আপনার প্রতিষ্ঠান অস্বাভাবিক নেটওয়ার্ক কার্যকলাপ শনাক্ত করে। আপনার আইটি টিম তদন্ত করে গ্রাহকের ডেটাতে অননুমোদিত অ্যাক্সেস খুঁজে বের করে। আপনি হুমকিটি নিয়ন্ত্রণ করেন। এখন জরুরি প্রশ্ন আসে: আপনার কি কর্তৃপক্ষের কাছে এটি রিপোর্ট করা উচিত? ঠিক কাকে? আপনি কী তথ্য প্রদান করেন? আপনার কাছে কত সময় আছে?
NIS2 এবং ডাচ আইনের অধীনে, অনেক প্রতিষ্ঠানকে কঠোর সময়সীমার মধ্যে সরকারী কর্তৃপক্ষের কাছে সাইবার নিরাপত্তার ঘটনা রিপোর্ট করতে হয়। সনাক্তকরণের পর সাধারণত আপনার কাছে 24 থেকে 72 ঘন্টা সময় থাকে। নিয়মাবলীতে কোন কর্তৃপক্ষ আপনার প্রতিবেদন গ্রহণ করবে, আপনাকে কোন তথ্য প্রদান করতে হবে এবং ফর্ম্যাটের প্রয়োজনীয়তাগুলি নির্দিষ্ট করা হয়েছে। সময়সীমা মিস করলে বা ভুল সংস্থার কাছে রিপোর্ট করলে, আপনি যথেষ্ট জরিমানা, প্রয়োগমূলক পদক্ষেপ এবং আইনি দায়বদ্ধতার সম্মুখীন হবেন যা প্রাথমিক ঘটনার বাইরেও প্রসারিত হতে পারে।
এই নির্দেশিকাটি আপনাকে আপনার প্রতিবেদনের দায়িত্বগুলি সঠিকভাবে কীভাবে পালন করতে হবে তা দেখায়। আপনি শিখবেন যে আপনার প্রতিষ্ঠানের ক্ষেত্রে কোন আইন প্রযোজ্য, কখন কোনও ঘটনার প্রতিবেদন করার প্রয়োজন হয়, প্রতিটি পর্যায়ে কোন কর্তৃপক্ষকে অবহিত করতে হবে, প্রতিটি প্রতিবেদনে কী তথ্য প্রয়োজন এবং কীভাবে বাস্তবে কার্যকর পদ্ধতি তৈরি করতে হবে। আমরা আইনি পরিভাষা এড়িয়ে যাব এবং আপনার প্রতিষ্ঠানকে সুরক্ষিত রাখতে এবং সম্মতি বজায় রাখার জন্য এখনই আপনি যে ব্যবহারিক পদক্ষেপগুলি নিতে পারেন তার উপর ফোকাস করব।
আপনার সাইবার নিরাপত্তা ঘটনা রিপোর্ট করার দায়িত্বগুলি কী কী?
আপনার সাইবার নিরাপত্তা সংক্রান্ত ঘটনা রিপোর্ট করার দায়িত্ব আপনার প্রতিষ্ঠানের আকার, সেক্টর এবং আপনার প্রদত্ত পরিষেবার উপর নির্ভর করে। অপরিহার্য সত্তা (শক্তি, পরিবহন, ব্যাংকিং, স্বাস্থ্যসেবা, গুরুত্বপূর্ণ অবকাঠামো) এবং গুরুত্বপূর্ণ সত্তা (ডাক পরিষেবা, বর্জ্য ব্যবস্থাপনা, ডিজিটাল সরবরাহকারী, খাদ্য উৎপাদন) NIS2 এর অধীনে বাধ্যতামূলক প্রতিবেদনের সম্মুখীন হতে হবে। আপনি যদি ডাচ গ্রাহকদের জন্য গুরুত্বপূর্ণ অবকাঠামো বা ডিজিটাল পরিষেবা পরিচালনা করেন, তাহলে আপনি প্রায় নিশ্চিতভাবেই এই নিয়মগুলির আওতায় পড়বেন।
তিনটি রিপোর্টিং পর্যায় যা আপনাকে অবশ্যই সম্পন্ন করতে হবে
তুমি মুখোমুখি তিনটি পৃথক প্রতিবেদনের বাধ্যবাধকতা বিভিন্ন সময়সীমা সহ। আপনার প্রথম কর্তব্য শুরু হয় ২৪ ঘন্টা সনাক্তকরণ একটি উল্লেখযোগ্য ঘটনা: আপনি আপনার CSIRT (কম্পিউটার সিকিউরিটি ইনসিডেন্ট রেসপন্স টিম) অথবা উপযুক্ত কর্তৃপক্ষের কাছে একটি আগাম সতর্কতা জমা দেন। এই প্রাথমিক বিজ্ঞপ্তিটি ঘটনাটিকে চিহ্নিত করে এবং নির্দেশ করে যে আপনি দূষিত কার্যকলাপ বা সীমান্ত পারস্পরিক প্রভাব সন্দেহ করছেন কিনা।
মধ্যে 72 ঘণ্টা, আপনি আপনার ঘটনার বিজ্ঞপ্তি জমা দিন। এই প্রতিবেদনে আপনার তীব্রতা, প্রভাব, প্রভাবিত সিস্টেম এবং আপসের উপলব্ধ সূচকগুলির প্রাথমিক মূল্যায়ন অন্তর্ভুক্ত রয়েছে। আপনি প্রযুক্তিগত বিবরণ প্রদান করেন যা কর্তৃপক্ষকে লঙ্ঘনের পরিধি এবং প্রকৃতি বুঝতে সহায়তা করে।
যেসব প্রতিষ্ঠান এই সময়সীমা মিস করবে তাদের NIS2 এর অধীনে €10 মিলিয়ন বা বিশ্বব্যাপী বার্ষিক টার্নওভারের 2%, যেটি বেশি হবে, জরিমানা করা হবে।
তোমার চূড়ান্ত প্রতিবেদন এসে গেছে। এক মাসের মধ্যে আপনার ঘটনার বিজ্ঞপ্তি। এই বিস্তৃত নথিতে ঘটনার সম্পূর্ণ পরিধি, মূল কারণ বিশ্লেষণ, আপনার দ্বারা বাস্তবায়িত প্রশমন ব্যবস্থা এবং আন্তঃসীমান্ত প্রভাবের বিশদ বিবরণ রয়েছে। যদি আপনি মাস শেষ হওয়ার পরেও ঘটনাটি পরিচালনা করেন, তাহলে আপনাকে একটি অগ্রগতি প্রতিবেদন জমা দিতে হবে এবং তারপর সমাধানের এক মাসের মধ্যে একটি চূড়ান্ত প্রতিবেদন জমা দিতে হবে।
প্রাথমিক প্রতিবেদনের বাইরে অতিরিক্ত দায়িত্ব
আপনাকেও করতে হবে ক্ষতিগ্রস্ত পক্ষগুলিকে অবহিত করা যখন কোনও গুরুত্বপূর্ণ ঘটনা পরিষেবা প্রাপকদের প্রভাবিত করে। এই বিজ্ঞপ্তিটি অযথা বিলম্ব ছাড়াই প্রকাশিত হয় এবং এতে প্রাপকরা নিজেদের সুরক্ষার জন্য যে বাস্তব পদক্ষেপ নিতে পারেন তা অন্তর্ভুক্ত রয়েছে। বিশ্বস্ত পরিষেবা প্রদানকারীরা বিশেষ করে, ট্রাস্ট পরিষেবাগুলিকে প্রভাবিত করে এমন ঘটনার জন্য ৭২ ঘন্টার সময়সীমা কমিয়ে ২৪ ঘন্টা করা হয়।
আপনার CSIRT অথবা উপযুক্ত কর্তৃপক্ষ আপনার পূর্ব সতর্কীকরণ পাওয়ার 24 ঘন্টার মধ্যে প্রতিক্রিয়া জানায়, প্রাথমিক প্রতিক্রিয়া এবং প্রশমন ব্যবস্থা সম্পর্কে কার্যকরী নির্দেশিকা প্রদান করে।
ধাপ ১. আপনার ক্ষেত্রে কোন ইইউ এবং ডাচ আইন প্রযোজ্য তা চিহ্নিত করুন।
তোমাকে নির্ধারণ করতে হবে কোনটি নিয়ন্ত্রক কাঠামো কোনও ঘটনা ঘটার আগে আপনার সাইবার নিরাপত্তার ঘটনা রিপোর্ট করার দায়িত্বগুলি পরিচালনা করুন। NIS2 (নেটওয়ার্ক এবং তথ্য নিরাপত্তা নির্দেশিকা) নেদারল্যান্ডস জুড়ে বিস্তৃতভাবে প্রযোজ্য, কিন্তু Dora (ডিজিটাল অপারেশনাল রেজিলিয়েন্স অ্যাক্ট) এবং নির্দিষ্ট ডাচ বাস্তবায়ন নিয়ম নির্দিষ্ট কিছু ক্ষেত্রের জন্য অতিরিক্ত বাধ্যবাধকতা তৈরি করুন। প্রতিটি কাঠামোর মানদণ্ডের সাথে আপনার প্রতিষ্ঠানের মূল্যায়ন করে শুরু করুন।
আপনার প্রতিষ্ঠানের জন্য NIS2 প্রযোজ্য কিনা তা পরীক্ষা করুন।
আপনি যদি একজন হিসেবে যোগ্য হন তাহলে NIS2 প্রযোজ্য হবে অপরিহার্য সত্তা or গুরুত্বপূর্ণ সত্তা। অপরিহার্য সত্তাগুলির মধ্যে রয়েছে জ্বালানি, পরিবহন, ব্যাংকিং, আর্থিক বাজারের অবকাঠামো, স্বাস্থ্য, পানীয় জল, বর্জ্য জল, ডিজিটাল অবকাঠামো, জনপ্রশাসন এবং স্থান সংক্রান্ত সংস্থাগুলি। গুরুত্বপূর্ণ সত্তাগুলির মধ্যে রয়েছে ডাক পরিষেবা, বর্জ্য ব্যবস্থাপনা, রাসায়নিক, খাদ্য উৎপাদন, উৎপাদন, ডিজিটাল সরবরাহকারী এবং গবেষণা সংস্থাগুলি।
