Obowiązki dotyczące zgłaszania incydentów na gruncie dyrektywy NIS 2

Zgłaszanie incydentów w świetle dyrektywy NIS 2 to nie tylko obowiązek – to element strategicznego podejścia do cyberbezpieczeństwa. Nowe przepisy ujednolicają procedury w całej UE, znacząco rozszerzają katalog zobowiązanych podmiotów i wprowadzają konkretne terminy oraz wymagania raportowe. Poniżej omawiamy, co dokładnie się zmienia i co to oznacza w praktyce – dla administracji, biznesu i organizacji sektora publicznego.

Dyrektywa NIS 2 znacząco wzmacnia europejskie ramy cyberbezpieczeństwa, wprowadzając m.in. ujednolicone zasady dotyczące zgłaszania incydentów. Nowe przepisy obejmują szerszy krąg podmiotów, określają szczegółowe obowiązki raportowe i tworzą wspólne ramy współpracy z CSIRT. Choć zgłaszanie incydentów nie jest zagadnieniem nowym – szczególnie dla sektora publicznego – to obecnie zostało ono ustandaryzowane, rozszerzone i precyzyjnie opisane. Dotyczy to zarówno organizacji publicznych, jak i prywatnych, które zostały sklasyfikowane jako podmioty kluczowe lub ważne. Dyrektywa wprowadza trzystopniowy model zgłaszania incydentów i jasno określa, co, komu i w jakim czasie należy przekazać.

Kogo dotyczą nowe przepisy?

Dyrektywa NIS 2 obejmuje zarówno sektor publiczny, jak i prywatny, klasyfikując podmioty jako kluczowe lub ważne – w zależności od znaczenia ich usług i rozmiaru organizacji.

W administracji publicznej do podmiotów kluczowych mogą należeć m.in. urzędy gmin (jeśli zatrudniają powyżej 50 osób), starostwa oraz określone jednostki budżetowe. Podmiotami ważnymi mogą być jednostki i zakłady budżetowe, instytucje kultury czy spółki realizujące zadania publiczne.

W sektorze prywatnym do podmiotów kluczowych zalicza się m.in. firmy z branży energetycznej, transportowej, finansowej, zdrowotnej i cyfrowej. Do ważnych – podmioty z przemysłu, usług kurierskich, gospodarki odpadami, rolnictwa i przetwórstwa, a także dostawcy usług zarządzanych oraz dostawcy usług zarządzanych w zakresie bezpieczeństwa.

Dyrektywa nie obejmuje działalności związanej z obronnością, bezpieczeństwem narodowym i wymiarem sprawiedliwości.

Czym jest incydent bezpieczeństwa?

Zgodnie z art. 6 dyrektywy 2022/2555: „incydent” oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem.

Za poważny uznaje się incydent, który – jak wskazano w art. 23 ust. 3 dyrektywy 2022/2555 – prowadzi lub może prowadzić do istotnych zakłóceń w świadczeniu usług lub skutkuje szkodami dla innych podmiotów. Przy ocenie znaczenia incydentu należy wziąć pod uwagę m.in. jego wpływ na odbiorców usług, skalę i czas trwania zakłóceń oraz możliwe straty finansowe (motyw 101).

Trzystopniowy model zgłaszania incydentów

Dyrektywa zakłada podejście etapowe – tak, aby z jednej strony umożliwić szybkie działanie i wsparcie techniczne, a z drugiej – umożliwić dokładną analizę incydentu i wniosków dla przyszłości (motyw 101). Model ten znajduje również odzwierciedlenie w projekcie nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z 16 kwietnia 2025 r. (art. 11–12b):

Wczesne ostrzeżenie – zgodnie z art. 23 ust. 4 lit. a, należy je przekazać w ciągu 24 godzin od momentu, gdy organizacja poweźmie wiedzę o poważnym incydencie. Informacje mają być ograniczone do niezbędnych danych i mogą obejmować podejrzenie przestępstwa lub możliwe skutki transgraniczne (motyw 102).

Zgłoszenie incydentu – wymagane w ciągu 72 godzin (art. 23 ust. 4 lit. b dyrektywy 2022/2555), zawiera już wstępną ocenę skali i skutków incydentu oraz informacje techniczne, jeśli są dostępne.

Raport końcowy – należy przekazać nie później niż miesiąc po zgłoszeniu incydentu (art. 23 ust. 4 lit. d dyrektywy 2022/2555). Jeśli incydent nadal trwa, organizacja składa raport z postępów, a raport końcowy po jego zakończeniu (art. 23 ust. 4 lit. e dyrektywy 2022/2555).

