Bitte melden. Was NIS-2 für die Berichtspflicht von Sicherheitsvorfällen bedeutet
NIS-2 führt neue Meldepflichten für Unternehmen in 18 Sektoren ein. Alle betroffenen Unternehmen müssen der jeweils zuständigen Behörde bei Sicherheitsvorfällen Bericht erstatten. Wir zeigen dir, wer wann was zu melden hat.
Cybervorfälle werfen selten ein gutes Licht auf die betroffenen Institutionen. Der Reflex vieler Unternehmen, einen Hackerangriff diskret zu behandeln und möglichst geheim zu halten, ist nur allzu gut verständlich.
Mit der NIS-2-Richtlinie, die von den EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht umgesetzt werden muss, kommen jedoch neue Offenlegungspflichten. Alle von NIS-2 betroffenen Unternehmen – sowohl wichtige als auch wesentliche Einrichtungen – müssen künftig Sicherheitsvorfälle an die zuständigen Behörden melden.
Hintergrund der neuen Vorgaben ist das gesamteuropäische Ziel einer höheren Cyber-Resilienz. Um die Versorgungssicherheit zu gewährleisten und besser auf Vorfälle reagieren zu können, ist ein höherer Grad an Transparenz unabdingbar.
Die Behörden müssen insbesondere prüfen können, ob ein Vorfall grenzüberschreitende Auswirkungen hat. In diesem Fall tauschen sie die relevanten Informationen mit den anderen Mitgliedstaaten aus.
Welche Vorfälle gemeldet werden müssen
Die Berichtspflicht gilt laut der NIS-2-Richtlinie für sogenannte erhebliche Sicherheitsvorfälle. Ein Vorfall gilt in zwei Fällen als erheblich, nämlich wenn
Ein klassischer Ransomware-Angriff fällt also ebenso darunter wie ein Datenleck. Grundsätzlich ist aber nicht festgelegt, dass der Vorfall krimineller Natur sein muss und von Cyberkriminellen ausgelöst wurde. Auch eine Panne kann einen erheblichen Sicherheitsvorfall darstellen. Welche massiven Auswirkungen sich durch unbeabsichtigte Störungen ergeben können, zeigte kürzlich das fehlerhafte Software-Update von Crowdstrike, das unter anderem den Betrieb an zahlreichen Flughäfen lahmlegte.
Wo die Meldung eingereicht werden muss
Jeder Mitgliedsstaat muss ein nationales Computer Security Incident Response Team (CSIRT) einrichten, das unter anderem die Meldungen entgegennehmen kann. Aktuell befinden sich die entsprechenden Meldestellen noch im Aufbau. Welche Behörde jeweils zuständig ist, wird in den jeweils national geltenden NIS-2-Umsetzungsgesetzen geregelt:
In Österreich ist laut dem Gesetzesentwurf für das NISG 2024 der Bundesminister für Inneres in der Verantwortung. Unternehmen müssen erhebliche Sicherheitsvorfälle künftig bei speziell dafür vorgesehenen Computer-Notfallteams (CSIRTs) oder dem nationalen CSIRT melden.
In Deutschland übernimmt laut dem Entwurf des NIS2UmsuCG das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rolle des CSIRT. Geplant ist eine gemeinsame Meldestelle des BSI und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe.
Wann auch Kunden und die Öffentlichkeit informiert werden müssen
Je nach Art des erheblichen Sicherheitsvorfalls müssen Einrichtungen auch die Empfänger ihrer Dienste über Sicherheitsvorfälle und Bedrohungen unterrichten. Dies ist insbesondere dann sinnvoll, wenn die Kunden vor weiterem Schaden bewahrt werden können. Die Information sollte dann auch Hinweise enthalten, welche Maßnahmen sie ergreifen können und wie sie auf die Bedrohung reagieren sollten.
Wenn es im öffentlichen Interesse liegt, – zum Beispiel, um die Bevölkerung für Gefahren zu sensibilisieren – kann die zuständige Behörde auch die Öffentlichkeit informieren oder die Einrichtung dazu auffordern. Eine Konsultation mit der Einrichtung muss jedoch vorausgegangen sein.
Welche Berichte zu welchen Fristen einzureichen sind
Sobald ein von NIS-2 betroffenes Unternehmen einen erheblichen Sicherheitsvorfall registriert, ist folgende Kaskade von Meldungen verpflichtend:
- 1
Frühwarnung
Die zuständige Behörde muss unverzüglich informiert werden – spätestens 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls. - 2
Meldung über den Sicherheitsvorfall
Innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls ist eine ausführlichere Meldung vorgeschrieben. Sie aktualisiert die Informationen der Frühwarnung und enthält außerdem eine erste Bewertung des Vorfalls. Neben dem Schweregrad und den Auswirkungen sind auch die Indikatoren der Kompromittierung zu nennen. - 3
Zwischenbericht
Auf Nachfrage der Behörde sind zu jeder Zeit Zwischenberichte über den aktuellen Status einzureichen. - 4
Abschlussbericht
Spätestens einen Monat nach Übermittlung der Meldung über den Sicherheitsvorfall wird ein Abschlussbericht fällig. Er muss eine ausführliche Beschreibung des Vorfalls enthalten. Gefordert werden Angaben zur Art der Bedrohung und der Ursache bzw. dem Auslöser des Vorfalls sowie Angaben zu getroffenen und laufenden Abhilfemaßnahmen.
Wie Behörden die betroffenen Unternehmen unterstützen
NIS-2 führt nicht nur für Unternehmen neue Pflichten ein, sondern auch für Behörden. Wenn ein Unternehmen eine Frühwarnung einreicht, dann muss die zuständige Behörde spätestens 24 Stunden später darauf antworten und eine Rückmeldung zu dem Vorfall geben.
Auf Ersuchen der Einrichtung sollen die CSIRTs außerdem Unterstützung anbieten. Sie leisten Orientierungshilfe, bieten operative Beratung für die Durchführung von Abwehrmaßnahmen an und helfen bei einem kriminellen Hintergrund dabei, den Vorfall den verantwortlichen Strafverfolgungsbehörden zu melden.
NIS-2 greift damit eine Konstellation auf, die heute schon in der Praxis gängig ist. Bei der Reaktion auf einen Vorfall arbeiten typischerweise das IT-Team des Unternehmens, spezialisierte Dienstleister und behördliche Einrichtungen, die auf Cybercrime spezialisiert sind, eng miteinander.
Weitere Infos zum Thema:
NIS-2, Teil 1: Cyber-Resilienz wird Pflicht: Welche Firmen von NIS-2 betroffen sind
NIS-2, Teil 2: Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt
NIS-2, Teil 3: NIS-2 Konformität: Welche Maßnahmen Unternehmen umsetzen müssen
Alle Informationen zur techbold NIS-2 Beratung und Umsetzung.
Wir beantworten gerne alle Fragen.
Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier
Wir benötigen deine Zustimmung, um das Formular laden zu können.
Mehr InformationenEvelyn Heinrich
Head of Account Management
oder ein Account Manager aus dem Team meldet sich umgehend.