§32 BSIG

Scénář hlášení incidentů NIS2

§32 BSIG transponuje čl. 23 odst. 4 NIS 2: tři povinné zprávy s pevnými termíny (24 h, 72 h, 1 měsíc) plus dvě podmíněné zprávy (na vyžádání a pokud incident stále trvá). Zmeškání termínu je samostatným porušením, nezávislým na incidentu samotném.

Simon OrzelSimon Orzel·Laufend geprüft

Hlášení incidentů podle NIS2

§32 BSIG provádí článek 23 směrnice NIS2. Zavádí povinný režim hlášení významných bezpečnostních incidentů. Každý subjekt klasifikovaný jako základní subjekt nebo důležitý subjekt musí hlásit BSI, pokud incident splňuje kritéria významnosti. Kaskáda má tři povinné zprávy s pevnými termíny a dvě podmíněné zprávy, spouštěné na vyžádání nebo probíhajícím incidentem. Povinnost nelze delegovat na poskytovatele řízených bezpečnostních služeb; za včasné hlášení odpovídá subjekt sám.

Lhůty pro hlášení jsou přísné a začínají běžet okamžikem, kdy se subjekt o incidentu dozví, nikoli okamžikem dokončení vyšetřování. To je zásadní rozlišení: včasné varování do 24 hodin musí být podáno na základě prvotního zjištění, i když není znám plný rozsah a dopad. Čekání na úplné informace před hlášením je samo o sobě porušením.

Kaskáda hlášení podle čl. 23 odst. 4 NIS 2
Tři povinné fáze s pevnými termíny od okamžiku zjištění, plus až dvě podmíněné zprávy (mezitímní na žádost orgánu, průběžná zpráva, pokud incident v den splatnosti závěrečné zprávy stále trvá).
1

Včasné varování (Frühwarnung)

Do 24 hodin

Prvotní oznámení BSI, že byl zjištěn potenciálně významný incident. Musí být podáno do 24 hodin od zjištění incidentu. Účelem je umožnit BSI posoudit meziodvětvový dopad a v případě potřeby vydat varování ostatním subjektům.

  • Potvrzení, že došlo k významnému incidentu nebo že je podezření na něj
  • Zda je podezření, že incident byl způsoben protiprávním nebo zlovolným jednáním
  • Zda by incident mohl mít přeshraniční dopad
  • Název subjektu, sektor a kontaktní údaje pro další jednání
2

Oznámení incidentu (Meldung)

Do 72 hodin

Podrobnější oznámení doplňující včasné varování o další informace získané během prvotní reakce. Musí být podáno do 72 hodin od zjištění. Aktualizuje BSI o povaze, závažnosti a prvotním posouzení dopadu incidentu.

  • Aktualizované posouzení závažnosti a dopadu incidentu
  • Indikátory kompromitace (IoC), pokud jsou k dispozici
  • Prvotní posouzení povahy a příčiny incidentu
  • Opatření přijatá nebo plánovaná ke zmírnění incidentu
  • Posouzení přeshraničního dopadu, pokud je relevantní
3

Mezitímní zpráva (Zwischenbericht)

Na vyžádání

Podává se na žádost BSI mezi oznámením do 72 hodin a závěrečnou zprávou. Aktualizace stavu o aktuálním průběhu zvládání incidentu. Není automatická; spouští ji orgán.

  • Aktuální stav zadržení a nápravy
  • Nová zjištění o příčině, rozsahu nebo dopadu
  • Úpravy protiopatření
  • Aktualizované posouzení škod
4

Závěrečná zpráva (Abschlussbericht)

1 měsíc po oznámení do 72 h

Komplexní závěrečná zpráva podaná do jednoho měsíce od oznámení incidentu do 72 hodin. Úplná dokumentace incidentu a reakce.

