Řízení kybernetických incidentů podle NIS2 – hlášení a lhůty

Co je kybernetický bezpečnostní incident podle zákona

Základním předpokladem pro úspěšné plnění nařízení je schopnost poznat, kdy k problému skutečně došlo. Zákon (v § 2) v tomto striktně odlišuje kybernetickou bezpečnostní událost – tedy jev nebo jakoukoliv nestandardní aktivitu systému signalizující možné narušení – a plnohodnotný kybernetický incident.

Když se daná událost totiž projeví jako reálné, potvrzené nebo dokonce cílené narušení bezpečnosti informací v určitém prostoru, z události stává legislativně a procedurálně incident, který nastupuje do rigidního reportingovacího procesu s vážnými dopady na pád systémů nebo případnou újmu a obří finanční ztráty organizace (od ransomwarového napadení celkové šifrované soustavy až po brutální narušení citlivých datových center přes zneužitý log dodavatelského řetězce).

Kdo hlásí incidenty a komu

Ve chvíli potvrzení incidentu se otevírá klíčová otázka reportování. Nařízení nerozšiřuje hlášení naslepo, komunikace má přesně daného adresáta státní složky vycházejícího z povahy a významu zasažené činnosti organizace:

• Organizace v režimu vyšších povinností: Jsou povinni veškeré podezřelé děje ohrozitelné kyberprostorem s prvkem úmyslného zavinění hlásit jedné autoritě – přímo napřímo centrále do NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost).
• Organizace v režimu nižších povinností: Řeší povinnost oznamovat odhalené útoky s definovaně prokazatelným významným dopadem, a sice orgánu provozujícímu Národní CERT.
• Pro provozovatele kritické nebo samotné masivní digitální infrastruktury a strategicky ohleduplné digitální komerční domovské stanice se nahlašovací mandát automaticky aktivuje ke kterémukoli incidentu u NÚKIBu.

Lhůty hlášení a časová osa incidentu

Díky postupné transpozici se Evropa skrze zákon o kybernetické bezpečnosti domluvila na časové harmonizaci reakčních mechanismů tak, aby státní tělesa stíhala informovat celkové sítě dalších firemních segmentů vůči neovladatelnému šíření paniky nebo výpadkům.

Vaše týmy se v momentě potvrzení krize ocitají na velice neúprosné časové ose plné klíčových termínů, proti kterým neznalost absolutně neomlouvá:

1. Základem je do 24 hodin tzv. Prvotní hlášení. Od chvíle samotného vzniku potvrzeného ohrožení musíte centrále poslat vaše prvotní identifikační i velmi hrubá technická data o ohrožení s konstatováním, zda se dopad šíří nadnárodně, nebo v rovině nezákonného cíleného aktu.
2. Očekávejte taktéž do velmi krátkých 24 hodin jasné zpětné vyjádření příslušného odštěpného subjektu, nebo i přímo NÚKIBU k dopadům a dalším mechanismům spolupráce napříč rozborem incidentu.
3. Proces plynule a tvrdě navazuje přesněji do 72 hodin rozpracovaným „Oznámením.“ Nebezpečně probíhající a znatelné krize tady získají hrubý obraz prozatímních celkových dopadů, možná nastolení prvotně uplatněné identifikace pachatele pro celostátní soustavu formou zaznamenání takzvaných indikátorů kompromitace (IoC).
4. Proces zakončíte do 30 dnů od oznámení formou absolutně Závěrečné zprávy s celostně zjištěným ohledáním řešení incidentu (nebo průběžnou měsíční aktualizační depeší do zdárného řešení trvající roční paralýzy podniku).

Jak hlásit: Portál Úřadu a jeho alternativy

Jak přesně tato kriticky citlivá a okamžitá státní data předávat? Hlavním proudem k naplnění celého řetězcového mechanismu se podle norem po roce 2025 stává Portál Úřadu, který jako zabezpečená státní komunikační síť řeší prvotní formulářové platformní podání i následnou on-line komunikaci mezi orgánem dohledu a postiženým celkem např. z řad výrobních hal nebo nemocnic.

Aby nevzniklo kritické selhání závislosti přes případný napadnutelný portál, nařízení (§ 16 odst. 4) pro firmy vyžaduje spolehlivě vymezené krizové komunikační struktury k alternativním kanálům z vyššího/nižšího režimu v klasické podobě přes certifikovanou poštu typu doručení Datovou schránkou, případně ověřenými e-mailovými komunikačními klienty.

Jak se připravit – incident response plán

Zákon k dodržení podobného mechanismu 24/72 samozřejmě neposkytne funkční postup. Organizace jsou včas nuceny zapracovat své vnitřní záchranné i hlásící strategie, např. podle certifikovaných normových mechanismů řízení ze spřátelené formace ISO 27035 (Management incidentů).

Jak prakticky připravit tým od základu ve firemním životě před odvozením legislativního rámce k řízení události?

• Proveďte zrevidování interních logik, kdo události hlásí a do kolika minut probíhá okamžitá eskalační síť nadřazeným členům organizace pro start krize k odpočtu státní lhůty pro samotný odpočet NÚKIB/CERT.
• Implementujte propracovanou detekci do celé soustavy řízení organizace přes síťové monitoringy nebo systémy SIEM zaznamenávající klíčové abnormality logů 24/7.
• Začleňte do týmu propracované přednastavené a nanečisto zkoušené formulářové i dopadové reporty, na jejichž vyplňování při výpadku chodu a masivním nátlaku na obnovení infrastruktury podle byznysových priorit nebudete chtít hledat prostorové tabulky naslepo.

Sankciování za neplnění hlášeních prvků

Důraz úřadů na přesný záchyt informací do databáze udává masivní sankční postih, neboť se stává prvkem národní i ekonomické stability. Nerespektování těchto jasně nastavených 24 a 72hodinových mantinelů ve finále spadá do kategorie těžkého nedodržení režimu bezpečnostních povinností organizace.

Pokuty tím sahají (v soustavách podle zmíněných úřadů v závislosti na formě režimu zajištění kritičnosti a tržních ročních objemů firem) od 175 k až tvrdým a reálně použitelným 250 milionům korun s plnohodnotným personálním stíháním podle zmíněným principů dopadu legislativní role úředního zajištění managementu ze strany státní zprávy podle nového úseku zmíněného § 58.