Rola i constituency CSIRT NASK w krajowym systemie cyberbezpieczeństwa po nowelizacji KSC 2.0


Paulina Popow

Piotr Słowiński

Publikacja wyraża jedynie poglądy autora/ów i nie może być utożsamiana z oficjalnym stanowiskiem Ministerstwa Cyfryzacji.

Spis treści

1. Wstęp

2. Constituency CSIRT NASK w architekturze KSC 2.0

2.1. Zakres właściwości CSIRT NASK

3. Architektura kompetencji i relacje koordynacyjne

3.1. CSIRT NASK wobec CSIRT MON i CSIRT GOV

3.2. CSIRT NASK wobec CSIRT sektorowych

3.3. CSIRT NASK wobec sektora finansowego (KSC a DORA)

3.4. CSIRT NASK jako koordynator skoordynowanego ujawniania podatności (CVD)

4. Mechanizmy operacyjne — przykłady działania architektury KSC 2.0

4.1. Przykład A — incydent ponadsektorowy w sektorze publicznym

4.2. Przykład B — incydent sektorowy o potencjale eskalacji

4.3. Przykład C — incydent transgraniczny i aktywacja Sieci CSIRT UE

5. Praktyczne aspekty współpracy z CSIRT NASK

5.1. Zgłaszanie incydentów — terminy, kanały, obowiązki

5.2. System teleinformatyczny S46

5.3. Mapa decyzyjna — do którego CSIRT skierować zgłoszenie?

6. Obszary wyzwań operacyjnych

6.1. Skala i heterogeniczność constituency a zdolności operacyjne

6.2. Infrastruktura krytyczna a podmiot kluczowy

6.3. KSC i DORA — praktyka wdrożenia

6.4. Reklasyfikacja i koordynacja na styku CSIRT NASK – CSIRT sektorowe

6.5. Skoordynowane ujawnianie podatności (CVD) — granice kompetencji i ochrony zgłaszającego

6.6. Operacjonalizacja Krajowego planu i gotowość do eskalacji transgranicznej

7. Podsumowanie i wnioski

Wstęp

Ustawa z dnia 23 stycznia 2026 r. o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw, implementująca dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS 2)[1], weszła w życie 3 kwietnia 2026 r. Nowelizacja przebudowuje zarówno przedmiotowy, jak i podmiotowy zakres krajowego systemu cyberbezpieczeństwa (dalej: KSC), odchodząc od dotychczasowego, punktowego modelu opartego na enumeratywnym przypisaniu operatorów usług kluczowych i dostawców usług cyfrowych na rzecz powszechnego, sektorowego podejścia opartego na dwóch kategoriach: podmiotów kluczowych i podmiotów ważnych. Status regulacyjny podmiotu jest odtąd funkcją zarówno przynależności sektorowej (załączniki nr 1 i 2 do ustawy), jak i wielkości przedsiębiorcy, przy czym szereg podmiotów uzyskuje status podmiotu kluczowego niezależnie od rozmiaru (art. 5 ust. 1 pkt 4 KSC), w tym podmioty krytyczne w rozumieniu dyrektywy CER[2].

Spośród podmiotów dotkniętych tą zmianą szczególną pozycję zajmuje CSIRT NASK — jeden z trzech zespołów reagowania na incydenty bezpieczeństwa komputerowego działających na poziomie krajowym. Nowelizacja nie redefiniuje formalnie jego statusu: ustawa zachowuje trójpodziałowy model CSIRT poziomu krajowego (art. 4 pkt 3–5 KSC, obejmujący CSIRT MON, CSIRT NASK i CSIRT GOV). Jednocześnie rola operacyjna CSIRT NASK ulega znacznemu poszerzeniu — za sprawą dwóch mechanizmów: po pierwsze, znacznego rozszerzenia zakresu właściwości poprzez wzrost liczby podmiotów kluczowych i ważnych w sektorach cywilnych; po drugie, wprowadzenia CSIRT sektorowych jako nowego elementu systemu, wobec których CSIRT NASK pełni funkcję koordynacyjną i eskalacyjną.

