A sua organização consegue detectar, avaliar e reportar um incidente de segurança cibernética em 24 horas?NIS2 O artigo 23.º exige que as entidades essenciais e importantes apresentem um alerta precoce à sua autoridade nacional competente no prazo de 24 horas após tomarem conhecimento de um incidente significativo. Não são 24 horas úteis – são 24 horas, incluindo fins de semana e feriados.
Principais conclusões
- O aviso prévio de 24 horas é obrigatório:A partir do momento em que você toma conhecimento de um incidente significativo, o relógio começa a funcionar. Fins de semana e feriados não pausam.
- Três marcos de comunicação:24 horas (aviso antecipado), 72 horas (notificação de incidente) e 1 mês (relatório final).
- "Incidente significativo" tem uma definição específica:Nem todos os eventos de segurança acionam relatórios – apenas incidentes que impactam significativamente a prestação de serviços.
- Processos pré-estabelecidos são essenciais:Você não pode criar um processo de relatório durante um incidente. Modelos, canais de comunicação e contatos com autoridades devem ser estabelecidos antecipadamente.
- O recurso SOC permite conformidade:O monitoramento 24 horas por dia, 7 dias por semana, com capacidade de classificação de incidentes, é o pré-requisito prático para atender ao requisito de 24 horas por dia.
NIS2 Cronograma do Relatório
| Marco | Prazo | Conteúdo Obrigatório |
|---|---|---|
| Alerta Precoce | 24 horas | Se se suspeita que o incidente foi causado por atos ilegais ou maliciosos e se poderá ter impacto transfronteiriço |
| Notificação de incidente | 72 horas | Avaliação inicial da gravidade e do impacto, indicadores de compromisso, medidas iniciais tomadas |
| Relatório Intermediário | A pedido | Atualização do estado, se solicitado pela autoridade competente |
| Relatório Final | 1 mês | Descrição detalhada, causa profunda, medidas de reparação, avaliação de impacto transfronteiriço |
O que constitui um "incidente significativo"
NIS2 define um incidente significativo como aquele que:
- Causou ou é capaz de causar perturbações operacionais graves dos serviços ou perdas financeiras
- Afetou ou é capaz de afetar outras pessoas singulares ou coletivas, causando danos materiais ou imateriais consideráveis
Critérios práticos de classificação
| Tipo de incidente | Provavelmente significativo? | Justificativa |
|---|---|---|
| Ransomware afetando sistemas de produção | Sim | Causa perturbação operacional |
| Violação de dados pessoais | Sim | Afeta outras pessoas (também aciona notificação GDPR 72h) |
| DDoS causando interrupção do serviço > 1 hora | Provavelmente sim | Interrupção operacional de serviços essenciais |
| Tentativa de phishing (bloqueada) | Não | Não ocorreu nenhum impacto |
| Vulnerabilidade descoberta (não explorada) | Não | Nenhum incidente ocorreu |
| Comprometimento de credenciais com acesso a dados | Provavelmente sim | Exposição potencial de dados, perdas financeiras |
| Comprometimento da cadeia de abastecimento | Sim | Potencial de impacto transfronteiriço |
Construindo um processo de relatório NIS2
Passo 1: Identifique a sua autoridade competente
Cada estado membro de EU designa autoridades nacionais competentes para NIS2. Em Sweden, este é MSB (Myndigheten för samhällsskydd och beredskap). Na Alemanha, BSI. Na França, ANSSI. Identifique sua autoridade, estabeleça informações de contato e entenda o formato de relatório preferido antes que ocorra um incidente.
Passo 2: Estabelecer critérios de classificação de incidentes
Definir critérios claros para classificar incidentes como “significativos” de acordo com NIS2. Construa uma árvore de decisão que os analistas SOC possam seguir durante a triagem de incidentes. A classificação deve acontecer nas primeiras horas após a detecção para deixar tempo suficiente para avaliação e relatório dentro de 24 horas.
Etapa 3: Criar modelos de relatórios
Modelos pré-construídos para cada marco de relatório garantem relatórios consistentes e completos sob pressão. Os modelos devem incluir: campos de descrição de incidentes, serviços afetados e avaliação de impacto, indicadores de compromisso (IoC), medidas de remediação iniciais, avaliação de impacto transfronteiriço e informações de contacto para acompanhamento.
Etapa 4: Atribuir responsabilidades de comunicação
Defina quem prepara cada relatório, quem o analisa, quem o envia e quem trata das comunicações de acompanhamento. Não pode ser uma única pessoa – ela pode estar de férias ou cuidando da resposta técnica. Designe pessoal primário e de backup para cada responsabilidade.
Etapa 5: teste o processo
Realize exercícios práticos que incluam todo o fluxo de trabalho de relatórios, desde a detecção de incidentes até o envio de alertas antecipados. Programe o exercício para verificar se o seu processo pode cumprir o prazo de 24 horas, incluindo avaliação, classificação, preenchimento do modelo, revisão e envio. Os exercícios revelam estrangulamentos (classificação lenta, falta de contactos de autoridade, cadeia de aprovação pouco clara) que devem ser corrigidos antes de um incidente real.
Como Opsio permite relatórios de incidentes de NIS2
- Detecção 24 horas por dia, 7 dias por semana:Nosso SOC detecta incidentes 24 horas por dia, garantindo que o relógio de “conscientização” comece o mais cedo possível.
- Classificação automatizada:Os critérios de classificação pré-configurados em nosso fluxo de trabalho SOC determinam os requisitos de relatórios NIS2 durante a triagem inicial.
- Preparação do relatório:Preparamos relatórios de alerta antecipado e notificação de incidentes usando modelos pré-aprovados durante o processo de resposta a incidentes.
- Suporte para envio:Ajudamos com a comunicação da autoridade e os procedimentos de submissão para a sua autoridade nacional competente específica.
- Relatório final:Preparamos o relatório final de 1 mês, incluindo análise de causa raiz, documentação de correção e lições aprendidas.
Perguntas Frequentes
O que acontece se eu perder o prazo de 24 horas?
NIS2 inclui mecanismos de execução, incluindo multas administrativas. Para entidades essenciais, as multas podem atingir 10 milhões de euros ou 2% do volume de negócios anual global (o que for maior). Notificações tardias ou faltantes constituem uma violação de conformidade que as autoridades de supervisão podem penalizar. No entanto, os reguladores geralmente vêem os esforços de boa-fé para cumprir (atrasados, mas apresentados com explicação) de forma mais favorável do que a completa falha na notificação.
O relógio de 24 horas começa na detecção ou confirmação?
O relógio de 24 horas começa quando a entidade “toma conhecimento” de um incidente significativo. Isso é interpretado como quando você tem motivos razoáveis para acreditar que ocorreu um incidente significativo — e não quando você concluiu uma investigação forense completa. O alerta precoce é deliberadamente concebido para ser preliminar; informações detalhadas vêm na notificação de 72 horas.
Preciso relatar incidentes que afetem apenas os sistemas internos?
Se o incidente afetar a prestação dos seus serviços essenciais ou importantes (conforme definido em NIS2), sim. A obrigação de reportar está ligada ao impacto do serviço e não ao facto de as partes externas serem diretamente afetadas. O ransomware interno que interrompe os sistemas de produção que suportam serviços essenciais é reportável mesmo que nenhum dado do cliente seja exposto.