আপনার প্রতিষ্ঠানের আকার শুধুমাত্র এর জন্য গুরুত্বপূর্ণ ডিজিটাল সেবা প্রদানকারী (ডিএসপি)। আপনি যদি কমপক্ষে একটি অনলাইন মার্কেটপ্লেস, ক্লাউড পরিষেবা, অথবা সার্চ ইঞ্জিন পরিচালনা করেন, তাহলে আপনি ডিএসপি হিসেবে NIS2 এর আওতায় আসবেন 50 কর্মচারী এবং যেভাবেই বার্ষিক টার্নওভারে €১০ মিলিয়ন or মোট সম্পদের পরিমাণ €১০ মিলিয়ন। অন্যান্য সকল অপরিহার্য এবং গুরুত্বপূর্ণ সত্তার আকার নির্বিশেষে বাধ্যবাধকতা রয়েছে।
আপনি যদি গুরুত্বপূর্ণ অবকাঠামো পরিচালনা করেন অথবা পূর্বে পুরাতন NIS নির্দেশিকা (Wbni) এর অধীনে মনোনীত হন, তাহলে আপনি স্বয়ংক্রিয়ভাবে NIS2 এর অধীনে যোগ্যতা অর্জন করবেন।
ডাচ সরকার মনোনীত সত্তার একটি রেজিস্ট্রি বজায় রাখে। আপনার অবস্থা নিশ্চিত করতে আপনার সেক্টরের উপযুক্ত কর্তৃপক্ষের সাথে যোগাযোগ করুন (RDI-তে জ্বালানি ও ডিজিটাল অবকাঠামো প্রতিবেদন; AFM এবং DNB-তে আর্থিক পরিষেবা; IGJ-তে স্বাস্থ্যসেবা)। আপনার এটি যাচাই করা উচিত। জানুয়ারী আগে 2026 যখন বর্ধিত প্রয়োগ শুরু হয়।
DORA আপনার আর্থিক পরিষেবাগুলি কভার করে কিনা তা নির্ধারণ করুন
DORA আলাদাভাবে প্রযোজ্য আর্থিক প্রতিষ্ঠান এবং আইসিটি পরিষেবা প্রদানকারীরা তাদের সেবা প্রদান করা। আপনি যদি ক্রেডিট প্রতিষ্ঠান, পেমেন্ট পরিষেবা প্রদানকারী, বীমা কোম্পানি, বিনিয়োগ সংস্থা, ক্রিপ্টো-সম্পদ পরিষেবা প্রদানকারী, অথবা ইলেকট্রনিক অর্থ প্রতিষ্ঠান হিসেবে কাজ করেন তবে আপনি DORA-এর আওতায় পড়বেন। এই নিয়ন্ত্রণটি NIS2-এর সমান্তরালে চলে যার নিজস্ব রিপোর্টিং প্রয়োজনীয়তা.
আর্থিক পরিষেবা প্রদানকারীরা উভয়কেই গুরুত্বপূর্ণ ঘটনাগুলি রিপোর্ট করে আ ফ ম (AFM পোর্টালের মাধ্যমে) এবং DNB (আমার ডিএনবি এর মাধ্যমে) আরডিআই ছাড়াও। আপনাকে অবশ্যই সকল নিবন্ধন করতে হবে সাথে চুক্তিবদ্ধ চুক্তি আইসিটি তৃতীয় পক্ষ নির্দিষ্ট সময়সীমার মধ্যে এই পোর্টালগুলির মাধ্যমে গুরুত্বপূর্ণ বা গুরুত্বপূর্ণ কার্যাবলীর জন্য।
আপনার ডিজিটাল পরিষেবা প্রদানকারীর বাধ্যবাধকতা মূল্যায়ন করুন
ডব্লিউবিএনআই (ডাচ বাস্তবায়ন) যদি আপনি নির্দিষ্ট দায়িত্ব পালন করেন অনলাইন মার্কেটপ্লেস, ক্লাউড কম্পিউটিং, অথবা সার্চ ইঞ্জিন। তুমি উভয়কেই ঘটনাগুলি রিপোর্ট করো RDI এবং সিএসআইআরটি-ডিএসপি (ডিজিটাল সরবরাহকারীদের জন্য বিশেষায়িত ঘটনা প্রতিক্রিয়া দল)। অন্যান্য খাতের অপরিহার্য সত্তার বিপরীতে, আপনার আকারের সীমা নির্ধারণ করা হয়েছে: ৫০+ কর্মচারী এবং €১০ মিলিয়ন+ টার্নওভার বা সম্পদ।
