§32 BSIG

Playbook zgłaszania incydentów NIS2

§32 BSIG transponuje art. 23 ust. 4 NIS 2: trzy obowiązkowe raporty ze stałymi terminami (24h, 72h, 1 miesiąc) plus dwa raporty warunkowe (na żądanie, jeśli incydent nadal trwa). Przekroczenie terminu jest odrębnym naruszeniem, niezależnym od samego incydentu.

Simon OrzelSimon Orzel·Laufend geprüft

Zgłaszanie incydentów w ramach NIS2

§32 BSIG wdraża artykuł 23 dyrektywy NIS2. Ustanawia obowiązkowy system zgłaszania poważnych incydentów bezpieczeństwa. Każdy podmiot zaklasyfikowany jako podmiot kluczowy lub podmiot ważny musi zgłosić do BSI, gdy incydent spełnia kryteria istotności. Kaskada obejmuje trzy obowiązkowe raporty ze stałymi terminami oraz dwa raporty warunkowe, uruchamiane na żądanie lub przez trwający incydent. Obowiązku nie można delegować na dostawcę zarządzanych usług bezpieczeństwa; za terminowe zgłoszenie odpowiada sam podmiot.

Terminy zgłoszeń są ścisłe i rozpoczynają bieg w chwili, gdy podmiot dowie się o incydencie, a nie po zakończeniu dochodzenia. Jest to kluczowe rozróżnienie: 24-godzinne wczesne ostrzeżenie musi zostać złożone na podstawie wstępnej wiedzy, nawet jeśli pełny zakres i skutki są nieznane. Oczekiwanie na pełne informacje przed zgłoszeniem samo w sobie stanowi naruszenie.

Kaskada zgłoszeń zgodnie z art. 23 ust. 4 NIS 2
Trzy obowiązkowe etapy ze stałymi terminami od chwili powzięcia wiedzy, plus do dwóch raportów warunkowych (raport pośredni na żądanie organu, raport o postępach, jeśli incydent nadal trwa w dniu, w którym należy złożyć raport końcowy).
1

Wczesne ostrzeżenie (Frühwarnung)

W ciągu 24 godzin

Wstępne zawiadomienie BSI, że wykryto potencjalnie poważny incydent. Musi zostać złożone w ciągu 24 godzin od powzięcia wiedzy o incydencie. Celem jest umożliwienie BSI oceny wpływu międzysektorowego i wydania ostrzeżeń innym podmiotom, jeśli to konieczne.

  • Potwierdzenie, że poważny incydent wystąpił lub jest podejrzewany
  • Czy podejrzewa się, że incydent został spowodowany bezprawnymi lub złośliwymi działaniami
  • Czy incydent mógł mieć skutki transgraniczne
  • Nazwa podmiotu, sektor i dane kontaktowe do dalszych ustaleń
2

Zgłoszenie incydentu (Meldung)

W ciągu 72 godzin

Bardziej szczegółowe zawiadomienie aktualizujące wczesne ostrzeżenie o dodatkowe informacje zebrane podczas wstępnego reagowania. Musi zostać złożone w ciągu 72 godzin od powzięcia wiedzy. Aktualizuje BSI o charakterze incydentu, jego dotkliwości i wstępnej ocenie skutków.

  • Zaktualizowana ocena dotkliwości i skutków incydentu
  • Wskaźniki kompromitacji (IoC), jeżeli są dostępne
  • Wstępna ocena charakteru i przyczyny incydentu
  • Środki podjęte lub planowane w celu ograniczenia incydentu
  • Ocena skutków transgranicznych, jeżeli dotyczy
3

Raport pośredni (Zwischenbericht)

Na żądanie

Składany na żądanie BSI pomiędzy 72-godzinnym zgłoszeniem a raportem końcowym. Aktualizacja statusu bieżącego stanu obsługi incydentu. Nieautomatyczny; uruchamiany przez organ.

  • Bieżący status powstrzymywania i usuwania skutków
  • Nowe ustalenia dotyczące przyczyny, zakresu lub skutków
  • Korekty środków zaradczych
  • Zaktualizowana ocena szkód
4

Raport końcowy (Abschlussbericht)

1 miesiąc po zgłoszeniu w 72h

Kompleksowy raport końcowy składany w ciągu jednego miesiąca od 72-godzinnego zgłoszenia incydentu. Pełna dokumentacja incydentu i reakcji.

