Pakiet wsparcia obowiązków zgłoszeniowych z dyrektywy NIS2 i krajowego systemu cyberbezpieczeństwa (KSC): porządkuje ścieżkę od wykrycia incydentu istotnego przez wczesne ostrzeżenie (24h), notyfikację (72h) aż po raport końcowy (1 miesiąc). To decision-support i punkt startowy dla zespołu — nie porada prawna. Zakres obowiązków i terminy zależą od krajowej implementacji NIS2 (ustawa o KSC). Każdy dokument wymaga przeglądu prawnika przed wysyłką do właściwego CSIRT. Elementy oznaczone ROADMAP jeszcze nie działają.
NIS2/KSC Pack porządkuje pierwsze godziny po wykryciu potencjalnego incydentu istotnego: prowadzi przez ustrukturyzowaną klasyfikację, uruchamia zegar terminów zgłoszeniowych i przygotowuje wersje robocze wczesnego ostrzeżenia (24h), notyfikacji (72h) oraz raportu końcowego (1 miesiąc) do właściwego CSIRT. Celem jest skrócenie czasu przygotowania i uniknięcie pominięcia wymaganych pól — nie automatyczne wysyłanie czegokolwiek.
Orientacyjny harmonogram etapów zgłoszeniowych. Konkretne terminy, treść i formularz zależą od krajowej implementacji NIS2 / ustawy o KSC oraz od profilu podmiotu. Data weryfikacji: 2026-07-05.
| Etap | Termin | Zawartość (orientacyjnie) | Podstawa |
|---|---|---|---|
| Wczesne ostrzeżenie (early warning) |
do 24h od powzięcia wiedzy o incydencie istotnym | Sygnał, że wystąpił incydent istotny; wstępne wskazanie, czy podejrzewane jest działanie bezprawne / złośliwe oraz możliwy skutek transgraniczny. | NIS2 art.23 · ustawa o KSC (impl. krajowa) |
| Notyfikacja incydentu (incident notification) |
do 72h od powzięcia wiedzy | Aktualizacja wczesnego ostrzeżenia: wstępna ocena incydentu (dotkliwość, skutki), wskaźniki naruszenia bezpieczeństwa (jeśli dostępne). | NIS2 art.23 · ustawa o KSC (impl. krajowa) |
| Raport końcowy (final report) |
do 1 miesiąca od notyfikacji | Szczegółowy opis incydentu, przyczyna źródłowa, zastosowane i planowane środki zaradcze, ocena skutku transgranicznego. | NIS2 art.23 · ustawa o KSC (impl. krajowa) |
| Raport pośredni (na żądanie) |
na wniosek CSIRT / organu, gdy incydent trwa | Aktualny stan obsługi, jeśli incydent nie został jeszcze zakończony w momencie raportu końcowego. | NIS2 art.23 · ustawa o KSC (impl. krajowa) |
Terminy liczone są od momentu powzięcia wiedzy o incydencie istotnym. Uruchomienie zegara jako środek ostrożności zaleca się już przy uzasadnionym podejrzeniu.
Lista kontrolna pierwszych kroków po wykryciu potencjalnego incydentu istotnego. Odpowiedzi porządkują decyzję; kwalifikacja należy do podmiotu i prawnika.
| Krok | Pytanie kontrolne | Odniesienie |
|---|---|---|
| Klasyfikacja | Czy zdarzenie spełnia próg incydentu istotnego (znaczące zakłócenie usługi / straty / zasięg)? | NIS2 art.23 · kryteria krajowe |
| Kanał CSIRT | Czy ustalono właściwy zespół CSIRT i kanał zgłoszenia dla profilu podmiotu? | ustawa o KSC (CSIRT właściwy) |
| 24h | Czy przygotowano wczesne ostrzeżenie w terminie do 24h? | NIS2 art.23 (early warning) |
| 72h | Czy przygotowano notyfikację incydentu z oceną wstępną w terminie do 72h? | NIS2 art.23 (notification) |
| Raport końcowy | Czy zaplanowano raport końcowy w terminie do 1 miesiąca od notyfikacji? | NIS2 art.23 (final report) |
| Transgraniczność | Czy oceniono skutek transgraniczny i ewentualne podmioty w innych państwach? | NIS2 art.23 · współpraca CSIRT |
| Usługa kluczowa | Czy określono wpływ na usługę kluczową / ciągłość działania i użytkowników? | NIS2 · kryteria istotności |
Przegląd wszystkich pakietów regulacyjnych warstwy ipIII (RODO, DORA, NIS2/KSC) w jednym miejscu.
Panel decyzji prawnych — porządkuje otwarte kwestie kwalifikacji, terminów i wysyłki do przeglądu prawnika.
Zegar terminów zgłoszeniowych — 24h / 72h / 1 miesiąc liczone od momentu powzięcia wiedzy o incydencie.
Siostrzany pakiet dla sektora finansowego — zgłaszanie poważnych incydentów ICT w reżimie DORA.
Ustrukturyzowany rekord incydentu (JSON): pola klasyfikacji, terminy, treść etapów 24h/72h/końcowego, status obsługi — jako maszynowe źródło dla dalszych kroków.
Szkielet struktury danych — punkt startowy dla zespołu.
Docelowo: czytelny dokument PDF z wypełnionymi etapami zgłoszenia i checklistą do przeglądu i archiwizacji.
Jeszcze nie działa — planowane, nie LIVE.
Statyczna lista kontrolna NIS2/KSC (powyżej na stronie): klasyfikacja, kanał CSIRT, terminy 24h/72h/końcowy, transgraniczność, wpływ na usługę kluczową.
Dostępna na stronie.
Każdy wygenerowany dokument nosi jasną adnotację: decision-support, nie porada prawna, wymaga przeglądu prawnika, terminy zależne od implementacji krajowej.
Wbudowany w każdy artefakt.
Zgłoszenie odwołuje się do bazy dowodowej (logi, wskaźniki naruszenia, chain-of-custody). Bez podstawy dowodowej pole zostaje oznaczone jako niepotwierdzone — doktryna claim ≤ proof.
Wymóg wpisany w strukturę rekordu.
Docelowo: automatyczne dołączenie dowodów technicznych z warstwy ipIII do zgłoszenia CSIRT.
Jeszcze nie działa — planowane, nie LIVE.
Powiązane: przegląd pakietów regulacyjnych → /regulatory-packs · panel decyzji prawnych → /legal-board · zegar terminów zgłoszeniowych → /deadline-clock · pakiet DORA (sektor finansowy) → /dora-pack · znane ograniczenia warstwy → /known-limitations.