Vi rådgiver dig

Håndtering af cybersikkerhedshændelser

Det er afgørende at kunne reagere på opståede hændelser i tide – herunder at opdage hændelserne – og NIS2 stiller bl.a. krav om relevante systemer, procedurer og retningslinjer samt rapportering for dette, hvilket bliver beskrevet nærmere her.

Reaktion på hændelser

Reaktion på hændelser er en vigtig del af enhver organisations sikkerhedsstyringsproces. Det indebærer at opdage, analyser, genoprette samt rapportering af sikkerhedshændelser der forekommer i organisationens informationssystemer eller netværk.

Det første NIS Direktiv indeholdt en grænse for antallet af berørte brugere, men i NIS2 er dette blevet ændret, og i stedet er fokus på to specifikke nøgleområder for forpligtelser til reaktion på sikkerhedshændelser: hændelser og cybertrusler.

  • Hændelser henviser til enhver hændelse, der kompromitterer tilgængeligheden, ægtheden,
    integriteten af fortroligheden af lagrede, transmitterede eller behandlede data og tjenester,
    der tilbydes af eller er tilgængelige via netværks- og informationssystemer.

  • Cybertrusler henviser til enhver potentiel omstændighed, begivenhed eller handling, der kan
    skade, forstyrre eller negativt påvirke netværks- og informationssystemer og dets brugere

Processen bør specificere den/de ansvarlige for hvert trin i hændelseshåndteringsprocessen og definere eskaleringsprocedurerne i tilfælde af alvorlige hændelser eller nødsituationer. Ved at have en robust procedure for hændelseshåndtering, kan organisationer minimere virkningen af sikkerhedshændelser og reagere effektivt på eventuelle sikkerhedstrusler eller brud, der måtte opstå. Der er forskellige processer involveret i hændelsesrespons, men nogle af de generelle processer er som følger:

  1. Udpeg et Team/person: Der bør sammensættes et team/person der er ansvarlige for at reagere på og håndtere cybersikkerhedshændelser i organisationen.

  2. Identifikation: Det første skridt er at identificere hændelsen. Dette indebærer overvågning af systemer for enhver mistænkelig aktivitet eller unormal adfærd, der kan indikere et sikkerhedsbrud. Dette kan gøres gennem forskellige værktøjer, der udfører loganalyse og giver organisationen mulighed for at fastsætte regler og alarmer, som vil udløse hændelsesberedskabet, når de opstår.

  3. Inddæmning: Når en hændelse er identificeret, er det næste trin at inddæmme den. Dette indebærer isolering af berørte systemer eller enheder for at forhindre yderligere skade og spredning af hændelsen.

  4. Vurdering: Efter inddæmning af hændelsen skal der foretages vurdering af hændelsens art og omfang. Dette indebærer indsamling og analyse af data for at identificere årsagen til og virkning af hændelsen.

  5. Afbødning: Når hændelsen er vurderet, er næste skridt at afbøde virkningen af hændelsen. Dette kan indebære fjernelse af ondsindet software, gendannelse af data fra sikkerhedskopier eller andre mulige skridt til at begrænse den forårsagede skade.

  6. Undersøgelse: En detaljeret undersøgelse udføres for at fastslå årsagen til hændelsen og for at indsamle beviser, der kan være nødvendige for eventuelle juridiske / retslige handlinger.

  7. Rapportering: Afhængigt af hændelsens alvor kan rapportering være påkrævet til tilsynsorganer, retshåndhævende myndigheder og andre interessenter.

  8. Genopretning: Når hændelsen er løst fuldt ud, er det sidste trin at genoprette normal drift og sikre, at eventuelle nødvendige forbedringer foretages for at forhindre lignende hændelser i fremtiden.

Har man som virksomhed vanskeligt ved at håndtere disse processer, er det som udgangspunkt muligt at outsource visse eller alle ovenstående processer. Det er afgørende at opgaverne bliver håndteret af kompetente folk og derfor kan det for nogle organisationer være nødvendigt at få ekstern assistance og rådgivning. Det er dog vigtigt at understrege, at ansvaret ikke kan outsources, men altid vil påhvile den omfattede enhed.

