Vaša organizacija zazna nenavadno omrežno aktivnost. Vaša IT ekipa razišče in odkrije nepooblaščen dostop do podatkov strank. Vi omejujete grožnjo. Zdaj pa se postavlja nujno vprašanje: ali morate to prijaviti oblastem? Komu točno? Katere informacije posredujete? Koliko časa imate?

V skladu z zakonom NIS2 in nizozemsko zakonodajo morajo številne organizacije prijaviti kibernetske incidente vladnim organom v strogih rokih. Običajno imate od 24 do 72 ur po odkritju. Predpisi določajo, kateri organ prejme vaše poročilo, katere informacije morate posredovati in zahteve glede oblike. Če zamudite rok ali prijavite napačnemu organu, se soočite z visokimi globami, izvršilnimi ukrepi in pravno odgovornostjo, ki lahko preseže sam začetni incident.

Ta priročnik vam natančno pokaže, kako izpolniti svoje dolžnosti poročanja. Spoznali boste, kateri zakoni veljajo za vašo organizacijo, kdaj je treba incident prijaviti, katere organe obvestiti v vsaki fazi, katere informacije potrebuje vsako poročilo in kako vzpostaviti postopke, ki dejansko delujejo. Preskočili bomo pravni žargon in se osredotočili na praktične korake, ki jih lahko takoj sprejmete, da ostanete skladni s predpisi in zaščitite svojo organizacijo.

Kakšne so vaše dolžnosti pri poročanju o kibernetskih incidentih

Vaše dolžnosti poročanja o kibernetskih incidentih so odvisne od velikosti vaše organizacije, sektorja in storitev, ki jih nudite. Bistvene entitete (energija, promet, bančništvo, zdravstvo, kritična infrastruktura) in pomembnih subjektov (poštne storitve, ravnanje z odpadki, ponudniki digitalnih storitev, proizvodnja hrane) se soočajo z obveznim poročanjem v skladu z NIS2. Če upravljate kritično infrastrukturo ali digitalne storitve za nizozemske potrošnike, skoraj zagotovo spadate pod ta pravila.

Tri faze poročanja, ki jih morate opraviti

Ti obraz tri ločene obveznosti poročanja z različnimi roki. Vaša prva dolžnost se začne v 24 ur zaznavanja pomemben incident: svoji skupini CSIRT (Computer Security Incident Response Team) ali pristojnemu organu predložite zgodnje opozorilo. To začetno obvestilo označi incident in navede, ali sumite na zlonamerno dejavnost ali čezmejni vpliv.

V okviru ne smete jesti, oddate obvestilo o incidentu. To poročilo vključuje vašo začetno oceno resnosti, vpliva, prizadetih sistemov in razpoložljivih kazalnikov ogrožanja. Navedete tehnične podrobnosti, ki organom pomagajo razumeti obseg in naravo kršitve.

Organizacije, ki zamudijo te roke, se soočajo z globami do 10 milijonov evrov ali 2 % svetovnega letnega prometa v skladu z NIS2, kar koli je višje.

Vaše končno poročilo prispe v roku enega meseca vašega obvestila o incidentu. Ta obsežen dokument podrobno opisuje celoten obseg incidenta, analizo temeljnega vzroka, ukrepe za ublažitev, ki ste jih izvedli, in čezmejne učinke. Če incident po preteku meseca še vedno obravnavate, predložite poročilo o napredku in nato v enem mesecu po rešitvi še končno poročilo.

Dodatne naloge poleg začetnega poročanja

Morate tudi obvestiti prizadete strani kadar pomemben incident vpliva na prejemnike storitev. To obvestilo se izvede brez nepotrebnega odlašanja in vključuje praktične korake, ki jih lahko prejemniki sprejmejo za svojo zaščito. Za ponudniki storitev zaupanja Natančneje, 72-urno obdobje se skrajša na 24 ur za incidente, ki vplivajo na storitve zaupanja.

Vaša skupina CSIRT ali pristojni organ se odzove v 24 urah po prejemu vašega zgodnjega opozorila in zagotovi začetne povratne informacije ter operativne smernice o blažilnih ukrepih.

1. korak. Ugotovite, kateri zakoni EU in nizozemski zakoni veljajo za vas.

