W ramach wdrażania ustawy o Krajowym Systemie Cyberbezpieczeństwa, która ma zapewnić wysoki poziom cyberbezpieczeństwa zarówno na poziomie krajowym, jak i w Unii Europejskiej polskim przedsiębiorcom, stworzono podstawy prawne, które pozwolą ograniczyć potencjalne skutki incydentów, w tym straty finansowe firm i instytucji.
21 listopada 2018 r. zostało opublikowane rozporządzenie wskazujące progi dla incydentów poważnych i tym samym zakończył się proces implementacji dyrektywy NIS w naszym kraju. W tym celu przygotowane zostały progi, które określają warunki, kiedy dany incydent należy zaklasyfikować jako poważny. Dla przykładu w sytuacji poboru wody uznano, że poważnym incydentem jest brak dostępności usługi dla co najmniej 100 000 użytkowników przez czas dłuższy niż 8 godzin. W przypadku koncernu farmaceutycznego będzie to zarówno brak dostępu do usługi przez ponad 24 godziny, czy chociażby ciężki uszczerbek na zdrowiu. Z kolei dla instytucji finansowej będzie to m.in. szacowana strata finansowa powyżej 5 mln euro.
Każde takie zdarzenie, które uznamy za poważny incydent należy zgłosić do właściwego dla danego operatora Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT), który będzie wspierał zgłaszającego podczas całego procesu obsługi incydentu. Jednocześnie należy zaznaczyć, że zgłaszanie incydentów to obok szacowania ryzyka i prowadzenia audytów, najważniejszy obowiązek dla operatorów usług kluczowych wynikający z ustawy.
