Tiden begynner å tikke ved oppdagelse
Når en betydelig sikkerhetshendelse oppdages starter klokka. NIS2 gir dere 24 timer — ikke 24 arbeidstimer, ikke “neste virkedag”, men 24 faktiske timer — til å sende en tidlig varsling til NSM.
Det betyr at en hendelse som oppdages lørdag kveld krever en rapport søndag kveld. Er organisasjonen deres forberedt på det?
Kritisk spørsmål: Har dere dokumenterte kontaktveier til NSM som fungerer også utenfor kontortid? Hvis svaret er nei, er det første som må rettes på.
Hva er en “betydelig hendelse”?
Ikke alle hendelser trenger å rapporteres. NIS2 fokuserer på betydelige hendelser — de som har reell påvirkning på tjenesten eller andre.
En hendelse regnes som betydelig hvis den:
- Har forårsaket eller kan forårsake alvorlig driftsforstyrrelser for tjenesten
- Har forårsaket eller kan forårsake økonomisk tap for organisasjonen
- Har påvirket eller kan påvirke andre fysiske eller juridiske personer gjennom materiell eller immateriell skade
Eksempler på betydelige hendelser:
- Ransomware som krypterer produksjonssystemer
- Datainnbrudd med lekkasje av personopplysninger
- DDoS-angrep som gjør tjenester utilgjengelige for kunder
- Kompromittert leverandør med tilgang til systemene deres
Tidslinjen: Tre rapporter, tre deadlines
- Tidlig varsling — innen 24 timer Den første rapporten er en rask melding om at noe har skjedd. Den trenger ikke å være komplett — hensikten er å varsle. Inkluder: at en hendelse har inntruffet, initial vurdering av omfang, og om hendelsen mistenkes å være grenseoverskridende eller påvirke andre EU-land.
- Hendelsesmelding — innen 72 timer Nå forventes mer substans. Oppdater med vurdering av hendelsens alvorlighetsgrad og påvirkning, beskrivelse av hva som har skjedd (så langt dere vet), og eventuelle kompromissindikatorer (IOC) som kan hjelpe andre.
- Sluttrapport — innen 1 måned Den fullstendige analysen. Inneholder detaljert beskrivelse av hendelsen, rotårsaksanalyse, iverksatte og planlagte tiltak, samt lærdommer og forbedringstiltak.
Detaljert innhold per rapport
Tidlig varsling (24 timer)
| Felt | Beskrivelse | Obligatorisk |
|---|---|---|
| Tidspunkt for oppdagelse | Når hendelsen ble oppdaget | Ja |
| Type hendelse | Foreløpig klassifisering | Ja |
| Påvirkede tjenester | Hvilke tjenester som berøres | Ja |
| Innledende omfang | Estimat av påvirkning | Ja |
| Grenseoverskridende | Mistenkt påvirkning i andre land | Ja |
| Kontaktperson | Hvem NSM kan kontakte | Ja |
Hendelsesmelding (72 timer)
| Felt | Beskrivelse | Obligatorisk |
|---|---|---|
| Oppdatert status | Nåsituasjon og utvikling | Ja |
| Alvorlighetsgrad | Vurdering av alvorlighetsgrad | Ja |
| Teknisk beskrivelse | Hva som har skjedd teknisk | Ja |
| Påvirkning | Antall berørte, tjenestetap | Ja |
| IOC | Kompromissindikatorer | Hvis tilgjengelig |
| Iverksatte tiltak | Hva dere har gjort så langt | Ja |
Sluttrapport (1 måned)
| Felt | Beskrivelse | Obligatorisk |
|---|---|---|
| Fullstendig tidslinje | Kronologi fra start til slutt | Ja |
| Rotårsaksanalyse | Grunnårsaken til hendelsen | Ja |
| Påvirkning (endelig) | Faktisk påvirkning, berørte | Ja |
| Alle iverksatte tiltak | Komplett liste | Ja |
| Lærdommer | Hva dere har lært | Ja |
| Forbedringsplan | Hvordan dere forebygger gjentakelse | Ja |
Hvem rapporterer dere til?
Alle betydelige hendelser rapporteres til NSM. De koordinerer den tekniske håndteringen og kan bistå med analyse og anbefalinger.
Avhengig av sektor rapporterer dere også til sektormyndigheten deres. Finanstilsynet for bank, NVE for energi, Samferdselsdepartementet for transport, etc.
Praktisk: NSM arbeider med å etablere ensartede rapporteringskanaler. Hold dere oppdaterte via NSMs nettside for aktuell informasjon om hvordan rapportering skal skje.
