NIS2:s 24-timmarsregel: Hantering av krav på incidentrapportering

NIS2-direktivet inför en strikt rapportering i flera steg för ”betydande” cyberincidenter. Berörda verksamheter måste lämna en inledande ”tidig varning” till myndigheterna inom 24 timmar från det att de blivit medvetna om ett hot eller en incident.

Sammanfattning: Vad är 24-timmarsregeln i NIS2?

24-timmarsregeln är den första fasen i den obligatoriska rapporteringsprocessen enligt NIS2-direktivet (Network and Information Security Directive). Den kräver att ”väsentliga” och ”viktiga” verksamheter underrättar sin nationella CSIRT (Computer Security Incident Response Team) eller behöriga myndighet inom 24 timmar från det att en betydande incident har upptäckts. Denna fas fokuserar på snabbhet snarare än detaljer och fungerar som en snabb varning för att hjälpa myndigheter att identifiera gränsöverskridande mönster.

Varför är snabb incidentrapportering obligatorisk?

Europeiska unionen har infört detta krav för att minimera spridningseffekterna av cyberattacker mot kritisk infrastruktur. Genom att ta emot en varning inom 24 timmar kan myndigheter ge tidigt stöd och varna andra organisationer som potentiellt står inför samma hot.

Vad definierar en ”betydande” incident?

Det är inte alla mindre tekniska fel som utlöser en rapporteringsskyldighet. Enligt NIS2 anses en incident vara betydande om:

• den har orsakat eller kan orsaka allvarlig operativ störning av tjänsterna eller ekonomisk förlust för den berörda verksamheten
• den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada

NIS2:s rapporteringstidslinje: Steg för steg

För att säkerställa efterlevnad måste organisationer följa en särskild trestegsprocess:

1. 24-timmars tidig varning: En kort underrättelse som anger om incidenten misstänks ha orsakats av olagliga eller skadliga handlingar samt om den har gränsöverskridande påverkan.
2. 72-timmars incidentanmälan: En mer detaljerad rapport som uppdaterar den inledande varningen och inkluderar en preliminär bedömning av allvarlighetsgrad och påverkan samt indikatorer på kompromettering.
3. Slutlig lägesrapport: Levereras senast en månad efter den första anmälan. Denna måste innehålla en detaljerad beskrivning av incidenten, grundorsaken och de åtgärder som vidtagits.

Checklista för NIS2-rapporteringsberedskap

Effektiv efterlevnad kräver fördefinierade interna processer. Organisationer bör säkerställa att följande finns på plats:

• System för incidentdetektion: Verktyg som kan identifiera ”betydande” avvikelser i realtid.
• Interna eskaleringsrutiner: Tydliga protokoll för hur man går från upptäckt till rapportering inom några timmar.
• Fördefinierade rapporteringskanaler: Verifierade kontaktpunkter för relevanta nationella myndigheter eller CSIRT-enheter.
• Dokumenterade revisionsspår: Exakt loggning av när en incident först upptäcktes för att kunna bevisa efterlevnad av 24-timmarsfristen.
• Kartläggning av tredjepartsrisker: Identifiering av digitala leverantörskedjepartners som kan utlösa en rapporteringsskyldighet.

Slutsats

24-timmarsregeln i NIS2 flyttar fokus från huruvida en incident ska rapporteras till hur snabbt den kan rapporteras. För att lyckas krävs en robust styrningsstruktur och digitala verktyg som ger en centraliserad översikt över risk- och efterlevnadsstatus.

Ofta ställda frågor och svar

Gäller 24-timmarsregeln för alla företag?

Den gäller för företag som kategoriseras som "väsentliga" eller "viktiga" inom NIS2-sektorerna, som omfattar energi, transport, bank, hälsa och digital infrastruktur.

Vad händer om ett företag inte klarar 24-timmarsfristen?

Om tidsfristen inte iakttas kan det leda till betydande administrativa böter, som kan uppgå till 10 miljoner euro eller 2 % av den totala globala årsomsättningen, beroende på vilket belopp som är högst.

Måste jag skicka en fullständig analys inom 24 timmar?

Nej. 24-timmarsvarningen syftar enbart till att underrätta myndigheterna. Den fördjupade tekniska analysen hör till 72-timmarsrapporten och enmånadsrapporten.

House of Control är ett mjukvaruföretag. Vi tillhandahåller inte konsulttjänster relaterade till NIS2-efterlevnad. Att följa denna guide garanterar därför inte efterlevnad av alla rättsliga krav i NIS2. Innehållet i denna artikel baseras på vår egen granskning av NIS2-kraven och vår erfarenhet av regelefterlevnad, samt inspiration från olika organisationer som erbjuder rådgivningstjänster. Vi tar inte på oss något ansvar för bristande efterlevnad av NIS2-kraven eller för konsekvenser som uppstår till följd av användningen av denna guide.