Das NIS2 Incident Reporting Framework: Eine schrittweise Anleitung
Wer sollte das lesen: Incident-Response-Teams, CISOs, Compliance-Beauftragte, Rechtsteams und alle, die für die Meldung von Vorfällen und behördliche Benachrichtigungen verantwortlich sind.
Eine der konkretesten Verpflichtungen von NIS2 ist die Meldung von Vorfällen. Wenn etwas schief geht — ein Cyberangriff, eine Datenschutzverletzung, ein Systemausfall — müssen Sie Ihre Aufsichtsbehörde benachrichtigen. Die Meldefristen sind knapp bemessen: 24 oder 72 Stunden, je nach Unternehmenstyp. Es gibt keine Flexibilität. Wenn Sie die Frist verpassen, müssen Sie mit Sanktionen rechnen.
Artikel 23 legt den Rahmen fest. In diesem Leitfaden werden die Berichtspflichten und Zeitpläne beschrieben, was Sie melden müssen und wie Sie die Kapazitäten zur Erfüllung dieser Verpflichtungen aufbauen können.
Was ist ein „erheblicher Vorfall“?
Sie melden nicht jeden Vorfall. Sie melden nur „schwerwiegende Vorfälle“ im Sinne von Artikel 23 Absatz 3.
Ein Vorfall ist von Bedeutung, wenn:
(a) es hat schwerwiegende Betriebsstörungen der Dienste oder einen finanziellen Verlust für das betreffende Unternehmen verursacht oder kann dazu führen, oder
(b) Sie hat andere natürliche oder juristische Personen beeinträchtigt oder kann sie beeinträchtigen, indem sie erheblichen materiellen oder immateriellen Schaden verursacht hat.
In der Praxis ist ein schwerwiegender Vorfall ein Vorfall, der Ihre Dienste erheblich beeinträchtigt, erhebliche finanzielle Verluste verursacht oder anderen Personen oder Organisationen schadet. Ein einzelner infizierter Computer, der schnell isoliert wird, erreicht diesen Schwellenwert nicht. Ein Ransomware-Angriff, der Ihre kritischen Systeme verschlüsselt und sie stunden- oder tagelang zum Erliegen bringt, tut das schon.
Das Wort „fähig dazu“ ist wichtig. Sie warten nicht, um die tatsächlichen Auswirkungen abzuschätzen. Wenn Sie vermuten, dass ein Vorfall zu schwerwiegenden Störungen führen könnte, wenn er nicht behoben wird, ist er erheblich. Das bedeutet, dass Sie Vorfälle schnell beurteilen müssen und lieber melden, als zu wenig zu melden.
Artikel 23 Absatz 3 gibt den Regulierungsbehörden die Möglichkeit, Durchführungsrechtsakte zu erlassen, in denen die Bedeutung für bestimmte Unternehmenstypen genauer definiert wird. Für Cloud-Anbieter oder DNS-Betreiber könnte die Bedeutung beispielsweise genauer definiert werden (z. B. ein DNS-Ausfall, der X Prozent des Datenverkehrs betrifft, oder ein Ausfall eines Cloud-Anbieters, der X Kunden betrifft). Wenn Sie ein DNS-, Cloud-, Rechenzentrum- oder CDN-Anbieter sind, überprüfen Sie die für Ihren Sektor geltenden Durchführungsbestimmungen auf die genauen Signifikanzschwellen.
Der Zeitplan für die Berichterstattung: Dreistufiger Prozess
NIS2 erfordert einen dreistufigen Berichtsprozess mit strengen Fristen.
Stufe 1 — Frühwarnung (24 Stunden)
Innerhalb von 24 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls müssen Sie Ihrer zuständigen Behörde oder dem CSIRT eine Frühwarnung senden.
Die Frühwarnung ist kurz. Sie sollte Folgendes anzeigen:
Dass Sie einen signifikanten Vorfall identifiziert haben (Name der Entität, Beschreibung des Vorfalls).