আস্থার মুখোমুখি পরিষেবা প্রদানকারীরা ত্বরিত সময়সীমা eIDAS নিয়মের অধীনে। আপনাকে অবশ্যই ট্রাস্ট পরিষেবাগুলিকে প্রভাবিত করে এমন উল্লেখযোগ্য ঘটনাগুলি রিপোর্ট করতে হবে 24 ঘণ্টা অন্যান্য সত্তার ক্ষেত্রে প্রযোজ্য স্ট্যান্ডার্ড ৭২-ঘন্টা সময়সীমার পরিবর্তে।
ধাপ ২. কখন কোন ঘটনা রিপোর্ট করা যাবে তা নির্ধারণ করুন।
কোনও ঘটনা রিপোর্টিং থ্রেশহোল্ড অতিক্রম করে কিনা তা নির্ধারণের জন্য আপনার সুনির্দিষ্ট মানদণ্ডের প্রয়োজন। আইন সংজ্ঞায়িত করে উল্লেখযোগ্য ঘটনা কারণ এগুলো গুরুতর অপারেশনাল ব্যাঘাত, আর্থিক ক্ষতি, অথবা অন্যদের যথেষ্ট ক্ষতির কারণ। আপনার সাইবার নিরাপত্তা ঘটনা রিপোর্টিং কর্তব্য শুরু হয় যখন আপনি এই মানদণ্ড পূরণকারী কোনও ঘটনা সনাক্ত করেন, তদন্ত শেষ করার পরে নয়। এর অর্থ হল আপনাকে দ্রুত রিপোর্টিং সিদ্ধান্ত নিতে হবে, প্রায়শই অসম্পূর্ণ তথ্য সহ।
আপনার প্রতিষ্ঠানের জন্য তীব্রতার সীমা নির্ধারণ করুন
একটি ঘটনা তখনই তাৎপর্যপূর্ণ বলে বিবেচিত হয় যখন তা আপনার মূল পরিষেবাগুলিকে ব্যাহত করে অথবা সৃষ্টি করে উল্লেখযোগ্য আর্থিক প্রভাব। NIS2 দুটি প্রধান বিভাগ প্রদান করে: এমন ঘটনা যা আপনার কার্যক্রমকে মারাত্মকভাবে ব্যাহত করে বা আর্থিক ক্ষতির কারণ হয়, এবং এমন ঘটনা যা অন্যান্য পক্ষকে উল্লেখযোগ্য বস্তুগত বা অ-বস্তুগত ক্ষতির কারণ করে প্রভাবিত করে। যখনই কোনও বিভাগ প্রযোজ্য হয় তখন আপনি রিপোর্ট করেন।
অপারেশনাল ব্যাঘাতের অর্থ হল আপনি গ্রাহকদের পরিষেবা প্রদান করতে পারবেন না, গুরুত্বপূর্ণ সিস্টেমগুলি ব্যর্থ হয়, অথবা আপনি প্রয়োজনীয় ডেটাতে অ্যাক্সেস হারান। আর্থিক ক্ষতির মধ্যে মুক্তিপণ প্রদান, পুনরুদ্ধার ব্যয়, হারানো রাজস্ব, বা নিয়ন্ত্রক জরিমানার মতো সরাসরি খরচ অন্তর্ভুক্ত। আইনে সঠিক ইউরো থ্রেশহোল্ড নির্দিষ্ট করা হয়নি, তাই আপনি আপনার প্রতিষ্ঠানের আকার এবং ঘটনার আপেক্ষিক প্রভাবের উপর ভিত্তি করে মূল্যায়ন করেন।
কোনও ঘটনা ঘটার আগে আপনার অভ্যন্তরীণ সীমানাগুলি নথিভুক্ত করুন। এটি সিদ্ধান্তগুলি রিপোর্ট করার ক্ষেত্রে ধারাবাহিকতা তৈরি করে এবং কর্তৃপক্ষ পরে আপনার রায় নিয়ে প্রশ্ন তুললে সদিচ্ছার সাথে সম্মতি প্রদর্শন করে।
তাৎপর্য মূল্যায়ন করার সময় এই সূচকগুলি বিবেচনা করুন:
- পরিষেবা উপলব্ধতা: গ্রাহকরা কি আপনার পরিষেবাগুলি পেতে পারেন? কতদিন ধরে সিস্টেমগুলি বন্ধ রয়েছে?
- তথ্য অখণ্ডতা: অননুমোদিত অ্যাক্সেস কি ঘটেছে? কোন কোন ডেটা বিভাগ প্রভাবিত হয়েছে?
- ভৌগলিক সুযোগ: ঘটনাটি কি একাধিক স্থান বা দেশকে প্রভাবিত করে?
- গ্রাহক প্রভাব: কতজন ব্যবহারকারী বা প্রাপক পরিষেবা ব্যাহত হওয়ার সম্মুখীন হন?
- পুনরুদ্ধারের সময়: তুমি কি ঘন্টা, দিন, অথবা সপ্তাহের মধ্যে সমাধান আশা করো?
