§32 BSIG

Ghid de raportare a incidentelor NIS2

§32 BSIG transpune art. 23(4) NIS 2: trei rapoarte obligatorii cu termene fixe (24h, 72h, 1 lună) plus două rapoarte condiționate (la cerere, dacă incidentul este în curs). Nerespectarea unui termen este o încălcare separată, independentă de incidentul în sine.

Simon OrzelSimon Orzel·Laufend geprüft

Raportarea incidentelor în temeiul NIS2

§32 BSIG pune în aplicare articolul 23 din Directiva NIS2. Acesta stabilește un regim obligatoriu de raportare pentru incidentele semnificative de securitate. Fiecare entitate clasificată ca entitate esențială sau entitate importantă trebuie să raporteze către BSI atunci când un incident îndeplinește criteriile de semnificație. Cascada are trei rapoarte obligatorii cu termene fixe și două rapoarte condiționate, declanșate la cerere sau de un incident în curs. Obligația nu poate fi delegată unui furnizor de servicii de securitate gestionate; entitatea însăși este responsabilă de raportarea la timp.

Termenele de raportare sunt stricte și încep atunci când entitatea ia cunoștință de incident, nu atunci când investigația este finalizată. Aceasta este o distincție esențială: avertizarea timpurie de 24 de ore trebuie transmisă pe baza cunoașterii inițiale, chiar dacă amploarea și impactul complet sunt necunoscute. Așteptarea informațiilor complete înainte de raportare este ea însăși o încălcare.

Cascada de raportare conform art. 23(4) NIS 2
Trei etape obligatorii cu termene fixe din momentul cunoașterii, plus până la două rapoarte condiționate (intermediar la cererea autorității, raport de progres dacă incidentul este încă în curs în ziua în care raportul final este scadent).
1

Avertizare timpurie (Frühwarnung)

În termen de 24 de ore

Notificarea inițială către BSI privind faptul că a fost detectat un incident potențial semnificativ. Trebuie transmisă în termen de 24 de ore de la luarea la cunoștință a incidentului. Scopul este de a permite BSI să evalueze impactul transsectorial și să emită avertizări către alte entități, dacă este necesar.

  • Confirmarea faptului că a avut loc sau este suspectat un incident semnificativ
  • Dacă incidentul este suspectat a fi cauzat de acte ilegale sau rău intenționate
  • Dacă incidentul ar putea avea un impact transfrontalier
  • Numele entității, sectorul și datele de contact pentru urmărire
2

Notificarea incidentului (Meldung)

În termen de 72 de ore

O notificare mai detaliată care actualizează avertizarea timpurie cu informații suplimentare colectate în timpul răspunsului inițial. Trebuie transmisă în termen de 72 de ore de la luarea la cunoștință. Actualizează BSI privind natura, gravitatea și evaluarea inițială a impactului incidentului.

  • Evaluarea actualizată a gravității și a impactului incidentului
  • Indicatori de compromitere (IoC), acolo unde sunt disponibili
  • Evaluarea inițială a naturii și a cauzei incidentului
  • Măsuri luate sau planificate pentru a atenua incidentul
  • Evaluarea impactului transfrontalier, dacă este cazul
3

Raport intermediar (Zwischenbericht)

La cerere

Transmis la cererea BSI între notificarea de 72 de ore și raportul final. Actualizare de stare privind situația curentă a gestionării incidentului. Nu este automat; este declanșat de autoritate.

  • Stadiul curent al limitării și al remedierii
  • Constatări noi privind cauza, amploarea sau impactul
  • Ajustări ale contramăsurilor
  • Evaluarea actualizată a prejudiciului
4

Raport final (Abschlussbericht)

1 lună după notificarea de 72h

Un raport final cuprinzător, transmis în termen de o lună de la notificarea incidentului de 72 de ore. Documentația completă a incidentului și a răspunsului.

  • Descrierea detaliată a incidentului, inclusiv gravitatea și impactul
  • Analiza cauzei-rădăcină. Tipul de amenințare sau vulnerabilitate care a cauzat incidentul
  • Măsuri aplicate și în curs de aplicare pentru a atenua incidentul și efectele acestuia
  • Impactul transfrontalier, dacă este cazul
  • Lecții învățate și acțiuni corective planificate sau implementate
5

Raport de progres (Verlaufsbericht)

Dacă incidentul este încă în curs

Dacă incidentul nu este încă soluționat până la momentul în care raportul final este scadent, raportul de progres îl înlocuiește. Raportul final ulterior este apoi scadent în termen de o lună de la soluționarea incidentului.

  • Stadiul curent, întrucât incidentul este încă în curs
  • Măsurile de limitare implementate până în prezent
  • Durata estimată până la soluționarea incidentului, acolo unde este previzibilă
  • Planul pentru raportul final, după soluționarea incidentului
Ce face ca un incident să fie 'semnificativ'
Nu fiecare eveniment de securitate declanșează obligația de raportare în temeiul §32 BSIG. Un incident este semnificativ dacă îndeplinește unul sau mai multe dintre următoarele criterii, astfel cum sunt definite la articolul 23(3) din Directiva NIS2 și precizate mai detaliat la articolul 3 din CIR 2024/2690.

Perturbarea serviciului

Incidentul a cauzat sau este de natură să cauzeze o perturbare operațională gravă a serviciilor furnizate de entitate. Pentru furnizorii de DNS și registrele TLD, CIR precizează praguri, inclusiv disponibilitatea sub 99,9% sau furnizarea incorectă a răspunsurilor DNS.

Pierdere financiară

Incidentul a cauzat sau este de natură să cauzeze o pierdere financiară pentru entitate. Articolul 3 din CIR 2024/2690 precizează un prag de 500.000 EUR sau 5% din cifra de afaceri anuală, oricare dintre acestea este mai mică. Acesta include costuri directe (remediere, criminalistică) și costuri indirecte (pierderi de venituri, penalități contractuale).

Impactul asupra altor entități

Incidentul a cauzat sau ar putea cauza prejudicii considerabile altor persoane fizice sau juridice. Acesta include incidentele care se propagă prin lanțurile de aprovizionare, afectează infrastructura comună sau expun date aparținând unor terți.

Încălcarea securității datelor

Incidentul implică accesul neautorizat la date, distrugerea sau modificarea acestora. Rețineți că raportarea incidentelor NIS2 în temeiul §32 BSIG este separată de și suplimentară față de notificarea încălcării securității datelor în temeiul art. 33/34 GDPR. Ambele obligații se pot aplica simultan.

Întrerupere prelungită

Incidentul a cauzat sau se preconizează că va cauza o perturbare prelungită a serviciilor entității. Pragul de durată nu este fixat în directivă, însă CIR 2024/2690 prevede criterii specifice entității. Întreruperile prelungite care afectează servicii critice se prezumă a fi semnificative.

Câmpuri de raportare obligatorii
Portalul de raportare al BSI necesită informații structurate. Pregătirea în prealabil a acestor câmpuri reduce semnificativ riscul de a depăși termenul de 24 de ore.

  • Identificarea entității

    Numele companiei, numărul de înregistrare BSI, clasificarea sectorului, codul NACE și punctul de contact desemnat pentru coordonarea incidentelor. Aceste informații ar trebui preconfigurate în planul dvs. de răspuns la incidente, nu căutate în timpul unei crize.

  • Natura și clasificarea incidentului

    Tipul incidentului (ransomware, DDoS, încălcarea securității datelor, amenințare internă, compromiterea lanțului de aprovizionare etc.), sistemele și serviciile afectate, cronologia evenimentelor de la detectare până la starea curentă și clasificarea inițială a gravității.

  • Evaluarea impactului

    Numărul de utilizatori sau clienți afectați, serviciile perturbate, impactul financiar estimat, categoriile de date afectate (dacă există) și durata perturbării. Pentru avertizarea timpurie, estimările sunt acceptabile. Precizia apare în notificarea de 72 de ore și în raportul final.

  • Impact transfrontalier

    Dacă incidentul afectează sau ar putea afecta entități sau cetățeni din alte state membre UE. Acest lucru declanșează schimbul de informații între CSIRT-urile naționale și poate implica coordonarea ENISA. Trebuie evaluat atât în avertizarea timpurie, cât și în notificările ulterioare.

