Obowiązki raportowania incydentów cybernetycznych w Polsce

Firma technologiczna z Warszawy odkrywa w piątek wieczorem, że jej systemy produkcyjne zostały zainfekowane oprogramowaniem ransomware. Dane klientów mogły zostać skompromitowane. Zarząd pyta: co teraz? Kogo powiadomić? W jakim terminie? Odpowiedź nie jest prosta – bo w Polsce obowiązuje kilka nakładających się reżimów raportowania, każdy z własnym terminem i własnym organem nadzorczym.

Obowiązki raportowania incydentów cybernetycznych w Polsce wynikają z co najmniej trzech równoległych reżimów prawnych: dyrektywy NIS2 i jej polskiej implementacji, rozporządzenia DORA (Rozporządzenie UE 2022/2554) dla podmiotów finansowych oraz rozporządzenia RODO (Rozporządzenie UE 2016/679) w zakresie naruszeń danych osobowych. Każdy reżim ma odrębny termin – od 24 godzin do 72 godzin – i odrębny organ: CSIRT NASK, KNF lub UODO.

Ten przewodnik pokazuje, jak krok po kroku przejść przez procedurę raportowania, czego unikać i jak przygotować organizację zanim dojdzie do incydentu. Omawiamy trzy scenariusze biznesowe: producenta przemysłowego, firmę IT oraz zagranicznego inwestora wchodzącego na rynek polski.

Jakie reżimy raportowania obowiązują polskie podmioty?

Polskie podmioty działają w środowisku co najmniej trzech nakładających się obowiązków. Reżim NIS2 obejmuje operatorów usług kluczowych i ważnych. DORA obowiązuje instytucje finansowe nadzorowane przez KNF od 17 stycznia 2025 r. RODO dotyczy każdego administratora danych osobowych. Mylenie tych reżimów to najczęstszy błąd, który w praktyce prowadzi do opóźnień i kar.

NIS2 – dyrektywa (UE) 2022/2555 – miała być transponowana do prawa polskiego do 17 października 2024 r. Polska nie dotrzymała tego terminu. W praktyce oznacza to, że do czasu wejścia w życie ustawy o Krajowym Systemie Cyberbezpieczeństwa w nowym brzmieniu stosuje się przepisy dotychczasowej ustawy o KSC z 2018 r. Podmioty z sektorów energetyki, transportu, zdrowia, infrastruktury cyfrowej oraz dostawcy usług cyfrowych powinni już teraz stosować się do wymogów zbliżonych do NIS2.

DORA (Rozporządzenie UE 2022/2554) obowiązuje bezpośrednio – bez potrzeby implementacji – wszystkie instytucje finansowe: banki, ubezpieczycieli, firmy inwestycyjne, instytucje płatnicze, a także kluczowych dostawców ICT dla sektora finansowego. Organem nadzorczym w Polsce jest KNF. Termin na wstępne zgłoszenie poważnego incydentu ICT wynosi 4 godziny od momentu klasyfikacji.

RODO nakłada obowiązek zgłoszenia naruszenia danych osobowych do UODO w ciągu 72 godzin od jego wykrycia. Jeśli naruszenie stwarza wysokie ryzyko dla osób fizycznych, administrator musi również poinformować samych poszkodowanych – bez zbędnej zwłoki. PUODO (organ nadzorczy) może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu za brak terminowego zgłoszenia.

Dla podmiotów z branży IP i technologicznej działających w Polsce istotne jest również, że AI Act (Rozporządzenie UE 2024/1689) – który wszedł w życie 1 sierpnia 2024 r. – wprowadza dodatkowe obowiązki raportowania dla systemów AI wysokiego ryzyka. Naruszenia bezpieczeństwa takich systemów podlegają odrębnym mechanizmom zgłaszania do właściwych organów rynku.

Jak przebiega procedura krok po kroku?

Skuteczna procedura raportowania zaczyna się na długo przed incydentem. Organizacja, która pierwszy raz reaguje na cyberatak bez przygotowanego planu, traci cenny czas. A każda godzina opóźnienia zwiększa ryzyko przekroczenia ustawowych terminów i narażenia zarządu na odpowiedzialność osobistą.

Krok 1 – Wykrycie i wstępna klasyfikacja (0–4 godziny). Zespół bezpieczeństwa musi określić, czy incydent spełnia progi istotności. W reżimie DORA poważny incydent ICT to taki, który wpływa na ciągłość świadczenia usług finansowych, powoduje stratę finansową powyżej określonych progów lub dotyka znacznej liczby klientów. Dla podmiotów objętych NIS2 – incydent istotny to ten, który powoduje poważne zakłócenie usługi lub straty finansowe.

Krok 2 – Wstępne zgłoszenie (4–24 godziny). Instytucje finansowe objęte DORA składają wstępne powiadomienie do KNF w ciągu 4 godzin od klasyfikacji incydentu jako poważnego. Podmioty KSC zgłaszają incydent poważny do CSIRT NASK lub CSIRT GOV w ciągu 24 godzin. Jeśli incydent dotyczy danych osobowych – zgłoszenie do UODO musi nastąpić w ciągu 72 godzin.

Krok 3 – Raport pośredni i szczegółowy. DORA wymaga raportu pośredniego w ciągu 72 godzin od wstępnego zgłoszenia oraz raportu końcowego w ciągu miesiąca od zamknięcia incydentu. KSC przewiduje podobną strukturę. W przypadku RODO – jeśli na etapie zgłoszenia nie wszystkie informacje są dostępne, można je uzupełniać etapowo, jednak opóźnienie wymaga uzasadnienia.

Krok 4 – Dokumentacja wewnętrzna. Niezależnie od zewnętrznych obowiązków, organizacja powinna prowadzić rejestr incydentów. Art. 5 ust. 2 RODO – zasada rozliczalności – wymaga, by administrator był w stanie wykazać zgodność z przepisami. Brak dokumentacji to samodzielna podstawa do nałożenia kary.

• Wyznacz osobę odpowiedzialną za koordynację zgłoszeń (DPO, CISO lub zewnętrzny doradca)
• Przygotuj szablony zgłoszeń dla każdego reżimu (DORA, KSC, RODO) z wyprzedzeniem
• Ustal wewnętrzne progi klasyfikacji incydentów i procedurę eskalacji
• Przetestuj procedurę w ramach ćwiczeń co najmniej raz w roku
• Zapewnij dostęp do zewnętrznej pomocy prawnej i technicznej 24/7

W praktyce – wiele firm o tym zapomina – wstępne zgłoszenie nie musi być kompletne. Liczy się termin, nie doskonałość pierwszego raportu. Lepiej zgłosić w terminie z niepełnymi danymi niż przekroczyć termin, czekając na pełną analizę.

Trzy scenariusze biznesowe – producent, IT, inwestor zagraniczny

Reżimy raportowania stosuje się różnie w zależności od profilu organizacji. Poniższe scenariusze pokazują, jak wyglądają obowiązki w praktyce dla trzech typowych podmiotów działających na rynku polskim.

Scenariusz 1 – Producent przemysłowy. Firma produkcyjna z Dolnego Śląska, zatrudniająca ponad 500 osób, pada ofiarą ataku na systemy OT (operational technology) wiosną 2025 r. Linia produkcyjna staje na 36 godzin. Firma nie jest podmiotem finansowym, ale przetwarza dane osobowe pracowników i kontrahentów. Obowiązuje ją RODO: 72 godziny na zgłoszenie do UODO. Jeśli zakład należy do sektora energetyki lub infrastruktury krytycznej – dodatkowo KSC i CSIRT NASK. Koszt zewnętrznej obsługi prawnej takiego incydentu to zazwyczaj 30 000–80 000 PLN.