Niniejsze opracowanie ma charakter informacyjno-analityczny i adresowane jest do szerokiego grona podmiotów krajowego systemu cyberbezpieczeństwa — w szczególności podmiotów kluczowych i ważnych, organów właściwych do spraw cyberbezpieczeństwa, CSIRT sektorowych, a także środowisk akademickich i eksperckich. W części 2. zrekonstruowano zakres właściwości (constituency) CSIRT NASK w architekturze KSC 2.0 oraz logikę jego wyznaczania; w części 3. omówiono architekturę kompetencji i relacje koordynacyjne wobec pozostałych CSIRT poziomu krajowego, CSIRT sektorowych oraz sektora finansowego; w części 4. przedstawiono mechanizmy operacyjne na trzech przykładach scenariuszowych; w części 5. — praktyczne aspekty współpracy z CSIRT NASK; a w części 6. zidentyfikowano główne obszary wyzwań operacyjnych dalszego rozwoju systemu.

Constituency CSIRT NASK w architekturze KSC 2.0

Zakres właściwości CSIRT NASK nie wynika z pozytywnej listy podmiotów, lecz ze stosowania logiki właściwości negatywnej. Artykuł 26 ust. 6 KSC określa, że CSIRT NASK koordynuje obsługę incydentów zgłaszanych przez podmioty, które nie zostały przypisane do domeny CSIRT MON (podmioty podległe lub nadzorowane przez Ministra Obrony Narodowej, art. 26 ust. 5 KSC) ani do CSIRT GOV (organy administracji rządowej, infrastruktura krytyczna wskazana w art. 26 ust. 7 KSC, incydenty o charakterze terrorystycznym).

Mechanizm ten generuje grupę podmiotów objętych właściwością CSIRT NASK — w środowisku CSIRT określaną pojęciem operacyjnym constituency — o charakterze horyzontalnym, heterogenicznym i zróżnicowanym pod względem zdolności operacyjnych. Wskazanie zakresu właściwości CSIRT NASK wynika zatem z interpretacji systemowej art. 26 ust. 5–8 KSC, a nie z jednego pozytywnego przepisu.

Należy także zaznaczyć, że constituency CSIRT NASK obejmuje podmioty o różnej dojrzałości cyberbezpieczeństwa. Konsekwencją jest konieczność wypracowania zróżnicowanych modeli obsługi podmiotów — adekwatnych do ich zdolności operacyjnych i specyfiki sektorowej.

Zakres właściwości CSIRT NASK

Art. 26 ust. 6 pkt 1 KSC wskazuje główne kategorie podmiotów wchodzących w skład constituency CSIRT NASK.

  • Jednostki sektora finansów publicznych (lit. a, aa): jednostki budżetowe wszystkich szczebli, samorządowe zakłady budżetowe, agencje wykonawcze, państwowe fundusze celowe, SP ZOZ, uczelnie publiczne, PAN, państwowe i samorządowe instytucje kultury, a także urzędy obsługujące jednostki sektora finansów publicznych.
  • Jednostki podległe organom administracji rządowej (lit. b): urzędy centralne i agencje nieobjęte domeną MON i GOV.
  • Podmioty zaplecza badawczo-rozwojowego (lit. c–g): instytuty badawcze, międzynarodowe instytuty badawcze, Sieć Badawcza Łukasiewicz, UDT, PCA, NFOŚiGW oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej (WFOŚiGW).
  • Spółki prawa handlowego użyteczności publicznej (lit. h): spółki komunalne, spółki Skarbu Państwa (z wyłączeniem infrastruktury krytycznej pod CSIRT GOV).
  • Klauzula generalna podmiotów kluczowych i ważnych (lit. j): dostawcy infrastruktury cyfrowej, usług zarządzanych (MSP/MSSP), transport, sektor chemiczny, żywnościowy, odpadowy oraz organizacje badawcze.
  • Osoby fizyczne i inne podmioty (lit. k, l): zgłoszenia od obywateli, obsługiwane po podmiotach kluczowych i ważnych, z zachowaniem priorytetu wśród zgłoszeń obywatelskich.

