Artikel 23 i direktiv (EU) 2022/2555 fastställer ett trestegsförfarande för anmälan av betydande incidenter. Mallen nedan listar de fält du bör vara beredd att lämna in vid varje steg, samt vad tillsynsmyndigheten faktiskt söker vid den tidpunkten i incidentens livscykel. Bygg upp steg 1- och steg 2-mallarna i förväg i din plattform för incidenthantering — 24-timmarsklockan är verklig.
Tidslinje i korthet
| Steg | Frist | Mottagare |
|---|---|---|
| Steg 1 | Inom 24 timmar från det att incidenten uppmärksammades | CSIRT eller behörig myndighet utsedd enligt NIS2 i din medlemsstat |
| Steg 2 | Inom 72 timmar från det att incidenten uppmärksammades | Samma CSIRT eller behöriga myndighet |
| Mellanliggande rapport (på begäran) | På begäran av CSIRT eller behörig myndighet | Samma |
| Steg 3 | Inom en månad från steg 2-anmälan (eller en månad efter att incidenten lösts om den fortfarande pågår) | Samma |
Steg 1 — Inom 24 timmar från det att incidenten uppmärksammades
Tidig varning — snabbhet över fullständighet. Syftet är att låta myndigheten veta att en incident pågår och att flagga två specifika fakta: om incidenten misstänks ha orsakats av olagliga eller skadliga handlingar, och om den kan ha gränsöverskridande konsekvenser.
Anmälande entitet (juridiskt namn + sektor + NIS2-klassificering: väsentlig / viktig) Fyll i i förväg i en sparad mall — skriv det inte under press.
Rapportör (namn + roll + dygnet runt-kontakt) En enskild ansvarig person, inte en teampostlåda.
Tidpunkt för första kännedom (UTC) Klockan för 24 h-, 72 h- och en månadsfristerna börjar här. Dokumentera hur kännedomen uppstod.
Kort beskrivning (1–3 meningar) Klarspråk. Vilken tjänst som berörs, vad det är för typ av incident, vad det aktuella driftsläget är.
Misstänkt illvillig eller olaglig orsak? (ja / nej / okänt) Artikel 23.4 a kräver denna flaggning. "Okänt" är ett godtagbart svar i steg 1.
Möjliga gränsöverskridande konsekvenser? (ja / nej / okänt) Artikel 23.4 a igen — utlöser myndighetens informationsdelningsskyldigheter.
Ärendenummer / ärendenummer (ditt) Används på nytt i steg 2 och steg 3 så att myndigheten kan länka samman rapporterna.
Steg 2 — Inom 72 timmar från det att incidenten uppmärksammades
Incidentanmälan — en initial bedömning av allvarlighetsgrad, konsekvenser och indikatorer på kompromittering. Detta är den substantiella anmälan som bygger på steg 1.
Samma identifierare som i steg 1 (anmälande entitet, rapportör, ärendenummer)
Uppdaterad bedömning av allvarlighetsgrad och konsekvenser Driftstörningar, ekonomisk förlust, materiella eller icke-materiella skador för fysiska eller juridiska personer.
Antal berörda användare/kunder Bästa uppskattning är godtagbar; dokumentera hur uppskattningen gjordes.
Geografisk omfattning (medlemsstater och tredjeland) Styr myndighetens vidarebefordran av notifiering till andra CSIRT och till ENISA.
Berörda tjänster och tillgångskategorier Mappa till de tjänster du registrerat i entitetsregistret enligt artikel 27 i NIS2.
Typ av hot och kända indikatorer på kompromittering (IOC) TLP-klassificerat. Hashvärden, IP-adresser, domäner, skadlig programvarafamilj om känt. Ange konfidensnivå.
Initial hypotes om grundorsak Enbart hypotes — bekräftad grundorsak ingår i slutrapporten.
Vidtagna begränsningsåtgärder hittills Inneslutnings-, utrotnings- och återhämtningsåtgärder med tidsstämplar.
Huruvida leverantörer eller kunder behöver notifieras Skyldighet enligt artikel 23.2 att informera tjänstemottagare om betydande cyberhot i förekommande fall.
Mellanliggande rapport (på begäran)
Artikel 23.4 c ger myndigheten möjlighet att begära en statusuppdatering mellan 72 h-anmälan och slutrapporten inom en månad. Använd steg 2-fälten med uppdaterade värden.
