Hvornår skal du registrere en hændelse?
Det afhænger af den lovgivning eller det framework, du arbejder med. Her er de typiske scenarier:
| Framework | Hvornår skal du registrere? |
|---|---|
| GDPR | Hvis der er brud på persondatasikkerhed – fx utilsigtet adgang til data, fejludsendelse af data eller datalæk. |
| NIS2 | Hvis hændelsen påvirker it-sikkerhed eller forretningskritiske systemer. |
| DORA |
Er du underlagt DORA er der nogle særregler du bør følge ifm. hændelseshåndtering. Du kan oprette din politik og procedure for hændelseshåndtering under DORA her. |
Tip: Du kan med fordel også registrere mindre hændelser, som ikke nødvendigvis er anmeldelsespligtige så du holder processen ved lige og har alt dokumenteret.
Sådan håndterer du en hændelse:
Du finder hændelsesmodulet under "Risiko & Sikkerhed" > "Hændelser"
1. Opret hændelsen
Klik på "Handlinger" > "Opret hændelse"
Her bør du (1) beskrive hændelsen så godt som muligt, (2) vælge de påvirkede aktiver samt (3) tilføje detaljer omkring tidslinjen for hændelsen. Klik Redigér i hvert felt for at tilføje information og glem ikke at tilføje 'hændelsestype' 
Bemærk: Vælger du ja til 'involverede Hændelsen brud på datasikkerheden?' og klikker videre i højre hjørne vil dit næste skridt i processen ændres til 'personoplysninger' Her skal du udfylde detaljer omkring omfanget af de berørte mm.
2. Vurdér påvirkning på jeres organisation
I dette trin skal du vurdere (1) alvorligheden af hændelsen baseret på din subjektive vurdering. Start med at tildele et konsekvens-niveau under (3) aktiver ud fra:
- Fortrolighed: Er data blevet tilgået af uvedkommende?
- Integritet: Er data blevet ændret forkert eller ødelagt/slettet?
- Tilgængelighed: Har brugere mistet adgang til systemer eller data?
Tip: Når du har vurderet konsekvensniveauet foreslår ComplyCloud automatisk et nivea af kritikalitet under (1) alvorlighed af hændelsen.
Har du sagt ja til, at (2) jeres organisation er omfattet af NIS2, fremkommer også en kolonne hvor du bør vurdere konsekvensen på samfunds-niveau.
3. Underretning
Her skal du beskrive hændelsen, tilføje information omkring hvorvidt:
- Registrerede er blevet underrettet
- Autoriteter/myndigheder er blevet underrettet
- Tredjepart / IT-systemet hvorpå, der er sket et brud, er blevet underrettet
Desuden kan du her vedhæfte dokumentation (såsom screenshots af e-mail, hvem der er påvirket mm.) vedrørende hændelsen.
Bemærk: har du sagt ja til, at din organisation er underlagt NIS2 i forrige skridt, vil ComplyCloud minde dig om, at du bør indberette hændelsen til myndighederne såfremt din alvorlighed er vurderet som 'kritisk'
4. Håndtering
Her kan (1) tilføje sikkerhedskontroller fra ComlpyCloud's sikkerhedskatalog og lave en overordnet opsummering som dokumentation for håndtering af hændelsesforløbet. 
Så snart du vurderer at hændelsen er håndteret bør du tilføje en dato under (2) 'hændelse håndteret' Så snat du tilføjer en data her, vil hændelsen blive håndteret som 'Håndteret' i overblikket. Alle andre hændelser er markeret med 'igangværende' Se forneden:
Eksportér dine hændelser
Du kan eksportere dine hændelser to steder i ComplyCloud - både under enkelte hændelser og i selve hændelses-overblikket. Dette gøres ved at gå til 'Handlinger' > 'eksporter'
Bemærk: Eksporterer du en individuel hændelse, vil al information om netop denne hændelse være inkluderet i pdf-rapporten. Eksporterer du ude fra selve hændelsesoverblikket vil overordnet information for hver hændelse være inkluderet.