norppa.io
Oppaat

NIS2-opas · 7 min

NIS2-poikkeamailmoitus: 24 ja 72 tunnin määräajat selitettynä

Kun merkittävä poikkeama iskee, kello käynnistyy heti — ja NIS2 asettaa sarjan tiukkoja, tunneissa mitattavia määräaikoja. Tämä opas kertoo, mikä lasketaan merkittäväksi poikkeamaksi, tarkan ilmoitusaikataulun artiklan 23 mukaan ja tilanteen, joka useimmin jää huomaamatta: milloin toimittajan poikkeama muuttuu sinun ilmoitusvelvollisuudeksesi.

Keskeiset poiminnat

  • Merkittävä poikkeama laukaisee vaiheittaisen ilmoituksen: ennakkovaroitus 24 tunnissa, varsinainen ilmoitus 72 tunnissa, loppuraportti kuukaudessa (art. 23).
  • "Merkittävä" tarkoittaa vakavaa toiminnan häiriötä tai taloudellista tappiota tai huomattavaa vahinkoa muille — kaikki poikkeamat eivät täytä rajaa.
  • Toimittajan tai kolmannen osapuolen poikkeama, joka häiritsee palveluasi, voi käynnistää sinun 24 tunnin kellosi — näkyvyys heihin on osa valmiutta.
  • Ilmoitukset menevät kansalliselle CSIRT:lle tai toimivaltaiselle viranomaiselle; voit joutua ilmoittamaan myös palvelusi vastaanottajille.

Mikä lasketaan "merkittäväksi" poikkeamaksi

Kaikkia poikkeamia ei tarvitse ilmoittaa. Artiklan 23 mukaan poikkeama on merkittävä, jos se on aiheuttanut tai voi aiheuttaa palvelujen vakavan toiminnallisen häiriön tai taloudellista tappiota toimijalle, tai jos se on vaikuttanut tai voi vaikuttaa muihin luonnollisiin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa.

Komissio on asettanut tietyille digitaalisille palveluntarjoajille konkreettisemmat kynnysarvot täytäntöönpanoasetuksessa, mutta periaate pätee kaikilla toimialoilla: arvioi vaikutuksen vakavuuden ja laajuuden, ei hyökkäyksen teknisen uutuuden mukaan. Epävarmassa tilanteessa dokumentoi arviosi — päätöksen olla ilmoittamatta tulee olla yhtä perusteltavissa kuin päätöksen ilmoittaa.

Ilmoitusaikataulu (artikla 23)

Ilmoitus on vaiheittainen: ensin nopea signaali, tarkemmat tiedot myöhemmin. Määräajat lasketaan siitä hetkestä, kun saat tiedon merkittävästä poikkeamasta.

24 tunnin kuluessa — ennakkovaroitus

Ensimmäinen hälytys CSIRT:lle tai toimivaltaiselle viranomaiselle, jossa ilmoitetaan, epäilläänkö poikkeaman johtuvan lainvastaisesta tai vihamielisestä toiminnasta tai voiko sillä olla rajat ylittäviä vaikutuksia.

72 tunnin kuluessa — poikkeamailmoitus

Päivitys alustavalla arviolla: vakavuus ja vaikutus sekä mahdolliset kompromissin indikaattorit.

Pyynnöstä — väliraportti

Jos CSIRT tai viranomainen pyytää, tilannepäivitys poikkeaman käsittelystä.

Kuukauden kuluessa ilmoituksesta — loppuraportti

Yksityiskohtainen kuvaus: juurisyy ja uhkatyyppi, sovelletut ja käynnissä olevat lievennystoimet sekä mahdolliset rajat ylittävät vaikutukset.

Jos poikkeama on vielä käynnissä kuukauden kohdalla, toimitat sen sijaan edistymisraportin, ja loppuraportin kuukauden kuluessa poikkeaman käsittelyn päättymisestä.

Kun jonkun toisen poikkeamasta tulee sinun

NIS2:n ilmoitusvelvollisuus ei rajoitu omissa järjestelmissäsi syntyviin poikkeamiin. Jos toimittaja tai palveluntarjoaja kärsii poikkeaman, joka aiheuttaa merkittävän häiriön tarjoamiisi palveluihin, ilmoitusvelvollisuus voi langeta sinulle — ja 24 tunnin kello käynnistyy, kun saat tiedon, ei silloin kun toimittaja vihdoin kertoo.

Siinä on vaikein osa: toimittajat eivät aina kerro poikkeamista nopeasti, ja viikon myöhässä saapunut ilmoitus on jo polttanut määräaikasi. Valmius riippuu siksi itsenäisestä näkyvyydestä — siitä, että tiedät kriittisen toimittajan ilmestyneen kiristysohjelman vuotosivustolle, tunnusten vuotaneen tai palvelun pimentyneen ilman että odotat heidän sähköpostiaan.

