Назад към блога
Регулации16 мин четене

Докладване на инцидент за 24 и 72 часа: практически протокол по новия Закон за киберсигурност

A

Alexander Sverdlov

Анализатор по сигурността

12.05.2026 г.
Докладване на инцидент за 24 и 72 часа: практически протокол по новия Закон за киберсигурност

Закон за киберсигурност · Докладване на инциденти · Май 2026

Докладване на инцидент за 24 и 72 часа: практически протокол по новия Закон за киберсигурност

Часовникът тръгва от момента, в който узнаете за значителен киберинцидент. 24 часа за ранно предупреждение, 72 часа за разширено уведомление, един месец за финален доклад. Пропускът на който и да е от трите срока е тежко нарушение с глоба до 1 000 000 лв. Това е практическият протокол, който ще ви помогне да отговорите на тези срокове, дори когато ИТ екипът ви още гаси пожара. Стъпка по стъпка, с примери, шаблони и кой какво прави в коя минута.

Най-важното накратко

  • Задължението за докладване е тристъпково: 24 часа ранно уведомление за значителен инцидент, 72 часа подробен доклад с оценка на въздействието, 1 месец финален доклад с първопричина и предприети мерки. И трите срока текат от момента, в който узнаете за инцидента.
  • Уведомлението се подава до националния CSIRT при МЕУ (за повечето сектори) или до съответния секторен регулатор (БНБ за финансовите институции, КРС за телекомите). За съществените субекти има допълнително задължение да се уведоми и компетентният орган.
  • „Значителен инцидент" означава такъв, който е причинил или има потенциал да причини сериозни оперативни смущения или финансови загуби, или е засегнал физически или юридически лица чрез причиняване на материална или морална вреда. Не всички инциденти са докладваеми. Спам, единични фишинг опити, и блокиран зловреден код не са задължителни за докладване.
  • Освен националното уведомление, ако инцидентът е довел и до пробив на лични данни, се пуска отделно уведомление до КЗЛД по чл. 33 от GDPR в рамките на същите 72 часа. Двата режима съществуват паралелно и не се заместват взаимно.
  • Най-чести грешки, водещи до санкция: забавяне над 24 часа заради опити да се изясни всичко преди първото уведомление, липса на писмена обосновка защо инцидентът не е значителен (когато сте го преценили така), уведомление до грешен орган (МЕУ вместо БНБ за банка), и липса на проследяване на 72-часовия и финалния доклад.
  • Защитата изисква предварителен процес: дефинирани прагове за значителност, назначен координатор за докладване (обикновено CISO или DPO), обучен дежурен екип и шаблон на уведомлението, попълнен предварително с фирмени данни. Без този процес първото уведомление винаги ще закъснее.

През март ми се обади IT директорът на средна по размер логистична компания от Бургас. Около 320 служители, годишен оборот 78 млн. лв., съществен субект по новия Закон за киберсигурност. Същата сутрин в 04:17 ч. SOC екипът им беше регистрирал шифроване на 14 файлови сървъра в производствения център. Ransomware. Стандартна първа реакция: изолация на засегнатите сегменти, активиране на резервни копия, мобилизация на криминалистите. Целият екип беше пълноценно зает с гасенето на пожара.

Тогава ме спря с прост въпрос: „До кого трябва да изпратим уведомление и в какъв срок?". Беше 09:30 ч. Часовникът тиктакаше от 04:17 ч. - вече беше изтекъл 5 час и 13 минути от 24-часовия срок. Никой в компанията не знаеше точно кой попълва формуляра, до кого го изпраща, и какво трябва да съдържа. Имаха политика за реакция на инциденти, но в нея не беше включен новият задължителен ред за докладване по Закона за киберсигурност.

Тази публикация е дълга версия на отговора, който дадох тогава. Преминавам през протокола за докладване стъпка по стъпка, с реалните срокове, отговорни лица, шаблони на уведомления, и пет реални сценария за български компании от различни сектори. В края давам контролния лист, който можете да напечатате и да поставите в реактивната си папка - така, когато се случи следващият инцидент, екипът ви няма да губи първите няколко часа в правни консултации.

Една забележка преди да продължим. Числата за прагове и глоби в тази публикация се отнасят до настоящия (2026 г.) подзаконов акт, който се очаква да бъде допълнен с детайлни критерии за значителност на инцидента до края на преходния период (1 юни 2026 г.). Препоръчваме да следите за актуализации на сайта на МЕУ и да преглеждате процедурата си всеки три месеца през първата година след влизане в сила.

