Významný incident podle NIS 2
Dvě kvalitativní spouštěcí kritéria, jedno nařízení s čísly pro digitální infrastrukturu a písemný záznam o rozhodnutí pro všechny ostatní.
Proč na definici záleží
Významnost je to, co spouští celé ohlašovací hodiny v článku 23 NIS 2: včasné varování do 24 hodin, oznámení incidentu do 72 hodin, závěrečnou zprávu do jednoho měsíce. Pokud je událost významná, hodiny začnou běžet v okamžiku, kdy ji zjistíte. Pokud významná není, CSIRT ani příslušnému orgánu nic nedlužíte.
Článek 23 odst. 3 NIS 2 vám dává jen dvě obecné formulace. Prováděcí nařízení Komise (EU) 2024/2690 (CIR) doplňuje pevná čísla, ale jen pro malou skupinu poskytovatelů digitálních služeb (DNS, TLD, cloud, datové centrum, CDN, MSP, MSSP, tržiště, vyhledávač, sociální síť, služby vytvářející důvěru). Pro všechna ostatní odvětví NIS 2 zůstává test kvalitativní.
Většina CISO tuto mezeru podceňuje. Pokud jste ve výrobě, potravinářství, zdravotnictví nebo odpadovém hospodářství, neexistuje žádné euro číslo, žádný počet minut, žádný uživatelský práh. Musíte se rozhodnout, musíte se rozhodnout rychle a musíte být schopni později vysvětlit proč.
Směrnice NIS 2 (EU) 2022/2555, čl. 23 odst. 3
Incident se považuje za významný, pokud: a) způsobil nebo je schopen způsobit závažné narušení provozu služeb nebo finanční ztrátu dotčenému subjektu; b) postihl nebo je schopen postihnout jiné fyzické nebo právnické osoby tím, že způsobil značnou hmotnou nebo nehmotnou újmu.
Toto je jediná obecná definice významného incidentu v právu EU. Oba body používají spojení „je schopen způsobit“, takže musíte zvážit jak potenciální, tak skutečnou škodu. Text nikdy nekvantifikuje pojmy závažný, značný ani hmotný.
CIR (EU) 2024/2690, čl. 3
Incident se považuje za významný, pokud způsobil nebo je schopen způsobit: a) přímou finanční ztrátu přesahující 500 000 EUR nebo 5 procent celkového ročního obratu v předchozím účetním období, podle toho, která hodnota je nižší; b) exfiltraci obchodního tajemství subjektu ve smyslu čl. 2 odst. 1 směrnice (EU) 2016/943; c) smrt fyzické osoby; d) značnou újmu na zdraví fyzické osoby; e) úspěšný, pravděpodobně zlovolný a neoprávněný přístup k sítím a informačním systémům schopný způsobit závažné narušení provozu; f) kritéria stanovená v článku 4 (opakující se incidenty); nebo g) jedno či více kritérií stanovených v článcích 5 až 14 (specifická pro subjekt). Postačí kterékoli jediné kritérium.
Sedm kritérií (písmena a až g), pět věcných plus dva odkazy. Článek 1 CIR uvádí, že tato čísla platí jen pro konkrétní poskytovatele digitálních služeb (DNS, TLD, cloud, datové centrum, CDN, MSP, MSSP, online tržiště, vyhledávač, sociální platforma, služby vytvářející důvěru). Články 5 až 14 doplňují pro tutéž skupinu hranice dostupnosti specifické pro jednotlivá odvětví. Pokud vaše odvětví na tomto seznamu není, tato čísla vás nezavazují a jediné, co máte, je kvalitativní test z čl. 23 odst. 3.
§32 BSIG (Německo, příklad transpozice)
Wesentliche und wichtige Einrichtungen melden dem BSI erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als Frühwarnung, innerhalb von 72 Stunden als Sicherheitsvorfallsmeldung und innerhalb eines Monats als Abschlussbericht.
Každý členský stát přetváří článek 23 do vnitrostátního práva. §32 BSIG opakuje kaskádu a jako příjemce uvádí BSI. Pro nedigitální odvětví nedoplňuje žádné vlastní číslo. Nizozemsko, Rakousko a Francie postupují podle stejného vzoru.
Sedm kritérií (písmena a až g)
Pět věcných spouštěcích kritérií plus dva odkazy. a) 500 000 EUR nebo 5 procent obratu (podle toho, co je nižší), b) exfiltrované obchodní tajemství, c) usmrcení osoby, d) vážná újma na zdraví osoby, e) úspěšné zlovolné vniknutí schopné způsobit závažné narušení, f) opakující se incidenty podle čl. 4, g) prahy specifické pro subjekt podle čl. 5 až 14. Kterékoli jediné kritérium spouští významnost pro poskytovatele digitálních služeb v rozsahu působnosti.
Opakující se incidenty
Malé incidenty se sčítají. Pokud stejná hlavní příčina vyvolá nejméně dva incidenty za šest měsíců a dohromady překročí hranici finanční ztráty v čl. 3 odst. 1 písm. a), CIR je považuje za jeden významný incident. Počítat každý zvlášť je chyba.
