Jak ohlásit incident podle NIS 2 do 24 hodin
Článek 23 NIS 2 stanoví jednu kaskádu napříč Unií: včasné varování do 24 hodin, oznámení incidentu do 72 hodin, průběžná zpráva na vyžádání, závěrečná zpráva do jednoho měsíce. Hodiny se spouští, jakmile se o incidentu dozvíte, nikoli když nastal.
Krátká verze
Pokud udeří významný incident, dlužíte svému národnímu CSIRT (v Německu: BSI) čtyři zprávy v pevném pořadí. První je splatná 24 hodin poté, co se o incidentu dozvíte. Spouštěcím slovem je vědomost, nikoli výskyt. V okamžiku, kdy někdo u vás může říct, že jde o víc než výpadek, se hodiny spustily.
Článek 23(4) NIS 2 jmenuje všechny čtyři stupně. Prováděcí nařízení Komise (EU) 2024/2690 §11 vysvětluje, co zprávy musí obsahovat, a uvádí kategorie incidentů, které se vždy počítají jako významné. §32 BSIG a BSI Meldeportal jsou pro to německý kanál.
Tato stránka prochází nejprve vrstvou EU, poté německou operační vrstvou. Kaskáda je napříč Unií stejná. Portál a kontaktní pracoviště se mění zemi od země.
Článek 23(4) směrnice NIS 2 (2022/2555)
Členské státy zajistí, aby dotčené subjekty předložily CSIRT nebo případně příslušnému orgánu: (a) bez zbytečného odkladu a v každém případě do 24 hodin poté, co se o významném incidentu dozvěděly, včasné varování; (b) bez zbytečného odkladu a v každém případě do 72 hodin poté, co se o významném incidentu dozvěděly, oznámení incidentu; (c) na žádost CSIRT nebo případně příslušného orgánu průběžnou zprávu o příslušných aktualizacích stavu; (d) závěrečnou zprávu nejpozději jeden měsíc po předložení oznámení incidentu podle písmene (b).
Čtyři stupně, jedna kaskáda. Znění je závazné napříč každým členským státem. Ukotvení hodin je na každém kroku stejné: od okamžiku, kdy se dozvíte, nikoli od okamžiku, kdy incident začal.
CIR (EU) 2024/2690, příloha §11.6
Incident se považuje za významný, pokud způsobuje nebo je schopen způsobit závažné provozní narušení služeb nebo finanční ztráty dotčenému subjektu, nebo pokud zasáhl nebo je schopen zasáhnout jiné fyzické nebo právnické osoby způsobením značné hmotné nebo nehmotné újmy.
§11.6 uvádí kategorie, které se vždy kvalifikují jako významné: ransomware, exfiltrace osobních nebo citlivých dat, odepření služby vůči zásadním službám, ztráta důvěrnosti nebo integrity kritických aktiv a podobně. Pokud kategorie sedí, otázka prahu je uzavřena. Ohlašování začíná.
§32 BSIG (Německo)
Wesentliche und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich, spätestens innerhalb der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 genannten Fristen.
Německo kopíruje kaskádu směrnice a míří na BSI Meldeportal jako operační kanál. §32 BSIG je německou kotvou. Článek 23(4) NIS 2 je hmotným pravidlem, na které německý text odkazuje.
Včasné varování
Do 24 hodin poté, co se o incidentu dozvíte, podejte včasné varování přes BSI Meldeportal. Pojmenujete subjekt, signalizujete, zda máte podezření na zlovolný čin, a označíte, zda je možný přeshraniční dopad. Zatím nepotřebujete hlavní příčinu, rozsah ani připsání. Smyslem je dát CSIRT pohotovost a zahájit koordinaci.
Oznámení incidentu
Do 72 hodin poté, co se dozvíte, podejte oznámení incidentu. Aktualizujte, co jste řekli ve 24 hodinách. Přidejte úvodní posouzení závažnosti a dopadu. Přidejte indikátory kompromitace, pokud je máte. Toto je poprvé, kdy se od vás očekává charakterizace incidentu, nikoli jen jeho ohlášení. Nejlepší odhad z dílčích dat stále poráží mlčení.
Závěrečná zpráva (a průběžná na vyžádání)
Mezi 72 hodinami a závěrečnou zprávou si CSIRT nebo příslušný orgán může kdykoli vyžádat průběžnou zprávu o příslušných aktualizacích stavu. Samotná závěrečná zpráva je splatná nejpozději jeden měsíc po 72hodinovém oznámení. Nese potvrzený popis incidentu, analýzu hlavní příčiny, uplatněná zmírňující opatření a jakýkoli přeshraniční dopad. Pokud incident po měsíci stále probíhá, podejte zprávu o pokroku a závěrečnou, až se uzavře.
Rychlost před úplností, vědomost před výskytem
BSI to říká jasně: „Schnelligkeit vor Vollständigkeit“. Pošlete zprávu s tím, co víte teď. Aktualizujte později. Hodiny se spouští v okamžiku, kdy někdo s odpovědností může říct, že jde o víc než běžné narušení, nikoli v okamžiku, kdy útok skutečně začal. Pozdní, úplná zpráva je nesoulad. Rychlá, dílčí zpráva je soulad.
Ohlašovací cesty mohou běžet souběžně
Pokud jsou zapojena osobní data, článek 33 GDPR běží své vlastní 72hodinové hodiny vůči úřadu pro ochranu osobních údajů (v Německu: BfDI nebo příslušný zemský úřad pro ochranu osobních údajů). Tyto hodiny jsou nezávislé na kaskádě NIS 2. Můžete dlužit obojí současně. Podání jednoho nesplňuje druhé. Totéž platí pro sektorové regulátory tam, kde existují.
