Blog ·

Incydent bezpieczeństwa? Masz 24 godziny. Jak działa zgłaszanie według UKSC

Znowelizowana UKSC wprowadza trzyetapowe zgłaszanie incydentów do CSIRT: wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny i sprawozdanie w miesiąc. Wyjaśniam, jak się do tego przygotować.

Jednym z najbardziej praktycznych obowiązków znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa jest raportowanie incydentów. To obowiązek, którego nie da się spełnić „na papierze” — wymaga działającego procesu, przygotowanych ludzi i zegarka.

Trzy etapy, trzy terminy

Zgłaszanie incydentu do właściwego CSIRT przebiega w trzech krokach:

  1. Wczesne ostrzeżenie — 24 godziny od wykrycia. Krótki sygnał, że incydent wystąpił. Nie wymaga pełnej analizy — wymaga za to, żeby ktoś w firmie w ogóle wiedział, że ma go wysłać i dokąd.
  2. Zgłoszenie incydentu — 72 godziny. Szczegółowy opis zdarzenia i wstępna ocena skutków.
  3. Sprawozdanie końcowe — 1 miesiąc. Pełna analiza incydentu i podjęte działania naprawcze.

Zgłoszenia trafiają do właściwego CSIRT sektorowego lub jednego z CSIRT poziomu krajowego (NASK, GOV, MON).

Co jest incydentem podlegającym zgłoszeniu

Zgłosić trzeba każde zdarzenie, które ma lub może mieć istotny wpływ na świadczenie usługi kluczowej lub ważnej. W praktyce granica bywa nieoczywista — dlatego procedura firmowa powinna definiować progi istotności i wskazywać osobę podejmującą decyzję o zgłoszeniu.

Dlaczego 24 godziny to mało

Doba mija szybko, zwłaszcza gdy incydent wykryto w piątek wieczorem. Firmy, które zdążą, łączy kilka cech:

  • mają wyznaczone i zastępowalne osoby odpowiedzialne za zgłoszenia (urlop nie może zatrzymać procedury),
  • mają gotowy szablon zgłoszenia i sprawdzone dane kontaktowe właściwego CSIRT,
  • przećwiczyły scenariusz — choćby raz, na sucho,
  • prowadzą monitoring, dzięki któremu incydent w ogóle zostaje wykryty na czas.

Jak się przygotować

Najlepszym testem gotowości jest symulacja: warsztat, na którym zespół przechodzi wymyślony incydent od wykrycia po sprawozdanie końcowe. Prowadzimy takie warsztaty w ramach szkoleń NIS2, a firmom, które wolą przekazać całość na zewnątrz, oferujemy stałą obsługę incydentów w modelu zewnętrznego zespołu cyberbezpieczeństwa.

← Wróć do listy artykułów