A szervezete szokatlan hálózati tevékenységet észlel. Az informatikai csapata kivizsgálja az ügyet, és jogosulatlan hozzáférést talál az ügyféladatokhoz. Ön megfékezi a fenyegetést. Most jön a sürgős kérdés: jelentenie kell-e ezt a hatóságoknak? Pontosan kiknek? Milyen információkat kell megadnia? Mennyi ideje van?
A NIS2 és a holland törvények értelmében számos szervezetnek szigorú határidőn belül kell jelentenie a kiberbiztonsági incidenseket a kormányzati hatóságoknak. Általában 24 és 72 óra között van idejük az észlelést követően. A szabályozások meghatározzák, hogy melyik hatóság kapja meg a jelentést, milyen információkat kell megadnia, és milyen formátumúak a követelmények. Ha elmulasztja a határidőt, vagy rossz szervnek jelenti, jelentős bírságokkal, végrehajtási intézkedésekkel és jogi felelősséggel kell szembenéznie, amelyek túlmutathatnak magán a kezdeti incidensen.
Ez az útmutató pontosan bemutatja, hogyan teljesítheti jelentési kötelezettségeit. Megtudhatja, mely törvények vonatkoznak szervezetére, mikor kell jelenteni egy incidenst, mely hatóságokat kell értesíteni az egyes szakaszokban, milyen információkra van szükség az egyes jelentésekhez, és hogyan kell olyan eljárásokat kidolgozni, amelyek valóban működnek. Kihagyjuk a jogi zsargont, és azokra a gyakorlati lépésekre összpontosítunk, amelyeket már most megtehet a megfelelőség fenntartása és szervezete védelme érdekében.
Mik a kiberbiztonsági incidensek jelentési kötelezettségei?
A kiberbiztonsági incidensek jelentési kötelezettségei a szervezet méretétől, ágazatától és a nyújtott szolgáltatásoktól függenek. Lényeges entitások (energia, közlekedés, banki szolgáltatások, egészségügy, kritikus infrastruktúra) és fontos entitások (postai szolgáltatások, hulladékgazdálkodás, digitális szolgáltatók, élelmiszertermelés) a NIS2 értelmében kötelező jelentéstételi kötelezettséggel tartoznak. Ha kritikus infrastruktúrát vagy digitális szolgáltatásokat üzemeltet holland fogyasztók számára, szinte biztosan ezek a szabályok vonatkoznak Önre.
A három jelentéstételi szakasz, amelyet teljesítenie kell
Az arcod három különálló jelentéstételi kötelezettség különböző határidőkkel. Az első feladatod ezen a ponton kezdődik. 24 órás észlelés jelentős incidens esetén korai figyelmeztetést küld a CSIRT-nek (számítógép-biztonsági incidensre reagáló csoport) vagy az illetékes hatóságnak. Ez a kezdeti értesítés megjelöli az incidenst, és jelzi, hogy gyanít-e rosszindulatú tevékenységet vagy határokon átnyúló hatást.
Belül 72 óra, Ön benyújtja az incidensértési értesítést. Ez a jelentés tartalmazza a súlyosság, a hatás, az érintett rendszerek és a rendelkezésre álló kompromittálódási jelzők kezdeti értékelését. Ön technikai részleteket ad meg, amelyek segítenek a hatóságoknak megérteni az incidens mértékét és jellegét.
Azok a szervezetek, amelyek elmulasztják ezeket a határidőket, akár 10 millió eurós vagy a globális éves forgalom 2%-át kitevő bírsággal is sújthatók a NIS2 értelmében, attól függően, hogy melyik a magasabb.
Megérkezik a zárójelentésed egy hónapon belül az incidens bejelentéséről. Ez az átfogó dokumentum részletezi az incidens teljes hatókörét, a kiváltó ok elemzését, a végrehajtott enyhítő intézkedéseket és a határokon átnyúló hatásokat. Ha a hónap lejártakor még mindig kezeli az incidenst, akkor a megoldástól számított egy hónapon belül benyújt egy előrehaladási jelentést, majd egy zárójelentést.
