21 listopada 2018 r. zostało opublikowane rozporządzenie wskazujące progi dla incydentów poważnych. Tym samym zakończył się w Polsce proces implementacji dyrektywy NIS.
Obok ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia o wykazie usług kluczowych, przyjęcie rozporządzenia o progach było niezbędne do pełnego wdrożenia dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa NIS).
Zgodnie z ustawą z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa:
operatorzy usług kluczowych mają obowiązek zgłaszać incydenty bezpieczeństwa, które dotyczą świadczonych przez nich usług kluczowych. Szczególne znaczenie mają incydenty poważne, tzn. te, które powodują lub mogą spowodować poważnego obniżenia jakości lub przerwania ciągłości świadczenia usługi kluczowej. Pozostałe incydenty, tzw. incydenty zwykłe, operatorzy mogą zgłaszać (ale nie jest to obowiązkowe), po zgłoszeniu i uzyskać wsparcie CSIRT.
Każde zdarzenie dotyczące incydentu poważnego musi być zgłoszone do właściwego dla danego operatora zespołu CSIRT, który będzie wspierał zgłaszającego operatora usługi kluczowej podczas całego procesu obsługi incydentu. Incydent poniżej progu też podlega obsłudze, jednak jego zgłoszenie do właściwego CSIRTu jest dobrowolne.
[źródło: gov.pl]