Jūsu organizācija konstatē neparastu tīkla aktivitāti. Jūsu IT komanda izmeklē un atrod neatļautu piekļuvi klientu datiem. Jūs ierobežojat apdraudējumu. Tagad rodas steidzams jautājums: vai jums par to jāziņo varas iestādēm? Kam tieši? Kādu informāciju jūs sniedzat? Cik daudz laika jums ir?
Saskaņā ar NIS2 un Nīderlandes likumiem daudzām organizācijām ir jāziņo par kiberdrošības incidentiem valdības iestādēm stingros termiņos. Parasti pēc atklāšanas jums ir 24 līdz 72 stundas. Noteikumos ir norādīts, kura iestāde saņem jūsu ziņojumu, kāda informācija jums ir jāsniedz, un formāta prasības. Ja nokavējat termiņu vai ziņojat nepareizajai iestādei, jums draud ievērojami naudas sodi, piespiedu pasākumi un juridiska atbildība, kas var attiekties arī uz pašu sākotnējo incidentu.
Šajā rokasgrāmatā ir parādīts, kā precīzi izpildīt savus ziņošanas pienākumus. Jūs uzzināsiet, kuri likumi attiecas uz jūsu organizāciju, kad par incidentu ir jāziņo, kurām iestādēm jāziņo katrā posmā, kāda informācija ir nepieciešama katram ziņojumam un kā izveidot procedūras, kas patiešām darbojas. Mēs izlaidīsim juridisko žargonu un pievērsīsimies praktiskiem soļiem, ko varat veikt jau tagad, lai nodrošinātu atbilstību prasībām un aizsargātu savu organizāciju.
Kādi ir jūsu kiberdrošības incidentu ziņošanas pienākumi?
Jūsu kiberdrošības incidentu ziņošanas pienākumi ir atkarīgi no jūsu organizācijas lieluma, nozares un sniegtajiem pakalpojumiem. Būtiskas vienības (enerģētika, transports, banku darbība, veselības aprūpe, kritiskā infrastruktūra) un svarīgas vienības (pasta pakalpojumi, atkritumu apsaimniekošana, digitālie pakalpojumu sniedzēji, pārtikas ražošana) ir obligāti jāziņo saskaņā ar NIS2. Ja jūs pārvaldāt kritisko infrastruktūru vai digitālos pakalpojumus Nīderlandes patērētājiem, jūs gandrīz noteikti atbilstat šiem noteikumiem.
Trīs ziņošanas posmi, kas jums jāpabeidz
Tu seju trīs atsevišķi ziņošanas pienākumi ar dažādiem termiņiem. Jūsu pirmais pienākums sākas laikā 24 stundu noteikšana Būtisks incidents: jūs iesniedzat agrīnu brīdinājumu savai CSIRT (datordrošības incidentu reaģēšanas komandai) vai kompetentajai iestādei. Šajā sākotnējā paziņojumā tiek atzīmēts incidents un norādīts, vai jums ir aizdomas par ļaunprātīgu darbību vai pārrobežu ietekmi.
Ietvaros 72 stundas, jūs iesniedzat savu incidenta paziņojumu. Šajā ziņojumā ir iekļauts jūsu sākotnējais incidenta nopietnības, ietekmes, skarto sistēmu un pieejamo kompromitēšanas rādītāju novērtējums. Jūs sniedzat tehnisku informāciju, kas palīdz iestādēm izprast pārkāpuma apmēru un būtību.
Organizācijām, kas nokavēs šos termiņus, saskaņā ar NIS2 draud naudas sodi līdz 10 miljoniem eiro vai 2% no globālā gada apgrozījuma, atkarībā no tā, kura summa ir lielāka.
Jūsu gala ziņojums ir klāt viena mēneša laikā jūsu incidenta paziņojuma. Šajā visaptverošajā dokumentā ir sīki aprakstīts incidenta pilns apjoms, pamatcēloņu analīze, jūsu īstenotie mazināšanas pasākumi un pārrobežu ietekme. Ja mēneša laikā incidents joprojām tiek risināts, iesniedziet progresa ziņojumu un pēc tam viena mēneša laikā pēc tā atrisināšanas — galīgo ziņojumu.
