Baza wiedzy - obowiązek KSC
Zarządzanie incydentami
Zarządzanie incydentami w ustawie o KSC: definicja incydentu poważnego (art. 2 pkt 7), wczesne ostrzeżenie 24 h, zgłoszenie 72 h, sprawozdanie końcowe (art. 11), zawartość zgłoszeń (art. 12-12b) i system S46.
Status tej treści
TODO-CONTENT/TODO-LEGAL-REVIEW to otwarte pytania i decyzje, których nie wypełniamy domysłem.TL;DR
- Podmiot kluczowy lub ważny zapewnia obsługę incydentu i dostęp właściwego CSIRT do informacji o rejestrowanych incydentach (art. 11 ust. 1 pkt 1-2 ustawy o KSC).
- Incydent poważny zgłasza się przez system S46 w trzech krokach: wczesne ostrzeżenie niezwłocznie, nie później niż 24 godziny od WYKRYCIA (art. 11 ust. 1 pkt 4); zgłoszenie do 72 godzin od wykrycia (pkt 4a); sprawozdanie końcowe nie później niż miesiąc od zgłoszenia (pkt 4c).
- Definicja incydentu poważnego ma trzy przesłanki (art. 2 pkt 7) - wystarczy jedna.
- Progi klasyfikacji: przejściowo obowiązuje rozporządzenie RM z 31.10.2018 r. (Dz. U. poz. 2180), utrzymane w mocy najdłużej do 3.04.2027 r. Nowego rozporządzenia progowego nie ogłoszono w Dzienniku Ustaw (stan na 13.07.2026), a istnienia prac nad nim nie potwierdza żadne znane nam oficjalne źródło - co nie znaczy, że nie zostanie wydane. Śledzimy Dziennik Ustaw i zaktualizujemy ten artykuł. Dla dostawców cyfrowych z art. 8b ust. 1 - rozporządzenie wykonawcze KE (UE) 2024/2690.
- Podmiot ważny będący podmiotem publicznym nie przekazuje wczesnego ostrzeżenia ani sprawozdań (art. 12c) - zgłoszenie z pkt 4a pozostaje.
Co dokładnie nakazuje ustawa
Obsługa i rejestrowanie (art. 11 ust. 1 pkt 1-2). Każdy incydent - nie tylko poważny - podlega obsłudze, a właściwy CSIRT ma mieć dostęp do informacji o rejestrowanych incydentach. Rejestr incydentów jest więc potrzebny niezależnie od tego, czy kiedykolwiek zgłosisz incydent poważny.
Klasyfikacja (art. 11 ust. 1 pkt 3; definicja: art. 2 pkt 7). Incydent poważny to incydent, który:
- powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi, LUB
- powoduje lub może spowodować straty finansowe dla podmiotu, LUB
- wpływa na inne osoby fizyczne lub prawne przez wywołanie poważnej szkody materialnej lub niematerialnej.
Wystarczy jedna przesłanka; “może spowodować” oznacza, że nie czekasz na materializację skutku. Przy ocenie pomagają progi z rozporządzenia (art. 11 ust. 4) - przejściowo obowiązuje rozporządzenie RM z 31.10.2018 r. (Dz. U. poz. 2180, utrzymane w mocy najdłużej do 3.04.2027 r. przez art. 32 pkt 1 ustawy zmieniającej).
Nowego rozporządzenia progowego - wydanego pod art. 11 ust. 4 w brzmieniu nowelizacji - nie ogłoszono w Dzienniku Ustaw (stan na 13.07.2026), a istnienia prac legislacyjnych nad nim nie potwierdza żadne znane nam oficjalne źródło. Nie twierdzimy przy tym, że takiego rozporządzenia nie będzie: brak publikacji niczego nie przesądza w drugą stronę. Co to znaczy dla klasyfikacji: progi z rozporządzenia z 2018 r. obowiązują przejściowo i pomagają w ocenie, ale pisano je pod operatorów usług kluczowych i ich sektory - nie opisują więc wszystkich rodzajów podmiotów, które ustawa objęła po nowelizacji. Czy podmiot, którego rodzaju to rozporządzenie nie obejmuje, klasyfikuje incydent wyłącznie definicją z art. 2 pkt 7 (szerszą niż progi), jest pytaniem otwartym - zadaliśmy je kancelarii i świadomie nie rozstrzygamy go w tym artykule. W razie wątpliwości rekomendujemy zgłoszenie ostrożnościowe: to interpretacja platformy, nie przepis. Śledzimy Dziennik Ustaw i zaktualizujemy ten artykuł, jeśli i gdy nowe progi zostaną ogłoszone.
