§ 32 BSIG: oznamovací povinnost incidentů podle NIS 2
Tři fáze, 24hodinové odpočítávání a co vlastně znamená významný.
Co § 32 BSIG vyžaduje
§ 32 BSIG provádí do německého práva oznamovací povinnost podle článku 23 NIS 2. Dotčené subjekty musí významné incidenty oznamovat Spolkovému úřadu pro bezpečnost informací (BSI) ve třech fázích. Obtížnou otázkou je zřídka jak oznámit, ale zda je incident významný.
24hodinové odpočítávání začíná, jakmile se subjekt o incidentu dozví. Kdo teprve během mimořádné situace zvažuje, zda je incident třeba oznámit, již spotřeboval polovinu této lhůty.
Včasné varování do 24 hodin
První včasné varování pro BSI do 24 hodin od zjištění významného incidentu s uvedením, zda se předpokládá, že byl způsoben protiprávním nebo zlovolným jednáním, a zda by mohl mít přeshraniční dopad.
Oznámení do 72 hodin
Úplnější oznámení do 72 hodin, které doplňuje včasné varování o první posouzení incidentu, jeho závažnosti a dopadu, jakož i o indikátory kompromitace, jsou-li k dispozici.
Závěrečná zpráva po jednom měsíci
Závěrečná zpráva nejpozději jeden měsíc po oznámení: podrobný popis, druh hrozby nebo příčinu, přijatá nápravná opatření a případný přeshraniční dopad.
Na úrovni EU jsou kvantitativní prahové hodnoty významného incidentu stanoveny prováděcím nařízením (EU) 2024/2690, ale platí přímo pouze pro v něm uvedené poskytovatele digitální infrastruktury a digitálních služeb. Pro většinu dotčených subjektů, jako je výroba, logistika, zdravotnictví nebo odpady, žádné unijní hodnoty neexistují.
Pro tyto subjekty se významnost řídí kvalitativními kritérii podle článku 23(3) NIS 2, provedenými jako zákonná definice v § 2 číslo 11 BSIG. Každý podnik musí sám do 24 hodin rozhodnout, zda je incident třeba oznámit, a být schopen toto rozhodnutí doložit. Doložené posouzení je důkazem.
Oznámení směřují k BSI, v Německu prostřednictvím jeho oznamovacího portálu. Stanovte interně, předem, kdo rozhoduje o oznámení a kdo jej skutečně podává. Řešit to během incidentu stojí čas, který nemáte.
Stanovení rozhodovací cesty před incidentem, byť jako jednostránkový rozhodovací strom, je samo součástí opatření pro zvládání incidentů podle článku 21(2)(b) NIS 2.
Pokud se incident týká osobních údajů, může souběžně platit samostatná oznamovací povinnost podle článku 33 GDPR. Oba režimy mají různé adresáty a různé lhůty.
Nepodávejte jedno místo druhého. Ransomwarový incident, který zašifruje data zákazníků, může spustit jak oznamovací kaskádu podle § 32 BSIG, tak 72hodinové oznámení porušení podle GDPR dozorovému úřadu.
Časté dotazy
Kdy začíná běžet 24hodinová lhůta?
Jakmile se subjekt o významném incidentu dozví, nikoli kdy začal.
Existují pevné prahové hodnoty v eurech pro významný incident?
Pouze pro poskytovatele digitálních služeb uvedené v PN (EU) 2024/2690. Pro všechny ostatní subjekty platí kvalitativní kritéria podle článku 23(3) NIS 2.
Co když si nejsem jistý, zda je incident významný?
Doložte své posouzení a důvody. Odůvodněné rozhodnutí je to, co auditor očekává; absence jakéhokoli posouzení je tím skutečným pochybením.
Musím oznamovat i podle GDPR?
Jsou-li dotčeny osobní údaje, posuďte samostatně článek 33 GDPR. Má vlastní 72hodinovou lhůtu a jiného adresáta.
Co se děje po oznámení?
BSI si může vyžádat další informace a závěrečná zpráva následuje nejpozději jeden měsíc po oznámení.