efks - stock.adobe.com
NIS2: Welche Vorfälle von wem gemeldet werden müssen
Mit NIS2 werden die Meldepflichten bei Cybervorfällen erweitert und verschärft. Alleine die Implementierung eines internen Meldeprozesses greift dafür aber zu kurz.
Auf den ersten Blick sind die Meldepflichten bei einem IT-Sicherheitsvorfall nichts Neues: Werden bei dem Cybervorfall auch personenbezogene Daten in Mitleidenschaft gezogen, müssen alle betroffenen Unternehmen schon seit Jahren an mögliche Meldepflichten nach DSGVO (Datenschutz-Grundverordnung) denken. Handelt es sich bei der betroffenen Organisation um einen KRITIS-Betreiber, sind ebenfalls schon seit längerer Zeit Meldepflichten an das BSI (Bundesamt für Sicherheit in der Informationstechnik) bei IT-Störungen () zu prüfen.
Warum aber sollten sich alle Organisationen nun mit den Meldepflichten nach NIS2 befassen? Die Antwort liefert unter anderem die Bundesinnenministerin selbst: „Mit unserem Gesetz werden künftig mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen müssen. Wir steigern das Sicherheitsniveau – und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden.“
Mehr Organisationen unterliegen einer Meldepflicht nach NIS2
Mit der Umsetzung von NIS2 werden die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ eingeführt, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
Dazu gehören insbesondere auch Anbieter von öffentlichen elektronischen Kommunikationsnetzen und -diensten, Rechenzentrums-Dienste, Abwasser- und Abfallwirtschaft, die Herstellung kritischer Produkte, Post- und Kurierdienste und Einrichtungen der öffentlichen Verwaltung sowie der Gesundheitssektor im weiteren Sinne.
Denkt man an die NIS2-Forderungen zum Lieferkettenschutz und daran, dass Cybervorfälle auch aus der Lieferkette stammen oder die Lieferkette betreffen können, liegt es nahe, dass auch solche Lieferanten, die nicht selbst unter NIS2 reguliert werden, womöglich in die Meldeprozesse einbezogen werden müssen.
Aus dem einstufigen Meldeverfahren wird ein dreistufiges
Auch die Meldung an das BSI selbst verändert sich unter NIS2. Dazu findet man in Artikel 32 Meldepflichten des deutschen Gesetzesentwurfs zur Umsetzung von NIS2 (PDF) das neue, dreistufige Meldesystem bei IT-Störungen, dass alle „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ umsetzen müssen.
Nicht nur die weiteren Fristen für eine Meldung nach einem Zwischenfall werden die betroffenen Einrichtungen zu Veränderungen in den internen Abläufen führen. Auch die Inhalte der Meldung sind durchaus anspruchsvoll. So soll die vorgesehene Abschlussmeldung oder bei Fortbestehen des Vorfalls die Fortschrittsmeldung eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat, Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls umfassen.
Betreiber kritischer Anlagen sind zusätzlich verpflichtet, Angaben zur Art der betroffenen Anlage und der kritischen Dienstleistung sowie zu den Auswirkungen des Sicherheitsvorfalls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Auswirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.
Betrachtet man die Fristen und die erforderlichen Inhalte der Meldungen, wird schnell klar, dass die Implementierung eines ausführlichen Meldesystems nicht die einzige Herausforderung sein dürfte.
Das Wissen um die geforderten Informationen für die Meldungen nach NIS2 setzt ein funktionierendes Verfahren zur Erkennung und Abwehr von IT-Vorfällen und -Störungen voraus. Auch wenn es das Ziel in der Gesetzgebung ist, dass der „administrative Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden“ soll, bleibt festzuhalten: Ohne geeignete Verfahren und Lösungen für Detection & Response werden die Einrichtungen die erforderlichen Informationen kaum bereitstellen können, weder manuell noch automatisch.
Deshalb ist NIS2 auch ein entscheidender, weiterer Anlass, die Erkennung und Abwehr von Cybervorfälle zu verbessern. Letztlich geht es auch genau darum: Die verschärften NIS2-Anforderungen sollen zwar das Wissen über Cybervorfälle insgesamt verbessern, aber gerade auch die Cybersicherheit und die Cyberabwehr in den Einrichtungen stärken.
Man sollte sich also nicht an den Dokumentationsaufwänden stören, sondern vielmehr die Meldepflichten als Anlass für eine Optimierung der Erkennung und Abwehr in der Cybersicherheit sehen.