Kan uw organisatie binnen 24 uur een cybersecurity-incident detecteren, beoordelen en rapporteren?NIS2 Artikel 23 vereist dat essentiële en belangrijke entiteiten binnen 24 uur nadat ze kennis hebben gekregen van een significant incident een vroegtijdige waarschuwing indienen bij hun nationale bevoegde autoriteit. Dit zijn geen 24 kantooruren; het zijn 24 klokuren, inclusief weekends en feestdagen.
Belangrijkste afhaalrestaurants
- 24 uur per dag vroegtijdige waarschuwing is verplicht:Vanaf het moment dat u zich bewust wordt van een significant incident, begint de klok te lopen. Weekends en feestdagen pauzeren het niet.
- Drie rapportagemijlpalen:24 uur (vroege waarschuwing), 72 uur (incidentmelding) en 1 maand (eindrapport).
- "Significant incident" heeft een specifieke definitie:Niet elke beveiligingsgebeurtenis leidt tot rapportage; alleen incidenten die een aanzienlijke impact hebben op de dienstverlening.
- Vooraf vastgestelde processen zijn essentieel:Tijdens een incident kun je geen meldproces opbouwen. Sjablonen, communicatiekanalen en contacten met autoriteiten moeten vooraf worden vastgelegd.
- De SOC-mogelijkheid maakt compliance mogelijk:24/7 monitoring met mogelijkheid tot incidentclassificatie is de praktische voorwaarde om aan de 24-uurseis te kunnen voldoen.
NIS2 Rapportagetijdlijn
| Mijlpaal | Termijn | Inhoud vereist |
|---|---|---|
| Vroegtijdige waarschuwing | 24 uur | Of het vermoeden bestaat dat het incident wordt veroorzaakt door onwettige of kwaadwillige handelingen, en of het grensoverschrijdende gevolgen kan hebben |
| Incidentmelding | 72 uur | Eerste beoordeling van ernst en impact, indicatoren van compromissen, eerste genomen maatregelen |
| Tussentijds rapport | Op aanvraag | Statusupdate indien gevraagd door de bevoegde autoriteit |
| Eindrapport | 1 maand | Gedetailleerde beschrijving, hoofdoorzaak, herstelmaatregelen, grensoverschrijdende effectbeoordeling |
Wat is een "significant incident"
NIS2 definieert een significant incident als een incident dat:
- Heeft ernstige operationele verstoringen van diensten of financieel verlies veroorzaakt of kan dit veroorzaken
- Heeft andere natuurlijke of rechtspersonen getroffen of kan deze schade toebrengen door aanzienlijke materiële of immateriële schade te veroorzaken
Praktische classificatiecriteria
| Incidenttype | Waarschijnlijk significant? | Reden |
|---|---|---|
| Ransomware die productiesystemen aantast | Ja | Veroorzaakt operationele verstoring |
| Datalek met persoonsgegevens | Ja | Beïnvloedt andere personen (triggert ook GDPR 72u notificatie) |
| DDoS veroorzaakt servicestoring > 1 uur | Waarschijnlijk wel | Operationele verstoring voor essentiële dienst |
| Phishing-poging (geblokkeerd) | Nee | Er heeft zich geen impact voorgedaan |
| Kwetsbaarheid ontdekt (niet uitgebuit) | Nee | Er heeft zich geen incident voorgedaan |
| Inloggegevens aangetast bij gegevenstoegang | Waarschijnlijk wel | Potentiële gegevensblootstelling, financieel verlies |
| Compromis van de toeleveringsketen | Ja | Grensoverschrijdend impactpotentieel |
Een NIS2-rapportageproces opbouwen
Stap 1: Identificeer uw bevoegde autoriteit
Elke lidstaat van EU wijst nationale bevoegde autoriteiten aan voor NIS2. In Sweden is dit MSB (Myndigheten för samhällsskydd och beredskap). In Duitsland BSI. In Frankrijk, ANSSI. Identificeer uw autoriteit, stel contactgegevens vast en begrijp hun favoriete rapportageformaat voordat zich een incident voordoet.
