Baza wiedzy - obowiązek KSC

Zarządzanie incydentami

Zarządzanie incydentami w ustawie o KSC: definicja incydentu poważnego (art. 2 pkt 7), wczesne ostrzeżenie 24 h, zgłoszenie 72 h, sprawozdanie końcowe (art. 11), zawartość zgłoszeń (art. 12-12b) i system S46.

Opublikowano: 11 lipca 2026Ostatnia aktualizacja: 14 lipca 2026

Status tej treści

Poniżej znajduje się pełna treść artykułu w wersji roboczej 0.9-draft - przed przeglądem radcy prawnego (OP-6.2, blueprint-nis2-gtm-operations.md). Mimo formy artykułu poradnikowego nie jest to jeszcze zatwierdzona treść prawna: dopiero po przeglądzie kancelarii treść uzyska status zatwierdzonej. Miejsca oznaczoneTODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.

TL;DR

  • Podmiot kluczowy lub ważny zapewnia obsługę incydentu i dostęp właściwego CSIRT do informacji o rejestrowanych incydentach (art. 11 ust. 1 pkt 1-2 ustawy o KSC).
  • Incydent poważny zgłasza się przez system S46 w trzech krokach: wczesne ostrzeżenie niezwłocznie, nie później niż 24 godziny od WYKRYCIA (art. 11 ust. 1 pkt 4); zgłoszenie do 72 godzin od wykrycia (pkt 4a); sprawozdanie końcowe nie później niż miesiąc od zgłoszenia (pkt 4c).
  • Definicja incydentu poważnego ma trzy przesłanki (art. 2 pkt 7) - wystarczy jedna.
  • Progi klasyfikacji: przejściowo obowiązuje rozporządzenie RM z 31.10.2018 r. (Dz. U. poz. 2180), utrzymane w mocy najdłużej do 3.04.2027 r. Nowego rozporządzenia progowego nie ogłoszono w Dzienniku Ustaw (stan na 13.07.2026), a istnienia prac nad nim nie potwierdza żadne znane nam oficjalne źródło - co nie znaczy, że nie zostanie wydane. Śledzimy Dziennik Ustaw i zaktualizujemy ten artykuł. Dla dostawców cyfrowych z art. 8b ust. 1 - rozporządzenie wykonawcze KE (UE) 2024/2690.
  • Podmiot ważny będący podmiotem publicznym nie przekazuje wczesnego ostrzeżenia ani sprawozdań (art. 12c) - zgłoszenie z pkt 4a pozostaje.

Co dokładnie nakazuje ustawa

Obsługa i rejestrowanie (art. 11 ust. 1 pkt 1-2). Każdy incydent - nie tylko poważny - podlega obsłudze, a właściwy CSIRT ma mieć dostęp do informacji o rejestrowanych incydentach. Rejestr incydentów jest więc potrzebny niezależnie od tego, czy kiedykolwiek zgłosisz incydent poważny.

Klasyfikacja (art. 11 ust. 1 pkt 3; definicja: art. 2 pkt 7). Incydent poważny to incydent, który:

  1. powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi, LUB
  2. powoduje lub może spowodować straty finansowe dla podmiotu, LUB
  3. wpływa na inne osoby fizyczne lub prawne przez wywołanie poważnej szkody materialnej lub niematerialnej.

Wystarczy jedna przesłanka; “może spowodować” oznacza, że nie czekasz na materializację skutku. Przy ocenie pomagają progi z rozporządzenia (art. 11 ust. 4) - przejściowo obowiązuje rozporządzenie RM z 31.10.2018 r. (Dz. U. poz. 2180, utrzymane w mocy najdłużej do 3.04.2027 r. przez art. 32 pkt 1 ustawy zmieniającej).