Trzy kategorie wymagają komentarza interpretacyjnego. Sektor finansów publicznych — kategoria o największej skali i heterogeniczności. Włączenie do niej szpitali, uczelni, a z drugiej strony małych gminnych bibliotek tworzy wyzwanie skali. Ustawodawca łagodzi je poprzez możliwość tworzenia samorządowych jednostek obsługujących w obszarze cyberbezpieczeństwa (art. 16e KSC), które mogą realizować obowiązki za mniejsze podmioty publiczne, ułatwiając tym samym komunikację z systemem i CSIRT NASK. Klauzula generalna z lit. j — główne źródło wzrostu constituency. Przepis ten obejmuje dziesiątki nowych podmiotów (np. gospodarka odpadami, chemikalia) zmuszonych nowelizacją do wdrożenia rygorów NIS 2. Osoby fizyczne (lit. l) — najszerszy społecznie zasięg. Obsługa realizowana operacyjnie przez serwis Incydent.cert.pl podkreśla pozycję CSIRT NASK jako punktu styku dla obywateli.

03_constituency_NASK.png

Rys. 1. Kategorie podmiotów objętych właściwością CSIRT NASK (art. 26 ust. 6 pkt 1 KSC).

Architektura kompetencji i relacje koordynacyjne

CSIRT NASK wobec CSIRT MON i CSIRT GOV

Trzy CSIRT poziomu krajowego zapewniają koordynację obsługi zgłoszonych incydentów i przeciwdziałanie zagrożeniom o charakterze ponadsektorowym (art. 26 ust. 1 KSC). W przypadku stanów nadzwyczajnych (stan wojenny, czas wojny) koordynację nad CSIRT NASK i CSIRT GOV przejmuje CSIRT MON (art. 26 ust. 1a KSC), co nadaje koordynacyjnej roli NASK wyraźny charakter cywilno-pokojowy.

CSIRT NASK wobec CSIRT sektorowych

KSC 2.0 ustanawia CSIRT sektorowe jako zespół „pierwszego kontaktu” dla danych branż. Ustawa konstruuje przy tym mechanizm, w którym CSIRT poziomu krajowego (w tym NASK) posiada kompetencję do klasyfikowania incydentów jako incydenty krytyczne (art. 2 pkt 6 KSC), co pozwala mu przejąć koordynację nad zdarzeniami o najwyższej skali z rąk CSIRT sektorowych. Z perspektywy efektywności kluczowe jest, by ewentualna reklasyfikacja uwzględniała wiedzę i ekspertyzę CSIRT sektorowego.

CSIRT NASK wobec sektora finansowego (KSC a DORA)

Nowelizacja z 2026 r. wprost rozwiązuje kwestię zbiegu reżimów regulacyjnych KSC i rozporządzenia DORA[3] poprzez art. 8i KSC. Zgodnie z ustawą oraz wykładnią Ministerstwa Cyfryzacji, do podmiotów kluczowych i ważnych z sektora bankowości i infrastruktury rynków finansowych nie stosuje się wymogów KSC dotyczących SZBI ani zgłaszania poważnych incydentów, oddając prymat rygorom DORA. CSIRT NASK (obok CSIRT GOV) zachowuje jednak istotne kompetencje operacyjne — na mocy odpowiednio stosowanych przepisów współpracuje i wymienia informacje z właściwym organem nadzoru (KNF), udziela wsparcia w obsłudze incydentów w miarę możliwości oraz koordynuje kwestie związane z tzw. kluczowymi dostawcami usług zewnętrznych ICT.

