Merkittävien häiriliden sattuessa organisaation on ilmoitettava niistä kansallisessa DORA:n asetuksessa määritellyille viranomaisille. Merkittävien häiriöiden ilmoituksen tulee sisältää:

1. Ensimmäinen ilmoitus
2. Väliraportti (tapahtuman tilan muuttuessa)
3. Loppuraportti, kun perussyyanalyysi on tehty

Jos tapahtumalla on vaikutusta asiakkaiden taloudellisiin etuihin, heille on ilmoitettava mahdollisimman pian tarvittavilla toimenpiteillä tilanteen lieventämiseksi. Kyberuhkien sattuessa asiakkaille tulee ilmoittaa, jos he saattavat vaikuttaa heihin suojatoimenpiteistä, joita heidän tulisi harkita.

Asianomaiset toimivaltaiset viranomaiset määritellään DORA:n 46 artiklassa

Viranomaisen on viipymättä tiedotettava niille, jotka hyödyntävät sen tietoaineistoja, jos viranoman tietojenhallintaan kohdistuu häiriö, joka estää tai uhkaa estää tietoaineistojen saatavuuden. Tiedotuksessa on annettava seuraavat tiedot:

a) Häiriön tai sen uhan arvioitu kesto.

b) Mahdolliset korvaavat tavat hyödyntää viranomaisen tietoaineistoja, jos sellaisia on.

c) Häiriön tai uhan päättyessä.

Viranomaisen on noudatettava digitaalisten palvelujen ja muiden sähköisten tiedonsiirtomenetelmien käyttökatkoista tiedottamisesta yleisölle annettuja ohjeita, kuten ne on säädetty digitaalisten palvelujen tarjoamisesta annetun lain (306/2019) 4 §:n 2 momentissa.

Organisaatio ilmoittaa ilman viivästystä lainsäädännössä määritellylle viranomaiselle (CSIRT) merkittävästi palveluidensa tarjontaan vaikuttaneista häiriöistä. 

Häiriö on merkittävä, kun vähintään toinen seuraavista toteutuu:

• häiriö voi aiheuttaa vakavan häiriön palvelujen toiminnassa tai vakavia taloudellisia menetyksiä palveluntarjoajalle
• häiriö voi aiheuttaa merkittävää aineellista tai aineetonta vahinkoa liittyville ihmisille tai muille organisaatioille

Ilmoitukset on tehtävä vaiheittain allaolevien kuvausten mukaisesti. Lisäksi häiriön ollessa käynnissä organisaation on toimitettava viranomaisen pyytämät statuspäivitykset.

Aikainen varoitus (viimeistään 24h kuluessa häiriön havaitsemisesta)

• epäilläänkö syyksi laittomia toimia
• voiko häiriö aiheuttaa vaikutuksia muihin maihin

Tarkempi häiriöilmoitus (viimeistään 72h kuluessa häiriön havaitsemisesta)

• päivitetään aiempaa tietoa
• annetaan tämänhetkinen arvio häiriöstä, sen vakavuudesta sekä vaikutuksista
• listataan mahdolliset todisteet vuodon tapahtumisesta

Lopullinen raportti (viimeistään 1kk kuluessa häiriöilmoituksesta)

• yksityiskohtainen kuvaus tapahtumasta, mukaan lukien sen vakavuus ja vaikutukset
• uhan tyyppi tai perimmäinen syy, joka todennäköisesti laukaisi tapahtuman
• sovelletut ja meneillään olevat lieventämistoimenpiteet
• mahdolliset vaikutukset muihin maihin

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Organisaatio huolehtii siitä, että häiriöhallintaan on nimetty selkeät vastuuhenkilöt, jotka vastaavat esimerkiksi häiriöiden ensimmäisen tason käsittelystä.

Häiriöiden hallinnasta vastaavia henkilöitä on ohjeistettava ja koulutettava, jotta he ymmärtävät organisaation prioriteetit tietoturvahäiriöiden käsittelyssä.

Kaikki tietoturvahäiriöt käsitellään johdonmukaisesti, jotta tietoturvaa voidaan parantaa tapahtuneen perusteella.

Häiriöiden käsittelyprosessissa:

• vahvistetaan raportoitu häiriö (tai todetaan tarpeettomaksi kirjata ylös)
• dokumentoidaan häiriön tyyppi ja syy
• dokumentoidaan häiriöön liittyneet riskit
• käsitellään riskit, mikäli häiriön perusteella niiden käsittelyä täytyy päivittää
• määritellään ja dokumentoidaan toimenpiteet riskien pienentämiseksi tai päätös niiden hyväksymisestä
• määritellään tahot, joille on tärkeää tiedottaa käsittelyn tuloksista (myös organisaation ulkopuoliset)
• määritetään tarve häiriön jälkianalyysille

Operators providing trusted services must inform the authority designated by the Government as soon as possible of a incident that have significantly affected the provision of its services.

A disturbance is significant when at least one of the following occurs:

• disruption may cause serious disruption in the operation of services or serious financial losses for the service provider
• disruption may cause significant material or immaterial damage to related people or other organizations

Notifications are to be done step by step according to the descriptions below. In addition, while the disruption is ongoing, the organization must submit an interim report with relevant status updates at the request of the authority.

Initial notification of incident (at the latest within 24 hours of detecting the disruption)

More detailed report of incident (at the latest within 24 hours of detecting the disruption)

Final report (at the latest within 1 month of the incident report)

Organisaation olisi määriteltävä turvallisuuden valvonnasta ja havaitsemisesta vastaavan henkilöstön erityiset pätevyysvaatimukset. Tämä koskee sekä sisäisiä työntekijöitä että ulkoistettuja kumppaneita. Vaadittavaan tietämykseen olisi sisällyttävä ymmärrys suojattavista järjestelmistä, odotettavissa olevista uhkista sekä organisaation hallinto- ja raportointimenettelyistä.

Organisaation olisi otettava käyttöön ennakoiva havaitsemisprosessi, jonka avulla voidaan tunnistaa haitallista tai epäilyttävää toimintaa, joka saattaa ohittaa tavanomaiset tietoturvatyökalut. Prosessissa olisi määriteltävä, miten uhkatiedustelu ja käyttäytymisanalyysi ohjaavat tutkimuksia, mitä työkaluja ja tietolähteitä käytetään ja miten havainnot dokumentoidaan ja miten niitä käytetään turvavalvonnan parantamiseen.

Organisaatiolla on oltava virallinen menettely havaittujen haavoittuvuuksien raportoimiseksi kansalliselle koordinointielimelle CERT.PT:lle. Ilmoitus on tehtävä ilman aiheetonta viivytystä sen jälkeen, kun organisaation omissa verkoissa, järjestelmissä tai sen käyttämissä tieto- ja viestintäteknisissä tuotteissa ja palveluissa on havaittu haavoittuvuus.

Menettelyssä olisi määriteltävä roolit ja vastuualueet haavoittuvuusilmoituksen tunnistamista, dokumentointia ja toimittamista varten, jotta varmistetaan, että se käsitellään nopeasti ja ohjataan oikealle viranomaiselle.

Organisaation on laadittava, ylläpidettävä ja toimitettava ennakoivasti vuotuinen turvallisuusselvitys, jossa esitetään yhteenveto kaikista olennaisista turvallisuustoimista ja vaaratilanteita koskevista tiedoista kultakin kalenterivuodelta. Kyberturvallisuusvastaavan on allekirjoitettava raportti ja toimitettava se toimivaltaiselle kyberturvallisuusviranomaiselle määritellyn aikataulun mukaisesti.

Vuotuisessa tietoturvaraportissa olisi annettava selkeä yleiskuva organisaation tietoturvatilanteesta ja vaaratilanteiden kehityssuunnista, mukaan lukien vähintään seuraavat tiedot:

• Yhteenveto tärkeimmistä verkko- ja tietojärjestelmien turvallisuuteen liittyvistä toimista ja aloitteista;
• neljännesvuosittaiset tilastot vaaratilanteista tyypin ja esiintymistiheyden mukaan jaoteltuina;
• yleiskatsaus merkittävistä vaaratilanteista ja niiden vaikutuksista käyttäjiin, kestosta ja alueista, joihin vaaratilanteet vaikuttivat (mukaan lukien mahdolliset rajat ylittävät vaikutukset);
• tärkeimmät opit ja toimenpiteet, joita on toteutettu tapahtumien toistumisen estämiseksi;
• suositukset organisaation turvallisuuskäytäntöjen parantamiseksi;
• kaikki muut tiedot, joita pidetään merkityksellisinä kyberturvallisuuden hallinnan parantamisen kannalta.

Vuotuinen turvallisuusselvitys on toimitettava vuosittain tammikuun viimeiseen työpäivään mennessä.

Lisäksi on oltava käytössä menettely CNCS:n virallisten tietopyyntöjen käsittelemiseksi. Tähän sisältyy:

• Jokaisen CNCS:ltä saadun pyynnön aitouden vahvistaminen;
• selkeän vastuun jakaminen vuotuisen turvaselvityksen tai muiden pyydettyjen tietojen laatimisesta ja toimittamisesta;
• sen varmistaminen, että tiedot toimitetaan määräajassa ja pyynnössä osoitettujen virallisten kanavien kautta.

Organisaation on laadittava menettely CERT.PT:lle lähetettyihin haavoittuvuusraportteihin liittyvien tietojen hallinnoimiseksi ja varmistettava niiden luottamuksellisuus ja oikea-aikainen poistaminen.

Käytössä on oltava prosessi, jolla seurataan raportoitujen haavoittuvuuksien tilaa. Kaikki tiettyyn haavoittuvuusilmoitukseen liittyvät tiedot on poistettava turvallisesti 10 päivän kuluessa siitä, kun on vahvistettu, että haavoittuvuus on korjattu.

Organisaatio ilmoittaa viranomaiselle (CNCS) ilman aiheetonta viivytystä kaikista tapahtumista, joilla on merkittävä vaikutus sen palvelujen tarjoamiseen ("merkittävä tapahtuma").

Merkittävällä vaaratilanteella tarkoitetaan tapausta, jossa tapahtuu vähintään yksi seuraavista:

• vaikuttaa merkittävään määrään käyttäjiä tai kestää huomattavan kauan.
• aiheuttaa vakavia häiriöitä palveluihin tai taloudellisia menetyksiä; tai
• aiheuttaa merkittävää aineellista tai aineetonta vahinkoa yksilöille tai muille organisaatioille.

Ilmoitukset on tehtävä vaiheittain alla olevien kuvausten mukaisesti.

Ensimmäinen ilmoitus (viimeistään 24 tunnin kuluessa häiriön havaitsemisesta).

