania organizacji lub mo\u017ce do niego doprowadzi\u0107. Najcz\u0119\u015bciej dotyczy to us\u0142ug krytycznych, danych wra\u017cliwych lub zdarze\u0144 wp\u0142ywaj\u0105cych na du\u017c\u0105 liczb\u0119 u\u017cytkownik\u00f3w.<\/p>\n\n\n\n

Na pocz\u0105tku obs\u0142ugi zdarzenia organizacja zwykle nie dysponuje pe\u0142nym obrazem sytuacji. Dlatego powinna mie\u0107 zasady pozwalaj\u0105ce szybko oceni\u0107, czy incydent jest powa\u017cny, i podj\u0105\u0107 odpowiednie kroki bez czekania na pe\u0142ne dane. Je\u015bli zdarzenie dotyczy us\u0142ug krytycznych lub danych wra\u017cliwych, traktuje si\u0119 je jako potencjalnie powa\u017cne, dop\u00f3ki analiza nie wykluczy takiego statusu. Takie podej\u015bcie zmniejsza ryzyko sp\u00f3\u017anionej reakcji.<\/p>\n\n\n\n

Odpowiedzialno\u015b\u0107 organizacyjna i rola kierownictwa<\/h3>\n\n\n\n

Zgodnie z NIS2 kierownictwo sprawuje nadz\u00f3r nad zarz\u0105dzaniem incydentami<\/a> i dba o jasny podzia\u0142 r\u00f3l. Powinno wyznaczy\u0107 w\u0142a\u015bciciela procesu, kt\u00f3ry prowadzi ten proces i mo\u017ce dzia\u0142a\u0107 r\u00f3wnie\u017c poza standardowymi godzinami pracy. Do zada\u0144 kierownictwa nale\u017cy te\u017c ustalanie priorytet\u00f3w, gdy szybkie wznowienie pracy koliduje z wymogami bezpiecze\u0144stwa lub obowi\u0105zkami formalnymi.<\/p>\n\n\n\n

Za usuwanie skutk\u00f3w incydentu odpowiadaj\u0105 zespo\u0142y bezpiecze\u0144stwa i IT. Do decyzji organizacyjnych po stronie kierownictwa nale\u017cy ustalenie, kt\u00f3re us\u0142ugi s\u0105 krytyczne, jakie przestoje s\u0105 dopuszczalne i kto zatwierdza komunikacj\u0119 na zewn\u0105trz. Kierownictwo wyznacza te\u017c osoby odpowiedzialne za dzia\u0142ania formalne, w tym przygotowanie zg\u0142osze\u0144. Dzi\u0119ki temu reakcja na incydent cyberbezpiecze\u0144stwa nie sprowadza si\u0119 wy\u0142\u0105cznie do prac dzia\u0142u IT, a decyzje biznesowe zapadaj\u0105 na czas.<\/p>\n\n\n\n

Identyfikacja i klasyfikacja incydent\u00f3w<\/h2>\n\n\n\n

Wczesne rozpoznanie zdarzenia zale\u017cy od tego, czy sygna\u0142y docieraj\u0105 do w\u0142a\u015bciwego odbiorcy i s\u0105 oceniane w sp\u00f3jny spos\u00f3b w ca\u0142ej organizacji. To, jak organizacja wykrywa incydenty, ocenia ich wag\u0119 i je klasyfikuje, przes\u0105dza o tym, czy zareaguje na czas.<\/p>\n\n\n\n

\u0179r\u00f3d\u0142a wykrywania incydent\u00f3w<\/h3>\n\n\n\n

Sygna\u0142y o incydencie mog\u0105 pochodzi\u0107 z dw\u00f3ch uzupe\u0142niaj\u0105cych si\u0119 \u017ar\u00f3de\u0142. Pierwsze to narz\u0119dzia i dane wykorzystywane w monitoringu bezpiecze\u0144stwa, takie jak logi, detekcja anomalii i sygna\u0142y z system\u00f3w ochrony. Drugie to zg\u0142oszenia od u\u017cytkownik\u00f3w, w\u0142a\u015bcicieli us\u0142ug i dzia\u0142\u00f3w biznesowych.<\/p>\n\n\n\n

Poniewa\u017c incydenty coraz cz\u0119\u015bciej wynikaj\u0105 z zale\u017cno\u015bci w \u0142a\u0144cuchu dostaw, procedury bezpiecze\u0144stwa powinny uwzgl\u0119dnia\u0107 te\u017c sygna\u0142y od dostawc\u00f3w i partner\u00f3w zewn\u0119trznych. Proces musi wskazywa\u0107, kto odbiera zg\u0142oszenie, kto przeprowadza wst\u0119pn\u0105 ocen\u0119 i w jakim czasie. Bez tego organizacja traci cenny czas na ustalenie, czy w og\u00f3le ma do czynienia z incydentem.<\/p>\n\n\n\n

