Zgłoszenie incydentu w ramach UKSC

Zgłoszenie poważnego incydentu do CSIRT NASK

W razie poważnego incydentu Krajowy System Cyberbezpieczeństwa (UKSC, Dz.U. 2026 poz. 252, w mocy od 3 kwietnia 2026 r.) nakłada na podmioty kluczowe i ważne ścisłą sekwencję zgłoszeń do właściwego CSIRT: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 1 miesiąca. Ta strona streszcza każdy etap, wskazuje podstawę w UKSC i wyjaśnia, jak Reglyze przygotowuje pakiet zgłoszeniowy, nie zastępując Twojej czynności złożenia zgłoszenia.

Kanał zgłoszeniowy: poważne incydenty zgłasza się elektronicznie przez portal incydent.cert.pl. Właściwym CSIRT jest CSIRT NASK dla sektora ogólnego i prywatnego, CSIRT GOV dla administracji rządowej oraz CSIRT MON dla obszaru wojskowego.

Pełna sekwencja terminów

  1. 1

    Wczesne ostrzeżenie

    w ciągu 24 godzin od wykrycia

    Pierwsza, szybka informacja do właściwego CSIRT o tym, że trwa poważny incydent. Wskazuje wstępny charakter zdarzenia, informację, czy incydent może być wynikiem działania bezprawnego lub umyślnego, oraz czy może mieć skutki transgraniczne. Na tym etapie nie jest wymagana pełna analiza.

    obowiązek zgłoszeniowy podmiotu na gruncie UKSC

  2. 2

    Zgłoszenie incydentu

    w ciągu 72 godzin od wykrycia

    Uzupełnienie wczesnego ostrzeżenia o ocenę incydentu: jego dotkliwość, rzeczywisty wpływ na świadczoną usługę oraz, gdy to możliwe, wskaźniki naruszenia integralności systemu (IoC). Na tym etapie podmiot może też zwrócić się do CSIRT o wsparcie w obsłudze incydentu.

    obowiązek zgłoszeniowy podmiotu na gruncie UKSC

  3. 3

    Sprawozdanie końcowe

    w ciągu 1 miesiąca od zgłoszenia incydentu

    Analiza powłamaniowa: szczegółowy opis incydentu, jego dotkliwość i skutki, prawdopodobny wektor ataku oraz zastosowane i planowane środki zaradcze. Jeżeli w chwili sprawozdania incydent wciąż trwa, podmiot przekazuje sprawozdanie z postępów, a sprawozdanie końcowe po zakończeniu obsługi incydentu.

    obowiązek sprawozdawczy podmiotu na gruncie UKSC

Co liczy się jako poważny incydent?

Próg dotyczy wpływu zdarzenia na świadczoną usługę. Co do zasady incydent jest poważny, gdy:

  • spowodował lub może spowodować poważne obniżenie jakości albo przerwanie ciągłości świadczonej usługi;
  • spowodował lub może spowodować znaczne straty majątkowe dla podmiotu;
  • wpłynął lub może wpłynąć na inne podmioty lub osoby, wywołując znaczną szkodę.

Incydenty mniejszej wagi (opanowane, bez poważnego zakłócenia usługi) nie wymagają zgłoszenia do CSIRT, ale powinny być rejestrowane wewnętrznie jako dowód działania systemu zarządzania bezpieczeństwem informacji wymaganego w art. 8 ust. 1 UKSC. Jeżeli incydent dotyczy danych osobowych, równolegle może powstać odrębny obowiązek wobec organu ochrony danych, niezależny od zgłoszenia do CSIRT.

Treść każdego zgłoszenia

Każdy z trzech etapów ma inny zakres informacji. Przygotowanie ich z wyprzedzeniem (jeszcze przed incydentem) skraca czas reakcji, gdy zegar już biegnie.

  • Wczesne ostrzeżenie (24 godziny): sygnał, że trwa poważny incydent, z informacją o podejrzeniu działania bezprawnego lub umyślnego oraz o możliwych skutkach transgranicznych.
  • Zgłoszenie incydentu (72 godziny): ocena dotkliwości, rzeczywisty wpływ na usługę oraz, jeśli są dostępne, wskaźniki naruszenia integralności systemu. Tu można też poprosić CSIRT o wsparcie.
  • Sprawozdanie końcowe (1 miesiąc): pełna analiza powłamaniowa, prawdopodobny wektor ataku oraz zastosowane i planowane środki zaradcze. Przy trwającym incydencie najpierw sprawozdanie z postępów.

