Aké oznamovacie povinnosti prináša NIS2 ?

Aktualita
July 7, 2024
Aké oznamovacie povinnosti prináša NIS2 ?

Aké informácie a komu treba hlásiť pri významných incidentoch?

Riadenie bezpečnostných incidentov je jedna z najdôležitejších bezpečnostných domén, ktorú každá efektívne riadená organizácia chce (a často aj musí) manažovať. Riešenie vzniknutej situácie zabraňuje zvyšovaniu dopadov nechceného kybernetického útoku na infraštruktúru a informačné systémy organizácie. Preto medzi povinnosti subjektov spadá aj táto doména, ku ktorej NIS2 ako aj lokálna regulácia pozná povinnosti nahlasovania závažných bezpečnostných incidentov príslušnému orgánu.

Medzi nové povinnosti plynúce zo smernice NIS2 môžeme teda zaradiť aj nasledovné:

  • Včasné varovanie pre záväzný bezpečnostný incident, ktoré je podľa čl 23 ods. 4 písm. a) bez zbytočného odkladu a v každom prípade do 24 hodín od oboznámenia sa s ním potrebné zaslať CSIRT. Informácia by mala obsahovať, či existuje podozrenie, že závažný bezpečnostný incident bol spôsobený nezákonnými alebo zlomyseľnými činmi alebo by mohol mať cezhraničný dosah.
  • Oznámenie o závažnom incidente, ktoré je podľa  čl. 23, ods. 4, písmeno b) bez zbytočného odkladu a v každom prípade do 72 hodín od oboznámenia sa s významným incidentom zaslať CSIRT. Informácia by mala obsahovať počiatočné hodnotenie významného incidentu vrátane jeho závažnosti a dopadu, ako aj indikátory kompromitácie, ak sú k dispozícii.
  • Priebežná správa pre významný incident, ktorú podľa čl. 23 ods. 4 písm. c) na požiadanie je potrebné zaslať CSIRT. Správa by mala obsahovať relevantnú aktualizáciu stavu.
  • Záverečnú správu o významnom incidente, ktorú podľa čl. 23 ods. 4 písm. d) najneskôr do jedného mesiaca od podania oznámenia o incidente zaslať CSIRT. Informácia v správe by mala obsahovať:
    • podrobný popis incidentu vrátane jeho závažnosti a dopadu;
    • typ hrozby alebo základnej príčiny, ktorá pravdepodobne spustila incident;
    • uplatňované a prebiehajúce zmierňujúce opatrenia;
    • prípadne cezhraničný vplyv incidentu
  • Správa o priebehu významného incidentu, ktorú podľa čl. 23 ods. 4 písm. e) v priebehu riešenia prebiehajúceho incidentov zaslať CSIRT. Nie je však definovaná špecifikácia, čo by mala obsahovať a organizácia môže poskytnúť aktuálne informácie o incidente.

Okrem incidentov sa zavádza ešte nové oznámenie pre príjemcov služieb, ktorí sú potenciálne ovplyvnení významnou kybernetickou hrozbou, aby podľa čl. 23 ods. 2 bez zbytočného odkladu zaslali upozornenie na významný incident pre príjemcov služieb. Oznámenie by malo obsahovať akékoľvek opatrenia alebo nápravné opatrenia, ktoré sú títo príjemcovia schopní prijať v reakcii na túto hrozbu; ale tiež slúži na informovanie príjemcov o samotnej významnej kybernetickej hrozbe.

NIS2 novinky

Chcete byť informovaný o novinkách v smernici NIS2? Zadajte Váš e-mail a prihláste sa na odber najnovších informácií, exkluzívnych článkov a pozvánok na odborné workshopy.

Ďakujeme za Váš záujem!
Oops! E-mail má nesprávny tvar.