Dla dostawców usług cyfrowych i infrastruktury cyfrowej wymienionych w art. 8b ust. 1 przypadki uznania incydentu za poważny określa wprost rozporządzenie wykonawcze KE (UE) 2024/2690.
Trzy zgłoszenia, jeden kanał (art. 11 ust. 1 pkt 4-4c, ust. 2). Wszystko przez system teleinformatyczny z art. 46 ust. 1 (S46):
| Krok | Termin | Zawartość |
|---|---|---|
| Wczesne ostrzeżenie | niezwłocznie, nie później niż 24 h od wykrycia (art. 11 ust. 1 pkt 4) | art. 12 ust. 1: dane podmiotu, osoba zgłaszająca, osoba do wyjaśnień, moment wystąpienia i wykrycia oraz czas trwania, ocena czy działanie bezprawne/w złej wierze (jeśli możliwa), czy dotyczy innych państw UE; można dołączyć wniosek o wsparcie (ust. 2 - CSIRT odpowiada w 24 h) |
| Zgłoszenie | niezwłocznie, nie później niż 72 h od wykrycia (pkt 4a); dostawca usług zaufania: 24 h (art. 11 ust. 1a) | art. 12 ust. 3: wpływ na usługę (która usługa, liczba użytkowników, zasięg geograficzny, wpływ na inne podmioty), przyczyny i przebieg, działania zapobiegawcze i naprawcze; dane uzupełnia się w trakcie obsługi (ust. 5) |
| Sprawozdanie końcowe | nie później niż miesiąc od zgłoszenia (pkt 4c) | art. 12a: szczegółowy opis wraz z zakłóceniami i szkodami, rodzaj zagrożenia lub przyczyna, zastosowane i wdrażane środki, skutki transgraniczne |
Jeżeli obsługa incydentu trwa dłużej niż miesiąc: sprawozdanie z postępu, a końcowe - nie później niż miesiąc od zakończenia obsługi (art. 12b). Na wniosek CSIRT przekazuje się sprawozdanie okresowe (pkt 4b).
Obowiązki wobec użytkowników (art. 11 ust. 2a-2b). Podmiot informuje użytkowników swoich usług o poważnych cyberzagrożeniach oraz o incydentach poważnych mających niekorzystny wpływ na ich usługi.
Wyjątki i okres przejściowy. Podmiot ważny będący podmiotem publicznym stosuje art. 11 i 12 z wyjątkiem przepisów o wczesnym ostrzeżeniu i sprawozdaniach (art. 12c) - zgłoszenie z pkt 4a pozostaje. Adresat zgłoszeń: do czasu komunikatu o gotowości operacyjnej CSIRT sektorowego zgłoszenia kieruje się do właściwego CSIRT MON / CSIRT NASK / CSIRT GOV (art. 44 ustawy zmieniającej).
Jak to wygląda w praktyce małej firmy
Zegar 24-godzinny startuje od WYKRYCIA - czyli w najgorszym możliwym momencie: w nocy, w weekend, podczas urlopu admina. Praktyczne konsekwencje:
- Procedura musi istnieć PRZED incydentem. W 24 godziny od wykrycia nie zdążysz jednocześnie: opanowywać awarii, ustalać czy to incydent poważny, zakładać konto w S46 i szukać, kto może podpisać zgłoszenie. Kolejność ćwiczy się na sucho.
- Dostęp do S46 wymaga wpisu do wykazu. Zgłoszenia składa się systemem S46 - a wpis do wykazu podmiotów kluczowych i ważnych warunkuje korzystanie z niego. To praktyczny powód, żeby nie zwlekać z rejestracją (osobny artykuł).
- Klasyfikacja to decyzja człowieka z pomocą kryteriów. Spisz trzy przesłanki z art. 2 pkt 7 jako pytania kontrolne i wyznacz, KTO podejmuje decyzję o klasyfikacji (i kto go zastępuje). W razie wątpliwości, czy progi są przekroczone, zalecamy klasyfikację ostrożnościową (zgłoszenie) - to nasza rekomendacja praktyczna, nie przepis.
