Jak zgłosić incydent NIS 2 w 24 godziny
Artykuł 23 NIS 2 ustanawia jedną kaskadę dla całej Unii: wczesne ostrzeżenie po 24 godzinach, zgłoszenie incydentu po 72 godzinach, raport okresowy na żądanie, raport końcowy w ciągu jednego miesiąca. Zegar startuje, gdy dowiadujesz się o incydencie, a nie gdy on nastąpił.
Wersja skrócona
Jeśli uderza poważny incydent, jesteś winien swojemu krajowemu CSIRT (w Niemczech: BSI) cztery raporty w ustalonej kolejności. Pierwszy jest należny 24 godziny po tym, jak dowiesz się o incydencie. Słowem wyzwalającym jest dowiedzenie się, a nie wystąpienie. W minucie, w której ktoś w twoim domu może powiedzieć, że to więcej niż usterka, zegar wystartował.
Artykuł 23(4) NIS 2 nazywa wszystkie cztery etapy. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 §11 wyszczególnia, co raporty muszą zawierać, i wymienia kategorie incydentów, które zawsze liczą się jako poważne. §32 BSIG i BSI Meldeportal są niemieckim kanałem do tego.
Ta strona przechodzi najpierw przez warstwę UE, a następnie przez niemiecką warstwę operacyjną. Kaskada jest taka sama w całej Unii. Portal i punkt kontaktowy zmieniają się w zależności od kraju.
Artykuł 23(4) dyrektywy NIS 2 (2022/2555)
Państwa członkowskie zapewniają, aby podmioty, których to dotyczy, przedkładały CSIRT lub, w stosownych przypadkach, właściwemu organowi: (a) bez zbędnej zwłoki i w każdym razie w ciągu 24 godzin od powzięcia wiadomości o poważnym incydencie - wczesne ostrzeżenie; (b) bez zbędnej zwłoki i w każdym razie w ciągu 72 godzin od powzięcia wiadomości o poważnym incydencie - zgłoszenie incydentu; (c) na żądanie CSIRT lub, w stosownych przypadkach, właściwego organu - raport okresowy dotyczący odpowiednich aktualizacji statusu; (d) raport końcowy nie później niż w ciągu jednego miesiąca od przedłożenia zgłoszenia incydentu na podstawie litery (b).
Cztery etapy, jedna kaskada. Brzmienie jest wiążące w każdym państwie członkowskim. Kotwica zegara jest taka sama na każdym kroku: od powzięcia wiadomości, a nie od chwili, w której incydent się zaczął.
CIR (UE) 2024/2690, Załącznik §11.6
Incydent uznaje się za poważny, gdy powoduje lub jest w stanie spowodować poważne zakłócenie operacyjne usług lub straty finansowe dla danego podmiotu, lub gdy wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczną szkodę materialną lub niematerialną.
§11.6 wymienia kategorie, które zawsze kwalifikują się jako poważne: ransomware, eksfiltracja danych osobowych lub wrażliwych, odmowa usługi (denial-of-service) wobec usług kluczowych, utrata poufności lub integralności zasobów krytycznych i tak dalej. Jeśli kategoria pasuje, pytanie o próg jest zamknięte. Zgłaszanie się rozpoczyna.
§32 BSIG (Niemcy)
Wesentliche und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich, spätestens innerhalb der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 genannten Fristen.
Niemcy kopiują kaskadę z dyrektywy i wskazują na BSI Meldeportal jako kanał operacyjny. §32 BSIG jest niemieckim zaczepieniem. Artykuł 23(4) NIS 2 jest materialną zasadą, do której odnosi się niemiecki tekst.
Wczesne ostrzeżenie
W ciągu 24 godzin od powzięcia wiadomości o incydencie złóż wczesne ostrzeżenie w BSI Meldeportal. Nazywasz podmiot, sygnalizujesz, czy podejrzewasz działanie złośliwe, i oznaczasz, czy możliwy jest skutek transgraniczny. Nie potrzebujesz jeszcze przyczyny źródłowej, zakresu ani atrybucji. Chodzi o postawienie CSIRT w stan gotowości i rozpoczęcie koordynacji.
