Szablony zgłaszania incydentów NIS2 są teraz oficjalne: co zmienia się dla Twoich klientów
Szablony zgłaszania incydentów NIS2 są teraz oficjalne: co zmienia się dla Twoich klientów
26 maja 2026 roku Grupa Współpracy NIS2 zebrała się na Cyprze na swoim 39. posiedzeniu plenarnym i osiągnęła porozumienie w sprawie czegoś, czego brakowało od czasu wejścia w życie dyrektywy: wspólnych szablonów do zgłaszania incydentów. Każde państwo członkowskie UE. Jeden format. Po raz pierwszy.
To ważniejsze, niż się wydaje. Przed tą decyzją Artykuł 23 wymagał od przedsiębiorstw zgłaszania poważnych incydentów w ciągu 24 godzin, 72 godzin i miesiąca — ale jak to zrobić zależało od tego, pod którą krajową władzą podlegał Twój klient. Holenderski producent i niemiecki dostawca usług logistycznych mogli stosować zupełnie różne procedury zgłaszania dla tego samego rodzaju incydentu. Ta niespójność jest teraz adresowana.
Grupa Współpracy — złożona z przedstawicieli wszystkich państw członkowskich UE, Komisji Europejskiej i ENISA — przyjęła te szablony jako pierwszy krok. Komisja wyda następnie akt wykonawczy, aby uczynić je obowiązkowymi we wszystkich 27 państwach członkowskich.
Co szablony faktycznie standaryzują
Podstawową funkcją nowych szablonów jest harmonizacja pól zgłoszeniowych. Zamiast każdego krajowego CSIRT definiującego własny formularz przyjęcia, organizacje będą wypełniać te same ustrukturyzowane punkty danych niezależnie od miejsca rejestracji.
Oczekuj, że szablony obejmą: klasyfikację incydentu, dotknięte systemy i usługi, szacunkową liczbę poszkodowanych użytkowników, harmonogram zdarzeń, podjęte początkowe działania powstrzymujące i czy zaangażowani są zewnętrzni dostawcy. To nie jest uproszczony kwestionariusz — to ustrukturyzowany format zaprojektowany tak, aby zapewnić organom to, czego potrzebują do szybkiej oceny powagi sytuacji.
Dla Twoich klientów oznacza to, że 24-godzinne wczesne ostrzeżenie to nie tylko szybki telefon lub e-mail. Od pierwszego dnia musi zawierać określone ustrukturyzowane pola. Jeśli Twój klient nie ma procesu reagowania na incydenty powiązanego z tymi polami, będzie improwizował pod presją.
Harmonogram Zgłaszania Incydentów NIS2
24hWczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 172hZgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 21moRaport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 324hWczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72hZgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1moRaport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Dlaczego ogłoszenie „jednego punktu wejścia" ma znaczenie
Przyjęcie szablonów nie nastąpiło w izolacji. Grupa Współpracy wyraźnie dostosowała te szablony do szerszej inicjatywy: Digital Omnibus — proponowanych ram UE, które stworzyłyby jeden punkt wejścia do zgłaszania incydentów na podstawie wielu przepisów — NIS2, DORA, dyrektywy o odporności podmiotów krytycznych (CER) i innych.
Obecnie firma świadcząca usługi finansowe, która jest zarówno „podmiotem kluczowym" NIS2, jak i podlega DORA, może być zmuszona do dwukrotnego zgłaszania tego samego incydentu — do dwóch różnych organów, w dwóch różnych formatach. Digital Omnibus ma to naprawić.
Dla MSP i konsultantów IT obsługujących sektory regulowane — bankowość, ubezpieczenia, fintech, opieka zdrowotna — ta konwergencja jest znacząca. Twoje podręczniki reagowania na incydenty i przepływy pracy komunikacji z klientami powinny już być zbudowane z uwzględnieniem nakładania się wielu przepisów. Jeśli nie — zacznij od tego.
Akt wykonawczy będzie kluczowy do śledzenia. Po opublikowaniu w Dzienniku Urzędowym organy państw członkowskich będą zobowiązane do akceptowania tych szablonów. Do tego czasu Twoi klienci nadal działają zgodnie z krajowym procesem ustanowionym przez ich organ.
Artykuł 23: Szybkie przypomnienie o terminach
Nowe szablony wpisują się w istniejącą strukturę zgłaszania z Artykułu 23. Ta struktura się nie zmieniła. Zmienia się to, co musisz mieć przygotowane na każdym etapie.
24-godzinne wczesne ostrzeżenie: Powiadomienie krajowego CSIRT lub właściwego organu, że doszło do poważnego incydentu. „Poważny" oznacza, że incydent powoduje lub może powodować poważne zakłócenia operacyjne lub straty finansowe, lub dotyka innych osób, powodując znaczne szkody materialne lub niematerialne.
72-godzinne zgłoszenie incydentu: Bardziej szczegółowy raport zawierający wstępną ocenę incydentu — powagę, wskaźniki kompromitacji i ewentualny wpływ transgraniczny. Przy przyjętych teraz wspólnych szablonach raport ten będzie musiał być zgodny z ustrukturyzowanym formatem po wejściu w życie aktu wykonawczego.
Raport końcowy po miesiącu: Pełne sprawozdanie z incydentu obejmujące analizę przyczyn źródłowych, działania reagowania i podjęte lub planowane środki zapobiegające ponownemu wystąpieniu.
Najczęstszym punktem awarii dla organizacji jest przejście od 24h do 72h. Wczesne ostrzeżenie często jest wysyłane z minimalnymi szczegółami. Potem przychodzą 72 godziny i nie ma dokumentacji, nie ma ustrukturyzowanych danych, a incydent nadal trwa. Twoja praca jako konsultanta polega na zbudowaniu procesu przed wystąpieniem incydentu — nie w jego trakcie.
Harmonogram Zgłaszania Incydentów NIS2
24hWczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 172hZgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 21moRaport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 324hWczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72hZgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1moRaport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Co MSP i konsultanci IT muszą zrobić teraz
1. Zmapować łańcuchy powiadamiania swoich klientów
Każdy klient kwalifikujący się jako podmiot kluczowy lub ważny potrzebuje udokumentowanego łańcucha powiadamiania o incydentach: kto inicjuje zgłoszenie, kto je sporządza, kto je składa i do którego organu. Brzmi to podstawowo. Większość organizacji nie ma tego zapisanego.
2. Wstępnie wbudować pola szablonu w swój proces IR
Choć akt wykonawczy nie został jeszcze opublikowany, pola szablonu można przewidzieć na podstawie standardowych wymagań przyjęcia CSIRT. Stwórz teraz projekt szablonu raportu o incydentach z oczekiwanymi ustrukturyzowanymi polami. Gdy zostaną opublikowane oficjalne szablony, wystarczą drobne korekty — nie budowanie od zera.
3. Wyjaśnić swoje zobowiązania umowne
Jeśli świadczysz zarządzane usługi SOC, reagowania na incydenty lub monitorowania bezpieczeństwa dla klienta objętego NIS2, sprawdź swoją umowę. Czy jesteś odpowiedzialny umownie za składanie powiadomień o incydentach w ich imieniu? Jeśli tak, Twoje harmonogramy SLA muszą uwzględniać 24-godzinne wczesne ostrzeżenie — w tym noce i weekendy.
Wiele umów MSP zostało sporządzonych przed pełnym egzekwowaniem NIS2. Teraz, gdy egzekwowanie jest aktywne w kilku państwach członkowskich i ramy regulacyjne zacieśniają się, te umowy wymagają aktualizacji.
4. Wbudować gotowość do zgłaszania w analizy luk
Klient może mieć silne kontrole techniczne i mimo to nie przejść przeglądu regulacyjnego, ponieważ jego proces zgłaszania incydentów nie spełnia wymagań Artykułu 23. Gotowość do reagowania na incydenty powinna być samodzielną sekcją w każdej analizie luk NIS2, którą przeprowadzasz.
