CybersicherheitSicherheitsvorfälle nach NIS-2 richtig melden
Welche Berichtspflichten bestehen?
Kommt es zu einem erheblichen Vorfall, der die Cybersicherheit bedroht, dann haben sogenannte „wesentliche und wichtige Einrichtungen“ eine umfassende Berichtspflicht:
- Innerhalb von 24 Stunden muss eine Frühwarnung herausgegeben werden.
- Die ausführliche Meldung mit Bewertung des Vorfalls muss innerhalb von 72 Stunden nach Bekanntwerden des Sicherheitsvorfalls erfolgen.
- Innerhalb eines Monats nach der erfolgten Frühwarnung ist ein Abschlussbericht einzureichen, in dem notwendige Maßnahmen genannt sind.
Zwischenberichte und Informationen zum aktuellen Status können von den zuständigen Behörden zusätzlich verlangt werden.
Wie definiert die NIS-2 einen erheblichen Sicherheitsvorfall?
Sie müssen nur sogenannte erhebliche Vorfälle melden. Damit sind solche Vorfälle zur Gefährdung der Cybersicherheit gemeint, die eine erhebliche Auswirkung auf die Dienste haben, die Ihr Unternehmen anbietet. Dazu gehören Störungen, die finanzielle Verluste nach sich ziehen oder einen erheblichen materiellen oder immateriellen Schaden verursachen.
Wie lange die Störung dauert und wie viele Personen davon betroffen sind, hat ebenfalls eine Auswirkung darauf, ob eine Störung als „erheblich“ deklariert werden kann. Bisher gibt es keinen verbindlichen Leitfaden, der genauere Kriterien nennt. Was zum Beispiel „schwerwiegend“ in Bezug auf den verursachten Schaden meint, ist nicht genau festgelegt.
Wo wird ein Sicherheitsvorfall gemeldet?
Die Richtlinie NIS-2 fordert, dass folgende Anlaufstellen über einen erheblichen Vorfall in wesentlichen und wichtigen Einrichtungen informiert werden:
- Computer Security Incident Response Team (CSIRT)
- vom Mitgliedsstaat als verantwortlich benannte Behörden
Immer und unverzüglich informiert werden außerdem Empfänger der Dienste, die von einem Sicherheitsvorfall betroffen sind. Das sind häufig Kundinnen und Kunden, aber auch die Beschäftigten.
Weitere laut NIS-2-Richtlinie zu ergreifende Maßnahmen sind in der folgenden Vorlage für Sie erläutert:
Wie werden Vorfälle nach NIS-2 gemeldet?
Die folgenden Informationen stammen aus dem offiziellen Dokument zur NIS-2-Richtlinie, das Sie auf der Website der Europäischen Union finden. Die Details zur Meldepflicht lesen Sie in Artikel 23 „Berichtspflichten“.
Frühwarnung an CSIRT oder Behörde
Die Frühwarnung muss unverzüglich innerhalb von 24 Stunden erfolgen und beantwortet mindestens die folgenden Fragen:
- Besteht der Verdacht auf einen erheblichen Vorfall durch absichtliche, unrechtmäßige Handlungen?
- Wie kommt der Verdacht zustande?
- Hat der Vorfall grenzübergreifende Auswirkungen oder könnte er solche haben?
Das Dokument reichen Sie online ein und nennen die Datei zum Beispiel:
[Name des Unternehmens] [Datum des Vorfalls] Fruehwarnung ueber erheblichen Sicherheitsvorfall
Meldung an betroffene Personen oder Stellen
Die Meldung erfolgt unverzüglich und auch dann, wenn die Personen oder Stellen nur möglicherweise betroffen sind. Sie beantwortet:
- Um welche Cyber-Bedrohung handelt es sich und inwiefern ist man betroffen?
- Welche Maßnahmen können Betroffene selbst zur Abwehr schädlicher Folgen ergreifen?
- Wie geht es weiter? (Gibt es zum Beispiel regelmäßige Statusmeldungen oder ein konkretes Hilfsangebot?)
Beispiel: Meldung an von Sicherheitsvorfall betroffene Personen oder Stellen
Betreff: Sicherheitsvorfall – wichtige Informationen und Maßnahmen
Sehr geehrte Damen und Herren,
wir möchten Sie hiermit über einen Sicherheitsvorfall in unseren IT-Systemen informieren, der gemäß der NIS2-Richtlinie eine unverzügliche Benachrichtigung erforderlich macht.