Dyrektywa podkreśla, że zgłoszenie nie może negatywnie wpływać na działania naprawcze – zarządzanie incydentem zawsze powinno być traktowane priorytetowo (motyw 102).

Rola CSIRT i organów właściwych

Organizacje przesyłają informacje do krajowego CSIRT lub – w zależności od struktury krajowej – do wyznaczonego organu. Jak wskazuje art. 23 ust. 5 dyrektywy 2022/2555, instytucje te mają obowiązek udzielenia informacji zwrotnej w ciągu 24 godzin oraz mogą przekazać zalecenia techniczne, a także wspierać organizację w zarządzaniu incydentem. W sytuacjach transgranicznych lub międzysektorowych, informacje są przekazywane do ENISA i właściwych punktów kontaktowych (art. 23 ust. 6 i 9 dyrektywy 2022/2555).

Komunikacja z odbiorcami usług i społeczeństwem

Jeśli incydent lub zagrożenie może wpłynąć na odbiorców usług, podmiot zobowiązany jest do przekazania im niezbędnych informacji, takich jak możliwe środki zaradcze (art. 23 ust. 2 dyrektywy 2022/2555). W określonych przypadkach CSIRT lub właściwy organ mogą poinformować opinię publiczną o wystąpieniu poważnego incydentu, jeśli leży to w interesie społecznym (art. 23 ust. 7 dyrektywy 2022/2555).

Wewnętrzne przygotowanie – nie tylko obowiązek prawny

Wdrożenie NIS 2 to nie tylko kwestia formalnego dostosowania się do nowych regulacji, ale przede wszystkim budowanie trwałych mechanizmów odporności organizacyjnej. Każda organizacja – niezależnie od wielkości czy charakteru działalności – powinna posiadać spójne procedury umożliwiające identyfikację, klasyfikację i zgłaszanie incydentów zgodnie z wymaganiami dyrektywy oraz projektowanej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.

W praktyce oznacza to konieczność zdefiniowania ról i odpowiedzialności – w tym wyznaczenia osoby kontaktowej ds. incydentów, przygotowania systemu rejestracji i analizy zdarzeń, ustalenia mechanizmów klasyfikacji oraz zbudowania ścieżki eskalacji w razie potrzeby. Szczególną uwagę należy zwrócić na regularne szkolenia – nie tylko zespołów IT czy bezpieczeństwa, ale również pracowników administracyjnych, którzy często jako pierwsi mają styczność z niepokojącymi sygnałami.

Odpowiednio zaprojektowane przygotowanie wewnętrzne zwiększa nie tylko poziom zgodności, ale realnie wpływa na szybkość i skuteczność reakcji organizacji w sytuacjach kryzysowych. To inwestycja w bezpieczeństwo operacyjne i zaufanie otoczenia.

Sankcje – realne i dotkliwe

Naruszenie obowiązków wynikających z NIS 2 – w szczególności art. 21 dyrektywy 2022/2555 (środki zarządzania ryzykiem) i art. 23 dyrektywy 2022/2555 (zgłaszanie incydentów) – może skutkować dotkliwymi sankcjami administracyjnymi.

Dla podmiotów kluczowych dyrektywa przewiduje maksymalne kary w wysokości co najmniej 10 milionów euro lub 2% globalnego rocznego obrotu przedsiębiorstwa – w zależności od tego, która wartość jest wyższa (art. 34 ust. 4 dyrektywy 2022/2555).

W przypadku podmiotów ważnych, maksymalna wysokość kary to co najmniej 7 milionów euro lub 1,4% rocznego obrotu globalnego (art. 34 ust. 5 dyrektywy 2022/2555).

Państwa członkowskie mają obowiązek wdrożenia przepisów zapewniających skuteczność tych sankcji oraz mogą przewidzieć dodatkową odpowiedzialność kadry zarządzającej.

Wnioski – dla administracji, biznesu i organizacji

Dyrektywa NIS 2 wymaga realnych działań – zarówno ze strony administracji publicznej, jak i podmiotów prywatnych. Obowiązki związane z obsługą i zgłaszaniem incydentów, a także z wdrożeniem odpowiednich środków zarządzania ryzykiem, będą miały zastosowanie w bardzo szerokim zakresie – i będą egzekwowane. Kluczowe jest zatem, by organizacje niezależnie od formy prawnej czy sektora, już teraz przygotowały się na nowe wymogi.

Warto: