Kontakt Pomoc Zarejestruj

Zostań partnerem HRD.pl Ponad 20 lat w czołówce polskich rejestratorów.
5000 partnerów z kraju i zagranicy. Numer 1 hurtowej
rejestracji domen w Polsce Zostań partnerem HRD.pl Blisko 1000 rozszerzeń
w cenach hurtowych API, WHMCS, ramki, CMS.
Darmowy serwer przekierowań. Zostań partnerem HRD.pl 100% program
White Label Darmowe Panele Partnera i Panele Abonentów.
Osobna infolinia, pełna customizacja paneli i wiadomości.
NIS2 zgłaszanie incydentów do CSIRT NASK – terminy 24h 72h i 1 miesiąca

NIS2: jak zgłaszać incydenty do CSIRT NASK

Opublikowano: 23 czerwca 2026

Wprowadzenie

Wraz z wdrożeniem NIS2 oraz nowelizacją ustawy o KSC zgłaszanie incydentów staje się obowiązkiem operacyjnym, a nie wyłącznie technicznym.

Nowe przepisy wprowadzają:

  • obowiązek szybkiego zgłaszania incydentów,
  • konkretne terminy reakcji,
  • konieczność dokumentowania działań,
  • odpowiedzialność organizacyjną.

W praktyce wiele firm nadal nie posiada procedur pozwalających na sprawną reakcję w wymaganych terminach.

Jeśli potrzebujesz szerszego kontekstu regulacyjnego, opisaliśmy go tutaj:
Ustawa o KSC i NIS2 – co oznaczają dla firm IT, domen i bezpieczeństwa (2026)

Najważniejsze informacje w skrócie

  • NIS2 wprowadza obowiązek zgłaszania incydentów bezpieczeństwa,
  • obowiązują terminy 24h, 72h i 1 miesiąca,
  • zgłoszenia trafiają do właściwego CSIRT,
  • firmy muszą posiadać procedury reagowania,
  • domeny i DNS również mogą być elementem incydentu.

Największym problemem organizacji objętych NIS2 najczęściej nie jest sama technologia, ale brak procedur oraz brak gotowości operacyjnej do szybkiego raportowania incydentów.

Czym jest reżim 24h / 72h / 1 miesiąc w NIS2

NIS2 wprowadza wieloetapowy model zgłaszania incydentów bezpieczeństwa.

W praktyce organizacje objęte regulacjami muszą:

  • zgłosić wstępne ostrzeżenie w ciągu 24 godzin,
  • przekazać pełniejsze informacje w ciągu 72 godzin,
  • przygotować raport końcowy w ciągu 1 miesiąca.

Zdaniem ekspertów HRD.pl wiele firm błędnie zakłada, że zgłoszenie incydentu oznacza jednorazowe wysłanie informacji.

W praktyce proces obejmuje:

  • analizę sytuacji,
  • aktualizację informacji,
  • dokumentowanie działań,
  • ocenę wpływu incydentu.

Stan regulacyjny: czerwiec 2026.

Co trzeba zgłosić w ciągu 24 godzin

W ciągu 24 godzin organizacja powinna przekazać tzw. early warning, czyli wstępne ostrzeżenie o incydencie.

Najczęściej obejmuje ono:

  • informację o wykryciu incydentu,
  • podejrzenie wpływu na usługi,
  • potencjalną skalę problemu,
  • informację o możliwym charakterze incydentu.

W praktyce nie jest jeszcze wymagane pełne potwierdzenie wszystkich szczegółów technicznych.

Z perspektywy HRD.pl największym problemem wielu organizacji jest brak procedur pozwalających szybko ustalić:

  • kto odpowiada za zgłoszenie,
  • kto analizuje incydent,
  • kto kontaktuje się z CSIRT.

Co powinno znaleźć się w zgłoszeniu po 72 godzinach

Zgłoszenie po 72 godzinach powinno zawierać bardziej szczegółowe informacje dotyczące incydentu.

Najczęściej obejmuje ono:

  • charakter incydentu,
  • wpływ na usługi,
  • skalę problemu,
  • możliwe skutki,
  • podjęte działania,
  • informacje o zagrożeniu transgranicznym.

W praktyce organizacje muszą posiadać możliwość:

  • zbierania danych,
  • dokumentowania działań,
  • analizy wpływu incydentu,
  • koordynacji działań operacyjnych.

Zdaniem specjalistów HRD.pl wiele firm nie posiada dziś spójnych procedur raportowania incydentów obejmujących domeny, DNS oraz usługi powiązane.

Raport końcowy po 1 miesiącu

Raport końcowy powinien podsumowywać cały przebieg incydentu oraz działania podjęte przez organizację.

Najczęściej obejmuje:

  • przyczynę incydentu,
  • pełny wpływ na organizację,
  • działania naprawcze,
  • środki ograniczające ryzyko,
  • rekomendacje na przyszłość.

W praktyce raport końcowy bardzo często ujawnia problemy organizacyjne, a nie wyłącznie techniczne.

