Het vooruitzicht dat uw bedrijf het doelwit wordt van kwaadwillende aanvallen is helaas niet langer een uitzonderlijk geval, maar een dagelijkse realiteit waarmee elk modern bedrijf te maken heeft. Ongeacht de omvang of het profiel van uw bedrijf zullen kwaadwillenden elke kans aangrijpen om uw bedrijf te gijzelen en zo financieel gewin te behalen.
In part one we discussed how NIS2 legislation places a large importance on business continuity and how the right processes and backup tools can help in response to ransomware and other cybersecurity incidents.
Er is echter nog een ander cruciaal onderdeel van elke beveiligingsmaatregel, namelijk de noodzaak om het incident eventueel aan de autoriteiten te melden. Hier gaan we in op enkele van die verplichtingen.
Hoewel het verleidelijk kan zijn om prioriteit te geven aan het verhelpen van het beveiligingsincident, begint de klok vaak al te tikken op het moment dat u zich realiseert dat uw systemen zijn gehackt. De tijdschema’s kunnen strak zijn, dus dit is niet iets wat u tijdens de respons kunt uitwerken. Het moet worden geïntegreerd in uw processen, met duidelijke afspraken over wie de vereiste rapportages moet uitvoeren.
De klok tikt — het is tijd om het datalek te melden
Het is belangrijk om te onthouden dat je in sommige gevallen de bevoegde instantie binnen 24 uur na het ontdekken van een incident op de hoogte moet stellen, en in bepaalde gevallen zelfs al binnen vier uur.
Hieronder vindt u belangrijke wetgeving die gevolgen kan hebben voor uw organisatie.
AVG AVG 72 uur
Wie: Elke verwerkingsverantwoordelijke die actief is binnen respectievelijk de EU of het VK.
Als u een inbreuk constateert die een risico lijkt te vormen voor persoonsgegevens, moet u dit binnen 72 uur na het constateren van het probleem melden bij de bevoegde autoriteit.
Dat kan een opzettelijke inbreuk op uw systemen zijn waardoor toegang tot klantgegevens is verkregen, of een onopzettelijk incident, zoals het kwijtraken van een harde schijf waarop gegevens staan. De belangrijkste vraag is of personen nadelige gevolgen kunnen ondervinden van deze situatie.
Als u twijfelt of uw incident aan de meldingsdrempel voldoet, kunt u het beste toch alvast beginnen met aftellen en het zekere voor het onzekere nemen. Zorg ervoor dat u alles wat u doet in het kader van uw reactie vastlegt, en neem vervolgens contact op voordat de termijn van 72 uur is verstreken.
NIS2 – 24 uur
Wie: NIS2 is EU-wetgeving die gericht is op bedrijven die als „kritiek“ of „belangrijk“ worden aangemerkt, om verstoringen van vitale sectoren en infrastructuur tot een minimum te beperken. U kunt echter indirect worden geraakt als u een sleutelrol vervult in de toeleveringsketen van een bedrijf dat wel onder de NIS2-regelgeving valt.
Bij ernstige datalekken moet binnen 24 uur een eerste melding worden gedaan bij het CSIRT (Computer Security Incident Response Team) van de betreffende lidstaat. Vervolgens moet binnen 72 uur een volledige incidentmelding worden ingediend en binnen een maand een volledig rapport.
Als u een leverancier bent in de toeleveringsketen van een NIS2-bedrijf, bent u niet verplicht om een incident aan de autoriteiten te melden, maar u dient uw klant hiervan op de hoogte te stellen; de termijn hiervoor kan in uw contract zijn vastgelegd.
Het Verenigd Koninkrijk heeft ook een eigen NIS-verordening, waarbij elk incident dat aanzienlijke gevolgen heeft voor de dienstverlening van een bedrijf binnen 72 uur aan de ICO moet worden gemeld.
DORA – 4 uur
Wie: Alle financiële instellingen die actief zijn binnen de EU. Dit omvat (maar is niet beperkt tot) banken, verzekeraars en betalingsinstellingen. Net zoals NIS2 ook van toepassing kan zijn op andere bedrijven dan die welke onder de werkingssfeer van de verordening vallen, geldt DORA ook voor kritieke externe IT-dienstverleners.
Als een bedrijf dat onder de DORA-wetgeving valt een inbreuk constateert, moet het binnen 24 uur na de constatering een eerste melding doen. Als na onderzoek echter blijkt dat het om een ernstig incident gaat, wordt de meldingstermijn teruggebracht tot slechts vier uur (of het resterende deel van de 24-uurstermijn).
Vervolgens moet er binnen 72 uur een tussentijds rapport worden ingediend en binnen een maand een volledig rapport.
Overige wetgeving
Daarnaast gelden er nog andere regionale voorschriften: landen als de Verenigde Arabische Emiraten en Saoedi-Arabië hebben elk hun eigen wet op de bescherming van persoonsgegevens (PDPL). Dit onderstreept hoe belangrijk het is om de wetgeving te kennen van de landen waarin u actief bent, en dat de aanpak per locatie kan verschillen.
De mogelijke drievoudige overwinning op het gebied van verslaggeving
Voor sommige bedrijven kan het zijn dat u een inbreuk moet melden bij de AVG, NIS2- en DORA-autoriteiten. Elke instantie hanteert een andere meldingsprocedure en andere termijnen.
Dit onderstreept hoe belangrijk het is om over duidelijke processen te beschikken, met heldere verantwoordelijkheden waarin wordt vastgelegd wie wat doet en wanneer. Als dit niet gebeurt, kan dat hoge kosten met zich meebrengen.
Vergeet niet dat de autoriteiten er zijn om te helpen
Hoewel zij bij ernstige en verstrekkende inbreuken forse boetes kunnen opleggen, is het belangrijk om de bevoegde autoriteiten niet uitsluitend als handhavingsinstanties te zien. Door hen snel op de hoogte te stellen, kunnen zij u helpen de mogelijke gevolgen in kaart te brengen en de schade te beperken. Voor landen binnen de EU kunnen de bevoegde instanties ook helpen bij de grensoverschrijdende coördinatie.
Zoals de ICO met betrekking tot AVG uitlegt: „Het is begrijpelijk dat u zich zorgen maakt over wat er nu gaat gebeuren. Maar wij zijn er om u te helpen begrijpen wat er is gebeurd en om te voorkomen dat dit nog eens gebeurt.“
Het hoort allemaal bij incidentbeheer
Al deze rapportagevereisten vormen de kern van effectief incidentbeheer. Ze zorgen ervoor dat alle teamleden op één lijn zitten, maken snelle besluitvorming mogelijk en helpen bij het volgen van de voortgang van de incidentafhandeling.
Als een inbreuk bij een autoriteit wordt gemeld, kan van u worden verlangd dat u stap voor stap aantoont wat u allemaal hebt gedaan om het probleem op te sporen en op te lossen. Ook kan van u worden gevraagd om bewijs te leveren van wat u in de maanden voorafgaand aan het incident hebt gedaan.
Daarom hebt u de juiste tools nodig om processen en systemen te documenteren — en niet alleen om aan te tonen dat u over de benodigde gegevens beschikt, maar ook hoe u deze gebruikt om risico’s binnen uw bedrijf te beheersen. Ontdek hoe IT Glue, met zijn robuuste documentatiemogelijkheden, u kan helpen bij het afhandelen van een incident.