BSI Meldeportal podle §32 BSIG
Podáváte přes BSI Meldeportal na meldeportal.bsi.bund.de. Portál vás provede čtyřmi stupni a sleduje lhůty. BSI vydává pokyny pod titulkem „Schnelligkeit vor Vollständigkeit“: nečekejte na forenzní jistotu. Pošlete, co máte. Portál vám umožní aktualizovat tentýž případ napříč kaskádou.
Článek 33 GDPR: běží souběžně
Pokud incident zahrnuje osobní data, dlužíte také oznámení podle článku 33 GDPR do 72 hodin poté, co se dozvíte. To jde úřadu pro ochranu osobních údajů, nikoli BSI. 72hodinové hodiny jsou stejné číslo, ale jiné hodiny a jiný adresát. Podání přes BSI Meldeportal nezastaví hodiny GDPR. Sledujte obojí.
Koordinace ENISA a sektoroví regulátoři
Článek 23(11) NIS 2 umožňuje příslušnému orgánu a CSIRT sdílet zprávu s partnerskými orgány v jiných členských státech tam, kde je možný přeshraniční dopad, a s ENISA. Pokud působíte přes hranice, očekávejte koordinaci, nikoli zdvojené podávání. Tam, kde existuje sektorový regulátor (finance podle DORA, telekomunikace podle TKG), podávejte podle tohoto režimu místo NIS 2 nebo vedle něj, jak předepisuje příslušný akt.
Ohlásíme to, až budeme vědět, co se opravdu stalo.
Než budete vědět, co se opravdu stalo, 24hodinové okno se zavře a 72hodinové se zavírá. Článek 23(4)(a) nevyžaduje ve 24 hodinách hlavní příčinu. Vyžaduje včasné varování. Hlavní příčina patří do závěrečné zprávy, o měsíc později. Čekání na jistotu je nejběžnějším způsobem, jak zmeškat první lhůtu.
Dokud nepotvrdíme, že je významný, nepodáváme.
Potvrzování významnosti předem není testem. CIR §11.6 uvádí kategorie, které jsou významné z definice. Včasné varování ve 24 hodinách je stavěno přesně pro situaci, kdy si ještě nejste jisti. Vynechte 24hodinový krok a už jste zmeškali lhůtu, kterou nelze vzít zpět, i kdyby se později ukázalo, že incident významný nebyl.
Poslali jsme oznámení, máme hotovo.
72hodinové oznámení je jedním ze čtyř stupňů, nikoli posledním. Průběžnou zprávu lze vyžádat kdykoli. Závěrečná zpráva je splatná jeden měsíc po 72hodinovém oznámení. Většina pokut v rané vlně vymáhání se soustřeďuje na chybějící závěrečnou zprávu, nikoli na včasné varování.
Úterý 07:42, analytik SOC ve Stadtwerku si všimne, že fakturační aplikace je nedostupná a na třech sdílených složkách se objevují výzvy k výkupnému. V 08:10 vedoucí IT potvrdí šifrování na fakturační databázi. To je časové razítko vědomosti. 24hodinové hodiny se spouští v 08:10 v úterý, 72hodinové hodiny se spouští v 08:10 v úterý, měsíční hodiny pro závěrečnou zprávu se spouští v okamžiku, kdy je podáno 72hodinové oznámení.
Do 14:00 v úterý subjekt podá včasné varování přes BSI Meldeportal: podezření na ransomware, zlovolný čin ano, přeshraniční dopad nejasný (dvanáct hodin před lhůtou). Do pátku 06:00 subjekt podá 72hodinové oznámení s úvodní závažností a indikátory kompromitace z logů EDR. Osmnáctý den BSI vyžádá průběžnou zprávu o pokroku v obnově; subjekt ji podá. Dvacátý devátý den subjekt podá závěrečnou zprávu s potvrzenou hlavní příčinou, uplatněným zmírněním a shrnutím poučení. Čtyři zprávy, jedno ukotvení hodin: 08:10 v úterý.
Modul incidentů na platformě zrcadlí čtyřstupňovou kaskádu. Když se incident otevře, časové razítko vědomosti ukotví tři odpočítávací hodiny: 24 hodin, 72 hodin, jeden měsíc. Každé hodiny mají vlastní šablonu předvyplněnou tím, co žádá článek 23(4) a CIR §11.6, takže vyplníte, co víte teď, a platforma vám řekne, co stále chybí.
Podávání probíhá v Německu přes BSI Meldeportal. Platforma portál nenahrazuje. Připravuje obsah, sleduje lhůty, drží auditní stopu a připomíná odpovědnému vlastníkovi, že další krok v kaskádě je splatný. Samotné zprávy zůstávají připravené k exportu, takže je můžete pod časovým tlakem vložit do portálu.
- Směrnice (EU) 2022/2555 (NIS 2), článek 23(3), 23(4), 23(11) (eur-lex.europa.eu/eli/dir/2022/2555/oj)
- Prováděcí nařízení Komise (EU) 2024/2690, příloha §11 (eur-lex.europa.eu/eli/reg_impl/2024/2690/oj)
- Zákon o BSI (BSIG), §32 ve znění zákona o zavedení NIS2 a posílení kybernetické bezpečnosti
- BSI Meldeportal (meldeportal.bsi.bund.de)
- BSI Infopakete „NIS 2 Pflichten“ k ohlašování incidentů (bsi.bund.de/dok/nis-2-infopakete)
- Nařízení (EU) 2016/679 (GDPR), článek 33 (eur-lex.europa.eu/eli/reg/2016/679/oj)