Krajobraz ISACów w Polsce

Paulina Popow

Piotr Słowiński

Publikacja wyraża jedynie poglądy autora/ów i nie może być utożsamiana z oficjalnym stanowiskiem Ministerstwa Cyfryzacji.

Wstęp

Niniejsza publikacja aktualizuje dwa wcześniejsze opracowania NASK PIB poświęcone Centrom Wymiany i Analizy Informacji (ISAC): poradnika z 2019 r.1 oraz publikacji poświęconej modelom dojrzałości ISAC z 2020 r.2 Od momentu ich wydania krajowy i europejski ekosystem cyberbezpieczeństwa głęboko się przeobraził. Na poziomie unijnym weszła w życie dyrektywa NIS 23; na poziomie krajowym — implementująca ją nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa4 poszerzyła katalog podmiotów objętych obowiązkami z zakresu cyberbezpieczeństwa. Równolegle wyraźnie rozwinął się polski ekosystem ISAC: o ile w 2020 r. w Polsce funkcjonował jeden sektorowy ISAC, o tyle w 2026 r. jest ich już osiem. W tym kontekście rola ISAC jako mechanizmów dobrowolnej współpracy sektorowej zyskuje nowe znaczenie — uzupełniające wobec ustawowych obowiązków podmiotów kluczowych i ważnych.

Celem niniejszej publikacji jest dostarczenie aktualnej syntezy wiedzy o ISAC: definicji i istocie, korzyściach z funkcjonowania, etapach budowy i modelach dojrzałości, narzędziach operacyjnych wymiany informacji oraz ramach prawnych obowiązujących na 2026 r. Adresatami publikacji są przede wszystkim podmioty kluczowe i ważne w rozumieniu znowelizowanej ustawy o KSC, organy właściwe do spraw cyberbezpieczeństwa oraz inne podmioty krajowego systemu cyberbezpieczeństwa zainteresowane tworzeniem lub rozwijaniem ISAC w swoich sektorach.

Opracowanie aktualizuje wcześniejsze publikacje NASK PIB w świetle: doświadczeń z rozwoju polskiego ekosystemu ISAC w latach 2020–2026; rozszerzenia ram regulacyjnych (NIS 2, KSC 2.0, DORA, CRA); aktualnych inicjatyw ENISA wspierających ISAC oraz publikacji Cyberpolicy NASK z 2024 r. dotyczącej krajobrazu europejskich ISAC5.

Spis treści

Spis treści

1. Wstęp

2. Czym jest ISAC?

2.1. Definicja i istota

2.2. Rys historyczny

2.3. ISAC w europejskim ekosystemie cyberbezpieczeństwa

2.4. ISAC a CSIRT sektorowy

3. Korzyści funkcjonowania ISACów

3.1. Korzyści dla uczestników

3.2. Korzyści dla sektora

3.3. Korzyści dla państwa

4. Jak uruchomić ISAC?

4.1. Faza 1 — Poszukiwanie

4.2. Faza 2 — Budowanie

4.3. Faza 3 — Kontynuacja

4.4. Finansowanie ISAC

4.4.1. Model składkowy

4.4.2. Model instytucjonalny

4.4.3. Model dofinansowań projektowych

5. Model dojrzałości ISAC

5.1. Po co mierzyć dojrzałość?

5.2. Obszary modelu dojrzałości

5.3. Macierz modelu dojrzałości

5.4. Jak korzystać z modelu w praktyce?

5.5. Inicjatywy ENISA wspierające ISAC

6. Narzędzia operacyjne wymiany informacji

6.1. Traffic Light Protocol (TLP) w praktyce

6.2. Malware Information Sharing Platform (MISP)

6.3. Pozostałe standardy (STIX/TAXII, CTI feeds)

7. Ramy prawne i regulacyjne

7.1. Dyrektywa NIS 2 i znowelizowana ustawa o KSC

7.2. ENISA NIS2 Technical Implementation Guidance

7.3. DORA i ISAC w sektorze finansowym

7.4. CRA a wymiana informacji o podatnościach produktów ICT

7.5. RODO i ochrona danych osobowych w ramach ISAC

8. Krajobraz ISACów w Polsce – badanie ankietowe

8.1. Cel badania

8.2. Metodologia

8.3. Wyniki i wnioski

9. ISACi w Polsce

10. Podsumowanie

Czym jest ISAC?

Definicja i istota

ISAC (ang. Information Sharing and Analysis Center, pol. Centrum Wymiany i Analizy Informacji) to organizacja non-profit skupiająca podmioty z danego sektora lub podsektora w celu wymiany informacji o incydentach, zagrożeniach i podatnościach w obszarze cyberbezpieczeństwa. ENISA definiuje ISAC jako zaufane centrum non-profit skoncentrowane na zbieraniu, analizowaniu i bezpiecznej wymianie informacji o cyberzagrożeniach, którego celem jest wzmacnianie odporności cybernetycznej sektora6.

Istotą ISAC jest dobrowolność i zasada wzajemności: uczestnicy zarówno wnoszą, jak i czerpią wiedzę. Organizacja jest formą partnerstwa publiczno-prywatnego (PPP) — rozumianego nie tylko jako współpraca sektora prywatnego z publicznym, ale również jako budowanie relacji między różnymi sektorami i instytucjami. PPP ma w cyberbezpieczeństwie szczególne znaczenie, gdyż zagrożenia teleinformatyczne rzadko dotyczą jednej instytucji czy jednego sektora1.

Rys historyczny

Pierwsze ISAC powstały w Stanach Zjednoczonych w drugiej połowie lat 90. XX wieku jako reakcja na rekomendacje Prezydenckiej Komisji do spraw Zabezpieczania Infrastruktury Krytycznej7. Prezydencka Dyrektywa 63 z 1998 r. nakazała powołanie ISAC w każdym sektorze infrastruktury krytycznej. Pierwsze — FS-ISAC (sektor finansowy) — powstało w 1999 r. W 2026 r. w USA działa 28 organizacji ISAC zrzeszonych w Narodowej Radzie ISACs (NCI, National Council of ISACs)8.

W Europie pierwsze ISAC pojawiły się w sektorach finansowym i energetycznym. Są bardziej sformalizowane niż ich amerykańskie odpowiedniki i mocniej nakierowane na współpracę z sektorem publicznym9. ENISA wyróżnia trzy modele: krajowe, sektorowe i międzynarodowe.

W Polsce pierwsze inicjatywy ISAC rozwinęły się dzięki wsparciu NASK PIB w ramach Programu Partnerstwo dla Cyberbezpieczeństwa (PdC), prowadzonego od 2016 r. Pierwszym formalnym ISAC w polskim sektorze bankowym był FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP, działający w ramach Związku Banków Polskich od 29 listopada 2016 r. i uznany przez ENISA za polski ISAC sektora bankowego w lutym 2018 r.20 Pierwszym ISAC powołanym w drodze samoorganizacji sektorowej z patronatem właściwego ministerstwa był ISAC-Kolej, ustanowiony w 2020 r.2

ISAC w europejskim ekosystemie cyberbezpieczeństwa

Na 2026 r. w Europie aktywnie działają następujące ISAC sektorowe na poziomie ogólnoeuropejskim:

Skrót

Pełna nazwa

Sektor

Agrifood ISAC

European Agrifood ISAC

Rolno-spożywczy

CIISI-EU

Cyber Information and Intelligence Sharing Initiative — EU

Wielosektorowy (CTI)

ECCSA

European Centre for Cybersecurity in Aviation (EASA)

Lotnictwo

EE-ISAC

European Energy ISAC

Energetyka

EM-ISAC

European Maritime ISAC

Morski

ER-ISAC

European Rail ISAC

Kolejowy

EU Space ISAC

EU Space Information Sharing and Analysis Centre

Kosmiczny (od 2024 r.)

