Kan din organisation opdage, vurdere og rapportere en cybersikkerhedshændelse inden for 24 timer?NIS2 Artikel 23 kræver, at væsentlige og vigtige enheder indsender en tidlig advarsel til deres nationale kompetente myndighed inden for 24 timer efter, at de er blevet opmærksomme på en væsentlig hændelse. Dette er ikke 24 arbejdstimer - det er 24 timer, inklusive weekender og helligdage.
Key Takeaways
- 24-timers tidlig advarsel er obligatorisk:Fra det øjeblik du bliver opmærksom på en væsentlig hændelse, starter uret. Weekender og helligdage sætter det ikke på pause.
- Tre rapporteringsmilepæle:24 timer (tidlig varsling), 72 timer (anmeldelse af hændelser) og 1 måned (slutrapport).
- "Væsentlig hændelse" har en specifik definition:Ikke alle sikkerhedshændelser udløser rapportering - kun hændelser, der har væsentlig indflydelse på leveringen af tjenester.
- Forudetablerede processer er essentielle:Du kan ikke bygge en rapporteringsproces under en hændelse. Skabeloner, kommunikationskanaler og myndighedskontakter skal etableres på forhånd.
- SOC-kapaciteten muliggør overholdelse:24/7 overvågning med hændelsesklassificeringsevne er den praktiske forudsætning for at opfylde 24-timers kravet.
NIS2 Tidslinje for rapportering
| Milepæl | Deadline | Indhold påkrævet |
|---|---|---|
| Tidlig advarsel | 24 timer | Om hændelsen mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger, om den kan have grænseoverskridende virkning |
| Hændelsesmeddelelse | 72 timer | Indledende vurdering af alvor og virkning, indikatorer for kompromis, indledende foranstaltninger |
| Mellemrapport | På forespørgsel | Statusopdatering, hvis den kompetente myndighed anmoder om |
| Slutrapport | 1 måned | Detaljeret beskrivelse, grundlæggende årsag, afhjælpningsforanstaltninger, grænseoverskridende konsekvensvurdering |
Hvad udgør en "betydelig hændelse"
NIS2 definerer en væsentlig hændelse som en, der:
- Har forårsaget eller er i stand til at forårsage alvorlig driftsforstyrrelse af tjenester eller økonomisk tab
- Har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller ikke-materiel skade
Praktiske klassificeringskriterier
| Hændelsestype | Sandsynligvis væsentlig? | Begrundelse |
|---|---|---|
| Ransomware, der påvirker produktionssystemer | Ja | Forårsager driftsforstyrrelser |
| Databrud med personlige data | Ja | Påvirker andre personer (udløser også GDPR 72 timers notifikation) |
| DDoS forårsager serviceafbrydelse > 1 time | Sandsynligvis ja | Driftsforstyrrelse for væsentlig service |
| Phishing-forsøg (blokeret) | Nej | Ingen påvirkning skete |
| Sårbarhed opdaget (ikke udnyttet) | Nej | Ingen hændelse indtraf |
| Kompromis med legitimationsoplysninger med dataadgang | Sandsynligvis ja | Potentiel dataeksponering, økonomisk tab |
| Kompromis med forsyningskæden | Ja | Grænseoverskridende effektpotentiale |
Opbygning af en NIS2 rapporteringsproces
Trin 1: Identificer din kompetente myndighed
Hvert EU medlemsland udpeger nationale kompetente myndigheder for NIS2. I Sweden er dette MSB (Myndigheten för samhällsskydd och beredskap). I Tyskland, BSI. I Frankrig, ANSSI. Identificer din autoritet, opret kontaktoplysninger og forstå deres foretrukne rapporteringsformat, før en hændelse opstår.
Trin 2: Etabler hændelsesklassificeringskriterier
Definer klare kriterier for klassificering af hændelser som "betydelige" pr. NIS2. Byg et beslutningstræ, som SOC-analytikere kan følge under triage af hændelser. Klassificeringen skal ske inden for de første par timer efter detektion for at give tilstrækkelig tid til vurdering og rapportering inden for 24 timer.
