top of page
Vyhľadávanie

NIS2 oznamovacia povinnosť: 24 hodín, 72 hodín a finálna správa

  • 7 days ago
  • 4 minút čítania

Oznamovacia povinnosť pri NIS2 sa často zjednodušuje na tri čísla: 24 hodín, 72 hodín a 1 mesiac. V praxi však nejde len o „dodržanie lehoty“, ale o to, či viete rýchlo zistiť dopad, urobiť prvé rozhodnutia a pripraviť podklady tak, aby boli obhájiteľné. 

 

oznamovacia povinnosť

NIS2 nastavuje viacstupňové hlásenie významných incidentov: včasné varovanie do 24 hodín, oznámenie incidentu do 72 hodín a záverečnú správu do jedného mesiaca. Ak incident stále prebieha, môže byť potrebná aj priebežná správa a finálna správa do mesiaca od ukončenia riešenia. 


Oznamovacia povinnosť: čo sa vlastne hlási a komu 

NIS2 pracuje s pojmom významný incident – teda taký, ktorý má významný dopad na poskytovanie služieb. Hlásenie smeruje na príslušný orgán alebo CSIRT podľa národnej úpravy. 

Na Slovensku sa hlásenie závažných kybernetických bezpečnostných incidentov v regulovanom režime realizuje prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti (JISKB), ktorý NBÚ popisuje ako systém pre hlásenie a riešenie incidentov. Aj SK-CERT pri nahlasovaní incidentov uvádza možnosť hlásiť cez JISKB, ak máte pridelený prístup (napríklad ako prevádzkovateľ základnej služby). 


Lehota 24 hodín: včasné varovanie 

Včasné varovanie do 24 hodín má zmysel chápať ako „hlásenie, že sa niečo deje a riešite to“, nie ako hotový forenzný záver. Dôležitý je rýchly, vecný prehľad toho, čo viete v danom momente potvrdiť. 

Čo je užitočné mať pripravené už v tejto fáze: 

  • stručný popis, čo sa stalo (alebo čo sa pravdepodobne deje), 

  • ktoré služby alebo systémy sú dotknuté, 

  • prvotný odhad dopadu (napr. výpadok služby, narušenie dostupnosti, podozrenie na únik dát), 

  • aké kroky ste urobili na zastavenie šírenia (blokácia účtu, izolácia zariadenia, dočasné vypnutie prístupu), 

  • kontaktná osoba a spôsob následnej komunikácie. 

Dôležité je, aby ste vedeli rýchlo pomenovať „čo je kritické“ a „čo už je dopad“. Bez prehľadu v aktívach a procesoch sa 24 hodín veľmi ľahko zmení na stres. 


oznamovacia povinnosť


Lehota 72 hodín: oznámenie incidentu 

Do 72 hodín sa posiela podrobnejšie oznámenie, ktoré dopĺňa a spresňuje informácie z včasného varovania. V tejto fáze už typicky viete lepšie oddeliť potvrdené skutočnosti od predpokladov a doplniť úvodné zhodnotenie závažnosti a dopadu. 

V praxi sa do 72 hodín najčastejšie dopĺňa: 

  • spresnenie rozsahu (koľko používateľov alebo systémov, aké služby), 

  • čo je potvrdené a čo je zatiaľ predpoklad, 

  • predbežná príčina (ak je známa) a spôsob prieniku (ak je identifikovaný), 

  • predbežné vyčíslenie dopadu (prevádzka, finančné škody, reputácia, právne dopady), 

  • prijaté opatrenia a ďalšie plánované kroky, 

  • či existuje riziko šírenia alebo opakovania. 

Práve tu sa často ukáže, či máte nastavené základné záznamy a internú koordináciu. Nie je reálne „vedieť všetko“, ale je reálne vedieť jasne zdokumentovať, čo už viete a čo robíte. 

oznamovacia povinnosť

Finálna správa: do jedného mesiaca 

Finálna správa už nie je „rýchla informácia“. Je to uzatvorenie prípadu – zhrnutie, ktoré sa dá obhájiť spätne. 

Finálna správa typicky obsahuje: 

  • čo sa stalo, kedy a ako (časová os), 

  • koreňová príčina (ak sa dá určiť) a prečo to bolo možné, 

  • rozsah dopadu (čo bolo nedostupné, čo bolo dotknuté), 

  • či došlo k úniku údajov alebo kompromitácii prístupov, 

  • čo ste urobili na odstránenie dopadov, 

  • čo ste zmenili, aby sa situácia neopakovala (bez potreby rozpisovať citlivé interné detaily viac než je nutné), 

  • poučenia a rozhodnutia vedenia. 


oznamovacia povinnosť

Ako sa pripraviť, aby ste lehoty zvládli bez chaosu 

Najlepší spôsob, ako zvládnuť 24/72/1 mesiac, je pripraviť si „predincidentový balík“. V praxi stačí niekoľko vecí: 

  1. Jasné roly a kontakty

    Kto rozhoduje, kto komunikuje, kto zbiera podklady a kto drží čas. V prvých 24 hodinách je chaos najväčší nepriateľ. 