CSIRT NASK jako koordynator skoordynowanego ujawniania podatności (CVD)

W przeciwieństwie do podzielonego constituency przy obsłudze incydentów, ustawa powierza wyłącznie CSIRT NASK funkcję koordynatora na potrzeby skoordynowanego ujawniania podatności (CVD) na poziomie całego kraju. Zgodnie z art. 26a ust. 1 i 5 KSC, CSIRT NASK przyjmuje informacje o podatnościach, identyfikuje ich dostawców i koordynuje dialog w celu naprawy bezpieczeństwa, co znacząco wykracza poza jego dotychczasową właściwość podmiotową. Funkcja ta ma również bezpośrednie przełożenie transgraniczne — CSIRT NASK współpracuje z CSIRT innych państw UE przy podatnościach mających wpływ na podmioty w całej Europie.

Mechanizmy operacyjne — przykłady działania architektury KSC 2.0

Przykład A — incydent ponadsektorowy w sektorze publicznym

Stan faktyczny: Atak ransomware uderza w SP ZOZ oraz regionalne centrum przetwarzania danych obsługujące urząd marszałkowski.

Działanie: Choć podmioty te należą do właściwości CSIRT NASK, ich charakter zagraża usługom o potencjale infrastruktury krytycznej (która należy pod nadzór CSIRT GOV). W takich przypadkach KSC 2.0 wprowadza „bezpiecznik operacyjny” (art. 26 ust. 8 KSC): jeśli CSIRT NASK po otrzymaniu zgłoszenia uzna, że dany incydent faktycznie dotyczy infrastruktury krytycznej leżącej w domenie CSIRT GOV, ma ustawowy obowiązek niezwłocznie przekazać to zgłoszenie do CSIRT GOV. Ogranicza to ryzyko sporów o kompetencje w pierwszych godzinach ataku.

Przykład B — incydent sektorowy o potencjale eskalacji

Stan faktyczny: Kampania celowana w systemy uczelni publicznych wykrada dane badawcze o podwójnym zastosowaniu (cywilno-wojskowym).

Działanie: Uczelnia zgłasza incydent do CSIRT sektorowego właściwego dla nauki. Wyciek informacji kluczowych dla obronności może powodować zmianę kwalifikacji na incydent krytyczny lub aktywację właściwości CSIRT MON. Efektywność zarządzania tym procesem wymaga wypracowanych protokołów konsultacyjnych gwarantujących wymianę wiedzy pomiędzy CSIRT NASK a zespołem sektorowym i MON (art. 26 ust. 4 KSC).

Przykład C — incydent transgraniczny i aktywacja Sieci CSIRT UE

Stan faktyczny: Ataki DDoS na polskiego dostawcę usług zarządzanych (MSP), odcinające dostęp do sieci przesyłowych energii w kilku krajach UE.

Działanie: Incydent uruchamia zaangażowanie CSIRT NASK (ze względu na podmiot MSP), Pojedynczy Punkt Kontaktowy, Krajowy plan reagowania oraz Sieć CSIRT UE. Skuteczność zależy tu od pełnego wdrożenia Krajowego planu reagowania na incydenty na dużą skalę.

01_mapa_decyzyjna_CSIRT.png

Rys. 2. Mapa decyzyjna — wybór właściwego CSIRT poziomu krajowego.

Praktyczne aspekty współpracy z CSIRT NASK

Zgłaszanie incydentów — terminy, kanały, obowiązki

Model obsługi incydentu poważnego zakłada trzyetapowe zgłoszenie (art. 11 KSC):

  • Wczesne ostrzeżenie: do 24 godzin od wykrycia.
  • Zgłoszenie pełne: do 72 godzin od wykrycia.
  • Sprawozdanie końcowe: do 1 miesiąca od zgłoszenia pełnego.

Kręgosłupem tej koncepcji będzie S46 jako centralny węzeł krajowego systemu cyberbezpieczeństwa obsługiwany w dużej mierze za pośrednictwem infrastruktury NASK. Służy on do zgłaszania incydentów, obsługi wykazu, odbierania ostrzeżeń oraz wymiany informacji.