Nowego rozporządzenia progowego - wydanego pod art. 11 ust. 4 w brzmieniu nowelizacji - nie ogłoszono w Dzienniku Ustaw (stan na 13.07.2026), a istnienia prac legislacyjnych nad nim nie potwierdza żadne znane nam oficjalne źródło. Nie twierdzimy przy tym, że takiego rozporządzenia nie będzie: brak publikacji niczego nie przesądza w drugą stronę. Co to znaczy dla klasyfikacji: progi z rozporządzenia z 2018 r. obowiązują przejściowo i pomagają w ocenie, ale pisano je pod operatorów usług kluczowych i ich sektory - nie opisują więc wszystkich rodzajów podmiotów, które ustawa objęła po nowelizacji. Czy podmiot, którego rodzaju to rozporządzenie nie obejmuje, klasyfikuje incydent wyłącznie definicją z art. 2 pkt 7 (szerszą niż progi), jest pytaniem otwartym - zadaliśmy je kancelarii i świadomie nie rozstrzygamy go w tym artykule. W razie wątpliwości rekomendujemy zgłoszenie ostrożnościowe: to interpretacja platformy, nie przepis. Śledzimy Dziennik Ustaw i zaktualizujemy ten artykuł, jeśli i gdy nowe progi zostaną ogłoszone.

Dla dostawców usług cyfrowych i infrastruktury cyfrowej wymienionych w art. 8b ust. 1 przypadki uznania incydentu za poważny określa wprost rozporządzenie wykonawcze KE (UE) 2024/2690.

Trzy zgłoszenia, jeden kanał (art. 11 ust. 1 pkt 4-4c, ust. 2). Wszystko przez system teleinformatyczny z art. 46 ust. 1 (S46):

Krok Termin Zawartość
Wczesne ostrzeżenie niezwłocznie, nie później niż 24 h od wykrycia (art. 11 ust. 1 pkt 4) art. 12 ust. 1: dane podmiotu, osoba zgłaszająca, osoba do wyjaśnień, moment wystąpienia i wykrycia oraz czas trwania, ocena czy działanie bezprawne/w złej wierze (jeśli możliwa), czy dotyczy innych państw UE; można dołączyć wniosek o wsparcie (ust. 2 - CSIRT odpowiada w 24 h)
Zgłoszenie niezwłocznie, nie później niż 72 h od wykrycia (pkt 4a); dostawca usług zaufania: 24 h (art. 11 ust. 1a) art. 12 ust. 3: wpływ na usługę (która usługa, liczba użytkowników, zasięg geograficzny, wpływ na inne podmioty), przyczyny i przebieg, działania zapobiegawcze i naprawcze; dane uzupełnia się w trakcie obsługi (ust. 5)
Sprawozdanie końcowe nie później niż miesiąc od zgłoszenia (pkt 4c) art. 12a: szczegółowy opis wraz z zakłóceniami i szkodami, rodzaj zagrożenia lub przyczyna, zastosowane i wdrażane środki, skutki transgraniczne

Jeżeli obsługa incydentu trwa dłużej niż miesiąc: sprawozdanie z postępu, a końcowe - nie później niż miesiąc od zakończenia obsługi (art. 12b). Na wniosek CSIRT przekazuje się sprawozdanie okresowe (pkt 4b).

Obowiązki wobec użytkowników (art. 11 ust. 2a-2b). Podmiot informuje użytkowników swoich usług o poważnych cyberzagrożeniach oraz o incydentach poważnych mających niekorzystny wpływ na ich usługi.

Wyjątki i okres przejściowy. Podmiot ważny będący podmiotem publicznym stosuje art. 11 i 12 z wyjątkiem przepisów o wczesnym ostrzeżeniu i sprawozdaniach (art. 12c) - zgłoszenie z pkt 4a pozostaje. Adresat zgłoszeń: do czasu komunikatu o gotowości operacyjnej CSIRT sektorowego zgłoszenia kieruje się do właściwego CSIRT MON / CSIRT NASK / CSIRT GOV (art. 44 ustawy zmieniającej).