Papildu pienākumi papildus sākotnējai ziņošanai
Jums arī ir informēt skartās puses kad būtisks incidents ietekmē pakalpojumu saņēmējus. Šis paziņojums tiek sniegts bez liekas kavēšanās un ietver praktiskus pasākumus, ko pakalpojumu saņēmēji var veikt, lai aizsargātu sevi. uzticamības pakalpojumu sniedzēji Konkrētāk, 72 stundu logs tiek saīsināts līdz 24 stundām incidentu gadījumā, kas ietekmē uzticamības pakalpojumus.
Jūsu CSIRT vai kompetentā iestāde atbild 24 stundu laikā pēc agrīnā brīdinājuma saņemšanas, sniedzot sākotnējas atsauksmes un operacionālus norādījumus par mazināšanas pasākumiem.
1. solis. Nosakiet, kuri ES un Nīderlandes tiesību akti uz jums attiecas
Jums ir jānosaka, kurš normatīvajiem aktiem regulējiet savus kiberdrošības incidentu ziņošanas pienākumus pirms incidenta rašanās. NIS2 (Tīklu un informācijas drošības direktīva) ir plaši piemērojama visā Nīderlandē, taču DORA (Digitālās darbības noturības likums) un īpaši Nīderlandes īstenošanas noteikumi izveidot papildu saistības noteiktām nozarēm. Sāciet ar savas organizācijas novērtēšanu atbilstoši katra ietvara kritērijiem.
Pārbaudiet, vai NIS2 attiecas uz jūsu organizāciju.
NIS2 ir piemērojams, ja atbilstat prasībām būtiska vienība or svarīga vienībaBūtiskas struktūras ietver organizācijas enerģētikas, transporta, banku, finanšu tirgus infrastruktūras, veselības aprūpes, dzeramā ūdens, notekūdeņu, digitālās infrastruktūras, valsts pārvaldes un kosmosa jomā. Svarīgas struktūras ietver pasta pakalpojumus, atkritumu apsaimniekošanu, ķīmiskās vielas, pārtikas ražošanu, ražošanu, digitālos pakalpojumu sniedzējus un pētniecības organizācijas.
Jūsu organizācijas lielums ir svarīgs tikai digitālo pakalpojumu sniedzēji (DSP). Jūs ietilpstat NIS2 darbības jomā kā DSP, ja jūs pārvaldāt tiešsaistes tirgu, mākoņpakalpojumu vai meklētājprogrammu ar vismaz 50 darbinieki un nu 10 miljonu eiro gada apgrozījums or 10 miljonu eiro kopējie aktīviVisām pārējām būtiskajām un svarīgajām struktūrām ir saistības neatkarīgi no to lieluma.
Ja jūs pārvaldāt kritisko infrastruktūru vai iepriekš bijāt noteikts saskaņā ar veco TID direktīvu (Wbni), jūs automātiski atbilstat NIS2 prasībām.
Nīderlandes valdība uztur norīkoto iestāžu reģistru. Sazinieties ar savas nozares kompetento iestādi (enerģētikas un digitālās infrastruktūras ziņojums RDI; finanšu pakalpojumi — AFM un DNB; veselības aprūpe — IGJ), lai apstiprinātu savu statusu. Jums tas jāpārbauda. pirms 2026. gada janvāra kad sāksies pastiprināta kontrole.
Noskaidrojiet, vai DORA sedz jūsu finanšu pakalpojumus
DORA attiecas atsevišķi uz finanšu iestādes un IKT pakalpojumu sniedzēji apkalpojot tos. Jūs atbilstat DORA prasībām, ja darbojaties kā kredītiestāde, maksājumu pakalpojumu sniedzējs, apdrošināšanas sabiedrība, ieguldījumu sabiedrība, kriptoaktīvu pakalpojumu sniedzējs vai elektroniskās naudas iestāde. Šī regula darbojas paralēli NIS2 ar savu ziņošanas prasības.
Finanšu pakalpojumu sniedzēji ziņo par būtiskiem incidentiem gan AFM (izmantojot AFM portālu) un DNB (izmantojot My DNB) papildus RDI. Jums ir jāreģistrē arī viss līgumiskas vienošanās ar IKT trešās puses kritiski svarīgām vai kritiskām funkcijām, izmantojot šos portālus, noteiktos laika periodos.
Novērtējiet savas digitālo pakalpojumu sniedzēju saistības
Vbni (Īstenošana holandiešu valodā) rada konkrētus pienākumus, ja jūs sniedzat tiešsaistes tirdzniecības platformas, mākoņdatošana vai meklētājprogrammasJūs ziņojat par incidentiem abiem RDI un CSIRT-DSP (specializētā incidentu reaģēšanas komanda digitālajiem pakalpojumu sniedzējiem). Atšķirībā no būtiskām vienībām citās nozarēs, jums ir jāievēro lieluma ierobežojumi: vairāk nekā 50 darbinieku un apgrozījums vai aktīvi vairāk nekā 10 miljoni eiro.
Uzticamības pakalpojumu sniedzēji saskaras paātrināti termiņi saskaņā ar eIDAS regulu. Jums ir jāziņo par būtiskiem incidentiem, kas ietekmē uzticamības pakalpojumus. 24 stundas nevis standarta 72 stundu logs, kas attiecas uz citām vienībām.
2. solis. Nosakiet, kad incidents ir jāziņo
Lai noteiktu, vai incidents pārsniedz ziņošanas slieksni, ir nepieciešami konkrēti kritēriji. Likums to definē. nozīmīgi incidenti piemēram, tādi, kas rada nopietnus darbības traucējumus, finansiālus zaudējumus vai ievērojamu kaitējumu citiem. Jūsu kiberdrošības incidentu ziņošanas pienākums sākas brīdī, kad atklājat incidentu, kas atbilst šiem kritērijiem, nevis brīdī, kad esat pabeidzis tā izmeklēšanu. Tas nozīmē, ka jums ir jāpieņem ziņošanas lēmumi ātri, bieži vien ar nepilnīgu informāciju.
Novērtējiet nopietnības slieksni jūsu organizācijai
Incidents tiek uzskatīts par būtisku, ja tas traucē jūsu pamatpakalpojumus vai rada ievērojama finansiāla ietekmeNIS2 nodrošina divas galvenās kategorijas: incidentus, kas nopietni traucē jūsu darbību vai rada finansiālus zaudējumus, un incidentus, kas ietekmē citas puses, nodarot ievērojamus materiālus vai nemateriālus zaudējumus. Jūs ziņojat, ja piemērojama jebkura no kategorijām.
Darbības traucējumi nozīmē, ka jūs nevarat sniegt pakalpojumus klientiem, kritiskas sistēmas nedarbojas vai jūs zaudējat piekļuvi svarīgiem datiem. Finansiālie zaudējumi ietver tiešās izmaksas, piemēram, izpirkuma maksājumus, atgūšanas izdevumus, zaudētos ieņēmumus vai normatīvo aktu sodus. Likums nenosaka precīzas eiro robežvērtības, tāpēc jūs veicat novērtējumu, pamatojoties uz jūsu organizācijas lielumu un incidenta relatīvo ietekmi.
Dokumentējiet savus iekšējos sliekšņus pirms incidenta. Tas nodrošina konsekvenci ziņošanas lēmumos un apliecina labticīgu atbilstību prasībām, ja varas iestādes vēlāk apšauba jūsu spriedumu.
Novērtējot nozīmīgumu, ņemiet vērā šādus rādītājus:
- Pakalpojuma pieejamībaVai klienti var piekļūt jūsu pakalpojumiem? Cik ilgi sistēmas nav bijušas pieejamas?
- Datu ticamībaVai ir notikusi nesankcionēta piekļuve? Kuras datu kategorijas tika ietekmētas?
- Ģeogrāfiskais darbības jomaVai incidents ietekmē vairākas vietas vai valstis?
- Ietekme uz klientuCik lietotāju vai saņēmēju saskaras ar pakalpojumu pārtraukumiem?
- Atveseļošanās laiksVai jūs sagaidāt risinājumu dažu stundu, dienu vai nedēļu laikā?
Novērtēt pārrobežu un kaskādes efektus
Jums jāziņo par incidentiem ar iespējamā pārrobežu ietekme pat ja iekšzemes ietekme šķiet neliela. Incidents, kas ietekmē jūsu darbību Nīderlandē, var ietekmēt klientus, partnerus vai piegādes ķēdes citās ES dalībvalstīs. Tas rada ziņošanas pienākumu, jo iestādes koordinē atbildes reakcijas pāri robežām.
