องค์กรของคุณตรวจพบกิจกรรมเครือข่ายที่ผิดปกติ ทีมไอทีของคุณตรวจสอบและพบการเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต คุณสามารถควบคุมภัยคุกคามได้แล้ว ตอนนี้คำถามเร่งด่วนคือ คุณจำเป็นต้องรายงานเรื่องนี้ต่อหน่วยงานที่เกี่ยวข้องหรือไม่? ต้องรายงานใครบ้าง? คุณต้องให้ข้อมูลอะไรบ้าง? คุณมีเวลาเท่าไหร่?
ภายใต้ NIS2 และกฎหมายของเนเธอร์แลนด์ องค์กรหลายแห่งต้องรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ต่อหน่วยงานภาครัฐภายในกำหนดเวลาที่เข้มงวด โดยทั่วไปคุณจะมีเวลาประมาณ 24 ถึง 72 ชั่วโมงหลังจากตรวจพบ ระเบียบข้อบังคับระบุว่าหน่วยงานใดจะได้รับรายงานของคุณ ข้อมูลที่คุณต้องให้ และรูปแบบที่กำหนด หากพลาดกำหนดเวลาหรือรายงานไปยังหน่วยงานที่ไม่ถูกต้อง คุณจะต้องเผชิญกับค่าปรับจำนวนมาก การดำเนินการบังคับใช้ และความรับผิดทางกฎหมายที่อาจขยายไปไกลกว่าเหตุการณ์เริ่มต้นนั้นเอง
คู่มือนี้จะแสดงให้คุณเห็นอย่างชัดเจนถึงวิธีการปฏิบัติตามหน้าที่การรายงานของคุณ คุณจะได้เรียนรู้ว่ากฎหมายใดบ้างที่ใช้บังคับกับองค์กรของคุณ เมื่อใดที่เหตุการณ์ต้องได้รับการรายงาน หน่วยงานใดบ้างที่ต้องแจ้งในแต่ละขั้นตอน รายงานแต่ละฉบับต้องมีข้อมูลอะไรบ้าง และวิธีการสร้างขั้นตอนที่ใช้งานได้จริง เราจะข้ามศัพท์ทางกฎหมายที่ซับซ้อนและมุ่งเน้นไปที่ขั้นตอนปฏิบัติที่คุณสามารถดำเนินการได้ทันทีเพื่อให้เป็นไปตามกฎหมายและปกป้ององค์กรของคุณ
หน้าที่ของคุณในการรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์คืออะไร
หน้าที่ในการรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ของคุณนั้นขึ้นอยู่กับขนาดขององค์กร ประเภทธุรกิจ และบริการที่คุณให้บริการ หน่วยงานสำคัญ (พลังงาน การขนส่ง การธนาคาร การดูแลสุขภาพ โครงสร้างพื้นฐานที่สำคัญ) และ หน่วยงานสำคัญ (บริการไปรษณีย์ การจัดการขยะ ผู้ให้บริการดิจิทัล การผลิตอาหาร) ต้องรายงานข้อมูลภายใต้ NIS2 หากคุณดำเนินธุรกิจโครงสร้างพื้นฐานที่สำคัญหรือบริการดิจิทัลสำหรับผู้บริโภคชาวดัตช์ คุณก็แทบจะอยู่ภายใต้กฎเหล่านี้อย่างแน่นอน
คุณต้องดำเนินการรายงานให้ครบทั้งสามขั้นตอน
คุณเผชิญหน้า ภาระผูกพันในการรายงานแยกกันสามประการ โดยมีกำหนดส่งงานที่แตกต่างกัน หน้าที่แรกของคุณจะเริ่มต้นภายใน การตรวจจับตลอด 24 ชั่วโมง เหตุการณ์สำคัญ: คุณส่งสัญญาณเตือนล่วงหน้าไปยังทีมตอบสนองเหตุการณ์ด้านความปลอดภัยทางคอมพิวเตอร์ (CSIRT) หรือหน่วยงานที่เกี่ยวข้อง การแจ้งเตือนเบื้องต้นนี้จะระบุเหตุการณ์และชี้ให้เห็นว่าคุณสงสัยว่ามีการกระทำที่เป็นอันตรายหรือผลกระทบข้ามพรมแดนหรือไม่
