Die NIS2-Richtlinie legt spezifische Kriterien fest, um zu bestimmen, was einen „erheblichen Vorfall“ darstellt, der Meldepflichten für die unter ihren Anwendungsbereich fallenden Unternehmen auslöst. Wenn Sie verstehen möchten, wie diese Verpflichtungen in einen konkreten Anpassungsprozess umgesetzt werden, bietet unser Service zur NIS2-Richtlinien-Compliance strukturierte Unterstützung von der ersten Bewertung bis zur Umsetzung der erforderlichen Maßnahmen.

[Callforaction-NIS2]

Nachfolgend finden Sie eine Analyse basierend auf der bereitgestellten Quelle:

Artikel 23, Absatz 3 der Richtlinie umreißt die Kriterien für die Einstufung eines Vorfalls als „erheblich“ und erfordert eine Bewertung auf zwei Ebenen:

• Auswirkungen auf den Betrieb des Unternehmens: Der Vorfall muss „eine erhebliche Störung der Dienste oder einen erheblichen finanziellen Verlust für das betroffene Unternehmen verursacht haben oder verursachen können.“ Dieses Kriterium konzentriert sich auf die direkten Auswirkungen auf das Unternehmen, das den Vorfall meldet.
• Auswirkungen auf Dritte: Der Vorfall muss „andere natürliche oder juristische Personen betroffen haben oder betreffen können, indem er erhebliche materielle oder immaterielle Schäden verursacht.“ Dieses Kriterium erweitert den Anwendungsbereich auf mögliche Folgen für Kunden, Nutzer, Partner oder andere betroffene Parteien.

Weitere Klärung zur „erheblichen Störung“:

• Artikel 16 der Mitteilung der Kommission: Bietet weiteren Kontext zur Interpretation einer „erheblichen Störung der Dienste“ und legt nahe, dass diese Einstufung auf der Grundlage einer ersten Bewertung durch das betroffene Unternehmen erfolgen sollte. Diese Bewertung sollte Folgendes berücksichtigen:
• Die Kritikalität der betroffenen Netzwerke und Informationssysteme für die Erbringung der Dienstleistungen des Unternehmens.
• Die Schwere und die technische Art der Cyberbedrohung.
• Die ausgenutzten Schwachstellen.
• Die bisherigen Erfahrungen des Unternehmens mit ähnlichen Vorfällen.
• Zu berücksichtigende Faktoren: Die Mitteilung der Kommission hebt zudem spezifische Indikatoren hervor, die bei der Bewertung der Schwere der Störung relevant sind:
• Ausmaß der Auswirkungen auf die Dienste: Wie stark hat der Vorfall die Fähigkeit des Unternehmens beeinträchtigt, seine Dienste zu erbringen?
• Dauer des Vorfalls: Dauert die Störung noch an, und wenn ja, wie lange hat sie bereits angedauert?
• Anzahl der betroffenen Nutzer: Wie viele Personen oder Organisationen, die von den Diensten des Unternehmens abhängig sind, wurden beeinträchtigt?

Delegierte Rechtsakte für spezifische Sektoren:

• Artikel 23, Absatz 11 (zweiter Unterabsatz): Ermächtigt die Kommission zum Erlass delegierter Rechtsakte, um die Umstände, unter denen ein Vorfall als „erheblich“ zu betrachten ist, weiter zu präzisieren. Diese Rechtsakte können sektorspezifische Leitlinien enthalten. Beispielsweise ist die Kommission beauftragt, delegierte Rechtsakte für Unternehmen wie die folgenden zu erlassen:
• Anbieter von DNS-Diensten
• Register für Top-Level-Domain-Namen
• Anbieter von Cloud-Computing-Diensten
• Anbieter von Rechenzentrumsdiensten
• Content Delivery Networks (CDNs)
• Und andere

Wichtige Überlegungen bei der Bewertung eines Vorfalls:

• Schadenspotenzial: Es ist wichtig zu bedenken, dass sich die Definition der Richtlinie sowohl auf tatsächliche als auch auf potenzielle Schäden konzentriert. Ein Vorfall muss nicht unbedingt bereits erhebliche Störungen oder Schäden verursacht haben, um Meldepflichten auszulösen, sofern eine angemessene Wahrscheinlichkeit besteht, dass er zu solchen Folgen führen könnte.
• Rechtzeitige Bewertung: Die Verpflichtung zur ersten Meldung innerhalb von 24 Stunden, nachdem man Kenntnis von einem potenziellen erheblichen Vorfall erlangt hat, unterstreicht die Bedeutung einer rechtzeitigen und kontinuierlichen Bewertung. Unternehmen sollten über interne Prozesse verfügen, um Vorfälle schnell zu bewerten und festzustellen, ob sie die Kriterien für „erheblich“ erfüllen. Zu diesen Prozessen gehört auch die Benennung eines CSIRT-Ansprechpartners, eine gesetzlich vorgesehene Rolle für die Verwaltung des Meldewegs an die zuständigen Behörden.

Zusammenfassend ist ein „erheblicher Vorfall“ im Sinne der NIS2-Richtlinie ein Ereignis, das eine wesentliche Störung oder einen Schaden verursacht hat oder verursachen könnte, der das meldende Unternehmen oder Dritte betrifft. Die Bewertung des Schweregrades muss auf einer Kombination von Faktoren basieren, und sektorspezifische Leitlinien können durch delegierte Rechtsakte bereitgestellt werden. Um den gesamten regulatorischen Rahmen zu vertiefen, können Sie auch nachlesen, was das Hauptziel der NIS2-Richtlinie ist.

[Callforaction-NIS2-Footer]