cyberbezpieczenstwo strona www

Incydent cyberbezpieczeństwa? Zobacz, jak i kiedy musisz go zgłosić!

Incydent cyberbezpieczeństwa to nie „czy”, ale „kiedy”. Nowe przepisy ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) i dyrektywy NIS 2 nakładają na Ciebie konkretne obowiązki związane z ich zgłaszaniem.

Dowiedz się, jakie terminy Cię obowiązują, co dokładnie musisz raportować i jakie kary grożą za niedopełnienie tego obowiązku.

Co to jest incydent, który musisz zgłosić?

Mówiąc najprościej, to każde zdarzenie, które realnie narusza poufność, integralność lub dostępność Twoich danych i systemów. Obowiązek zgłoszenia dotyczy incydentów poważnych, czyli takich, które mają znaczący, negatywny wpływ na ciągłość świadczenia Twoich usług. Zdarzenia, które mają tylko potencjalny wpływ, nie wymagają zgłoszenia.

cyberbezpieczenstwo strona www

Przykłady incydentów, które musisz zgłosić:

  • Atak ransomware, który zablokował dostęp do kluczowych systemów i przerwał świadczenie usług.
  • Wyciek danych (osobowych lub firmowych), który spowodował straty finansowe lub naruszył poufność.
  • Atak DDoS, który na dłuższy czas uniemożliwił użytkownikom dostęp do Twoich usług.
  • Nieautoryzowany dostęp do systemów, który doprowadził do modyfikacji lub usunięcia ważnych danych.
  • Poważny incydent u Twojego dostawcy (np. chmury), który zakłócił działanie T.

 

Zgłaszanie incydentów: Terminy, o których musisz pamiętać

Masz bardzo konkretne ramy czasowe na reakcję. 

Kluczowe są dwa terminy:

  • Do 24 godzin od wykrycia – musisz wysłać wczesne ostrzeżenie do właściwego zespołu CSIRT.
  • Do 72 godzin od wykrycia – musisz przekazać pełne zgłoszenie incydentu. Dodatkowo, w ciągu miesiąca od zdarzenia, będziesz zobowiązany do przygotowania raportu końcowego.

Jak i co zgłaszać?

Zgłoszenia będziesz dokonywać za pomocą dedykowanego systemu teleinformatycznego S46. W zgłoszeniu musisz zawrzeć kluczowe informacje, które pomogą organom ocenić skalę zagrożenia.

Co powinno znaleźć się w Twoim zgłoszeniu:

  • Szczegółowy opis incydentu i jego przyczyn.
  • Informacje o wpływie zdarzenia na świadczone przez Ciebie usługi.
  • Szacunkowa liczba dotkniętych użytkowników i zasięg geograficzny.
  • Opis działań naprawczych, które już podjąłeś.
  • Przegląd środków zapobiegawczych, które planujesz wdrożyć.

Kto odpowiada za zgłoszenia incydentów?

Za zgłoszenie incydentu odpowiada wyznaczony w Twojej organizacji zespół lub osoba – najczęściej jest to dział IT, wewnętrzny SOC (Security Operations Center) lub specjalista ds. cyberbezpieczeństwa.

Ważna wskazówka: Pamiętaj, że zgłoszenie incydentu do CSIRT nie zwalnia Cię z obowiązku zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO, jeśli incydent dotyczył takich danych.

Jakie kary grożą za brak zgłoszenia?

Konsekwencje zignorowania tego obowiązku są bardzo poważne. Za brak zgłoszenia incydentu w wymaganym terminie grożą Ci wysokie kary finansowe:

  • Dla podmiotów kluczowych: do 10 mln euro lub 2% rocznego światowego obrotu.
  • Dla podmiotów ważnych: do 7 mln euro lub 1,4% rocznego światowego obrotu.

Kary mogą być nałożone zarówno na Twoją organizację, jak i bezpośrednio na osoby zarządzające.

Twoja mini-checklista: zgłaszanie incydentów

  • Wyznacz w firmie osoby/zespół odpowiedzialny za proces zgłaszania incydentów.
  • Stwórz i przetestuj wewnętrzną procedurę reagowania, uwzględniającą terminy 24h i 72h.
  • Przygotuj szablon zgłoszenia, zawierający wszystkie wymagane przez ustawę informacje.
  • Upewnij się, że Twój zespół wie, jak odróżnić incydent poważny od nieistotnego.

LEX Cyberbezpieczeństwo

Umów prezentację
Back To Top