• yhteystiedot: edustajan nimi, puhelinnumero ja sähköpostiosoite (jos eri kuin pysyvä yhteyspiste).
• häiriön alkamis- tai havaitsemispäivämäärä ja -aika.
• lyhyt kuvaus tapahtumasta (syyluokka ja vaikutukset CNCS:n taksonomian mukaisesti).
• arvioidut vaikutukset:
  • vaikutuksen kohteena olevien käyttäjien määrä,
  • vaaratilanteen kesto
  • maantieteellinen laajuus (mahdolliset rajat ylittävät vaikutukset)

Ilmoitus vaikutuksen päättymisestä(24 tunnin kuluessa vaikutuksen päättymisestä).

• päivitykset alkuperäiseen ilmoitukseen
• lyhyt kuvaus toimenpiteistä, jotka on toteutettu häiriön ratkaisemiseksi.
• tämänhetkisen vaikutuksen yksityiskohdat: käyttäjät, joihin vaikutus kohdistuu, kesto, maantieteellinen laajuus ja arvioitu täydellinen toipumisaika.

Loppuraportti (viimeistään 1 kuukauden kuluessa alkuperäisestä raportista).

• päivämäärät ja kellonajat, jolloin häiriö sai ja menetti merkittävän vaikutuksen.
• täydellinen kuvaus tapahtumasta (syyluokka ja vaikutukset CNCS:n taksonomian mukaisesti).
• kattava vaikutusanalyysi:
  • vaikutuksen kohteena olleiden käyttäjien määrä, kesto ja maantieteellinen jakautuminen (mukaan lukien mahdolliset rajat ylittävät vaikutukset).
  • sovelletut ja käynnissä olevat lieventämistoimenpiteet
  • jäännösvaikutus raportointipäivänä
  • arvioitu aika täydelliseen toipumiseen
  • muille viranomaisille (esim. syyttäjäviranomaiselle, CNPD:lle) toimitetut ilmoitukset.

Välikertomukset (jos pyydetään)

Jos tapahtuma jatkuu loppuraportin määräajan jälkeen, CNCS:lle on pyydettäessä toimitettava viikoittaiset väliraportit. Kunkin raportin on sisällettävä seuraavat tiedot

• päivitykset aiempiin tietoihin
• edellisen päivityksen jälkeen toteutetut toimenpiteet
• tämänhetkinen vaikutustilanne (asianomaiset käyttäjät, kesto, maantieteellinen laajuus, arvio palautumisesta).

Ilmoitukset on toimitettava sähköisesti CNCS:n tarjoaman alustan kautta.

Organisaation olisi nimettävä yhteyspiste, joka vastaanottaa ja kirjaa raportit tietoturvaloukkauksista ja haavoittuvuuksista. Tämä voi olla tietty henkilö, rooli tai erityinen viestintäkanava, kuten sähköpostiosoite. Raportointiprosessista ja yhteystiedoista olisi tiedotettava selkeästi koko henkilöstölle.

Organisaation on varmistettava yhteys viestintäjärjestelmään, joka mahdollistaa nopean raportoinnin ja ratkaisun kyberturvallisuuspoikkeamista. Tähän sisältyy menettelyjen luominen sisäistä ja ulkoista vaaratilanteiden raportointia varten sekä teknisen ja organisatorisen integraation varmistaminen kansalliseen tai alakohtaiseen ennakkovaroitusjärjestelmään.

Yhteyden on mahdollistettava oikea-aikainen tiedonvaihto uhkista ja vaaratilanteista, tuettava nopean toiminnan koordinointia ja oltava yhdenmukainen kansallisten kyberturvallisuusviranomaisten vaatimusten kanssa.

Organisaation olisi varmistettava, että kaikki tietotekniikkatapahtumiin liittyvät olennaiset tiedot ja asiakirjat, jotka eivät sisälly lopulliseen 5 jakson mukaiseen raporttiin, kerätään ja säilytetään järjestelmällisesti. Näin organisaatio voi helposti toimittaa lisätietoja Ruotsin siviilivalmiusvirastolle sen pyynnöstä.

Organisaation olisi laadittava ja dokumentoitava prosessi, jonka avulla se vastaanottaa, arvioi ja vastaa Ruotsin siviiliolojen valmiusviraston pyyntöihin, jotka koskevat 5 jakson mukaisesti toimitettuihin tietotekniikkatapahtumaraportteihin liittyviä lisätietoja. Prosessissa olisi määriteltävä roolit, vastuut ja vastausaikataulut.

Organisaation olisi laadittava ja dokumentoitava prosessi, jolla ilmoitetaan viipymättä Ruotsin siviilivalmiusvirastolle (MSB) tietotekniikkatapahtumista, joihin sovelletaan ilmoitusvelvollisuutta. Prosessilla on varmistettava, että yleinen kuvaus vaaratilanteesta toimitetaan viimeistään kuuden tunnin kuluessa siitä, kun organisaatio on todennut vaaratilanteen raportointikelpoiseksi, MSB:n nimeämiä yhteyskanavia käyttäen.

Viranomainen ilmoittaa viipymättä lainsäädännössä määritellyille asianomaisille tahoille häiriöistä, jotka ovat vaikuttaneet merkittävästi sen palvelujen tarjoamiseen.

Häiriö on merkittävä, kun vähintään yksi seuraavista tapahtuu:

• häiriö voi aiheuttaa vakavia häiriöitä palvelujen toiminnassa tai vakavia taloudellisia menetyksiä palveluntarjoajalle
• häiriö voi aiheuttaa merkittävää aineellista tai aineetonta vahinkoa asiaan liittyville henkilöille tai muille organisaatioille.

Ilmoitukset on tehtävä vaiheittain alla olevien kuvausten mukaisesti. Lisäksi viranomaisen on häiriön ollessa käynnissä toimitettava asianomaisten osapuolten pyytämät tilapäivitykset.

Ensimmäinen ilmoitus (viimeistään 6 tunnin kuluttua ilmoitusvelvollisuuden toteamisesta).

• yleinen kuvaus häiriöstä

Varhaisvaroitus (viimeistään 24 tunnin kuluessa häiriön havaitsemisesta).

• epäilläänkö syyksi laitonta toimintaa
• voiko häiriöllä olla vaikutuksia muihin maihin

Yksityiskohtaisempi ilmoitus häiriöstä ( viimeistään 72 tunnin kuluessa häiriön havaitsemisesta).

• aiemmat tiedot päivitetään
• annetaan tämänhetkinen arvio häiriöstä, sen vakavuudesta ja vaikutuksista.
• mahdolliset todisteet vuodosta luetellaan

Loppuraportti (viimeistään 1 kuukauden kuluessa häiriöilmoituksen tekemisestä).

• yksityiskohtainen kuvaus häiriöstä, sen vakavuudesta ja vaikutuksista
• tapahtuman todennäköisesti laukaisseen uhan tai perimmäisen syyn tyyppi
• sovelletut ja käynnissä olevat lieventämistoimenpiteet
• mahdolliset vaikutukset muihin maihin

Organisaation olisi luotava ja ylläpidettävä dokumentoitua häiriöraportointiprosessia, jonka avulla maakuntahallitukselle voidaan ilmoittaa ajoissa merkittävistä palveluhäiriöistä. Prosessin avulla olisi varmistettava, että kriittiset toimijat ilmoittavat kaikista tapahtumista, jotka aiheuttavat tai saattavat aiheuttaa merkittävän häiriön keskeisille palveluille. Ilmoitukset olisi tehtävä ilman tarpeetonta viivytystä tai kahdenkymmenenneljän tunnin kuluessa siitä, kun häiriöstä on saatu tieto, ellei se ole toiminnallisesti mahdotonta. Prosessissa on myös varmistettava, että yksityiskohtainen seurantaraportti toimitetaan kuukauden kuluessa, jos lisätietoja tarvitaan.

Prosessiin on sisällytettävä arviointiperusteet sen määrittämiseksi, onko häiriö merkittävä. Siihen olisi sisällyttävä häiriön kohteena olevien käyttäjien määrä ja osuus, häiriön kesto ja maantieteellinen alue, johon häiriö vaikuttaa. Raportoinnin työnkulussa on varmistettava, että jokainen raportti sisältää kaikki tarvittavat tiedot, jotta lääninhallitus voi ymmärtää häiriön luonteen, syyn, seuraukset ja mahdolliset rajat ylittävät vaikutukset.

The organization informs the Provincial Government without delay about disturbances that have significantly affected the provision of its services. A disturbance is significant when at least one of the following occurs:

• disruption may cause serious disruption in the operation of services or
• serious financial losses for the service provider
• disruption may cause significant material or immaterial damage to related people or other organizations

Notifications are to be done step by step according to the descriptions below. In addition, while the disruption is ongoing, the organization must deliver the status updates requested by the authority.

Early warning (at the latest within 24 hours of detecting the disruption)

• is the cause suspected to be illegal activities
• can the disruption have effects on other countries

More detailed notification of disruption (within 72 hours of the disruption at the latest detection)

• previous information is updated
• the current assessment of the disturbance, its severity and effects is given
• possible evidence of the leakage is listed

Final report (at the latest within 1 month of the incident report)

• a detailed description of the incident, including its severity and effects
• type of threat or root cause that likely triggered the event
• applied and ongoing mitigation measures potential impact on other countries

Organisaation olisi luotava ja ylläpidettävä tarpeettomia tai vaihtoehtoisia viestintäkanavia sen varmistamiseksi, että kriittinen viestintä pysyy saatavilla turvallisuusrikkomusten, haavoittuvuuksien tai uhkien aikana. Tähän sisältyy viestintäinfrastruktuurin häiriönsietokyvyn arviointi ja toimenpiteiden toteuttaminen häiriöiden estämiseksi.

Organisaation olisi testattava vuosittain kaikkien häiriötilanteisiin vastaamiseen tarkoitettujen teknisten laitteiden ja järjestelmien toimivuus. Tähän sisältyy vaihtoehtoisten viestintämenetelmien testaaminen ja viestintäkanavien teknisen valvonnan ja käytettävyyden varmistaminen sen varmistamiseksi, että kriittiset viestintäkanavat pysyvät toiminnassa ja turvallisina, vaikka ensisijaiset järjestelmät vaarantuisivat tai eivät olisi käytettävissä.

Organisaation olisi määriteltävä ja ylläpidettävä vaaratilanteiden torjuntaryhmää, jolla on selkeästi määritellyt roolit ja vastuualueet. Tämän ryhmän on kyettävä lähettämään riittävästi henkilöstöä ja teknistä apua kaikkina vuorokauden aikoina (24/7) organisaation varautumissuunnitelmien ja kunkin häiriötilanteen erityistarpeiden mukaisesti. Tällä valmiudella varmistetaan, että organisaatio voi ylläpitää tai palauttaa palvelunsa nopeasti minkä tahansa tietoturvaloukkauksen jälkeen.