- Rejestruj wszystkie incydenty, nie tylko poważne. Art. 11 ust. 1 pkt 2 zakłada, że rejestrujesz incydenty; poważne to podzbiór, o którym dodatkowo informujesz CSIRT. Rejestr z pięcioma “zwykłymi” incydentami rocznie jest bardziej wiarygodny niż rejestr pusty.
- Timery w kalendarzu, nie w głowie. Trzy terminy (24 h / 72 h / miesiąc) na incydent + obowiązki informacyjne wobec użytkowników - to się nie utrzyma na karteczkach.
Jakie artefakty trzeba mieć
| Artefakt | Podstawa | Uwagi |
|---|---|---|
| Procedura zarządzania incydentami (klasyfikacja, role, ścieżka S46) | art. 8 ust. 1 pkt 4; art. 11 ust. 1 | zawiera trzy przesłanki z art. 2 pkt 7 jako kryteria |
| Rejestr incydentów (wszystkich) | art. 11 ust. 1 pkt 1-2 | CSIRT ma mieć dostęp do informacji o rejestrowanych incydentach |
| Dostęp do S46 (konto, osoby upoważnione) | art. 11 ust. 2; art. 46 ust. 1 | wymaga wpisu do wykazu |
| Zapisy z obsługi (timeline, decyzje, zgłoszenia) | art. 10 ust. 4 | dowód dotrzymania terminów |
| Szablon komunikatu do użytkowników | art. 11 ust. 2a-2b | przygotowany zawczasu |
Najczęstsze błędy
- Liczenie 24 h od “potwierdzenia”, nie od wykrycia. Ustawa mówi: niezwłocznie, nie później niż 24 godziny od wykrycia (art. 11 ust. 1 pkt 4). Przeciąganie fazy “jeszcze analizujemy, czy to na pewno incydent” zjada termin.
- Brak zastępstwa. Jedna osoba znająca procedurę i mająca dostęp do S46 = procedura nie działa w urlop.
- Pusty rejestr incydentów. “Nie mamy incydentów” brzmi dla kontroli jak “nie wykrywamy incydentów”. Phishing zablokowany przez filtr, krótka awaria, zgubiony telefon - to są wpisy.
- Sprawozdanie końcowe liczone od wykrycia zamiast od zgłoszenia. Termin z pkt 4c biegnie od zgłoszenia (72 h), nie od wykrycia. Liczenie od wykrycia jest bezpieczne (kończysz wcześniej), ale nazywanie tej wcześniejszej daty “terminem ustawowym” to błąd opisu.
- JST wysyła wszystko. Podmiot ważny będący podmiotem publicznym nie przekazuje wczesnego ostrzeżenia ani sprawozdań (art. 12c) - nadgorliwość nie szkodzi prawnie, ale świadczy o niezrozumieniu własnego reżimu.
Checklista do odhaczenia
- Mam procedurę z kryteriami klasyfikacji (3 przesłanki z art. 2 pkt 7) i wyznaczonym decydentem + zastępcą
- Wiem, które progi mnie dotyczą (rozporządzenie 2018 przejściowo / 2024/2690 dla dostawców z art. 8b ust. 1)
- Mam działający dostęp do S46 i wiem, kto podpisuje zgłoszenia
- Rejestr incydentów działa i obejmuje wszystkie incydenty (art. 11 ust. 1 pkt 1-2)
- Timery 24 h / 72 h / 1 miesiąc są odkładane automatycznie od daty wykrycia
- Mam szablon informacji dla użytkowników usług (art. 11 ust. 2a-2b)
- Przećwiczyliśmy procedurę na sucho w ostatnich 12 miesiącach (nasza praktyka, nie wymóg ustawy)
- (Ważny publiczny) procedura uwzględnia wyjątek art. 12c
Pytania i odpowiedzi
Od kiedy liczy się 24 godziny na wczesne ostrzeżenie? Od wykrycia incydentu poważnego: “niezwłocznie, nie później niż 24 godziny od wykrycia” (art. 11 ust. 1 pkt 4). Nie od wystąpienia, nie od potwierdzenia analizy - od wykrycia.
