NIS-2 Blogreihe – Teil 4: Registrierungs- und Meldepflichten: Was Unternehmen jetzt wissen müssen!

Mit der Einführung der NIS-2-Richtlinie wird ein bedeutender Schritt zur Verbesserung der Netz- und Informationssicherheit auf europäischer Ebene unternommen. Die Registrierungspflicht und die erweiterte Meldepflicht tragen entscheidend dazu bei, die Resilienz kritischer Infrastrukturen zu stärken und die Reaktionsfähigkeit auf Cyberbedrohungen zu optimieren. Die Registrierungspflicht zielt darauf ab, eine präzise Übersicht der relevanten Einrichtungen zu erhalten, potenzielle Sicherheitsrisiken frühzeitig zu erkennen und rasch zu adressieren. Die Meldepflicht gewährleistet eine koordinierte Reaktion auf Bedrohungen und eine umfassende Erfassung der Bedrohungslandschaft.

Die NIS-2-Richtlinie führt eine wichtige Neuerung ein: die Registrierungspflicht (Art. 27 (EU) 2022/2555) für betroffene Einrichtungen. Diese Maßnahme zielt darauf ab, einen umfassenden Überblick über die kritische digitale Infrastruktur in der Europäischen Union zu gewinnen, um deren Schutz bestmöglich koordinieren zu können.

Jeder Mitgliedsstaat ist für die Registrierung der Einrichtungen im eigenen Land zuständig. Die ENISA erstellt und führt eine Liste mit wichtigen IT-Dienstleistern, darunter Anbieter von DNS-Diensten, Cloud-Computing, Rechenzentren und Online-Plattformen wie Marktplätze oder soziale Netzwerke. Diese Liste basiert auf Informationen, die sie von den zuständigen Stellen erhält. Auf Anfrage gewährt die ENISA den Behörden Zugriff auf diese Daten, stellt aber sicher, dass vertrauliche Informationen geschützt bleiben.

In Deutschland wird die Registrierung aller Wahrscheinlichkeit nach über ein Portal des BSI laufen. Dieses wird aktuell aufgebaut, sodass es bis zum Inkrafttreten des Gesetzes einsatzbereit ist. Danach haben betroffene Einrichtungen die Verpflichtung sich innerhalb von drei Monaten zu Registrieren. Folgende Daten müssen (nach aktuellem Stand) angegeben werden.

• Name der Einrichtung
• Anschrift und Kontaktdaten
• Sektor
• Mitgliedsstaaten, in denen die Einrichtung aktiv ist
• Zuständige Aufsichtsbehörde(n)

Ein zentraler Aspekt der Richtlinie ist die strikte Meldefrist: Organisationen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden nach deren Feststellung an die zuständigen nationalen Behörden melden. Als Zeitpunkt der Feststellung wird der Moment bezeichnet in dem Mitarbeiter*innen einer Einrichtung innerhalb ihrer bzw. seiner Arbeitszeit einen erheblichen Sicherheitsvorfall feststellt. Falls eine vollständige Meldung in diesem Zeitrahmen nicht möglich ist, wird eine erste Meldung mit den verfügbaren Informationen erwartet, gefolgt von einer detaillierteren Meldung so bald wie möglich.

Die Meldepflicht gilt für Vorfälle, die die Verfügbarkeit, Integrität, Vertraulichkeit oder Authentizität der Netz- und Informationssysteme erheblich beeinträchtigen. In bestimmten Fällen müssen Organisationen auch betroffene Kunden oder Nutzer informieren.

Meldepflichtige Vorfälle
Erhebliche Sicherheitsvorfälle müssen gemeldet werden. Darunter fallen schwerwiegende
Betriebsstörungen, die zu finanziellen Verlusten der Einrichtung führen. Ebenso ist eine Meldung erforderlich, wenn der Vorfall zu einem Schaden für Dritte führt, unabhängig davon, ob dieser materieller oder immaterieller Natur ist. Ausschlaggebend ist dabei nicht, ob der Schaden bereits eingetreten ist, sondern das Potenzial des Vorfalls, entsprechende Schäden zu verursachen.