European Health ISAC

European Health ISAC

Ochrona zdrowia

European Water ISAC

European Water ISAC

Wodociągowy

EuroSCSIE

European SCADA and Control Systems Information Exchange

SCADA/ICS (od 2005 r.)

FI-ISAC

European Financial Institutes ISAC

Finansowy (od 2008 r.)

I4C+

ISAC for Cities Plus

Samorządy i miasta

PISAX

Pan-European IXP and GRX ISAC

Operatorzy IXP/GRX

Na szczególną uwagę zasługuje EU Space ISAC, powołany w 2024 r. przez Komisję Europejską i Agencję Unii Europejskiej ds. Programu Kosmicznego (EUSPA)10. Jest to przykład ISAC uruchomionego odgórnie przez instytucje UE, a nie oddolnie przez sektor — co poszerza spektrum możliwych modeli powstawania ISAC.

ENISA organizuje coroczny European ISACs Summit — forum wymiany doświadczeń między europejskimi ISAC i platformę dialogu z instytucjami UE. Edycja 2025 odbyła się w siedzibie ENISA w Atenach w dniach 10–11 listopada 2025 r.11

ISAC a CSIRT sektorowy

Znowelizowana ustawa o KSC4 wprowadza do krajowego systemu cyberbezpieczeństwa instytucję CSIRT sektorowego — zdefiniowanego w art. 2 pkt 3a jako Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie sektora lub podsektora, ustanawiany przez organ właściwy do spraw cyberbezpieczeństwa dla danego sektora lub podsektora. CSIRT sektorowy pełni rolę pierwszego kontaktu dla podmiotów kluczowych i ważnych w ramach swojej właściwości sektorowej — przyjmuje zgłoszenia incydentów, wspiera podmioty w ich obsłudze i współpracuje z CSIRT poziomu krajowego (CSIRT MON, CSIRT NASK, CSIRT GOV).

CSIRT sektorowy trzeba wyraźnie odróżnić od ISAC, gdyż są to instytucje o odmiennym charakterze. CSIRT sektorowy jest formalnym elementem krajowego systemu cyberbezpieczeństwa, ustanawianym przez organ właściwy i wykonującym zadania określone ustawowo. ISAC jest natomiast dobrowolnym mechanizmem współpracy, który nie wynika z ustawowego obowiązku, lecz z woli współdziałania podmiotów danego sektora.

Obie instytucje nie są wobec siebie konkurencyjne — przeciwnie, mogą się uzupełniać. ISAC bywa szczególnie przydatny tam, gdzie w danym sektorze nie ustanowiono jeszcze CSIRT sektorowego — budując kulturę wymiany informacji i przygotowując grunt pod przyszłe sformalizowane struktury. Tam, gdzie CSIRT sektorowy już działa, ISAC może funkcjonować równolegle, koncentrując się na aspektach wykraczających poza ustawowe zadania CSIRT sektorowego: wspólnych ćwiczeniach, analizach trendów, wymianie dobrych praktyk czy budowaniu relacji zaufania między specjalistami.

Znowelizowana ustawa o KSC tworzy przy tym wyraźną podstawę prawną dla dobrowolnej wymiany informacji o cyberbezpieczeństwie. Artykuł 8h ustawy stanowi, że podmioty kluczowe, podmioty ważne, CSIRT poziomu krajowego, CSIRT sektorowe, dostawcy sprzętu lub oprogramowania, a także organizacje społeczne zrzeszające podmioty kluczowe lub ważne mogą wymieniać między sobą informacje dotyczące cyberbezpieczeństwa — w tym informacje o cyberzagrożeniach, podatnościach, technikach i procedurach atakujących, oznakach naruszenia integralności systemów oraz zalecenia dotyczące konfiguracji narzędzi bezpieczeństwa. Przepis ten — transponujący art. 29 dyrektywy NIS 2 — przewiduje ponadto możliwość zawierania porozumień w sprawie wymiany informacji (art. 8h ust. 6), określających sposób wymiany i zachowania poufności między stronami. Daje to bezpośrednią krajową podstawę prawną dla funkcjonowania mechanizmów typu ISAC.

Cecha

ISAC

CSIRT sektorowy

Podstawa prawna

Dobrowolny mechanizm współpracy; art. 8h KSC jako podstawa wymiany informacji; MoU lub statut jako podstawa organizacyjna

Art. 2 pkt 3a i art. 44 KSC — organ właściwy zapewnia funkcjonowanie CSIRT sektorowego

Inicjatywa powołania

Oddolna lub z patronatem organu właściwego

Organ właściwy do spraw cyberbezpieczeństwa

Charakter działania

Dobrowolny

Formalny, ustawowy

Obsługa incydentów

Nie jest obowiązkiem ISAC

Tak — przyjmuje zgłoszenia, wspiera obsługę, współpracuje z CSIRT krajowym

Wymiana informacji

Dobrowolna, na zasadzie zaufania (TLP)

Wynikająca z zadań ustawowych, uzupełniona wymianą dobrowolną

Finansowanie

Składki, dofinansowania, środki podmiotu wiodącego

Zwykle ze środków organu właściwego lub podmiotu prowadzącego

Zakres roli

Wymiana wiedzy, analizy, budowanie zaufania, dobre praktyki

Reagowanie na incydenty na poziomie sektora

Korzyści funkcjonowania ISACów 

Uruchomienie ISAC przynosi konkretne korzyści na trzech poziomach: dla poszczególnych uczestników, dla całego sektora oraz dla państwa i krajowego systemu cyberbezpieczeństwa.

Korzyści dla uczestników

Uczenie się od siebie nawzajem. Celem ISAC jest dzielenie się wiedzą i doświadczeniem. Ucząc się na incydentach z różnych organizacji, można podjąć kroki zapobiegające podobnym zdarzeniom u innych uczestników — szczególnie cenne dla podmiotów o mniejszym potencjale w zakresie cyberbezpieczeństwa1.

Poprawa poziomu cyberbezpieczeństwa. Wymiana informacji o zagrożeniach pozwala szybciej wykrywać ataki, w tym takie, których ofiara samodzielnie by nie zidentyfikowała. Wspólna analiza ryzyka podnosi jakość zarządzania bezpieczeństwem we wszystkich organizacjach członkowskich1.

Zmniejszenie kosztów. Wspólne podejście do problemów kosztuje mniej niż samodzielne poszukiwanie rozwiązań od zera. ISAC umożliwia również wspólny zakup usług cyberbezpieczeństwa — istotna oszczędność dla mniejszych podmiotów kluczowych i ważnych1.

Poprawa wizerunku. Uczestnictwo w ISAC jest sygnałem dla klientów, partnerów i organów nadzoru, że organizacja poważnie traktuje bezpieczeństwo informacji. Może być elementem polityki CSR1.

Dostęp do sieci kontaktów. Regularne spotkania budują osobiste relacje między specjalistami. W sytuacji incydentu możliwość szybkiego kontaktu z zaufaną osobą z innej organizacji sektora bywa cenniejsza niż formalna procedura zgłoszeniowa1.

Korzyści dla sektora

Podniesienie ogólnego poziomu bezpieczeństwa. System jest tak odporny na zagrożenia, jak odporne jest jego najsłabsze ogniwo. ISAC umożliwia wyrównywanie poziomu cyberbezpieczeństwa w sektorze poprzez transfer wiedzy od bardziej zaawansowanych podmiotów do mniej doświadczonych1.