Scenariusz 2 – Firma IT i dostawca usług cyfrowych. Dostawca usług chmurowych z Krakowa obsługuje klientów z sektora finansowego. Wyciek danych z jego infrastruktury dotyka 10 000 rekordów klientów. Firma jest jednocześnie podmiotem ważnym w rozumieniu NIS2 (dostawca usług cyfrowych) oraz – poprzez umowy o podprzetwarzanie – podmiotem przetwarzającym dane osobowe. Musi zgłosić incydent do CSIRT NASK (24 godziny), powiadomić klientów-administratorów danych (bez zbędnej zwłoki), a klienci muszą sami zdecydować o zgłoszeniu do UODO. Łańcuch odpowiedzialności jest złożony i wymaga precyzyjnych klauzul umownych.

Scenariusz 3 – Zagraniczny inwestor. Dla zagranicznego inwestora wchodzącego na rynek polski złożoność jest największa. Podmiot z grupy kapitałowej może podlegać jednocześnie DORA (jeśli świadczy usługi finansowe), NIS2 (jeśli jest podmiotem kluczowym), RODO oraz – po wdrożeniu AI Act – obowiązkom raportowania incydentów systemów AI wysokiego ryzyka. Transgraniczne naruszenia danych wymagają koordynacji z wiodącym organem nadzorczym w UE. Mechanizmy transferu danych między Polską a innymi jurysdykcjami UE mają bezpośredni wpływ na to, który organ jest właściwy do przyjęcia zgłoszenia.

Uważamy, że bezpieczniejszym rozwiązaniem dla podmiotów działających transgranicznie jest wyznaczenie jednego koordynatora zgłoszeń dla całej grupy. Pozwala to uniknąć sytuacji, w której spółki zależne składają sprzeczne lub niespójne raporty do różnych organów nadzorczych.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny, który reżim dominuje i jakie progi klasyfikacji incydentu obowiązują. Błędna klasyfikacja może prowadzić do nieodwracalnych konsekwencji: przekroczenia terminów i kar administracyjnych niemożliwych do cofnięcia.

Jeśli Państwa spółka przetwarza dane osobowe lub świadczy usługi cyfrowe na rynku polskim i nie ma wdrożonej procedury raportowania incydentów – przeprowadzimy audyt gotowości, przygotujemy szablony zgłoszeń i plan reakcji: info@kordeckipartners.com.

Jakie są najczęstsze błędy i jak ich unikać?

Błędy w raportowaniu incydentów cybernetycznych rzadko wynikają ze złej woli. Częściej chodzi o niewiedzę co do zakresu obowiązku, mylenie reżimów lub niedoszacowanie powagi incydentu. Skutki są jednak takie same: kary finansowe, odpowiedzialność zarządu i utrata reputacji.

Błąd 1 – Czekanie na pełną analizę forensyczną. Organizacje często odkładają zgłoszenie, czekając na pełny raport techniczny. To błąd kosztujący przekroczenie terminu. RODO wprost dopuszcza zgłoszenia etapowe. Pierwsza notyfikacja do UODO może zawierać tylko podstawowe informacje: co się stało, jakiego rodzaju dane były zagrożone, ile osób dotyczy szacunkowo i jakie kroki podjęto.

Błąd 2 – Brak wyznaczonego Inspektora Ochrony Danych. Administratorzy danych przetwarzający dane na dużą skalę lub przetwarzający dane wrażliwe mają obowiązek wyznaczenia DPO. Brak DPO w momencie incydentu oznacza brak koordynatora zgłoszenia. UODO traktuje to jako okoliczność obciążającą przy wymiarze kary.

Błąd 3 – Pominięcie obowiązku informowania osób fizycznych. Gdy naruszenie stwarza wysokie ryzyko dla praw i wolności osób fizycznych, administrator musi poinformować poszkodowanych bezpośrednio. Wiele organizacji ogranicza się do zgłoszenia do UODO, pomijając ten drugi obowiązek. Kary za takie pominięcie sięgają do 10 mln EUR lub 2% globalnego obrotu.

