Art. 23 NIS 2

Phishingový incident podle NIS 2

Jak phishing překračuje práh významného incidentu, co vyžaduje kaskáda hlášení a co typický playbook řeší paralelně.

Simon OrzelSimon Orzel·

Co tato stránka pokrývá

Phishing není podle NIS 2 samostatnou regulační kategorií. Směrnice zachází s úspěšným phishingovým pokusem jako s jedním z možných významných incidentů mezi ostatními. Kvalitativní test v článku 23 odst. 3 NIS 2 je tentýž, kterým musí projít každý jiný typ incidentu. Prováděcí nařízení Komise (EU) 2024/2690 (CIR) jmenuje v příloze oddíl 11.6 kategorie, které pro subjekty digitální infrastruktury platí jako významné ve výchozím stavu.

Spouštěč, který většina provozovatelů přehlédne, je kompromitace přihlašovacích údajů. Phishingový e-mail, který zachytí funkční sadu přihlašovacích údajů ke kritickému účtu, není těsným minutím. Je to úspěšná událost neoprávněného přístupu. Zda pak splňuje práh článku 23 odst. 3, závisí na tom, k čemu se účet dostane, co bylo vytaženo a které služby byly zasaženy.

Tato stránka stanoví mechaniku, ne právní radu. Popisuje hodiny včasného varování, oznámení incidentu a závěrečné zprávy podle článku 23 odst. 4 NIS 2, jak typický playbook SOC řeší zadržení a zajištění důkazů a kde běží paralelně článek 33 GDPR, když jsou zapojena osobní data.

Právní kotva
Na každém phishingovém případu sedí tři vrstvy: směrnice definuje významnost, CIR přidává kvantitativní a kategoriální detail pro digitální infrastrukturu a národní právo transponuje kaskádu.

Směrnice NIS 2 (EU) 2022/2555, čl. 23 odst. 3

Incident se považuje za významný, pokud: a) způsobil nebo je schopen způsobit závažné narušení provozu služeb nebo finanční ztrátu pro dotčený subjekt; b) ovlivnil nebo je schopen ovlivnit jiné fyzické nebo právnické osoby tím, že způsobil značnou hmotnou nebo nehmotnou škodu.

Toto je jediná obecná definice významného incidentu v právu EU. Oba body používají 'schopen způsobit', takže potenciální škoda se počítá stejně jako skutečná škoda. Phishingová událost, která kompromitovala přihlašovací údaje k privilegovanému účtu, může splnit bod a) ještě předtím, než se nějaká služba skutečně zastavila.

CIR (EU) 2024/2690, příloha oddíl 11.6

Incident se považuje za významný, pokud způsobuje nebo je schopen způsobit závažné narušení provozu služeb nebo finanční ztráty pro dotčený subjekt, nebo pokud ovlivnil nebo je schopen ovlivnit jiné fyzické nebo právnické osoby tím, že způsobil značnou hmotnou nebo nehmotnou škodu.

Oddíl 11.6 uvádí kategorie, které se vždy kvalifikují jako významné pro subjekty digitální infrastruktury pokryté CIR: ransomware, exfiltrace osobních nebo citlivých dat, odepření služby vůči klíčovým službám a ztráta důvěrnosti nebo integrity kritických aktiv. Phishingový případ, který skončí kterýmkoli z těchto, překročil práh z definice. Pro sektory mimo CIR rozhoduje kvalitativní test v článku 23 odst. 3 sám.

§ 32 BSIG (Německo)

Klíčové a důležité subjekty oznámí Bundesamtu významné incidenty bez zbytečného odkladu, nejpozději ve lhůtách uvedených v článku 23 odst. 4 směrnice (EU) 2022/2555.

Německo přebírá kaskádu směrnice tak, jak je, a směruje hlášení přes portál BSI na meldung.bsi.bund.de. § 32 BSIG je německou kotvou. Hmotné lhůty zůstávají ty z článku 23 odst. 4 NIS 2: včasné varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečná zpráva do jednoho měsíce.

Tři věci se dějí paralelně
Phishingový incident, který překročí práh, rozběhne tři proudy práce současně. Žádný z nich nečeká na ostatní.
Krok 1

Triáž a rozhodnutí o prahu

Hodiny začínají, když se subjekt o incidentu dozví. Vědomost je okamžik, kdy kompetentní osoba uvnitř organizace ví dost na to, aby měla podezření na významný incident, ne když je vyšetřování dokončeno. Triáž odpovídá na tři otázky: které účty byly kompromitovány, k čemu se ty účty mohou dostat a zda sedí nějaká kategorie z přílohy CIR oddíl 11.6. Pokud ano, otázka prahu je uzavřena a připravuje se včasné varování.