Določiti morate, kateri regulativni okviri uredite svoje dolžnosti poročanja o kibernetskih incidentih, preden se incident sploh zgodi. NIS2 (Direktiva o varnosti omrežij in informacij) se na splošno uporablja po vsej Nizozemski, vendar DORA (Zakon o digitalni operativni odpornosti) in posebna nizozemska izvedbena pravila ustvarite dodatne obveznosti za določene sektorje. Začnite z oceno vaše organizacije glede na merila posameznega okvira.

Preverite, ali NIS2 velja za vašo organizacijo

NIS2 velja, če izpolnjujete pogoje bistvena entiteta or pomemben subjektMed bistvene subjekte spadajo organizacije na področju energetike, prometa, bančništva, infrastrukture finančnih trgov, zdravstva, pitne vode, odpadne vode, digitalne infrastrukture, javne uprave in vesolja. Pomembni subjekti zajemajo poštne storitve, ravnanje z odpadki, kemikalije, proizvodnjo hrane, predelovalne dejavnosti, digitalne ponudnike in raziskovalne organizacije.

Velikost vaše organizacije je pomembna le za ponudniki digitalnih storitev (Ponudniki digitalnih storitev (DSP). Pod NIS2 spadate kot ponudnik digitalnih storitev, če upravljate spletno tržnico, storitev v oblaku ali iskalnik z vsaj zaposleni 50 in bodisi 10 milijonov evrov letnega prometa or 10 milijonov evrov skupne premoženjaVsi drugi bistveni in pomembni subjekti se soočajo z obveznostmi ne glede na velikost.

Če upravljate kritično infrastrukturo ali ste bili prej določeni v skladu s staro direktivo o varnosti omrežij in informacij (Wbni), ste samodejno upravičeni do NIS2.

Nizozemska vlada vzdržuje register imenovanih subjektov. Za potrditev svojega statusa se obrnite na pristojni organ v vašem sektorju (poročilo o energetiki in digitalni infrastrukturi RDI; o finančnih storitvah AFM in DNB; o zdravstvu IGJ). To morate preveriti. pred januarjem 2026 ko se začne okrepljeno izvrševanje.

Preverite, ali DORA krije vaše finančne storitve

DORA se uporablja ločeno za finančne institucije in Ponudniki storitev IKT ki jim služijo. Pod DORA spadate, če poslujete kot kreditna institucija, ponudnik plačilnih storitev, zavarovalnica, investicijsko podjetje, ponudnik storitev kripto sredstev ali institucija za elektronski denar. Ta uredba velja vzporedno z NIS2 s svojo lastno zahteve glede poročanja.

Ponudniki finančnih storitev poročajo o pomembnih incidentih obema AFM (prek portala AFM) in DNB (prek My DNB) poleg RDI. Registrirati morate tudi vse pogodbenih sporazumov z Tretje osebe IKT za kritične ali pomembne funkcije prek teh portalov v določenih časovnih okvirih.

Ocenite obveznosti svojega ponudnika digitalnih storitev

Wbni (Nizozemska izvedba) ustvarja posebne dolžnosti, če zagotovite spletne tržnice, računalništvo v oblaku ali iskalnikiO incidentih poročate obema RDI in CSIRT-DSP (specializirana ekipa za odzivanje na incidente za digitalne ponudnike). Za razliko od bistvenih subjektov v drugih sektorjih se soočate z omejitvami velikosti: 50+ zaposlenih in 10 milijonov EUR prometa ali sredstev.

Ponudniki storitev zaupanja se soočajo pospešeni roki v skladu z uredbo eIDAS. Pomembne incidente, ki vplivajo na storitve zaupanja, morate prijaviti v okviru ne smete jesti namesto standardnega 72-urnega okna, ki velja za druge entitete.

2. korak. Določite, kdaj je treba incident prijaviti.

Potrebujete konkretna merila, da ugotovite, ali incident preseže prag prijave. Zakon opredeljuje pomembni incidenti kot tiste, ki povzročajo hude operativne motnje, finančno izgubo ali znatno škodo drugim. Vaše dolžnosti poročanja o kibernetskih incidentih se začnejo, ko odkrijete incident, ki izpolnjuje ta merila, ne pa ko končate s preiskavo. To pomeni, da morate odločitve o poročanju sprejemati hitro, pogosto z nepopolnimi informacijami.

