La tua organizzazione è in grado di rilevare, valutare e segnalare un incidente di sicurezza informatica entro 24 ore?NIS2 L'articolo 23 impone alle entità essenziali e importanti di presentare un allarme tempestivo alla propria autorità nazionale competente entro 24 ore dal momento in cui vengono a conoscenza di un incidente significativo. Non si tratta di 24 ore lavorative: si tratta di 24 ore di orologio, compresi i fine settimana e i giorni festivi.
Punti chiave
- Il preavviso di 24 ore è obbligatorio:Dal momento in cui vieni a conoscenza di un incidente significativo, l'orologio parte. I fine settimana e i giorni festivi non lo mettono in pausa.
- Tre tappe fondamentali del reporting:24 ore (allarme preventivo), 72 ore (notifica dell'incidente) e 1 mese (rapporto finale).
- "Incidente significativo" ha una definizione specifica:Non tutti gli eventi di sicurezza attivano la segnalazione, ma solo gli incidenti che incidono in modo significativo sulla fornitura del servizio.
- Sono essenziali processi prestabiliti:Non è possibile creare un processo di segnalazione durante un incidente. Modelli, canali di comunicazione e contatti con le autorità devono essere stabiliti in anticipo.
- La funzionalità SOC consente la conformità:Il monitoraggio 24 ore su 24, 7 giorni su 7 con capacità di classificazione degli incidenti è il prerequisito pratico per soddisfare il requisito delle 24 ore.
NIS2 Cronologia dei rapporti
| Pietra miliare | Scadenza | Contenuto richiesto |
|---|---|---|
| Preallarme | 24 ore | Se si sospetta che l'incidente sia causato da atti illeciti o dolosi, se possa avere un impatto transfrontaliero |
| Notifica dell'incidente | 72 ore | Valutazione iniziale della gravità e dell'impatto, indicatori di compromesso, misure iniziali adottate |
| Rapporto intermedio | Su richiesta | Aggiornamento dello stato se richiesto dall'autorità competente |
| Rapporto finale | 1 mese | Descrizione dettagliata, causa principale, misure di riparazione, valutazione dell'impatto transfrontaliero |
Cosa costituisce un "incidente significativo"
NIS2 definisce un incidente significativo come quello che:
- Ha causato o è in grado di causare gravi interruzioni operative dei servizi o perdite finanziarie
- Ha colpito o è in grado di colpire altre persone fisiche o giuridiche provocando danni materiali o morali considerevoli
Criteri pratici di classificazione
| Tipo di incidente | Probabilmente significativo? | Motivazione |
|---|---|---|
| Ransomware che colpisce i sistemi di produzione | Sì | Provoca interruzioni operative |
| Violazione dei dati personali | Sì | Colpisce altre persone (attiva anche la notifica GDPR 72h) |
| DDoS che causa un'interruzione del servizio > 1 ora | Probabilmente sì | Interruzione operativa del servizio essenziale |
| Tentativo di phishing (bloccato) | No | Non si è verificato alcun impatto |
| Vulnerabilità scoperta (non sfruttata) | No | Non si è verificato alcun incidente |
| Compromissione delle credenziali con accesso ai dati | Probabilmente sì | Potenziale esposizione dei dati, perdita finanziaria |
| Compromesso sulla catena di fornitura | Sì | Potenziale impatto transfrontaliero |
Costruire un processo di reporting NIS2
Fase 1: identificare l'autorità competente
Ciascuno stato membro del EU designa le autorità nazionali competenti per il NIS2. In Sweden, questo è MSB (Myndigheten för samhällsskydd och beredskap). In Germania, BSI. In Francia, ANSSI. Identifica la tua autorità, stabilisci le informazioni di contatto e comprendi il formato di segnalazione preferito prima che si verifichi un incidente.
Fase 2: stabilire i criteri di classificazione degli incidenti
Definire criteri chiari per classificare gli incidenti come "significativi" secondo NIS2. Costruisci un albero decisionale che gli analisti SOC possano seguire durante la valutazione degli incidenti. La classificazione deve avvenire entro le prime ore dal rilevamento per lasciare tempo sufficiente per la valutazione e la segnalazione entro 24 ore.
