Jak przygotować firmę do zgłaszania incydentów w 24 i 72 godziny według NIS2 i KSC
Unijne przepisy NIS2 oraz KSC wprowadzają rygorystyczne zasady gry – zaledwie 24 godziny na wysłanie pierwszego zgłoszenia i 72 godziny na przygotowanie pełnego raportu to wyrok dla większości firm. Jak uniknąć kar, zaplanować każdą godzinę i ułożyć współpracę działu IT, zarządu, działu PR oraz prawników, aby zdążyć na czas? Przedstawiamy konkretny plan działania.
Dlaczego 24 godziny na zgłoszenie incydentu NIS2 to w rzeczywistości za mało czasu dla większości firm?
Doba. Przez ten czas można zorganizować ważne spotkanie, przeszkolić pięciu nowych pracowników i domknąć kluczowy kontrakt. W czasie incydentu ten czas kurczy się jednak tak, jakby funkcjonował w innej przestrzeni: wskazówki zaczynają pędzić, a każda upływająca godzina przybliża zarząd do złamania unijnego prawa.
Dlaczego się tak dzieje? Sprawa jest prosta: większość firm myśli, że unijny zegar rusza, gdy w poniedziałek admin włączy komputer, dowiadując się o incydencie z weekendu. Niestety, NIS2 działa zupełnie inaczej. Według zawiłych reguł dyrektywy, firma dowiaduje się o incydencie w chwili, gdy zarejestruje go system. System – nie człowiek. Zegar zaczyna tykać znacznie wcześniej.
W tym momencie, choć incydent powinien być już w fazie raportowania, w tradycyjnym IT zaczyna się dopiero etap żmudnej pracy. Admin najpierw kojarzy fakty z błędem technicznym, a nie atakiem, szuka przyczyny po omacku i zastanawia się, czy zgłaszać sprawę wyżej, skoro brakuje mu pewności. Zegar dalej tyka.
W nowoczesnej automatyce ochronnej, zgłaszanie incydentów i raportowanie NIS2 odbywa się w 24 i 72 godziny. Umożliwia to automatyczny system SOC 24/7, który w kilka minut stawia gotową diagnozę. Firma z 24 godzin, które normalnie uciekłyby na panikę, zużywa więc tylko kwadrans na weryfikację. Ponieważ zaś system daje pełne, niepodważalne dowody, IT przestaje czuć paraliż przed wyjściem na panikarza. Monitoring tego typu zapewniamy na co dzień dziesiątkom klientów – daj znać, a zaproponujemy ofertę również Tobie.
Próg 24 godzin: jak przygotować IT na moment pierwszego uderzenia?
„Zgłaszanie incydentów NIS2 24/72 godziny” brzmi dość chaotycznie. W rzeczywistości proces rozbity na dwa okna czasowe dotyczy tego samego wydarzenia – rozbity jest po prostu na etapy.
W ciągu pierwszych 24 godzin firma musi ustalić, że problem w ogóle wystąpił. Rolą IT w tym czasie jest weryfikacja zdarzenia i postawienie diagnozy. Problem zaczyna się w momencie, gdy system zarejestruje anomalię w nocy, poza godzinami pracy działu. W takiej sytuacji na dalsze działania zostaje zazwyczaj zbyt mało czasu – nie wspominając nawet o scenariuszu, gdy anomalia wystąpi w weekend. Z racji, że człowiek nie jest od razu alarmowany, zagrożenia można nie wykryć zresztą na czas, narażając się tym samym na kosztowne kary.
Właśnie w takiej sytuacji plusuje system SOC 24/7, pozwalający na zgłaszanie i raportowanie incydentów NIS2 w kolejno 24 i 72 godziny. SOC działa jak filtr: natychmiast łączy ze sobą na pozór niepowiązane informacje, a zgłoszenie przyjmują zewnętrzni analitycy IT-Develop – bez względu na dzień i godzinę. Rola zarządu ogranicza się w tym przypadku do wyznaczenia człowieka odpowiedzialnego za podejmowanie szybkich decyzji. Taka osoba decyzyjna ma prawny obowiązek wysłać wczesne ostrzeżenie do urzędu: samodzielnie, bez budzenia prezesa i pytania go o zgodę wczesnym rankiem. Właśnie w takiej roli postawić możesz jednego z naszych ekspertów.
Próg 72 godzin: jak ułożyć współpracę prawnika, PR i zarządu?
Po zaliczeniu pierwszego progu presja wcale nie spada. Państwo oczekuje właściwego raportu – nie zadowoli się już samym zapewnieniem o wystąpieniu problemu. W przypadku tradycyjnej współpracy między działem IT a działem prawnym i komunikacyjnym, godziny przepadają na czystym przekładaniu języka technologicznego na fakty i ustalenia. Prawnik nie rozumie w okńcu kodu, czas na wysyłanie oficjalnego pisma ucieka, a PR traci czas na przygotowanie 10 różnych wersji komunikatów.
Również w tym przypadku plusuje kompletna usługa zgłaszania incydentów NIS2 w 24 i 72 godziny. Wraz z naszą obsługą zapewniamy ekspresowe przygotowywanie raportu z incydentu, napisanego tak, że z gotowych klocków informacji w ciągu godziny można przygotować bezbłędne pismo urzędowe.