Wypracowanie standardów i procedur sektorowych. ISAC jest naturalnym forum do opracowywania wspólnych procedur reagowania na incydenty, rekomendacji technicznych i standardów bezpieczeństwa dostosowanych do specyfiki sektora1.

Wzmocnienie pozycji sektora w dialogu regulacyjnym. Dojrzały ISAC może reprezentować interesy sektora przed organami właściwymi do spraw cyberbezpieczeństwa, zabierając głos w procesach konsultacyjnych dotyczących regulacji i strategii cyberbezpieczeństwa2.

Lepsza koordynacja w sytuacjach kryzysowych. W przypadku incydentów dotykających jednocześnie wielu podmiotów sektora ISAC może pełnić rolę platformy koordynacyjnej, uzupełniając działania CSIRT poziomu krajowego1.

Korzyści dla państwa

Informacje o stanie bezpieczeństwa w sektorach kluczowych. Organ właściwy do spraw cyberbezpieczeństwa, współpracując z ISAC, uzyskuje dostęp do aktualnej wiedzy o zagrożeniach i poziomie cyberbezpieczeństwa podmiotów w nadzorowanym sektorze — wiedzy trudnej do pozyskania wyłącznie przez formalne kanały sprawozdawcze2.

Lepsze zrozumienie potrzeb sektora prywatnego. Partnerska współpraca w ramach ISAC umożliwia organom publicznym głębsze zrozumienie realiów operacyjnych sektora — szczególnie cenne przy tworzeniu nowego ustawodawstwa i sektorowej strategii cyberbezpieczeństwa1.

Jeden punkt koordynacji. Dojrzały ISAC może pełnić rolę interfejsu między administracją a sektorem — jednego punktu kontaktu dla organu właściwego oraz CSIRT poziomu krajowego w przypadku incydentów poważnych i istotnych2.

Budowa odporności krajowego systemu cyberbezpieczeństwa. Sieć dobrze funkcjonujących ISAC to ważny element architektury krajowej odporności cybernetycznej. ENISA w raporcie NIS360 2024 wskazuje, że poziom dojrzałości wymiany informacji jest jednym z najważniejszych wskaźników oceny cyberbezpieczeństwa państw członkowskich12.

Jak uruchomić ISAC?  

Budowa ISAC nie musi być skomplikowanym ani kosztownym przedsięwzięciem. Wystarczy kilku zaangażowanych specjalistów, wola współpracy i gotowość do dzielenia się wiedzą. Poniżej opisano trzy fazy powstawania ISAC opracowane na podstawie praktyki holenderskiego NCSC-NL13 i zaadaptowane do polskiego kontekstu przez NASK PIB.

Faza 1 — Poszukiwanie

Faza poszukiwania polega na znalezieniu grupy osób i organizacji, które myślą o cyberbezpieczeństwie w podobny sposób i widzą wartość we wspólnej wymianie informacji. Wystarczy 3–5 specjalistów z różnych organizacji sektora. Doświadczenie wskazuje, że ISAC najlepiej funkcjonuje, gdy liczy do ok. 25 organizacji — większa liczba utrudnia spotkania i zmniejsza gotowość do dzielenia się wrażliwymi informacjami1.

W pierwszej fazie trzeba odpowiedzieć sobie na następujące pytania:

  • Kim jesteśmy i co mamy ze sobą wspólnego? Czy działamy na podobnych systemach, mierzymy się z podobnymi incydentami lub wyzwaniami?
  • Jaki jest nasz wspólny cel? Wymiana informacji o zagrożeniach? Ułatwienie realizacji obowiązków ustawowych? Ustanowienie procedur sektorowych?
  • Czy potrzebujemy jeszcze innych organizacji? ISAC może zacząć od małej grupy i stopniowo się rozrastać, ale fundament musi być solidny.
  • Jakimi informacjami chcemy się dzielić? Operacyjnymi (incydenty bieżące), taktycznymi (podatności) czy strategicznymi (trendy zagrożeń)?
  • Czy jesteśmy właściwymi osobami? Uczestnicy powinni mieć odpowiednie kompetencje i mandat do wymiany wrażliwych informacji we własnych organizacjach.

Wynikiem tej fazy powinna być nieformalna grupa robocza, która spotyka się regularnie i deklaruje chęć formalizacji współpracy1.

Faza 2 — Budowanie

Faza budowania rozpoczyna się od oficjalnego uruchomienia ISAC — wydarzenia inaugurującego jego działalność. Trzeba poświęcić czas na budowanie relacji osobistych, gdyż stopień zaufania niezbędny do wymiany wrażliwych informacji wymaga inwestowania we wzajemne poznanie.

Ustanowienie ról. Należy wybrać przewodniczącego, wiceprzewodniczącego i sekretarza. Przewodniczący jest siłą napędową całego ISAC: prowadzi spotkania, zachęca do aktywnej współpracy i odpowiada za komunikację zewnętrzną. Warto, aby była to osoba rozpoznawalna w środowisku sektora1.

Ustalenie częstotliwości spotkań. Najczęściej ISAC spotykają się 4–8 razy w roku. Terminy najlepiej zaplanować z rocznym wyprzedzeniem; spotkania mogą odbywać się rotacyjnie w siedzibach członków1.

Uruchomienie bezpiecznej komunikacji. Na początku wystarczy szyfrowana lista mailingowa. Bezpieczeństwo przesyłanych informacji jest absolutną koniecznością — bez niego nie można budować zaufania. NASK PIB udostępnia platformę wymiany informacji w ramach Programu PdC2.

Opracowanie i podpisanie MoU lub regulaminu. Dokument określa: kryteria przyjęcia nowych organizacji i ich przedstawicieli, zasady wymiany informacji (w tym protokół TLP), zakres współpracy, oczekiwania wobec uczestników oraz procedurę przyjmowania nowych członków1.

Przyjęcie Traffic Light Protocol (TLP). TLP to standard klasyfikowania wrażliwości informacji. Przyjęcie TLP jest kluczowe dla sprawnej i bezpiecznej wymiany informacji2. Szczegóły operacyjne stosowania TLP — w rozdziale 6.

Faza 3 — Kontynuacja

ISAC nie jest tworem statycznym — musi ewoluować wraz ze zmieniającymi się potrzebami uczestników i otoczeniem regulacyjnym. Faza kontynuacji nie ma punktu końcowego — trwa przez cały czas funkcjonowania organizacji1.

Program spotkań. Przewodniczący, wiceprzewodniczący i sekretarz przygotowują program każdego spotkania z co najmniej 2–3-tygodniowym wyprzedzeniem. Dobry program zawiera zaplanowane tematy strategiczne, przestrzeń na bieżące zagadnienia oraz tzw. Czerwoną rundę (Red Round) — wymianę bardzo wrażliwych informacji o bieżących incydentach w trybie TLP:RED, bez notatek i bez komunikacji zewnętrznej.

Plan roczny. Podczas pierwszego spotkania w roku ustala się tematy do omówienia, przypisuje im właścicieli i wiąże z konkretnymi datami. Plan roczny powinien być zaakceptowany przez wszystkich uczestników.

Raport roczny. Coroczny raport dokumentuje wkład ISAC w budowę odporności sektora, rozlicza organizację z celów i uzasadnia wartość uczestnictwa wobec zarządów organizacji członkowskich i potencjalnych nowych członków.

Zarządzanie nowymi członkami. Przyjęcie nowej organizacji wymaga jednomyślnej zgody uczestników — zarówno wobec organizacji, jak i wyznaczonego przez nią reprezentanta. Jednomyślność chroni poziom zaufania wewnątrz grupy.

