Wer sollte das lesen: Rechtsteams, IR-Teams, Compliance-Beauftragte, CSOs.
Die NIS2-Richtlinie verlangt von wesentlichen Dienstleistern, erhebliche Vorfälle innerhalb von 24 Stunden nach Erkennung an zuständige Behörden und nationale CSIRTs zu melden. Doch was macht einen Vorfall „erheblich”? Die Richtlinie legt keine eindeutige Regel fest (ein bestimmtes Datenvolumen, eine Ausfallzeit oder eine finanzielle Schwelle), die automatisch eine Meldung auslöst. Stattdessen legt Artikel 23(3) Kriterien fest, die Urteilsvermögen und kontextuelle Analyse erfordern.
Für Compliance-Beauftragte und Vorfallsreaktionsteams ist das Verständnis der Erheblichkeitsschwelle entscheidend. Eine Fehlklassifizierung von Vorfällen, sei es durch Übermeldung und Überlastung der Regulierungsbehörden oder durch Unter-Meldung und Verstoß gegen die Richtlinie, schafft ein Compliance-Risiko. Die Übermeldung von Vorfällen, die nicht wirklich erheblich sind, kann dazu führen, dass Regulierungsbehörden zukünftige Berichte mit Skepsis betrachten; Unter-Meldung birgt das Risiko regulatorischer Sanktionen und des Vertrauensverlusts.
Dieser Beitrag entpackt Artikel 23(3), zeigt, wie die Erheblichkeitskriterien auf verschiedene Sektoren und Vorfallstypen angewendet werden, und gibt praktische Hinweise für die Entscheidungsfindung bei Vorfällen. Ziel ist es nicht, eine endgültige Checkliste bereitzustellen (die Richtlinie verwendet bewusst urteilsbasierte Kriterien), sondern den Rahmen zu klären und seine Anwendung zu illustrieren.
Die gesetzlichen Kriterien für Erheblichkeit
Artikel 23(3) definiert einen erheblichen Vorfall als einen, der eines der folgenden Kriterien erfüllt:
„Er hat zu einer weitreichenden Störung der Erbringung des von der Einrichtung bereitgestellten wesentlichen Dienstes geführt oder kann zu einer solchen Störung führen.”
„Er hat die Vertraulichkeit, Integrität oder Verfügbarkeit der zur Erbringung des wesentlichen Dienstes verwendeten Netze oder Informationssysteme erheblich beeinträchtigt.”
„Er hat erhebliche Auswirkungen auf die Kontinuität kritischer Funktionen oder hat erhebliche operative oder sicherheitsrelevante Auswirkungen erzeugt.”
Diese Kriterien sind miteinander verbunden, aber unterscheidbar. Das erste betrifft Dienststörungen (Auswirkungen auf Kunden und Öffentlichkeit); das zweite betrifft die technische Beeinträchtigung (Verlust von Datenschutz oder Systemverfügbarkeit); das dritte betrifft umfassendere operative und strategische Auswirkungen.
Kriterium 1: Weitreichende Störung wesentlicher Dienste
Das erste Kriterium fragt, ob der Vorfall die Erbringung des wesentlichen Dienstes gestört hat oder wahrscheinlich stören wird. Für unterschiedliche Sektoren bedeutet „Störung” Verschiedenes:
Für ein Krankenhaus (Anbieter wesentlicher Gesundheitsdienste): Störung bedeutet Beeinträchtigung des klinischen Betriebs. Wenn Ransomware das elektronische Gesundheitsaktensystem verschlüsselt und das Krankenhaus nicht auf Patientenakten zugreifen kann, ist das eine Störung. Wenn alternativ Malware das Apothekensystem kompromittiert und Medikamente nicht ausgegeben werden können, ist das eine Störung. Wenn dagegen Malware auf einem nicht-klinischen Verwaltungssystem (z. B. Lohnabrechnung) entdeckt wird, ist das wahrscheinlich keine Störung, sofern die Malware sich nicht auf klinische Systeme ausbreitet.
