Schéma oznámení incidentů NIS 2

Kategorie, v jejímž rámci se toto hlášení podává. Čl. 23(3) NIS 2 ukládá povinnost hlásit pouze významné incidenty; hlášení skoronehod a incidentů, které nemají významný charakter, je dobrovolné podle čl. 30 NIS 2.

Počáteční posouzení závažnosti incidentu. Čl. 23(4)(b) NIS 2 vyžaduje, aby oznámení incidentu (72h) obsahovalo počáteční posouzení závažnosti a dopadu. CIR 2024/2690 kvantifikuje prahové hodnoty významnosti pro kategorie poskytovatelů digitálních služeb, na něž se vztahuje.

Srozumitelné shrnutí toho, co se stalo. Čl. 23(4)(a) NIS 2 vyžaduje, aby včasné varování uvádělo, zda existuje podezření, že významný incident má protiprávní nebo zlovolnou povahu: toto pole obsahuje tento úvodní popis.

Doslovně podle čl. 23(4)(d) NIS 2: závěrečná zpráva obsahuje 'podrobný popis incidentu, včetně jeho závažnosti a dopadu'. Toto pole shromažďuje zjištění v průběhu celého ohlašovacího cyklu.

Čl. 23(4)(a) NIS 2 vyžaduje, aby včasné varování do 24 hodin uvádělo, zda existuje podezření, že významný incident byl způsoben protiprávním nebo zlovolným jednáním.

Čl. 23(2) NIS 2: je-li to relevantní, subjekt bez zbytečného odkladu sdělí příjemcům svých služeb, kteří jsou potenciálně zasaženi významnou kybernetickou hrozbou, veškerá opatření nebo nápravná řešení, která mohou přijmout.

Sdělení formulované srozumitelným jazykem pro příjemce služeb subjektu o hrozbě a doporučených nápravných opatřeních. Povinné, je-li customerNotificationRequired pravda.

Nejdříve známý čas, kdy k incidentu došlo. Může být 'neznámý', pokud je forenzní časová osa neúplná.

Čas, kdy se subjekt dozvěděl o významném incidentu. Spouští lhůty 24h / 72h / 1m podle čl. 23(4) NIS 2.

Čas, kdy byl incident zvládnut a napraven. Vyžadováno v závěrečné zprávě podle čl. 23(4)(d) NIS 2.

Doslovné znění čl. 23(4)(d)(ii) NIS 2: závěrečná zpráva uvede 'typ hrozby nebo příčinu, která pravděpodobně incident vyvolala'.

Popisná analýza podporující klasifikaci příčiny. Je-li analýza neúplná, uveďte nejlépe podloženou hypotézu a důkazy, které ji podporují.

Posouzení subjektu, zda jde o cílený útok (zaměřený na subjekt nebo odvětví), nebo necílený incident (oportunistický / hromadná kampaň).

Které z vlastností: důvěrnost, integrita, dostupnost incident narušil. Čl. 6(6) NIS 2 definuje 'významný incident' zčásti právě na základě těchto vlastností.

Doslovné znění čl. 23(4)(b) NIS 2: oznámení incidentu (72h) uvede 'počáteční posouzení významného incidentu, včetně jeho závažnosti a dopadu, jakož i, jsou-li k dispozici, indikátory kompromitace'. Uveďte pozorovatelné artefakty (hashe souborů, IP adresy, domény, adresy URL, signatury malwaru, vzorce chování), které mohou navazující obránci využít k detekci téže hrozby. Volitelné, nikoli povinné, protože směrnice to podmiňuje dostupností; pokud forenzní analýza v okamžiku odeslání žádné IoC neodhalila, ponechte prázdné.

Technická, organizační a provozní opatření již přijatá k omezení dopadu incidentu. Povinné pro oznámení incidentu (72h) a aktualizovaná v navazujících zprávách.

Doslovně podle čl. 23(4)(d)(iii) NIS 2: závěrečná zpráva musí popisovat 'uplatněná a probíhající zmírňující opatření'.

Jak byl incident poprvé zjištěn. Využíváno CSIRT k identifikaci systémových mezer v detekci napříč celým sektorem.

Opatření plánovaná k zabránění opětovnému výskytu. Nese smyčku 'získaných poznatků' vyžadovanou ENISA TIG pro závěrečnou zprávu.

Odhadovaný počet dotčených uživatelů. CIR 2024/2690 kvantifikuje prahové hodnoty pro kategorie poskytovatelů digitálních služeb, na které se vztahuje; u ostatních subjektů je posouzení kvalitativní podle čl. 6 odst. 6 a čl. 23 odst. 3 NIS 2.

Popis toho, které služby (provozní, určené zákazníkům, interní) byly degradovány nebo nedostupné a po jak dlouhou dobu. Čl. 6 odst. 6 NIS 2 činí z narušení služby kritérium definující 'významný incident'.

Odhadovaná přímá a nepřímá finanční škoda. Čl. 6 odst. 6 NIS 2 řadí finanční ztrátu mezi kritéria, která povyšují incident na 'významný'.

Posouzení subjektu, zda incident způsobil nebo pravděpodobně způsobí reputační škodu. Jedno z kvalifikačních kritérií pro 'významný incident' podle čl. 6 odst. 6 NIS 2.

Čl. 23(4)(a) NIS 2 vyžaduje, aby včasné varování uvádělo, zda má významný incident přeshraniční dopad. CSIRT ostatních dotčených členských států jsou informovány prostřednictvím mechanismu spolupráce podle čl. 15 NIS 2.

Seznam členských států EU, jejichž subjekty, uživatelé nebo služby jsou incidentem dotčeni. CSIRT jej používá k informování příslušných orgánů jiných států.

Sektory dotčené incidentem, odpovídající příloze I NIS 2 (sektory s vysokou kritičností) a příloze II (jiné kritické sektory). Může být nutné informovat sektorové CSIRT.

Jméno fyzické osoby, která podává oznámení jménem subjektu. Vyžadováno všemi vnitrostátními portály, aby CSIRT mohl provést návazná šetření.

E-mailová adresa, kterou může CSIRT použít ke kontaktování ohlašovatele kvůli návazným dotazům, žádostem o průběžnou zprávu a doručení zpětné vazby podle čl. 23 odst. 5 NIS 2.

Telefonní číslo pro naléhavý kontakt s CSIRT, zejména během okna včasného varování, kdy může být e-mail pomalý.

Vlastní interní referenční číslo incidentu subjektu. Umožňuje CSIRT propojit více podání týkajících se téhož incidentu.