Praca nad wyzwaniami. O trudnościach trzeba rozmawiać regularnie — samozadowolenie jest dla ISAC szczególnie niebezpieczne. Typowe wyzwania to: utrzymanie zaangażowania uczestników, zarządzanie informacjami w kontekście relacji konkurencyjnych, rotacja personelu i ryzyko nadmiernej formalizacji1.

Finansowanie ISAC

Pytanie o źródła finansowania jest jednym z najczęściej zadawanych przez podmioty rozważające powołanie lub uczestnictwo w ISAC. Polski i europejski krajobraz pokazuje trzy podstawowe modele.

Model składkowy

Finansowanie z regularnych składek członkowskich organizacji uczestniczących — typowe dla dojrzałych ISAC posiadających osobowość prawną. Wymaga ustalenia adekwatnej skali składek (zależnej np. od wielkości organizacji członkowskiej) oraz uzasadnienia kosztów wobec zarządów członków.

Model instytucjonalny

Finansowanie ze środków organizacji wiodącej (instytut badawczy PIB, organ administracji, organizacja branżowa) lub z patronatu właściwego ministerstwa. W tym modelu funkcjonują m.in. ISAC-GIG (środki własne i projektowe GIG-PIB), ISAC-JST (środki MC) czy ISAC-Kolej (zaplecze organizacyjne Instytutu Kolejnictwa). Model ten ogranicza obciążenie finansowe uczestników, ale wymaga zabezpieczenia ciągłości finansowania przez podmiot wiodący.

Model dofinansowań projektowych

Finansowanie konkretnych przedsięwzięć ISAC (np. ćwiczeń sektorowych, opracowań analitycznych, platform wymiany informacji) ze środków europejskich i krajowych — w szczególności Digital Europe Programme (DEP), Horizon Europe, Connecting Europe Facility — Digital, środków KPO i FERS, środków NCBR. Model ten umożliwia realizację poważnych przedsięwzięć rozwojowych, ale wymaga zdolności organizacji wiodącej do aplikowania o granty.

W praktyce większość polskich ISAC łączy elementy dwóch lub trzech modeli — np. finansowanie podstawowej działalności ze środków instytucjonalnych organizacji wiodącej, uzupełnione projektami dofinansowanymi i — w fazie dojrzałości — wprowadzeniem składek członkowskich. Model finansowania powinien być adekwatny do skali i dojrzałości ISAC oraz do specyfiki sektora.

Model dojrzałości ISAC 

Po co mierzyć dojrzałość?

Każdy ISAC jest inny — różni się liczbą członków, stopniem formalizacji, budżetem i zakresem działalności. Nie istnieje jeden właściwy model ISAC pasujący do każdego sektora. Dlatego zamiast definiować „idealny ISAC”, lepiej opisać ścieżkę jego rozwoju — kolejne etapy, przez które przechodzi organizacja, zwiększając swoją dojrzałość i wartość dla uczestników2.

Model opracowany przez NASK PIB, oparty na doświadczeniach holenderskiego NCSC-NL i badaniach ENISA2, opisuje pięć poziomów dojrzałości w pięciu kluczowych obszarach działalności. Poziomy oznaczone są kolejnymi kolorami: niebieski (1), fioletowy (2), zielony (3), żółty (4) i pomarańczowy (5).

Obszary modelu dojrzałości

Model obejmuje pięć obszarów działalności ISAC:

  • Budowanie zaufania — sposób budowania relacji i zaufania między uczestnikami;
  • Zarządzanie i organizacja — stopień formalizacji, sposób finansowania i zarządzania;
  • Wymiana informacji — rodzaje i głębokość wymienianych informacji;
  • Usługi — narzędzia IT, analizy i działania na rzecz budowania kompetencji;
  • Działania zewnętrzne — współpraca z interesariuszami spoza ISAC.

Macierz modelu dojrzałości

Obszar

Poziom 1 (Niebieski)

Poziom 2 (Fioletowy)

Poziom 3 (Zielony)

Poziom 4 (Żółty)

Poziom 5 (Pomarańczowy)

Budowanie zaufania

Spotkania ad hoc; stali przedstawiciele

Systematyczne spotkania bezpośrednie

Spotkania integracyjne; kontakty robocze między spotkaniami

Różne statusy członków wg stażu

Wysoki poziom zaufania; utarte kanały bezpośrednie

Zarządzanie i organizacja

MoU / regulamin; nieoficjalny sekretariat

Oficjalny sekretariat; przewodniczący i wiceprzewodniczący; plan roczny

Grupy robocze; doraźny budżet projektowy

Zarząd; długoterminowy plan; składki członkowskie

Osobowość prawna; własny sekretariat i pracownicy; siedziba

Wymiana informacji

Wymiana dobrych praktyk

Omawiane incydenty; doraźna wymiana ostrzeżeń (TLP)

Wymiana analiz i informacji o podatnościach post factum

Współpraca przy obsłudze incydentów w czasie rzeczywistym

Wymiana informacji wrażliwych; wspólna koordynacja kryzysów

Usługi

Lista mailingowa

Szyfrowana lista mailingowa

Platforma wymiany informacji; ćwiczenia table-top; szkolenia dla członków

Bezpieczny chat; ćwiczenia techniczne; raporty i analizy; szkolenia dla sektora

Platforma z monitoringiem zagrożeń; raporty dla KSC; szkolenia i ćwiczenia dla podmiotów KSC

Działania zewnętrzne

Patronat ministra; współpraca z CSIRT krajowym

Doraźne zaproszenia administracji i CSIRT

Jasne zasady współpracy z partnerami zewnętrznymi

Reprezentacja sektora przed organami właściwymi; spójna komunikacja zewnętrzna

Uczestnictwo w budowaniu KSC; własne konferencje; analizy dostępne publicznie

Jak korzystać z modelu w praktyce?

Model dojrzałości nie jest testem zaliczeniowym, lecz narzędziem do samooceny i planowania. NASK PIB rekomenduje następujący czteroetapowy cykl optymalizacji ISAC2:

1. Ocena bieżącego poziomu — członkowie ISAC wspólnie oceniają, na którym poziomie dojrzałości organizacja znajduje się w każdym z pięciu obszarów, korzystając z macierzy jako listy kontrolnej.

2. Identyfikacja priorytetów — ustalenie, na których obszarach skupić wysiłki w perspektywie najbliższych 12 miesięcy. Nie trzeba rozwijać wszystkich obszarów jednocześnie.

3. Zaplanowanie konkretnych działań — wskazanie kroków prowadzących do następnego poziomu w wybranych obszarach, z przypisaniem odpowiedzialności i terminów.

4. Weryfikacja — regularny (np. roczny) przegląd postępów i aktualizacja planu.

Ważna uwaga: nie każdy ISAC musi dążyć do poziomu 5 we wszystkich obszarach. Organizacja skupiająca kilkanaście podmiotów z wąskiego podsektora może doskonale spełniać swoją funkcję na poziomie 2–3, bez konieczności uzyskania osobowości prawnej. Celem jest adekwatność do potrzeb i możliwości sektora, a nie formalne spełnienie wszystkich kryteriów najwyższego poziomu.

Inicjatywy ENISA wspierające ISAC

ENISA aktywnie wspiera tworzenie i rozwój ISAC na poziomie europejskim poprzez dwie kluczowe inicjatywy. „ISAC in a Box” to zestaw narzędzi obejmujący cztery fazy rozwoju ISAC (tworzenie, ustanawianie, optymalizacja, dojrzałość), zawierający praktyczne wskazówki dot. formułowania celów, opracowywania polityk, pozyskiwania członków i zarządzania organizacją5. Inicjatywa Empowering EU-ISACs ma na celu mobilizację podmiotów publicznych i prywatnych do tworzenia nowych ISAC poprzez wsparcie organizacyjne, techniczne, prawne i szkoleniowe. ENISA organizuje ponadto coroczny European ISACs Summit11.