Art des Vorfalls
Am [Datum] haben wir eine [Art des Vorfalls, zum Beispiel: Datenpanne, Cyberangriff] entdeckt, der die Sicherheit und Vertraulichkeit unserer Systeme und möglicherweise Ihrer personenbezogenen Daten beeinträchtigen könnte.
Betroffene Systeme/Daten
Die betroffenen Systeme/Daten umfassen [Beschreibung der betroffenen Systeme und Daten]. Es gibt Hinweise darauf, dass [Art der Daten, zum Beispiel personenbezogene Daten, Finanzinformationen] betroffen sein könnten.
Auswirkungen
Dieser Vorfall könnte folgende Auswirkungen auf Sie haben:
-
möglicher unbefugter Zugriff auf Ihre Daten
-
potenzielles Risiko von Identitätsdiebstahl oder Phishing-Angriffen
-
Einschränkungen in der Verfügbarkeit bestimmter Dienste
Ergriffene Maßnahmen
Wir haben umgehend folgende Schritte eingeleitet:
-
sofortige Isolierung der betroffenen Systeme
-
Zusammenarbeit mit externen IT-Sicherheitsdienstleistern, um die Schwachstellen zu beheben
-
Benachrichtigung der zuständigen Behörden gemäß der NIS2-Richtlinie
Ihre Handlungsempfehlung
Zum Schutz Ihrer Daten und zur Vermeidung weiterer Risiken bitten wir Sie, folgende Maßnahmen zu ergreifen:
-
Ändern Sie Ihr Passwort für alle Konten, die mit unserem Dienst verbunden sind.
-
Achten Sie auf verdächtige E-Mails oder andere Kommunikationsformen, die auf Phishing hinweisen könnten.
-
Aktivieren Sie eine Zwei-Faktor-Authentifizierung (sofern noch nicht geschehen).
Kontaktinformationen
Für weitere Fragen oder um Unterstützung zu erhalten, können Sie sich an unser IT-Sicherheitsteam wenden:
E-Mail: [E-Mail-Adresse]
Telefon: [Telefonnummer]
Weiteres Vorgehen
Wir werden Sie weiterhin über den Fortschritt unserer Untersuchungen und alle weiteren Maßnahmen, die erforderlich sein könnten, auf dem Laufenden halten.
Mit freundlichen Grüßen
[Name des Unternehmens]
[Kontaktinformationen]
Fortschrittsbericht
Wenn es sich um einen andauernden Sicherheitsvorfall handelt, (NIS-2, Artikel 23, Absatz 4, Buchstabe e) müssen die Mitgliedsstaaten sicherstellen, dass ein Fortschrittsbericht erstellt wird. Ihr Unternehmen erhält in diesem Fall eine Aufforderung zur Erstellung des Dokuments.
Die Datei nennen Sie zum Beispiel:
[Name des Unternehmen] [Datum] Fortschritsbericht zu erheblichem laufenden Sicherheitsvorfall
Abschlussbericht
Der Abschlussbericht wird spätestens einen Monat, nachdem Sie den Vorfall gemeldet haben, eingereicht. Die Empfänger sind erneut CSIRT oder eine zuständige und explizit genannte Behörde. Enthalten sind Informationen zu:
- Art und Ausmaß des Vorfalls
- Schwere und Auswirkung des Sicherheitsvorfalls
- (angenommene) Ursache
- laufende oder bereits abgeschlossene Gegenmaßnahmen
- grenzüberschreitende Auswirkungen, sofern existent
Das einzureichende Dokument heißt etwa:
[Name des Unternehmens] [Datum] Abschlussbericht zu erheblichem Sicherheitsvorfall
Zwischenbericht
Wenn das Computer Security Incident Response Team oder eine zuständige Behörde Sie dazu auffordert, muss ein Statusbericht erstellt werden. Dieser legt zum Beispiel dar, welche Gefahren (noch) von dem Vorfall ausgehen, welche Maßnahmen bereits ergriffen wurden oder geplant sind und welche Entwicklung erwartet wird.
Das betreffende Dokument nennen Sie etwa:
[Name des Unternehmen] [Datum] Statusbericht zu erheblichem Sicherheitsvorfall