ISGroup Cybersicherheitsberatung

ACN-Vorfallstaxonomie: Leitfaden zur Klassifizierung gemäß Gesetz 90/2024

Mit der Verfügung vom 9. Februar 2026, die im Amtsblatt veröffentlicht wurde, hat die Nationale Agentur für Cybersicherheit (ACN) die Taxonomie der Vorfälle definiert, die von den in Art. 1 Abs. 1 des Gesetzes vom 28. Juni 2024, Nr. 90, genannten Stellen gemeldet oder notifiziert werden müssen. Diese Klassifizierung standardisiert die Art und Weise der Kommunikation von Sicherheitsereignissen und lässt sich in die durch die NIS2-Richtlinie vorgesehenen Verpflichtungen integrieren.

Die drei Kategorien der ACN-Taxonomie

Die Taxonomie identifiziert drei Arten von Vorfällen, die eine formelle Meldung oder Notifizierung erfordern:

  • IS-1 – Verlust der Vertraulichkeit nach außen: Betrifft die Kompromittierung digitaler Daten, die sich im Eigentum der Stelle befinden oder über die sie – auch teilweise – die Kontrolle ausübt. Dies umfasst Verletzungen personenbezogener Daten, vertraulicher Informationen oder geistigen Eigentums.
  • IS-2 – Verlust der Integrität mit externen Auswirkungen: Deckt unbefugte Änderungen von Daten ab, die sich im Eigentum der Stelle befinden oder unter ihrer Kontrolle stehen (auch teilweise) und die Auswirkungen auf Dritte oder den externen Betrieb haben.
  • IS-3 – Verletzung der erwarteten Service-Level: Bezieht sich auf Unterbrechungen oder Verschlechterungen von Diensten und Aktivitäten im Vergleich zu den von der Stelle selbst festgelegten Service-Leveln (SL), mit Auswirkungen auf die Betriebskontinuität.

Integration mit der NIS2-Disziplin

Die ACN-Verfügung verweist ausdrücklich auf die Kohärenz mit der NIS2-Disziplin, die bereits Gegenstand einer früheren Festlegung der Agentur war. Ein relevanter operativer Aspekt ist, dass die gemäß dem NIS-Dekret durchgeführte Vorabmeldung und Notifizierung auch die durch das Gesetz 90/2024 vorgesehene Verpflichtung erfüllt, wodurch verfahrenstechnische Doppelungen vermieden werden.

Diese Integration vereinfacht die Verwaltung der Meldepflichten für Stellen, die in beide regulatorischen Bereiche fallen, reduziert den Verwaltungsaufwand und fördert einen einheitlichen Ansatz für das Management von Sicherheitsvorfällen. Für Organisationen, die ihren Anpassungsprozess noch strukturieren müssen, deckt das NIS2-Compliance-Programm von ISGroup sowohl die Meldepflichten als auch die von der Richtlinie geforderte umfassende Governance ab.

[Callforaction-NIS2]

Wie man die Taxonomie in der Praxis anwendet

Die Einführung der Taxonomie erfordert einen strukturierten Prozess zur Klassifizierung von Sicherheitsereignissen. Die Organisationen müssen:

  • Interne Verfahren definieren, um Vorfälle gemäß den drei Kategorien IS-1, IS-2 und IS-3 zu identifizieren und zu klassifizieren
  • Klare Schwellenwerte festlegen, um zu bestimmen, wann ein Ereignis eine formelle Meldung oder Notifizierung erfordert
  • Die Taxonomie in die Incident-Response-Prozesse und Krisenmanagementpläne integrieren
  • Das technische Personal und die Sicherheitsverantwortlichen in der Anwendung der Klassifizierung schulen
  • Die Klassifizierungsentscheidungen dokumentieren, um Rückverfolgbarkeit und Konsistenz im Zeitverlauf zu gewährleisten

Ein Virtual CISO kann die Organisation bei der Implementierung dieser Prozesse unterstützen und sicherstellen, dass die Klassifizierung der Vorfälle sowohl auf die regulatorischen Anforderungen als auch auf die operativen Besonderheiten des Unternehmens abgestimmt ist. Für zugelassene Wirtschaftsbeteiligte stellt die Integration mit den AEO-Governance- und Sicherheitsanforderungen eine zusätzliche Komplexitätsebene dar, die spezialisierte Kompetenzen erfordert.