Стъпка 1

Тристъпковият срок: 24 часа, 72 часа, 1 месец

Законът въвежда тристъпков режим на докладване, който отговаря на трите фази на типичния отговор на инцидент: ранно сигнализиране (когато знаете малко, но е важно органите да са информирани), детайлно уведомление (когато имате оценка на въздействието) и финален доклад (когато сте идентифицирали първопричината и сте предприели коригиращи мерки). Всеки от трите срока тече независимо от другите.

Тристъпков срок на докладване Три срока, една обща нулева точка Часовникът тръгва, когато узнаете за инцидента, не когато започне T+0 узнаване 24h Стъпка 1 72h Стъпка 2 Стъпка 3 24 часа - Ранно предупреждение Кратко уведомление с факта на инцидента. Без подробни технически данни. Цел: органът да знае, че има инцидент и да предложи координация. 72 часа - Подробно уведомление Оценка на тежестта и въздействието. Индикатори за компромет. Първоначален обхват: засегнати системи, данни, клиенти, граници. 1 месец - Финален доклад Първопричина (RCA), пълно описание на въздействието, предприети и планирани мерки. Урок за бъдещето. Това е писменият следотпечатък. Допълнителни моменти: - 72-часовият срок не отменя 24-часовия. И двата документа отиват в досието. - При значително нов факт между фазите се подава актуализация (не нов цикъл).
Фигура 1. Тристъпковият срок. Часовникът тръгва от момента на узнаване, не от началото на инцидента.

24-часовото ранно предупреждение е първото и най-критичното уведомление. Целта му не е да даде пълна картина на инцидента, а да информира националния CSIRT (или съответния секторен регулатор), че сериозно събитие е настъпило. Съдържа: идентификация на дружеството, дата и час на узнаване, кратко описание на инцидента (две до три изречения), предполагаемо естество (умишлено или случайно), и индикация дали инцидентът все още е в ход. Не се очаква точна оценка на въздействието.

72-часовото подробно уведомление е първият детайлен документ. Тук вече се очаква първоначална оценка на тежестта: брой засегнати системи, типове засегнати данни (лични данни, технологична информация, финансови записи), брой потенциално засегнати клиенти, географски обхват, индикатори за компромет (IP адреси, хешове на файлове, имена на засечени инструменти), и предприети до момента действия по ограничаване. Не е задължително да имате точна първопричина в този момент.

Едномесечният финален доклад е окончателният писмен следотпечатък. Тук се описват първопричината (root cause analysis), пълното въздействие (включително финансови загуби, ако са установими), всички предприети технически и организационни мерки за възстановяване, и планираните дългосрочни мерки за предотвратяване на повторение. Този документ често се иска от застрахователя при претенция по киберполица и от одитори при последващ одит. Пишете го така, сякаш ще го четете на свидетелски разпит, защото в случай на спор точно това става.

🔍

Стъпка 2

Кои инциденти са „значителни" и подлежат на докладване

Не всички инциденти трябва да се докладват. Законът ограничава задължението до „значителните" киберинциденти - тези, които са причинили или имат потенциал да причинят сериозни оперативни смущения, значителни финансови загуби, или материална/морална вреда за физически или юридически лица. Това е сравнително широка дефиниция, но в практиката за повечето български компании работят следните прагове.

Категория събитие Праг за значителност Докладва се?
Ransomware шифроване на производствени системиВинагиДа
Неоторизиран достъп до клиентски данниНад 100 субекта или чувствителни данниДа + КЗЛД
Прекъсване на услуга към клиентиНад 4 часа или над 25% от потребителитеДа
DDoS атака с измерим бизнес ефектНад 30 мин. срив на критична услугаДа
Подправен превод (BEC) с финансова щетаНад 50 000 лв.Да
Уязвимост, експлоатирана срещу публична системаПотвърден компрометДа
Засечен фишинг имейл (без последици)Блокиран от защитатаНе
Заразен лаптоп с EDR-блокиран троянецБез хоризонтално движениеНе
Неуспешен опит за брутална силаMFA блокиралНе
Спам кампания към служителиСтандартнаНе

Практическият подход, който прилагаме при клиентите си, е следният. Дефинирайте трите нива: L1 - не докладваеми (нормален шум, блокиран от защитните системи), L2 - вътрешно проследими (отнасят се в инцидентния регистър, но не достигат прага за външно докладване), и L3 - докладваеми (попадат в категориите по-горе). Гранични случаи се ескалират към CISO или DPO за решение в писмен вид.