Kryteria oceny wp\u0142ywu i istotno\u015bci incydentu<\/h3>\n\n\n\n

Ocena powinna uwzgl\u0119dnia\u0107 wp\u0142yw na dost\u0119pno\u015b\u0107 us\u0142ug, bezpiecze\u0144stwo danych oraz zasi\u0119g zdarzenia. Znaczenie ma te\u017c kontekst, bo zdarzenie w systemie obs\u0142uguj\u0105cym us\u0142ug\u0119 krytyczn\u0105 jest gro\u017aniejsze ni\u017c identyczne zdarzenie w systemie pomocniczym, nawet je\u015bli generuje mniej alert\u00f3w. Przy ocenie warto te\u017c wzi\u0105\u0107 pod uwag\u0119 czas trwania zdarzenia, tempo jego rozwoju oraz ewentualne powi\u0105zania z dostawcami zewn\u0119trznymi.<\/p>\n\n\n\n

Klasyfikacja incydent\u00f3w zgodna z NIS2<\/h3>\n\n\n\n

Wynik klasyfikacji powinien od razu wskazywa\u0107, kto ma dzia\u0142a\u0107, w jakim trybie i czy trzeba r\u00f3wnolegle przygotowywa\u0107 zg\u0142oszenie. Poni\u017csza tabela pokazuje przyk\u0142adowe poziomy klasyfikacji, kt\u00f3re organizacja mo\u017ce dostosowa\u0107 do swojej specyfiki.<\/p>\n\n\n\n

Poziom<\/th>Kryteria<\/th>Tryb dzia\u0142ania<\/th>Raportowanie<\/th><\/tr><\/thead>
Niski<\/td>Brak wp\u0142ywu na us\u0142ugi krytyczne; ryzyko ograniczone<\/td>Standardowa obs\u0142uga przez dzia\u0142y IT i bezpiecze\u0144stwa<\/td>Rejestr wewn\u0119trzny<\/td><\/tr>
\u015aredni<\/td>Ograniczony wp\u0142yw na us\u0142ugi lub ryzyko naruszenia danych<\/td>Eskalacja do w\u0142a\u015bciciela procesu, wzmo\u017cony monitoring<\/td>Ocena konieczno\u015bci zg\u0142oszenia<\/td><\/tr>
Wysoki<\/td>Istotne zak\u0142\u00f3cenie us\u0142ug krytycznych lub naruszenie danych wra\u017cliwych<\/td>Dzia\u0142ania operacyjne i formalne prowadzone r\u00f3wnolegle, zaanga\u017cowanie kierownictwa<\/td>Wczesne ostrze\u017cenie do 24h<\/td><\/tr>
Krytyczny<\/td>Powa\u017cny incydent z szerokim zasi\u0119giem lub wp\u0142ywem na bezpiecze\u0144stwo publiczne<\/td>Tryb kryzysowy: pe\u0142na dokumentacja, komunikacja zewn\u0119trzna<\/td>Obowi\u0105zkowe wczesne ostrze\u017cenie i raport po\u015bredni<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Gdy poziom incydentu jest wysoki lub krytyczny, organizacja powinna r\u00f3wnolegle ogranicza\u0107 jego skutki i przygotowywa\u0107 zg\u0142oszenie. Raportowanie zaczyna si\u0119 wtedy r\u00f3wnocze\u015bnie z dzia\u0142aniami operacyjnymi, co pozwala dotrzyma\u0107 termin\u00f3w wymaganych przez NIS2.<\/p>\n\n\n\n

Proces obs\u0142ugi incydentu bezpiecze\u0144stwa<\/h2>\n\n\n\n

Obs\u0142uga incydentu powinna by\u0107 opisana tak, aby umo\u017cliwi\u0107 dzia\u0142anie pod presj\u0105 czasu i na podstawie dost\u0119pnych informacji. Poni\u017csze etapy porz\u0105dkuj\u0105 prac\u0119 zespo\u0142\u00f3w bezpiecze\u0144stwa i IT oraz wskazuj\u0105, kiedy trzeba do\u0142\u0105cza\u0107 decyzje po stronie biznesu.<\/p>\n\n\n\n

Wykrycie i wst\u0119pna analiza incydentu<\/h3>\n\n\n\n

Proces zaczyna si\u0119 w momencie, gdy organizacja otrzymuje sygna\u0142 o zdarzeniu. Mo\u017ce to by\u0107 alert z narz\u0119dzi u\u017cywanych w monitoringu bezpiecze\u0144stwa, zg\u0142oszenie od pracownika albo informacja od dostawcy. Nale\u017cy wtedy oceni\u0107, czego dotyczy zdarzenie, jaka us\u0142uga jest zagro\u017cona i czy istniej\u0105 przes\u0142anki do zakwalifikowania sytuacji jako incydentu powa\u017cnego.<\/p>\n\n\n\n

