PowerQuantSESkicka ert frågeformulär

Direktiv (EU) 2022/2555 (NIS2) kräver att väsentliga och viktiga entiteter anmäler sin CSIRT eller behöriga myndighet genom ett stegvis förfarande vid en betydande incident. Artikel 23 fastställer tre frister: tidig varning inom 24 timmar, incidentanmälan inom 72 timmar och slutrapport inom en månad. Medlemsstaterna skulle ha genomfört NIS2 senast den 17 oktober 2024.

Vad som utlöser rapporteringsskyldigheten

Artikel 23.1 kräver att entiteter utan onödigt dröjsmål anmäler CSIRT eller, i förekommande fall, den behöriga myndigheten om varje incident som har en betydande inverkan på tillhandahållandet av deras tjänster. Artikel 23.3 definierar en incident som betydande om den har orsakat eller kan orsaka allvarliga driftstörningar av tjänsterna eller ekonomisk förlust för den berörda entiteten, eller har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka avsevärda materiella eller icke-materiella skador.

Den trestegsbaserade tidslinjen (artikel 23.4)

  1. Inom 24 timmar — tidig varning. En tidig varning till CSIRT eller den behöriga myndigheten, som i förekommande fall anger om den betydande incidenten misstänks ha orsakats av olagliga eller skadliga handlingar eller kan ha gränsöverskridande konsekvenser.
  2. Inom 72 timmar — incidentanmälan. En incidentanmälan som uppdaterar informationen i den tidiga varningen och som innehåller en initial bedömning av den betydande incidenten, inbegripet allvarlighetsgrad och konsekvenser samt, om tillgängligt, indikatorer på kompromittering.
  3. Inom en månad — slutrapport. En slutrapport senast en månad efter att incidentanmälan lämnats in, inbegripet: a) en detaljerad beskrivning av incidenten, dess allvarlighetsgrad och konsekvenser; b) typen av hot eller grundorsak som troligen utlöste incidenten; c) tillämpade och pågående begränsningsåtgärder; och d) i förekommande fall, gränsöverskridande konsekvenser.

När incidenten fortfarande pågår

Artikel 23.4 d föreskriver att om incidenten fortfarande pågår när slutrapporten ska lämnas in måste entiteten i stället lämna en lägesrapport vid den tidpunkten och en slutrapport inom en månad från det att incidenten hanterats.

Artikel 23.2 lägger till en separat skyldighet: i förekommande fall ska entiteten utan onödigt dröjsmål informera mottagarna av sina tjänster om en betydande incident som sannolikt kommer att påverka tillhandahållandet av tjänsten negativt, och om incidenten sannolikt negativt påverkar mottagaren ska entiteten även meddela de åtgärder mottagaren kan vidta som respons.

Mellanliggande rapport på begäran

Artikel 23.4 c ger CSIRT eller den behöriga myndigheten möjlighet att begära en mellanliggande rapport om relevanta statusuppdateringar. CSIRT ska även, enligt artikel 23.4 b, lämna ett svar till entiteten inom 24 timmar efter den tidiga varningen, inbegripet initial återkoppling och, på entitetens begäran, vägledning eller operativa råd.

Överlappning med AI-förordningens allvarliga-incident-ordning enligt artikel 73

Om en NIS2-incident även utgör en allvarlig incident enligt EU:s AI-förordning (artikel 3.49: en incident eller felfunktion hos ett AI-system som direkt eller indirekt leder till dödsfall eller allvarlig skada på hälsan, allvarlig egendomsskada eller miljöskada, allvarlig och irreversibel störning av kritisk infrastruktur eller intrång i unionsrätt som skyddar grundläggande rättigheter), ska leverantörer av högrisk-AI-system rapportera detta enligt artikel 73 — inom 15 dagar för allmänna allvarliga incidenter, omedelbart och senast inom 2 dagar vid utbredd intrång eller allvarlig och irreversibel störning av kritisk infrastruktur, och inom 10 dagar vid dödsfall.

Tillhandahållare är inte den primära rapporteraren enligt artikel 73, men artikel 26.5 kräver att tillhandahållare informerar leverantören, distributören och den berörda marknadsövervakningsmyndigheten samt tillfälligt avbryter användningen om de har skäl att anta att det högrisk-system de använder utgör en risk i den mening som avses i artikel 79.1.

Checklista för tillhandahållarens bevisning

  • Skriftligt SOP för incidentklassificering som är knutet till kriterierna för betydande incidenter i artikel 23.3.
  • Mall för tidig varning inom 24 timmar med fält för gränsöverskridande konsekvenser och misstänkt illvillig aktör.
  • Mall för incidentanmälan inom 72 timmar med fält för allvarlighetsgrad, konsekvenser och indikatorer på kompromittering.
  • Mall för slutrapport inom en månad, plus mall för lägesrapport vid pågående incidenter.
  • Mall för mottagarnotifiering enligt artikel 23.2 för nedströmskunderna.
  • Beslutsmatris som mappar en enskild incident mot NIS2 artikel 23 + AI-förordningen artikel 73 + GDPR artikel 33.
  • Namngiven NIS2-kontaktperson för incidentrapportering och eskaleringsväg utanför kontorstid.
  • Loggar bevarade i minst 6 månader i linje med AI-förordningen artikel 26.6 för varje AI-systemrelaterad incident.

Vanliga missuppfattningar

  • "24/72 timmar är hela fristen." Nej — 24-timmarsmilstolpen är endast en tidig varning; den formella anmälan förfaller vid 72 timmar och en slutrapport är förfallen vid en månad.
  • "Betydande innebär ett större avbrott." Artikel 23.3 är vidare: ekonomisk förlust, allvarliga driftstörningar eller avsevärda materiella eller icke-materiella skador för andra parter kvalificerar alla.
  • "NIS2 gäller inte oss — vi är för små." Sektorlistan i Bilaga I och II kombinerat med storleksgränsen i artikel 2.1 (medelstort eller stort, dvs. 50+ anställda eller 10+ miljoner euro i omsättning) fångar fler HR-tech- och SaaS-leverantörer än NIS1 gjorde; kontrollera den specifika nationella genomförandelagstiftningen.
  • "En rapport täcker NIS2 och AI-förordningen." De två regelverken har separata tidslinjer, separata myndigheter (CSIRT kontra marknadsövervakningsmyndighet) och delvis olika innehållskrav. Mappa dem separat.

Relaterade EU-guider

Källor

Obs: NIS2 är ett direktiv; de operativa detaljerna fastställs av respektive medlemsstats genomförandelag. Bekräfta vilken nationell CSIRT, behörig myndighet och rapporteringsportal som gäller för din etablering. PowerQuant tillhandahåller programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning.

PowerQuant Modul 1

AI-inventering plus NIS2-mallar för incidentrapportering och en beslutschecklista för 24 h/72 h/en månad, levereras inom 5 arbetsdagar. Fast pris, ingen prenumeration.