Inhalte der Meldungen

Die Anfangsmeldung oder auch Erstmeldung gilt als „Frühwarnung“. Hier muss mitgeteilt werden, ob der Verdacht besteht, dass der Vorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist und ob grenzüberschreitende Auswirkungen möglich sind.

Folgemeldungen dienen der Aktualisierung der Informationen, welche in der Erstmeldung bereitgestellt wurden. Hier wird ebenfalls der Sicherheitsvorfall auf seinen Schweregrad und seine Auswirkung bewertet. Zudem werden digitale Spuren oder Hinweise benannt, die auf den Vorfall hindeuten, die so genannten Kompromittierungsindikatoren. Folgemeldungen sollten innerhalb 72 Stunden nach einem Sicherheitsvorfall erfolgen.

Die Abschlussmeldung beschreibt den Sicherheitsvorfall ausführlich einschließend seines Schweregrades und seiner Auswirkung. Es müssen Angaben zur Art der Bedrohung bzw. den zugrunde liegenden Ursachen gemacht werden. Außerdem muss beschrieben werden, welche Abhilfemaßnahmen getroffen wurden oder noch laufen. Zuletzt müssen grenzüberschreitende Auswirkungen des Sicherheitsvorfalles erwähnt werden. Die Abschlussmeldung muss einen Monat nach der Erstmeldung erfolgen, sofern der Sicherheitsvorfall vollständig bearbeitet wurde. Ansonsten erfolgen weitere Folgemeldungen bis der Vorfall abgeschlossen wird. Die Abschlussmeldung ist dann nach der Bewältigung anzugeben.

Meldewege

Das BSI arbeitet aktuell an einem Portal was nicht nur die Registrierung betroffener Einrichtungen vereinfachen, sondern auch Meldungen von Sicherheitsvorfällen so unkompliziert wie möglich machen soll. Prinzipiell kann jeder Mitarbeitende einer Einrichtung mit einem Zugang zum BSI-Portal Sicherheitsvorfälle in einer Einrichtung melden. Empfohlen wird, dass eine überschaubare Menge von Mitarbeitenden über einen solchen Zugang verfügt, damit Meldungen auch im Urlaubs- oder Krankheitsfall der Mitarbeitenden erfolgen können. Wichtig ist hier, dass die meldeberechtigten Personen nicht die Geschäftsführer des Unternehmens sind, da diese primär andere Aufgaben pflegen müssen. Meldungen können auch an Dienstleister ausgelagert werden, dennoch bleibt die Verantwortung und der Inhalt der Meldung beim Unternehmen.

Nachdem ein Sicherheitsvorfall dem BSI gemeldet wurde, wird dieser von diesem bearbeitet.

Der Ablauf zur Meldung im Falle eines Sicherheitsvorfalles

Die NIS-2-Richtlinie erfordert, dass Unternehmen geeignete Prozesse und Systeme implementieren, die eine schnelle Erkennung und Meldung von Sicherheitsvorfällen ermöglichen. Die nationalen Behörden tragen die Verantwortung für die Prüfung gemeldeter Vorfälle und die Einleitung weiterer Maßnahmen, während die EU-Kommission für die Koordination auf europäischer Ebene zuständig ist.

Empfehlung des BSI: die Kontaktstelle

Eine Empfehlung des BSI zur Umsetzung der Meldepflicht nach der NIS-2-Richtlinie ist die Einrichtung einer sogenannten Kontaktstelle. Diese fungiert als Schnittstelle zwischen dem Unternehmen und den zuständigen Behörden, insbesondere dem BSI. Ihre Hauptaufgabe besteht darin, relevante Informationen des BSI zu empfangen, intern weiterzugeben und eine reibungslose Kommunikation in beide Richtungen zu gewährleisten.