Für einen Telekommunikationsanbieter (Anbieter wesentlicher digitaler Infrastrukturdienste): Störung bedeutet Beeinträchtigung der Netzdienste. Wenn ein Angriff einen großen Mobilfunkmast deaktiviert, der Tausende von Nutzern betrifft, ist das eine Störung. Wenn ein Angriff einen Kernnetzrouter kompromittiert und Anrufausfälle in einer Region verursacht, ist das eine Störung.
Für einen Energieversorger (Anbieter wesentlicher Energiedienste): Störung bedeutet Stromausfälle oder Spannungsinstabilität. Wenn ein Angriff auf industrielle Steuerungssysteme zu einem Stromverlust in einer Region führt, ist das eindeutig eine Störung.
Entscheidend verwendet das Kriterium den Begriff „weitreichend”. Eine lokal begrenzte Störung (die nur eine Krankenhausstation, einen einzelnen Mobilfunkmast oder ein einzelnes Umspannwerk betrifft) ist je nach Kontext möglicherweise nicht „weitreichend”. Ein großes Krankenhaus mit mehreren Stationen ist möglicherweise nicht „weitreichend” gestört, wenn die Systeme einer Station ausfallen und andere Stationen weiter funktionieren. Umgekehrt ist eine Störung der Kerndienste (das Haupt-EHR eines Krankenhauses, das alle klinischen Mitarbeiter betrifft, das Kernnetz eines nationalen Telekommunikationsanbieters) inhärent weitreichend.
Die Regulierungsbehörden und CSIRTs der Mitgliedstaaten werden Erwartungen daran haben, was als „weitreichend” gilt. Wenn ein Regulator sektorspezifische Leitlinien veröffentlicht, kann er klarstellen, dass eine Störung, die X % der Diensterbringung, Y Anzahl von Kunden oder Z Dauer betrifft, als weitreichend gilt. In Ermangelung spezifischer Leitlinien müssen Einrichtungen Urteilsvermögen anwenden.
Für Planungszwecke sollten Vorfallsreaktionsteams ihre Bewertung der Störung zum Zeitpunkt der Vorfallserkennung dokumentieren. Welcher Prozentsatz des Dienstes ist betroffen? Wie viele Kunden sind betroffen? Ist die Störung lokal oder weitreichend? Diese Bewertung beeinflusst die Entscheidung, ob eine Meldung erforderlich ist.
Kriterium 2: Erhebliche Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit
Das zweite Kriterium fragt, ob der Vorfall die Vertraulichkeit, Integrität oder Verfügbarkeit von Netzen oder Systemen, die zur Erbringung des wesentlichen Dienstes verwendet werden, erheblich beeinträchtigt hat. Dieses Kriterium konzentriert sich auf technische Beeinträchtigung statt auf Dienststörung.
Beeinträchtigung der Vertraulichkeit: Daten wurden exfiltriert oder sind von Exfiltration bedroht. Wenn ein Angreifer sensible Daten (Patientenakten, persönliche Informationen, Geschäftsgeheimnisse) aus dem System kopiert hat, ist die Vertraulichkeit beeinträchtigt. Die Schwelle ist „erheblich”: Eine Beeinträchtigung, die eine kleine Anzahl von Datensätzen betrifft, oder Daten mit begrenzter Sensibilität, könnte die Schwelle nicht erreichen.
Beeinträchtigung der Integrität: Daten wurden verändert, gelöscht oder sind von Veränderung bedroht. Wenn ein Angreifer Patientenakten, Finanztransaktionen oder kritische Konfigurationsdateien verändert hat, ist die Integrität beeinträchtigt. Im Gesundheitswesen ist die Integritätsbeeinträchtigung von Patientenakten besonders schwerwiegend, da sie sich direkt auf die Patientensicherheit auswirkt.
