Save 20% on accredited ISO 27001 course exams.
Limited-time offer – ends July 18, 2024
Use promo code:
EXAM20

Welche Berichtspflichten bestehen nach NIS 2?

Die NIS-2-Richtlinie legt die Berichtspflichten nur in Artikel 23 fest, aber dieser Artikel ist recht lang und recht anspruchsvoll. Welche Sicherheitsvorfälle müssen Sie also melden, an wen und wie müssen Sie dies tun?

Die NIS-2 verlangt von wesentlichen und wichtigen Einrichtungen, dass sie dem CSIRT oder der zuständigen Behörde erhebliche Vorfälle melden, mittels:
  • Frühwarnung
  • Meldung des Sicherheitsvorfalls
  • Zwischenbericht
  • Abschlussbericht
  • Fortschrittsbericht

Was ist ein erheblicher Sicherheitsvorfall im Sinne der NIS-2?

Laut NIS 2 ist ein Vorfall „ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der von Netz- und Informationssystemen angebotenen oder darüber zugänglichen Dienste beeinträchtigt“.

Die NIS 2 verlangt, dass nur erhebliche Vorfälle gemeldet werden müssen – sie definiert einen erheblichen Vorfall als „jeden Vorfall, der eine erhebliche Auswirkung auf die Erbringung“ der Dienste hat, die wesentliche und wichtige Einrichtungen anbieten, wenn:

  • “a) er eine schwerwiegende betriebliche Störung der Dienste oder einen finanziellen Verlust für die betreffende Einrichtung verursacht oder verursachen könnte,
  • (b) er andere natürliche oder juristische Personen beeinträchtigt oder beeinträchtigen könnte, indem er erhebliche materielle oder immaterielle Schäden verursacht.”

Im Erwägungsgrund (101) der Präambel der NIS 2 heißt es: „Indikatoren wie das Ausmaß, in dem das Funktionieren des Dienstes beeinträchtigt wird, die Dauer eines Sicherheitsvorfalls oder die Zahl der betroffenen Nutzer von Diensten könnten eine wichtige Rolle bei der Feststellung spielen, ob die Betriebsstörung des Dienstes schwerwiegend ist.“

Darüber hinaus wurde kein Leitfaden dazu veröffentlicht, was ein „schwerwiegender finanzieller Schaden“ oder was ein „erheblicher materieller oder immaterieller Schaden“ ist.

Sowohl wesentliche als auch wichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle melden, während es keine Vorschriften für die Meldung anderer Arten von Vorfällen gibt.”

Welche Berichtspflichten bestehen nach NIS 2? - Advisera

An wen werden Sicherheitsvorfälle gemeldet?

Die NIS 2 schreibt vor, dass wesentliche und wichtige Einrichtungen die folgenden Parteien über erhebliche Vorfälle informieren müssen:

  • Das Computer-Notfallteam (CSIRT) oder eine zuständige Behörde (diese Behörden werden von den Mitgliedstaaten als Verantwortliche für die Cybersicherheit und für die Aufsichtsaufgaben benannt)
  • Empfänger von Dienstleistungen wesentlicher oder wichtiger Einrichtungen, die potenziell von dem erheblichen Vorfall betroffen sind.

Wie werden erhebliche Sicherheitsvorfälle gemeldet?

Artikel 23 verpflichtet die Unternehmen, erhebliche Vorfälle auf folgende Weise zu melden:

NIS2-Anforderung Relevanter NIS2-Artikel Wann melden Was melden Vorschlag zur Bezeichnung des Dokuments
Meldung (an Empfänger von Dienstleistungen, die potenziell von einer erheblichen Cyber-Bedrohung betroffen sind) Artikel 23, Absatz 2 Unverzüglich Alle Maßnahmen oder Abhilfemaßnahmen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können, sowie die Unterrichtung dieser Empfänger über die erhebliche Cyber-Bedrohung selbst Meldung an Dienstleistungsempfänger über erheblichen Sicherheitsvorfall
Frühwarnung (an CSIRT oder zuständige Behörde) Artikel 23, Absatz 4, Buchstabe (a) Unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Bekanntwerden des erheblichen Vorfalls Gibt an, ob der Verdacht besteht, dass der erhebliche Vorfall durch unrechtmäßige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte Frühwarnung über erheblichen Sicherheitsvorfall
Meldung von einem Sicherheitsvorfall (an CSIRT oder zuständige Behörde) Artikel 23, Absatz 4, Buchstabe (b) Unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Bekanntwerden des erheblichen Vorfalls Gibt eine erste Bewertung des erheblichen Vorfalls, einschließlich seiner Schwere und seiner Auswirkungen sowie, falls verfügbar, der Indikatoren der Kompromittierung Meldung eines erheblichen Sicherheitsvorfalls an CSIRT/zuständige Behörde
Zwischenbericht (an CSIRT oder zuständige Behörde) Artikel 23, Absatz 4, Buchstabe (c) Auf Ersuchen von CSIRT oder der zuständigen Behörde Relevante Statusaktualisierung Zwischenbericht über erheblichen Sicherheitsvorfall
Abschlussbericht (an CSIRT oder zuständige Behörde) Artikel 23, Absatz 4, Buchstabe (d) Spätestens einen Monat nach Einreichung der Meldung des Vorfalls (i) detaillierte Beschreibung des Vorfalls, einschließlich seiner Schwere und seiner Auswirkungen;
(ii) Art der Bedrohung oder die Grundursache, die wahrscheinlich den Vorfall ausgelöst hat;
(iii) angewandte und laufende Abhilfemaßnahmen;
(iv) gegebenenfalls grenzüberschreitenden Auswirkungen des Vorfalls
Abschlussbericht über erheblichen Sicherheitsvorfall
Fortschrittsbericht (an CSIRT oder zuständige Behörde) Artikel 23, Absatz 4, Buchstabe (e) Bei laufendem Vorfall (nicht spezifiziert) Fortschrittsbericht über erheblichen Sicherheitsvorfall

Auf das Beste hoffen, auf das Schlimmste vorbereitet sein

Wenn Sie alle in der NIS-2 geforderten Cybersicherheitsmaßnahmen umgesetzt haben, haben Sie die Wahrscheinlichkeit eines Sicherheitsvorfalls erheblich verringert, insbesondere erheblicher Sicherheitsvorfälle.

Aber es gibt keine perfekte Cybersicherheit – trotz all Ihrer Bemühungen kann es zu einem solchen Sicherheitsvorfall kommen. Deshalb müssen Sie nicht nur darauf vorbereitet sein, auf einen solchen Vorfall zu reagieren, sondern auch, ihn ordnungsgemäß zu melden.

Für weitere Informationen über NIS-2 laden Sie dieses kostenlose Whitepaper herunter: Umfassender Leitfaden zur NIS-2-Richtlinie.

Advisera Dejan Kosutic

Dejan Kosutic

Führender Experte für Cybersicherheit und Informationssicherheit und Autor mehrerer Bücher, Artikel, Webinare und Kurse. Als führender Experte gründete Dejan Advisera, um kleinen und mittleren Unternehmen die Ressourcen an die Hand zu geben, die sie benötigen, um die EU-Vorschriften und ISO-Normen einzuhalten. Er ist der Überzeugung, dass die Erstellung leicht verständlicher und einfach zu verwendender Rahmen aus komplexen Rahmenwerken einen Wettbewerbsvorteil für die Kunden von Advisera darstellt und dass die KI-Technologie hierfür entscheidend ist.

Als Experte für ISO 27001 und NIS 2 hilft Dejan Unternehmen, den besten Weg zur Konformität zu finden, indem er den Mehraufwand eliminiert und die Implementierung an die Größe des Unternehmens und die Branchenspezifika anpasst.

Lesen Sie mehr Artikel von Dejan Kosutic