  • Măsuri de răspuns

    Acțiunile întreprinse pentru a limita, a eradica și a recupera în urma incidentului. Include măsuri tehnice (izolare, aplicarea de patch-uri, rotația credențialelor), măsuri de comunicare (notificarea clienților, informarea părților interesate) și măsuri organizatorice (activarea echipei de criză, angajarea de sprijin extern).

Unde și cum se raportează
Raportarea se face exclusiv prin portalul digital de raportare al BSI.

Toate rapoartele de incidente în temeiul §32 BSIG trebuie transmise prin portalul oficial de raportare al BSI. BSI nu acceptă rapoarte prin e-mail, telefon sau scrisoare ca substitut al transmiterii prin portal. Cu toate acestea, contactul telefonic cu echipa de răspuns la incidente a BSI (CERT-Bund) este adecvat pentru coordonarea răspunsului la incidente critice, în paralel cu raportul formal.

Portalul de raportare este disponibil pe site-ul BSI, la secțiunea NIS2. Accesul necesită înregistrarea prealabilă în temeiul §33 BSIG, ceea ce înseamnă că entitățile neînregistrate se confruntă cu o problemă agravată: nu pot depune rapoarte de incidente prin canalul corespunzător deoarece nu au finalizat înregistrarea prealabilă. Acesta este un alt motiv pentru care înregistrarea la BSI nu trebuie amânată.

Sancțiuni pentru neîndeplinirea obligațiilor de raportare
Neraportarea este sancționată independent de incidentul în sine. O companie care suferă un incident și îl gestionează bine din punct de vedere tehnic, dar nu îl raportează, se confruntă cu o acțiune de executare separată.

Până la 10.000.000 EUR sau 2% din cifra de afaceri

Entități esențiale

Valoarea mai mare dintre 10 milioane EUR sau 2% din cifra de afaceri anuală mondială din exercițiul financiar precedent. Acest lucru se aplică entităților esențiale din sectoarele enumerate în anexa 1 BSIG (energie, transport, sectorul bancar, sănătate, apă, infrastructură digitală, spațiu, administrație publică).

Până la 7.000.000 EUR sau 1,4% din cifra de afaceri

Entități importante

Valoarea mai mare dintre 7 milioane EUR sau 1,4% din cifra de afaceri anuală mondială. Acest lucru se aplică entităților importante din sectoarele enumerate în anexa 2 BSIG (servicii poștale, gestionarea deșeurilor, substanțe chimice, alimente, producție, furnizori digitali, cercetare).

Răspundere personală. §38 BSIG

Conducerea (Geschäftsleitung)

Dacă conducerea a avut cunoștință de un incident și nu a asigurat raportarea la timp, aceasta constituie o încălcare a obligației de supraveghere în temeiul §38(1) BSIG. Conducerea poate fi trasă la răspundere personală față de companie pentru prejudiciile care decurg din neraportare, separat de sancțiunile impuse companiei înseși.

Surse
  • Directiva NIS2 (UE) 2022/2555. Articolul 23 (Obligații de raportare)
  • BSIG. §32 (Meldepflichten bei erheblichen Sicherheitsvorfällen)
  • BSIG. §38 (Billigung, Überwachung, Schulung. Geschäftsleitung)
  • BSIG. §65 (Bußgeldvorschriften)
  • CIR (UE) 2024/2690. Articolul 3 (Semnificația incidentelor), Articolul 4 (Incidente recurente)
  • ENISA. Orientări privind obligațiile și modelele de raportare a incidentelor NIS2 (2024)
  • BSI. Documentația și întrebările frecvente privind portalul de raportare NIS2
Fiți pregătiți pentru raportare înainte de producerea incidentului
Platforma vă preconfigurează câmpurile de raportare BSI, menține un registru de incidente cu fluxuri de clasificare și urmărește termenele de 24h/72h/1 lună, astfel încât să vă îndepliniți fiecare obligație sub presiune.
Începeți procesul de conformitate NIS2