Ważnym aspektem praktycznym są w tym obszarze okresy przejściowe. Zgodnie z wytycznymi Ministerstwa Cyfryzacji, podmioty kluczowe i ważne mają 12 miesięcy od dnia spełnienia przesłanek na wdrożenie SZBI oraz podłączenie się do systemu S46. Dla podmiotów istniejących i klasyfikujących się do wykazu w momencie wejścia w życie nowelizacji, termin na realizację kluczowych procedur bezpieczeństwa to 3 kwietnia 2027 r., a na pierwszy audyt (w przypadku podmiotów kluczowych) — 3 kwietnia 2028 r.

02_os_czasu_terminy.png

Rys. 3. Terminy przejściowe oraz cykl zgłoszenia incydentu poważnego.

System teleinformatyczny S46

Mapa decyzyjna — do którego CSIRT skierować zgłoszenie?

Charakterystyka podmiotu zgłaszającego / incydentu

Właściwy CSIRT poziomu krajowego

Administracja rządowa, organy nadzoru, obiekty infrastruktury krytycznej (IK)

CSIRT GOV (art. 26 ust. 7 KSC)

Podmioty nadzorowane przez MON, sektor zbrojeniowy

CSIRT MON (art. 26 ust. 5 KSC)

Jednostki finansów publicznych (JST, uczelnie, SP ZOZ), urzędy obsługujące jednostki s.f.p., jednostki organizacyjne j.s.t.

CSIRT NASK (art. 26 ust. 6 pkt 1 lit. a, aa KSC)

Instytuty badawcze, międzynarodowe instytuty badawcze, Sieć Badawcza Łukasiewicz, UDT, PCA, NFOŚiGW, WFOŚiGW

CSIRT NASK (art. 26 ust. 6 pkt 1 lit. c–g KSC)

Spółki komunalne i użyteczności publicznej

CSIRT NASK (art. 26 ust. 6 pkt 1 lit. h KSC)

Pozostałe podmioty kluczowe i ważne (w tym firmy komercyjne, dostawcy cyfrowi) nienależące do GOV/MON

CSIRT NASK (art. 26 ust. 6 pkt 1 lit. j KSC)

Skoordynowane ujawnianie podatności (CVD) — cały system

CSIRT NASK (art. 26a KSC)

W sprawach branżowych incydenty najpierw raportowane są do właściwego dla branży CSIRT sektorowego, który przekazuje je do CSIRT poziomu krajowego.

CSIRT NASK — oprócz nadzoru i koordynacji — publikuje komunikaty, udostępnia wskaźniki kompromitacji (IOC) i współtworzy mechanizmy takie jak ISAC (Information Sharing and Analysis Center), ujęte w ramach Partnerstwa dla Cyberbezpieczeństwa.

Obszary wyzwań operacyjnych

Skala i heterogeniczność constituency a zdolności operacyjne

Najpoważniejszym wyzwaniem nie jest zmiana zadań CSIRT NASK, lecz skokowy wzrost podstawy podmiotowej, którą zespół ten obsługuje na zasadzie właściwości negatywnej. Constituency obejmuje podmioty skrajnie zróżnicowane pod względem dojrzałości — od dużych jednostek sektora finansów publicznych i instytutów badawczych, dysponujących własnymi komórkami bezpieczeństwa, po małe podmioty publiczne (np. gminne biblioteki czy samorządowe instytucje kultury), dla których obowiązki NIS 2 stanowią zupełnie nową rzeczywistość regulacyjną. Konsekwencją jest konieczność wypracowania zróżnicowanych modeli obsługi, adekwatnych do zdolności operacyjnych i specyfiki sektorowej poszczególnych grup, a także zapewnienia masowego, sprawnego podłączenia tych podmiotów do systemu S46 (art. 46 KSC) w okresach przejściowych. Ustawodawca częściowo łagodzi to wyzwanie, dopuszczając tworzenie samorządowych jednostek obsługujących w obszarze cyberbezpieczeństwa (art. 16e KSC), realizujących obowiązki za mniejsze podmioty publiczne — skuteczność tego rozwiązania zależeć będzie jednak od skali jego rzeczywistego wykorzystania.

