Вашата организација открива невообичаена мрежна активност. Вашиот ИТ тим истражува и открива неовластен пристап до податоците на клиентите. Ја локализирате заканата. Сега се поставува итно прашање: дали треба да го пријавите ова на властите? Кому точно? Кои информации давате? Колку време имате?
Според NIS2 и холандскиот закон, многу организации мора да ги пријават инцидентите поврзани со сајбер безбедноста до владините органи во строги рокови. Обично имате помеѓу 24 и 72 часа по откривањето. Прописите наведуваат кој орган го прима вашиот извештај, кои информации мора да ги доставите и барањата за формат. Доколку го пропуштите рокот или поднесете извештај до погрешно тело, ќе се соочите со значителни казни, мерки за спроведување и правна одговорност што може да се протега подалеку од самиот почетен инцидент.
Ова упатство ви покажува точно како да ги исполните вашите обврски за известување. Ќе научите кои закони важат за вашата организација, кога инцидентот бара известување, кои органи да ги известите во секоја фаза, какви информации се потребни за секој извештај и како да изградите процедури што всушност функционираат. Ќе го прескокнеме правниот жаргон и ќе се фокусираме на практичните чекори што можете да ги преземете веднаш за да останете во согласност со прописите и да ја заштитите вашата организација.
Кои се вашите должности за пријавување инциденти во сајбер безбедноста?
Вашите должности за пријавување инциденти во врска со сајбер безбедноста зависат од големината на вашата организација, секторот и услугите што ги нудите. Суштински ентитети (енергија, транспорт, банкарство, здравствена заштита, критична инфраструктура) и важни субјекти (поштенски услуги, управување со отпад, дигитални добавувачи, производство на храна) се соочуваат со задолжително известување според NIS2. Ако управувате со критична инфраструктура или дигитални услуги за холандски потрошувачи, речиси сигурно спаѓате под овие правила.
Трите фази на известување што мора да ги завршите
Се соочувате три одделни обврски за известување со различни рокови. Вашата прва должност започнува во рок од 24 часа откривање значаен инцидент: поднесувате рано предупредување до вашиот CSIRT (Тим за одговор на инциденти поврзани со компјутерска безбедност) или надлежен орган. Ова првично известување го означува инцидентот и укажува дали се сомневате на злонамерна активност или прекугранично влијание.
Во рок од 72 часа, го поднесувате вашето известување за инцидентот. Овој извештај ја вклучува вашата почетна проценка на сериозноста, влијанието, засегнатите системи и достапните индикатори за компромитирање. Вие давате технички детали што им помагаат на властите да го разберат обемот и природата на прекршувањето.
Организациите што ќе ги пропуштат овие рокови се соочуваат со казни до 10 милиони евра или 2% од глобалниот годишен промет според NIS2, кое од двете е поголемо.
Вашиот последен извештај пристигнува во рок од еден месец на вашето известување за инцидентот. Овој сеопфатен документ ги детализира целосниот опсег на инцидентот, анализата на основната причина, мерките за ублажување што ги спроведовте и прекуграничните ефекти. Доколку сè уште го работите инцидентот кога ќе истече месецот, поднесувате извештај за напредокот, а потоа и конечен извештај во рок од еден месец од решавањето.
Дополнителни должности покрај првичното известување
Вие исто така мора информирајте ги засегнатите страни кога значаен инцидент влијае на корисниците на услуги. Ова известување се случува без непотребно одложување и вклучува практични чекори што корисниците можат да ги преземат за да се заштитат себеси. даватели на доверливи услуги поточно, прозорецот од 72 часа се скратува на 24 часа за инциденти што влијаат на доверливите услуги.
Вашиот CSIRT или надлежен орган одговара во рок од 24 часа од приемот на вашето рано предупредување, обезбедувајќи почетни повратни информации и оперативни упатства за мерките за ублажување.