A kezdeti jelentéstételen túli további feladatok
Neked is kell tájékoztatja az érintett feleket amikor egy jelentős esemény a szolgáltatás igénybevevőit érinti. Ez az értesítés indokolatlan késedelem nélkül megtörténik, és tartalmazza a gyakorlati lépéseket, amelyeket a szolgáltatás igénybevevői megtehetnek saját védelmük érdekében. bizalmi szolgáltatók Pontosabban, a 72 órás ablak 24 órára rövidül a bizalmi szolgáltatásokat érintő incidensek esetében.
A CSIRT vagy az illetékes hatóság a korai figyelmeztetés kézhezvételétől számított 24 órán belül válaszol, kezdeti visszajelzést és operatív útmutatást adva az enyhítő intézkedésekről.
1. lépés: Határozza meg, hogy mely uniós és holland jogszabályok vonatkoznak Önre
Meg kell határoznod, hogy melyik szabályozási keretek szabályozza a kiberbiztonsági incidensek jelentési kötelezettségeit, mielőtt egy incidens bekövetkezne. NIS2 (a Hálózati és Információbiztonsági Irányelv) széles körben alkalmazandó Hollandiában, de DÓRA (Digitális Műveleti Ellenállóképességi Törvény) és konkrét holland végrehajtási szabályok további kötelezettségeket hozzon létre bizonyos ágazatok számára. Kezdje azzal, hogy értékeli szervezetét az egyes keretrendszerek kritériumai alapján.
Ellenőrizze, hogy a NIS2 vonatkozik-e a szervezetére
A NIS2 akkor érvényes, ha megfelelsz a követelményeknek. alapvető entitás or fontos entitásAz alapvető szervezetek közé tartoznak az energia, a közlekedés, a banki szolgáltatások, a pénzügyi piaci infrastruktúra, az egészségügy, az ivóvíz, a szennyvíz, a digitális infrastruktúra, a közigazgatás és az űrkutatás területén működő szervezetek. A fontos entitások közé tartozik a postai szolgáltatások, a hulladékgazdálkodás, a vegyipar, az élelmiszertermelés, a gyártás, a digitális szolgáltatók és a kutatóintézetek.
A szervezet mérete csak azért számít, digitális szolgáltatók (DSP-k). A NIS2 hatálya alá tartozik DSP-ként, ha online piacteret, felhőszolgáltatást vagy keresőmotort üzemeltet legalább 50 alkalmazottak és vagy 10 millió eurós éves forgalom or 10 millió euró teljes vagyonMinden más alapvető és fontos szervezetnek méretétől függetlenül kötelezettségei vannak.
Ha kritikus infrastruktúrát üzemeltet, vagy korábban a régi NIS-irányelv (Wbni) alapján jelölték ki, akkor automatikusan jogosult a NIS2 hatálya alá.
A holland kormány nyilvántartást vezet a kijelölt szervezetekről. Ellenőrizze státuszát az ágazatának illetékes hatóságánál (energia- és digitális infrastruktúra-jelentés az RDI-nek; pénzügyi szolgáltatások az AFM-nek és a DNB-nek; egészségügy az IGJ-nek). Ezt Önnek kell ellenőriznie. 2026 januárja előtt amikor megkezdődik a fokozott ellenőrzés.
Ellenőrizze, hogy a DORA fedezi-e pénzügyi szolgáltatásait
A DORA külön vonatkozik pénzintézetek és a IKT-szolgáltatók szolgálja őket. A DORA hatálya alá tartozik, ha hitelintézetként, fizetési szolgáltatóként, biztosítótársaságként, befektetési vállalkozásként, kriptoeszköz-szolgáltatóként vagy elektronikuspénz-intézményként működik. Ez a szabályozás párhuzamosan fut a NIS2-vel, saját... jelentési követelmények.
A pénzügyi szolgáltatók jelentős incidenseket jelentenek mindkettőnek AFM (az AFM portálon keresztül) és DNB (a My DNB-n keresztül) az RDI mellett. Mindent regisztrálnia kell szerződéses megállapodások IKT harmadik felek kritikus vagy fontos funkciókhoz ezeken a portálokon keresztül, meghatározott időkereten belül.
