Tiden begynder at tikke ved opdagelse
Når en betydelig sikkerhedsincident opdages, starter uret. NIS2 giver jer 24 timer — ikke 24 arbejdstimer, ikke “næste hverdag”, men 24 faktiske timer — til at sende en tidlig advarsel til CFCS.
Det betyder, at en incident, der opdages lørdag aften, kræver en rapport søndag aften. Er jeres organisation forberedt på det?
Kritisk spørgsmål: Har I dokumenterede kontaktveje til CFCS, som fungerer også uden for kontortid? Hvis svaret er nej, er det det første, I skal løse.
Hvad er en “betydelig incident”?
Ikke alle incidenter behøver at blive rapporteret. NIS2 fokuserer på betydelige incidenter — dem, der har reel påvirkning på tjenesten eller andre.
En incident betragtes som betydelig, hvis den:
- Har forårsaget eller kan forårsage alvorlig driftsforstyrrelser for tjenesten
- Har forårsaget eller kan forårsage økonomisk tab for organisationen
- Har påvirket eller kan påvirke andre fysiske eller juridiske personer gennem materiel eller immateriel skade
Eksempler på betydelige incidenter:
- Ransomware, der krypterer produktionssystemer
- Databrud med lækage af personoplysninger
- DDoS-angreb, der gør tjenester utilgængelige for kunder
- Kompromitteret leverandør med adgang til jeres systemer
Tidslinjen: Tre rapporter, tre deadlines
- Tidlig advarsel — inden 24 timer Den første rapport er en hurtig advisering om, at noget er sket. Den behøver ikke være komplet — formålet er at advare. Inkludér: at en incident er indtruffet, indledende vurdering af omfang, og om incidenten mistænkes for at være grænseoverskridende eller påvirke andre EU-lande.
- Incidentmeddelelse — inden 72 timer Nu forventes mere substans. Opdatér med vurdering af incidentens alvorlighedsgrad og påvirkning, beskrivelse af hvad der er sket (så langt I ved), og eventuelle kompromisindikatorer (IOC), der kan hjælpe andre.
- Slutrapport — inden 1 måned Den fuldstændige analyse. Indeholder detaljeret beskrivelse af incidenten, grundårsagsanalyse, foretagne og planlagte foranstaltninger samt erfaringer og forbedringstiltag.
Detaljeret indhold per rapport
Tidlig advarsel (24 timer)
| Felt | Beskrivelse | Obligatorisk |
|---|---|---|
| Tidspunkt for opdagelse | Hvornår incidenten blev opdaget | Ja |
| Type incident | Foreløbig klassificering | Ja |
| Påvirkede tjenester | Hvilke tjenester der berøres | Ja |
| Indledende omfang | Vurdering af påvirkning | Ja |
| Grænseoverskridende | Mistænkt påvirkning i andre lande | Ja |
| Kontaktperson | Hvem CFCS kan kontakte | Ja |
Incidentmeddelelse (72 timer)
| Felt | Beskrivelse | Obligatorisk |
|---|---|---|
| Opdateret status | Nuværende situation og udvikling | Ja |
| Alvorlighedsgrad | Vurdering af sværhedsgrad | Ja |
| Teknisk beskrivelse | Hvad der er sket teknisk | Ja |
| Påvirkning | Antal ramte, tab af tjeneste | Ja |
| IOC | Kompromisindikatorer | Hvis tilgængelig |
| Foretagne foranstaltninger | Hvad I har gjort indtil videre | Ja |
Slutrapport (1 måned)
| Felt | Beskrivelse | Obligatorisk |
|---|---|---|
| Fuldstændig tidslinje | Kronologi fra start til slut | Ja |
| Grundårsagsanalyse | Grundårsagen til incidenten | Ja |
| Påvirkning (endelig) | Faktisk påvirkning, ramte | Ja |
| Alle foretagne foranstaltninger | Komplet liste | Ja |
| Erfaringer | Hvad I har lært | Ja |
| Forbedringsplan | Hvordan I forebygger gentagelse | Ja |
Hvem rapporterer I til?
Alle betydelige incidenter rapporteres til CFCS. De koordinerer den tekniske håndtering og kan bistå med analyse og anbefalinger.
Afhængigt af sektor rapporterer I også til jeres sektormyndighed. Energistyrelsen for energi, Færdselsstyrelsen for transport, Finanstilsynet for banker, etc.
Praktisk: CFCS arbejder med at etablere ensartede rapporteringskanaler. Hold jer opdaterede via CFCS’s hjemmeside for aktuel information om, hvordan rapportering skal foregå.