Krok 2

Zadržení a důkazy

Typický playbook SOC resetuje kompromitované přihlašovací údaje, zruší aktivní relace, zablokuje doménu odesílatele, izoluje zasažené koncové body od sítě a zajistí poštovní schránku, obraz disku koncového bodu a logy ověřování před jakoukoli reinstalací. Vymazání phishingem zasaženého stroje před pořízením obrazu zničí forenzní záznam, který později odpovídá na to, k čemu se útočník skutečně dostal.

Krok 3

Kaskáda 24 h / 72 h / 1 měsíc

Článek 23 odst. 4 NIS 2 stanoví tři lhůty od okamžiku vědomosti. Do 24 hodin subjekt podá včasné varování s uvedením, zda je incident podezřelý z toho, že byl způsoben protiprávními nebo zlovolnými činy, nebo zda má přeshraniční dopad. Do 72 hodin oznámení incidentu aktualizuje včasné varování o počáteční posouzení, indikátory kompromitace a závažnost. Do jednoho měsíce závěrečná zpráva popíše příčinu, zmírnění a jakýkoli přeshraniční dopad.

Dva principy, které řídí raná rozhodnutí
Toto jsou dvě provozní pravidla, která rozhodují, jak proběhne prvních 24 hodin.

Rozsah škody je to, co dělá phishing významným

Článku 23 odst. 3 nezáleží na technice. Záleží mu na účinku. Phishingový e-mail otevřený jedním finančním referentem není významný. Tentýž e-mail, pokud zachytil funkční přihlašovací údaje umožňující přístup k fakturačnímu systému, mzdám nebo zákaznické databázi, může splnit bod a) o potenciálním narušení provozu nebo bod b) o škodě fyzickým nebo právnickým osobám. Otázka rozsahu zní: k čemu se mohly kompromitované přihlašovací údaje dostat, než byly zneplatněny, a co bylo dosaženo během okna přístupu.

Rychlost překonává úplnost

Postoj BSI je 'Schnelligkeit vor Vollständigkeit'. Včasné varování do 24 hodin je stavěno pro okamžik, kdy je obraz neúplný. Formulář žádá počáteční klasifikaci a známá fakta, ne finální analýzu příčin. Zdržování včasného varování, dokud není známo vše, zmešká lhůtu; lhůtu nelze dohnat později, i kdyby se incident později ukázal jako nevýznamný.

Národní pohled (Německo)
V phishingovém případu, který zahrnuje osobní data a trestní prvek, se objeví tři německé úřady. Každý má vlastní kanál a hodiny.
DE

BSI: hlášení NIS 2 na meldung.bsi.bund.de

BSI provozuje jednotný kanál podle § 32 BSIG pro hlášení incidentů NIS 2. Portál předstrukturuje podání 24 h, 72 h a jednoho měsíce a ukládá auditní stopu. Veřejné pokyny BSI opakují znění článku 23 odst. 3 a potvrzují 'Schnelligkeit vor Vollständigkeit'. Phishingem řízené incidenty, které splňují kvalitativní test, jdou tímto kanálem, bez ohledu na to, zda se dotýkají i osobních dat.

DE

BfDI / zemský DPA: paralela článku 33 GDPR

Pokud phishingová událost vystavila osobní data, běží vedle NIS 2 článek 33 GDPR. Oznámení o ochraně dat jde příslušnému dozorovému úřadu do 72 hodin od vědomosti, ledaže je nepravděpodobné, že porušení povede k riziku pro fyzické osoby. Zpráva podle NIS 2 a oznámení podle GDPR jsou samostatné dokumenty samostatným úřadům; podkladová fakta se překrývají, formální kanály ne.

DE

ZAC LKA: trestní oznámení jako samostatné rozhodnutí

Úspěšný phishingový útok je obvykle trestným činem podle § 202a, § 202b nebo § 263a StGB. Zentrale Ansprechstelle Cybercrime (ZAC) příslušného Landeskriminalamtu je vstupním bodem pro trestní oznámení. Jeho podání je samostatným rozhodnutím vedení, oddělené od regulačního hlášení, a nepozastavuje žádné z hodin.