Ocenite prag resnosti za vašo organizacijo

Incident se šteje za pomembnega, kadar moti vaše osnovne storitve ali ustvari znaten finančni vplivNIS2 ponuja dve glavni kategoriji: incidente, ki resno motijo ​​vaše poslovanje ali povzročijo finančno izgubo, in incidente, ki prizadenejo druge stranke tako, da povzročijo znatno materialno ali nematerialno škodo. Poročate, kdaj velja katera koli od teh kategorij.

Motnje v delovanju pomenijo, da strankam ne morete zagotavljati storitev, da odpovejo kritični sistemi ali da izgubite dostop do bistvenih podatkov. Finančna izguba vključuje neposredne stroške, kot so plačila odkupnin, stroški izterjave, izgubljeni prihodek ali regulativne globe. Zakon ne določa natančnih pragov v evrih, zato ocenite glede na velikost vaše organizacije in relativni vpliv incidenta.

Dokumentirajte svoje interne pragove, preden pride do incidenta. To ustvarja doslednost pri poročanju o odločitvah in dokazuje skladnost v dobri veri, če organi kasneje podvomijo v vašo presojo.

Pri ocenjevanju pomembnosti upoštevajte te kazalnike:

• Dostopnost storitveAli lahko stranke dostopajo do vaših storitev? Kako dolgo so sistemi izklopljeni?
• Celovitost podatkovJe prišlo do nepooblaščenega dostopa? Katere kategorije podatkov so bile prizadete?
• Geografski obsegAli incident vpliva na več lokacij ali držav?
• Vpliv na strankoKoliko uporabnikov ali prejemnikov se sooča z motnjami v storitvah?
• Čas obnovitveAli pričakujete rešitev v nekaj urah, dneh ali tednih?

Ocenite čezmejne in kaskadne učinke

Incidente morate prijaviti morebitni čezmejni vpliv tudi če se zdijo domači učinki manjši. Incident, ki vpliva na vaše poslovanje na Nizozemskem, lahko vpliva na stranke, partnerje ali dobavne verige v drugih državah članicah EU. To sproži obveznosti poročanja, ker organi usklajujejo odzive čez meje.

Kaskadni učinki enako pomembno. Vaš incident postane predmet prijave, ko moti storitve, ki jih zagotavljate drugim bistvenim ali pomembnim subjektom, ne glede na neposreden vpliv na končne uporabnike. Če na primer bolnišnici zagotavljate storitve v oblaku in vaša kršitev varnosti vpliva na njihove sisteme za paciente, poročate na podlagi njenega operativnega vpliva, ne le na lastne izgube.

Ponudniki storitev zaupanja se soočajo strožji pragoviVsak incident, ki vpliva na zagotavljanje storitev zaupanja (digitalni podpisi, potrdila, časovni žigi), je treba nemudoma prijaviti v 24 urah. Ni vam treba čakati z oceno, ali vpliv izpolnjuje merila splošne pomembnosti.

3. korak. Ustvarite svoje postopke za poročanje o incidentih

Potrebujete dokumentirane postopke, ki natančno določajo, kdo kaj stori, kdaj in kako med incidentom. Vaš načrt odzivanja na incidente mora vključevati jasne poteke poročanja, ki se samodejno aktivirajo, ko vaša ekipa zazna pomemben incident. Ti postopki vaše dolžnosti poročanja o kibernetskih incidentih pretvorijo iz abstraktnih pravnih zahtev v konkretne ukrepe, ki jih lahko vaši zaposleni izvedejo pod pritiskom.

Zgradite svojo matriko klasifikacije incidentov

Vaša klasifikacijska matrika pomaga odzivniki na incidente Določite zahteve glede poročanja v nekaj minutah po zaznavi. Ustvarite tabelo, ki preslika vrste incidentov in stopnje resnosti na obveznosti poročanja, roke in pooblastila prejemnikov. To odpravi ugibanje in zagotovi dosledne odločitve v celotni organizaciji.

Posodobi to matriko kadar koli spremembe predpisov ali pa vaša organizacija doda nove storitve. Četrtletno ga preizkusite z uporabo realističnih scenarijev, da odkrijete vrzeli ali nejasnosti.

