Aktörer som klassas som väsentliga och viktiga entiteter enligt NIS 2-direktivet har en skyldighet att rapportera betydande incidenter till CSIRT-enheten eller den behöriga myndigheten. Men hur vet man vilka händelser som klassas som betydande incidenter enligt NIS 2-direktivet?
Begreppet incident definieras i artikel 6.6 NIS 2-direktivet som en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.
Med nätverks- och informationssystem avses elektroniska kommunikationsnät och enheter vilka genom ett program utför automatisk behandling av digitala uppgifter. Det avses även digitala uppgifter som lagras, behandlas, hämtas eller överförs med hjälp av sådana enheter eller elektroniska kommunikationsnät (artikel 6.1 NIS 2-direktivet).
Enligt artikel 23.3 NIS 2-direktivet ska en incident ska anses vara betydande om den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten. Vidare ska en incident anses vara betydande om den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.
I NIS 2-direktivet avgränsas begreppet incident från andra typer av händelser, som exempelvis tillbud, eller potentiella händelser, som exempelvis cyberhot. För aktörer som omfattas av NIS 2-direktivet är det således viktigt att ha förmågan att avgränsa olika typer av händelser och potentiella händelser från varandra för att säkerställa efterlevnad av rapporteringsskyldigheterna.