Auswirkungen auf das Risikomanagement

Die ACN-Taxonomie beschränkt sich nicht nur auf die Definition von Vorfallkategorien, sondern beeinflusst direkt die Aktivitäten der Risikobewertung. Organisationen müssen berücksichtigen:

  • Die Wahrscheinlichkeit des Auftretens von Ereignissen, die in die drei Kategorien eingestuft werden können
  • Die potenziellen Auswirkungen jeder Vorfallart auf den Betrieb und die Reputation
  • Die spezifischen Präventions- und Minderungsmaßnahmen für jede Kategorie
  • Die erforderlichen Erkennungs- und Reaktionszeiten, um die Auswirkungen der Vorfälle einzudämmen

Die Integration der Taxonomie in die Risikobewertungsprozesse ermöglicht es, Sicherheitsprioritäten mit regulatorischen Verpflichtungen in Einklang zu bringen und Investitionen in Prävention und Vorfallreaktion zu optimieren. Ein effektives SOC-Monitoring- und Incident-Response-System ermöglicht es, Ereignisse, die gemäß der ACN-Taxonomie klassifizierbar sind, rechtzeitig zu erkennen und die Meldeverfahren innerhalb der vorgesehenen Fristen zu aktivieren.

Inkrafttreten und Erfüllung

Die Taxonomie ist ab dem Datum der Veröffentlichung im Amtsblatt in Kraft getreten. Die betroffenen Stellen müssen ihre Vorfallmanagementverfahren unverzüglich anpassen, um die Einhaltung der durch das Gesetz 90/2024 vorgesehenen Melde- und Notifizierungspflichten zu gewährleisten. Um zu überprüfen, ob die eigene Organisation in den Anwendungsbereich fällt, und um die operativen Fristen zu erfahren, ist es nützlich, den Leitfaden zu den in der ACN-Liste der NIS2-Stellen enthaltenen Subjekten und den entsprechenden Fristen zu konsultieren.

  • Welche Stellen müssen die ACN-Taxonomie anwenden?
  • Die Taxonomie gilt für die in Art. 1 Abs. 1 des Gesetzes vom 28. Juni 2024, Nr. 90, genannten Stellen. Dazu gehören Betreiber wesentlicher Dienste, Anbieter digitaler Dienste und andere kritische Einheiten, die durch die Gesetzgebung identifiziert wurden. Es ist notwendig, die eigene Einbeziehung in den regulatorischen Anwendungsbereich durch eine spezifische Analyse der eigenen Tätigkeit und des Sektors zu überprüfen.
  • Deckt die Notifizierung gemäß NIS2 auch die Verpflichtungen des Gesetzes 90/2024 ab?
  • Ja, die ACN-Verfügung stellt ausdrücklich klar, dass die gemäß dem NIS-Dekret durchgeführte Vorabmeldung und Notifizierung auch die durch das Gesetz 90/2024 vorgesehene Verpflichtung erfüllt. Dies vermeidet verfahrenstechnische Doppelungen für Stellen, die in beide regulatorischen Bereiche fallen, und vereinfacht die Verwaltung der Erfüllungen.
  • Wie bestimmt man, ob ein Vorfall in die Kategorie IS-1, IS-2 oder IS-3 fällt?
  • Die Klassifizierung hängt von der Art der Auswirkungen ab: IS-1 betrifft die Kompromittierung der Vertraulichkeit von Daten nach außen, IS-2 deckt Integritätsänderungen mit externen Auswirkungen ab, IS-3 bezieht sich auf Verletzungen der erwarteten Service-Level. Es ist notwendig, das Ereignis anhand dieser Kriterien zu bewerten und die Klassifizierungsentscheidung zu dokumentieren, um Konsistenz und Rückverfolgbarkeit zu gewährleisten.
  • Was sind die Fristen für die Meldung von Vorfällen?
  • Die Meldefristen folgen den Bestimmungen des Gesetzes 90/2024 und für NIS2-Stellen der entsprechenden Disziplin. Im Allgemeinen ist eine rechtzeitige Vorabmeldung erforderlich, gefolgt von einer vollständigen Notifizierung innerhalb definierter Fristen. Es ist entscheidend, interne Verfahren zu definieren, die die Einhaltung dieser Fristen gewährleisten, unter Berücksichtigung der für die Klassifizierung und die Erfassung relevanter Informationen erforderlichen Zeit.
  • Wie integriert man die Taxonomie in bestehende Incident-Response-Prozesse?
  • Die Integration erfordert die Aktualisierung der Vorfallmanagementverfahren, um die Phase der Klassifizierung gemäß den drei ACN-Kategorien einzubeziehen. Es ist notwendig, das Incident-Response-Team zu schulen, klare Entscheidungskriterien zu definieren und die Taxonomie in Ticketing- und Dokumentationssysteme zu integrieren. Ein strukturierter Ansatz umfasst auch regelmäßige Tests, um die Wirksamkeit der Klassifizierung in realistischen Szenarien zu überprüfen.

[Callforaction-NIS2-Footer]

In

, ,

Leave a Reply

Your email address will not be published. Required fields are marked *