随着信息化的发展，人类对互联网的依赖越来越强，网络安全是国家安全、社会稳定、企业壮大的核心基石。2025年9月11日，国家互联网信息办公室发布《国家网络安全事件报告管理办法》（以下简称《办法》，将于2025年11月1日起实施），进一步规范了《网络安全法》《数据安全法》《个人信息保护法》中网络安全事件报告要求。如果没有依规报告，单位和个人都将受到处罚。本文将提示”什么情况下要报告、向谁报、何时报、报什么、如何预防“等关键问题。由于报告的时限性要求很强（最快要在1小时内报告），因此，各单位应提前建立好相应的内部管理机制。

什么是网络安全事件？

网络安全事件是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对网络和信息系统或其中的数据和业务应用造成危害，对国家、社会、经济造成负面影响的事件。根据影响程度，分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件，部分判断标准如下表。

注：CII＝关键信息基础设施

发生网络安全事件后向谁报告？

何时报告？

1.报告主体

在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者承担网络安全事件报告义务。网络安全、系统运维服务合同中需要约定，运维主体要及时向网络运营者报告监测发现的网络安全事件，并协助其按照《办法》规定报告网络安全事件。社会组织和个人有权对所获悉的较大以上网络安全事件进行报告。

2.报告对象

属于较大以上网络安全事件的，按以下程序报告：

3、报告渠道

为了方便网络运营者快速、规范地提交报告, 网信部门设立了统一的“12387”网络安全事件报告接收平台。目前开放的报告渠道包括:

电话：12387；

网站：12387.cert.org.cn；

微信公众号：“国家互联网应急中心CNCERT”→“事件报告”；

微信小程序：“12387网络安全事件报告平台”；

邮箱：12387@cert.org.cn；

传真：010-82992387。

报告什么内容？

首次报告应至少包括以下内容：

1.基本信息：单位名称、负责人、联系方式；

2.事件初判：时间、地点、类型、级别、影响、已采取措施；

3.勒索软件攻击事件需报告赎金金额、方式、日期；

4.进一步研判（可72小时内补报）：原因分析、溯源线索、后续措施、请求支援、现场保护情况等。

事件处置结束后30日内，应提交总结报告，包括原因、措施、危害、责任、整改、教训等。

没有依法报告的法律后果是什么？

单位如何应对合规压力？

1.制度建设

（1）制定或修订《网络安全事件应急预案》，明确分级标准、报告流程、责任人；

（2）建立内部SOP（标准操作程序），制定详细应急预案，准备标准化报告模板。

（3）建立事件总结机制，按要求在处置结束后30日内完成分析报告。

2.合同管理

（1）在与第三方服务商的合同中明确其事件监测与协助报告义务，约定违约责任。

（2） 建立供应商安全评估机制，将安全事件报告能力纳入评估指标；

（3）定期审查第三方安全状况，确保其持续符合要求。

3.技术准备

（1）部署监测与日志系统，确保及时发现、定级与溯源；

（2）提前梳理系统清单，便于快速填报基本信息。

4.培训演练

（1）开展全员培训与应急演练，确保1~4小时内完成初判与报告；

（2）定期更新预案，适应法规与业务变化。

（3）建立演练评估机制，持续优化应急预案和处置流程。

5.合规留存

（1）保留防护措施、演练记录、报告过程等证据，以备尽职免责主张。

（2） 建立完整的审计日志记录体系，或实施报告过程全流程记录，避免未报、迟报、漏报、谎报或者瞒报情况；

   《国家网络安全事件报告管理办法》的出台，标志着我国网络安全事件报告制度进入制度化、规范化、精细化的新阶段。各单位应把握2025年11月1日前的窗口期，尽快完成制度梳理、流程优化与人员培训，将合规要求转化为常态化管理实践，既防范法律风险，也提升整体安全治理水平。

（本文作者：盈科廖江涛律师 来源：微信公众号 盈科成都律所）