Specifika pro DNS a TLD
Pro DNS resolvery a registry TLD: výpadek překladu jmen na déle než 30 minut, průměrná doba odezvy nad 10 sekund po dobu delší než jedna hodina nebo narušení integrity dat u více než 1 000 domén či 1 procenta portfolia. Články 6 až 14 stanoví obdobné hranice pro cloud, CDN, MSP, MSSP, tržiště, vyhledávání, sociální sítě a služby vytvářející důvěru.
Spouštěč A: závažné narušení provozu nebo finanční ztráta pro váš subjekt
Toto je spouštěč zaměřený dovnitř. Směrnice vám nedává žádné euro číslo, žádnou dobu trvání, žádné procento. Bod odůvodnění 101 jmenuje tři věci, na které je třeba se podívat: jak velká část služby je zasažena, jak dlouho incident trvá a kolik uživatelů zasáhne. Použijte je k uspořádání svých úvah. Nepovažujte je za kontrolní seznam.
Spouštěč B: značná hmotná nebo nehmotná újma třetím stranám
Toto je spouštěč zaměřený ven. Zákazníci, občané, navazující provozovatelé, váš dodavatelský řetězec. Nehmotná újma zahrnuje újmu na pověsti a důvěře. Krátký výpadek, který naruší nemocniční postup, způsobí únik dat zákazníků nebo odpojí městskou službu, může toto spouštěcí kritérium splnit, i když je vaše vlastní ztráta malá.
Ransomware na dva dny zastaví výrobu
Provoz se zastaví. Spouštěč A čl. 23 odst. 3 NIS 2 (závažné narušení provozu) je splněn. Včasné varování 24 h, oznámení incidentu 72 h, závěrečná zpráva 1 měsíc (čl. 23 NIS 2 / §32 BSIG).
Kliknutí na phishingový e-mail, heslo nezadáno
Zvládnutí úspěšné, žádný dopad na služby ani třetí strany. Dobrovolné oznámení podle čl. 30 NIS 2 je k dispozici, pokud se chcete podělit, a neukládá žádné další povinnosti (čl. 30 odst. 4).
Výpadek poskytovatele cloudu, vaše vlastní služba zpožděna
Pokud se vaše vlastní služba výrazně zpomalí nebo se zastaví, je splněn spouštěč A. Zkontrolujte také spouštěč B: trpí zákazníci nebo navazující provozovatelé? (čl. 23 odst. 3 NIS 2)
Útok DDoS vyřadí zákaznický portál na čtyři hodiny
Významné přerušení pro zákazníky. Obě spouštěcí kritéria v čl. 23 odst. 3 NIS 2 jsou potenciálně splněna. U poskytovatelů DNS, cloudu nebo služeb vytvářejících důvěru zkontrolujte také čl. 5 až 14 CIR.
Chybná konfigurace odhalí data zákazníků
Článek 33 GDPR: 72 h dozorovému úřadu. Pokud je překročen i práh NIS 2 (čl. 23 odst. 3 NIS 2 nebo čl. 3 CIR), navíc článek 23 NIS 2: včasné varování 24 h pro CSIRT. Oba hodinové cykly začnou běžet v okamžiku zjištění.
Narušení u dodavatele, zasažena vaše vlastní služba
Nejprve zkontrolujte škodu na vlastním subjektu nebo u vašich zákazníků. Ne každý incident u dodavatele spouští vaši vlastní ohlašovací povinnost. Souběžně: zdokumentujte dohled nad dodavateli podle čl. 21 odst. 2 písm. d) NIS 2.
Nejste si jisti, zda je práh překročen? Podejte včasné varování a aktualizujte později. Čl. 23 odst. 4 písm. a) NIS 2 je k tomu přesně určen. Příslušný orgán dává přednost včasnému „zatím si nejsme jisti“ před pozdním „čekali jsme příliš dlouho“.
Článek 30 odst. 1 NIS 2 umožňuje dobrovolné oznámení incidentů, kybernetických hrozeb a téměř uskutečněných incidentů CSIRT. Týká se to subjektů v působnosti směrnice i subjektů mimo ni, které chtějí významnou událost oznámit.
Klíčovou ochranou je čl. 30 odst. 4 NIS 2: dobrovolné ohlašování nesmí oznamujícímu subjektu uložit žádné další povinnosti. Ohlášení hraničního případu nenese žádné riziko dalších povinností. To odstraňuje zjevnou výmluvu, proč neoznámit nejasný incident.
Článek 23 odst. 2 NIS 2 doplňuje samostatnou povinnost. Klíčové a důležité subjekty bez zbytečného odkladu sdělí příjemcům svých služeb veškerá opatření nebo nápravu, které mohou přijmout ke zmírnění rizik plynoucích z významné kybernetické hrozby. Toto není oznámení CSIRT, ale externí komunikace se zákazníky.