Organisaation on laadittava, dokumentoitava ja ylläpidettävä vaaratilanteista ilmoittamista koskeva menettely, jolla varmistetaan oikea-aikainen ja tehokas yhteydenpito palvelujen vastaanottajiin. Menettelyssä on edellytettävä välitöntä sisäistä raportointia ja sen jälkeistä ilmoittamista palvelun vastaanottajille ilman aiheetonta viivytystä, kun merkittävä tapahtuma todennäköisesti vaikuttaa kielteisesti palvelujen tarjoamiseen.

Menettelyllä on varmistettava, että ilmoituksen sisältö on kattava ja että se sisältää vähintään seuraavat tiedot siinä määrin kuin ne ovat saatavilla:

• Vaikutusten analyysi ja kesto: Selkeä selvitys häiriön odotetuista ja todellisista seurauksista ja häiriön odotetusta kestosta.
• lieventämisohjeet: Toimintakelpoiset vaiheet, toimenpiteet tai vastatoimet, jotka vastaanottajat voivat välittömästi toteuttaa henkilökohtaisten riskien vähentämiseksi tai häiriön kielteisten vaikutusten lieventämiseksi.
• Viestinnän aikataulu: Suunniteltu aikataulu seurantapäivityksiä varten ja nimetty kanava lisätietojen saamiseksi.

Organisaation on viipymättä ilmoitettava Tanskan energiavirastolle häiriöistä, jotka ovat vaikuttaneet merkittävästi sen palvelujen tarjoamiseen. CSIRT:lle on ilmoitettava myös, jos häiriö vaarantaa verkko- ja tietojärjestelmien turvallisuuden, ja Energinetille on ilmoitettava sähkö-, kaasu- ja vetyalaan vaikuttavista häiriöistä.

Kaikki ilmoitukset on tehtävä toimivaltaisen viranomaisen nimeämän digitaalisen ratkaisun kautta. Erityisesti tietoverkkoihin liittyvien vaaratilanteiden on noudatettava CSIRT:n määrittelemää prosessia, kun taas kaikkien muiden merkittävien vaaratilanteiden on noudatettava Tanskan energiaviraston määrittämää prosessia.

Häiriö on merkittävä, kun vähintään yksi seuraavista tapahtuu:

• häiriö voi aiheuttaa vakavia toimintahäiriöitä yrityksen palveluissa, esimerkiksi laitosvikaantumisten, työtaistelujen tai yhteiskunnan energiahuollon kannalta keskeisten toimitusten puuttumisen vuoksi
• häiriö voi aiheuttaa vakavia taloudellisia tappioita yritykselle, johon häiriö vaikuttaa.
• häiriö voi aiheuttaa merkittävää aineellista tai aineetonta vahinkoa siihen liittyville henkilöille tai muille organisaatioille.
• häiriöt edellyttävät yrityksen varautumissuunnitelmien aktivoimista, esimerkiksi kun verkon tai tietojärjestelmän luottamuksellisuus, eheys, saatavuus tai aitous vaarantuu.
• häiriöön liittyy perusteltu epäily tai tieto tunkeutumisesta, varkaudesta, sabotaasista tai vakoilusta.
• häiriö edellyttää ulkopuolista apua yrityksen verkon ja tietojärjestelmien tilanteen arvioimiseksi, korjaamiseksi tai palauttamiseksi ennalleen.

Ilmoitukset on tehtävä vaiheittain alla olevien kuvausten mukaisesti. Lisäksi organisaation on häiriön ollessa käynnissä toimitettava viranomaisen pyytämä alustava raportti asiaankuuluvista tilapäivityksistä.

Varhainen varoitus (viimeistään 24 tunnin kuluessa häiriön havaitsemisesta).

• millainen häiriö oli, mikä sen syy oli ja miten se kehittyi.
• epäilläänkö syyksi laitonta toimintaa
• voiko häiriöllä olla vaikutuksia muihin maihin

Häiriön tilailmoitus (viimeistään 72 tunnin kuluessa häiriön havaitsemisesta).

• aiemmat tiedot päivitetään
• annetaan tämänhetkinen arvio häiriöstä, sen vakavuudesta ja vaikutuksista.
• luetellaan mahdolliset todisteet vuodosta

Loppuraportti (viimeistään 1 kuukauden kuluessa häiriöilmoituksen tekemisestä).

• yksityiskohtainen kuvaus häiriöstä, sen vakavuudesta ja vaikutuksista
• niiden käyttäjien lukumäärä, joihin häiriö vaikutti, tämän osuus kaikista käyttäjistä ja kuinka kauan palvelu oli poissa käytöstä.
• maantieteelliset alueet, joihin vaikutus kohdistui
• tapahtuman todennäköisesti laukaisseen uhan tai perimmäisen syyn tyyppi.
• sovelletut ja käynnissä olevat lieventämistoimenpiteet
• mahdolliset vaikutukset muihin maihin
• kuvaus yhteistyöstä ulkopuolisten osapuolten kanssa
• yhteenveto tapahtumasta saaduista kokemuksista ja opetuksista sekä suunnitellut jatkotoimet ja niiden aikataulu.

Organisaation olisi laadittava selkeä menettely tiettyjen turvallisuuspoikkeamien ilmoittamiseksi viranomaisille. Menettelyssä olisi täsmennettävä, että maalla tai merellä tapahtuvista tapauksista, joihin liittyy epäilty tai tiedossa oleva murto, varkaus, sabotaasi tai vakoilu, ilmoitetaan asianmukaisille viranomaisille (esim. poliisille). Menettelyssä olisi myös määriteltävä, kuka on vastuussa ilmoittamisesta.

Organisaation olisi luotava ja ylläpidettävä viisivuotista suunnittelusykliä kyberturvallisuusharjoitusten toteuttamista varten. Suunnitelmalla varmistetaan, että häiriötilanteisiin reagointi- ja jatkuvuusvalmiuksia testataan säännöllisesti. Se olisi päivitettävä vähintään vuosittain tai merkittävien muutosten jälkeen.

Suunnitelmassa olisi määriteltävä kunkin harjoituksen aikataulu, harjoitustyypit (esim. tablettiharjoitukset, toiminnalliset harjoitukset), laajuus, tavoitteet ja osallistujat, jotta varmistetaan kattava testaus viiden vuoden aikana. Harjoitusten olisi katettava ainakin seuraavat keskeiset aiheet:

• Kriisinhallinta & koordinointi:
  • Yrityksen kriisinhallintaryhmän testaaminen.
  • Koordinoidun valmiuden menettelyjen harjoittelu.
  • Toimittajien (erityisesti kriittisten tietotekniikkajärjestelmien toimittajien) ottaminen mukaan häiriötilanteiden käsittelyyn.
• Toiminnallinen & toimitusketjun häiriönsietokyky:
  • Toiminnan jatkumisen varmistaminen.
  • Toimitusten palauttaminen häiriön jälkeen.
  • Lisäresurssien ja -materiaalien mobilisointi.
• Viestintä:
  • Sisäisen ja ulkoisen viestinnän hallinta.
  • Tiedottaminen kuluttajille.
  • Vaihtoehtoisten viestintämenetelmien käyttö, jos ensisijaiset kanavat eivät toimi.
• Tietotekniikka & Kyberturvallisuus:
  • Tietoverkkouhkien ja -haavoittuvuuksien käsittely.
  • Tietoturvapalvelujen aktivointi.
  • Harjoitellaan hätätilannemenettelyjä kriittisten IT-järjestelmien eristämiseksi ja siirtymiseksi redundantteihin järjestelmiin.
  • Järjestelmien palauttaminen varmuuskopioista, mukaan luettuna räätälöityjen ohjelmistojen lähdekoodi ja tiedot.
• Organisaatioiden väliset toimet:
  • Alan hätätilavalmiustason muutoksia koskevien ilmoitusten kuittaaminen ja vahvistaminen.
  • Valmiustason mukaisten hätätoimenpiteiden toteuttaminen.
• Toipuminen:
  • Normaaliintumisprosessin harjoittaminen hätätilanteen päätyttyä.

Organisaation tulisi myös laatia harjoituksista virallinen harjoitusten arviointiraportti. Tässä raportissa on kuvattava harjoituksen koulutetut osat, harjoituksen kulku, saadut kokemukset, asiaankuuluvat oppimiskohteet ja suunnitellut jatkotoimet aikatauluineen ja sisäisine vastuunjakoineen.

Organisaation olisi laadittava ja dokumentoitava menettely tietoturvaloukkauksista ilmoittamiseksi asiaankuuluville ulkoisille osapuolille. Menettelyssä olisi määriteltävä selkeästi edellytykset, joiden täyttyessä raportointi on tarpeen, ja sen olisi oltava oikeudellisten ja sopimusvelvoitteiden mukainen. Siinä olisi myös määriteltävä vastuulliset roolit, viranomaiset tai osapuolet, joille on ilmoitettava, sekä vaaditut raportointiaikataulut ja varmistettava, että kaikkia sovellettavia vaatimuksia noudatetaan.

Organisaation olisi luotava virallinen prosessi, jonka avulla kyberturvallisuustietoja, kuten järjestelmävikoja, tietokoneviruksia tai verkkohyökkäyksiä, voidaan julkaista yleisölle. Prosessin avulla on varmistettava, että kaikki tällaiset julkistamiset tehdään asiaankuuluvien valtion säännösten mukaisesti. Prosessissa olisi määriteltävä julkistamisen kriteerit, vaadittavat sisäiset hyväksynnät ja viralliset viestintäkanavat.

The organization shall establish and maintain a formal complaint and reporting system for network information security. This system must:

• Define clear channels for submission and disclose them publicly to ensure accessibility.
• Assign responsible personnel for intake, triage, and follow-up.
• Promptly accept, investigate, and resolve complaints and reports related to network information security.
• Document the handling process and outcomes for accountability and compliance.
• Cooperate with supervision, inspection, and investigations conducted by the competent authorities in accordance with the law.

Organisaation olisi otettava käyttöön prosessi, joka mahdollistaa turvallisuuteen liittyvien vaaratilanteiden ja havaintojen luottamuksellisen tai nimettömän raportoinnin. Prosessissa on varmistettava, että ilmoittajan henkilöllisyys on suojattu kostotoimien estämiseksi ja raportoinnin kannustamiseksi. Organisaation olisi myös määriteltävä, miten ilmoittajan tietojen luottamuksellisuus säilytetään koko vaaratilanteen käsittelyprosessin ajan.

The organization shall establish and maintain processes to ensure that no electronic information or application software distributed, hosted, or made available through its platforms contains malware or prohibited content under applicable laws and regulations.

