norppa.io
Przewodniki

Przewodnik NIS2 · 7 min

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Gdy dochodzi do istotnego incydentu, zegar rusza natychmiast — a NIS2 wyznacza serię sztywnych terminów mierzonych w godzinach, nie w dniach. Ten przewodnik wyjaśnia, co liczy się jako istotny incydent, dokładny harmonogram zgłaszania z artykułu 23 oraz sytuację, którą zespoły pomijają najczęściej: kiedy incydent dostawcy staje się Twoim obowiązkiem zgłoszenia.

Najważniejsze punkty

  • Istotny incydent uruchamia zgłoszenie etapowe: wczesne ostrzeżenie w 24 godziny, pełne zgłoszenie w 72 godziny, raport końcowy w ciągu miesiąca (art. 23).
  • "Istotny" oznacza poważne zakłócenie działania lub stratę finansową, albo znaczną szkodę dla innych — nie każdy incydent osiąga próg.
  • Incydent dostawcy lub strony trzeciej zakłócający Twoją usługę może uruchomić Twój zegar 24 godzin — wgląd w nich jest częścią gotowości.
  • Zgłoszenia trafiają do krajowego CSIRT lub właściwego organu; możesz też musieć poinformować odbiorców swoich usług.

Co liczy się jako incydent "istotny"

Nie każdy incydent podlega zgłoszeniu. Zgodnie z artykułem 23 incydent jest istotny, jeśli spowodował lub może spowodować poważne zakłócenie działania usług lub stratę finansową podmiotu, albo jeśli wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczną szkodę majątkową lub niemajątkową.

Komisja ustaliła bardziej konkretne progi dla niektórych dostawców cyfrowych w rozporządzeniu wykonawczym, ale zasada obowiązuje we wszystkich sektorach: oceniaj według wagi i zasięgu skutku, a nie według technicznej nowości ataku. W razie wątpliwości udokumentuj swoją ocenę — decyzja o niezgłaszaniu powinna być równie uzasadniona jak decyzja o zgłoszeniu.

Harmonogram zgłaszania (artykuł 23)

Zgłaszanie jest etapowe: najpierw szybki sygnał, szczegóły później. Terminy biegną od chwili, gdy dowiadujesz się o istotnym incydencie.

W ciągu 24 godzin — wczesne ostrzeżenie

Pierwsze powiadomienie do CSIRT lub właściwego organu, wskazujące, czy podejrzewa się, że incydent jest spowodowany działaniami bezprawnymi lub złośliwymi, albo czy może mieć skutek transgraniczny.

W ciągu 72 godzin — zgłoszenie incydentu

Aktualizacja ze wstępną oceną: waga i skutek oraz wskaźniki naruszenia, jeśli są dostępne.

Na żądanie — raport pośredni

Jeśli CSIRT lub organ tego zażąda, aktualizacja stanu obsługi incydentu.

W ciągu 1 miesiąca od zgłoszenia — raport końcowy

Szczegółowy opis: przyczyna źródłowa i typ zagrożenia, zastosowane i trwające środki łagodzące oraz wszelki skutek transgraniczny.

Jeśli incydent nadal trwa po miesiącu, składasz w zamian raport o postępach, a raport końcowy w ciągu miesiąca od obsłużenia incydentu.

Gdy cudzy incydent staje się Twój

Obowiązek zgłaszania w NIS2 nie ogranicza się do incydentów powstających we własnych systemach. Jeśli dostawca lub usługodawca dozna incydentu powodującego istotne zakłócenie świadczonych przez Ciebie usług, obowiązek zgłoszenia może spaść na Ciebie — a zegar 24 godzin rusza, gdy się dowiadujesz, a nie gdy dostawca w końcu Ci powie.

To trudna część: dostawcy nie zawsze szybko ujawniają incydenty, a zgłoszenie, które dociera tydzień za późno, już zużyło Twój termin. Gotowość zależy więc od niezależnego wglądu — od wiedzy, kiedy krytyczny dostawca pojawia się na stronie wycieków ransomware, ma ujawnione poświadczenia lub znika, bez czekania na jego e-mail.

Jak być gotowym, zanim ruszy zegar

Dotrzymanie terminu liczonego w godzinach to kwestia przygotowania, a nie bohaterstwa. Przed incydentem upewnij się, że potrafisz odpowiedzieć:

Kto decyduje, czy incydent jest "istotny", i kto może skontaktować się z CSIRT poza godzinami pracy?
Czy mamy gotowy kontakt do CSIRT/organu i kanał zgłoszeń — nie wyszukiwany w środku kryzysu?
Czy klauzule o zgłaszaniu incydentów przez dostawców są w naszych umowach, z określonym oknem zgłoszenia?
Czy mamy niezależny monitoring krytycznych dostawców, by nie być ślepymi na nieujawniony incydent?
Czy potrafimy przedstawić oś czasu i dowody, których wymaga raport końcowy — co się stało, kiedy i co zrobiliśmy?

Źródło: Dyrektywa (UE) 2022/2555 (NIS2), artykuł 23 — oraz rozporządzenie wykonawcze Komisji w sprawie progów istotnego incydentu dla niektórych dostawców cyfrowych; sprawdź portal zgłoszeń krajowego CSIRT, aby poznać właściwy kanał.

Jak pomaga norppa.io

Najtrudniejsza część harmonogramu to ta, której nie kontrolujesz: incydent dostawcy, o którym dowiadujesz się za późno. norppa.io monitoruje Twoich dostawców w sposób ciągły — listy ofiar ransomware i wycieki poświadczeń w dark webie są sprawdzane mniej więcej co sześć godzin, z natychmiastowym alertem — aby zdarzenie u dostawcy dotarło do Ciebie na czas, byś mógł uruchomić własny zegar.

A ponieważ każde ustalenie ma znacznik czasu i jest przypisane do artykułów NIS2, historia potrzebna do zgłoszenia w 72 godziny lub raportu końcowego w miesiąc — co zaobserwowano, kiedy i co zrobiono — jest już zebrana, a nie odtwarzana pod presją.

Nie dowiaduj się o incydencie dostawcy za późno

Zobacz w przykładowym raporcie, jak ciągły monitoring dostawców ujawnia ransomware i wycieki w ciągu godzin.

Zobacz przykładowy raport

Powiązane przewodniki

NIS2 i wymóg łańcucha dostaw — co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

NIS2 Art. 21(2) — lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje — i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie — ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw — oraz jak zamknąć lukę.