Oblikujte svoj potek dela obveščanja

Vaš delovni tok mora določati natančno zaporedje ukrepe od zaznavanja incidentov do končnega poročanja. Dokumentirajte, kdo sproži poročanje, kdo pregleduje in odobrava obvestila, kdo jih predloži in kdo vzdržuje stik z organi. Za vsako vlogo dodelite rezervno osebje za kritje odsotnosti.

Vaš potek dela mora predvidevati, da se incidenti zgodijo izven delovnega časa, ko višje vodstvo morda ni takoj na voljo. Vgradite mehanizme odobritve, ki preprečujejo zamude.

Ustvarite oblika kontrolnega seznama vaša ekipa sledi:

1. Zaznan incident: Vodja varnostne ekipe v 2 urah oceni glede na klasifikacijsko matriko
2. Potrjen incident, o katerem je treba poročati: CISO je bil takoj obveščen in začel s pripravami na zgodnje opozarjanje
3. Osnutek zgodnjega opozorila: Vključite vrsto incidenta, čas odkritja, domnevni vzrok, morebitni čezmejni vpliv
4. Pravni pregled: Pravni svetovalec pregleda osnutek v 4 urah glede točnosti in popolnosti.
5. Oddaja: CISO ali pooblaščenec odda prijavo prek uradnega portala v 24-urnem roku.
6. Odgovor oblasti: Varnostna ekipa izvede prejeta navodila v 24 urah.
7. Obvestilo o incidentu: Tehnična ekipa pripravi podrobno oceno do 60. ure
8. Končna oddaja: Celotna dokumentacija je oddana pred 72-urnim rokom

Pripravite predloge poročil za vsako fazo

Predloge zagotavljajo vaše poročila vsebujejo vse potrebne informacije hkrati pa skrajšajte čas priprave. Ustvarite ločene predloge za zgodnje opozarjanje, obveščanje o incidentih in končno poročilo, ki vključujejo vsa obvezna polja, ki jih določajo NIS2 in nizozemski organi.

Vaša predloga za zgodnje opozarjanje potrebuje: časovni žig zaznave, kategorijo incidenta, povzetek prizadetih sistemov, indikator domnevne zlonamerne dejavnosti (da/ne), indikator čezmejnega vpliva (da/ne), glavne kontaktne podatke. Vaše obvestilo o incidentu vsebuje: oceno resnosti, obseg vpliva, število prizadetih uporabnikov, indikatorje ogroženosti, začetne ukrepe za ublažitev. Končna poročila vključujejo: popoln časovni načrt incidenta, analizo temeljnih vzrokov, celovito oceno vpliva, izvedene varnostne ukrepe, pridobljene izkušnje in preventivna priporočila.

Shrani te predloge kot izpolnitvenih obrazcev vaša ekipa lahko do njih takoj dostopa. Shranite jih v platformi za odzivanje na incidente, varnostnem wikiju in varnostnih kopijah brez povezave, da zagotovite razpoložljivost med izpadi sistema.

4. korak. Vključite poročanje v usposabljanje in upravljanje

Vaša rutina za postopki poročanja neuspešno, če zaposleni ne razumejo svojih vlog ali če strukture upravljanja ne podpirajo hitrega odločanja. Potrebujete sistematično usposabljanje in nadzor na ravni upravnega odbora da zagotovite, da vaša organizacija vsakič pravilno izvaja svoje dolžnosti poročanja o kibernetskih incidentih. To pomeni, da morate obveznosti poročanja vključiti v obstoječe programe usposabljanja na področju varnosti in vzpostaviti jasno odgovornost na ravni upravljanja.

Usposabljanje vsega osebja za odkrivanje in eskalacijo

Moraš trenirati vsi zaposleni prepoznati morebitne varnostne incidente in natančno vedeti, kako jih posredovati. Vaše tehnično osebje potrebuje podrobno usposabljanje o klasifikacijski matrici in poteku dela pri poročanju, netehnični zaposleni pa potrebujejo preprostejše smernice, osredotočene na odkrivanje nenavadnih dejavnosti in takojšen stik s pravimi ljudmi.

