72-satno izvještavanje, CERT koordinacija i regulatorna sukladnost
GDPR zahtijeva obavijest o povredi podataka u 72 sata. NIS2 traži rano upozorenje u 24 sata. Pripremamo procedure, izvještaje i koordiniramo s CERT-om i regulatorima.
Priprema obavijesti o povredi podataka za AZOP i pogođene osobe, procjena ozbiljnosti, dokumentacija mjera i koordinacija s DPO.
Rano upozoravanje CERT-a o značajnim incidentima, 72-satna detaljna obavijest i finalni izvještaj u mjesec dana.
Standardi za incident log, template za izvještaje, komunikacijski planovi i post-incident analiza za kontinuirano poboljšanje.
Upravljanje kriznim timom, koordinacija s internim IT/security, vanjskim savjetnicima i regulatorima tijekom i nakon incidenta.
Analiza uzroka, naučene lekcije, preporuke za poboljšanje i implementacija korektivnih mjera za smanjenje budućeg rizika.
Povreda sigurnosti koja dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima. Primjeri: ransomware, gubitak uređaja, slanje emaila krivoj osobi, neovlašten pristup.
Ne. GDPR zahtijeva prijavu AZOP-u samo ako povreda može predstavljati rizik za prava i slobode osoba. Sve povrede moraju biti dokumentirane interno. NIS2 zahtijeva prijavu CERT-u samo za značajne incidente.
GDPR dozvoljava postupnu obavijest ako sve informacije nisu dostupne u 72 sata. Važno je prijaviti incident u roku i dodati dodatne informacije kasnije. Kašnjenje mora biti opravdano i dokumentirano.
Tipično: DPO/CISO, IT/sigurnosni voditelj, pravni odjel, komunikacije/PR, vlasnik poslovnog procesa zahvaćenog sustava, vanjski savjetnici. Uloge i odgovornosti trebaju biti jasno definirane prije incidenta.
Tipični ishodi: procedure spremne, template izvještaja, testiran scenarij.
Zakažite konzultacije