Ob der Verdacht besteht, dass der Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde (d. h. handelt es sich um einen Cyberangriff oder um einen technischen Ausfall, eine Naturkatastrophe oder einen Unfall?).
Ob der Vorfall grenzüberschreitende Auswirkungen haben könnte (beeinträchtigt er Dienstleistungen für Kunden in anderen Mitgliedstaaten oder anderen Ländern?).
Durch die Frühwarnung sind die Regulierungsbehörden sofort auf den Vorfall aufmerksam, sodass sie die Reaktion koordinieren, andere Mitgliedstaaten warnen, wenn grenzüberschreitende Auswirkungen zu erwarten sind, und erste Hinweise geben können.
Vertrauensdienstanbieter haben eine engere Frist: 24 Stunden für die vollständige Meldung des Vorfalls (siehe unten), nicht nur für die Frühwarnung.
Stufe 2 — Benachrichtigung über einen Vorfall (72 Stunden)
Innerhalb von 72 Stunden, nachdem Sie auf den schwerwiegenden Vorfall aufmerksam geworden sind, müssen Sie eine vollständige Meldung einreichen.
Die Meldung des Vorfalls sollte Folgendes enthalten:
Aktualisierte Informationen aus der Frühwarnung (ist bestätigt, dass sie bösartig ist? Werden die grenzüberschreitenden Auswirkungen bestätigt?).
Eine erste Bewertung des Vorfalls, einschließlich:
Schweregrad (wie schwerwiegend sind die Auswirkungen? Niedrig, mittel, hoch, kritisch?).
Auswirkungen (welche Systeme sind betroffen? Welche Dienste? Wie viele Benutzer/Kunden?).
Bedrohungsindikatoren (wenn es sich bei dem Vorfall um einen Cyberangriff handelt, welche technischen Indikatoren identifizieren den Angriff — IP-Adressen, Domains, Datei-Hashes usw.)? Diese helfen der Regulierungsbehörde, die Bedrohung zu verstehen und sich mit anderen Mitgliedstaaten abzustimmen).
Die Benachrichtigung über den Vorfall ist detaillierter als die Frühwarnung. Ihr Incident-Response-Team sollte innerhalb von 72 Stunden genügend Informationen gesammelt haben, um eine erste Bewertung vornehmen zu können.
Für Vertrauensdiensteanbieter gilt hier die engere Frist: Sie müssen ihre Erstmeldung innerhalb von 24 Stunden einreichen, nicht innerhalb von 72 Stunden.
Stufe 3 — Zwischen- und Abschlussberichte
Nach der 72-stündigen Meldung des Vorfalls hängt der Vorgang vom Status des Vorfalls ab.
Wenn der Vorfall noch andauert und Sie mehr Zeit benötigen, um Ihre Untersuchung abzuschließen, können Sie auf Anfrage Ihres CSIRT oder der zuständigen Behörde Zwischenberichte vorlegen. Diese Berichte informieren sie über Ihre Fortschritte bei der Minderung oder Lösung des Vorfalls.
Innerhalb eines Monats nach Einreichung der ersten Meldung des Vorfalls (72 Stunden) müssen Sie einen Abschlussbericht einreichen, der Folgendes umfasst:
Eine detaillierte Beschreibung des Vorfalls, einschließlich seines Schweregrads und seiner Auswirkungen.
Die Art der Bedrohung oder Grundursache, die den Vorfall wahrscheinlich ausgelöst hat (z. B. Phishing und Sammeln von Anmeldeinformationen, anfällige Webanwendung, Insider-Bedrohung, Supply-Chain-Angriff, Malware-Infektion usw.).
Angewandte und laufende Maßnahmen zur Schadensbegrenzung (was haben Sie getan, um den Vorfall einzudämmen und zu lösen? Werden Systeme wiederhergestellt? Werden weitere Verbesserungen vorgenommen, um ein erneutes Auftreten zu verhindern?).
