越来越多的网络安全事件对企业造成了严重的负面影响，促使各国立法者探索新的政策法规。当然，GDPR是去年最受欢迎的话题之一(欧盟委员会的报告显示，2018年5月谷歌对GDPR的调查比碧昂斯(Beyonce)和金·卡戴珊(Kim Kardashian)的调查更受欢迎)。在完成了最初的GDPR实施阶段后，公司开始着手处理与新要求相关的实际挑战。其中一项措施是向监管当局举报个人资料被侵犯，并通知资料当事人。

然而，《国内生产总值规例》并不是唯一订明有义务通知某些人士有关违规及事件的约束性法例。一些国家效仿隐私保护“浪潮”，推出了自己的数据保护法案，要求类似的违约通知。此外，亦有其他法例，不只是针对个人资料的事宜，亦涵盖有关违反及事件的通知程序(例如，NIS指令、PSD 2及保密指令，以及执行该等指令的国家层面的法例及指引)。广泛适用的规则(这对国际企业尤其重要)可能会导致组织问题和对可能发生的事件应采取的行动的误解。此外，不同情况下使用的术语也不同。有些行为是指违反行为，有些是指事件，在每一特定情况下，应在相应行为的范围内评估所用术语的含义。

为了解在欧盟应采取哪些步骤，以确保适当的事件或违反事件报告，建议考虑以下各方面，并加以总结，以供日后使用

1. 适用于本公司的要求。根据不同的因素，公司可能要承担一定的法律义务。例如，当考虑到公司成立或开展业务活动的地区、提供的服务或生产的产品的性质以及受公司影响的客户或合作伙伴时，适用性可能会有所不同。例如，GDPR也适用于为位于欧盟的数据主体提供商品或服务的非欧盟公司，而NIS指令适用于欧盟内部的网络和信息系统。由于欧盟的指令通常是在一个国家层面上执行的，企业应根据本国的法律检查自己的义务。此外，建议不要忘记刑事或行政法律等行为。在一些国家，这类文件还包括某些类型的事件，这些事件可能要求报告义务。

2. 事件的分类。当它是明确的行为对公司具有约束力,需要了解哪些情况下“触发”义务报告事件——即信息的类型,系统,影响人,和规模的事件属于的风险程度,这是否需要披露。例如，数字服务提供商或关键基础设施运营的个人数据和金融信息系统可能会受到影响，但不一定在所有情况下都需要报告。

3.反应时间。下一步是在截止日期前报告不同类型的违规或事件。最后期限的法定要求可能从几个小时到几天或几个月不等，这取决于事件的类型。

4. 报告。通知义务的范围也可能不同。有些法案要求向当局报告，如个人资料保护监督当局、类似CERT(计算机紧急应变小组)的当局、金融和电信监管机构或警方。此外，公司可能有义务通知其他受影响方(客户、员工、合作伙伴)。

5. 内容。最后一步是根据适用的需求确定将要报告的信息。还可以使用特殊的报表或官方模板(如果有的话)。然而，这并不意味着公司不能收集任何额外的信息用于内部事件响应目的。

上述信息的汇总应以公司事故报告负责人能够理解的方式传达。然而，上述活动仅仅是开始，下一个任务是确保报告过程得到正确组织，并以适当的方式进行。

注：来源于ISACA  作者：Anna Vladimirova-Kryukova