• Monitor and manage information published or transmitted by users.
• Immediately stop the transmission or provision of services upon discovery of prohibited or malicious content.
• Take necessary disposal measures, including deletion, to prevent further dissemination.
• Preserve relevant records of such incidents.
• Report incidents promptly to the competent authorities as required.

Organisaation olisi luotava prosessi, jonka avulla se voi vapaaehtoisesti toimittaa riskinarvioinnin tuloksia ja käytettyjä teknologioita koskevat tiedot toimivaltaiselle CSIRT MON:lle, CSIRT NASK:lle, CSIRT GOV:lle tai alakohtaiselle CSIRT:lle. Prosessilla olisi varmistettava, että tiedot toimitetaan sähköisesti 46 artiklan 1 kohdassa tarkoitetun tieto- ja viestintätekniikkajärjestelmän kautta tai muita käytettävissä olevia viestintävälineitä käyttäen, jos sähköinen siirto ei ole mahdollista.

Lisäksi organisaation on varmistettava, että toimitettuihin tietoihin sisältyvät oikeudellisesti suojatut salaisuudet, mukaan lukien liikesalaisuudet, merkitään selvästi luottamuksellisuuden säilyttämiseksi.

Organisaation olisi varmistettava, että suuronnettomuuksia koskevat ennakkovaroitusilmoitukset sisältävät ilmoittavan yksikön täydelliset tiedot, kuten yrityksen nimen, rekisterinumeron, kotipaikan ja osoitteen. Sen on myös ilmoitettava sekä ilmoituksen tekevän henkilön että selitysten antamiseen valtuutetun henkilön etu- ja sukunimi, yrityspuhelinnumero ja yrityssähköpostiosoite. Lisäksi ilmoituksessa on mainittava suuronnettomuuden tapahtuma-aika, havaitsemisajankohta ja kesto.

Organisaation olisi vahvistettava menettelyt, joilla se voi pyytää lieventämistoimenpiteitä koskevia ohjeita tai teknistä lisätukea alakohtaiselta CSIRT:ltä suuronnettomuuden aikana. Kaikki tiedossa olevat tiedot on annettava ilmoitusta tehtäessä ja niitä on täydennettävä vaaratilanteen käsittelyn edetessä. On myös otettava käyttöön menettelyt, joilla tunnistetaan ja välitetään oikeudellisesti suojattuja salaisuuksia, mukaan lukien liikesalaisuudet, toimivaltaiselle CSIRT:lle, kun se on tarpeen sen tehtävien hoitamiseksi, ja joissa tällaiset tiedot merkitään selvästi. Organisaation olisi myös oltava valmis täydentämään tietoja CSIRT:n pyynnöstä.

Organisaation on pantava täytäntöön kansallisen kyberturvallisuusviranomaisen tai muun toimivaltaisen elimen määräämät reaktiiviset kyberturvallisuustoimenpiteet. Näillä toimenpiteillä voidaan pyrkiä seuraaviin tavoitteisiin:

• puuttua uhkaavaan tai meneillään olevaan kyberturvallisuusvälikohtaukseen,
• omaisuuden turvaaminen kyberturvallisuusvälikohtausta vastaan tai
• parantaa omaisuuden suojausta jo ratkaistun kyberturvallisuusvälikohtauksen analyysin perusteella.

Organisaation on pantava toimenpiteet täytäntöön määritellyn laajuuden ja aikataulun puitteissa, ellei viranomainen toisin määrää. Reaktiivisten toimenpiteiden toteuttamisen jälkeen organisaation on ilmoitettava viranomaiselle toteutuksesta ja sen tuloksista ilman aiheetonta viivytystä tai viranomaisen asettamassa määräajassa.

Organisaation olisi säännöllisesti tarkistettava ja päivitettävä omaisuutensa määriteltyä soveltamisalaa. Tähän prosessiin olisi kuuluttava sellaisten ensisijaisten omaisuuserien kirjaaminen, jotka on nimenomaisesti jätetty soveltamisalan ulkopuolelle, sekä selkeät perustelut kullekin poissulkemiselle.

The organization informs the authority defined in the legislation (CSIRT / National CERT / Office) without delay about cybersecurity incidents that have significantly affected the provision of its services or the state’s cyberspace.

A cybersecurity incident is significant when at least one of the following occurs:

• the incident may cause serious disruption in the operation of services or serious financial losses for the service provider
• the incident may cause significant material or immaterial damage to related people or other organizations

Notifications are to be done step by step according to the descriptions below. In addition, while the incident is ongoing, the organization must deliver the status updates requested by the authority.

Initial notification (without undue delay, no later than 72 hours of discovering the incident; 24 hours for regulated trust service providers under EU law)

• previous information is updated
• an initial assessment of the incident, its severity and effects is provided
• the impact of the incident and any known indicators of compromise are stated

Progress report (at the request of the Office or the National CERT)

• material changes in the status of handling the incident are described
• updates on mitigation and recovery efforts are provided

Final report (no later than 30 days from the initial notification)

• a detailed description of the incident, including its severity and effects
• the type of threat or root cause that likely triggered the incident
• the evidence gathered during the investigation
• applied and ongoing mitigation measures
• potential impact on other countries

If the incident is still ongoing after 30 days, a progress report is submitted instead. The final report must then be provided no later than 30 days after the resolution of the incident.

Organisaation on luotava ja ylläpidettävä selkeitä menettelyjä, joilla kyberturvallisuuteen liittyvistä vaaratilanteista ilmoitetaan asianomaisille kansallisille viranomaisille, kuten Tšekin tasavallan kansalliselle kyber- ja tietoturvavirastolle (NUKIB), kuten kyberturvallisuuslaissa säädetään.

Näissä menettelyissä on määriteltävä ensisijaiset ja vaihtoehtoiset viestintäkanavat:

• Ensisijainen kanava: Kaikkiin vaaratilanneraportteihin on käytettävä nimetyn viranomaisen portaalia (esim. NUKIB-portaali).
• Vaihtoehtoiset kanavat: Jos ensisijainen portaali ei ole käytettävissä, on käytettävä vaihtoehtoisia raportointimenetelmiä.
• Aluekohtainen raportointi: Menettelyissä on erotettava toisistaan raportointikanavat, jotka koskevat korkeampien velvoitteiden järjestelmän tarjoajia (esim. viranomaisen nimetty sähköpostiosoite tai tietolaatikko) ja alempien velvoitteiden järjestelmän tarjoajia (esim. kansallinen CERT-tietolaatikko tai sähköposti).

Häiriötilanteiden hallintaan ja raportointiin osallistuva henkilöstö on koulutettava näihin menettelyihin ja viestintäkanavien oikeaan käyttöön, jotta voidaan varmistaa oikea-aikainen ja sääntöjenmukainen raportointi.

Organisaation on määriteltävä kynnys sille, milloin tietoturvaloukkaus on tietoturvaloukkaus. Kynnysarvon olisi keskityttävä tapauksiin, jotka ovat peräisin kyberavaruudesta ja joissa tahallisia virheitä ei voida sulkea pois.

Organisaation olisi laadittava dokumentoitu menettely, jolla vaarantuneet järjestelmät eristetään tietoturvaloukkauksen aikana. Näin varmistetaan nopea reagointi, jolla estetään vaaratilanteen leviäminen koko verkkoon. Menettelyssä olisi määriteltävä kriteerit sille, milloin järjestelmä on eristettävä, ja tekniset toimenpiteet, kuten laitteen irrottaminen verkosta tai sen liikenteen estäminen palomuurissa.

The organization informs the Competent Authority (Úřad) without delay about cybersecurity incidents affecting the provision of its regulated services, have their origin in cyberspace, and for which intentional fault cannot be ruled out within the defined reporting period.

A disturbance is significant when at least one of the following occurs:

• disruption may cause serious breaks in the operation of services or serious financial losses for the service provider
• intentional fault in the initial reporting timeframe cannot be excluded.

Notifications are to be done step by step according to the descriptions below. While the disturbance is ongoing, the organization must deliver the status updates requested by the Authority.

• Is the cause suspected to be illegal activities?
• Can the disturbance have effects on other countries?
• Note: This initial report establishes that intentional fault is a possibility.

More detailed notification of disruption (at the latest within 72 hours of the disturbance detection)

• Previous information is updated.
• The current assessment of the disturbance, its severity, and effects is given.
• Possible evidence of the leakage is listed.
• The latest assessment regarding the origin of the disturbance (i.e., whether intentional fault is still suspected) is provided.

Final report (at the latest within 1 month of the incident report):

• A detailed description of the incident, including its severity and effects.
• Type of threat or root cause that likely triggered the event.
• Applied and ongoing mitigation measures.
• Potential impact on other countries.
• Confirmation of the final root cause and accountability (e.g., confirming intentional fault or ruling it out).

Jos organisaatio saa tietoonsa aktiivisesti hyödynnettyn haavoittuvuuden tuotteessa, jossa on digitaalisia elementtejä, sen on ilmoitettava siitä koordinoivalle CSIRT:lle ja ENISAlle. Valmistajan on ilmoitettava aktiivisesti hyödynnettävästä haavoittuvuudesta 16 artiklan mukaisesti perustetun yhtenäisen raportointialustan

kautta.Haavoittuvuusilmoitus on tehtävä ilman aiheetonta viivytystä, joka tapauksessa 72 tunnin kuluessa siitä, kun valmistaja on saanut siitä tiedon. Haavoittuvuusilmoituksen on sisällettävä ainakin seuraavat tiedot:

• (a) kuvaus tuotteesta, jossa on kyseisiä digitaalisia elementtejä.
• (b) hyväksikäytön ja kyseisen haavoittuvuuden yleinen luonne
• (c) yksityiskohtaiset tiedot toteutetuista korjaavista tai lieventävistä toimenpiteistä sekä korjaavista tai lieventävistä toimenpiteistä, joita käyttäjät voivat toteuttaa.
• (d) tarvittaessa tieto siitä, kuinka arkaluonteisena valmistaja pitää ilmoitettuja tietoja.

Haavoittuvuusilmoituksen lisäksi valmistajan on toimitettava loppuraportti, joka sisältää ainakin seuraavat tiedot:

• (a) kuvaus haavoittuvuudesta, mukaan lukien sen vakavuus ja vaikutus
• (b) jos saatavilla, tiedot kaikista haittaohjelmista, jotka ovat hyödyntäneet tai hyödyntävät haavoittuvuutta
• (c) yksityiskohtaiset tiedot tietoturvapäivityksestä tai muista korjaavista toimenpiteistä, jotka on tehty haavoittuvuuden korjaamiseksi

Organisaatiolla on dokumentoitu prosessi tietoturvahäiriöiden (myös tietoturvaloukkaukset) hallintaa varten havaitsemisesta lopulliseen ratkaisuun. Prosessissa otetaan huomioon kaikki tarvittavat näkökohdat, kuten viestintä asiaankuuluvien sidosryhmien kanssa, ilmoitusvaatimukset ja tekniset lieventämistoimet. Organisaatiolla on tekniset ja organisatoriset resurssit, jotta se voi reagoida asianmukaisesti tietoturvahäiriöihin ja loukkauksiin.

