Bitte melden. Was NIS-2 für die Berichtspflicht von Sicherheitsvorfällen bedeutet

Von |23.08.2024|
NIS2 Teil 4 - Was NIS-2 für die Berichtspflicht von Sicherheitsvorfällen bedeutet - Titelbild

NIS-2 führt neue Meldepflichten für Unternehmen in 18 Sektoren ein. Alle betroffenen Unternehmen müssen der jeweils zuständigen Behörde bei Sicherheitsvorfällen Bericht erstatten. Wir zeigen dir, wer wann was zu melden hat.

Cybervorfälle werfen selten ein gutes Licht auf die betroffenen Institutionen. Der Reflex vieler Unternehmen, einen Hackerangriff diskret zu behandeln und möglichst geheim zu halten, ist nur allzu gut verständlich.

Mit der NIS-2-Richtlinie, die von den EU-Mitgliedsstaaten bis Oktober 2024 in nationales Recht umgesetzt werden muss, kommen jedoch neue Offenlegungspflichten. Alle von NIS-2 betroffenen Unternehmen – sowohl wichtige als auch wesentliche Einrichtungen – müssen künftig Sicherheitsvorfälle an die zuständigen Behörden melden.

Hintergrund der neuen Vorgaben ist das gesamteuropäische Ziel einer höheren Cyber-Resilienz. Um die Versorgungssicherheit zu gewährleisten und besser auf Vorfälle reagieren zu können, ist ein höherer Grad an Transparenz unabdingbar.

Die Behörden müssen insbesondere prüfen können, ob ein Vorfall grenzüberschreitende Auswirkungen hat. In diesem Fall tauschen sie die relevanten Informationen mit den anderen Mitgliedstaaten aus.

Welche Vorfälle gemeldet werden müssen

Die Berichtspflicht gilt laut der NIS-2-Richtlinie für sogenannte erhebliche Sicherheitsvorfälle. Ein Vorfall gilt in zwei Fällen als erheblich, nämlich wenn

  • „er schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann“ oder wenn

  • „er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann“

Ein klassischer Ransomware-Angriff fällt also ebenso darunter wie ein Datenleck. Grundsätzlich ist aber nicht festgelegt, dass der Vorfall krimineller Natur sein muss und von Cyberkriminellen ausgelöst wurde. Auch eine Panne kann einen erheblichen Sicherheitsvorfall darstellen. Welche massiven Auswirkungen sich durch unbeabsichtigte Störungen ergeben können, zeigte kürzlich das fehlerhafte Software-Update von Crowdstrike, das unter anderem den Betrieb an zahlreichen Flughäfen lahmlegte.

Wo die Meldung eingereicht werden muss

Jeder Mitgliedsstaat muss ein nationales Computer Security Incident Response Team (CSIRT) einrichten, das unter anderem die Meldungen entgegennehmen kann. Aktuell befinden sich die entsprechenden Meldestellen noch im Aufbau. Welche Behörde jeweils zuständig ist, wird in den jeweils national geltenden NIS-2-Umsetzungsgesetzen geregelt:

In Österreich ist laut dem Gesetzesentwurf für das NISG 2024 der Bundesminister für Inneres in der Verantwortung. Unternehmen müssen erhebliche Sicherheitsvorfälle künftig bei speziell dafür vorgesehenen Computer-Notfallteams (CSIRTs) oder dem nationalen CSIRT melden.

In Deutschland übernimmt laut dem Entwurf des NIS2UmsuCG das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Rolle des CSIRT. Geplant ist eine gemeinsame Meldestelle des BSI und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe.

Wann auch Kunden und die Öffentlichkeit informiert werden müssen

Je nach Art des erheblichen Sicherheitsvorfalls müssen Einrichtungen auch die Empfänger ihrer Dienste über Sicherheitsvorfälle und Bedrohungen unterrichten. Dies ist insbesondere dann sinnvoll, wenn die Kunden vor weiterem Schaden bewahrt werden können. Die Information sollte dann auch Hinweise enthalten, welche Maßnahmen sie ergreifen können und wie sie auf die Bedrohung reagieren sollten.

Wenn es im öffentlichen Interesse liegt, – zum Beispiel, um die Bevölkerung für Gefahren zu sensibilisieren – kann die zuständige Behörde auch die Öffentlichkeit informieren oder die Einrichtung dazu auffordern. Eine Konsultation mit der Einrichtung muss jedoch vorausgegangen sein.

Welche Berichte zu welchen Fristen einzureichen sind

Sobald ein von NIS-2 betroffenes Unternehmen einen erheblichen Sicherheitsvorfall registriert, ist folgende Kaskade von Meldungen verpflichtend:

  • 1

    Frühwarnung
    Die zuständige Behörde muss unverzüglich informiert werden – spätestens 24 Stunden nach Kenntnisnahme des Sicherheitsvorfalls.

  • 2

    Meldung über den Sicherheitsvorfall
    Innerhalb von 72 Stunden nach Kenntnisnahme des Vorfalls ist eine ausführlichere Meldung vorgeschrieben. Sie aktualisiert die Informationen der Frühwarnung und enthält außerdem eine erste Bewertung des Vorfalls. Neben dem Schweregrad und den Auswirkungen sind auch die Indikatoren der Kompromittierung zu nennen.

  • 3

    Zwischenbericht
    Auf Nachfrage der Behörde sind zu jeder Zeit Zwischenberichte über den aktuellen Status einzureichen.

  • 4

    Abschlussbericht
    Spätestens einen Monat nach Übermittlung der Meldung über den Sicherheitsvorfall wird ein Abschlussbericht fällig. Er muss eine ausführliche Beschreibung des Vorfalls enthalten. Gefordert werden Angaben zur Art der Bedrohung und der Ursache bzw. dem Auslöser des Vorfalls sowie Angaben zu getroffenen und laufenden Abhilfemaßnahmen.

Wie Behörden die betroffenen Unternehmen unterstützen

NIS-2 führt nicht nur für Unternehmen neue Pflichten ein, sondern auch für Behörden. Wenn ein Unternehmen eine Frühwarnung einreicht, dann muss die zuständige Behörde spätestens 24 Stunden später darauf antworten und eine Rückmeldung zu dem Vorfall geben.

Auf Ersuchen der Einrichtung sollen die CSIRTs außerdem Unterstützung anbieten. Sie leisten Orientierungshilfe, bieten operative Beratung für die Durchführung von Abwehrmaßnahmen an und helfen bei einem kriminellen Hintergrund dabei, den Vorfall den verantwortlichen Strafverfolgungsbehörden zu melden.

NIS-2 greift damit eine Konstellation auf, die heute schon in der Praxis gängig ist. Bei der Reaktion auf einen Vorfall arbeiten typischerweise das IT-Team des Unternehmens, spezialisierte Dienstleister und behördliche Einrichtungen, die auf Cybercrime spezialisiert sind, eng miteinander.

Weitere Infos zum Thema:
NIS-2, Teil 1: Cyber-Resilienz wird Pflicht: Welche Firmen von NIS-2 betroffen sind
NIS-2, Teil 2: Der CEO als Cyber-Experte? Was NIS-2 für die Geschäftsleitung vorschreibt
NIS-2, Teil 3: NIS-2 Konformität: Welche Maßnahmen Unternehmen umsetzen müssen

 

Alle Informationen zur techbold NIS-2 Beratung und Umsetzung.


Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 5 9555
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Wir benötigen deine Zustimmung, um das Formular laden zu können.

Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus dem Team meldet sich umgehend.