Die NIS2-Richtlinie fördert die freiwillige Meldung von Cybersicherheitsinformationen durch einen vielschichtigen Ansatz, der die Klärung von Meldeverfahren, die Gewährleistung der Vertraulichkeit und die Betonung der Vorteile des Informationsaustauschs umfasst. Für eine vertiefende Auseinandersetzung mit dem Gesetzestext steht das offizielle Dokument der NIS2-Richtlinie zur Verfügung.

NIS2-Richtlinie: Wichtige Bestimmungen zur Förderung der freiwilligen Meldung

• Artikel 30 der NIS2-Richtlinie stellt klar, dass Unternehmen freiwillig Meldungen an CSIRTs oder nationale Behörden übermitteln können.
• Die Meldungen können sich auf erhebliche Vorfälle, Cyber-Bedrohungen und Beinahe-Vorfälle beziehen, die von wesentlichen und wichtigen Einrichtungen festgestellt wurden.
• Auch Einrichtungen, die nicht meldepflichtig sind, können dieselben Ereignisse unabhängig vom Anwendungsbereich der Richtlinie kommunizieren.
• Die Richtlinie sieht einen Prozess für den Umgang mit freiwilligen Meldungen vor, der dem für die obligatorischen Meldungen gemäß Artikel 23 ähnelt.
• Die Mitgliedstaaten können obligatorische Meldungen gegenüber freiwilligen Meldungen priorisieren.
• Artikel 91 stellt klar, dass eine freiwillige Meldung für die Einrichtung keine zusätzlichen Verpflichtungen nach sich ziehen darf.
• Diese Bestimmung verringert die Bedenken hinsichtlich möglicher negativer Folgen der Offenlegung von Informationen.
• Artikel 29 fördert den freiwilligen Informationsaustausch zwischen Einrichtungen.
• Die Richtlinie fördert die Schaffung von Vereinbarungen zum Austausch von Cybersicherheitsinformationen.
• Die Vereinbarungen ermöglichen den Austausch von Daten über Bedrohungen, Beinahe-Vorfälle, Schwachstellen, Angriffstechniken und Sicherheitspraktiken.
• Die Richtlinie ermutigt zur Bildung von Austauschgemeinschaften in wesentlichen und wichtigen Sektoren.
• Die Mitgliedstaaten müssen diese Vereinbarungen durch Leitlinien zu Betriebsabläufen, Inhalten und Bedingungen erleichtern.
• Wesentliche und wichtige Einrichtungen müssen den Behörden ihre Teilnahme an den Vereinbarungen mitteilen.
• Diese Verpflichtung gewährleistet Transparenz und fördert das Vertrauen in das Informationsaustauschsystem.
• Die ENISA unterstützt den Austausch mit Leitlinien, dem Austausch bewährter Verfahren (Best Practices) und Unterstützung bei der Erstellung der Vereinbarungen.

Weitere Elemente zur Unterstützung der freiwilligen Meldung

• Die Richtlinie fördert eine Kultur der Cybersicherheit und betont die Bedeutung von Schulung und Sensibilisierung. Sie verlangt von Einrichtungen, ihrem Personal Cybersicherheitsschulungen anzubieten, und ermutigt sie, diese Schulungen auf alle Mitarbeiter auszudehnen.
• Sie etabliert einen Rahmen für die koordinierte Offenlegung von Schwachstellen in der gesamten EU und fordert Einzelpersonen und Organisationen dazu auf, Schwachstellen in IKT-Produkten und -Diensten zu melden.
• Die Einrichtung einer von der ENISA verwalteten europäischen Schwachstellendatenbank bietet ein zentrales Repository für öffentlich bekannte Schwachstellen, was die Transparenz erhöht und proaktive Sicherheitsmaßnahmen erleichtert.

Was das in der Praxis für Organisationen bedeutet

Die NIS2-Richtlinie schafft ein sicheres und förderliches Umfeld für den Informationsaustausch: Sie klärt Meldewege, garantiert Vertraulichkeit und unterstreicht die kollektiven Vorteile, die sich aus der proaktiven Bewältigung von Cybersicherheitsherausforderungen ergeben. Für Organisationen, die ihren Anwendungsbereich bewerten oder einen Anpassungsplan strukturieren müssen, bietet der Prozess zur Konformität mit der NIS2-Richtlinie eine strukturierte Unterstützung von der ersten Bewertung bis zur Umsetzung der erforderlichen Maßnahmen. Für Aspekte im Zusammenhang mit der Benennung von Ansprechpartnern für das nationale CSIRT ist auch der Leitfaden zur Verpflichtung zur Benennung eines CSIRT-Ansprechpartners für NIS-Subjekte hilfreich.

[Callforaction-NIS2-Footer]