Co jeśli nie wiem, czy incydent przekracza progi? Progi pomagają w ocenie (art. 11 ust. 1 pkt 3 i ust. 4), ale definicja z art. 2 pkt 7 obejmuje też “może spowodować”. W razie wątpliwości rekomendujemy zgłoszenie ostrożnościowe - to nasza praktyka; o jej granicach (ryzyko zgłoszeń nadmiarowych) rozstrzygnie stanowisko organów, TODO-CONTENT: pytanie w rejestrze niepewności.
Czym różni się wczesne ostrzeżenie od zgłoszenia? Zakresem danych i terminem. Wczesne ostrzeżenie (24 h) to minimalny zestaw z art. 12 ust. 1 - kto, co, kiedy wykryto, czy możliwe działanie bezprawne, czy dotyczy innych państw UE. Zgłoszenie (72 h) dodaje wpływ na usługę, przyczyny, przebieg i działania (art. 12 ust. 3). Dane znane w chwili zgłoszenia uzupełnia się później (art. 12 ust. 5).
Czy incydent u naszego dostawcy IT to nasz incydent? Jeżeli powoduje lub może spowodować skutki z art. 2 pkt 7 dla WASZEJ usługi - tak, podlega Waszej klasyfikacji i ewentualnemu zgłoszeniu. To jeden z powodów, dla których umowy z dostawcami krytycznymi powinny gwarantować powiadamianie o incydentach (patrz artykuł o łańcuchu dostaw).
Gdzie składa się zgłoszenia, skoro CSIRT-y sektorowe dopiero powstają? Do czasu komunikatu o osiągnięciu zdolności operacyjnej przez CSIRT sektorowy - do właściwego CSIRT MON / CSIRT NASK / CSIRT GOV (art. 44 ustawy zmieniającej). Kanałem pozostaje S46.
Źródła
- Ustawa o KSC - tekst ujednolicony Kancelarii Sejmu z 2026-07-07: isap.sejm.gov.pl (PDF)
- Ustawa z 23.01.2026 r. (Dz. U. 2026 poz. 252): ISAP
- Rozporządzenie RM z 31.10.2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180): ISAP
- Rozporządzenie wykonawcze KE (UE) 2024/2690: EUR-Lex
- Nowe rozporządzenie progowe (art. 11 ust. 4): na 13.07.2026 NIEOGŁOSZONE w Dzienniku Ustaw - sprawdzone w wyszukiwarce Dz. U. (w roczniku 2026 jedyny akt z “incydentem” w tytule dotyczy transportu kolejowego, poz. 74); istnienia prac legislacyjnych nad nowym aktem nie potwierdza żadne znane nam oficjalne źródło. Nie oznacza to, że rozporządzenie nie zostanie wydane - pozycja pozostaje w naszym monitoringu: dziennikustaw.gov.pl
Ten artykuł jest narzędziem informacyjnym, nie poradą prawną. Status treści: 0.9.2-draft, przed przeglądem kancelarii (TODO-LEGAL-REVIEW).
Podstawa prawna
Numer artykułu ustawy o KSC dla tego obowiązku:art. 8 ust. 1 pkt 4, art. 11-12b
- Incydent poważny wymaga wczesnego ostrzeżenia w 24 h i zgłoszenia w 72 h od wykrycia.
ref
Ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja), Dz.U. 2026 poz. 252
art. 11 ust. 1 pkt 4 (wczesne ostrzeżenie, nie później niż 24 h od wykrycia) i pkt 4a (zgłoszenie, do 72 h od wykrycia) ustawy o krajowym systemie cyberbezpieczeństwa
TODO-LEGAL-REVIEW
Powiązane artefakty w platformie
Klucze artefaktów produktu powiązanych z tym obowiązkiem (mechanika, nie treść prawna):
document:incident-management-procedure
Powiązane narzędzia
- Kalkulator kwalifikacji KSC - sprawdź, czy ten obowiązek dotyczy Twojego klienta.
- Generator terminów .ics - pobierz ustawowe terminy KSC do kalendarza.
Powiązane artykuły
Pełny rejestr zmian prawnych i "stan prawny treści" czyta ten sam źródło co sekcja "Prawo" dokumentacji.