Чекор 1. Идентификувајте кои закони на ЕУ и Холандија важат за вас
Треба да одредите кој регулаторни рамки регулирајте ги вашите должности за пријавување инциденти во сајбер безбедноста пред да се случи инцидентот. NIS2 (Директивата за безбедност на мрежи и информации) се применува широко низ цела Холандија, но Дора (Закон за дигитална оперативна отпорност) и специфични холандски правила за имплементација креирајте дополнителни обврски за одредени сектори. Започнете со евалуација на вашата организација според критериумите на секоја рамка.
Проверете дали NIS2 важи за вашата организација
NIS2 важи ако се квалификувате како суштински ентитет or важен ентитетОсновните субјекти вклучуваат организации од енергетиката, транспортот, банкарството, инфраструктурата на финансискиот пазар, здравството, водата за пиење, отпадните води, дигиталната инфраструктура, јавната администрација и вселената. Важните субјекти опфаќаат поштенски услуги, управување со отпад, хемикалии, производство на храна, производство, дигитални добавувачи и истражувачки организации.
Големината на вашата организација е важна само за даватели на дигитални услуги (DSP). Вие спаѓате под NIS2 како DSP ако управувате со онлајн пазар, услуга во облак или пребарувач со најмалку вработените 50 и или 10 милиони евра годишен обрт or 10 милиони евра вкупна активаСите други суштински и важни субјекти се соочуваат со обврски без оглед на големината.
Ако управувате со критична инфраструктура или претходно сте биле назначени според старата Директива за NIS (Wbni), автоматски се квалификувате според NIS2.
Холандската влада води регистар на назначени субјекти. Проверете кај надлежниот орган на вашиот сектор (извештај за енергетска и дигитална инфраструктура до RDI; финансиски услуги до AFM и DNB; здравствена заштита до IGJ) за да го потврдите вашиот статус. Треба да го потврдите ова. пред јануари 2026 кога ќе започне засиленото спроведување.
Утврдете дали DORA ги покрива вашите финансиски услуги
DORA се однесува одделно на финансиски институции Даватели на ИКТ услуги им служи. Вие спаѓате под DORA ако работите како кредитна институција, давател на услуги за плаќање, осигурителна компанија, инвестициска фирма, давател на услуги за крипто-средства или институција за електронски пари. Оваа регулатива важи паралелно со NIS2 со свои барања за известување.
Давателите на финансиски услуги пријавуваат значајни инциденти и на двете страни AFM (преку AFM порталот) и DNB (преку My DNB) покрај RDI. Исто така, мора да ги регистрирате сите договорни договори со ИКТ трети страни за критични или важни функции преку овие портали во рамките на одредени временски рамки.
Проценете ги обврските на вашиот давател на дигитални услуги
Вбни (Холандска имплементација) создава специфични должности ако обезбедите онлајн пазари, cloud computing или пребарувачи. Пријавувате инциденти на двајцата RDI CSIRT-DSP (специјализиран тим за одговор на инциденти за дигитални даватели на услуги). За разлика од основните субјекти во другите сектори, се соочувате со прагови на големина: 50+ вработени и 10+ милиони евра промет или средства.
Давателите на услуги за доверба се соочуваат со забрзани рокови според регулативата eIDAS. Мора да пријавите значајни инциденти што влијаат на доверливите услуги во рамките на 24 часа наместо стандардниот 72-часовен прозорец што важи за други субјекти.
Чекор 2. Дефинирајте кога инцидентот е предмет на пријавување
Потребни ви се конкретни критериуми за да утврдите дали инцидентот го надминува прагот за пријавување. Законот дефинира значајни инциденти како оние што предизвикуваат сериозни оперативни нарушувања, финансиски загуби или значителна штета на други. Вашите должности за пријавување инциденти во сајбер безбедноста започнуваат кога ќе откриете инцидент што ги исполнува овие критериуми, а не кога ќе завршите со неговото истражување. Ова значи дека мора брзо да донесувате одлуки за пријавување, честопати со нецелосни информации.
