आपकी संस्था को नेटवर्क पर असामान्य गतिविधि का पता चलता है। आपकी आईटी टीम जांच करती है और ग्राहक डेटा तक अनधिकृत पहुंच का पता लगाती है। आप खतरे को नियंत्रित कर लेते हैं। अब सबसे अहम सवाल उठता है: क्या आपको इसकी सूचना अधिकारियों को देनी चाहिए? किसे? आपको कौन सी जानकारी देनी चाहिए? आपके पास कितना समय है?
NIS2 और डच कानून के तहत, कई संगठनों को साइबर सुरक्षा घटनाओं की रिपोर्ट निर्धारित समय सीमा के भीतर सरकारी अधिकारियों को देनी होती है। आमतौर पर, घटना का पता चलने के बाद 24 से 72 घंटे का समय मिलता है। नियमों में यह निर्दिष्ट किया गया है कि आपकी रिपोर्ट किस प्राधिकरण को प्राप्त होगी, आपको कौन सी जानकारी देनी होगी और प्रारूप संबंधी आवश्यकताएं क्या हैं। समय सीमा चूक जाने या गलत निकाय को रिपोर्ट करने पर आपको भारी जुर्माना, कानूनी कार्रवाई और कानूनी दायित्व का सामना करना पड़ सकता है, जो घटना के बाद भी जारी रह सकता है।
यह मार्गदर्शिका आपको रिपोर्टिंग संबंधी अपने दायित्वों को पूरा करने का सटीक तरीका बताती है। आप जानेंगे कि आपके संगठन पर कौन से कानून लागू होते हैं, किसी घटना की रिपोर्ट कब आवश्यक होती है, प्रत्येक चरण में किन अधिकारियों को सूचित करना है, प्रत्येक रिपोर्ट में कौन सी जानकारी आवश्यक है, और प्रभावी प्रक्रियाएं कैसे बनाई जाएं। हम कानूनी शब्दावली को छोड़कर उन व्यावहारिक कदमों पर ध्यान केंद्रित करेंगे जिन्हें आप अभी अपनाकर नियमों का पालन कर सकते हैं और अपने संगठन की सुरक्षा सुनिश्चित कर सकते हैं।
साइबर सुरक्षा घटना रिपोर्टिंग के आपके कर्तव्य क्या हैं?
साइबर सुरक्षा से जुड़ी घटनाओं की रिपोर्टिंग करने की आपकी जिम्मेदारियां आपके संगठन के आकार, क्षेत्र और आपके द्वारा प्रदान की जाने वाली सेवाओं पर निर्भर करती हैं। आवश्यक संस्थाएँ (ऊर्जा, परिवहन, बैंकिंग, स्वास्थ्य सेवा, महत्वपूर्ण अवसंरचना) और महत्वपूर्ण संस्थाएँ (डाक सेवाएं, अपशिष्ट प्रबंधन, डिजिटल प्रदाता, खाद्य उत्पादन) को NIS2 के तहत अनिवार्य रिपोर्टिंग का सामना करना पड़ता है। यदि आप डच उपभोक्ताओं के लिए महत्वपूर्ण बुनियादी ढांचा या डिजिटल सेवाएं संचालित करते हैं, तो आप लगभग निश्चित रूप से इन नियमों के अंतर्गत आते हैं।
आपको रिपोर्टिंग के तीन चरणों को पूरा करना होगा।
आप का सामना तीन अलग-अलग रिपोर्टिंग दायित्व अलग-अलग समयसीमाओं के साथ। आपका पहला कर्तव्य शुरू होता है। पता लगाने के 24 घंटे किसी महत्वपूर्ण घटना की स्थिति में: आप अपनी कंप्यूटर सुरक्षा घटना प्रतिक्रिया टीम (सीएसआईआरटी) या सक्षम प्राधिकारी को प्रारंभिक चेतावनी भेजते हैं। यह प्रारंभिक सूचना घटना को चिह्नित करती है और यह बताती है कि क्या आपको दुर्भावनापूर्ण गतिविधि या सीमा पार प्रभाव का संदेह है।
