§ 32 BSIG: obowiązek zgłaszania incydentów NIS 2
Trzy etapy, 24-godzinny zegar i co naprawdę oznacza poważny.
Czego wymaga § 32 BSIG
§ 32 BSIG przenosi do prawa niemieckiego obowiązek zgłaszania z artykułu 23 NIS 2. Podmioty objęte zakresem muszą zgłaszać poważne incydenty do Federalnego Urzędu Bezpieczeństwa Informacji (BSI) w trzech etapach. Trudne pytanie rzadko brzmi jak zgłosić, lecz czy incydent jest poważny.
24-godzinny zegar zaczyna bieg w chwili, gdy podmiot dowiaduje się o incydencie. Kto dopiero podczas sytuacji awaryjnej zastanawia się, czy incydent podlega zgłoszeniu, zużył już połowę tego terminu.
Wczesne ostrzeżenie w ciągu 24 godzin
Pierwsze wczesne ostrzeżenie do BSI w ciągu 24 godzin od powzięcia wiadomości o poważnym incydencie, ze wskazaniem, czy istnieje podejrzenie, że został spowodowany działaniami bezprawnymi lub złośliwymi, oraz czy może mieć skutki transgraniczne.
Zgłoszenie w ciągu 72 godzin
Pełniejsze zgłoszenie w ciągu 72 godzin, uzupełniające wczesne ostrzeżenie o pierwszą ocenę incydentu, jego powagi i skutków, a także o wskaźniki naruszenia, jeśli są dostępne.
Raport końcowy po miesiącu
Raport końcowy najpóźniej miesiąc po zgłoszeniu: szczegółowy opis, rodzaj zagrożenia lub przyczynę, zastosowane środki zaradcze oraz wszelkie skutki transgraniczne.
Na poziomie UE progi ilościowe poważnego incydentu określa rozporządzenie wykonawcze (UE) 2024/2690, lecz mają one bezpośrednie zastosowanie wyłącznie do wskazanych w nim dostawców infrastruktury cyfrowej i usług cyfrowych. Dla większości podmiotów objętych zakresem, takich jak produkcja, logistyka, ochrona zdrowia czy gospodarka odpadami, nie istnieją liczby unijne.
Dla tych podmiotów poważny charakter określają kryteria jakościowe z artykułu 23(3) NIS 2, przeniesione jako definicja ustawowa w § 2 numer 11 BSIG. Każde przedsiębiorstwo musi samo zdecydować, w ciągu 24 godzin, czy incydent podlega zgłoszeniu, i być w stanie udokumentować tę decyzję. Udokumentowana ocena stanowi dowód.
Zgłoszenia trafiają do BSI, w Niemczech przez jego portal zgłoszeniowy. Ustalcie wewnętrznie, z wyprzedzeniem, kto decyduje o zgłoszeniu i kto faktycznie je składa. Rozstrzyganie tego w trakcie incydentu kosztuje czas, którego nie macie.
Wyznaczenie ścieżki decyzyjnej przed incydentem, choćby jako jednostronicowe drzewo decyzyjne, samo w sobie jest częścią środka obsługi incydentów z artykułu 21(2)(b) NIS 2.
Jeśli incydent dotyczy danych osobowych, równolegle może obowiązywać odrębny obowiązek zgłoszenia na podstawie artykułu 33 RODO. Oba reżimy mają różnych adresatów i różne terminy.
Nie składajcie jednego zamiast drugiego. Incydent ransomware szyfrujący dane klientów może uruchomić zarówno kaskadę zgłoszeń z § 32 BSIG, jak i 72-godzinne zgłoszenie naruszenia na podstawie RODO do organu ochrony danych.
Najczęstsze pytania
Kiedy zaczyna biec termin 24 godzin?
Gdy podmiot dowiaduje się o poważnym incydencie, a nie gdy się on rozpoczął.
Czy istnieją stałe progi w euro dla poważnego incydentu?
Tylko dla dostawców usług cyfrowych wskazanych w RW (UE) 2024/2690. Dla wszystkich innych podmiotów stosuje się kryteria jakościowe z artykułu 23(3) NIS 2.
Co zrobić, jeśli nie jestem pewien, czy incydent jest poważny?
Udokumentujcie swoją ocenę i jej powody. Uzasadniona decyzja jest tym, czego oczekuje audytor; brak jakiejkolwiek oceny jest właściwym uchybieniem.
Czy muszę zgłaszać także na podstawie RODO?
Jeśli dotyczy to danych osobowych, sprawdźcie odrębnie artykuł 33 RODO. Ma własny 72-godzinny termin i innego adresata.
Co dzieje się po zgłoszeniu?
BSI może zażądać dalszych informacji, a raport końcowy następuje najpóźniej miesiąc po zgłoszeniu.