Priėmus Tinklo ir informacinių sistemų saugumo antrąją direktyvą (TIS2), įsigalios ne tik pareiga prižiūrėti, bet taip pat bus patikslinta pareiga informuoti, kuri buvo minima jau pirmoje TIS direktyvoje.
Pirmoje TIS direktyvoje nustatyta pareiga pranešti apie incidentus, kurie daro didelį poveikį paslaugų tęstinumui. Pagal šią direktyvą incidentas laikomas įvykusiu tada, kai „faktiškai padaromas žalingas poveikis tinklo ir informacinių sistemų saugumui“. Saugumas - tai „tinklo ir informacinių sistemų gebėjimas tam tikru patikimumo lygiu atlaikyti veiksmus, kurie daro poveikį tinklo ir informacinių sistemų prieinamumui, vientisumui, konfidencialumui ir autentiškumui“. Siekiant įvertinti, ar incidentas turi reikšmingą poveikį, gairėse aprašomi keli parametrai, į kuriuos reikia atsižvelgti, įskaitant paveiktų naudotojų skaičių, incidento trukmę ir incidento paveiktos geografinės teritorijos dydį. Jei tiekėjui atrodo, kad incidentas turi didelį poveikį teikiamų paslaugų tęstinumui, apie incidentą nedelsiant turi būti pranešama vietinei reagavimo į kompiuterių saugumo incidentus grupei (CSIRT) arba valstybės narės paskirtai kompetentingai institucijai. Pranešimo turinyje turi būti pakankamai informacijos, kad kompetentinga institucija arba CSIRT galėtų nustatyti tarpvalstybinį incidento poveikį.
Pranešimai
TIS2 direktyvoje pranešimui apie kibernetines atakas numatytas „dviejų etapų metodas“. Pirmuoju pranešimu siekiama apriboti galimą incidento plitimą ir sudaryti sąlygas subjektams kreiptis pagalbos. Jis yra privalomas - reikalingas atsakingų institucijų informavimui apie įvykusį incidentą. Antrasis pranešimas turi būti daug išsamesnis. Jo paskirtis - susipažinti su sėkmingos atakos priežastimis ir pasimokyti iš ankstesnių klaidų. Tačiau svarbu atkreipti dėmesį, jog gali prireikti papildomų patikslinimų, norint aiškiai įvertinti incidentą ir jo pasekmes. Tokiu būdu siekiama palaipsniui didinti atskirų įmonių ir visų sektorių atsparumą kibernetinėms grėsmėms.
1. Pirmasis pranešimas. Pirmasis pranešimas, kuriame, jei įmanoma, nurodoma, ar incidentas įvyko dėl neteisėtos ar piktavališkos veikos, turi būti nedelsiant pateiktas kompetentingai institucijai arba atitinkamam nacionaliniam CISR visais atvejais per 24 valandas nuo sužinojimo apie incidentą. Ši nuostata apibrėžia griežtai būtiną informaciją. Per 72 valandas nuo pirmojo pranešimo pateikimo nukentėjęs subjektas taip pat turi pateikti atnaujintą informaciją ir pirminį vertinimą, kuriame išsamiau aprašoma ataka ir taikomos priemonės. Subjektui paprašius, galima gauti gaires dėl galimų poveikio mažinimo priemonių įgyvendinimo ir, jei reikia, papildomą techninę pagalbą. Kriminalinio incidento atveju paveiktas subjektas taip pat gauna gaires, kaip pranešti apie incidentą teisėsaugos institucijoms.
2. Antras pranešimas. Per vieną mėnesį nuo pirmo pranešimo pateikimo turi būti pateikta galutinė ataskaita, kurioje: a) išsamiai aprašytas incidentas, jo rimtumas ir pasekmės, b) grėsmės rūšis arba priežastis, galėjusi sukelti incidentą, ir c) taikytos ir taikomos poveikio mažinimo priemonės.
Didelės kibernetinės grėsmės
Nuostata dėl pranešimo apie reikšmingų pasekmių turinčius incidentus buvo perkelta į TIS2 direktyvą, pridedant, kad subjektai taip pat turės pranešti apie bet kokią nustatytą didelę kibernetinę grėsmę, kuri gali sukelti reikšmingą incidentą. Sąvoka „kibernetinis saugumas“ atitinka apibrėžimą, nustatytą Reglamente dėl ENISA (Europos Sąjungos kibernetinio saugumo agentūros) ir dėl informacinių ir ryšių technologijų kibernetinio saugumo sertifikavimo - Kibernetinio saugumo įstatyme. Šiame reglamente kibernetinis saugumas apibrėžiamas kaip „veikla, būtina siekiant apsaugoti tinklo ir informacines sistemas, tokių sistemų naudotojus ir kitus asmenis, kuriems kyla kibernetinės grėsmės“. Incidentas laikomas reikšmingu, jei dėl jo atsiranda ar gali atsirasti reikšmingų veiklos sutrikimų ar finansinių nuostolių atitinkamam subjektui, arba jei incidentas paveikė ar gali paveikti fizinius ar juridinius asmenis, padarydamas didelę materialinę ar nematerialinę žalą.
Savanoriškas pranešimų teikimas
Subjektai, kuriems netaikoma TIS2 direktyva, gali savanoriškai pranešti apie svarbius incidentus, kibernetines grėsmes ar beveik įvykusius incidentus. Kompetentinga institucija arba CSIRT laikosi „dviejų etapų pranešimo“ metodo. Savanoriškai pateiktiems pranešimams negali būti taikomi jokie papildomi įpareigojimai. Taigi, jei subjektas savanoriškai pateikia pranešimą, jam neturėtų būti taikomos sunkesnės prievolės nei tuo atveju, jei jis jo nebūtų pateikęs.