ภายใน 72 ชั่วโมงคุณต้องส่งรายงานแจ้งเหตุการณ์ โดยรายงานนี้จะรวมถึงการประเมินเบื้องต้นเกี่ยวกับความรุนแรง ผลกระทบ ระบบที่ได้รับผลกระทบ และตัวบ่งชี้การละเมิดที่มีอยู่ คุณต้องให้รายละเอียดทางเทคนิคที่ช่วยให้หน่วยงานที่เกี่ยวข้องเข้าใจขอบเขตและลักษณะของการละเมิดได้ดียิ่งขึ้น
องค์กรที่ไม่ปฏิบัติตามกำหนดเวลาเหล่านี้อาจถูกปรับเป็นเงินสูงสุด 10 ล้านยูโร หรือ 2% ของรายได้ประจำปีทั่วโลกภายใต้ NIS2 แล้วแต่จำนวนใดจะสูงกว่า
รายงานฉบับสุดท้ายของคุณมาถึงแล้ว ภายในหนึ่งเดือน เอกสารฉบับนี้ประกอบด้วยรายละเอียดการแจ้งเหตุการณ์อย่างครบถ้วน ครอบคลุมขอบเขตทั้งหมดของเหตุการณ์ การวิเคราะห์สาเหตุหลัก มาตรการบรรเทาที่คุณได้ดำเนินการ และผลกระทบข้ามพรมแดน หากคุณยังคงจัดการกับเหตุการณ์อยู่เมื่อครบกำหนดหนึ่งเดือน คุณจะต้องส่งรายงานความคืบหน้า และรายงานฉบับสุดท้ายภายในหนึ่งเดือนหลังจากแก้ไขปัญหาเสร็จสิ้น
หน้าที่เพิ่มเติม นอกเหนือจากการรายงานเบื้องต้น
ยังต้อง แจ้งให้ผู้ที่เกี่ยวข้องทราบ เมื่อเกิดเหตุการณ์สำคัญที่ส่งผลกระทบต่อผู้รับบริการ การแจ้งเตือนนี้จะเกิดขึ้นโดยไม่ล่าช้าเกินควร และรวมถึงขั้นตอนปฏิบัติที่ผู้รับบริการสามารถดำเนินการเพื่อปกป้องตนเองได้ ผู้ให้บริการด้านความไว้วางใจ โดยเฉพาะอย่างยิ่ง ระยะเวลา 72 ชั่วโมงจะลดลงเหลือ 24 ชั่วโมงสำหรับเหตุการณ์ที่ส่งผลกระทบต่อบริการด้านความไว้วางใจ
ทีม CSIRT หรือหน่วยงานที่เกี่ยวข้องจะตอบกลับภายใน 24 ชั่วโมงหลังจากได้รับการแจ้งเตือนล่วงหน้า โดยจะให้ข้อมูลเบื้องต้นและคำแนะนำในการปฏิบัติงานเกี่ยวกับมาตรการบรรเทาผลกระทบ
ขั้นตอนที่ 1. ระบุว่ากฎหมายของสหภาพยุโรปและกฎหมายของเนเธอร์แลนด์ข้อใดบ้างที่ใช้บังคับกับคุณ
คุณต้องพิจารณาว่า กรอบการกำกับดูแล กำหนดระเบียบการรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ของคุณก่อนที่เหตุการณ์จะเกิดขึ้น NIS2 (ระเบียบว่าด้วยความปลอดภัยของเครือข่ายและข้อมูล) มีผลบังคับใช้ในวงกว้างทั่วประเทศเนเธอร์แลนด์ แต่ DORA (พระราชบัญญัติความยืดหยุ่นในการดำเนินงานดิจิทัล) และ กฎการดำเนินการเฉพาะของเนเธอร์แลนด์ สร้างภาระผูกพันเพิ่มเติมสำหรับบางภาคส่วน เริ่มต้นด้วยการประเมินองค์กรของคุณตามเกณฑ์ของแต่ละกรอบงาน
ตรวจสอบว่า NIS2 มีผลบังคับใช้กับองค์กรของคุณหรือไม่
NIS2 จะใช้ได้หากคุณมีคุณสมบัติตามที่กำหนด หน่วยงานสำคัญ or หน่วยงานสำคัญหน่วยงานสำคัญได้แก่ องค์กรในด้านพลังงาน การขนส่ง การธนาคาร โครงสร้างพื้นฐานตลาดการเงิน สุขภาพ น้ำดื่ม น้ำเสีย โครงสร้างพื้นฐานดิจิทัล การบริหารราชการ และอวกาศ ส่วนหน่วยงานที่สำคัญได้แก่ บริการไปรษณีย์ การจัดการขยะ สารเคมี การผลิตอาหาร การผลิตสินค้า ผู้ให้บริการดิจิทัล และองค์กรวิจัย
