Incident de phishing în NIS 2
Cum trece phishingul pragul incidentului semnificativ, ce cere cascada de raportare și ce gestionează un plan de acțiune tipic în paralel.
Ce acoperă această pagină
Phishingul nu este o categorie de reglementare separată în NIS 2. Directiva tratează o tentativă de phishing reușită drept un posibil incident semnificativ printre altele. Testul calitativ din Articolul 23(3) NIS 2 este același pe care trebuie să-l treacă orice alt tip de incident. Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 (CIR) desemnează categorii în Anexa Secțiunea 11.6 care, pentru entitățile de infrastructură digitală, contează ca semnificative în mod implicit.
Declanșatorul pe care majoritatea operatorilor îl ratează este compromiterea acreditărilor. Un e-mail de phishing care captează un set funcțional de acreditări pentru un cont critic nu este un incident evitat la limită. Este un eveniment reușit de acces neautorizat. Dacă îndeplinește apoi pragul din Articolul 23(3) depinde de ce poate atinge contul, ce a fost extras și ce servicii au fost afectate.
Această pagină prezintă mecanica, nu consultanța juridică. Descrie ceasurile pentru avertizarea timpurie, notificarea incidentului și raportul final conform Articolului 23(4) NIS 2, cum gestionează un plan tipic de SOC izolarea și păstrarea probelor și unde rulează în paralel Articolul 33 GDPR atunci când sunt implicate date cu caracter personal.
Directiva NIS 2 (UE) 2022/2555, Art. 23(3)
Un incident este considerat semnificativ dacă: (a) a cauzat sau poate cauza o perturbare operațională gravă a serviciilor sau pierderi financiare pentru entitatea în cauză; (b) a afectat sau poate afecta alte persoane fizice sau juridice prin cauzarea unor daune materiale sau morale considerabile.
Aceasta este singura definiție generală a unui incident semnificativ în dreptul UE. Ambele puncte folosesc "poate cauza", deci dauna potențială contează la fel ca dauna efectivă. Un eveniment de phishing care a compromis acreditările pentru un cont privilegiat poate îndeplini punctul (a) chiar înainte ca vreun serviciu să se fi oprit efectiv.
CIR (UE) 2024/2690, Anexa Secțiunea 11.6
Un incident este considerat semnificativ dacă cauzează sau poate cauza o perturbare operațională gravă a serviciilor sau pierderi financiare pentru entitatea în cauză ori dacă a afectat sau poate afecta alte persoane fizice sau juridice prin cauzarea unor daune materiale sau morale considerabile.
Secțiunea 11.6 enumeră categorii care se califică întotdeauna drept semnificative pentru entitățile de infrastructură digitală acoperite de CIR: ransomware, exfiltrarea de date personale sau sensibile, refuzul serviciului împotriva serviciilor esențiale și pierderea confidențialității sau integrității activelor critice. Un caz de phishing care se încheie cu oricare dintre acestea a trecut pragul prin definiție. Pentru sectoarele din afara CIR, testul calitativ din Articolul 23(3) guvernează singur.
§32 BSIG (Germania)
Entitățile esențiale și importante notifică Bundesamt cu privire la incidentele semnificative fără întârziere nejustificată, cel târziu în termenele menționate la Articolul 23(4) din Directiva (UE) 2022/2555.
Germania preia cascada directivei ca atare și direcționează raportarea prin portalul BSI la meldung.bsi.bund.de. §32 BSIG este ancora germană. Termenele de fond rămân cele din Articolul 23(4) NIS 2: o avertizare timpurie în 24 de ore, o notificare a incidentului în 72 de ore și un raport final într-o lună.
Trierea și decizia de prag
Ceasul pornește când entitatea ia cunoștință de incident. Luarea la cunoștință este momentul în care o persoană competentă din interiorul organizației știe suficient pentru a suspecta un incident semnificativ, nu când se finalizează investigația. Trierea răspunde la trei întrebări: ce conturi au fost compromise, ce pot atinge acele conturi și dacă se potrivește vreo categorie din CIR Anexa Secțiunea 11.6. Dacă da, întrebarea de prag este închisă și se pregătește avertizarea timpurie.