Értékelje digitális szolgáltatói kötelezettségeit
A Wbni (Holland implementáció) meghatározott feladatokat hoz létre, ha megadja online piacterek, felhőalapú számítástechnika vagy keresőmotorokAz incidenseket mindkettőjüknek jelenti. RDI és a CSIRT-DSP (a digitális szolgáltatók számára specializált incidenskezelő csapat). Más ágazatok alapvető szervezeteivel ellentétben méretküszöbökkel kell szembenézniük: 50+ alkalmazott és 10 millió eurónál nagyobb árbevétel vagy eszközérték.
A bizalmi szolgáltatók szembesülnek gyorsított határidők az eIDAS szabályozás értelmében. Jelenteni kell a bizalmi szolgáltatásokat érintő jelentős incidenseket. 24 óra a többi entitásra vonatkozó szokásos 72 órás ablak helyett.
2. lépés: Határozza meg, hogy mikor minősül egy incidens bejelentési kötelezettségnek
Konkrét kritériumokra van szükség annak meghatározásához, hogy egy incidens átlépi-e a bejelentési küszöbértéket. A törvény meghatározza jelentős események például olyanok, amelyek súlyos működési zavarokat, pénzügyi veszteséget vagy másoknak jelentős kárt okoznak. A kiberbiztonsági incidensek jelentési kötelezettsége akkor kezdődik, amikor egy, ezeknek a kritériumoknak megfelelő incidenst észlel, nem pedig akkor, amikor befejezi annak kivizsgálását. Ez azt jelenti, hogy gyorsan kell jelentési döntéseket hoznia, gyakran hiányos információkkal.
Értékelje a szervezetére vonatkozó súlyossági küszöbértéket
Egy esemény akkor minősül jelentősnek, ha megzavarja az alapvető szolgáltatásait vagy létrehoz jelentős pénzügyi hatásA NIS2 két fő kategóriát különböztet meg: azokat az incidenseket, amelyek súlyosan megzavarják a működését vagy pénzügyi veszteséget okoznak, és azokat az incidenseket, amelyek jelentős anyagi vagy nem anyagi kárt okozva más feleket is érintenek. Ön akkor jelent, ha bármelyik kategória érvényes.
A működési zavar azt jelenti, hogy nem tud szolgáltatásokat nyújtani az ügyfeleknek, kritikus rendszerek meghibásodnak, vagy elveszíti a hozzáférést a létfontosságú adatokhoz. A pénzügyi veszteség magában foglalja a közvetlen költségeket, mint például a váltságdíjfizetések, a behajtási költségek, az elmaradt bevételek vagy a hatósági bírságok. A törvény nem határoz meg pontos eurós küszöbértékeket, ezért a szervezet mérete és az incidens relatív hatása alapján kell értékelni.
Dokumentálja a belső küszöbértékeit, mielőtt egy incidens bekövetkezik. Ez következetességet teremt a jelentéstételi döntésekben, és jóhiszemű megfelelést mutat, ha a hatóságok később megkérdőjelezik az ítélőképességét.
A jelentőség értékelésekor vegye figyelembe a következő mutatókat:
- A szolgáltatás elérhetőségeHozzáférhetnek-e az ügyfelek a szolgáltatásaihoz? Mióta nem működnek a rendszerek?
- Az adatok integritásaTörtént jogosulatlan hozzáférés? Mely adatkategóriákat érintett?
- Földrajzi hatály: Az incidens több helyszínt vagy országot érint?
- ÜgyfélhatásHány felhasználó vagy címzett szembesül szolgáltatáskieséssel?
- Gyógyulási idő: Órákon, napokon vagy heteken belüli megoldásra számít?
Határokon átnyúló és odús hatások értékelése
Jelenteni kell az incidenseket a következővel: potenciális határokon átnyúló hatás még akkor is, ha a belföldi hatások jelentéktelennek tűnnek. Egy, a hollandiai tevékenységét érintő esemény hatással lehet az ügyfelekre, partnerekre vagy... ellátási láncok más uniós tagállamokban. Ez jelentéstételi kötelezettséget von maga után, mivel a hatóságok határokon átnyúlóan koordinálják a válaszlépéseket.