Almindelige faldgruber at undgå
24 timer gælder også weekender og nætter. Uden fungerende vagtberedskab og klare kontaktveje bliver det umuligt at opfylde tidskravene, når det virkelig gælder.
Under en igangværende incident er det sidste, I vil gøre, at tænke over format og formuleringer. Hav færdige skabeloner til alle tre rapporttyper klar til udfyldning.
Hvem beslutter at rapportere? Hvem skriver? Hvem godkender? Uklare roller fører til forsinkelser. Dokumentér ansvarsfordelingen nu.
Rapporten til CFCS er ikke alt. Glem ikke intern eskalering til ledelsen, eventuel GDPR-rapport til Datatilsynet ved personoplysningsincidenter, og kommunikation med kunder.
Tjekliste: Er I forberedte?
Brug denne tjekliste til at vurdere jeres beredskab:
Processer og dokumentation:
- Klar definition af, hvad der udgør en betydelig incident
- Dokumenteret incidenthåndteringsproces
- Eskaleringsprocedurer og beslutningsgange
- Skabeloner til alle tre rapporttyper
- Kontaktoplysninger til CFCS og tilsynsmyndighed
Organisation og ressourcer:
- Vagtberedskab eller tilsvarende til hurtig respons
- Udpeget incidentansvarlig med mandat
- Uddannet personale, der kan handle
- Kommunikationskanaler, der fungerer døgnet rundt
Teknisk kapacitet:
- Detektionskapacitet til at opdage incidenter
- Logning til at undersøge, hvad der er sket
- Mulighed for at indsamle kompromisindikatorer (IOC)
- Backup og gendannelseskapacitet
Praktiske tips
Byg en incidenthåndteringsøvelse
Gennemfør regelmæssige øvelser, hvor I simulerer en betydelig incident. Fokusér på:
- Kan I producere en tidlig advarsel inden 24 timer?
- Fungerer kontaktvejene til CFCS?
- Ved alle involverede, hvad de skal gøre?
Opret skabeloner nu
Vent ikke til incidenten. Opret skabeloner til:
- Tidlig advarsel — Standardformular med forudfyldte felter
- Incidentmeddelelse — Struktur til dybere analyse
- Slutrapport — Skabelon til fuldstændig dokumentation
Etablér kontaktvejene
- Registrér jer hos CFCS, hvis I ikke allerede har gjort det
- Test rapporteringskanalen, før det bliver alvor
- Hav backup-kontaktveje (telefon, ikke kun e-mail)
Vil du vide mere om NIS2s øvrige krav? Læs vores NIS2-ramverksoversigt for et komplet billede af direktivet, eller kontrollér om I omfattes af NIS2 med vores klassificeringsværktøj.
Sådan kan Securapilot hjælpe
Securapilots incidenthåndteringsmodul er bygget med NIS2s tidskrav for øje:
- Incidentklassificering — Automatisk vurdering mod NIS2s definition af betydelig incident
- Tidskontrol — Sporing af deadlines med advarsler, før de udløber
- Skabelongenerering — Automatisk generering af rapporter baseret på incidentdata
- Eskalering — Indbyggede workflows til godkendelse og eskalering
- Dokumentation — Komplet sporbarhed til slutrapporten
Book en demo og se, hvordan vi kan hjælpe jer med at være forberedte, når det virkelig gælder.
Ofte stillede spørgsmål
Hvad er en 'betydelig incident' ifølge NIS2?
En incident betragtes som betydelig, hvis den har forårsaget eller kan forårsage alvorlig driftsforstyrrelser for tjenesten, økonomisk tab for organisationen, eller påvirket eller kan påvirke andre fysiske eller juridiske personer gennem materiel eller immateriel skade.
Hvem rapporterer jeg til?
I Danmark rapporteres incidenter til CFCS (Center for Cybersikkerhed) og til jeres sektorspecifikke tilsynsmyndighed. Den nøjagtige rapporteringsvej afhænger af, hvilken sektor I tilhører. CFCS stiller rapporteringskanaler til rådighed.
Hvad sker der, hvis jeg misser 24-timers fristen?
At misse rapporteringsfrister kan føre til sanktioner. Det vigtigste er dog at rapportere så hurtigt som muligt, selv hvis fristen er overskredet. Slet ikke at rapportere er betydeligt mere alvorligt end at rapportere for sent.
Skal jeg rapportere incidenter hos leverandører?
Hvis en incident hos en leverandør påvirker jeres evne til at levere jeres tjenester, kan det blive en rapporteringspligtig incident for jer. I skal have aftaler og processer, der sikrer, at leverandører hurtigt informerer jer om incidenter.
