Schemat powiadomień o incydentach NIS 2

Kategoria, w ramach której składane jest niniejsze zgłoszenie. Art. 23(3) NIS2 nakłada obowiązek zgłaszania wyłącznie poważnych incydentów; zgłaszanie zdarzeń potencjalnie wypadkowych oraz incydentów niemających charakteru poważnego jest dobrowolne na podstawie art. 30 NIS2.

Wstępna ocena dotkliwości incydentu. Art. 23(4)(b) NIS2 wymaga, aby zgłoszenie incydentu (72h) zawierało wstępną ocenę dotkliwości i skutków. CIR 2024/2690 określa ilościowo progi istotności dla objętych nim kategorii dostawców usług cyfrowych.

Podsumowanie zdarzenia sformułowane prostym językiem. Art. 23(4)(a) NIS2 wymaga, aby wczesne ostrzeżenie wskazywało, czy istnieje podejrzenie, że poważny incydent ma charakter bezprawny lub złośliwy: to pole zawiera ten wstępny opis.

Zgodnie z brzmieniem art. 23(4)(d) NIS2: raport końcowy zawiera 'szczegółowy opis incydentu, w tym jego dotkliwość i skutki'. To pole gromadzi ustalenia w całym cyklu sprawozdawczym.

Art. 23(4)(a) NIS2 wymaga, aby wczesne ostrzeżenie w ciągu 24 godzin wskazywało, czy istnieje podejrzenie, że poważny incydent został spowodowany przez działania bezprawne lub złośliwe.

Art. 23(2) NIS2: w stosownych przypadkach podmiot bez zbędnej zwłoki przekazuje odbiorcom swoich usług, na których potencjalnie może mieć wpływ poważne cyberzagrożenie, informacje o wszelkich środkach lub działaniach zaradczych, które mogą podjąć.

Komunikat sformułowany prostym językiem skierowany do odbiorców usług podmiotu, dotyczący zagrożenia oraz zalecanych działań zaradczych. Wymagany, jeżeli customerNotificationRequired ma wartość prawda.

Najwcześniejszy znany czas wystąpienia incydentu. Może być 'nieznany', jeśli analiza kryminalistyczna jest niekompletna.

Czas, w którym podmiot powziął wiedzę o poważnym incydencie. Rozpoczyna bieg terminów 24h / 72h / 1m zgodnie z art. 23(4) NIS 2.

Czas, w którym incydent został opanowany i usunięty. Wymagane w sprawozdaniu końcowym zgodnie z art. 23(4)(d) NIS 2.

Zgodnie z brzmieniem art. 23(4)(d)(ii) NIS2: raport końcowy wskazuje 'rodzaj zagrożenia lub przyczynę źródłową, która prawdopodobnie wywołała incydent'.

Opisowa analiza uzasadniająca klasyfikację przyczyny źródłowej. Jeżeli analiza jest niepełna, należy wskazać najlepiej udokumentowaną hipotezę oraz stojące za nią dowody.

Ocena podmiotu, czy incydent stanowi atak ukierunkowany (skierowany przeciwko podmiotowi lub sektorowi), czy nieukierunkowany (oportunistyczny / kampania masowa).

Które z właściwości: poufność, integralność, dostępność zostały naruszone przez incydent. Art. 6(6) NIS2 definiuje 'poważny incydent' częściowo w odniesieniu do tych właściwości.

Zgodnie z brzmieniem art. 23(4)(b) NIS2: zgłoszenie incydentu (72h) wskazuje 'wstępną ocenę poważnego incydentu, w tym jego dotkliwość i skutki, a także, o ile są dostępne, wskaźniki naruszenia'. Należy podać obserwowalne artefakty (skróty plików, adresy IP, domeny, adresy URL, sygnatury złośliwego oprogramowania, wzorce zachowań), które obrońcy na dalszych etapach mogą wykorzystać do wykrycia tego samego zagrożenia. Opcjonalne, a nie obowiązkowe, ponieważ dyrektywa uzależnia to od dostępności; jeżeli analiza kryminalistyczna nie ujawniła żadnych IoC w chwili przekazania, pozostawić puste.

Środki techniczne, organizacyjne i operacyjne już podjęte w celu opanowania incydentu. Wymagane w zgłoszeniu incydentu (72h) i aktualizowane w kolejnych sprawozdaniach.

Zgodnie z brzmieniem art. 23(4)(d)(iii) NIS 2: sprawozdanie końcowe musi opisywać 'zastosowane i bieżące środki łagodzące'.

W jaki sposób incydent został po raz pierwszy wykryty. Wykorzystywane przez CSIRT do identyfikacji systemowych luk w wykrywaniu w całym sektorze.

Środki planowane w celu zapobieżenia ponownemu wystąpieniu. Realizuje pętlę 'wyciągniętych wniosków' wymaganą przez ENISA TIG w sprawozdaniu końcowym.

Szacowana liczba dotkniętych użytkowników. CIR 2024/2690 określa ilościowo progi dla objętych nim kategorii dostawców usług cyfrowych; dla pozostałych podmiotów ocena ma charakter jakościowy zgodnie z art. 6(6) i art. 23(3) NIS 2.

Opis tego, które usługi (operacyjne, skierowane do klientów, wewnętrzne) zostały pogorszone lub niedostępne i przez jak długi czas. Art. 6(6) NIS 2 czyni zakłócenie usługi kryterium definiującym 'poważny incydent'.

Szacowana bezpośrednia i pośrednia szkoda finansowa. Art. 6(6) NIS 2 zalicza stratę finansową do kryteriów, które kwalifikują incydent jako 'poważny'.

Ocena podmiotu, czy incydent spowodował lub może spowodować szkodę reputacyjną. Jedno z kryteriów kwalifikujących 'poważny incydent' zgodnie z art. 6(6) NIS 2.

Art. 23(4)(a) NIS 2 wymaga, aby wczesne ostrzeżenie wskazywało, czy poważny incydent ma wpływ transgraniczny. CSIRT innych zainteresowanych państw członkowskich są informowane za pośrednictwem mechanizmu współpracy określonego w art. 15 NIS 2.

Wykaz państw członkowskich UE, których podmioty, użytkownicy lub usługi są dotknięte incydentem. Wykorzystywany przez CSIRT do informowania właściwych organów innych państw.

Sektory dotknięte incydentem, odpowiadające załącznikowi I NIS 2 (sektory o wysokiej krytyczności) i załącznikowi II (inne sektory krytyczne). Może być konieczne poinformowanie sektorowych CSIRT.

Imię i nazwisko osoby fizycznej składającej zgłoszenie w imieniu podmiotu. Wymagane przez wszystkie portale krajowe, aby CSIRT mógł podjąć dalsze działania.

Adres e-mail, którego CSIRT może użyć do skontaktowania się ze zgłaszającym w sprawie pytań uzupełniających, wniosków o sprawozdanie okresowe oraz przekazania informacji zwrotnej na podstawie art. 23(5) NIS2.

Numer telefonu do pilnego kontaktu z CSIRT, w szczególności w oknie wczesnego ostrzegania, gdy poczta e-mail może działać wolno.

Wewnętrzny numer referencyjny incydentu należący do podmiotu. Umożliwia CSIRT skorelowanie wielu zgłoszeń dotyczących tego samego incydentu.