Dział związany z komunikacją i IT przygotowujemy jeszcze przed wystąpieniem jakiegokolwiek incydentu. W czasie kryzysu nie ma czasu na wymyślanie wszystkiego od zera – dostarczamy więc gotowe szablony, odpowiadające sytuacjom, na które może być narażona Twoja konkretna firma (bazując na wcześniejszej analizie technicznej). Wystarczy uzupełnić je o fakty z przesłanego i napisanego prostym językiem raportu z IT-Develop.
Rola zarządu opiera się na podobnym, jeszcze bardziej wnikliwym przygotowaniu – rozpoczynamy je na długo przed wdrożeniem usługi. Polega ono na stworzeniu matrycy strat i krytyczności aktywów. Dzięki temu w oknie 72 godzin zarząd nie debatuje nad teoriami. Wie od razu, jak ocenić skalę incydentu, jakich strat może się spodziewać i co przyczyniło się do ataku bądź wycieku.
Dodatkowy krok – czyli co dzieje się po 72 godzinach?
Choć kurz opada po 72 godzinie, proces wcale nie kończy się w tym czasie. NIS2 i KSC nakładają na firmy kolejny obowiązek, związany z koniecznością wysłania raportu końcowego – zazwyczaj w ciągu 30 dni od wystąpienia incydentu.
W tradycyjnym IT po ataku wszyscy chcą jak najszybciej zapomnieć o sprawie: zrestartować serwery, przeinstalować systemy i szybko przywrócić niesprawdzone kopie zapasowe, tym samym bezpowrotnie niszcząc cenne logi. Kilka dni później, gdy trzeba przystąpić do pisania raportu, IT pisze go z pamięci – dla urzędników jest to oczywiście dowodem na kompletną niekompetencję.
W przypadku korzystania z usług SOC 24/7, zewnętrzny zespół od pierwszych sekund odpowiedzialny jest za gromadzenie dowodów i sprawdzanie ścieżki, którą przeszedł intruz, wraz z wykryciem backdoorów. Dostarcza też firmie listę konkretnych kroków do wdrożenia, cały czas współpracując z wewnętrznym działem IT klienta – modele współprace celowo odbierające mu autonomię (oczywiście: dla zysku!) odchodzą już do lamusa. Na bazie tych jasno przedstawionych danych prawnicy i zarząd przygotowują plan naprawczy, którego wdrożeniem w synergii z firmą klienta może zająć się sam podmiot odpowiedzialny za monitoring SOC.
Jak wdrożyć bezbłędny proces raportowania pod NIS2 i KSC?
Wdrożenie procesu, który zapewni Ci bezbłędne zgłaszanie incydentów NIS2 w 24 i 72 godziny opiera się przede wszystkim na zaawansowanym przygotowaniu merytorycznym. Nie wystarczy uruchomić byle jakiej usługi u byle jakiej firmy – sprawdź, jak podchodzą do tego profesjonaliści i czego powinieneś spodziewać się po kompleksowej współpracy.
- Przed jakimkolwiek wdrożeniem należy wyznaczyć krytyczne systemy i punkty podlegające ochronie. Konieczne jest również sprawdzenie, kto w firmie odpowiada za poszczególne etapy analizy i zgłoszenia – wraz z przypisaniem konkretnych ról. Dzięki temu zyskujesz pewność, że budżet trafia tam, gdzie ewentualna awaria mogłaby najmocniej uderzyć w finanse.
- Następnie zainstalować należy spięcie systemów firmy z zewnętrznym monitoringiem SOC 24/7, który nieprzerwanie analizuje wszelkie logi. W tym momencie firma powinna upewnić się, że wyznaczony zespół zewnętrznych inżynierów przejmuje wartę w najbardziej zagrożonych oknach czasowych: w nocy i w weekend. Eliminuje to ryzyko związane z rozpoczęciem działań dopiero w poniedziałek – po niewykryciu weekendowego incydentu.
- Kolejnym krokiem jest stworzenie dedykowanych instrukcji i scenariuszy na wypadek konkretnych ataków – dokładnie tych, których prawdopodobieństwo wystąpienia zmapowane zostało już w pierwszym kroku. Każda z ról otrzymuje gotowy scenariusz postępowania z uwzględnieniem czasu od wystąpienia incydentu. Eliminujesz w ten sposób chaos decyzyjny – pracownicy przestają tracić cenne minuty na zastanawianie się, do kogo powinni zadzwonić w pierwszej kolejności.
- Uruchomienie systemu powinno opierać się na symulacji ataku, który zweryfikuje, czy mechanizm (wraz z ludzką obsługą poszczególnych działań) funkcjonuje bezbłędnie. Taki test zapewnia stuprocentową pewność, że w razie prawdziwego ataku firma zmieści się w ustawowych 24 i 72 godzinach wyznaczonych przez NIS2. Przeprowadzony w taki sposób sprawdzian pozwala bezstresowo namierzyć i naprawić błędy w komunikacji, wyprzedzając ruch prawdziwego agresora.
- Cały proces wspierają opcjonalne usługi: regularne testy penetracyjne, skanowanie podatności, szkolenia Security Awareness czy wdrożenie polityk Zero Trust. Działają one jak tarcze prewencyjne, drastycznie zmniejszające prawdopodobieństwo tego, że unijna procedura alarmowa w ogóle będzie musiała ruszyć.
Realizację tych kroków możesz zacząć od wstępnego, całkowicie darmowego audytu z architektem bezpieczeństwa IT-Develop. Pokażemy Ci, obsługa formalności związanych z NIS2 w 24 i 72 godziny może stać się potężną kartą przetargową i zabezpieczeniem również w Twojej firmie – i na Twoich zasadach.