Vanlige fallgruver å unngå
24 timer gjelder også helger og netter. Uten fungerende vaktberedskap og tydelige kontaktveier blir det umulig å oppfylle tidskravene når det virkelig gjelder.
Under en pågående hendelse er det siste dere vil gjøre å tenke på format og formuleringer. Ha ferdige maler for alle tre rapporttypene klare til å fylles ut.
Hvem beslutter å rapportere? Hvem skriver? Hvem godkjenner? Uklare roller fører til forsinkelser. Dokumenter ansvarsfordelingen nå.
Rapporten til NSM er ikke alt. Glem ikke intern eskalering til ledelsen, eventuell GDPR-rapport til Datatilsynet ved personopplysningshendelser, og kommunikasjon med kunder.
Sjekkliste: Er dere forberedt?
Bruk denne sjekklisten for å vurdere beredskapen deres:
Prosesser og dokumentasjon:
- Tydelig definisjon av hva som utgjør en betydelig hendelse
- Dokumentert hendelseshåndteringsprosess
- Eskaleringsrutiner og beslutningsganger
- Maler for alle tre rapporttypene
- Kontaktopplysninger til NSM og tilsynsmyndighet
Organisasjon og ressurser:
- Vaktberedskap eller tilsvarende for rask respons
- Utpekt hendelsesansvarlig med mandat
- Opplært personale som kan handle
- Kommunikasjonskanaler som fungerer døgnet rundt
Teknisk kapasitet:
- Deteksjonsevne for å oppdage hendelser
- Logging for å utrede hva som har skjedd
- Mulighet til å samle kompromissindikatorer (IOC)
- Backup- og gjenopprettingsevne
Praktiske tips
Bygg en hendelseshåndteringsøvelse
Gjennomfør regelmessige øvelser hvor dere simulerer en betydelig hendelse. Fokuser på:
- Kan dere produsere en tidlig varsling innen 24 timer?
- Fungerer kontaktveierne til NSM?
- Vet alle involverte hva de skal gjøre?
Lag maler nå
Vent ikke til hendelsen. Lag maler for:
- Tidlig varsling — Standardskjema med forhåndsutfylte felter
- Hendelsesmelding — Struktur for dypere analyse
- Sluttrapport — Mal for fullstendig dokumentasjon
Etabler kontaktveierne
- Registrer dere hos NSM hvis dere ikke allerede har gjort det
- Test rapporteringskanalen før det blir skarp situasjon
- Ha backup-kontaktveier (telefon, ikke bare e-post)
Vil du vite mer om NIS2s øvrige krav? Les vår NIS2-ramverksoversikt for et komplett bilde av direktivet, eller kontroller om dere omfattes av NIS2 med vårt klassifiseringsverktøy.
Slik kan Securapilot hjelpe
Securapilots hendelseshåndteringsmodul er bygget med NIS2s tidskrav i tankene:
- Hendelsesklassifisering — Automatisk vurdering mot NIS2s definisjon av betydelig hendelse
- Tidskontroll — Sporing av deadlines med varsler før de løper ut
- Malgenerering — Automatisk generering av rapporter basert på hendelsesdata
- Eskalering — Innebygde arbeidsflyter for godkjenning og eskalering
- Dokumentasjon — Komplett sporbarhet for sluttrapporten
Book en demo og se hvordan vi kan hjelpe dere være forberedt når det virkelig gjelder.
Ofte stilte spørsmål
Hva er en 'betydelig hendelse' etter NIS2?
En hendelse regnes som betydelig hvis den har forårsaket eller kan forårsake alvorlig driftsforstyrrelser for tjenesten, økonomisk tap for organisasjonen, eller påvirket eller kan påvirke andre fysiske eller juridiske personer gjennom materiell eller immateriell skade.
Hvem rapporterer jeg til?
I Norge rapporteres hendelser til NSM (Nasjonal sikkerhetsmyndighet) og til deres sektorspesifikke tilsynsmyndighet. Nøyaktig rapporteringskanal avhenger av hvilken sektor dere tilhører. NSM tilbyr rapporteringskanaler.
Hva skjer hvis jeg går glipp av 24-timersfristen?
Å gå glipp av rapporteringsfrister kan føre til sanksjoner. Det viktigste er imidlertid å rapportere så snart som mulig, selv om fristen er overskredet. Å ikke rapportere i det hele tatt er betydelig alvorligere enn å rapportere sent.
Må jeg rapportere hendelser hos leverandører?
Hvis en hendelse hos en leverandør påvirker deres evne til å levere tjenestene deres, kan det bli en rapporteringspliktig hendelse for dere. Dere må ha avtaler og prosesser som sikrer at leverandører raskt informerer dere om hendelser.
