越來越多的網絡安全事件對企業造成了嚴重的負面影響，促使各國立法者探索新的政策法規。當然，GDPR是去年最受歡迎的話題之一(歐盟委員會的報告顯示，2018年5月谷歌對GDPR的調查比碧昂斯(Beyonce)和金·卡戴珊(Kim Kardashian)的調查更受歡迎)。在完成了最初的GDPR實施階段后，公司開始著手處理與新要求相關的實際挑戰。其中一項措施是向監管當局舉報個人資料被侵犯，并通知資料當事人。

然而，《國內生產總值規例》并不是唯一訂明有義務通知某些人士有關違規及事件的約束性法例。一些國家效仿隱私保護“浪潮”，推出了自己的數據保護法案，要求類似的違約通知。此外，亦有其他法例，不只是針對個人資料的事宜，亦涵蓋有關違反及事件的通知程序(例如，NIS指令、PSD 2及保密指令，以及執行該等指令的國家層面的法例及指引)。廣泛適用的規則(這對國際企業尤其重要)可能會導致組織問題和對可能發生的事件應采取的行動的誤解。此外，不同情況下使用的術語也不同。有些行為是指違反行為，有些是指事件，在每一特定情況下，應在相應行為的范圍內評估所用術語的含義。

為了解在歐盟應采取哪些步驟，以確保適當的事件或違反事件報告，建議考慮以下各方面，并加以總結，以供日后使用

1. 適用于本公司的要求。根據不同的因素，公司可能要承擔一定的法律義務。例如，當考慮到公司成立或開展業務活動的地區、提供的服務或生產的產品的性質以及受公司影響的客戶或合作伙伴時，適用性可能會有所不同。例如，GDPR也適用于為位于歐盟的數據主體提供商品或服務的非歐盟公司，而NIS指令適用于歐盟內部的網絡和信息系統。由于歐盟的指令通常是在一個國家層面上執行的，企業應根據本國的法律檢查自己的義務。此外，建議不要忘記刑事或行政法律等行為。在一些國家，這類文件還包括某些類型的事件，這些事件可能要求報告義務。

2. 事件的分類。當它是明確的行為對公司具有約束力,需要了解哪些情況下“觸發”義務報告事件——即信息的類型,系統,影響人,和規模的事件屬于的風險程度,這是否需要披露。例如，數字服務提供商或關鍵基礎設施運營的個人數據和金融信息系統可能會受到影響，但不一定在所有情況下都需要報告。

3.反應時間。下一步是在截止日期前報告不同類型的違規或事件。最后期限的法定要求可能從幾個小時到幾天或幾個月不等，這取決于事件的類型。

4. 報告。通知義務的范圍也可能不同。有些法案要求向當局報告，如個人資料保護監督當局、類似CERT(計算機緊急應變小組)的當局、金融和電信監管機構或警方。此外，公司可能有義務通知其他受影響方(客戶、員工、合作伙伴)。

5. 內容。最后一步是根據適用的需求確定將要報告的信息。還可以使用特殊的報表或官方模板(如果有的話)。然而，這并不意味著公司不能收集任何額外的信息用于內部事件響應目的。

上述信息的匯總應以公司事故報告負責人能夠理解的方式傳達。然而，上述活動僅僅是開始，下一個任務是確保報告過程得到正確組織，并以適當的方式進行。

注：來源于ISACA  作者：Anna Vladimirova-Kryukova