Według doświadczeń HRD.pl organizacje najczęściej mają problem z:

  • dokumentacją procesów,
  • centralizacją informacji,
  • kontrolą odpowiedzialności,
  • monitoringiem infrastruktury domenowej.

Co to oznacza w praktyce

W praktyce organizacje objęte NIS2 powinny zakładać, że zgłaszanie incydentów stanie się elementem codziennego zarządzania bezpieczeństwem oraz usługami online.

Największe znaczenie mają dziś:

  • gotowe procedury reagowania,
  • podział odpowiedzialności,
  • monitoring infrastruktury,
  • kontrola domen i DNS,
  • sprawna komunikacja operacyjna.

Kto musi zgłaszać incydenty

Obowiązki wynikające z NIS2 oraz KSC dotyczą organizacji uznanych za podmioty kluczowe lub ważne.

W praktyce mogą obejmować m.in.:

  • firmy IT,
  • operatorów usług cyfrowych,
  • dostawców infrastruktury,
  • hosting,
  • DNS,
  • operatorów domen,
  • podmioty świadczące usługi online.

CSIRT NASK odpowiada m.in. za obsługę incydentów bezpieczeństwa dla określonych podmiotów objętych krajowym systemem cyberbezpieczeństwa.

Temat obowiązków domen i DNS opisaliśmy również tutaj:
Czy domeny i DNS podlegają pod KSC i NIS2 – obowiązki rejestratorów i resellerów (2026)

Dlaczego domeny i DNS mają znaczenie w NIS2

DNS odpowiada za kierowanie ruchu internetowego do usług powiązanych z domeną.

W praktyce problemy związane z domenami lub DNS mogą powodować:

  • niedostępność usług,
  • problemy z pocztą,
  • przerwy operacyjne,
  • incydenty bezpieczeństwa,
  • utratę kontroli nad usługami.

Z doświadczenia HRD.pl wynika, że wiele organizacji nadal nie traktuje domen jako elementu infrastruktury bezpieczeństwa.

Najczęstsze problemy obejmują:

  • brak kontroli nad DNS,
  • rozproszone domeny,
  • brak procedur,
  • brak monitoringu usług.

Najczęstsze problemy firm przy zgłaszaniu incydentów

Najczęstsze problemy obejmują:

  • brak procedur,
  • brak podziału odpowiedzialności,
  • brak dokumentacji,
  • brak monitoringu infrastruktury,
  • brak kontroli nad domenami,
  • brak centralizacji usług.

W praktyce większość problemów nie wynika wyłącznie z technologii.

👉 Najczęściej problemem jest:

  • organizacja,
  • brak procesów,
  • brak przygotowania operacyjnego.

Z perspektywy HRD.pl

W pracy z organizacjami zarządzającymi domenami i usługami online widać jeden powtarzalny problem:

domeny oraz DNS nadal bardzo często nie są traktowane jako element infrastruktury bezpieczeństwa.

Najczęściej organizacje:

  • nie posiadają centralnej kontroli nad domenami,
  • nie monitorują zmian DNS,
  • nie mają procedur reagowania,
  • nie posiadają gotowych ścieżek eskalacji incydentów.

W praktyce właśnie te obszary bardzo często utrudniają szybką reakcję w modelu 24h / 72h / 1 miesiąca.

Wnioski

  • NIS2 wymaga szybkiego reagowania na incydenty,
  • organizacje muszą posiadać procedury operacyjne,
  • domeny i DNS są elementem bezpieczeństwa,
  • brak organizacji zwiększa ryzyko problemów regulacyjnych,
  • większość problemów wynika z braku kontroli i procesów.

FAQ

Jakie terminy zgłaszania incydentów wprowadza NIS2

NIS2 wprowadza model:

  • 24h — early warning,
  • 72h — zgłoszenie szczegółowe,
  • 1 miesiąc — raport końcowy.

Czy domeny i DNS mogą być elementem incydentu

Tak. Problemy związane z domenami oraz DNS mogą wpływać na dostępność usług i bezpieczeństwo organizacji.

Kto zgłasza incydenty do CSIRT

Obowiązek dotyczy organizacji objętych regulacjami NIS2 i KSC.

Czy organizacja musi mieć procedury reagowania

Tak. W praktyce brak procedur bardzo utrudnia realizację obowiązków wynikających z NIS2.

Czy brak kontroli nad domenami może być problemem regulacyjnym

Tak. Domeny oraz DNS coraz częściej są traktowane jako element infrastruktury bezpieczeństwa.

O autorze

Jolanta Siebielska – COO w HRD.pl. Z firmą związana od 2008 roku, gdzie odpowiada za rozwój operacyjny oraz współpracę z partnerami biznesowymi w obszarze domen i certyfikatów SSL.

Na co dzień wspiera organizacje w:

  • optymalizacji kosztów,
  • porządkowaniu portfeli domen,
  • wdrażaniu rozwiązań skalowalnych,
  • organizacji procesów związanych z domenami i bezpieczeństwem usług.