Gegebenenfalls grenzüberschreitende Auswirkungen (betrifft der Vorfall Kunden oder Dienstleistungen in anderen EU-Mitgliedstaaten oder Nicht-EU-Ländern?).
Wenn der Vorfall zum Zeitpunkt der Einreichung des Abschlussberichts noch andauert, müssen Sie zu diesem Zeitpunkt einen Fortschrittsbericht und innerhalb eines Monats nach Bearbeitung des Vorfalls einen Abschlussbericht vorlegen.
Wem unterstehen Sie?
Sie melden sich bei Ihrem CSIRT (Computer Security Incident Response Team) oder gegebenenfalls bei Ihrer zuständigen Behörde.
In Artikel 23 Absatz 1 heißt es: „Jeder Mitgliedstaat stellt sicher, dass wesentliche und wichtige Stellen seinem CSIRT oder gegebenenfalls seiner zuständigen Behörde gemäß Absatz 4 unverzüglich jeden Vorfall melden, der erhebliche Auswirkungen hat...“
In den meisten Mitgliedstaaten erstatten Sie dem nationalen CSIRT Bericht. Einige Mitgliedstaaten benennen eine andere zuständige Behörde für den Empfang von NIS2-Berichten. Sie müssen festlegen, welche in Ihrem Mitgliedstaat gilt. Wenden Sie sich an die nationale Cybersicherheitsbehörde Ihres Mitgliedstaats (in der Regel eine für Cybersicherheit zuständige Regierungsbehörde, die häufig im Innenministerium, im Verteidigungsministerium oder in der Abteilung für digitale Angelegenheiten angesiedelt ist), um zu erfahren, ob Sie dem CSIRT oder einer bestimmten zuständigen Behörde Bericht erstatten.
Der Berichtsmechanismus ist in der Regel eine sichere E-Mail oder ein Online-Portal. Ihr CSIRT veröffentlicht Kontaktinformationen und Anweisungen zum Einreichen von Benachrichtigungen. Nutze nur offizielle Kanäle; sende keine Benachrichtigungen an zufällige E-Mail-Adressen.
Wenn Sie die zuständige Behörde (und nicht direkt das CSIRT) benachrichtigen, muss die zuständige Behörde Ihre Meldung an das CSIRT weiterleiten. In beiden Fällen werden also sowohl Ihre zuständige Behörde als auch das CSIRT Ihre Meldung sehen.
Benachrichtigung der Leistungsempfänger
Neben der Benachrichtigung Ihrer Aufsichtsbehörde müssen Sie auch Kunden oder Leistungsempfänger benachrichtigen, wenn sie wahrscheinlich von dem Vorfall betroffen sind.
In Artikel 23 Absatz 1 heißt es: „Gegebenenfalls unterrichten die betroffenen Stellen die Empfänger ihrer Dienste unverzüglich über schwerwiegende Vorkommnisse, die sich negativ auf die Erbringung dieser Dienste auswirken könnten.“
„Ohne unangemessene Verzögerung“ ist vage. In der Praxis sollten Sie die Leistungsempfänger benachrichtigen, sobald Sie bestätigen können, dass sie betroffen sind, und sobald Sie über genügend Informationen verfügen, um aussagekräftige Hinweise geben zu können.
Artikel 23 Absatz 2 fügt hinzu: „Die Mitgliedstaaten stellen gegebenenfalls sicher, dass wesentliche und wichtige Stellen den Empfängern ihrer Dienste, die potenziell von einer erheblichen Cyberbedrohung betroffen sind, unverzüglich alle Maßnahmen oder Abhilfemaßnahmen mitteilen, die diese Empfänger als Reaktion auf diese Bedrohung ergreifen können.“
Das bedeutet, dass Sie den Kunden nicht nur mitteilen sollten, dass es einen Vorfall gibt, sondern ihnen auch sagen sollten, was sie dagegen tun können. Wenn es beispielsweise eine Phishing-Kampagne gibt, die auf Ihre Kunden abzielt, weisen Sie sie an, Phishing-E-Mails misstrauisch zu sein und Passwörter zu ändern. Wenn Ihr Service eine Sicherheitslücke aufweist, fordern Sie die Kunden auf, Patches zu installieren oder ein Upgrade durchzuführen.