Aufgaben und Funktion der Kontaktstelle

Die Kontaktstelle empfängt Cybersicherheitswarnungen und Lageinformationen des BSI. Diese Informationen werden analysiert und bewertet, um mögliche Auswirkungen auf das Unternehmen frühzeitig zu erkennen. Zudem stellt die Kontaktstelle sicher, dass betroffene interne Stellen rechtzeitig alarmiert werden. Wichtig ist dabei, dass sie über geeignete Ansprechpersonen verfügt, die über das notwendige Fachwissen zur Beurteilung von Bedrohungslagen verfügen und aktiv in die organisatorischen Prozesse zur Bewältigung von Sicherheitsvorfällen eingebunden sind.

Obwohl die Kontaktstelle eine zentrale Rolle in der Sicherheitskommunikation spielt, ist sie nicht zwingend die einzige meldende Stelle im Unternehmen. Vielmehr empfiehlt das BSI, dass ein größerer Kreis von Mitarbeitenden in der Lage sein sollte, Vorfälle zu melden, um eine schnelle Reaktionsfähigkeit zu gewährleisten.

Praktische Umsetzung und Empfehlungen des BSI

Damit die Kontaktstelle ihre Aufgaben effizient erfüllen kann, gibt das BSI folgende Empfehlungen:

• Funktionspostfach: Die Kontaktstelle sollte über ein zentrales Funktionspostfach verfügen, das technisch rund um die Uhr ausgelesen werden kann.
• Telefonische Erreichbarkeit: Für dringende Fälle ist eine telefonische Erreichbarkeit empfehlenswert.
• Interne und externe Besetzung: Die Kontaktstelle kann sowohl intern als auch durch externe Dienstleister besetzt werden.
• Rollenbasierte Organisation: Eine sinnvolle Umsetzung kann beispielsweise im Rahmen eines Security Operations Centers (SOC) erfolgen.
• Mindestbesetzung: Idealerweise sollten mindestens zwei Personen für diese Aufgabe verantwortlich sein – eine Hauptansprechperson und eine organisatorische Ansprechperson.

Die Einrichtung einer funktionierenden Kontaktstelle stellt sicher, dass Unternehmen die Anforderungen der NIS-2-Richtlinie erfüllen und im Ernstfall schnell und koordiniert auf Cyberbedrohungen reagieren können.

Die NIS-2-Richtlinie stellt einen bedeutenden Fortschritt in der europäischen Cybersicherheitsstrategie dar. Die Registrierungspflicht und die erweiterte Meldepflicht für Sicherheitsvorfälle schaffen Transparenz und fördern eine schnelle und koordinierte Reaktion auf Cyberbedrohungen. In unserem nächsten Blogbeitrag werden wir uns mit der Aufsicht der Umsetzung der NIS-2-Richtlinie und möglichen Sanktionen für Unternehmen befassen. Bleib dran!

Unser Team von Cybersicherheitsexperten steht dir zur Seite, um bei der Umsetzung der NIS-2-Anforderungen zu unterstützen. Wir bieten:

• Analyse deiner bestehenden Sicherheitsvorkehrungen
• Unterstützung bei der Registrierung beim BSI
• Entwicklung eines Notfallplans für Sicherheitsvorfälle
• Schulungen für deine Mitarbeiter

Kontaktiere uns für ein unverbindliches Beratungsgespräch!

Haftungsausschluss:

Die in diesem Blogpost enthaltenen Informationen dienen lediglich zu Informationszwecken und stellen keine Rechtsberatung dar. Wir haben die Informationen nach bestem Wissen und Gewissen zusammengestellt, übernehmen jedoch keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Für eine verbindliche Auslegung der NIS-2-Richtlinie und deren Umsetzung in nationales Recht konsultiere bitte einen Rechtsberater.