Izolarea și probele
Un plan tipic de SOC resetează acreditările compromise, revocă sesiunile active, blochează domeniul expeditorului, izolează de rețea punctele terminale afectate și păstrează cutia poștală, imaginea discului punctului terminal și jurnalele de autentificare înainte de orice reimaginare. Ștergerea unei mașini afectate de phishing înainte de a o imagina distruge înregistrarea criminalistică care răspunde ulterior la ce a atins de fapt atacatorul.
Cascada de 24h / 72h / o lună
Articolul 23(4) NIS 2 stabilește trei termene de la momentul luării la cunoștință. În 24 de ore entitatea depune o avertizare timpurie care indică dacă incidentul este suspectat a fi cauzat de acte ilegale sau rău intenționate ori dacă are impact transfrontalier. În 72 de ore o notificare a incidentului actualizează avertizarea timpurie cu o evaluare inițială, indicatori de compromitere și gravitate. Într-o lună un raport final descrie cauza rădăcină, atenuarea și orice impact transfrontalier.
Întinderea daunei este ceea ce face phishingul semnificativ
Articolului 23(3) nu îi pasă de tehnică. Îi pasă de efect. Un e-mail de phishing deschis de un singur funcționar din departamentul financiar nu este semnificativ. Același e-mail, dacă a captat acreditări funcționale care permit accesul la sistemul de facturare, la salarizare sau la o bază de date a clienților, poate îndeplini punctul (a) privind perturbarea operațională potențială sau punctul (b) privind dauna adusă persoanelor fizice sau juridice. Întrebarea privind întinderea este: ce putea atinge acreditarea compromisă înainte de a fi revocată și ce a fost atins în timpul ferestrei de acces.
Viteza învinge completitudinea
Poziția BSI este "Schnelligkeit vor Vollständigkeit". Avertizarea timpurie de 24 de ore este concepută pentru momentul în care tabloul este incomplet. Formularul cere o clasificare inițială și faptele cunoscute, nu o analiză finală a cauzei rădăcină. Reținerea avertizării timpurii până când se cunoaște totul ratează termenul; termenul nu poate fi recuperat ulterior, chiar dacă incidentul se dovedește ulterior a nu fi fost semnificativ.
BSI: raportare NIS 2 la meldung.bsi.bund.de
BSI operează canalul unic din §32 BSIG pentru raportarea incidentelor NIS 2. Portalul prestructurează depunerile de 24h, 72h și o lună și stochează pista de audit. Ghidul public al BSI repetă formularea din Articolul 23(3) și confirmă "Schnelligkeit vor Vollständigkeit". Incidentele provocate de phishing care îndeplinesc testul calitativ trec prin acest canal, indiferent dacă ating și date cu caracter personal.
BfDI / DPA de land: paralela cu Articolul 33 GDPR
Dacă evenimentul de phishing a expus date cu caracter personal, Articolul 33 GDPR rulează alături de NIS 2. Notificarea privind protecția datelor merge la autoritatea de supraveghere competentă în termen de 72 de ore de la luarea la cunoștință, cu excepția cazului în care este puțin probabil ca încălcarea să genereze un risc pentru persoanele fizice. Raportul NIS 2 și notificarea GDPR sunt documente separate către autorități separate; faptele de bază se suprapun, canalele formale nu.
ZAC LKA: plângerea penală ca decizie separată
Un atac de phishing reușit este de obicei o faptă penală conform §202a, §202b sau §263a StGB. Zentrale Ansprechstelle Cybercrime (ZAC) a Landeskriminalamt-ului responsabil este punctul de intrare pentru plângerea penală. Depunerea ei este o decizie de conducere separată de raportarea de reglementare și nu pune pauză niciunui ceas.
