Art. 23 NIS 2 + §32 BSIG

Como reportar um incidente NIS 2 em 24 horas

O Artigo 23.º do NIS 2 estabelece uma cascata em toda a União: alerta precoce às 24 horas, notificação de incidente às 72 horas, relatório intercalar a pedido, relatório final no prazo de um mês. O relógio começa quando toma conhecimento do incidente, não quando este aconteceu.

Simon OrzelSimon Orzel·

A versão curta

Se um incidente significativo o atingir, deve ao seu CSIRT nacional (na Alemanha: o BSI) quatro relatórios numa ordem fixa. O primeiro é devido 24 horas depois de tomar conhecimento do incidente. A palavra-chave é conhecimento, não ocorrência. No minuto em que alguém na sua casa puder dizer que é mais do que uma falha, o relógio começou.

O Artigo 23.º(4) do NIS 2 nomeia as quatro fases. O Regulamento de Execução (UE) 2024/2690 da Comissão §11 especifica o que os relatórios têm de conter e lista as categorias de incidentes que contam sempre como significativos. O §32 BSIG e o BSI Meldeportal são o canal alemão para isso.

Esta página percorre primeiro a camada da UE, depois a camada operacional alemã. A cascata é a mesma em toda a União. O portal e o balcão de contacto mudam de país para país.

A fonte jurídica
Três camadas empilhadas. A diretiva fixa a cascata. O regulamento de execução fixa o conteúdo e o limiar de significância. A BSIG alemã transforma-o num canal de reporte nacional.

Artigo 23.º(4) Diretiva NIS 2 (2022/2555)

Os Estados-Membros asseguram que as entidades em causa apresentam ao CSIRT ou, se for caso disso, à autoridade competente: (a) sem demora injustificada e, em qualquer caso, no prazo de 24 horas após terem tido conhecimento do incidente significativo, um alerta precoce; (b) sem demora injustificada e, em qualquer caso, no prazo de 72 horas após terem tido conhecimento do incidente significativo, uma notificação de incidente; (c) a pedido de um CSIRT ou, se for caso disso, da autoridade competente, um relatório intercalar sobre as atualizações pertinentes do estado da situação; (d) um relatório final no prazo máximo de um mês a contar da apresentação da notificação de incidente nos termos da alínea (b).

Quatro fases, uma cascata. A redação é vinculativa em todos os Estados-Membros. A âncora do relógio é a mesma em cada passo: a partir do conhecimento, não a partir do momento em que o incidente começou.

CIR (UE) 2024/2690, Anexo §11.6

Um incidente é considerado significativo sempre que cause ou seja suscetível de causar uma perturbação operacional grave dos serviços ou perdas financeiras para a entidade em causa, ou sempre que tenha afetado ou seja suscetível de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis.

O §11.6 lista categorias que se qualificam sempre como significativas: ransomware, exfiltração de dados pessoais ou sensíveis, negação de serviço contra serviços essenciais, perda de confidencialidade ou integridade de ativos críticos, e por aí adiante. Se uma categoria se enquadra, a questão do limiar está fechada. O reporte começa.

§32 BSIG (Alemanha)

Wesentliche und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich, spätestens innerhalb der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 genannten Fristen.

A Alemanha copia a cascata da diretiva e aponta para o BSI Meldeportal como o canal operacional. O §32 BSIG é o gancho alemão. O Artigo 23.º(4) do NIS 2 é a regra material a que o texto alemão se refere.

A cascata na prática
Três fases de reporte num relógio fixo mais um relatório intercalar que o regulador pode pedir entre a marca das 72 horas e o relatório final. Cada fase tem o seu próprio fim. Apresenta cada uma mesmo que a seguinte já esteja a vencer.
24 horas

Alerta precoce

No prazo de 24 horas após tomar conhecimento do incidente, apresente um alerta precoce no BSI Meldeportal. Nomeia a entidade, sinaliza se suspeita de um ato malicioso, e assinala se é possível um impacto transfronteiriço. Ainda não precisa da causa raiz, do âmbito ou da atribuição. O objetivo é colocar o CSIRT em alerta e iniciar a coordenação.

