La vostra organització detecta una activitat inusual a la xarxa. El vostre equip d'informàtica investiga i troba accés no autoritzat a les dades dels clients. Conteniu l'amenaça. Ara ve la pregunta urgent: heu d'informar a les autoritats? A qui exactament? Quina informació proporcioneu? De quant temps disposeu?
Segons NIS2 i la legislació neerlandesa, moltes organitzacions han d'informar dels incidents de ciberseguretat a les autoritats governamentals dins de terminis estrictes. Normalment teniu entre 24 i 72 hores després de la detecció. La normativa especifica quina autoritat rep l'informe, quina informació heu de proporcionar i els requisits de format. Si no compliu el termini o informeu a l'organisme equivocat, us enfrontareu a multes importants, accions coercitives i a responsabilitats legals que poden anar més enllà del mateix incident inicial.
Aquesta guia us mostra exactament com complir amb les vostres obligacions d'informes. Aprendràs quines lleis s'apliquen a la teva organització, quan cal informar d'un incident, a quines autoritats notificar en cada etapa, quina informació necessita cada informe i com crear procediments que realment funcionin. Ometrem la jerga legal i ens centrarem en mesures pràctiques que podeu prendre ara mateix per complir amb les normes i protegir la vostra organització.
Quines són les teves obligacions de notificació d'incidents de ciberseguretat
Les teves obligacions d'informe d'incidents de ciberseguretat depenen de la mida de la teva organització, del sector i dels serveis que ofereixes. Entitats essencials (energia, transport, banca, sanitat, infraestructures crítiques) i entitats importants (serveis postals, gestió de residus, proveïdors digitals, producció d'aliments) s'enfronten a la declaració obligatòria en virtut del NIS2. Si opereu infraestructures crítiques o serveis digitals per a consumidors neerlandesos, gairebé segur que esteu subjectes a aquestes normes.
Les tres etapes de l'informe que heu de completar
Tu cara tres obligacions d'informació separades amb terminis diferents. El vostre primer deure comença dins de 24 hores de detecció un incident significatiu: envieu un avís precoç al vostre CSIRT (Computer Security Incident Response Team) o a l'autoritat competent. Aquesta notificació inicial marca l'incident i indica si sospiteu una activitat maliciosa o un impacte transfronterer.
Dins d' hores 72, envieu la notificació d'incident. Aquest informe inclou l'avaluació inicial de la gravetat, l'impacte, els sistemes afectats i els indicadors de compromís disponibles. Proporcioneu detalls tècnics que ajuden les autoritats a comprendre l'abast i la naturalesa de la violació.
Les organitzacions que incompleixin aquests terminis s'enfronten a multes de fins a 10 milions d'euros o al 2% de la facturació anual global en el marc del NIS2, el que sigui més alt.
Arriba el teu informe final termini d'un mes de la notificació de l'incident. Aquest document complet detalla l'abast complet de l'incident, l'anàlisi de la causa arrel, les mesures de mitigació que heu implementat i els efectes transfronterers. Si encara esteu gestionant l'incident quan expira el mes, heu de presentar un informe de progrés i després un informe final en el termini d'un mes des de la resolució.
Funcions addicionals més enllà de l'informe inicial
També ho heu de fer informar les parts afectades quan un incident significatiu afecta els destinataris del servei. Aquesta notificació es produeix sense demora indeguda i inclou mesures pràctiques que aquests destinataris poden prendre per protegir-se. Per a proveïdors de serveis de confiança concretament, el termini de 72 hores s'escurça a 24 hores per a incidents que afecten els serveis de confiança.
El vostre CSIRT o autoritat competent respon en un termini de 24 hores després de rebre el vostre avís primerenc, proporcionant informació inicial i orientació operativa sobre les mesures de mitigació.
