Kan din organisation upptäcka, bedöma och rapportera en cybersäkerhetsincident inom 24 timmar?NIS2 Artikel 23 kräver att väsentliga och viktiga enheter skickar en tidig varning till sin nationella behöriga myndighet inom 24 timmar efter att de blivit medvetna om en betydande incident. Detta är inte 24 arbetstimmar – det är 24 timmar, inklusive helger och helgdagar.
Nyckel takeaways
- 24-timmars tidig varning är obligatorisk:Från det ögonblick du blir medveten om en betydande incident startar klockan. Helger och helgdagar pausar inte det.
- Tre rapporteringsmilstolpar:24 timmar (tidig varning), 72 timmar (incidentmeddelande) och 1 månad (slutrapport).
- "Betydande incident" har en specifik definition:Inte varje säkerhetshändelse utlöser rapportering – bara incidenter som väsentligt påverkar tjänsteleveransen.
- Förutbestämda processer är viktiga:Du kan inte bygga upp en rapporteringsprocess under en incident. Mallar, kommunikationskanaler och myndighetskontakter måste upprättas i förväg.
- SOC-förmågan möjliggör efterlevnad:24/7 övervakning med möjlighet till incidentklassificering är den praktiska förutsättningen för att uppfylla 24-timmarskravet.
NIS2 Tidslinje för rapportering
| Milstolpe | Deadline | Innehåll krävs |
|---|---|---|
| Tidig varning | 24 timmar | Huruvida händelsen misstänks vara orsakad av olagliga eller illvilliga handlingar, om det kan ha gränsöverskridande effekter |
| Incidentmeddelande | 72 timmar | Inledande bedömning av svårighetsgrad och konsekvenser, indikatorer på kompromiss, inledande åtgärder som vidtagits |
| Delrapport | På begäran | Statusuppdatering på begäran av den behöriga myndigheten |
| Slutrapport | 1 månad | Detaljerad beskrivning, bakomliggande orsak, saneringsåtgärder, gränsöverskridande konsekvensbedömning |
Vad som utgör en "väsentlig incident"
NIS2 definierar en signifikant incident som en som:
- Har orsakat eller kan orsaka allvarliga driftstörningar av tjänster eller ekonomisk förlust
- Har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller icke-materiell skada
Praktiska klassificeringskriterier
| Incidenttyp | Sannolikt betydande? | Motiv |
|---|---|---|
| Ransomware som påverkar produktionssystem | Ja | Orsakar driftstörningar |
| Dataintrång med personuppgifter | Ja | Påverkar andra personer (utlöser också GDPR 72h notifiering) |
| DDoS orsakar serviceavbrott > 1 timme | Sannolikt ja | Driftstörning för väsentlig service |
| Nätfiskeförsök (blockerad) | Nej | Ingen påverkan inträffade |
| Sårbarhet upptäckt (inte utnyttjad) | Nej | Ingen incident inträffade |
| Autentiseringskompromiss med dataåtkomst | Sannolikt ja | Potentiell dataexponering, ekonomisk förlust |
| Kompromiss i leveranskedjan | Ja | Potential för gränsöverskridande påverkan |
Bygga en NIS2-rapporteringsprocess
Steg 1: Identifiera din behöriga myndighet
Varje EU medlemsstat utser nationella behöriga myndigheter för NIS2. I Sweden är detta MSB (Myndigheten för samhällsskydd och beredskap). I Tyskland, BSI. I Frankrike, ANSSI. Identifiera din myndighet, upprätta kontaktinformation och förstå deras föredragna rapporteringsformat innan en incident inträffar.
Steg 2: Fastställ kriterier för klassificering av incidenter
Definiera tydliga kriterier för att klassificera incidenter som "betydande" per NIS2. Bygg ett beslutsträd som SOC-analytiker kan följa under incidenttriage. Klassificeringen måste ske inom de första timmarna efter upptäckt för att ge tillräckligt med tid för bedömning och rapportering inom 24 timmar.
Steg 3: Skapa rapportmallar
Förbyggda mallar för varje rapporteringsmilstolpe säkerställer konsekvent, komplett rapportering under press. Mallar bör innehålla: incidentbeskrivningsfält, berörda tjänster och konsekvensanalys, kompromissindikatorer (IoCs), initiala saneringsåtgärder, gränsöverskridande konsekvensanalys och kontaktinformation för uppföljning.
Steg 4: Tilldela rapporteringsansvar
Definiera vem som förbereder varje rapport, vem som granskar den, vem som skickar in den och vem som hanterar uppföljande kommunikation. Det här kan inte vara en enda person - de kan vara på semester eller hantera det tekniska svaret. Utse primär- och reservpersonal för varje ansvar.
Steg 5: Testa processen
Genomför bordsövningar som inkluderar hela rapporteringsarbetsflödet – från incidentupptäckt till tidig varningsinlämning. Ta tid på övningen för att verifiera att din process kan hålla 24-timmarsdeadline inklusive bedömning, klassificering, färdigställande av mall, granskning och inlämning. Övningar avslöjar flaskhalsar (långsam klassificering, saknade myndighetskontakter, otydlig godkännandekedja) som måste åtgärdas innan en riktig incident.
Hur Opsio aktiverar NIS2 Incidentrapportering
- 24/7 detektering:Vår SOC upptäcker incidenter dygnet runt, och säkerställer att "medvetenhet"-klockan startar så tidigt som möjligt.
- Automatiserad klassificering:Förkonfigurerade klassificeringskriterier i vårt SOC arbetsflöde bestämmer NIS2 rapporteringskrav under den första triage.
- Rapportförberedelse:Vi förbereder tidiga varnings- och incidentmeddelanden med hjälp av förgodkända mallar under incidentresponsprocessen.
- Inlämningsstöd:Vi hjälper till med myndighetskommunikation och inlämningsförfaranden för din specifika nationella behöriga myndighet.
- Slutrapport:Vi förbereder den 1-månaders slutrapporten inklusive grundorsaksanalys, saneringsdokumentation och lärdomar.
Vanliga frågor
Vad händer om jag missar 24-timmarsdeadline?
NIS2 inkluderar verkställighetsmekanismer inklusive administrativa böter. För väsentliga enheter kan böterna uppgå till 10 miljoner euro eller 2 % av den globala årliga omsättningen (beroende på vilket som är högst). Sena eller uteblivna meddelanden är en överträdelse av efterlevnaden som tillsynsmyndigheter kan bestraffa. Tillsynsmyndigheter ser dock generellt sett positivare ansträngningar i god tro att följa (sena men inlämnade med förklaring) än fullständig underlåtenhet att rapportera.
Startar 24-timmarsklockan vid upptäckt eller bekräftelse?
24-timmarsklockan startar när enheten "blir medveten om" en betydande incident. Detta tolkas som när du har rimliga skäl att tro att en betydande incident har inträffat – inte när du har slutfört en fullständig rättsmedicinsk utredning. Tidig varning är avsiktligt utformad för att vara preliminär; detaljerad information kommer i 72-timmarsmeddelandet.
Behöver jag rapportera incidenter som bara påverkar interna system?
Om incidenten påverkar leveransen av dina väsentliga eller viktiga tjänster (enligt definitionen under NIS2), ja. Rapporteringsskyldigheten är knuten till servicepåverkan, inte om externa parter är direkt berörda. Intern ransomware som stör produktionssystem som stöder viktiga tjänster kan rapporteras även om ingen kunddata exponeras.