§32 BSIG报告义务
三级报告模型
第一级:预警(24小时)
| 字段 | 内容 |
|---|---|
| 期限 | 获悉重大事件后24小时内 |
| 接收方 | BSI(通过报告平台) |
| 内容 | 事件类型、初步原因判断 |
| 特殊要求 | 说明是否怀疑存在违法或恶意行为;是否可能产生跨境影响 |
第二级:更新(72小时)
| 字段 | 内容 |
|---|---|
| 期限 | 获悉后72小时内 |
| 接收方 | BSI(通过报告平台) |
| 内容 | 事件初步评估:严重程度、影响 |
| 特殊要求 | 在可用范围内提供入侵指标(IoC);更新初步评估 |
第三级:结案报告(1个月)
| 字段 | 内容 |
|---|---|
| 期限 | 获悉后1个月内(可申请延期) |
| 接收方 | BSI(通过报告平台) |
| 内容 | 详细描述:原因、已采取措施、跨境影响 |
| 特殊要求 | 如事件仍在持续:提交中期报告替代结案报告,事件结束后提交结案报告 |
重大安全事件标准
事件满足以下至少一项标准即为重大事件:
| 标准 | 阈值 |
|---|---|
| 严重运营中断 | 面向客户的服务受限或不可用 |
| 财务损失 | 直接或间接损失超过重要性阈值 |
| 对第三方的损害 | 其他人员或机构受到严重影响 |
| 数据丢失 | 个人数据或业务关键数据被泄露 |
内部报告流程
发现事件
→ 通知ISB (< 1小时)
→ 初步评估:是否为重大事件?(< 4小时)
→ 如是:准备BSI预警 (< 24小时)
→ 通知管理层
→ 审查DSGVO报告义务 (Art. 33: 72小时内向监管机构报告)
→ 审查CRA报告义务 (Art. 14: 24小时内向ENISA报告)并行报告义务
| 法规 | 触发条件 | 期限 | 接收方 |
|---|---|---|---|
| NIS2 / §32 BSIG | 重大安全事件 | 24小时 / 72小时 / 1个月 | BSI |
| DSGVO Art. 33 | 个人数据保护被侵犯 | 72小时 | 主管监管机构 |
| CRA Art. 14 | 产品漏洞被积极利用 | 24小时 / 72小时 / 14天 | ENISA + 国家CSIRT |
文档记录
每个需报告的事件均须完整记录:
- 带时间戳的事件时间线
- 所有决策及其依据
- 与BSI的沟通(报告ID、往来信函)
- 已采取措施及其效果
- 经验教训和后续措施
保存期限:事件结案后至少3年。