Incident semnificativ în temeiul NIS 2
Două criterii calitative de declanșare, un regulament cu cifre pentru infrastructura digitală și un jurnal scris de decizie pentru toți ceilalți.
De ce contează definiția
Caracterul semnificativ este ceea ce pornește întregul ceas de raportare din articolul 23 NIS 2: o avertizare timpurie în 24 de ore, o notificare a incidentului în 72 de ore, un raport final în termen de o lună. Dacă evenimentul este semnificativ, ceasul pornește în momentul în care aflați. Dacă nu este, nu datorați nimic CSIRT-ului și autorității competente.
Articolul 23 alineatul (3) NIS 2 vă oferă doar două formulări generale. Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei (CIR) adaugă cifre clare, dar numai pentru un grup restrâns de furnizori digitali (DNS, TLD, cloud, centru de date, CDN, MSP, MSSP, piață online, motor de căutare, rețea socială, servicii de încredere). Pentru orice alt sector NIS 2, testul rămâne calitativ.
Majoritatea CISO subestimează acest decalaj. Dacă activați în producție, alimentație, sănătate sau gestionarea deșeurilor, nu există o cifră în euro, nu există un număr de minute, nu există un prag de utilizatori. Trebuie să decideți, trebuie să decideți rapid și trebuie să fiți capabil să explicați mai târziu de ce.
Directiva NIS 2 (UE) 2022/2555, art. 23 alin. (3)
Un incident este considerat semnificativ dacă: (a) a cauzat sau este în măsură să cauzeze o perturbare operațională gravă a serviciilor sau pierderi financiare pentru entitatea în cauză; (b) a afectat sau este în măsură să afecteze alte persoane fizice sau juridice prin cauzarea unor daune materiale sau morale considerabile.
Aceasta este singura definiție generală a unui incident semnificativ din dreptul UE. Ambele puncte folosesc „este în măsură să cauzeze”, deci trebuie să cântăriți și daunele potențiale, nu doar daunele efective. Textul nu cuantifică niciodată grav, considerabil sau material.
CIR (UE) 2024/2690, art. 3
Un incident este considerat semnificativ atunci când a cauzat sau este în măsură să cauzeze: (a) pierderi financiare directe care depășesc 500 000 EUR sau 5 % din cifra de afaceri anuală totală din exercițiul financiar precedent, oricare dintre acestea este mai mică; (b) exfiltrarea secretelor comerciale ale entității, astfel cum sunt prevăzute la articolul 2 alineatul (1) din Directiva (UE) 2016/943; (c) decesul unei persoane fizice; (d) daune considerabile aduse sănătății unei persoane fizice; (e) accesul reușit, suspectat ca fiind răuvoitor și neautorizat la rețele și sisteme informatice, în măsură să cauzeze o perturbare operațională gravă; (f) criteriile prevăzute la articolul 4 (incidente recurente); sau (g) unul sau mai multe dintre criteriile prevăzute la articolele 5-14 (specifice entității). Oricare singur criteriu este suficient.
Șapte criterii (literele a-g). Cinci de fond plus două trimiteri. Art. 1 CIR prevede că aceste cifre se aplică numai unor furnizori digitali specifici (DNS, TLD, cloud, centru de date, CDN, MSP, MSSP, piață online, motor de căutare, platformă socială, servicii de încredere). Articolele 5-14 adaugă praguri minime de disponibilitate per sector pentru același grup. Dacă sectorul dumneavoastră nu se află pe acea listă, aceste cifre nu vă obligă, iar testul calitativ de la art. 23 alin. (3) este tot ce aveți.
§32 BSIG (Germania, exemplu de transpunere)
Wesentliche und wichtige Einrichtungen melden dem BSI erhebliche Sicherheitsvorfälle unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung als Frühwarnung, innerhalb von 72 Stunden als Sicherheitsvorfallsmeldung und innerhalb eines Monats als Abschlussbericht.
Fiecare stat membru transformă art. 23 în drept național. §32 BSIG repetă cascada și desemnează BSI drept destinatar. Nu adaugă nicio cifră proprie pentru sectoarele nedigitale. Țările de Jos, Austria și Franța urmează același model.
Șapte criterii (literele a-g)
Cinci criterii de declanșare de fond plus două trimiteri. (a) 500 000 EUR sau 5 % din cifra de afaceri (oricare este mai mică), (b) secrete comerciale exfiltrate, (c) o persoană decedată, (d) prejudiciu grav adus sănătății unei persoane, (e) o intruziune răuvoitoare reușită, în măsură să provoace o perturbare gravă, (f) incidente recurente conform art. 4, (g) praguri specifice entității conform art. 5-14. Oricare singur criteriu declanșează caracterul semnificativ pentru furnizorii digitali vizați.
Incidente recurente
Incidentele mici se cumulează. Dacă aceeași cauză-rădăcină produce cel puțin două incidente în șase luni, iar împreună depășesc limita de pierdere financiară de la art. 3 alin. (1) lit. (a), CIR le tratează ca pe un singur incident semnificativ. A le număra separat pe fiecare este greșit.