  • Podrobný popis incidentu, včetně závažnosti a dopadu
  • Analýza kořenové příčiny. Typ hrozby nebo zranitelnosti, který incident způsobil
  • Opatření uplatněná a probíhající ke zmírnění incidentu a jeho následků
  • Přeshraniční dopad, pokud je relevantní
  • Získané poznatky a plánovaná nebo zavedená nápravná opatření
5

Průběžná zpráva (Verlaufsbericht)

Pokud incident stále trvá

Pokud incident není v době splatnosti závěrečné zprávy ještě vyřešen, nahrazuje ji průběžná zpráva. Následná závěrečná zpráva je pak splatná do jednoho měsíce od vyřešení incidentu.

  • Aktuální stav, jelikož incident stále trvá
  • Dosud zavedená opatření k zadržení
  • Předpokládaná doba do vyřešení incidentu, kde je předvídatelná
  • Plán pro případnou závěrečnou zprávu po vyřešení incidentu
Co činí incident 'významným'
Ne každá bezpečnostní událost spouští ohlašovací povinnost podle §32 BSIG. Incident je významný, pokud splňuje jedno nebo více z následujících kritérií, jak jsou vymezena v čl. 23 odst. 3 směrnice NIS2 a dále upřesněna v článku 3 CIR 2024/2690.

Narušení služby

Incident způsobil nebo je schopen způsobit závažné provozní narušení služeb poskytovaných subjektem. Pro poskytovatele DNS a registry TLD stanoví CIR prahové hodnoty včetně dostupnosti pod 99,9 % nebo chybného doručení odpovědi DNS.

Finanční ztráta

Incident způsobil nebo je schopen způsobit subjektu finanční ztrátu. Článek 3 CIR 2024/2690 stanoví prahovou hodnotu 500 000 EUR nebo 5 % ročního obratu, podle toho, která hodnota je nižší. Zahrnuje přímé náklady (náprava, forenzní analýza) i nepřímé náklady (ztráta příjmů, smluvní pokuty).

Dopad na jiné subjekty

Incident způsobil nebo by mohl způsobit značnou škodu jiným fyzickým nebo právnickým osobám. Zahrnuje incidenty, které se šíří dodavatelskými řetězci, ovlivňují sdílenou infrastrukturu nebo vystavují data patřící třetím stranám.

Únik dat

Incident zahrnuje neoprávněný přístup k datům, jejich zničení nebo pozměnění. Pozor: hlášení incidentů podle NIS2 podle §32 BSIG je oddělené od ohlášení porušení podle čl. 33/34 GDPR a doplňuje je. Obě povinnosti mohou platit současně.

Dlouhodobý výpadek

Incident způsobil nebo se očekává, že způsobí dlouhotrvající narušení služeb subjektu. Prahová hodnota trvání není ve směrnici pevně stanovena, ale CIR 2024/2690 poskytuje kritéria specifická pro subjekt. Dlouhodobé výpadky postihující kritické služby se považují za významné.

Povinné údaje hlášení
Ohlašovací portál BSI vyžaduje strukturované informace. Mít tyto údaje připravené předem výrazně snižuje riziko zmeškání 24hodinové lhůty.

  • Identifikace subjektu

    Název společnosti, registrační číslo BSI, klasifikace sektoru, kód NACE a určené kontaktní místo pro koordinaci incidentu. Tyto informace by měly být předem nakonfigurovány ve vašem plánu reakce na incidenty, nikoli dohledávány během krize.

  • Povaha a klasifikace incidentu

    Typ incidentu (ransomware, DDoS, únik dat, vnitřní hrozba, kompromitace dodavatelského řetězce atd.), postižené systémy a služby, časová osa událostí od detekce po aktuální stav a prvotní klasifikace závažnosti.

  • Posouzení dopadu

    Počet postižených uživatelů nebo zákazníků, narušené služby, odhadovaný finanční dopad, kategorie dotčených dat (pokud nějaké) a doba trvání narušení. Pro včasné varování jsou odhady přípustné. Přesnost přichází v oznámení do 72 hodin a v závěrečné zprávě.

