Die Umsetzung des D.Lgs. 138/2024 (NIS2-Dekret) und der Festlegungen der Nationalen Cybersicherheitsbehörde (ACN) führt einen strukturierten und zeitlich festgelegten Prozess für das Incident Management ein, der diese Tätigkeit von einer reaktiven zu einer gesteuerten Aufgabe macht. Der CSIRT-Beauftragte, der bis zum 31. Dezember 2025 zwingend zu benennen ist, wird zum zentralen Ansprechpartner für die gesamte Kommunikation mit dem CSIRT Italia und stellt sicher, dass jedes Ereignis einer präzisen Abfolge von Meldung und Analyse folgt.

Signifikanzschwelle: Wann ist eine Meldung obligatorisch?

Nicht jede IT-Anomalie erfordert eine Meldung. Die Meldepflicht entsteht nur bei signifikanten Vorfällen gemäß Artikel 25 des NIS2-Dekrets. Ein Vorfall ist signifikant, wenn er mindestens eines der folgenden Kriterien erfüllt:

• Betriebliche Störung: verursacht oder kann eine schwerwiegende Unterbrechung der von der Organisation erbrachten Dienste verursachen.
• Finanzielle Verluste: führt zu erheblichen wirtschaftlichen Schäden für das Opfer.
• Auswirkungen auf Dritte: erzeugt bedeutende materielle oder immaterielle Auswirkungen auf andere natürliche oder juristische Personen.

Die ACN-Festlegung Nr. 164179/2025 identifiziert vier Haupttypen von „grundlegenden signifikanten Vorfällen“:

• IS-1 (Verlust der Vertraulichkeit): Kompromittierung digitaler Daten der Organisation oder kontrollierter Einheiten nach außen.
• IS-2 (Verlust der Integrität): Manipulation von Daten mit externen Auswirkungen.
• IS-3 (Verletzung der Service-Level): Nichterreichen der für kritische Aktivitäten festgelegten Service-Level.
• IS-4 (Missbrauch von Privilegien – nur für wesentliche Einrichtungen): Unbefugter Zugriff oder Missbrauch von Privilegien bei digitalen Eigentumsdaten.

Der CSIRT-Beauftragte prüft, ob das Ereignis in diese Kategorien fällt, und bewertet, ob die in Artikel 25 vorgesehenen Schwellenwerte überschritten werden.

Der Meldezyklus: Phasen und Zeitpläne

Sobald ein signifikanter Vorfall erkannt wird, muss der CSIRT-Beauftragte die Kommunikation an das CSIRT Italia unter Einhaltung präziser Fristen ab dem Zeitpunkt der Kenntnisnahme des Ereignisses durchführen.

Vorabmeldung (innerhalb von 24 Stunden)

• Muss innerhalb von 24 Stunden versendet werden.
• Muss bestätigen, dass der Vorfall signifikant ist.
• Gibt, sofern möglich, an, ob das Ereignis böswilliger Natur ist.
• Bewertet das Vorhandensein grenzüberschreitender Auswirkungen.

Vollständige Meldung (innerhalb von 72 Stunden)

• Muss innerhalb von 72 Stunden übermittelt werden (reduziert auf 24 Stunden für Vertrauensdiensteanbieter).
• Aktualisiert die Informationen der Vorabmeldung.
• Beinhaltet die erste Bewertung der Schwere und der Auswirkungen.
• Liefert Indikatoren für eine Kompromittierung (IoC), sofern verfügbar.

Zwischenberichte und Aktualisierungen

• Auf Anfrage des CSIRT Italia können Zwischenberichte angefordert werden.
• Bei Vorfällen, die länger als einen Monat andauern, sieht die Verordnung monatliche Statusberichte bis zum Abschluss vor.

Abschlussbericht (innerhalb eines Monats)

• Muss innerhalb von 30 Tagen nach Übermittlung der vollständigen Meldung erstellt werden.
• Beschreibt den Vorfall und die Ursache (Root Cause) detailliert.
• Analysiert die Bedrohung oder den Angriffsvektor.
• Berichtet über die ergriffenen und laufenden Minderungsmaßnahmen.
• Präsentiert die endgültige Bewertung der grenzüberschreitenden Auswirkungen.

Freiwillige Meldungen: Aufwertung der Informationen

Artikel 26 der NIS2 fördert freiwillige Meldungen. Der CSIRT-Beauftragte kann dem CSIRT Italia Folgendes melden:

• Nicht signifikante, aber technisch relevante Vorfälle.
• Cyber-Bedrohungen, auch wenn der Angriff noch nicht stattgefunden hat.
• Beinahe-Vorfälle (Near-Misses): potenziell schwerwiegende Ereignisse, die abgefangen oder vermieden wurden.

Freiwillige Meldungen bringen keine zusätzlichen Belastungen oder Sanktionen mit sich und benachteiligen diejenigen, die kooperieren, nicht gegenüber denjenigen, die dies nicht tun.

Operative Rolle des CSIRT-Beauftragten

Der CSIRT-Beauftragte, der bis zum 31. Dezember 2025 zwingend zu benennen ist, ist der einzige operative Ansprechpartner für die Interaktion mit dem CSIRT Italia. Seine Verantwortlichkeiten sind in allen Phasen entscheidend:

• Erkennung: Analysiert Alarme aus dem SOC oder von IT-Dienstleistern, um zu validieren, ob es sich um einen signifikanten Vorfall handelt.
• Reaktion und Untersuchung: Koordiniert das Incident Response Team (IRT), das Rechtsabteilung, IT, Datenschutzbeauftragte und Kommunikation umfasst, und stellt sicher, dass Beweise ohne Manipulationsrisiko gesammelt und aufbewahrt werden.
• Meldung: Übermittelt die Daten über das ACN-Portal und prüft die Konsistenz zwischen technischen Protokollen und rechtlicher Qualifizierung.
• Wiederherstellung und Verbesserung: Trägt zum Post-Incident-Bericht bei, identifiziert Lücken in den Verfahren und aktualisiert die Reaktions-Playbooks, beispielsweise für Ransomware oder DDoS.

Governance, Verantwortung und Betriebskontinuität

Die rechtliche Verantwortung für die Meldepflichten verbleibt bei den Verwaltungs- und Leitungsorganen, wie in Artikel 23 des D.Lgs. 138/2024 vorgesehen. Der CSIRT-Beauftragte nimmt eine rein operative und funktionale Delegation wahr.

Die Nichteinhaltung der Fristen bei der Vorabmeldung oder dem Abschlussbericht führt zu Verwaltungssanktionen und Inspektionen durch die ACN. Um die Betriebskontinuität auch bei Nichtverfügbarkeit des Beauftragten zu gewährleisten, wird die Ernennung eines oder mehrerer Stellvertreter mit denselben technischen und autorisierenden Befugnissen dringend empfohlen.

Fazit

Das Incident Management gemäß NIS2 erfordert einen CSIRT-Beauftragten, der technische Kompetenz und verfahrenstechnische Präzision vereint und die regulatorische Erfüllung zu einem zentralen Element der operativen Resilienz der Organisation macht.

Hauptquellen:
Gazzetta Ufficiale