Specificul DNS și TLD
Pentru rezolvatorii DNS și registrele TLD: rezoluție de nume indisponibilă mai mult de 30 de minute, timp mediu de răspuns peste 10 secunde mai mult de o oră sau integritate a datelor compromisă pentru mai mult de 1 000 de domenii sau 1 % din portofoliu. Articolele 6-14 stabilesc praguri minime similare pentru cloud, CDN, MSP, MSSP, piețe online, căutare, rețele sociale și servicii de încredere.
Criteriul A: perturbare operațională gravă sau pierdere financiară pentru entitatea dumneavoastră
Acesta este criteriul orientat spre interior. Directiva nu vă oferă nicio cifră în euro, nicio durată, niciun procent. Considerentul 101 numește trei aspecte de analizat: cât din serviciu este afectat, cât durează incidentul și pe câți utilizatori îi afectează. Folosiți-le pentru a vă structura gândirea. Nu le tratați ca pe o listă de bifat.
Criteriul B: daune materiale sau morale considerabile aduse terților
Acesta este criteriul orientat spre exterior. Clienți, cetățeni, operatori din aval, lanțul dumneavoastră de aprovizionare. Daunele morale includ prejudiciul adus reputației și încrederii. O întrerupere scurtă care blochează fluxul de lucru al unui spital, scurge date ale clienților sau scoate din funcțiune un serviciu municipal poate îndeplini acest criteriu chiar dacă propria dumneavoastră pierdere este mică.
Un ransomware oprește producția timp de două zile
Operațiunile se opresc. Criteriul A de la art. 23 alin. (3) NIS 2 (perturbare operațională gravă) este îndeplinit. Avertizare timpurie 24 h, notificarea incidentului 72 h, raport final 1 lună (art. 23 NIS 2 / §32 BSIG).
S-a făcut clic pe un e-mail de phishing, nicio parolă introdusă
Limitare reușită, niciun impact asupra serviciilor sau a terților. Notificarea voluntară în temeiul art. 30 NIS 2 este disponibilă dacă doriți să comunicați și nu impune obligații suplimentare (art. 30 alin. (4)).
Pană la furnizorul de cloud, propriul serviciu întârziat
Dacă propriul dumneavoastră serviciu devine semnificativ mai lent sau se oprește, criteriul A este îndeplinit. Verificați și criteriul B: suferă clienții sau operatorii din aval? (art. 23 alin. (3) NIS 2)
Un atac DDoS scoate portalul clienților din funcțiune timp de patru ore
Întrerupere semnificativă pentru clienți. Ambele criterii de la art. 23 alin. (3) NIS 2 sunt potențial îndeplinite. Pentru furnizorii de DNS, cloud sau servicii de încredere, verificați și art. 5-14 CIR.
O configurare greșită expune datele clienților
Articolul 33 GDPR: 72 h către autoritatea de supraveghere. Dacă este depășit și un prag NIS 2 (art. 23 alin. (3) NIS 2 sau art. 3 CIR), suplimentar articolul 23 NIS 2: avertizare timpurie de 24 h către CSIRT. Ambele ceasuri pornesc în momentul cunoașterii.
Furnizor compromis, propriul serviciu afectat
Verificați mai întâi daunele aduse propriei entități sau clienților dumneavoastră. Nu orice incident al unui furnizor declanșează propria obligație de notificare. În paralel: documentați supravegherea furnizorilor în temeiul art. 21 alin. (2) lit. (d) NIS 2.
Nu sunteți sigur dacă pragul este depășit? Depuneți avertizarea timpurie și actualizați mai târziu. Art. 23 alin. (4) lit. (a) NIS 2 este conceput exact pentru aceasta. Autoritatea competentă preferă un „încă nu suntem siguri” timpuriu unui „am așteptat prea mult” tardiv.
Articolul 30 alineatul (1) NIS 2 permite notificarea voluntară a incidentelor, a amenințărilor cibernetice și a evitărilor la limită către CSIRT. Acest lucru se aplică entităților din domeniul de aplicare al directivei și entităților din afara acestuia care doresc să notifice un eveniment semnificativ.
Articolul 30 alineatul (4) NIS 2 este protecția cheie: raportarea voluntară nu trebuie să conducă la impunerea vreunei obligații suplimentare asupra entității care notifică. Raportarea unui caz la limită nu comportă niciun risc de îndatoriri suplimentare. Acest lucru elimină scuza evidentă de a nu notifica un incident neclar.
Articolul 23 alineatul (2) NIS 2 adaugă o obligație separată. Entitățile esențiale și importante comunică, fără întârzieri nejustificate, destinatarilor serviciilor lor orice măsuri sau remedii pe care aceștia le pot lua pentru a atenua riscurile generate de o amenințare cibernetică semnificativă. Aceasta nu este notificarea către CSIRT; este comunicarea externă către clienți.