আন্তঃসীমান্ত এবং ক্যাসকেডিং প্রভাব মূল্যায়ন করুন
আপনাকে অবশ্যই ঘটনাগুলি রিপোর্ট করতে হবে সম্ভাব্য আন্তঃসীমান্ত প্রভাব এমনকি যখন গার্হস্থ্য প্রভাবগুলি তুচ্ছ বলে মনে হয়। আপনার ডাচ কার্যক্রমকে প্রভাবিত করে এমন একটি ঘটনা গ্রাহক, অংশীদার, অথবা সরবারহ শৃঙ্খল অন্যান্য ইইউ সদস্য রাষ্ট্রগুলিতে। এটি রিপোর্টিং বাধ্যবাধকতাকে ট্রিগার করে কারণ কর্তৃপক্ষ সীমান্ত জুড়ে প্রতিক্রিয়া সমন্বয় করে।
ক্যাসকেডিং প্রভাব সমানভাবে গুরুত্বপূর্ণ। আপনার ঘটনাটি তখনই রিপোর্টযোগ্য হয়ে ওঠে যখন এটি অন্যান্য প্রয়োজনীয় বা গুরুত্বপূর্ণ সত্তাগুলিকে আপনার প্রদত্ত পরিষেবাগুলিকে ব্যাহত করে, যার সরাসরি প্রভাব শেষ ব্যবহারকারীদের উপর পড়ুক না কেন। উদাহরণস্বরূপ, যদি আপনি কোনও হাসপাতালে ক্লাউড পরিষেবা সরবরাহ করেন এবং আপনার সুরক্ষা লঙ্ঘন তাদের রোগীর সিস্টেমকে প্রভাবিত করে, তাহলে আপনি কেবল আপনার নিজের ক্ষতির উপর নয়, তাদের অপারেশনাল প্রভাবের উপর ভিত্তি করে রিপোর্ট করবেন।
আস্থার মুখোমুখি পরিষেবা প্রদানকারীরা কঠোর সীমা। ট্রাস্ট পরিষেবা (ডিজিটাল স্বাক্ষর, সার্টিফিকেট, টাইমস্ট্যাম্প) প্রদানকে প্রভাবিত করে এমন যেকোনো ঘটনা ২৪ ঘন্টার মধ্যে তাৎক্ষণিকভাবে রিপোর্ট করতে হবে। প্রভাবটি সাধারণ তাৎপর্যের মানদণ্ড পূরণ করে কিনা তা মূল্যায়ন করার জন্য আপনাকে অপেক্ষা করতে হবে না।
ধাপ ৩. আপনার ঘটনা রিপোর্টিং পদ্ধতি তৈরি করুন।
আপনার এমন নথিভুক্ত পদ্ধতির প্রয়োজন যা নির্দিষ্ট করে যে কোনও ঘটনার সময় কে কী, কখন এবং কীভাবে করে। আপনার ঘটনা প্রতিক্রিয়া পরিকল্পনা আপনার দল যখন কোনও উল্লেখযোগ্য ঘটনা শনাক্ত করে তখন স্বয়ংক্রিয়ভাবে সক্রিয় হয়ে ওঠা স্পষ্ট প্রতিবেদন কর্মপ্রবাহ অন্তর্ভুক্ত করতে হবে। এই পদ্ধতিগুলি আপনার সাইবার নিরাপত্তা ঘটনা প্রতিবেদন করার দায়িত্বগুলিকে বিমূর্ত আইনি প্রয়োজনীয়তা থেকে বাস্তব পদক্ষেপে রূপান্তরিত করে যা আপনার কর্মীরা চাপের মধ্যে সম্পাদন করতে পারেন।
আপনার ঘটনার শ্রেণীবিভাগ ম্যাট্রিক্স তৈরি করুন
আপনার শ্রেণীবিভাগ ম্যাট্রিক্স সাহায্য করে ঘটনার প্রতিক্রিয়াকারীরা সনাক্তকরণের কয়েক মিনিটের মধ্যেই রিপোর্টিং প্রয়োজনীয়তা নির্ধারণ করুন। রিপোর্টিং বাধ্যবাধকতা, সময়সীমা এবং গ্রহীতা কর্তৃপক্ষের সাথে ঘটনার ধরণ এবং তীব্রতার স্তরের মানচিত্র তৈরি করুন। এটি অনুমান দূর করে এবং আপনার প্রতিষ্ঠান জুড়ে সামঞ্জস্যপূর্ণ সিদ্ধান্ত নিশ্চিত করে।
| ঘটনার ধরন | নির্দয়তা | রিপোর্ট করুন | প্রাথমিক সময়সীমা | ঘটনার বিজ্ঞপ্তি |
|---|---|---|---|---|
| গ্রাহকের তথ্যে অননুমোদিত প্রবেশাধিকার | উচ্চ | আরডিআই + সিএসআইআরটি | 24 ঘণ্টা | 72 ঘণ্টা |
| মূল সিস্টেমগুলিকে প্রভাবিত করছে র্যানসমওয়্যার | সংকটপূর্ণ | আরডিআই + সিএসআইআরটি + এনসিএসসি | 24 ঘণ্টা | 72 ঘণ্টা |
| DDoS জনসেবা ব্যাহত করছে | উচ্চ | আরডিআই + সিএসআইআরটি | 24 ঘণ্টা | 72 ঘণ্টা |
| ট্রাস্ট সার্ভিস আপস (যদি প্রযোজ্য হয়) | সংকটপূর্ণ | আরডিআই + সিএসআইআরটি | 24 ঘণ্টা | 24 ঘণ্টা |
| আর্থিক পরিষেবা ঘটনা (DORA) | উচ্চ | আরডিআই + এএফএম + ডিএনবি | 24 ঘণ্টা | 72 ঘণ্টা |
এই ম্যাট্রিক্সটি যখনই আপডেট করুন নিয়ম পরিবর্তন অথবা আপনার প্রতিষ্ঠান নতুন পরিষেবা যোগ করে। ফাঁক বা বিভ্রান্তির বিষয়গুলি সনাক্ত করতে বাস্তবসম্মত পরিস্থিতি ব্যবহার করে ত্রৈমাসিকভাবে এটি পরীক্ষা করুন।
আপনার বিজ্ঞপ্তি কর্মপ্রবাহ ডিজাইন করুন
আপনার কর্মপ্রবাহে অবশ্যই উল্লেখ করতে হবে যে সঠিক ক্রম ঘটনা সনাক্তকরণ থেকে শুরু করে চূড়ান্ত প্রতিবেদনের মাধ্যমে কর্মকাণ্ডের তালিকা। কে রিপোর্টিং শুরু করে, কে বিজ্ঞপ্তি পর্যালোচনা করে এবং অনুমোদন করে, কে সেগুলি জমা দেয় এবং কে কর্তৃপক্ষের সাথে যোগাযোগ বজায় রাখে তা নথিভুক্ত করুন। অনুপস্থিতি কভার করার জন্য প্রতিটি ভূমিকার জন্য ব্যাকআপ কর্মীদের নিয়োগ করুন।
আপনার কর্মপ্রবাহ ধরে নেওয়া উচিত যে কর্মঘণ্টার বাইরে এমন ঘটনা ঘটে যখন ঊর্ধ্বতন ব্যবস্থাপনা তাৎক্ষণিকভাবে উপস্থিত নাও হতে পারে। বিলম্ব রোধে অনুমোদনের ব্যবস্থা তৈরি করুন।
একটা তৈরি কর চেকলিস্ট ফর্ম্যাট আপনার দল নিম্নলিখিতগুলি অনুসরণ করে:
- ঘটনা শনাক্ত: নিরাপত্তা দলের প্রধান ২ ঘন্টার মধ্যে শ্রেণিবিন্যাস ম্যাট্রিক্সের বিরুদ্ধে মূল্যায়ন করেছেন
- রিপোর্টযোগ্য ঘটনা নিশ্চিত: সিআইএসওকে তাৎক্ষণিকভাবে অবহিত করা হয়েছে, আগাম সতর্কতার প্রস্তুতি শুরু করা হয়েছে
- পূর্ব সতর্কতার খসড়া: ঘটনার ধরণ, সনাক্তকরণের সময়, সন্দেহজনক কারণ, সম্ভাব্য আন্তঃসীমান্ত প্রভাব অন্তর্ভুক্ত করুন
- আইনি পর্যালোচনা: আইনি পরামর্শদাতা ৪ ঘন্টার মধ্যে খসড়াটি সঠিকতা এবং সম্পূর্ণতার জন্য পর্যালোচনা করেন।
- জমা: সিআইএসও অথবা প্রতিনিধি ২৪ ঘন্টার মধ্যে অফিসিয়াল পোর্টালের মাধ্যমে জমা দেবেন।
- কর্তৃপক্ষের প্রতিক্রিয়া: নিরাপত্তা দল ২৪ ঘন্টার মধ্যে প্রাপ্ত নির্দেশিকা বাস্তবায়ন করে
- ঘটনা বিজ্ঞপ্তি: কারিগরি দল ৬০ ঘন্টার মধ্যে বিস্তারিত মূল্যায়ন প্রস্তুত করে
- চূড়ান্ত জমা: ৭২ ঘন্টার সময়সীমার আগে সম্পূর্ণ নথিপত্র জমা দেওয়া।
প্রতিটি পর্যায়ের জন্য রিপোর্ট টেমপ্লেট প্রস্তুত করুন
টেমপ্লেটগুলি নিশ্চিত করে যে আপনার প্রতিবেদনে সমস্ত প্রয়োজনীয় তথ্য থাকে প্রস্তুতির সময় কমিয়ে আনুন। আপনার পূর্ব সতর্কতা, ঘটনা বিজ্ঞপ্তি এবং চূড়ান্ত প্রতিবেদনের জন্য পৃথক টেমপ্লেট তৈরি করুন যাতে NIS2 এবং ডাচ কর্তৃপক্ষ দ্বারা নির্দিষ্ট সমস্ত বাধ্যতামূলক ক্ষেত্র অন্তর্ভুক্ত থাকে।
আপনার পূর্ব সতর্কীকরণ টেমপ্লেটের প্রয়োজনীয়তা: সনাক্তকরণ টাইমস্ট্যাম্প, ঘটনার বিভাগ, প্রভাবিত সিস্টেমের সারাংশ, সন্দেহজনক দূষিত কার্যকলাপ নির্দেশক (হ্যাঁ/না), আন্তঃসীমান্ত প্রভাব নির্দেশক (হ্যাঁ/না), প্রাথমিক যোগাযোগের তথ্য। আপনার ঘটনার বিজ্ঞপ্তিতে আরও যোগ করা হয়েছে: তীব্রতা মূল্যায়ন, প্রভাবের সুযোগ, প্রভাবিত ব্যবহারকারীর সংখ্যা, আপসের সূচক, নেওয়া প্রাথমিক প্রশমন পদক্ষেপ। চূড়ান্ত প্রতিবেদনের মধ্যে রয়েছে: সম্পূর্ণ ঘটনার সময়রেখা, মূল কারণ বিশ্লেষণ, সম্পূর্ণ প্রভাব মূল্যায়ন, বাস্তবায়িত নিরাপত্তা ব্যবস্থা, শেখা পাঠ, প্রতিরোধমূলক সুপারিশ।
এই টেমপ্লেটগুলি সংরক্ষণ করুন পূরণযোগ্য ফর্ম আপনার দল তাৎক্ষণিকভাবে অ্যাক্সেস করতে পারবে। সিস্টেম বিভ্রাটের সময় প্রাপ্যতা নিশ্চিত করতে এগুলি আপনার ঘটনা প্রতিক্রিয়া প্ল্যাটফর্ম, নিরাপত্তা উইকি এবং অফলাইন ব্যাকআপে সংরক্ষণ করুন।
ধাপ ৪. প্রশিক্ষণ এবং শাসনব্যবস্থায় প্রতিবেদন অন্তর্ভুক্ত করুন।
আপনার রিপোর্টিং পদ্ধতি কর্মীরা যদি তাদের ভূমিকা বুঝতে না পারে অথবা যদি প্রশাসনিক কাঠামো দ্রুত সিদ্ধান্ত গ্রহণে সহায়তা না করে, তাহলে ব্যর্থ হতে হবে। আপনার প্রয়োজন পদ্ধতিগত প্রশিক্ষণ এবং বোর্ড-স্তরের তদারকি আপনার প্রতিষ্ঠান প্রতিবার সাইবার নিরাপত্তার ঘটনা রিপোর্টিং দায়িত্ব সঠিকভাবে পালন করছে কিনা তা নিশ্চিত করার জন্য। এর অর্থ হল আপনার বিদ্যমান নিরাপত্তা প্রশিক্ষণ কর্মসূচিতে রিপোর্টিং বাধ্যবাধকতাগুলিকে একীভূত করা এবং প্রশাসনিক স্তরে স্পষ্ট জবাবদিহিতা তৈরি করা।
সনাক্তকরণ এবং পরিস্থিতির উন্নতি সম্পর্কে সকল কর্মীদের প্রশিক্ষণ দিন
তোমাকে প্রশিক্ষণ দিতে হবে। সমস্ত কর্মচারীদের সম্ভাব্য নিরাপত্তা ঘটনাগুলি সনাক্ত করতে এবং সেগুলি কীভাবে আরও দ্রুত করতে হবে তা সঠিকভাবে জানার জন্য। আপনার কারিগরি কর্মীদের শ্রেণিবিন্যাস ম্যাট্রিক্স এবং রিপোর্টিং কর্মপ্রবাহ সম্পর্কে বিস্তারিত প্রশিক্ষণের প্রয়োজন, তবে অ-কারিগরি কর্মীদের অস্বাভাবিক কার্যকলাপ সনাক্তকরণ এবং অবিলম্বে সঠিক ব্যক্তিদের সাথে যোগাযোগ করার জন্য সহজ নির্দেশিকা প্রয়োজন।
চালান ত্রৈমাসিক টেবিলটপ ব্যায়াম যা বাস্তবসম্মত ঘটনা অনুকরণ করে রিপোর্টিং প্রয়োজন করে। সনাক্তকরণ থেকে চূড়ান্ত প্রতিবেদন জমা দেওয়া পর্যন্ত পুরো প্রক্রিয়ায় আপনার ঘটনা প্রতিক্রিয়া দলকে নিয়ে যান। পদ্ধতিগত ফাঁকগুলি সনাক্ত করতে, আপনার টেমপ্লেটগুলি পরীক্ষা করতে এবং ব্যাকআপ কর্মীরা তাদের ভূমিকা বোঝে কিনা তা যাচাই করতে এই অনুশীলনগুলি ব্যবহার করুন। প্রতিটি অনুশীলনের পরে শেখা পাঠগুলি লিপিবদ্ধ করুন এবং সেই অনুযায়ী আপনার পদ্ধতিগুলি আপডেট করুন।
সাধারণ কর্মীদের জন্য নিরাপত্তা সচেতনতা প্রশিক্ষণে এই প্রতিবেদনের প্রয়োজনীয়তাগুলি অন্তর্ভুক্ত করা উচিত:
- সম্ভাব্য নিরাপত্তা ঘটনা কী (অস্বাভাবিক ইমেল, অননুমোদিত অ্যাক্সেসের প্রচেষ্টা, ডেটা হারিয়ে যাওয়া)?
