K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / regulatory-packs / nis2-pack

NIS2/KSC Pack MVP

Pakiet wsparcia obowiązków zgłoszeniowych z dyrektywy NIS2 i krajowego systemu cyberbezpieczeństwa (KSC): porządkuje ścieżkę od wykrycia incydentu istotnego przez wczesne ostrzeżenie (24h), notyfikację (72h) aż po raport końcowy (1 miesiąc). To decision-support i punkt startowy dla zespołu — nie porada prawna. Zakres obowiązków i terminy zależą od krajowej implementacji NIS2 (ustawa o KSC). Każdy dokument wymaga przeglądu prawnika przed wysyłką do właściwego CSIRT. Elementy oznaczone ROADMAP jeszcze nie działają.

To nie jest porada prawna. NIS2/KSC Pack jest narzędziem wsparcia decyzji (decision-support) dla zespołu bezpieczeństwa i osób odpowiedzialnych za obsługę incydentów. Szablony, checklisty i sugerowane terminy są orientacyjne i nie zastępują oceny prawnej. Zakres podmiotów objętych, próg incydentu istotnego oraz konkretne terminy i formularze zależą od krajowej implementacji NIS2 (w Polsce: ustawa o krajowym systemie cyberbezpieczeństwa wraz z aktami wykonawczymi). Każde zgłoszenie musi zostać przejrzane przez radcę prawnego / kancelarię przed wysyłką do właściwego zespołu CSIRT. Kwalifikacja, czy zdarzenie jest incydentem istotnym i podlega obowiązkowi zgłoszenia, należy do podmiotu, nie do tego narzędzia.
Od wykrycia incydentu do przygotowanego zgłoszenia — szybciej, ale zawsze przez człowieka.

NIS2/KSC Pack porządkuje pierwsze godziny po wykryciu potencjalnego incydentu istotnego: prowadzi przez ustrukturyzowaną klasyfikację, uruchamia zegar terminów zgłoszeniowych i przygotowuje wersje robocze wczesnego ostrzeżenia (24h), notyfikacji (72h) oraz raportu końcowego (1 miesiąc) do właściwego CSIRT. Celem jest skrócenie czasu przygotowania i uniknięcie pominięcia wymaganych pól — nie automatyczne wysyłanie czegokolwiek.

PRZEPŁYW: wykrycie incydentuklasyfikacja (istotny?)kanał CSIRTwczesne ostrzeżenie 24hnotyfikacja 72hraport końcowy 1 mies.przegląd prawnikadecyzja o wysyłce (człowiek)

Timeline zgłoszeń NIS2

Orientacyjny harmonogram etapów zgłoszeniowych. Konkretne terminy, treść i formularz zależą od krajowej implementacji NIS2 / ustawy o KSC oraz od profilu podmiotu. Data weryfikacji: 2026-07-05.

EtapTerminZawartość (orientacyjnie)Podstawa
Wczesne ostrzeżenie
(early warning)
do 24h od powzięcia wiedzy o incydencie istotnym Sygnał, że wystąpił incydent istotny; wstępne wskazanie, czy podejrzewane jest działanie bezprawne / złośliwe oraz możliwy skutek transgraniczny. NIS2 art.23 · ustawa o KSC (impl. krajowa)
Notyfikacja incydentu
(incident notification)
do 72h od powzięcia wiedzy Aktualizacja wczesnego ostrzeżenia: wstępna ocena incydentu (dotkliwość, skutki), wskaźniki naruszenia bezpieczeństwa (jeśli dostępne). NIS2 art.23 · ustawa o KSC (impl. krajowa)
Raport końcowy
(final report)
do 1 miesiąca od notyfikacji Szczegółowy opis incydentu, przyczyna źródłowa, zastosowane i planowane środki zaradcze, ocena skutku transgranicznego. NIS2 art.23 · ustawa o KSC (impl. krajowa)
Raport pośredni
(na żądanie)
na wniosek CSIRT / organu, gdy incydent trwa Aktualny stan obsługi, jeśli incydent nie został jeszcze zakończony w momencie raportu końcowego. NIS2 art.23 · ustawa o KSC (impl. krajowa)

Terminy liczone są od momentu powzięcia wiedzy o incydencie istotnym. Uruchomienie zegara jako środek ostrożności zaleca się już przy uzasadnionym podejrzeniu.

Checklista NIS2/KSC

Lista kontrolna pierwszych kroków po wykryciu potencjalnego incydentu istotnego. Odpowiedzi porządkują decyzję; kwalifikacja należy do podmiotu i prawnika.

KrokPytanie kontrolneOdniesienie
KlasyfikacjaCzy zdarzenie spełnia próg incydentu istotnego (znaczące zakłócenie usługi / straty / zasięg)?NIS2 art.23 · kryteria krajowe
Kanał CSIRTCzy ustalono właściwy zespół CSIRT i kanał zgłoszenia dla profilu podmiotu?ustawa o KSC (CSIRT właściwy)
24hCzy przygotowano wczesne ostrzeżenie w terminie do 24h?NIS2 art.23 (early warning)
72hCzy przygotowano notyfikację incydentu z oceną wstępną w terminie do 72h?NIS2 art.23 (notification)
Raport końcowyCzy zaplanowano raport końcowy w terminie do 1 miesiąca od notyfikacji?NIS2 art.23 (final report)
TransgranicznośćCzy oceniono skutek transgraniczny i ewentualne podmioty w innych państwach?NIS2 art.23 · współpraca CSIRT
Usługa kluczowaCzy określono wpływ na usługę kluczową / ciągłość działania i użytkowników?NIS2 · kryteria istotności

Powiązane pakiety i narzędzia

Regulatory Packs

Przegląd wszystkich pakietów regulacyjnych warstwy ipIII (RODO, DORA, NIS2/KSC) w jednym miejscu.