अंदर 72 घंटेआप घटना की सूचना जमा करते हैं। इस रिपोर्ट में गंभीरता, प्रभाव, प्रभावित प्रणालियों और उपलब्ध सुरक्षा उल्लंघन संकेतकों का आपका प्रारंभिक आकलन शामिल होता है। आप तकनीकी विवरण प्रदान करते हैं जो अधिकारियों को उल्लंघन के दायरे और प्रकृति को समझने में मदद करते हैं।
इन समयसीमाओं को पूरा न करने वाले संगठनों को एनआईएस2 के तहत 10 मिलियन यूरो तक का जुर्माना या वैश्विक वार्षिक कारोबार का 2% जुर्माना देना पड़ सकता है, जो भी अधिक हो।
आपकी अंतिम रिपोर्ट आ गई है एक महीने के भीतर यह दस्तावेज़ घटना की सूचना से संबंधित है। इसमें घटना का पूरा विवरण, मूल कारण विश्लेषण, आपके द्वारा लागू किए गए निवारण उपाय और सीमा पार के प्रभाव शामिल हैं। यदि महीने की समाप्ति तक आप घटना से निपट रहे हैं, तो आपको प्रगति रिपोर्ट और फिर समाधान के एक महीने के भीतर अंतिम रिपोर्ट जमा करनी होगी।
प्रारंभिक रिपोर्टिंग के अतिरिक्त अतिरिक्त कर्तव्य
आपको भी करना चाहिए प्रभावित पक्षों को सूचित करें जब कोई महत्वपूर्ण घटना सेवा प्राप्तकर्ताओं को प्रभावित करती है, तो यह सूचना बिना किसी अनावश्यक देरी के दी जाती है और इसमें उन प्राप्तकर्ताओं द्वारा स्वयं को सुरक्षित रखने के लिए उठाए जा सकने वाले व्यावहारिक कदम शामिल होते हैं। सेवा प्रदाताओं पर भरोसा करें विशेष रूप से, ट्रस्ट सेवाओं को प्रभावित करने वाली घटनाओं के लिए 72 घंटे की समय सीमा घटकर 24 घंटे हो जाती है।
आपकी सीएसआईआरटी या सक्षम प्राधिकारी आपकी प्रारंभिक चेतावनी प्राप्त होने के 24 घंटों के भीतर जवाब देती है, जिसमें प्रारंभिक प्रतिक्रिया और शमन उपायों पर परिचालन मार्गदर्शन प्रदान किया जाता है।
चरण 1. यह पहचानें कि आप पर कौन से यूरोपीय संघ और डच कानून लागू होते हैं।
आपको यह निर्धारित करने की आवश्यकता है कि कौन सा नियामक ढाँचे किसी घटना के घटित होने से पहले ही साइबर सुरक्षा घटनाओं की रिपोर्टिंग संबंधी अपने कर्तव्यों को व्यवस्थित करें। एनआईएस2 (नेटवर्क और सूचना सुरक्षा निर्देश) नीदरलैंड्स में व्यापक रूप से लागू होता है, लेकिन डोरा (डिजिटल ऑपरेशनल रेजिलिएंस एक्ट) और विशिष्ट डच कार्यान्वयन नियम कुछ विशिष्ट क्षेत्रों के लिए अतिरिक्त दायित्व निर्धारित करें। प्रत्येक फ्रेमवर्क के मानदंडों के आधार पर अपने संगठन का मूल्यांकन करके शुरुआत करें।
जांचें कि क्या एनआईएस2 आपके संगठन पर लागू होता है
यदि आप पात्रता मानदंडों को पूरा करते हैं तो NIS2 लागू होता है। आवश्यक इकाई or महत्वपूर्ण इकाईआवश्यक संस्थाओं में ऊर्जा, परिवहन, बैंकिंग, वित्तीय बाजार अवसंरचना, स्वास्थ्य, पेयजल, अपशिष्ट जल, डिजिटल अवसंरचना, सार्वजनिक प्रशासन और अंतरिक्ष क्षेत्र के संगठन शामिल हैं। महत्वपूर्ण संस्थाओं में डाक सेवाएं, अपशिष्ट प्रबंधन, रसायन, खाद्य उत्पादन, विनिर्माण, डिजिटल सेवा प्रदाता और अनुसंधान संगठन शामिल हैं।
