BLOG

Zarządzanie incydentami w świetle nowelizacji ustawy o KSC

Piotr Kluczwajd
Piotr Kluczwajd
19/02/2026
Zarządzanie incydentami w świetle nowelizacji ustawy o KSC

Od 2026 roku, wraz z wejściem w życie nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa, walka z cyberprzestępczością wkracza na bardziej zaawansowany poziom. Zagwarantowanie szczelnych przepisów jest kluczowe ze względu na dynamiczne zmiany w obszarze e-usług publicznych i cyfryzacji gospodarki oraz rosnącą skalę wyzwań związanych z zagrożeniami w sieci. Proponowane przepisy kompleksowo odpowiadają na potrzeby współczesnego środowiska biznesowego i technologicznego.

Jednym z kluczowych wymogów nowej ustawy jest zarządzanie incydentami, obejmujące ich szybkie wykrywanie, zgłaszanie i skuteczne reagowanie. Ma to służyć efektywnemu ograniczaniu ryzyka oraz minimalizowaniu konsekwencji działań cyberprzestępców.

W poniższym artykule zebraliśmy najważniejsze informacje o tym, jak w świetle nowej ustawy wygląda zarządzanie incydentami i jak SOC może wesprzeć firmy w szybkim dopasowaniu się do nowych regulacji.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa i jej znaczenie dla firm

Celem nowelizacji ustawy obowiązującej od 2016 roku jest przede wszystkim implementacja wymogów wynikających z Dyrektywy NIS2, która uszczegóławia i zaostrza wcześniejsze przepisy związane z cyberbezpieczeństwem poprzez m.in.:

  • rozszerzenie zakresu podmiotowego (ustawa obejmuje kilkanaście tysięcy podmiotów),
  • wprowadzenie nowej klasyfikacji na podmioty kluczowe i ważne,
  • zwiększenie kar finansowych za naruszenie przepisów oraz odpowiedzialność kierownictwa za zgodność z regulacjami,
  • wzmocnienie współpracy między podmiotami i CSIRT oraz utworzenie CSIRT sektorowych,
  • wprowadzenie obowiązku audytów dla podmiotów kluczowych,
  • określenie nowych obowiązków w obszarze zarządzania ryzykiem i incydentami,
  • rozszerzenie katalogu incydentów podlegających zgłoszeniu,
  • wprowadzenie nowych wymogów związanych z bezpieczeństwem łańcucha dostaw.

Zmiany te szczególnie wpłyną na organizacje, które do tej pory nie wdrożyły kompleksowych rozwiązań cyberbezpieczeństwa. Oznacza to dla nich konieczność szybkiego dostosowania do nowych wymogów.

Nowa klasyfikacja podmiotów na kluczowe i ważne

Nowa ustawa wprowadza podział na podmioty kluczowe i podmioty ważne i zobowiązuje je do podjęcia konkretnych działań w zakresie dbałości o cyberbezpieczeństwo.

Podmioty kluczowe to te, które świadczą usługi niezbędne dla krytycznej działalności państwa – finansów, gospodarki, społeczeństwa, infrastruktury oraz rozwoju i należą do sektorów takich jak: energetyka, transport, bankowość, ochrona zdrowia, zapotrzebowanie w wodę pitną, infrastruktura cyfrowa, przestrzeń kosmiczna. To firmy posiadające więcej niż 250 pracowników lub roczne przychody wyższe niż 50 mln euro.

Przykłady podmiotów kluczowych:

  • operatorzy systemu dystrybucyjnego energii elektrycznej
  • operatorzy systemu przesyłowego energii elektrycznej
  • zarządcy infrastruktury kolejowej, np. PKP PLK
  • przedsiębiorstwa kolei pasażerskich – PKP Intercity
  • zarządcy portów morskich
  • duże banki
  • przedsiębiorstwa wodno-kanalizacyjne
  • dostawcy usług z zakresu cyberbezpieczeństwa, którzy spełniają wymogi małego lub średniego przedsiębiorstwa

Podmioty ważne to średnie przedsiębiorstwa, które choć nie spełniają rygorystycznych kryteriów podmiotów kluczowych, swoją działalnością też znacząco wpływają na gospodarkę i społeczeństwo. To firmy posiadające więcej niż 50 pracowników lub roczne przychody powyżej 10 mln euro.

Przykłady podmiotów ważnych:

  • dostawcy usług pocztowych i kurierskich
  • przedsiębiorstwa trudniące się gospodarowaniem odpadami
  • producenci i dystrybutorzy żywności
  • producenci wyrobów medycznych
  • producenci elektroniki i urządzeń optycznych
  • producenci pojazdów silnikowych
  • dostawcy usług chmurowych i platformy e-commerce
  • organizacje prowadzące badania naukowe

Odpowiedzialność i konsekwencje niezastosowania się do ustawy

Wszelkie naruszenia zapisów nowelizowanej ustawy będą skutkować surowymi karami finansowymi. Mogą one sięgać do 10 mln euro lub 2% przychodów dla podmiotów kluczowych (jednak kara nie może być niższa niż 20 000 zł) i do 7 mln euro i 1,4% przychodów dla podmiotów ważnych (kara nie może być niższa niż 15 000 zł).