72 horas

Notificação de incidente

No prazo de 72 horas após tomar conhecimento, apresente a notificação de incidente. Atualize o que disse às 24 horas. Acrescente uma avaliação inicial de gravidade e impacto. Acrescente indicadores de comprometimento se os tiver. Esta é a primeira vez em que se espera que caracterize o incidente, não apenas que o anuncie. A melhor estimativa sobre dados parciais ainda é melhor do que o silêncio.

1 mês

Relatório final (e intercalar a pedido)

Entre as 72 horas e o relatório final, o CSIRT ou a autoridade competente pode pedir a qualquer momento um relatório intercalar sobre as atualizações pertinentes do estado da situação. O próprio relatório final é devido no prazo máximo de um mês a contar da notificação das 72 horas. Contém a descrição confirmada do incidente, a análise da causa raiz, as medidas de mitigação aplicadas e qualquer impacto transfronteiriço. Se o incidente ainda estiver em curso ao fim de um mês, apresente um relatório de progresso e um final quando encerrar.

Duas regras que regem toda a cascata
Ambas decorrem da diretiva e da orientação publicada pelo próprio BSI. Decidem se cumpriu o padrão, ainda mais do que os próprios prazos.

Rapidez sobre completude, conhecimento sobre ocorrência

O BSI di-lo claramente: „Schnelligkeit vor Vollständigkeit“. Envie o relatório com o que sabe agora. Atualize depois. O relógio começa no momento em que alguém com responsabilidade pode dizer que isto é mais do que uma perturbação normal, não no momento em que o ataque realmente começou. Um relatório tardio e completo é incumprimento. Um relatório rápido e parcial é conformidade.

As vias de reporte podem correr em paralelo

Se houver dados pessoais envolvidos, o Artigo 33.º do GDPR corre o seu próprio relógio de 72 horas para a autoridade de proteção de dados (na Alemanha: o BfDI ou a Landesdatenschutzbehörde competente). Esse relógio é independente da cascata do NIS 2. Pode dever ambos ao mesmo tempo. Apresentar um não satisfaz o outro. O mesmo se aplica aos reguladores setoriais quando existem.

Como a Alemanha operacionaliza isto
A UE fixa a cascata. A Alemanha opera o canal. Eis a quem realmente apresenta na Alemanha e como corre a via paralela de proteção de dados.
Alemanha

BSI Meldeportal ao abrigo do §32 BSIG

Apresenta através do BSI Meldeportal em meldeportal.bsi.bund.de. O portal guia-o pelas quatro fases e acompanha os prazos. O BSI publica orientação sob o título „Schnelligkeit vor Vollständigkeit“: não espere pela certeza forense. Envie o que tem. O portal permite-lhe atualizar o mesmo caso ao longo da cascata.

Alemanha / UE

Artigo 33.º GDPR, corre em paralelo

Se o incidente envolver dados pessoais, deve também uma notificação nos termos do Artigo 33.º do GDPR no prazo de 72 horas após tomar conhecimento. Essa vai para a autoridade de proteção de dados, não para o BSI. O relógio de 72 horas é o mesmo número mas um relógio diferente e um destinatário diferente. Apresentar através do BSI Meldeportal não para o relógio do GDPR. Acompanhe ambos.

Toda a UE

Coordenação da ENISA e reguladores setoriais

O Artigo 23.º(11) do NIS 2 permite à autoridade competente e ao CSIRT partilhar o relatório com autoridades congéneres de outros Estados-Membros onde seja possível um impacto transfronteiriço, e com a ENISA. Se opera além-fronteiras, conte com coordenação, não com reporte duplicado. Onde existe um regulador setorial (financeiro ao abrigo do DORA, telecomunicações ao abrigo do TKG), apresente sob esse regime em vez de ou a par do NIS 2, conforme o ato pertinente prescrever.

Três armadilhas que transformam a cascata numa não conformidade
Cada uma destas é uma razão do mundo real para um regulador encontrar não conformidade mesmo quando a entidade tentou de boa-fé.

  • Vamos reportar assim que soubermos o que realmente aconteceu.