  • Přeshraniční dopad

    Zda incident postihuje nebo by mohl postihnout subjekty nebo občany v jiných členských státech EU. To spouští sdílení informací mezi vnitrostátními CSIRT a může zahrnovat koordinaci ENISA. Musí být posouzeno jak ve včasném varování, tak v následných oznámeních.

  • Opatření reakce

    Kroky přijaté k zadržení, odstranění a obnově po incidentu. Zahrnuje technická opatření (izolace, opravy, obměna přihlašovacích údajů), komunikační opatření (informování zákazníků, brífink zainteresovaných stran) a organizační opatření (aktivace krizového týmu, zapojení externí podpory).

Kde a jak hlásit
Hlášení probíhá výhradně prostřednictvím digitálního ohlašovacího portálu BSI.

Všechna hlášení incidentů podle §32 BSIG musejí být podána prostřednictvím oficiálního ohlašovacího portálu BSI. BSI nepřijímá jako náhradu podání přes portál hlášení e-mailem, telefonem ani dopisem. Telefonický kontakt s týmem reakce na incidenty BSI (CERT-Bund) je však vhodný pro koordinaci reakce na kritické incidenty souběžně s formálním hlášením.

Ohlašovací portál je dostupný na webu BSI v sekci NIS2. Přístup vyžaduje předchozí registraci podle §33 BSIG. To znamená, že neregistrované subjekty čelí složenému problému: nemohou podat hlášení incidentů řádným kanálem, protože nedokončily předchozí registraci. To je další důvod, proč registraci u BSI nelze odkládat.

Sankce za pochybení při hlášení
Nesplnění hlášení se sankcionuje nezávisle na incidentu samotném. Společnost, která utrpí incident a zvládne jej technicky dobře, ale nesplní hlášení, čelí samostatnému správnímu řízení.

Až 10 000 000 EUR nebo 2 % obratu

Základní subjekty

Vyšší z hodnot 10 milionů EUR nebo 2 % celosvětového ročního obratu za předchozí účetní rok. To platí pro základní subjekty v sektorech uvedených v příloze 1 BSIG (energetika, doprava, bankovnictví, zdravotnictví, voda, digitální infrastruktura, kosmický prostor, veřejná správa).

Až 7 000 000 EUR nebo 1,4 % obratu

Důležité subjekty

Vyšší z hodnot 7 milionů EUR nebo 1,4 % celosvětového ročního obratu. To platí pro důležité subjekty v sektorech uvedených v příloze 2 BSIG (poštovní služby, odpadové hospodářství, chemické látky, potraviny, výroba, poskytovatelé digitálních služeb, výzkum).

Osobní odpovědnost. §38 BSIG

Vedení (Geschäftsleitung)

Pokud vedení o incidentu vědělo a nezajistilo včasné hlášení, představuje to porušení dohledové povinnosti podle §38 odst. 1 BSIG. Vedení může nést osobní odpovědnost vůči společnosti za škody vzniklé v důsledku pochybení při hlášení. To je odděleno od sankcí uložených společnosti samotné.

Zdroje
  • Směrnice NIS2 (EU) 2022/2555. Článek 23 (ohlašovací povinnosti)
  • BSIG. §32 (Meldepflichten bei erheblichen Sicherheitsvorfällen)
  • BSIG. §38 (Billigung, Überwachung, Schulung. Geschäftsleitung)
  • BSIG. §65 (Bußgeldvorschriften)
  • CIR (EU) 2024/2690. Článek 3 (významnost incidentů), článek 4 (opakující se incidenty)
  • ENISA. Pokyny k ohlašovacím povinnostem incidentů NIS2 a šablony (2024)
  • BSI. Dokumentace ohlašovacího portálu NIS2 a FAQ
Buďte připraveni hlásit dřív, než incident udeří
Platforma předkonfiguruje vaše ohlašovací údaje pro BSI, vede registr incidentů s klasifikačními postupy a sleduje termíny 24 h / 72 h / 1 měsíc, abyste pod tlakem splnili každou povinnost.
Začněte svůj proces compliance NIS2