Narzędzia operacyjne wymiany informacji

Traffic Light Protocol (TLP) w praktyce

Traffic Light Protocol jest standardem klasyfikowania wrażliwości informacji wymienianych w środowiskach zaufanych — w tym w ramach ISAC. Standard ten jest wprost wskazany w motywie 9 dyrektywy NIS 2 jako mechanizm stosowany przez centra wymiany i analizy informacji3. Obecnie obowiązuje wersja TLP 2.0, opublikowana przez FIRST w sierpniu 2022 r., zastępująca wcześniejszą wersję 1.0.

Etykieta

Zakres dozwolonej dystrybucji

TLP:RED

Tylko bezpośredni odbiorcy wskazani imiennie; bez dalszej dystrybucji

TLP:AMBER+STRICT

Wyłącznie organizacja odbiorcy

TLP:AMBER

Organizacja odbiorcy i klienci odbiorcy w zakresie niezbędnym do ochrony

TLP:GREEN

Środowisko partnerskie (community); bez publicznej publikacji

TLP:CLEAR

Dystrybucja bez ograniczeń (uprzednia nazwa: TLP:WHITE)

W praktyce ISAC kluczowe są etykiety TLP:RED, TLP:AMBER i TLP:GREEN. Etykieta TLP:RED jest stosowana w trakcie Czerwonej rundy na spotkaniach ISAC — wymiana w tej etykietce odbywa się bez notatek i bez komunikacji zewnętrznej. TLP:AMBER to standard dla większości operacyjnych informacji o incydentach. TLP:GREEN — dla analiz i informacji, które członkowie mogą wykorzystać wewnątrz swoich środowisk partnerskich.

Malware Information Sharing Platform (MISP)

MISP (Malware Information Sharing Platform & Threat Sharing) to wolnodostępna platforma open source służąca do wymiany informacji o cyberzagrożeniach — w szczególności wskaźników kompromitacji (IOC), informacji o podatnościach, kampaniach atakujących oraz mapowań na ramy MITRE ATT&CK. Platforma została pierwotnie opracowana w Belgii (CIRCL — Computer Incident Response Center Luxembourg) i obecnie jest jednym z dominujących standardów operacyjnej wymiany CTI w europejskich ISAC.

W kontekście ISAC MISP pełni trzy funkcje: (i) repozytorium wskaźników kompromitacji uporządkowanych według sektorów, kampanii i atrybucji; (ii) mechanizmu automatycznej dystrybucji informacji o nowych zagrożeniach do systemów obronnych organizacji członkowskich (poprzez integrację z SIEM, EDR, IDS); (iii) narzędzia wspomagającego współpracę analityków przy analizie incydentów. MISP wspiera natywnie standardy TLP, STIX i TAXII, co ułatwia interoperacyjność z innymi narzędziami CTI.

NASK PIB udostępnia platformę wymiany informacji w ramach Programu PdC — partnerzy programu mogą korzystać z infrastruktury technicznej dla wymiany operacyjnej.

Pozostałe standardy (STIX/TAXII, CTI feeds)

STIX (Structured Threat Information Expression) jest standardem strukturalnego opisu informacji o cyberzagrożeniach — opracowanym przez organizację OASIS i przyjętym jako standard międzynarodowy. Obecnie obowiązuje wersja STIX 2.1. STIX umożliwia ujednolicony opis takich obiektów jak: wskaźniki kompromitacji, kampanie atakujące, identyfikatory zagrożeń, infrastruktura atakujących, malware, taktyki, techniki i procedury (TTP), narzędzia oraz powiązania między tymi obiektami.

TAXII (Trusted Automated Exchange of Intelligence Information) jest standardem transportu STIX — definiuje protokoły wymiany informacji między systemami CTI (typowo HTTPS, REST-API). Obecnie obowiązuje wersja TAXII 2.1.

W praktyce wymiana informacji o zagrożeniach w ramach ISAC opiera się dziś na pakiecie standardów TLP + MISP + STIX/TAXII, uzupełnianym przez dedykowane CTI feeds (dostarczane komercyjnie lub przez organizacje publiczne, takie jak CSIRT NASK, ENISA czy CISA). Integracja tych standardów stanowi techniczny fundament dla ISAC na poziomach 3–5 modelu dojrzałości NASK PIB (rozdział 5.3).

Ramy prawne i regulacyjne

Działalność ISAC w Polsce osadzona jest w szerszym kontekście regulacyjnym, który w ostatnich latach znacząco się zmienił.

Dyrektywa NIS 2 i znowelizowana ustawa o KSC

Dyrektywa NIS 2. Nie reguluje wprost działalności ISAC, ale art. 29 zobowiązuje państwa członkowskie do umożliwienia podmiotom dobrowolnej wymiany informacji o cyberzagrożeniach, podatnościach, taktykach, technikach i procedurach. Motyw 9 dyrektywy wprost odwołuje się do stosowania protokołu TLP przez centra wymiany i analizy informacji. Państwa członkowskie i ENISA są zobligowane do wspierania tworzenia mechanizmów bezpiecznej wymiany informacji3.

Znowelizowana ustawa o KSC. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa została znowelizowana ustawą z dnia 23 stycznia 2026 r. (Dz.U. 2026 poz. 252), implementującą dyrektywę NIS 2. Tekst jednolity uwzględniający nowelizację opublikowano w Dz.U. 2026 poz. 20. Nowelizacja poszerzyła katalog podmiotów kluczowych i ważnych, nakładając na nie szerszy zakres obowiązków z zakresu zarządzania ryzykiem i zgłaszania incydentów4. ISAC może być wartościowym uzupełnieniem tych formalnych obowiązków, umożliwiając efektywniejsze zarządzanie ryzykiem dzięki dostępowi do informacji o zagrożeniach sektorowych.

ENISA NIS2 Technical Implementation Guidance

W dniu 26 czerwca 2025 r. ENISA opublikowała NIS2 Technical Implementation Guidance — dokument zawierający techniczną wytyczną implementacji wymagań cyberbezpieczeństwa wynikających z rozporządzenia wykonawczego Komisji (UE) 2024/2690. Dokument obejmuje podmioty sektora infrastruktury cyfrowej, dostawców usług zarządzania ICT i dostawców usług cyfrowych, zawierając praktyczne wskazówki, przykłady dowodów i mapowania wymagań bezpieczeństwa14. Dla podmiotów członkowskich ISAC dokument jest cennym źródłem referencyjnym w zakresie operacjonalizacji wymagań NIS 2 — w szczególności w obszarze zarządzania incydentami, oceny ryzyka i bezpieczeństwa łańcucha dostaw.

DORA i ISAC w sektorze finansowym

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA)15, stosowane w pełni od 17 stycznia 2025 r., w art. 45 wprowadza ramy prawne dla wymiany informacji o cyberzagrożeniach (information-sharing arrangements) między podmiotami finansowymi. Przepis stanowi, że podmioty finansowe mogą wymieniać między sobą informacje wywiadowcze o zagrożeniach cybernetycznych, w tym wskaźniki kompromitacji, taktyki, techniki i procedury, ostrzeżenia o cyberbezpieczeństwie oraz narzędzia konfiguracyjne — pod warunkiem, że wymiana ta odbywa się w ramach zaufanych społeczności podmiotów finansowych i jest realizowana zgodnie z ustaleniami chroniącymi wrażliwość przekazywanych informacji oraz zgodnie z RODO i prawem konkurencji. Podmioty finansowe są zobowiązane do powiadomienia właściwych organów o przystąpieniu do takich porozumień oraz o zakończeniu uczestnictwa.