"A fost doar un utilizator, nu este semnificativ"
Testul din Articolul 23(3) întreabă dacă incidentul poate cauza o perturbare operațională gravă sau daune considerabile terților. Un set funcțional de acreditări pentru un cont privilegiat aflat în mâinile unui atacator poate face ambele, indiferent câți utilizatori au fost afectați de phishing. Semnificația este decisă de ce poate atinge acreditarea, nu de mărimea populației care a dat clic.
"Reimaginează laptopul imediat, ca să fim siguri"
Ștergerea punctului terminal înainte de a face o imagine criminalistică distruge singura înregistrare a ceea ce a făcut de fapt atacatorul în timpul ferestrei de acces. Atât notificarea incidentului de 72 de ore, cât și raportul final de o lună cer indicatori de compromitere și cauza rădăcină. Fără imagine, acele răspunsuri sunt presupuneri. Un plan tipic izolează mai întâi, imaginează punctul terminal și cutia poștală afectată și abia apoi reimaginează.
"Liniștea este mai sigură, nu spune nimănui pe plan intern"
Articolul 23(1)(h) NIS 2 obligă entitatea, acolo unde este cazul, să comunice destinatarilor serviciilor sale potențial afectați. Tăcerea pe plan intern întârzie al doilea val de detectare: alți angajați care au primit același e-mail, alte conturi care pot fi deja compromise. O notă internă scurtă și faptică în primele ore face parte din răspuns, nu este un comunicat de presă.
Cel mai util lucru pe care o echipă mică îl poate exersa înainte de evenimentul real este decizia de prag. Notați în prealabil care conturi sunt "critice" pentru entitate (console de administrare, sisteme de plată, furnizor de identitate, baza de date a clienților, control OT). Un eveniment de phishing care captează oricare dintre acestea este, prin propria voastră definiție, un candidat pentru Secțiunea 11.6 și ceasul de 24 de ore pornește.
Al doilea cel mai util lucru este șablonul de raport. Portalul BSI cere un set structurat de fapte. Redactarea avertizării timpurii pentru prima dată în timpul unui incident real irosește primele două ore. Un șablon precompletat cu identificatorii companiei, sectorul, canalele de contact și o secțiune de narațiune liberă poate fi depus în treizeci de minute, odată ce faptele sunt disponibile.
Modulul de incidente deschide un caz de la un singur moment de "luare la cunoștință" și ancorează trei ceasuri: 24 de ore, 72 de ore, o lună. Fiecare ceas are propriul șablon, precompletat cu câmpurile pe care le cer Articolul 23(4) și CIR Anexa Secțiunea 11.6. Introduceți ce se cunoaște, platforma arată ce încă lipsește. Un cronometru separat pentru Articolul 33 GDPR se activează dacă pe caz sunt marcate date cu caracter personal.
Jurnalul cazului păstrează lanțul momentului luării la cunoștință, al acțiunilor de izolare, al comunicărilor și al depunerilor. Acel jurnal este proba de audit pe care portalul BSI nu o poate genera în locul vostru și documentul pe care un auditor îl va cere într-o revizuire conform §61 BSIG.
- Directiva (UE) 2022/2555 (NIS 2), Articolul 23 (raportarea incidentelor), Articolul 21(2)(g) (instruire de conștientizare a securității), Considerentul 101 (factori de semnificație). EUR-Lex.
- Regulamentul de punere în aplicare al Comisiei (UE) 2024/2690 din 17 octombrie 2024, Anexa Secțiunea 11.6 (categorii de incidente considerate întotdeauna semnificative pentru entitățile de infrastructură digitală). EUR-Lex.
- BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), §32 (raportarea incidentelor către BSI). gesetze-im-internet.de.
- Regulamentul (UE) 2016/679 (GDPR), Articolul 33 (notificarea încălcării securității datelor cu caracter personal către autoritatea de supraveghere în termen de 72 de ore). EUR-Lex.
- BSI, ghid public privind cascada de raportare NIS 2 și principiul "Schnelligkeit vor Vollständigkeit". bsi.bund.de.
- Strafgesetzbuch (StGB) §202a Ausspähen von Daten, §202b Abfangen von Daten, §263a Computerbetrug. gesetze-im-internet.de.