Ponadto, kierownictwo organizacji ponosi pełną odpowiedzialność za zgodność z wymogami ustawy, w tym ryzyko kar finansowych do 6-krotności miesięcznego wynagrodzenia za zaniedbania. W przypadku organów wieloosobowych (gdzie nie ma wskazanej jednej osoby odpowiedzialnej) odpowiedzialność spoczywa na wszystkich członkach.

Dodatkowo, za naruszenia powodujące poważne cyberzagrożenia dla obronności, bezpieczeństwa państwa i porządku publicznego, życia i zdrowia ludzi czy wywołanie poważnej szkody majątkowej lub utrudnienia w świadczeniu usług, organ właściwy ds. cyberbezpieczeństwa może nałożyć karę do 100 mln zł.

Ramy czasowe dla podmiotów kluczowych i ważnych

Ocena i audyt

Na przedsiębiorcy spoczywa obowiązek samodzielnej analizy, czy jego wielkość oraz świadczone usługi podlegają dyrektywie NIS2. Jeśli firma zakwalifikuje się jako podmiot kluczowy lub ważny, musi samodzielnie wpisać się do rejestru podmiotów kluczowych i ważnych, który prowadzony jest przez ministra ds. Informatyzacji.

Rejestr służy identyfikacji podmiotów, wymianie informacji o incydentach i zagrożeniach między podmiotami a CSIRT oraz organami nadzorującymi, a także nadzorowi nad podmiotami (audyty, kontrola jakości danych).

Firmy mają 6 miesiący na złożenie wniosku (drogą elektroniczną) o wpis w wykazie.

Wdrażanie systemów zarządzania bezpieczeństwem informacji

Nowe przepisy przewidują również okres przejściowy, który ma umożliwić organizacjom dostosowanie się do wymogów NIS2. Kary pieniężne za brak zgodności będą mogły być nakładane dopiero po upływie dwóch lat od wejścia w życie ustawy. W praktyce daje to czas na wdrożenie niezbędnych zmian, choć organizacje powinny rozpocząć przygotowania jak najszybciej, biorąc pod uwagę skalę wymaganych działań (wdrożenie systemów zarządzania bezpieczeństwem, obejmujących szacowanie ryzyka, monitorowanie podatności i zarządzanie incydentami poprzez ciągłe monitorowanie i szybkie reagowanie na wykryte zagrożenia).

Za przygotowanie, wdrożenie, przegląd i nadzór nad systemem odpowiada kierownictwo podmiotu, które musi też zaplanować adekwatne środki finansowe na realizację obowiązków w zakresie cyberbezpieczeństwa.

Zarządzanie incydentami w świetle nowego projektu KSC – główne wymogi

Zgodnie z NIS2, podmioty kluczowe i ważne są zobligowane do wdrożenia proporcjonalnych środków technicznych, operacyjnych i organizacyjnych do zarządzania incydentami oraz do zgłaszania ich odpowiednim organom.

Zarządzanie incydentami obejmuje ich obsługę, identyfikację powiązań, eliminację przyczyn oraz wyciąganie wniosków.

Najważniejsze wymogi dot. zarządzania incydentami zawarte w nowelizacji Ustawy o KSC:

a) Reżim 24-godzinny (detekcja i reakcja)

Zgodnie z projektem nowelizowanej ustawy o KSC podmioty mają obowiązek zgłaszania incydentów właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) w ciągu 24 godzin od ich wykrycia w przypadku ostrzeżeń o incydentach poważnych, w ciągu 72 godzin w przypadku właściwych zgłoszeń incydentów poważnych, oraz do jednego miesiąca w przypadku sprawozdania końcowego.

Jest to niezbędne dla skutecznej koordynacji działań i interakcji z klientami oraz organami nadzorującymi. Odbiorcy usług powinni być niezwłocznie poinformowani o każdym poważnym incydencie i jego wpływie na jakość usługi oraz o wdrożonych środkach zaradczych.

b) Raportowanie

Incydenty bezpieczeństwa muszą być klasyfikowane i dokumentowane. Celem raportowania jest zapewnienie regulatora, że podmiot szybko i skutecznie podjął działania naprawcze po wystąpieniu incydentu.

c) Kategorie incydentów

Nowa ustawa wyróżnia 3 kategorie incydentów:

  • incydent krytyczny: skutkuje znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi.
  • incydent poważny: powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości świadczenia usługi przez podmioty kluczowe lub ważne. Może powodować straty finansowe lub wpływać na inne podmioty przez wywołanie poważnej szkody materialnej lub niematerialnej.
  • incydent zwykły: zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów informacyjnych, ale nie spełnia kryteriów incydentu krytycznego lub poważnego.