Едно важно правило за защита: когато сте преценили, че инцидент НЕ е значителен и не сте го докладвали, документирайте писмено решението си. Една параграфа е достатъчна: дата, кратко описание на събитието, оценка на въздействието, основание за решение „не значителен", подпис на CISO или равнопоставен ръководител. Това е защита, ако в по-късен момент органите решат, че събитието е трябвало да бъде докладвано. Без писмена обосновка позицията „преценихме, че не е значително" не се приема.

Втората типична грешка е обратната: докладване на всичко „за всеки случай". Това натоварва националния CSIRT, но и създава репутационна история на дружеството ви. В практиката надзорните органи започват да следят дружества с подозрително висок брой докладвания, защото може да означава, че дружеството има хронични проблеми с базовата защита. Правилната практика е дисциплина: ясни прагове, писмени решения, докладване само на това, което действително е значително.

🏢

Стъпка 3

До кого се докладва: компетентни органи по сектор

Уведомлението не се подава автоматично към един универсален орган. Законът разпределя надзора между националния CSIRT и секторните регулатори. Подаването в грешен орган може да доведе до закъснение в обработката и в най-лошия случай - до санкция за неспазен срок, ако правилният орган не получи уведомлението в 24-часовия прозорец.

Компетентни органи за докладване До кого подавате уведомлението Разпределение по сектор и тип субект Национален CSIRT (МЕУ) csirt@e-gov.bg Покрива: - ИТ услуги и SaaS доставчици - Производство и логистика - Здравеопазване (вкл. болници) - Държавна и общинска администрация БНБ - Банков надзор cybersecurity@bnbank.org Покрива: - Банки и кредитни институции - Платежни институции - Доставчици на платежни услуги - Дружества за електронни пари КРС - Комуникации incidents@crc.bg Покрива: - Телекомуникационни оператори - Доставчици на интернет - DNS и TLD регистратори - Хостинг и облачни услуги КЗЛД - Лични данни kzld@cpdp.bg Покрива: - Допълнително към всички, при пробив на лични данни (GDPR чл. 33) - 72 часа от узнаване - Не заменя уведомлението по NIS2
Фигура 2. Разпределение на компетентните органи. Винаги проверявайте секторната принадлежност преди подаване.

За повечето български компании в обхвата на закона (логистика, производство, здравеопазване, ИТ услуги, държавна и общинска администрация) компетентният орган е националният CSIRT при Министерството на електронното управление. Уведомленията се подават през портал, който се очаква да бъде в пълна експлоатация преди 1 юни 2026 г., с резервен канал по електронна поща.

За финансовия сектор - банки, платежни институции, дружества за електронни пари - компетентен орган е БНБ. Тук съществува и режимът на DORA от 17 януари 2025 г., който има свои собствени срокове и формуляри. На практика финансовите институции трябва да поддържат два паралелни процеса на докладване, които сливат в общ оперативен поток. Един от инцидентите ни през последните три месеца включваше банка, която забрави да докладва на БНБ в 24 часа, защото DORA уведомлението беше изпратено навреме - двата режима не се заместват.

За телекомуникационните оператори и доставчиците на интернет компетентен орган е Комисията за регулиране на съобщенията (КРС). И за всички, при които киберинцидентът е причинил и пробив на лични данни, се пуска паралелно уведомление до КЗЛД по чл. 33 от GDPR. Внимавайте: 72-часовият срок по GDPR се изчислява по същите правила като 72-часовия срок по новия закон, но двете уведомления имат различни формуляри и съдържание.

📝

Стъпка 4

Шаблон на 24-часовото уведомление

Под „шаблон" разбираме параметризиран документ, в който фиксираните полета (име на дружеството, ЕИК, контактно лице, секторна принадлежност, статут на субект) се попълват предварително, а полетата за конкретния инцидент остават празни за бързо попълване. Този подход спестява критичните 30 до 60 минути при реален инцидент.

Минимално съдържание на 24-часовото уведомление

1. Идентификация на дружеството (име, ЕИК, ИН по ЗДДС, статут - съществен/важен субект, сектор по Анекс 1/2).
2. Контактно лице (име, длъжност, телефон, имейл, заместник в извънработно време).
3. Дата и час на узнаване на инцидента (с точност до минута, в часова зона ЕЕТ/ЕЕST).
4. Кратко описание на инцидента (две до три изречения, без технически детайли).
5. Предполагаемо естество (умишлено, случайно, неизяснено).
6. Дали инцидентът е в ход в момента на уведомлението.
7. Предприети до момента мерки (резюме, едно изречение).

Какво НЕ е необходимо в 24-часовия документ

- Пълна оценка на въздействието (тя идва в 72-часовия).
- Първопричина (root cause).
- Идентификация на нападателя (атрибуция).
- Финансова оценка на загубите.
- Списък на засегнатите клиенти.
Изчакването на тези данни е най-честата причина за изпуснат срок. Не чакайте, изпратете това, което знаете.

Капанът, който трябва да се избегне

„Първо да изясним всичко, после ще пишем уведомлението." Това е грешка. 24-часовият срок е ранно предупреждение точно защото регулаторът знае, че няма да имате пълна картина. Подавайте на 18-ия час с непълна информация, а не на 28-ия с пълна. Закъснението от 4 часа е тежко нарушение; подаването на непълно уведомление - не е.

Изготвянето на шаблона е работа за един час с DPO или CISO. Съхранява се на достъпно за дежурния екип място (Confluence страница, споделен Drive, физическо копие в реактивната папка), маркирано с цвят или икона. При активиране на инцидентен план шаблонът се отваря в първите 15 минути, попълват се конкретните полета, и в рамките на 4 до 6 часа от инцидента е готов за подаване. Останалите часове до 24-те са буфер за вътрешно одобрение (CEO, юрист) преди изпращане.

👥

Стъпка 5

Роли и отговорности: кой какво прави в коя минута

Без предварително разпределени роли първите часове на инцидента са хаос. Всеки прави всичко, никой не пише уведомлението, и 24-часовият срок изтича преди някой да си спомни за него. Препоръчителната рамка е следната, базирана на 27 инцидента, които сме координирали за български клиенти от 2024 г. насам.

Роли в първите 24 часа Първите 24 часа: кой какво прави Паралелни задачи в четири роли, без затъпване 0 h6 h12 h18 h24 h SOC / Дежурен IT Изолация на засегнатите системи, събиране на индикатори, ограничаване на щетата CISO / DPO (координатор) Преценка „значителен" - не. Активиране на план. Започва шаблон на уведомление в час 4. CEO / Юрист Преглед и одобрение на уведомлението, между час 10 и 18 Комуникации / PR Подготовка на клиентско съобщение, час 16 до 24 Час 22-24: Изпращане на 24-часовото уведомление до съответния орган
Фигура 3. Четирите роли работят паралелно. Координаторът държи срока, останалите донасят съдържанието.

SOC и дежурен IT екип работят непрекъснато от момента на засичане. Тяхната задача не включва уведомлението - те ограничават щетата, събират технически индикатори, и подават доклади към координатора. Опитът да включиш техническия екип в писмената работа намалява скоростта и на двете дейности.

CISO или DPO е координаторът на докладването. Той прави първоначалната преценка „значителен ли е инцидентът", активира инцидентния план, и започва попълването на шаблона на 24-часовото уведомление в рамките на първите 4 часа. След това координира с останалите роли - технически данни от SOC, правен преглед от юриста, одобрение от CEO. Без назначен координатор задачата „пишеш уведомлението" остава ничия.

CEO и юрист преглеждат и одобряват уведомлението в прозореца час 10 до 18. Тук се проверяват юридическите формулировки, точността на бизнес информацията, и съответствието със секторните регулатори. CEO подписва документа от името на дружеството - това е изрично негова отговорност и не може да се делегира.

Комуникационната роля (или CEO в малките дружества) подготвя външните съобщения - към клиенти, медии при необходимост, регулатори в режим. Тази роля се активира в час 16 и работи паралелно с финалното одобрение на уведомлението. Готов клиентски имейл преди подаване на уведомлението не е грешка; нагласа към „първо подадем, после мислим за клиентите" причинява щета на репутацията.

📍

Стъпка 6

Пет реални сценария за български компании

Абстрактният процес е лесен. Прилагането при реален инцидент с непълна информация и стрес е по-сложно. По-долу са пет анонимизирани сценария от практиката ни през последните 18 месеца, всеки с фактите, решенията и резултата.