Organisaation on raportoitava kaikista merkittävistä häiriöistä, jotka vaikuttavat digitaalisia osia sisältävän tuotteen turvallisuuteen, koordinoivalle CSIRT:lle ja ENISAlle. Valmistajan on raportoitava vaaratilanteesta 16 artiklan mukaisesti perustetun yhteisen raportointialustan kautta

.Vakavasta häiriöstä, jolla on vaikutusta digitaalisia elementtejä sisältävän tuotteen turvallisuuteen, on annettavaennakkovaroitus ilman aiheetonta viivytystä ja viimeistään 24 tunnin kuluessa siitä, kun valmistaja on saanut siitä tiedon, mukaan lukien ainakin tieto siitä, epäilläänkö vaaratilanteen johtuvan laittomista tai ilkivaltaisista toimista, sekä tarvittaessa tieto siitä, minkä jäsenvaltion alueella heidän tuotteensa on asetettu saataville.

Häiriöstä on ilmoitettava ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa siitä, kun valmistaja on saanut siitä tiedon. Häiriöilmoituksen on sisällettävä ainakin seuraavat tiedot:

• (a) kuvaus tuotteesta, jossa on kyseisiä digitaalisia elementtejä.
• (b) Häiriön yleinen luonne ja alustava arvio siitä
• (c) yksityiskohtaiset tiedot toteutetuista korjaavista tai lieventävistä toimenpiteistä sekä korjaavista tai lieventävistä toimenpiteistä, joita käyttäjät voivat toteuttaa
• (d) tarvittaessa tieto siitä, kuinka arkaluonteisena valmistaja pitää ilmoitettuja tietoja.

Häiriöilmoituksen lisäksi valmistajan on toimitettava loppuraportti, joka sisältää ainakin seuraavat tiedot:

• (a) yksityiskohtainen kuvaus vaaratilanteesta, mukaan lukien sen vakavuus ja vaikutukset
• (b) uhan tai perimmäisen syyn tyyppi, joka on todennäköisesti aiheuttanut vaaratilanteen
• (c) sovelletut ja käynnissä olevat lieventämistoimenpiteet

Häiriötilanteiden torjuntasuunnitelmasta on tiedotettava vastaavasti kaikille suunnitelman kannalta merkityksellisille sidosryhmille. Näin varmistetaan, että kaikki sidosryhmät tietävät suunnitelmasta, ymmärtävät sen merkityksen ja ovat valmiita toimimaan nopeasti häiriötilanteessa. Suunnitelmasta voidaan tiedottaa samanaikaisesti suunnitelman dokumentoinnin kanssa tai erikseen.

Organisaatio testaa säännöllisesti tieto- ja viestintätekniikan toiminnan jatkuvuussuunnitelmiaan käyttäen realistisia ja vakavia häiriöskenaarioita arvioidakseen, voidaanko kriittiset tai tärkeät toiminnot säilyttää ja palauttaa.

Testauksen on oltava:

• Perustua uskottaviin mutta vakaviin skenaarioihin, mukaan lukien alkuperäisessä suunnittelussa käytetyt skenaariot.
• kyseenalaistettava taustalla olevat oletukset, mukaan lukien hallinnon ja kriisiviestinnän tehokkuus.
• Varmistettava, että tieto- ja viestintätekniikkajärjestelmät, palvelut, henkilöstö ja kolmannet osapuolet pystyvät reagoimaan asianmukaisesti.
• Vahvistettava organisaation kyky ylläpitää jatkuvuutta riittävän pitkään ja palauttaa normaali toiminta.

Näiden testien tulokset on dokumentoitava, ja kaikki havaitut heikkoudet on analysoitava ja raportoitava johtoelimelle korjaamista varten.

Organisaation on määriteltävä selkeät kriteerit sille, milloin havaitut poikkeamat johtavat virallisiin häiriötilanteiden torjuntatoimiin. Näihin laukaiseviin tekijöihin olisi sisällyttävä:

• viitteitä haitallisesta toiminnasta tai järjestelmän vaarantumisesta
• tietojen saatavuuden, eheyden, aitouden tai luottamuksellisuuden menetys
• vaikutus toimintaan tai liiketoimiin
• järjestelmän/verkon toimimattomuus
• asiayhteyteen liittyvät tekijät, kuten vaikutuksen kohteena olevien palvelujen kriittisyys

Nämä säännöt on dokumentoitava, automatisoitava mahdollisuuksien mukaan ja integroitava häiriötilanteiden toimintaohjeisiin ja havaitsemisjärjestelmiin.

Poikkeavuuksien havaitsemisjärjestelmien tuottamat hälytykset. Tähän kuuluu sääntöjen asettaminen seuraaville:

• luokitella hälytykset kriittisyystason mukaan (esim. korkea, keskisuuri, matala).
• ottaa huomioon työajat ja työajan ulkopuoliset ajat

käyttää kontekstia, kuten esim:

• Mitkä järjestelmät ovat kyseessä (esim. kriittiset tuotantojärjestelmät).
• Odotukset ratkaisuun kuluvasta ajasta
• Aikaisempi tapahtumahistoria

Hälytysten priorisoinnilla varmistetaan oikea-aikainen ja oikeasuhteinen reagointi ja vähennetään hälytysväsymystä. Priorisointisääntöjä olisi tarkistettava ja hienosäädettävä säännöllisesti.

The organization must establish, implement, and maintain comprehensive written policies and procedures to ensure full compliance with the HIPAA Breach Notification Rule. These policies and procedures must detail the steps for identifying, assessing, and responding to potential breaches of unsecured protected health information (PHI), including the timelines and methods for notifying affected individuals, the Secretary of Health and Human Services (HHS), and, where applicable, prominent media outlets.

These procedures must also address:

• Notifying affected individuals without unreasonable delay after a breach of their unsecured protected health information is discovered or reasonably should have been discovered.
• Immediate notification within 60 days of discovery to HHS and prominent media outlets for breaches affecting 500 or more individuals, and annual reporting to HHS for breaches affecting fewer than 500 individuals.
• Required notification content and delivery methods.
• Steps to identify and validate affected individuals and the explicit 500-person threshold for large-breach media involvement.

Furthermore, the organization must create and maintain thorough documentation for a minimum of six years, evidencing its adherence to these policies and procedures. This documentation must include, but is not limited to:

• The established breach notification policies and procedures.
• Records of workforce training sessions conducted on these policies and procedures.
• Documentation of any security incidents evaluated for breach potential.
• If a breach is determined to have occurred, copies of all notifications sent to individuals, HHS, and media (if applicable), including the content of the notifications, the dates they were sent, and the methods of delivery.
• Evidence demonstrating that all required notifications were provided in a timely manner (or that any approved delay was documented), or when no breach was found, the complete risk assessment and rationale supporting that conclusion.

Organisaatio ymmärtää ja hyväksyy, että sillä on todistustaakka osoittaa Yhdysvaltain terveysministeriölle (HHS), että kaikki vaaditut tietoturvaloukkauksia koskevat ilmoitukset on tehty tai että tietty suojattujen terveystietojen (PHI) käyttö tai luovutus ei muodostanut tietoturvaloukkausta. Siksi huolellinen ja tarkka kirjanpito on ensiarvoisen tärkeää. Työntekijöille on annettava asianmukaista koulutusta näistä vaatimuksista ja heidän henkilökohtaisista vastuistaan tietoturvaloukkauksista ilmoittamisessa.

Organisaation olisi määriteltävä ja pantava täytäntöön virallinen prosessi, jolla tiedotus- ja viestintäkeskukselle ilmoitetaan välittömästi. Prosessi on aktivoitava, kun tapahtuu tapahtuma, jonka katsotaan todennäköisesti uhkaavan elintärkeän infrastruktuurin turvallisuutta.

Menettelyssä olisi määriteltävä selkeästi kriteerit sille, mikä on ilmoitettava tapahtuma, roolit ja vastuut ilmoituksen käynnistämiseksi sekä nimetyt viestintäkanavat ja keskuksen yhteystiedot.

Organisaation on varmistettava, että sen vaaratilanteisiin reagointiprosessi on valmis käsittelemään haavoittuvuusraportteja, jotka kansallinen kyberturvallisuuspoikkeamien käsittelyryhmä (CSIRT) lähettää.

Tällainen tilanne syntyy, jos kolmas osapuoli ilmoittaa vakavasta vaaratilanteesta tai aktiivisesti hyödynnetystä haavoittuvuudesta jossakin organisaation tuotteessa suoraan viranomaisille. CSIRT on tällöin velvollinen ilmoittamaan asiasta organisaatiolle ilman aiheetonta viivytystä.

Organisaation sisäisen prosessin on kyettävä tehokkaasti vastaanottamaan, validoimaan ja käynnistämään vastaus näihin erittäin tärkeisiin ilmoituksiin.

The organization must ensure that its internal CSIRT or external CSIRT service provider complies with all operational, technical, and service-related requirements set by national cybersecurity legislation.

• Authorization by the national authority (DNSC);
• Interoperability with national CSIRT systems and use of standardized methods;
• Delivery of the minimum CSIRT service package;
• High availability, redundant communication, and secure infrastructure;
• Qualified personnel ensuring 24/7 service continuity and confidentiality of operations;
• Cooperation with stakeholders and use of standard practices for incident and crisis response;
• Continuous monitoring and analysis of cyber threats, vulnerabilities, and incidents;
• Providing real-time alerts, incident response, and situational awareness to essential and important entities;
• Offering security scans upon request (non-intrusive, risk-based) to detect vulnerabilities in critical systems;
• Participation in secure information-sharing initiatives per Article 20.

Organisaation on varmistettava, että kaikki tietoturvan vaaratilanteet, joista on Romanian lainsäädännön mukaan pakko raportoida, toimitetaan kansallisen kyberturvallisuuspoikkeamien raportointifoorumin (PNRISC) kautta tietoturvaa ja kyberpuolustusta koskevan lain nro 58/2023 20 artiklan mukaisesti:

• Luoda selkeät sisäiset menettelyt raportoitavien vaaratilanteiden tunnistamiseksi.
• Kerättävä kaikki tarvittavat tiedot, joita tarvitaan ilmoittamista varten.
• Toimittaa raportit PNRISC-järjestelmän kautta laissa säädetyissä määräajoissa.

