英国成立的独立机构,以维护公众利益为目的的信息权利,促进公共机构的公开和个人的数据隐私。

乍一看

  • 如果任何事件对您提供的服务有重大影响,您必须通知ICO。
  • 在评估是否需要通知时,必须考虑许多因素,包括受影响的用户数量、事件持续时间、地理范围、中断的程度和事件影响的程度。
  • DSP法规提供了与这些因素相关的阈值和参数的进一步细节。
  • 如果可能,您必须在不延误的情况下通知ICO,并在不迟于72小时内得知任何事件。
  • 我们开发了一个报告工具,您可以使用它向我们通报NIS事件。您还应考虑同时通知国家网络安全中心。

在短暂的

什么是NIS事件?

NIS规则1(1)将“事件”定义为:

任何对网络和信息系统安全产生实际不利影响的事件。

与“网络和信息系统安全性”的定义相结合,这主要符合信息安全的现有标准,例如NIST在NIST中的“事件”的定义特刊800-53:

在没有合法授权的情况下,实际或紧急危害信息或信息系统的保密性、完整性或可用性的事件。

NIS事件是否等同于英国GDPR规定下的个人数据泄露?

不一定。NIS涉及计算机系统以及在其中存储和处理的数字数据。英国GDPR涉及个人数据的处理。

数字数据是连接到数字服务的操作,使用和维护的数字数据。但是,这可能包括个人数据。此外,根据攻击类型,NIS事件本身可能会导致个人数据泄露。NIS事件可能是扰乱您服务的初始入侵,而由于这种入侵可能遵循个人数据泄露。

实际上,这要视情况而定。但是,如果发生个人数据泄露,您必须根据英国GDPR通知ICO,而不是NIS。我们的NIS报告工具允许您指定个人数据是否也在事件中被破坏。

我们在指南的下一节提供了更多关于英国GDPR和NIS之间联系的信息。

进一步的阅读

阅读本指南的部分NIS与英国GDPR的关系

我们的agent yabovip168 包括一个报告工具,允许您将任何NIS事件通知我们。该工具还允许您指出事件是否还涉及个人数据。

当发生NIS事件时,我们必须何时通知ICO ?

如果您发现任何事件,您必须及时通知ICO,并且不迟于72小时。这与英国GDPR关于个人数据泄露的报告要求大致一致。

只有rdsp需要将NIS事件通知ICO。如果您是OES,您需要通知您所在部门的主管部门。

我们必须提供什么信息?

第12(5)条规定,您的通知必须包括:

  • 你的机构名称及你所提供的数码服务种类;
  • 事件发生的时间;
  • 事件的持续时间;
  • 有关事件性质及影响的资料;
  • 有关任何跨境影响的信息;和
  • 任何其他可能协助ICO的信息。

有关任何跨境影响的信息必须足以使我们能够确定其重要性。

我们明白,在事故发生后,你们可能无法获得所需的所有必要信息,只有在调查展开后才会了解到这一点。不过,你还是得通知我们发生了事故。当你的调查得到额外的信息时,你可以继续跟进,没有不必要的延迟。

我们已经开发了用于报告NIS事件的报告表单。它包含要填写上述所有信息的字段。

我们如何确定是否需要通知?

您需要评估该事件是否对您的数字服务的提供造成了“重大影响”,以便决定是否需要通知。

第12(7)条就如何作出这一决定提供了进一步的细节。这是指《DSP条例》第三条的规定。简而言之,在确定事件的影响时,你必须考虑:

  • 受该事件影响的用户数目,特别是依赖该服务自行提供服务的用户数目;
  • 事件持续的时间;
  • 地理传播对受影响的地区;
  • 服务运作受到干扰的程度;
  • 对经济和社会活动的影响程度;和
  • 是否存在《DSP条例》第四条规定的情形之一。

DSP法规第3条和第4条提供了如何考虑这些因素的进一步细节。注意这一点很重要只适用于RDSPs。如果您是OES,您有不同的因素来评估任何事件的影响。

“受影响的用户数量”是什么意思?

《DSP条例》第3(1)条要求您能够估算:

  • 与你有合约的受影响人士的数目(包括个人和机构);或
  • 受影响用户的数量是根据之前的流量数据确定的。

“事件持续时间”是什么意思?

