Die regulatorischen Vorgaben, insbesondere die Gesetzgebung der Europäischen Union (EU) zur NIS2-Richtlinie, legen fest, an wen Unternehmen schwerwiegende Sicherheitsvorfälle melden müssen, die innerhalb ihrer digitalen Infrastruktur auftreten.

• Als wesentlich oder wichtig eingestufte Einrichtungen sind verpflichtet, schwerwiegende Vorfälle ihrem zuständigen Computer Security Incident Response Team (CSIRT) oder gegebenenfalls der zuständigen nationalen Behörde zu melden. Dieser Meldemechanismus soll eine schnelle und koordinierte Reaktion auf Cybersicherheitsvorfälle in der gesamten EU gewährleisten. Um mehr über die Pflichten im Zusammenhang mit der Rolle des Ansprechpartners zu erfahren, ist es hilfreich, auch die Pflicht zur Benennung eines CSIRT-Ansprechpartners für NIS-Subjekte zu lesen.
• Die Gesetzgebung unterstreicht die Bedeutung der Erstbewertung durch die betroffene Einrichtung, um festzustellen, ob ein Vorfall so schwerwiegend ist, dass er eine Meldung rechtfertigt. Diese Bewertung sollte die Kritikalität der für die Erbringung der Dienstleistungen der Einrichtung betroffenen Systeme, die Schwere und Art etwaiger Cyberbedrohungen sowie die bisherigen Erfahrungen der Einrichtung mit ähnlichen Vorfällen berücksichtigen.
• Neben der Meldung schwerwiegender Vorfälle an das eigene CSIRT oder die zuständige nationale Behörde sind die Einrichtungen verpflichtet, auch die Empfänger ihrer Dienste zu informieren, sofern der Vorfall die Erbringung dieser Dienste negativ beeinflussen könnte.

NIS2-Richtlinie: Wichtige Überlegungen zur Meldung

• Die Gesetzgebung betont einen mehrstufigen Ansatz für die Meldung von Vorfällen, der die Übermittlung einer Frühwarnung, eine formelle Vorfallmeldung und einen Abschlussbericht vorsieht. Dieser Ansatz zielt darauf ab, das Bedürfnis nach einer rechtzeitigen Meldung zur Verringerung potenzieller weitreichender Auswirkungen mit der Notwendigkeit detaillierter Berichte in Einklang zu bringen, die aus einzelnen Vorfällen lernen lassen.
• Die Frühwarnung muss innerhalb von 24 Stunden nach Kenntniserlangung eines schwerwiegenden Vorfalls übermittelt werden. Anschließend ist innerhalb von 72 Stunden eine formelle Vorfallmeldung erforderlich. Schließlich muss innerhalb eines Monats nach der ersten Meldung ein Abschlussbericht eingereicht werden, es sei denn, der Vorfall dauert noch an; in diesem Fall ist ein Fortschrittsbericht und ein Abschlussbericht innerhalb eines Monats nach Behebung des Vorfalls zu übermitteln. Vertrauensdiensteanbieter müssen schwerwiegende Vorfälle jedoch ausnahmslos innerhalb von 24 Stunden nach Kenntniserlangung melden.
• Die Vorschriften betonen zudem, dass die bloße Meldung eines Vorfalls die meldende Einrichtung nicht einer erhöhten rechtlichen Haftung aussetzt. Diese Bestimmung fördert Transparenz und die rechtzeitige Meldung von Cybersicherheitsvorfällen ohne die Angst vor negativen Konsequenzen.

Insgesamt unterstreicht die Verordnung die entscheidende Rolle der Meldung für die Etablierung robuster Cybersicherheitspraktiken in der gesamten EU. Durch die klare Definition der Meldewege und die Betonung der Bedeutung eines zeitnahen und umfassenden Informationsaustauschs zielt die NIS2-Richtlinie darauf ab, die kollektive Cyber-Resilienz wesentlicher und wichtiger Einrichtungen zu stärken. Für Organisationen, die ihren Weg zur Konformität mit der NIS2-Richtlinie noch strukturieren oder überprüfen müssen, ist es auch nützlich, die ACN-Hinweise zu Fristen und zur Eintragung in das NIS2-Verzeichnis zu konsultieren.

[Callforaction-NIS2-Footer]