Fyrirtækið þitt greinir óvenjulega netvirkni. Upplýsingatækniteymið þitt rannsakar og finnur óheimilan aðgang að gögnum viðskiptavina. Þú hefur taumhald á ógninni. Nú kemur að brýnni spurningu: þarftu að tilkynna þetta til yfirvalda? Hverjum nákvæmlega? Hvaða upplýsingar gefur þú upp? Hversu mikinn tíma hefur þú?
Samkvæmt NIS2 og hollenskum lögum verða margar stofnanir að tilkynna netöryggisatvik til stjórnvalda innan strangs tímafrests. Þú hefur venjulega á bilinu 24 til 72 klukkustundir eftir að atvikið var uppgötvað. Reglugerðirnar tilgreina hvaða yfirvald tekur við tilkynningunni þinni, hvaða upplýsingar þú verður að veita og kröfur um snið. Ef þú missir af frestinum eða tilkynnir til rangrar aðila áttu yfir höfði þér veruleg sektarábyrgð, aðgerða og lagalega ábyrgð sem getur náð lengra en upphaflega atvikið sjálft.
Þessi handbók sýnir þér nákvæmlega hvernig þú getur uppfyllt tilkynningarskyldu þína. Þú munt læra hvaða lög gilda um fyrirtækið þitt, hvenær atvik krefst tilkynningar, hvaða yfirvöldum á að tilkynna á hverju stigi, hvaða upplýsingar hver tilkynning þarfnast og hvernig á að byggja upp verklagsreglur sem virka í raun. Við munum sleppa lagalegu fagmáli og einbeita okkur að hagnýtum skrefum sem þú getur gripið til núna til að fylgja reglum og vernda fyrirtækið þitt.
Hverjar eru skyldur þínar til að tilkynna netöryggisatvik
Skyldur þínar varðandi tilkynningar um netöryggisatvik fer eftir stærð fyrirtækisins, geira þess og þjónustu sem það veitir. Nauðsynlegir aðilar (orka, samgöngur, bankastarfsemi, heilbrigðisþjónusta, mikilvægur innviður) og mikilvægir aðilar (póstþjónusta, sorphirða, stafrænir þjónustuaðilar, matvælaframleiðsla) þurfa að skila skýrslum samkvæmt NIS2. Ef þú rekur mikilvægan innviði eða stafræna þjónustu fyrir hollenska neytendur, þá fellur þú næstum örugglega undir þessar reglur.
Þrjú skýrslugerðarstig sem þú verður að ljúka
Þú andlit þrjár aðskildar skýrsluskyldur með mismunandi frestum. Fyrsta verkefni þitt hefst innan 24 klukkustunda uppgötvun alvarlegt atvik: þú sendir snemmbúna viðvörun til CSIRT (viðbragðsteymis vegna tölvuöryggisatvika) eða lögbærs yfirvalds. Þessi upphaflega tilkynning merkir atvikið og gefur til kynna hvort þú grunar illgjarn athæfi eða áhrif yfir landamæri.
Innan 72 klukkustundir, þú sendir inn tilkynningu þína um atvikið. Þessi skýrsla inniheldur upphaflegt mat þitt á alvarleika, áhrifum, kerfum sem hafa orðið fyrir áhrifum og tiltækum vísbendingum um að brotið hafi verið í hættu. Þú veitir tæknilegar upplýsingar sem hjálpa yfirvöldum að skilja umfang og eðli brotsins.
Fyrirtæki sem bregðast þessum frestum geta átt yfir höfði sér sektir allt að 10 milljónum evra eða 2% af alþjóðlegri ársveltu samkvæmt NIS2, hvort sem er hærra.
Lokaskýrslan þín berst innan eins mánaðar tilkynningar þinnar um atvikið. Þetta ítarlega skjal lýsir öllu umfangi atviksins, greiningu á rót vandans, mótvægisaðgerðum sem þú hefur innleitt og áhrifum yfir landamæri. Ef þú ert enn að takast á við atvikið þegar mánuðurinn rennur út, þá sendir þú inn framvinduskýrslu og síðan lokaskýrslu innan eins mánaðar frá því að það var leyst.