Проценете го прагот на сериозност за вашата организација
Инцидентот се квалификува како значаен кога ги нарушува вашите основни услуги или создава значителен финансиски импактNIS2 обезбедува две главни категории: инциденти што сериозно го нарушуваат вашето работење или предизвикуваат финансиска загуба и инциденти што влијаат на други страни со предизвикување значителна материјална или нематеријална штета. Вие известувате кога се применува која било од категориите.
Оперативниот прекин значи дека не можете да им испорачувате услуги на клиентите, критичните системи откажуваат или го губите пристапот до основните податоци. Финансиската загуба вклучува директни трошоци како што се плаќања откуп, трошоци за наплата, изгубени приходи или регулаторни казни. Законот не ги специфицира точните прагови во евра, па затоа проценувате врз основа на големината на вашата организација и релативното влијание на инцидентот.
Документирајте ги вашите внатрешни прагови пред да се случи инцидент. Ова создава конзистентност во одлуките за пријавување и демонстрира усогласеност со правилата во добра намера доколку властите подоцна го доведат во прашање вашиот суд.
Разгледајте ги овие индикатори при проценка на значајноста:
- Достапност на услугатаДали клиентите можат да пристапат до вашите услуги? Колку долго системите не работат?
- Интегритет на податоцитеДали се случил неовластен пристап? Кои категории на податоци беа засегнати?
- Географски опфатДали инцидентот влијае на повеќе локации или земји?
- Влијание на клиентотКолку корисници или приматели се соочуваат со прекин на услугата?
- Време на обновувањеДали очекувате решение за неколку часа, денови или недели?
Оценете ги прекуграничните и каскадните ефекти
Мора да пријавите инциденти со потенцијално прекугранично влијание дури и кога домашните ефекти изгледаат мали. Инцидент што влијае на вашите холандски операции може да влијае на клиентите, партнерите или на синџирот на снабдување во други земји-членки на ЕУ. Ова ги активира обврските за известување бидејќи властите ги координираат одговорите преку границите.
Каскадни ефекти подеднакво важно. Вашиот инцидент станува предмет на пријавување кога ги нарушува услугите што ги обезбедувате на други основни или важни субјекти, без оглед на директното влијание врз крајните корисници. На пример, ако снабдувате cloud услуги на болница и вашето нарушување на безбедноста влијае на нивните системи за пациенти, вие известувате врз основа на нивното оперативно влијание, а не само на вашите сопствени загуби.
Давателите на услуги за доверба се соочуваат со построги праговиСекој инцидент што влијае на обезбедувањето доверливи услуги (дигитални потписи, сертификати, временски печати) бара итно пријавување во рок од 24 часа. Не чекате да процените дали влијанието ги исполнува општите критериуми за значајност.
Чекор 3. Креирајте ги вашите процедури за пријавување инциденти
Потребни ви се документирани процедури што точно наведуваат кој што прави, кога и како за време на инцидент. план за одговор на инциденти мора да вклучува јасни работни процеси за известување кои се активираат автоматски кога вашиот тим ќе открие значаен инцидент. Овие процедури ги преведуваат вашите должности за пријавување инциденти во сајбер безбедноста од апстрактни законски барања во конкретни дејствија што вашиот персонал може да ги изврши под притисок.
Изградете ја вашата матрица за класификација на инциденти
Вашата матрица за класификација помага реагирачи на инциденти утврдете ги барањата за известување во рок од неколку минути од откривањето. Создадете табела што ги мапира типовите на инциденти и нивоата на сериозност со обврските за известување, роковите и органите на примачот. Ова ги отстранува претпоставките и обезбедува конзистентни одлуки низ целата ваша организација.
| Тип на инцидент | Сериозност | Пријави до | Првичен рок | Известување за инцидент |
|---|---|---|---|---|
| Неовластен пристап до податоците на клиентите | Високо | RDI + CSIRT | 24 часа | 72 часа |
| Ransomware влијае на основните системи | Критички | RDI + CSIRT + NCSC | 24 часа | 72 часа |
| DDoS ги нарушува јавните услуги | Високо | RDI + CSIRT | 24 часа | 72 часа |
| Компромитирање на доверлива услуга (доколку е применливо) | Критички | RDI + CSIRT | 24 часа | 24 часа |
| Инцидент со финансиски услуги (DORA) | Високо | RDI + AFM + DNB | 24 часа | 72 часа |
Ажурирај ја оваа матрица секогаш кога промена на прописите или вашата организација додава нови услуги. Тестирајте го квартално користејќи реални сценарија за да идентификувате празнини или точки на конфузија.
