Art. 23 NIS 2 + §32 BSIG

Cum raportezi un incident NIS 2 în 24 de ore

Articolul 23 NIS 2 stabilește o singură cascadă în întreaga Uniune: avertizare timpurie la 24 de ore, notificarea incidentului la 72 de ore, raport intermediar la cerere, raport final în termen de o lună. Ceasul pornește când iei la cunoștință incidentul, nu când s-a întâmplat.

Simon OrzelSimon Orzel·

Pe scurt

Dacă lovește un incident semnificativ, datorezi CSIRT-ului tău național (în Germania: BSI) patru rapoarte într-o ordine fixă. Primul este scadent la 24 de ore după ce iei la cunoștință incidentul. Cuvântul declanșator este luarea la cunoștință, nu producerea. În clipa în care cineva din casa ta poate spune că este mai mult decât o defecțiune, ceasul a pornit.

Articolul 23 alin. (4) NIS 2 numește toate cele patru etape. Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei §11 detaliază ce trebuie să conțină rapoartele și listează categoriile de incidente care se consideră întotdeauna semnificative. §32 BSIG și BSI Meldeportal sunt canalul german pentru asta.

Această pagină parcurge mai întâi stratul UE, apoi stratul operațional german. Cascada este aceeași în întreaga Uniune. Portalul și biroul de contact se schimbă de la o țară la alta.

Sursa juridică
Trei straturi suprapuse. Directiva stabilește cascada. Regulamentul de punere în aplicare stabilește conținutul și pragul de semnificație. BSIG-ul german o transformă într-un canal național de raportare.

Articolul 23 alin. (4) Directiva NIS 2 (2022/2555)

Statele membre se asigură că entitățile în cauză transmit CSIRT-ului sau, după caz, autorității competente: (a) fără întârzieri nejustificate și în orice caz în termen de 24 de ore de la luarea la cunoștință a incidentului semnificativ, o avertizare timpurie; (b) fără întârzieri nejustificate și în orice caz în termen de 72 de ore de la luarea la cunoștință a incidentului semnificativ, o notificare a incidentului; (c) la cererea unui CSIRT sau, după caz, a autorității competente, un raport intermediar privind actualizările relevante de stare; (d) un raport final nu mai târziu de o lună de la transmiterea notificării incidentului prevăzute la litera (b).

Patru etape, o cascadă. Formularea este obligatorie în fiecare stat membru. Ancora ceasului este aceeași la fiecare pas: de la luarea la cunoștință, nu din momentul în care incidentul a început.

CIR (UE) 2024/2690, Anexa §11.6

Un incident se consideră semnificativ atunci când cauzează sau este susceptibil să cauzeze o perturbare operațională gravă a serviciilor sau pierderi financiare pentru entitatea în cauză, ori atunci când a afectat sau este susceptibil să afecteze alte persoane fizice sau juridice prin cauzarea unor prejudicii materiale sau morale considerabile.

§11.6 listează categorii care se califică întotdeauna ca semnificative: ransomware, exfiltrarea de date personale sau sensibile, refuzul serviciului împotriva serviciilor esențiale, pierderea confidențialității sau a integrității activelor critice și așa mai departe. Dacă o categorie se potrivește, întrebarea privind pragul este închisă. Raportarea pornește.

§32 BSIG (Germania)

Wesentliche und wichtige Einrichtungen melden erhebliche Sicherheitsvorfälle dem Bundesamt unverzüglich, spätestens innerhalb der in Artikel 23 Absatz 4 der Richtlinie (EU) 2022/2555 genannten Fristen.

Germania copiază cascada directivei și trimite la BSI Meldeportal drept canal operațional. §32 BSIG este ancora germană. Articolul 23 alin. (4) NIS 2 este regula de fond la care textul german se referă.

Cascada în practică
Trei etape de raportare pe un ceas fix, plus un raport intermediar pe care autoritatea îl poate solicita între reperul de 72 de ore și raportul final. Fiecare etapă are scopul ei. Depui fiecare etapă chiar dacă următoarea este deja scadentă.
24 de ore

Avertizare timpurie

În termen de 24 de ore de la luarea la cunoștință a incidentului, depui o avertizare timpurie prin BSI Meldeportal. Numești entitatea, semnalezi dacă suspectezi un act malițios și indici dacă este posibil un impact transfrontalier. Nu ai nevoie încă de cauza primară, de amploare sau de atribuire. Scopul este să pui CSIRT-ul în alertă și să pornești coordonarea.

72 de ore

Notificarea incidentului

În termen de 72 de ore de la luarea la cunoștință, depui notificarea incidentului. Actualizează ce ai spus la 24 de ore. Adaugă o evaluare inițială a gravității și a impactului. Adaugă indicatori de compromitere dacă îi ai. Aceasta este prima dată când se așteaptă să caracterizezi incidentul, nu doar să îl anunți. O estimare cât mai bună pe date parțiale tot bate tăcerea.

1 lună

Raport final (și intermediar la cerere)

Între 72 de ore și raportul final, CSIRT-ul sau autoritatea competentă poate solicita oricând un raport intermediar privind actualizările relevante de stare. Raportul final în sine este scadent nu mai târziu de o lună de la notificarea de la 72 de ore. Conține descrierea confirmată a incidentului, analiza cauzei primare, măsurile de atenuare aplicate și orice impact transfrontalier. Dacă incidentul este încă în desfășurare la o lună, depui un raport de progres și unul final când se închide.

Două reguli care guvernează întreaga cascadă
Ambele decurg din directivă și din îndrumarea publicată de BSI. Ele decid dacă ai îndeplinit standardul, chiar mai mult decât termenele în sine.

Viteză înaintea completitudinii, luare la cunoștință înaintea producerii

BSI o spune clar: „Schnelligkeit vor Vollständigkeit”. Trimite raportul cu ce știi acum. Actualizează mai târziu. Ceasul pornește în clipa în care cineva cu responsabilitate poate spune că este mai mult decât o perturbare normală, nu în clipa în care atacul a început efectiv. Un raport tardiv, complet, înseamnă neconformitate. Un raport rapid, parțial, înseamnă conformitate.

Căile de raportare pot rula în paralel

Dacă sunt implicate date cu caracter personal, articolul 33 GDPR rulează propriul ceas de 72 de ore către autoritatea de protecție a datelor (în Germania: BfDI sau Landesdatenschutzbehörde relevantă). Acel ceas este independent de cascada NIS 2. Le poți datora pe ambele în același timp. Depunerea uneia nu o îndeplinește pe cealaltă. Același lucru se aplică autorităților de reglementare sectoriale, acolo unde există.

Cum operaționalizează Germania acest lucru
UE stabilește cascada. Germania rulează canalul. Iată cui depui efectiv în Germania și cum rulează calea paralelă de protecție a datelor.
Germania

BSI Meldeportal conform §32 BSIG

Depui prin BSI Meldeportal la meldeportal.bsi.bund.de. Portalul te ghidează prin cele patru etape și urmărește termenele. BSI publică îndrumare sub titlul „Schnelligkeit vor Vollständigkeit”: nu aștepta certitudinea criminalistică. Trimite ce ai. Portalul îți permite să actualizezi același caz de-a lungul cascadei.

Germania / UE

Articolul 33 GDPR, rulează în paralel

Dacă incidentul implică date cu caracter personal, datorezi de asemenea o notificare conform articolului 33 GDPR în termen de 72 de ore de la luarea la cunoștință. Aceasta merge la autoritatea de protecție a datelor, nu la BSI. Ceasul de 72 de ore are același număr, dar este un ceas diferit și un destinatar diferit. Depunerea prin BSI Meldeportal nu oprește ceasul GDPR. Urmărește-le pe ambele.

La nivelul UE

Coordonarea ENISA și autoritățile sectoriale de reglementare

Articolul 23 alin. (11) NIS 2 permite autorității competente și CSIRT-ului să partajeze raportul cu autoritățile omoloage din alte state membre acolo unde este posibil un impact transfrontalier, precum și cu ENISA. Dacă operezi peste granițe, așteaptă-te la coordonare, nu la depuneri duplicate. Acolo unde există o autoritate sectorială de reglementare (financiar sub DORA, telecomunicații sub TKG), depui sub acel regim în locul NIS 2 sau alături de el, după cum prevede actul relevant.

Trei capcane care transformă cascada într-o constatare
Fiecare dintre acestea este un motiv din lumea reală pentru care o autoritate constată neconformitatea chiar și acolo unde entitatea a încercat cu bună-credință.

  • Vom raporta odată ce știm ce s-a întâmplat cu adevărat.

    Până afli ce s-a întâmplat cu adevărat, fereastra de 24 de ore s-a închis, iar cea de 72 de ore se închide. Articolul 23 alin. (4) lit. (a) nu cere cauza primară la 24 de ore. Cere avertizarea timpurie. Cauza primară aparține raportului final, o lună mai târziu. Așteptarea certitudinii este cel mai frecvent mod de a rata primul termen.

  • Până nu confirmăm că este semnificativ, nu depunem.

    Confirmarea semnificației din timp nu este testul. CIR §11.6 listează categorii care sunt semnificative prin definiție. Avertizarea timpurie la 24 de ore este construită exact pentru situația în care nu ești încă sigur. Sari peste pasul de 24 de ore și ai ratat deja un termen pe care nu îl mai poți recupera, chiar dacă ulterior se dovedește că incidentul nu a fost semnificativ.

  • Am trimis notificarea, am terminat.

    Notificarea de la 72 de ore este una dintre patru etape, nu ultima. Raportul intermediar poate fi solicitat oricând. Raportul final este scadent la o lună de la notificarea de la 72 de ore. Majoritatea amenzilor din primul val de aplicare se concentrează pe raportul final lipsă, nu pe avertizarea timpurie.

Un exemplu real de ransomware la un Stadtwerk

Marți 07:42, un analist SOC al unui Stadtwerk observă că aplicația de facturare este inaccesibilă și că pe trei partajări de fișiere apar note de răscumpărare. La 08:10, responsabilul IT confirmă criptarea unei baze de date de facturare. Acela este momentul luării la cunoștință. Ceasul de 24 de ore pornește la 08:10 marți, ceasul de 72 de ore pornește la 08:10 marți, ceasul de o lună pentru raportul final pornește în clipa în care notificarea de la 72 de ore este depusă.

Până la ora 14:00 marți, entitatea depune o avertizare timpurie prin BSI Meldeportal: ransomware suspectat, act malițios da, impact transfrontalier neclar (cu douăsprezece ore înainte de termen). Până vineri la 06:00, entitatea depune notificarea de la 72 de ore cu gravitatea inițială și indicatorii de compromitere din jurnalele EDR. În ziua 18, BSI solicită un raport intermediar privind progresul restaurării; entitatea depune. În ziua 29, entitatea depune raportul final cu cauza primară confirmată, atenuarea aplicată și rezumatul lecțiilor învățate. Patru rapoarte, o singură ancoră a ceasului: 08:10 marți.

Cum gestionăm cascada pe platformă

Modulul de incidente al platformei oglindește cascada în patru etape. Când un incident este deschis, momentul luării la cunoștință ancorează trei ceasuri de numărătoare inversă: 24 de ore, 72 de ore, o lună. Fiecare ceas are propriul șablon precompletat cu ce cer articolul 23 alin. (4) și CIR §11.6, astfel încât completezi ce știi acum, iar platforma îți spune ce mai lipsește.

Depunerea se face prin BSI Meldeportal în Germania. Platforma nu înlocuiește portalul. Pregătește conținutul, urmărește termenele, păstrează traseul de audit și îi amintește titularului responsabil că următorul pas din cascadă este scadent. Rapoartele în sine rămân gata de export, ca să le poți lipi în portal sub presiunea timpului.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), articolul 23 alin. (3), 23 alin. (4), 23 alin. (11), eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei, Anexa §11, eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • Legea BSI (BSIG), §32 în versiunea Legii de implementare a NIS2 și de întărire a securității cibernetice
  • BSI Meldeportal, meldeportal.bsi.bund.de
  • BSI Infopakete „NIS 2 Pflichten” privind raportarea incidentelor, bsi.bund.de/dok/nis-2-infopakete
  • Regulamentul (UE) 2016/679 (GDPR), articolul 33, eur-lex.europa.eu/eli/reg/2016/679/oj
Rulează cascada în patru etape fără să ratezi un ceas
Moment al luării la cunoștință, trei ceasuri de numărătoare inversă, șabloane de raport precompletate, traseu de audit. Gratuit, open source, fără lock-in.
Deschide platforma gratuită