ขนาดองค์กรของคุณมีความสำคัญเฉพาะในกรณีที่... ผู้ให้บริการด้านบริการดิจิทัล (DSPs) คุณจะจัดอยู่ในกลุ่ม NIS2 ในฐานะ DSP หากคุณดำเนินธุรกิจตลาดออนไลน์ บริการคลาวด์ หรือเครื่องมือค้นหาที่มีอย่างน้อย พนักงาน 50 และอย่างใดอย่างหนึ่ง ยอดขายประจำปี 10 ล้านยูโร or ทรัพย์สินรวม 10 ล้านยูโรหน่วยงานสำคัญและจำเป็นอื่นๆ ทั้งหมดล้วนมีภาระผูกพันไม่ว่าจะขนาดใดก็ตาม
หากคุณดำเนินงานด้านโครงสร้างพื้นฐานที่สำคัญ หรือเคยได้รับการกำหนดภายใต้คำสั่ง NIS เดิม (Wbni) คุณจะมีคุณสมบัติโดยอัตโนมัติภายใต้ NIS2
รัฐบาลเนเธอร์แลนด์มีทะเบียนรายชื่อหน่วยงานที่ได้รับการกำหนดไว้ โปรดตรวจสอบกับหน่วยงานที่รับผิดชอบในภาคส่วนของคุณ (พลังงานและโครงสร้างพื้นฐานดิจิทัลรายงานไปยัง RDI; บริการทางการเงินไปยัง AFM และ DNB; การดูแลสุขภาพไปยัง IGJ) เพื่อยืนยันสถานะของคุณ คุณควรตรวจสอบข้อมูลนี้ ก่อนวันที่ 2026 มกราคม เมื่อเริ่มมีการบังคับใช้กฎหมายอย่างเข้มงวดมากขึ้น
ตรวจสอบว่า DORA ครอบคลุมบริการทางการเงินของคุณหรือไม่
DORA มีผลบังคับใช้แยกต่างหากกับ สถาบันการเงิน และ ผู้ให้บริการด้านไอซีที ให้บริการแก่พวกเขา คุณจะอยู่ภายใต้ DORA หากคุณดำเนินธุรกิจในฐานะสถาบันสินเชื่อ ผู้ให้บริการชำระเงิน บริษัทประกันภัย บริษัทลงทุน ผู้ให้บริการสินทรัพย์ดิจิทัล หรือสถาบันเงินอิเล็กทรอนิกส์ กฎระเบียบนี้ดำเนินการควบคู่ไปกับ NIS2 โดยมีหลักเกณฑ์ของตนเอง ข้อกำหนดในการรายงาน.
ผู้ให้บริการทางการเงินรายงานเหตุการณ์สำคัญต่อทั้งสองฝ่าย AFM (ผ่านทางพอร์ทัล AFM) และ DNB (ผ่าน My DNB) นอกเหนือจาก RDI แล้ว คุณต้องลงทะเบียนข้อมูลทั้งหมดด้วย ข้อตกลงตามสัญญากับ บุคคลที่สามด้านไอซีที สำหรับการดำเนินการที่สำคัญหรือจำเป็นผ่านทางพอร์ทัลเหล่านี้ภายในกรอบเวลาที่กำหนด
ประเมินภาระผูกพันของผู้ให้บริการดิจิทัลของคุณ
Wbni (การนำไปใช้ในเนเธอร์แลนด์) สร้างหน้าที่เฉพาะเจาะจงหากคุณให้ข้อมูล ตลาดออนไลน์, การประมวลผลบนคลาวด์ หรือเครื่องมือค้นหาคุณรายงานเหตุการณ์ไปยังทั้งสองแห่ง RDI และ ซีเอสไออาร์ที-ดีเอสพี (ทีมรับมือเหตุการณ์ฉุกเฉินเฉพาะทางสำหรับผู้ให้บริการดิจิทัล) ซึ่งแตกต่างจากหน่วยงานสำคัญในภาคส่วนอื่นๆ คุณต้องปฏิบัติตามเกณฑ์ขนาดองค์กร: พนักงาน 50 คนขึ้นไป และมีรายได้หรือสินทรัพย์ 10 ล้านยูโรขึ้นไป
ผู้ให้บริการความไว้วางใจต้องเผชิญกับอะไรบ้าง กำหนดเวลาเร่งด่วน ภายใต้ระเบียบ eIDAS คุณต้องรายงานเหตุการณ์สำคัญที่ส่งผลกระทบต่อบริการด้านความไว้วางใจภายใน 24 ชั่วโมง แทนที่จะเป็นกรอบเวลามาตรฐาน 72 ชั่วโมงที่ใช้กับหน่วยงานอื่นๆ
