Art. 23 NIS 2

Atacurile DDoS conform NIS 2

Semnale de detectare, niveluri de atenuare și decizia de raportare în temeiul articolului 23 NIS 2 și al articolului 11(6) CIR 2024/2690.

Simon OrzelSimon Orzel·

De ce DDoS se află direct în interiorul articolului 23

Un atac distribuit de refuz al serviciului saturează o țintă cu trafic din mai multe surse astfel încât utilizatorii legitimi nu mai pot ajunge la serviciu. În NIS 2, categoria tehnică este mai puțin interesantă decât efectul. Odată ce un DDoS degradează sau întrerupe măsurabil un serviciu pe care entitatea îl prestează, articolul 23 NIS 2 îl transformă într-un eveniment raportabil cu o cascadă fixă.

Articolul 11(6) din Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR) numește în mod explicit refuzul serviciului ca una dintre categoriile care, pentru furnizorii de infrastructură digitală și de servicii TIC, se contabilizează drept incident semnificativ. Pentru alte entități esențiale și importante se aplică testul general de semnificație din articolul 23(3) NIS 2. Impactul asupra disponibilității serviciului este declanșatorul dominant în ambele cazuri.

O entitate care operează un site web, un API, un portal online, o poartă de plată, un resolver DNS sau orice alt serviciu expus pe internet atinge de obicei pragul de raportare mai repede decât poate scala apărarea. Cascada juridică începe, prin urmare, să curgă în paralel cu atenuarea, nu după aceasta.

Ancora juridică
Directivă UE, regulament de punere în aplicare al UE și exemplul de transpunere germană. Nivelul UE este obligatoriu în toate statele membre.

Directiva UE (obligatorie în toată Uniunea)

Statele membre se asigură că entitățile esențiale și importante transmit CSIRT-ului sau, după caz, autorității competente: (a) fără întârzieri nejustificate și în orice caz în termen de 24 de ore de la momentul în care au luat cunoștință de incidentul semnificativ, o avertizare timpurie; (b) fără întârzieri nejustificate și în orice caz în termen de 72 de ore de la momentul în care au luat cunoștință de incidentul semnificativ, o notificare a incidentului; (c) un raport intermediar privind actualizările de stare relevante, la cererea unui CSIRT sau, după caz, a autorității competente; (d) un raport final în cel mult o lună de la transmiterea notificării incidentului menționate la litera (b); (e) în cazul unui incident în curs la momentul transmiterii raportului final menționat la litera (d), statele membre se asigură că entitățile în cauză furnizează un raport privind progresele la momentul respectiv și un raport final în termen de o lună de la gestionarea incidentului.

Articolul 23(4) NIS 2. Cronometrul de raportare pornește în momentul în care entitatea ia cunoștință de incidentul semnificativ, nu când începe sau se încheie atenuarea. Un DDoS care este încă în curs la pragul de o lună declanșează varianta de raport privind progresele de la litera (e).

Regulamentul de punere în aplicare al UE (detaliu tehnic obligatoriu)

Un atac de refuz al serviciului sau un atac distribuit de refuz al serviciului este considerat un incident semnificativ pentru entitățile care furnizează servicii de infrastructură digitală și entitățile care furnizează gestionarea serviciilor TIC, în cazul în care atacul provoacă o indisponibilitate completă a serviciului sau o degradare semnificativă a serviciului.

Articolul 11(6) din Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690. CIR se aplică direct furnizorilor de servicii DNS, registrelor de nume TLD, furnizorilor de servicii de cloud computing, furnizorilor de servicii de centre de date, furnizorilor de rețele de livrare de conținut, furnizorilor de servicii gestionate, furnizorilor de servicii gestionate de securitate, furnizorilor de piețe online, motoarelor de căutare online și serviciilor de rețele sociale. Pentru aceste tipuri de entități, un DoS sau DDoS cu indisponibilitate completă sau degradare semnificativă este, prin denumire, semnificativ.

Exemplu național (Germania)

Wesentliche und wichtige Einrichtungen melden dem Bundesamt erhebliche Sicherheitsvorfälle. Die Meldung erfolgt unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntnisnahme als Frühwarnung, innerhalb von 72 Stunden als Meldung mit erster Bewertung und innerhalb eines Monats als Abschlussbericht.

§ 32 BSIG (NIS2UmsuCG). Transpunerea germană reflectă cascada din articolul 23(4) textual. Rapoartele merg la BSI prin Meldeportal. Alte state membre folosesc propriul CSIRT național sau direcționarea către autoritatea competentă. Substanța este identică.