第三十八条DSP规定的第3(2)条表示这是指服务中断的时间段,直到恢复到恢复。

您必须在您处理的数字数据的可用性、真实性、完整性和机密性的基础上评估破坏。

“受影响地区的地理分布”是什么意思?

DSP监管第3(3)条澄清说,这是指您确定NIS事件是否影响其他成员国的服务 - 换句话说,您需要确定事件是否有跨境影响。

您需要向ICO提供足够的信息,以评估任何跨境影响的重要性。

“破坏的程度”是什么意思?

第3(4)条DSP监管要求您能够衡量NIS事件是否受到以下一项或多项:

  • 数据或相关服务的可用性;
  • 数据或相关服务的真实性;
  • 数据或相关服务的完整性;和
  • 数据或相关服务的保密性。

“影响的程度”是什么意思?

《DSP条例》第3(5)条要求你能够断定该事件是否存在:

“对用户的健康、安全或财产造成重大的物质或非物质损失。”

您应该通过与您的客户的合同关系的性质(即您的数字服务的客户类型)以及适当的潜在数量的受影响用户的潜在数量的潜在数量来达到此结论。

重要的是,根据《DSP规例》第3(6)条,就上述目的而言,DSP:

“不需要收集他们没有访问权限的其他信息

《数字信号处理条例》第4条所描述的情况是什么?

DSP规则第4条描述了许多“情况”或参数,您可以考虑一个“实质性影响”的事件。在确定任何事件的影响时,您应该使用这些:

  • 您的服务不可用时间超过500万用户小时,其中“用户小时”指的是“在联盟内持续60分钟的受影响用户数量”。
  • 该事件导致“存储、传输或处理数据”或“DSP系统提供的或通过其访问的相关服务”的完整性、真实性或保密性丧失,而这种损失将会产生影响超过100,000人用户在联盟。
  • 这一事件造成了对公共安全、公共安全或生命损失的危险”。
  • 事件已经造成对至少一个用户造成物质损害在联盟',在那里损坏了该用户超过€1米

一个事件被认为是实质性的至少有一个以上都发生了。

重要的是要了解,如果NIS事件导致个人数据泄露,则上述因素和阈值不适用。从本质上说,该事件可能不符合上述任何一个门槛,但如果个人数据被泄露,您需要评估这是否会对个人的权利和自由造成风险。

如果是这种情况,您需要将个人数据泄露通知ICO,即使您可能不需要告诉我们NIS事件。

进一步的阅读

个人数据泄露

如果事件不符合这些阈值怎么办?

您只需要在满足上述阈值时通知ICO。然而,我们鼓励您提供其他事件的自愿通知报告。

我们需要通知其他人吗?

虽然ICO必须与国家网络安全中心分享事件通知,但您还应考虑自愿向他们报告事件,特别是如果您确定您需要NCSC的支持管理事件。

NCSC将为以下事件提供建议、指导和(视资源而定)支持:

  • 可能导致对组织正在进行的持续运营至关重要的数据损失;
  • 扰乱重要服务(如果你为一家OES提供数字服务);或
  • 指出未经授权访问或在关键系统上安装恶意软件,而您无法自行解决这些问题。

如果你需要这种级别的支持,你应该将你的报告标记为“FOR ACTION”。

我们的agent yabovip168 提供你如何通知NCSC的进一步信息,包括你可能不需要直接支持,但希望通知他们某一事件,以便他们就网络威胁提供更广泛的建议的情况。

根据事件的性质,你也可以通知其他组织,如国家犯罪局和欺诈行动。

我们需要通知公众吗?

我们可以认为公众对某一特定事件的意识是必要的(如为了公共利益)。在这些情况下,我们将首先与您协商,但我们可能决定是自己告知公众,还是通过执行通知指示您这样做。

我们在作出这些决定时也会咨询非公务员合约委员会。

我们是一个依赖于数字服务的OES——通知要求是什么?

如果您是一家OES,且您依赖RDSP提供基本服务,则您必须将任何影响RDSP的事件对您的服务连续性造成的重大影响通知主管当局。RDSP还得通知ICO。