Kaszkádhatások egyformán fontosak. Az incidens akkor válik jelentendővé, ha megzavarja más alapvető vagy fontos szervezeteknek nyújtott szolgáltatásait, függetlenül a végfelhasználókra gyakorolt közvetlen hatástól. Például, ha felhőszolgáltatásokat nyújt egy kórháznak, és a biztonsági incidens a betegrendszereiket érinti, akkor a működési hatás alapján kell jelentenie, nem csak a saját veszteségeit.
A bizalmi szolgáltatók szembesülnek szigorúbb küszöbértékekA bizalmi szolgáltatások (digitális aláírások, tanúsítványok, időbélyegek) nyújtását érintő bármely incidens azonnali, 24 órán belüli jelentést igényel. Nem kell várni annak felmérésére, hogy a hatás megfelel-e az általános jelentőségi kritériumoknak.
3. lépés: Hozza létre az incidensjelentési eljárásait
Dokumentált eljárásokra van szüksége, amelyek pontosan meghatározzák, hogy ki mit, mikor és hogyan csinál egy incidens során. incidensreagálási terv egyértelmű jelentési munkafolyamatokat kell tartalmaznia, amelyek automatikusan aktiválódnak, amikor a csapat jelentős incidenst észlel. Ezek az eljárások a kiberbiztonsági incidensek jelentési kötelezettségeit az absztrakt jogi követelményekből konkrét intézkedésekké alakítják, amelyeket a munkatársak nyomás alatt is végrehajthatnak.
Építsd fel az incidensosztályozási mátrixodat
Az osztályozási mátrix segít baleseti reagálók Határozza meg a jelentési követelményeket az észlelést követő perceken belül. Hozzon létre egy táblázatot, amely az incidensek típusait és súlyossági szintjeit leképezi a jelentési kötelezettségekhez, határidőkhöz és a címzett hatóságokhoz. Ez kiküszöböli a találgatást, és biztosítja a szervezeten belüli következetes döntéshozatalt.
| Incidens típusa | A súlyosság | Jelentés ide: | Kezdeti határidő | Eseményértesítés |
|---|---|---|---|---|
| Jogosulatlan hozzáférés az ügyféladatokhoz | Magas | K+FDI + CSIRT | 24 óra | 72 óra |
| Az alapvető rendszereket érintő zsarolóvírusok | Kritikai | K+FDI + CSIRT + NCSC | 24 óra | 72 óra |
| A DDoS megzavarja a közszolgáltatásokat | Magas | K+FDI + CSIRT | 24 óra | 72 óra |
| Megbízható szolgáltatás kompromittálódása (ha alkalmazható) | Kritikai | K+FDI + CSIRT | 24 óra | 24 óra |
| Pénzügyi szolgáltatási incidens (DORA) | Magas | RDI + AFM + DNB | 24 óra | 72 óra |
Frissítse ezt a mátrixot, amikor csak lehetséges szabályozások változása vagy a szervezete új szolgáltatásokat vezet be. Tesztelje negyedévente realisztikus forgatókönyvek segítségével a hiányosságok vagy a zavaró pontok azonosítása érdekében.
Tervezze meg az értesítési munkafolyamatot
A munkafolyamatnak meg kell határoznia a pontos sorrend Az incidens észlelésétől a végső jelentéstételig terjedő tevékenységek dokumentálása. Annak dokumentálása, hogy ki kezdeményezi a jelentéstételt, ki vizsgálja felül és hagyja jóvá az értesítéseket, ki nyújtja be azokat, és ki tartja a kapcsolatot a hatóságokkal. Minden szerepkörhöz jelöljön ki tartalék személyzetet a hiányzások pótlására.
A munkafolyamatnak feltételeznie kell, hogy a munkaidőn kívüli incidensek olyan esetekben fordulnak elő, amikor a felső vezetés esetleg nem érhető el azonnal. Építsen be jóváhagyási mechanizmusokat a késedelmek megelőzésére.
Hozzon létre egy ellenőrzőlista formátum a csapatod a következőképpen alakul:
- Incidens észlelve: A biztonsági csapat vezetője 2 órán belül felméri az állapotot az osztályozási mátrix alapján.