Błąd 4 – Brak klauzul umownych z dostawcami IT. Podmioty przetwarzające dane w chmurze lub korzystające z zewnętrznych dostawców ICT muszą mieć w umowach precyzyjne klauzule dotyczące zgłaszania incydentów. Dostawca ma obowiązek powiadomić administratora bez zbędnej zwłoki. Jeśli umowa nie określa terminu – w praktyce wynosi on zazwyczaj 24–48 godzin, ale może być przedmiotem sporu.

Obowiązki dotyczące wewnętrznych kanałów raportowania dla pracodawców krzyżują się z procedurami cyberbezpieczeństwa – szczególnie gdy incydent jest wynikiem działania pracownika lub gdy pracownik zgłasza naruszenie jako sygnalista. Ustawa o sygnalistach z 14 czerwca 2024 r. objęła ochroną osoby zgłaszające naruszenia prawa, w tym naruszeń w obszarze bezpieczeństwa IT.

Warto też pamiętać, że DORA compliance wymaga regularnych testów penetracyjnych (TLPT – Threat-Led Penetration Testing) dla największych instytucji finansowych. Wyniki testów mogą ujawnić podatności, które – jeśli zostaną wykorzystane przez atakującego – uruchomią obowiązki raportowania. Dobra praktyka to włączenie wniosków z testów do planu zarządzania ryzykiem ICT.

Często zadawane pytania

P: Czy każde naruszenie bezpieczeństwa danych trzeba zgłaszać do UODO?

O: Nie. Obowiązek zgłoszenia do UODO powstaje tylko wtedy, gdy naruszenie może powodować ryzyko dla praw i wolności osób fizycznych. Jeśli ryzyko jest mało prawdopodobne – na przykład zaszyfrowane dane zostały utracone bez klucza deszyfrującego – zgłoszenie nie jest wymagane. Administrator powinien jednak udokumentować swoją ocenę ryzyka i powody, dla których odstąpił od zgłoszenia. Termin na zgłoszenie, gdy jest ono wymagane, wynosi 72 godziny od wykrycia naruszenia.

P: Jakie są koszty wdrożenia procedury raportowania incydentów?

O: Koszty zależą od wielkości organizacji i stopnia złożoności środowiska IT. Dla średniej firmy (50–250 pracowników) zewnętrzne opracowanie procedury i szablonów zgłoszeń to zazwyczaj 15 000–40 000 PLN. Koszt obsługi prawnej w trakcie rzeczywistego incydentu jest wielokrotnie wyższy – od 30 000 PLN wzwyż, nie licząc potencjalnych kar administracyjnych. Inwestycja w prewencję jest zawsze tańsza niż reakcja kryzysowa.

P: Czy firma objęta DORA musi zgłaszać incydenty tylko do KNF, czy także do UODO?

O: Oba obowiązki mogą obowiązywać równolegle. DORA i RODO to odrębne reżimy z odrębnymi organami nadzorczymi. Jeśli incydent ICT w instytucji finansowej jednocześnie narusza bezpieczeństwo danych osobowych, firma musi złożyć zgłoszenie do KNF w ramach rozporządzenia DORA (w ciągu 4 godzin od klasyfikacji) oraz – niezależnie – do UODO w ciągu 72 godzin od wykrycia naruszenia danych. Koordynacja obu procedur wymaga precyzyjnego podziału odpowiedzialności między CISO, DPO i departament prawny.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do cyberbezpieczeństwa, ochrony danych osobowych, compliance i regulacji technologicznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Konkretna sytuacja Państwa firmy – w szczególności gdy łączy obowiązki z kilku reżimów jednocześnie – wymaga indywidualnej oceny, zanim dojdzie do incydentu. Brak gotowej procedury w momencie ataku zamyka drogę do terminowego zgłoszenia i naraża zarząd na odpowiedzialność osobistą, której nie można cofnąć.

Jeśli Państwa spółka nie ma wdrożonej procedury raportowania incydentów cybernetycznych lub wymaga jej aktualizacji pod kątem DORA, NIS2 i RODO – przeprowadzimy kompleksowy audyt gotowości, opracujemy szablony zgłoszeń i plan reakcji na incydenty: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.