Viðbótarskyldur umfram upphaflega skýrslugjöf
Þú verður líka upplýsa viðkomandi aðila þegar verulegt atvik hefur áhrif á þjónustuþega. Þessi tilkynning berst án ótilhlýðilegrar tafar og inniheldur hagnýt skref sem þjónustuþegarnir geta gripið til til að vernda sig. traustþjónustuaðilar Nánar tiltekið styttist 72 klukkustunda gluggann í 24 klukkustundir fyrir atvik sem hafa áhrif á traustþjónustu.
CSIRT-stofnunin þín eða lögbær yfirvöld bregðast við innan sólarhrings frá því að hún móttekur viðvörunina þína og veita fyrstu endurgjöf og leiðbeiningar um mótvægisaðgerðir.
Skref 1. Finndu út hvaða lög ESB og hollenskt gildir um þig
Þú þarft að ákvarða hvaða regluverk stjórna skyldum þínum til að tilkynna um netöryggisatvik áður en atvik á sér stað. 2 kr (tilskipunin um net- og upplýsingaöryggi) gildir víða um Holland, en Dóra (Lög um stafræna rekstrarþol) og Sérstakar hollenskar framkvæmdarreglur skapa viðbótarskyldur fyrir ákveðna geira. Byrjaðu á að meta fyrirtækið þitt út frá viðmiðum hvers ramma.
Athugaðu hvort NIS2 eigi við um fyrirtækið þitt
NIS2 gildir ef þú uppfyllir skilyrði nauðsynlegur aðili or mikilvægur aðiliMikilvægir aðilar eru meðal annars stofnanir í orkumálum, samgöngum, bankastarfsemi, fjármálainnviðum, heilbrigðismálum, drykkjarvatni, skólpi, stafrænum innviðum, opinberri stjórnsýslu og geimferðum. Mikilvægir aðilar eru meðal annars póstþjónusta, meðhöndlun úrgangs, efnaiðnaður, matvælaframleiðsla, framleiðslufyrirtæki, stafrænir þjónustuaðilar og rannsóknarstofnanir.
Stærð fyrirtækisins skiptir aðeins máli fyrir stafrænir þjónustuaðilar (DSP). Þú fellur undir NIS2 sem DSP ef þú rekur netmarkað, skýjaþjónustu eða leitarvél með að minnsta kosti 50 starfsmenn og hvort 10 milljónir evra í árlegri veltu or 10 milljónir evra í heildareignumAllir aðrir nauðsynlegir og mikilvægir aðilar bera skyldur óháð stærð.
Ef þú rekur mikilvæga innviði eða varst áður tilnefndur samkvæmt gömlu NIS-tilskipuninni (Wbni), þá átt þú sjálfkrafa rétt á lögum samkvæmt NIS2.
Hollenska ríkisstjórnin heldur utan um skrá yfir tilnefnda aðila. Hafðu samband við lögbæra yfirvöld í þínum geira (skýrsla um orku og stafræna innviði til RDI; skýrsla um fjármálaþjónustu til AFM og DNB; skýrsla um heilbrigðisþjónustu til IGJ) til að staðfesta stöðu þína. Þú ættir að staðfesta þetta. fyrir janúar 2026 þegar hert löggæsla hefst.
Kannaðu hvort DORA nái yfir fjármálaþjónustu þína
DORA gildir sérstaklega um fjármálastofnanir og Þjónustuaðilar upplýsinga- og samskiptatækni þjóna þeim. Þú fellur undir DORA ef þú starfar sem lánastofnun, greiðsluþjónustuveitandi, tryggingafélag, fjárfestingarfyrirtæki, þjónustuveitandi dulritunareigna eða rafeyrisstofnun. Þessi reglugerð gildir samhliða NIS2 með eigin kröfur um skýrslugerð.
Fjármálaþjónustuaðilar tilkynna um alvarleg atvik til beggja AFM (í gegnum AFM gáttina) og DNB (í gegnum My DNB) auk RDI. Þú verður einnig að skrá allt samningsbundnir samningar við Upplýsingatækni þriðju aðilar fyrir mikilvæg eða mikilvæg verkefni í gegnum þessar gáttir innan tiltekinna tímaramma.