Дизајнирајте го вашиот работен тек за известувања
Вашиот работен тек мора да го специфицира точна секвенца на активности од откривање на инциденти до конечно известување. Документирајте кој го иницира известувањето, кој ги разгледува и одобрува известувањата, кој ги поднесува и кој одржува контакт со властите. Назначете резервен персонал за секоја улога за покривање на отсуствата.
Вашиот работен тек треба да претпостави дека инцидентите се случуваат надвор од работното време кога вишиот менаџмент можеби не е веднаш достапен. Вградете механизми за одобрување што спречуваат одложувања.
Креирај формат на контролна листа твојот тим следи:
- Откриен инцидент: Раководителот на безбедносниот тим врши проценка според матрицата за класификација во рок од 2 часа
- Потврден е инцидент што може да се пријави: CISO веднаш е известен, започнува подготовка за рано предупредување
- Изготвено рано предупредување: Вклучете го типот на инцидент, времето на откривање, сомнителната причина, потенцијалното прекугранично влијание
- Правен преглед: Правниот советник го прегледува нацртот во рок од 4 часа за точност и комплетност.
- Поднесување: CISO или делегатот поднесува преку официјален портал во рок од 24 часа
- Одговор од властите: Безбедносниот тим ги спроведува упатствата добиени во рок од 24 часа
- Известување за инцидент: Техничкиот тим подготвува детална проценка до 60 часа
- Конечно поднесување: Комплетна документација поднесена пред крајниот рок од 72 часа
Подгответе обрасци за извештаи за секоја фаза
Шаблоните го обезбедуваат вашето извештаите ги содржат сите потребни информации а воедно и намалување на времето за подготовка. Создадете посебни шаблони за вашиот извештај за рано предупредување, известување за инциденти и конечен извештај што ги вклучуваат сите задолжителни полиња наведени од NIS2 и холандските власти.
Вашиот шаблон за рано предупредување бара: временска ознака за откривање, категорија на инцидент, резиме на засегнатите системи, индикатор за сомнителна злонамерна активност (да/не), индикатор за прекугранично влијание (да/не), примарни контакт информации. Вашето известување за инцидентот додава: проценка на сериозноста, обем на влијанието, број на засегнати корисници, индикатори за компромитирање, преземени почетни чекори за ублажување. Конечните извештаи вклучуваат: комплетна временска рамка за инцидентот, анализа на основната причина, целосна проценка на влијанието, имплементирани безбедносни мерки, научени лекции, превентивни препораки.
Зачувајте ги овие шаблони како пополнети формулари Вашиот тим може веднаш да пристапи до нив. Чувајте ги на вашата платформа за одговор на инциденти, безбедносно вики и офлајн резервни копии за да обезбедите достапност за време на прекини на системот.
Чекор 4. Вградување на известувањето во обуката и управувањето
вашиот процедури за известување не успеваат ако персоналот не ги разбира своите улоги или ако структурите на управување не поддржуваат брзо донесување одлуки. Ви треба систематска обука надзор на ниво на одбор за да се осигурате дека вашата организација ги извршува своите должности за пријавување инциденти во сајбер безбедноста правилно секој пат. Ова значи интегрирање на обврските за пријавување во вашите постоечки програми за обука за безбедност и создавање јасна одговорност на ниво на управување.