ขั้นตอนที่ 2. กำหนดว่าเหตุการณ์ใดที่ต้องรายงาน
คุณจำเป็นต้องมีเกณฑ์ที่ชัดเจนเพื่อพิจารณาว่าเหตุการณ์นั้นเข้าข่ายต้องรายงานหรือไม่ กฎหมายได้กำหนดไว้ว่า... เหตุการณ์สำคัญ เช่น เหตุการณ์ที่ก่อให้เกิดการหยุดชะงักในการดำเนินงานอย่างรุนแรง ความสูญเสียทางการเงิน หรือความเสียหายอย่างมากต่อผู้อื่น หน้าที่ในการรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ของคุณจะเริ่มต้นเมื่อคุณตรวจพบเหตุการณ์ที่ตรงตามเกณฑ์เหล่านี้ ไม่ใช่เมื่อคุณตรวจสอบเสร็จสิ้นแล้ว ซึ่งหมายความว่าคุณต้องตัดสินใจเกี่ยวกับการรายงานอย่างรวดเร็ว โดยมักจะมีข้อมูลที่ไม่ครบถ้วน
ประเมินเกณฑ์ความรุนแรงสำหรับองค์กรของคุณ
เหตุการณ์จะถือว่ามีความสำคัญเมื่อ... ขัดขวางบริการหลักของคุณ หรือสร้าง ผลกระทบทางการเงินอย่างมากNIS2 แบ่งเหตุการณ์ออกเป็นสองประเภทหลัก ได้แก่ เหตุการณ์ที่ส่งผลกระทบอย่างรุนแรงต่อการดำเนินงานของคุณหรือทำให้เกิดความสูญเสียทางการเงิน และเหตุการณ์ที่ส่งผลกระทบต่อบุคคลอื่นโดยก่อให้เกิดความเสียหายอย่างมากทั้งทางด้านวัตถุและไม่ใช่วัตถุ คุณต้องรายงานเมื่อเหตุการณ์ใดเหตุการณ์หนึ่งในประเภทใดประเภทหนึ่งเกิดขึ้น
การหยุดชะงักในการดำเนินงานหมายความว่าคุณไม่สามารถให้บริการแก่ลูกค้าได้ ระบบที่สำคัญล้มเหลว หรือคุณสูญเสียการเข้าถึงข้อมูลที่จำเป็น ความเสียหายทางการเงินรวมถึงค่าใช้จ่ายโดยตรง เช่น ค่าไถ่ ค่าใช้จ่ายในการกู้คืน รายได้ที่สูญเสียไป หรือค่าปรับจากหน่วยงานกำกับดูแล กฎหมายไม่ได้ระบุเกณฑ์เป็นจำนวนเงินยูโรที่แน่นอน ดังนั้นคุณต้องประเมินตามขนาดขององค์กรและผลกระทบของเหตุการณ์นั้นๆ
บันทึกเกณฑ์ภายในของคุณก่อนที่จะเกิดเหตุการณ์ขึ้น การทำเช่นนี้จะสร้างความสม่ำเสมอในการรายงานการตัดสินใจ และแสดงให้เห็นถึงการปฏิบัติตามกฎระเบียบด้วยความสุจริตใจ หากหน่วยงานที่เกี่ยวข้องตั้งคำถามเกี่ยวกับวิจารณญาณของคุณในภายหลัง
พิจารณาตัวชี้วัดเหล่านี้เมื่อประเมินความสำคัญ:
- ความพร้อมให้บริการลูกค้าสามารถเข้าถึงบริการของคุณได้หรือไม่ ระบบหยุดทำงานมานานแค่ไหนแล้ว?
- ความสมบูรณ์ของข้อมูลมีการเข้าถึงโดยไม่ได้รับอนุญาตเกิดขึ้นหรือไม่? ข้อมูลประเภทใดบ้างที่ได้รับผลกระทบ?
- ขอบเขตทางภูมิศาสตร์เหตุการณ์นี้ส่งผลกระทบต่อหลายสถานที่หรือหลายประเทศหรือไม่?
- ผลกระทบต่อลูกค้ามีผู้ใช้หรือผู้รับบริการกี่รายที่ประสบปัญหาการหยุดชะงักของบริการ?
- เวลาการกู้คืนคุณคาดหวังว่าจะได้รับคำตอบภายในไม่กี่ชั่วโมง วัน หรือสัปดาห์?
ประเมินผลกระทบข้ามพรมแดนและผลกระทบต่อเนื่อง
คุณต้องรายงานเหตุการณ์ต่างๆ กับ ผลกระทบข้ามพรมแดนที่อาจเกิดขึ้น แม้ว่าผลกระทบภายในประเทศจะดูเล็กน้อยก็ตาม เหตุการณ์ที่ส่งผลกระทบต่อการดำเนินงานของคุณในเนเธอร์แลนด์อาจส่งผลกระทบต่อลูกค้า คู่ค้า หรืออื่นๆ ให้กับห่วงโซ่อุปทาน ในประเทศสมาชิกสหภาพยุโรปอื่นๆ เหตุการณ์นี้ก่อให้เกิดภาระผูกพันในการรายงาน เนื่องจากหน่วยงานต่างๆ ประสานงานการตอบสนองข้ามพรมแดน
ผลกระทบต่อเนื่อง ทุกเรื่องมีความสำคัญเท่าเทียมกัน เหตุการณ์ของคุณจะกลายเป็นเรื่องที่ต้องรายงานเมื่อมันส่งผลกระทบต่อบริการที่คุณจัดหาให้กับหน่วยงานสำคัญอื่นๆ โดยไม่คำนึงถึงผลกระทบโดยตรงต่อผู้ใช้ปลายทาง ตัวอย่างเช่น หากคุณให้บริการคลาวด์แก่โรงพยาบาล และการละเมิดความปลอดภัยของคุณส่งผลกระทบต่อระบบผู้ป่วยของพวกเขา คุณจะต้องรายงานโดยพิจารณาจากผลกระทบต่อการดำเนินงานของพวกเขา ไม่ใช่แค่ความสูญเสียของคุณเอง
ผู้ให้บริการความไว้วางใจต้องเผชิญกับอะไรบ้าง เกณฑ์ที่เข้มงวดกว่าเหตุการณ์ใดๆ ที่ส่งผลกระทบต่อการให้บริการด้านความน่าเชื่อถือ (ลายเซ็นดิจิทัล ใบรับรอง การประทับเวลา) จะต้องรายงานทันทีภายใน 24 ชั่วโมง โดยไม่ต้องรอประเมินว่าผลกระทบนั้นเข้าเกณฑ์ความสำคัญทั่วไปหรือไม่
ขั้นตอนที่ 3. สร้างขั้นตอนการรายงานเหตุการณ์ของคุณ
คุณจำเป็นต้องมีขั้นตอนการปฏิบัติงานที่เป็นเอกสาร ซึ่งระบุอย่างชัดเจนว่าใครทำอะไร เมื่อไหร่ และอย่างไร ในระหว่างเหตุการณ์ต่างๆ แผนเผชิญเหตุ ต้องมีขั้นตอนการรายงานที่ชัดเจนซึ่งจะเริ่มทำงานโดยอัตโนมัติเมื่อทีมของคุณตรวจพบเหตุการณ์สำคัญ ขั้นตอนเหล่านี้จะแปลงหน้าที่การรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์จากข้อกำหนดทางกฎหมายที่เป็นนามธรรมให้เป็นการกระทำที่เป็นรูปธรรมที่พนักงานของคุณสามารถดำเนินการได้ภายใต้ความกดดัน
สร้างเมทริกซ์การจำแนกประเภทเหตุการณ์ของคุณ
เมทริกซ์การจำแนกประเภทของคุณช่วยได้ ผู้ตอบสนองเหตุการณ์ กำหนดข้อกำหนดการรายงานภายในไม่กี่นาทีหลังจากตรวจพบ สร้างตารางที่เชื่อมโยงประเภทเหตุการณ์และระดับความรุนแรงกับภาระผูกพันในการรายงาน กำหนดเวลา และหน่วยงานที่รับผิดชอบ วิธีนี้ช่วยลดการคาดเดาและรับประกันการตัดสินใจที่สอดคล้องกันทั่วทั้งองค์กรของคุณ
| ประเภทเหตุการณ์ | ความรุนแรง | รายงานถึง | กำหนดส่งเบื้องต้น | การแจ้งเตือนเหตุการณ์ |
|---|---|---|---|---|
| การเข้าถึงข้อมูลลูกค้าโดยไม่ได้รับอนุญาต | จุดสูง | RDI + CSIRT | 24 ชั่วโมง | 72 ชั่วโมง |
| แรนซัมแวร์ที่ส่งผลกระทบต่อระบบหลัก | วิกฤต | RDI + CSIRT + NCSC | 24 ชั่วโมง | 72 ชั่วโมง |
| การโจมตีแบบ DDoS ก่อกวนบริการสาธารณะ | จุดสูง | RDI + CSIRT | 24 ชั่วโมง | 72 ชั่วโมง |
| การรั่วไหลของบริการความน่าเชื่อถือ (ถ้ามี) | วิกฤต | RDI + CSIRT | 24 ชั่วโมง | 24 ชั่วโมง |