Tři věci, které se pokazí v prvních 24 hodinách
Každá z těchto se rozpadne proti textu článku 23 odst. 3 a CIR.
  • 'Byl to jen jeden uživatel, není to významné'

    Test článku 23 odst. 3 se ptá, zda je incident schopen způsobit závažné narušení provozu nebo značnou škodu třetím stranám. Funkční sada přihlašovacích údajů k privilegovanému účtu v rukou útočníka je schopna obojího, bez ohledu na to, kolik uživatelů bylo phishingem zasaženo. Významnost se rozhoduje podle toho, k čemu se přihlašovací údaje mohou dostat, ne podle velikosti populace, která klikla.

  • 'Reinstalujte notebook hned pro jistotu'

    Vymazání koncového bodu před pořízením forenzního obrazu zničí jediný záznam o tom, co útočník během okna přístupu skutečně udělal. Oznámení incidentu do 72 hodin i závěrečná zpráva do jednoho měsíce žádají indikátory kompromitace a příčinu. Bez obrazu jsou tyto odpovědi dohady. Typický playbook nejprve izoluje, pořídí obraz koncového bodu a zasažené poštovní schránky a teprve pak reinstaluje.

  • 'Ticho je bezpečnější, nikomu interně neříkejte'

    Článek 23 odst. 1 písm. h) NIS 2 ukládá subjektu, kde je to vhodné, sdělit příjemcům jeho služeb, kteří jsou potenciálně zasaženi. Ticho na interní straně zdržuje druhou vlnu detekce: další zaměstnance, kteří dostali tentýž e-mail, další účty, které už mohou být kompromitovány. Krátká, věcná interní zpráva v prvních hodinách je součástí reakce, ne tisková zpráva.

Poznámka praktika

Nejužitečnější věc, kterou si malý tým může nacvičit před skutečnou událostí, je rozhodnutí o prahu. Sepište si předem, které účty jsou pro subjekt 'kritické' (administrátorské konzole, platební systémy, poskytovatel identit, zákaznická databáze, řízení OT). Phishingová událost, která zachytí kterýkoli z nich, je podle vaší vlastní definice kandidátem na oddíl 11.6 a hodiny 24 hodin začínají.

Druhá nejužitečnější věc je šablona zprávy. Portál BSI žádá strukturovanou sadu faktů. Sepisování včasného varování poprvé během skutečného incidentu plýtvá prvními dvěma hodinami. Předvyplněná šablona s identifikátory firmy, sektorem, kontaktními kanály a prázdnou narativní sekcí může být podána do třiceti minut, jakmile jsou fakta k dispozici.

Jak to řešíme na platformě

Modul incidentů otevírá případ z jediného časového razítka 'vědomosti' a ukotvuje tři hodiny: 24 hodin, 72 hodin, jeden měsíc. Každé hodiny mají vlastní šablonu, předvyplněnou poli, která žádá článek 23 odst. 4 a příloha CIR oddíl 11.6. Zadáte, co je známo, platforma ukáže, co stále chybí. Samostatný časovač článku 33 GDPR se aktivuje, pokud jsou na případu označena osobní data.

Protokol případu uchovává řetězec času vědomosti, akcí zadržení, komunikace a podání. Tento protokol je auditním důkazem, který portál BSI za vás nedokáže vygenerovat, a dokumentem, který auditor vyžádá při přezkumu podle § 61 BSIG.

Zdroje
  • Směrnice (EU) 2022/2555 (NIS 2), článek 23 (hlášení incidentů), článek 21 odst. 2 písm. g) (osvětové školení o bezpečnosti), recitál 101 (faktory významnosti). EUR-Lex.
  • Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024, příloha oddíl 11.6 (kategorie incidentů vždy považovaných za významné pro subjekty digitální infrastruktury). EUR-Lex.
  • BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), § 32 (hlášení incidentů BSI). gesetze-im-internet.de.
  • Nařízení (EU) 2016/679 (GDPR), článek 33 (oznámení porušení zabezpečení osobních údajů dozorovému úřadu do 72 hodin). EUR-Lex.
  • BSI, veřejné pokyny ke kaskádě hlášení podle NIS 2 a principu 'Schnelligkeit vor Vollständigkeit'. bsi.bund.de.
  • Strafgesetzbuch (StGB) § 202a Ausspähen von Daten, § 202b Abfangen von Daten, § 263a Computerbetrug. gesetze-im-internet.de.
Zkontrolujte, zda je váš phishingový případ významný
Kontrola použitelnosti a klasifikace incidentu projde článek 23 odst. 3 a přílohu CIR oddíl 11.6 s vašimi fakty a vrátí písemné odůvodnění do spisu vedení.