Czym zajmuje się CSIRT KNF? Sektorowy Zespół Cyberbezpieczeństwa Komisji Nadzoru Finansowego

Opublikowano:4 sierpnia 2025
Aktualizacja:9 sierpnia 2025
Czas czytania10 min.

KATEGORIA: Cyberbezpieczeństwo
TEMAT: Komisja Nadzoru Finansowego

CSIRT KNF (Computer Security Incident Response Team Komisji Nadzoru Finansowego) stanowi kluczowy element infrastruktury cyberbezpieczeństwa polskiego rynku finansowego. Zespół ten został powołany i działa w strukturach Urzędu Komisji Nadzoru Finansowego (UKNF). Jego utworzenie miało miejsce 1 lipca 2020 r. w ramach wyodrębnionego Departamentu Cyberbezpieczeństwa, który funkcjonuje od 1 kwietnia 2019 r..

Główna misja CSIRT KNF obejmuje edukację i ostrzeganie w obszarze zagrożeń cybernetycznych, a także koordynację obsługi incydentów poważnych w sektorze finansowym. Działania zespołu mają na celu zapewnienie wysokiego poziomu cyberbezpieczeństwa, niezbędnego do stabilnego funkcjonowania polskiego rynku kapitałowego, bankowego, ubezpieczeniowego, emerytalnego, usług płatniczych oraz Spółdzielczych Kas Oszczędnościowo-Kredytowych (SKOK).

Kluczowe wnioski dotyczące – CSIRT KNF:

Reklama

CSIRT KNF to sektorowy zespół cyberbezpieczeństwa działający w strukturach Urzędu Komisji Nadzoru Finansowego, którego głównym celem jest koordynacja działań i wspieranie obsługi incydentów bezpieczeństwa w podmiotach rynku finansowego uznanych za Operatorów Usług Kluczowych (OUK) w rozumieniu Ustawy o krajowym systemie cyberbezpieczeństwa.
Do jego podstawowych zadań należy przyjmowanie zgłoszeń o incydentach poważnych, wspieranie OUK w ich obsłudze, analizowanie incydentów i zagrożeń, a także monitorowanie i blokowanie stron o charakterze oszukańczym oraz analiza złośliwego oprogramowania.
Zespół CSIRT KNF, jako pierwszy tego typu w Polsce dla sektora finansowego, prowadzi również szeroko zakrojone działania edukacyjne poprzez Centrum Edukacji dla Bezpieczeństwa Rynku Finansowego (CEBRF), mające na celu podnoszenie świadomości użytkowników na temat zagrożeń w cyberprzestrzeni.

Obejrzyj na YouTube / Posłuchaj podcastu

CSIRT KNF w Krajowym Systemie Cyberbezpieczeństwa

Działalność CSIRT KNF opiera się na Ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (UoKSC). Ustawa ta stanowi implementację europejskiej dyrektywy NIS z dnia 6 lipca 2016 r.. Komisja Nadzoru Finansowego (KNF) została wyznaczona jako organ właściwy ds. cyberbezpieczeństwa dla sektora bankowego i infrastruktury rynków finansowych.

CSIRT KNF jest pierwszym tego typu sektorowym zespołem cyberbezpieczeństwa w Polsce, dedykowanym specyfice sektora bankowego i infrastruktury rynków finansowych. Zaletą takiego rozwiązania jest dogłębna znajomość specyfiki danego sektora, co umożliwia skuteczniejsze działania. Zespół ten aktywnie współpracuje z podmiotami krajowego systemu cyberbezpieczeństwa, w szczególności z zespołami CSIRT poziomu krajowego: CSIRT MON, CSIRT NASK i CSIRT GOV, w zakresie koordynowania obsługi incydentów poważnych oraz wymiany informacji o zagrożeniach.