Trei elemente operaționale
Detectarea, atenuarea și raportarea rulează în paralel în timpul unui eveniment DDoS. Fiecare are propriile criterii de decizie.
Detectare

Semnale de detectare la nivelul SOC

Indicatorii tipici culeși de monitorizarea rețelei sau de un SOC includ o creștere bruscă a volumului de trafic de intrare, o scădere a ratei de cereri reușite, numere anormale de conexiuni pe dispozitivele de margine, o explozie de agenți de utilizator sau tipare de interogare identice, latență sau pierdere de pachete crescută pe legăturile de perimetru și alerte de saturație de la furnizorii din amonte. Combinați cu o scădere măsurabilă a disponibilității serviciului, acești indicatori transformă un eveniment într-un incident în sensul articolului 6(6) NIS 2.

Atenuare

Niveluri de atenuare folosite frecvent

Tiparele comune de atenuare includ filtrarea traficului din amonte la furnizorul de servicii de internet, scrubbing-ul prin intermediul unui serviciu terț de protecție DDoS, limitarea ratei și restrângerea conexiunilor la margine, anycast și distribuția geografică, blackholing sau null-routing al surselor de atac la nivelul operatorului și protecții la nivel de aplicație precum gestionarea boților. Apărarea pe niveluri este descrisă aici, nu recomandată; combinația proporțională depinde de evaluarea de risc a entității în temeiul articolului 21 NIS 2.

Raportare

Decizia de raportare în temeiul articolului 23

Odată ce disponibilitatea serviciului este afectată într-un mod care îndeplinește articolul 23(3) NIS 2 sau, pentru entitățile de infrastructură digitală, articolul 11(6) CIR, cascada începe: avertizare timpurie în 24 de ore, notificarea incidentului în 72 de ore, raport intermediar la cerere, raport final în termen de o lună, raport privind progresele dacă incidentul este încă în curs la pragul de o lună.

Două principii structurale
Ambele provin din textul directivei și modelează modul de clasificare a unui DDoS.

Impactul asupra serviciului, nu volumul atacului, este declanșatorul

Articolul 23(3) NIS 2 definește semnificația prin efectul asupra serviciului: perturbare operațională gravă, pierdere financiară, sau prejudiciu material sau imaterial pentru alte persoane fizice sau juridice. Un atac de 500 Gbps care este absorbit complet nu este, în sine, un incident semnificativ. Un atac de 5 Gbps care scoate un portal offline timp de o oră de obicei este. Testul din CIR §11(6) pentru entitățile de infrastructură digitală este și mai direct: indisponibilitate completă sau degradare semnificativă.

DDoS maschează adesea un eveniment de a doua etapă

Atacurile volumetrice sunt uneori folosite drept acoperire pentru credential stuffing, exfiltrarea de date sau desfășurarea de ransomware. Analiza post-incident cerută de articolul 23(4)(d) NIS 2 în raportul final distinge de obicei între evenimentul vizibil de disponibilitate și orice eveniment secundar de acces sau integritate detectat în timpul sau după potop.

Nivelul operațional național
Directiva este drept al UE. Autoritățile naționale gestionează preluarea CSIRT, cooperarea cu ISP și ghidurile tehnice.
DE

BSI ca CSIRT național și punct de raportare

În Germania, BSI primește rapoartele din articolul 23 prin Meldeportal în temeiul § 32 BSIG. BSI publică și ghiduri de gestionare a incidentelor precum BSI-Standard 200-4 (BCM) și note tehnice operaționale; acestea sunt orientări, nu obligații suplimentare de raportare. Alte state membre au structuri paralele (NCSC-NL, ANSSI, NCSC-IE și așa mai departe).

UE

Cooperarea cu ISP și filtrarea din amonte

Furnizorii de servicii de internet pot absorbi sau filtra traficul de atac înainte de a ajunge la marginea clientului. În Germania, furnizorii de comunicații electronice operează în temeiul TKG și cooperează cu BSI la răspunsul la amenințări; BSI TR-03103 acoperă interfețele tehnice pentru unele categorii. Ideea pentru entitatea care raportează este că atenuarea de către ISP nu elimină obligația de raportare din articolul 23 dacă serviciul a fost deja afectat.

UE

Ghidurile tehnice ENISA și peisajul amenințărilor

ENISA publică raportul anual privind peisajul amenințărilor și ghiduri de răspuns la incidente în temeiul articolului 18 NIS 2. Peisajul amenințărilor 2024 confirmă DDoS ca una dintre categoriile de amenințări de top observate în sectoarele UE. Documentele ENISA sunt material de referință; nu schimbă cascada din articolul 23.