Infrastruktura krytyczna a podmiot kluczowy

W systemie prawnym nie funkcjonuje ścisłe rozgraniczenie pojęcia incydentu dla podmiotu kluczowego (dyrektywa NIS 2) oraz podmiotu krytycznego/infrastruktury krytycznej (dyrektywa CER). Prawidłowe zastosowanie dyspozycji art. 26 ust. 8 KSC, dotyczącego przekazywania incydentów IK przez CSIRT NASK do CSIRT GOV, będzie wymagało stałej aktualizacji i szybkiej wymiany wiedzy operacyjnej.

KSC i DORA — praktyka wdrożenia

Dodanie art. 8i KSC wprost rozwiązuje zbieg norm, nadając sektorowi bankowemu i finansowemu prymat regulacyjny wymogów DORA (w tym w zakresie rygorów audytu i SZBI). Wyzwaniem pozostaje zorganizowanie płynnych przepływów operacyjnych między KNF a CSIRT NASK i CSIRT GOV w zakresie zarządzania wiedzą o incydentach finansowych i analizy ryzyk powiązanych dostawców usług.

Reklasyfikacja i koordynacja na styku CSIRT NASK – CSIRT sektorowe

Wprowadzenie CSIRT sektorowych jako zespołów „pierwszego kontaktu” tworzy nową, dwupoziomową strukturę obsługi incydentów, w której CSIRT poziomu krajowego — w tym CSIRT NASK — zachowuje kompetencję do klasyfikowania incydentów jako krytyczne oraz do zmiany ich klasyfikacji (art. 26 ust. 3 pkt 6 i 7 KSC). Mechanizm ten pozwala przejąć koordynację nad zdarzeniami o najwyższej skali, rodzi jednak ryzyko sporów kompetencyjnych oraz „odbierania” spraw zespołom sektorowym bez wykorzystania ich wiedzy branżowej. Skuteczność tego mechanizmu zależy od tego, czy reklasyfikacja uwzględni wiedzę branżową zespołu sektorowego, co wymaga uprzedniego wypracowania protokołów konsultacyjnych i sposobów współdziałania, do których ustawa wprost zobowiązuje CSIRT poziomu krajowego we współpracy z zespołami sektorowymi (art. 26 ust. 4 KSC). W braku takich protokołów istnieje ryzyko, że w pierwszych — najbardziej krytycznych — godzinach incydentu współpraca będzie kształtowana ad hoc.

Skoordynowane ujawnianie podatności (CVD) — granice kompetencji i ochrony zgłaszającego

Powierzenie wyłącznie CSIRT NASK funkcji koordynatora skoordynowanego ujawniania podatności na poziomie kraju (art. 26a KSC) wyraźnie wykracza poza jego dotychczasową właściwość podmiotową i czyni zeń centralny punkt styku dla badaczy oraz dostawców rozwiązań. Praktyczna skuteczność tego mechanizmu napotyka jednak dwa ograniczenia. Po pierwsze, polski model — podobnie jak rozwiązania przyjęte w większości państw członkowskich — nie ustanawia wyraźnej „bezpiecznej przystani” (safe harbour) chroniącej działającego w dobrej wierze badacza przed odpowiedzialnością prawną za czynności podjęte w toku identyfikacji podatności, co może zniechęcać do zgłoszeń. Po drugie, transgraniczny charakter podatności (współpraca z CSIRT innych państw UE i Siecią CSIRT) wymaga sprawnych ścieżek wymiany informacji, których przepustowość zależy od dojrzałości procedur operacyjnych, a nie wyłącznie od podstawy ustawowej.

