Articolul 32 BSIG: obligatia de notificare a incidentelor NIS 2
Trei etape, un cronometru de 24 de ore si ce inseamna cu adevarat semnificativ.
Ce impune Articolul 32 BSIG
Articolul 32 BSIG transpune in dreptul german obligatia de notificare din articolul 23 NIS 2. Entitatile vizate trebuie sa notifice incidentele semnificative Oficiului Federal pentru Securitatea Informatiei (BSI) in trei etape. Intrebarea dificila este rareori cum sa notifici, ci daca un incident este semnificativ.
Cronometrul de 24 de ore incepe in momentul in care entitatea ia cunostinta de incident. Cine se intreaba abia in timpul urgentei daca un incident este notificabil a consumat deja jumatate din acest termen.
Avertizare timpurie in 24 de ore
O prima avertizare timpurie catre BSI in termen de 24 de ore de la luarea la cunostinta a incidentului semnificativ, indicand daca se suspecteaza ca a fost cauzat de acte ilicite sau rau intentionate si daca ar putea avea un impact transfrontalier.
Notificare in 72 de ore
O notificare mai completa in 72 de ore, care completeaza avertizarea timpurie cu o prima evaluare a incidentului, a gravitatii si impactului acestuia, precum si cu indicatori de compromitere, atunci cand sunt disponibili.
Raport final dupa o luna
Un raport final cel tarziu la o luna dupa notificare: o descriere detaliata, tipul de amenintare sau cauza, masurile corective aplicate si orice impact transfrontalier.
La nivelul UE, pragurile cantitative ale unui incident semnificativ sunt stabilite prin Regulamentul de punere in aplicare (UE) 2024/2690, dar se aplica direct doar furnizorilor de infrastructura digitala si de servicii digitale pe care ii desemneaza. Pentru majoritatea entitatilor vizate, precum productie, logistica, sanatate sau deseuri, nu exista cifre la nivelul UE.
Pentru aceste entitati, caracterul semnificativ este reglementat de criteriile calitative din articolul 23(3) NIS 2, transpuse ca definitie legala in Articolul 2 numarul 11 BSIG. Fiecare intreprindere trebuie sa decida singura, in 24 de ore, daca un incident este notificabil si sa poata documenta aceasta decizie. Evaluarea documentata este dovada.
Notificarile sunt transmise catre BSI, in Germania prin portalul sau de notificare. Stabiliti intern, in avans, cine decide daca se notifica si cine depune efectiv notificarea. Clarificarea acestui aspect in timpul unui incident costa timp pe care nu il aveti.
Stabilirea caii de decizie inainte de un incident, fie si sub forma unui arbore de decizie de o pagina, face parte din masura de gestionare a incidentelor prevazuta la articolul 21(2)(b) NIS 2.
Daca un incident afecteaza date cu caracter personal, se poate aplica in paralel o obligatie de notificare distincta in temeiul articolului 33 RGPD. Cele doua regimuri au destinatari diferiti si termene diferite.
Nu depuneti una in locul celeilalte. Un incident ransomware care cripteaza datele clientilor poate declansa atat cascada de notificare din Articolul 32 BSIG, cat si notificarea incalcarii in 72 de ore in temeiul RGPD catre autoritatea de protectie a datelor.
Intrebari frecvente
Cand incepe termenul de 24 de ore?
Cand entitatea ia cunostinta de incidentul semnificativ, nu cand a inceput.
Exista praguri fixe in euro pentru un incident semnificativ?
Doar pentru furnizorii de servicii digitale desemnati in RPA (UE) 2024/2690. Pentru toate celelalte entitati se aplica criteriile calitative din articolul 23(3) NIS 2.
Ce fac daca nu sunt sigur ca un incident este semnificativ?
Documentati evaluarea si motivele. Decizia motivata este ceea ce asteapta un auditor; absenta oricarei evaluari este adevarata deficienta.
Trebuie sa notific si in temeiul RGPD?
Daca sunt implicate date cu caracter personal, verificati separat articolul 33 RGPD. Are propriul termen de 72 de ore si un destinatar diferit.
Ce se intampla dupa notificare?
BSI poate solicita informatii suplimentare, iar raportul final urmeaza cel tarziu la o luna dupa notificare.