S príchodom smernice NIS2 sa okrem povinnosti náležitej starostlivosti spresní aj oznamovacia povinnosť, ktorá existovala už v pôvodnej smernici NIS.
V rámci prvej smernice NIS bola zavedená povinnosť hlásiť incidenty, ktoré majú významný vplyv na kontinuitu služieb. Podľa smernice sa o incidente hovorí vtedy, keď nastane akákoľvek udalosť so skutočným škodlivým vplyvom na bezpečnosť sietí a informačných systémov. Bezpečnosť sa vzťahuje na schopnosť sietí a informačných systémov odolávať akémukoľvek konaniu, ktoré ohrozuje dostupnosť, integritu, dôvernosť a pravosť sietí a informačných systémov. Na posúdenie toho, či má incident významný vplyv, sa v usmernení opisuje niekoľko parametrov, ktoré je potrebné zohľadniť, vrátane počtu dotknutých používateľov, trvania incidentu a rozsahu geografickej oblasti postihnutej incidentom. Ak sa v prípade dodávateľa zdá, že incident má významný vplyv na kontinuitu poskytovaných služieb, musí sa bezodkladne oznámiť vládnej jednotke CSIRT alebo príslušnému orgánu určenému členským štátom. Oznámenie musí obsahovať dostatočné množstvo informácií na to, aby mohol príslušný orgán alebo jednotka CSIRT určiť cezhraničný vplyv incidentu.
Oznámenia
Smernica NIS2 stanovuje dvojfázový prístup k oznamovaniu incidentov. Cieľom prvého oznámenia je obmedziť potenciálne šírenie incidentov a umožniť subjektom vyhľadať podporu. Druhé oznámenie by malo byť podrobné a musí zaručiť, že je možné poučiť sa z predchádzajúcich incidentov. Na jednoznačné posúdenie incidentu a jeho následkov však môžu byť potrebné ďalšie upresnenia. Zámerom tohto prístupu je postupne zvyšovať odolnosť jednotlivých spoločností a celých odvetví voči kybernetickým hrozbám. Prvé oznámenie, ktoré je povinné podať, sa zameriava na riešenie incidentov.
Prvé oznámenie
Včasné varovanie by sa malo nahlásiť kompetentnému orgánu alebo príslušnej národnej jednotke CSIRT bez zbytočného odkladu a v každom prípade do 24 hodín od zistenia incidentu, pričom sa uvedie, ak je to možné, či bol incident spôsobený nezákonne alebo so zlým úmyslom. Ide o nevyhnutne potrebné informácie. Do 72 hodín od nahlásenia včasného varovania je dotknutý subjekt povinný predložiť aj aktualizáciu informácií a prvotné hodnotenie incidentu s podrobnejšími informáciami o útoku a zavedených opatreniach. Subjekt si môže od príslušného orgánu vyžiadať usmernenie k realizácii potenciálnych zmierňujúcich opatrení a v prípade potreby aj ďalšiu technickú podporu. V prípade, že je incident trestnoprávnej povahy, subjekt dostane aj usmernenie, ako ho oznámiť orgánom presadzovania práva.
Záverečná správa
Nakoniec sa do jedného mesiaca od podania včasného varovania alebo prvého oznámenia predloží záverečná správa, ktorá bude obsahovať i) podrobný opis incidentu vrátane jeho závažnosti a vplyvu, ii) druh hrozby alebo hlavnú príčinu, ktorá pravdepodobne incident spôsobila a iii) zavedené a prebiehajúce zmierňujúce opatrenia.
Významné kybernetické hrozby
V rámci smernice NIS2 bolo prijaté ustanovenie týkajúce sa hlásenia incidentov s významnými dôsledkami, pričom sa dodáva, že subjekty budú musieť oznamovať aj každú identifikovanú závažnú kybernetickú hrozbu, ktorá by mohla viesť k významnému incidentu. Pojem „kybernetická bezpečnosť“ sa riadi definíciou stanovenou v nariadení o agentúre ENISA (Agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií (akt o kybernetickej bezpečnosti).
V tomto nariadení sa kybernetická bezpečnosť definuje ako „činnosti potrebné na ochranu sietí a informačných systémov, používateľov takýchto systémov a iných osôb dotknutých kybernetickými hrozbami“. Incident sa považuje za významný, ak má alebo môže mať za následok závažné narušenie prevádzky služieb alebo finančné straty pre uvedený subjekt, prípadne ak zasiahol alebo by mohol zasiahnuť fyzické alebo právnické osoby spôsobením značnej majetkovej alebo nemajetkovej ujmy.
Dobrovoľné oznámenia
Subjekty, na ktoré sa nevzťahuje smernica NIS2, môžu dobrovoľne nahlasovať významné incidenty, kybernetické hrozby alebo udalosti odvrátené v poslednej chvíli. Príslušný orgán alebo jednotka CSIRT bude postupovať podľa pokynov popísaných v rámci dvojfázového oznamovania. Na dobrovoľne nahlásené incidenty sa nemusia vzťahovať žiadne ďalšie povinnosti. Subjektu teda nevznikajú v dôsledku dobrovoľného oznámenia žiadne ďalšie povinnosti, ktoré by sa naň neboli vzťahovali, ak by oznámenie nepodal.