Die Benachrichtigung sollte klar, zeitnah und umsetzbar sein. Mit Fachjargon gefüllte oder verspätete Benachrichtigungen untergraben das Vertrauen.
Welche Informationen müssen Sie melden?
Die Richtlinie legt bestimmte Informationen fest, die in Ihrer Mitteilung enthalten sein müssen:
Unternehmensinformationen: Name, Branche, Größe, Hauptdienst oder Aktivität Ihres Unternehmens.
Beschreibung des Vorfalls: Was ist passiert? Wann sind Sie zum ersten Mal darauf aufmerksam geworden? Welche Systeme oder Dienste waren betroffen?
Böswillige oder rechtswidrige Handlung: Handelt es sich um einen vorsätzlichen Cyberangriff oder um einen Unfall, ein technisches Versagen oder eine Naturkatastrophe?
Schweregrad und Auswirkung: Wie schlimm ist es? Wie viele Nutzer/Kunden sind betroffen? Ist Ihr Dienst ausgefallen, beeinträchtigt oder voll funktionsfähig?
Bedrohungsindikatoren: Wenn es sich um einen Cyberangriff handelt, welche technischen Indikatoren identifizieren den Angriff (bösartige IP-Adressen, Domains, Datei-Hashes, Command-and-Control-Server usw.)?
Grundursache: Was ist die wahrscheinliche Ursache? Zum Beispiel Phishing und Social Engineering, anfällige Anwendung, ungepatchtes System, Insider-Bedrohung, Gefährdung der Lieferkette, Malware-Infektion usw.
Maßnahmen zur Schadensbegrenzung: Was haben Sie unternommen, um ein erneutes Auftreten einzudämmen, zu beheben und zu verhindern?
Grenzüberschreitende Auswirkungen: Betrifft der Vorfall Kunden in anderen EU-Mitgliedstaaten oder Nicht-EU-Ländern?
Ihr Mitgliedstaat kann im Wege von Durchführungsrechtsakten zusätzliche Informationen verlangen. Informieren Sie sich in den Leitlinien Ihrer nationalen Regulierungsbehörde.
Aufbau von Kapazitäten zur Reaktion auf Vorfälle
Um die Berichterstattung gemäß Artikel 23 einzuhalten, müssen Sie in der Lage sein, Vorfälle innerhalb der engen Fristen zu erkennen, zu untersuchen und zu melden. Dies erfordert:
Erkennungsfähigkeit
Sie müssen in der Lage sein, signifikante Vorfälle zu erkennen. Dies erfordert:
Tools zur Sicherheitsüberwachung (SIEM, Intrusion Detection, Endpoint Detection and Response), die Warnmeldungen bei verdächtigen Aktivitäten generieren.
Erfassung von Protokollen kritischer Systeme (Server, Firewalls, Domänencontroller, Anwendungen), damit Sie einen Überblick über das Geschehen haben.
Alert-Triage- und Eskalationsprozesse, sodass wichtige Alarme erkannt und schnell an die Einsatzkräfte weitergeleitet werden.
Eine Definition eines signifikanten Vorfalls, die Ihr Team versteht, sodass es Vorfälle genau klassifizieren kann.
Team für die Reaktion auf Vorfälle
Sie benötigen ein Team mit klaren Rollen und 24/7-Verfügbarkeit:
Vorfallkoordinator: Verwaltet die gesamte Reaktion auf Vorfälle, sorgt für eine angemessene Eskalation und koordiniert sich mit anderen Teams.
Technischer Ermittler: Analysiert Protokolle, sammelt forensische Beweise, identifiziert die Grundursache und Indikatoren für eine Gefährdung.