Główne zadania i obowiązki CSIRT KNF

Sektorowy Zespół Cyberbezpieczeństwa CSIRT KNF realizuje zadania określone w art. 44 Ustawy o KSC. Do jego kluczowych obowiązków należą:

Obsługa incydentów poważnych:
- Przyjmowanie zgłoszeń o incydentach poważnych występujących u Operatorów Usług Kluczowych (OUK).
- Wsparcie Operatorów Usług Kluczowych w obsłudze incydentów oraz w wykonywaniu obowiązków określonych w Ustawie.
- Analizowanie incydentów poważnych, wyszukiwanie powiązań pomiędzy nimi oraz opracowywanie wniosków z ich obsługi.
Działania operacyjne i prewencyjne:
- Monitorowanie i wykrywanie stron o charakterze oszukańczym (phishing) oraz prowadzenie działań mających na celu ich zablokowanie lub ograniczenie dostępu. Współpraca z CSIRT NASK w prowadzeniu listy blokowanych stron phishingowych jest istotnym elementem tych działań.
- Analiza złośliwego oprogramowania atakującego aplikacje bankowe oraz współpraca w ramach grup badawczych zajmujących się analizą tego typu oprogramowania.
- Śledzenie i monitorowanie działań cyberprzestępców w celu wcześniejszego rozpoznania technik oraz celów potencjalnych ataków.
- Wspieranie OUK w monitorowaniu i wykrywaniu podatności w ich infrastrukturze.
- Przygotowywanie i dystrybucja rekomendacji technicznych dotyczących działań mających na celu poprawę jakości bezpieczeństwa organizacji lub mitygację zidentyfikowanych ryzyk.
- Bieżąca komunikacja i wymiana informacji odnośnie zidentyfikowanych zagrożeń w sektorze z zespołami CSIRT poziomu krajowego (CSIRT GOV, CSIRT MON, CSIRT NASK).

Rola edukacyjna i podnoszenie świadomości: Centrum Edukacji dla Bezpieczeństwa Rynku Finansowego (CEBRF)

W ramach działalności UKNF i CSIRT KNF powołano Centrum Edukacji dla Bezpieczeństwa Rynku Finansowego (CEBRF). Jego misją jest edukowanie i ostrzeganie, a poprawa poziomu świadomości użytkowników odnośnie do zagrożeń w cyberprzestrzeni jest istotnym elementem działalności CSIRT KNF.

Reklama

CEBRF prowadzi szeroko zakrojone działania edukacyjne, które obejmują:

Webinary i ostrzeżenia.
Szkolenia w szkołach.
Dzielenie się wiedzą na konferencjach i kongresach, a także organizacja wydarzeń.
Publikację ostrzeżeń w mediach społecznościowych, opisujących najpopularniejsze metody działania cyberprzestępców.
Dostępne materiały edukacyjne na stronie CEBRF, w tym artykuły, rekomendacje oraz Encyklopedia Cyberbezpieczeństwa, zawierająca definicje pojęć przygotowane we współpracy z ekspertami z branży cyber z całej Polski.

Kluczowe pojęcia cyberbezpieczeństwa z perspektywy CSIRT KNF

Zrozumienie podstawowych pojęć jest kluczowe dla efektywnego zarządzania ryzykiem cyfrowym. Z perspektywy CSIRT KNF, istotne są następujące definicje:

Cyberbezpieczeństwo: Jest to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.
- Poufność danych: Właściwość polegająca na tym, że informacja nie jest udostępniana ani ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
- Integralność danych: Właściwość polegająca na zapewnieniu dokładności i kompletności danych.
- Dostępność danych: Właściwość bycia dostępnym i użytecznym na żądanie autoryzowanego podmiotu.
- Autentyczność: Właściwość polegającą na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane.
Cyberryzyko: W odniesieniu do aktywności organizacji w cyberprzestrzeni, cyberryzyko to ryzyko strat materialnych i reputacyjnych oraz odpowiedzialności prawnej wynikających z zakłócenia realizacji procesów biznesowych, które oddziałuje na dostępność, poufność i integralność danych oraz systemów i usług je wykorzystujących. Przykłady cyberryzyk obejmują kradzież danych, kradzież finansową, zawieszenie działania infrastruktury oraz odmowę dostępu do serwisu.

Perspektywa nadzorcza i przyszłość w świetle regulacji (DORA, NIS 2)

Departament Cyberbezpieczeństwa UKNF sprawuje nadzór nad podmiotami rynku finansowego w obszarze cyberbezpieczeństwa. Działania te są zgodne z obowiązującymi aktami prawnymi, takimi jak Ustawa Prawo bankowe czy Ustawa o działalności ubezpieczeniowej i reasekuracyjnej, a także z wytycznymi europejskimi (np. EBA/GL/2019/04 EUNB, EIOPA-BoS-20/600 EIOPA) oraz krajowymi rekomendacjami KNF. Celem tych regulacji jest wskazanie podmiotom nadzorowanym oczekiwań w zakresie ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami.