आपके संगठन का आकार केवल इन मामलों में मायने रखता है: डिजिटल सेवा प्रदाता (डीएसपी)। यदि आप कम से कम ऑनलाइन मार्केटप्लेस, क्लाउड सेवा या सर्च इंजन संचालित करते हैं, तो आप एनआईएस2 के अंतर्गत डीएसपी के रूप में आते हैं। 50 कर्मचारियों और या तो वार्षिक कारोबार 10 मिलियन यूरो or कुल संपत्ति €10 मिलियनअन्य सभी आवश्यक और महत्वपूर्ण संस्थाओं को आकार की परवाह किए बिना दायित्वों का सामना करना पड़ता है।
यदि आप महत्वपूर्ण अवसंरचना का संचालन करते हैं या पहले पुराने एनआईएस निर्देश (डब्ल्यूबीएनआई) के तहत नामित किए गए थे, तो आप स्वचालित रूप से एनआईएस2 के अंतर्गत पात्र हो जाते हैं।
डच सरकार नामित संस्थाओं का एक रजिस्टर रखती है। अपनी स्थिति की पुष्टि करने के लिए अपने क्षेत्र के सक्षम प्राधिकारी से संपर्क करें (ऊर्जा और डिजिटल अवसंरचना संबंधी रिपोर्ट RDI को; वित्तीय सेवाओं संबंधी रिपोर्ट AFM और DNB को; स्वास्थ्य सेवाओं संबंधी रिपोर्ट IGJ को)। आपको इसकी पुष्टि अवश्य करनी चाहिए। जनवरी 2026 से पहले जब प्रवर्तन प्रक्रिया को और सख्त किया जाएगा।
पता करें कि क्या DORA आपकी वित्तीय सेवाओं को कवर करता है।
डोरा अलग से लागू होता है वित्तीय संस्थाएं और आईसीटी सेवा प्रदाता उनकी सेवा करना। यदि आप क्रेडिट संस्थान, भुगतान सेवा प्रदाता, बीमा कंपनी, निवेश फर्म, क्रिप्टो-संपत्ति सेवा प्रदाता, या इलेक्ट्रॉनिक मुद्रा संस्थान के रूप में कार्य करते हैं, तो आप DORA के अंतर्गत आते हैं। यह विनियमन NIS2 के समानांतर चलता है और इसके अपने नियम हैं। रिपोर्टिंग आवश्यकताएं.
वित्तीय सेवा प्रदाता महत्वपूर्ण घटनाओं की रिपोर्ट दोनों पक्षों को करते हैं। AFM के (एएफएम पोर्टल के माध्यम से) और डीएनबी (माई डीएनबी के माध्यम से) आरडीआई के अतिरिक्त। आपको सभी पंजीकरण भी कराने होंगे। संविदात्मक समझौतों के साथ आईसीटी तृतीय पक्ष महत्वपूर्ण या आवश्यक कार्यों के लिए इन पोर्टलों के माध्यम से निर्धारित समयसीमा के भीतर कार्य करना होगा।
अपने डिजिटल सेवा प्रदाता दायित्वों का आकलन करें
डब्ल्यूबीएनआई (डच कार्यान्वयन) यदि आप प्रदान करते हैं तो विशिष्ट कर्तव्य उत्पन्न होते हैं ऑनलाइन बाज़ार, क्लाउड कंप्यूटिंग, या खोज इंजनआप दोनों को घटनाओं की रिपोर्ट करते हैं। RDI और सीएसआईआरटी-डीएसपी (डिजिटल प्रदाताओं के लिए विशेष घटना प्रतिक्रिया टीम)। अन्य क्षेत्रों में आवश्यक संस्थाओं के विपरीत, आपको आकार की सीमा का सामना करना पड़ता है: 50 से अधिक कर्मचारी और 10 मिलियन यूरो से अधिक का कारोबार या संपत्ति।