  • Szczegółowy opis incydentu, w tym dotkliwość i skutki
  • Analiza przyczyny źródłowej - rodzaj zagrożenia lub podatności, które spowodowały incydent
  • Środki zastosowane i nadal stosowane w celu ograniczenia incydentu i jego skutków
  • Skutki transgraniczne, jeżeli dotyczy
  • Wnioski oraz działania naprawcze planowane lub wdrożone
5

Raport o postępach (Verlaufsbericht)

Jeżeli incydent nadal trwa

Jeżeli incydent nie został jeszcze rozwiązany do terminu złożenia raportu końcowego, raport o postępach go zastępuje. Kolejny raport końcowy należy wówczas złożyć w ciągu jednego miesiąca od rozwiązania incydentu.

  • Bieżący status, ponieważ incydent nadal trwa
  • Środki powstrzymywania wdrożone do tej pory
  • Spodziewany czas do rozwiązania incydentu, o ile możliwy do przewidzenia
  • Plan ostatecznego raportu końcowego po rozwiązaniu incydentu
Co czyni incydent 'poważnym'
Nie każde zdarzenie bezpieczeństwa uruchamia obowiązek zgłoszenia z §32 BSIG. Incydent jest poważny, jeżeli spełnia jedno lub więcej z poniższych kryteriów, zdefiniowanych w art. 23 ust. 3 dyrektywy NIS2 i doprecyzowanych w art. 3 CIR 2024/2690.

Zakłócenie usługi

Incydent spowodował lub jest w stanie spowodować poważne zakłócenie operacyjne usług świadczonych przez podmiot. Dla dostawców DNS i rejestrów TLD CIR określa progi, w tym dostępność poniżej 99,9% lub dostarczanie nieprawidłowych odpowiedzi DNS.

Strata finansowa

Incydent spowodował lub jest w stanie spowodować stratę finansową dla podmiotu. Art. 3 CIR 2024/2690 określa próg 500 000 EUR lub 5% rocznego obrotu - w zależności od tego, która wartość jest niższa. Obejmuje to koszty bezpośrednie (usuwanie skutków, kryminalistyka) oraz pośrednie (utrata przychodów, kary umowne).

Wpływ na inne podmioty

Incydent spowodował lub mógł spowodować znaczną szkodę dla innych osób fizycznych lub prawnych. Obejmuje to incydenty propagujące się przez łańcuchy dostaw, dotykające wspólną infrastrukturę lub ujawniające dane należące do osób trzecich.

Naruszenie danych

Incydent obejmuje nieuprawniony dostęp do danych, ich zniszczenie lub zmianę. Należy zauważyć, że zgłaszanie incydentów NIS2 zgodnie z §32 BSIG jest odrębne i dodatkowe wobec zgłaszania naruszeń RODO zgodnie z art. 33/34 GDPR - oba obowiązki mogą mieć zastosowanie jednocześnie.

Przedłużająca się przerwa

Incydent spowodował lub oczekuje się, że spowoduje przedłużone zakłócenie usług podmiotu. Próg czasu trwania nie jest ustalony w dyrektywie, ale CIR 2024/2690 przewiduje kryteria właściwe dla danego podmiotu. Przedłużające się przerwy dotykające usług krytycznych domniemywa się za poważne.

Wymagane pola zgłoszenia
Portal zgłoszeniowy BSI wymaga ustrukturyzowanych informacji. Przygotowanie tych pól z wyprzedzeniem znacząco zmniejsza ryzyko przekroczenia terminu 24 godzin.

  • Identyfikacja podmiotu

    Nazwa przedsiębiorstwa, numer rejestracyjny BSI, klasyfikacja sektorowa, kod NACE oraz wyznaczony punkt kontaktowy do koordynacji incydentu. Te informacje powinny być wstępnie skonfigurowane w planie reagowania na incydenty - a nie wyszukiwane podczas kryzysu.

  • Charakter i klasyfikacja incydentu

    Rodzaj incydentu (ransomware, DDoS, naruszenie danych, zagrożenie wewnętrzne, kompromitacja łańcucha dostaw itp.), dotknięte systemy i usługi, oś czasu zdarzeń od wykrycia do stanu bieżącego oraz wstępna klasyfikacja dotkliwości.

  • Ocena skutków

    Liczba dotkniętych użytkowników lub klientów, zakłócone usługi, szacowany wpływ finansowy, dotknięte kategorie danych (jeżeli dotyczy) oraz czas trwania zakłócenia. W przypadku wczesnego ostrzeżenia szacunki są dopuszczalne - precyzja przychodzi w zgłoszeniu 72-godzinnym i raporcie końcowym.