Обучете го целиот персонал за откривање и ескалација
Мора да тренираш сите вработени да препознаете потенцијални безбедносни инциденти и точно да знаете како да ги ескалирате. На вашиот технички персонал му е потребна детална обука за матрицата за класификација и работните процеси за известување, но на вработените кои не се од технички аспект им се потребни поедноставни упатства фокусирани на забележување на необична активност и веднаш контактирање со вистинските луѓе.
Испратена квартални вежби на маса кои симулираат реални инциденти за кои е потребно известување. Водете го вашиот тим за одговор на инциденти низ целиот процес, од откривање до поднесување на конечниот извештај. Користете ги овие вежби за да идентификувате процедурални празнини, да ги тестирате вашите шаблони и да потврдите дека резервниот персонал ги разбира своите улоги. Документирајте ги научените лекции по секоја вежба и ажурирајте ги вашите процедури соодветно.
Обуката за безбедносна свест за општиот персонал треба да ги опфати овие основни работи за известување:
- Што претставува потенцијален безбедносен инцидент (невообичаени е-пораки, неовластени обиди за пристап, недостасуваат податоци)
- Кого да контактирате веднаш (обезбедете контакт информации за вашиот тим за безбедност 24/7)
- Што не треба да правите (не обидувајте се сами да истражувате, не бришете докази, не чекајте до понеделник)
- Зошто брзината е важна (регулаторните рокови започнуваат кога инцидентите се откриваат, а не се пријавуваат)
Обучете го персоналот дека откривањето и пријавувањето на сомнителни активности веднаш ќе ги заштити и организацијата и самите нив од одговорност, не само што ги исполнува барањата за усогласеност.
Интегрирајте го известувањето во постојното управување
Вашиот одбор и извршното раководство имаат потреба редовни ажурирања за можностите за пријавување инциденти и реалните инциденти. Закажете квартални прегледи на управувањето што ги опфаќаат вашите процедури за пријавување, сите инциденти што се случиле, примените одговори од властите и спроведените процедурални подобрувања. Ова создава одговорност и осигурува дека раководството ги разбира обврските за пријавување.
Доделете а специфичен извршен директор одговорност за усогласеност со пријавувањето инциденти. Ова лице (обично вашиот CISO или главен директор за ризик) известува директно до одборот за подготвеноста, одржува односи со надлежните органи и е сопственик на буџетот за алатки за пријавување и обука. Јасното сопствеништво спречува забуна за време на реални инциденти кога одлуките мора брзо да се донесат.
Вклучи метрика за известување во вашите безбедносни контролни табли: време од откривање до поднесување на рано предупредување, процент на инциденти што ги исполнуваат роковите, време на одговор од надлежните органи и завршени корективни мерки. Следете ги овие месечно за да идентификувате трендови и можности за подобрување.
Се движат напред
Сега имате комплетна рамка за исполнување на вашите обврски за пријавување инциденти во врска со сајбер безбедноста според NIS2 и холандскиот закон. Знаете кои регулативи важат за вашата организација, кога инцидентите го преминуваат прагот за пријавување, кои органи добиваат известувања, какви информации мора да содржи секој извештај и како да изградите процедури што функционираат под притисок. Вашиот следен чекор е итна имплементација.
Започнете со преглед на вашиот тековен план за одговор на инциденти во однос на барањата наведени овде. Ажурирајте го вашиот матрица за класификација, подгответе ја вашата шаблони за извештаии обучете го вашиот тим за одговор на инциденти за новите работни процеси. Закажете ја вашата прва вежба на маса во рамките на следните 30 дена да тестирате процедури пред да се случи вистински инцидент. Документирајте сè што креирате за вашиот тим да може веднаш да пристапи до него кога ќе биде потребно.
Усогласеноста со законите во сајбер безбедноста бара и двете техничка експертиза правни знаењаДоколку ви е потребна помош за толкување на тоа како овие прописи се применуваат на вашата специфична ситуација, да не контактирате Law & More за специјализирано водство. Нивниот тим им помага на холандските организации да се снајдат во сложените барања за усогласеност со сајбер безбедноста и да изградат рамки за одговор на инциденти што ги штитат и вашите операции и вашиот правен статус.