Zgłoszenie incydentu
W ciągu 72 godzin od powzięcia wiadomości złóż zgłoszenie incydentu. Zaktualizuj to, co powiedziałeś po 24 godzinach. Dodaj wstępną ocenę wagi i skutku. Dodaj wskaźniki kompromitacji, jeśli je masz. Jest to pierwszy moment, w którym oczekuje się, że scharakteryzujesz incydent, a nie tylko go ogłosisz. Najlepsze przypuszczenie na podstawie częściowych danych nadal bije milczenie.
Raport końcowy (oraz okresowy na żądanie)
Między 72 godzinami a raportem końcowym CSIRT lub właściwy organ może w dowolnym momencie zażądać raportu okresowego dotyczącego odpowiednich aktualizacji statusu. Sam raport końcowy jest należny nie później niż w ciągu jednego miesiąca od zgłoszenia po 72 godzinach. Zawiera potwierdzony opis incydentu, analizę przyczyny źródłowej, zastosowane środki łagodzące oraz wszelki skutek transgraniczny. Jeśli incydent nadal trwa po miesiącu, złóż raport z postępów i raport końcowy, gdy się zakończy.
Szybkość przed kompletnością, dowiedzenie się przed wystąpieniem
BSI ujmuje to wprost: „Schnelligkeit vor Vollständigkeit”. Wyślij raport z tym, co wiesz teraz. Zaktualizuj później. Zegar startuje w chwili, gdy ktoś odpowiedzialny może powiedzieć, że to więcej niż zwykłe zakłócenie, a nie w chwili, gdy atak faktycznie się zaczął. Spóźniony, kompletny raport jest niezgodnością. Szybki, częściowy raport jest zgodnością.
Ścieżki zgłaszania mogą biec równolegle
Jeśli zaangażowane są dane osobowe, artykuł 33 GDPR uruchamia własny 72-godzinny zegar do organu ochrony danych (w Niemczech: BfDI lub właściwy Landesdatenschutzbehörde). Ten zegar jest niezależny od kaskady NIS 2. Możesz być winien oba jednocześnie. Złożenie jednego nie spełnia drugiego. To samo dotyczy regulatorów sektorowych tam, gdzie istnieją.
BSI Meldeportal na podstawie §32 BSIG
Składasz przez BSI Meldeportal pod adresem meldeportal.bsi.bund.de. Portal przeprowadza cię przez cztery etapy i śledzi terminy. BSI publikuje wskazówki pod hasłem „Schnelligkeit vor Vollständigkeit”: nie czekaj na pewność kryminalistyczną. Wyślij to, co masz. Portal pozwala aktualizować tę samą sprawę w całej kaskadzie.
Artykuł 33 GDPR — biegnie równolegle
Jeśli incydent obejmuje dane osobowe, jesteś też winien zgłoszenie na podstawie artykułu 33 GDPR w ciągu 72 godzin od powzięcia wiadomości. Trafia ono do organu ochrony danych, a nie do BSI. 72-godzinny zegar to ta sama liczba, lecz inny zegar i inny adresat. Złożenie przez BSI Meldeportal nie zatrzymuje zegara GDPR. Śledź oba.
Koordynacja ENISA i regulatorzy sektorowi
Artykuł 23(11) NIS 2 pozwala właściwemu organowi i CSIRT dzielić raport z organami partnerskimi w innych państwach członkowskich, gdzie możliwy jest skutek transgraniczny, oraz z ENISA. Jeśli działasz transgranicznie, spodziewaj się koordynacji, a nie zdublowanego składania. Tam gdzie istnieje regulator sektorowy (finansowy na gruncie DORA, telekomunikacyjny na gruncie TKG), składaj na gruncie tego reżimu zamiast lub obok NIS 2, jak przepisuje właściwy akt.
Zgłosimy, gdy będziemy wiedzieć, co naprawdę się stało.
