Schema de notificare a incidentelor NIS 2

Categoria în temeiul căreia se transmite această notificare. Art. 23(3) NIS 2 impune notificarea numai a incidentelor semnificative; notificarea cvasiincidentelor și a incidentelor fără caracter semnificativ este voluntară în temeiul art. 30 NIS 2.

Evaluare inițială a gravității incidentului. Art. 23(4)(b) NIS 2 impune ca notificarea incidentului (72h) să conțină o evaluare inițială a gravității și a impactului. CIR 2024/2690 cuantifică pragurile de semnificație pentru categoriile de furnizori de servicii digitale pe care le acoperă.

Rezumat în limbaj clar al celor întâmplate. Art. 23 alin. (4) lit. (a) din NIS 2 impune ca avertizarea timpurie să indice dacă se suspectează că incidentul semnificativ are caracter ilicit sau rău intenționat: acest câmp conține această descriere inițială.

Conform textului literal al art. 23 alin. (4) lit. (d) din NIS 2: raportul final conține 'o descriere detaliată a incidentului, inclusiv gravitatea și impactul acestuia'. Acest câmp adună constatările pe parcursul întregului ciclu de raportare.

Art. 23 alin. (4) lit. (a) din NIS 2 impune ca avertizarea timpurie în termen de 24 de ore să indice dacă se suspectează că incidentul semnificativ a fost cauzat de acte ilicite sau rău intenționate.

Art. 23(2) NIS 2: după caz, entitatea comunică fără întârziere nejustificată destinatarilor serviciilor sale care sunt potențial afectați de o amenințare cibernetică semnificativă orice măsuri sau remedii pe care le pot lua.

Mesaj formulat într-un limbaj clar, adresat destinatarilor serviciilor entității cu privire la amenințare și la acțiunile corective recomandate. Obligatoriu dacă customerNotificationRequired este adevărat.

Cel mai timpuriu moment cunoscut în care s-a produs incidentul. Poate fi 'necunoscut' dacă cronologia criminalistică este incompletă.

Ora la care entitatea a luat cunoștință de incidentul semnificativ. Declanșează termenele de 24h / 72h / 1m în temeiul art. 23(4) NIS 2.

Ora la care incidentul a fost limitat și remediat. Obligatoriu în raportul final în temeiul art. 23(4)(d) NIS 2.

Conform textului art. 23(4)(d)(ii) NIS2: raportul final indică 'tipul de amenințare sau cauza principală care a declanșat probabil incidentul'.

Analiză descriptivă care susține clasificarea cauzei principale. În cazul în care analiza este incompletă, indicați ipoteza cel mai bine susținută și dovezile care o sprijină.

Evaluarea entității cu privire la faptul dacă incidentul constituie un atac țintit (specific entității sau sectorului) sau unul nețintit (oportunist / campanie de masă).

Care dintre confidențialitate, integritate, disponibilitate a fost afectată de incident. Art. 6(6) NIS2 definește 'incidentul semnificativ' parțial în funcție de aceste proprietăți.

Conform textului art. 23(4)(b) NIS2: notificarea incidentului (72h) indică 'o evaluare inițială a incidentului semnificativ, inclusiv gravitatea și impactul acestuia, precum și, dacă sunt disponibili, indicatorii de compromitere'. Furnizați artefacte observabile (sume de control ale fișierelor, adrese IP, domenii, adrese URL, semnături de software rău intenționat, tipare comportamentale) pe care apărătorii din aval le pot folosi pentru a detecta aceeași amenințare. Opțional, nu obligatoriu, deoarece directiva îl condiționează de disponibilitate; dacă analiza criminalistică nu a evidențiat niciun IoC în momentul transmiterii, lăsați necompletat.

Măsuri tehnice, organizatorice și operaționale deja luate pentru limitarea impactului incidentului. Obligatoriu pentru notificarea incidentului (72h) și actualizat în rapoartele ulterioare.

Conform textului art. 23(4)(d)(iii) NIS 2: raportul final trebuie să descrie 'măsurile de atenuare aplicate și în curs'.

Cum a fost detectat incidentul pentru prima dată. Utilizat de CSIRT pentru a identifica lacunele sistemice de detectare la nivelul întregului sector.

Măsuri planificate pentru a preveni reapariția. Susține bucla de 'lecții învățate' cerută de ENISA TIG pentru raportul final.

Numărul estimat de utilizatori afectați. CIR 2024/2690 cuantifică praguri pentru categoriile de furnizori de servicii digitale pe care le reglementează; pentru celelalte entități, evaluarea este calitativă în temeiul art. 6 alin. (6) și al art. 23 alin. (3) din NIS 2.

Descrierea serviciilor (operaționale, destinate clienților, interne) care au fost degradate sau indisponibile și pentru cât timp. Art. 6 alin. (6) din NIS 2 face din perturbarea serviciului un criteriu care definește un 'incident semnificativ'.

Daune financiare directe și indirecte estimate. Art. 6 alin. (6) din NIS 2 include pierderea financiară printre criteriile care ridică un incident la rangul de 'semnificativ'.

Evaluarea entității cu privire la faptul că incidentul a cauzat sau este probabil să cauzeze un prejudiciu reputațional. Unul dintre criteriile care califică un 'incident semnificativ' în temeiul art. 6 alin. (6) din NIS 2.

Art. 23(4)(a) NIS 2 impune ca avertizarea timpurie să indice dacă incidentul semnificativ are un impact transfrontalier. CSIRT-urile celorlalte state membre afectate sunt informate prin mecanismul de cooperare prevăzut la art. 15 NIS 2.

Lista statelor membre ale UE ale căror entități, utilizatori sau servicii sunt afectate de incident. Utilizată de CSIRT pentru a informa autoritățile omoloage.

Sectoare afectate de incident, corespunzătoare anexei I NIS 2 (sectoare de înaltă criticitate) și anexei II (alte sectoare critice). Poate fi necesară informarea CSIRT-urilor sectoriale.

Numele persoanei fizice care transmite notificarea în numele entității. Solicitat de toate portalurile naționale pentru ca CSIRT să poată asigura monitorizarea ulterioară.

Adresa de e-mail pe care CSIRT o poate utiliza pentru a contacta declarantul în vederea întrebărilor de monitorizare, a solicitărilor de raport intermediar și a transmiterii feedbackului în temeiul art. 23 alin. (5) din NIS 2.

Numărul de telefon pentru contactul urgent cu CSIRT, în special în fereastra de avertizare timpurie, când e-mailul poate fi lent.

Numărul de referință intern al incidentului propriu entității. Permite CSIRT să coreleze mai multe transmiteri referitoare la același incident.