→ /regulatory-packs

Legal Board

Panel decyzji prawnych — porządkuje otwarte kwestie kwalifikacji, terminów i wysyłki do przeglądu prawnika.

→ /legal-board

Deadline Clock

Zegar terminów zgłoszeniowych — 24h / 72h / 1 miesiąc liczone od momentu powzięcia wiedzy o incydencie.

→ /deadline-clock

DORA Pack

Siostrzany pakiet dla sektora finansowego — zgłaszanie poważnych incydentów ICT w reżimie DORA.

→ /dora-pack

Co pack generuje

Zgłoszenie JSON MVP

Ustrukturyzowany rekord incydentu (JSON): pola klasyfikacji, terminy, treść etapów 24h/72h/końcowego, status obsługi — jako maszynowe źródło dla dalszych kroków.

Szkielet struktury danych — punkt startowy dla zespołu.

Pakiet PDF (opis) ROADMAP

Docelowo: czytelny dokument PDF z wypełnionymi etapami zgłoszenia i checklistą do przeglądu i archiwizacji.

Jeszcze nie działa — planowane, nie LIVE.

Checklista MVP

Statyczna lista kontrolna NIS2/KSC (powyżej na stronie): klasyfikacja, kanał CSIRT, terminy 24h/72h/końcowy, transgraniczność, wpływ na usługę kluczową.

Dostępna na stronie.

Disclaimer MVP

Każdy wygenerowany dokument nosi jasną adnotację: decision-support, nie porada prawna, wymaga przeglądu prawnika, terminy zależne od implementacji krajowej.

Wbudowany w każdy artefakt.

Wymagany evidence basis MVP

Zgłoszenie odwołuje się do bazy dowodowej (logi, wskaźniki naruszenia, chain-of-custody). Bez podstawy dowodowej pole zostaje oznaczone jako niepotwierdzone — doktryna claim ≤ proof.

Wymóg wpisany w strukturę rekordu.

Spięcie z evidence-package ROADMAP

Docelowo: automatyczne dołączenie dowodów technicznych z warstwy ipIII do zgłoszenia CSIRT.

Jeszcze nie działa — planowane, nie LIVE.

Skrót statusu

4
Elementy MVP
zgłoszenie JSON · checklista · disclaimer · evidence basis
2
ROADMAP
pakiet PDF · spięcie evidence-package
3
Etapy zgłoszenia
24h · 72h · raport końcowy
24h
Wczesne ostrzeżenie
od powzięcia wiedzy o incydencie

Czego NIS2/KSC Pack NIE robi

Nie decyduje za podmiot. Klasyfikacja zdarzenia jako incydentu istotnego, ustalenie właściwego CSIRT oraz decyzja o zgłoszeniu należą do podmiotu i jego doradców. Narzędzie porządkuje informacje i przygotowuje wersje robocze — nie podejmuje decyzji prawnych.
Nie wysyła niczego automatycznie. Żadne zgłoszenie nie jest kierowane do CSIRT bez świadomej decyzji człowieka po przeglądzie prawnika. Wysyłka jest zawsze aktem podmiotu.
Nie przesądza zakresu krajowego. NIS2 działa przez implementację krajową (w Polsce: ustawa o KSC). Zakres podmiotów, próg istotności i formularze mogą różnić się między państwami i zmieniać w czasie — terminy i mapowania traktuj jako orientacyjne.
„MVP" znaczy szkielet z dowodem, nie gotowy produkt. Zgodnie z doktryną claim ≤ proof oznaczamy jako MVP tylko to, co realnie jest na stronie (struktura zgłoszenia, checklisty, disclaimer). Pakiet PDF i spięcie z evidence-package to ROADMAP — jeszcze nie działają.
Granica prawna. NIS2/KSC Pack to narzędzie zgodności i wsparcia decyzji (GRC/blue). Nie stanowi porady prawnej ani opinii kancelarii. Terminy i mapowania obowiązków (NIS2/KSC/DORA/RODO) są orientacyjne i zależą od krajowej implementacji. Odpowiedzialność za treść zgłoszeń, dochowanie terminów i decyzję o wysyłce ponosi podmiot. Przed użyciem w rzeczywistym incydencie skonsultuj się z radcą prawnym i ustal właściwy zespół CSIRT.

Powiązane: przegląd pakietów regulacyjnych → /regulatory-packs · panel decyzji prawnych → /legal-board · zegar terminów zgłoszeniowych → /deadline-clock · pakiet DORA (sektor finansowy) → /dora-pack · znane ograniczenia warstwy → /known-limitations.