सेवा प्रदाताओं को जिन चुनौतियों का सामना करना पड़ता है, उन पर भरोसा करें त्वरित समयसीमा eIDAS विनियमन के अंतर्गत, आपको ट्रस्ट सेवाओं को प्रभावित करने वाली महत्वपूर्ण घटनाओं की रिपोर्ट अवश्य करनी चाहिए। 24 घंटे अन्य संस्थाओं पर लागू होने वाली मानक 72 घंटे की समय सीमा के बजाय।
चरण 2. यह परिभाषित करें कि कोई घटना कब रिपोर्ट करने योग्य है।
किसी घटना की रिपोर्टिंग सीमा को पार करने का निर्धारण करने के लिए आपको ठोस मानदंडों की आवश्यकता होती है। कानून इसे परिभाषित करता है। महत्वपूर्ण घटनाएँ ये वे घटनाएं हैं जिनसे परिचालन में गंभीर बाधा, वित्तीय हानि या दूसरों को काफी नुकसान होता है। साइबर सुरक्षा घटनाओं की रिपोर्टिंग की आपकी ज़िम्मेदारी तब शुरू होती है जब आप इन मानदंडों को पूरा करने वाली किसी घटना का पता लगाते हैं, न कि तब जब आप उसकी जांच पूरी कर लेते हैं। इसका मतलब है कि आपको रिपोर्टिंग संबंधी निर्णय शीघ्रता से लेने होंगे, अक्सर अधूरी जानकारी के साथ।
अपने संगठन के लिए गंभीरता की सीमा का आकलन करें
कोई घटना तब महत्वपूर्ण मानी जाती है जब वह... यह आपकी मुख्य सेवाओं को बाधित करता है या बनाता है पर्याप्त वित्तीय प्रभावएनआईएस2 दो मुख्य श्रेणियां प्रदान करता है: ऐसी घटनाएं जो आपके संचालन को गंभीर रूप से बाधित करती हैं या वित्तीय हानि का कारण बनती हैं, और ऐसी घटनाएं जो अन्य पक्षों को पर्याप्त भौतिक या गैर-भौतिक क्षति पहुंचाकर प्रभावित करती हैं। इनमें से कोई भी श्रेणी लागू होने पर आपको इसकी रिपोर्ट करनी होती है।
परिचालन में व्यवधान का अर्थ है कि आप ग्राहकों को सेवाएं प्रदान नहीं कर सकते, महत्वपूर्ण प्रणालियां विफल हो जाती हैं, या आप आवश्यक डेटा तक पहुंच खो देते हैं। वित्तीय नुकसान में प्रत्यक्ष लागतें शामिल हैं जैसे फिरौती का भुगतान, वसूली खर्च, राजस्व हानि, या नियामक जुर्माना। कानून में यूरो में कोई निश्चित सीमा निर्धारित नहीं है, इसलिए आप अपने संगठन के आकार और घटना के सापेक्ष प्रभाव के आधार पर मूल्यांकन करते हैं।
किसी घटना के घटित होने से पहले अपनी आंतरिक सीमाएँ दर्ज कर लें। इससे रिपोर्टिंग निर्णयों में एकरूपता आती है और यदि अधिकारी बाद में आपके निर्णय पर सवाल उठाते हैं तो सद्भावनापूर्ण अनुपालन प्रदर्शित होता है।
महत्व का आकलन करते समय इन संकेतकों पर विचार करें:
- सेवा की उपलब्धताक्या ग्राहक आपकी सेवाओं का लाभ उठा पा रहे हैं? सिस्टम कितने समय से बंद हैं?
- डेटा अखंडताक्या अनधिकृत पहुंच हुई है? डेटा की कौन-सी श्रेणियां प्रभावित हुईं?
- भौगोलिक दायराक्या इस घटना से एक से अधिक स्थान या देश प्रभावित हुए हैं?
- ग्राहक प्रभावकितने उपयोगकर्ताओं या लाभार्थियों को सेवा में व्यवधान का सामना करना पड़ रहा है?
- रिकवरी टाइमक्या आपको लगता है कि समस्या का समाधान कुछ घंटों, दिनों या हफ्तों के भीतर हो जाएगा?