Rapportering af hændelser

Det er forventningen, at myndighederne inden ikrafttræden af NIS2 vil oplyse indberetningsformat for de forskellige typer af indberetninger, der gennemgås nedenfor. Når det sker, vil siden opdateres i relevant omfang. Ender myndighederne med ikke at oplyse indberetningsformat, vil vi udarbejde skabeloner, som vil være tilgængelige i DI’s NIS2- vejledningsunivers.

Når en hændelse indtræffer, er det væsentligt at få indberettet dette til central myndighed, så der er mulighed for at foretage nødvendige videndeling og proaktiv foranstaltninger på tværs af sektorer og landegrænser – i den forbindelse stilles der bestemte krav til, hvornår og til hvem sådanne hændelser skal rapporteres.

NIS2 fastsætter således regler om bl.a. myndighedernes indsamling og registrering af aktuelle trusler og sikkerhedshændelser samt om myndighedernes samarbejde på tværs af grænserne. For at  understøtte myndighedernes videns indsamling og dermed mulighederne for at kunne reagere på det aktuelle trusselsbillede fastsætter NIS2 ligeledes regler om virksomhedernes rapporteringspligt.

Væsentlige hændelser

For virksomhederne er det i den forbindelse helt centralt, at de er i stand til at reagere korrekt og hurtigt, hvis der skulle opstå såkaldte væsentlige hændelser. En hændelse anses for at være væsentlig:

  • hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed eller
  • hvis den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

Typer af indberetninger

Der er fastsat meget korte frister for indberetning af væsentlige hændelser til den rette myndighed. Således skal man som virksomhed:

1. Uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til en væsentlige hændelse fremsende en såkaldt tidlig varsling. Denne første varsling skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.

2. Uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse, fremsende en såkaldt hændelsesunderretning, som i givet fald skal ajourføre de oplysninger, der er omhandlet i den tidlige varsling. I tilknytning hertil skal man også give en indledende vurdering af den væsentlige hændelse.

3. Senest en måned efter hændelsesunderretningen fremsende en endelig rapport, der skal omfatte følgende:

  • en detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning
  • den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen
  • anvendte og igangværende afbødende foranstaltninger
  • i givet fald de grænseoverskridende virkninger af hændelsen

I tilknytning til ovenstående er det værd at bemærke, at manglende, forsinket eller ufuldstændig indberetning potentielt kan medføre bøde i ganske betydelig størrelse.

Hvordan kan man forberede sig?

For at kunne leve op til rapporteringskravene i NIS2 er det meget vigtigt, at man som virksomhed er forberedt på hændelser og indberetninger skal håndteres. Det skal ses i lyset af, at en væsentlig hændelse ofte vil kunne have en sådan karakter, at der lægges beslag på nøglepersoner i organisationen, og der vil meget nemt kunne opstå situationer, hvor tid er en helt afgørende faktor for at kunne beskytte virksomhedens aktiver.

I en sådan (krise)situation kan man ikke forvente, at der er særlig meget tid til at afklare indholdet af NIS2-forpligtelsen, indsamle viden om hændelsen, drøfte indholdet af en indberetning, opnå interne godkendelser samt undersøge den praktiske proces for indberetning til rette myndighed.

Skulle man i øvrigt være så uheldig, at hændelsen rammer i en weekend eller hen over en ferie, er den første frist på 24 timer selvsagt meget stram.

På den baggrund er det af afgørende betydning, at man på forhånd som minimum har undersøgt praktiske forhold omkring:

  • Intern vidensindsamling
  • Indberetning til myndigheden
  • Fastsat roller og ansvar internt i virksomheden
  • Taget stilling til eventuel bistand fra eksterne parter/rådgivere
  • Fastsat en intern proces, som sikrer, at alle relevante personer inddrages på det rette tidspunkt

Tjekliste

Hent

Relateret indhold