Organisaatio ilmoittaa viranomaiselle ilman aiheetonta viivytystä kaikista tapahtumista, joilla on merkittävä vaikutus sen palvelujen tarjoamiseen ("merkittävä tapahtuma"). Viranomainen välittää ilmoituksen saatuaan sen kansalliselle CSIRT-tietokannalle.

• häiriö voi aiheuttaa vakavia häiriöitä palvelujen toiminnassa tai vakavia taloudellisia tappioita palveluntarjoajalle.
• häiriö voi aiheuttaa merkittävää aineellista tai aineetonta vahinkoa asiaan liittyville henkilöille tai muille organisaatioille.

Ilmoitukset on tehtävä vaiheittain alla olevien kuvausten mukaisesti.

• epäillään, että syy on laitonta toimintaa;
• voiko häiriöllä olla vaikutuksia muihin maihin.

• päivitetään ennakkovaroituksen tiedot;
• alustava arvio merkittävästä häiriöstä, mukaan lukien sen vakavuus ja vaikutukset;
• luetellaan mahdolliset todisteet vuodosta;
• luottamuspalvelujen tarjoajien osalta tämä ilmoitus on tehtävä 24 tunnin kuluessa siitä, kun tapahtumasta on saatu tieto.

• toimitetaan viranomaisen pyynnöstä, ja niissä annetaan asiaankuuluvat tilannekatsaukset tapahtumasta.

• yksityiskohtainen kuvaus vaaratilanteesta, myös sen vakavuudesta ja vaikutuksista;
• uhan tyyppi tai perimmäinen syy, joka on todennäköisesti aiheuttanut vaaratilanteen;
• sovelletut ja käynnissä olevat lieventämistoimenpiteet;
• mahdolliset vaikutukset muihin maihin.

• Jos vaaratilanne on käynnissä loppuraportin määräpäivänä, sen sijaan olisi toimitettava tilannekatsaus;
• edistymisraportteja vaaditaan 15 päivän välein, kunnes loppuraportti voidaan toimittaa.

Organisaation olisi laadittava selkeät menettelyt tietojen vaihtamiseksi kansallisten kyberturvallisuusviranomaisten kanssa.

Näihin menettelyihin olisi sisällyttävä:

• nimetään erityinen henkilöstö, joka vastaa tästä viestinnästä.
• Määritellään, miten tietojen toimittamista viranomaisille rajoitetaan.
• Sen varmistaminen, että viranomaisilta saadut tiedot suojataan ja että niitä käytetään tiukasti aiottuun tarkoitukseen, kuten organisaation omien järjestelmien turvaamiseen.

Organisaation olisi laadittava selkeä prosessi, jolla täydennetään viranomaisille tehtävää alkuperäistä verkkohyökkäysilmoitusta. Prosessilla on varmistettava, että puuttuvat tiedot toimitetaan 14 päivän määräajassa.

Siinä olisi myös määriteltävä toimet, joihin on ryhdyttävä, jos vaadittuja tietoja ei ole vielä saatavilla tämän ajanjakson jälkeen, ja myös se, miten tästä ilmoitetaan virallisesti viranomaisille.

Organisaation olisi määriteltävä ja dokumentoitava menettely, jolla verkkohyökkäyksistä ilmoitetaan viranomaisille. Näin varmistetaan, että kaikki lakisääteiset tiedot kerätään ja raportoidaan ajoissa ja oikein.

Menettelyssä olisi määriteltävä, miten seuraavat tiedot kerätään ja jäsennetään:

• Keskeiset aikaleimat, kuten milloin hyökkäys havaittiin ja milloin sen uskotaan tapahtuneen.
• Kaikki saatavilla olevat tiedot hyökkääjästä.
• Hyökkäyksen luonne, mukaan lukien se, liittyikö siihen kiristystä tai uhkailua, ja onko siitä tehty rikosilmoitus.
• Arvio hyökkäyksen vaikutuksesta tietojen luottamuksellisuuteen, eheyteen ja saatavuuteen sekä organisaation yleiseen toimivuuteen.
• Ilmoittavan henkilön yhteystiedot ja organisaation tunnistetiedot.

Organisaation olisi laadittava selkeät sisäiset ohjeet sellaisten verkkohyökkäysten tunnistamiseksi, joista on ilmoitettava viranomaisille. Näissä ohjeissa olisi täsmennettävä, että tapahtuma on raportoitava, jos se täyttää yhden tai useamman seuraavista kriteereistä:

• Toiminnallisuus vaarassa: Järjestelmäkeskeytykset vaikuttavat työntekijöihin tai kolmansiin osapuoliin tai toimintaa voidaan ylläpitää vain varasuunnitelmien avulla.
• Tietovuoto tai tietojen manipulointi: Luvattomat henkilöt pääsevät käsiksi liiketoiminnan kannalta merkityksellisiin tietoihin, muuttavat niitä tai paljastavat niitä, tai vaaditaan tietosuojalain mukainen ilmoitus tietomurrosta.
• Pitkään jatkunut huomaamaton hyökkäys: Verkkohyökkäys alkoi yli 90 päivää sitten.
• Kiristys tai uhkaus: Hyökkäykseen liittyy organisaatioon tai sen henkilöstöön kohdistuvaa kiristystä, uhkailua tai pakottamista.

Organisaation olisi määriteltävä selkeä prosessi vuorovaikutusta varten BACS:n (Federal Office for Cybersecurity) suojatun viestintäjärjestelmän kanssa. Näin varmistetaan, että uhkatiedot saadaan nopeasti ja että organisaatio voi täyttää tiedonjakovelvoitteensa.

Prosessissa olisi määriteltävä:

• roolit ja vastuut BACS:n kanssa käytävän viestinnän hallinnoinnissa.
• Miten BACS:ltä saatuja teknisiä tietoja kyberuhkista ja vaaratilanteista analysoidaan ja miten niiden perusteella toimitaan.
• Menettely tietojen jakamiseksi turvallisesti BACS:n kanssa tarvittaessa.

Organisaatio ilmoittaa viipymättä kansalliselle turvallisuusviranomaiselle häiriöistä, jotka ovat vaikuttaneet merkittävästi sen palvelujen tarjoamiseen.

Häiriö on merkittävä, kun vähintään yksi seuraavista tapahtuu:

• häiriö voi aiheuttaa vakavia häiriöitä palvelujen toiminnassa tai vakavia taloudellisia menetyksiä palvelun tarjoajalle
• häiriö voi aiheuttaa merkittävää aineellista tai aineetonta vahinkoa asiaan liittyville henkilöille tai muille organisaatioille.

Ilmoitukset on tehtävä vaiheittain alla olevien kuvausten mukaisesti. Lisäksi organisaation on häiriön ollessa käynnissä toimitettava viranomaisen pyytämät tilapäivitykset.

Varhainen varoitus (viimeistään 24 tunnin kuluessa häiriön havaitsemisesta).

• epäilläänkö häiriön syyksi laitonta toimintaa?
• voiko häiriöllä olla vaikutuksia muihin maihin

Yksityiskohtaisempi ilmoitus häiriöstä ( viimeistään 72 tunnin kuluessa häiriön havaitsemisesta).

• aiemmat tiedot päivitetään
• annetaan tämänhetkinen arvio häiriöstä, sen vakavuudesta ja vaikutuksista.
• mahdolliset todisteet vuodosta luetellaan

Loppuraportti (viimeistään 1 kuukauden kuluessa häiriöilmoituksen tekemisestä).

• yksityiskohtainen kuvaus häiriöstä, sen vakavuudesta ja vaikutuksista
• tapahtuman todennäköisesti laukaisseen uhan tai perimmäisen syyn tyyppi
• sovelletut ja käynnissä olevat lieventämistoimenpiteet
• mahdolliset vaikutukset muihin maihin

Organisaation on otettava käyttöön ja ylläpidettävä dokumentoitua prosessia turvallisuuteen liittyvien vaaratilanteiden raportointia, hallintaa ja niistä oppimista varten sekä suojatun turvallisuustilanteen jatkuvaa seurantaa varten.

Prosessilla on varmistettava turvatoimien jatkuva valvonta, jotta voidaan varmistaa, että ne pysyvät tehokkaina kehittyviä uhkia ja toiminnallisia muutoksia vastaan. Siinä on myös annettava selkeät ja helposti saatavilla olevat ohjeet koko henkilöstölle vaaratilanteiden käsittelystä. Dokumentoidussa prosessissa on määriteltävä vähintään seuraavat seikat:

• Keskeiset toiminnot ja indikaattorit, joita seurataan säännöllisesti (esim. käytäntöjen noudattaminen, käyttöoikeuslokit, järjestelmämuutokset).
• Mitä raportoidaan: millaisista tapahtumista on raportoitava (esim. tietoturvaloukkaukset, epäilyttävä toiminta).
• Raportointimenettely, mukaan luettuna raportointi sisäisille ja ulkoisille viranomaisille.
• Miten raportoidut tapahtumat kirjataan, tutkitaan ja käytetään turvatoimien parantamiseen.

Organisaation olisi laadittava ja dokumentoitava selkeä menettely yhteisön turvallisuusvirastolle ilmoittamista varten. Näin varmistetaan, että ilmoitukset tehdään nopeasti hätätilanteissa. Menettelyssä olisi määriteltävä ilmoituksen laukaisevat tekijät, kuten hätätilavalmiuden aktivointi tai mahdollisen suuronnettomuuden tunnistaminen. Menettelyssä olisi myös määriteltävä, kuka on vastuussa ilmoittamisesta, ja siinä olisi oltava viraston tarvittavat yhteystiedot.

Analysoi organisaatiosi varautumis- ja häiriötilanteiden torjuntasuunnitelmat. Luo selkeä, dokumentoitu määritelmä siitä, mitä tarkoittaa "varautumissuunnitelman aktivointi" ja mitkä erityiset vaaratilanteet "arvioidaan mahdollisesti johtavan varautumistilanteeseen".

Jos on tarpeen tiedottaa yleisölle meneillään olevan merkittävän häiriön estämiseksi tai ratkaisemiseksi tai jos se palvelee yleistä etua, toimivaltainen CSIRT, asianomaiset kansalliset viranomaiset tai asianomaisten EU:n jäsenvaltioiden CSIRT:t voivat asianmukaisia elimiä ja asianomaista yhteisöä kuultuaan tiedottaa yleisölle tai pyytää organisaatiota tekemään niin.

Jos tapaus on vielä kesken, kun loppuraportti pitäisi toimittaa (kuukauden jälkeen), organisaation on toimitettava kuukausittain raportti edistymisestä. Loppuraportti on toimitettava kuukauden kuluessa häiriötilanteen hallinnan päättymisestä.