Ju\u017c na tym etapie warto zapisywa\u0107 podstawowe fakty, takie jak czas wykrycia, \u017ar\u00f3d\u0142o sygna\u0142u, dotkni\u0119ta us\u0142uga i wst\u0119pna klasyfikacja. To u\u0142atwia odtworzenie chronologii zdarze\u0144 na potrzeby raport\u00f3w i p\u00f3\u017aniejsz\u0105 analiz\u0119 po incydencie.<\/p>\n\n\n\n

Reakcja i dzia\u0142ania ograniczaj\u0105ce skutki<\/h3>\n\n\n\n

Na etapie reakcji liczy si\u0119 tempo i dyscyplina. Dzia\u0142ania dzia\u0142\u00f3w IT i bezpiecze\u0144stwa mog\u0105 obejmowa\u0107 blokad\u0119 kont, ograniczenie dost\u0119pu, segmentacj\u0119 sieci, rotacj\u0119 kluczy, od\u0142\u0105czenie wybranych komponent\u00f3w albo zatrzymanie podejrzanych proces\u00f3w. R\u00f3wnolegle podejmuje si\u0119 decyzje organizacyjne, prowadzi komunikacj\u0119 wewn\u0119trzn\u0105 i w razie potrzeby informuje kierownictwo.<\/p>\n\n\n\n

Od pocz\u0105tku trzeba pami\u0119ta\u0107 o obowi\u0105zkach formalnych. Kto\u015b powinien r\u00f3wnolegle zbiera\u0107 informacje potrzebne do raportowania i zg\u0142aszania incydent\u00f3w, a kluczowe decyzje musz\u0105 by\u0107 odnotowane w dokumentacji. To warunek, aby raport m\u00f3g\u0142 powsta\u0107 w wymaganym terminie.<\/p>\n\n\n\n

Usuni\u0119cie przyczyn i przywr\u00f3cenie ci\u0105g\u0142o\u015bci dzia\u0142ania<\/h3>\n\n\n\n

Po opanowaniu sytuacji celem staje si\u0119 usuni\u0119cie przyczyn i bezpieczny powr\u00f3t do normalnego funkcjonowania. Warto sprawdzi\u0107, czy incydent nie pozostawi\u0142 trwa\u0142ych zmian, takich jak dodatkowe konta, nieautoryzowane modyfikacje konfiguracji albo ukryte \u015bcie\u017cki dost\u0119pu.<\/p>\n\n\n\n

Ten etap powinien by\u0107 powi\u0105zany z planami ci\u0105g\u0142o\u015bci dzia\u0142ania. Je\u015bli incydent dotyczy us\u0142ugi krytycznej, potrzebne s\u0105 decyzje o kolejno\u015bci przywracania element\u00f3w i akceptowalnym poziomie ryzyka<\/a> w trakcie odtwarzania \u015brodowiska.<\/p>\n\n\n\n

Zamkni\u0119cie incydentu i dokumentacja<\/h3>\n\n\n\n

Zamkni\u0119cie incydentu wymaga jasnych kryteri\u00f3w, takich jak stabilno\u015b\u0107 us\u0142ug przez okre\u015blony czas, zako\u0144czenie dzia\u0142a\u0144 naprawczych i uzupe\u0142nienie rejestru. To tak\u017ce moment, w kt\u00f3rym porz\u0105dkuje si\u0119 materia\u0142 pod raport ko\u0144cowy oraz om\u00f3wienie przebiegu zdarzenia, z kt\u00f3rego wynikn\u0105 wnioski na przysz\u0142o\u015b\u0107.<\/p>\n\n\n\n

Dla podmiot\u00f3w kluczowych i podmiot\u00f3w wa\u017cnych brak sp\u00f3jnej dokumentacji bywa r\u00f3wnoznaczny z brakiem procesu, nawet je\u015bli dzia\u0142ania techniczne by\u0142y skuteczne. To w\u0142a\u015bnie dokumentacja pozwala wykaza\u0107 organowi nadzorczemu, \u017ce organizacja dzia\u0142a\u0142a zgodnie z procedurami bezpiecze\u0144stwa.<\/p>\n\n\n\n

Raportowanie incydent\u00f3w do w\u0142a\u015bciwych organ\u00f3w<\/h2>\n\n\n\n

NIS2 zobowi\u0105zuje organizacje do przygotowania zg\u0142oszenia w okre\u015blonych terminach, nawet gdy sytuacja nadal si\u0119 rozwija. Raportowanie i zg\u0142aszanie incydent\u00f3w musi by\u0107 zaplanowane jako cz\u0119\u015b\u0107 procesu, a nie dzia\u0142anie, kt\u00f3re zaczyna si\u0119 dopiero po zamkni\u0119ciu incydentu.<\/p>\n\n\n\n

Terminy zg\u0142osze\u0144: wczesne ostrze\u017cenie, raport po\u015bredni, raport ko\u0144cowy<\/h3>\n\n\n\n

Zg\u0142aszanie incydentu przebiega w trzech etapach.<\/p>\n\n\n\n