Trin 3: Opret rapporteringsskabeloner
Forudbyggede skabeloner til hver rapporteringsmilepæl sikrer ensartet, komplet rapportering under pres. Skabeloner bør omfatte: hændelsesbeskrivelsesfelter, berørte tjenester og konsekvensanalyse, kompromisindikatorer (IoC'er), indledende afhjælpningsforanstaltninger, grænseoverskridende konsekvensanalyse og kontaktoplysninger til opfølgning.
Trin 4: Tildel rapporteringsansvar
Definer, hvem der udarbejder hver rapport, hvem der gennemgår den, hvem der sender den, og hvem der håndterer opfølgende kommunikation. Dette kan ikke være en enkelt person - de kan være på ferie eller håndtere det tekniske svar. Udpeg primært og backup-personale for hvert ansvar.
Trin 5: Test processen
Udfør bordøvelser, der inkluderer hele rapporteringsworkflowet - fra opdagelse af hændelser til indsendelse af tidlig advarsel. Tid øvelsen for at verificere, at din proces kan overholde 24-timers deadline, inklusive vurdering, klassificering, skabelonafslutning, gennemgang og indsendelse. Øvelser afslører flaskehalse (langsom klassificering, manglende myndighedskontakter, uklar godkendelseskæde), som skal rettes før en reel hændelse.
Hvordan Opsio aktiverer NIS2 hændelsesrapportering
- 24/7 detektion:Vores SOC registrerer hændelser døgnet rundt og sikrer, at "bevidstheds"-uret starter så tidligt som muligt.
- Automatiseret klassificering:Forudkonfigurerede klassificeringskriterier i vores SOC workflow bestemmer NIS2 rapporteringskrav under den indledende triage.
- Udarbejdelse af rapport:Vi udarbejder tidlige advarsler og rapporter om hændelser ved hjælp af forhåndsgodkendte skabeloner under hændelsesresponsprocessen.
- Indsendelsesstøtte:Vi hjælper med myndighedskommunikation og indsendelsesprocedurer for din specifikke nationale kompetente myndighed.
- Slutrapport:Vi udarbejder den 1-måneders endelige rapport, herunder årsagsanalyse, afhjælpningsdokumentation og erfaringer.
Ofte stillede spørgsmål
Hvad sker der, hvis jeg overskrider 24-timers deadline?
NIS2 omfatter håndhævelsesmekanismer, herunder administrative bøder. For væsentlige enheder kan bøderne nå op på 10 millioner euro eller 2 % af den globale årlige omsætning (alt efter hvad der er højere). Forsinkede eller manglende underretninger er en overtrædelse af overholdelse, som tilsynsmyndighederne kan straffe. Tilsynsmyndigheder ser dog generelt i god tro bestræbelser på at efterkomme (sen, men indsendt med forklaring) mere positivt end fuldstændig manglende indberetning.
Starter 24-timers uret ved registrering eller bekræftelse?
24-timers uret starter, når enheden "bliver opmærksom på" en væsentlig hændelse. Dette tolkes som, når du har rimelig grund til at tro, at en væsentlig hændelse har fundet sted - ikke når du har afsluttet en fuld retsmedicinsk efterforskning. Tidlig varsling er bevidst designet til at være foreløbig; detaljerede oplysninger kommer i 72-timers meddelelsen.
Skal jeg rapportere hændelser, der kun påvirker interne systemer?
Hvis hændelsen påvirker leveringen af dine væsentlige eller vigtige tjenester (som defineret under NIS2), ja. Rapporteringspligten er knyttet til servicepåvirkning, ikke om eksterne parter er direkte berørt. Intern ransomware, der forstyrrer produktionssystemer, der understøtter væsentlige tjenester, kan rapporteres, selvom ingen kundedata afsløres.