V Německu to provádí §35 BSIG. §35 odst. 1 umožňuje BSI nařídit oznámení. §35 odst. 2 navíc zavazuje určitá odvětví (finance, sociální zabezpečení, digitální infrastruktura, řízení služeb IKT, digitální služby) oznámit z vlastní iniciativy. Komunikaci lze provést zveřejněním na internetových stránkách subjektu.
Pokyny BSI podle §32 BSIG
BSI opakuje znění čl. 23 odst. 3 a odkazuje vás na svůj standardní ohlašovací formulář (MIRP). Pro nedigitální odvětví nezveřejňuje žádné číslo. Postoj BSI: posuzujte významnost podle kvalitativních kritérií, sepište své odůvodnění a v případě pochybností ohlaste.
Technické prováděcí pokyny ENISA
Technické prováděcí pokyny ENISA (TIG, v1.2 srpen 2025) dávají praktické rady k posouzení dopadu a odkazují na prahy CIR tam, kde platí. TIG nejsou závazné a odvětví mimo působnost CIR výslovně vracejí zpět vnitrostátním orgánům.
Transpozice v jiných členských státech
Nizozemský Cyberbeveiligingswet, rakouský návrh NISG 2024 i francouzský režim OIV/REC opakují test z čl. 23 odst. 3 doslova. Žádný z nich dosud nezveřejnil čísla pro nedigitální odvětví. Vzor je v celé EU stejný: kvalitativní test plus CIR pro digitální skupinu.
Mýtus 1: Poznáme to, až to uvidíme.
Realita: Čl. 23 odst. 3 vám dává 24 hodin na rozhodnutí, sepsání odůvodnění a jeho obhajobu při auditu. Pokud jste si svá kritéria nesepsali před incidentem, budete se rozhodovat pod tlakem a bez záznamu, o který byste se mohli opřít. Vybudujte rozhodovací rámec teď, ne až v daný den.
Mýtus 2: Za významné incidenty se počítají jen úniky dat.
Realita: Čl. 23 odst. 3 písm. a) se vztahuje na narušení provozu a finanční ztrátu bez jakékoli zmínky o osobních údajích. Výrobní linka zastavená ransomwarem bez exfiltrace dat je významný incident. Logistická platforma mimo provoz na tři hodiny je významný incident. NIS 2 není GDPR.
Mýtus 3: Malé incidenty pod prahem se nesčítají.
Realita: Čl. 4 CIR (a stejná logika u kvalitativních spouštěčů) říká, že opakované incidenty se stejnou hlavní příčinou se sčítají. Dva dvacetiminutové výpadky téže selhávající součásti během šesti měsíců mohou práh překročit dohromady. Počítat každý izolovaně je chyba.
Přílohy I a II NIS 2 pokrývají zhruba 18 odvětví. Čísla dostává jen digitální skupina v čl. 1 CIR (asi 11 typů subjektů). To je malý zlomek subjektů v působnosti. Pro energetiku, dopravu, bankovnictví, infrastrukturu finančního trhu, zdravotnictví, pitnou vodu, odpadní vodu, veřejnou správu, kosmický prostor, poštovní služby, odpadové hospodářství, chemii, potravinářství, výrobu a výzkum zůstává test kvalitativní.
Právě tady můžete být v místnosti užiteční. Poctivá odpověď na otázku představenstva („co se pro nás počítá za významné?“) zní: EU to ponechala na vašem úsudku, zde jsou tři faktory z bodu odůvodnění 101, zde je záznam o rozhodnutí, který v daný den vytvoříme, zde je ten, kdo jej podepíše, zde je ohlašovací formulář BSI, který podáme. Obhajitelnou odpovědí není číslo. Je to písemné rozhodnutí.
Modul incidentů na nisd2.eu zaznamenává vaše odůvodnění klasifikace jako strukturované pole navázané na čl. 23 odst. 3. Pro subjekty digitální infrastruktury se čísla z čl. 3, 4 a 5 CIR zobrazují jako záchytné body. Pro všechny ostatní se tři faktory z bodu odůvodnění 101 objeví jako vedená šablona, odůvodnění se podepíše a opatří časovým razítkem a záznam plní 24hodinovou a 72hodinovou zprávu.
Výstupem je záznam, který obhájíte: rozhodnutí, odůvodnění, podepisující, časové razítko. To je přesně to, na co se příslušný orgán a BSI po hraniční události ptají. Je to také to, co chrání vedení podle čl. 20 NIS 2, pokud někdo později rozhodnutí zpochybní.
- Směrnice (EU) 2022/2555 (NIS 2), čl. 23 a bod odůvodnění 101. eur-lex.europa.eu/eli/dir/2022/2555/oj
- Prováděcí nařízení Komise (EU) 2024/2690, články 1, 3, 4, 5 až 14. eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- BSIG §32 (Německo). bsi.bund.de regulační portál
- Technické prováděcí pokyny ENISA k ohlašování incidentů podle NIS 2 (TIG). enisa.europa.eu
- Ohlašovací formulář BSI MIRP a pokyny k incidentům. bsi.bund.de