Beeinträchtigung der Verfügbarkeit: Systeme sind nicht verfügbar oder funktionsunfähig. Wenn ein Angreifer Ransomware eingesetzt hat, die kritische Systeme verschlüsselt, oder wenn ein verteilter Denial-of-Service-Angriff Systeme überlastet hat, ist die Verfügbarkeit beeinträchtigt.
Für jede Art der Beeinträchtigung lautet die Schwelle „erheblich”. Dies erfordert Urteilsvermögen. Eine Datenverletzung, die 100 Patientenakten in einem Krankenhaus mit Millionen von Akten betrifft, ist möglicherweise nicht „erheblich”; eine Verletzung, die 100 000 Akten betrifft, ist es wahrscheinlich. Eine Ransomware-Infektion, die 1 % der Systeme betrifft, ist möglicherweise nicht „erheblich”; bei 50 % wahrscheinlich schon.
In der Praxis wenden Vorfallsreaktionsteams häufig Schwellenwerte basierend auf sektoralen Leitlinien oder internen Richtlinien an. Beispielsweise könnte ein Finanzinstitut jede Verletzung, die mehr als 1 000 Kundendatensätze betrifft, als erheblich betrachten. Ein Gesundheitsdienstleister könnte jede Verletzung, die Patientenbehandlungsdaten betrifft, unabhängig vom Volumen als erheblich betrachten. Diese internen Richtlinien sollten mit den regulatorischen Erwartungen abgestimmt sein.
Mitgliedstaaten oder CSIRTs können Leitlinien veröffentlichen, die Erheblichkeitsschwellen klären. Beispielsweise könnte eine Datenschutzbehörde Leitlinien herausgeben, dass Verletzungen, die mehr als 1 % der betroffenen Personen einer Organisation betreffen, „erheblich” sind. Solche Leitlinien beeinflussen die Erheblichkeitsbestimmung.
Kriterium 3: Erhebliche Auswirkungen auf die Kontinuität kritischer Funktionen
Das dritte Kriterium betrifft Auswirkungen auf kritische Funktionen oder umfassendere operative und sicherheitsrelevante Auswirkungen. Dieses Kriterium ist weiter gefasst und kontextabhängiger als die beiden vorherigen.
Kontinuität kritischer Funktionen: Wenn ein Vorfall eine für den Betrieb der Einrichtung oder des Sektors kritische Funktion betrifft, ist er erheblich. Für ein Kraftwerk ist die kritische Funktion die Stromerzeugung; ein Angriff auf das Steuerungssystem der Erzeugung ist erheblich. Für einen Flughafen umfassen kritische Funktionen Flugverkehrskontrolle, Bodenbewegungskontrolle und Pistenbetrieb; Angriffe darauf sind erheblich.
Operative Auswirkungen: Dies umfasst Auswirkungen auf die Funktionsfähigkeit der Einrichtung, auch wenn die Diensterbringung an externe Kunden nicht beeinträchtigt wird. Ein Angriff auf interne Kommunikationssysteme der Einrichtung oder auf interne Geschäftssysteme könnte erhebliche operative Auswirkungen haben.
Sicherheitsrelevante Auswirkungen: Dies umfasst Auswirkungen auf die Sicherheitslage der Einrichtung oder auf die Sicherheit anderer Einrichtungen. Wenn ein Angreifer Anmeldeinformationen erlangt hat, die Zugang zu kritischen Systemen ermöglichen, oder wenn ein Angriff eine Schwachstelle in den Sicherheitskontrollen der Einrichtung aufzeigt, sind die sicherheitsrelevanten Auswirkungen erheblich.
Für dieses Kriterium erfordert „erheblich” erneut Urteilsvermögen. Eine geringfügige Systemstörung, die nicht-kritische Operationen betrifft, ist nicht erheblich. Ein Angriff, der kritische Funktionen deaktiviert, den Betrieb erheblich verschlechtert oder größere Sicherheitslücken aufdeckt, ist erheblich.