Zanim dowiesz się, co naprawdę się stało, okno 24-godzinne się zamknęło, a 72-godzinne się zamyka. Artykuł 23(4)(a) nie wymaga przyczyny źródłowej po 24 godzinach. Wymaga wczesnego ostrzeżenia. Przyczyna źródłowa należy do raportu końcowego, miesiąc później. Czekanie na pewność jest najczęstszym sposobem przegapienia pierwszego terminu.
Dopóki nie potwierdzimy, że jest poważny, nie składamy.
Potwierdzanie istotności z wyprzedzeniem nie jest testem. CIR §11.6 wymienia kategorie, które są poważne z definicji. Wczesne ostrzeżenie po 24 godzinach jest stworzone dokładnie na sytuację, w której nie jesteś jeszcze pewien. Pomiń krok 24-godzinny, a już przegapiłeś termin, którego nie da się cofnąć, nawet jeśli później okaże się, że incydent nie był poważny.
Wysłaliśmy zgłoszenie, gotowe.
Zgłoszenie po 72 godzinach jest jednym z czterech etapów, a nie ostatnim. Raportu okresowego można zażądać w dowolnym momencie. Raport końcowy jest należny miesiąc po zgłoszeniu po 72 godzinach. Większość kar w pierwszej fali egzekucji koncentruje się na brakującym raporcie końcowym, a nie na wczesnym ostrzeżeniu.
Wtorek 07:42, analityk SOC w Stadtwerk zauważa, że aplikacja rozliczeniowa jest nieosiągalna, a noty okupu pojawiają się na trzech udziałach plików. O 08:10 kierownik IT potwierdza szyfrowanie na bazie danych rozliczeniowej. To jest znacznik czasu dowiedzenia się. Zegar 24-godzinny startuje o 08:10 we wtorek, zegar 72-godzinny startuje o 08:10 we wtorek, zegar miesięcznego raportu końcowego startuje w chwili złożenia zgłoszenia po 72 godzinach.
Do 14:00 we wtorek podmiot składa wczesne ostrzeżenie przez BSI Meldeportal: podejrzewany ransomware, działanie złośliwe tak, skutek transgraniczny niejasny (dwanaście godzin przed terminem). Do piątku 06:00 podmiot składa zgłoszenie po 72 godzinach z wstępną wagą i wskaźnikami kompromitacji z logów EDR. W dniu 18 BSI żąda raportu okresowego o postępach w odtwarzaniu; podmiot składa. W dniu 29 podmiot składa raport końcowy z potwierdzoną przyczyną źródłową, zastosowanym łagodzeniem i podsumowaniem wyciągniętych wniosków. Cztery raporty, jedna kotwica zegara: 08:10 we wtorek.
Moduł incydentów na platformie odzwierciedla czteroetapową kaskadę. Gdy incydent zostaje otwarty, znacznik czasu dowiedzenia się kotwiczy trzy zegary odliczające: 24 godziny, 72 godziny, jeden miesiąc. Każdy zegar ma własny szablon wstępnie wypełniony tym, o co prosi artykuł 23(4) i CIR §11.6, więc wpisujesz to, co wiesz teraz, a platforma mówi ci, czego nadal brakuje.
Składanie odbywa się przez BSI Meldeportal w Niemczech. Platforma nie zastępuje portalu. Przygotowuje treść, śledzi terminy, trzyma ślad audytowy i przypomina odpowiedzialnemu właścicielowi, że następny krok kaskady jest należny. Same raporty pozostają gotowe do eksportu, więc możesz wkleić je do portalu pod presją czasu.
- Dyrektywa (UE) 2022/2555 (NIS 2), artykuł 23(3), 23(4), 23(11) — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690, Załącznik §11 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ustawa BSI (BSIG), §32 w brzmieniu ustawy o wdrożeniu NIS2 i wzmocnieniu cyberbezpieczeństwa
- BSI Meldeportal — meldeportal.bsi.bund.de
- BSI Infopakete „NIS 2 Pflichten” dotyczące zgłaszania incydentów — bsi.bund.de/dok/nis-2-infopakete
- Rozporządzenie (UE) 2016/679 (GDPR), artykuł 33 — eur-lex.europa.eu/eli/reg/2016/679/oj