सीमा पार और क्रमिक प्रभावों का मूल्यांकन करें
आपको घटनाओं की रिपोर्ट करनी होगी संभावित सीमा पार प्रभाव भले ही घरेलू प्रभाव मामूली प्रतीत हों। आपकी डच गतिविधियों को प्रभावित करने वाली कोई घटना ग्राहकों, भागीदारों या अन्य लोगों को प्रभावित कर सकती है। पहुंचाने का तरीका अन्य यूरोपीय संघ के सदस्य देशों में। इससे रिपोर्टिंग दायित्व उत्पन्न होते हैं क्योंकि अधिकारी सीमाओं के पार प्रतिक्रियाओं का समन्वय करते हैं।
क्रमिक प्रभाव घटना का हर पहलू समान रूप से मायने रखता है। आपकी घटना तब रिपोर्ट करने योग्य हो जाती है जब वह अन्य आवश्यक या महत्वपूर्ण संस्थाओं को प्रदान की जाने वाली आपकी सेवाओं को बाधित करती है, भले ही अंतिम उपयोगकर्ताओं पर इसका सीधा प्रभाव न हो। उदाहरण के लिए, यदि आप किसी अस्पताल को क्लाउड सेवाएं प्रदान करते हैं और आपकी सुरक्षा में सेंध लगने से उनके रोगी सिस्टम प्रभावित होते हैं, तो आप केवल अपने नुकसान के आधार पर नहीं, बल्कि उनके परिचालन पर पड़ने वाले प्रभाव के आधार पर रिपोर्ट करते हैं।
सेवा प्रदाताओं को जिन चुनौतियों का सामना करना पड़ता है, उन पर भरोसा करें सख्त सीमाएँविश्वास संबंधी सेवाओं (डिजिटल हस्ताक्षर, प्रमाणपत्र, टाइमस्टैम्प) के प्रावधान को प्रभावित करने वाली किसी भी घटना की सूचना 24 घंटे के भीतर तुरंत देनी होगी। प्रभाव सामान्य महत्व के मानदंडों को पूरा करता है या नहीं, इसका आकलन करने के लिए प्रतीक्षा न करें।
चरण 3. अपनी घटना रिपोर्टिंग प्रक्रियाएँ तैयार करें
आपको दस्तावेजी प्रक्रियाओं की आवश्यकता है जो किसी घटना के दौरान कौन क्या, कब और कैसे करेगा, इसे स्पष्ट रूप से निर्दिष्ट करती हों। घटना प्रतिक्रिया योजना इसमें स्पष्ट रिपोर्टिंग वर्कफ़्लो शामिल होना चाहिए जो आपकी टीम द्वारा किसी महत्वपूर्ण घटना का पता चलने पर स्वचालित रूप से सक्रिय हो जाए। ये प्रक्रियाएं साइबर सुरक्षा घटनाओं की रिपोर्टिंग संबंधी आपके कर्तव्यों को अमूर्त कानूनी आवश्यकताओं से ठोस कार्यों में बदल देती हैं जिन्हें आपका स्टाफ दबाव में भी निष्पादित कर सकता है।
अपनी घटना वर्गीकरण मैट्रिक्स बनाएं
आपका वर्गीकरण मैट्रिक्स मदद करता है घटना प्रतिक्रियाकर्ता घटना का पता चलने के कुछ ही मिनटों के भीतर रिपोर्टिंग आवश्यकताओं का निर्धारण करें। एक ऐसी तालिका बनाएं जो घटना के प्रकार और गंभीरता के स्तर को रिपोर्टिंग दायित्वों, समयसीमाओं और प्राप्तकर्ता अधिकारियों से जोड़ती हो। इससे अनुमान लगाने की आवश्यकता समाप्त हो जाती है और आपके पूरे संगठन में एक समान निर्णय सुनिश्चित होते हैं।
| घटना प्रकार | तीव्रता | को रिपोर्ट | प्रारंभिक समय सीमा | घटना अधिसूचना |
|---|---|---|---|---|
| ग्राहक डेटा तक अनधिकृत पहुंच | हाई | आरडीआई + सीएसआईआरटी | 24 घंटे | 72 घंटे |
| मुख्य प्रणालियों को प्रभावित करने वाला रैनसमवेयर | आलोचनात्मक | आरडीआई + सीएसआईआरटी + एनसीएससी | 24 घंटे | 72 घंटे |