Stap 2: Stel criteria voor incidentclassificatie vast
Definieer duidelijke criteria voor het classificeren van incidenten als ‘significant’ volgens NIS2. Bouw een beslissingsboom die SOC-analisten kunnen volgen tijdens de incidentbeoordeling. De classificatie moet binnen de eerste paar uur na detectie plaatsvinden, zodat er binnen 24 uur voldoende tijd overblijft voor beoordeling en rapportage.
Stap 3: Rapportagesjablonen maken
Vooraf gebouwde sjablonen voor elke rapportagemijlpaal zorgen voor consistente, volledige rapportage onder druk. Sjablonen moeten het volgende bevatten: velden voor de beschrijving van incidenten, getroffen diensten en effectbeoordeling, indicatoren van compromissen (IoC's), initiële herstelmaatregelen, grensoverschrijdende effectbeoordeling en contactinformatie voor follow-up.
Stap 4: Wijs rapportageverantwoordelijkheden toe
Bepaal wie elk rapport opstelt, wie het beoordeelt, wie het indient en wie de vervolgcommunicatie afhandelt. Dit kan niet één persoon zijn; het kan zijn dat hij of zij op vakantie is of de technische respons afhandelt. Wijs primair en back-uppersoneel aan voor elke verantwoordelijkheid.
Stap 5: Test het proces
Voer tabletop-oefeningen uit die de volledige rapportageworkflow omvatten – van incidentdetectie tot het indienen van vroegtijdige waarschuwingen. Time de oefening om te verifiëren dat uw proces de deadline van 24 uur kan halen, inclusief beoordeling, classificatie, voltooiing van de sjabloon, beoordeling en indiening. Oefeningen brengen knelpunten aan het licht (trage classificatie, ontbrekende autoriteitscontacten, onduidelijke goedkeuringsketen) die moeten worden opgelost voordat een echt incident kan plaatsvinden.
Hoe Opsio NIS2 incidentrapportage mogelijk maakt
- 24/7 detectie:Onze SOC detecteert 24 uur per dag incidenten en zorgt ervoor dat de ‘bewustzijnsklok’ zo vroeg mogelijk begint.
- Geautomatiseerde classificatie:Vooraf geconfigureerde classificatiecriteria in onze SOC-workflow bepalen de NIS2-rapportagevereisten tijdens de initiële triage.
- Voorbereiding van het rapport:We stellen rapporten voor vroegtijdige waarschuwingen en incidentmeldingen op met behulp van vooraf goedgekeurde sjablonen tijdens het incidentresponsproces.
- Ondersteuning voor indieningen:Wij assisteren bij de communicatie met autoriteiten en indieningsprocedures voor uw specifieke nationale bevoegde autoriteit.
- Eindrapport:We stellen het eindrapport van één maand op, inclusief analyse van de hoofdoorzaak, hersteldocumentatie en geleerde lessen.
Veelgestelde vragen
Wat gebeurt er als ik de deadline van 24 uur mis?
NIS2 omvat handhavingsmechanismen, waaronder administratieve boetes. Voor essentiële entiteiten kunnen de boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (afhankelijk van wat het hoogste is). Te late of ontbrekende meldingen zijn een overtreding van de compliance die toezichthouders kunnen bestraffen. Regelgevers beschouwen pogingen te goeder trouw om hieraan te voldoen (te laat maar met uitleg ingediend) echter doorgaans gunstiger dan het volledig uitblijven van rapportage.
Start de 24-uursklok bij detectie of bevestiging?
De 24-uursklok gaat in werking wanneer de entiteit zich “bewust wordt” van een belangrijk incident. Dit wordt geïnterpreteerd als wanneer u redelijke gronden heeft om aan te nemen dat er een aanzienlijk incident heeft plaatsgevonden – niet wanneer u een volledig forensisch onderzoek heeft afgerond. Vroegtijdige waarschuwing is bewust bedoeld als voorlopige waarschuwing; gedetailleerde informatie komt in de 72-uurs notificatie.
Moet ik incidenten melden die alleen interne systemen beïnvloeden?
Als het incident gevolgen heeft voor de levering van uw essentiële of belangrijke diensten (zoals gedefinieerd onder NIS2), ja. De rapportageplicht is gekoppeld aan de service-impact, niet aan de vraag of externe partijen er direct door worden getroffen. Interne ransomware die productiesystemen verstoort die essentiële diensten ondersteunen, kan worden gerapporteerd, zelfs als er geen klantgegevens openbaar worden gemaakt.