Regulacje unijne, takie jak dyrektywa NIS2 oraz Rozporządzenie DORA (Digital Operational Resilience Act), mają znaczący wpływ na krajobraz cyberbezpieczeństwa.

Reklama

Dyrektywa NIS 2, która weszła w życie w 2023 r., rozszerza zakres podmiotów objętych obowiązkami cyberbezpieczeństwa. Polska ustawa o KSC zostanie znowelizowana w celu dostosowania do NIS 2, co m.in. wprowadzi nowy podział na podmioty kluczowe i ważne. Podmioty te będą zobowiązane wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI) nie tylko w systemach informacyjnych wykorzystywanych do świadczenia usług, ale także w procesach organizacji wpływających na świadczenie usług przez ten podmiot.
Rozporządzenie DORA, opublikowane przez Komisję Europejską 24 września 2020 r., ma na celu wzmocnienie operacyjnej odporności cyfrowej firm. „Operacyjna odporność cyfrowa” oznacza zdolność firm do budowania, zabezpieczania i weryfikowania ich integralności operacyjnej z technologicznego punktu widzenia, aby były odporne na wszelkie zagrożenia i zakłócenia w odniesieniu do technologii informacyjno-komunikacyjnych.

Jak skontaktować się z CSIRT KNF?

W przypadku zgłaszania incydentów poważnych, operatorzy usług kluczowych mogą kontaktować się z CSIRT KNF poprzez adres e-mail: csirt@knf.gov.pl. W celu zachowania poufności przesyłanych danych, zaleca się używanie szyfrowania przesyłek, np. z wykorzystaniem klucza publicznego PGP zespołu CSIRT KNF, dostępnego na stronie KNF.

Podsumowanie: Niezbędna rola CSIRT KNF

CSIRT KNF, działając jako sektorowy zespół cyberbezpieczeństwa dla rynku finansowego i jednocześnie jako centrum edukacji, odgrywa niezastąpioną rolę w ochronie polskiego rynku finansowego. Poprzez kompleksowe podejście, obejmujące zarówno reagowanie na incydenty i koordynację działań operacyjnych, jak i ciągłe podnoszenie świadomości w zakresie zagrożeń cyfrowych, CSIRT KNF aktywnie przyczynia się do wzmacniania bezpieczeństwa cyfrowego w kluczowym sektorze polskiej gospodarki.