Pas 1. Identifica quines lleis de la UE i dels Països Baixos s'apliquen al teu cas
Cal determinar quin marcs reguladors governar les vostres tasques d'informe d'incidents de ciberseguretat abans que es produeixi un incident. NIS2 (la Directiva de seguretat de xarxes i informació) s'aplica àmpliament a tots els Països Baixos, però DORA (Llei de resiliència operativa digital) i normes d'implementació específiques neerlandeses crear obligacions addicionals per a determinats sectors. Comenceu per avaluar la vostra organització segons els criteris de cada marc.
Comproveu si NIS2 s'aplica a la vostra organització
El NIS2 s'aplica si qualifiques com a entitat essencial or entitat importantLes entitats essencials inclouen organitzacions en energia, transport, banca, infraestructura del mercat financer, salut, aigua potable, aigües residuals, infraestructura digital, administració pública i espai. Les entitats importants inclouen serveis postals, gestió de residus, productes químics, producció d'aliments, fabricació, proveïdors digitals i organitzacions de recerca.
La mida de la teva organització només importa per a proveïdors de serveis digitals (DSP). Com a DSP, pertanys a NIS2 si operes un mercat en línia, un servei al núvol o un motor de cerca amb almenys empleats 50 i tampoc 10 milions d'euros de facturació anual or 10 milions d'euros en actius totalsTotes les altres entitats essencials i importants tenen obligacions independentment de la seva mida.
Si opereu infraestructures crítiques o vau ser designats anteriorment segons l'antiga Directiva NIS (Wbni), automàticament us qualifiqueu segons NIS2.
El govern neerlandès manté un registre d'entitats designades. Consulteu amb l'autoritat competent del vostre sector (informe d'infraestructures energètiques i digitals a RDI; serveis financers a AFM i DNB; assistència sanitària a IGJ) per confirmar el vostre estat. Hauríeu de verificar-ho. abans de gener 2026 quan comenci una aplicació reforçada.
Determineu si DORA cobreix els vostres serveis financers
DORA s'aplica per separat a institucions financeres i proveïdors de serveis TIC servint-los. Esteu subjecte a DORA si opereu com a entitat de crèdit, proveïdor de serveis de pagament, companyia d'assegurances, empresa d'inversió, proveïdor de serveis de criptoactius o entitat de diners electrònics. Aquest reglament funciona paral·lelament al NIS2 amb el seu propi requisits d'informe.
Els proveïdors de serveis financers informen d'incidents significatius a tots dos AFM (a través del portal AFM) i DNB (via My DNB) a més de RDI. També heu de registrar-ho tot acords contractuals amb Tercers proveïdors de TIC per a funcions crítiques o importants a través d'aquests portals dins de terminis especificats.
Avalueu les obligacions del vostre proveïdor de serveis digitals
El Wbni (Implementació neerlandesa) crea deures específics si proporcioneu mercats en línia, computació al núvol o motors de cercaInformeu dels incidents a tots dos RDI i CSIRT-DSP (l'equip especialitzat de resposta a incidents per a proveïdors digitals). A diferència de les entitats essencials d'altres sectors, us enfronteu a uns llindars de mida: més de 50 empleats i més de 10 milions d'euros de facturació o actius.
Els proveïdors de serveis de confiança s'enfronten a terminis accelerats segons la regulació eIDAS. Heu d'informar d'incidents significatius que afecten els serveis de confiança dins hores 24 en lloc del termini estàndard de 72 hores que s'aplica a altres entitats.
Pas 2. Definir quan es pot notificar un incident
Necessiteu criteris concrets per determinar si un incident supera el llindar de notificació. La llei defineix incidents significatius com aquells que causen interrupcions operatives greus, pèrdues financeres o danys considerables a altres persones. Les vostres tasques d'informe d'incidents de ciberseguretat comencen quan detecteu un incident que compleix aquests criteris, no quan acabeu d'investigar-lo. Això significa que heu de prendre decisions d'informe ràpidament, sovint amb informació incompleta.
Avalueu el llindar de gravetat per a la vostra organització
Un incident es qualifica com a significatiu quan interromp els vostres serveis bàsics o crea impacte financer substancialNIS2 estableix dues categories principals: incidents que interrompen greument les vostres operacions o causen pèrdues financeres, i incidents que afecten altres parts causant danys materials o no materials considerables. Heu d'informar quan s'aplica qualsevol de les dues categories.
La interrupció operativa significa que no podeu oferir serveis als clients, que els sistemes crítics fallen o que perdeu l'accés a dades essencials. Les pèrdues financeres inclouen costos directes com ara pagaments de rescats, despeses de recuperació, pèrdua d'ingressos o multes reglamentàries. La llei no especifica llindars exactes en euros, de manera que l'avaluació es fa en funció de la mida de la vostra organització i de l'impacte relatiu de l'incident.
Documenteu els vostres llindars interns abans que es produeixi un incident. Això crea coherència en les decisions d'informe i demostra el compliment de bona fe si les autoritats qüestionen posteriorment el vostre judici.
Tingueu en compte aquests indicadors a l'hora d'avaluar la importància:
- Disponibilitat del serveiEls clients poden accedir als vostres serveis? Quant de temps fa que els sistemes estan inactius?
- Integritat de les dadesS'ha produït un accés no autoritzat? Quines categories de dades s'han vist afectades?
- Àmbit geogràficL'incident afecta diverses ubicacions o països?
- Impacte en el clientQuants usuaris o destinataris s'enfronten a interrupcions del servei?
- Temps de recuperacióEspereu una resolució en qüestió d'hores, dies o setmanes?
Avaluar els efectes transfronterers i en cascada
Heu de denunciar les incidències amb impacte transfronterer potencial fins i tot quan els efectes domèstics semblen menors. Un incident que afecti les vostres operacions holandeses podria afectar clients, socis o les cadenes de subministrament en altres estats membres de la UE. Això desencadena obligacions d'informació perquè les autoritats coordinen les respostes a través de les fronteres.
Efectes en cascada importen per igual. El vostre incident esdevé notificable quan interromp els serveis que proporcioneu a altres entitats essencials o importants, independentment de l'impacte directe en els usuaris finals. Per exemple, si subministreu serveis al núvol a un hospital i la vostra violació de seguretat afecta els seus sistemes de pacients, informeu en funció del seu impacte operatiu, no només de les vostres pròpies pèrdues.
Els proveïdors de serveis de confiança s'enfronten a llindars més estrictesQualsevol incident que afecti la prestació de serveis de confiança (signatures digitals, certificats, marques de temps) requereix una notificació immediata en un termini de 24 hores. No cal esperar per avaluar si l'impacte compleix els criteris generals de significació.
Pas 3. Crea els teus procediments de notificació d'incidents
Necessiteu procediments documentats que especifiquin exactament qui fa què, quan i com durant un incident. El vostre pla de resposta a incidents ha d'incloure fluxos de treball d'informes clars que s'activin automàticament quan el vostre equip detecta un incident significatiu. Aquests procediments tradueixen les vostres tasques d'informe d'incidents de ciberseguretat de requisits legals abstractes en accions concretes que el vostre personal pot executar sota pressió.
Construeix la teva matriu de classificació d'incidents
La teva matriu de classificació ajuda personal de resposta a incidents determinar els requisits d'informes en qüestió de minuts després de la detecció. Crear una taula que assigni els tipus d'incidents i els nivells de gravetat a les obligacions d'informes, els terminis i les autoritats receptores. Això elimina les conjectures i garanteix decisions coherents a tota l'organització.
| Tipus d'incidència | Gravetat | Informeu a | Data límit inicial | Notificació d'incidències |
|---|---|---|---|---|
| Accés no autoritzat a les dades dels clients | alt | RDI + CSIRT | hores 24 | hores 72 |
| Ransomware que afecta els sistemes bàsics | Crític | RDI + CSIRT + NCSC | hores 24 | hores 72 |
| DDoS que interromp els serveis públics | alt | RDI + CSIRT | hores 24 | hores 72 |
| Compromís del servei de confiança (si escau) | Crític | RDI + CSIRT | hores 24 | hores 24 |
| Incident de serveis financers (DORA) | alt | RDI + AFM + DNB | hores 24 | hores 72 |
Actualitza aquesta matriu sempre que canvi de regulacions o la vostra organització afegeix nous serveis. Proveu-ho trimestralment utilitzant escenaris realistes per identificar llacunes o punts de confusió.
Dissenya el teu flux de treball de notificacions
El flux de treball ha d'especificar el seqüència exacta d'accions des de la detecció d'incidents fins a l'informe final. Documentar qui inicia l'informe, qui revisa i aprova les notificacions, qui les envia i qui manté el contacte amb les autoritats. Assignar personal de suport per a cada rol per cobrir les absències.
El vostre flux de treball ha de suposar que les incidències es produeixen fora de l'horari laboral, quan l'alta direcció pot no estar disponible immediatament. Incorporeu mecanismes d'aprovació que evitin retards.
Crear una format de llista de verificació el vostre equip segueix:
- Incident detectat: el cap de l'equip de seguretat avalua la situació en funció de la matriu de classificació en un termini de 2 hores.
- Incident notificable confirmat: CISO notificat immediatament, comença la preparació d'alerta primerenca
- Redacció d'alerta primerenca: incloure el tipus d'incident, el temps de detecció, la causa sospitada i el possible impacte transfronterer
- Revisió legal: l'assessor legal revisa l'esborrany en un termini de 4 hores per comprovar-ne l'exactitud i la integritat.
- Presentació: El CISO o el delegat presenta la sol·licitud a través del portal oficial en un termini de 24 hores.
- Resposta de les autoritats: l'equip de seguretat implementa les directrius rebudes en un termini de 24 hores.
- Notificació d'incidents: l'equip tècnic prepara una avaluació detallada al cap de 60 hores
- Presentació final: Documentació completa presentada abans del termini de 72 hores
Preparar plantilles d'informes per a cada etapa
Les plantilles garanteixen el vostre els informes contenen tota la informació necessària alhora que redueix el temps de preparació. Creeu plantilles separades per a l'alerta primerenca, la notificació d'incidents i l'informe final que incloguin tots els camps obligatoris especificats per NIS2 i les autoritats neerlandeses.
La plantilla d'alerta primerenca necessita: marca de temps de detecció, categoria d'incident, resum dels sistemes afectats, indicador de sospita d'activitat maliciosa (sí/no), indicador d'impacte transfronterer (sí/no), informació de contacte principal. La notificació d'incidents afegeix: avaluació de la gravetat, abast de l'impacte, recompte d'usuaris afectats, indicadors de compromís, mesures inicials de mitigació preses. Els informes finals inclouen: cronologia completa de l'incident, anàlisi de la causa arrel, avaluació completa de l'impacte, mesures de seguretat implementades, lliçons apreses i recomanacions preventives.
Desa aquestes plantilles com a formularis omplibles el vostre equip hi pot accedir a l'instant. Emmagatzemeu-les a la vostra plataforma de resposta a incidents, al wiki de seguretat i a les còpies de seguretat fora de línia per garantir la disponibilitat durant les interrupcions del sistema.
Pas 4. Integrar els informes en la formació i la governança
La seva procediments d'informe fracassaran si el personal no entén les seves funcions o si les estructures de governança no permeten una presa de decisions ràpida. Cal que formació sistemàtica i supervisió a nivell de junta per garantir que la vostra organització executi correctament les seves tasques d'informe d'incidents de ciberseguretat en cada moment. Això significa integrar les obligacions d'informe en els vostres programes de formació en seguretat existents i crear una rendició de comptes clara a nivell de governança.
Formar tot el personal en la detecció i l'escalada
Has d'entrenar tots els empleats per reconèixer possibles incidents de seguretat i saber exactament com escalar-los. El vostre personal tècnic necessita una formació detallada sobre la matriu de classificació i els fluxos de treball d'informes, però els empleats no tècnics necessiten una guia més senzilla centrada en detectar activitats inusuals i contactar immediatament amb les persones adequades.
