W dobie rosnącej liczby ataków hakerskich i wycieków danych coraz więcej organizacji musi wiedzieć, kiedy i komu zgłaszać incydent bezpieczeństwa, np. włamanie do systemu, utratę danych czy zainfekowanie serwerów.
Zgodnie z dyrektywą NIS2 wszystkie podmioty muszą „podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania zagrożeniami dla bezpieczeństwa cybernetycznego sieci i systemów informatycznych”. adekwatnym podejściem – niezależnie od wielkości firmy czy instytucji – jest przeprowadzenie analizy ryzyk, w tym cybernetycznych, oraz identyfikacja tych najbardziej krytycznych. Wspomniane środki muszą zapewniać poziom bezpieczeństwa wynikający wprost z ryzyk występujących w danej organizacji. Kolejny obowiązek to posiadanie udokumentowanej i aktualizowanej polityki bezpieczeństwa organizacji. Polityka bezpieczeństwa organizacji bazuje na analizie ryzyk. To z analizy ryzyk oraz przyjętej na ich podstawie polityki bezpieczeństwa wynikają już konkretne zabezpieczenia organizacyjne i techniczne.
Dyrektywa NIS2 wprowadza dwa rygorystyczne obowiązki dotyczące incydentów bezpieczeństwa.
Po pierwsze, obowiązek zgłaszania incydentów i raportowanie ich statusu. Należy bez zbędnej zwłoki i w czasie nie dłuższym niż 24 godziny od powzięcia wiedzy o poważnym incydencie czy zagrożeniu cybernetycznym dokonać wczesnego ostrzeżenia, w którym należy wskazać, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym, czy działaniem w złym zamiarze oraz czy mógł wywrzeć wpływ transgraniczny. Następnie, bez zbędnej zwłoki, w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie, trzeba zgłosić incydent z aktualizacją wcześniejszych informacji i wskazaniem wstępnej oceny poważnego incydentu, jego dotkliwości i skutków, a tam, gdzie ma to zastosowanie – także wskaźników integralności systemu.
Po drugie, dyrektywa nakłada obowiązek przedstawienia raportu końcowego w mniej niż miesiąc po złożeniu pierwszego raportu, po zgłoszeniu incydentu. Taki raport końcowy powinien zawierać szczegółowy opis incydentu, jego wagi, wpływu i dotkliwości oraz skutków, rodzaj zagrożenia, pierwotną przyczynę, która prawdopodobnie była źródłem incydentu, zastosowane i wdrażane środki zaradcze ograniczające ryzyko oraz wskazanie transgranicznych skutków incydentów.
Incydenty poważne, ich status i raporty muszą być zgłaszane do adekwatnego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli CSIRT. Według projektowanych regulacji incydenty poważne będą zgłaszane do adekwatnego dla danego podmiotu CSIRT sektorowego. CSIRT sektorowy z kolei w czasie nie dłuższym niż 8 godzin będzie zgłaszał incydenty poważne do odpowiedniego CSIRT poziomu krajowego, tj.: CSIRT NASK, CSIRT GOV i CSIRT MON.
Należy jednak mieć na uwadze, iż w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych także RODO nakazuje informowanie o tym osób, których te dane dotyczą, i organu adekwatnego organu ds. ochrony danych. Obowiązek zawiadamiania osób, których dane dotyczą, występuje jednak tylko wówczas, gdy ryzyko naruszenia praw i wolności osób fizycznych jest wysokie. Transparentność dotycząca wycieków danych ma umożliwić poszkodowanym odpowiednio szybką reakcję, która powstrzyma dalsze szkody. Na przykład w sytuacji wycieku bazy danych z numerami kart kredytowych ich szybkie zastrzeżenie może ograniczyć lub wręcz wyeliminować szkody.