Kaskādes efekti vienlīdz svarīgi. Jūsu incidents kļūst ziņojams, ja tas traucē jūsu sniegtos pakalpojumus citām būtiskām vai svarīgām struktūrām, neatkarīgi no tiešas ietekmes uz gala lietotājiem. Piemēram, ja jūs sniedzat mākoņpakalpojumus slimnīcai un jūsu drošības pārkāpums ietekmē tās pacientu sistēmas, jūs ziņojat, pamatojoties uz to darbības ietekmi, nevis tikai uz saviem zaudējumiem.
Uzticamības pakalpojumu sniedzēji saskaras stingrākas robežvērtībasJebkurš incidents, kas ietekmē uzticamības pakalpojumu (digitālo parakstu, sertifikātu, laika zīmogu) sniegšanu, ir nekavējoties jāziņo 24 stundu laikā. Jums nav jāgaida, lai novērtētu, vai ietekme atbilst vispārējiem būtiskuma kritērijiem.
3. solis. Izveidojiet savas incidentu ziņošanas procedūras
Jums ir nepieciešamas dokumentētas procedūras, kas precīzi nosaka, kas ko, kad un kā dara incidenta laikā. Jūsu incidentu reaģēšanas plāns jāiekļauj skaidras ziņošanas darbplūsmas, kas tiek aktivizētas automātiski, kad jūsu komanda atklāj būtisku incidentu. Šīs procedūras pārvērš jūsu kiberdrošības incidentu ziņošanas pienākumus no abstraktām juridiskām prasībām konkrētās darbībās, ko jūsu darbinieki var veikt spiediena apstākļos.
Izveidojiet savu incidentu klasifikācijas matricu
Jūsu klasifikācijas matrica palīdz incidentu reaģēšanas darbinieki Nosakiet ziņošanas prasības dažu minūšu laikā pēc atklāšanas. Izveidojiet tabulu, kurā incidentu veidi un smaguma līmeņi ir saistīti ar ziņošanas pienākumiem, termiņiem un saņēmēju iestādēm. Tas novērš minējumus un nodrošina konsekventu lēmumu pieņemšanu visā jūsu organizācijā.
| Incidenta veids | Smagums | Ziņot kam | Sākotnējais termiņš | Paziņojums par incidentiem |
|---|---|---|---|---|
| Neautorizēta piekļuve klientu datiem | augsts | RDI + CSIRT | 24 stundas | 72 stundas |
| Izspiedējvīrusi, kas ietekmē pamatsistēmas | Kritisks | RDI + CSIRT + NCSC | 24 stundas | 72 stundas |
| DDoS traucē sabiedrisko pakalpojumu sniegšanu | augsts | RDI + CSIRT | 24 stundas | 72 stundas |
| Uzticamības pakalpojuma kompromitēšana (ja piemērojams) | Kritisks | RDI + CSIRT | 24 stundas | 24 stundas |
| Finanšu pakalpojumu incidents (DORA) | augsts | RDI + AFM + DNB | 24 stundas | 72 stundas |
Atjauniniet šo matricu ikreiz, kad noteikumu izmaiņas vai jūsu organizācija pievieno jaunus pakalpojumus. Pārbaudiet to reizi ceturksnī, izmantojot reālistiskus scenārijus, lai noteiktu nepilnības vai neskaidrības.
Izveidojiet savu paziņojumu darbplūsmu
Jūsu darbplūsmā ir jānorāda precīza secība darbību apkopošana no incidenta atklāšanas līdz galīgajai ziņošanai. Dokumentējiet, kas ierosina ziņošanu, kas pārskata un apstiprina paziņojumus, kas tos iesniedz un kas uztur kontaktus ar iestādēm. Katrai lomai norīkojiet rezerves personālu prombūtnes aizvietošanai.
Jūsu darbplūsmā jāpieņem, ka incidenti notiek ārpus darba laika, kad augstākā vadība, iespējams, nav nekavējoties pieejama. Iestrādājiet apstiprināšanas mehānismus, kas novērš kavēšanos.