Miten olla valmis ennen kuin kello käynnistyy

Tunneissa mitattavan määräajan täyttäminen on valmistautumista, ei sankaritekoja. Varmista ennen poikkeamaa, että osaat vastata:

Kuka päättää, onko poikkeama "merkittävä", ja kuka tavoittaa CSIRT:n virka-ajan ulkopuolella?
Onko CSIRT:n/viranomaisen yhteystieto ja ilmoituskanava valmiina — ei kriisin keskellä haettuna?
Ovatko toimittajien poikkeamailmoituslausekkeet sopimuksissamme, ja onko ilmoitusaika määritelty?
Onko meillä itsenäinen kriittisten toimittajien valvonta, jotta emme ole sokeita poikkeamalle jota he eivät ole kertoneet?
Pystymmekö tuottamaan aikajanan ja näytön, jonka loppuraportti vaatii — mitä tapahtui, milloin ja mitä teimme?

Lähde: Direktiivi (EU) 2022/2555 (NIS2), artikla 23 — sekä komission täytäntöönpanoasetus tiettyjen digitaalisten palveluntarjoajien merkittävien poikkeamien kynnysarvoista; tarkista kansallisen CSIRT:n ilmoitusportaali oikeasta kanavasta.

Miten norppa.io auttaa

Aikataulun vaikein osa on se, jota et hallitse: toimittajan poikkeama, josta saat tiedon liian myöhään. norppa.io valvoo toimittajiasi jatkuvasti — kiristysohjelman uhrilistaukset ja dark web -tunnusvuodot tarkistetaan noin kuuden tunnin välein välittömällä hälytyksellä — joten toimittajatapahtuma tavoittaa sinut ajoissa oman kellosi käynnistämiseksi.

Ja koska jokainen löydös on aikaleimattu ja kartoitettu NIS2-artikloihin, 72 tunnin ilmoituksen tai kuukauden loppuraportin tarvitsema historia — mitä havaittiin, milloin ja mitä tehtiin — on jo koottu eikä paineen alla rekonstruoitava.

Älä saa tietoa toimittajan poikkeamasta liian myöhään

Katso malliraportista, miten jatkuva toimittajavalvonta nostaa kiristysohjelmat ja vuodot esiin tunneissa.

Katso malliraportti

Aiheeseen liittyvät oppaat

NIS2-laki ja toimitusketjuvaatimus — mitä se tarkoittaa käytännössä

NIS2-direktiivi velvoittaa merkittävät ja tärkeät toimijat arvioimaan toimitusketjunsa kyberriskit. Toimittajatieraus, 4. osapuoli -riski, Art. 23 -ilmoitusvelvollisuus ja mitä tilintarkastaja katsoo.

NIS2 Art. 21(2) — tarkistuslista toimittajille

Tarkistuslista hankinta- ja tietoturvatiimeille: mitä kysyä, mitä dokumentteja pyytää ja miten reagoida, kun toimittaja ei täytä vaatimuksia. Sisältää todentamisasiakirjaehdotukset.

Toimittajan kyberriskiarvio: mitä automaattinen NIS2-seuranta tarkistaa

Kaikki tarkistuskategoriat selitettynä: ransomware, dark web -vuodot, TLS/DNSSEC, evästeet, CVE/EPSS, pakotteet, MX-mustataulut ja SAQ. Löydösten elinkaari ja NIS2-kartoitus.

Ketä NIS2 koskee? Keskeiset ja tärkeät toimijat, toimialat ja kokorajat

Selvitä, koskeeko NIS2 sinua: kaksi luokkaa, liitteen I/II toimialat, kokorajat, koosta riippumattomat poikkeukset ja miten toimitusketju vetää sinut mukaan, vaikka sinua ei olisi nimetty.

NIS2-toimittajakysely (SAQ): mitä kysyä, miten pisteyttää ja valmis malli

Mitä kysyä toimittajilta 21(2)(d) mukaan, miten pisteyttää vastaukset ja reagoida puutteisiin, miksi itsearviointi vaatii todentamista, ja ilmainen valmis kyselymalli.

NIS2 vs DORA: miten ne eroavat, missä menevät päällekkäin ja kumpi koskee sinua

Miten kaksi EU-säädöstä eroavat ja menevät päällekkäin, miksi DORA on lex specialis finanssitoimijoille, kumpi koskee sinua, ja mitä molemmat tarkoittavat kolmannen osapuolen riskille.

NIS2 ja johdon vastuu: mitä hallituksen ja johdon on tiedettävä

Mitä NIS2 odottaa johdolta: hyväksyntä- ja valvontavelvollisuus, henkilökohtainen vastuu (art. 20), koulutus, hallitusraportoinnin mittarit ja art. 34 -seuraamukset.

ISO 27001 ja NIS2: mitä ISMS jo kattaa — ja mitä se ei kata

Jos sinulla on ISO 27001, mikä siirtyy NIS2:een ja mikä ei: lakisääteinen poikkeamailmoitus, johdon vastuu, rekisteröinti ja jatkuva toimitusketjun varmistus — ja miten aukko suljetaan.