Słownik kluczowych terminów

Autentyczność (danych): Właściwość polegająca na tym, że pochodzenie lub zawartość danych opisujących obiekt są takie, jak deklarowane.
CEBRF KNF (Centrum Edukacji dla Bezpieczeństwa Rynku Finansowego): Instytucja powołana przez UKNF i CSIRT KNF, której misją jest edukowanie i ostrzeganie w zakresie cyberbezpieczeństwa na polskim rynku finansowym.
CSIRT KNF (Computer Security Incident Response Team KNF): Sektorowy zespół cyberbezpieczeństwa dla rynku finansowego, działający w strukturach Urzędu Komisji Nadzoru Finansowego, odpowiedzialny za koordynację obsługi incydentów, analizę zagrożeń i działania edukacyjne.
CSIRT GOV: Zespół reagowania na incydenty bezpieczeństwa komputerowego na poziomie krajowym, podlegający Agencji Bezpieczeństwa Wewnętrznego, odpowiedzialny za administrację rządową i operatorów infrastruktury krytycznej.
CSIRT MON: Zespół reagowania na incydenty bezpieczeństwa komputerowego na poziomie krajowym, podlegający Dowództwu Komponentu Wojsk Obrony Cyberprzestrzeni, odpowiedzialny za podmioty wojskowe.
CSIRT NASK: Zespół reagowania na incydenty bezpieczeństwa komputerowego na poziomie krajowym, podlegający Naukowej i Akademickiej Sieci Komputerowej – Państwowemu Instytutowi Badawczemu, odpowiedzialny za OUK, dostawców usług cyfrowych i ogół obywateli/instytucji.
Cyberbezpieczeństwo: Odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług.
Cyberryzyko: Ryzyko strat materialnych i reputacyjnych oraz odpowiedzialności prawnej wynikających z zakłócenia realizacji procesów biznesowych, które oddziałuje na dostępność, poufność i integralność danych oraz systemów i usług je wykorzystujących.
Dostępność (danych): Właściwość bycia dostępnym i użytecznym na żądanie autoryzowanego podmiotu.
DORA (Digital Operational Resilience Act): Rozporządzenie Unii Europejskiej w sprawie operacyjnej odporności na zagrożenia cyfrowe, mające na celu zwiększenie zdolności firm do zabezpieczania i weryfikacji ich integralności operacyjnej z technologicznego punktu widzenia.
Dostawcy Usług Cyfrowych: Przedsiębiorstwa świadczące usługi internetowej platformy handlowej, wyszukiwarki internetowej lub usługi przetwarzania w chmurze, mające obowiązek zgłaszania incydentów istotnych do właściwego CSIRT.
Integralność (danych): Właściwość polegająca na zapewnieniu dokładności i kompletności danych.
Krajowy System Cyberbezpieczeństwa (KSC): System mający na celu zapewnienie cyberbezpieczeństwa usług kluczowych dla działania państwa polskiego, świadczonych przez podmioty publiczne i wybrane przedsiębiorstwa.
Kolegium ds. cyberbezpieczeństwa: Organ opiniodawczo-doradczy przy Radzie Ministrów w sprawach cyberbezpieczeństwa.
NIS (Network and Information Security) Directive: Europejska dyrektywa z dnia 6 lipca 2016 r., której celem jest nałożenie wspólnych, minimalnych wymagań na rzecz zapewnienia cyberbezpieczeństwa w każdym kraju członkowskim UE.
NIS 2 Directive: Nowelizacja dyrektywy NIS z 2023 r., rozszerzająca zakres podmiotów objętych obowiązkami cyberbezpieczeństwa i redefiniująca zadania organów UE.
Operatorzy Usług Kluczowych (OUK): Wyznaczone przedsiębiorstwa i instytucje, które świadczą usługi o istotnym znaczeniu dla działania państwa, a ich funkcjonowanie zależy od systemów informatycznych.
Pełnomocnik rządu ds. cyberbezpieczeństwa: Osoba koordynująca działania i politykę rządu w zakresie cyberbezpieczeństwa.
Podmioty Publiczne: Podmioty realizujące zadania publiczne zależne od systemu informacyjnego, mające obowiązek wyznaczenia osoby kontaktowej i zgłaszania incydentów.
Poufność (danych): Właściwość polegająca na tym, że informacja nie jest udostępniana ani ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
Sektorowe Zespoły Cyberbezpieczeństwa: Zespoły powoływane przez organy właściwe w ramach ich właściwości, wspierające Operatorów Usług Kluczowych w wykonywaniu obowiązków dotyczących cyberbezpieczeństwa (np. CSIRT KNF, CSIRT CeZ).
UKNF (Urząd Komisji Nadzoru Finansowego): Organ sprawujący nadzór nad polskim rynkiem finansowym, w tym w obszarze cyberbezpieczeństwa.
Ustawa o krajowym systemie cyberbezpieczeństwa (Ustawa k.s.c.): Polska ustawa z dnia 5 lipca 2018 r., wdrażająca dyrektywę NIS i określająca zasady organizacji KSC.
Wytyczne IT / Rekomendacja D: Dokumenty KNF wskazujące podmiotom nadzorowanym oczekiwania dotyczące zarządzania technologią informacyjną i bezpieczeństwem środowiska teleinformatycznego w bankach i zakładach ubezpieczeń/reasekuracji.

Często zadawane pytania – CSIRT KNF

Czym jest Krajowy System Cyberbezpieczeństwa (KSC) w Polsce?

Krajowy System Cyberbezpieczeństwa (KSC) to system stworzony w Polsce w celu zapewnienia cyberbezpieczeństwa usług o kluczowym znaczeniu dla funkcjonowania państwa. Obejmuje on zarówno podmioty publiczne, jak i wybrane przedsiębiorstwa, w tym operatorów usług kluczowych i dostawców usług cyfrowych. Jego główna podstawa prawna to ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która jest implementacją europejskiej dyrektywy NIS.

Jakie są główne podmioty wchodzące w skład Krajowego Systemu Cyberbezpieczeństwa?