- Jelentendő incidens megerősítése: Azonnal értesítették a biztonsági vezetőt, és megkezdték a korai figyelmeztető felkészülést
- Korai figyelmeztetés megfogalmazása: Tartalmazza az incidens típusát, az észlelés időpontját, a feltételezett okot és a lehetséges határokon átnyúló hatást
- Jogi felülvizsgálat: A jogi tanácsadó 4 órán belül ellenőrzi a tervezet pontosságát és teljességét
- Benyújtás: A CISO vagy a küldött 24 órán belül benyújtja a hivatalos portálon keresztül
- Hatósági válasz: A biztonsági csapat 24 órán belül végrehajtja a kapott útmutatást.
- Eseményértesítés: A műszaki csapat 60 órán belül részletes értékelést készít
- Végső beadás: A teljes dokumentációt a 72 órás határidőn belül kell benyújtani.
Jelentéssablonok készítése minden szakaszhoz
Sablonok biztosítják az Ön a jelentések minden szükséges információt tartalmaznak miközben csökkenti az előkészítési időt. Készítsen külön sablonokat a korai figyelmeztetéshez, az incidensértési értesítéshez és a zárójelentéshez, amelyek tartalmazzák a NIS2 és a holland hatóságok által meghatározott összes kötelező mezőt.
A korai figyelmeztető sablonhoz a következők szükségesek: észlelési időbélyeg, incidens kategória, érintett rendszerek összefoglalása, feltételezett rosszindulatú tevékenység jelzője (igen/nem), határokon átnyúló hatás jelzője (igen/nem), elsődleges elérhetőségek. Az incidensértés tartalmazza: a súlyosság értékelését, a hatás hatókörét, az érintett felhasználók számát, a behatolás jelzőit, a megtett kezdeti enyhítési lépéseket. A zárójelentések tartalmazzák: az incidens teljes ütemtervét, a kiváltó ok elemzését, a teljes hatásértékelést, a végrehajtott biztonsági intézkedéseket, a tanulságokat és a megelőző ajánlásokat.
Mentse el ezeket a sablonokat más néven kitölthető űrlapok csapata azonnal hozzáférhet. Tárolja őket az incidens-elhárító platformon, a biztonsági wikin és offline biztonsági mentésekben, hogy biztosítsa a rendelkezésre állást rendszerkiesések esetén.
4. lépés: A jelentéstétel beágyazása a képzésbe és az irányításba
A te jelentési eljárások kudarcot vallhatnak, ha a személyzet nem érti a szerepét, vagy ha az irányítási struktúrák nem támogatják a gyors döntéshozatalt. Szükséged van rájuk szisztematikus képzés és a igazgatósági szintű felügyelet annak biztosítása érdekében, hogy szervezete minden alkalommal helyesen hajtsa végre a kiberbiztonsági incidensek jelentési kötelezettségeit. Ez azt jelenti, hogy a jelentéstételi kötelezettségeket integrálni kell a meglévő biztonsági képzési programokba, és egyértelmű elszámoltathatóságot kell létrehozni az irányítási szinten.
Az összes alkalmazottat képezzék ki az észlelésre és az eszkalációra
Edzened kell minden dolgozó hogy felismerje a potenciális biztonsági incidenseket, és pontosan tudja, hogyan kell azokat eszkalálni. A műszaki személyzetnek részletes képzésre van szüksége az osztályozási mátrixról és a jelentési munkafolyamatokról, de a nem műszaki alkalmazottaknak egyszerűbb útmutatásra van szükségük, amely a szokatlan tevékenységek észlelésére és a megfelelő emberek azonnali elérésére összpontosít.
futás negyedéves asztali gyakorlatok amelyek valósághű, jelentést igénylő incidenseket szimulálnak. Végigvezetik az incidensre reagáló csapatot a teljes folyamaton az észleléstől a végső jelentés benyújtásáig. Használják ezeket a gyakorlatokat az eljárási hiányosságok azonosítására, a sablonok tesztelésére, és annak ellenőrzésére, hogy a tartalék személyzet megértette-e a szerepét. Dokumentálják az egyes gyakorlatok után a tanulságokat, és ennek megfelelően frissítsék az eljárásaikat.