Szczególnie należy przyglądać się incydentom poważnym i krytycznym, które mają bezpośredni wpływ na działalność biznesową podmiotu.

d) Wdrożenie Planu Zarządzania Bezpieczeństwem

Ustawa o KSC wymaga od podmiotów opracowania i wdrożenia Planu Zarządzania Bezpieczeństwem, który musi być regularnie testowany i doskonalony.

Jego główne założenia obejmują:

  • identyfikację zasobów krytycznych (określenie systemów, sieci i danych kluczowych dla realizacji najważniejszych usług),
  • ocenę zagrożeń i skutków,
  • zarządzanie ryzykiem,
  • przygotowanie polityk i procedur związanych z ochroną informacji i infrastruktury,
  • opracowanie planów reagowania na incydenty i zachowanie ciągłości działania,
  • ustalenie minimalnych wymagań technicznych i proceduralnych, takich jak szyfrowanie, zarządzanie dostępem, czy szkolenia pracowników.

e) Monitorowanie

Jednym z najważniejszych obowiązków nałożonych przez ustawodawcę na podmioty kluczowe i ważne, jest ciągłe monitorowanie systemów informacyjnych przez Security Operations Center (SOC) – 24h/dobę przez 7 dni w tygodniu.

W tym zakresie podmioty mogą zdecydować się na zorganizowanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawierać umowy z zewnętrznymi partnerami. Outsourcing monitorowania, reagowania oraz przygotowywania dokumentacji związanej z cyberbezpieczeństwem to opcja zdecydowanie bardziej efektywna kosztowo. Utrzymywanie zespołu SOC jest bowiem drogie i często trudne do szybkiego wdrożenia.

SOC i zarządzanie ryzykiem w dobie NIS2

Zaostrzenie przepisów wynikające z nowelizacji ustawy i wdrożenia dyrektywy NIS2 nie pozostawia wątpliwości, że Security Operations Center (SOC) stanie się niezbędnym elementem zarządzania ryzykiem cyberbezpieczeństwa, aby zapewnić firmie działanie zgodnie z nowymi wymogami.

Takie rozwiązanie znacząco odciąży działy IT, które często muszą równoważyć wiele priorytetów. Jest to szczególnie istotne w przypadku patchowania – procesu kluczowego dla eliminacji luk bezpieczeństwa i błędów, który bywa czasochłonny i wymaga dużej precyzji.

Zarządzanie incydentami dzięki wsparciu SOC to gwarancja:

  • monitorowania bezpieczeństwa 24/7
  • analizy i korelacji zdarzeń z różnych systemów i urządzeń
  • wykrywania i szybkiego reagowania na incydenty w czasie rzeczywistym
  • prowadzenia dochodzeń i analiz kryminalistycznych
  • klasyfikowania zagrożeń wg nowej ustawy
  • raportowania incydentów do odpowiednich organów
  • współpracy z CSIRT w obszarze wymiany informacji
  • udoskonalania procesów i procedur bezpieczeństwa

Zgodność z NIS2 z zespołem SOC360

Dzięki praktyce i doświadczeniu w obszarze cyberbezpieczeństwa, jak i dogłębnej znajomości obowiązujących przepisów, gwarantujemy firmom zgodność z regulacjami oraz optymalizację kosztów operacyjnych.

W ramach usługi SOC360 (SOC as a Service) pomagamy firmom w:

  • skutecznej integracji z systemem bezpieczeństwa organizacji,
  • stałym monitorowaniu oraz analizie zagrożeń przy pomocy systemów EDR, NDR i SIEM
  • szybkim wykrywaniu i efektywnym reagowaniu na incydenty
  • koordynacji działań w sytuacjach kryzysowych i mitygowaniu zagrożeń
  • zarządzaniu ryzykiem
  • przygotowywaniu raportów incydentów zgodnie z wymogami NIS2
  • działaniu w pełnej zgodności z literą prawa

Skutecznie przygotuj firmę na NIS2. Skontaktuj się z nami!

Artykuł został przygotowany przez eksperta 4Prime, a następnie zredagowany przy wsparciu narzędzi sztucznej inteligencji.

Autor tekstu:
Piotr Kluczwajd
Piotr Kluczwajd , Prezes Zespołu SOC360 , 4Prime IT Security

Czytaj również

6 najczęstszych problemów wykrywanych podczas audytów

NIS2

Ocena bezpieczeństwa

6 najczęstszych problemów wykrywanych podczas audytów bezpieczeństwa

KSC i DORa

NIS2

KSC i DORA w praktyce: wyzwania, technologie i procesy

Ustawa o KSC: 15 praktycznych rad jak przygotować firmę na NIS2

NIS2

Ustawa o KSC: 15 praktycznych rad jak przygotować firmę na NIS2

Atak na Twoją firmę mógł się zacząć już miesiąc temu.

Sprawdź, jak możesz zapewnić bezpieczeństwo swojej organizacji już dziś.