| डीडीओएस हमलों से सार्वजनिक सेवाएं बाधित हो रही हैं। | हाई | आरडीआई + सीएसआईआरटी | 24 घंटे | 72 घंटे |
| विश्वास सेवा समझौता (यदि लागू हो) | आलोचनात्मक | आरडीआई + सीएसआईआरटी | 24 घंटे | 24 घंटे |
| वित्तीय सेवा घटना (DORA) | हाई | आरडीआई + एएफएम + डीएनबी | 24 घंटे | 72 घंटे |
जब भी आवश्यकता हो, इस मैट्रिक्स को अपडेट करें। नियमों में बदलाव या फिर आपका संगठन नई सेवाएं जोड़ता है। वास्तविक परिस्थितियों का उपयोग करके तिमाही आधार पर इसका परीक्षण करें ताकि कमियों या भ्रम के बिंदुओं की पहचान की जा सके।
अपनी अधिसूचना कार्यप्रणाली को डिज़ाइन करें
आपके वर्कफ़्लो में यह निर्दिष्ट होना चाहिए सटीक अनुक्रम घटना का पता लगाने से लेकर अंतिम रिपोर्टिंग तक की सभी कार्रवाइयों का विवरण दर्ज करें। यह दस्तावेज़ बनाएं कि रिपोर्टिंग कौन शुरू करता है, सूचनाओं की समीक्षा और अनुमोदन कौन करता है, उन्हें कौन प्रस्तुत करता है और अधिकारियों के साथ संपर्क कौन बनाए रखता है। प्रत्येक भूमिका के लिए अनुपस्थिति के दौरान कार्यभार संभालने हेतु बैकअप कर्मियों को नियुक्त करें।
आपकी कार्यप्रणाली में यह मानकर चलें कि घटनाएँ व्यावसायिक घंटों के बाहर भी हो सकती हैं, जब वरिष्ठ प्रबंधन तुरंत उपलब्ध न हो। विलंब को रोकने के लिए अनुमोदन तंत्र स्थापित करें।
बनाओ चेकलिस्ट प्रारूप आपकी टीम निम्नलिखित का पालन करती है:
- घटना का पता चला: सुरक्षा टीम प्रमुख ने 2 घंटे के भीतर वर्गीकरण मैट्रिक्स के आधार पर आकलन किया।
- घटना की पुष्टि हो गई है: CISO को तुरंत सूचित कर दिया गया है और प्रारंभिक चेतावनी की तैयारी शुरू कर दी गई है।
- प्रारंभिक चेतावनी का मसौदा तैयार किया गया: इसमें घटना का प्रकार, पता लगाने का समय, संभावित कारण और संभावित सीमा पार प्रभाव शामिल करें।
- कानूनी समीक्षा: कानूनी सलाहकार सटीकता और पूर्णता के लिए 4 घंटे के भीतर मसौदे की समीक्षा करते हैं।
- प्रस्तुति: सीआईएसओ या उनके प्रतिनिधि द्वारा आधिकारिक पोर्टल के माध्यम से 24 घंटे की समय सीमा के भीतर जमा किया जाता है।
- प्राधिकारी की प्रतिक्रिया: सुरक्षा टीम ने प्राप्त निर्देशों को 24 घंटों के भीतर लागू किया।
- घटना की सूचना: तकनीकी टीम 60 घंटे की अवधि तक विस्तृत मूल्यांकन तैयार करती है।
- अंतिम प्रस्तुति: सभी आवश्यक दस्तावेज़ 72 घंटे की समय सीमा से पहले जमा कर दें।
प्रत्येक चरण के लिए रिपोर्ट टेम्पलेट तैयार करें।
टेम्प्लेट यह सुनिश्चित करते हैं कि आपका रिपोर्ट में सभी आवश्यक जानकारी शामिल होती है। तैयारी का समय कम करते हुए। अपनी प्रारंभिक चेतावनी, घटना अधिसूचना और अंतिम रिपोर्ट के लिए अलग-अलग टेम्पलेट बनाएं जिनमें NIS2 और डच अधिकारियों द्वारा निर्दिष्ट सभी अनिवार्य फ़ील्ड शामिल हों।
