NIS2-direktivets 24-timers regel: Håndtering av krav til rapportering av hendelser

NIS2-direktivet introduserer en streng tidslinje i flere trinn for rapportering av «vesentlige» sikkerhetshendelser. Berørte virksomheter må sende et innledende varsel til myndighetene innen 24 timer etter at de blir oppmerksomme på en trussel eller hendelse.

Oppsummering: Hva er NIS2 24-timersregelen?

24-timersregelen er den første fasen av den obligatoriske rapporteringsprosessen i henhold til NIS2-direktivet (Network and Information Security Directive). Den krever at "essensielle" og "viktige" enheter varsler sin nasjonale CSIRT (Computer Security Incident Response Team) eller kompetente myndighet innen 24 timer etter at de har oppdaget en alvorlig hendelse. Denne fasen fokuserer på hastighet i stedet for detaljer, og fungerer som en rask varsling for å hjelpe myndighetene med å oppdage mønstre på tvers av landegrensene.

Hvorfor er rask hendelsesrapportering obligatorisk?

EU innførte dette kravet for å minimere ringvirkningene av dataangrep på tvers av kritisk infrastruktur. Ved å motta et varsel innen 24 timer kan myndighetene gi tidlig hjelp og advare andre organisasjoner som potensielt står overfor den samme trusselen.

Hva definerer en "betydelig" hendelse?

Det er ikke alle mindre tekniske feil som utløser rapporteringsplikt. I henhold til NIS2 anses en hendelse som betydelig hvis:

• Den har forårsaket eller er i stand til å forårsake alvorlige driftsforstyrrelser eller økonomisk tap for den berørte enheten.
• Den har påvirket eller kan påvirke andre fysiske eller juridiske personer ved å forårsake betydelig materiell eller immateriell skade.

Tidslinje for NIS2-rapportering: Steg-for-steg-veiledning

For å overholde regelverket må virksomheter følge en spesifikk rapporteringsprosess i tre trinn:

1. 24-timers tidlig varsling: Et kortfattet varsel som angir om hendelsen antas å skyldes ulovlige eller ondsinnede handlinger, og om den har grenseoverskridende konsekvenser.
2. 72-timers varsling om hendelsen: En mer detaljert rapport som oppdaterer det første varselet, inkludert en innledende vurdering av alvorlighetsgrad og konsekvenser, samt indikatorer på kompromittering.
3. Den endelige fremdriftsrapporten: Leveres senest én måned etter den første varslingen. Denne må inneholde en detaljert beskrivelse av hendelsen, den grunnleggende årsaken og de iverksatte tiltakene.
   
   

Les mer: NIS2-dokumentasjon: Dette forventer revisor.

Sjekkliste for NIS2-rapporteringsberedskap

Effektiv etterlevelse krever forhåndsdefinerte interne prosesser. Organisasjoner bør sørge for at følgende elementer er på plass:

• Systemer for hendelsesdeteksjon: Verktøy som kan identifisere "vesentlige" avvik i sanntid.
• Interne eskaleringsprosedyrer: Klare protokoller for å gå fra oppdagelse til rapportering i løpet av få timer.
• Forhåndsdefinerte rapporteringskanaler: Verifiserte kontaktpunkter for relevante nasjonale myndigheter eller CSIRT.
• Dokumenterte revisjonsspor: Nøyaktig loggføring av når en hendelse først ble oppdaget for å bevise at 24-timersfristen er overholdt.
• Kartlegging av tredjepartsrisiko: Identifisering av partnere i den digitale leverandørkjeden som kan utløse rapporteringsplikt.

Konklusjon

24-timersregelen i NIS2 flytter fokuset fra om en hendelse bør rapporteres, til hvor raskt den kan varsles. Suksess avhenger av en robust styringsstruktur og digitale verktøy som gir en sentral oversikt over risiko- og etterlevelsesstatus.

Ofte stilte spørsmål og svar

Gjelder 24-timersregelen for alle selskaper?

Det gjelder virksomheter kategorisert som "essensielle" eller "viktige" innenfor NIS2-sektorene, som inkluderer energi, transport, bank, helse og digital infrastruktur.

Hva skjer hvis et selskap ikke overholder 24-timersfristen?

Manglende overholdelse av fristen kan føre til betydelige administrative bøter, som kan beløpe seg til opptil 10 millioner euro eller 2% av den totale globale årsomsetningen, avhengig av hva som er høyest.

Må jeg sende en fullstendig analyse innen 24 timer?

Nei. 24-timersvarselet er kun ment for å varsle myndighetene. Den dyptgående tekniske analysen er forbeholdt 72-timers- og 1-månedersrapportene.

Viktig informasjon: House of Control er et programvareselskap. Vi tilbyr ikke rådgivningstjenester knyttet til NIS2-etterlevelse. Det å følge denne veiledningen garanterer derfor ikke samsvar med alle juridiske krav i NIS2. Innholdet i denne artikkelen er basert på vår egen gjennomgang av NIS2-kravene og vår erfaring med etterlevelse av regelverk, samt inspirasjon fra ulike aktører som tilbyr rådgivningstjenester. Vi påtar oss ikke ansvar for manglende etterlevelse av NIS2-krav eller for konsekvenser som følge av bruken av denne veiledningen.