Raportarea incidentelor — 24h, 72h, o lună. Cum nu ratezi termenele.
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
Când ai un incident semnificativ, ceasul pornește. NIS 2 cere o avertizare timpurie în 24 de ore, un raport în 72 de ore și un raport final într-o lună. Iată fluxul, ca să nu-l improvizezi în criză.
De ce contează fluxul înainte de a-ți trebui
Raportarea incidentelor este una dintre obligațiile continue sub NIS 2. Problema nu e că fluxul e complicat, ci că se declanșează exact atunci când ai cel mai puțin timp de gândit — în plină criză. Cine improvizează raportarea în timpul incidentului ratează termenele. Cine are procedura pregătită dinainte doar o execută.
Obligația vine din art. 15 și se operează prin platforma națională de raportare (PNRISC). Se aplică incidentelor semnificative — cele cu impact perturbator real asupra serviciilor tale.
Cele trei ferestre: 24h, 72h, o lună
Fluxul are trei momente. Primul: avertizarea timpurie (early warning) — în cel mult 24 de ore de la momentul în care ai luat cunoștință de incident. Este o alertă scurtă, care spune că ceva semnificativ s-a întâmplat, nu o analiză completă.
Al doilea: raportarea incidentului — în cel mult 72 de ore. Aici oferi o evaluare inițială, cu ce știi până atunci (natura, impactul, măsurile luate). Al treilea: raportul final — în cel mult o lună de la raportare, cu analiza completă și lecțiile.
Cazurile speciale: 24h pentru servicii de încredere, 6h transfrontalier
Există praguri mai stricte. Pentru prestatorii de servicii de încredere, raportarea propriu-zisă se face în 24 de ore, nu 72. Iar pentru incidentele cu componentă transfrontalieră, există o fereastră suplimentară, mai scurtă, de 6 ore.
Nu trebuie să memorezi toate excepțiile — trebuie să știi în ce categorie te afli înainte de incident, ca să nu descoperi termenul greșit sub presiune.
Ce înseamnă „incident semnificativ” și cum păstrezi dovezile
Nu orice eveniment de securitate declanșează raportarea — doar incidentele semnificative, cele cu potențial de perturbare a serviciilor. Definirea corectă a pragului intern (când raportezi, când nu) este parte din procedura pe care o pregătești din timp.
Un aspect ușor de ratat: de la avertizare până la raportul final, trebuie să păstrezi dovezile — jurnale, capturi, cronologia deciziilor. Fără ele, raportul final rămâne o narațiune fără suport, iar la un control DNSC dovezile sunt tocmai ce se cere.
Pregătește procedura, nu improviza criza
Concluzia practică: scrie procedura de răspuns la incidente, atribuie responsabili, testează-o și integrează termenele (24h/72h/o lună) în ea. Raportarea corectă e o obligație continuă, la fel ca autoevaluarea anuală și monitorizarea.
Dacă nu ești sigur ce obligații continue îți revin în funcție de încadrare și nivel, cel mai simplu e să pornești de la o verificare a încadrării și să vezi întregul set de termene care ți se aplică.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