Jak pomaga Reglyze, nie składając zgłoszenia za Ciebie

Reglyze zawiera moduł incydentów, który prowadzi każdy poważny incydent od początku do końca: przypomina o terminach trzech etapów, generuje z pomocą AI projekty wczesnego ostrzeżenia i zgłoszenia, pozwala dołączać materiał dowodowy i przygotowuje sprawozdanie końcowe w formacie gotowym do skopiowania do portalu incydent.cert.pl.

Reglyze nigdy nie składa zgłoszenia do CSIRT w Twoim imieniu. Złożenie zgłoszenia jest zawsze czynnością operatora w portalu incydent.cert.pl. To operator potwierdza identyfikator sprawy po złożeniu, i to wpis w portalu CSIRT liczy się jako dowód dopełnienia obowiązku. Reglyze przyspiesza przygotowanie pakietu, a kontrola nad wysyłką pozostaje po Twojej stronie.

Treść projektów odwołuje się wyłącznie do polskich ram (Krajowy System Cyberbezpieczeństwa, UKSC), a warstwa metodyczna jest spójna z Narodowymi Standardami Cyberbezpieczeństwa (NSC) publikowanymi przez KPRM.

Najczęstsze pytania

W jakim czasie trzeba zgłosić poważny incydent?
Obowiązują trzy terminy liczone od momentu wykrycia: wczesne ostrzeżenie w ciągu 24 godzin, pełne zgłoszenie incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu 1 miesiąca od zgłoszenia. Jeżeli incydent nadal trwa, w miejsce sprawozdania końcowego przekazuje się sprawozdanie z postępów, a końcowe po zakończeniu obsługi.
Do kogo zgłasza się incydent?
Zgłoszenie kierowane jest do właściwego CSIRT. Dla sektora ogólnego i prywatnego jest to CSIRT NASK, dla administracji rządowej CSIRT GOV, a dla obszaru wojskowego CSIRT MON. Operacyjnym kanałem przyjmowania zgłoszeń jest portal incydent.cert.pl.
Co to jest poważny incydent?
Co do zasady jest to incydent, który powoduje lub może powodować poważne obniżenie jakości albo przerwanie ciągłości świadczonej usługi, znaczne straty lub wpływ na inne podmioty. Mniejsze zdarzenia, opanowane bez poważnego zakłócenia, nie podlegają zgłoszeniu, ale powinny być rejestrowane wewnętrznie jako dowód zarządzania ryzykiem (art. 8 UKSC).
Czy Reglyze zgłasza incydent w moim imieniu?
Nie. Reglyze przygotowuje treść każdego zgłoszenia (wczesne ostrzeżenie, zgłoszenie incydentu, sprawozdanie końcowe), ale złożenie zgłoszenia w portalu incydent.cert.pl jest zawsze czynnością operatora. To operator potwierdza identyfikator sprawy i to wpis w portalu CSIRT stanowi dowód dopełnienia obowiązku.
Co powinno zawierać każde zgłoszenie?
Wczesne ostrzeżenie: wstępna informacja o zdarzeniu, podejrzenie działania umyślnego i możliwe skutki transgraniczne. Zgłoszenie po 72 godzinach: ocena dotkliwości i rzeczywisty wpływ oraz wskaźniki naruszenia. Sprawozdanie końcowe: pełna analiza powłamaniowa, wektor ataku i zastosowane środki zaradcze.

Bądź gotowy przed kolejnym incydentem

Bezpłatna diagnoza w 2 minuty powie Ci, czy obejmuje Cię obowiązek zgłaszania incydentów. Plan bezpłatny obejmuje ocenę wstępną, a moduł incydentów dostępny jest w planie płatnym.

Reglyze nie zastępuje porady prawnej. Zgłoszenia poważnych incydentów składasz samodzielnie do właściwego CSIRT przez incydent.cert.pl.