Cyberbezpieczeństwo
1 kwietnia 2026

Incydent to nie tylko problem IT. Jak UKSC zmienia zgłaszanie incydentów i komunikację z klientami?

Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) jasno pokazuje, że incydent to dziś coś więcej niż problem techniczny. To sytuacja, która wymaga szybkiej reakcji, uporządkowanych procedur i przemyślanej komunikacji. Nowe przepisy wprowadzają konkretne terminy raportowania oraz obowiązek informowania użytkowników o zagrożeniach. W praktyce oznacza to jedno: organizacje muszą być przygotowane nie tylko na sam incydent, ale też na to, jak o nim mówić i jak nim zarządzać – od pierwszych godzin aż po jego zakończenie.

Zgłaszanie incydentów w UKSC – liczy się czas i struktura

Nowelizacja UKSC wprowadza uporządkowany model zgłaszania incydentów poważnych. Każdy etap ma określony termin i zakres informacji, co znacząco ogranicza dowolność działania w sytuacji kryzysowej.

Krok 1: w ciągu 24h od wykrycia incydentu

Proces zaczyna się od tzw. wczesnego ostrzeżenia. To szybki sygnał dla właściwego CSIRT sektorowego, że doszło do zdarzenia mogącego mieć istotne skutki. Na tym etapie organizacja przekazuje podstawowe informacje, takie jak moment wystąpienia incydentu, jego czas trwania czy wstępną ocenę przyczyn. Jeśli to możliwe, powinna również wskazać, czy zdarzenie mogło być wynikiem działania bezprawnego oraz czy może mieć wpływ na inne państwa UE. To także moment, w którym można zwrócić się o wsparcie techniczne lub wskazówki dotyczące ograniczenia skutków incydentu.

Krok 2: w ciągu kolejnych 72 godzin  

To czas, w którym należy przekazać pełne zgłoszenie incydentu poważnego. Ten etap wymaga już bardziej szczegółowego podejścia. Raport powinien obejmować:

  • wpływ incydentu na świadczone usługi,
  • liczbę użytkowników, których dotyczy zdarzenie,
  • zasięg geograficzny,
  • opis przyczyn (jeśli są znane),
  • działania naprawcze, które zostały podjęte.

Uwaga:
w przypadku dostawców usług zaufania czas na przekazanie pełnego zgłoszenia jest krótszy i wynosi 24 godziny od wykrycia incydentu.

Krok 3: do miesiąca

Proces raportowania kończy się przygotowaniem sprawozdania końcowego, które należy złożyć w ciągu miesiąca. To dokument podsumowujący cały incydent – zawiera zarówno analizę przyczyny źródłowej, jak i opis skutków oraz działań zapobiegawczych. Jeśli obsługa incydentu trwa dłużej, organizacja powinna na bieżąco raportować postępy.

Wszystkie zgłoszenia – niezależnie od etapu – muszą być przekazywane wyłącznie za pośrednictwem dedykowanego systemu teleinformatycznego, co oznacza konieczność wcześniejszego przygotowania się również od strony operacyjnej.

Jakie informacje trzeba przekazać i co z poufnością?

Nowelizacja UKSC wyraźnie podkreśla, że skuteczna obsługa incydentu wymaga pełnego dostępu do informacji. Oznacza to, że organizacja ma obowiązek przekazać do CSIRT także dane stanowiące tajemnicę przedsiębiorstwa lub inne informacje prawnie chronione, o ile są one niezbędne.

Jednocześnie przepisy wymagają odpowiedniego oznaczenia takich danych w raportach. Dzięki temu mogą być one właściwie chronione przez organy państwowe. W praktyce oznacza to konieczność uporządkowania sposobu klasyfikacji informacji jeszcze przed wystąpieniem incydentu

Komunikacja z klientami

Nowelizacja UKSC wyraźnie zmienia podejście do komunikacji z użytkownikami. Organizacje nie mogą już ograniczać się wyłącznie do działań wewnętrznych, muszą aktywnie informować swoich klientów.

Jeżeli incydent wpływa na świadczenie usług, użytkownicy powinni zostać o tym niezwłocznie poinformowani. W przypadku poważnych cyberzagrożeń organizacja ma obowiązek nie tylko przekazać informację o ich wystąpieniu, ale również – w miarę możliwości – wyjaśnić ich charakter oraz wskazać działania, które użytkownicy mogą podjąć, aby się zabezpieczyć.

Nowością jest także obowiązek zapewnienia komunikacji dwustronnej. Użytkownicy powinni mieć możliwość zgłaszania:

  • incydentów,
  • cyberzagrożeń,
  • podatności, czyli błędów w systemach.

To oznacza konieczność stworzenia i utrzymywania realnych, działających kanałów kontaktu.