Jak to wygląda w praktyce małej firmy

Zegar 24-godzinny startuje od WYKRYCIA - czyli w najgorszym możliwym momencie: w nocy, w weekend, podczas urlopu admina. Praktyczne konsekwencje:

  1. Procedura musi istnieć PRZED incydentem. W 24 godziny od wykrycia nie zdążysz jednocześnie: opanowywać awarii, ustalać czy to incydent poważny, zakładać konto w S46 i szukać, kto może podpisać zgłoszenie. Kolejność ćwiczy się na sucho.
  2. Dostęp do S46 wymaga wpisu do wykazu. Zgłoszenia składa się systemem S46 - a wpis do wykazu podmiotów kluczowych i ważnych warunkuje korzystanie z niego. To praktyczny powód, żeby nie zwlekać z rejestracją (osobny artykuł).
  3. Klasyfikacja to decyzja człowieka z pomocą kryteriów. Spisz trzy przesłanki z art. 2 pkt 7 jako pytania kontrolne i wyznacz, KTO podejmuje decyzję o klasyfikacji (i kto go zastępuje). W razie wątpliwości, czy progi są przekroczone, zalecamy klasyfikację ostrożnościową (zgłoszenie) - to nasza rekomendacja praktyczna, nie przepis.
  4. Rejestruj wszystkie incydenty, nie tylko poważne. Art. 11 ust. 1 pkt 2 zakłada, że rejestrujesz incydenty; poważne to podzbiór, o którym dodatkowo informujesz CSIRT. Rejestr z pięcioma “zwykłymi” incydentami rocznie jest bardziej wiarygodny niż rejestr pusty.
  5. Timery w kalendarzu, nie w głowie. Trzy terminy (24 h / 72 h / miesiąc) na incydent + obowiązki informacyjne wobec użytkowników - to się nie utrzyma na karteczkach.

Jakie artefakty trzeba mieć

Artefakt Podstawa Uwagi
Procedura zarządzania incydentami (klasyfikacja, role, ścieżka S46) art. 8 ust. 1 pkt 4; art. 11 ust. 1 zawiera trzy przesłanki z art. 2 pkt 7 jako kryteria
Rejestr incydentów (wszystkich) art. 11 ust. 1 pkt 1-2 CSIRT ma mieć dostęp do informacji o rejestrowanych incydentach
Dostęp do S46 (konto, osoby upoważnione) art. 11 ust. 2; art. 46 ust. 1 wymaga wpisu do wykazu
Zapisy z obsługi (timeline, decyzje, zgłoszenia) art. 10 ust. 4 dowód dotrzymania terminów
Szablon komunikatu do użytkowników art. 11 ust. 2a-2b przygotowany zawczasu

Najczęstsze błędy

  1. Liczenie 24 h od “potwierdzenia”, nie od wykrycia. Ustawa mówi: niezwłocznie, nie później niż 24 godziny od wykrycia (art. 11 ust. 1 pkt 4). Przeciąganie fazy “jeszcze analizujemy, czy to na pewno incydent” zjada termin.
  2. Brak zastępstwa. Jedna osoba znająca procedurę i mająca dostęp do S46 = procedura nie działa w urlop.
  3. Pusty rejestr incydentów. “Nie mamy incydentów” brzmi dla kontroli jak “nie wykrywamy incydentów”. Phishing zablokowany przez filtr, krótka awaria, zgubiony telefon - to są wpisy.
  4. Sprawozdanie końcowe liczone od wykrycia zamiast od zgłoszenia. Termin z pkt 4c biegnie od zgłoszenia (72 h), nie od wykrycia. Liczenie od wykrycia jest bezpieczne (kończysz wcześniej), ale nazywanie tej wcześniejszej daty “terminem ustawowym” to błąd opisu.
  5. JST wysyła wszystko. Podmiot ważny będący podmiotem publicznym nie przekazuje wczesnego ostrzeżenia ani sprawozdań (art. 12c) - nadgorliwość nie szkodzi prawnie, ale świadczy o niezrozumieniu własnego reżimu.

