Zgłaszanie incydentów NIS2: terminy 24 godzin, 72 godzin i 1 miesiąca wyjaśnione
W ramach NIS2 zgłaszanie incydentów nie jest ani opcjonalne, ani elastyczne. Gdy dojdzie do znaczącego incydentu, masz 24 godziny na wstępne powiadomienie. Dwadzieścia cztery godziny od momentu uzyskania wiedzy o incydencie.
Trzy etapy zgłaszania
Harmonogram Zgłaszania Incydentów NIS2
24hWczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 172hZgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 21moRaport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 324hWczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72hZgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1moRaport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Etap 1: Wczesne ostrzeżenie — w ciągu 24 godzin
Czy spowodowany przez działania złośliwe, czy możliwy wpływ transgraniczny.
Etap 2: Zgłoszenie — w ciągu 72 godzin
Wstępna ocena powagi i skutków, wskaźniki kompromitacji.
Etap 3: Raport końcowy — w ciągu 1 miesiąca
Szczegółowy opis, analiza przyczyn, środki zaradcze.
Co to jest "znaczący incydent"?
Czy NIS2 Dotyczy Twojej Organizacji?
1Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak▼Nie▼2Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
✗NIS2 nie dotyczy bezpośrednio Twojej organizacji.
Tak▼Nie▼✓NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
3Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak▼!NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
1Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak ↓Nie →2Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
Tak ↓Nie →3Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak ↓Nie →✗NIS2 nie dotyczy bezpośrednio Twojej organizacji.
✓NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
DotyczyMożliwe zastosowanieNie dotyczy
W razie wątpliwości: zgłoś. Lepiej zgłosić niepotrzebnie niż przekroczyć termin 24 godzin.
Komu zgłaszać?
| Kraj | Organ właściwy | CSIRT |
|---|---|---|
| Polska | NASK (oczekiwany) | CERT Polska |
| Belgia | CCB | CERT.be |
| Niemcy | BSI | CERT-Bund |
| Holandia | RDI (oczekiwany) | NCSC-NL |
| Francja | ANSSI | CERT-FR |
| Włochy | ACN | CSIRT Italia |
| Hiszpania | CCN-CERT / INCIBE | CCN-CERT / INCIBE-CERT |
Zbuduj swój proces zgłaszania
| Czas | Działanie |
|---|---|
| T+0 | Incydent wykryty — zegar startuje |
| T+1h | Pierwsza ocena: potencjalnie znaczący? |
| T+4h | Poinformować zarząd |
| T+24h | TERMIN: Złożyć wczesne ostrzeżenie |
| T+72h | TERMIN: Złożyć zgłoszenie incydentu |
| T+1 miesiąc | TERMIN: Złożyć raport końcowy |
A co z RODO?
Osobne obowiązki. Zgłoszenie NIS2 nie zastępuje zgłoszenia RODO i odwrotnie. Koordynuj oba.
Zacznij od bezpłatnego quickscanu
Nasz bezpłatny quickscan NIS2 obejmuje ocenę Twojej gotowości do zgłaszania incydentów.