Organisaatio kehittää erilaisia tapahtumaskenaarioita, suunnittelee säännöllisiä harjoituksia, testaa viestintäkanavia, arvioi päätöksentekoa, simuloi työnkulun toteuttamista, kerää palautetta sekä päivittää reagointiprosesseja.

Organisaatio laatii kattavan häiriötilanteiden torjuntasuunnitelman, jossa hahmotellaan yksityiskohtaiset menettelyt, määritellään roolit ja vastuualueet, sisällytetään vaatimustenmukaisuusvaatimukset, laaditaan viestintäsuunnitelma, johon sisältyy säännöllistä koulutusta, simulaatioita ja häiriötilanteiden jälkeisiä arviointeja.

Organisaation tulisi nimetä ensisijainen henkilö ja varahenkilö, sekä määriteltävä heidän roolinsa ja vastuualueensa. Organisaation tulisi laatia protokollat palveluntarjoajien kanssa työskentelyä varten, tarjottava säännöllistä koulutusta ja otettava käyttöön viestintäsuunnitelma tehokkaan häiriötilanteiden hallinnan varmistamiseksi.

Jos se on tarkoituksenmukaista organisaation tarjoaman palvelun kannalta ja jos tällaisten tietojen paljastaminen ei aiheuta uutta merkittävää tietoturvahäiriön riskiä tai ole muuten ristiriidassa kansallisten turvallisuusetujen kanssa, organisaation olisi ilmoitettava käyttäjilleen viipymättä kaikista merkittävistä häiriöistä, jotka todennäköisesti vaikuttavat kielteisesti kyseisten palvelujen tarjoamiseen.

Häiriö on merkittävä, kun vähintään yksi seuraavista tapahtuu:

• Häiriö voi aiheuttaa vakavan häiriön palvelujen toiminnassa tai vakavia taloudellisia tappioita palveluntarjoajalle.
• Häiriö voi aiheuttaa merkittävää aineellista tai aineetonta vahinkoa siihen liittyville henkilöille tai muille organisaatioille.

Jos merkittävää tietoturvahäiriötä ei ole mahdollista ratkaista kuukauden määräajassa, kohteen on toimitettava toimivaltaiselle tietoturvahäiriöitä ehkäisevälle laitokselle edistymisraportti merkittävän tietoverkkotapahtuman ratkaisemisesta ja loppuraportti sen jälkeen, kun merkittävä tietoturvahäiriö on ratkaistu.

Organisaatio määrittelee kriteerit häiriötilanteiden toipumistoimenpiteiden aloittamiselle. Tapahtunutta häiriötä arvioidaan näiden kriteerien perusteella ja määritetään, onko vaaratilanteen korjaamisprosessi käynnistettävä vähintään näiden toimenpiteiden avulla:

• Sovelletaan häiriön toipumiskriteerejä häiriötilanteen tunnettuihin ja oletettuihin ominaisuuksiin sen arvioimiseksi, pitäisikö toipumisprosessit käynnistää, ottaen huomioon tekijät kuten vakavuus, vaikutus ja laajuus.
• Arvioidaan häiriöiden toipumistoimien mahdollisesti aiheuttamat toiminnalliset häiriöt ja kehitetään strategioita, joilla minimoidaan vaikutukset käynnissä olevaan liiketoimintaan toipumisvaiheen aikana.
• laaditaan selkeät kriteerit häiriötilanteen toipumistoimien priorisoimiseksi häiriön luonteen perusteella, mukaan lukien tietojen herkkyys, järjestelmät, joihin häiriö vaikuttaa, ja liiketoiminnan jatkuvuusvaatimukset.

dokumentoidaan päätöksentekoprosessi toipumistoimien käynnistämiseksi ja varmista, että siitä tiedotetaan asiaankuuluville sidosryhmille avoimuuden ja yhdenmukaisuuden varmistamiseksi.

Häiriötilanteessa organisaatio toteuttaa toipumissuunnitelmassaan määritellyt toimenpiteet. Toimenpiteet pannaan täytäntöön ja niistä tiedotetaan yleisölle seuraavasti:

• Hallitaan yleisön näkemystä ja hallitaan kerrontaa.
• lieventää vaaratilanteen vaikutusta organisaatioon.

Organisaation olisi selitettävä toimenpiteet, joihin on ryhdytty tapahtumasta toipumiseksi ja tapahtuman toistumisen estämiseksi.

Organisaatio noudattaa dokumentointikäytäntöjä kunkin häiriöiden tutkinta- ja reagointiprosessin osalta:

• Edellytetään, että jokainen tapahtumiin vastannut tai niitä tutkinut henkilö, mukaan lukien järjestelmän ylläpitäjät ja tietoturvahenkilöstö, kirjaa toimintansa prosessin aikana. Varmistetaan, että nämä tallenteet ovat muuttumattomia, jotta niiden eheys säilyy myöhempää analysointia ja tarkastuksia varten.
• Määritetään vaaratilanteen johtajalle vastuu vaaratilanteen yksityiskohtaisesta dokumentoinnista, johon kirjataan kaikki toimet, havainnot ja päätökset, jotka on tehty koko vaaratilanteen selvitysprosessin aikana.
• Varmistetaan, että häiriötilanteiden käsittelystä vastaavat ovat vastuussa kaikkien asiakirjojen eheyden säilyttämisestä ja raportoitavien tietojen lähteiden säilyttämisestä, jotta estetään tietojen väärentäminen tai häviäminen.

Organisaation olisi otettava toimittajat ja muut asiaankuuluvat kolmannet osapuolet mukaan häiriöiden hallintaprosessiin ja -suunnitteluun esimerkiksi seuraavin keinoin:

• Määritellään ja otetaan käyttöön säännöt, roolit ja protokollat, jotka koskevat häiriötilanteisiin reagoimista ja niistä toipumista koskevien toimien raportointia organisaation ja sen toimittajien välillä.
• Kriittisten toimittajien ottaminen mukaan säännöllisiin häiriötilanteiden torjuntaharjoituksiin ja simulaatioihin.
• Luodaan ja koordinoidaan kriisiviestintämenetelmät ja -käytännöt organisaation ja sen kriittisten toimittajien välille.
• Järjestetään kriittisten toimittajien kanssa yhteisiä oppimistilaisuuksia vaaratilanteiden jälkeen, jotta voidaan parantaa yhteisiä reagointivalmiuksia ja tarkentaa prosesseja tulevia vaaratilanteita varten.

Organisaation olisi laadittava ja ylläpidettävä häiriötilannereagointisuunnitelmia. Reagointisuunnitelmien tulisi sisältää ainakin seuraavat seikat

• häiriötilanne tai häiriötilannetyyppi, jota varten suunnitelma on laadittu
• suunnitelman tavoite
• vastuuhenkilöt ja asiaan liittyvät sidosryhmät sekä yhteystiedot
• suunnitellut välittömät toimet
• suunnitellut seuraavat vaiheet

Häiriötilannereagointisuunnitelmissa olisi määriteltävä aktivointi- ja deaktivointiolosuhteet. Asiakirjojen saatavuus hätätilanteissa on otettava huomioon siten, että niistä on olemassa paikalliset ja fyysiset kopiot.

Tunnista häiriön laajuus ja vaikutus liiketoimintaprosesseihin, jotta voidaan ymmärtää, miten toiminta voi häiriintyä. Tähän arviointiin olisi sisällyttävä perusteellinen arviointi vaikutuksista taustalla oleviin ICT-toimintoihin. Lisäksi olisi tutkittava, miten häiriö vaikuttaa ICT-palveluihin, mukaan lukien pilvipohjaiset sovellukset ja sisäiset järjestelmät, sekä erilaisiin liiketoimintaa tukeviin ICT-järjestelmiin.

Organisaatiolla tulisi olla selkeä prosessi, jolla tapahtumatietoja rikastetaan tehokkaiden vastatoimien varmistamiseksi. Tähän prosessiin olisi kuuluttava tapahtumatietojen jatkuva päivittäminen, tilannetietoisuuden seuranta ja tietojen kerääminen useista eri lähteistä. Tapahtumatietojen rikastaminen auttaa organisaatiota hallitsemaan tapahtumia tehokkaammin.

Organisaation on luotava selkeät prosessit aikajanan laatimiseksi aina, kun häiriö sattuu. Aikatauluun olisi sisällytettävä sekä organisaation toimet että uhkatoimijan toimet. Aikajanan tulisi kattaa:

• Milloin ja miten alkuperäinen tietoturvaloukkaus tapahtui
• Uhkatoimijan liikkuminen ICT-järjestelmässä (esim. mahdollinen käyttöoikeuksien eskalointi).
• Organisaation tekemät keskeiset päätökset vastausvaiheen aikana.
• Asiaankuuluvien osapuolten välinen viestintä

Tämä auttaa organisaatiota ymmärtämään häiriön koko laajuuden ja parantamaan vastatoimia tulevissa häiriöissä.

Organisaatiolla tulisi olla määritelty ja hyvin dokumentoitu toipumissuunnitelma. Toipumissuunnitelma olisi voitava käynnistää häiriötilanteen aikana tai sen jälkeen. Elvytystoimet ja -toimenpiteet vaihtelevat vaaratilanteesta toiseen, esimerkiksi vaaratilanteen tyyppi voi vaikuttaa toteutettaviin toimiin. Näihin toimiin voivat kuulua:

• Häiriön aikana menetettyjen tai vahingoittuneiden tarpeettomien resurssien aktivointi uudelleen.
• Laitteiston ja ohjelmistojen uudelleenasentaminen vaurioituneisiin komponentteihin
• Konfiguraatioasetusten palauttaminen, mukaan lukien tarvittavat mukautukset
• Häiriön aikana pysäytettyjen palvelujen palauttaminen

Organisaation olisi omaksuttava "build back better" -ajattelutapa, kun se rakentaa ICT-järjestelmiä uudelleen. Tämä tarkoittaa, että järjestelmät olisi rakennettava uudelleen parempaan tilaan kuin ne olivat ennen häiriötä.

Organisaatiolla on määritellyt menettelyt, joiden avulla se viestii relevanteille viranomaisille ja osapuolille häiriön sattuessa. Näitä osapuolia ovat esimerkiksi alakohtaiset tietokonehätätilanteiden torjuntaryhmät ja NSM NCSC.

Jos yhteys katkeaa tai verkkojärjestelmissä ilmenee vika, kuten:

• Vika organisaation palomuurijärjestelmissä.
• Verkon menetys
• Fyysisen komponentin tuhoutuminen

Organisaation tulee varmistaa, että sen kriittiset järjestelmät vikaantuvat turvallisesti, jotta lisävahingoilta voidaan välttyä tai pitää ne mahdollisimman pieninä.