În Germania, §35 BSIG pune în aplicare acest lucru. §35 alin. (1) permite BSI să dispună notificarea. §35 alin. (2) obligă suplimentar anumite sectoare (finanțe, asigurări sociale, infrastructură digitală, gestionarea serviciilor TIC, servicii digitale) să notifice din proprie inițiativă. Comunicarea poate fi făcută prin publicare pe site-ul web al entității.
Orientările BSI în temeiul §32 BSIG
BSI repetă formularea de la art. 23 alin. (3) și vă îndrumă către formularul său standard de raportare (MIRP). Nu publică nicio cifră pentru sectoarele nedigitale. Poziția BSI: evaluați caracterul semnificativ în raport cu criteriile calitative, consemnați-vă raționamentul în scris și raportați în caz de dubiu.
Ghidul tehnic de punere în aplicare al ENISA
Ghidul tehnic de punere în aplicare al ENISA (TIG, v1.2 august 2025) oferă sfaturi practice privind evaluarea impactului și trimite la pragurile CIR acolo unde acestea se aplică. TIG nu are caracter obligatoriu și predă în mod explicit sectoarele din afara domeniului CIR înapoi autorităților naționale.
Alte transpuneri ale statelor membre
Cyberbeveiligingswet din Țările de Jos, proiectul NISG 2024 din Austria și regimul francez OIV/REC repetă toate testul de la art. 23 alin. (3) cuvânt cu cuvânt. Niciunul dintre acestea nu a publicat încă cifre pentru sectoarele nedigitale. Modelul în întreaga UE este același: test calitativ plus CIR pentru grupul digital.
Mit 1: Vom ști când vom vedea.
Realitate: Art. 23 alin. (3) vă oferă 24 de ore pentru a decide, a consemna raționamentul în scris și a-l apăra la audit. Dacă nu v-ați notat criteriile înainte de incident, veți lua decizia sub presiune, fără un document pe care să vă bazați. Construiți cadrul de decizie acum, nu în ziua respectivă.
Mit 2: Doar încălcările de date contează ca incidente semnificative.
Realitate: Art. 23 alin. (3) lit. (a) acoperă perturbarea operațională și pierderea financiară, fără nicio mențiune privind datele cu caracter personal. O linie de fabrică oprită de un ransomware, fără exfiltrare de date, este un incident semnificativ. O platformă logistică indisponibilă timp de trei ore este un incident semnificativ. NIS 2 nu este GDPR.
Mit 3: Incidentele mici sub prag nu se cumulează.
Realitate: Art. 4 CIR (și aceeași logică pentru criteriile calitative) prevede că incidentele repetate cu aceeași cauză-rădăcină se adună. Două întreruperi de 20 de minute provocate de aceeași componentă defectă în șase luni pot depăși împreună pragul. A le număra pe fiecare izolat este greșit.
Anexele I și II la NIS 2 acoperă aproximativ 18 sectoare. Doar grupul digital de la art. 1 CIR (aproximativ 11 tipuri de entități) primește cifre. Aceasta este o mică parte din entitățile vizate. Pentru energie, transport, bănci, infrastructura piețelor financiare, sănătate, apă potabilă, ape uzate, administrație publică, spațiu, poștă, gestionarea deșeurilor, substanțe chimice, alimentație, producție și cercetare, testul rămâne calitativ.
Acolo puteți fi util în discuție. Răspunsul onest la întrebarea consiliului („ce contează ca semnificativ pentru noi?”) este: UE a lăsat acest lucru la aprecierea dumneavoastră, iată cei trei factori din considerentul 101, iată jurnalul de decizie pe care îl vom produce în ziua respectivă, iată cine îl semnează, iată formularul de raportare BSI pe care îl vom depune. Răspunsul ce poate fi apărat nu este o cifră. Este o decizie consemnată în scris.
Modulul de incidente de pe nisd2.eu captează raționamentul clasificării dumneavoastră ca un câmp structurat, legat de art. 23 alin. (3). Pentru entitățile de infrastructură digitală, cifrele de la art. 3, 4 și 5 CIR apar ca limite de siguranță. Pentru toți ceilalți, cei trei factori din considerentul 101 apar ca un șablon ghidat, raționamentul este semnat și marcat temporal, iar înregistrarea alimentează rapoartele de 24 și 72 de ore.
Rezultatul este o înregistrare pe care o puteți apăra: decizia, raționamentul, semnatarul, marca temporală. Acesta este ceea ce solicită autoritatea competentă și BSI după un eveniment la limită. Este și ceea ce protejează organul de conducere în temeiul art. 20 NIS 2 dacă cineva contestă decizia mai târziu.
- Directiva (UE) 2022/2555 (NIS 2), art. 23 și considerentul 101 (eur-lex.europa.eu/eli/dir/2022/2555/oj)
- Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei, articolele 1, 3, 4, 5-14 (eur-lex.europa.eu/eli/reg_impl/2024/2690/oj)
- BSIG §32 (Germania) (portalul de reglementare bsi.bund.de)
- Ghidul tehnic de punere în aplicare al ENISA privind raportarea incidentelor NIS 2 (TIG) (enisa.europa.eu)
- Formularul de raportare BSI MIRP și orientările privind incidentele (bsi.bund.de)