Die NIS-2-Richtlinie legt die Berichtspflichten nur in Artikel 23 fest, aber dieser Artikel ist recht lang und recht anspruchsvoll. Welche Sicherheitsvorfälle müssen Sie also melden, an wen und wie müssen Sie dies tun?
- Frühwarnung
- Meldung des Sicherheitsvorfalls
- Zwischenbericht
- Abschlussbericht
- Fortschrittsbericht
Was ist ein erheblicher Sicherheitsvorfall im Sinne der NIS-2?
Laut NIS 2 ist ein Vorfall „ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder darüber zugänglichen Dienste beeinträchtigt“.
Die NIS 2 verlangt, dass nur erhebliche Vorfälle gemeldet werden müssen – sie definiert einen erheblichen Vorfall als „jeden Vorfall, der eine erhebliche Auswirkung auf die Erbringung“ der Dienste hat, die wesentliche und wichtige Einrichtungen anbieten, wenn:
- “a) er eine schwerwiegende betriebliche Störung der Dienste oder einen finanziellen Verlust für die betreffende Einrichtung verursacht oder verursachen könnte,
- (b) er andere natürliche oder juristische Personen beeinträchtigt oder beeinträchtigen könnte, indem er erhebliche materielle oder immaterielle Schäden verursacht.”
Im Erwägungsgrund (101) der Präambel der NIS 2 heißt es: „Indikatoren wie das Ausmaß, in dem das Funktionieren des Dienstes beeinträchtigt wird, die Dauer eines Sicherheitsvorfalls oder die Zahl der betroffenen Nutzer von Diensten könnten eine wichtige Rolle bei der Feststellung spielen, ob die Betriebsstörung des Dienstes schwerwiegend ist.“
Darüber hinaus wurde kein Leitfaden dazu veröffentlicht, was ein „schwerwiegender finanzieller Schaden“ oder was ein „erheblicher materieller oder immaterieller Schaden“ ist.
Sowohl wesentliche als auch wichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle melden, während es keine Vorschriften für die Meldung anderer Arten von Vorfällen gibt.”
An wen werden Sicherheitsvorfälle gemeldet?
Die NIS 2 schreibt vor, dass wesentliche und wichtige Einrichtungen die folgenden Parteien über erhebliche Vorfälle informieren müssen:
- Das Computer-Notfallteam (CSIRT) oder eine zuständige Behörde (diese Behörden werden von den Mitgliedstaaten als Verantwortliche für die Cybersicherheit und für die Aufsichtsaufgaben benannt)
- Empfänger von Dienstleistungen wesentlicher oder wichtiger Einrichtungen, die potenziell von dem erheblichen Vorfall betroffen sind.
Wie werden erhebliche Sicherheitsvorfälle gemeldet?
Artikel 23 verpflichtet die Unternehmen, erhebliche Vorfälle auf folgende Weise zu melden:
NIS2-Anforderung | Relevanter NIS2-Artikel | Wann melden | Was melden | Vorschlag zur Bezeichnung des Dokuments |
Meldung (an Empfänger von Dienstleistungen, die potenziell von einer erheblichen Cyber-Bedrohung betroffen sind) | Artikel 23, Absatz 2 | Unverzüglich | Alle Maßnahmen oder Abhilfemaßnahmen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können, sowie die Unterrichtung dieser Empfänger über die erhebliche Cyber-Bedrohung selbst | Meldung an Dienstleistungsempfänger über erheblichen Sicherheitsvorfall |
Frühwarnung (an CSIRT oder zuständige Behörde) | Artikel 23, Absatz 4, Buchstabe (a) | Unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Bekanntwerden des erheblichen Vorfalls | Gibt an, ob der Verdacht besteht, dass der erhebliche Vorfall durch unrechtmäßige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte | Frühwarnung über erheblichen Sicherheitsvorfall |
Meldung von einem Sicherheitsvorfall (an CSIRT oder zuständige Behörde) | Artikel 23, Absatz 4, Buchstabe (b) | Unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden des erheblichen Vorfalls | Gibt eine erste Bewertung des erheblichen Vorfalls, einschließlich seiner Schwere und seiner Auswirkungen sowie, falls verfügbar, der Indikatoren der Kompromittierung | Meldung eines erheblichen Sicherheitsvorfalls an CSIRT/zuständige Behörde |
Zwischenbericht (an CSIRT oder zuständige Behörde) | Artikel 23, Absatz 4, Buchstabe (c) | Auf Ersuchen von CSIRT oder der zuständigen Behörde | Relevante Statusaktualisierung | Zwischenbericht über erheblichen Sicherheitsvorfall |
Abschlussbericht (an CSIRT oder zuständige Behörde) | Artikel 23, Absatz 4, Buchstabe (d) | Spätestens einen Monat nach Einreichung der Meldung des Vorfalls | (i) detaillierte Beschreibung des Vorfalls, einschließlich seiner Schwere und seiner Auswirkungen; (ii) Art der Bedrohung oder die Grundursache, die wahrscheinlich den Vorfall ausgelöst hat; (iii) angewandte und laufende Abhilfemaßnahmen; (iv) gegebenenfalls grenzüberschreitenden Auswirkungen des Vorfalls |
Abschlussbericht über erheblichen Sicherheitsvorfall |
Fortschrittsbericht (an CSIRT oder zuständige Behörde) | Artikel 23, Absatz 4, Buchstabe (e) | Bei laufendem Vorfall | (nicht spezifiziert) | Fortschrittsbericht über erheblichen Sicherheitsvorfall |
Auf das Beste hoffen, auf das Schlimmste vorbereitet sein
Wenn Sie alle in der NIS-2 geforderten Cybersicherheitsmaßnahmen umgesetzt haben, haben Sie die Wahrscheinlichkeit eines Sicherheitsvorfalls erheblich verringert, insbesondere erheblicher Sicherheitsvorfälle.
Aber es gibt keine perfekte Cybersicherheit – trotz all Ihrer Bemühungen kann es zu einem solchen Sicherheitsvorfall kommen. Deshalb müssen Sie nicht nur darauf vorbereitet sein, auf einen solchen Vorfall zu reagieren, sondern auch, ihn ordnungsgemäß zu melden.
Alle Dokumente, die für die Einhaltung der NIS 2-Richtlinie erforderlich sind, finden Sie in diesem NIS 2-Dokumentations-Toolkit, das alle Politiken, Verfahren, Pläne und andere Vorlagen enthält.