Run četrtletne vaje za mizo ki simulirajo realistične incidente, ki zahtevajo poročanje. Spremljajte svojo ekipo za odzivanje na incidente skozi celoten postopek od zaznave do oddaje končnega poročila. S temi vajami prepoznajte proceduralne vrzeli, preizkusite predloge in preverite, ali rezervno osebje razume svoje vloge. Po vsaki vaji dokumentirajte pridobljene izkušnje in ustrezno posodobite svoje postopke.

Usposabljanje za ozaveščanje o varnosti za splošno osebje bi moralo zajemati te bistvene elemente poročanja:

• Kaj predstavlja potencialni varnostni incident (nenavadna e-poštna sporočila, poskusi nepooblaščenega dostopa, manjkajoči podatki)
• Na koga se je treba takoj obrniti (navedite kontaktne podatke vaše varnostne ekipe, ki je na voljo 24 ur na dan, 7 dni v tednu)
• Česa ne smete storiti (ne poskušajte se preiskovati sami, ne brišite dokazov, ne čakajte do ponedeljka)
• Zakaj je hitrost pomembna (zakonski roki začnejo teči, ko so incidenti odkriti, ne pa prijavljeni)

Usposobiti osebje, ki z odkrivanjem in takojšnjim poročanjem o sumljivih dejavnostih zaščiti tako organizacijo kot tudi sebe pred odgovornosti, ne le izpolnjuje zahteve glede skladnosti.

Vključite poročanje v obstoječe upravljanje

Vaše potrebe upravnega odbora in izvršnega vodstva redne posodobitve o zmogljivostih poročanja o incidentih in dejanskih incidentih. Načrtujte četrtletne preglede upravljanja, ki zajemajo vaše postopke poročanja, vse incidente, ki so se zgodili, prejete odzive organov in izvedene postopkovne izboljšave. To ustvarja odgovornost in zagotavlja, da vodstvo razume obveznosti poročanja.

Dodeli a specifični izvršni direktor odgovornost za skladnost s poročanjem o incidentih. Ta oseba (običajno vaš vodja CISO ali glavni direktor za tveganja) neposredno poroča upravnemu odboru o pripravljenosti, vzdržuje odnose s pristojnimi organi in je odgovorna za proračun za orodja za poročanje in usposabljanje. Jasna odgovornost preprečuje zmedo med dejanskimi incidenti, ko je treba odločitve sprejeti hitro.

Vključuje meritve poročanja na vaših varnostnih nadzornih ploščah: čas od zaznave do zgodnjega opozorila, odstotek incidentov, ki izpolnjujejo roke, odzivni časi organov in izvedeni korektivni ukrepi. Spremljajte te podatke mesečno, da prepoznate trende in priložnosti za izboljšave.

Napreduje

Zdaj imate celovit okvir za izpolnjevanje svojih dolžnosti poročanja o kibernetskih incidentih v skladu z NIS2 in nizozemsko zakonodajo. Veste, kateri predpisi veljajo za vašo organizacijo, kdaj incidenti presežejo prag poročanja, kateri organi prejmejo obvestila, katere informacije mora vsebovati vsako poročilo in kako zgraditi postopke, ki delujejo pod pritiskom. Vaš naslednji korak je takojšnja izvedba.

Začnite s pregledom vašega trenutnega načrta za odzivanje na incidente glede na zahteve, opisane tukaj. Posodobite svoj klasifikacijska matrika, pripravite svoje predloge poročilin usposobite svojo ekipo za odzivanje na incidente za nove delovne procese. Načrtujte svojo prvo simulacijsko vajo znotraj naslednjih 30 dni za testiranje postopkov, preden pride do resničnega incidenta. Dokumentirajte vse, kar ustvarite, da bo vaša ekipa lahko do tega takoj dostopala, ko bo to potrebno.

Skladnost s predpisi na področju kibernetske varnosti zahteva oboje strokovno znanje in pravno znanjeČe potrebujete pomoč pri razlagi, kako se ti predpisi uporabljajo za vašo specifično situacijo, kontakt Law & More za specializirano svetovanje. Njihova ekipa pomaga nizozemskim organizacijam pri krmarjenju po kompleksnih zahtevah glede kibernetske varnosti in pri vzpostavljanju okvirov za odzivanje na incidente, ki ščitijo tako vaše poslovanje kot tudi vaš pravni položaj.