Incydent to zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo.

Ustawodawca w przepisach ustawy o krajowym systemie cyberbezpieczeństwa zdefiniował kilka rodzajów incydentów. Najważniejszymi z punktu widzenia interesanta podmiotu publicznego są:

  1. incydent w podmiocie publicznym - incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny.
  2. incydent krytyczny - incydent skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi, klasyfikowany przez właściwy CSIRT w tym CSIRT NASK.

Zgłoszenie incydentu cyberbezpieczeństwa, którego ofiarą padł podmiot publiczny, może nastąpić poprzez przygotowany przez CSIRT NASK specjalnie do tego celu portal www.incydent.cert.pl, który umożliwia zgłaszanie incydentów zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa.

Zagrożenia nakierowane na przełamanie zabezpieczeń cyberbezpieczeństwa mogą godzić także w ochronę danych osobowych obywateli przechowywanych na serwerach urzędów lub innych podmiotów publicznych. W przypadku naruszenia ochrony takich  danych, podmiot publiczny oprócz zgłoszenia incydentu do CSIRT NASK, zobowiązany jest w terminie 72 godzin po stwierdzeniu naruszenia zgłosić je organowi nadzorczemu. Organem właściwym do
zgłaszania naruszeń ochrony danych osobowych jest
Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

Zgłoszenia można dokonać na 4 sposoby:

  1. Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku.
  2. Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  3. Elektronicznie poprzez wysłanie wypełnionego formularza (dostępnego poniżej w załączniku) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl (Jak znaleźć Urząd w formularzu pisma ogólnego?) lub platformie epuap.gov.pl
  4. Tradycyjną pocztą wysyłając wypełniony formularz na adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa.