NIS2 72h incident report — draft pre NBÚ / NÚKIB

# NIS2 72h Incident Report — Draft hlásenia regulátorovi

**Rozšírený incident report podľa NIS2 čl. 23 ods. 4(b) — do 72 hodín od zistenia significant incident (nadväzuje na 24h early warning).**

## Identifikácia
| Pole | Hodnota |
|------|---------|
| **Interné ID incidentu** | {{INTERNAL_INCIDENT_ID}} |
| **ID early warning (24h)** | {{EARLY_WARNING_ID}} |
| **Názov subjektu** | {{ENTITY_NAME}} |
| **IČO** | {{ENTITY_ICO}} |
| **Kategória NIS2** | {{ENTITY_CATEGORY}} |
| **Incident Commander** | {{IC_NAME}} |
| **Email / tel. (24/7)** | {{CONTACT_EMAIL}} / {{CONTACT_PHONE}} |

## Časová os (aktualizovaná)
| Event | Čas (UTC) |
|-------|-----------|
| **Detekcia incidentu** | {{DETECTED_AT}} |
| **Interné overenie** | {{CONFIRMED_AT}} |
| **Early warning odoslaný** | {{EARLY_WARNING_SENT_AT}} |
| **Containment dosiahnutý** | {{CONTAINMENT_AT}} |
| **72h report odoslaný** | {{REPORT_72H_SENT_AT}} |

## 1. Klasifikácia incidentu (presná)

### Typ
{{INCIDENT_TYPE_DETAILED}}

### Severity (dopadová trieda)
- [ ] Critical — výpadok kritickej služby > 24h / zdravie / životy
- [ ] High — významný dopad na používateľov / cross-border
- [ ] Medium — lokálny dopad
- [ ] Low — izolovaný incident

**Zdôvodnenie klasifikácie:** {{SEVERITY_RATIONALE}}

### Použité MITRE ATT&CK techniky
{{MITRE_TECHNIQUES}}

_Príklad: T1566.001 (Spearphishing Attachment), T1486 (Data Encrypted for Impact), T1078 (Valid Accounts)_

## 2. Dopad (aktualizovaný)

| Dimenzia | 24h odhad | 72h skutočnosť |
|----------|-----------|----------------|
| **Dotknuté služby** | {{SERVICES_24H}} | {{SERVICES_72H}} |
| **Dĺžka výpadku** | {{DOWNTIME_24H}} | {{DOWNTIME_72H}} |
| **Dotknutí používatelia** | {{USERS_24H}} | {{USERS_72H}} |
| **Úniknuté dáta** | {{DATA_LEAKED_24H}} | {{DATA_LEAKED_72H}} |
| **Ekonomický dopad (€)** | {{ECONOMIC_24H}} | {{ECONOMIC_72H}} |
| **Cross-border dopad** | {{CROSSBORDER_24H}} | {{CROSSBORDER_72H}} |

### Úniknuté kategórie údajov (ak relevantné)
- [ ] Osobné údaje (rozsah: {{PII_SCOPE}})
- [ ] Citlivé kategórie (Art. 9 GDPR): {{SPECIAL_CATEGORIES}}
- [ ] Finančné údaje
- [ ] Obchodné tajomstvo / IP
- [ ] Credentials / autentifikačné dáta
- [ ] Health data
- [ ] Iné: {{OTHER_DATA}}

**Bola spustená GDPR 72h notifikácia ÚOOÚ?** {{GDPR_NOTIFICATION}} (áno / nie / nie je aplikovateľné)

## 3. Root cause analysis (predbežná)

### Vstupný vektor
{{INITIAL_ACCESS_VECTOR}}

Napríklad:
- Phishing email s malicious attachment
- Exploitácia zraniteľnosti v externe dostupnej službe (CVE-{{CVE_ID}})
- Kompromitované credentials (credential stuffing, leak)
- Supply chain (kompromitovaný dodávateľ / SW update)
- Insider threat