Dla polskich podmiotów sektora finansowego oznacza to wprost, że uczestnictwo w FinCERT.pl – BCC ZBP lub FI-ISAC jest mechanizmem wykazania zgodności z wymogami art. 45. W innych sektorach finansowych (np. ubezpieczenia, rynki kapitałowe, dostawcy usług kryptoaktywów) DORA jest silną zachętą regulacyjną do tworzenia nowych mechanizmów wymiany informacji.

CRA a wymiana informacji o podatnościach produktów ICT

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi (akt o cyberodporności, CRA)16, w pełni stosowane od 11 grudnia 2027 r. (z wcześniejszym terminem 11 września 2026 r. dla obowiązków w zakresie zgłaszania podatności i incydentów), wprowadza obowiązki producentów produktów ICT z elementami cyfrowymi dotyczące cyberbezpieczeństwa przez cały cykl życia produktu. W szczególności CRA wymaga od producentów zgłaszania aktywnie wykorzystywanych podatności (actively exploited vulnerabilities) do ENISA oraz właściwego CSIRT poziomu krajowego.

Dla samych ISAC oznacza to, że producenci podlegający CRA — szczególnie z sektora infrastruktury cyfrowej — uzyskują dodatkowy motyw do uczestnictwa w mechanizmach wymiany informacji o podatnościach, pozwalających na wcześniejsze rozpoznanie wektorów ataku zanim staną się one przedmiotem obowiązku raportowania.

RODO i ochrona danych osobowych w ramach ISAC

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) nakłada na uczestników ISAC obowiązek przestrzegania zasad ochrony danych osobowych przy wymianie informacji. Wymieniane dane powinny być anonimizowane lub pseudonimizowane w zakresie, w jakim zawierają dane osobowe; regulamin ISAC powinien zawierać odpowiednie postanowienia w tym zakresie5. W praktyce dotyczy to w szczególności wymiany informacji o incydentach, których analiza może wymagać przetwarzania danych o osobach atakujących, o ofiarach lub o pracownikach organizacji członkowskich.

Krajobraz ISACów w Polsce – badanie ankietowe 

Cel badania 

Celem badania było zebranie danych dotyczących funkcjonowania Centrów Wymiany i Analizy Informacji działających (w skrócie ISAC) w Polsce. Badanie pozwoliło poznać aktualny stan rozwoju ISACów, ich charakterystyki organizacyjnej, zakresu prowadzonej działalności oraz roli, jaką pełnią w krajowym ekosystemie cyberbezpieczeństwa.

Badanie służyło także identyfikacji głównych wyzwań, barier oraz potrzeb rozwojowych ISACów, w tym w obszarze współpracy z podmiotami Krajowego Systemu Cyberbezpieczeństwa, uwarunkowań legislacyjnych oraz dostępności wsparcia instytucjonalnego i finansowego. Zebrane dane miały stanowić podstawę do dalszej analizy porównawczej oraz formułowani wniosków dotyczących roli ISACów w Polsce.

W szczególności badanie ukierunkowane było na:

    • scharakteryzowanie istniejących modeli organizacyjnych i członkowskich ISACów;
    • określenie zakresu celów, działań i mechanizmów wymiany informacji stosowanych przez ISACi;
    • ocenę poziomu i form współpracy ISACów z podmiotami krajowego systemu cyberbezpieczeństwa;
    • identyfikację problemów napotykanych na różnych etapach rozwoju ISACów;
    • rozpoznanie potrzeb w zakresie zmian regulacyjnych, instytucjonalnych oraz finansowych.

Metodologia

Badanie zostało przeprowadzone w miesiącach styczeń-marzec 2026 roku i składało sie z 3 etapów. W styczniu, przeprowadzono wyszukiwanie informacji w publicznie dostępnych źródłach na temat organizacji typu ISAC funkcjonujących w Polsce. W wyniku tych czynności, zidentyfikowano 9 organizacji, które spełniały następujące kryteria:

a) określały się jako ISAC;

b) były już w pełni utworzone tj. posiadały członków i podejmowały aktywności lub były w procesie tworzenia;

c) spełniały przesłanki wskazane w przyjętej definicji[1].

Ze wszystkimi organizacjami skontaktowaliśmy się przez dostępne publicznie dane kontaktowe lub przez podmioty będące członkami danych ISACów. W trakcie kontaktu z ISACami uzyskaliśmy informację, że jeden z badanych ISACów jest w procesie podłączenia do innego ISACa. W związku z tym chęć udziału w badaniu wyraziło 8 organizacji i do nich przesłano uprzednio przygotowany kwestionariusz badawczy.

Konstrukcja kwestionariusza

Został on sporządzony w formie ankiety online, w języku polskim i składał się z 17 pytań głównych i 3 uszczegóławiających. Pytania zostały podzielone na następujące bloki tematyczne. W badaniu zastosowano zarówno pytania zamknięte, pozwalające na zebranie ustrukturyzowanych i porównywalnych danych, jak i pytania otwarte, które umożliwiły respondentom swobodne przedstawienie opinii oraz doświadczeń. Pytania 1-5 na temat charakterystyki organizacji, obejmujące formę organizacyjną, rodzaje i liczbę członków oraz warunki przystąpienia do ISACa. Kolejne 3 pytania na temat działalności operacyjnej, dotyczące głównych celów istnienia ISACa, prowadzonych działań, wykorzystywanych narzędzi komunikacji oraz poziomów poufności wymienianych informacji (Traffic Light Protocol). Kolejne 2 pytania na temat problemów i wyzwań, koncentrujące się na trudnościach występujących na etapie inicjowania i budowania ISACa oraz przewidywanych wyzwaniach w horyzoncie trzyletnim. Kwestionariusz zawierał również pytania na temat współpracy z podmiotami krajowego systemu cyberbezpieczeństwa, obejmujące zakres i formy współpracy z podmiotami KSC oraz przykłady najważniejszych wspólnych inicjatyw. Ostatnie pytania dotyczyły uwarunkowań legislacyjnych, instytucjonalnych i finansowych, w tym potrzebnych zmian prawnych, oczekiwanego wsparcia państwa oraz doświadczeń związanych z pozyskiwaniem finansowania krajowego i unijnego.

Zastosowanie pytań otwartych umożliwiło respondentom swobodne opisanie specyfiki funkcjonowania ich ISACów, co było szczególnie istotne ze względu na zróżnicowany poziom formalizacji i dojrzałości tych organizacji w Polsce.

Pełny tekst ankiety stanowi Załącznik 1 do tej publikacji.

Wyniki i wnioski 

Charakterystyka badanych ISACów

ISACi funkcjonujące w Polsce stanowią relatywnie młody element krajowego ekosystemu cyberbezpieczeństwa. Zebrane dane wskazują, że najstarsza z badanych organizacji została powołana w 2020 roku. Oznacza to, że rozwój ISACów w Polsce pozostaje na wczesnym etapie, a znaczna część organizacji wciąż znajduje się w fazie budowania swojej pozycji, procesów oraz modelu współpracy.

Badaniem objęto ISACi funkcjonujące lub będące w fazie rozwoju. Analiza odpowiedzi ankietowych pozwoliła na scharakteryzowanie ich podstawowych cech organizacyjnych, w tym formy działania, struktury członkowskiej oraz skali funkcjonowania.