Checklista do odhaczenia

  • Mam procedurę z kryteriami klasyfikacji (3 przesłanki z art. 2 pkt 7) i wyznaczonym decydentem + zastępcą
  • Wiem, które progi mnie dotyczą (rozporządzenie 2018 przejściowo / 2024/2690 dla dostawców z art. 8b ust. 1)
  • Mam działający dostęp do S46 i wiem, kto podpisuje zgłoszenia
  • Rejestr incydentów działa i obejmuje wszystkie incydenty (art. 11 ust. 1 pkt 1-2)
  • Timery 24 h / 72 h / 1 miesiąc są odkładane automatycznie od daty wykrycia
  • Mam szablon informacji dla użytkowników usług (art. 11 ust. 2a-2b)
  • Przećwiczyliśmy procedurę na sucho w ostatnich 12 miesiącach (nasza praktyka, nie wymóg ustawy)
  • (Ważny publiczny) procedura uwzględnia wyjątek art. 12c

Pytania i odpowiedzi

Od kiedy liczy się 24 godziny na wczesne ostrzeżenie? Od wykrycia incydentu poważnego: “niezwłocznie, nie później niż 24 godziny od wykrycia” (art. 11 ust. 1 pkt 4). Nie od wystąpienia, nie od potwierdzenia analizy - od wykrycia.

Co jeśli nie wiem, czy incydent przekracza progi? Progi pomagają w ocenie (art. 11 ust. 1 pkt 3 i ust. 4), ale definicja z art. 2 pkt 7 obejmuje też “może spowodować”. W razie wątpliwości rekomendujemy zgłoszenie ostrożnościowe - to nasza praktyka; o jej granicach (ryzyko zgłoszeń nadmiarowych) rozstrzygnie stanowisko organów, TODO-CONTENT: pytanie w rejestrze niepewności.

Czym różni się wczesne ostrzeżenie od zgłoszenia? Zakresem danych i terminem. Wczesne ostrzeżenie (24 h) to minimalny zestaw z art. 12 ust. 1 - kto, co, kiedy wykryto, czy możliwe działanie bezprawne, czy dotyczy innych państw UE. Zgłoszenie (72 h) dodaje wpływ na usługę, przyczyny, przebieg i działania (art. 12 ust. 3). Dane znane w chwili zgłoszenia uzupełnia się później (art. 12 ust. 5).

Czy incydent u naszego dostawcy IT to nasz incydent? Jeżeli powoduje lub może spowodować skutki z art. 2 pkt 7 dla WASZEJ usługi - tak, podlega Waszej klasyfikacji i ewentualnemu zgłoszeniu. To jeden z powodów, dla których umowy z dostawcami krytycznymi powinny gwarantować powiadamianie o incydentach (patrz artykuł o łańcuchu dostaw).

Gdzie składa się zgłoszenia, skoro CSIRT-y sektorowe dopiero powstają? Do czasu komunikatu o osiągnięciu zdolności operacyjnej przez CSIRT sektorowy - do właściwego CSIRT MON / CSIRT NASK / CSIRT GOV (art. 44 ustawy zmieniającej). Kanałem pozostaje S46.

Źródła

  • Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
  • Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
  • Rozporządzenie RM z 31.10.2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180): ISAP
  • Rozporządzenie wykonawcze KE (UE) 2024/2690: EUR-Lex
  • Nowe rozporządzenie progowe (art. 11 ust. 4): na 13.07.2026 NIEOGŁOSZONE w Dzienniku Ustaw - sprawdzone w wyszukiwarce Dz. U. (w roczniku 2026 jedyny akt z “incydentem” w tytule dotyczy transportu kolejowego, poz. 74); istnienia prac legislacyjnych nad nowym aktem nie potwierdza żadne znane nam oficjalne źródło. Nie oznacza to, że rozporządzenie nie zostanie wydane - pozycja pozostaje w naszym monitoringu: dziennikustaw.gov.pl

Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9.2-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).

Podstawa prawna

Numer artykułu ustawy o KSC dla tego obowiązku:art. 8 ust. 1 pkt 4, art. 11-12b

  • Incydent poważny wymaga wczesnego ostrzeżenia w 24 h i zgłoszenia w 72 h od wykrycia.
    ref

    Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252

    art. 11 ust. 1 pkt 4 (wczesne ostrzeżenie, nie później niż 24 h od wykrycia) i pkt 4a (zgłoszenie, do 72 h od wykrycia) ustawy o krajowym systemie cyberbezpieczeństwa

    TODO-LEGAL-REVIEW

Powiązane artefakty w platformie

Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):

  • document:incident-management-procedure

Powiązane narzędzia

Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.