Izveidot kontrolsaraksta formāts jūsu komanda seko:
- Konstatēts incidents: Drošības komandas vadītājs 2 stundu laikā veic novērtējumu, izmantojot klasifikācijas matricu
- Ziņojams incidents apstiprināts: CISO nekavējoties informēts, sāk agrīnās brīdināšanas sagatavošanu
- Agrīnās brīdināšanas plāns: Iekļaut incidenta veidu, atklāšanas laiku, iespējamo cēloni, iespējamo pārrobežu ietekmi
- Juridiskā pārskatīšana: Juridiskais konsultants pārskata melnrakstu 4 stundu laikā, lai pārliecinātos par tā precizitāti un pilnīgumu.
- Iesniegšana: CISO vai delegāts iesniedz, izmantojot oficiālo portālu, 24 stundu laikā
- Iestādes atbilde: Drošības komanda ievieš saņemtos norādījumus 24 stundu laikā
- Paziņojums par incidentu: Tehniskā komanda sagatavo detalizētu novērtējumu līdz 60 stundu atzīmei
- Galīgais iesniegums: Pilnīga dokumentācija iesniegta pirms 72 stundu termiņa
Sagatavojiet pārskatu veidnes katram posmam
Veidnes nodrošina jūsu ziņojumi satur visu nepieciešamo informāciju vienlaikus samazinot sagatavošanās laiku. Izveidojiet atsevišķas veidnes agrīnās brīdināšanas, incidentu paziņošanas un galīgā ziņojuma veidnēm, kurās ir iekļauti visi obligātie lauki, ko noteikušas NIS2 un Nīderlandes iestādes.
Jūsu agrīnās brīdināšanas veidnē ir jāiekļauj: noteikšanas laika zīmogs, incidenta kategorija, skarto sistēmu kopsavilkums, aizdomas par ļaunprātīgu darbību indikators (jā/nē), pārrobežu ietekmes indikators (jā/nē), galvenā kontaktinformācija. Jūsu incidenta paziņojumā ir pievienots: nopietnības novērtējums, ietekmes apjoms, skarto lietotāju skaits, kompromitēšanas indikatori, veiktie sākotnējie mazināšanas pasākumi. Noslēguma ziņojumos ir iekļauts: pilns incidenta laika grafiks, pamatcēloņu analīze, pilns ietekmes novērtējums, ieviestie drošības pasākumi, gūtās atziņas, preventīvie ieteikumi.
Saglabāt šīs veidnes kā aizpildāmas veidlapas jūsu komanda var tiem nekavējoties piekļūt. Saglabājiet tos incidentu reaģēšanas platformā, drošības wiki un bezsaistes dublējumos, lai nodrošinātu pieejamību sistēmas darbības pārtraukumu laikā.
4. solis. Integrējiet ziņošanu apmācībā un pārvaldībā
Jūsu ziņošanas procedūras neizdoties, ja darbinieki nesaprot savas lomas vai ja pārvaldības struktūras neatbalsta ātru lēmumu pieņemšanu. Jums ir nepieciešams sistemātiska apmācība un valdes līmeņa uzraudzība lai nodrošinātu, ka jūsu organizācija vienmēr pareizi pilda savus kiberdrošības incidentu ziņošanas pienākumus. Tas nozīmē ziņošanas pienākumu integrēšanu jūsu esošajās drošības apmācību programmās un skaidras atbildības izveidi pārvaldības līmenī.
Apmāciet visus darbiniekus atklāšanas un eskalācijas jautājumos
Jums ir jāapmāca visi darbinieki lai atpazītu potenciālus drošības incidentus un precīzi zinātu, kā tos nodot tālāk. Jūsu tehniskajam personālam ir nepieciešama detalizēta apmācība par klasifikācijas matricu un ziņošanas darbplūsmām, bet netehniskajiem darbiniekiem ir nepieciešama vienkāršāka vadība, kas koncentrējas uz neparastas darbības pamanīšanu un tūlītēju saziņu ar pareizajām personām.
skrējiens ceturkšņa galda vingrinājumi kas simulē reālistiskus incidentus, par kuriem jāziņo. Izvadiet savu incidentu reaģēšanas komandu cauri visam procesam, sākot no atklāšanas līdz galīgā ziņojuma iesniegšanai. Izmantojiet šos vingrinājumus, lai identificētu procedūras nepilnības, pārbaudītu veidnes un pārliecinātos, ka rezerves personāls saprot savas lomas. Dokumentējiet pēc katra vingrinājuma gūtās atziņas un attiecīgi atjauniniet savas procedūras.