Wyniki badania wskazują na istotne zróżnicowanie form organizacyjnych ISACów funkcjonujących w Polsce. Zróżnicowanie to nie wynika wyłącznie ze specyfiki sektorowej ani z preferencji założycieli poszczególnych inicjatyw, lecz odzwierciedla trudności związane z określeniem formy prawnej dla tego typu organizacji. Kwestia wyboru formy organizacyjno‑prawnej była wielokrotnie wskazywana przez respondentów jako jedno z kluczowych wyzwań napotkanych na etapie budowania ISACa.

Wszystkie ISACi objęte badaniem mają charakter sektorowy. Pomimo tego ukierunkowania, struktura członkostwa poszczególnych ISACów jest zróżnicowana i obejmuje różne typy podmiotów. Najczęściej wybieranymi kategoriami członków były przedsiębiorstwa z udziałem Państwa, wskazane przez czterech respondentów, oraz organy administracji rządowej, wskazane przez trzech respondentów. Istotną rolę w strukturze członkostwa odgrywają również ośrodki badawcze, które zostały wskazane trzykrotnie.

W strukturze członkostwa badanych ISACów, pojawiają się również przedsiębiorstwa prywatne oraz instytucje akademickie, które zostały wskazane przez po dwóch respondentów. Trzech respondentów wskazało opcję “inne” i wpisało tam podmioty działające bezpośrednio w sektorze reprezentowanym przez dany ISAC.

Wśród badanych ISACów dominują organizacje o niewielkiej i średniej liczbie uczestników. Obecnie najwięcej ISACów funkcjonujących w Polsce liczy od 6 do 15 członków. Odpowiedź ta została wskazana przez pięciu respondentów. Dwa ISACi zrzeszają od 16 do 30 członków, natomiast jeden z badanych ISACów funkcjonuje w formule bardzo ograniczonej liczby uczestników, tj. od 1 do 5 podmiotów.

Wszystkie badane ISACi wskazały działalność w określonym sektorze jako podstawowy i niezbędny warunek członkostwa. Dwie organizacje wskazały również, że wymogiem przystąpienia do ISACa jest byciem podmiotem krajowego systemu cyberbezpieczeństwa.

ISACi w Polsce funkcjonują jako organizacje o sektorowym charakterze, pozostające jednocześnie na wczesnym etapie rozwoju. Są to inicjatywy stosunkowo młode oraz niewielkie pod względem liczby członków.

Cele funkcjonowania i zakres działalności ISACów

Respondenci mieli wskazać trzy najważniejsze cele funkcjonowania ISACa, co umożliwiło określenie priorytetów oraz hierarchii podejmowanych przez nich działań. Wymiana informacji o cyberzagrożeniach i incydentach została wskazana przez wszystkich respondentów, co potwierdza, że jest to podstawowe i najważniejsze zadanie ISACów .

Czterokrotnie respondenci wskazali szkolenia i działania edukacyjne w zakresie cyberbezpieczeństwa, a także promowanie najlepszych praktyk w tej dziedzinie, co podkreśla rolę ISACów jako platform podnoszenia kompetencji i świadomości. Trzy wskazania dotyczyły zapewnienia wsparcia technicznego i eksperckiego dla członków, natomiast analiza cyberzagrożeń oraz koordynacja działań w przypadku incydentów zostały wskazane po dwa razy. Jeden z respondentów dopisał cel spoza listy odpowiedzi: wymiana informacji w zakresie nowych technologii oraz nowych rozwiązań prawnych i technicznych.

W pytaniu dotyczącym podejmowanych działań odpowiedzią wskazaną przez wszystkich respondentów była praca w grupach roboczych. Sześciokrotnie wskazywano wspólne szkolenia, a czterokrotnie organizację konferencji oraz wspólne ćwiczenia. Pokazuje to, że oprócz wymiany i analizy informacji ISACi mają edukacyjny charakter. Trzykrotnie respondenci wskazali działania polegające na reprezentowaniu interesów sektora w kontaktach zewnętrznych oraz organizację spotkań integracyjnych, co wskazuje na potrzebę wzmacniania relacji i zaufania pomiędzy uczestnikami. Działania analityczne, takie jak przygotowywanie raportów lub analiz pojawiły się w jednej odpowiedzi.

W kategorii „inne” respondenci wskazywali m.in. wymianę dobrych praktyk i doświadczeń, organizację warsztatów i spotkań dotyczących wdrażania rozwiązań technicznych poprawiających bezpieczeństwo oraz tworzenie standardów cyberbezpieczeństwa dla określonego sektora.

Deklarowane cele oraz realizowane działania pokazują, że badane ISACi pełnią przede wszystkim rolę sektorowych platform współpracy, koncentracji wiedzy i wymiany informacji. Jednocześnie zróżnicowanie mniej dominujących celów i aktywności może świadczyć o poszukiwaniu przez ISACi własnego modelu rozwoju.

Narzędzia komunikacji oraz poziomy poufności wymiany informacji

Badane ISACi wykorzystują podstawowe i uniwersalne kanały komunikacji. Wszyscy respondenci wskazali korzystanie z poczty elektronicznej, organizację spotkań stacjonarnych oraz spotkań online. Oprócz powyższych narzędzi komunikacji ankietowani mieli do wyboru: strona internetowa, która została wskazana przez 4 respondentów, komunikatory szyfrowane wskazane przez 3 respondentów oraz komunikatory nieszyfrowane, które nie zostały wskazane przez żaden z badanych ISACów.

Respondenci zostali również zapytani o poziom poufności wymienianych informacji, zgodnie z oznaczeniami Traffic Light Protocol (TLP). Analiza odpowiedzi ankietowych wskazuje na zróżnicowane podejście ISACów do stosowania protokołu TLP. Wśród respondentów najczęściej wykorzystywanym poziomem poufności jest TLP:AMBER, wskazywany samodzielnie lub w połączeniu z innymi poziomami. Część ISACów deklarowała stosowanie kilku poziomów. Natomiast dwóch respondentów zadeklarowało brak stosowania protokołu TLP.

Wyzwania i trudności

Analiza odpowiedzi ankietowanych pozwala na identyfikację wyzwań stojących przed ISACami w Polsce, zarówno w perspektywie działalności w najbliższych latach, jak i w kontekście doświadczeń z faz poszukiwania oraz budowania tych organizacji.

Respondenci zostali zapytani o dostrzegane przez nich wyzwania dla działalności w ciągu kolejnych 3 lat. Analiza odpowiedzi wskazuje, że wyzwania stojące przed ISACami charakter wielowymiarowy i obejmują zarówno czynniki zewnętrzne, wynikające z dynamicznie zmieniającego się otoczenia cyberbezpieczeństwa, jak i wyzwania wewnętrzne, związane z rozwojem organizacyjnym.

Jednym z najczęściej wskazywanych wyzwań dla funkcjonowania ISAców jest rosnąca ilość i złożoność cyberzagożeń. Respondenci w szczególności zwracali uwagę na wzrost liczby ataków skierowanych na środowiska OT oraz na dostawców usług i technologii, co znacznie wpływa na bezpieczeństwa łańcucha dostaw. W tym kontekście tradycyjne podejście oparte wyłącznie na wymianie podstawowych informacji na temat incydentów okazuje się niewystarczające, a rosnącą rolę odgrywa potrzeba bardziej zaawansowanej wymiany wiedzy dotyczącej metod działania przeciwników. Respondenci wskazali również na potrzebę wdrażania rozwiązań usprawniających kontakt między członkami ISACa. Istotnym wyzwaniem pozostaje także presja regulacyjna, wynikająca z równoległego wdrażania wielu aktów prawnych z obszaru cyberbezpieczeństwa oraz konieczności ich pogodzenia z sektorowymi regulacjami. Złożoność i tempo zmian regulacyjnych wymagają od ISACów większego zaangażowania w interpretację przepisów, wsparcie członków we wdrażaniu wymogów oraz reprezentowanie interesów sektorów wobec regulatorów.