| เหตุการณ์บริการทางการเงิน (DORA) | จุดสูง | อาร์ดีไอ + เอเอฟเอ็ม + ดีเอ็นบี | 24 ชั่วโมง | 72 ชั่วโมง |
อัปเดตเมทริกซ์นี้เมื่อใดก็ตามที่ กฎระเบียบเปลี่ยนแปลง หรือองค์กรของคุณเพิ่มบริการใหม่ ทดสอบเป็นประจำทุกไตรมาสโดยใช้สถานการณ์ที่สมจริงเพื่อระบุช่องว่างหรือจุดที่ก่อให้เกิดความสับสน
ออกแบบเวิร์กโฟลว์การแจ้งเตือนของคุณ
ขั้นตอนการทำงานของคุณต้องระบุ ลำดับที่แน่นอน บันทึกขั้นตอนต่างๆ ตั้งแต่การตรวจพบเหตุการณ์จนถึงการรายงานขั้นสุดท้าย ระบุว่าใครเป็นผู้เริ่มต้นการรายงาน ใครเป็นผู้ตรวจสอบและอนุมัติการแจ้งเตือน ใครเป็นผู้ส่งรายงาน และใครเป็นผู้ประสานงานกับหน่วยงานที่เกี่ยวข้อง มอบหมายบุคลากรสำรองสำหรับแต่ละบทบาทเพื่อทดแทนในกรณีที่บุคลากรขาดงาน
ขั้นตอนการทำงานของคุณควรคำนึงถึงเหตุการณ์ที่อาจเกิดขึ้นนอกเวลาทำการ ซึ่งผู้บริหารระดับสูงอาจไม่สามารถติดต่อได้ทันที ควรสร้างกลไกการอนุมัติเพื่อป้องกันความล่าช้า
สร้าง รูปแบบเช็คลิสต์ ทีมของคุณปฏิบัติตาม:
- ตรวจพบเหตุการณ์: หัวหน้าทีมรักษาความปลอดภัยประเมินตามเมทริกซ์การจำแนกประเภทภายใน 2 ชั่วโมง
- ยืนยันเหตุการณ์ที่ต้องรายงาน: แจ้งให้ CISO ทราบทันที และเริ่มเตรียมระบบเตือนภัยล่วงหน้า
- ร่างระบบเตือนภัยล่วงหน้า: ระบุประเภทเหตุการณ์ เวลาที่ตรวจพบ สาเหตุที่สงสัย และผลกระทบข้ามพรมแดนที่อาจเกิดขึ้น
- การตรวจสอบทางกฎหมาย: ที่ปรึกษาทางกฎหมายจะตรวจสอบร่างเอกสารภายใน 4 ชั่วโมง เพื่อความถูกต้องและครบถ้วน
- การส่งเอกสาร: CISO หรือผู้แทนส่งเอกสารผ่านทางเว็บไซต์อย่างเป็นทางการภายใน 24 ชั่วโมง
- การตอบสนองของหน่วยงาน: ทีมรักษาความปลอดภัยดำเนินการตามคำแนะนำที่ได้รับภายใน 24 ชั่วโมง
- การแจ้งเหตุการณ์: ทีมเทคนิคจัดทำรายงานการประเมินโดยละเอียดภายใน 60 ชั่วโมง
- การส่งเอกสารครั้งสุดท้าย: ส่งเอกสารทั้งหมดให้ครบถ้วนก่อนกำหนดเวลา 72 ชั่วโมง
จัดเตรียมแม่แบบรายงานสำหรับแต่ละขั้นตอน
เทมเพลตช่วยให้คุณมั่นใจได้ว่า รายงานประกอบด้วยข้อมูลที่จำเป็นทั้งหมด พร้อมทั้งลดเวลาในการเตรียมการ สร้างเทมเพลตแยกต่างหากสำหรับระบบเตือนภัยล่วงหน้า การแจ้งเหตุการณ์ และรายงานฉบับสุดท้าย ซึ่งรวมถึงช่องข้อมูลที่จำเป็นทั้งหมดตามที่กำหนดโดย NIS2 และหน่วยงานของเนเธอร์แลนด์
แบบฟอร์มแจ้งเตือนล่วงหน้าของคุณต้องมี: เวลาที่ตรวจพบ, ประเภทเหตุการณ์, สรุประบบที่ได้รับผลกระทบ, ตัวบ่งชี้กิจกรรมที่เป็นอันตรายที่ต้องสงสัย (ใช่/ไม่ใช่), ตัวบ่งชี้ผลกระทบข้ามพรมแดน (ใช่/ไม่ใช่), ข้อมูลติดต่อหลัก การแจ้งเตือนเหตุการณ์ของคุณควรเพิ่ม: การประเมินความรุนแรง, ขอบเขตผลกระทบ, จำนวนผู้ใช้ที่ได้รับผลกระทบ, ตัวบ่งชี้การประนีประนอม, ขั้นตอนการแก้ไขเบื้องต้นที่ดำเนินการ รายงานฉบับสุดท้ายประกอบด้วย: ไทม์ไลน์เหตุการณ์ที่สมบูรณ์, การวิเคราะห์สาเหตุหลัก, การประเมินผลกระทบอย่างครบถ้วน, มาตรการรักษาความปลอดภัยที่นำไปใช้, บทเรียนที่ได้รับ, คำแนะนำในการป้องกัน