Użyj NIS2Certify quick scan, aby uzyskać punkt odniesienia dla pozycji swoich klientów we wszystkich środkach Artykułu 21 — w tym obsługi incydentów — przed ich pierwszym kontaktem regulacyjnym.
Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
Artykuł 21
10 Środków Cyberbezpieczeństwa
Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji6Ocena skuteczności środków bezpieczeństwaIncydenty & Ciągłość
2Obsługa incydentów & zgłaszanie3Ciągłość działania & odtwarzanie po awariiŁańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznychKontrole Techniczne
8Kryptografia & szyfrowanie10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacjaLudzie & Zasoby
7Cyberhigiena & szkolenia9Bezpieczeństwo HR & kontrola dostępu
Szerszy obraz: egzekwowanie jest faktem
Przyjęcie szablonów nie nastąpiło w próżni. Jest częścią szerszego zaostrzenia egzekwowania NIS2 w całej UE w 2026 roku.
Niemieckie BSI rozpoczęło aktywne egzekwowanie w pierwszym kwartale 2026 roku. Belgia otworzyła formalne okno oceny zgodności 18 kwietnia 2026 roku — pierwsze państwo członkowskie wyznaczające twardy termin audytu. Włoskie ACN skategoryzowało podmioty i wyznaczyło termin składania wniosków na czerwiec 2026. Holandia opublikowała ustawę o cyberbezpieczeństwie i przeprowadza teraz pierwsze cykle przeglądów.
Francja wciąż finalizuje transpozycję, ale ANSSI opublikowało w marcu 2026 roku ReCyF (Référentiel Cyber France) v2.5 — ramy 152 środków zgodne z NIS2, których przestrzegania oczekuje się od francuskich podmiotów nawet przed formalnym uchwaleniem ustawy.
Co to oznacza: Twoi klienci nie mogą już traktować NIS2 jako przyszłego problemu. Organy są aktywne, audyty się rozpoczynają, a procesy zgłaszania incydentów będą dokładnie badane w pierwszej fali ocen.
Dla każdego klienta, którego jeszcze nie oceniłeś: czas na wypełnienie tej luki jest teraz — nie po pierwszym incydencie.
Co obserwować dalej
Dwie rzeczy do ścisłego śledzenia:
Harmonogram aktu wykonawczego: Komisja Europejska nie opublikowała jeszcze projektu aktu wykonawczego. Gdy pojawi się w Dzienniku Urzędowym, zacznie odliczać czas do obowiązkowego przyjęcia. Monitoruj kanał EUR-Lex pod kątem wszystkiego, co odnosi się do Artykułu 23 NIS2.
Postęp Digital Omnibus: Propozycja pojedynczego punktu wejścia do zgłaszania incydentów jest nadal propozycją. Ale jeśli zostanie zrealizowana, znacząco przekształci sposób, w jaki podmioty podlegające wielu przepisom obsługują zgłaszanie. MSP z sektora finansowego powinny to szczególnie uważnie śledzić — wpłynie to na sposób nakładania się DORA i NIS2 w praktyce. Zobacz też nasz wpis o NIS2 vs DORA dla aktualnego stanu tej nakładki.
Konkluzja
UE właśnie uprościła zgłaszanie incydentów na papierze. W praktyce podnosi poprzeczkę: ustrukturyzowane szablony oznaczają, że organy mogą teraz porównywać i analizować raporty w różnych państwach członkowskich, a niespójne lub niekompletne zgłoszenia będą się wyróżniać.
Jeśli Twoi klienci nie mają udokumentowanego, ćwiczonego procesu zgłaszania incydentów, są narażeni. Nie tylko na kary — ale na rodzaj kontroli regulacyjnej, która następuje po słabym zarządzaniu incydentami.
Zacznij od procesu. Przygotuj dokumentację. Następnie upewnij się, że postura zgodności NIS2 Twoich klientów to odzwierciedla.
→ Przeprowadź ustrukturyzowaną ocenę gotowości NIS2 dla swoich klientów na nis2certify.org/quick-scan.