Die NIS2-Richtlinie skizziert einen mehrstufigen Ansatz für die Meldung von Vorfällen durch Unternehmen, die als „wesentlich“ oder „wichtig“ eingestuft sind. Sie verpflichtet diese dazu, den zuständigen Behörden zeitnahe und umfassende Informationen bereitzustellen.

Hier sind die Mindestanforderungen:

1. Frühwarnung (innerhalb von 24 Stunden)

Aktivierung: Ein wesentliches oder wichtiges Unternehmen muss eine Frühwarnung an sein nationales Computer Security Incident Response Team (CSIRT) oder die zuständige nationale Behörde senden, und zwar „ohne schuldhaftes Zögern, spätestens jedoch innerhalb von 24 Stunden“, nachdem es Kenntnis von einem „erheblichen Vorfall“ erlangt hat.

Inhalt:

• Diese Frühwarnung sollte „gegebenenfalls“ angeben, ob der Vorfall:
  • Vermutlich das Ergebnis rechtswidriger oder böswilliger Handlungen ist, oder
  • Grenzüberschreitende Auswirkungen haben könnte.
• Gemäß Erwägungsgrund 102 sollte die Frühwarnung nur die Informationen enthalten, die erforderlich sind, um das CSIRT oder die zuständige Behörde darüber zu informieren, dass ein erheblicher Vorfall aufgetreten ist oder gerade stattfindet.
• Zweck:
• Den Behörden eine schnelle Bewertung der Lage ermöglichen.
• Dem betroffenen Unternehmen die Möglichkeit geben, Unterstützung, Anleitung oder operative Ratschläge zur Umsetzung von Minderungsmaßnahmen anzufordern.

2. Vorfallmeldung (innerhalb von 72 Stunden)

Aktivierung: Im Anschluss an die Frühwarnung muss das Unternehmen eine detailliertere Meldung des Vorfalls übermitteln.

Zeitrahmen: Diese Meldung muss „ohne schuldhaftes Zögern, spätestens jedoch innerhalb von 72 Stunden“, nachdem das Unternehmen Kenntnis von dem erheblichen Vorfall erlangt hat, übermittelt werden.

Inhalt:

• Diese Meldung sollte die in der Frühwarnung bereitgestellten Informationen „gegebenenfalls“ aktualisieren.
• Sie sollte zudem eine erste Bewertung des Vorfalls enthalten, einschließlich:
  • Seiner Schwere,
  • Seiner Auswirkungen, und
  • Soweit verfügbar, Indikatoren für eine Kompromittierung (Indicators of Compromise).

3. Abschlussbericht (innerhalb eines Monats)

Aktivierung: Die letzte Phase der Vorfallmeldung ist die Einreichung eines vollständigen Abschlussberichts.

Zeitrahmen: Dieser Bericht muss „innerhalb eines Monats“ nach Übermittlung der Vorfallmeldung eingereicht werden.

Inhalt: Der Abschlussbericht muss Folgendes enthalten:

• Eine detaillierte Beschreibung des Vorfalls, einschließlich seiner Schwere und Auswirkungen,
• Die Art der Bedrohung oder die Grundursache, die wahrscheinlich den Vorfall ausgelöst hat,
• Die ergriffenen und laufenden Minderungsmaßnahmen, und
• Gegebenenfalls die grenzüberschreitenden Auswirkungen des Vorfalls.

Andauernde Vorfälle: Wenn der Vorfall zum Zeitpunkt der Fälligkeit des Abschlussberichts noch andauert, muss das Unternehmen:

• Zu diesem Zeitpunkt einen Zwischenbericht vorlegen, und
• Einen Abschlussbericht innerhalb eines Monats nach Behebung des Vorfalls einreichen.

4. Zusätzliche Anforderungen und Überlegungen

Erheblicher Vorfall: Die Meldepflichten werden durch „erhebliche Vorfälle“ ausgelöst. Ein Vorfall gilt als erheblich, wenn er eines der folgenden Kriterien erfüllt:

• Er hat eine erhebliche Störung bei der Erbringung der Dienste des Unternehmens oder einen finanziellen Verlust für das Unternehmen verursacht oder ist dazu in der Lage, oder
• Er hatte oder ist dazu in der Lage, erhebliche Auswirkungen auf andere natürliche oder juristische Personen zu haben, was zu beträchtlichen materiellen oder immateriellen Schäden führt.

Offenlegung von Schwachstellen: Die NIS2-Richtlinie führt einen Prozess zur koordinierten Offenlegung von Schwachstellen über ein benanntes CSIRT ein, der die Kommunikation zwischen den Entdeckern von Schwachstellen und den betroffenen Anbietern von IKT-Produkten/-Diensten erleichtert. Dieser Prozess zielt darauf ab, Schwachstellen zeitnah zu beheben und ihre potenziellen Auswirkungen zu minimieren.

Informationsaustausch: Wesentliche und wichtige Unternehmen werden dazu ermutigt, Vereinbarungen zum Austausch von Informationen über Cybersicherheit zu treffen, einschließlich Bedrohungen, Vorfällen und bewährten Verfahren, um einen proaktiveren und kooperativeren Ansatz bei der Cybersicherheit zu fördern.

Die Meldepflichten der NIS2-Richtlinie betonen einen proaktiven und mehrstufigen Ansatz für den Informationsaustausch und die Reaktion auf Vorfälle. Durch die Bereitstellung zeitnaher und umfassender Berichte an die Behörden tragen Unternehmen zu einer robusteren Cybersicherheitslage in der gesamten EU bei.