Hændelsesrapportering (NIS2)

NIS2 kræver, at væsentlige og vigtige enheder rapporterer betydelige cybersikkerhedshændelser til myndighederne. Rapporteringen følger et trestrinssystem: tidlig advarsel inden 24 timer, fuld rapport inden 72 timer og en slutrapport senest en måned efter hændelsen.

Tilbage til ordbog

Hvad er hændelsesrapportering under NIS2?

En af hjørnestenene i NIS2-direktivet er forpligtelsen til at rapportere betydelige cybersikkerhedshændelser til de nationale myndigheder. Formålet er at give myndighederne et klart billede af trusselsbilledet, muliggøre hurtig koordinering og varsle andre potentielt berørte parter.

Rapporteringsforpligtelsen gælder for både væsentlige og vigtige enheder under NIS2, men myndighederne kan vælge at behandle rapporter fra de to kategorier forskelligt.

Tidsfrister for rapportering

NIS2 artikel 23 fastsætter et trestrinssystem for rapportering:

Tidlig advarsel – inden 24 timer: Du skal uden unødigt ophold, og senest 24 timer efter du er blevet opmærksom på hændelsen, indsende en tidlig advarsel. Advarslen skal angive, om hændelsen mistænkes at være forårsaget af ulovlige eller ondsindede handlinger.
Hændelsesanmeldelse – inden 72 timer: Inden for 72 timer skal du indsende en mere detaljeret rapport, der opdaterer den tidlige advarsel og inkluderer en foreløbig vurdering af hændelsens alvor og konsekvenser.
Slutrapport – inden en måned: Senest en måned efter hændelsesanmeldelsen skal du indsende en slutrapport med en detaljeret beskrivelse, årsagsanalyse og de trufne afhjælpende foranstaltninger.

24-timers-reglen gælder fra din viden om hændelsen: ikke fra det tidspunkt, hændelsen skete. Sørg for, at din hændelsesberedskabsplan indeholder klare interne eskaleringsprocesser, så rapporteringsforpligtelsen ikke overses.

Hvad er en væsentlig hændelse?

Ikke alle cybersikkerhedshændelser udløser rapporteringspligten. Hændelsen skal være "væsentlig" (significant) for at kræve rapportering. NIS2 definerer en hændelse som væsentlig, hvis den:

Har forårsaget eller kan forårsage alvorlige driftsforstyrrelser for tjenesten
Har forårsaget eller kan forårsage betydelige finansielle tab for organisationen
Har påvirket eller kan påvirke andre fysiske eller juridiske personers interesser ved at forårsage betydelig materiel eller immateriel skade

ENISA og de nationale myndigheder har udarbejdet vejledning og tærskler til at hjælpe organisationer med at afgøre, hvornår en hændelse er væsentlig.

Hvem rapporterer du til?

Du rapporterer til din nationale kompetente myndighed eller dit nationale CSIRT. I Danmark er det Center for Cybersikkerhed (CFCS), der er den primære modtager af NIS2-rapporter for de fleste sektorer.

Visse sektorer har sektorspecifikke tilsynsmyndigheder, fx Finanstilsynet for den finansielle sektor og Energistyrelsen for energisektoren. Disse myndigheder koordinerer med CFCS.

Ofte stillede spørgsmål om hændelsesrapportering (nis2)

Hvornår skal man rapportere en hændelse under NIS2?

Du skal indsende en tidlig advarsel inden 24 timer fra det tidspunkt, du blev opmærksom på hændelsen. Derefter en detaljeret rapport inden 72 timer og en slutrapport senest en måned efter.

Hvad er en væsentlig hændelse under NIS2?

En hændelse er væsentlig, hvis den forårsager eller kan forårsage alvorlige driftsforstyrrelser, betydelige finansielle tab eller betydelig materiel eller immateriel skade for andre personer.

Hvem skal man rapportere til under NIS2 i Danmark?

I Danmark rapporteres NIS2-hændelser til Center for Cybersikkerhed (CFCS), der fungerer som Danmarks nationale CSIRT under NIS2. Visse sektorer har desuden sektorspecifikke myndigheder.

Starter 24-timers-fristen, når hændelsen sker?

Nej. 24-timers-fristen løber fra det tidspunkt, du bliver opmærksom på hændelsen, ikke fra det tidspunkt, den faktisk skete. Det gør robuste interne detektions- og eskaleringsprocesser essentielle.

Hvad sker der, hvis man undlader at rapportere en hændelse under NIS2?

Manglende rapportering inden for de foreskrevne frister kan medføre håndhævelsesforanstaltninger fra den nationale kompetente myndighed, herunder administrative bøder. NIS2 giver myndighederne betydelige håndhævelsesbeføjelser for at sikre overholdelse af rapporteringsforpligtelserne.