- অবিলম্বে কার সাথে যোগাযোগ করবেন (আপনার নিরাপত্তা দলের জন্য 24/7 যোগাযোগের বিবরণ প্রদান করুন)
- কী করবেন না (নিজেকে তদন্ত করার চেষ্টা করবেন না, প্রমাণ মুছে ফেলবেন না, সোমবার পর্যন্ত অপেক্ষা করবেন না)
- গতি কেন গুরুত্বপূর্ণ (নিয়ন্ত্রক সময়সীমা শুরু হয় যখন ঘটনা সনাক্ত হয়, রিপোর্ট করা হয় না)
সন্দেহজনক কার্যকলাপ সনাক্তকরণ এবং তাৎক্ষণিকভাবে রিপোর্ট করার জন্য কর্মীদের প্রশিক্ষণ দিন যাতে সংস্থা এবং তাদের উভয়কেই দায়, কেবল সম্মতির প্রয়োজনীয়তা পূরণ করে না।
বিদ্যমান শাসনব্যবস্থার সাথে প্রতিবেদন একীভূত করুন
আপনার বোর্ড এবং নির্বাহী নেতৃত্বের প্রয়োজন নিয়মিত আপডেট ঘটনা রিপোর্টিং ক্ষমতা এবং প্রকৃত ঘটনা সম্পর্কে। ত্রৈমাসিক প্রশাসনিক পর্যালোচনার সময়সূচী নির্ধারণ করুন যাতে আপনার রিপোর্টিং পদ্ধতি, ঘটে যাওয়া যেকোনো ঘটনা, কর্তৃপক্ষের প্রতিক্রিয়া এবং বাস্তবায়িত পদ্ধতিগত উন্নতিগুলি অন্তর্ভুক্ত থাকে। এটি জবাবদিহিতা তৈরি করে এবং নেতৃত্ব রিপোর্টিং বাধ্যবাধকতাগুলি বোঝে তা নিশ্চিত করে।
বরাদ্দ a নির্দিষ্ট নির্বাহী ঘটনা রিপোর্টিং সম্মতির দায়িত্ব। এই ব্যক্তি (সাধারণত আপনার CISO বা প্রধান ঝুঁকি কর্মকর্তা) প্রস্তুতির বিষয়ে সরাসরি বোর্ডের কাছে রিপোর্ট করেন, উপযুক্ত কর্তৃপক্ষের সাথে সম্পর্ক বজায় রাখেন এবং রিপোর্টিং সরঞ্জাম এবং প্রশিক্ষণের জন্য বাজেটের মালিক হন। স্পষ্ট মালিকানা প্রকৃত ঘটনার সময় বিভ্রান্তি রোধ করে যখন সিদ্ধান্তগুলি দ্রুত নেওয়া উচিত।
অন্তর্ভুক্ত করা রিপোর্টিং মেট্রিক্স আপনার নিরাপত্তা ড্যাশবোর্ডে: সনাক্তকরণ থেকে আগাম সতর্কতা জমা দেওয়া পর্যন্ত সময়, সময়সীমার প্রয়োজনীয়তা পূরণের ঘটনাগুলির শতাংশ, কর্তৃপক্ষের প্রতিক্রিয়ার সময় এবং সংশোধনমূলক পদক্ষেপ সম্পন্ন। প্রবণতা এবং উন্নতির সুযোগগুলি সনাক্ত করতে প্রতি মাসে এইগুলি ট্র্যাক করুন।
অগ্রসর হচ্ছে
NIS2 এবং ডাচ আইনের অধীনে সাইবার নিরাপত্তার ঘটনা রিপোর্ট করার দায়িত্ব পালনের জন্য এখন আপনার কাছে একটি সম্পূর্ণ কাঠামো রয়েছে। আপনি জানেন যে আপনার প্রতিষ্ঠানের ক্ষেত্রে কোন নিয়ম প্রযোজ্য, কখন ঘটনা রিপোর্টিং থ্রেশহোল্ড অতিক্রম করে, কোন কর্তৃপক্ষ বিজ্ঞপ্তি পায়, প্রতিটি প্রতিবেদনে কী তথ্য থাকতে হবে এবং চাপের মধ্যে কীভাবে কাজ করে এমন পদ্ধতি তৈরি করতে হয়। আপনার পরবর্তী পদক্ষেপ হল অবিলম্বে বাস্তবায়ন.
এখানে বর্ণিত প্রয়োজনীয়তাগুলির সাথে সামঞ্জস্য রেখে আপনার বর্তমান ঘটনা প্রতিক্রিয়া পরিকল্পনা পর্যালোচনা করে শুরু করুন। আপনার আপডেট করুন শ্রেণীবিভাগ ম্যাট্রিক্স, আপনার প্রস্তুত রিপোর্ট টেমপ্লেট, এবং আপনার ঘটনা প্রতিক্রিয়া দলকে নতুন কর্মপ্রবাহ সম্পর্কে প্রশিক্ষণ দিন। এর মধ্যে আপনার প্রথম টেবিলটপ অনুশীলনের সময়সূচী করুন পরের 30 দিন বাস্তব ঘটনা ঘটার আগে পদ্ধতি পরীক্ষা করার জন্য। আপনার তৈরি সবকিছু নথিভুক্ত করুন যাতে আপনার দল প্রয়োজনে তাৎক্ষণিকভাবে অ্যাক্সেস করতে পারে।
সাইবার নিরাপত্তায় আইনি সম্মতির জন্য উভয়ই প্রয়োজন কারিগরি দক্ষতা এবং আইনি জ্ঞান. আপনার নির্দিষ্ট পরিস্থিতিতে এই নিয়মগুলি কীভাবে প্রযোজ্য তা ব্যাখ্যা করার জন্য যদি আপনার সাহায্যের প্রয়োজন হয়, যোগাযোগ Law & More বিশেষায়িত নির্দেশনার জন্য। তাদের দল ডাচ সংস্থাগুলিকে জটিল সাইবার নিরাপত্তা সম্মতির প্রয়োজনীয়তাগুলি নেভিগেট করতে এবং আপনার কার্যক্রম এবং আপনার আইনি অবস্থান উভয়কেই সুরক্ষিত করে এমন ঘটনা প্রতিক্রিয়া কাঠামো তৈরি করতে সহায়তা করে।
