Kan organisasjonen din oppdage, vurdere og rapportere en cybersikkerhetshendelse innen 24 timer?NIS2 Artikkel 23 krever at viktige og viktige enheter sender inn en tidlig advarsel til sin nasjonale kompetente myndighet innen 24 timer etter at de ble oppmerksomme på en betydelig hendelse. Dette er ikke 24 arbeidstimer – det er 24 timer, inkludert helger og helligdager.
Viktige takeaways
- 24-timers tidlig varsling er obligatorisk:Fra det øyeblikket du blir oppmerksom på en betydelig hendelse, starter klokken. Helger og helligdager setter den ikke på pause.
- Tre rapporteringsmilepæler:24 timer (tidlig varsling), 72 timer (hendelsesvarsel) og 1 måned (sluttrapport).
- "Vesentlig hendelse" har en spesifikk definisjon:Ikke alle sikkerhetshendelser utløser rapportering – bare hendelser som har betydelig innvirkning på tjenesteleveransen.
- Forhåndsetablerte prosesser er avgjørende:Du kan ikke bygge en rapporteringsprosess under en hendelse. Maler, kommunikasjonskanaler og myndighetskontakter må være etablert på forhånd.
- SOC-funksjonen muliggjør samsvar:24/7 overvåking med evne til hendelsesklassifisering er den praktiske forutsetningen for å oppfylle 24-timers kravet.
NIS2 Tidslinje for rapportering
| Milepæl | Frist | Innhold påkrevd |
|---|---|---|
| Tidlig advarsel | 24 timer | Om hendelsen mistenkes å være forårsaket av ulovlige eller ondsinnede handlinger, om den kan ha grenseoverskridende virkning |
| Hendelsesvarsling | 72 timer | Innledende vurdering av alvorlighetsgrad og virkning, indikatorer på kompromiss, innledende tiltak |
| Mellomrapport | På forespørsel | Statusoppdatering hvis vedkommende myndighet ber om |
| Sluttrapport | 1 måned | Detaljert beskrivelse, rotårsak, utbedringstiltak, grenseoverskridende konsekvensutredning |
Hva utgjør en "betydelig hendelse"
NIS2 definerer en betydelig hendelse som en som:
- Har forårsaket eller er i stand til å forårsake alvorlig driftsforstyrrelse av tjenester eller økonomisk tap
- Har påvirket eller er i stand til å påvirke andre fysiske eller juridiske personer ved å forårsake betydelig materiell eller ikke-materiell skade
Praktiske klassifiseringskriterier
| Hendelsestype | Sannsynligvis betydelig? | Begrunnelse |
|---|---|---|
| Ransomware som påvirker produksjonssystemer | Ja | Forårsaker driftsforstyrrelser |
| Databrudd med personopplysninger | Ja | Påvirker andre personer (utløser også GDPR 72 timers varsling) |
| DDoS forårsaker tjenesteavbrudd > 1 time | Sannsynligvis ja | Driftsforstyrrelse for viktig tjeneste |
| Phishing-forsøk (blokkert) | Nei | Ingen innvirkning skjedde |
| Sårbarhet oppdaget (ikke utnyttet) | Nei | Ingen hendelse skjedde |
| Kompromiss med legitimasjon med datatilgang | Sannsynligvis ja | Potensiell dataeksponering, økonomisk tap |
| Kompromiss i forsyningskjeden | Ja | Påvirkningspotensial på tvers av landegrensene |
Bygge en NIS2-rapporteringsprosess
Trinn 1: Identifiser din kompetente myndighet
Hvert EU medlemsland utpeker nasjonale kompetente myndigheter for NIS2. I Sweden er dette MSB (Myndigheten för samhällsskydd och beredskap). I Tyskland, BSI. I Frankrike, ANSSI. Identifiser din autoritet, opprett kontaktinformasjon og forstå deres foretrukne rapporteringsformat før en hendelse inntreffer.