  2. Krátka interná šablóna pre 24 h a 72 h hlásenie

    Nie ako právny dokument, ale ako zoznam polí: čo sa stalo, rozsah, dopad, prvé kroky, kontakty, ďalšie kroky. 

  3. Prehľad kritických aktív a procesov

    Keď viete, čo je kritické, viete rýchlejšie určiť závažnosť a dopad. 

  4. Jednotná metodika hodnotenia rizík a dopadov

    Ak vedenie rozumie škále dopadu, rozhodnutia budú rýchlejšie a záznam bude konzistentný. 

  5. Základné záznamy a evidencia rozhodnutí

    Pri finálnej správe je najdrahšie „spätne skladať príbeh“. Pomáha jednoduchá časová os a evidencia kľúčových rozhodnutí. 

oznamovacia povinnosť

Ako pomáha RiskMinder 

Pri oznamovaní incidentu nebýva najväčší problém samotný formulár. Najväčší problém je rýchlo a konzistentne odpovedať na otázky: čo je dotknuté, aký je dopad, aká je závažnosť a prečo. 


RiskMinder vám v tomto vie pomôcť nepriamo – tým, že máte poriadok v základoch, z ktorých sa podklady tvoria: 

  • register aktív, hrozieb, zraniteľností a rizík v jednom prostredí, 

  • jednotné hodnotenie rizík (risk scoring) naviazané na rámce ako NIS2 a ISO 27001, 

  • priradenie vlastníkov rizík a sledovanie stavu a vývoja riadených rizík (neriešené, znížené, zvyškové, akceptované), 

  • rozširovanie katalógov podľa potrieb, 

  • výstupy použiteľné pre audit a dohľad. 


Keď máte tieto veci nastavené, 24-hodinové varovanie nie je „pokus o odhad“, ale rýchla, vecná informácia opretá o prehľad v aktívach a rizikách. A 72-hodinové oznámenie aj finálna správa sa potom skladajú z dát a rozhodnutí, ktoré máte zachytené priebežne, nie spätne pod tlakom. 

 

FAQ

Čo znamenajú lehoty 24 hodín, 72 hodín a finálna správa?

Je to viacstupňové hlásenie významného incidentu: rýchle varovanie, potom doplnené oznámenie a nakoniec uzatvorenie prípadu so zhrnutím a poučeniami.

Čo má byť cieľom hlásenia do 24 hodín?

Dať vecný signál, že sa niečo deje, viete čo je dotknuté a riešite to. Nemá to byť forenzný záver.

Čo sa typicky dopĺňa do 72 hodín oproti prvému varovaniu?

Spresní sa rozsah a dopad, oddelia sa potvrdené fakty od predpokladov, doplní sa predbežná príčina/prienik (ak je známy) a uvedú sa prijaté a plánované kroky.

Čo má obsahovať finálna správa, aby bola obhájiteľná spätne?

Časovú os, rozsah dopadu, čo bolo príčinou, čo sa spravilo na odstránenie dopadov a čo sa zmenilo, aby sa situácia neopakovala.

Komu sa incident hlási?

Príslušnému orgánu alebo CSIRT podľa národnej úpravy a toho, do akého režimu spadáte.

Ako sa pripraviť, aby ste lehoty zvládli bez chaosu?

Pomáha mať vopred roly a kontakty, krátku internú šablónu pre 24 h/72 h, prehľad kritických aktív a jednoduchú evidenciu kľúčových rozhodnutí.


 
 
 

Komentáre

LOGO_BLACK.png

Riadiace centrum kybernetickej bezpečnosti Vašej organizácie

RiskMinder je softvérový produkt vyvinutý spoločnosťou Inezis Identity Solutions. Kladieme dôraz na kvalitu dodávky, komplexnosť poskytovaných služieb a agilný tvorivý prístup, aby riešenie dávalo zmysel ako pre objednávateľa, tak aj pre koncového používateľa.

Licenčné podmienky

Kontakt

Inezis Identity Solutions s.r.o.
Sekurisova 16

841 02 Bratislava

Slovenská Republika

bottom of page