Capcane comune
Tipare observate în mod repetat în analizele post-mortem ale DDoS în rândul entităților NIS 2.
  • ISP-ul se ocupă, deci nu trebuie raportat nimic

    Filtrarea de partea ISP reduce impactul, dar nu schimbă declanșatorul juridic. Dacă serviciul a fost indisponibil sau semnificativ degradat între debutul atacului și atenuarea de către ISP, articolul 23(3) NIS 2 sau articolul 11(6) CIR este angajat. Cascada de raportare rulează în paralel cu răspunsul la nivelul operatorului.

  • Tratarea doar a simptomului este suficientă

    Limitarea ratei și scrubbing-ul opresc potopul, dar rareori identifică dacă DDoS a fost o diversiune. O analiză post-incident care nu verifică jurnalele de autentificare, anomaliile traficului de ieșire și modificările de configurație în timpul ferestrei de atac lasă evenimentul secundar nedetectat. Raportul final din articolul 23(4)(d) este punctul de control documentat pentru aceasta.

  • Odată ce traficul se normalizează, incidentul este închis

    Articolul 23(4)(d) NIS 2 cere un raport final în termen de o lună de la notificarea incidentului. Acel raport acoperă cauza-rădăcină, atenuarea aplicată și lecțiile învățate. O entitate care închide tichetul în momentul în care traficul scade de obicei nu are nimic de transmis, ceea ce este în sine o neconformitate documentată.

Note ale practicianului

Două obiceiuri operaționale separă entitățile care gestionează DDoS curat de cele care se zbat. Primul, cronometrul de raportare și cronometrul de atenuare sunt urmărite separat. Atenuarea poate dura ore; avertizarea timpurie de 24 de ore are propriul responsabil și șablon pregătit înainte de eveniment. Al doilea, analiza post-incident este programată în momentul detectării, nu la sfârșitul potopului. Un slot în calendar la 25 de zile după detectare forțează redactarea raportului final, chiar și pe un incident liniștit.

Configurația DNS și de margine contează mai mult decât deciziile din timpul atacului. Rutarea anycast, furnizori autoritativi DNS separați, un aranjament testat de filtrare din amonte cu ISP-ul și o cale de contact documentată către NOC-ul operatorului sunt de obicei în loc cu mult înainte ca primul pachet al unui atac să sosească. Același lucru este valabil pentru șabloanele de raport: câmpurile de avertizare timpurie și de notificare cerute în temeiul § 32 BSIG și al portalurilor naționale echivalente sunt suficient de statice pentru a fi precompletate.

Cum sprijină nisd2.eu acest lucru

Modulul de incidente din nisd2.eu poartă cascada din articolul 23(4) ca pe un flux de lucru structurat: avertizare timpurie la 24h, notificarea incidentului la 72h, raport intermediar la cerere, raport final la o lună, varianta de progres dacă incidentul este încă în curs. Platforma marchează cu timestamp fiecare pas în raport cu momentul luării la cunoștință și nu cu momentul atacului, ceea ce măsoară directiva.

Referințele de active de pe incident leagă serviciul afectat de intrările din inventarul de active construit în temeiul RSK 2.2, astfel încât analiza post-incident poate urmări care active, furnizori și procese au fost implicate fără a reconstrui contextul de la zero.

Surse
  • Directiva (UE) 2022/2555 (NIS 2), Articolul 6(6) (definiția incidentului), Articolul 21 (măsuri de gestionare a riscurilor), Articolul 23 (raportare). EUR-Lex: eur-lex.europa.eu/eli/dir/2022/2555/oj
  • Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690, Articolul 11(6) (refuzul serviciului numit drept incident semnificativ pentru infrastructura digitală și furnizorii de servicii TIC). EUR-Lex: eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
  • BSIG (NIS2UmsuCG), § 32 (obligații de raportare către BSI). gesetze-im-internet.de
  • BSI Meldeportal și ghiduri operaționale privind raportarea incidentelor. bsi.bund.de
  • ENISA Threat Landscape 2024, capitolul DDoS. enisa.europa.eu
  • BSI-Standard 200-4 (Managementul continuității activității). bsi.bund.de
  • BSI TR-03103 (seria de ghiduri tehnice). bsi.bund.de
Verificați mai întâi aplicabilitatea
Articolul 23 se aplică doar entităților esențiale și importante din domeniul de aplicare al NIS 2. O verificare de aplicabilitate de două minute confirmă dacă o anumită entitate este acoperită.