Organisaation on laadittava selkeä ja kattava määritelmä siitä, mikä on raportoitava turvallisuustapahtuma tai havainto, ja varmistettava, että se kattaa seuraavat luokat:

• Henkilöstön rikkomukset tai väärinkäytökset.
• Tunkeutuminen, varkaus, luvaton pääsy turvavyöhykkeille ja turvavyöhykkeiden haavoittuvuudet.
• Kyberturvallisuustapahtumat, kuten tietojärjestelmien haavoittuvuudet ja havaitut onnistuneet tai epäonnistuneet kyberhyökkäykset.
• Toimittajien ja yhteistyökumppaneiden vaaratilanteet, jotka voivat vaikuttaa kielteisesti organisaation turvallisuuteen.

Organisaatiolla on oltava määritelty menettely häiriötilanteiden raportointia varten, ja siitä on tiedotettava henkilöstölle:

• Suunnitellaan ja otetaan käyttöön tehokkaat raportointimekanismit, jotka on räätälöity havaittujen riskien mukaan.
• Varmistetaan, että näistä mekanismeista tiedotetaan hyvin ja että ne ovat kaikkien työntekijöiden, sidosryhmien ja asiaankuuluvien osapuolten saatavilla, jotta turvallisuustapahtumista voidaan raportoida ajoissa ja täsmällisesti.
• Järjestetään koulutustilaisuuksia ja tiedotusohjelmia sen varmistamiseksi, että kaikki asianomaiset työntekijät ja sidosryhmät ymmärtävät raportoitavien turvallisuustapahtumien määritelmän ja tuntevat raportointimekanismit.

Organisaatiolla tulee olla selkeät viestintäkanavat tapahtumien raportointia varten:

• Perustetaan ja ylläpidetään asianmukaisia viestintäkanavia turvallisuustapahtumista raportoiville henkilöille ja varmistetaan, että:
• Tapahtumista ilmoittamista varten on määritetty yhteinen yhteyspiste, josta tiedotus tapahtuu kaikille asianomaisille osapuolille.
• Käytettävissä on erilaisia raportointikanavia tapahtumien vakavuuden mukaan, mukaan lukien reaaliaikaiset viestintävaihtoehdot merkittävissä hätätilanteissa ja asynkroniset menetelmät (esim. liput, sähköposti) vähemmän kiireellisissä asioissa.

Organisaation olisi myös harkittava mahdollisuutta ulkoiseen raportointiin. Tämä voi tarkoittaa, että organisaatiolla on järjestelmä, jolla voidaan käsitellä ulkoisten osapuolten raportteja turvallisuustapahtumista, mukaan lukien:

• Ulkoisesti saatavilla oleva ja hyvin kommunikoitu menetelmä tietoturvatapahtumien raportointia varten.
• Määritellyt menettelyt ulkoisista lähteistä tuleviin tietoturvatapahtumaraportteihin vastaamista ja niiden käsittelyä varten.

Organisaation olisi myös varmistettava, että häiriötilanteiden raportointimekanismit ja -tiedot ovat helposti kaikkien asianomaisten raportoijien saatavilla, ja otettava käyttöön palautemenettely, jolla turvatapahtumista raportoiville annetaan nopeita vastauksia ja päivityksiä ja jolla varmistetaan, että heille tiedotetaan tuloksista ja tarvittavista jatkotoimista.

Organisaatiolla olisi oltava menettely tietoturvahäriöiden luokittelemiseksi käsittelyn aikana. Häiriö olisi luokiteltava vähintään seuraaviin luokkiin:

• Henkilöstö
• Fyysinen
• Kyber

Tämän jälkeen vaaratilanne olisi luokiteltava sen vaikutusten perusteella esimerkiksi seuraavasti:

• Ei turvallisuusriskiä
• Havainto
• Parannusehdotus
• Haavoittuvuus
• Tietoturvahäiriö

Tämän jälkeen vaaratilanteet olisi asetettava tärkeysjärjestykseen vaaratilanteen vakavuuden perusteella.

Organisaatioiden tulee suorittaa häiriöiden luokittelu ja vaikutustenarviointi seuraavien kriteerien perusteella:

• Asianomaisten osapuolten (asiakkaat, muut organisaatiot) lukumäärä ja mahdollisuuksien mukaan niiden tapahtumien määrä, joihin vaikutus vaikuttaa.
• Mainevaikutus
• Häiriön kesto
• Vaikutusten maantieteellinen leviäminen
• Mahdollisia tietojen menetyksiä suhteessa CIA-arvoihin
• Vaikutuksen kohteena olevien palveluiden kriittisyys
• Taloudellinen vaikutus

Organisaation tulee osoittaa riittävästi resursseja käyttäjien toiminnan, ICT-ympäristön poikkeavuuksien ja kyberhyökkäysten seurantaan.

Valvomalla organisaation tulee tunnistaa perustoiminnan poikkeamat ja häiriöt.

Häiriöiden hallinnassa on huomioitava myös:

• Turvallisuusluokiteltujen tietojen suojaaminen hätä- ja häiriötilanteissa
• Turvallisuusluokitellulla tiedolla on riittävät suojaustoimenpiteet tietoihin luvattoman pääsyn ja eheyden ja käytettävyyden turvaamuseksi
• Turvallisuusluokiteltu tieto tulee olla suojattu teknisiltä ja fyysisiltä vahingoilta.

Organisaatiolla tulee olla varmuus siitä, että käsiteltävä tieto tai järjestelmä on suojattu hätä- tai häiriötilanteissa fyysisiltä vahingoilta kuten tulipalot, vesivahingot tai ilkivalta tai luvaton tunkeutuminen sekä sähköisiä menetelmiä käyttäen aiheutetuilta fyysisiltä vahingoilta kuten laitteiden rikkoutuminen. Tietoa tai järjestelmää tulee suojata asianmukaisin, mutta riskiarvioinnin perusteella tarkoituksenmukaisin toimin.

Organisaatiolla tulee olla prosessi tapahtuneen tai epäillyn kansainvälisen turvallisuusluokitellun tiedon vaarantaneen tietoturvapoikkeaman ilmoittamisesta toimivaltaiselle turvallisuusviranomaiselle.

Organisaatiolla tulee olla myös ohjeistus ja menettelytavat turvallisuusluokitellun tiedon vaarantaneiden tietoturvapoikkeamien havaitsemiseen ja tiedottamiseen organisaation sisällä ja kenelle kaikille tietoturvapoikkeamasta tai sen epäilystä tulee ilmoittaa. Lisäksi täytyy olla selvillä millaiset tietoturvapoikkeamasta vaativat yhteydenottoa viranomaisiin.

Turvallisuusluokiteltujen tietojen katsotaan vaarantuneen, kun ne ovat tietoturvatapahtuman seurauksena paljastuneet tai voineet paljastua sivullisille henkilöille. Useat tiedon omistajat (esimerkiksi EU) sekä myös voimassa olevat viranomaishyväksynnät edellyttävät välitöntä ilmoitusta turvallisuusluokitellun tiedon vaarantaneista poikkeamista tai niiden epäilyistä.

Mikäli organisaation tarjoaman palvelun näkökulmasta on tarkoituksenmukaista, organisaatio ilmoittaa ilman viivästystä palveluidensa käyttäjille merkittävistä häiriöistä, jotka todennäköisesti vaikuttavat negatiivisesti kyseisten palveluiden toimittamiseen.

Häiriö on merkittävä, kun vähintään toinen seuraavista toteutuu:

• häiriö voi aiheuttaa vakavan häiriön palvelujen toiminnassa tai vakavia taloudellisia menetyksiä palveluntarjoajalle
• häiriö voi aiheuttaa merkittävää aineellista tai aineetonta vahinkoa liittyville ihmisille tai muille organisaatioille

Kun organisaation palveluiden käyttäjät ovat mahdollisesti alttiina merkittävälle tietoturvauhkalle, organisaation on viestittävä tästä heille sisältäen kaikki mahdolliset korjaustoimenpiteet, joita käyttäjät voivat itse toteuttaa suojautuakseen uhkaa vastaan.

Kun viestinnän selkeyden kannalta on tarpeen, organisaation on sisällytettävä viestintäänsä myös yleisempää tietoa liittyvästä tietoturvauhkasta.

Organisaation tulisi määritellä jokaisen tunnistetun kriittisen toiminnon suhteen, kuinka pitkä toimintakatkos siedetään ilman, että organisaation toiminta häiriintyy.

Määrittelyssä on otettava huomioon:

• Lainsäädännön vaatimukset liittyen organisaation järjestelmien, rekistereiden ja palveluiden saatavuuteen
• Oman toiminnan ja sidosryhmien vaatimukset

Organisaatiolla on määritellyt seurattavat mittarit, jotka liittyvät tietoturvahäiriöiden hallintaan. Parhaimmillaan hyvät mittarit auttavat havaitsemaan heikkouksia häiriöiden tunnistamiseen liittyen.

Mahdollisia mittareita ovat mm.:

• tietoturvatapahtumien määrä ja suhde häiriöihin
• häiriöiden määrä tarjottavan palvelun, osaston, vakavuuden tai tyypin mukaan
• vaadittu aika häiriöin tunnistamiseen, tutkimiseen ja käsittelyyn
• poikkeamat dokumentoiduista toimintatavoista

Pilvipalveluita tarjoaessaan organisaatiolla tulee olla suunnitellut prosessit tai menettelyt:

• miten pilvipalvelun asiakas raportoi tietoturvatapahtumasta organisaatiolle
• miten organisaatio raportoi tietoturvatapahtumista pilvipalveluasiakkaille
• miten pilvipalvelun asiakas voi seurata aiemmin raportoidun tietoturvatapahtuman tilaa

Organisaation on määriteltävä, millaisia tietoturvatapahtumia se seuraa ja millä toimintatavoilla.

Tietoturvatapahtumia tulisi seurata useista eri lähteistä, joiden avulla tärkeä, reagointia vaativat mahdolliset häiriöt voidaan tunnistaa. Tietoa voidaan saada mm. suoraan hallintajärjestelmästä, ulkoisilta kumppaneilta tai organisaation laitteiden tuottamista lokeista.

Esimerkkejä seurattavista tietoturvatapahtumista voivat olla mm.:

1. Palvelimen hidas toiminta
2. Toistuvat kirjautumisvirheet
3. Tuntemattomat kirjautumisyritykset
4. Poikkeuksellinen verkkoliikenne
5. Tallennustilan loppuminen
6. Muutokset koodiprojekteissa
7. Konfiguraatiomuutokset palomuurilla
8. Käyttöoikeusmuutokset kriittisiin järjestelmiin / palvelimiin / tietokantoihin
9. Isot tietokantalataukset
10. Luvattomat ohjelmistoasennukset päätelaitteille
11. Liikenne haitalliseksi tiedetyistä IP-osoitteista