आपके प्रारंभिक चेतावनी टेम्पलेट में निम्नलिखित जानकारी होनी चाहिए: पता लगाने का समय, घटना की श्रेणी, प्रभावित प्रणालियों का सारांश, संदिग्ध दुर्भावनापूर्ण गतिविधि संकेतक (हाँ/नहीं), सीमा-पार प्रभाव संकेतक (हाँ/नहीं), प्राथमिक संपर्क जानकारी। आपकी घटना अधिसूचना में निम्नलिखित जानकारी शामिल होनी चाहिए: गंभीरता आकलन, प्रभाव का दायरा, प्रभावित उपयोगकर्ताओं की संख्या, सुरक्षा उल्लंघन के संकेतक, उठाए गए प्रारंभिक निवारण कदम। अंतिम रिपोर्ट में शामिल हैं: घटना की पूरी समयरेखा, मूल कारण विश्लेषण, पूर्ण प्रभाव आकलन, लागू किए गए सुरक्षा उपाय, सीखे गए सबक, निवारक सुझाव।
इन टेम्पलेट्स को सेव करें भरने योग्य प्रपत्र आपकी टीम इन्हें तुरंत एक्सेस कर सकती है। सिस्टम में खराबी आने पर उपलब्धता सुनिश्चित करने के लिए इन्हें अपने इंसिडेंट रिस्पॉन्स प्लेटफॉर्म, सिक्योरिटी विकी और ऑफलाइन बैकअप में सुरक्षित रखें।
चरण 4. प्रशिक्षण और प्रशासन में रिपोर्टिंग को शामिल करें।
आपका रिपोर्टिंग प्रक्रियाएँ यदि कर्मचारी अपनी भूमिकाओं को नहीं समझते हैं या यदि शासन संरचनाएं त्वरित निर्णय लेने में सहायक नहीं हैं तो यह विफल हो सकता है। आपको आवश्यकता है व्यवस्थित प्रशिक्षण और बोर्ड-स्तरीय निरीक्षण यह सुनिश्चित करना कि आपका संगठन साइबर सुरक्षा घटनाओं की रिपोर्टिंग संबंधी अपने कर्तव्यों का हर बार सही ढंग से निर्वहन करे। इसका अर्थ है रिपोर्टिंग दायित्वों को आपके मौजूदा सुरक्षा प्रशिक्षण कार्यक्रमों में एकीकृत करना और प्रशासनिक स्तर पर स्पष्ट जवाबदेही निर्धारित करना।
सभी कर्मचारियों को समस्या का पता लगाने और उसे आगे बढ़ाने के बारे में प्रशिक्षित करें।
आपको प्रशिक्षण लेना होगा सभी कर्मचारी संभावित सुरक्षा घटनाओं को पहचानने और उन्हें आगे बढ़ाने के सटीक तरीके जानने के लिए। आपके तकनीकी कर्मचारियों को वर्गीकरण मैट्रिक्स और रिपोर्टिंग कार्यप्रवाहों पर विस्तृत प्रशिक्षण की आवश्यकता है, लेकिन गैर-तकनीकी कर्मचारियों को असामान्य गतिविधि को पहचानने और तुरंत सही लोगों से संपर्क करने पर केंद्रित सरल मार्गदर्शन की आवश्यकता है।
रन त्रैमासिक टेबलटॉप अभ्यास ये अभ्यास वास्तविक घटनाओं का अनुकरण करते हैं जिनके लिए रिपोर्टिंग की आवश्यकता होती है। घटना प्रतिक्रिया टीम को घटना का पता लगाने से लेकर अंतिम रिपोर्ट जमा करने तक की पूरी प्रक्रिया से अवगत कराएं। इन अभ्यासों का उपयोग प्रक्रियात्मक कमियों की पहचान करने, अपने टेम्पलेट्स का परीक्षण करने और यह सत्यापित करने के लिए करें कि बैकअप कर्मियों को उनकी भूमिकाएं समझ में आ गई हैं। प्रत्येक अभ्यास के बाद सीखे गए सबक को दस्तावेज़ित करें और तदनुसार अपनी प्रक्रियाओं को अद्यतन करें।
सामान्य कर्मचारियों के लिए सुरक्षा जागरूकता प्रशिक्षण में रिपोर्टिंग की निम्नलिखित मूलभूत बातों को शामिल किया जाना चाहिए:
- संभावित सुरक्षा घटना क्या हो सकती है (असामान्य ईमेल, अनधिकृत पहुंच के प्रयास, डेटा का गायब होना)?