Operacjonalizacja Krajowego planu i gotowość do eskalacji transgranicznej

Najpoważniejsze scenariusze — incydenty krytyczne i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę — uruchamiają mechanizmy wykraczające poza rutynową obsługę zgłoszeń: Pojedynczy Punkt Kontaktowy, Krajowy plan reagowania na incydenty i sytuacje kryzysowe na dużą skalę (art. 72a KSC) oraz Sieć CSIRT UE. Skuteczność reakcji w takich przypadkach zależy nie od pojedynczych przepisów kompetencyjnych, lecz od pełnego wdrożenia Krajowego planu oraz od przećwiczenia ról poszczególnych organów odpowiedzialnych za zarządzanie kryzysowe w wymiarze cywilnym i militarnym. Dla CSIRT NASK oznacza to konieczność utrzymywania gotowości do płynnego przejścia z trybu koordynacji bieżącej do trybu zarządzania kryzysowego, w tym do współdziałania z CSIRT MON, na który — w czasie stanu wojennego lub wojny — przechodzi koordynacja działań (art. 26 ust. 1a KSC).

Podsumowanie i wnioski

Nowelizacja KSC z 2026 r. nie zmienia formalnej pozycji CSIRT NASK, lecz przekształca jego wymiar operacyjny. Zachowanie trójpodziałowego modelu CSIRT poziomu krajowego przy jednoczesnym przejściu na model podmiotów kluczowych i ważnych sprawia, że to właśnie CSIRT NASK — jako zespół właściwy na zasadzie właściwości negatywnej — przejmuje ciężar obsługi najliczniejszego i najbardziej heterogenicznego constituency w systemie: od jednostek sektora finansów publicznych, przez zaplecze badawczo-rozwojowe i spółki użyteczności publicznej, po podmioty objęte klauzulą generalną oraz zgłoszenia osób fizycznych.

Analiza prowadzi do dwóch zasadniczych wniosków. Po pierwsze, rzeczywistym źródłem wzrostu obciążenia CSIRT NASK nie jest zmiana jego zadań, lecz radykalne poszerzenie podstawy podmiotowej — przede wszystkim za sprawą klauzuli generalnej (art. 26 ust. 6 pkt 1 lit. j KSC) oraz objęcia rygorami NIS 2 sektorów dotychczas pozostających poza systemem. Po drugie, ustawa wyposaża CSIRT NASK w wyłączną funkcję koordynatora skoordynowanego ujawniania podatności (CVD) na poziomie krajowym, z bezpośrednim przełożeniem transgranicznym, oraz rolę koordynacyjną i eskalacyjną wobec nowo ustanowionych CSIRT sektorowych. regulacyjnych z sektorem finansowym na rzecz prymatu rozporządzenia DORA (art. 8i KSC).

Skuteczność nowej architektury pozostaje jednak uzależniona od rozstrzygnięć o charakterze praktycznym, a nie wyłącznie normatywnym. Decydujące znaczenie będą miały: wypracowanie zróżnicowanych modeli obsługi podmiotów adekwatnych do ich dojrzałości i zdolności operacyjnych (w tym wsparcie najmniejszych podmiotów publicznych poprzez samorządowe jednostki obsługujące zgodnie z art. 16e KSC), ustanowienie protokołów konsultacyjnych ograniczających ryzyko sporów kompetencyjnych przy reklasyfikacji incydentów na styku CSIRT NASK, CSIRT sektorowych i CSIRT GOV (art. 26 ust. 4 i ust. 8 KSC), a także pełne wdrożenie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Od jakości tych rozwiązań — w równym stopniu co od samych przepisów — zależeć będzie zdolność krajowego systemu cyberbezpieczeństwa do skutecznej reakcji na incydenty o charakterze ponadsektorowym i transgranicznym.

  1. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS 2).

  2. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2557 z dnia 14 grudnia 2022 r. w sprawie odporności podmiotów krytycznych (CER).

  3. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA).

Materiał przygotowany przez:

TAGI Analizy, Polska, Prawo,