Сценарий 1: Болница, ransomware в електронното здравно досие

Факти: Регионална общинска болница, около 400 легла, ransomware шифровал електронното здравно досие в 02:14 ч. в неделя. SOC екипът засякъл в 03:50 ч. Решения: Инцидентът е значителен (нарушаване на основна услуга в здравеопазването). Болницата е съществен субект (Анекс 1, здравеопазване). Уведомление до националния CSIRT и паралелно до КЗЛД (доколкото пациентски данни са засегнати). 24-часовото уведомление е изпратено в 19:30 ч. в неделя - 17 часа след узнаване. Резултат: Срокът е спазен. CSIRT е изпратил координационна група за съдействие. Финалният доклад е завършен в рамките на 24 дни. Без санкция.

Сценарий 2: SaaS доставчик, неоторизиран достъп до клиентска база

Факти: Бизнес SaaS със 180 корпоративни клиенти, открит неоторизиран достъп до клиентската база чрез компрометирани идентификационни данни на служител. Засегнати около 320 крайни потребители. Решения: Значителен инцидент (над 100 субекта засегнати лични данни). Дружеството е важен субект (Анекс 2, цифрови услуги). Уведомление до националния CSIRT и едновременно до КЗЛД по чл. 33 от GDPR. Подадено в 21 час от узнаване. Резултат: Срокът е спазен. КЗЛД е поискала допълнителна информация в рамките на 72-часовия документ. Без санкция, но компанията е получила препоръка за подсилване на MFA на администраторски акаунти.

Сценарий 3: Производствена компания, BEC с превод от 218 000 лв.

Факти: Семейна производствена фирма с 240 служители, оборот 64 млн. лв. Атакуващ компрометира мейла на финансовия директор, изпраща инструкции до счетоводството за извънреден превод към „нов доставчик". Преводът е извършен; банката е спряла последваща транзакция след сигнал от вътрешен одит. Решения: Дружеството е важен субект (Анекс 2, производство). Значителен инцидент (финансова щета над 50 000 лв.). Уведомление до националния CSIRT. Подадено в 13 ч. от узнаване, защото юристите спорят дали е „технически инцидент" (отговорът: да, компроментиране на пощенска система е). Резултат: Срокът е спазен. Финансовият директор е сменен. Компанията е въвела режим на двойно потвърждение за преводи над 25 000 лв.

Сценарий 4: Община, DDoS атака срещу публичен портал

Факти: Областен град, около 90 хил. жители. Публичният портал за заявяване на услуги е недостъпен 4 часа 20 минути след координирана DDoS атака. Решения: Общините винаги са в обхвата (винаги-в-обхвата изключение). Над 4-часов срив на критична услуга = значителен инцидент. Уведомление до националния CSIRT. Подадено в 11 ч. от възстановяване на услугата. Резултат: Срокът е спазен. CSIRT е предоставил координация с интернет доставчика за блокиране на трафика на upstream ниво. Финалният доклад описва дългосрочни мерки (CDN с DDoS защита, активиране на резервни AS).

Сценарий 5: Логистична фирма, фишинг блокиран от EDR

Факти: Логистична компания, 320 служители. Фишинг кампания към 27 служители; един е кликнал на връзката; EDR е блокирал зловредния код преди изпълнение. Без хоризонтално движение, без компромет. Решения: Не е значителен инцидент - L2 в нашата терминология. Координаторът написа писмена обосновка „не значителен" (две параграфа, подписано от CISO), вписа в инцидентния регистър, и не подаде уведомление. Резултат: Правилно решение. Шест месеца по-късно при одит на МЕУ обосновката е била приета без последствия.

Как Atlant Security помага

Готов протокол за докладване на инциденти за вашата компания

Координирали сме 27 киберинцидента за български клиенти през последните 18 месеца. Знаем кои са правилните формулировки за всеки секторен регулатор, как се избягват най-честите грешки в първите часове, и как се изгражда защитимият писмен следотпечатък. Можем да подготвим протокола ви за докладване, да обучим дежурния екип, и да служим като координатор „на повикване" при реален инцидент.