    Quando souber o que realmente aconteceu, a janela das 24 horas já fechou e a das 72 horas está a fechar. O Artigo 23.º(4)(a) não exige a causa raiz às 24 horas. Exige o alerta precoce. A causa raiz pertence ao relatório final, um mês depois. Esperar pela certeza é a forma mais comum de falhar o primeiro prazo.

  • Até confirmarmos que é significativo, não apresentamos.

    Confirmar a significância de antemão não é o teste. O CIR §11.6 lista categorias que são significativas por definição. O alerta precoce às 24 horas foi feito exatamente para a situação em que ainda não tem a certeza. Salte o passo das 24 horas e já falhou um prazo que não pode recuperar, mesmo que mais tarde se verifique que o incidente não era significativo.

  • Enviámos a notificação, está feito.

    A notificação das 72 horas é uma de quatro fases, não a última. O relatório intercalar pode ser pedido a qualquer momento. O relatório final é devido um mês após a notificação das 72 horas. A maioria das coimas na vaga inicial de aplicação concentra-se no relatório final em falta, não no alerta precoce.

Um exemplo real de ransomware num Stadtwerk

Terça-feira, 07:42, um analista de SOC de um Stadtwerk repara que a aplicação de faturação está inacessível e que notas de resgate estão a surgir em três partilhas de ficheiros. Às 08:10, o responsável de TI confirma a cifragem de uma base de dados de faturação. Esse é o carimbo temporal de conhecimento. O relógio das 24 horas começa às 08:10 de terça, o relógio das 72 horas começa às 08:10 de terça, o relógio de um mês do relatório final começa no momento em que a notificação das 72 horas é apresentada.

Às 14:00 de terça, a entidade apresenta um alerta precoce através do BSI Meldeportal: suspeita de ransomware, ato malicioso sim, impacto transfronteiriço incerto (doze horas antes do prazo). Às 06:00 de sexta, a entidade apresenta a notificação das 72 horas com a gravidade inicial e os indicadores de comprometimento dos registos do EDR. No dia 18, o BSI pede um relatório intercalar sobre o progresso da recuperação; a entidade apresenta-o. No dia 29, a entidade apresenta o relatório final com a causa raiz confirmada, a mitigação aplicada e o resumo das lições aprendidas. Quatro relatórios, uma âncora de relógio: 08:10 de terça.

Como tratamos a cascata na plataforma

O módulo de Incidentes na plataforma espelha a cascata de quatro fases. Quando um incidente é aberto, o carimbo temporal de conhecimento ancora três relógios de contagem decrescente: 24 horas, 72 horas, um mês. Cada relógio tem o seu próprio modelo pré-preenchido com o que o Artigo 23.º(4) e o CIR §11.6 pedem, por isso preenche o que sabe agora e a plataforma diz-lhe o que ainda falta.

A apresentação acontece através do BSI Meldeportal na Alemanha. A plataforma não substitui o portal. Prepara o conteúdo, acompanha os prazos, guarda o rasto de auditoria e lembra o responsável de que o próximo passo da cascata está a vencer. Os próprios relatórios ficam prontos a exportar para que os possa colar no portal sob pressão de tempo.

Fontes
  • Diretiva (UE) 2022/2555 (NIS 2), Artigo 23.º(3), 23.º(4), 23.º(11), eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamento de Execução (UE) 2024/2690 da Comissão, Anexo §11, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Lei BSI (BSIG), §32 na versão da Lei de Implementação do NIS2 e de Reforço da Cibersegurança
  • BSI Meldeportal, meldeportal.bsi.bund.de
  • BSI Infopakete „NIS 2 Pflichten“ sobre o reporte de incidentes, bsi.bund.de/dok/nis-2-infopakete
  • Regulamento (UE) 2016/679 (GDPR), Artigo 33.º, eur-lex.europa.eu/eli/reg/2016/679/oj
Corra a cascata de quatro fases sem falhar um relógio
Carimbo temporal de conhecimento, três relógios de contagem decrescente, modelos de relatório pré-preenchidos, rasto de auditoria. Gratuito, open source, sem lock-in.
Aceder à plataforma gratuita