NIS2-direktivets 24-timers-regel: Håndtering af krav til indberetning af hændelser

NIS2-direktivet indfører en streng flertrins-tidslinje for rapportering af "væsentlige" sikkerhedshændelser. Berørte organisationer skal sende en første meddelelse til myndighederne inden for 24 timer efter, at de er blevet opmærksomme på en trussel eller hændelse.

Oversigt: Hvad er NIS2's 24-timers regel?

24-timers reglen er den første fase af den obligatoriske rapporteringsproces under net- og informationssikkerhedsdirektivet (NIS2). Den kræver, at "væsentlige" og "vigtige" enheder underretter deres nationale CSIRT (Computer Security Incident Response Team) eller kompetente myndighed inden for 24 timer efter, at de har opdaget en alvorlig hændelse. Denne fase fokuserer på hastighed frem for detaljer og fungerer som en hurtig advarsel, der hjælper myndighederne med at opdage mønstre på tværs af grænser.

Hvorfor er hurtig hændelsesrapportering obligatorisk?

EU indførte dette krav for at minimere følgevirkningerne af databrud på tværs af kritisk infrastruktur. Ved at modtage en advarsel inden for 24 timer kan myndighederne yde tidlig hjælp og advare andre organisationer, der potentielt står over for den samme trussel.

Hvad definerer en "væsentlig" hændelse?

Det er ikke alle mindre tekniske fejl, der udløser en rapporteringsforpligtelse. Ifølge NIS2 betragtes en hændelse som væsentlig, hvis:

• Den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser eller økonomiske tab for den berørte enhed.
• Den har påvirket eller kan påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

Tidslinje for NIS2-rapportering: Trin-for-trin guide

For at overholde reglerne skal organisationer følge en specifik rapporteringsproces i tre trin:

1. 24-timers tidlig advarsel: En kortfattet meddelelse, der angiver, om hændelsen menes at skyldes ulovlige eller ondsindede handlinger, og om den har grænseoverskridende konsekvenser.
2. 72-timers anmeldelse af hændelsen: En mere detaljeret rapport, der opdaterer den første anmeldelse, herunder en indledende vurdering af alvorlighed og konsekvenser samt tegn på kompromittering.
3. Slutrapporten: Leveres senest en måned efter den første underretning. Den skal indeholde en detaljeret beskrivelse af hændelsen, den grundlæggende årsag og de foranstaltninger, der er truffet.
   
   

Læs mere: NIS2-direktivets 24-timers-regel: Håndtering af krav til indberetning af hændelser.

Tjekliste for NIS2-rapporteringsparathed

Effektiv overholdelse kræver foruddefinerede interne processer. Organisationer bør sikre, at følgende elementer er på plads:

• Systemer til registrering af hændelser: Værktøjer, der kan identificere "væsentlige" afvigelser i realtid.
• Interne eskaleringsprocedurer: Klare protokoller for at gå fra opdagelse til rapportering inden for få timer.
• Foruddefinerede rapporteringskanaler: Bekræftede kontaktpunkter for relevante nationale myndigheder eller CSIRT'er.
• Dokumenterede revisionsspor: Nøjagtig logning af, hvornår en hændelse først blev opdaget for at bevise, at 24-timers fristen er blevet overholdt.
• Kortlægning af tredjepartsrisiko: Identifikation af partnere i den digitale forsyningskæde, der kan udløse rapporteringsforpligtelser.

Konklusion

24-timers reglen i NIS2 flytter fokus fra, om en hændelse skal rapporteres, til hvor hurtigt den kan anmeldes. Succes afhænger af en robust ledelsesstruktur og digitale værktøjer, der giver et centralt overblik over risiko- og compliancestatus.

Ofte stillede spørgsmål og svar

Gælder 24-timers reglen for alle virksomheder?

Den gælder for virksomheder, der er kategoriseret som "væsentlige" eller "vigtige" inden for NIS2-sektoren, som omfatter energi, transport, bankvæsen, sundhed og digital infrastruktur.

Hvad sker der, hvis en virksomhed ikke overholder 24-timers fristen?

Manglende overholdelse af fristen kan resultere i betydelige administrative bøder, som kan beløbe sig til op til 10 millioner euro eller 2 % af den samlede globale årsomsætning, alt efter hvad der er højest.

Skal jeg sende en komplet analyse inden for 24 timer?

Nej, det behøver du ikke. Den 24-timers advarsel er kun beregnet til at underrette myndighederne. Den dybdegående tekniske analyse er forbeholdt 72-timers- og 1-måneders-rapporterne.

Vigtig information: House of Control er en softwarevirksomhed. Vi leverer ikke konsulenttjenester i forbindelse med NIS2-overholdelse. At følge denne vejledning garanterer derfor ikke overholdelse af alle juridiske krav i NIS2. Indholdet i denne artikel er baseret på vores egen gennemgang af NIS2-kravene og vores erfaring med overholdelse af lovgivningen samt inspiration fra forskellige organisationer, der tilbyder rådgivningstjenester. Vi påtager os intet ansvar for manglende overholdelse af NIS2-kravene eller for konsekvenser som følge af brugen af denne vejledning.