Statusuppdatering mot steg 2-fälten Enbart delta är godtagbart — lyft fram vad som har förändrats sedan föregående inlämning.
Nyligen identifierade berörda system, användare eller tredje parter
Ändringar av begränsningsstatus
Steg 3 — Inom en månad från steg 2-anmälan (eller en månad efter att incidenten lösts om den fortfarande pågår)
Slutrapport — bekräftad grundorsak, fullständig konsekvensbild, de begränsningsåtgärder som fungerade, och eventuella gränsöverskridande konsekvenser. Om incidenten fortfarande pågår vid en månads tidsgräns, lämna in en lägesrapport och slutrapporten inom en månad från att incidenten lösts.
Detaljerad beskrivning av incidenten, inklusive allvarlighetsgrad och konsekvenser Tidslinjebaserad berättelse; koppla samman steg 1, 2 och eventuella mellanliggande uppdateringar.
Typ av hot eller bekräftad grundorsak Gå från hypotes (steg 2) till bekräftad orsak som stöds av bevisning.
Tillämpade begränsningsåtgärder och deras effektivitet Vad som fungerade, vad som inte fungerade, vilken kvarstående risk som finns.
Gränsöverskridande konsekvenser, i förekommande fall Bekräftad omfattning över medlemsstater och tredjeland.
Lärdomar och förändringar av kontroller Mappa tillbaka till NIS2:s åtgärder för hantering av cybersäkerhetsrisker enligt artikel 21 — vilka kontroller misslyckades, vilka stärktes.
Driftsanmärkningar
- Bygg upp steg 1 och steg 2 som ifyllbara mallar i din plattform för incidenthantering. 24-timmarsklockan är verklig; du kan inte börja utforma formatet under press.
- Använd UTC för varje tidsstämpel. Behöriga myndigheter i medlemsstaterna verkar i sina egna tidszoner och kommer att normalisera — UTC eliminerar tvetydighet.
- Artikel 23 handlar om "betydande" incidenter. En separat triagerubrik (din egen, baserad på artikel 23.3-kriterierna) bör avgöra om anmälan ska ske överhuvudtaget. Att anmäla allt urvattnar signalen; att anmäla för lite riskerar de högre sanktionerna (10 miljoner euro eller 2 % av global omsättning för väsentliga entiteter, 7 miljoner euro eller 1,4 % för viktiga).
- Artikel 23.1 förpliktar också entiteter att i förekommande fall notifiera mottagarna av sina tjänster om betydande cyberhot och de åtgärder eller avhjälpande åtgärder dessa kan vidta. Fånga detta som ett separat arbetsflöde med en egen mall.
- Nationella genomförandelagar varierar. Kontrollera de specifika krav på kanal, format och språk som publicerats av din medlemsstats CSIRT.
Vad "betydande incident" innebär
Artikel 23.3 definierar en betydande incident som en incident som har orsakat eller kan orsaka allvarliga driftstörningar av tjänsterna eller ekonomisk förlust för den berörda entiteten, eller som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka avsevärda materiella eller icke-materiella skador. Den genomförandeförordning (EU) 2024/2690 (sektorsspecifika tröskelvärden för DNS-leverantörer, registrerare av toppdomäner, molntjänstleverantörer och flera andra sektorer för digital infrastruktur) ger konkreta tröskelvärden för de entiteter den täcker; entiteter utanför dess tillämpningsområde måste tillämpa artikel 23.3-kriterierna från fall till fall med dokumenterad motivering.
Källor
- Direktiv (EU) 2022/2555 (NIS2), artiklarna 21 och 23 — https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Kommissionens genomförandeförordning (EU) 2024/2690 (sektorsspecifika tröskelvärden för incidenters betydelse) — https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- ENISA — NIS2-rapporteringsvägledning och CSIRT-kontaktkatalog för medlemsstaterna.
Obs: PowerQuant tillhandahåller mallar och dokumentation för användning i din interna process för incidenthantering — inte juridisk rådgivning. Nationella genomförandelagar för NIS2 varierar avseende tillämpningsområde, språk och kanal; kontrollera de specifika inlämningskraven hos din medlemsstats CSIRT.
PowerQuant Modul 1
Där NIS2 artikel 21 avseende åtgärder för hantering av cybersäkerhetsrisker och anmälningsförfarandet i artikel 23 överlappar med dina skyldigheter som tillhandahållare enligt AI-förordningen, tar Modul 1 fram det samordnade bevisningspaketet inom 5 arbetsdagar.