Fundacje rodzinne

Rejestrujemy i prowadzimy bieżącą obsługę prawną i podatkową fundacji rodzinnych.
Dowiedz się więcej
8:24 Publikacja: 09.04.25

Nowe zasady zgłaszania incydentów w NIS2 – co i kiedy trzeba zgłaszać?

Już Dyrektywa NIS1[1] wprowadzała regulacje odnoszące się do łagodzenia zagrożeń dla sieci i systemów informatycznych, jednak od czasu jej przyjęcia w 2016 r. nastąpiła szybka transformacja cyfrowa i jednocześnie wzrosła rola technologii informatycznych w społeczeństwie. Tym samym zmieniły się cyberzagrożenia, z jakimi się obecnie mierzymy.  Liczba, skala, zaawansowanie, częstotliwość oraz wpływ incydentów na firmy są coraz większe i stanowią poważne zagrożenie dla funkcjonowania sieci i systemów informatycznych. Nadeszła więc potrzeba dostosowania regulacji do aktualnych zagrożeń w sieci. Z tego artykułu dowiesz się, jakie obowiązki dotyczące bezpieczeństwa i zgłaszania incydentów ustanawia Dyrektywa NIS2[2].

NIS1 a NIS2

Przejście z NIS1 do NIS2 wprowadziło istotne zmiany w zakresie zgłaszania incydentów. NIS1 obejmowała swoim zakresem węższą grupę podmiotów i określała ogólnie ich obowiązki w zakresie zgłaszania incydentów. NIS1 zawierała inną definicję incydentu, nie regulowała dokładnego czasu na zgłoszenie incydentu czy treści zgłoszenia, a obowiązek zgłaszania dotyczył głównie zakłóceń ciągłości usług, nie zaś samego wpływu na bezpieczeństwo. Dyrektywa NIS1 pozostawiała szeroki zakres obowiązków do indywidualnego uregulowania przez państwa członkowskie, w tym również sankcje za nieprzestrzeganie przepisów. NIS2 zdecydowanie bardziej szczegółowo reguluje procedurę zgłaszania incydentów we wszystkich państwach członkowskich oraz kary za jej nieprzestrzeganie.

Czym jest incydent?

NIS2 wprowadza własny katalog definicji, w tym przewidziano również definicje odnoszące się do incydentów:

  • incydent” oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem;
  • incydent w cyberbezpieczeństwie na dużą skalę” oznacza incydent, który powoduje zakłócenia na poziomie przekraczającym zdolność państwa członkowskiego do reagowania na ten incydent lub który wywiera znaczące skutki w co najmniej dwóch państwach członkowskich;
  • obsługa incydentu” oznacza działania i procedury mające na celu zapobieżenie incydentowi, wykrywanie i analizowanie go, ograniczanie jego zasięgu lub reagowanie na niego i przywrócenie normalnego działania.

NIS2 posługuje się również pojęciem incydentu poważanego, który ma istotny wpływ na świadczenie usług. Incydent uznaje się za poważny, jeżeli:

a) spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;

b) wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Jak wygląda proces zgłaszania incydentu?

Podmioty kluczowe i ważne są zobowiązane bez zbędnej zwłoki zgłaszać poważne incydenty swojemu właściwemu zespołowi reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub swojemu właściwemu organowi. W stosownych przypadkach należy również powiadamiać odbiorców swoich usług o poważnych incydentach.

Procedura zgłaszania incydentów:

a) wczesne ostrzeżenie – bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie – w stosownych przypadkach wskazuje się, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny;

b) zgłoszenie incydentu – bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie – w stosownych przypadkach z aktualizacją informacji z wczesnego ostrzeżenia i wskazaniem wstępnej oceny poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu;

c) sprawozdanie okresowe na temat odpowiednich aktualizacji statusu – jeśli zażąda tego CSIRT lub organ;

d) sprawozdanie końcowe – nie później niż miesiąc po zgłoszeniu incydentu – zawierające następujące elementy:

(i) szczegółowy opis incydentu, w tym jego dotkliwości i skutki;

(ii) rodzaj zagrożenia lub pierwotną przyczynę, która prawdopodobnie była źródłem incydentu;

(iii) zastosowane i wdrażane środki ograniczające ryzyko;

(iv) w stosownych przypadkach transgraniczne skutki incydentu;

e) sprawozdanie z postępu prac – jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, o którym mowa wyżej, należy złożyć sprawozdanie z postępu prac, a sprawozdanie końcowe – w ciągu miesiąca od zakończenia obsługi incydentu.

Dodatkowo w przypadku incydentu poważnego, może być również konieczne powiadomienie odbiorców usług, jeżeli incydent może mieć niekorzystny wpływ na te usługi. Decyzję o przekazaniu informacji do wiadomości publicznej może także podjąć CSIRT lub inny organ właściwy.

Co się dzieje po zgłoszeniu incydentu?

CSIRT lub właściwy organ bez zbędnej zwłoki – i w miarę możliwości w ciągu 24 godzin od otrzymania wczesnego ostrzeżenia – przekazuje podmiotowi zgłaszającemu  wstępne informacje zwrotne na temat poważnego incydentu. Podmiot zgłaszający incydent może zawnioskować do CSIRT lub organu o wytyczne i porady operacyjne dotyczące wdrożenia możliwych środków ograniczających ryzyko. Podmiot zgłaszający incydent może zawnioskować do CSIRT również o zapewnienie dodatkowego wsparcia technicznego. Jeżeli zachodzi podejrzenie, że poważny incydent ma cechy przestępstwa, CSIRT lub właściwy organ przedstawia również wytyczne dotyczące zgłaszania poważnego incydentu organom ścigania.

Wnioski i rekomendacje

Regulacje NIS2 wprowadzają bardziej szczegółowe obowiązki w zakresie zgłaszania incydentów niż NIS1 – teraz kluczowe znaczenie mają: czas zgłoszenia, kompletność oraz treść zgłoszeń. Obowiązki te można podsumować w trzech etapach:

NIS2 wprowadza jednocześnie surowe kary za nieprzestrzeganie obowiązków zgłaszania incydentów. Jeśli potrzebujesz pomocy w przygotowaniu procedur reagowania na incydenty i raportowania incydentów – skontaktuj się z nami.

Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy: [link]

Chcesz wiedzieć więcej?

Już 15 kwietnia o godz. 10:00 zapraszamy na bezpłatny webinar: „NIS2: co to jest i kogo dotyczy? Nowe przepisy o cyberbezpieczeństwie dla firm”, który poprowadzą nasi eksperci od prawa nowych technologii: Maciej Tabor, adwokat, Senior Associate w Lawspective oraz Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

Opowiemy, czym jest NIS2, czy Twoja firma podlega NIS2 (i jak to sprawdzić), jakie zmiany niesie dla polskich firm i co musisz wiedzieć, aby przygotować się na nadchodzące przepisy.

Zarejestruj się tutaj: https://lawspective.pl/webinar-NIS2

Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Marta Adranowska, adwokat, Senior Associate w Lawspective.

E-mail: marta.adranowska@lawspective.pl

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r.

[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
[addtoany]