Dodatkowo organizacje są zobowiązane do prowadzenia działań edukacyjnych. Powinny udostępniać użytkownikom wiedzę na temat cyberzagrożeń i sposobów ochrony, np. poprzez materiały na stronie internetowej lub odwołania do zasobów CSIRT.

Co jeśli organizacja nie komunikuje się właściwie?

W sytuacji, gdy organizacja nie wywiązuje się z obowiązków informacyjnych, inicjatywę może przejąć organ właściwy do spraw cyberbezpieczeństwa. Może on nakazać poinformowanie użytkowników o zagrożeniu lub zobowiązać firmę do publicznego ujawnienia informacji o incydencie.

W określonych przypadkach informacje o incydencie mogą zostać opublikowane wspólnie z zespołami CSIRT – zwłaszcza gdy jest to konieczne, aby ograniczyć jego skutki. W praktyce oznacza to, że brak komunikacji nie eliminuje problemu, a jedynie pozbawia organizację kontroli nad przekazem.

Odpowiedzialność w sektorze publicznym

W podmiotach publicznych odpowiedzialność za zgłoszenie incydentu spoczywa na kierowniku jednostki i ma charakter osobisty. Nie znika ona nawet wtedy, gdy zadania techniczne realizowane są przez inne osoby lub podmioty zewnętrzne.

Za niedopełnienie obowiązku zgłoszenia incydentu grozi kara finansowa sięgająca do 100% miesięcznego wynagrodzenia.

Przepisy dopuszczają również model wspólnej obsługi, w którym wyznaczona jednostka realizuje obowiązki w imieniu innych podmiotów. W takim przypadku kluczowa jest szybka wymiana informacji – bez niej dotrzymanie ustawowych terminów nie będzie możliwe.

Część podmiotów publicznych korzysta z uproszczonego reżimu raportowania, jednak nadal musi zgłosić sam fakt wystąpienia incydentu poważnego.

Co wolno w trakcie incydentu?

Nowelizacja UKSC daje organizacjom konkretne narzędzia do reagowania na incydenty. Mogą one analizować ruch sieciowy w celu identyfikacji źródła zagrożenia oraz – jeśli to konieczne – czasowo ograniczyć ruch do swojej infrastruktury.

Działania te muszą być jednak proporcjonalne i prowadzone w sposób, który ogranicza wpływ na użytkowników. To kolejny element pokazujący, że zarządzanie incydentem to dziś równowaga między bezpieczeństwem a dostępnością usług.

Let’s talk about IT!

Chcesz sprawdzić, czy Twoja organizacja podlega pod UKSC i jakie obowiązki z tego wynikają?
Potrzebujesz przygotować proces zgłaszania incydentów i komunikacji z użytkownikami zgodny z wymaganiami ustawy?

W Servers24.pl wspieramy firmy kompleksowo!

  • Weryfikujemy status firm pod KSC/NIS2.
  • Przeprowadzamy audyty zgodności i bezpieczeństwa IT/OT, jak również testy penetracyjne. 
  • Dobieramy, dostarczamy i wdrażamy niezbędny sprzęt i rozwiązania (w tym: MFA, SIEM, SOC, etc.).
  • Bazujemy na rozwiązaniach największych światowych producentów m.in. Dell Technologies, Cisco, Veeam.
  • Zapewniamy pełne wsparcie inżynierskie, testy oraz Proof of Concept.
  • Wspieramy w uzyskaniu finansowania na działania poprzez leasing sprzętu, np. w Dell Bank.
  • Przeprowadzamy szkolenia dla pracowników i kadry menedżerskiej, w tym testy phishingowe.

Zapraszamy do kontaktu!
Handlowy@Servers24.pl

Inne wpisy, które mogą Cie zainteresować

Konferencja „Cyberbezpieczeństwo – wymogi dla firm i instytucji”

Konferencja „Cyberbezpieczeństwo – wymogi dla firm i instytucji”

10 marca 2026
Backup i ochrona danych Cyberbezpieczeństwo
Servers24.pl wraz z firmą Veeam zostało partnerem konferencji „Cyberbezpieczeństwo – wymogi dla firm i instytucji”, która odbędzie się 17...
Czytaj dalej
Korzyści i wyzwania związane z wdrożeniem dyrektywy NIS2 dla firm

Korzyści i wyzwania związane z wdrożeniem dyrektywy NIS2 dla firm

24 października 2025
Cyberbezpieczeństwo
Cyberbezpieczeństwo od kilku lat znajduje się w centrum uwagi zarówno regulatorów, jak i przedsiębiorstw. Rosnąca liczba ataków, które sparaliżowały...
Czytaj dalej
Przejdź do archiwum

Skontaktuj się z nami

Masz pytania?
Porozmawiaj z naszymi ekspertami