Metið skyldur ykkar sem stafrænn þjónustuaðili
Wbni (Hollensk framkvæmd) skapar sérstakar skyldur ef þú veitir netmarkaðir, skýjatölvur eða leitarvélarÞú tilkynnir atvik til beggja RDI og CSIRT-DSP (sérhæft teymi fyrir viðbrögð við atvikum fyrir stafræna þjónustuaðila). Ólíkt nauðsynlegum aðilum í öðrum geirum stendur þú frammi fyrir stærðarmörkum: 50+ starfsmenn og velta eða eignir yfir 10 milljónir evra.
Traustþjónustuaðilar standa frammi fyrir hraðari frestir samkvæmt eIDAS reglugerðinni. Þú verður að tilkynna umtalsverð atvik sem hafa áhrif á traustþjónustu innan 24 klukkustundir í stað hefðbundins 72 klukkustunda glugga sem gildir um aðra aðila.
Skref 2. Skilgreina hvenær atvik er tilkynningarskylt
Þú þarft skýr viðmið til að ákvarða hvort atvik fer yfir tilkynningarmörk. Lögin skilgreina mikilvæg atvik eins og þau sem valda alvarlegum rekstrartruflunum, fjárhagslegu tjóni eða verulegu tjóni fyrir aðra. Skyldur þínar varðandi tilkynningar um netöryggisatvik hefjast þegar þú greinir atvik sem uppfyllir þessi skilyrði, ekki þegar þú lýkur rannsókn þess. Þetta þýðir að þú verður að taka ákvarðanir um tilkynningar fljótt, oft með ófullnægjandi upplýsingum.
Metið alvarleikamörk fyrir fyrirtækið ykkar
Atvik telst alvarlegt þegar það truflar kjarnaþjónustu þína eða býr til veruleg fjárhagsleg áhrifNIS2 skiptist í tvo meginflokka: atvik sem raska starfsemi þinni verulega eða valda fjárhagslegu tjóni og atvik sem hafa áhrif á aðra aðila með því að valda verulegu efnislegu eða óefnislegu tjóni. Þú tilkynnir þegar hvorugur flokkurinn á við.
Rekstrarröskun þýðir að þú getur ekki veitt viðskiptavinum þjónustu, mikilvæg kerfi bila eða þú missir aðgang að nauðsynlegum gögnum. Fjárhagstjón felur í sér beinan kostnað eins og lausnargjald, endurheimtarkostnað, tekjutap eða sektir samkvæmt reglugerðum. Lögin tilgreina ekki nákvæm mörk í evrum, þannig að þú metur út frá stærð fyrirtækisins og hlutfallslegum áhrifum atviksins.
Skráðu innri þröskulda áður en atvik á sér stað. Þetta skapar samræmi í ákvörðunum um tilkynningar og sýnir fram á að þú fylgir reglum í góðri trú ef yfirvöld draga síðar mat þitt í efa.
Hafðu þessa vísbendinga í huga þegar þú metur mikilvægi:
- ÞjónustuframboðGeta viðskiptavinir fengið aðgang að þjónustu ykkar? Hve lengi hafa kerfin verið niðri?
- Heiðarleiki gagnaHefur óheimill aðgangur átt sér stað? Hvaða gagnaflokkar urðu fyrir áhrifum?
- Landfræðilegt umfangHefur atvikið áhrif á marga staði eða lönd?
- Áhrif viðskiptavinaHversu margir notendur eða viðtakendur standa frammi fyrir truflunum á þjónustu?
- Recovery tímiBýst þú við lausn innan nokkurra klukkustunda, daga eða vikna?
Meta áhrif yfir landamæri og keðjuverkandi áhrif
Þú verður að tilkynna atvik með hugsanleg áhrif yfir landamæri jafnvel þótt áhrif innanlands virðast minniháttar. Atvik sem hefur áhrif á starfsemi þína í Hollandi gæti haft áhrif á viðskiptavini, samstarfsaðila eða framboð keðja í öðrum aðildarríkjum ESB. Þetta leiðir til tilkynningarskyldu þar sem yfirvöld samhæfa viðbrögð yfir landamæri.
