Poważny incydent w rozumieniu NIS2
Dwa jakościowe kryteria uruchamiające obowiązek, jedno rozporządzenie z liczbami dla infrastruktury cyfrowej oraz pisemny rejestr decyzji dla wszystkich pozostałych.
Dlaczego definicja ma znaczenie
Istotność jest tym, co uruchamia cały zegar zgłaszania w artykule 23 NIS2: wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin, sprawozdanie końcowe w ciągu jednego miesiąca. Jeżeli zdarzenie jest poważne, zegar rusza w chwili, w której się o nim dowiadujesz. Jeżeli nie jest, nie jesteś nic winien ani CSIRT, ani właściwemu organowi.
Artykuł 23 ust. 3 NIS2 daje jedynie dwa ogólne sformułowania. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 (CIR) dodaje twarde liczby, ale tylko dla niewielkiej grupy dostawców cyfrowych (DNS, TLD, chmura, centrum danych, CDN, MSP, MSSP, platforma handlowa, wyszukiwarka, sieć społecznościowa, usługi zaufania). Dla każdego innego sektora NIS2 test pozostaje jakościowy.
Większość CISO nie docenia tej luki. Jeżeli działasz w produkcji, branży spożywczej, ochronie zdrowia czy gospodarce odpadami, nie ma kwoty w euro, nie ma liczby minut, nie ma progu liczby użytkowników. Musisz zdecydować, musisz zdecydować szybko i musisz potrafić później wyjaśnić dlaczego.
Dyrektywa NIS2 (UE) 2022/2555, art. 23 ust. 3
Incydent uznaje się za poważny, jeżeli: (a) spowodował lub może spowodować poważne zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu; (b) wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe lub niemajątkowe.
To jedyna ogólna definicja poważnego incydentu w prawie UE. Oba punkty posługują się sformułowaniem „może spowodować”, więc musisz ważyć potencjalną szkodę na równi z rzeczywistą. Tekst nigdzie nie kwantyfikuje słów poważne, znaczne ani majątkowe.
CIR (UE) 2024/2690, art. 3
Incydent uznaje się za poważny, jeżeli spowodował lub może spowodować: (a) bezpośrednią stratę finansową przekraczającą 500 000 EUR lub 5 procent całkowitego rocznego obrotu w poprzednim roku obrotowym, w zależności od tego, która z tych wartości jest niższa; (b) eksfiltrację tajemnic przedsiębiorstwa danego podmiotu w rozumieniu art. 2 ust. 1 dyrektywy (UE) 2016/943; (c) śmierć osoby fizycznej; (d) znaczne uszczerbki na zdrowiu osoby fizycznej; (e) udany, podejrzewany o złośliwy charakter i nieuprawniony dostęp do sieci i systemów informatycznych, mogący spowodować poważne zakłócenia operacyjne; (f) kryteria określone w art. 4 (incydenty powtarzające się); lub (g) jedno lub więcej kryteriów określonych w art. 5–14 (specyficzne dla podmiotu). Wystarczy spełnienie któregokolwiek jednego kryterium.
Siedem kryteriów (litery od a do g) — pięć materialnych plus dwa odesłania. Art. 1 CIR stanowi, że te liczby mają zastosowanie wyłącznie do określonych dostawców cyfrowych (DNS, TLD, chmura, centrum danych, CDN, MSP, MSSP, internetowa platforma handlowa, wyszukiwarka, platforma społecznościowa, usługi zaufania). Artykuły 5–14 dodają dla tej samej grupy progi dostępności w podziale na sektory. Jeżeli twój sektor nie jest na tej liście, te liczby cię nie wiążą i pozostaje ci wyłącznie test jakościowy z art. 23 ust. 3.
§32 BSIG (Niemcy, przykładowa transpozycja)
Wesentliche und wichtige Einrichtungen melden dem BSI erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als Frühwarnung, innerhalb von 72 Stunden als Sicherheitsvorfallsmeldung und innerhalb eines Monats als Abschlussbericht.
Każde państwo członkowskie przekłada art. 23 na prawo krajowe. §32 BSIG powtarza kaskadę i wskazuje BSI jako odbiorcę. Nie dodaje żadnej własnej liczby dla sektorów niecyfrowych. Niderlandy, Austria i Francja stosują ten sam wzorzec.
Siedem kryteriów (litery od a do g)
Pięć materialnych przesłanek plus dwa odesłania. (a) 500 000 EUR lub 5 procent obrotu (w zależności od tego, która wartość jest niższa), (b) eksfiltrowane tajemnice przedsiębiorstwa, (c) śmierć osoby, (d) poważny uszczerbek na zdrowiu osoby, (e) udane złośliwe włamanie mogące spowodować poważne zakłócenie, (f) incydenty powtarzające się wg art. 4, (g) progi specyficzne dla podmiotu wg art. 5–14. Spełnienie któregokolwiek z nich uruchamia istotność dla dostawców cyfrowych objętych zakresem.
Incydenty powtarzające się
Drobne incydenty się kumulują. Jeżeli ta sama pierwotna przyczyna wywoła co najmniej dwa incydenty w ciągu sześciu miesięcy, a łącznie przekraczają one próg straty finansowej z art. 3 ust. 1 lit. a), CIR traktuje je jako jeden poważny incydent. Liczenie każdego z osobna jest błędne.
Szczegóły dla DNS i TLD
Dla resolverów DNS i rejestrów TLD: niedostępność rozwiązywania nazw przez ponad 30 minut, średni czas odpowiedzi powyżej 10 sekund przez ponad godzinę albo naruszenie integralności danych dla ponad 1 000 domen lub 1 procenta portfela. Artykuły 6–14 ustanawiają podobne progi dla chmury, CDN, MSP, MSSP, platform handlowych, wyszukiwarek, sieci społecznościowych i usług zaufania.
Kryterium A: poważne zakłócenie operacyjne lub strata finansowa dla twojego podmiotu
To kryterium skierowane do wewnątrz. Dyrektywa nie daje ci kwoty w euro, czasu trwania ani procentu. Motyw 101 wskazuje trzy rzeczy, którym należy się przyjrzeć: jaka część usługi jest dotknięta, jak długo trwa incydent i ilu użytkowników dotyka. Wykorzystaj je do uporządkowania toku myślenia. Nie traktuj ich jak listy kontrolnej.
Kryterium B: znaczna szkoda majątkowa lub niemajątkowa dla osób trzecich
To kryterium skierowane na zewnątrz. Klienci, obywatele, operatorzy w dalszej części łańcucha, twój łańcuch dostaw. Szkoda niemajątkowa obejmuje uszczerbek na reputacji i zaufaniu. Krótka awaria, która przerywa proces w szpitalu, ujawnia dane klientów albo wyłącza usługę miejską, może spełnić to kryterium, nawet jeżeli twoja własna strata jest niewielka.
Ransomware wstrzymuje produkcję na dwa dni
Operacje zatrzymane. Kryterium A z art. 23 ust. 3 NIS2 (poważne zakłócenie operacyjne) jest spełnione. Wczesne ostrzeżenie 24 h, zgłoszenie incydentu 72 h, sprawozdanie końcowe 1 miesiąc (art. 23 NIS2 / §32 BSIG).
Kliknięto e-mail phishingowy, hasła nie wprowadzono
Sytuacja skutecznie opanowana, brak wpływu na usługi lub osoby trzecie. Dobrowolne zgłoszenie na podstawie art. 30 NIS2 jest dostępne, jeżeli chcesz się podzielić informacją, i nie nakłada żadnych dodatkowych obowiązków (art. 30 ust. 4).
Awaria dostawcy chmury, opóźnienie twojej własnej usługi
Jeżeli twoja własna usługa staje się znacząco wolniejsza lub przestaje działać, kryterium A jest spełnione. Sprawdź też kryterium B: czy szkodę ponoszą klienci lub operatorzy w dalszej części łańcucha? (art. 23 ust. 3 NIS2)
Atak DDoS wyłącza portal klienta na cztery godziny
Znaczne przerwanie usługi dla klientów. Oba kryteria z art. 23 ust. 3 NIS2 są potencjalnie spełnione. Dla dostawców DNS, chmury lub usług zaufania sprawdź dodatkowo art. 5–14 CIR.
Błędna konfiguracja ujawnia dane klientów
Artykuł 33 GDPR: 72 h do organu nadzorczego. Jeżeli przekroczony zostaje również próg NIS2 (art. 23 ust. 3 NIS2 lub art. 3 CIR), dodatkowo artykuł 23 NIS2: wczesne ostrzeżenie do CSIRT w 24 h. Oba zegary ruszają w chwili powzięcia wiedzy.
Naruszenie u dostawcy, dotknięta twoja własna usługa
Najpierw sprawdź szkodę dla twojego własnego podmiotu lub twoich klientów. Nie każdy incydent u dostawcy uruchamia twój własny obowiązek zgłoszenia. Równolegle: udokumentuj nadzór nad dostawcą na podstawie art. 21 ust. 2 lit. d) NIS2.
Nie masz pewności, czy próg został przekroczony? Złóż wczesne ostrzeżenie i zaktualizuj je później. Art. 23 ust. 4 lit. a) NIS2 został zaprojektowany dokładnie do tego. Właściwy organ woli wczesne „jeszcze nie mamy pewności” od spóźnionego „czekaliśmy za długo”.
Artykuł 30 ust. 1 NIS2 zezwala na dobrowolne zgłaszanie incydentów, cyberzagrożeń i zdarzeń potencjalnie groźnych do CSIRT. Dotyczy to podmiotów objętych zakresem dyrektywy oraz podmiotów spoza niego, które chcą zgłosić poważne zdarzenie.
Artykuł 30 ust. 4 NIS2 jest kluczową ochroną: dobrowolne zgłaszanie nie skutkuje nałożeniem żadnych dodatkowych obowiązków na podmiot zgłaszający. Zgłoszenie przypadku granicznego nie niesie ryzyka dodatkowych obowiązków. To usuwa oczywistą wymówkę, by nie zgłaszać niejasnego incydentu.
Artykuł 23 ust. 2 NIS2 dodaje odrębny obowiązek. Podmioty kluczowe i ważne informują, bez zbędnej zwłoki, odbiorców swoich usług o wszelkich środkach lub działaniach naprawczych, które mogą podjąć, aby ograniczyć ryzyko wynikające z poważnego cyberzagrożenia. To nie jest zgłoszenie do CSIRT; to zewnętrzna komunikacja do klientów.
W Niemczech wdraża to §35 BSIG. §35 ust. 1 pozwala BSI nakazać poinformowanie. §35 ust. 2 dodatkowo zobowiązuje określone sektory (finanse, zabezpieczenie społeczne, infrastruktura cyfrowa, zarządzanie usługami ICT, usługi cyfrowe) do informowania z własnej inicjatywy. Komunikacja może nastąpić poprzez publikację na stronie internetowej podmiotu.
Wytyczne BSI na podstawie §32 BSIG
BSI powtarza brzmienie art. 23 ust. 3 i odsyła do swojego standardowego formularza zgłoszeniowego (MIRP). Nie publikuje żadnej liczby dla sektorów niecyfrowych. Stanowisko BSI: oceniaj istotność według kryteriów jakościowych, zapisuj swoje uzasadnienie i zgłaszaj w razie wątpliwości.
Wytyczne techniczne ENISA dotyczące wdrażania
Wytyczne techniczne ENISA dotyczące wdrażania (TIG, wersja 1.2 z sierpnia 2025) dają praktyczne wskazówki co do oceny skutków i odsyłają do progów CIR tam, gdzie mają one zastosowanie. TIG są niewiążące i wyraźnie odsyłają sektory spoza zakresu CIR z powrotem do organów krajowych.
Transpozycje innych państw członkowskich
Niderlandzka Cyberbeveiligingswet, austriacki projekt NISG 2024 oraz francuski reżim OIV/REC powtarzają test z art. 23 ust. 3 słowo w słowo. Żadne z nich nie opublikowało jeszcze liczb dla sektorów niecyfrowych. Wzorzec w całej UE jest taki sam: test jakościowy plus CIR dla grupy cyfrowej.
Mit 1: Poznamy to, gdy to zobaczymy.
Rzeczywistość: art. 23 ust. 3 daje ci 24 godziny na podjęcie decyzji, spisanie uzasadnienia i obronę go podczas audytu. Jeżeli nie spisałeś swoich kryteriów przed incydentem, będziesz podejmować decyzję pod presją, bez żadnego zapisu, na którym mógłbyś się oprzeć. Zbuduj ramy decyzyjne teraz, a nie w dniu zdarzenia.
Mit 2: Tylko naruszenia danych liczą się jako poważne incydenty.
Rzeczywistość: art. 23 ust. 3 lit. a) obejmuje zakłócenia operacyjne i straty finansowe bez żadnej wzmianki o danych osobowych. Linia produkcyjna zatrzymana przez ransomware bez eksfiltracji danych jest poważnym incydentem. Platforma logistyczna niedostępna przez trzy godziny jest poważnym incydentem. NIS2 to nie GDPR.
Mit 3: Drobne incydenty poniżej progu się nie kumulują.
Rzeczywistość: art. 4 CIR (i ta sama logika dla kryteriów jakościowych) stanowi, że powtarzające się incydenty o tej samej pierwotnej przyczynie sumują się. Dwie 20-minutowe awarie tego samego wadliwego komponentu w ciągu sześciu miesięcy mogą wspólnie przekroczyć próg. Liczenie każdej z osobna jest błędne.
Załączniki I i II do NIS2 obejmują z grubsza 18 sektorów. Tylko grupa cyfrowa z art. 1 CIR (około 11 typów podmiotów) otrzymuje liczby. To niewielki wycinek podmiotów objętych zakresem. Dla energetyki, transportu, bankowości, infrastruktury rynku finansowego, ochrony zdrowia, wody pitnej, ścieków, administracji publicznej, przestrzeni kosmicznej, sektora pocztowego, gospodarki odpadami, chemii, żywności, produkcji i badań naukowych test pozostaje jakościowy.
I właśnie tutaj możesz być użyteczny na sali. Uczciwa odpowiedź na pytanie zarządu („co liczy się jako poważne dla nas?”) brzmi: UE pozostawiła to twojej ocenie, oto trzy czynniki z motywu 101, oto rejestr decyzji, który sporządzimy w dniu zdarzenia, oto kto go podpisuje, oto formularz zgłoszeniowy BSI, który złożymy. Obronna odpowiedź nie jest liczbą. Jest spisaną decyzją.
Moduł incydentów na nisd2.eu zapisuje twoje uzasadnienie klasyfikacji jako ustrukturyzowane pole powiązane z art. 23 ust. 3. Dla podmiotów infrastruktury cyfrowej liczby z art. 3, 4 i 5 CIR pojawiają się jako bariery ochronne. Dla wszystkich pozostałych trzy czynniki z motywu 101 pojawiają się jako prowadzony szablon, uzasadnienie zostaje podpisane i opatrzone znacznikiem czasu, a zapis zasila sprawozdania 24-godzinne i 72-godzinne.
Efektem jest zapis, którego możesz bronić: decyzja, uzasadnienie, osoba podpisująca, znacznik czasu. To właśnie tego żądają właściwy organ i BSI po zdarzeniu granicznym. To też jest to, co chroni organ zarządzający na podstawie art. 20 NIS2, jeżeli ktoś później zakwestionuje decyzję.
- Dyrektywa (UE) 2022/2555 (NIS2), art. 23 i motyw 101 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690, artykuły 1, 3, 4, 5–14 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG §32 (Niemcy) — portal regulacyjny bsi.bund.de
- Wytyczne techniczne ENISA dotyczące wdrażania zgłaszania incydentów NIS2 (TIG) — enisa.europa.eu
- Formularz zgłoszeniowy BSI MIRP i wytyczne dotyczące incydentów — bsi.bund.de