Esquema de Notificação de Incidentes da NIS 2

Categoria ao abrigo da qual esta notificação é apresentada. O art. 23(3) NIS 2 só impõe a notificação dos incidentes significativos; a notificação de quase-incidentes e de incidentes não significativos é voluntária ao abrigo do art. 30 NIS 2.

Avaliação inicial da gravidade do incidente. O art. 23(4)(b) NIS 2 exige que a notificação do incidente (72h) contenha uma avaliação inicial da gravidade e do impacto. O CIR 2024/2690 quantifica os limiares de significância para as categorias de prestadores de serviços digitais que abrange.

Resumo em linguagem clara do que aconteceu. O art. 23.º, n.º 4, alínea a), da NIS 2 exige que o alerta precoce indique se há suspeita de que o incidente significativo tem natureza ilícita ou maliciosa: este campo contém essa descrição inicial.

Conforme o texto literal do art. 23.º, n.º 4, alínea d), da NIS 2: o relatório final contém 'uma descrição detalhada do incidente, incluindo a sua gravidade e o seu impacto'. Este campo acumula as constatações ao longo do ciclo de notificação.

O art. 23.º, n.º 4, alínea a), da NIS 2 exige que o alerta precoce de 24 horas indique se há suspeita de que o incidente significativo foi causado por atos ilícitos ou maliciosos.

Art. 23.º(2) NIS 2: se for caso disso, a entidade comunica sem demora injustificada aos destinatários dos seus serviços que sejam potencialmente afetados por uma ciberameaça significativa quaisquer medidas ou soluções que possam adotar.

Mensagem em linguagem clara dirigida aos destinatários dos serviços da entidade sobre a ameaça e as ações corretivas recomendadas. Obrigatória se customerNotificationRequired for verdadeiro.

Hora conhecida mais antiga em que o incidente ocorreu. Pode ser 'desconhecida' se a cronologia forense estiver incompleta.

Hora em que a entidade tomou conhecimento do incidente significativo. Inicia os prazos de 24h / 72h / 1m ao abrigo do art. 23(4) NIS 2.

Hora em que o incidente foi contido e corrigido. Exigido no relatório final ao abrigo do art. 23(4)(d) NIS 2.

Conforme o texto do art. 23(4)(d)(ii) NIS2: o relatório final indica 'o tipo de ameaça ou a causa raiz que provavelmente desencadeou o incidente'.

Análise descritiva que fundamenta a classificação da causa raiz. Quando a análise estiver incompleta, indique a hipótese mais bem fundamentada e as provas que a sustentam.

Avaliação da entidade sobre se o incidente constitui um ataque direcionado (específico à entidade ou ao setor) ou não direcionado (oportunista / campanha em massa).

Quais das propriedades: confidencialidade, integridade, disponibilidade o incidente afetou. O art. 6(6) NIS2 define o 'incidente significativo' em parte em função destas propriedades.

Conforme o texto do art. 23(4)(b) NIS2: a notificação do incidente (72h) indica 'uma avaliação inicial do incidente significativo, incluindo a sua gravidade e impacto, bem como, quando disponíveis, os indicadores de comprometimento'. Forneça artefactos observáveis (resumos de ficheiros, endereços IP, domínios, URLs, assinaturas de software malicioso, padrões comportamentais) que os defensores a jusante possam utilizar para detetar a mesma ameaça. Facultativo e não obrigatório, pois a diretiva condiciona-o à disponibilidade; se a análise forense não tiver revelado quaisquer IoC no momento da apresentação, deixar vazio.

Medidas técnicas, organizacionais e operacionais já tomadas para conter o incidente. Obrigatório na notificação de incidente (72h) e atualizado nos relatórios subsequentes.

Conforme o texto literal do art. 23(4)(d)(iii) NIS 2: o relatório final deve descrever as 'medidas de mitigação aplicadas e em curso'.

Como o incidente foi detetado pela primeira vez. Utilizado pelos CSIRT para identificar lacunas sistémicas de deteção em todo o setor.

Medidas previstas para evitar a recorrência. Conduz o ciclo de 'lições aprendidas' exigido pela ENISA TIG para o relatório final.

Número estimado de utilizadores afetados. O CIR 2024/2690 quantifica limiares para as categorias de prestadores de serviços digitais que abrange; para as restantes entidades, a avaliação é qualitativa nos termos do art. 6.º, n.º 6, e do art. 23.º, n.º 3, da NIS 2.

Descrição de quais serviços (operacionais, voltados para o cliente, internos) foram degradados ou ficaram indisponíveis e durante quanto tempo. O art. 6.º, n.º 6, da NIS 2 faz da interrupção do serviço um critério que define um 'incidente significativo'.

Dano financeiro direto e indireto estimado. O art. 6.º, n.º 6, da NIS 2 inclui a perda financeira entre os critérios que elevam um incidente a 'significativo'.

Avaliação da entidade sobre se o incidente causou ou é provável que cause dano reputacional. Um dos critérios que qualificam um 'incidente significativo' nos termos do art. 6.º, n.º 6, da NIS 2.

O art. 23.º, n.º 4, alínea a), da NIS 2 exige que o alerta precoce indique se o incidente significativo tem impacto transfronteiriço. As CSIRT dos demais Estados-Membros afetados são notificadas através do mecanismo de cooperação previsto no art. 15.º da NIS 2.

Lista dos Estados-Membros da UE cujas entidades, utilizadores ou serviços são afetados pelo incidente. Utilizada pela CSIRT para informar as autoridades homólogas.

Setores afetados pelo incidente, correspondentes ao anexo I da NIS 2 (setores de elevada criticidade) e ao anexo II (outros setores críticos). Pode ser necessário informar as CSIRT setoriais.

Nome da pessoa singular que apresenta a notificação em nome da entidade. Exigido por todos os portais nacionais para que o CSIRT possa efetuar o acompanhamento.

Endereço de correio eletrónico que o CSIRT pode utilizar para contactar o declarante para questões de acompanhamento, pedidos de relatório intercalar e transmissão do retorno de informação nos termos do art. 23.º, n.º 5, da NIS 2.

Número de telefone para contacto urgente com o CSIRT, em especial durante a janela de alerta precoce, quando o correio eletrónico pode ser lento.

Número de referência interno do incidente próprio da entidade. Permite ao CSIRT correlacionar várias submissões relativas ao mesmo incidente.