บันทึกเทมเพลตเหล่านี้เป็น แบบฟอร์มที่กรอกข้อมูลได้ ทีมของคุณสามารถเข้าถึงได้ทันที จัดเก็บข้อมูลเหล่านี้ไว้ในแพลตฟอร์มการรับมือเหตุการณ์ ระบบวิกิความปลอดภัย และการสำรองข้อมูลแบบออฟไลน์ เพื่อให้มั่นใจได้ว่าระบบจะพร้อมใช้งานในระหว่างที่ระบบขัดข้อง
ขั้นตอนที่ 4. ผนวกการรายงานเข้ากับการฝึกอบรมและการกำกับดูแล
ของคุณ ขั้นตอนการรายงาน จะล้มเหลวหากพนักงานไม่เข้าใจบทบาทของตน หรือหากโครงสร้างการกำกับดูแลไม่สนับสนุนการตัดสินใจอย่างรวดเร็ว คุณจำเป็นต้อง การฝึกอบรมอย่างเป็นระบบ และ การกำกับดูแลในระดับคณะกรรมการ เพื่อให้มั่นใจว่าองค์กรของคุณดำเนินการรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ได้อย่างถูกต้องทุกครั้ง ซึ่งหมายถึงการบูรณาการข้อผูกพันในการรายงานเข้ากับโปรแกรมการฝึกอบรมด้านความปลอดภัยที่มีอยู่ และสร้างความรับผิดชอบที่ชัดเจนในระดับการกำกับดูแล
ฝึกอบรมพนักงานทุกคนเกี่ยวกับการตรวจจับและการส่งต่อปัญหา
คุณต้องฝึกฝน พนักงานทั้งหมด เพื่อให้สามารถรับรู้ถึงเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้นและรู้วิธีการส่งต่อปัญหาไปยังผู้ที่เกี่ยวข้องอย่างถูกต้อง พนักงานด้านเทคนิคของคุณจำเป็นต้องได้รับการฝึกอบรมอย่างละเอียดเกี่ยวกับเมทริกซ์การจำแนกประเภทและขั้นตอนการรายงาน แต่พนักงานที่ไม่ใช่ด้านเทคนิคต้องการคำแนะนำที่ง่ายกว่า โดยเน้นที่การตรวจจับกิจกรรมที่ผิดปกติและติดต่อบุคคลที่เกี่ยวข้องทันที
วิ่ง การฝึกซ้อมจำลองสถานการณ์บนโต๊ะทุกไตรมาส แบบฝึกหัดเหล่านี้จำลองเหตุการณ์จริงที่ต้องมีการรายงาน พาทีมรับมือเหตุการณ์ของคุณทำตามขั้นตอนทั้งหมด ตั้งแต่การตรวจจับไปจนถึงการส่งรายงานฉบับสุดท้าย ใช้แบบฝึกหัดเหล่านี้เพื่อระบุช่องว่างในขั้นตอนการทำงาน ทดสอบแม่แบบของคุณ และตรวจสอบว่าบุคลากรสำรองเข้าใจบทบาทของตน บันทึกบทเรียนที่ได้รับหลังจากแบบฝึกหัดแต่ละครั้งและปรับปรุงขั้นตอนการทำงานของคุณให้เหมาะสม
การฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยสำหรับพนักงานทั่วไปควรครอบคลุมประเด็นสำคัญเกี่ยวกับการรายงานดังต่อไปนี้:
- อะไรคือสิ่งที่อาจถือเป็นเหตุการณ์ด้านความปลอดภัย (อีเมลที่ผิดปกติ การพยายามเข้าถึงโดยไม่ได้รับอนุญาต ข้อมูลสูญหาย)
- ควรติดต่อใครทันที (โปรดระบุหมายเลขติดต่อทีมรักษาความปลอดภัยของคุณตลอด 24 ชั่วโมง)
- สิ่งที่ไม่ควรทำ (อย่าพยายามสืบสวนด้วยตัวเอง อย่าลบหลักฐาน อย่ารอจนถึงวันจันทร์)
- เหตุใดความเร็วจึงมีความสำคัญ (กำหนดเวลาตามกฎระเบียบเริ่มนับตั้งแต่ตรวจพบเหตุการณ์ ไม่ใช่นับตั้งแต่มีการรายงาน)
ฝึกอบรมพนักงานให้ตระหนักว่า การตรวจจับและรายงานกิจกรรมที่น่าสงสัยทันที จะช่วยปกป้องทั้งองค์กรและตัวพวกเขาเองจากภัยคุกคาม ความรับผิดชอบไม่ใช่แค่เพียงปฏิบัติตามข้อกำหนดด้านกฎระเบียบเท่านั้น
บูรณาการการรายงานเข้ากับระบบการกำกับดูแลที่มีอยู่เดิม
