ISGroup Cybersicherheitsberatung

Anforderungen an das Incident Management gemäß NIS2

Die NIS2-Richtlinie definiert spezifische Anforderungen für das Incident-Management und konzentriert sich dabei auf einen mehrstufigen Ansatz für die Meldung signifikanter Vorfälle. Für eine vertiefende Auseinandersetzung mit dem Gesetzestext steht das offizielle Dokument der NIS2-Richtlinie zur Verfügung.

[Callforaction-NIS2]

Hier ist eine Zusammenfassung basierend auf den bereitgestellten Informationen:

  • Erste Reaktion (Frühwarnung): Wesentliche und wichtige Einrichtungen sind verpflichtet, eine Frühwarnung an ihr CSIRT oder die zuständige nationale Behörde unverzüglich und spätestens innerhalb von 24 Stunden zu senden, nachdem sie von einem signifikanten Vorfall Kenntnis erlangt haben. Diese Frühwarnung muss Folgendes enthalten:
    • Bestätigung des signifikanten Vorfalls.
    • Angabe, ob der Vorfall möglicherweise das Ergebnis rechtswidriger oder böswilliger Handlungen ist, sofern zutreffend.
    • Vorläufige Bewertung, ob der Vorfall grenzüberschreitende Auswirkungen haben könnte oder wahrscheinlich hat.
    • Die Frühwarnung dient dazu, eine zeitnahe Reaktion zu ermöglichen und der betroffenen Einrichtung bei Bedarf Unterstützung anzufordern.
  • Formelle Meldung: Im Anschluss an die Frühwarnung müssen die Einrichtungen eine formelle Meldung des Vorfalls unverzüglich und spätestens innerhalb von 72 Stunden nach Kenntniserlangung des Vorfalls übermitteln. Diese Meldung muss enthalten:
    • Aktualisierungen der in der Frühwarnung bereitgestellten Informationen.
    • Eine erste Bewertung des Vorfalls, einschließlich seiner Schwere und Auswirkungen.
    • Indikatoren für eine Kompromittierung (IoCs), sofern verfügbar.
  • Zwischenbericht: Ein CSIRT oder eine zuständige Behörde kann einen Zwischenbericht von der betroffenen Einrichtung anfordern. Dieser Bericht liefert relevante Aktualisierungen zur Lage.
  • Abschlussbericht: Ein Abschlussbericht muss innerhalb eines Monats nach Übermittlung der Vorfallmeldung an das CSIRT oder die zuständige Behörde gesendet werden. Dieser Bericht muss enthalten:
    • Detaillierte Beschreibung des Vorfalls, seiner Schwere und seiner Auswirkungen.
    • Analyse der Art der Bedrohung oder der Ursache, die den Vorfall wahrscheinlich ausgelöst hat.
    • Beschreibung der ergriffenen und der noch laufenden Minderungsmaßnahmen.
    • Bewertung der grenzüberschreitenden Auswirkungen des Vorfalls, sofern zutreffend.
  • Laufende Berichterstattung über den Vorfall: Wenn der Vorfall zum Zeitpunkt der Übermittlung des Abschlussberichts noch andauert, muss die betroffene Einrichtung einen Statusbericht zum Vorfall vorlegen. Ein endgültiger Abschlussbericht ist dann innerhalb eines Monats nach Behebung des Vorfalls fällig.
  • Sonderfall: Vertrauensdiensteanbieter: Vertrauensdiensteanbieter müssen eine kürzere Frist für die Meldung von Vorfällen einhalten, die ihre Vertrauensdienste betreffen. Sie müssen das CSIRT oder die zuständige Behörde unverzüglich und spätestens innerhalb von 24 Stunden nach Kenntniserlangung des signifikanten Vorfalls benachrichtigen.
  • Informationsaustausch:
    • Um eine koordinierte Reaktion zu gewährleisten, insbesondere bei Vorfällen, die mehrere Mitgliedstaaten betreffen, müssen das CSIRT, die zuständige Behörde oder die zentrale Anlaufstelle (SPOC) unverzüglich die anderen betroffenen Mitgliedstaaten und die ENISA informieren.
    • Der Informationsaustausch muss die kommerziellen Interessen der betroffenen Einrichtung sowie die Vertraulichkeit der bereitgestellten Informationen gemäß EU-Recht oder nationalem Recht schützen.
    • Die öffentliche Bekanntgabe des Vorfalls kann gerechtfertigt sein, wenn dies zum Schutz der Öffentlichkeit erforderlich ist oder im öffentlichen Interesse liegt. Dies sollte in Absprache mit der betroffenen Einrichtung erfolgen.
  • Unterstützung und Beratung: Nach Erhalt einer Frühwarnung müssen das CSIRT oder die zuständige Behörde den Eingang bestätigen und auf Anfrage der betroffenen Einrichtung Anleitungen oder operative Ratschläge zu möglichen Minderungsmaßnahmen geben. Sie können auf Anfrage auch weitere technische Unterstützung anbieten.
  • Meldung an andere Behörden:
    • CSIRTs oder zuständige Behörden müssen Informationen über signifikante Vorfälle mit den gemäß der CER-Richtlinie relevanten Behörden teilen.
    • Wenn während der Vorfallbearbeitung eine mögliche Datenschutzverletzung festgestellt wird, müssen die zuständigen Behörden die Datenschutzbehörden informieren, wie es die DSGVO vorsieht.

Die NIS2-Richtlinie zielt darauf ab, die Meldung von Vorfällen zu vereinfachen und einen einheitlichen Ansatz zwischen den Mitgliedstaaten zu gewährleisten, während gleichzeitig eine gewisse Flexibilität besteht, um auf die spezifischen Umstände jedes Vorfalls einzugehen. Für Organisationen, die ihren Weg zur NIS2-Konformität strukturieren, erfordert die Umsetzung dieser Verpflichtungen in konkrete operative Verfahren eine genaue Analyse des eigenen Anwendungsbereichs und der internen Prozesse. Sie können sich auch weiter darüber informieren, was das Hauptziel der NIS2-Richtlinie ist, um den gesamten regulatorischen Kontext besser einzuordnen.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *