Sua organização detectou atividade incomum na rede. Sua equipe de TI investigou e encontrou acesso não autorizado a dados de clientes. Você conteve a ameaça. Agora surge a pergunta urgente: você precisa reportar isso às autoridades? A quem exatamente? Quais informações você deve fornecer? Quanto tempo você tem?

De acordo com a norma NIS2 e a legislação holandesa, muitas organizações são obrigadas a reportar incidentes de cibersegurança às autoridades governamentais dentro de prazos rigorosos. Normalmente, o prazo é de 24 a 72 horas após a detecção. As normas especificam qual autoridade deve receber o relatório, quais informações devem ser fornecidas e os requisitos de formato. Perder o prazo ou reportar o incidente ao órgão errado pode acarretar multas substanciais, ações de fiscalização e responsabilidade legal que podem se estender além do incidente inicial.

Este guia mostra exatamente como cumprir suas obrigações de notificação. Você aprenderá quais leis se aplicam à sua organização, quando um incidente exige notificação, quais autoridades notificar em cada etapa, quais informações cada relatório precisa e como criar procedimentos que realmente funcionem. Vamos evitar o jargão jurídico e nos concentrar em medidas práticas que você pode tomar agora mesmo para manter a conformidade e proteger sua organização.

Quais são as suas responsabilidades em relação ao reporte de incidentes de cibersegurança?

Suas obrigações de relatar incidentes de segurança cibernética dependem do tamanho da sua organização, do setor em que atua e dos serviços que você presta. Entidades essenciais (energia, transporte, setor bancário, saúde, infraestrutura crítica) e entidades importantes Serviços postais, gestão de resíduos, fornecedores digitais e produção de alimentos estão sujeitos à obrigatoriedade de comunicação de informações segundo a NIS2. Se você opera infraestrutura crítica ou serviços digitais para consumidores holandeses, é quase certo que se enquadra nessas regras.

As três etapas de relatório que você deve concluir.

Você enfrenta três obrigações de reporte separadas com prazos diferentes. Sua primeira tarefa começa em 24 horas de detecção Em caso de incidente significativo, você envia um alerta antecipado à sua CSIRT (Equipe de Resposta a Incidentes de Segurança Cibernética) ou à autoridade competente. Essa notificação inicial sinaliza o incidente e indica se você suspeita de atividade maliciosa ou impacto transfronteiriço.

Dentro 72 horasAo enviar sua notificação de incidente, você inclui sua avaliação inicial da gravidade, do impacto, dos sistemas afetados e dos indicadores de comprometimento disponíveis. Você fornece detalhes técnicos que ajudam as autoridades a entender o escopo e a natureza da violação.

As organizações que não cumprirem esses prazos estão sujeitas a multas de até 10 milhões de euros ou 2% do faturamento anual global, de acordo com a NIS2, prevalecendo o valor mais alto.

Seu relatório final chegou. Dentro de um mês da sua notificação de incidente. Este documento abrangente detalha o escopo completo do incidente, a análise da causa raiz, as medidas de mitigação implementadas e os efeitos transfronteiriços. Se você ainda estiver lidando com o incidente ao final do mês, envie um relatório de progresso e, em seguida, um relatório final dentro de um mês após a resolução.

Deveres adicionais além do relatório inicial

Você também deve informar as partes afetadas Quando um incidente significativo afeta os beneficiários do serviço, essa notificação ocorre sem demora indevida e inclui medidas práticas que esses beneficiários podem tomar para se protegerem. prestadores de serviços de confiança Especificamente, o prazo de 72 horas é reduzido para 24 horas em casos de incidentes que afetam serviços de confiança.

Sua equipe CSIRT ou autoridade competente responderá em até 24 horas após o recebimento do seu alerta antecipado, fornecendo um feedback inicial e orientações operacionais sobre medidas de mitigação.

Passo 1. Identifique quais leis da UE e holandesas se aplicam a você.

Você precisa determinar qual marcos regulatórios Administre suas obrigações de notificação de incidentes de segurança cibernética antes que um incidente ocorra. NIS2 (A Diretiva de Segurança de Redes e Informação) aplica-se amplamente em toda a Holanda, mas DORA (Lei de Resiliência Operacional Digital) e regras específicas de implementação holandesas Crie obrigações adicionais para determinados setores. Comece avaliando sua organização em relação aos critérios de cada estrutura.

Verifique se a norma NIS2 se aplica à sua organização.

O NIS2 aplica-se se você se qualificar como um entidade essencial or entidade importanteEntidades essenciais incluem organizações nos setores de energia, transporte, bancário, infraestrutura do mercado financeiro, saúde, água potável, tratamento de esgoto, infraestrutura digital, administração pública e espacial. Entidades importantes abrangem serviços postais, gestão de resíduos, produtos químicos, produção de alimentos, manufatura, provedores de serviços digitais e organizações de pesquisa.

O tamanho da sua organização só importa para provedores de serviço digital (DSPs). Você se enquadra na NIS2 como um DSP se operar um mercado online, serviço em nuvem ou mecanismo de busca com pelo menos Funcionários 50 e também Faturamento anual de €10 milhões or € 10 milhões em ativos totaisTodas as outras entidades essenciais e importantes têm obrigações, independentemente do seu tamanho.

Se você opera infraestrutura crítica ou já foi designado ao abrigo da antiga Diretiva NIS (Wbni), você se qualifica automaticamente para o NIS2.

O governo holandês mantém um cadastro de entidades designadas. Consulte a autoridade competente do seu setor (energia e infraestrutura digital devem reportar à RDI; serviços financeiros à AFM e DNB; saúde à IGJ) para confirmar seu status. Você deve verificar isso. antes de janeiro 2026 quando a fiscalização for reforçada.

Verifique se a DORA cobre seus serviços financeiros.

A DORA aplica-se separadamente a instituições financeiras e prestadores de serviços de TIC servindo-os. Você se enquadra na DORA se operar como instituição de crédito, provedor de serviços de pagamento, seguradora, empresa de investimentos, provedor de serviços de criptoativos ou instituição de moeda eletrônica. Esta regulamentação funciona em paralelo com a NIS2, com suas próprias diretrizes. requisitos de relatório.

Prestadores de serviços financeiros relatam incidentes significativos para ambos AFM (via Portal AFM) e DNB (via My DNB) além do RDI. Você também deve registrar todos os acordos contratuais com terceiros de TIC para funções críticas ou importantes através desses portais dentro dos prazos especificados.

Avalie as obrigações do seu provedor de serviços digitais.

O Wbni (Implementação holandesa) cria deveres específicos se você fornecer mercados online, computação em nuvem ou mecanismos de buscaVocê reporta os incidentes para ambos. RDI e CSIRT-DSP (a equipe especializada em resposta a incidentes para provedores digitais). Ao contrário de entidades essenciais em outros setores, vocês enfrentam limites de tamanho: mais de 50 funcionários e faturamento ou ativos acima de € 10 milhões.

Os prestadores de serviços de confiança enfrentam prazos acelerados De acordo com o regulamento eIDAS, você deve reportar incidentes significativos que afetem os serviços fiduciários dentro do prazo estipulado. 24 horas em vez do prazo padrão de 72 horas que se aplica a outras entidades.

Etapa 2. Defina quando um incidente deve ser relatado.

É necessário ter critérios concretos para determinar se um incidente ultrapassa o limite que exige notificação. A lei define... incidentes significativos como aqueles que causam graves interrupções operacionais, perdas financeiras ou danos consideráveis ​​a terceiros. Suas obrigações de relatar incidentes de segurança cibernética começam quando você detecta um incidente que atenda a esses critérios, e não quando termina de investigá-lo. Isso significa que você deve tomar decisões sobre o relatório rapidamente, muitas vezes com informações incompletas.

Avalie o limite de gravidade para sua organização.

Um incidente é considerado significativo quando: interrompe seus serviços principais ou cria impacto financeiro substancialO NIS2 prevê duas categorias principais: incidentes que interrompem gravemente as suas operações ou causam perdas financeiras e incidentes que afetam terceiros, causando danos materiais ou imateriais consideráveis. Você deve reportar quando qualquer uma das categorias se aplicar.

Interrupção operacional significa que você não consegue fornecer serviços aos clientes, sistemas críticos falham ou você perde o acesso a dados essenciais. Perdas financeiras incluem custos diretos como pagamentos de resgate, despesas de recuperação, perda de receita ou multas regulatórias. A legislação não especifica limites exatos em euros, portanto, a avaliação deve ser feita com base no porte da sua organização e no impacto relativo do incidente.

Documente seus limites internos antes que um incidente ocorra. Isso cria consistência nas decisões de notificação e demonstra conformidade de boa-fé caso as autoridades questionem seu julgamento posteriormente.

Considere estes indicadores ao avaliar a significância:

• Serviço disponívelOs clientes conseguem acessar seus serviços? Há quanto tempo os sistemas estão fora do ar?
• Integridade de dadosOcorreu acesso não autorizado? Quais categorias de dados foram afetadas?
• Escopo geográficoO incidente afeta vários locais ou países?
• Impacto do clienteQuantos usuários ou destinatários enfrentam interrupções no serviço?
• Tempo de recuperaçãoVocê espera uma resolução em horas, dias ou semanas?

Avaliar os efeitos transfronteiriços e em cascata.

Você deve reportar os incidentes ao potencial impacto transfronteiriço mesmo quando os efeitos domésticos parecem menores. Um incidente que afete suas operações na Holanda pode impactar clientes, parceiros ou redes de fornecimento em outros Estados-Membros da UE. Isto desencadeia obrigações de comunicação, uma vez que as autoridades coordenam as respostas além-fronteiras.

Efeitos em cascata A importância de reportar um incidente é a mesma. Seu incidente se torna reportável quando interrompe os serviços que você fornece a outras entidades essenciais ou importantes, independentemente do impacto direto nos usuários finais. Por exemplo, se você fornece serviços em nuvem para um hospital e sua violação de segurança afeta os sistemas de pacientes, você deve reportar o incidente com base no impacto operacional do hospital, e não apenas em suas próprias perdas.

Os prestadores de serviços de confiança enfrentam limites mais rigorososQualquer incidente que afete a prestação de serviços de confiança (assinaturas digitais, certificados, carimbos de data/hora) exige comunicação imediata em até 24 horas. Não espere para avaliar se o impacto atende aos critérios gerais de significância.

Etapa 3. Crie seus procedimentos de notificação de incidentes

Você precisa de procedimentos documentados que especifiquem exatamente quem faz o quê, quando e como durante um incidente. plano de resposta a incidentes Devem incluir fluxos de trabalho de reporte claros que sejam ativados automaticamente quando sua equipe detectar um incidente significativo. Esses procedimentos traduzem suas obrigações de reporte de incidentes de cibersegurança de requisitos legais abstratos em ações concretas que sua equipe possa executar sob pressão.

Crie sua matriz de classificação de incidentes

Sua matriz de classificação ajuda socorristas de incidentes Determine os requisitos de notificação em minutos após a detecção. Crie uma tabela que mapeie os tipos de incidentes e seus níveis de gravidade com as obrigações de notificação, prazos e autoridades responsáveis. Isso elimina as suposições e garante decisões consistentes em toda a sua organização.

Atualize esta matriz sempre que necessário. Mudanças nas regulamentações ou se sua organização adicionar novos serviços. Teste trimestralmente usando cenários realistas para identificar lacunas ou pontos de confusão.

Projete seu fluxo de trabalho de notificações

Seu fluxo de trabalho deve especificar o sequência exata Documentar as ações desde a detecção do incidente até a elaboração do relatório final. Registrar quem inicia o relato, quem revisa e aprova as notificações, quem as submete e quem mantém contato com as autoridades. Designar pessoal de apoio para cada função, a fim de cobrir ausências.

Seu fluxo de trabalho deve considerar a possibilidade de incidentes ocorrerem fora do horário comercial, quando a alta administração pode não estar imediatamente disponível. Incorpore mecanismos de aprovação que evitem atrasos.

Crie uma formato de lista de verificação Sua equipe segue os seguintes passos:

1. Incidente detectado: o líder da equipe de segurança avalia o incidente de acordo com a matriz de classificação em até 2 horas.
2. Incidente reportável confirmado: CISO notificado imediatamente, inicia preparação para alerta antecipado
3. Elaborado um alerta antecipado: Inclui o tipo de incidente, o horário de detecção, a causa suspeita e o potencial impacto transfronteiriço.
4. Revisão jurídica: O departamento jurídico revisa a minuta em até 4 horas para verificar sua precisão e integridade.
5. Submissão: O CISO ou seu representante deve submeter o documento através do portal oficial dentro do prazo de 24 horas.
6. Resposta das autoridades: A equipe de segurança implementa as orientações recebidas em até 24 horas.
7. Notificação de incidente: A equipe técnica prepara uma avaliação detalhada em até 60 horas.
8. Entrega final: Documentação completa enviada antes do prazo de 72 horas.

Prepare modelos de relatório para cada etapa.

Os modelos garantem que seu Os relatórios contêm todas as informações necessárias. Ao mesmo tempo que reduz o tempo de preparação, crie modelos separados para o seu alerta antecipado, notificação de incidente e relatório final, que incluam todos os campos obrigatórios especificados pela NIS2 e pelas autoridades holandesas.

Seu modelo de alerta precoce precisa incluir: registro de data e hora da detecção, categoria do incidente, resumo dos sistemas afetados, indicador de suspeita de atividade maliciosa (sim/não), indicador de impacto transfronteiriço (sim/não) e informações de contato do contato principal. Sua notificação de incidente adiciona: avaliação da gravidade, escopo do impacto, número de usuários afetados, indicadores de comprometimento e medidas iniciais de mitigação tomadas. Os relatórios finais incluem: cronologia completa do incidente, análise da causa raiz, avaliação completa do impacto, medidas de segurança implementadas, lições aprendidas e recomendações preventivas.

Salve esses modelos como formulários preenchíveis Sua equipe pode acessar instantaneamente. Armazene-os em sua plataforma de resposta a incidentes, wiki de segurança e backups offline para garantir a disponibilidade durante interrupções do sistema.

Etapa 4. Incorpore a elaboração de relatórios no treinamento e na governança.

Sua procedimentos de relatório As empresas falham se os funcionários não entenderem seus papéis ou se as estruturas de governança não apoiarem a tomada de decisões rápidas. Você precisa treinamento sistemático e supervisão a nível de conselho Para garantir que sua organização execute corretamente suas obrigações de notificação de incidentes de cibersegurança em todas as ocasiões, é fundamental integrar essas obrigações aos seus programas de treinamento de segurança existentes e criar mecanismos claros de responsabilidade em nível de governança.

Treinar toda a equipe em detecção e escalonamento de problemas.

Você precisa treinar. todos os empregados Para reconhecer potenciais incidentes de segurança e saber exatamente como encaminhá-los, sua equipe técnica precisa de treinamento detalhado sobre a matriz de classificação e os fluxos de trabalho de relatórios. Já os funcionários não técnicos precisam de orientações mais simples, focadas em identificar atividades incomuns e contatar as pessoas certas imediatamente.

Execute exercícios trimestrais de simulação de mesa que simulam incidentes realistas que exigem relatórios. Acompanhe sua equipe de resposta a incidentes por todo o processo, da detecção à submissão do relatório final. Use esses exercícios para identificar lacunas nos procedimentos, testar seus modelos e verificar se a equipe de apoio compreende suas funções. Documente as lições aprendidas após cada exercício e atualize seus procedimentos de acordo.

O treinamento de conscientização sobre segurança para funcionários em geral deve abordar estes pontos essenciais sobre como reportar informações:

• O que constitui um potencial incidente de segurança (e-mails incomuns, tentativas de acesso não autorizado, dados perdidos)?
• Quem contatar imediatamente (forneça os dados de contato da sua equipe de segurança, disponíveis 24 horas por dia, 7 dias por semana).
• O que não fazer (não tente investigar por conta própria, não apague provas, não espere até segunda-feira)
• Por que a velocidade é importante (os prazos regulamentares começam a contar a partir da detecção de incidentes, não da sua notificação)

Treine os funcionários para que a detecção e a comunicação imediata de atividades suspeitas protejam tanto a organização quanto a si mesmos de riscos. responsabilidade, não apenas cumpre os requisitos de conformidade.

Integrar a elaboração de relatórios à governança existente

Seu conselho e liderança executiva precisam de atualizações regulares sobre as capacidades de reporte de incidentes e os incidentes reais. Agende revisões trimestrais de governança que abranjam seus procedimentos de reporte, quaisquer incidentes ocorridos, respostas das autoridades recebidas e melhorias processuais implementadas. Isso cria responsabilidade e garante que a liderança compreenda as obrigações de reporte.

Atribuir um executivo específico Responsabilidade pela conformidade com os relatórios de incidentes. Essa pessoa (normalmente o CISO ou Diretor de Riscos) reporta diretamente ao conselho sobre o nível de preparação, mantém relacionamento com as autoridades competentes e é responsável pelo orçamento para ferramentas de relatórios e treinamento. A definição clara de responsabilidades evita confusão durante incidentes reais, quando decisões rápidas precisam ser tomadas.

Incluir métricas de relatório Nos seus painéis de segurança: tempo decorrido entre a detecção e o envio de alertas precoces, percentual de incidentes que atendem aos prazos estabelecidos, tempos de resposta das autoridades e ações corretivas concluídas. Monitore esses dados mensalmente para identificar tendências e oportunidades de melhoria.

Avançando

Agora você possui uma estrutura completa para cumprir suas obrigações de notificação de incidentes de cibersegurança de acordo com a NIS2 e a legislação holandesa. Você sabe quais regulamentações se aplicam à sua organização, quando os incidentes ultrapassam o limite de notificação, quais autoridades recebem as notificações, quais informações cada relatório deve conter e como criar procedimentos que funcionem sob pressão. Seu próximo passo é implementação imediata.

Comece revisando seu plano de resposta a incidentes atual em relação aos requisitos descritos aqui. Atualize seu matriz de classificação, Prepare seu modelos de relatórioe treine sua equipe de resposta a incidentes nos novos fluxos de trabalho. Agende seu primeiro exercício de simulação dentro do próximos 30 dias Para testar os procedimentos antes que um incidente real ocorra, documente tudo o que você criar para que sua equipe possa acessar as informações instantaneamente quando necessário.

A conformidade legal em cibersegurança exige ambos perícia técnica e conhecimento jurídicoSe precisar de ajuda para interpretar como essas normas se aplicam à sua situação específica, Contacto Law & More Para orientação especializada, a equipe deles ajuda organizações holandesas a lidar com os complexos requisitos de conformidade em cibersegurança e a construir estruturas de resposta a incidentes que protegem tanto as operações quanto a situação jurídica da empresa.