คณะกรรมการและทีมผู้บริหารของคุณต้องการ การปรับปรุงปกติ เกี่ยวกับการรายงานเหตุการณ์และความสามารถในการรายงานเหตุการณ์ที่เกิดขึ้นจริง กำหนดการทบทวนการกำกับดูแลเป็นรายไตรมาส ซึ่งครอบคลุมถึงขั้นตอนการรายงาน เหตุการณ์ที่เกิดขึ้น การตอบสนองจากหน่วยงานที่เกี่ยวข้อง และการปรับปรุงขั้นตอนที่ได้ดำเนินการไปแล้ว การดำเนินการเช่นนี้จะสร้างความรับผิดชอบและทำให้ผู้บริหารเข้าใจถึงภาระผูกพันในการรายงาน
กำหนด ผู้บริหารเฉพาะราย ความรับผิดชอบในการปฏิบัติตามกฎระเบียบการรายงานเหตุการณ์ บุคคลนี้ (โดยทั่วไปคือ CISO หรือ Chief Risk Officer ของคุณ) จะรายงานโดยตรงต่อคณะกรรมการเกี่ยวกับการเตรียมความพร้อม รักษาความสัมพันธ์กับหน่วยงานที่เกี่ยวข้อง และรับผิดชอบงบประมาณสำหรับเครื่องมือการรายงานและการฝึกอบรม การกำหนดผู้รับผิดชอบที่ชัดเจนจะช่วยป้องกันความสับสนในระหว่างเหตุการณ์จริงที่ต้องตัดสินใจอย่างรวดเร็ว
เพิ่ม ตัวชี้วัดการรายงาน ในแดชบอร์ดความปลอดภัยของคุณ: เวลาตั้งแต่ตรวจพบจนถึงการส่งสัญญาณเตือนล่วงหน้า เปอร์เซ็นต์ของเหตุการณ์ที่ตรงตามกำหนดเวลา เวลาตอบสนองของหน่วยงานที่เกี่ยวข้อง และการดำเนินการแก้ไขที่เสร็จสมบูรณ์ ติดตามข้อมูลเหล่านี้ทุกเดือนเพื่อระบุแนวโน้มและโอกาสในการปรับปรุง
ก้าวไปข้างหน้า
ขณะนี้คุณมีกรอบการทำงานที่สมบูรณ์สำหรับการปฏิบัติตามหน้าที่ในการรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ภายใต้ NIS2 และกฎหมายของเนเธอร์แลนด์แล้ว คุณทราบแล้วว่าข้อบังคับใดบ้างที่ใช้กับองค์กรของคุณ เมื่อใดที่เหตุการณ์เกินเกณฑ์การรายงาน หน่วยงานใดได้รับแจ้ง ข้อมูลใดบ้างที่รายงานแต่ละฉบับต้องมี และวิธีการสร้างขั้นตอนการทำงานที่สามารถใช้งานได้ภายใต้ความกดดัน ขั้นตอนต่อไปของคุณคือ การนำไปปฏิบัติทันที.
เริ่มต้นด้วยการทบทวนแผนรับมือเหตุการณ์ปัจจุบันของคุณเทียบกับข้อกำหนดที่ระบุไว้ในที่นี้ อัปเดตแผนของคุณ เมทริกซ์การจำแนกประเภท, เตรียม .ของคุณ เทมเพลตรายงานและฝึกอบรมทีมรับมือเหตุการณ์ฉุกเฉินของคุณเกี่ยวกับขั้นตอนการทำงานใหม่ กำหนดเวลาสำหรับการฝึกซ้อมจำลองสถานการณ์ครั้งแรกของคุณภายใน... 30 วันข้างหน้า เพื่อทดสอบขั้นตอนต่างๆ ก่อนที่จะเกิดเหตุการณ์จริง บันทึกทุกสิ่งที่คุณสร้างขึ้น เพื่อให้ทีมของคุณสามารถเข้าถึงได้ทันทีเมื่อจำเป็น
การปฏิบัติตามกฎหมายด้านความปลอดภัยทางไซเบอร์นั้นต้องอาศัยทั้งสองอย่าง ความเชี่ยวชาญทางเทคนิค และ ความรู้ทางกฎหมายหากคุณต้องการความช่วยเหลือในการตีความว่าข้อบังคับเหล่านี้มีผลบังคับใช้กับสถานการณ์เฉพาะของคุณอย่างไร โปรดติดต่อเรา ติดต่อ Sun Legal Law & More สำหรับการให้คำแนะนำเฉพาะทาง ทีมงานของพวกเขามีส่วนช่วยองค์กรในเนเธอร์แลนด์ในการรับมือกับข้อกำหนดด้านการปฏิบัติตามกฎระเบียบด้านความปลอดภัยทางไซเบอร์ที่ซับซ้อน และสร้างกรอบการทำงานสำหรับการตอบสนองต่อเหตุการณ์ที่ปกป้องทั้งการดำเนินงานและสถานะทางกฎหมายของคุณ