Entscheidungsrahmen und praktische Anwendung
In der Praxis müssen Vorfallsreaktionsteams bei Auftreten eines Vorfalls innerhalb der ersten Stunden (und sicherlich innerhalb von 24 Stunden) entscheiden, ob der Vorfall erheblich ist und ob eine Meldung erforderlich ist. Ein systematischer Ansatz hilft:
Schritt 1: Bestimmen Sie, welche Systeme betroffen sind. Sind sie Systeme, die zur Erbringung des wesentlichen Dienstes verwendet werden (direkt erheblich), oder unterstützende Systeme (weniger wahrscheinlich erheblich)? Eine Verletzung des EHR-Systems eines Krankenhauses ist direkt erheblich; eine Verletzung des Lohnabrechnungssystems des Krankenhauses ist es nicht (es sei denn, sie kaskadiert auf klinische Systeme).
Schritt 2: Bewerten Sie die Dienststörung. Ist der wesentliche Dienst gestört? Ist die Störung lokal oder weitreichend? Wenn das EHR eines Krankenhauses offline ist, kann das gesamte klinische Personal nicht auf Akten zugreifen; das ist weitreichend. Wenn die Systeme einer einzelnen Krankenhausstation ausfallen, andere Stationen aber weiter funktionieren, kann das nicht weitreichend sein.
Schritt 3: Bewerten Sie die technische Beeinträchtigung. Wurden Vertraulichkeit, Integrität oder Verfügbarkeit erheblich beeinträchtigt? Bei einer Verletzung: wie viele Datensätze, wie sensibel sind sie? Bei Verfügbarkeitsverlust: welcher Prozentsatz der Systeme, welche Dauer? Verwenden Sie die internen Richtlinien der Einrichtung oder sektorale Leitlinien als Bezugspunkte.
Schritt 4: Bewerten Sie die operativen und sicherheitsrelevanten Auswirkungen. Hat der Vorfall über Dienststörung und technische Beeinträchtigung hinaus größere Sicherheitslücken aufgedeckt, Anmeldeinformationen mit weitreichendem Zugriff exponiert oder die operativen Fähigkeiten der Einrichtung erheblich verschlechtert?
Schritt 5: Treffen Sie eine Beurteilungsentscheidung. Wenn der Vorfall eines der drei Kriterien in erheblichem Maße erfüllt, ist er erheblich und eine Meldung ist erforderlich.
Dokumentation ist entscheidend. Das Vorfallsreaktionsteam sollte die Analyse zum Zeitpunkt der Vorfallserkennung dokumentieren und die Begründung für die Erheblichkeitsbestimmung erläutern. Wenn keine Meldung ausgelöst wird, erläutert die Dokumentation, warum der Vorfall die Erheblichkeitsschwelle nicht erreicht hat.
Grenzfälle und konservative Meldung
Viele Vorfälle fallen in eine Grauzone: Sie erfüllen die Erheblichkeitskriterien nicht eindeutig, könnten es aber durchaus. Beispielsweise erfüllt ein Ransomware-Angriff, der 30 % der Systeme einer Organisation betrifft, eindeutig die Schwelle; ein Angriff, der 5 % betrifft, möglicherweise nicht. Ein Angriff, der eine kritische Funktion betrifft, erfüllt eindeutig die Schwelle; ein Angriff, der ein nicht-kritisches System betrifft, möglicherweise nicht.
Bei Grenzfällen sollten Einrichtungen einen konservativen Ansatz erwägen. Übermeldung (Behörden über Grenzfälle benachrichtigen, die nicht ganz erheblich sind) führt wahrscheinlich nicht zu Sanktionen; Unter-Meldung (Versäumnis, Vorfälle zu melden, die möglicherweise erheblich sind) birgt das Risiko eines regulatorischen Verstoßes. Wenn eine Einrichtung unsicher ist, kann eine vorherige Konsultation der nationalen zuständigen Behörde oder des CSIRT die Erwartungen klären.