  • Готов 24-часов и 72-часов шаблон на уведомление, попълнен с фирмени данни за всеки секторен регулатор
  • Двучасово обучение на дежурния екип върху прагове, роли и срокове
  • Подготвен инцидентен план с интеграция към GDPR (КЗЛД) и DORA (БНБ) режимите
  • 24/7 координация „на повикване" за първите 72 часа на реален инцидент - от 4 000 лв. абонамент
  • Тримесечно учебно учение (tabletop exercise) с пълно документирано протоколиране
  • Първоначална консултация безплатна за компании в обхвата на закона

Запазете консултация →

Често задавани въпроси

Въпроси, които получаваме преди първия инцидент

От кога точно тече 24-часовият срок?

От момента на узнаване на инцидента, не от началото му. „Узнаване" означава първоначална обоснована преценка на отговорното лице (CISO, дежурен IT, SOC), че събитие действително е настъпило и потенциално е значително. Не от часа на първия алерт от системата, ако алертът не е верифициран. Не от часа на първия имейл от служител, ако подозрението не е потвърдено. От момента на обоснована човешка преценка. Този момент трябва да бъде документиран в инцидентния журнал.

Какво ако не сме сигурни дали инцидентът е значителен?

Правилото на практика: при съмнение - докладвайте. По-добра е една ненужна нотификация, отколкото една пропусната задължителна. Регулаторите имат механизъм да закрият като „не подлежащ на пълно докладване" уведомление, което се окаже под прага. Обратният случай - пропуснат срок, защото сте чакали яснота - е тежко нарушение. Но не злоупотребявайте: системно подаване на не-значителни събития създава репутационна история, която намалява тежестта на бъдещите ви уведомления.

Кой подава уведомлението - юристът, CEO, CISO?

Координира го CISO или DPO. Подписва го CEO (или законен представител на дружеството). Юристът преглежда формулировките преди подаването. На практика техническото изпращане е работа на CISO/DPO след одобрение от CEO. Не делегирайте подписа на финансовия директор или IT мениджъра - санкцията при невярно или непълно уведомление пада върху подписалото лице, а законът изрично възлага отговорността на ръководния орган.

Какво ако в първите 24 часа все още не знаем нищо?

Пак подавате уведомление. Минималното съдържание (име на дружество, факт на инцидент, време на узнаване, заявление за продължаване) е достатъчно. В уведомлението изрично пишете „първоначална оценка - не е възможна към момента; ще бъде допълнена в 72-часовия документ". Това е приемливо и предвидено от регулатора. Не подаването, защото не знаете нищо - не е приемливо.

Трябва ли да уведомим клиентите едновременно с регулатора?

Зависи. Задължителното уведомление на крайните потребители при пробив на лични данни (по GDPR чл. 34) се прави „без неоправдано забавяне". На практика - в рамките на 72-часовия документ или непосредствено след него. Уведомлението до бизнес клиентите често се прави преди регулатора - те имат собствени договорни SLA-та и юридически отдели, които ще искат бърза информация. Правилният подход: подгответе клиентското съобщение в час 16-20 на инцидента, изпратете го между час 24 и 48, едновременно или преди 72-часовия документ до регулатора.

Какво се случва след подаване на финалния доклад?

Компетентният орган преглежда доклада, може да поиска допълнителна информация в рамките на 30 дни, и решава дали инцидентът подлежи на по-задълбочена проверка или дали мерките са достатъчни. В голяма част от случаите процедурата приключва с приемане на финалния доклад без последствия. Когато органът установи системни пропуски (липса на минимални мерки, повторни инциденти, неподготвен персонал), започва административно-наказателна процедура със заповед за глоба или предписание. Финалният доклад е и основният ваш документ за защита в тази процедура.

Ако четете тази публикация без активен инцидент, имате най-ценното - време. Един час сега, прекаран в попълване на шаблон с фирмени данни и в определяне на координатора, ще спести 6 до 10 часа при реален инцидент. Това е разликата между „спазен срок без санкция" и „пропуснат срок с глоба от стотици хиляди левове".

Ако четете публикацията с активен инцидент - не четете до края. Назначете координатор, започнете изолацията, отворете шаблона ако имате, попълнете това, което знаете, и изпратете уведомлението до съответния орган в рамките на първите 18 часа. Останалото време оставете за вътрешно одобрение и подобряване. Изпратеното непълно уведомление в срок винаги печели срещу пълно уведомление след срока.

Имате нужда от готов протокол за докладване или координация при активен инцидент? Запазете консултация или пишете директно на alexander@atlantsecurity.com.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.