Passaggio 3: crea modelli di reporting
I modelli predefiniti per ogni tappa fondamentale del reporting garantiscono un reporting coerente e completo anche sotto pressione. I modelli dovrebbero includere: campi di descrizione dell'incidente, servizi interessati e valutazione dell'impatto, indicatori di compromesso (IoC), misure di riparazione iniziali, valutazione dell'impatto transfrontaliero e informazioni di contatto per il follow-up.
Passaggio 4: assegnazione delle responsabilità di reporting
Definire chi prepara ogni report, chi lo esamina, chi lo invia e chi gestisce le comunicazioni di follow-up. Non può trattarsi di una sola persona: potrebbe essere in vacanza o gestire la risposta tecnica. Designare il personale primario e di backup per ciascuna responsabilità.
Passaggio 5: testare il processo
Conduci esercitazioni pratiche che includano l'intero flusso di lavoro di reporting, dal rilevamento degli incidenti all'invio di avvisi tempestivi. Pianifica l'esercizio per verificare che il tuo processo possa rispettare la scadenza di 24 ore, inclusi valutazione, classificazione, completamento del modello, revisione e invio. Gli esercizi rivelano colli di bottiglia (classificazione lenta, contatti con le autorità mancanti, catena di approvazione poco chiara) che devono essere risolti prima di un incidente reale.
In che modo Opsio consente la segnalazione degli incidenti NIS2
- Rilevamento 24 ore su 24, 7 giorni su 7:Il nostro SOC rileva gli incidenti 24 ore su 24, garantendo che l'orologio di "consapevolezza" inizi il prima possibile.
- Classificazione automatizzata:I criteri di classificazione preconfigurati nel nostro flusso di lavoro SOC determinano i requisiti di reporting NIS2 durante il triage iniziale.
- Preparazione del rapporto:Prepariamo rapporti di allerta precoce e notifica degli incidenti utilizzando modelli pre-approvati durante il processo di risposta agli incidenti.
- Supporto per l'invio:Forniamo assistenza nelle procedure di comunicazione e presentazione delle autorità per la vostra specifica autorità nazionale competente.
- Rapporto finale:Prepariamo il rapporto finale di 1 mese che include l'analisi delle cause profonde, la documentazione di riparazione e le lezioni apprese.
Domande frequenti
Cosa succede se non entro la scadenza delle 24 ore?
NIS2 include meccanismi di applicazione delle norme, comprese sanzioni amministrative. Per le entità essenziali, le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato annuo globale (a seconda di quale sia il valore più alto). Le comunicazioni tardive o mancate costituiscono una violazione di compliance che le autorità di vigilanza possono sanzionare. Tuttavia, le autorità di regolamentazione generalmente considerano gli sforzi in buona fede per conformarsi (tardivi ma presentati con spiegazioni) in modo più favorevole rispetto alla completa mancata segnalazione.
L'orologio a 24 ore inizia al rilevamento o alla conferma?
L'orologio di 24 ore inizia quando l'entità "viene a conoscenza" di un incidente significativo. Ciò viene interpretato come quando si hanno ragionevoli motivi per ritenere che si sia verificato un incidente significativo, non quando si è completata un'indagine forense completa. L’allarme rapido è deliberatamente concepito per essere preliminare; informazioni dettagliate vengono fornite nella notifica di 72 ore.
Devo segnalare gli incidenti che riguardano solo i sistemi interni?
Se l'incidente influisce sulla fornitura dei tuoi servizi essenziali o importanti (come definito in NIS2), sì. L'obbligo di rendicontazione è legato all'impatto del servizio, non al fatto che le parti esterne siano direttamente interessate. Il ransomware interno che interrompe i sistemi di produzione che supportano i servizi essenziali è denunciabile anche se i dati dei clienti non vengono esposti.