Außerdem sollten Einrichtungen berücksichtigen, dass die Erheblichkeitsbestimmung nach Eindämmung und Untersuchung des Vorfalls getroffen werden kann. Das Kriterium „kann zu einer Störung führen” (zukünftige Störung) ist wichtig: Wenn der Vorfall nicht gemeldet wird, weil er noch keine Störung verursacht hat, die Untersuchung jedoch ergibt, dass er ohne Eindämmung wahrscheinlich eine erhebliche Störung verursacht hätte, ist das Versäumnis der Meldung dennoch ein Verstoß.
Zeitplan und die 24-Stunden-Frist
Artikel 23 verlangt eine Meldung „unverzüglich und in jedem Fall innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls”. Die 24-Stunden-Frist beginnt, wenn die Einrichtung Kenntnis vom Vorfall erlangt, nicht wenn die Untersuchung abgeschlossen ist.
In der Praxis sollte die Vorfallsreaktion parallel zur Erheblichkeitsbestimmung verlaufen. Sobald ein Vorfall erkannt wird, sollten Eindämmungsmaßnahmen beginnen und die anfängliche Erheblichkeitsbewertung einsetzen. Einrichtungen sollten Verfahren haben, die festlegen, wer die Erheblichkeitsentscheidung trifft (in der Regel der Chief Information Security Officer oder ein benannter Incident Commander) und wer die Meldung initiiert (oft Rechtsberater oder ein benannter Compliance-Beauftragter).
Das 24-Stunden-Fenster ist verbindlich. Die Richtlinie erlaubt keine verzögerte Meldung, um den Vorfall zu untersuchen oder einzudämmen. Die Meldung sollte zeitnah erfolgen, mit einer ersten Meldung, die verfügbare Informationen enthält, und einer Folgemeldung, die zusätzliche Details liefert, sobald die Untersuchung fortschreitet.
Wichtige Erkenntnisse
- Ein erheblicher Vorfall nach Artikel 23(3) ist einer, der: (1) die Erbringung des wesentlichen Dienstes weitreichend gestört hat; (2) die Vertraulichkeit, Integrität oder Verfügbarkeit kritischer Systeme erheblich beeinträchtigt hat; oder (3) erhebliche Auswirkungen auf kritische Funktionen oder die operative/sicherheitsrelevante Lage hat.
- „Weitreichend” und „erheblich” sind urteilsbasierte Kriterien ohne eindeutige Schwellenwerte. Einrichtungen sollten interne Richtlinien entwickeln und sich an sektoralen Leitlinien orientieren, die klären, was diese Schwellen in ihrem Kontext erfüllt.
- Vorfallsreaktionsteams müssen die Erheblichkeit zum Zeitpunkt der Vorfallserkennung bewerten, bevor die vollständige Untersuchung abgeschlossen ist. Die Bewertung sollte dokumentieren, welches Kriterium erfüllt ist, die Begründung und die unterstützenden Beweise.
- Grenzfälle rechtfertigen eine konservative Behandlung: Konsultieren Sie bei Unsicherheit zuständige Behörden oder Ihr CSIRT. Übermeldung ist sicherer als Unter-Meldung.
- Das 24-Stunden-Meldefenster beginnt mit Kenntnisnahme des Vorfalls, nicht mit Abschluss der Untersuchung. Die Meldung sollte zeitnah erfolgen, mit einer Folge, die zusätzliche Details liefert.
- Die Dokumentation der Erheblichkeitsbestimmung ist entscheidend, sowohl zur Untermauerung der Entscheidung als auch zum Nachweis einer in gutem Glauben erfolgten Compliance, falls die Entscheidung später hinterfragt wird.