Az általános személyzet biztonságtudatossági képzésének a következő jelentéstételi alapismereteket kell tartalmaznia:
- Mi minősül potenciális biztonsági incidensnek (szokatlan e-mailek, jogosulatlan hozzáférési kísérletek, hiányzó adatok)
- Kivel kell azonnal kapcsolatba lépni (adja meg a biztonsági csapat elérhetőségét a nap 24 órájában, a hét minden napján)
- Mit ne tegyél (ne próbáld meg magad kivizsgálni, ne törölj bizonyítékokat, ne várj hétfőig)
- Miért fontos a gyorsaság (a szabályozási határidők az incidensek észlelésekor, nem pedig a jelentésükkor kezdődnek)
Képezzék ki a személyzetet arra, hogy a gyanús tevékenységek azonnali észlelése és jelentése megvédje mind a szervezetet, mind őket a gyanús tevékenységektől. felelősség, nem csak a megfelelőségi követelményeknek tesz eleget.
Jelentéstétel integrálása a meglévő irányításba
Az igazgatótanács és a felső vezetés iránti igény rendszeres frissítések az incidensjelentési képességekről és a tényleges incidensekről. Ütemezz be negyedéves irányítási felülvizsgálatokat, amelyek kiterjednek a jelentéstételi eljárásokra, a bekövetkezett incidensekre, a hatóságoktól kapott válaszokra és a végrehajtott eljárási fejlesztésekre. Ez elszámoltathatóságot teremt, és biztosítja, hogy a vezetőség megértse a jelentéstételi kötelezettségeket.
Hozzárendelni a konkrét vezető felelősség az incidensjelentési megfelelésért. Ez a személy (jellemzően a CISO vagy a kockázatkezelési igazgató) közvetlenül az igazgatótanácsnak jelent a felkészültségért, kapcsolatot tart fenn az illetékes hatóságokkal, és felelős a jelentéstételi eszközök és a képzés költségvetéséért. Az egyértelmű felelősségvállalás megakadályozza a zavart a tényleges incidensek során, amikor gyorsan kell döntéseket hozni.
Tartalmaz jelentési mutatók a biztonsági irányítópultokon: az észleléstől a korai figyelmeztetés benyújtásáig eltelt idő, a határidőnek megfelelő incidensek százalékos aránya, a hatóságok válaszideje és a végrehajtott korrekciós intézkedések. Kövesse nyomon ezeket havonta a trendek és a fejlesztési lehetőségek azonosítása érdekében.
Haladni előre
Most már rendelkezik egy teljes keretrendszerrel a NIS2 és a holland törvények szerinti kiberbiztonsági incidensjelentési kötelezettségeinek teljesítéséhez. Tudja, mely szabályozások vonatkoznak a szervezetére, mikor lépik át az incidensek a jelentési küszöbértéket, mely hatóságok kapnak értesítéseket, milyen információkat kell tartalmazniuk az egyes jelentéseknek, és hogyan kell olyan eljárásokat kidolgozni, amelyek nyomás alatt is működnek. A következő lépés a következő: azonnali végrehajtás.
Kezdje azzal, hogy felülvizsgálja jelenlegi incidens-elhárítási tervét az itt vázolt követelmények alapján. Frissítse a tervét osztályozási mátrix, készítse elő a jelentéssablonok, és képezze ki az incidenskezelő csapatát az új munkafolyamatokra. Ütemezzen be első asztali gyakorlatot a következő 30 nap hogy a valódi incidensek előtt tesztelje az eljárásokat. Dokumentáljon mindent, amit létrehoz, hogy csapata szükség esetén azonnal hozzáférhessen.
A kiberbiztonsági jogszabályoknak való megfelelés mindkettőt megköveteli technikai szakértelem és a jogi ismeretekHa segítségre van szüksége annak értelmezéséhez, hogy ezek a szabályozások hogyan vonatkoznak az Ön konkrét helyzetére, kapcsolat Law & More speciális útmutatásért. Csapatuk segít a holland szervezeteknek eligazodni az összetett kiberbiztonsági megfelelőségi követelményekben, és olyan incidensekre való reagálási keretrendszereket kidolgozni, amelyek védik mind a működésüket, mind a jogi helyzetüket.