Kommunikation: Entwirft Kundenbenachrichtigungen, kommuniziert mit Aufsichtsbehörden, informiert die Geschäftsleitung.
Rechtliches/Compliance: Beratung zu behördlichen Meldepflichten, Datenschutzanforderungen und rechtlicher Haftung.
Ansprechpartner für alle Mitarbeiter: Wenn ein Vorfall erkannt wird, muss es eine Möglichkeit geben, die Einsatzkräfte sofort zu kontaktieren, 24 Stunden am Tag, 7 Tage die Woche.
Spielbücher und Verfahren
Ihr Team benötigt dokumentierte Verfahren für den Umgang mit verschiedenen Arten von Vorfällen:
Ransomware: Eindämmung des Angriffs (Isolierung infizierter Systeme), Bewertung der Auswirkungen, Aktivierung von Backup-Systemen, falls erforderlich, Bewertung von Lösegeldforderungen und behördlichen Meldepflichten, Untersuchung der Grundursache.
Datenschutzverletzung: Identifizieren Sie, auf welche Daten zugegriffen oder welche gestohlen wurden, beurteilen Sie, ob es sich um personenbezogene Daten handelt (was die DSGVO-Benachrichtigung auslöst), bewerten Sie die Auswirkungen auf das Geschäft, grenzen Sie die Datenschutzverletzung ein, benachrichtigen Sie Kunden und Aufsichtsbehörden.
Systemausfall: Ermitteln Sie die Ursache, stellen Sie den Service mithilfe von Backup- oder alternativen Systemen wieder her, untersuchen Sie die Ursache, kommunizieren Sie mit Kunden.
Gefährdung der Lieferkette: Identifizieren Sie, wie Ihre Lieferkette betroffen war, isolieren Sie kompromittierte Systeme, warnen Sie nachgelagerte Kunden, wenn Sie ein Dienstleister sind, und beheben Sie Abhilfe.
Externe Tests: Möglicherweise möchten Sie vierteljährlich Übungen zur Reaktion auf Vorfälle am Tisch durchführen, bei denen Ihr Team den Umgang mit verschiedenen Vorfallsszenarien simuliert. Das stärkt das Muskelgedächtnis und identifiziert Lücken in Ihren Fähigkeiten.
Dokumentation und Beweissicherung
Bei der Reaktion auf den Vorfall müssen Sie Beweise aufbewahren:
Bewahren Sie Systemprotokolle und forensische Daten von betroffenen Systemen auf (überschreiben Sie sie nicht).
Dokumentieren Sie Ihre Ermittlungsschritte und Ergebnisse (was haben Sie herausgefunden? Was bedeutet das?).
Bewahren Sie Mitteilungen (E-Mails, Nachrichten) auf, die für den Vorfall relevant sind.
Halten Sie die Sorgerechtskette aufrecht, wenn Beweise für ein Gerichtsverfahren (Strafverfolgungsuntersuchung) erforderlich sein könnten.
Diese Beweise werden Teil Ihres Abschlussberichts an die Aufsichtsbehörden und können für interne Untersuchungen, Gerichtsverfahren oder Cyberversicherungsansprüche benötigt werden.
Informationsschutz bei der Berichterstattung
In Artikel 23 Absatz 6 heißt es: „Gegebenenfalls... wahren... das CSIRT, die zuständige Behörde oder die zentrale Anlaufstelle gemäß dem Unionsrecht oder dem nationalen Recht die Sicherheits- und Geschäftsinteressen der Stelle sowie die Vertraulichkeit der bereitgestellten Informationen.“
Dies bedeutet, dass Informationen, die Sie den Aufsichtsbehörden zur Verfügung stellen, geschützt sind. Ihre sensiblen technischen Daten zu Ihren Systemen, Ihre Ursachenanalyse, Ihre Abhilfemaßnahmen — diese sollten von den Aufsichtsbehörden nicht ohne Ihre Zustimmung veröffentlicht werden.
