NIS2 final report — 1 mesiac post-mortem

# NIS2 Final Incident Report (1 mesiac)

**Finálny post-mortem podľa NIS2 čl. 23 ods. 4(d) — do 1 mesiaca od zistenia significant incident.**

## Executive summary

{{EXECUTIVE_SUMMARY}}

_Max. 1 strana. Čo sa stalo, koho to ovplyvnilo, čo sme urobili, čo meníme._

| Pole | Hodnota |
|------|---------|
| **Interné ID** | {{INTERNAL_INCIDENT_ID}} |
| **Subjekt** | {{ENTITY_NAME}} ({{ENTITY_ICO}}) |
| **Incident Commander** | {{IC_NAME}} |
| **Detekcia → uzavretie** | {{DETECTED_AT}} → {{CLOSED_AT}} |
| **Severity (final)** | {{FINAL_SEVERITY}} |
| **Priemerná doba do detekcie (MTTD)** | {{MTTD}} |
| **Priemerná doba do obnovenia (MTTR)** | {{MTTR}} |

## 1. Chronologický timeline

| Čas (UTC) | Udalosť | Aktér |
|-----------|---------|-------|
| {{T1}} | {{EVENT_1}} | {{ACTOR_1}} |
| {{T2}} | {{EVENT_2}} | {{ACTOR_2}} |
| {{T3}} | {{EVENT_3}} | {{ACTOR_3}} |

_Doplňte kompletný timeline od prvej anomálie po uzavretie. Vrátane všetkých rozhodnutí, eskalácií, komunikácie._

## 2. Finálna root cause analysis

### Vstupný vektor (potvrdený)
{{FINAL_ROOT_CAUSE}}

### Prečo to uspelo? (5 Whys)
1. **Why 1:** {{WHY_1}}
2. **Why 2:** {{WHY_2}}
3. **Why 3:** {{WHY_3}}
4. **Why 4:** {{WHY_4}}
5. **Why 5 (root):** {{WHY_5}}

### Zlyhania kontrol
| Kontrola | Očakávané správanie | Skutočné správanie | Prečo zlyhala |
|----------|--------------------|--------------------|--------------|
| {{CONTROL_1}} | {{EXPECTED_1}} | {{ACTUAL_1}} | {{REASON_1}} |
| {{CONTROL_2}} | {{EXPECTED_2}} | {{ACTUAL_2}} | {{REASON_2}} |

### Čo fungovalo
{{WHAT_WORKED}}

_Dôležité — oceňte tímy a procesy ktoré fungovali. Post-mortem nie je hľadanie vinníkov._

## 3. Finálny dopad (overený)

| Dimenzia | Pôvodný odhad (72h) | Finálna hodnota |
|----------|---------------------|-----------------|
| **Dotknutí používatelia** | {{USERS_72H}} | {{USERS_FINAL}} |
| **Výpadok služieb** | {{DOWNTIME_72H}} | {{DOWNTIME_FINAL}} |
| **Úniknuté záznamy PII** | {{PII_72H}} | {{PII_FINAL}} |
| **Priame finančné škody (€)** | {{DIRECT_COST_72H}} | {{DIRECT_COST_FINAL}} |
| **Nepriame škody (reputácia, churn)** | — | {{INDIRECT_COST}} |
| **Regulatórne pokuty** | — | {{FINES}} |

### Právne dôsledky
{{LEGAL_CONSEQUENCES}}

Napríklad:
- GDPR vyšetrovanie ÚOOÚ (stav: {{UOOU_CASE_STATUS}})
- Class action od dotknutých osôb
- Breach of contract s klientmi
- Strata certifikácie (ISO 27001 / SOC 2)

## 4. Lessons learned

### Čo sme sa naučili
{{LESSONS_LEARNED}}

### Čo by sme urobili inak
{{WHAT_WE_WOULD_DO_DIFFERENTLY}}

### Zistené systémové medzery
{{SYSTEMIC_GAPS}}

## 5. Corrective & preventive actions

| # | Opatrenie | Kategória | Zodpovedný | Termín | Status |
|---|-----------|-----------|------------|--------|--------|
| 1 | {{ACTION_1}} | {{CAT_1}} | {{OWNER_1}} | {{DUE_1}} | {{STATUS_1}} |
| 2 | {{ACTION_2}} | {{CAT_2}} | {{OWNER_2}} | {{DUE_2}} | {{STATUS_2}} |
| 3 | {{ACTION_3}} | {{CAT_3}} | {{OWNER_3}} | {{DUE_3}} | {{STATUS_3}} |

_Kategórie: technical / process / people / supplier / governance._

### Aktualizácia politík
- [ ] Risk Management Policy — {{RMP_UPDATE}}
- [ ] Incident Response Plan — {{IRP_UPDATE}}
- [ ] Business Continuity Plan — {{BCP_UPDATE}}
- [ ] Access Control Policy — {{ACP_UPDATE}}
- [ ] Supplier Security Policy — {{SSP_UPDATE}}

### Investície do detekcie
{{DETECTION_INVESTMENTS}}

### Cvičenia / školenia
{{EXERCISES_PLANNED}} (napr. red team, tabletop, phishing simulation)

## 6. Retrospektíva komunikácie

| Kanál | Čo fungovalo | Čo nefungovalo |
|-------|--------------|----------------|
| Interná (Slack / MS Teams) | {{INTERNAL_WORKED}} | {{INTERNAL_ISSUES}} |
| Klienti (status page / email) | {{CUSTOMER_WORKED}} | {{CUSTOMER_ISSUES}} |
| Médiá / PR | {{MEDIA_WORKED}} | {{MEDIA_ISSUES}} |
| Regulátor | {{REGULATOR_WORKED}} | {{REGULATOR_ISSUES}} |

## 7. Verifikácia uzavretia

- [ ] Všetky IOCs blokované / monitorované
- [ ] Kompromitované systémy rebuildnuté alebo forenzne vyčistené
- [ ] Všetky secrets v dotknutom systéme rotované
- [ ] Patching aplikovaný (aj na súvisiace systémy)
- [ ] Monitoring posilnený na typ útoku
- [ ] Backup integrity overená
- [ ] Lessons learned komunikované tímu

**Potvrdenie uzavretia:**
- Incident Commander: {{IC_SIGNATURE}}, {{IC_DATE}}
- CISO: {{CISO_SIGNATURE}}, {{CISO_DATE}}
- Vedenie: {{MGMT_SIGNATURE}}, {{MGMT_DATE}}

## 8. Príloha — dokumentácia

- [ ] Forenzné reporty (disk images, memory dumps, PCAPs)
- [ ] Logy (SIEM export za obdobie incidentu)
- [ ] Komunikácia s regulátorom (all tickets / emails)
- [ ] Komunikácia s klientmi (templates, metriky open/response)
- [ ] Internal Slack / MS Teams channel export
- [ ] Screenshots / artifacts

_Archivácia minimálne **5 rokov** podľa NIS2 čl. 21 ods. 2 (g) — business continuity a crisis management records._

---

## Distribúcia

Finálny report sa odosiela:
- **NBÚ (SR) / NÚKIB (ČR)** — povinne do 1 mesiaca
- **Vedenie subjektu** — riadiaci orgán na schválenie corrective actions
- **Interne** — CISO, právne oddelenie, DPO, HR (ak relevantné)

---

_Šablóna podľa NIS2 čl. 23 ods. 4(d). Pred odoslaním preskúmajte s právnikmi — finálny report môže byť použitý v regulatórnom konaní. Blameless culture — zamerajte sa na systémy, nie ľudí._