Krajowy System Cyberbezpieczeństwa składa się z kilku kluczowych podmiotów:

Reklama

Operatorzy usług kluczowych (OUK): Przedsiębiorstwa i instytucje świadczące usługi o istotnym znaczeniu dla państwa, których ciągłość działania zależy od systemów informatycznych. Są wyznaczani przez właściwe organy sektorowe.
Dostawcy usług cyfrowych: Przedsiębiorstwa oferujące usługi takie jak internetowe platformy handlowe, wyszukiwarki internetowe czy usługi przetwarzania w chmurze, które samodzielnie identyfikują swój status.
Podmioty publiczne: Jednostki realizujące zadania publiczne zależne od systemów informatycznych.
Organy właściwe: Instytucje sprawujące nadzór nad cyberbezpieczeństwem w poszczególnych sektorach (np. Komisja Nadzoru Finansowego dla sektora bankowego).
Zespoły CSIRT: Zespoły reagowania na incydenty bezpieczeństwa komputerowego, działające na poziomie krajowym (CSIRT GOV, CSIRT MON, CSIRT NASK) oraz sektorowe (np. CSIRT KNF, CSIRT CeZ).
Pełnomocnik Rządu ds. Cyberbezpieczeństwa i Kolegium ds. Cyberbezpieczeństwa: Organy odpowiedzialne za koordynację i strategiczne zarządzanie cyberbezpieczeństwem na poziomie rządowym.

Jakie są główne cele działań Sektorowego Zespołu Cyberbezpieczeństwa (w tym CSIRT KNF)?

Głównym celem Sektorowego Zespołu Cyberbezpieczeństwa, w tym CSIRT KNF, jest realizacja zadań określonych w Art. 44 Ustawy o krajowym systemie cyberbezpieczeństwa. Obejmują one między innymi:

Przyjmowanie zgłoszeń o poważnych incydentach bezpieczeństwa i wspieranie w ich obsłudze.
Wspieranie Operatorów Usług Kluczowych w wypełnianiu ich obowiązków.
Analizowanie incydentów poważnych, identyfikowanie powiązań między nimi i wypracowywanie wniosków z ich obsługi.
Współpracę z właściwymi CSIRT na poziomie krajowym (CSIRT MON, CSIRT NASK i CSIRT GOV) w celu koordynacji obsługi poważnych incydentów.

Jak definiowane jest cyberbezpieczeństwo w kontekście systemów finansowych?

Cyberbezpieczeństwo w kontekście systemów finansowych, zgodnie z perspektywą nadzorczą KNF, oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub usług oferowanych przez te systemy.

Poufność danych: Informacje nie są udostępniane ani ujawniane nieautoryzowanym osobom.
Integralność danych: Zapewnienie dokładności i kompletności danych.
Dostępność danych: Dane są dostępne i użyteczne na żądanie autoryzowanego podmiotu.
Autentyczność: Pochodzenie lub zawartość danych są takie, jak deklarowane. Cyberryzyko natomiast odnosi się do ryzyka strat materialnych i reputacyjnych oraz odpowiedzialności prawnej wynikających z zakłócenia procesów biznesowych, które wpływa na te cztery właściwości.

Reklama

TEMATY:

# Komisja Nadzoru Finansowego

Michał Koński

Jestem autorem bloga Bankowe ABC i specjalistą z dwudziestoletnim doświadczeniem w zakresie analizy ryzyka kredytowego, zdobytym w Ford Credit Europe, będącym częścią Ford Motor Company. Moja wiedza obejmuje szeroki wachlarz produktów finansowych sektora motoryzacyjnego, w tym Trade Cycle Management, wymogi prawne, operacyjne, ocenę ryzyka, raportowanie oraz marketing.

Posiadam wieloletnie doświadczenie w prowadzeniu prac analitycznych IT, zwłaszcza w analizie biznesowej i systemowej dotyczącej systemów do obsługi wniosków i przygotowywania dokumentacji kredytowej. Moje umiejętności obejmują tworzenie i dostosowywanie procedur bankowych oraz wewnętrznych instrukcji, a także narzędzi wspomagających proces oceny ryzyka kredytowego. Wdrażałem kluczowe regulacje prawne takie jak Rekomendacja T, Ustawa o Kredycie Konsumenckim, RODO oraz Ustawa o Przeciwdziałaniu Praniu Pieniędzy.