### Lateral movement
{{LATERAL_MOVEMENT}}

### Privilege escalation
{{PRIV_ESC}}

### Persistence mechanisms
{{PERSISTENCE}}

### Data exfiltration
{{EXFIL_METHOD}} (ak bola detekovaná)

## 4. Indicators of Compromise (IOCs)

### Network
- **IP adresy útočníka:** {{ATTACKER_IPS}}
- **C2 domény:** {{C2_DOMAINS}}
- **Suspicious user agents:** {{USER_AGENTS}}

### Host
- **File hashes (SHA-256):** {{MALWARE_HASHES}}
- **Registry keys:** {{REGISTRY_KEYS}}
- **Persistent mechanisms:** {{PERSISTENCE_IOCS}}

### Accounts
- **Kompromitované účty:** {{COMPROMISED_ACCOUNTS}}
- **Vytvorené malicious účty:** {{CREATED_ACCOUNTS}}

_Odporúčame zdieľať IOCs s NBÚ/NÚKIB CSIRT na koordináciu s inými subjektmi._

## 5. Prijaté opatrenia

### Containment (vykonané)
- [ ] Izolácia dotknutých systémov
- [ ] Zablokovanie malicious IPs na firewalle
- [ ] Reset credentials pre dotknuté účty
- [ ] Disable kompromitovaných účtov
- [ ] Revocation certifikátov
- [ ] {{OTHER_CONTAINMENT}}

### Eradication (prebieha / dokončené)
- [ ] Odstránenie malware
- [ ] Patching zraniteľnosti
- [ ] Rotácia všetkých secrets v dotknutom systéme
- [ ] Rebuild kompromitovaných serverov
- [ ] {{OTHER_ERADICATION}}

### Recovery (status)
{{RECOVERY_STATUS}}

## 6. Cross-border koordinácia

**Dopad v iných členských štátoch EÚ?** {{CROSS_BORDER_YES_NO}}

Ak áno:
| Štát | Dopad | Regulátor notifikovaný | ID hlásenia |
|------|-------|------------------------|-------------|
| {{COUNTRY_1}} | {{IMPACT_1}} | {{REGULATOR_1}} | {{NOTIFICATION_ID_1}} |
| {{COUNTRY_2}} | {{IMPACT_2}} | {{REGULATOR_2}} | {{NOTIFICATION_ID_2}} |

## 7. Komunikácia (aktualizovaná)

| Stakeholder | Status | Správa |
|-------------|--------|--------|
| **Klienti** | {{CUSTOMER_STATUS}} | {{CUSTOMER_MESSAGE}} |
| **ÚOOÚ (GDPR)** | {{UOOU_STATUS}} | {{UOOU_REF}} |
| **Médiá** | {{MEDIA_STATUS}} | {{MEDIA_STATEMENT_URL}} |
| **Zamestnanci** | {{STAFF_STATUS}} | — |
| **Regulátor iný** | {{OTHER_REG_STATUS}} | — |

## 8. Žiadosť o súčinnosť

{{ASSISTANCE_REQUEST}}

Napríklad:
- Threat intelligence o útočníkovi
- Koordinácia s inými affected subjektmi
- Právne stanovisko k komunikácii s dotknutými osobami

---

## Ďalší krok — final report do 1 mesiaca (NIS2 čl. 23 ods. 4(d))

Termín: **{{FINAL_REPORT_DEADLINE}}** (30 dní od detekcie).

Bude obsahovať:
- Finálny root cause
- Kompletný timeline
- Lessons learned
- Corrective actions + termíny
- Validáciu uzavretia incidentu

---

_Šablóna podľa NIS2 čl. 23 ods. 4(b). Pred odoslaním validujte s CISO / právnym oddelením / DPO. Pri nejasnej klasifikácii použite vyššiu severity — regulátor oceňuje transparentnosť._