Trinn 2: Etabler hendelsesklassifiseringskriterier
Definer klare kriterier for å klassifisere hendelser som "betydelige" per NIS2. Bygg et beslutningstre som SOC-analytikere kan følge under triage av hendelser. Klassifiseringen må skje innen de første timene etter deteksjon for å gi nok tid til vurdering og rapportering innen 24 timer.
Trinn 3: Lag rapporteringsmaler
Forhåndsbygde maler for hver rapporteringsmilepæl sikrer konsistent, fullstendig rapportering under press. Maler bør inkludere: hendelsesbeskrivelsesfelt, berørte tjenester og konsekvensutredning, kompromissindikatorer (IoCs), innledende utbedringstiltak, grenseoverskridende konsekvensutredning og kontaktinformasjon for oppfølging.
Trinn 4: Tildel rapporteringsansvar
Definer hvem som utarbeider hver rapport, hvem som vurderer den, hvem som sender den og hvem som håndterer oppfølgingskommunikasjon. Dette kan ikke være en enkelt person - de kan være på ferie eller håndtere den tekniske responsen. Utpek primær- og backuppersonell for hvert ansvar.
Trinn 5: Test prosessen
Gjennomfør bordøvelser som inkluderer hele rapporteringsarbeidsflyten – fra hendelsesdeteksjon til tidlig varsling. Tid øvelsen for å bekrefte at prosessen din kan overholde 24-timers fristen, inkludert vurdering, klassifisering, malfullføring, gjennomgang og innsending. Øvelser avdekker flaskehalser (langsom klassifisering, manglende myndighetskontakter, uklar godkjenningskjede) som må fikses før en reell hendelse.
Hvordan Opsio aktiverer NIS2 hendelsesrapportering
- 24/7 deteksjon:Vår SOC oppdager hendelser døgnet rundt, og sikrer at "bevissthet"-klokken starter så tidlig som mulig.
- Automatisert klassifisering:Forhåndskonfigurerte klassifiseringskriterier i vår SOC arbeidsflyt bestemmer NIS2 rapporteringskrav under den første triage.
- Rapport utarbeidelse:Vi utarbeider tidlige varslings- og hendelsesvarslingsrapporter ved å bruke forhåndsgodkjente maler under responsprosessen.
- Støtte for innsending:Vi bistår med myndighetskommunikasjon og innsendingsprosedyrer for din spesifikke nasjonale kompetente myndighet.
- Sluttrapport:Vi utarbeider den 1-måneders sluttrapporten inkludert rotårsaksanalyse, utbedringsdokumentasjon og erfaringer.
Ofte stilte spørsmål
Hva skjer hvis jeg overser 24-timers fristen?
NIS2 inkluderer håndhevingsmekanismer inkludert administrative bøter. For viktige enheter kan bøter nå 10 millioner euro eller 2 % av den globale årlige omsetningen (det som er høyest). Forsinkede eller manglende varsler er et regelbrudd som tilsynsmyndighetene kan straffe. Tilsynsmyndigheter ser imidlertid generelt på god tro innsats for å etterkomme (sen, men sendt inn med forklaring) mer positivt enn fullstendig unnlatelse av å rapportere.
Starter 24-timers klokken ved oppdagelse eller bekreftelse?
24-timers klokken starter når enheten "blir klar over" en betydelig hendelse. Dette tolkes som når du har rimelig grunn til å tro at en betydelig hendelse har skjedd - ikke når du har fullført en fullstendig rettsmedisinsk etterforskning. Tidlig varsling er bevisst utformet for å være foreløpig; detaljert informasjon kommer i 72-timers varselet.
Må jeg rapportere hendelser som kun påvirker interne systemer?
Hvis hendelsen påvirker leveringen av viktige eller viktige tjenester (som definert under NIS2), ja. Rapporteringsplikten er knyttet til tjenesteeffekt, ikke om eksterne parter er direkte berørt. Intern løsepengevare som forstyrrer produksjonssystemer som støtter essensielle tjenester, kan rapporteres selv om ingen kundedata blir eksponert.