  • Skutki transgraniczne

    Czy incydent dotyka lub może dotknąć podmioty lub obywateli w innych państwach członkowskich UE. Uruchamia to wymianę informacji między krajowymi CSIRT i może obejmować koordynację ENISA. Musi zostać ocenione zarówno we wczesnym ostrzeżeniu, jak i w kolejnych zgłoszeniach.

  • Środki reagowania

    Działania podjęte w celu powstrzymania, wyeliminowania i odtworzenia po incydencie. Obejmuje środki techniczne (izolacja, łatanie, rotacja poświadczeń), środki komunikacyjne (powiadomienie klientów, briefing interesariuszy) oraz środki organizacyjne (aktywacja zespołu kryzysowego, zaangażowanie wsparcia zewnętrznego).

Gdzie i jak zgłaszać
Zgłaszanie odbywa się wyłącznie przez cyfrowy portal zgłoszeniowy BSI.

Wszystkie zgłoszenia incydentów zgodnie z §32 BSIG muszą zostać złożone za pośrednictwem oficjalnego portalu zgłoszeniowego BSI. BSI nie przyjmuje zgłoszeń e-mailem, telefonicznie ani listownie jako substytutu zgłoszenia przez portal - choć kontakt telefoniczny z zespołem reagowania na incydenty BSI (CERT-Bund) jest właściwy do koordynacji reakcji na incydenty krytyczne równolegle z formalnym zgłoszeniem.

Portal zgłoszeniowy jest dostępny na stronie internetowej BSI w sekcji NIS2. Dostęp wymaga wcześniejszej rejestracji zgodnie z §33 BSIG - co oznacza, że niezarejestrowane podmioty stają wobec spotęgowanego problemu: nie mogą złożyć zgłoszenia incydentu właściwym kanałem, ponieważ nie dopełniły wymaganej wcześniej rejestracji. To kolejny powód, dla którego rejestracja w BSI nie może być opóźniana.

Kary za uchybienia w zgłaszaniu
Niezgłoszenie jest karane niezależnie od samego incydentu. Przedsiębiorstwo, które doznaje incydentu i technicznie dobrze sobie z nim radzi, ale go nie zgłasza, naraża się na odrębne działania egzekwujące.

Do 10 000 000 EUR lub 2% obrotu

Podmioty kluczowe

Wyższa z kwot 10 mln EUR lub 2% światowego rocznego obrotu z poprzedniego roku obrotowego. Ma to zastosowanie do podmiotów kluczowych w sektorach wymienionych w załączniku 1 do BSIG (energia, transport, bankowość, ochrona zdrowia, woda, infrastruktura cyfrowa, przestrzeń kosmiczna, administracja publiczna).

Do 7 000 000 EUR lub 1,4% obrotu

Podmioty ważne

Wyższa z kwot 7 mln EUR lub 1,4% światowego rocznego obrotu. Ma to zastosowanie do podmiotów ważnych w sektorach wymienionych w załączniku 2 do BSIG (usługi pocztowe, gospodarka odpadami, chemikalia, żywność, produkcja, dostawcy cyfrowi, badania naukowe).

Odpowiedzialność osobista - §38 BSIG

Kierownictwo (Geschäftsleitung)

Jeżeli kierownictwo było świadome incydentu i nie zapewniło terminowego zgłoszenia, stanowi to naruszenie obowiązku nadzoru wynikającego z §38 ust. 1 BSIG. Kierownictwo może ponosić osobistą odpowiedzialność wobec przedsiębiorstwa za szkody wynikające z uchybienia w zgłoszeniu - odrębnie od kar nałożonych na samo przedsiębiorstwo.

Źródła
  • Dyrektywa NIS2 (UE) 2022/2555 - artykuł 23 (obowiązki zgłoszeniowe)
  • BSIG - §32 (Meldepflichten bei erheblichen Sicherheitsvorfällen)
  • BSIG - §38 (Billigung, Überwachung, Schulung - Geschäftsleitung)
  • BSIG - §65 (Bußgeldvorschriften)
  • CIR (UE) 2024/2690 - artykuł 3 (istotność incydentów), artykuł 4 (powtarzające się incydenty)
  • ENISA - wytyczne dotyczące obowiązków zgłaszania incydentów NIS2 i szablony (2024)
  • BSI - dokumentacja i FAQ portalu zgłoszeniowego NIS2
Bądź gotowy do zgłaszania, zanim uderzy incydent
Platforma wstępnie konfiguruje pola zgłoszeniowe BSI, prowadzi rejestr incydentów z przepływami klasyfikacji i śledzi terminy 24h/72h/1 miesiąc - abyś dopełnił każdego obowiązku pod presją.
Rozpocznij proces zgodności z NIS2