Līdz ar NIS2 direktīvas stāšanos spēkā papildus pienākumam rūpēties tiks precizēts pienākums ziņot, kas pastāvēja jau sākotnējā NIS direktīvā.
Saskaņā ar pirmo tīklu un informācijas drošības direktīvu tika noteikts pienākums ziņot par incidentiem, kas būtiski ietekmē pakalpojumu nepārtrauktību. Saskaņā ar direktīvu incidents tiek definēts kā "jebkurš notikums, kam ir faktiska negatīva ietekme uz tīkla un informācijas sistēmu drošību". Savukārt drošība ir "tīkla un informācijas sistēmu spēja izturēt darbības, kas ietekmē tīkla un informācijas sistēmu pieejamību, integritāti, konfidencialitāti un autentiskumu ar noteiktu ticamības pakāpi". Lai novērtētu, vai incidentam ir būtiska ietekme, pamatnostādnēs aprakstīti vairāki parametri, kas jāņem vērā, tostarp ietekmēto lietotāju skaits, incidenta ilgums un incidenta skartās ģeogrāfiskās teritorijas lielums. Ja piegādātājam šķiet, ka incidentam ir būtiska ietekme uz sniegto pakalpojumu nepārtrauktību, par incidentu nekavējoties jāziņo vietējai Datordrošības incidentu reaģēšanas grupai vai dalībvalsts izraudzītajai kompetentajai iestādei. Ziņojumam ir jāiekļauj pietiekama informācija, lai kompetentā iestāde varētu noteikt incidenta pārrobežu ietekmi.
Paziņojumi
NIS2 direktīvā ir paredzēta "divpakāpju pieeja" ziņošanai par incidentiem. Pirmā paziņojuma mērķis ir ierobežot iespējamo incidentu izplatīšanos un ļaut subjektam meklēt atbalstu. Otrajam paziņojumam jābūt detalizētam, lai nodrošinātu, ka tiek gūta mācība no iepriekšējiem incidentiem. Tomēr ir svarīgi atzīmēt, ka, lai skaidri izvērtētu incidentu un tā sekas, papildu paskaidrojumi mēdz būt nepieciešami. Turklāt tās mērķis ir arī pakāpeniski uzlabot atsevišķu uzņēmumu, kā arī nozares noturību pret kiberdraudiem. Papildus pienākumam iesniegt pirmo paziņojumu, tajā galvenā uzmanība ir pievērsta incidentu novēršanai.
1.Pirmais paziņojums - bez nepamatotas kavēšanās un jebkurā gadījumā 24 stundu laikā pēc incidenta konstatēšanas jāsniedz pirmais paziņojums kompetentajai iestādei. Ja iespējams, norādot, vai incidentu izraisījusi nelikumīga vai ļaunprātīga darbība. Šajā paziņojumā ir ietverta visa nepieciešamā un obligāti norādāmā informācija. Cietušajai struktūrai 72 stundu laikā pēc pirmā brīdinājuma iesniegšanas ir jāiesniedz arī atjaunināta informācija un sākotnējais novērtējums, kurā tiks iekļauta sīkāka informācija par uzbrukumu un ieviestajiem pasākumiem. Ja subjekts pieprasa, tad tiek sniegti norādījumi par iespējamo seku mazināšanas pasākumu īstenošanu un, ja nepieciešams, papildu tehnisko atbalstu. Krimināla incidenta gadījumā attiecīgā struktūra saņem arī ziņošanu norādījumus par incidentu tiesībaizsardzības iestādēm.
2. Gala paziņojums - viena mēneša laikā pēc sākotnējā paziņojuma vai pirmā paziņojuma iesniegšanas ir jāiesniedz gala ziņojums, kurā jāiekļauj i) detalizēts incidenta, tā smaguma un seku apraksts, ii) apdraudējuma veids vai cēlonis, kas iespējams izraisīja incidentu, un iii) piemērotie un īstenojamie riska mazināšanas pasākumi.
Nozīmīgi kiberdraudi
NIS2 direktīvā tika pieņemts noteikums, kas paredz ziņošanu par incidentiem ar būtiskām sekām, piebilstot, ka subjektiem būs jāziņo arī par visiem konstatētiem būtiskiem kiberdraudiem, kas varētu izraisīt vai novest pie nozīmīga incidenta. Attiecībā uz terminu "kiberdrošība" par pamatu tika ņemta definīcija, kas noteikta ENISA (Eiropas Savienības Kiberdrošības aģentūru) regulā un par informācijas un komunikācijas tehnoloģiju kiberdrošības sertifikāciju - Kiberdrošības likumā. Šajā regulā kiberdrošība ir definēta kā "darbības, kas nepieciešamas, lai aizsargātu tīklu un informācijas sistēmas, šo sistēmu lietotājus un citas personas, kuras ietekmē kiberdraudi". Incidents tiek uzskatīts par nozīmīgu, ja tā rezultātā attiecīgajam subjektam rodas vai var rasties būtiski darbības traucējumi vai finansiāli zaudējumi vai, ja incidents ir ietekmējis vai var ietekmēt fiziskas vai juridiskas personas, radot būtisku materiālu vai nemateriālu kaitējumu.
Brīvprātīgi paziņojumi
Struktūras, uz kurām neattiecas NIS2 direktīva, var brīvprātīgi ziņot par būtiskiem incidentiem, kiberdraudiem vai gandrīz notikušiem kiberuzbrukumiem. Kompetentā iestāde īstenos darbības, kas aprakstītas "divpakāpju paziņošanas" procedūrā. Uz brīvprātīgi iesniegtajiem ziņojumiem nevar attiecināt nekādus papildu pienākumus. Tādējādi, ja vienība brīvprātīgi iesniedz paziņojumu, tai nevajadzētu piemērot nekādas sankcijas vai apgrūtinošākus pienākumus.