Artikel 23 Absatz 7 erlaubt jedoch eine Offenlegung der Öffentlichkeit, wenn „die Sensibilisierung der Öffentlichkeit erforderlich ist, um einen erheblichen Vorfall zu verhindern oder um einen anhaltenden erheblichen Vorfall zu bewältigen, oder wenn die Offenlegung... anderweitig im öffentlichen Interesse liegt“. Besteht beispielsweise eine weit verbreitete Sicherheitslücke, von der viele Unternehmen betroffen sind, kann die Regulierungsbehörde den Vorfall offenlegen, um die Öffentlichkeit zu warnen.
Ihre Mitteilung an die Aufsichtsbehörden ist vertraulich, aber diese Vertraulichkeit ist nicht absolut. Sie wird gegen das öffentliche Interesse an der Sensibilisierung für Bedrohungen abgewogen.
Die „Safe Harbor“ -Bestimmung
Artikel 23 Absatz 1 enthält eine wichtige Bestimmung: „Die bloße Notifizierung verpflichtet die notifizierende Stelle nicht zu einer erhöhten Haftung.“
Dies ist ein „sicherer Hafen“ — die Benachrichtigung einer Aufsichtsbehörde über einen Vorfall kann nicht gegen Sie verwendet werden, um Ihre gesetzliche Haftung zu erhöhen. Die Safe-Harbor-Regelung beschränkt sich jedoch auf den Vorgang der Meldung selbst. Es schützt Sie nicht vor einer Haftung, wenn Sie den Vorfall fahrlässig oder leichtsinnig verursacht haben (z. B. weil Sie bekannte Sicherheitslücken nicht gepatcht haben).
Der Safe Harbor ermutigt Organisationen, Vorfälle ehrlich und vollständig zu melden, ohne befürchten zu müssen, dass der Bericht selbst gegen sie verwendet wird.
Grenzüberschreitende Vorfälle
Wenn Ihr schwerwiegender Vorfall Kunden oder Dienste in mehreren Mitgliedstaaten betrifft, müssen Sie das CSIRT oder die zuständige Behörde jedes betroffenen Mitgliedstaats benachrichtigen.
Gemäß Artikel 23 Absatz 1 müssen Sie „unter anderem alle Informationen melden, anhand derer das CSIRT oder gegebenenfalls die zuständige Behörde etwaige grenzüberschreitende Auswirkungen des Vorfalls feststellen kann“.
Artikel 23 Absatz 8 ermöglicht es der zentralen Anlaufstelle in einem Mitgliedstaat, Ihre Meldung auf Ersuchen des CSIRT oder der zuständigen Behörde an die zentralen Ansprechpartner anderer betroffener Mitgliedstaaten weiterzuleiten.
In der Praxis sollten Sie bei einem grenzüberschreitenden Vorfall (z. B. bei einem Cloud-Anbieter, dessen Kunden aus mehreren Mitgliedstaaten stammen) alle betroffenen Mitgliedstaaten und ihre CSIRTs identifizieren und sicherstellen, dass Benachrichtigungen an jeden gesendet werden.
Praktische Checkliste für die Meldung von Vorfällen
Hier ist eine praktische Checkliste für die Meldung von Vorfällen:
Haben Sie festgestellt, wer Ihr nationales CSIRT oder Ihre zuständige Behörde ist? Haben Sie deren sichere Melde-E-Mail oder ihr Portal?
Verfügt Ihr Incident-Response-Team über die Kontaktinformationen und Eskalationsverfahren, um innerhalb weniger Stunden nach Entdeckung eines Vorfalls die Reaktion auf Vorfälle einzuleiten?
Haben Sie definiert, was ein „schwerwiegendes Ereignis“ für Ihr Unternehmen ist (in Absprache mit Ihrer Aufsichtsbehörde und gegebenenfalls mit Durchführungsrechtsakten)?