Kaskaðandi áhrif skiptir jafnt máli. Atvik þitt verður tilkynningarskylt þegar það truflar þjónustu sem þú veitir öðrum nauðsynlegum eða mikilvægum aðilum, óháð beinum áhrifum á notendur. Til dæmis, ef þú veitir skýjaþjónustu til sjúkrahúss og öryggisbrot þitt hefur áhrif á sjúklingakerfi þeirra, þá tilkynnir þú út frá rekstraráhrifum þeirra, ekki bara þínu eigin tapi.
Traustþjónustuaðilar standa frammi fyrir strangari þröskuldarSérhver atvik sem hefur áhrif á veitingu traustþjónustu (stafrænar undirskriftir, vottorð, tímastimplar) þarf að tilkynna tafarlaust innan sólarhrings. Þú þarft ekki að bíða með að meta hvort áhrifin uppfylli almenn mikilvægisskilyrði.
Skref 3. Búðu til verklagsreglur fyrir tilkynningu atvika
Þú þarft skjalfestar verklagsreglur sem tilgreina nákvæmlega hver gerir hvað, hvenær og hvernig í atviki. viðbragðsáætlun fyrir atvik verður að innihalda skýr skýrslugerðarferli sem virkjast sjálfkrafa þegar teymið þitt greinir alvarlegt atvik. Þessar verklagsreglur þýða tilkynningarskyldur þínar um netöryggisatvik úr óhlutbundnum lagalegum kröfum í raunverulegar aðgerðir sem starfsfólk þitt getur framkvæmt undir álagi.
Búðu til flokkunarfylki fyrir atvik
Flokkunarmátrið þitt hjálpar viðbragðsaðilar ákvarða tilkynningarskyldu innan nokkurra mínútna frá því að hún greinist. Búið til töflu sem tengir tegundir atvika og alvarleikastig við tilkynningarskyldu, fresti og viðtakandaheimildir. Þetta fjarlægir ágiskanir og tryggir samræmdar ákvarðanir innan fyrirtækisins.
| Tegund atviks | Alvarleiki | Tilkynna til | Upphaflegur frestur | Tilkynning um atvik |
|---|---|---|---|---|
| Óheimill aðgangur að gögnum viðskiptavina | Hár | RDI + CSIRT | 24 klukkustundir | 72 klukkustundir |
| Ransomware sem hefur áhrif á kjarnakerfi | Critical | RDI + CSIRT + NCSC | 24 klukkustundir | 72 klukkustundir |
| DDoS truflar opinbera þjónustu | Hár | RDI + CSIRT | 24 klukkustundir | 72 klukkustundir |
| Traustþjónusta í hættu (ef við á) | Critical | RDI + CSIRT | 24 klukkustundir | 24 klukkustundir |
| Atvik í fjármálaþjónustu (DORA) | Hár | RDI + AFM + DNB | 24 klukkustundir | 72 klukkustundir |
Uppfærðu þessa fylki hvenær sem er reglugerðir breytast eða fyrirtækið þitt bætir við nýjum þjónustum. Prófið það ársfjórðungslega með raunhæfum aðstæðum til að bera kennsl á eyður eða ruglingspunkta.
Hannaðu tilkynningarvinnuflæðið þitt
Verkflæði þitt verður að tilgreina nákvæm röð aðgerða frá uppgötvun atvika til loka skýrslugerðar. Skjalfesta hverjir hefja skýrslugerð, hverjir fara yfir og samþykkja tilkynningar, hverjir senda þær inn og hverjir hafa samband við yfirvöld. Úthluta varafólki fyrir hvert hlutverk til að standa straum af fjarverum.
Vinnuflæði þitt ætti að gera ráð fyrir að atvik eigi sér stað utan opnunartíma þegar framkvæmdastjórn er hugsanlega ekki tiltæk strax. Innbyggðu samþykktarkerfi sem koma í veg fyrir tafir.
