Czy Twoja organizacja może wykryć, ocenić i zgłosić incydent cyberbezpieczeństwa w ciągu 24 godzin?NIS2 Artykuł 23 wymaga, aby istotne i ważne podmioty przekazały właściwemu organowi krajowemu wczesne ostrzeżenie w ciągu 24 godzin od uzyskania informacji o poważnym incydencie. To nie są 24 godziny pracy – to 24 godziny zegarowe, włączając weekendy i święta.
Kluczowe wnioski
- Obowiązkowe jest 24-godzinne wczesne ostrzeganie:Od momentu, w którym dowiesz się o znaczącym zdarzeniu, rozpoczyna się bieg zegara. Weekendy i święta nie przeszkadzają.
- Trzy kamienie milowe w zakresie sprawozdawczości:24 godziny (wczesne ostrzeganie), 72 godziny (powiadomienie o incydencie) i 1 miesiąc (raport końcowy).
- „Istotny incydent” ma specyficzną definicję:Nie każde zdarzenie związane z bezpieczeństwem powoduje zgłoszenie — tylko zdarzenia, które znacząco wpływają na świadczenie usług.
- Niezbędne są wcześniej ustalone procesy:Nie można zbudować procesu raportowania w trakcie incydentu. Szablony, kanały komunikacji i kontakty z władzami muszą zostać ustalone z wyprzedzeniem.
- Funkcja SOC umożliwia zgodność:Praktycznym warunkiem spełnienia wymogu całodobowego jest całodobowy monitoring z możliwością klasyfikacji incydentów.
NIS2 Harmonogram raportowania
| Kamień milowy | Termin | Wymagana treść |
|---|---|---|
| Wczesne ostrzeżenie | 24 godziny | Czy podejrzewa się, że incydent jest spowodowany działaniami niezgodnymi z prawem lub złośliwymi, czy może mieć skutki transgraniczne |
| Powiadomienie o incydencie | 72 godziny | Wstępna ocena dotkliwości i skutków, wskaźniki kompromisu, podjęte wstępne środki |
| Raport pośredni | Na życzenie | Aktualizacja statusu, jeżeli zażąda tego właściwy organ |
| Raport końcowy | 1 miesiąc | Szczegółowy opis, pierwotna przyczyna, środki zaradcze, transgraniczna ocena skutków |
Co stanowi „znaczący incydent”
NIS2 definiuje znaczący incydent jako taki, który:
- Spowodował lub może spowodować poważne zakłócenia w działaniu usług lub straty finansowe
- Wywarł lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody materialne lub niemajątkowe
Praktyczne kryteria klasyfikacji
| Typ zdarzenia | Prawdopodobnie znaczące? | Uzasadnienie |
|---|---|---|
| Oprogramowanie ransomware wpływające na systemy produkcyjne | Tak | Powoduje zakłócenia operacyjne |
| Naruszenie danych osobowych | Tak | Wpływa na inne osoby (również wyzwala powiadomienie GDPR 72h) |
| DDoS powodujący przerwę w świadczeniu usług > 1 godzinę | Prawdopodobnie tak | Zakłócenia w działaniu usług kluczowych |
| Próba phishingu (zablokowana) | Nie | Nie wystąpił żaden wpływ |
| Wykryta luka (niewykorzystana) | Nie | Nie doszło do żadnego zdarzenia |
| Naruszenie poświadczeń w związku z dostępem do danych | Prawdopodobnie tak | Potencjalne narażenie danych, strata finansowa |
| Kompromis w łańcuchu dostaw | Tak | Potencjał oddziaływania transgranicznego |
Budowanie procesu raportowania NIS2
Krok 1: Określ właściwy organ
Każde państwo członkowskie EU wyznacza właściwe organy krajowe dla NIS2. W Sweden jest to MSB (Myndigheten för samhällsskydd och beredskap). W Niemczech BSI. We Francji ANSSI. Zidentyfikuj swoją instytucję, ustal dane kontaktowe i poznaj preferowany przez nią format raportowania, zanim wystąpi incydent.
Krok 2: Ustalenie kryteriów klasyfikacji incydentów
Zdefiniuj jasne kryteria klasyfikacji incydentów jako „istotnych” zgodnie z NIS2. Zbuduj drzewo decyzyjne, które analitycy SOC będą mogli śledzić podczas selekcji incydentów. Klasyfikacja musi nastąpić w ciągu pierwszych kilku godzin od wykrycia, aby pozostawić wystarczająco dużo czasu na ocenę i zgłoszenie w ciągu 24 godzin.