Drošības izpratnes apmācībās vispārējam personālam jāiekļauj šie ziņošanas pamatprincipi:
- Kas ir potenciāls drošības incidents (neparasti e-pasti, neatļauti piekļuves mēģinājumi, trūkstoši dati)
- Ar ko nekavējoties sazināties (sniedziet savas drošības komandas kontaktinformāciju, kas pieejama visu diennakti)
- Ko nedarīt (nemēģiniet pats veikt izmeklēšanu, nedzēsiet pierādījumus, negaidiet līdz pirmdienai)
- Kāpēc ātrums ir svarīgs (normatīvie termiņi sākas brīdī, kad incidenti tiek atklāti, nevis ziņots)
Apmāciet darbiniekus, ka aizdomīgu darbību atklāšana un ziņošana nekavējoties aizsargā gan organizāciju, gan viņus pašus no atbildība, ne tikai atbilst atbilstības prasībām.
Integrēt ziņošanu esošajā pārvaldībā
Jūsu valdes un vadības nepieciešamība regulāri atjauninājumi par incidentu ziņošanas iespējām un faktiskajiem incidentiem. Plānojiet ceturkšņa pārvaldības pārskatus, kuros aplūkotas jūsu ziņošanas procedūras, visi notikušie incidenti, saņemtās iestāžu atbildes un ieviestie procedūru uzlabojumi. Tas rada atbildību un nodrošina, ka vadība izprot ziņošanas pienākumus.
Piešķirt a konkrēta izpilddirektora atbildība par incidentu ziņošanas atbilstību prasībām. Šī persona (parasti jūsu CISO vai galvenais risku direktors) ziņo tieši valdei par sagatavotību, uztur attiecības ar kompetentajām iestādēm un ir atbildīga par ziņošanas rīku un apmācību budžetu. Skaidra atbildība novērš neskaidrības faktisko incidentu laikā, kad lēmumi jāpieņem ātri.
Ietvert ziņošanas metrikas Jūsu drošības informācijas paneļos: laiks no atklāšanas līdz agrīnās brīdināšanas iesniegšanai, incidentu procentuālā daļa, kas atbilst termiņa prasībām, iestāžu reakcijas laiki un paveiktās korektīvās darbības. Sekojiet šiem rādītājiem katru mēnesi, lai noteiktu tendences un uzlabošanas iespējas.
Virzās uz priekšu
Tagad jums ir pilnīga sistēma kiberdrošības incidentu ziņošanas pienākumu izpildei saskaņā ar NIS2 un Nīderlandes tiesību aktiem. Jūs zināt, kuri noteikumi attiecas uz jūsu organizāciju, kad incidenti pārsniedz ziņošanas slieksni, kuras iestādes saņem paziņojumus, kāda informācija jāietver katrā ziņojumā un kā izveidot procedūras, kas darbojas spiediena apstākļos. Jūsu nākamais solis ir tūlītēja īstenošana.
Sāciet, pārskatot savu pašreizējo incidentu reaģēšanas plānu atbilstoši šeit izklāstītajām prasībām. Atjauniniet savu klasifikācijas matrica, sagatavojiet savu pārskatu veidnesun apmāciet savu incidentu reaģēšanas komandu jaunajās darbplūsmās. Ieplānojiet savu pirmo galda spēles vingrinājumu nākamās 30 dienas lai pārbaudītu procedūras pirms reāla incidenta. Dokumentējiet visu, ko izveidojat, lai jūsu komanda varētu tam nekavējoties piekļūt, kad tas nepieciešams.
Atbilstība tiesību aktiem kiberdrošības jomā prasa abus tehniskā ekspertīze un juridiskās zināšanasJa jums nepieciešama palīdzība, lai interpretētu, kā šie noteikumi attiecas uz jūsu konkrēto situāciju, kontakts Law & More lai saņemtu specializētu palīdzību. Viņu komanda palīdz Nīderlandes organizācijām orientēties sarežģītās kiberdrošības atbilstības prasībās un izveidot incidentu reaģēšanas sistēmas, kas aizsargā gan jūsu darbības, gan juridisko statusu.