W obszarze rozwoju wewnętrznego znaczącym wyzwaniem jest formalizacja i dalsze skalowanie ISACów. Część organizacji znajduje się w trakcie procesu formalizacji swojej działalności lub zmian formy prawnej. Jednocześnie respondenci wskazywali na odmienne podejścia do skalowania, od aktywnego poszukiwania nowych członków i rozszerzania grona uczestników, po świadome wstrzymywanie wzrostu, aby zachować kontrolę nad procesami organizacyjnymi i jakością współpracy. Respondenci zwrócili również uwagę na zróżnicowany poziom dojrzałości członków ISACów w zakresie cyberbezpieczeństwem, co przekłada się na różne oczekiwania wobec roli i zakresu działań ISACa. W tym kontekście jako istotne wyzwania wskazywano rozwój kompetencji, działania edukacyjne oraz angażowanie członków we wspólne ćwiczenia i inicjatywy podnoszące poziom cyberbezpieczeństwa.

Część respondentów postrzega wyzwania również jako kierunki potencjalnego rozwoju ISACów. Wskazywano m.in. na potrzebę organizacji wspólnych Centrów Operacji Bezpieczeństwa (SOC), wzajemne audytowanie podmiotów, wspólne pozyskiwanie środków finansowych na rozwój cyberbezpieczeństwa, a także współpracę z CSIRT‑ami. Podnoszono także znaczenie nawiązywania współpracy z międzynarodowymi ISACami.

Jeden z badanych ISACów nie identyfikuje istotnych wyzwań dla dalszej działalności w perspektywie trzech lat, wskazując na stabilność aktualnego modelu funkcjonowania oraz realizację działań zgodnie z przyjętymi zasadami i zapisami statutowymi.

Współpraca ISACów z podmiotami krajowego systemu cyberbezpieczeństwa

Sześć ISACów podejmuje współpracę z podmiotami krajowego systemu cyberbezpieczeństwa, natomiast dwa wskazały, że nie realizują obecnie działań w tym zakresie. Wśród ISACów deklarujących współpracę z podmiotami KSC dominującą formą aktywności jest wymiana informacji, obejmująca przekazywanie danych o zagrożeniach, incydentach oraz podatnościach. Istotnym elementem współpracy są również działania o charakterze ćwiczeniowym i szkoleniowym, np. organizacja szkoleń, konferencji czy spotkań poświęconych wymianie doświadczeń. Wskazuje to na postrzeganie ISACów jako platform wspierających budowanie kompetencji i gotowości operacyjnej w sektorach. Kolejnym obszarem współpracy jest udział ISACów w działaniach o charakterze rozwojowym i koncepcyjnym, takich jak prace nad dobrymi praktykami wdrażania wymogów KSC czy działania związane z opracowywaniem wytycznych sektorowych.

Potrzeby zmian legislacyjnych w zakresie funkcjonowania ISACów

Respondenci zwracali uwagę na potrzebę formalnego ujęcia ISACów w krajowych ramach prawnych. Połowa odpowiedzi wskazywało na konieczność usankcjonowania zadań oraz roli ISACów jako podmiotów wspierających funkcjonowanie krajowego systemu cyberbezpieczeństwa. W tym kontekście pojawiały się także postulaty dotyczące zapewnienia stabilnego wsparcia finansowego dla działalności ISACów poprzez rozwiązania systemowe.

Wsparcie ze strony instytucji państwowych

Odpowiedzi respondentów pokazuje, że oczekiwania ISACów wobec wsparcia ze strony instytucji państwowych koncentrują się wokół dwóch głównych obszarów: wsparcia finansowego oraz dostępu do informacji i kompetencji.

Najczęściej wskazywanym obszarem oczekiwanego wsparcia jest finansowanie działalności ISACów. Respondenci zwracali uwagę na brak dedykowanych mechanizmów finansowych w obowiązujących przepisach, co powoduje, że funkcjonowanie ISACów opiera się na zaangażowaniu czasowym i organizacyjnym ich uczestników. Wśród postulowanych form wsparcia pojawiały się możliwości dofinansowania projektów realizowanych przez ISACi, takich jak organizacja ćwiczeń sektorowych, szkoleń, warsztatów czy budowa i utrzymanie platform wymiany informacji.

Drugim istotnym obszarem jest dostęp do informacji oraz budowanie kompetencji. Respondenci wskazywali na potrzebę zapewnienia ISACom dostępu do informacji o zagrożeniach i podatnościach gromadzonych przez CSIRT‑y poziomu krajowego oraz CSIRT‑y sektorowe, w szczególności w wymiarze operacyjnym. Równocześnie podkreślano znaczenie szkoleń i działań edukacyjnych prowadzonych przez instytucje państwowe, adresowanych zarówno do kadry zarządzającej, jak i do zespołów operacyjnych podmiotów uczestniczących w ISACach. Jednocześnie dwa ISACi na obecnym etapie funkcjonowania nie identyfikują potrzeb w tym zakresie.

ISACi w Polsce 

Podsumowanie 

ISAC pozostają dobrowolnym, opartym na zaufaniu mechanizmem współpracy sektorowej, który w nowej architekturze krajowego systemu cyberbezpieczeństwa zyskuje znaczenie komplementarne wobec ustawowych obowiązków podmiotów kluczowych i ważnych. Skala zmiany jest wyraźna: o ile w 2020 r. w Polsce funkcjonował jeden sektorowy ISAC, o tyle na 2026 r. jest ich osiem, a ekosystem cechuje rosnące zróżnicowanie modeli organizacyjnych i finansowych.

Z powyższego przeglądu płyną trzy wnioski. Po pierwsze — ISAC i CSIRT sektorowy pełnią funkcje odmienne, lecz wzajemnie się uzupełniające: CSIRT sektorowy realizuje ustawowo zdefiniowaną obsługę incydentów, którego funkcjonowanie organ właściwy zapewnia z mocy art. 44 ust. 1 KSC, podczas gdy ISAC pozostaje forum dobrowolnej wymiany wiedzy, analiz i dobrych praktyk, znajdujące wyraźną podstawę prawną w art. 8h znowelizowanej ustawy (transponującym art. 29 dyrektywy NIS 2). Po drugie — otoczenie regulacyjne (NIS 2 i KSC 2.0, art. 45 rozporządzenia DORA, a także CRA) tworzy coraz silniejsze zachęty do uczestnictwa w mechanizmach wymiany informacji, a w sektorze finansowym uczestnictwo w ISAC wprost ułatwia wykazanie zgodności z wymogami DORA. Po trzecie — wartość ISAC nie wynika ze stopnia formalizacji, lecz z adekwatności do potrzeb sektora: model dojrzałości NASK PIB służy jako narzędzie samooceny, a nie test, który należy zaliczyć, zaś operacyjnym standardem wymiany pozostaje pakiet TLP + MISP + STIX/TAXII.

Sieć dobrze funkcjonujących ISAC to ważny element krajowej odporności cybernetycznej; uzupełnia formalne kanały sprawozdawcze o szybką, opartą na zaufaniu wymianę wiedzy sektorowej. NASK PIB, w ramach Programu Partnerstwo dla Cyberbezpieczeństwa, wspiera tworzenie i rozwój ISAC poprzez doradztwo, udostępnienie platformy wymiany informacji, szkolenia i ćwiczenia oraz networking z polskimi i europejskimi centrami.

  1. Poradnik-NASK-na-temat-tworzenia-ISAC.pdf

Materiał przygotowany przez:

TAGI Dobre praktyki, ISACs, Polska, Prawo,