Incydent bezpieczeństwa? Masz 24 godziny. Jak działa zgłaszanie według UKSC
Znowelizowana UKSC wprowadza trzyetapowe zgłaszanie incydentów do CSIRT: wczesne ostrzeżenie w 24 godziny, zgłoszenie w 72 godziny i sprawozdanie w miesiąc. Wyjaśniam, jak się do tego przygotować.
Jednym z najbardziej praktycznych obowiązków znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa jest raportowanie incydentów. To obowiązek, którego nie da się spełnić „na papierze” — wymaga działającego procesu, przygotowanych ludzi i zegarka.
Trzy etapy, trzy terminy
Zgłaszanie incydentu do właściwego CSIRT przebiega w trzech krokach:
- Wczesne ostrzeżenie — 24 godziny od wykrycia. Krótki sygnał, że incydent wystąpił. Nie wymaga pełnej analizy — wymaga za to, żeby ktoś w firmie w ogóle wiedział, że ma go wysłać i dokąd.
- Zgłoszenie incydentu — 72 godziny. Szczegółowy opis zdarzenia i wstępna ocena skutków.
- Sprawozdanie końcowe — 1 miesiąc. Pełna analiza incydentu i podjęte działania naprawcze.
Zgłoszenia trafiają do właściwego CSIRT sektorowego lub jednego z CSIRT poziomu krajowego (NASK, GOV, MON).
Co jest incydentem podlegającym zgłoszeniu
Zgłosić trzeba każde zdarzenie, które ma lub może mieć istotny wpływ na świadczenie usługi kluczowej lub ważnej. W praktyce granica bywa nieoczywista — dlatego procedura firmowa powinna definiować progi istotności i wskazywać osobę podejmującą decyzję o zgłoszeniu.
Dlaczego 24 godziny to mało
Doba mija szybko, zwłaszcza gdy incydent wykryto w piątek wieczorem. Firmy, które zdążą, łączy kilka cech:
- mają wyznaczone i zastępowalne osoby odpowiedzialne za zgłoszenia (urlop nie może zatrzymać procedury),
- mają gotowy szablon zgłoszenia i sprawdzone dane kontaktowe właściwego CSIRT,
- przećwiczyły scenariusz — choćby raz, na sucho,
- prowadzą monitoring, dzięki któremu incydent w ogóle zostaje wykryty na czas.
Jak się przygotować
Najlepszym testem gotowości jest symulacja: warsztat, na którym zespół przechodzi wymyślony incydent od wykrycia po sprawozdanie końcowe. Prowadzimy takie warsztaty w ramach szkoleń NIS2, a firmom, które wolą przekazać całość na zewnątrz, oferujemy stałą obsługę incydentów w modelu zewnętrznego zespołu cyberbezpieczeństwa.