Krok 3: Utwórz szablony raportów
Gotowe szablony dla każdego kamienia milowego raportowania zapewniają spójne, kompletne raportowanie pod presją. Szablony powinny zawierać: pola opisu incydentu, usługi, których to dotyczy, i ocenę skutków, wskaźniki kompromisu (IoC), wstępne środki zaradcze, transgraniczną ocenę skutków oraz dane kontaktowe w celu podjęcia dalszych działań.
Krok 4: Przypisanie obowiązków sprawozdawczych
Określ, kto przygotowuje każdy raport, kto go przegląda, kto go przesyła i kto zajmuje się dalszą komunikacją. Nie może to być pojedyncza osoba – może przebywać na wakacjach lub zajmować się obsługą techniczną. Wyznacz personel podstawowy i zapasowy do każdego zakresu obowiązków.
Krok 5: Przetestuj proces
Przeprowadzaj praktyczne ćwiczenia obejmujące pełny przepływ pracy w zakresie raportowania — od wykrycia incydentu po przesłanie wczesnego ostrzeżenia. Zaplanuj ćwiczenie, aby sprawdzić, czy proces może dotrzymać 24-godzinnego terminu, obejmującego ocenę, klasyfikację, wypełnienie szablonu, przegląd i przesłanie. Ćwiczenia ujawniają wąskie gardła (powolna klasyfikacja, brakujące kontakty z organami, niejasny łańcuch zatwierdzeń), które należy usunąć przed prawdziwym incydentem.
Jak Opsio umożliwia NIS2 zgłaszanie incydentów
- Wykrywanie 24 godziny na dobę, 7 dni w tygodniu:Nasz SOC wykrywa zdarzenia przez całą dobę, dbając o to, aby zegar „świadomości” uruchomił się możliwie najwcześniej.
- Klasyfikacja automatyczna:Wstępnie skonfigurowane kryteria klasyfikacji w naszym przepływie pracy SOC określają wymagania dotyczące raportowania NIS2 podczas wstępnej selekcji.
- Przygotowanie raportu:Przygotowujemy raporty wczesnego ostrzegania i powiadamiania o incydentach przy użyciu wstępnie zatwierdzonych szablonów w trakcie procesu reagowania na incydenty.
- Wsparcie w zakresie składania wniosków:Pomagamy w procedurach komunikacji z organami i składania wniosków w przypadku konkretnego właściwego organu krajowego.
- Raport końcowy:Przygotowujemy miesięczny raport końcowy, zawierający analizę przyczyn źródłowych, dokumentację działań naprawczych i wyciągnięte wnioski.
Często zadawane pytania
Co się stanie, jeśli nie dotrzymam 24-godzinnego terminu?
NIS2 obejmuje mechanizmy egzekwowania prawa, w tym kary administracyjne. W przypadku podmiotów kluczowych kary mogą sięgać 10 mln euro lub 2% światowego rocznego obrotu (w zależności od tego, która wartość jest wyższa). Spóźnione lub brakujące powiadomienia stanowią naruszenie zgodności, za które organy nadzorcze mogą ukarać. Organy regulacyjne generalnie jednak pozytywnie oceniają podejmowane w dobrej wierze wysiłki mające na celu spełnienie wymagań (spóźnione, ale złożone z wyjaśnieniami) niż całkowity brak zgłoszenia.
Czy zegar 24-godzinny rozpoczyna pracę w momencie wykrycia lub potwierdzenia?
Zegar 24-godzinny rozpoczyna pracę w momencie, gdy jednostka „dowiaduje się” o znaczącym zdarzeniu. Jest to interpretowane w taki sposób, że masz uzasadnione podstawy, aby sądzić, że miał miejsce znaczący incydent, a nie wtedy, gdy ukończyłeś pełne dochodzenie kryminalistyczne. Wczesne ostrzeganie jest celowo zaprojektowane jako wstępne; szczegółowe informacje otrzymasz w 72-godzinnym powiadomieniu.
Czy muszę zgłaszać incydenty, które mają wpływ tylko na systemy wewnętrzne?
Jeśli incydent ma wpływ na świadczenie Twoich podstawowych lub ważnych usług (zgodnie z definicją w NIS2), tak. Obowiązek raportowania jest powiązany z wpływem na usługę, a nie z tym, czy dotyczy to bezpośrednio stron zewnętrznych. Wewnętrzne oprogramowanie ransomware zakłócające działanie systemów produkcyjnych obsługujących podstawowe usługi podlega zgłoszeniu, nawet jeśli żadne dane klienta nie zostaną ujawnione.