- किससे तुरंत संपर्क करें (अपनी सुरक्षा टीम के 24/7 संपर्क विवरण प्रदान करें)
- क्या नहीं करना चाहिए (स्वयं जांच करने की कोशिश न करें, सबूत न मिटाएं, सोमवार तक इंतजार न करें)
- गति क्यों मायने रखती है (नियामक समयसीमा घटनाओं का पता चलने पर शुरू होती है, न कि उनकी रिपोर्ट किए जाने पर)
कर्मचारियों को प्रशिक्षित करें कि संदिग्ध गतिविधि का तुरंत पता लगाने और उसकी सूचना देने से संगठन और स्वयं दोनों की सुरक्षा होती है। दायित्वयह न केवल अनुपालन आवश्यकताओं को पूरा करता है।
रिपोर्टिंग को मौजूदा शासन प्रणाली में एकीकृत करें।
आपके बोर्ड और कार्यकारी नेतृत्व को आवश्यकता है नियमित अपडेट घटना रिपोर्टिंग क्षमताओं और वास्तविक घटनाओं पर ध्यान केंद्रित करें। त्रैमासिक आधार पर शासन समीक्षा आयोजित करें जिसमें आपकी रिपोर्टिंग प्रक्रियाएं, घटित घटनाएं, प्राप्त प्राधिकारियों की प्रतिक्रियाएं और लागू किए गए प्रक्रियात्मक सुधार शामिल हों। इससे जवाबदेही सुनिश्चित होती है और नेतृत्व को रिपोर्टिंग दायित्वों की समझ मिलती है।
असाइन करें विशिष्ट कार्यकारी घटना रिपोर्टिंग अनुपालन की ज़िम्मेदारी। यह व्यक्ति (आमतौर पर आपका सीआईएसओ या मुख्य जोखिम अधिकारी) तैयारी संबंधी मामलों में सीधे बोर्ड को रिपोर्ट करता है, सक्षम अधिकारियों के साथ संबंध बनाए रखता है, और रिपोर्टिंग उपकरणों और प्रशिक्षण के लिए बजट का प्रबंधन करता है। स्पष्ट ज़िम्मेदारी से वास्तविक घटनाओं के दौरान भ्रम की स्थिति से बचा जा सकता है, जब निर्णय तुरंत लेने होते हैं।
शामिल करना रिपोर्टिंग मेट्रिक्स अपने सुरक्षा डैशबोर्ड में: घटना का पता चलने से लेकर प्रारंभिक चेतावनी जमा करने तक का समय, समय सीमा के भीतर पूरी होने वाली घटनाओं का प्रतिशत, अधिकारियों द्वारा प्रतिक्रिया देने का समय और पूर्ण किए गए सुधारात्मक कार्य। रुझानों और सुधार के अवसरों की पहचान करने के लिए इन्हें मासिक रूप से ट्रैक करें।
आगे बढ़ते हुए
अब आपके पास NIS2 और डच कानून के तहत साइबर सुरक्षा घटनाओं की रिपोर्टिंग संबंधी अपनी जिम्मेदारियों को पूरा करने के लिए एक संपूर्ण ढांचा है। आप जानते हैं कि आपकी संस्था पर कौन से नियम लागू होते हैं, घटनाएँ कब रिपोर्टिंग सीमा को पार करती हैं, किन अधिकारियों को सूचनाएँ प्राप्त होती हैं, प्रत्येक रिपोर्ट में कौन सी जानकारी होनी चाहिए, और दबाव में भी प्रभावी ढंग से कार्य करने वाली प्रक्रियाएँ कैसे बनाई जाएँ। आपका अगला कदम है... तत्काल कार्यान्वयन.
सबसे पहले, यहां उल्लिखित आवश्यकताओं के आधार पर अपनी वर्तमान घटना प्रतिक्रिया योजना की समीक्षा करें। अपनी योजना को अपडेट करें। वर्गीकरण मैट्रिक्स, खुद को तैयार करें रिपोर्ट टेम्पलेट्सऔर अपनी घटना प्रतिक्रिया टीम को नए वर्कफ़्लो पर प्रशिक्षित करें। अपने पहले टेबलटॉप अभ्यास को इसके भीतर निर्धारित करें। अगले 30 दिन किसी वास्तविक घटना के घटित होने से पहले प्रक्रियाओं का परीक्षण करें। आप जो कुछ भी बनाते हैं, उसे दस्तावेज़ में दर्ज करें ताकि आपकी टीम आवश्यकता पड़ने पर तुरंत उस तक पहुंच सके।
साइबर सुरक्षा में कानूनी अनुपालन के लिए दोनों की आवश्यकता होती है। तकनीकी विशेषज्ञता और कानूनी ज्ञानयदि आपको यह समझने में सहायता की आवश्यकता है कि ये नियम आपकी विशिष्ट स्थिति पर कैसे लागू होते हैं, संपर्क करें Law & More विशेषज्ञ मार्गदर्शन के लिए। उनकी टीम डच संगठनों को जटिल साइबर सुरक्षा अनुपालन आवश्यकताओं को समझने और घटना प्रतिक्रिया ढांचे बनाने में मदद करती है जो आपके संचालन और आपकी कानूनी स्थिति दोनों की रक्षा करते हैं।