Enthält Ihr Playbook zur Reaktion auf Vorfälle Schritte zur Erfassung der in Artikel 23 vorgeschriebenen Informationen (Schweregrad, Auswirkungen, Kompromissindikatoren, Grundursache, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen)?
Verfügen Sie über Erkennungsfunktionen (Überwachungstools, Protokollerfassung), um Vorfälle schnell zu identifizieren?
Haben Sie Ihre Verfahren zur Reaktion auf Vorfälle dokumentiert und getestet (praktische Übungen, Vorfallübungen)?
Haben Sie rund um die Uhr einen Ansprechpartner für die Incident-Response-Aktivierung?
Kennen Sie Ihre Benachrichtigungsfristen (24 Stunden für Vertrauensdiensteanbieter für die Erstbenachrichtigung; 72 Stunden für andere; ein Monat für den Abschlussbericht)?
Haben Sie herausgefunden, welche Kunden oder Leistungsempfänger Sie benachrichtigen müssen, wenn ein Vorfall eintritt?
Haben Sie Vorlagen für Kundenbenachrichtigungen, die Artikel 23 Absatz 2 entsprechen (in denen erläutert wird, welche Maßnahmen die Empfänger ergreifen können)?
Haben Sie die Meldung von Vorfällen mit Ihren Rechts- und Compliance-Teams koordiniert, damit Sie die Datenschutzmeldepflichten (DSGVO), mögliche rechtliche Haftung und die Auswirkungen von Cyberversicherungen verstehen?
Wichtige Erkenntnisse
- Ein schwerwiegender Vorfall ist ein Ereignis, das schwerwiegende Betriebsstörungen oder finanzielle Verluste für Ihr Unternehmen oder erheblichen Schaden für andere Personen oder Organisationen verursacht oder verursachen kann. Sie müssen die Bedeutung schnell ermitteln, damit Sie die Meldefristen einhalten können.
- Der NIS2-Berichtszeitraum ist dreistufig: Frühwarnung innerhalb von 24 Stunden (Angabe, ob der Vorfall bösartig ist und ob er grenzüberschreitende Auswirkungen hat), Meldung des Vorfalls innerhalb von 72 Stunden mit anfänglicher Schweregrad- und Folgenabschätzung (24 Stunden für Vertrauensdienstanbieter) und Abschlussbericht innerhalb eines Monats mit detaillierter Ursachenanalyse und Abhilfemaßnahmen.
- Sie müssen Ihrem nationalen CSIRT oder der benannten zuständigen Behörde über offizielle sichere Kanäle Bericht erstatten; außerdem müssen Sie die Leistungsempfänger „unverzüglich“ benachrichtigen, wenn sie wahrscheinlich betroffen sind, und erläutern, welche Maßnahmen sie zu ihrem eigenen Schutz ergreifen können.
- Der Aufbau von Compliance-Fähigkeiten erfordert Tools zur Erkennung, ein rund um die Uhr verfügbares Team zur Reaktion auf Vorfälle mit klaren Rollen, dokumentierte Playbooks für verschiedene Vorfalltypen, Verfahren zur Beweissicherung und regelmäßige Übungen am Tisch, um Ihre Fähigkeiten zu testen.
- Die Safe-Harbor-Bestimmung schützt Sie vor einer erhöhten Haftung, wenn Sie lediglich die Aufsichtsbehörden über einen Vorfall informieren, schützt Sie jedoch nicht vor einer Haftung, wenn Sie den Vorfall fahrlässig verursacht haben. Informationen, die Sie melden, sind vor der Veröffentlichung geschützt, es sei denn, die Offenlegung ist aus Gründen der öffentlichen Sicherheit erforderlich.
- Anbieter von Vertrauensdiensten sehen sich mit einem engeren Zeitplan konfrontiert: Für die erste Meldung eines Vorfalls ist eine Benachrichtigung innerhalb von 24 Stunden (statt 72 Stunden) erforderlich, wenn sich der Vorfall auf ihre Vertrauensdienste auswirkt.