Correr exercicis de taula trimestrals que simulin incidents realistes que requereixin informes. Guieu el vostre equip de resposta a incidents per tot el procés, des de la detecció fins a la presentació de l'informe final. Utilitzeu aquests exercicis per identificar llacunes procedimentals, provar les vostres plantilles i verificar que el personal de suport entén les seves funcions. Documenteu les lliçons apreses després de cada exercici i actualitzeu els vostres procediments en conseqüència.
La formació en conscienciació sobre seguretat per al personal general hauria de cobrir aquests elements essencials d'informació:
- Què constitueix un possible incident de seguretat (correus electrònics inusuals, intents d'accés no autoritzat, dades perdudes)
- Amb qui contactar immediatament (proporcioneu les dades de contacte del vostre equip de seguretat les 24 hores del dia, els 7 dies de la setmana)
- Què no fer (no intentis investigar-te a tu mateix, no esborris proves, no esperis fins dilluns)
- Per què importa la velocitat (els terminis reglamentaris comencen quan es detecten els incidents, no es notifiquen)
Formar el personal perquè la detecció i la denúncia immediata d'activitats sospitoses protegeixi tant l'organització com a ells mateixos de responsabilitat, no només compleix els requisits de compliment normatiu.
Integrar els informes en la governança existent
La vostra junta i el lideratge executiu necessiten actualitzacions periòdiques sobre les capacitats de notificació d'incidents i els incidents reals. Programeu revisions trimestrals de governança que cobreixin els vostres procediments de notificació, qualsevol incident que s'hagi produït, les respostes de les autoritats rebudes i les millores procedimentals implementades. Això crea responsabilitat i garanteix que el lideratge entengui les obligacions d'informes.
Assigna a executiu específic responsabilitat del compliment de la normativa d'informes d'incidents. Aquesta persona (normalment el vostre CISO o director de riscos) informa directament a la junta directiva sobre la preparació, manté relacions amb les autoritats competents i és la responsable del pressupost per a les eines d'informes i la formació. Una responsabilitat clara evita la confusió durant els incidents reals quan les decisions s'han de prendre ràpidament.
Incloure mètriques d'informes als vostres quadres de comandament de seguretat: temps des de la detecció fins a l'enviament d'alerta primerenca, percentatge d'incidents que compleixen els terminis, temps de resposta de les autoritats i accions correctives completades. Feu-ne un seguiment mensual per identificar tendències i oportunitats de millora.
Avançant
Ara teniu un marc complet per complir amb les vostres obligacions d'informes d'incidents de ciberseguretat segons NIS2 i la legislació neerlandesa. Sabeu quines regulacions s'apliquen a la vostra organització, quan els incidents superen el llindar de notificació, quines autoritats reben notificacions, quina informació ha de contenir cada informe i com crear procediments que funcionin sota pressió. El vostre següent pas és implementació immediata.
Comença per revisar el teu pla de resposta a incidents actual en relació amb els requisits descrits aquí. Actualitza el teu matriu de classificació, prepara el teu plantilles d'informesi formeu el vostre equip de resposta a incidents sobre els nous fluxos de treball. Programeu el vostre primer exercici pràctic dins del propers 30 dies per provar els procediments abans que es produeixi un incident real. Documenteu tot el que creeu perquè el vostre equip hi pugui accedir a l'instant quan ho necessiti.
El compliment legal en ciberseguretat requereix ambdues coses coneixements tècnics i coneixements jurídicsSi necessiteu ajuda per interpretar com s'apliquen aquestes regulacions a la vostra situació específica, contacte Law & More per a assessorament especialitzat. El seu equip ajuda les organitzacions neerlandeses a navegar pels complexos requisits de compliment de la ciberseguretat i a construir marcs de resposta a incidents que protegeixin tant les vostres operacions com la vostra posició legal.
