NIS2-Benachrichtigungen - Wie geht das?

Initiativen für
- Initiativen für
  
  Als nationale Behörde für Cybersicherheit hat das ZCB mehrere Initiativen für bestimmte Zielgruppen entwickelt, die hier vorgestellt werden.
- Safeonweb
  - Home
  - School
- Safeonweb@work
- Bild
Dienstleistungen
- Dienstleistungen
  
  Zu den Aufgaben des ZCB gehören die Funktion des nationalen CISRT, der Zertifizierungsbehörde für Cybersicherheitsdienste und -produkte, der nationalen Koordinierungsstelle für Forschung und Entwicklung im Bereich der Cybersicherheit sowie der Koordinierungsstelle für EU-Mittel und nationale Akteure.
- Bild
Verordnung
Über uns
Kontakt

Das NIS2-Gesetz

Das NIS2-Gesetz sieht vor, dass wesentliche und wichtige Einrichtungen das nationale CSIRT (das ZCB) über alle bedeutenden Vorfälle informieren müssen, die die Bereitstellung ihrer Dienste in den in den Anhängen des Gesetzes aufgeführten (Teil-)Sektoren beeinträchtigen, einschließlich gegebenenfalls Informationen, die es ermöglichen, festzustellen, ob der betreffende Vorfall grenzüberschreitende Auswirkungen hat.

Um dieser Verpflichtung nachzukommen, muss man verstehen, was mit „Vorfall“ und „bedeutend“ gemeint ist.

Ein "erheblicher" Sicherheitsvorfall ist ein Sicherheitsvorfall, der Netzwerke und Informationssysteme, die einen NIS2-Dienst unterstützen, beeinträchtigt (siehe Anhang I oder II des NIS2-Gesetzes) und mindestens eine der folgenden Situationen verursacht hat oder wahrscheinlich verursachen wird (weitere Einzelheiten und Beispiele für diese Situationen finden Sie im Leitfaden zur Meldung von NIS2-Sicherheitsvorfällen):

eine schwerwiegende Betriebsstörung eines NIS2-Dienstes;
Finanzielle Verluste für die betroffene Einrichtung;
Erhebliche materielle, körperliche oder moralischer Schäden für andere natürliche oder juristische Personen.

Die Durchführungsverordnung der Kommission vom 17. Oktober 2024 (2024/2690) verdeutlicht auch, wann ein Sicherheitsvorfall als erheblicher Sicherheitsvorfall (siehe die Zusammenfassung in Anhang 3 des Leitfaden zur Meldung von NIS2-Sicherheitsvorfällen) für bestimmte Einrichtungen, die digitale Dienste anbieten, angesehen werden sollte.

Was melden?

Erhebliche Sicherheitsvorfälle

Frühwarnmeldung (Erste Meldung) spätestens innerhalb von 24 Stunden:

Informationen über vermutete böswillige/rechtswidrige Natur des Vorfalls
Mögliche grenzüberschreitende Auswirkungen
Gegebenenfalls um Unterstützung bitten

Meldung des Sicherheitsvorfalls (vollständige Meldung) spätestens innerhalb von 72 Stunden (bzw. 24 Stunden für Anbieter von Vertrauensdiensten):

Aktualisierung der innerhalb von 24 Stunden bereitgestellten Informationen
Erste Einschätzung des Sicherheitsvorfalls (Schweregrad, Auswirkungen, Kompromittierungsindikatoren)

Zwischenbericht (falls erforderlich)

Abschlussbericht spätestens einen Monat nach der Meldung des Sicherheitsvorfalls:

Detaillierte Beschreibung des Sicherheitsvorfalls
Grundursache/Bedrohung, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat
Ergriffene Maßnahmen

Weitere Informationen finden Sie im Leitfaden zur Meldung von NIS2-Sicherheitsvorfällen.