Búa til sniðmát fyrir gátlista liðið þitt fylgir:
- Atvik greint: Leiðtogi öryggisteymis metur flokkunarkerfi innan tveggja klukkustunda
- Tilkynnanlegt atvik staðfest: CISA tilkynnt tafarlaust, hefst við undirbúningur fyrir snemmbúna viðvörun
- Snemmbúin viðvörun drög að: Innifalið tegund atviks, uppgötvunartíma, grunaða orsök, hugsanleg áhrif yfir landamæri
- Lögfræðileg yfirferð: Lögfræðingur fer yfir drög innan 4 klukkustunda til að tryggja nákvæmni og heildstæðni.
- Innsending: CISO eða fulltrúi sendir inn í gegnum opinbera vefgátt innan sólarhringsfrests
- Svar yfirvalda: Öryggisteymi framfylgir leiðbeiningum sem berast innan sólarhrings
- Tilkynning um atvik: Tækniteymi undirbýr ítarlegt mat fyrir 60 klukkustunda mark
- Lokaskil: Öllum gögnum skal skilað fyrir 72 klukkustunda frest
Útbúið skýrslusniðmát fyrir hvert stig
Sniðmát tryggja þitt skýrslurnar innihalda allar nauðsynlegar upplýsingar og styttir undirbúningstíma. Búið til aðskilin sniðmát fyrir viðvörun, tilkynningar um atvik og lokaskýrslu sem innihalda alla skyldusviði sem NIS2 og hollensk yfirvöld tilgreina.
Sniðmát fyrir snemmbúna viðvörun þarfnast: tímastimpils fyrir greiningu, flokks atviks, samantektar á kerfum sem hafa orðið fyrir áhrifum, vísbendingar um grun um illgjarn athæfi (já/nei), vísbendingar um áhrif yfir landamæri (já/nei), upplýsingar um helstu tengiliði. Tilkynning um atvik bætir við: alvarleikamat, umfang áhrifa, fjölda notenda sem hafa orðið fyrir áhrifum, vísbendingar um brot, fyrstu skref sem tekin voru til að draga úr áhrifum. Lokaskýrslur innihalda: heildartímalínu atviksins, greiningu á rót orsökum, ítarlegt áhrifamat, innleiddar öryggisráðstafanir, lærdóm af reynslu og fyrirbyggjandi tillögur.
Vista þessi sniðmát sem útfyllanleg eyðublöð Teymið þitt getur nálgast þau samstundis. Geymið þau í viðbragðsvettvangi ykkar, öryggiswiki og afritum án nettengingar til að tryggja aðgengi við kerfisbilanir.
Skref 4. Innleiða skýrslugerð í þjálfun og stjórnun
Your skýrslugerðarferli mistakast ef starfsfólk skilur ekki hlutverk sitt eða ef stjórnunarkerfi styðja ekki hraða ákvarðanatöku. Þú þarft kerfisbundin þjálfun og eftirlit á stjórnarstigi til að tryggja að fyrirtækið þitt framkvæmi tilkynningarskyldur sínar um netöryggisatvik rétt í hvert skipti. Þetta þýðir að samþætta tilkynningarskyldur í núverandi öryggisþjálfunaráætlanir og skapa skýra ábyrgð á stjórnunarstigi.
Þjálfa allt starfsfólk í uppgötvun og stigvaxandi málum
Þú verður að þjálfa allir starfsmenn að bera kennsl á hugsanleg öryggisatvik og vita nákvæmlega hvernig eigi að stigmagna þau. Tæknimenn þurfa ítarlega þjálfun í flokkunarkerfinu og skýrslugerðarferlum, en starfsmenn sem ekki eru tæknimenn þurfa einfaldari leiðbeiningar sem beinast að því að greina óvenjulega virkni og hafa samband við rétta fólkið strax.
Hlaupa ársfjórðungslegar borðæfingar sem líkja eftir raunverulegum atvikum sem krefjast tilkynningar. Leiðbeindu viðbragðsteymi þínu í gegnum allt ferlið frá uppgötvun til lokaskýrslu. Notaðu þessar æfingar til að bera kennsl á eyður í verklagsreglum, prófa sniðmát og staðfesta að varamenn skilji hlutverk sitt. Skráðu lærdóminn eftir hverja æfingu og uppfærðu verklagsreglur þínar í samræmi við það.
Öryggisvitundarþjálfun fyrir almennt starfsfólk ætti að ná yfir eftirfarandi nauðsynlegar upplýsingar:
- Hvað telst hugsanlegt öryggisatvik (óvenjulegir tölvupóstar, óheimilar aðgangstilraunir, týnd gögn)
- Hvern á að hafa samband við strax (gefðu upplýsingar um öryggisteymið þitt allan sólarhringinn)
- Hvað á ekki að gera (ekki reyna að rannsaka sjálfan þig, ekki eyða sönnunargögnum, ekki bíða til mánudags)
- Af hverju hraði skiptir máli (reglufestar frestir hefjast þegar atvik eru greind, ekki tilkynnt)
Þjálfa starfsfólk sem greinir og tilkynnir grunsamlega virkni strax til að vernda bæði fyrirtækið og þau sjálf gegn ábyrgð, uppfyllir ekki aðeins kröfur um samræmi.
Samþætta skýrslugerð við núverandi stjórnarhætti
Þarfnast stjórnar þinnar og framkvæmdastjórnar reglulegar uppfærslur um getu til að tilkynna atvik og raunveruleg atvik. Skipuleggið ársfjórðungslegar stjórnarhætti sem ná yfir tilkynningarferla ykkar, öll atvik sem áttu sér stað, svör yfirvalda sem bárust og úrbætur á verklagsreglum sem gerðar voru. Þetta skapar ábyrgð og tryggir að stjórnendur skilji tilkynningarskyldu.
Úthluta a tiltekinn framkvæmdastjóri ábyrgð á að fylgja reglum um skýrslugjöf um atvik. Þessi einstaklingur (venjulega upplýsingastjóri þinn eða áhættustjóri) heyrir beint undir stjórnina um viðbúnað, viðheldur samskiptum við lögbær yfirvöld og á fjárhagsáætlun fyrir skýrslugerðartól og þjálfun. Skýrt eignarhald kemur í veg fyrir rugling í raunverulegum atvikum þegar ákvarðanir verða að taka fljótt.
Hafa skýrslugerðarmælikvarðar í öryggismælaborðum þínum: tími frá uppgötvun til snemmbúinnar viðvörunar, hlutfall atvika sem uppfylla frestkröfur, viðbragðstími yfirvalda og leiðréttingaraðgerðir sem lokið er. Fylgstu með þessu mánaðarlega til að bera kennsl á þróun og tækifæri til úrbóta.
Halda áfram
Þú hefur nú lokið við að uppfylla skyldur þínar varðandi tilkynningar um netöryggisatvik samkvæmt NIS2 og hollenskum lögum. Þú veist hvaða reglugerðir eiga við um fyrirtækið þitt, hvenær atvik fara yfir tilkynningarmörk, hvaða yfirvöld fá tilkynningar, hvaða upplýsingar hver tilkynning verður að innihalda og hvernig á að byggja upp verklagsreglur sem virka undir álagi. Næsta skref er tafarlaus framkvæmd.
Byrjaðu á að fara yfir núverandi viðbragðsáætlun þína gagnvart kröfunum sem hér eru settar fram. Uppfærðu flokkunarfylki, undirbúið þitt skýrslusniðmátog þjálfa viðbragðsteymið þitt í nýju vinnuflæðunum. Skipuleggðu fyrstu borðæfinguna þína innan næstu 30 daga til að prófa verklagsreglur áður en raunverulegt atvik á sér stað. Skráðu allt sem þú býrð til svo teymið þitt geti nálgast það samstundis þegar þörf krefur.
Lögleg samræmi í netöryggi krefst bæði tæknilega þekkingu og lagaþekkinguEf þú þarft aðstoð við að túlka hvernig þessar reglur eiga við í þínum aðstæðum, tengilið Law & More til sérhæfðrar leiðsagnar. Teymi þeirra aðstoðar hollensk fyrirtæki við að takast á við flóknar kröfur um netöryggi og byggja upp viðbragðsramma fyrir atvik sem verndar bæði rekstur þinn og lagalega stöðu.
